CN109992983A - 一种强制访问控制方法、装置、设备及可读存储介质 - Google Patents
一种强制访问控制方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN109992983A CN109992983A CN201910299728.1A CN201910299728A CN109992983A CN 109992983 A CN109992983 A CN 109992983A CN 201910299728 A CN201910299728 A CN 201910299728A CN 109992983 A CN109992983 A CN 109992983A
- Authority
- CN
- China
- Prior art keywords
- access
- subjective
- objective
- access control
- forced
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种强制访问控制方法,该方法包括以下步骤:拦截AIX系统中的系统调用,获取用户空间输出的信息参数;解析信息参数,获得系统调用对应的访问主客体;判断访问主客体与预设的访问控制策略是否匹配;如果是,则将信息参数传入内核空间,以便在内核空间内执行系统调用;如果否,则禁止在内核空间内执行系统调用。应用该方法可在AIX系统中实现了强制访问控制,可以防止诸如特洛伊木马的攻击,可提升AIX系统的安全性,保障信息安全。本发明还公开了一种强制访问控制装置、设备及可读存储介质,具有相应的技术效果。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种强制访问控制方法、装置、设备及可读存储介质。
背景技术
AIX(Advanced Interactive eXecutive)是基于AT&T Unix System V开发的一套类UNIX操作系统,可运行在IBM专有的Power系列芯片设计的小型机硬件系统之上。它符合Open group的UNIX 98行业标准(The Open Group UNIX 98Base Brand),通过全面集成对32-位和64-位应用的并行运行支持,为这些应用提供了全面的可扩展性。它可以在所有的IBM~p系列和IBM RS/6000工作站、服务器和大型并行超级计算机上运行。
目前,AIX系统已经占据小机市场大半壁江山,特别是在银行系统中,AIX系统的使用已经根深蒂固。AIX系统作为Unix系统,本身具有诸多优点,但是也存在则一般系统存在的缺点,如AIX系统使用自主访问控制。由于自主访问控制的数据存取权限由用户控制,系统无法控制,在抵抗诸如特洛伊木马的攻击时的抵抗能力较弱,进一步导致信息安全性较差。对于诸如银行系统而言,信息安全隐患可能会造成不可估量的损失和影响。
综上所述,如何有效地解决AIX系统的信息安全等问题,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种强制访问控制方法、装置、设备及可读存储介质,以提升AIX系统的信息安全性。
为解决上述技术问题,本发明提供如下技术方案:
一种强制访问控制方法,包括:
拦截AIX系统中的系统调用,获取用户空间输出的信息参数;
解析所述信息参数,获得所述系统调用对应的访问主客体;
判断所述访问主客体与预设的访问控制策略是否匹配;
如果是,则将所述信息参数传入内核空间,以便在所述内核空间内执行所述系统调用;
如果否,则禁止在所述内核空间内执行所述系统调用。
优选地,拦截AIX系统中的系统调用,获取用户空间输出的信息参数,包括:
利用所述系统调用的指针拦截所述系统调用,获取所述信息参数。
优选地,将所述信息参数传入内核空间,以便在所述内核空间内执行所述系统调用,包括:
利用所述系统调用对应的调用地址,将所述信息参数传入所述内核空间,以便在所述内核空间内执行所述系统调用。
优选地,所述解析所述信息参数,获得所述系统调用对应的访问主客体,包括:
解析所述信息参数,获得所述系统调用对应的访问主体和访问客体。
优选地,所述解析所述信息参数,获得所述系统调用对应的访问主体和访问客体,包括:
对所述信息参数进行解析,获得客体全路径和主体全路径;
利用所述客体全路径确定所述访问客体,利用所述主体全路径确定所述访问主体。
优选地,判断所述访问主客体与预设的访问控制策略是否匹配,包括:
判断所述访问控制策略中是否存在与所述访问主体与所述访问客体对应的访问关系;
如果存在,则确定所述访问主客体与所述强制访问策略匹配;
如果不存在,则确定所述访问主客体与所述强制访问策略不匹配。
优选地,判断所述访问主客体与预设的访问控制策略是否匹配,包括:
查询所述访问控制策略,确定所述访问主体的访问权限以及所述访问客体的被访权限;
若所述访问权限大于所述被访权限,则确定所述访问主客体与所述强制访问策略匹配;
若所述访问权限不大于所述被访权限,则确定所述访问主客体与所述强制访问策略不匹配。
一种强制访问控制装置,包括:
系统调用拦截模块,用于拦截AIX系统中的系统调用,获取用户空间输出的信息参数;
访问主客体获取模块,用于解析所述信息参数,获得所述系统调用对应的访问主客体;
强制访问判断模块,用于判断所述访问主客体与预设的访问控制策略是否匹配;
系统调用执行模块,用于在所述访问主客体与所述访问控制策略匹配时,则将所述信息参数传入内核空间,以便在所述内核空间内执行所述系统调用;
系统调用禁止模块,用于,在所述访问主客体与所述访问控制策略不匹配时,则禁止在所述内核空间内执行所述系统调用。
一种强制访问控制设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述强制访问控制方法的步骤。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述强制访问控制方法的步骤。
应用本发明实施例所提供的方法,拦截AIX系统中的系统调用,获取用户空间输出的信息参数;解析信息参数,获得系统调用对应的访问主客体;判断访问主客体与预设的访问控制策略是否匹配;如果是,则将信息参数传入内核空间,以便在内核空间内执行系统调用;如果否,则禁止在内核空间内执行系统调用。
为了保障AIX系统中信息的安全性,提出了通过拦截AIX系统中的系统调用,并对系统调用进行分析,确定访问主客体。并将访问主客体与访问控制策略进行比较,在确定访问主客体与访问控制策略匹配时,将信息参数传入内核空间,使得系统调用可在内核空间内被执行,而在确定访问主客体与访问控制策略不匹配时,则禁止在内核空间执行系统调用。可见,该方法以拦截系统调用,并进行判别的方式,在AIX系统中实现了强制访问控制,可以防止诸如特洛伊木马的攻击,可提升AIX系统的安全性,保障信息安全。
相应地,本发明实施例还提供了与上述强制访问控制方法相对应的强制访问控制装置、设备和可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种强制访问控制方法的实施流程图;
图2为本发明实施例中一种强制访问控制装置的结构示意图;
图3为本发明实施例中一种强制访问控制设备的结构示意图;
图4为本发明实施例中一种强制访问控制设备的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,自主访问控制(DAC)是一个接入控制服务,它执行基于系统实体身份和它们的到系统资源的接入授权。该系统资源包括在文件,文件夹和共享资源中设置许可。强制访问控制是“强加”给访问主体的,即系统强制主体服从访问控制政策。强制访问控制(MAC)的主要特征是对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能改变他自己及任何其它客体的敏感标记,从而系统可以防止特洛伊木马的攻击。
实施例一:
为了在AIX系统中实现强制访问控制,可在AIX系统中安装一个驱动模块,该驱动模块可具体为执行强制访问控制步骤的模块。AIX系统提供了动态加载内核驱动的方式。这与linux的lkm技术类似,可以利用这种方式向内核添加该驱动模块。在添加设置过程中只需要符合aix提供的开发规范即可,在此不再一一赘述驱动模块的添加设置过程。在AIX系统中设置了驱动模块后,在安装了该AIX系统的计算机中,便可实现强制访问控制。
请参考图1,图1为本发明实施例中一种强制访问控制方法的流程图,该方法包括以下步骤:
S101、拦截AIX系统中的系统调用,获取用户空间输出的信息参数。
在AIX系统与Linux系统类似,也分用户空间和内核空间。即,用户所有的操作通过系统调用进入内核空间进行与硬件交互。所以系统调用就像用户空间和内核空间的一座桥,在该桥上就能获得所有从用户空间到内核空间的信息的传递。所以拦截掉系统调用就拦截了用户空间的所有操作。具体的实现方式可具体为在调用系统调用前拦截。
具体的,可利用系统调用的指针拦截系统调用,获取信息参数。在利用指正实现系统调用拦截之前,需预先记录原系统调用的地址,查找指向原地统调用的指针。编写新系统调用,将指针指向新系统调用函数。相应地,在新系统调用函数结束后再通过记录的原系统调用的地址执行原系统调用。当然被新系统调用函数拒绝的操作将不会在执行原系统调用。与linux系统不同,在实际应用中,无需在内存中查找地址,只要在编译驱动的时候设置一定的参数,编写与系统调用重名的函数,新的系统调用函数则会替换原有的系统调用。原系统调用的地址可从内存中手动获取并保存。也就是说,可通过预先设置,将系统调用的指针修改至新的系统调用函数,便可将该系统调用拦截下,也就是拦截下系统调用,改变信息参数的传输路径,使得信息参数进入内核空间之前被截断。例如,根据IBM提供的机制,可在exp文件中写入:unlink syscall3264,如此驱动模块内的驱动代码里的unlink将替换掉系统中的unlink函数。实现信息参数的获取。其中,对应不同的操作、不同的用户程序、不同访问对象,信息参数的具体内容也会不同,又因信息参数即为实现系统调用从用户空间输出至内核空间的访问操作数据,即可参照于现有技术中的自主控制方法中的信息参数,因而本发明实施例对信息参数不作过多赘述。
需要说明的是,在系统调用时,用户空间数据传入到内核空间时,数据仍然是用户空间的数据,用户空间不可以访问内核空间的数据,而内核空间可以访问用户空间的数据。此时,内核空间使用用户空间的数据是不安全的。为了解决这一问题,在用户空间的操作传入到内核后就阻塞等待内核的处理,cpu将会切换任务执行下一个用户空间的操作。这时用户空间的数据存在一定的几率会从内存中置换出,此时如果内核空间访问用户空间值则会出现崩溃性错误。所以要进行调用拦截时,需利用诸如uiomove的函数将用户空间的数据复制到内核空间,在内核空间使用内核空间的数据,可保障数据的安全性。
S102、解析信息参数,获得系统调用对应的访问主客体。
具体的,获得信息参数之后,便可通过解析信息参数,获得系统调用对应的访问主体和访问客体。即,访问主客体即为该系统调用对应的访问主体和访问客体。访问主体,即为系统调用对应的用户或代表用户意图运行进程或设备。即访问主体是访问操作的主动发起者,是系统中信息流的启动者,可以使信息流在实体之间流动。而访问客体即为系统调用被操作或访问的对象,访问客体可以包括诸如记录、数据块、存储页、存储段、文件、目录、目录树、库表、邮箱、消息、程序等,还可以包括比特位、字节、字、字段、变量、处理器、通信信道、时钟、网络结点等对象。
其中,可通过执行以下步骤确定访问主客体:
步骤一、对信息参数进行解析,获得客体全路径和主体全路径;
步骤二、利用客体全路径确定访问客体,利用主体全路径确定访问主体。
为便于描述,下面将上述两个步骤结合起来进行说明。
根据传输的信息参数,可获取到客体的全路径。具体的,可通过解决相对路径对绝对路径的转换,链接文件的处理,chroot文件的处理等获得客体全路径。获取到客体全路径后,变可获取用户和主体全路径。主体全路径即发起这个操作的进程的文件的路径,可以通过获取当前进程的PID获取到进程的全路径。可利用vnode(内核用来表示一个文件的数据结构)推算出文件的全路径。其中,PID(Process Identification)指进程识别号,也就是进程标识符。操作系统里每打开一个程序都会创建一个进程ID,即PID。获得客体全路径和主体全路径之后,便可利用客体全路径与客体的唯一对应关系,主体全路径与主体的唯一对应关系,确定出访问主体和访问客体。
在确定出包括访问主体和访问客体的访问主客体之后,便可执行步骤S103实现访问控制判决。
S103、判断访问主客体与预设的访问控制策略是否匹配。
在本发明实施例中,可预先设置访问控制策略,在该访问控制策略中预先规定出访问规则,在进行访问控制时,AIX系统则可根据访问控制策略判断是否响应响应的访问操作。
具体的,本发明实施例提供了以下两种方式,判断访问主客体与访问控制策略是否匹配:
方式一:在强制访问控制策略中规定允许执行的访问主体与访问客体的对应关系。具体实现过程,包括:
步骤一、判断访问控制策略中是否存在与访问主体与访问客体对应的访问关系;
步骤二、如果存在,则确定访问主客体与强制访问策略匹配;
步骤三、如果不存在,则确定访问主客体与强制访问策略不匹配。
也就是说,仅在当前被拦截的系统调用对应的访问主体和访问客体,与预先设置的访问关系对应时,访问主客体与强制访问策略匹配,否则不匹配。
方式二:在强制访问控制策略中规定允许执行的访问主体与访问客体的权限设置。具体实现过程,包括:
步骤一、查询访问控制策略,确定访问主体的访问权限以及访问客体的被访权限;
步骤二、若访问权限大于被访权限,则确定访问主客体与强制访问策略匹配;
步骤三、若访问权限不大于被访权限,则确定访问主客体与强制访问策略不匹配。
在此方式中,即预先为不同的访问主体和访问客体设置对应的访问权限和被访权限。其中,访问主体对应的权限为访问权限,访问客体对应的权限即为被访权限。在上述三个步骤中仅描述了当访问主体的访问权限大于访问客体的被访权限时,确定访问主客体与强制访问策略匹配的判断标准。当然,在本发明的其他实施例中,还可根据不同的方式操作,对应设置不同的判断标准,具体的设置方式可参见现有技术中,强制访问控制的具体访问规则所对应的判断标准,在此不再一一赘述。
需要说明的是,在实际应用中可选取上述两种判断方式中的其中一种或两种相结合的方式进行匹配性判断。当然,还可采用其他常见的匹配性判断方式实现访问主客体与强制访问控制策略的匹配性判决。
在确定出判断结果之后,便可根据不同的判断结果执行相应步骤。具体的,如果判断结果为是,则执行步骤S104;如果判断结果为否,则执行步骤S105。
S104、将信息参数传入内核空间,以便在内核空间内执行系统调用。
在确定出访问主客体与访问控制策略匹配时,即表明该系统调用无安全隐患,可以执行。具体的执行过程,即将信息参数传入到内核空间,然后在内核空间内执行系统调用即可。具体的,利用系统调用对应的调用地址,将信息参数传入内核空间,以便在内核空间内执行系统调用。即,通过记录的原系统调用的调用地址执行原系统调用。其中,对于在内核空间具体如何执行该系统调用,可参照诸如自主访问控制方法中系统调用的具体响应或执行过程,在此不再一一赘述。
S105、禁止在内核空间内执行系统调用。
在确定出访问主客体与访问控制策略不匹配时,即表明该系统调用存在安全隐患,应当被禁止。此时可直接返回禁止调用,而无需将系统调用传递到内核空间,即无需将信息参数传入内核空间。例如,配置文件A_file只能由A用户的进程A_proc操作,而获取的用户是A,客体文件是A_file,但是主体进程却是A_proc_1。经过匹配发现操作不符合我们配置的策略,则该操作被拦截。
应用本发明实施例所提供的方法,拦截AIX系统中的系统调用,获取用户空间输出的信息参数;解析信息参数,获得系统调用对应的访问主客体;判断访问主客体与预设的访问控制策略是否匹配;如果是,则将信息参数传入内核空间,以便在内核空间内执行系统调用;如果否,则禁止在内核空间内执行系统调用。
为了保障AIX系统中信息的安全性,提出了通过拦截AIX系统中的系统调用,并对系统调用进行分析,确定访问主客体。并将访问主客体与访问控制策略进行比较,在确定访问主客体与访问控制策略匹配时,将信息参数传入内核空间,使得系统调用可在内核空间内被执行,而在确定访问主客体与访问控制策略不匹配时,则禁止在内核空间执行系统调用。可见,该方法以拦截系统调用,并进行判别的方式,在AIX系统中实现了强制访问控制,可以防止诸如特洛伊木马的攻击,可提升AIX系统的安全性,保障信息安全。
实施例二:
相应于上面的方法实施例,本发明实施例还提供了一种强制访问控制装置,下文描述的强制访问控制装置与上文描述的强制访问控制方法可相互对应参照。
参见图2所示,该装置包括以下模块:
系统调用拦截模块101,用于拦截AIX系统中的系统调用,获取用户空间输出的信息参数;
访问主客体获取模块102,用于解析信息参数,获得系统调用对应的访问主客体;
强制访问判断模块103,用于判断访问主客体与预设的访问控制策略是否匹配;
系统调用执行模块104,用于在访问主客体与访问控制策略匹配时,则将信息参数传入内核空间,以便在内核空间内执行系统调用;
系统调用禁止模块105,用于,在访问主客体与访问控制策略不匹配时,则禁止在内核空间内执行系统调用。
应用本发明实施例所提供的装置,拦截AIX系统中的系统调用,获取用户空间输出的信息参数;解析信息参数,获得系统调用对应的访问主客体;判断访问主客体与预设的访问控制策略是否匹配;如果是,则将信息参数传入内核空间,以便在内核空间内执行系统调用;如果否,则禁止在内核空间内执行系统调用。
为了保障AIX系统中信息的安全性,提出了通过拦截AIX系统中的系统调用,并对系统调用进行分析,确定访问主客体。并将访问主客体与访问控制策略进行比较,在确定访问主客体与访问控制策略匹配时,将信息参数传入内核空间,使得系统调用可在内核空间内被执行,而在确定访问主客体与访问控制策略不匹配时,则禁止在内核空间执行系统调用。可见,该装置以拦截系统调用,并进行判别的方式,在AIX系统中实现了强制访问控制,可以防止诸如特洛伊木马的攻击,可提升AIX系统的安全性,保障信息安全。
在本发明的一种具体实施方式中,系统调用拦截模块101,具体用于利用系统调用的指针拦截系统调用,获取信息参数。
在本发明的一种具体实施方式中,系统调用执行模块104,用于利用系统调用对应的调用地址,将信息参数传入内核空间,以便在内核空间内执行系统调用。
在本发明的一种具体实施方式中,访问主客体获取模块102,具体用于解析信息参数,获得系统调用对应的访问主体和访问客体。
在本发明的一种具体实施方式中,访问主客体获取模块102,具体用于对信息参数进行解析,获得客体全路径和主体全路径;利用客体全路径确定访问客体,利用主体全路径确定访问主体。
在本发明的一种具体实施方式中,强制访问判断模块103,具体用于判断访问控制策略中是否存在与访问主体与访问客体对应的访问关系;如果存在,则确定访问主客体与强制访问策略匹配;如果不存在,则确定访问主客体与强制访问策略不匹配。
在本发明的一种具体实施方式中,强制访问判断模块103,具体用于查询访问控制策略,确定访问主体的访问权限以及访问客体的被访权限;若访问权限大于被访权限,则确定访问主客体与强制访问策略匹配;若访问权限不大于被访权限,则确定访问主客体与强制访问策略不匹配。
实施例三:
相应于上面的方法实施例,本发明实施例还提供了一种强制访问控制设备,下文描述的一种强制访问控制设备与上文描述的一种强制访问控制方法可相互对应参照。
参见图3所示,该强制访问控制设备包括:
存储器D1,用于存储计算机程序;
处理器D2,用于执行计算机程序时实现上述方法实施例的强制访问控制方法的步骤。
具体的,请参考图4,图4为本实施例提供的一种强制访问控制设备的具体结构示意图,该强制访问控制设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在强制访问控制设备301上执行存储介质330中的一系列指令操作。
强制访问控制设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
上文所描述的强制访问控制方法中的步骤可以由强制访问控制设备的结构实现。
实施例四:
相应于上面的方法实施例,本发明实施例还提供了一种可读存储介质,下文描述的一种可读存储介质与上文描述的一种强制访问控制方法可相互对应参照。
一种可读存储介质,可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的强制访问控制方法的步骤。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
Claims (10)
1.一种强制访问控制方法,其特征在于,包括:
拦截AIX系统中的系统调用,获取用户空间输出的信息参数;
解析所述信息参数,获得所述系统调用对应的访问主客体;
判断所述访问主客体与预设的访问控制策略是否匹配;
如果是,则将所述信息参数传入内核空间,以便在所述内核空间内执行所述系统调用;
如果否,则禁止在所述内核空间内执行所述系统调用。
2.根据权利要求1所述的强制访问控制方法,其特征在于,拦截AIX系统中的系统调用,获取用户空间输出的信息参数,包括:
利用所述系统调用的指针拦截所述系统调用,获取所述信息参数。
3.根据权利要求2所述的强制访问控制方法,其特征在于,将所述信息参数传入内核空间,以便在所述内核空间内执行所述系统调用,包括:
利用所述系统调用对应的调用地址,将所述信息参数传入所述内核空间,以便在所述内核空间内执行所述系统调用。
4.根据权利要求1至3任一项所述的强制访问控制方法,其特征在于,所述解析所述信息参数,获得所述系统调用对应的访问主客体,包括:
解析所述信息参数,获得所述系统调用对应的访问主体和访问客体。
5.根据权利要求4所述的强制访问控制方法,其特征在于,所述解析所述信息参数,获得所述系统调用对应的访问主体和访问客体,包括:
对所述信息参数进行解析,获得客体全路径和主体全路径;
利用所述客体全路径确定所述访问客体,利用所述主体全路径确定所述访问主体。
6.根据权利要求5所述的强制访问控制方法,其特征在于,判断所述访问主客体与预设的访问控制策略是否匹配,包括:
判断所述访问控制策略中是否存在与所述访问主体与所述访问客体对应的访问关系;
如果存在,则确定所述访问主客体与所述强制访问策略匹配;
如果不存在,则确定所述访问主客体与所述强制访问策略不匹配。
7.根据权利要求5所述的强制访问控制方法,其特征在于,判断所述访问主客体与预设的访问控制策略是否匹配,包括:
查询所述访问控制策略,确定所述访问主体的访问权限以及所述访问客体的被访权限;
若所述访问权限大于所述被访权限,则确定所述访问主客体与所述强制访问策略匹配;
若所述访问权限不大于所述被访权限,则确定所述访问主客体与所述强制访问策略不匹配。
8.一种强制访问控制装置,其特征在于,包括:
系统调用拦截模块,用于拦截AIX系统中的系统调用,获取用户空间输出的信息参数;
访问主客体获取模块,用于解析所述信息参数,获得所述系统调用对应的访问主客体;
强制访问判断模块,用于判断所述访问主客体与预设的访问控制策略是否匹配;
系统调用执行模块,用于在所述访问主客体与所述访问控制策略匹配时,则将所述信息参数传入内核空间,以便在所述内核空间内执行所述系统调用;
系统调用禁止模块,用于,在所述访问主客体与所述访问控制策略不匹配时,则禁止在所述内核空间内执行所述系统调用。
9.一种强制访问控制设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述强制访问控制方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述强制访问控制方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910299728.1A CN109992983A (zh) | 2019-04-15 | 2019-04-15 | 一种强制访问控制方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910299728.1A CN109992983A (zh) | 2019-04-15 | 2019-04-15 | 一种强制访问控制方法、装置、设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109992983A true CN109992983A (zh) | 2019-07-09 |
Family
ID=67133628
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910299728.1A Pending CN109992983A (zh) | 2019-04-15 | 2019-04-15 | 一种强制访问控制方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109992983A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110532798A (zh) * | 2019-07-26 | 2019-12-03 | 苏州浪潮智能科技有限公司 | 一种文件强制访问控制方法和装置 |
CN110781491A (zh) * | 2019-10-25 | 2020-02-11 | 苏州浪潮智能科技有限公司 | 一种进程访问文件的控制方法及装置 |
CN111079135A (zh) * | 2019-11-27 | 2020-04-28 | 浪潮商用机器有限公司 | 一种内核访问方法、装置和介质 |
CN111177761A (zh) * | 2019-12-30 | 2020-05-19 | 北京浪潮数据技术有限公司 | 一种基于敏感标记的文件访问控制方法、装置以及设备 |
CN111737013A (zh) * | 2020-08-04 | 2020-10-02 | 南京芯驰半导体科技有限公司 | 芯片的资源管理方法、装置、存储介质及系统芯片 |
CN113612802A (zh) * | 2021-10-08 | 2021-11-05 | 苏州浪潮智能科技有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
CN114462041A (zh) * | 2021-12-24 | 2022-05-10 | 麒麟软件有限公司 | 基于双体系架构的动态可信访问控制方法及系统 |
WO2023098579A1 (zh) * | 2021-11-30 | 2023-06-08 | 华为技术有限公司 | 一种访问控制方法和相关设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
CN101788944A (zh) * | 2010-01-25 | 2010-07-28 | 浪潮电子信息产业股份有限公司 | 一种利用强制访问控制检测aix系统故障的方法 |
CN103971067A (zh) * | 2014-05-30 | 2014-08-06 | 中国人民解放军国防科学技术大学 | 支持核内外实体的操作系统内核统一访问控制方法 |
CN104112089A (zh) * | 2014-07-17 | 2014-10-22 | 中国人民解放军国防科学技术大学 | 基于多策略融合的强制访问控制方法 |
-
2019
- 2019-04-15 CN CN201910299728.1A patent/CN109992983A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
CN101788944A (zh) * | 2010-01-25 | 2010-07-28 | 浪潮电子信息产业股份有限公司 | 一种利用强制访问控制检测aix系统故障的方法 |
CN103971067A (zh) * | 2014-05-30 | 2014-08-06 | 中国人民解放军国防科学技术大学 | 支持核内外实体的操作系统内核统一访问控制方法 |
CN104112089A (zh) * | 2014-07-17 | 2014-10-22 | 中国人民解放军国防科学技术大学 | 基于多策略融合的强制访问控制方法 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110532798A (zh) * | 2019-07-26 | 2019-12-03 | 苏州浪潮智能科技有限公司 | 一种文件强制访问控制方法和装置 |
CN110781491A (zh) * | 2019-10-25 | 2020-02-11 | 苏州浪潮智能科技有限公司 | 一种进程访问文件的控制方法及装置 |
CN111079135A (zh) * | 2019-11-27 | 2020-04-28 | 浪潮商用机器有限公司 | 一种内核访问方法、装置和介质 |
CN111177761A (zh) * | 2019-12-30 | 2020-05-19 | 北京浪潮数据技术有限公司 | 一种基于敏感标记的文件访问控制方法、装置以及设备 |
CN111737013A (zh) * | 2020-08-04 | 2020-10-02 | 南京芯驰半导体科技有限公司 | 芯片的资源管理方法、装置、存储介质及系统芯片 |
CN113612802A (zh) * | 2021-10-08 | 2021-11-05 | 苏州浪潮智能科技有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
CN113612802B (zh) * | 2021-10-08 | 2022-02-18 | 苏州浪潮智能科技有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
WO2023056727A1 (zh) * | 2021-10-08 | 2023-04-13 | 苏州浪潮智能科技有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
WO2023098579A1 (zh) * | 2021-11-30 | 2023-06-08 | 华为技术有限公司 | 一种访问控制方法和相关设备 |
CN114462041A (zh) * | 2021-12-24 | 2022-05-10 | 麒麟软件有限公司 | 基于双体系架构的动态可信访问控制方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109992983A (zh) | 一种强制访问控制方法、装置、设备及可读存储介质 | |
US20240061861A1 (en) | Blockchain Node and Transaction Method | |
CN105184166B (zh) | 基于内核的安卓程序实时行为分析方法及系统 | |
CN104735091B (zh) | 一种基于Linux系统的用户访问控制方法和装置 | |
US20110313981A1 (en) | Data Privacy, Redaction and Integrity for Relational Databases | |
US9767301B2 (en) | Context aware data protection | |
US20220179991A1 (en) | Automated log/event-message masking in a distributed log-analytics system | |
US9009777B2 (en) | Automatic role activation | |
CN110781505B (zh) | 系统构建方法及装置、检索方法及装置、介质和设备 | |
US10996936B2 (en) | Techniques for distributing code to components of a computing system | |
US20220229657A1 (en) | Extensible resource compliance management | |
US9104320B2 (en) | Data integrity protection in storage volumes | |
CN110737425B (zh) | 一种计费平台系统的应用程序的建立方法及装置 | |
CN110895537A (zh) | 自由查询权限控制的方法及装置 | |
CN109101322A (zh) | 基于配对标签及迁移监听的虚拟化安全计算方法及系统 | |
US11275850B1 (en) | Multi-faceted security framework for unstructured storage objects | |
CN113010265A (zh) | Pod的调度方法、调度器、存储插件及系统 | |
CN114091099A (zh) | 一种针对业务系统的权限分级控制方法、设备及存储介质 | |
CN112269982A (zh) | 基于权限配置的数据访问控制的方法 | |
US8190673B2 (en) | Enforcement of object permissions in enterprise resource planning software | |
US7630988B2 (en) | Computer product and session management method | |
Popek et al. | A verifiable protection system | |
Zarei et al. | Past, present and future of Hadoop: A survey | |
CN106020923B (zh) | SELinux策略的编译方法及系统 | |
US9330276B2 (en) | Conditional role activation in a database |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190709 |