[发明专利]基于可信验证的访问控制方法、装置和计算机设备

说明书

本申请涉及一种基于可信验证的访问控制方法、装置和计算机设备。该方法包括：通过访问控制单元提取截获的访问请求中主客体的安全级别，并通过主客体的安全级别验证主体和客体身份的可信性，通过主客体的安全级别以及操作系统符合性检查策略，判断访问请求是否安全，若访问请求安全，则允许访问请求进行执行；该方法对主体和客体身份的可信性进行验证，以判定访问请求安全，访问请求可继续执行，从而提高了操作系统在计算平台上的安全性。

技术领域

本申请涉及操作系统安全技术领域，特别是涉及一种基于可信验证的访问控制方法、装置和计算机设备。

背景技术

随着科学技术的快速发展，互联网技术正以其不可阻挡的趋势影响着社会的发展和人们的生活，网络环境中的信息在现代化生活中发挥的作用也越来越大，已经成为市场竞争的重要手段。因此，如何保证网络环境中的信息安全称为当今研究的热门话题。

在现有操作系统的计算平台上，一般的文件操作访问是访问请求从应用层到操作系统层，再到设备层，操作被逐步细化之后，在文件系统层就看到文件的基本读、写、创建等操作。但是，现有操作系统中，每层操作所在的语境并不清晰，会出现应用层某个安全合理的请求，在文件系统层看来却是不安全的情况，也即操作系统层仅仅给出通用的访问控制机制，从而导致计算平台的安全性较低。

发明内容

基于此，有必要针对上述技术问题，提供一种能够提高计算平台安全性的基于可信验证的访问控制方法、装置和计算机设备。

一种基于可信验证的访问控制方法，所述方法包括：

通过访问控制单元提取访问请求中主客体的安全级别，并通过所述主客体的安全级别验证主体和客体身份的可信性；

若所述主体和客体身份的可信性通过，则根据所述主客体的安全级别以及操作系统符合性检查策略，判断所述访问请求是否安全；

若所述访问请求安全，则允许所述访问请求进行执行。

在其中一个实施例中，所述方法还包括：

若所述访问请求不安全，则将所述访问请求发送至操作系统调整审计单元，指示所述操作系统调整审计单元通过操作系统等级调整审核策略，判断所述访问请求是否符合调整安全等级；

若符合，则允许所述访问请求进行执行。

在其中一个实施例中，所述方法还包括：

若不符合，则拒绝所述访问请求执行，并对所述访问请求进行审计警告。

在其中一个实施例中，所述通过访问控制单元提取访问请求中主客体的安全级别，包括：

在操作系统调用过程中，截获操作系统待执行的所述访问请求；

获取所述访问请求中所述主客体的安全级别。

在其中一个实施例中，所述通过所述主客体的安全级别验证主体和客体身份的可信性，包括：

所述访问控制单元将所述主客体的安全级别发送至可信平台控制单元，指示所述可信平台控制单元通过内部的可信度量机制，判定所述主体和所述客体身份的可信性。

在其中一个实施例中，所述主客体的安全级别包括按照等级分类和非等级分类组合的指定敏感标记。

在其中一个实施例中，所述主客体中的客体包括进程、文件、段以及设备。

一种基于可信验证的访问控制装置，所述装置包括：

验证模块，用于通过访问控制单元提取访问请求中主客体的安全级别，并通过所述主客体的安全级别验证主体和客体身份的可信性；