CN112187739B - 一种强制访问规则的配置方法、系统、终端及存储介质 - Google Patents
一种强制访问规则的配置方法、系统、终端及存储介质 Download PDFInfo
- Publication number
- CN112187739B CN112187739B CN202010955072.7A CN202010955072A CN112187739B CN 112187739 B CN112187739 B CN 112187739B CN 202010955072 A CN202010955072 A CN 202010955072A CN 112187739 B CN112187739 B CN 112187739B
- Authority
- CN
- China
- Prior art keywords
- rule
- access
- rules
- existing
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000000354 decomposition reaction Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 7
- 238000012986 modification Methods 0.000 claims description 5
- 230000004048 modification Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 3
- 230000008094 contradictory effect Effects 0.000 claims description 3
- 230000001737 promoting effect Effects 0.000 abstract description 3
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000006467 substitution reaction Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种强制访问规则的配置方法、系统、终端及存储介质,包括:将产品级的安全需求分解为访问规则,并将所有访问规则保存至访问规则列表;从所述访问规则列表依次提取访问规则,并判断提取的访问规则与策略库已有规则是否匹配:若是,则在所述访问规则列表的相应表项做肯定标记;若否,则在所述访问规则列表的相应表项做否定标记,并根据带有否定标记的访问规则更新策略库。本发明可解决强制访问规则策略库中已有规则但存在与当前的安全需求不完全相符的场景下的解决办法问题,起到推进强制访问功能的作用。
Description
技术领域
本发明涉及强制访问控制技术领域,具体涉及一种强制访问规则的配置方法、系统、终端及存储介质。
背景技术
Centos 7系统默认安装了selinux系统,并默认启用;然而在构建基于centon7的应用系统时许多项目会选择将selinux关闭。事后,出于安全合规则等方面的考虑不少产品会考虑重新打开selinux,此时通常出现的一个问题是,默认安装的安全策略或许并不能满足安全需求。曾有专利提出过通过selinux的安全日志和audit2allow为全新的应用生成策略的方法,这对策略库中并无涉及此新应用的策略时有效。然而对有些基于libvirt的虚拟化产品,在内核中已有了相应的策略,比如svirt相关的策略规则。Svirt规则能够满足绝大多数的产品级的安全需求,然而偶尔也会出现已有规则与所需的安全需求相悖的情形。
发明内容
针对现有技术的上述不足,本发明提供一种强制访问规则的配置方法、系统、终端及存储介质,以解决上述技术问题。
第一方面,本发明提供一种强制访问规则的配置方法,包括:
将产品级的安全需求分解为访问规则,并将所有访问规则保存至访问规则列表;
从所述访问规则列表依次提取访问规则,并判断提取的访问规则与策略库已有规则是否匹配:
若是,则在所述访问规则列表的相应表项做肯定标记;
若否,则在所述访问规则列表的相应表项做否定标记,并根据带有否定标记的访问规则更新策略库。
进一步的,所述将产品级的安全需求分解为访问规则并将所有访问规则保存至访问规则列表,包括:
将产品级的安全需求分解为允许访问规则和拒绝访问规则;
将所有允许访问规则保存至允许型列表;
将所有拒绝访问规则保存至拒绝型列表。
进一步的,所述判断提取的访问规则与策略库已有规则是否匹配,包括:
若已有规则中存在与所述允许访问规则一致的匹配已有规则,则在所述允许型列表的相应表项中标记符合需求;
若已有规则中不存在所述拒绝访问规则的匹配已有规则,则在所述拒绝型列表的相应表项中标记符合需求;
若已有规则中存在所述拒绝访问规则的匹配已有规则,则在所述拒绝型列表的相应表项中标记不符合需求,并记录所述拒绝访问规则的布尔值或源码信息。
进一步的,所述将访问规则列表中所有带有否定标记的访问规则更新至策略库,包括:
利用所述布尔值修改所述已有匹配规则的启用状态;
根据所述源码信息将所述拒绝访问规则的文件路径和行数转换为策略源码中的接口名字;
根据所述接口名字修改策略源码,删除带有否定标记的拒绝访问规则并添加带有否定标记的允许访问规则。
第二方面,本发明提供一种强制访问规则的配置系统,包括:
需求分解单元,配置用于将产品级的安全需求分解为访问规则,并将所有访问规则保存至访问规则列表;
规则匹配单元,配置用于从所述访问规则列表依次提取访问规则,并判断提取的访问规则与策略库已有规则是否匹配;
肯定标记单元,配置用于若提取的访问规则与策略库已有规则匹配,则在所述访问规则列表的相应表项做肯定标记;
否定标记单元,配置用于若提取的访问规则与策略库已有规则不匹配,则在所述访问规则列表的相应表项做否定标记,并根据带有否定标记的访问规则更新策略库。
进一步的,所述需求分解单元包括:
需求分解模块,配置用于将产品级的安全需求分解为允许访问规则和拒绝访问规则;
允许存储模块,配置用于将所有允许访问规则保存至允许型列表;
拒绝存储模块,配置用于将所有拒绝访问规则保存至拒绝型列表。
进一步的,所述规则匹配单元还包括:
允许规则标定模块,配置用于若已有规则中存在与所述允许访问规则一致的匹配已有规则,则在所述允许型列表的相应表项中标记符合需求;
拒绝规则标定模块,配置用于若已有规则中不存在所述拒绝访问规则一致的匹配已有规则,则在所述拒绝型列表的相应表项中标记符合需求;
相悖规则标定模块,配置用于若已有规则中存在与所述拒绝访问规则一致的匹配已有规则,则在所述拒绝型列表的相应表项中标记不符合需求,并记录所述拒绝访问规则的布尔值或源码信息。
进一步的,所述规则更新单元包括:
状态修改模块,配置用于利用所述布尔值修改所述已有匹配规则的启用状态;
源码处理模块,配置用于根据所述源码信息将所述拒绝访问规则的文件路径和行数转换为策略源码中的接口名字;
规则更新模块,配置用于根据所述接口名字修改策略源码,删除带有否定标记的拒绝访问规则并添加带有否定标记的允许访问规则。
第三方面,提供一种终端,包括:
处理器、存储器,其中,
该存储器用于存储计算机程序,
该处理器用于从存储器中调用并运行该计算机程序,使得终端执行上述的终端的方法。
第四方面,提供了一种计算机存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
本发明的有益效果在于,
本发明提供的强制访问规则的配置方法、系统、终端及存储介质,通过将安全需求分解为访问规则,然后将这些访问规则与策略库中的已有规则进行匹配,对策略库中的已有规则进行更新,从而实现安全需求与策略库的匹配。本发明可解决强制访问规则策略库中已有规则但存在与当前的安全需求不完全相符的场景下的解决办法问题,起到推进强制访问功能的作用。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例的方法的示意性流程图。
图2是本发明一个实施例的系统的示意性框图。
图3为本发明实施例提供的一种终端的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
下面对本发明中出现的关键术语进行解释。
MAC:mandatory access control强制访问控制。
MAC配置:强制访问控制系统判决访问允许或拒绝的依据,内容是主体对客体的权限设定。
安全策略文件:保存访问控制规则的文件,在生产环境上为二进制表示,而非文本表示。
Audit2allow:selinux工具,根据审计内容生成策略规则的一个工具。
Selinux boolean:布尔值,条件规则中需要的,仅有on和off两个状态。
图1是本发明一个实施例的方法的示意性流程图。其中,图1执行主体可以为一种强制访问规则的配置系统。
如图1所示,该方法包括:
步骤110,将产品级的安全需求分解为访问规则,并将所有访问规则保存至访问规则列表;
步骤120,从所述访问规则列表依次提取访问规则,并判断提取的访问规则与策略库已有规则是否匹配:
步骤130,若是,则在所述访问规则列表的相应表项做肯定标记;
步骤140,若否,则在所述访问规则列表的相应表项做否定标记,并根据带有否定标记的访问规则更新策略库。
具体的,所述强制访问规则的配置方法包括:
S1、将产品级的安全需求分解为访问规则,并将所有访问规则保存至访问规则列表。
首先将产品的安全需求分解为具体的selinux规则,分为2张表,一为访问允许表,记为T1,表示此表中主体对客体的操作应当被允许,一为访问拒绝表,记为T2,表示操作应当被拒绝。由于seliux策略规则默认是allow规则,即允许访问,所以T1中的条目都应在已安装的策略库中存在,而T2中的条目都应当不存在。T1/T2表都是txt文件。
S2、从所述访问规则列表依次提取访问规则,并判断提取的访问规则与策略库已有规则是否匹配。
对T1表项作处理,在已安装策略库中能找到的表项的Pass处标记Y,反之标记N,标N的同时在Recom上填写audit2allow。标记后的T1记为T3。
对T2表项作处理,在已安装策略库中能找到的表项的Pass处标记N,能找到对应selinux Boolean的在Recom(反射中间件)上填写bool(布尔型变量):NAME,其中NAME处为bool的名字,无对应boolean的在Recom上填写策略源代码的文件路径和行数,这由拒绝相悖模块处理,在已安装策略库中找不到的表项的Pass处标记Y。T2经此处理得到表T4。
S3、将所述访问规则列表中所有带有否定标记的访问规则更新至策略库。
将T4表中的策略源代码的文件路径和行数转换为策略源码中的接口的名字。更新T4中的Recom字段为注销Interface,其中Interface为接口的名字。更新后的T4表记为T5。策略制定者根据T3表和T5表仅需要修改策略源码以及添加新的allow规则即可。
通过结合audit2allow和修改策略源代码后得到的新策略库,即满足了产品级的安全需求。
如图2所示,该系统200包括:
需求分解单元210,配置用于将产品级的安全需求分解为访问规则,并将所有访问规则保存至访问规则列表;
规则匹配单元220,配置用于从所述访问规则列表依次提取访问规则,并判断提取的访问规则与策略库已有规则是否匹配;
肯定标记单元230,配置用于若提取的访问规则与策略库已有规则匹配,则在所述访问规则列表的相应表项做肯定标记;
否定标记单元240,配置用于若提取的访问规则与策略库已有规则不匹配,则在所述访问规则列表的相应表项做否定标记,并根据带有否定标记的访问规则更新策略库。
可选地,作为本发明一个实施例,所述需求分解单元包括:
需求分解模块,配置用于将产品级的安全需求分解为允许访问规则和拒绝访问规则;
允许存储模块,配置用于将所有允许访问规则保存至允许型列表;
拒绝存储模块,配置用于将所有拒绝访问规则保存至拒绝型列表。
可选地,作为本发明一个实施例,所述规则匹配单元还包括:
允许规则标定模块,配置用于若已有规则中存在与所述允许访问规则一致的匹配已有规则,则在所述允许型列表的相应表项中标记符合需求;
拒绝规则标定模块,配置用于若已有规则中不存在所述拒绝访问规则一致的匹配已有规则,则在所述拒绝型列表的相应表项中标记符合需求;
相悖规则标定模块,配置用于若已有规则中存在与所述拒绝访问规则一致的匹配已有规则,则在所述拒绝型列表的相应表项中标记不符合需求,并记录所述拒绝访问规则的布尔值或源码信息。
可选地,作为本发明一个实施例,所述规则更新单元包括:
状态修改模块,配置用于利用所述布尔值修改所述已有匹配规则的启用状态;
源码处理模块,配置用于根据所述源码信息将所述拒绝访问规则的文件路径和行数转换为策略源码中的接口名字;
规则更新模块,配置用于根据所述接口名字修改策略源码,删除带有否定标记的拒绝访问规则并添加带有否定标记的允许访问规则。
图3为本发明实施例提供的一种终端300的结构示意图,该终端300可以用于执行本发明实施例提供的强制访问规则的配置方法。
其中,该终端300可以包括:处理器310、存储器320及通信单元330。这些组件通过一条或多条总线进行通信,本领域技术人员可以理解,图中示出的服务器的结构并不构成对本发明的限定,它既可以是总线形结构,也可以是星型结构,还可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
其中,该存储器320可以用于存储处理器310的执行指令,存储器320可以由任何类型的易失性或非易失性存储终端或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。当存储器320中的执行指令由处理器310执行时,使得终端300能够执行以下上述方法实施例中的部分或全部步骤。
处理器310为存储终端的控制中心,利用各种接口和线路连接整个电子终端的各个部分,通过运行或执行存储在存储器320内的软件程序和/或模块,以及调用存储在存储器内的数据,以执行电子终端的各种功能和/或处理数据。所述处理器可以由集成电路(Integrated Circuit,简称IC)组成,例如可以由单颗封装的IC所组成,也可以由连接多颗相同功能或不同功能的封装IC而组成。举例来说,处理器310可以仅包括中央处理器(Central Processing Unit,简称CPU)。在本发明实施方式中,CPU可以是单运算核心,也可以包括多运算核心。
通信单元330,用于建立通信信道,从而使所述存储终端可以与其它终端进行通信。接收其他终端发送的用户数据或者向其他终端发送用户数据。
本发明还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本发明提供的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
因此,本发明通过将安全需求分解为访问规则,然后将这些访问规则与策略库中的已有规则进行匹配,对策略库中的已有规则进行更新,从而实现安全需求与策略库的匹配。本发明可解决强制访问规则策略库中已有规则但存在与当前的安全需求不完全相符的场景下的解决办法问题,起到推进强制访问功能的作用,本实施例所能达到的技术效果可以参见上文中的描述,此处不再赘述。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中如U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质,包括若干指令用以使得一台计算机终端(可以是个人计算机,服务器,或者第二终端、网络终端等)执行本发明各个实施例所述方法的全部或部分步骤。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于终端实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,系统或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述,但本发明并不限于此。在不脱离本发明的精神和实质的前提下,本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换,而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种强制访问规则的配置方法,其特征在于,包括:
将产品级的安全需求分解为访问规则,并将所有访问规则保存至访问规则列表;
从所述访问规则列表依次提取访问规则,并判断提取的访问规则与策略库已有规则是否匹配:
若是,则在所述访问规则列表的相应表项做肯定标记;
若否,则在所述访问规则列表的相应表项做否定标记,并根据带有否定标记的访问规则更新策略库。
2.根据权利要求1所述的方法,其特征在于,所述将产品级的安全需求分解为访问规则并将所有访问规则保存至访问规则列表,包括:
将产品级的安全需求分解为允许访问规则和拒绝访问规则;
将所有允许访问规则保存至允许型列表;
将所有拒绝访问规则保存至拒绝型列表。
3.根据权利要求2所述的方法,其特征在于,所述判断提取的访问规则与策略库已有规则是否匹配,包括:
若已有规则中存在与所述允许访问规则一致的匹配已有规则,则在所述允许型列表的相应表项中标记符合需求;
若已有规则中不存在所述拒绝访问规则的匹配已有规则,则在所述拒绝型列表的相应表项中标记符合需求;
若已有规则中存在所述拒绝访问规则的匹配已有规则,则在所述拒绝型列表的相应表项中标记不符合需求,并记录所述拒绝访问规则的布尔值或源码信息。
4.根据权利要求3所述的方法,其特征在于,所述根据带有否定标记的访问规则更新策略库,包括:
利用所述布尔值修改所述匹配已有规则的启用状态;
根据所述源码信息将所述拒绝访问规则的文件路径和行数转换为策略源码中的接口名字;
根据所述接口名字修改策略源码,删除带有否定标记的拒绝访问规则并添加带有否定标记的允许访问规则。
5.一种强制访问规则的配置系统,其特征在于,包括:
需求分解单元,配置用于将产品级的安全需求分解为访问规则,并将所有访问规则保存至访问规则列表;
规则匹配单元,配置用于从所述访问规则列表依次提取访问规则,并判断提取的访问规则与策略库已有规则是否匹配;
肯定标记单元,配置用于若提取的访问规则与策略库已有规则匹配,则在所述访问规则列表的相应表项做肯定标记;
否定标记单元,配置用于若提取的访问规则与策略库已有规则不匹配,则在所述访问规则列表的相应表项做否定标记,并根据带有否定标记的访问规则更新策略库。
6.根据权利要求5所述的系统,其特征在于,所述需求分解单元包括:
需求分解模块,配置用于将产品级的安全需求分解为允许访问规则和拒绝访问规则;
允许存储模块,配置用于将所有允许访问规则保存至允许型列表;
拒绝存储模块,配置用于将所有拒绝访问规则保存至拒绝型列表。
7.根据权利要求6所述的系统,其特征在于,所述规则匹配单元还包括:
允许规则标定模块,配置用于若已有规则中存在与所述允许访问规则一致的匹配已有规则,则在所述允许型列表的相应表项中标记符合需求;
拒绝规则标定模块,配置用于若已有规则中不存在所述拒绝访问规则一致的匹配已有规则,则在所述拒绝型列表的相应表项中标记符合需求;
相悖规则标定模块,配置用于若已有规则中存在与所述拒绝访问规则一致的匹配已有规则,则在所述拒绝型列表的相应表项中标记不符合需求,并记录所述拒绝访问规则的布尔值或源码信息。
8.根据权利要求7所述的系统,其特征在于,所述系统还包括规则更新单元,所述规则更新单元包括:
状态修改模块,配置用于利用所述布尔值修改所述匹配已有规则的启用状态;
源码处理模块,配置用于根据所述源码信息将所述拒绝访问规则的文件路径和行数转换为策略源码中的接口名字;
规则更新模块,配置用于根据所述接口名字修改策略源码,删除带有否定标记的拒绝访问规则并添加带有否定标记的允许访问规则。
9.一种终端,其特征在于,包括:
处理器;
用于存储处理器的执行指令的存储器;
其中,所述处理器被配置为执行权利要求1-4任一项所述的方法。
10.一种存储有计算机程序的计算机可读存储介质,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010955072.7A CN112187739B (zh) | 2020-09-11 | 2020-09-11 | 一种强制访问规则的配置方法、系统、终端及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010955072.7A CN112187739B (zh) | 2020-09-11 | 2020-09-11 | 一种强制访问规则的配置方法、系统、终端及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112187739A CN112187739A (zh) | 2021-01-05 |
| CN112187739B true CN112187739B (zh) | 2022-12-20 |
Family
ID=73920646
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010955072.7A Active CN112187739B (zh) | 2020-09-11 | 2020-09-11 | 一种强制访问规则的配置方法、系统、终端及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112187739B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101707695A (zh) * | 2009-11-13 | 2010-05-12 | 中兴通讯股份有限公司 | 一种网际协议电视业务中控制访问权限的方法和装置 |
| WO2017107738A1 (zh) * | 2015-12-24 | 2017-06-29 | 北京国双科技有限公司 | 规则匹配方法及装置 |
| CN107368582A (zh) * | 2017-07-21 | 2017-11-21 | 深信服科技股份有限公司 | 一种sql语句检测方法及系统 |
| CN108494759A (zh) * | 2018-03-14 | 2018-09-04 | 北京思特奇信息技术股份有限公司 | 一种访问请求处理方法、系统、设备和存储介质 |
| CN109981683A (zh) * | 2019-04-11 | 2019-07-05 | 苏州浪潮智能科技有限公司 | 一种交换机数据访问方法、系统、设备及计算机存储介质 |
| CN111400723A (zh) * | 2020-04-01 | 2020-07-10 | 中国人民解放军国防科技大学 | 基于tee扩展的操作系统内核强制访问控制方法及系统 |
-
2020
- 2020-09-11 CN CN202010955072.7A patent/CN112187739B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101707695A (zh) * | 2009-11-13 | 2010-05-12 | 中兴通讯股份有限公司 | 一种网际协议电视业务中控制访问权限的方法和装置 |
| WO2017107738A1 (zh) * | 2015-12-24 | 2017-06-29 | 北京国双科技有限公司 | 规则匹配方法及装置 |
| CN107368582A (zh) * | 2017-07-21 | 2017-11-21 | 深信服科技股份有限公司 | 一种sql语句检测方法及系统 |
| CN108494759A (zh) * | 2018-03-14 | 2018-09-04 | 北京思特奇信息技术股份有限公司 | 一种访问请求处理方法、系统、设备和存储介质 |
| CN109981683A (zh) * | 2019-04-11 | 2019-07-05 | 苏州浪潮智能科技有限公司 | 一种交换机数据访问方法、系统、设备及计算机存储介质 |
| CN111400723A (zh) * | 2020-04-01 | 2020-07-10 | 中国人民解放军国防科技大学 | 基于tee扩展的操作系统内核强制访问控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112187739A (zh) | 2021-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109766696B (zh) | 软件权限的设置方法及装置、存储介质、电子装置 | |
| CN110506271B (zh) | 针对隐私敏感用户内容的可配置注释 | |
| US20180260921A1 (en) | Remote machine operation through distributed permissioning | |
| CN111181975A (zh) | 一种账号管理方法、装置、设备及存储介质 | |
| CN103593602A (zh) | 一种用户权限管理方法和系统 | |
| CN108614969B (zh) | 一种系统启动后加载的强制访问控制方法及系统 | |
| CN113849808A (zh) | 容器安全管理方法、系统、终端及存储介质 | |
| CN109800571B (zh) | 事件处理方法和装置、以及存储介质和电子装置 | |
| US20240211601A1 (en) | Firmware policy enforcement via a security processor | |
| CN111177703B (zh) | 操作系统数据完整性的确定方法及装置 | |
| CN111125721A (zh) | 一种进程启动的控制方法、计算机设备和可读存储介质 | |
| CN113254470B (zh) | 一种数据更改方法、装置、计算机设备及存储介质 | |
| CN112187739B (zh) | 一种强制访问规则的配置方法、系统、终端及存储介质 | |
| CN117499124A (zh) | 一种访问控制方法及装置 | |
| CN107368738A (zh) | 一种智能设备的防Root方法及装置 | |
| CN112613075A (zh) | 权限的确定方法及装置、存储介质及电子装置 | |
| CN109040089B (zh) | 网络策略审计方法、设备及计算机可读存储介质 | |
| CN114244555B (zh) | 一种安全策略的调整方法 | |
| US20210240820A1 (en) | Device and Method for Validation of Virtual Function Pointers | |
| CN114443101A (zh) | 系统高级审核策略更新方法、系统、终端及存储介质 | |
| CN116136844A (zh) | 实体标识信息的生成方法、装置、介质及电子设备 | |
| CN109783156B (zh) | 一种应用的启动控制方法及装置 | |
| CN108462713B (zh) | 一种客户端进行可信验证的方法和系统 | |
| KR101862382B1 (ko) | 안드로이드 환경에서의 어플리케이션 데이터 관리 방법 및 장치 | |
| CN111783131A (zh) | 数据保护方法、计算机设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |