CN104133726A - 一种进程上下文强制访问控制方法 - Google Patents
一种进程上下文强制访问控制方法 Download PDFInfo
- Publication number
- CN104133726A CN104133726A CN201410395884.5A CN201410395884A CN104133726A CN 104133726 A CN104133726 A CN 104133726A CN 201410395884 A CN201410395884 A CN 201410395884A CN 104133726 A CN104133726 A CN 104133726A
- Authority
- CN
- China
- Prior art keywords
- strategy
- kernel
- context
- access control
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种进程上下文强制访问控制方法,在进程上下文中,所有的信息保存在进程管理结构中,进程管理结构是进程上下文的基础,进程管理结构的数据结构是预留的空间,将该进程的策略挂载到该进程空间中,进程直接访问策略,不再需要遍历,这样就不再有性能的影响,在linux中,将该进程强制访问策略挂载到该进程的文件描述上无需更改内核,每个进程都有N多个文件描述符,而文件描述符上保存的是指针,将该进程强制访问策略挂载到该进程的文件描述述符上,当系统切换到该进程中运行时,已经处于该进程的上下文,直接访问策略描述符就能找到策略,不再需要遍历整个全局链表,性能不再有影响。
Description
技术领域
本发明涉及一种计算机应用, 具体地说是一种进程上下文强制访问控制方法。
背景技术
随着Linux的蓬勃发展和普及,深入开发内核技术人员越来越多,使Linux内核技术发展很快,升级很快,Linux内核版本很多,在服务器市场上Linux占据着很大的份儿,很多企业都在用linux服务器,而且linux服务器上跑着很多重要的业务,网站是业务的主要,面对现有的安全隐患,我们需要安装强制访问控制来保护网站的安全性。但是安装强制访问控制后会发现系统性能的下降,面对于高负载的服务器,用户不希望看到因为安装软件导致性能损坏,这是成本的增加。
发明内容
本发明的目的是提供一种进程上下文强制访问控制方法。
本发明的目的是按以下方式实现的,采用不用更改现有内核,通过文件描述符将强制访问规则绑定到进程中,来达到高速强制访问控制的目的,在进程上下文中,所有的信息保存在进程管理结构中,进程管理结构是进程上下文的基础,进程管理结构的数据结构是预留的空间,将该进程的策略挂载到该进程空间中,进程直接访问策略,不再需要遍历,这样就不再有性能的影响,具体步骤如下:
1) 编写内核模块,hook系统调用;
2)将已经有的强制访问控制规则添加到内核中;
3)通过execve监控所有启动的进程,并查找全局链表,是否有相关进程的策略,如果有则在内核中打开一个指定的文件描述符fd,将规则挂载到这个文件描述符fd上;
4)当进程再次运行时,通过系统调用进入内核,在监控的系统调用内核,通过fd文件描述符将策略和权限进行比较,如果允许则继续,否则就拒绝。
在linux中,将该进程强制访问策略挂载到该进程的文件描述上无需更改内核,每个进程都有N多个文件描述符,而文件描述符上保存的是指针,将该进程强制访问策略挂载到该进程的文件描述述符上,当系统切换到该进程中运行时,已经处于该进程的上下文,直接访问策略描述符就能找到策略,不再需要遍历整个全局链表,性能不再有影响。
本发明的目的有益效果是:每个进程都有自己的文件描述符表fd,通过将该进程相关的策略挂载到一个描述符fd上来绑定该进程的相关策略和该进程,不再需要查找全局策略表,只需要查找与该进程相关策略表。策略局部化,提高性能。
附图说明
图1是进程策略存储图;
图2是进程策略绑定图;
图3是进程强制访问控制图。
具体实施方式
参照说明书附图对本发明的方法作以下详细地说明。
在进程上下文中,所有的信息保存在进程管理结构中,进程管理结构是进程上下文的基础,进程管理结构的数据结构是经过精心设计的,预留的空间,每一块区域都是有用的,也不会因为某个进程特殊,而多分配一块区域,这就是内核开发的现状,面对现有状况。我们一般开发的强制访问控制都是通过在内核中加入全局链表,将其规则放入全局链表中,用户每次系统调用的访问,访问全局链表,规则越长链表就越长,如果规则上万条,每一次的系统调用的访问,都要访问上万条的策略,这会导致系统性能的极大下降。成为强制访问控制的系统的瓶颈,面对这个性能问题,服务器是无法接受的。在没有更改现有的系统上,如果能将该进程的策略挂载到该进程空间中,进程访问就会直接访问策略,不再需要遍历,这样就不再有性能的影响。在linux中,我们可以将该进程强制访问策略挂载到该进程的文件描述上。
无需更改内核,每个进程都有N多个文件描述符,而文件描述符上保存的是指针,将该进程强制访问策略挂载到该进程的文件描述上。
没有性能消耗,将强制访问控制策略挂载到文件描述符上,当系统切换到该进程中运行时,已经处于该进程的上下文,我们直接访问策略描述符就可以找到策略,不再需要遍历整个全局链表,性能不再有影响。
实施例
具体访问控制步骤如下:
1)编写内核模块,hook系统调用;
2)将已经有的强制访问控制规则添加到内核中;
3)通过execve监控所有启动的进程,并查找全局链表,是否有相关进程的策略,如果有则在内核中打开一个指定的文件描述符fd,将规则挂载到这个文件描述符fd上;
4)当进程再次运行时,通过系统调用进入内核,在监控的系统调用内,通过fd文件描述符将策略和权限进行比较,如果允许则继续,否则就拒绝。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。
Claims (2)
1.一种进程上下文强制访问控制方法, 其特征在于采用不用更改现有内核,通过文件描述符将强制访问规则绑定到进程中,来达到高速强制访问控制的目的,在进程上下文中,所有的信息保存在进程管理结构中,进程管理结构是进程上下文的基础,进程管理结构的数据结构是预留的空间,将该进程的策略挂载到该进程空间中,进程直接访问策略,不再需要遍历,这样就不再有性能的影响,具体步骤如下:
1) 编写内核模块,hook系统调用;
2)将已经有的强制访问控制规则添加到内核中;
3)通过execve监控所有启动的进程,并查找全局链表,是否有相关进程的策略,如果有则在内核中打开一个指定的文件描述符fd,将规则挂载到这个文件描述符fd上;
4)当进程再次运行时,通过系统调用进入内核,在监控的系统调用内核,通过fd文件描述符将策略和权限进行比较,如果允许则继续,否则就拒绝。
2.根据权利要求1所述的进程上下文强制访问控制方法,其特征在于在linux中,将该进程强制访问策略挂载到该进程的文件描述上无需更改内核,每个进程都有N多个文件描述符,而文件描述符上保存的是指针,将该进程强制访问策略挂载到该进程的文件描述述符上,当系统切换到该进程中运行时,已经处于该进程的上下文,直接访问策略描述符就能找到策略,不再需要遍历整个全局链表,性能不再有影响。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410395884.5A CN104133726A (zh) | 2014-08-13 | 2014-08-13 | 一种进程上下文强制访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410395884.5A CN104133726A (zh) | 2014-08-13 | 2014-08-13 | 一种进程上下文强制访问控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104133726A true CN104133726A (zh) | 2014-11-05 |
Family
ID=51806411
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410395884.5A Pending CN104133726A (zh) | 2014-08-13 | 2014-08-13 | 一种进程上下文强制访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104133726A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106357455A (zh) * | 2016-10-11 | 2017-01-25 | 北京元心科技有限公司 | 一种控制应用访问网络的方法和系统 |
| CN107609410A (zh) * | 2017-09-11 | 2018-01-19 | 厦门市美亚柏科信息股份有限公司 | 基于HOOK的Android系统数据保护方法、终端设备及存储介质 |
| WO2020105854A1 (ko) * | 2018-11-19 | 2020-05-28 | 삼성전자주식회사 | 전자 장치 및 그의 제어 방법 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1773413A (zh) * | 2004-11-10 | 2006-05-17 | 中国人民解放军国防科学技术大学 | 角色定权方法 |
| US20070011661A1 (en) * | 2005-07-07 | 2007-01-11 | Hiroshi Itoh | Process control system and control method therefor |
| US20080120695A1 (en) * | 2006-11-17 | 2008-05-22 | Mcafee, Inc. | Method and system for implementing mandatory file access control in native discretionary access control environments |
| CN101997912A (zh) * | 2010-10-27 | 2011-03-30 | 苏州凌霄科技有限公司 | 基于Android平台的强制访问控制装置及控制方法 |
| CN102222191A (zh) * | 2011-06-16 | 2011-10-19 | 中国人民解放军国防科学技术大学 | 一种松散耦合角色授权的类型实施访问控制方法及其系统 |
| CN102542182A (zh) * | 2010-12-15 | 2012-07-04 | 苏州凌霄科技有限公司 | 基于Windows平台的强制访问控制装置及控制方法 |
| CN103246849A (zh) * | 2013-05-30 | 2013-08-14 | 浪潮集团有限公司 | 一种Windows下基于增强型ROST的安全运行方法 |
| CN103778006A (zh) * | 2014-02-12 | 2014-05-07 | 成都卫士通信息安全技术有限公司 | 一种操作系统进程控制方法 |
-
2014
- 2014-08-13 CN CN201410395884.5A patent/CN104133726A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1773413A (zh) * | 2004-11-10 | 2006-05-17 | 中国人民解放军国防科学技术大学 | 角色定权方法 |
| US20070011661A1 (en) * | 2005-07-07 | 2007-01-11 | Hiroshi Itoh | Process control system and control method therefor |
| US20080120695A1 (en) * | 2006-11-17 | 2008-05-22 | Mcafee, Inc. | Method and system for implementing mandatory file access control in native discretionary access control environments |
| CN101997912A (zh) * | 2010-10-27 | 2011-03-30 | 苏州凌霄科技有限公司 | 基于Android平台的强制访问控制装置及控制方法 |
| CN102542182A (zh) * | 2010-12-15 | 2012-07-04 | 苏州凌霄科技有限公司 | 基于Windows平台的强制访问控制装置及控制方法 |
| CN102222191A (zh) * | 2011-06-16 | 2011-10-19 | 中国人民解放军国防科学技术大学 | 一种松散耦合角色授权的类型实施访问控制方法及其系统 |
| CN103246849A (zh) * | 2013-05-30 | 2013-08-14 | 浪潮集团有限公司 | 一种Windows下基于增强型ROST的安全运行方法 |
| CN103778006A (zh) * | 2014-02-12 | 2014-05-07 | 成都卫士通信息安全技术有限公司 | 一种操作系统进程控制方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106357455A (zh) * | 2016-10-11 | 2017-01-25 | 北京元心科技有限公司 | 一种控制应用访问网络的方法和系统 |
| CN106357455B (zh) * | 2016-10-11 | 2019-10-25 | 北京元心科技有限公司 | 一种控制应用访问网络的方法和系统 |
| CN107609410A (zh) * | 2017-09-11 | 2018-01-19 | 厦门市美亚柏科信息股份有限公司 | 基于HOOK的Android系统数据保护方法、终端设备及存储介质 |
| CN107609410B (zh) * | 2017-09-11 | 2019-07-02 | 厦门市美亚柏科信息股份有限公司 | 基于HOOK的Android系统数据保护方法、终端设备及存储介质 |
| WO2020105854A1 (ko) * | 2018-11-19 | 2020-05-28 | 삼성전자주식회사 | 전자 장치 및 그의 제어 방법 |
| US11809550B2 (en) | 2018-11-19 | 2023-11-07 | Samsung Electronics Co., Ltd. | Electronic device and control method therefor |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8375200B2 (en) | Embedded device and file change notification method of the embedded device | |
| US8881144B1 (en) | Systems and methods for reclaiming storage space from virtual machine disk images | |
| CA2901376C (en) | Tracking application usage in a computing environment | |
| MX340212B (es) | Método para administración de aplicación, así como dispositivo, servidor y dispositivo terminal del mismo. | |
| WO2014187285A3 (zh) | 面向普通用户应用的界面编辑、运行系统及方法 | |
| US20130031602A1 (en) | Thin client system, and access control method and access control program for thin client system | |
| WO2013163119A3 (en) | Trusted file indirection | |
| US10380074B1 (en) | Systems and methods for efficient backup deduplication | |
| CN103593226A (zh) | 一种提高虚拟机磁盘io性能的方法 | |
| WO2012075526A3 (en) | End-user performance monitoring for mobile applications | |
| US20220236902A1 (en) | Systems and methods for data transfer for computational storage devices | |
| JP6663995B2 (ja) | 大規模分散スケールアウトデータシステムをバックアップするためのシステム及び方法 | |
| CN103810429A (zh) | 基于桌面云虚拟化技术的电脑病毒查杀方法 | |
| KR102390688B1 (ko) | 보편적인 인터렉션으로 컨텐츠를 영구 저장부에 캡쳐하는 기법 | |
| CN104007987A (zh) | 一种Linux下自动挂载的脚本 | |
| CN103544047A (zh) | 云系统数据管理方法 | |
| US20150120747A1 (en) | Techniques for searching data associated with devices in a heterogeneous data center | |
| CN104133726A (zh) | 一种进程上下文强制访问控制方法 | |
| CN103207805A (zh) | 基于虚拟化的硬盘复用系统 | |
| CN103049546B (zh) | 一种管理、访问系统日志的方法和装置 | |
| US9122690B1 (en) | Systems and methods for implementing non-native file attributes on file systems | |
| CN101777002B (zh) | 一种基于虚拟化的软件运行方法 | |
| US9830230B1 (en) | Systems and methods for storing updated storage stack summaries | |
| KR102715658B1 (ko) | 연산 저장 장치에 대한 데이터 전송을 위한 시스템 및 방법 | |
| CN103019760A (zh) | 安装软件的结构及安装方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141105 |
|
| WD01 | Invention patent application deemed withdrawn after publication |