[发明专利]一种云平台组件安全策略实现方法

权利要求书

1.一种云平台组件安全策略实现方法，其特征在于，所述的方法包括如下步骤：

步骤1、选择安全策略规则模板，并传入策略规则所需的信息；

步骤2、后台对策略模块名进行同名校验，对组件文件路径列表与系统中已存在的文件列表进行包含校验；

步骤3、将策略模块信息保存至数据库，并生成任务记录；

步骤4、后台执行任务表中的升级模块任务时，将策略模块编译并加载至内核中；

步骤5、分发.pp文件内容到云平台各个节点上，各节点收到后将.pp文件加载到内核并更新对应文件列表的安全上下文，最后返回操作结果给控制端；

步骤6、对云平台组件安全策略进行编辑、启用、禁用、删除管理；

所述的步骤3，系统将策略模块的信息保存在platform_policy_modules表中，模块状态设置为正在创建中，把文件标签列表保存在module_file_labels表中，并向任务表upgrade_task中添加一条任务类型为module_upgrade的记录；

platform_policy_modules表包含有策略模块名称、版本、模块模板、状态、策略模块pp文件内容、是否启用、创建者、升级时间，策略模块pp文件内容是策略规则编译打包后的内容，用于后续升级任务执行时分发到平台的其他节点上；

module_file_labels表包含有策略模块ID、文件路径、文件类型；

upgrade_task表包含有策略模块ID、任务类型、任务状态、任务创建时间、任务执行时间、任务结束时间、任务状态、创建者；其中任务类型有模块新增/升级(module_upgrade)、模块禁用(module_permissive_t)、模块启用(module_permissive_f)、平台安全策略启用(platform_enforce_t)、平台安全策略禁用(platform_enforce_f)、模块删除(module_delete)；

所述的步骤4根据模块名称替换对应类型的安全策略模板并生成新的.te文件，再根据组件文件列表和类型生成.fc文件，通过te、fc文件编译生成.pp文件，并将.pp文件加载到操作系统内核的策略规则中，加载成功后把.pp文件保存到对应的策略模块记录的策略模块pp文件内容字段中，最后执行更新对应文件路径的安全上下文标签。

2.根据权利要求1所述的方法，其特征在于：

所述步骤1的信息包括模块名称、策略类型和组件文件路径及其对应类型列表。

3.根据权利要求1所述的方法，其特征在于：

所述的步骤6包括管理功能编辑、管理功能启用、管理功能禁用、管理功能删除、平台策略启用和平台策略禁用。

4.根据权利要求3所述的方法，其特征在于：

所述管理功能编辑具体步骤是：

(1)、验证该模块有没有正在运行中的任务和新编辑的文件路径列表跟系统中记录的有否交叉重叠；

(2)、编辑后系统自动在原来版本上增加一个小版本；

(3)、把编辑信息保存到数据库表中，并把模块记录的状态修改为修改中，然后新增一条模块升级任务到任务表中；

(4)、模块升级任务触发后，对策略模块编译打包、加载到内核、更新对应文件路径的安全标签；

(5)、然后模块升级任务触发分发新的.pp文件内容到平台各个节点上，节点收到后把.pp文件加载到内核、更新对应文件路径的安全标签然后给控制端返回执行结果。

5.根据权利要求3所述的方法，其特征在于：

所述的管理功能启用体步骤是：

(1)、调用接口/module/enforce.do,并传入参数moduleId和enforce＝true；

(2)、后台首先验证该模块是否有正在进行中的同类型的任务，有则抛错；

(3、修改数据库表中该策略模块记录的状态和启用禁用状态，并新增一条模块启用任务；

(4)、模块启用任务被系统触发后，调用底层命令将对应策略模块permissive的设置为false，并通过RabbitMq通讯工具将模块启用命令分发到平台各节点上执行并向控制端反馈结果。