基于可信计算的区域边界防护模型研究与应用

依据信息系统等级保护安全设计技术要求的框架,提出一种基于可信计算的安全区域边界防护模型。在模型中,运用可信平台三元对等鉴别技术,解决了区域边界防护网关自身完整性鉴别问题;采用可信网络连接建立与传递技术,实现了跨区域边界网络访问的全程可信;采用区域边界代理和控制策略分布执行的方式,实现了基于主客体的区域边界自主访问控制策略。     

扩展的BLP模型及其应用

分析经典BLP模型中的非可信主体当前敏感级fC和“宁静原则”存在的不合理性,针对该问题,利用动态变化的主体敏感级v-max/a-min代替主体当前敏感级fC。为解决完整性保护问题,提出一个扩展的BLP模型,模型中引入主体的完整性和主客体的可信度,对于客体可信度,从完整性和可信性2个方面进行保护,同时对主体的可信度采用动态变化原则,并给出一个EBLP模型在操作系统中的应用实例。     

基于平台可信等级的RBAC模型研究与改进

针对RBAC模型仅仅依靠用户身份进行角色和权限分配,未考虑用户平台的安全及可信性的问题,提出一种基于平台可信等级的改进RBAC模型(TLPRBAC)。TLPRBAC模型引入可信平台和可信等级两个实体元素,改进了实体关系和授权规则。改进的RBAC模型采用将角色与可信等级、可信等级与访问客体相关联的方法,实现不同可信等级主体对不同安全级别客体的细粒度访问控制。最后提出一个TLPRBAC模型在政府内网中的文件访问控制应用方案。     

基于动态可信度量的敏感信息安全控制模型

随着信息技术的高速发展,计算机系统处理的敏感信息规模不断增长,确保敏感信息的安全变得非常重要.文中对传统的多级安全模型BLP模型进行了分析,指出其对敏感信息完整性保护不足的安全隐患.针对该安全隐患,文中设计了基于动态可信度量的敏感信息安全控制模型(DTMSISCM)并给出了其实现架构,DTMSISCM通过实施基于可信度的敏感信息安全控制,在维持和BLP模型相同保密性的基础上,保证了敏感数据的完整性,提高了系统敏感信息安全控制的可用性     

面向移动Web操作系统的BLP改进模型及应用

作为重要的机密性策略经典模型,BLP模型通过对主体和客体进行分级和标记,并引入高安全等级的引用监视器,实现信息系统的强制访问。随着移动智能终端的普及,Web操作系统因其具有移动性、移植性、高扩展性和跨平台性等优点,成为移动政务系统的主要解决方案之一,并越来越受到研究人员的重视。但现有的Web操作系统对机密性要求不高,无法满足移动政务系统对安全保密的需求。本文从安全模型构建入手,对智能终端的Web操作系统进行抽象建模,并重定义BLP模型的元素,增强主客体的访问控制以提高其机密性。鉴于BLP模型缺乏可信主体的最小权限原则和完整性约束,本文在改进的BLP模型当中重新划分主体、客体的安全级,增加可信级别标记和角色映射函数,并针对现有的Web操作系统进行模型映射,实现了最小权限原则、主体完整性约束和域间隔离机制,可有效提高Web操作系统机密性等级。     

基于多级安全策略的二维标识模型

安全模型是用形式化的方法来描述如何满足系统的安全要求．经典的安全模型都只能要么满足系统的保密性要求(如BLP模型)，要么满足完整性的要求(如Biba模型)．该文提出了一个多级安全策略的二维标识模型，在对可信主体必须遵守最小特权原则的前提下，利用保密性标识和可信度标识共同构成主客体的访问标识，并利用两个约束条件，使得既能防止越权泄露信息．又能控制信息的非授权修改，从而同时保证了系统的保密性和完整性．     

多级安全模型

针对经典BLP模型的部分主体权限过大的问题,基于可信计算技术,将可信的思想和时间特性融入到安全模型的设计,提出了基于时间可信的BLP模型(TTBLP).该模型以BLP模型为基础,引入可信状态和可信范畴的概念,动态调节主体的访问范围,保证了只有符合可信状态安全要求的主体才能访问特定可信范畴中的客体,并给出了TTBLP安全模型的基本设计思想、定义、公理和定理.实验结果表明,该模型弥补了经典BLP模型的不足,增强了系统的安全性和灵活性.     

改进的多级安全模型的设计与实现

在分析BLP模型和RBAC模型及其相关衍生模型的基础上,提出一种改进的模型。改进模型主要有4个重要特点：（1）实施完整性控制,保证信息流上写安全性;（2）限定可信主体,赋予其余主体有限特权;（3）实施RBAC模型,分配角色和权限;（4）引入审计机制,提供策略监控。实验结果表明,改进后的模型在完善安全性的同时提高了实用性。     

一种适用于嵌入式终端的可信安全方案

针对嵌入式平台的安全问题,提出一种基于可信计算技术的嵌入式终端可信安全方案。采用可移动的启动存储介质作为核心可信度量根的带双启动模式的混合型信任链结构,缩短根节点到每个节点在信任链上的距离;采用预计算摘要值法度量节点完整性;简化并移植在PC平台上的可信软件协议栈;提出嵌入式可信网络接入机制,从而实现了嵌入式终端可信环境的建立。最后实验结果表明,该方案可以在启动中检测出代码是否被篡改,且启动时间开销相比于普通可信启动减少约15.8%,因此可基本上保证终端的安全性。     

基于任务划分的防信息聚合泄密模型

针对BLP模型中存在的信息聚合泄密、可信主体权限过大以及模型完整性缺失的问题,结合文件分级保护的需求,提出了基于任务划分的防信息聚合泄密模型IALP。首先,探讨了信息聚合形成的原因及研究现状;然后,以任务划分为基础,对主体的信息可知度及客体所占信息权重进行量化,提出了相对可信主体的概念,给出了模型安全公理和状态转换规则。最后,经理论证明、应用举例和分析表明,该模型能够控制主体对具有聚合泄密关系的客体集合的可知程度,并在一定程度上限制可信主体权限以及增强完整性。     

一种结合用户许可的多级安全策略模型

针对BLP模型存在“向上写”规则破坏数据完整性、主体分配权限过大及客体安全等级不变的问题,提出一种结合用户许可的多级安全策略模型。该模型利用可信度标识对主体写操作进行完整性保护,通过用户许可标识解决BLP模型和可信度标识存在的主体分配权限过大问题,结合系统管理员仲裁机制对修改的客体安全等级进行动态调整。理论分析表明,该模型能够保证系统的安全。     

基于可信计算的保密和完整性统一安全策略

为解决在高安全等级操作系统应用的保密性/完整性统一多级访问控制模型可用性差问题及增强其安全性,为系统引入可信计算(TCPA)技术并指出它对安全机制的增强作用。对可信计算平台环境下保密性/完整性统一的访问控制模型中可信主体的特性进行描述,给出具体安全策略。它将可信主体纳入访问控制模型,有助于划分可信主体并能够限制其权限。     

基于用户意愿的改进BLP模型IB_BLP

在基于BLP模型的安全系统设计与实现中，其主体的安全标记与访问权限分别继承自登录用户的安全标记与访问权限，使得主体的资源访问能力过大，破坏了最小权限原则，使恶意进程能够进行大范围的信息窃取与破坏。针对上述问题，该文提出了一种基于用户意愿的改进BLP模型IB＿BLP模型，要求主体对于具有访问授权要求的客体的访问，必须遵循用户的操作意愿，使主体的权限最小化。     

移动可信接入轻量级认证与评估协议

为增强移动终端可信网络接入认证与评估协议的可用性,降低网络通信负载及终端计算负载,提出一种轻量级的身份认证与平台鉴别评估协议。协议基于接入双方在首次接入时共享的认证密钥以及对方的可信平台配置信息,在不需要可信第三方参与的情况下,完成快速的身份认证与鉴别评估。协议减少了网络数据交换次数以及接入双方的计算工作量,在保证接入认证与评估所需的安全属性的同时,还增强了平台配置信息的机密性以及抵抗重放攻击的能力。安全性和性能分析表明,所提协议适合无线网络通信环境下的移动终端可信网络接入。     

基于Web操作系统的移动瘦终端多安全策略模型

高安全级移动办公对信息系统不断提出更高的安全需求,在此背景下出现了瘦终端(Thin-Client)解决方案。其采用云存储、分布式终端系统和集中管理,为用户提供了更好的安全性。当前的主要技术包括虚拟桌面和Web终端,其中前者是主流。近年来,Web操作系统(Web OS)的发展促使Web终端受到业界重视,但Web OS还存在机密性和完整性保护不足的问题。基于Web OS系统的特点抽象建模,提出了混合机密性模型BLP和完整性模型Biba的多安全策略模型。首先利用格将机密性标签、完整性标签和范畴集合相结合,解决了BLP与Biba信息流相反的问题;然后提出可信主体的最小特权原则来进一步约束可信主体的权限,并给予特定可信主体临时权限,以提高灵活性和可用性;最后分析模型的安全性和适用性。     

嵌入式TPM及信任链的研究与实现

为将可信计算技术更有效应用于嵌入式系统,结合链式与星型信任结构,提出了一种带数据恢复功能的混合式信任结构,可降低链式结构的信任损失,减轻星型结构中可信平台模块(TPM)的计算负担.在此基础上构建并实现了一种嵌入式可信平台,以内置可信度量核心根(CRTM)的嵌入式TPM作为信任根,并在其内部设计了双端口内存作为与嵌入式处理器间的通信接口.该平台在启动过程中通过CRTM验证启动程序及操作系统的完整性,利用操作系统动态拦截和验证应用程序的完整性,并在发现完整性度量值被修改时启动数据恢复功能,从而有效保证了嵌入式系统软件组件的完整性和可信启动.     

一种改进的以基于角色的访问控制实施BLP模型及其变种的方法

该文指出了Sandhu等人提出的以基于角色的访问控制(Role-Based Accesas Control,RBAC)实施强制访问控制(Mandatory Access Control．MAC)策略的方法存在拒绝服务(Denial of Service,DoS)和给主体赋予过多权限等错误，且缺乏对经典BLP模型的充分的支持．为此作者提出了一种改进的方法——ISandhu方法，引入了辅助角色层次，加强了角色间关系并提供了对可信主体概念的支持．此方法修正了原有方法的错误，在RBAC中实施了经典的BLP模型及其变种模型以满足实际需求．保证了强制访问控制策略的正确实施，为在大量商业系统中以较小的代价引入强制访问控制提供了理论依据．