[发明专利]基于安全标记的进程强制控制方法

说明书

本发明涉及一种基于安全标记的进程强制控制方法，该方法预先在程序文件的强制访问控制机制中构建用于记录安全标记的标识以及核内外安全标记映射表，具有安全标记的程序文件运行时，操作系统内核读取其安全标记的控制规则库，并将控制规则库的内容存储在进程的进程控制块中；当进程需要执行新程序时，将新程序的路径与进程控制块中存储的控制规则库内容进行规则匹配，根据所述规则匹配的结果，进行进程的强制行为控制。该方法可以有效防御攻击者对进程强制访问控制特权的篡改。

技术领域

本发明属于计算机技术领域，具体涉及一种基于安全标记的进程强制控制方法。

背景技术

随着基础信息网络和重要信息系统面临的安全威胁和安全隐患日益严重，计算机病毒传播和网络非法入侵十分猖獗，网络违法犯罪持续大幅上升，犯罪分子利用一些安全漏洞，使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行违法犯罪，给用户造成严重损失。

在安全体系规划中，物理层、网络层等安全是人们比较容易理解的部分，而在实际操作中，计算环境安全，尤其是涉及操作系统的标记和强制访问控制，是很多用户困惑的地方。常见的WINDOWS、Linux、UNIX等商用操作系统虽然提供了一些安全措施,但是其功能非常有限,并且经常存在各种漏洞,所以如何通过合理的标记和强制访问控制保证主机安全,同时防止内、外非法用户的攻击就成为当前信息系统等级化建设中一个至关重要的问题。

“黑客”攻击服务器系统的主要方法是所谓的“代码注入”。“代码注入”根本原理都是利用程序语言的固有缺陷，用大量的数据填充程序的数据区，在程序不保护其堆栈边界时，自动执行保留在堆栈中的程序，从而成功闯入服务器。由于被攻破的服务器进程往往具有系统的最高运行权限，攻击程序就自然地继承了这些特权。具有特权的进程能够超越系统中安全策略的限制，认证与鉴别、访问控制等安全机制名存实亡，形同虚设，入侵者可以任意拷贝、篡改、删除服务器中的信息。现有技术针对“代码注入”这种普遍存在而又危害严重的网络威胁，国内外的学者和专家提出了许多种解决方案。其中比较著名的有：数据地雷(Data Mine)方案、堆栈不可执行方案、数据和代码分离方案和边界检查方案。但这些方案都不能完全防止使用“代码注入”的方法获得的服务器最高控制权。

发明内容

针对现有技术无法解决“代码注入”获得服务器最高控制权的问题，本发明提出一种基于安全标记的进程强制控制方法。

基于安全标记的进程强制控制方法，其特征在于该方法通过以下步骤实施：

预先在程序文件的强制访问控制机制中构建用于记录安全标记的内部标识、外部标识之间对应关系的核内外安全标记映射表，将保存在核外的安全管理员对操作系统中各类对象配置的安全标记作为外部标识，在操作系统运行时在核内随机化生成该安全标记对应的内部标识，将安全标记的内部标识、外部标识之间的对应关系添加至核内外安全标记映射表，并将内部标识作为安全属性赋予给核内各类对象，基于内部标识建立强制访问控制机制的内核访问控制规则库；

具有安全标记的程序文件运行时，操作系统内核读取其安全标记的控制规则库，并将控制规则库的内容存储在进程的进程控制块中；当任一主体对象访问客体对象时，获取主体与客体对象的内部标识，根据内部标识查询内核访问控制规则库判断该主体对象是否具有对该客体对象的访问权限，如果有对该客体对象的访问权限，则允许本次主体对象访问客体对象，否则拒绝本次主体对象访问客体对象；

当进程需要执行新程序时，将新程序的路径与进程控制块中存储的控制规则库内容进行规则匹配，根据所述规则匹配的结果，进行进程的强制行为控制：如果新程序的路径不带有业务安全标记，则记录日志并做相应处理；如果新程序的路径不带有业务安全标记并且发送端允许无标记数据导入，则为待单向传输的格式化数据块自动添加指定的业务安全标记后执行单向传输；如果新程序的路径带有业务安全标记，则对数据的业务安全标记进行匹配检查，若检查通过，则将数据的业务安全标记添加到待单向传输的格式化数据块后执行单向传输，否则记录日志并做相应处理。