来源：微计算机信息  作者：赵跃华 蒋军 蔡贵贤

摘  要： 针对嵌入式计算机应用领域中越来越突出的信息安全问题。本文以uCOSII操作系统为基础，在其上增加了强制访问控制MAC模块。模块参照BLP安全模型，根据uCOSII特性设计出BLP修正模型，实现了对系统的强制存取控制。

关键字：强制访问控制 安全模型 安全操作系统

1引言

随着嵌入式计算机应用的日益普及，特别是嵌入式设备不断的网络化、智能化，嵌入式计算机的安全就成为一个急待解决的问题。许多嵌入式计算机处理的信息涉及到国家政治经济安全，工商业情报等，不采取有效的安全防范措施，一旦受到攻击将造成巨大的损失。

在计算机系统中，安全机制的重要内容就是存取控制。一般存在二种存取控制形式：自主访问控制和强制访问控制。

自主访问控制具有很大的缺陷性。由于它的“自主”能力，从理论上讲根本不可能建立对特洛伊木马的有效防护机制。而强制访问控制MAC则强制性严格规定各个客体属性，实现了信息的单向流通，可以有效的抵制特洛伊木马的攻击。

2MAC控制模型

2.1 强制访问控制MAC简介

在强制访问控制下，系统中的每个进程，每个文件和每个IPC客体(消息，信号量和共享区域)都被赋予了相应的安全属性，这些属性是有安全管理员或者系统自动生成的，是不能随意改变的。主体对任何客体的访问要求，必须经过MAC访问控制模块的检测。如图1所示。

图1  MAC结构示意图

2.2 形式化安全模型BLP

本文采用的MAC安全模型将基于改进的BLP模型（Bell－LaPadula Module）的安全策略包括二部分：自主安全策略和强制安全策略。模型认为系统中的活动使系统状态不断变化，但是必须保持所有的状态都是系统安全状态。由此定义所有系统状态的转换规则必须保持简单安全性，*特性和自主安全性。

与BIBA模型（BIBA Module）相反，BLP模型主要注重保密性控制，控制信息从低安全级传向高安全级，但是缺少完整性的控制，其“向上写”规则存在潜在的危险，它不能够有效的限制隐通道。因此对其规则中所有涉及到可能对客体内容进行改动的操作以更严格控制，修改后规则如下：

(O∈b(S:a))=>(fo(O)=fc(S))

(O∈b(S:w))=>(fo(O)=fc(s))

(O∈b(S:r))=>(fo(S)>fc(O))

(O∈b(S:c))=>(fo(O)<fc(S))

(O∈b(S:x))=>(fo(S)>fc(O))

其中：

S表示主体：用户，进程等；

O表示客体：文件，信号量等；

主体对客体的访问属性A分为：r（只读），a（只写），w（读写），x（执行）和c（控制）；

b （S×O×A）表示某个特定状态下，主体以何方式访问客体；

fo表示客体的安全级函数；

fc表示主体当前的安全级函数；

可以看出根据修改后的规则当进行只写操作时，主体必须具有与客体相同的安全属性。

2.3 BLP模型在uCOSII中的应用

为了使BLP在uCOSII中运用，必须进行模型与uCOSII的对应性分析。下面我们将讨论模型的系统状态，状态转换和系统安全状态初始化在uCOSII中的对应实施方式。

2.3.1 BLP模型的系统状态

系统状态是集合V=(B×M×F×H)中的元素。其中B是S×O×A的集合，在uCOSII中主体S只有进程，当用户登录后，所有由用户发起的进程都会继承用户的安全级。uCOSII系统中客体O主要有进程，文件，共享内存，消息和信号量。模型的访问权限集由r（读），a（追加写），w（写），x（执行）和－（空）组成。在uCOSII中把追加写也认为是写，所以访问权限集由四个属性组成。

uCOSII中存取控制矩阵M将通过每个客体属性中16bit的保护模式实现。而安全级别函数F由赋予主体的当前安全级别和赋予客体的安全级别组成。安全级别是由密级和域二部分组成的。密级共分为三级：top secret，secret和unsecret。域分为用户空间域，系统管理域和安全控制域。

uCOSII是一个嵌入式的系统，我们采用的文件系统将是一个一级目录的文件系统。所以对于文件不存在客体层次结构H。

2.3.2 BLP模型的状态转换

模型要求状态转换的任一规则都要保持系统安全状态。uCOSII系统中的状态转换都是通过系统调用实施的。系统中定义了基本的调用接口。当出现调用时，系统通过软中断下陷到安全控制域中完成操作，以保证状态的安全。

2.3.3 BLP模型的安全状态初始化

uCOSII系统的安全初始化是在系统常规服务启动以前完成的。主要包括：

① MAC机制和DAC机制的初始化。

② 系统中客体安全属性的配置与检测。

③ 审计跟踪机制的启动和日志数