CN104657676B - 一种基于微过滤驱动的文件强制访问控制方法及其系统 - Google Patents
一种基于微过滤驱动的文件强制访问控制方法及其系统 Download PDFInfo
- Publication number
- CN104657676B CN104657676B CN201510097398.XA CN201510097398A CN104657676B CN 104657676 B CN104657676 B CN 104657676B CN 201510097398 A CN201510097398 A CN 201510097398A CN 104657676 B CN104657676 B CN 104657676B
- Authority
- CN
- China
- Prior art keywords
- file
- microfiltration
- irp
- confidentiality
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公布了一种基于微过滤驱动的文件强制访问控制方法,通过结合文件系统微过滤驱动和强制访问控制多级安全策略模型,实现文件的访问控制和安全防护,包括设定文件强制访问控制的规则存入配置文件;产生I/O请求并下传;处理I/O请求并下传IRP消息;进行IRP消息拦截、获取和解析;通过轮询配置文件,对IRP消息予以放行或返回拒绝消息。本发明使得过滤器加载顺序更易控制;能极大提高开发效率;对多平台和应用程序提供更好的支持;安全好用,适用于具有办公保密特殊需求的军工等部门。
Description
技术领域
本发明提供一种基于微过滤驱动的文件强制访问控制方法及其系统,涉及计算机技术领域,具体涉及一种结合强制访问控制多级安全策略模型(MLS)的基于Windows系统微过滤驱动的文件强制访问控制方法及其系统。
背景技术
随着电子办公技术的逐渐普及,电子文档资料的安全性显得越来越重要。Windows系统作为当今最主流的C2级商务操作系统,其针对文件的访问控制仍停留在自主访问控制阶段(DAC),显然无法满足军工部门甚至是航天部门对文档资料处理的高机密性搞完整性要求。
强制访问控制是实现操作系统安全的一个重要的方法,是对操作系统的各种客体(如文件、socket、系统FIFO、IPC等)进行细粒度的访问,即当用户或用户程序访问系统的某个客体时,强制访问控制机制对这种访问的安全性进行检查。与自主访问控制机制不同,强制访问控制对用户及用户程序的行为进行限制,从而达到更高的安全级别。
为了判定访问行为是安全的,引入安全策略的概念。安全策略是一组检查条件,它为每次访问的主体(用户或用户程序)和被访问的客体(如文件等)定义一个安全标记,再根据主体和客体的安全标记来决定这次访问是否安全。目前已经开发出多种安全策略,其中多级安全策略MLS用得最多。它的基本思想是定义一些安全级,如从低到高分普通、机密、绝密等安全级,要求高安全级别的信息不能泄露给低安全级别的用户,这样就要求低安全级的主体不能读高安全级的客体,同时高安全级的主体不能写低安全级的客体。
当前业内针对Windows平台文件的访问控制技术主要有两种:系统默认的自主访问控制(DAC)技术和HOOK(钩子)技术;其中:
自主访问控制技术,允许具有管理员权限的用户决定系统上的资源可以被哪些用户或进程访问,这种滥用信任基础的操作不仅难以防止那些以某个用户的身份运行恶意程序的访问,也明显违背了信息安全基本原则:最小权限化原则和一切未知事物不可信原则。
HOOK技术是通过对Windows系统提供的文件操作函数及文件操作所触发的系统消息进行钩子过滤,经过有针对性的处理来实现文件访问控制的效果,但该技术最大的缺点是在Windows 7及更高系统上稳定性和兼容性都非常差。
综上所述,现有的技术难以实现具有强大的安全防护的满足安全好用需要的文件访问控制方法。
发明内容
为了克服上述现有技术的不足,本发明提供一种基于微过滤驱动的文件强制访问控制方法及其系统,通过基于微过滤驱动的文件过滤驱动框架和强制访问控制多级安全策略模型MLS,实现对本地磁盘文件的打开、写入、删除、重命名、删除等操作的控制功能,并提供基于微过滤驱动的文件强制访问控制系统,适用于具有办公保密特殊需求的军工等部门。
本文中,“MLS”(Multilevel security)表示强制访问控制多级安全策略模型;“IRP”(I/O request packets)表示输入/输出请求包;“Minifilter”表示微过滤驱动;“sfilter”表示过滤驱动。
本发明的原理是:通过文件系统微过滤驱动技术,在文件系统驱动上加载过滤驱动而对系统操作产生的IRP进行针对性过滤拦截,从而提供更细粒度级别的文件访问控制。I/O管理器在发送文件操作请求到目标设备之前,会检查是否有附加设备挂载在目标设备之上,若有,则把该IRP先发送给附加设备,经附加设备所属驱动程序处理之后,再发送给目标设备完成操作请求。本发明基于微过滤驱动文件强制访问控制方法,包括用户模式(应用层)和内核模式两个层面,采用微过滤驱动Minifilter通信端口进行通信,为了支持实时处理,驱动程序根据用户程序的需求,选择将过滤管理器传递的IRP消息直接在内核模式下做判断处理;核心就是在IRP请求下发的过程中,通过文件系统微过滤驱动程序构造附加设备对象挂载在文件系统的存储目标设备对象之上,在微过滤驱动程序中对发送到目标设备的操作请求进行处理,具体是:在用户模式下,应用程序向微过滤驱动程序传送控制命令;在内核模式下,微过滤驱动程序根据用户应用程序下发的控制命令解析用户应用程序触发的IRP请求,截取类型是文件操作的IRP,再具体细节化文件操作类型(包括打开、写入、删除、重命名等操作类型),并记录触发IRP请求的用户,依据事先配置的表示安全策略的安全标签库进行文件强制访问控制操作,安全标签库的安全策略可以为:如果触发IRP请求的用户的密级不低于文件操作的密级,则允许IRP消息通过;否则返回拒绝消息;不属于文件操作的IRP允许通过;进而达到控制文件访问、保护文件的安全性。
本发明提供的技术方案是:
一种基于微过滤驱动的文件强制访问控制方法,通过结合文件系统微过滤驱动和强制访问控制多级安全策略模型MLS,实现文件的访问控制和安全防护,具体包括如下步骤:
1)根据强制访问控制多级安全策略模型MLS设定文件强制访问控制的规则,作为安全策略,存入配置文件;
2)在用户模式(应用层)下,用户操作系统文件,产生I/O请求,向内核模式的I/O管理器下传I/O请求;
3)在内核模式中,I/O管理器处理I/O请求,并下传IRP消息;
4)在内核模式中,触发微过滤驱动程序进行IRP消息拦截;
5)在内核模式中,微过滤驱动程序获取到IRP消息,解析IRP消息;
6)通过轮询步骤1)中的配置文件,对IRP消息予以放行或返回拒绝消息。
上述基于微过滤驱动的文件强制访问控制方法中,在本发明实施例中,进一步地,
步骤1)中设定规则具体是:在用户模式(应用层)中,应用程序向微过滤驱动程序设置规则,作为文件安全策略存入配置文件,规则包括:
1.1)上层管理子系统中,管理员选定用户名User,对用户名User进行密级设置;
1.2)管理员对选定文件的操作类型进行密级设置;
1.3)将上述用户名User密级和文件的操作类型密级设置形成规则作为安全策略,存入配置文件。
在本发明实施例中,将系统用户名账户和文件的权限级别设定为7级,第1级到7级分别是:公开、内部、普通商密、秘密、核心商密、机密和绝密,第7级绝密的密级最高,相关操作权限最大。文件对应的操作具体为:打开、写入、删除、重命名、执行。安全标签库(即配置文件)主要是由系统账户权限级别规则和文件对应的操作级别规则形成的安全策略组成的。
步骤4)中触发微过滤驱动程序进行IRP消息拦截具体是:通过微过滤驱动程序,控制文件的I/O操作,包括:
4.1)微过滤驱动程序加载;
4.2)微过滤驱动程序对文件操作进行监控;
步骤5)中解析IRP信息具体是:首先判断IRP信息是否为文件操作类型的IRP;对不属于文件操作类型的IRP予以通过;对属于文件操作类型的IRP,进一步获取到IRP对应的文件操作类型(包括打开、写入、删除、复制、重命名、执行等操作);
步骤6)中,在轮询配置文件之前,需提取发起I/O操作IRP的用户名User;再根据用户名User通过轮询步骤1)中的配置文件,对IRP消息予以放行或返回拒绝消息;具体是:如果User的密级不低于文件操作类型的密级,对IRP消息予以放行,允许相应的文件I/O操作;否则拒绝,返回拒绝消息。
本发明还提供利用上述基于微过滤驱动的文件强制访问控制方法实现的基于微过滤驱动的文件强制访问控制系统,包括上层管理子系统和微过滤驱动系统。其中,上层管理子系统用于管理员设置系统的安全访问规则,包括的功能模块是:系统用户密级设定模块、文件操作权限密级设定模块和驱动通信模块;微过滤驱动系统用于实现文件的强制访问控制,具体包括:微过滤驱动加载模块和文件访问控制模块。
上述基于微过滤驱动的文件强制访问控制系统包括的模块中,具体地,
(1)系统用户密级设定模块
该模块的主要功能是系统中用户密级设定。
(2)文件操作权限密级设定模块
该模块的主要功能是文件操作密级设定,文件操作类型主要有:打开、写入、删除、重命名。
(3)驱动通信模块
该模块的主要功能是将当前系统设定的用户密级和文件操作密级作为规则发送给微过滤驱动系统。
(4)微过滤驱动加载模块
该模块主要完成微过滤驱动的加载。
(5)文件访问控制模块
该模块截取解析IRP消息,属于文件操作的IRP消息,再进一步细化具体的文件操作类型,提取触发IRP操作的用户名,再根据上层管理系统中内置到驱动中的规则,以用户的密级不应低于文件操作设定的密级为标准,符合标准的文件操作IRP予以通过,不符合的返回拒绝信息。不是文件操作的IRP消息予以放行。
与现有技术相比,本发明的有益效果是:
本发明提供一种更容易使用、使得程序员编码更简洁、能极大地提高开发效率的方法。该方法作为一种内核态中间层驱动,不需要改变下层驱动或用户程序而增加新的功能,具有安全性高、稳定性好、自我防护能力强等特点。
相对于现有的文件系统过滤驱动方法,本发明提供的基于微过滤驱动的文件强制访问控制方法的优点是:过滤器加载顺序更易控制;可以在系统运行时动态卸载;只需加载必要的过滤操作;更高效的利用内核栈;更少的代码冗余;减少了设计复杂度;更易添加新的过滤操作;对多平台提供更好的支持;对用户模式的应用程序提供更好的支持。本发明提供的文件系统微过滤驱动方法在文件访问控制上相对系统默认的自主访问控制(DAC)技术和HOOK(钩子)技术,具有明显的优势和更强大的安全防护能力。此外,相比于现有的文件系统过滤驱动开发技术,微过滤驱动开发过程非常简单容易,并且驱动程序更加健壮、功能更为强大。本发明安全好用,适用于具有办公保密特殊需求的军工等部门。
附图说明
图1是本发明方法的流程框图。
图2是本发明方法中触发微过滤驱动程序进行IRP拦截处理的流程框图。
图3是本发明方法中多级策略MLS下发过程的流程框图。
图4是本发明实施例中文件强制访问控制系统的组成结构框图。
图5是本发明实施例中设置用户密级的操作界面截图。
图6是本发明实施例中设置文件操作密级的操作界面截图
具体实施方式
下面结合附图,通过实施例进一步描述本发明,但不以任何方式限制本发明的范围。
本发明提供一种基于微过滤驱动的文件强制访问控制方法,图1是本发明方法的流程框图,具体包括如下步骤:
1)上层管理子系统中,管理员选定用户,对用户进行密级设置;
2)管理员对选定文件的操作类型进行密级设置
3)形成规则作为安全策略,存入配置文件;
4)在用户模式(应用层)下,用户操作系统文件,产生I/O请求,下传I/O请求;
5)I/O管理器处理I/O请求,下传IRP消息;
6)微过滤驱动程序加载
7)微过滤驱动程序向过滤管理器注册所需类型的系统回调函数,对文件操作进行监控;
8)触发微过滤驱动程序进行IRP拦截处理;
9)获取到IRP信息;
10)解析IRP消息,提取发起I/O操作的用户名User;
11)轮询配置文件,若为属于文件操作且符合这样的定义——发起I/O操作的用户User的密级不低于文件操作设定的密级的规则的IRP予以放行,若为不符合设定规则的IRP请求返回拒绝消息;不属于文件操作类型的IRP予以放行。
本实施例中,通过基于微过滤驱动的文件强制访问控制方法,用户User对文件test.txt进行删除操作,具体过程为:首先,用户触发I/O请求,I/O请求通过I/O管理器进一步处理,下发IRP,触发本发明的微过滤驱动模块;然后,通过微过滤驱动模块对IRP信息进行拦截并解析,判断传过来的IRP信息是否为文件操作信息,如果是文件操作信息,读取配置文件,提取IRP信息中文件操作的文件名是test.txt,操作类型为删除delete,提取操作的用户名为User,轮询之前设置好的配置文件,分别查看User的密级、文件test.txt的删除操作密级,如果用户User的密级不低于文件test.txt的删除操作的密级则IRP操作被放行,IRP信息可以继续向下发送执行;否则,不放行,返回拒绝消息。如果IRP信息不是文件操作信息,则操作被放行。
本实施例中,文件访问控制应用程序采用C++语言编写,应用程序的界面中,管理员账户可以对用户(Tommy)、文件(text.txt)进行密级设定。通过本发明提出的文件访问控制方法对真实环境中的文件操作进行实例化,实例平台为Windows 7X64旗舰版,图4是本发明实施例中的文件强制访问控制系统的组成结构框图,该系统包括上层管理子系统和微过滤驱动系统。其中,上层管理子系统用于管理员设置系统的安全访问规则,包括的功能模块是:系统用户密级设定模块、文件操作权限密级设定模块和驱动通信模块;微过滤驱动系统用于实现文件的强制访问控制,具体包括:微过滤驱动加载模块和文件访问控制模块。
图5是本发明实施例中设置用户密级的操作界面截图。图6是本发明实施例中设置文件操作密级的操作界面截图。本实施例将系统用户(账户)和文件操作的密级(权限级别)设定为7级,第1到7级分别是:公开、内部、普通商密、秘密、核心商密、机密、绝密,第7级的密级最高,对应的操作权限最大。安全标签库(配置文件)主要是由系统账户权限级别规则和文件对应的操作(具体为打开、写入、删除、重命名、删除等操作)的级别规则形成的安全策略组成的。图3是本发明方法中MLS多级策略下发过程的流程框图,主要是通过设计实现的上层管理子系统进行规则设置,包括文件访问等级设置和用户权限设置。例如,对用户User设置密级为4,对文件test.txt的删除操作设置密级为5,这两种设置为安全策略,通过驱动程序,写入配置文件,为之后过滤驱动程序过滤IRP提供安全规则。由于User密级小于test.txt的删除操作密级,该安全规则是不允许用户User删除文件test.txt的。
本实施例中,在上层管理子系统中设置用户Tommy的密级为3,文件test.txt的删除操作密级为2,Tommy对test.txt进行删除操作,由于Tommy的密级大于test.txt的密级,操作是允许的;若设置用户tommy密级为3,文件test.txt删除密级为3,Tommy对test.txt进行删除操作,由于Tommy的密级等于test.txt的密级,操作是允许的;若设置用户tommy密级为3,文件test.txt删除密级为4,Tommy对test.txt进行删除操作,由于Tommy的密级小于test.txt的密级,操作是不被允许的。
图2是本发明方法中触发微过滤驱动程序进行IRP拦截处理的流程框图,微过滤驱动程序对文件操作IRP的拦截处理过程主要包括I/O管理器发出或传递I/O请求,通过微过滤驱动程序拦截IRP消息,并对IRP消息进行解析,进一步使用内核模式驱动程序进行处理。具体地,微过滤驱动Minifilter的DriverEntry入口函数主要包括两个关键函数:FltRegisterFilter和FltStartFiltering。FltRegisterFilter函数的功能是注册一个Minifliter驱动,FltStartFiltering函数的功能是开始过滤。
FhRegisterFilter函数,使用到过滤器注册信息的Fu_REGISTRATION数据结构。该数据结构包括以下主要内容:数据结构大小和版本、Minifilter驱动标志位、上下文注册、卸载程序、回调函数声明等,其中回调函数最为重要。
回调函数是一个数组,定义指定请求的相应操作。所需过滤的I/O操作类型,都需要指定一个预操作回调函数(Preoperation Callback Routine)和一个后操作回调函数(Postoperafion Callback Routine)。预操作回调函数在请求执行之前被调用;后操作回调函数在请求执行之后被调用。因此,预操作回调函数,是进行规则匹配的最佳时机。
与传统过滤驱动的不同,微过滤驱动可以选择需要过滤的I/O操作的类型,只接收特定类型的I/O操作回调,这一点很重要。
过滤管理器(Filter Manager)是一个传统的文件系统过滤驱动。过滤管理器的最终目标是为第三方驱动开发厂家提供一个通用的基于微过滤(Minifilter)驱动的文件系统过滤驱动开发框架,向开发者提供一套完善的文件系统过滤接口和基于事件的回调模型。
每当过滤管理器收到文件I/O请求时,它按照高度由高到低的顺序调用注册该操作的操作前回调例程,然后过滤管理器将修改后的文件I/O请求传递给下一个传统过滤驱动或文件系统驱动。当文件I/O操作完成后,过滤管理器以相反的顺序调用相应的操作后回调例程。
需要注意的是,公布实施例的目的在于帮助进一步理解本发明,但是本领域的技术人员可以理解:在不脱离本发明及所附权利要求的精神和范围内,各种替换和修改都是可能的。因此,本发明不应局限于实施例所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (8)
1.一种基于微过滤驱动的文件强制访问控制方法,所述方法通过结合文件系统微过滤驱动和强制访问控制多级安全策略模型,实现文件的访问控制和安全防护,具体包括如下步骤:
1)根据强制访问控制多级安全策略模型设定文件强制访问控制的规则,作为安全策略,存入配置文件;所述设定文件强制访问控制的规则具体包括如下过程:
1.1)对用户名进行密级设置;
1.2)对选定文件的操作类型进行密级设置;
1.3)将上述用户名密级和文件的操作类型密级设置形成规则作为安全策略,存入配置文件;
2)在用户模式下,用户操作系统文件,产生I/O请求,向内核模式的I/O管理器下传I/O请求;
3)在内核模式中,I/O管理器处理I/O请求,并下传IRP消息;
4)在内核模式中,触发微过滤驱动程序进行IRP消息拦截;
5)在内核模式中,微过滤驱动程序获取到IRP消息,解析IRP消息;
6)通过轮询步骤1)中的配置文件,对IRP消息予以放行或返回拒绝消息。
2.如权利要求1所述基于微过滤驱动的文件强制访问控制方法,其特征是,步骤4)所述触发微过滤驱动程序进行IRP消息拦截具体包括:
4.1)微过滤驱动程序加载;
4.2)微过滤驱动程序对文件操作进行监控。
3.如权利要求1所述基于微过滤驱动的文件强制访问控制方法,其特征是,步骤5)所述解析IRP信息具体是:首先,判断IRP信息是否为文件操作类型的IRP;然后,对不属于文件操作类型的IRP予以通过;对属于文件操作类型的IRP,获取所述IRP对应的文件操作类型。
4.如权利要求1所述基于微过滤驱动的文件强制访问控制方法,其特征是,步骤6)中,在轮询配置文件之前,提取发起I/O操作IRP的用户名;再根据用户名通过轮询步骤1)中的配置文件。
5.如权利要求1所述基于微过滤驱动的文件强制访问控制方法,其特征是,步骤6)所述对IRP消息予以放行或返回拒绝消息具体是:如果User的密级不低于文件操作类型的密级,对所述IRP消息予以放行,允许相应的文件I/O操作;否则拒绝所述IRP消息,返回拒绝消息。
6.根据权利要求1所述基于微过滤驱动的文件强制访问控制方法实现的基于微过滤驱动的文件强制访问控制系统,包括上层管理子系统和微过滤驱动系统;所述上层管理子系统用于管理员设置系统的安全访问规则,包括系统用户密级设定模块、文件操作权限密级设定模块和驱动通信模块;所述微过滤驱动系统用于实现文件的强制访问控制,包括微过滤驱动加载模块和文件访问控制模块。
7.如权利要求6所述基于微过滤驱动的文件强制访问控制系统,其特征是,所述系统用户密级设定模块用于设定系统中用户的密级;所述文件操作权限密级设定模块用于设定文件操作密级;所述驱动通信模块用于将设定的用户密级和文件操作密级作为规则发送给所述微过滤驱动系统。
8.如权利要求6所述基于微过滤驱动的文件强制访问控制系统,其特征是,所述微过滤驱动加载模块用于加载微过滤驱动程序;所述文件访问控制模块用于截取并解析处理IRP信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510097398.XA CN104657676B (zh) | 2015-03-05 | 2015-03-05 | 一种基于微过滤驱动的文件强制访问控制方法及其系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510097398.XA CN104657676B (zh) | 2015-03-05 | 2015-03-05 | 一种基于微过滤驱动的文件强制访问控制方法及其系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104657676A CN104657676A (zh) | 2015-05-27 |
CN104657676B true CN104657676B (zh) | 2017-11-07 |
Family
ID=53248784
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510097398.XA Active CN104657676B (zh) | 2015-03-05 | 2015-03-05 | 一种基于微过滤驱动的文件强制访问控制方法及其系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104657676B (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9697361B2 (en) * | 2015-07-06 | 2017-07-04 | AO Kaspersky Lab | System and method of controlling opening of files by vulnerable applications |
CN105827588B (zh) * | 2015-12-23 | 2019-03-15 | 广东亿迅科技有限公司 | 一种基于网络驱动层的流媒体数据分发系统 |
CN106599728A (zh) * | 2016-12-02 | 2017-04-26 | 山东中创软件商用中间件股份有限公司 | 一种基于文件过滤驱动框架的系统文件保护方法及装置 |
CN106951789B (zh) * | 2016-12-09 | 2019-07-16 | 中国电子科技集团公司第三十研究所 | 一种基于安全标签的usb防摆渡方法 |
CN106650497B (zh) * | 2016-12-19 | 2019-08-30 | 浙大网新科技股份有限公司 | 对计算机文件实施密级管理的方法 |
CN107609408B (zh) * | 2017-08-18 | 2020-07-28 | 成都索贝数码科技股份有限公司 | 一种基于过滤驱动控制文件操作行为的方法 |
CN107844700A (zh) * | 2017-11-28 | 2018-03-27 | 郑州云海信息技术有限公司 | 一种智能防护操作系统用户账号的方法及系统 |
CN108881219A (zh) * | 2018-06-14 | 2018-11-23 | 郑州云海信息技术有限公司 | 一种基于强制访问控制的文件权限管理方法及系统 |
CN109784054B (zh) * | 2018-12-29 | 2021-01-15 | 360企业安全技术(珠海)有限公司 | 行为堆栈信息获取方法及装置 |
CN113343282A (zh) * | 2021-07-29 | 2021-09-03 | 深圳市永达电子信息股份有限公司 | 强制访问控制的文件安全监控方法、系统及存储介质 |
CN113688415A (zh) * | 2021-10-27 | 2021-11-23 | 湖南新云网科技有限公司 | 文件管控方法、设备和存储介质 |
CN116248422A (zh) * | 2022-12-29 | 2023-06-09 | 北京空间机电研究所 | 一种应用于协同办公系统的共享桌面安全控制方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1838137A (zh) * | 2006-04-26 | 2006-09-27 | 南京大学 | 一种对即插即用存储设备进行读写访问控制的方法 |
CN101916349A (zh) * | 2010-07-30 | 2010-12-15 | 中山大学 | 基于过滤驱动的文件访问控制方法、系统及过滤器管理器 |
CN102034052A (zh) * | 2010-12-03 | 2011-04-27 | 北京工业大学 | 基于三权分立的操作系统体系结构及实现方法 |
CN102930225A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于密级标识的电子文档访问控制方法 |
CN103034799A (zh) * | 2012-12-14 | 2013-04-10 | 南京中孚信息技术有限公司 | 一种内核级的桌面访问控制方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9355267B2 (en) * | 2009-03-26 | 2016-05-31 | The University Of Houston System | Integrated file level cryptographical access control |
-
2015
- 2015-03-05 CN CN201510097398.XA patent/CN104657676B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1838137A (zh) * | 2006-04-26 | 2006-09-27 | 南京大学 | 一种对即插即用存储设备进行读写访问控制的方法 |
CN101916349A (zh) * | 2010-07-30 | 2010-12-15 | 中山大学 | 基于过滤驱动的文件访问控制方法、系统及过滤器管理器 |
CN102034052A (zh) * | 2010-12-03 | 2011-04-27 | 北京工业大学 | 基于三权分立的操作系统体系结构及实现方法 |
CN102930225A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于密级标识的电子文档访问控制方法 |
CN103034799A (zh) * | 2012-12-14 | 2013-04-10 | 南京中孚信息技术有限公司 | 一种内核级的桌面访问控制方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104657676A (zh) | 2015-05-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104657676B (zh) | 一种基于微过滤驱动的文件强制访问控制方法及其系统 | |
CN105046146B (zh) | 一种安卓系统的资源访问方法 | |
CN103034799B (zh) | 一种内核级的桌面访问控制方法 | |
US20070106668A1 (en) | File management system, information processing apparatus, authentication system, and file access authority setting system | |
CN103765430A (zh) | 数据泄漏防止系统和方法 | |
CN101197023A (zh) | 一种面向中小企业的可视化文档管理系统的建立方法 | |
CN101727545A (zh) | 一种安全操作系统强制访问控制机制的实施方法 | |
CN103379089A (zh) | 基于安全域隔离的访问控制方法及其系统 | |
CN108021400A (zh) | 数据处理方法及装置、计算机存储介质及设备 | |
CN110188574B (zh) | 一种Docker容器的网页防篡改系统及其方法 | |
CN106101113A (zh) | 一种云计算数据安全标记管理方法及系统 | |
CN104715209A (zh) | 一种外发文档加密保护方法 | |
CN106453413B (zh) | 在多系统中应用SELinux安全策略的方法及装置 | |
US20100050267A1 (en) | Method and system for the automated transformation of access control management information in computer systems | |
CN111865895A (zh) | 一种基于云平台的数据保密传输方法及系统 | |
CN108228353A (zh) | 资源访问控制方法、装置及相应终端 | |
CN109460656A (zh) | 应用程序启动控制方法及计算机终端 | |
CN106845183A (zh) | 一种应用容器引擎管理方法及系统 | |
Matulevičius et al. | Towards model transformation between SecureUML and UMLsec for role-based access control | |
CN102663313B (zh) | 一种实现计算机系统信息安全的方法 | |
CN113255000A (zh) | 数据访问控制方法、装置、电子设备及可读存储介质 | |
CN106020923B (zh) | SELinux策略的编译方法及系统 | |
CN106802821A (zh) | 识别应用程序安装来源的方法及装置 | |
CN112084021A (zh) | 教育系统的界面配置方法、装置、设备及可读存储介质 | |
CN109815714A (zh) | 权限管控方法、装置及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |