基于Web操作系统的移动瘦终端多安全策略模型

高安全级移动办公对信息系统不断提出更高的安全需求,在此背景下出现了瘦终端(Thin-Client)解决方案。其采用云存储、分布式终端系统和集中管理,为用户提供了更好的安全性。当前的主要技术包括虚拟桌面和Web终端,其中前者是主流。近年来,Web操作系统(Web OS)的发展促使Web终端受到业界重视,但Web OS还存在机密性和完整性保护不足的问题。基于Web OS系统的特点抽象建模,提出了混合机密性模型BLP和完整性模型Biba的多安全策略模型。首先利用格将机密性标签、完整性标签和范畴集合相结合,解决了BLP与Biba信息流相反的问题;然后提出可信主体的最小特权原则来进一步约束可信主体的权限,并给予特定可信主体临时权限,以提高灵活性和可用性;最后分析模型的安全性和适用性。     

NUTOS系统多策略安全模型设计与实现

传统的MLS策略侧重于信息机密性保护，却很少考虑完整性，也无法有效实施信道控制策略，在解决不同安全级别信息流动问题时采用的可信主体也存在安全隐患。为了在同一系统中满足多样性的安全需求，给出混合多策略模型——MPVSM模型，有机组合了BLP、Biba、DTE、RBAC等安全模型的属性和功能，消除了MLS模型的缺陷，提高了信道控制能力和权限分配的灵活度，对可信主体的权限也进行了有力的控制和约束。给出MPVSM模型的形式化描述以及在原型可信操作系统Nutos中的实现，并给出了策略配置实例。     

基于可信度的多级网络访问控制机制

详细分析了BLP模型在网络应用方面存在的不足,提出基于可信度的多级网络访问控制机制。该机制通过收集同一安全域内安全审计系统提供的历史证据,计算主体访问行为在机密性安全属性方面的可信度,根据可信度限定主体对客体的访问违规行为,并合理调整主体安全标记以及客体的存在形式,从而提高了BLP模型在网络应用中的灵活性、可用性,同时也降低了BLP模型中由于可信主体滥用权限而带来的安全风险。     

基于MLS策略的机密性和完整性动态统一模型

BLP模型是最经典的机密性模型,Biba模型则是最经典的完整性模型。绝大多数主客体机密性和完整性具有一致性,BLP模型和Biba模型就产生矛盾。提出了机密性和完整性的动态统一模型,给出了一系列安全规则,引入访问历史标记,动态调整主体的安全标记,将BLP和Biba真正结合起来,实现了机密性和完整性的统一,使系统具有较好的可用性。并给出了实例对模型进行了说明。     

基于用户意愿的改进BLP模型IB_BLP

在基于BLP模型的安全系统设计与实现中，其主体的安全标记与访问权限分别继承自登录用户的安全标记与访问权限，使得主体的资源访问能力过大，破坏了最小权限原则，使恶意进程能够进行大范围的信息窃取与破坏。针对上述问题，该文提出了一种基于用户意愿的改进BLP模型IB＿BLP模型，要求主体对于具有访问授权要求的客体的访问，必须遵循用户的操作意愿，使主体的权限最小化。     

基于可信等级的BLP改进模型

BLP模型存在完整性保护缺失、可信主体定义不明确和未考虑平台环境因素等问题。为此,提出一种基于可信等级的BLP改进模型TL-BLP。该模型引入主客体和平台的可信等级,并对BLP模型安全特性、主客体的敏感标记和状态转移规则进行改进,从而实现可信度的动态度量,保证访问操作平台的安全性,通过对BLP模型“下读上写”的限制,保证信息的完整性。分析结果表明,TL-BLP在保证信息机密性的基础上,能提高系统的完整性和可用性,实现基于可信度的访问控制。     

扩展的BLP模型及其应用

分析经典BLP模型中的非可信主体当前敏感级fC和“宁静原则”存在的不合理性,针对该问题,利用动态变化的主体敏感级v-max/a-min代替主体当前敏感级fC。为解决完整性保护问题,提出一个扩展的BLP模型,模型中引入主体的完整性和主客体的可信度,对于客体可信度,从完整性和可信性2个方面进行保护,同时对主体的可信度采用动态变化原则,并给出一个EBLP模型在操作系统中的应用实例。     

基于可信计算平台的静态客体可信验证系统的设计与实现

在安全操作系统中,通常采用了多种访问控制模型来保证静态客体的内容的机密性和完整性.但是,传统的访问控制政策不能保证静态客体内容的真实性.因此,安全操作系统中的客体并不可信.本文首先分析了操作系统中客体的类型,总结了安全操作系统中对静态客体的处理存在的问题,提出可信静态客体的概念并分析其特点.为了保证可信静态客体内容的真实性,提出了基于TPM的静态客体可信验证系统.该系统将生成可信静态客体的映像文件,映像文件记录某可信静态客体的来源、各次处理行为和内容变化的签名并存于TPM中.最后对该可信验证系统进行了安全和性能分析.分析表明,该可信验证系统可以保证可信静态客体内容的真实性,为进一步建立可信计算环境提供了基础.     

混合多策略视图安全模型

传统的MLS策略侧重于信息机密性保护,却很少考虑完整性,也无法有效实施信道控制策略,在解决不同安全级别信息流动问题时采用的可信主体也存在安全隐患.同时,应用环境的多样性导致了安全需求的多样化,而当前的安全模型都只侧重于其中一种或几种安全需求.本文给出的混合多策略模型一MPVSM模型有机组合了BLP,Biba,DTE和RBAC等安全模型的属性和功能,消除了MLS模型的缺陷,提高了信道控制能力和权限分配的灵活度,对可信主体的权限也进行了有力的控制和约束,同时为实现多安全策略视图提供了一个框架.文中给出了MPVSM模型的描述和形式化系统,并给出了几种典型策略的配置实例.     

BLP模型的改进及在Linux系统中的实现

对BLP模型的完整性进行了改进,通过在主体安全标签上增加了一个动态完整性评估标记．根据该标记将用户的“上写”区域进行限制．对于可信性高的用户进程给予“完全上写”权限,对于可信性一般的用户进程给予“就近上写”权限．对于可信性差的用户进程剥夺其“上写”权限。对于改进模型的安全性和可用性．一方面对其机密性和完整性进行了理论上的分析,另一方面,将改进模型的主要策略放在Linux的LSM安全框架中进行了简单的实现和验证。经过对改进模型的安全性分析和模型策略在Linux系统的简单实现和验证．证明该模型具有很好的安全性和可用性。     

一种结合用户许可的多级安全策略模型

针对BLP模型存在“向上写”规则破坏数据完整性、主体分配权限过大及客体安全等级不变的问题,提出一种结合用户许可的多级安全策略模型。该模型利用可信度标识对主体写操作进行完整性保护,通过用户许可标识解决BLP模型和可信度标识存在的主体分配权限过大问题,结合系统管理员仲裁机制对修改的客体安全等级进行动态调整。理论分析表明,该模型能够保证系统的安全。     

堆栈溢出的BLP形式化研究及实现

堆栈溢出是一种在各种操作系统、应用软件中广泛存在普遍且危险的漏洞,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作.从安全操作系统的角度分析了堆栈溢出的原理,以BLP模型为工具对堆栈溢出进行了形式化并在此基础上适当调整了该模型,从安全模型的层次上消除了堆栈溢出的隐患.最后给出了调整后的BLP模型在LSM(Linlux security module)上的实现.     

基于BLP的安全操作系统信息安全模型

提出并设计了一个安全操作系统的信息安全模型。该模型消除了仅以用户作为主体存在的不安全隐患,除保密性指标外考虑了完整性指标,限制了隐蔽通道,限制了可信主体以满足最小权限原则,进行了域隔离,缩小了理论模型与实际应用的差距,并应用到自主开发的安全操作系统WXSSOS中。     

一种面向应用系统的强制访问控制模型

为解决传统BLP模型不适用于应用系统的问题,提出了一种面向应用系统的强制访问控制（ASOMAC）模型,该模型对BLP模型进行了扩展,通过角色与安全标记的结合运用,实现了最小权限和职责分离原则,有效提高了强制访问控制的灵活性,使其符合应用系统的特点和需求。对模型进行了形式化定义,给出了一套公理系统,最后设计并分析了基于该模型的强制访问控制系统。     

操作系统安全结构框架中应用类通信安全模型的研究

经典的BLP模型是解决保密性问题的理论基础,Biba模型是一种简明易实现的完整性模型．在应用系统中数据的共享和安全是一对矛盾．在将应用系统抽象为应用类的基础上,引入完整性规则集代表信息的可信度,结合BLP模型和Biba模型构造了一种应用类通信的安全模型,并给出了模型的形式化描述和正确性证明．应用类通信安全模型不仅解决了保密性问题,而且解决了完整性问题．以支持B／S文电传输应用系统的安全为例,给出了在操作系统中实现应用类通信安全模型的方法,分析了模型实现的有效性．     

面向服务进程的用户权限隔离模型

针对系统服务中的特权用户问题,提出一种面向服务进程的用户权限隔离模型,依据安全级别将用户、隔离域、程序模块进行映射关联,利用虚拟化技术为不同用户构造相互隔离的运行环境,形式化定义用户隔离域,给出虚拟化构建隔离域的关键技术及实现方法,从而实现用户权限的隔离,消除系统中潜在的特权用户。