[发明专利]SELinux安全标识符防篡改检测方法及系统

权利要求书

1.一种SELinux安全标识符防篡改检测方法，其特征在于实施步骤包括：

1)建立一个进程ID及其安全标识符SID的映射关系表pst，且当系统创建进程时，以进程ID为索引，将进程ID及其安全标识符SID作为新节点插入到映射关系表pst中；当进程撤销时，从映射关系表pst中删除通过进程ID索引的节点；当系统通过合法调用接口改变进程的安全标识符SID时，则更新映射关系表pst中进程ID及其安全标识符SID，使映射关系表pst中进程ID及其安全标识符SID的映射关系一直保持最新状态；

2)当进程执行新程序时，在实际执行新的子进程之前首先检测父进程的安全标识符SID是否被非法修改，如果父进程的安全标识符SID与映射关系表pst中的父进程ID对应的安全标识符SID不一致，则判定该父进程的安全标识符SID被非法修改，根据映射关系表pst中保存的数据恢复父进程的安全标识符SID，跳转执行步骤3)；否则判定该新程序的安全标识符SID未被修改，跳转执行步骤3)；

3)将子进程的缺省安全标识符SID设置为父进程的安全标识符SID，执行该子进程。

2.根据权利要求1所述的SELinux安全标识符防篡改检测方法，其特征在于，步骤1)中建立的映射关系表pst的数据结构包括一个链表的头指针以及为链表中节点计数的变量，且每个节点中保存着进程ID的编号PID和安全标识符SID以及指向下一个节点的指针。

3.根据权利要求1所述的SELinux安全标识符防篡改检测方法，其特征在于，步骤1)中建立的映射关系表pst的初始化函数pst_init()嵌入在SELinux的初始化函数selinux_init()中以在SELinux初始化时完成映射关系表的初始化，当确定系统启动SELinux安全机制后，调用映射关系表的初始化函数pst_init函数完成映射关系表pst的初始化。

4.根据权利要求1所述的SELinux安全标识符防篡改检测方法，其特征在于，步骤1)中将进程ID及其安全标识符SID作为新节点插入到映射关系表pst中、更新映射关系表pst中进程ID及其安全标识符SID的详细步骤包括：首先检查以进程ID为索引的节点在映射关系表pst中是否存在，如果不存在，则以输入参数中的进程ID及其安全标识符SID作为新节点插入到映射关系表pst中；如果存在，则检查输入参数中的安全标识符SID与映射关系表pst中保存的安全标识符SID是否一致，如果一致则不做任何更改返回；如果不一致则将进程ID在映射关系表pst中对应保存的安全标识符SID修改为输入参数中安全标识符SID；步骤1)中从映射关系表pst中删除通过进程ID索引的节点的详细步骤包括：首先检查以输入参数中的进程ID为索引的节点在映射关系表pst中是否存在，如果存在，则从映射关系表pst中删除通过进程ID索引的节点；否则不执行任何操作。

5.根据权利要求4所述的SELinux安全标识符防篡改检测方法，其特征在于，步骤1)中将进程ID及其安全标识符SID作为新节点插入到映射关系表pst中是通过Linux系统的do_fork函数来调用在LSM框架中预设的钩子函数security_pst_insert函数实现的；步骤1)中更新映射关系表pst中进程ID及其安全标识符SID是通过Linux系统的commit_creds函数来调用在LSM框架中预设的钩子函数security_pst_insert函数实现的；步骤1)中从映射关系表pst中删除通过进程ID索引的节点是通过Linux系统的do_exit函数来调用在LSM框架中预设的钩子函数security_pst_remove函数实现的；所述钩子函数security_pst_insert、security_pst_remove两者的函数指针均被添加到LSM框架的security_operations结构体中。