CN107277023B - 一种基于Web的移动瘦终端访问控制方法、系统及瘦终端 - Google Patents

Abstract

本发明提供一种基于Web的移动瘦终端访问控制方法、系统及瘦终端，所述方法包括：S1、将移动瘦终端Web系统中的组件抽象为模型中的基本元素，获取主体及客体的机密性标记集合和完整性标记集合；S2、将系统中的操作抽象为访问模式；S3、根据Web系统的特点定义自主访问控制策略；S4、根据LBAC模型，结合BLP模型基于机密性、Biba模型基于完整性的强制访问控制策略，形成安全标记格，并基于安全标记格定义强制访问控制策略；S5、通过RBAC模型对自主访问控制策略和强制访问控制策略进行配置。具有更好的策略一致性，使得新模型在形式上能够适用于网络连接以及与云存储架构中应用的ABAC等安全模型匹配。

Description

一种基于Web的移动瘦终端访问控制方法、系统及瘦终端

技术领域

本发明涉及移动设备信息安全技术领域，更具体地，涉及一种基于Web的移动瘦终端访问控制方法、系统及瘦终端。

背景技术

随着移动互联网的发展，移动终端普及率提高，为移动办公、移动政务、电子商务、电子支付等新兴领域的发展提供了支撑。由于这些领域涉及到手机用户的个人敏感信息或公司的内部信息，因此，安全问题成为关注的重心。目前智能终端(富终端,fat client)操作系统中Android、iOS和Windows Phone(WP)占据了大部分市场份额，iOS和WP的安全依赖于其闭源性和应用溯源等安全机制，Android由于属于开源系统，会使恶意软件和黑客能够非常容易进行权限获取和系统修改，存在非常多的内核层危害。而在某些特殊领域，如移动政务，需要系统能够为用户提供机密性和完整性的保护，这些安全需求在当前的主流操作系统中并未得到满足。因此，越来越多的高安全级移动办公采用瘦终端(thin client)这一解决方案，资料显示，美国军方已经开始采用瘦终端来全面替代富终端，用于政府或涉密的移动办公。

基于VDI(Virtual Desktop Infrastructure，虚拟桌面基础架构)技术的瘦终端是在服务器侧为每个终端用户准备专用的虚拟机并在其中部署用户专属的操作系统和各种应用，然后通过桌面显示协议将完整的虚拟机桌面交付给远程用户使用。这类解决方案的基础是服务器虚拟化，分为部分虚拟化和完全虚拟化。采用更高性能的部分虚拟化技术，会因对虚拟机中操作系统的大量修改增加开发难度并影响了操作系统兼容性，其实施更难于在Windows等闭源操作系统上部署该方案。因此，基于VDI的虚拟桌面解决方案通常采用完全虚拟化技术。但是，这种方案对服务器能力要求高，其性能和响应能力会根据用户数量、物理位置和应用类型的不同而有所不同。此外，在不添加媒体加速功能的情况下，视频、Adobe Flash、IP语音(VoIP)以及其它计算或图形密集型应用不适用于该模式。网络稳定性对虚拟桌面的影响也很大，如果网络产生丢包、延时将直接影响虚拟化服务器群、网络存储设备和云终端三者间通信效率，导致用户虚拟桌面性能剧降，影响用户使用效率。安全性和传输效率依赖采用的传输协议，但由于终端可能采用不同的语言和平台开发，因此还需对服务器端进行单独配置。

基于Web操作系统(Web OS)实现移动瘦终端，其基本思想是使用Web OS，用户通过系统提供的浏览器框架来运行安装在服务器上的应用(称为Web应用)，而本地只存储这个应用的Manifest文件，用来对Web应用调用终端系统资源进行权限管理。这种方式的优点是提供跨平台性，不必考虑终端运算能力、存储条件便可以直接使用服务器上的资源，由于不需要虚拟化技术，对服务器和终端硬件要求不高。而且Web OS是基于标准统一的Web语言设计开发的操作系统，提供跨平台的操作环境。基于Web OS的瘦终端因为需要更少与服务器通信，降低了用户和接口之间响应的延迟，提供更好的用户体验。但是基于Web OS的瘦终端目前存在的问题是：Web OS在设计时注重的是移动性和跨平台性，对安全性要求不高，机密性和完整性系数低。因此使用Web OS实现瘦终端时，还须引入访问控制模型防止未经授权的访问和修改。Web应用虽然安装在服务器端，但仍存在通过特权提升达到控制系统的可能。目前的Web OS缺乏完整性验证，通过Web APIs(Application Programming Interface，应用程序编程接口)作为应用访问系统资源的唯一接口和进程通信的通道，应实施强制访问控制来保护系统资源和确保进程间的有效隔离。

现有技术中通常使用以下两种方案：一种方案是通过对开源的移动Web操作系统(Firefox OS、Tizen、Chrome OS、Ubuntu Touch)的系统架构、应用类型、应用可信级别、访问控制策略、沙箱等安全模型和安全机制的对比分析(如图1中的表格所示)；一般来说，WebOS使用基于Linux内核的自主访问控制(DAC)模型，框架层的Web API的应使用强制访问控制(MAC)模型，文件系统和其他子系统使用DAC模型。它们的安全框架设计遵循最小权限的原则，最初给予最小权限，然后在需要时选择性地授予其他权限；应用程序分为三种类型：认证、特权和Web，根据应用程序类型，对Web API具有不同的访问权限；这种方案在Web OS设计时注重的是移动性和跨平台性，对安全性要求不高，对机密性和完整性没有更高的要求，Linux内核普遍采用自主访问控制，存在未授权访问和相同类型的应用之前的信息泄露，且Web应用虽然安装在服务器端，但仍存在通过特权提升达到控制系统的可能；第二种方案是利用改进的BLP模型或Biba模型，对Web OS系统的安全模型进行重建。通常采用的方法是将两种模型改进后单独应用；或将两个模型中的核心概念--安全级和完整级分别给予一个系数(0～1之间)然后相加，得到系统新的安全级；这种方案单独的应用机密性和完整性模型，不足以满足当前复杂的操作系统应用在高安全级情况下的安全性需求，其利用安全级实现基于安全标记的强制访问控制，但是简单混合机密性和完整性可用性较差，因为很难给予一个准确的系数，且适于单机系统，对于需要网络连接的瘦终端存在不兼容的问题。

发明内容

本发明提供一种克服上述问题或者至少部分地解决上述问题的一种基于Web的移动瘦终端访问控制方法、系统及瘦终端，解决了现有技术中对安全性、机密性和完整性要求不高，而基于BLP、LBAC等模型的改进方法适用于单机系统，对于需要网络连接的瘦终端存在不兼容的问题。

根据本发明的一个方面，提供一种瘦终端访问控制方法，包括：

S1、将瘦终端Web系统中的组件抽象为访问控制模型中的元素，获取主体及客体的机密性标记集合和完整性标记集合；

S2、将系统中的操作抽象为访问模式；

S3、根据Web系统的特点定义自主访问控制策略；

S4、根据LBAC模型，结合BLP模型基于机密性、Biba模型基于完整性的强制访问控制策略，形成安全标记格，并基于安全标记格定义强制访问控制策略；

S5、通过RBAC模型对自主访问控制策略和强制访问控制策略进行配置。

作为优选的，所述步骤S1中，所述主体为活跃的进程，其由系统初启时创建，或被其他进程创建，记为S_i；所述客体包括系统中的文件、目录、特殊文件、共享内存、消息、信号量、流、管道、非活跃的进程，记为O_j；所述机密性标记集合为C＝{System,Top Secret,Secret,Confidential，Unclassified}；所述完整性标记集合为I＝{audit-level,certified,privileged,web_local,web_remote}。

作为优选的，所述步骤S1还包括：

每个进程被赋予相应的安全级别标识，以及唯一的进程标识符、用户标识符和用户组标识符；在每个主体的描述符段中都有一个段描述符字，所述段描述符字包括客体的名字，执行客体的指针，以用于读、执行、写的指示器标志。

对每个客体，具有访问许可权限位，用它来确定哪类主体可以通过何种方式对其进行访问。

作为优选的，所述步骤S2中，将系统中的操作抽象为访问模式具体包括：将只读不写操作抽象为r，只写不读抽象为a，读和写抽象为w，执行抽象为e，r。

作为优选的，所述步骤S3中具体包括：根据系统主体、客体的访问关系，建立访问矩阵M＝M_ij，M_ij表示主体S_i对客体O_j的访问模式。客体在被创建时，创建其的主体即客体的所有者，具有对该客体的全部的访问权限，即能够读取、修改、删除该客体；进而根据创建其的主体的安全级，属于同一级的主体具有读、写权限，而客体受所有者安全级支配的其他主体，具有执行或读的权限；由不同类型的Web应用创建的客体，默认只有同类型或系统应用具有对其读取和执行的访问权限。根据以上规则创建客体的访问矩阵，并定义自主访问控制策略：仅当x∈M_ij时，主体以x方式访问客体。

作为优选的，所述步骤S4中具体包括：

定义安全级别标识L＝C×I，形成安全标记格；

基于安全标记格L，进行访问控制策略定义：

主体S_i以只读方式访问客体O_j，仅当Ls_i≥Lo_j；

主体S_i以写的方式访问客体O_j，仅当Ls_i≤Lo_j。

作为优选的，所述步骤S4中，仅当满足自主访问控制策略时，执行强制访问控制策略。

作为优选的，所述步骤S5具体包括：

基于RBAC模型，为每个LBAC用户分配两个角色yR和LW，分别用于读和写，LW位于写入格的顶层，一个LBAC用户可读取安全等级较低的任何对象，每个用户可以激活任何写入角色。

一种瘦终端访问控制模型，包括自主访问控制模块、强制访问控制模块和RBAC模型；

所述自主访问控制模块用于根据DAC模型定义系统的自主访问控制策略；

所述强制访问控制模块用于根据LBAC模型，结合BLP模型基于机密性、Biba模型基于完整性的强制访问控制策略，形成安全标记格，并基于安全标记格定义强制访问控制策略；

所述RBAC模型用于为每个LBAC用户分配两个角色yR和LW，分别用于读和写，LW位于写入格的顶层，一个LBAC用户可读取安全等级较低的任何对象，每个用户可以激活任何写入角色。

一种瘦终端，所述瘦终端采用上述访问控制方法。

本申请提出一种基于Web的移动瘦终端访问控制方法、系统及瘦终端，以充分分析开源的Web OS的基础上，针对通用的架构进行抽象建模，定义模型的元素，兼顾了自主访问控制和强制访问控制，并且强制访问控制部分有效的将机密性和完整性进行统一，利用RBAC配置该策略集，能够更好的实现与云存储访问控制模型的对接，具有更好的策略一致性，使得新模型WLBAC在形式上能够适用于网络连接以及与云存储架构中应用的ABAC等安全模型匹配。

附图说明

图1为现有技术中Web操作系统的系统架构、应用类型、应用可信级别、访问控制策略、沙箱等安全模型和安全机制的对比分析示意图；

图2为现有技术中三种访问控制模型及采用规则示意图；

图3为根据本发明实施例1的瘦终端访问控制方法流程图；

图4为根据本发明实施例1的强制访问控制机制示意图；

图5为根据本发明实施例1的RBAC模型中层次为2的偏序格示意图；

图6为根据本发明实施例1的RBAC模型中图5格的角色层次表示示意图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

富终端(Rich Client)，即智能终端，它利用具有丰富的软、硬件功能的终端，能够为用户提供强大的应用功能和更高和更全方位的使用体验。。移动富终端常见的是使用Android、iOS，Window Phone等操作系统。

瘦终端(Thin Client)作为应用程序平台的Internet的到来为企业应用程序提供了一个全新的领域：一个基于Internet的应用程序运用在一个类似浏览器的瘦终端。这个浏览器负责解释、显示和处理应用程序的图形用户界面(GUI)和它的数据。这样的一个应用程序只需要被安装在一个Web服务器上，在服务器端进行统一的管理和更新。普通客户端会尽可能多地进行本地数据处理，与服务器(或其他客户端)的通信中只传送必要的通信数据。

零终端(zero client)也叫做超薄客户端(ultrathin client)，它是一种基于服务器的计算模式零终端的只为用户提供屏幕显示功能，没有很多的配置选项，不存储任何信息也没有本地操作系统。零终端的价格往往比瘦终端更便宜而且占用的资源更少，因为它的CPU计算能力更低。零终端在本质上是一张白纸，IT管理员能够直接将其分发给员工，不用像对待更复杂的设备那样，预先配置或者提供太多现场支持。

富终端具有操作系统能够提供丰富的功能，但存在个人信息与办公信息共存、监管复杂化等问题。零终端则是一种精巧别致的无CPU，无内存，无硬盘“零”终端的网络计算机；而瘦终端介于富终端和零终端之间，也具有操作系统、CPU、摄像头、应用程序等，并利用远程服务器实现云存储与集中管理。与零终端(只提供显示功能)相比更灵活，提供更多的外设支持和更强的移动办公能力，并可配置以适合多协议环境。

在计算机系统中，认证、访问控制和审计共同建立了保护系统安全的基础。认证是用户进入系统的第一道防线，访问控制是鉴别用户的合法身份后，控制用户对数据信息的访问。访问控制是在身份认证的基础上，依据授权对提出请求的资源访问请求加以控制。访问控制是一种安全手段，既能够控制用户和其他系统和资源进行通信和交互，也能保证系统和资源未经授权的访问，并为成功认证的用户授权不同的访问等级。

访问控制包含的范围很广，它涵盖了几种不同的机制，因为访问控制是防范计算机系统和资源被未授权访问的第一道防线，具有重要地位。提示用户输入用户名和密码才能使用该计算机的过程是基本的访问控制形式。一旦用户登录之后需要访问文件时，文件应该有一个包含能够访问它的用户和组的列表。不在这个表上的用户，访问将会遭到拒绝。用户的访问权限主要基于其身份和访问等级，访问控制给予组织控制、限制、监控以及保护资源的可用性、完整性和机密性的能力。

访问控制模型是一种从访问控制的角度出发，描述安全系统并建立安全模型的方法。主要描述了主体访问客体的一种框架，通过访问控制技术和安全机制来实现模型的规则和目标。可信计算机系统评估准则(TCSEC)提出了访问控制在计算机安全系统中的重要作用，TCSEC要达到的一个主要目标就是阻止非授权用户对敏感信息的访问。如图2所示，访问控制在准则中被分为两类：自主访问控制(DiscretionaryAccess Control,DAC)和强制访问控制(Mandatory Access Control，MAC)。

自主访问控制(Discretionary Access Control，DAC)是这样的一种控制方式，由客体的属主对自己的客体进行管理，由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体，这种控制方式是自主的。也就是说，在自主访问控制下，用户可以按自己的意愿，有选择地与其他用户共享他的文件。DAC是保护计算机资源不被非法访问的有效手段，也是最常用的访问控制机制，其卓越的灵活性使其广泛运用于各种操作系统和应用程序中。它通过使用访问控制列表ACL授予主体对客体的访问权限。在这种机制下，拥有客体的主体可以根据自己的需求指定系统中能够对该对象进行访问的主体，以及这些主体对该客体的访问权限；此外，具有某种访问权限的主体更可以直接或者间接地将其拥有的权限或者权限子集授予其他主体。

强制访问控制(Mandatory Access Control，MAC)，用于将系统中的信息分密级和类进行管理，以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。通俗的来说，在强制访问控制下，用户(或其他主体)与文件(或其他客体)都被标记了固定的安全属性(如安全级、访问权限等)，在每次访问发生时，系统检测安全属性以便确定一个用户是否有权访问该文件。它是一种强有力的访问控制手段，它使用户与文件都有一个固定的安全属性，系统利用安全属性来决定一个用户是否可以访问某种资源。这种访问控制方式也叫指定型访问控制方式，它对用户、资源按密级和部门进行划分，对访问的类型也按读、写等划分。所谓“指定”，就是对资源的访问权不是由资源的所有者来决定，而是由系统的安全管理者来决定，往往用以限制数据从高密级流向低密级，从一个部门流向另一个部门。它可以保证系统的保密性和完整性。

基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问，强制访问)的有前景的代替受到广泛的关注。在RBAC中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中，角色是为了完成各种工作而创造，用户则依据它的责任和资格来被指派相应的角色，用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限，而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。

Bell-lapadula是20世纪70年代，美国军方提出的用于解决分时系统的信息安全和保密问题，该模型主要用于防止保密信息被未授权的主体访问。使用Bell-lapadula模型的系统会对系统的用户(主体)和数据(客体)做相应的安全标记，因此这种系统又被称为多级安全系统，级别和模型用于限制主体对客体的访问操作，该模型用于加强访问控制的信息保密性。Bell-lapadula使用主体、客体、访问操作(读、写和读/写)以及安全级别这些概念，当主体和客体位于不同的安全级别时，主体对客体就存在一定的访问限制。实现该模型后，它能保证LBAC(Layer-Based Access Control，基于格的访问控制)信息不被非授权主体所访问；当安全级别为“机密”的主体访问安全级别为“绝密”的客体时，主体对客体可写不可读；当安全级别为“机密”的主体访问安全级别为“机密”的客体时，主体对客体可写可读；当安全级别为“机密”的主体访问安全级别为“秘密”的客体时，主体对客体可读不可写。

Biba模型是在Bell-lapadula模型之后开发的，它跟Belllapadula模型很相似，被用于解决应用程序数据的完整性问题。Bell-lapadula使用安全级别(绝密、机密和秘密等)，这些安全级别用于保证敏感信息只被授权的个体所访问，而Biba模型不关心信息保密性的安全级别，因此它的访问控制不是建立在安全级别上，而是建立在完整性级别上。Biba模型能够防止数据从低完整性级别流向高完整性级别，跟Bell-lapadula一样，Biba模型也有3条规则提供这种保护，当完整性级别为“中完整性”的主体访问完整性级别为“高完整性”的客体时，主体对客体可读不可写，也不能调用主体的任何程序和服务；当完整性级别为“中完整性”的主体访问完整性级别为“中完整性”的客体时，主体对客体可写可读；当完整性级别为“中完整性”的主体访问完整性级别为“低完整性”的客体时，主体对客体可写不可读。

实施例1

在本实施例中，如图3所示，一种瘦终端访问控制方法，包括：

S1、将移动瘦终端Web系统中的组件抽象为访问控制模型(DAC)中的元素，获取主体及客体的机密性标记集合和完整性标记集合；

S2、将系统中的操作抽象为访问模式；

S3、根据Web系统特点定义自主访问控制策略；

S4、根据LBAC模型，结合BLP模型基于机密性、Biba模型基于完整性的强制访问控制策略，形成安全标记格，并基于安全标记格定义强制访问控制策略；

S5、通过RBAC模型对自主访问控制策略和强制访问控制策略进行配置。

作为优选的，所述步骤S1中，所述主体为进程，其由系统初启时创建，或被其他进程创建，记为S_i；所述客体包括系统中的文件、目录、特殊文件、共享内存、消息、信号量、流、管道、进程，记为O_j；所述机密性标记集合为C＝{System-系统,Top Secret-绝密,Secret-秘密Confidential-机密，Unclassified-无密级}；所述完整性标记集合为I＝{audit-level,certified,privileged,web_local,web_remote}。

在本实施例中，所述步骤S1还包括：

每个进程被赋予相应的安全级别标识，以及一个唯一的进程标识符(PID)、用户标识符(UID)和用户组标识符(GID)；

对每个客体，在每个主体的描述符段中都有一个段描述符字(Segmentdescriptor word,SDW)，所述段描述符字包括客体的名字，执行客体的指针，以用于读、执行、写的指示器(indicator)标志。

作为优选的，所述步骤S2中，将系统中的操作抽象为访问模式具体包括：将只读不写操作抽象为r，只写不读抽象为a，读和写抽象为w，执行抽象为e，r；如下表所示：

在上式中，如只读访问在系统中其实是允许进程(PID)以只读方式访问数据段(Segment-ID，SID)。这一过程中，需要检查：访问控制列表中对应该PID的访问模式是否为r；安全级列表中PID的安全级是否支配SID的安全级；PID是否是可信主体，或PID的当前安全级支配SID的安全级；且该数据段不能存储在病毒保护区Ov中。当满足以上条件时，SID被加入到PID的段描述字段，标记为只读，并由一个ptr指向SID。

BLP和Biba的核心思想是扩充自主访问控制(DAC)，用强制访问控制(MAC)实施信息流控制策略。在实际系统中DAC和MAC策略通常同时使用，其中MAC仅在满足DAC(如访问矩阵M)的检查之后才执行。在本实施例中，所述步骤S3中具体包括：根据系统主体、客体的访问关系，建立访问矩阵M＝M_ij，M_ij表示主体S_i对客体O_j的访问模式，并定义自主访问控制策略：仅当x∈M_ij时，主体以x方式访问客体。

在本实施例中，MAC策略的判断主要基于主体和客体的安全标记，判断机制如图4所示，f_s(S_i)、f_o(O_j)分别表示主体、客体的机密级，i(S_i)、i(O_j)分别表示主体、客体的完整级，如当f_s(S_i)≥f_o(O_j)且i(S_i)≤i(O_j)时，主体可以读客体；当f_s(S_i)≤f_o(O_j)且i(S_i)≥i(O_j)，主体可以写入客体。

在兼顾机密性和完整性的同时，出现了BLP模型和Biba模型信息流相反的矛盾，因此，安全标记L的判断基于格的性质进行；所述步骤S4中具体包括：

基于安全标记格L，进行访问控制策略定义：

简单安全性：主体S_i以只读方式访问客体O_j，仅当Ls_i≥Lo_j；

*特性：主体S_i以写的方式访问客体O_j，仅当Ls_i≤Lo_j。

作为优选的，所述步骤S4中，仅当满足自主访问控制策略时，执行强制访问控制策略。

在基于格的访问控制(LBAC)模型中，具有格中较高级标签的主体具有更高的读权限，但具有较小的写权限；而RBAC模型的角色层次中的主体(即会话)具有较高层次的角色拥有更多权利。为了适应格的双面性，用RBAC来配置LBAC类模型需要两个对偶的层次，一个读，一个写。

以一个角色层次为2的格为例，配置原理如图5所示，图5的格在图6中示出，每个格标签y被建模为两个角色，分别用于读和写的yR和yW。在图6的左侧和右侧分别示出了四个读取角色和四个写入角色之间的关系，且图左和右的格是对偶的。

作为优选的，在本实施例中，所述步骤S5具体包括：

基于RBAC模型，为每个LBAC用户分配两个角色yR和LW，分别用于读和写，LW位于写入格的顶层，一个LBAC用户可读取安全等级较低的任何对象，每个用户可以激活任何写入角色。

为了完成构建，我们需要实施适当的约束以反映WLBAC中的主体的标签。WLBAC中的每个用户都有唯一的安全级，这是要求RBAC96中给每个用户分配恰好两个角色yR和yW来实现。WLBAC用户可以在由用户安全级所支配的任何标签上登录，在RBAC96中通过要求每个会话具有恰好两个匹配角色zR和zW来完成要求；当y≥z，即用户的安全级支配用户登录创建的会话的安全级，这并不是显式要求的，因为它是由RBAC结构直接实施的。凭借LW的成员资格，每个用户可以激活任何写入角色(LW位于写入格的顶层)。但是，在特定会话中激活的写入角色必须与会话的读取角色相匹配。因此，在这个结构中利用了RBAC的角色层次和约束。

实施例2

在本实施例中，示出了一种瘦终端访问控制模型，包括自主访问控制模块、强制访问控制模块和RBAC模型；

所述自主访问控制模块用于根据DAC模型定义系统的自主访问控制策略；主体为系统中的进程，其由系统初启时创建，或被其他进程创建，记为S_i；所述客体包括系统中的文件、目录、特殊文件、共享内存、消息、信号量、流、管道、进程，记为O_j；所述机密性标记集合为C＝{System-系统,Top Secret-绝密,Secret-秘密Confidential-机密，Unclassified-无密级}；所述完整性标记集合为I＝{audit-level,certified,privileged,web_local,web_remote}。

系统中每个进程被赋予相应的安全级别标识，以及一个唯一的进程标识符(PID)、用户标识符(UID)和用户组标识符(GID)；

对每个客体，在每个主题的描述符段中都有一个段描述符字(Segmentdescriptor word,SDW)，所述段描述符字包括客体的名字，执行客体的指针，以用于读、执行、写的指示器(indicator)标志。

将系统中的操作抽象为访问模式具体包括：将只读不写操作抽象为r，只写不读抽象为a，读和写抽象为w，执行抽象为e，r；如下表所示：

在上式中，如只读访问在系统中其实是允许进程(PID)以只读方式访问数据段(Segment-ID，SID)。这一过程中，需要检查：访问控制列表中对应该PID的访问模式是否为r；安全级列表中PID的安全级是否支配SID的安全级；PID是否是可信主体，或PID的当前安全级支配SID的安全级；且该数据段不能存储在病毒保护区Ov中。当满足以上条件时，SID被加入到PID的段描述字段，标记为只读，并由一个ptr指向SID。

BLP和Biba的核心思想是扩充自主访问控制(DAC)，用强制访问控制(MAC)实施信息流控制策略。在实际系统中DAC和MAC策略通常同时使用，其中MAC仅在满足DAC(如访问矩阵M)的检查之后才执行。在本实施例中，根据系统主体、客体的访问关系，建立访问矩阵M＝M_ij，M_ij表示主体S_i对客体O_j的访问模式，并定义自主访问控制策略：仅当x∈M_ij时，主体以x方式访问客体。

所述强制访问控制模块用于根据LBAC模型，结合BLP模型基于机密性、Biba模型基于完整性的强制访问控制策略，形成安全标记格，并基于安全标记格定义强制访问控制策略；

在本实施例中，MAC策略的判断主要基于主体和客体的安全标记，判断机制如图4所示，f_s(S_i)、f_o(O_j)分别表示主体、客体的机密级，i(S_i)、i(O_j)分别表示主体、客体的完整级，如当f_s(S_i)≥f_o(O_j)且i(S_i)≤i(O_j)时，主体可以读客体；当f_s(S_i)≤f_o(O_j)且i(S_i)≥i(O_j)，主体可以写入客体。

在兼顾机密性和完整性的同时，出现了BLP模型和Biba模型信息流相反的矛盾，因此，安全标记L的判断基于格的性质进行；所述步骤S4中具体包括：

基于安全标记格L，进行访问控制策略定义：

简单安全性：主体S_i以只读方式访问客体O_j，仅当Ls_i≥Lo_j；

*特性：主体S_i以写的方式访问客体O_j，仅当Ls_i≤Lo_j。

所述RBAC模型用于为每个LBAC用户分配两个角色yR和LW，分别用于读和写，LW位于写入格的顶层，一个LBAC用户可读取安全等级较低的任何对象，每个用户可以激活任何写入角色。

为了完成构建，我们需要实施适当的约束以反映WLBAC中的主体的标签。WLBAC中的每个用户都有唯一的安全级，这是要求RBAC中给每个用户分配恰好两个角色yR和yW来实现。WLBAC用户可以在由用户安全级所支配的任何标签上登录，在RBAC中通过要求每个会话具有恰好两个匹配角色zR和zW来完成要求；当y≥z，即用户的安全级支配用户登录创建的会话的安全级，这并不是显式要求的，因为它是由RBAC96结构直接实施的。凭借LW的成员资格，每个用户可以激活任何写入角色(LW位于写入格的顶层)。但是，在特定会话中激活的写入角色必须与会话的读取角色相匹配。因此，在这个结构中利用了RBAC96的角色层次和约束。

实施例3

本实施例中还提供了一种瘦终端，所述瘦终端采用实施例1中的访问控制方法进行访问控制。

本申请提出一种基于Web的瘦终端访问控制方法、系统及瘦终端，以充分分析开源的Web OS的基础上，针对通用的架构进行抽象建模，定义模型的元素，兼顾了自主访问控制和强制访问控制，并且强制访问控制部分有效的将机密性和完整性进行统一，利用RBAC配置该策略集，能够更好的实现与云存储访问控制模型的对接，具有更好的策略一致性，使得新模型在形式上能够适用于网络连接以及与云存储架构中应用的ABAC等安全模型匹配。

最后，本申请的方法仅为较佳的实施方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (5)

1.一种移动瘦终端访问控制方法，其特征在于，包括：

S1、将移动瘦终端Web系统中的组件抽象为自主访问控制DAC模型中的元素，获取主体及客体的机密性标记集合和完整性标记集合；所述主体为活跃的进程，其由系统初启时创建，或被其他进程创建，记为S_i；所述客体包括系统中的文件、目录、特殊文件、共享内存、消息、信号量、流、管道、非活跃的进程，记为O_j；所述机密性标记集合为C＝{System,TopSecret,Secret,Confidential，Unclassified}；所述完整性标记集合为I＝{audit-level,certified,privileged,web_local,web_remote}；

S2、将系统中的操作抽象为访问模式，具体包括：将只读不写操作抽象为r，只写不读抽象为a，读和写抽象为w，执行抽象为e，r；

S3、根据Web系统的特点定义自主访问控制策略；其中，根据系统主体、客体的访问关系，建立访问矩阵M＝M_ij，M_ij表示主体S_i对客体O_j的访问模式，并定义自主访问控制策略：仅当x∈M_ij时，允许主体以x方式访问客体；

S4、根据LBAC模型，结合BLP模型基于机密性、Biba模型基于完整性的强制访问控制策略，形成安全标记格，并基于安全标记格定义强制访问控制策略，具体包括：

定义安全级别标识L＝C×I，两个集合的笛卡儿积构成集合L中的元素，所述安全级别标识满足格结构特点，也称为安全标记格；

基于安全标记格L，进行访问控制策略定义：

主体S_i以只读方式访问客体O_j，仅当Ls_i≥Lo_j；

主体S_i以写的方式访问客体O_j，仅当Ls_i≤Lo_j；

S5、通过RBAC模型对自主访问控制策略和强制访问控制策略进行配置，具体包括：基于所述RBAC模型，为每个LBAC用户分配两个角色yR和LW，分别用于读和写，LW位于写入格的顶层，一个LBAC用户可读取安全等级较低的任何对象，每个用户可以激活任何写入角色。

2.根据权利要求1所述的移动瘦终端访问控制方法，其特征在于，所述步骤S1还包括：

每个所述进程被赋予相应的安全级别标识，以及唯一的进程标识符、用户标识符和用户组标识符；在每个主体的描述符段中都有一个段描述符字，所述段描述符字包括客体的名字，执行客体的指针，以用于读、执行、写的指示器标志；

对每个客体，具有访问许可权限位，用它来确定哪类主体可以通过何种方式对其进行访问。

3.根据权利要求1所述的移动瘦终端访问控制方法，其特征在于，所述步骤S4中，仅当满足自主访问控制策略时，执行强制访问控制策略。

4.一种移动瘦终端，其特征在于，所述瘦终端采用如权利要求1至3任一所述的访问控制方法进行访问控制。

5.一种移动瘦终端访问控制系统，其特征在于，包括自主访问控制模块、强制访问控制模块和RBAC模块；

所述自主访问控制模块用于根据自主访问控制DAC模型定义系统的自主访问控制策略；获取主体及客体的机密性标记集合和完整性标记集合，所述主体为活跃的进程，其由系统初启时创建，或被其他进程创建，记为S_i；所述客体包括系统中的文件、目录、特殊文件、共享内存、消息、信号量、流、管道、非活跃的进程，记为O_j；所述机密性标记集合为C＝{System,Top Secret,Secret,Confidential，Unclassified}；所述完整性标记集合为I＝{audit-level,certified,privileged,web_local,web_remote}；

每个所述进程被赋予相应的安全级别标识，以及唯一的进程标识符、用户标识符和用户组标识符；在每个主体的描述符段中都有一个段描述符字，所述段描述符字包括客体的名字，执行客体的指针，以用于读、执行、写的指示器标志；

对每个客体，具有访问许可权限位，用它来确定哪类主体可以通过何种方式对其进行访问；

所述强制访问控制模块用于根据LBAC模型，结合BLP模型基于机密性、Biba模型基于完整性的强制访问控制策略，形成安全标记格，并基于安全标记格定义强制访问控制策略，具体包括：

定义安全级别标识L＝C×I，两个集合的笛卡儿积构成集合L中的元素，所述安全级别标识满足格结构特点，也称为安全标记格；

基于安全标记格L，进行访问控制策略定义：

主体S_i以只读方式访问客体O_j，仅当Ls_i≥Lo_j；

主体S_i以写的方式访问客体O_j，仅当Ls_i≤Lo_j；

所述RBAC模块用于为每个LBAC用户分配两个角色yR和LW，分别用于读和写，LW位于写入格的顶层，一个LBAC用户可读取安全等级较低的任何对象，每个用户可以激活任何写入角色。

Images