[发明专利]基于多策略融合的强制访问控制方法有效
| 申请号: | 201410340911.9 | 申请日: | 2014-07-17 |
| 公开(公告)号: | CN104112089B | 公开(公告)日: | 2017-02-01 |
| 发明(设计)人: | 廖湘科;魏立峰;陈松政;罗军;黄辰林;丁滟;董攀;付松龄;杨诏钧;孙利杰;罗求 | 申请(专利权)人: | 中国人民解放军国防科学技术大学 |
| 主分类号: | G06F21/31 | 分类号: | G06F21/31 |
| 代理公司: | 湖南兆弘专利事务所(普通合伙)43008 | 代理人: | 赵洪,谭武艺 |
| 地址: | 410073 湖南省长沙市砚瓦池正*** | 国省代码: | 湖南;43 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于多策略融合的强制访问控制方法,其实施步骤如下构造多策略融合内存文件系统,在操作系统加载内核时初始化加载多策略融合内存文件系统,并根据存储的安全策略信息在操作系统内核中建立核内安全策略池;截获进程发出的系统调用请求,判断执行客体是否存在,如果存在则并行判断系统调用请求中主体对客体的操作是否符合各个安全策略的要求并分别生成判断结果;根据各个判断结果来综合生成对系统调用请求的权限检查结果,且仅在检查通过的条件下执行系统调用请求中主体对客体的操作。本发明能够集成多种安全策略进行综合高效的强制访问控制,具有设置灵活、集成简单,具有可扩展性、高安全性、易用性和高效性好的优点。 | ||
| 搜索关键词: | 基于 策略 融合 强制 访问 控制 方法 | ||
【主权项】:
一种基于多策略融合的强制访问控制方法,其特征在于实施步骤如下:1)构造用于为用户空间、内核空间提供交互入口的多策略融合内存文件系统,所述多策略融合内存文件系统中存储有多种安全策略的安全策略信息;2)在操作系统加载内核时初始化加载所述多策略融合内存文件系统,并根据存储的安全策略信息在操作系统内核中建立核内安全策略池;3)截获操作系统中进程发出的系统调用请求,判断所述系统调用请求的执行客体是否存在,如果不存在则退出;否则如果存在,则采用并行的方式分别判断所述系统调用请求中主体对客体的操作是否符合核内安全策略池中各个安全策略的要求并分别生成判断结果,如果任意判断结果为不符合安全策略则直接退出;根据所述各个安全策略的判断结果来综合生成对系统调用请求的权限检查结果,且仅在检查通过的条件下执行所述系统调用请求中主体对客体的操作;所述步骤1)的详细步骤如下:1.1)在操作系统中创建用于挂载多策略融合内存文件系统的/msifs目录,所述/msifs目录仅仅针对系统安全员具有读写访问权限;1.2)在所述/msifs目录下创建多策略融合状态文件msistatus和多策略融合总体约束检查结果文件access,所述多策略融合状态文件msistatus用于记录当前操作系统中多策略融合内存文件系统启停状态,所述多策略融合总体约束检查结果文件access用于记录根据核内安全策略池中各个安全策略之间约束关系对所有判断结果进行安全约束检查的结果;1.3)在操作系统的/etc/目录下创建安全配置文件msiconf、安全约束文件msiconstraint以及核外策略规则池目录msipolicys,所述安全配置文件msiconf用于配置操作系统下次启动时多策略融合内存文件系统启停状态和多种安全策略的启停及存放信息,所述安全约束文件msiconstraint用于配置在收到所有判断结果均为符合安全策略后对判断结果进行横向约束,核外策略规则池目录msipolicys下存在有核外策略规则池所支持的多个安全策略子目录,任意一个安全策略子目录以对应的安全策略名称命名,且存放有该安全策略的策略安装时状态信息文件version和该安全策略的规则信息目录policy,所述规则信息目录policy下存放有该安全策略的权限检查规则。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国人民解放军国防科学技术大学,未经中国人民解放军国防科学技术大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201410340911.9/,转载请声明来源钻瓜专利网。
