一、GB17859第三级（安全标记保护级）与第四级（结构化保护级）的核心区别

1. 设计目标差异

• 第三级：实现安全标记保护，主要关注机密性保护，强调用户身份标识、自主访问控制和强制访问控制（侧重机密性），审计能力提升，具备可信通路。
• 第四级：实现结构化保护，不仅关注机密性，还强调完整性保护，系统需具备形式化安全模型支持，隐蔽通道分析成为必选项，安全功能与保证能力并重。

2. 安全模型与机制的完整性

• 第三级：

  • 支持DAC（自主访问控制）和MAC（强制访问控制）
  • MAC以机密性为主（如MLS模型）
  • 无完整性强制访问控制要求
  • 隐蔽通道分析不做强制要求

• 第四级：

  • 同时具备机密性MAC（DMLR_MLS模型）和完整性MAC（DTE_IPM模型）
  • 引入最小特权控制模型（PCM_RBPC）
  • 必须进行隐蔽通道分析并处理
  • 支持多策略共存与协作

3. 访问控制维度

• 第三级：主体与客体均有安全标记，控制规则为“读下写上”（Bell-LaPadula模型）。
• 第四级：除了安全标记，还引入域（Domain）与型（Type） 概念，实现域隔离与型访问控制，适用于完整性保护（如Clark-Wilson模型思想）。

4. 可信计算基（TCB）结构

• 第三级：TCB结构相对简单，安全功能模块化但未强制形式化验证。
• 第四级：TCB必须结构化，关键安全机制需形式化描述与验证，支持策略动态加载与吊销。

5. 隐蔽通道处理

• 第三级：不要求。
• 第四级：必须分析、标识、测量带宽，并进行消除、审计或加噪处理。

---

二、安胜OS v3.0 与 v4.0 的设计对比

1. 安全目标对照

• v3.0：对标GB17859第三级，实现：

  • 标识与鉴别
  • DAC + 机密性MAC
  • 最小特权管理
  • 可信通路
  • 审计
  • 客体重用

• v4.0：对标GB17859第四级，新增或增强：

  • 完整性MAC（DTE_IPM模型）
  • 隐蔽通道分析（回溯搜索法）
  • 密码服务集成（硬件加密卡、加密文件系统）
  • 多策略共存框架（ELSM结构）
  • 形式化安全模型（三个新模型）

2. 关键技术实现对比

功能模块	安胜OS v3.0	安胜OS v4.0
访问控制	DAC + 机密性MAC（MLS）	DAC + 机密性MAC（DMLR_MLS） + 完整性MAC（DTE_IPM）
特权管理	角色初步划分（SSO、AUD、SOP、NET）	基于RBAC+DTE的PCM_RBPC模型，支持域隔离与动态授权
隐蔽通道	未处理	回溯搜索法标识18条通道，并做消除/审计/加噪
密码服务	无或基础支持	支持国家密码算法（QC）、硬件加密卡、加密文件系统
策略框架	单一策略实施	多策略共存（ELSM）、策略组合器（否定优先、权值表决等）
审计能力	基础审计采集	增强审计，覆盖隐蔽通道与密码操作

3. 多策略共存与决策机制（v4.0特有）

• 问题：多种安全策略（如DAC、MAC、完整性、特权控制）可能冲突。
• 解决方案：引入ELSM框架，包含：
  • 模型组合器：协调多个安全模块的访问决策。
  • 模型虚拟器：为不同策略提供统一接口。
• 决策流程示例：
  1. 检查DAC → 拒绝则检查特权覆盖 → 仍拒绝则拒绝访问
  2. 检查机密性MAC → 拒绝则检查特权覆盖 → 仍拒绝则拒绝访问
  3. 检查完整性MAC → 拒绝则直接拒绝访问
  4. 全部通过才允许访问

4. 隐蔽通道分析方法（v4.0核心创新）

• 方法名称：回溯搜索法
• 步骤：
  1. 列出所有持久变量（如内核全局变量）
  2. 分析哪些代码写这些变量
  3. 分析哪些代码读这些变量
  4. 构造潜在隐蔽通道
  5. 构造使用场景并测量带宽
• 优势：避免“伪非法流”干扰，支持中断机制，防止状态爆炸。

5. 完整性保护实现（v4.0重点）

• 模型：DTE_IPM（基于DTE的完整性保护模型）
• 核心概念：
  • 域：与进程关联
  • 型：与文件/对象关联
  • 域—型访问表：定义哪个域能以何种方式访问哪个型
• 配置文件示例（dte.conf）：
  • 定义型（types）、域（domains）、初始域（default_d）
  • 域规约（spec_domain）定义访问权限与域转换规则
  • 型分配规则（assign）将路径映射到型

三、要点提炼

1. 要点问答

• Q：第三级与第四级主要区别是什么？

  • A：第四级增加完整性MAC、隐蔽通道分析、形式化模型支持、多策略共存能力。

• Q：安胜OS v4.0的多策略共存是如何实现的？

  • A：通过ELSM框架，包含模型组合器和模型虚拟器，支持策略动态加载与冲突协调。

• Q：隐蔽通道分析中“回溯搜索法”的优势是什么？

  • A：避免伪非法流、支持中断机制、适合大规模代码分析、不依赖全自动工具。

• Q：DTE_IPM模型是如何保护完整性的？

  • A：通过“域—型”访问控制表，限制进程（域）对文件（型）的访问方式，防止未授权篡改。

2. 关键概念

• DAC、MAC、MLS、DTE、RBAC
• TCB、ELSM、PCM_RBPC、DTE_IPM、DMLR_MLS
• 隐蔽通道、可信通路、客体重用、最小特权
• 模型组合器、策略共存、回溯搜索法