[发明专利]一种针对综合化航电系统的分区间安全访问控制方法

说明书

技术领域

本发明涉及一种针对综合化航电系统的分区间安全访问控制方法。

背景技术

航空电子系统综合化后，在提高飞机作战能力的同时，各子系统之间相互联网通信，资源高度共享、数据高度耦合、软件高度密集，同时也带来巨大的安全隐患。主要体现在：由于软件规模的急剧膨胀，降低了其可靠性；由于资源高度共享，容易使其受到非法访问。因此，将安全的集中式管理改为模块化管理以降低软件规模，根据安全级别分离数据来保证不同安全级别的应用可以运行在同一系统中，成为亟需解决的问题。

发明内容

本发明提出一种针对综合化航电系统的分区间安全访问控制方法，能够根据安全级别分离数据来保证不同安全级别的应用可以运行在同一系统中，保证模块内和模块间分区间安全通信。

本发明的基本技术方案如下：

一种针对综合化航电系统的分区间安全访问控制方法，包括以下环节：

（1）配置信息流权限和安全等级

（1.1）建立自主安全访问矩阵，即分区间是否允许通信；

（1.2）配置分区的安全等级信息，根据分区的安全等级给消息添加相应等级的安全标签；

（2）当接收到访问请求时，检查消息是否有安全标签，如果无安全标签，则MMR根据（1.2）中的配置信息获取访问请求的源分区的安全等级，给消息贴上安全等级标签；MMR判断是模块内通信还是模块间通信，如果是模块间通信进入（2.1），如果是模块间通信进入（2.2）；

（2.1）模块间通信：如果是源模块，把消息发送出去，流程结束；如果是目的模块，则MMR直接把消息转发给Guard，进入（3）流程；

（2.2）模块内通信：首先访问MMR中建立的决策缓存，决策缓存用于记录分区间是否允许通信的标志，如果缓存中有记录，根据记录直接把消息发送到目的分区或者拒绝访问，流程结束；如果策略缓存中没有记录，MMR首先根据（1.1）中的配置信息判断是否允许此分区间通信，如果允许，发送消息到Guard，进入（3）流程，如果否，拒绝此次通信，流程结束；

（3）Guard通过消息中带的安全标签获取发送分区的安全等级，通过（1.2）中的配置信息获取目的分区的安全等级；获取安全等级后，判断源分区的安全等级是否小于目的分区的安全等级，将判断结果传送给MMR：如果是，则允许通信，访问请求内容被路由到目的分区；如果否，则拒绝通信，返回错误消息；同时MMR将结果存在决策缓存中。

在上述步骤（2）中MMR判断模块内通信和模块间通信的具体实现方式可以是：根据消息接收的通道号判断是模块内还是模块间通信。

本发明具有以下优点：

本发明针对广泛应用于综合化电子系统的安全嵌入式系统提出了基于分区系统的访问控制模型，不仅实现了自主访问控制和强制访问控制相结合，还解决了策略实施与决策的分离、不同访问控制粒度间安全策略分离的问题。为设计航电系统安全平台提供技术支持，进而便于开发出一个成熟、实用的安全操作系统。

附图说明

图1为本发明设计的MMR模块结构。

图2示例了实体A发送消息到实体B的路径。

具体实施方式

本发明提出一种针对综合化航电系统的分区间安全访问控制方法，设计了安全组件MILS消息路由器(MMR)和Guard。

一、MMR

a)标签管理：这个模块的主要功能是给消息打上安全标签，如果是模块间通信，给消息打上发送分区的安全等级标签。

b)策略管理：这个只在模块内通信有用，依据访问控制矩阵判断是否符合分区间自主安全策略，如果允许，分区间通信消息路由到Guard进行判断（根据安全标签），Guard把判断结果传给MMR，MMR根据Guard的判断结果决定是否路由消息到目的分区，并且把判断结果记录在决策缓存中。

c)路由管理：在允许通信的情况下，如果是模块内通信，消息被路由到目的分区；如果是模块间通信，消息被路由到指定分区。

访问控制矩阵包括三个要素：即主体，客体和是否可以通信。主体是发出请求的分区；客体是接收请求的分区；如果可以通信，对应的通信标识为1，反之为0。

二、Guard

Guard根据分区MLS（多级安全）策略执行强制访问控制，MLS策略是：只有源分区的安全等级小于目的分区的安全等级，才允许此分区间通信。

图2说明了实体A发送消息到实体B的路径。图中1、2、3、4分别表示以下路径。