(一)技術領域

本發明屬于安全操作系統領域，是一種利用強制訪問技術、可信計算技術等實現可信應用環境的構建方法，該方法不僅能夠實現自我保護，而且還能為系統上層應用提供安全、可信運行環境，維持應用的可信狀態。

(二)背景技術

應用環境是用戶的工作環境，是應用代理用戶行使權限、執行任務的場所，隨著信息化的推進，特別是網絡的發展，使得各種新的應用層出不窮，應用環境變得越來越復雜，而應用環境的可信性直接影響著整個信息系統的安全性。如果應用環境不可信，應用在運行的過程當中就可能遭受來自環境中的惡意干擾或者攻擊，一旦潛伏在應用程序中這種安全漏洞被利用，整個信息系統將面臨被破壞的危險。因此，構建可信應用環境，不僅可以保護信息系統的完整性、應用的可用性，而且能為信息系統的整體安全提供保障。

我國重要信息系統遵循等級保護制度，而訪問控制技術則是等級保護制度的核心內容。國標GB17859-1999規定，三級以上的信息系統，普遍要求強制訪問控制技術。在強制訪問控制機制下，系統中的每個進程、每個文件客體都被賦予了相應的安全屬性(安全標記)，這些安全屬性是不能隨意改變的。當一個應用進程訪問一個客體時，就要調用強制訪問控制機制，根據相應的訪問方式，比較進程的安全屬性和客體的安全屬性，從而確定是否允許訪問。強制訪問技術要求系統中的每一個主客體都要進行安全標記，而安全標記一般包括級別和類別兩個方面。

強制訪問技術的實現一般基于兩種安全策略模型，即BLP保密性模型和Biba的完整性模型，而可信應用環境的構建主要的目標是保護環境中的應用不受外界的惡意干擾，保障其能夠按照預期行為運行，因此，本專利主要考慮對客體文件的完整性標記，即使用Biba模型進行安全標記。Biba模型的訪問規則如下：

當主體的類別范疇包含于客體的類別范疇，并且主體的完整性級別高于客體的完整性級別時，主體可以寫客體。

當主體的類別范疇包含于客體的類別范疇，并且主體的完整性級別低于客體的完整性級別時，主體可以讀客體。

可信計算技術是當前的熱點，可信計算提出了信任鏈傳遞的概念，利用可信鏈傳遞技術，可以保證信任從硬件到操作系統的可信，而可信計算技術的可信度量只能保證應用的初態可信，但是如何保證應用的運行時信任度不衰減，從而把信任延伸到應用系統，維持信任鏈的傳遞是構建可信應用環境面臨的挑戰。

許多Linux操作系統發行版本，都是由基本系統和很多軟件包構成的，每個不同的應用程序包括應用程序運行所依賴的工具或庫文件都是以軟件包的形式提供給用戶的，軟件包通常包含了應用程序、相關配置以及一些運行所使用的庫文件等等。常用的軟件包格式有兩種，Red?Hat、Fedora等發行版本使用RPM；Debian和Ubuntu使用.deb格式。軟件包之間存在著依賴關系，這些依賴關系形成一個邏輯樹結構，一個軟件包在這個邏輯樹結構中有自己的位置，僅當樹中它的所有后代節點相對的軟件包都正確安裝時，軟件包所支持的應用程序才能正確運行。系統所提供的應用安裝流程實際上是安裝一個特定的軟件包以及安裝這個軟件包所依賴的其它軟件包。

(三)發明內容

本發明的目的在于提供一種基于強制訪問控制技術的可信應用環境的構建方法，以實現對系統所支持不同應用的安全域劃分并且進行隔離保護，減少或者屏蔽環境中其它應用非預期的干擾，以保持應用在運行的過程當中的安全可信狀態。

為達到上述目的，本發明的技術方案是這樣實現的：

1.一種基于強制訪問控制技術的可信應用環境的構建方法，包括應用安裝包的完整性標記和實現應用安全隔離兩部分，應用安裝包的完整性標記部分使用分級分類的標記規則來描述操作系統環境軟件包之間的依賴關系，即當系統選定要支持的n個應用后，通過相關的軟件包管理工具就能得到能使這些應用正常運行時所依賴的所有軟件包，并且可以建立這些軟件包依賴關系的數據庫，這些復雜的軟件包關系可以建立一個邏輯樹，使用特定的標記算法對軟件包依賴邏輯樹進行分級分類。具體的標記步驟分為級別標記和類別標記兩部分：

其構建方法如下：

步驟一：級別標記，即將基本系統標為最高級別，根據軟件包的依賴關系，從基本系統開始進行逐層遍歷，完成對系統所有軟件包的級別標記，用級別標記為系統軟件包劃分完整級別，確保依賴關系只存在于低完整級別和高完整級別之間。