CN114417395B - 操作系统安全路由处理方法和系统 - Google Patents

操作系统安全路由处理方法和系统 Download PDF

Info

Publication number
CN114417395B
CN114417395B CN202111512442.0A CN202111512442A CN114417395B CN 114417395 B CN114417395 B CN 114417395B CN 202111512442 A CN202111512442 A CN 202111512442A CN 114417395 B CN114417395 B CN 114417395B
Authority
CN
China
Prior art keywords
operating system
data
access
domain
memory space
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111512442.0A
Other languages
English (en)
Other versions
CN114417395A (zh
Inventor
余丹
谢星宇
张腾怀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Standard Intelligent Security Technology Co Ltd
Original Assignee
China Standard Intelligent Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Standard Intelligent Security Technology Co Ltd filed Critical China Standard Intelligent Security Technology Co Ltd
Priority to CN202111512442.0A priority Critical patent/CN114417395B/zh
Publication of CN114417395A publication Critical patent/CN114417395A/zh
Application granted granted Critical
Publication of CN114417395B publication Critical patent/CN114417395B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/544Buffers; Shared memory; Pipes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

本发明提供了操作系统安全路由处理方法和系统,其在多域隔离操作系统的共享内存空间设置安全分区内存空间,并根据多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,确定每个域操作系统与安全分区内存空间之间的允许连接持续时间;并且通过虚拟消息路由将来自域操作系统的访问请求发送至虚拟安全控制器中进行安全验证,当确定域操作系统具备对安全分区内存空间的访问权限时,对安全分区内存空间进行内存数据隔离处理,同时形成相应的域操作系统内存访问日志信息,这样通过对访问申请进行安全验证以此保证所有域操作系统能够有序安全的访问安全分区内存空间以及提高内存空间的数据安全性。

Description

操作系统安全路由处理方法和系统
技术领域
本发明涉及操作系统管理的技术领域,特别涉及操作系统安全路由处理方法和系统。
背景技术
域操作系统是指在同一服务器视功能设置多个相互独立的操作系统,每个域操作系统都能够面对用户进行运作,并且不同域操作系统之间的运行是相互隔离。在实际工作中,不同域操作系统都是依靠同一服务器的内存空间来运行的,因此每一域操作系统在访问内存空间时,都需要预先进行访问申请,随后对每个访问申请进行确定后才授权域操作系统进行访问。上述方式只需要域操作系统提交访问申请后即可按序访问内存空间,其并不需要对访问申请进行安全验证,这很容易导致域操作系统非法访问内存空间的情况发生,同时也无法保证内存空间中的数据不被窃取或者篡改,从而大大降低内存空间的数据安全性。
发明内容
针对现有技术存在的缺陷,本发明提供操作系统安全路由处理方法和系统,其在多域隔离操作系统的共享内存空间设置安全分区内存空间,并根据多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,确定每个域操作系统与安全分区内存空间之间的允许连接持续时间;并且通过虚拟消息路由将来自域操作系统的访问请求发送至虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限;当确定域操作系统具备对安全分区内存空间的访问权限时,对安全分区内存空间进行内存数据隔离处理;再在允许连接持续时间内,指示域操作系统对安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息,这样通过对访问申请进行安全验证以此保证所有域操作系统能够有序安全的访问安全分区内存空间以及提高内存空间的数据安全性。
本发明提供操作系统安全路由处理方法,其特征在于,其包括如下步骤:
步骤S1,在多域隔离操作系统的共享内存空间设置安全分区内存空间;获取多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,并根据所述任务运行负载信息,确定每个域操作系统与所述安全分区内存空间之间的允许连接持续时间;
步骤S2,在所述安全分区内存空间中设置虚拟消息路由和虚拟安全控制器;通过所述虚拟消息路由将来自域操作系统的访问请求发送至所述虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限;
步骤S3,当确定域操作系统具备对安全分区内存空间的访问权限时,对所述安全分区内存空间进行内存数据隔离处理;再在所述允许连接持续时间内,指示域操作系统对所述安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息;
进一步,在所述步骤S1中,在多域隔离操作系统的共享内存空间设置安全分区内存空间;获取多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,并根据所述任务运行负载信息,确定每个域操作系统与所述安全分区内存空间之间的允许连接持续时间具体包括:
步骤S101,在多域隔离操作系统的共享内存空间中划分预设大小的存储空间作为安全分区内存空间;获取多域隔离操作系统中每个域操作系统在预设时间段内各自的任务执行次数以及每个任务各自对应的任务数据量,以此作为所述任务运行负载信息;
步骤S102,根据所述任务执行次数和所述任务数据量,确定每个域操作系统在预设时间段内的任务运算总数据量,继而确定所有域操作系统在预设时间段内的任务运算整体数据量;再确定每个域操作系统的任务运算总数据量与所述任务运算整体数据量的数据量占比;
步骤S103,根据每个域操作系统的数据量占比,从预设安全分区内存连接整体时间段内确定每个域操作系统与所述安全分区内存空间之间的允许连接持续时间;其中,所述预设安全分区内存连接整体时间段是指所有域操作系统整体允许与所述安全分区内存空间进行连接的最长时间长度;
进一步,在所述步骤S2中,在所述安全分区内存空间中设置虚拟消息路由和虚拟安全控制器;通过所述虚拟消息路由将来自域操作系统的访问请求发送至所述虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限具体包括:
步骤S201,在所述安全分区内存空间中设置虚拟网关,再在所述虚拟网关上加载形成虚拟消息路由和虚拟安全控制器;
步骤S202,通过所述虚拟消息路由对来自域操作系统的访问请求进行截取,并根据所述访问请求的发送时间先后顺序,将所述访问请求置于相应的请求队列中;
步骤S203,从所述请求队列中依次将访问请求发送至所述虚拟安全控制器中,以使所述虚拟安全控制器根据所述访问请求及其对应的域操作系统的身份信息进行安全验证;当所述安全验证通过后,确定域操作系统具备对安全分区内存空间的访问权限,否则,确定域操作系统不具备对安全分区内存空间的访问权限;
进一步,在所述步骤S203中,所述虚拟安全控制器根据所述访问请求及其对应的域操作系统的身份信息进行安全验证具体为:
所述访问请求包含两种类型的访问请求,其中第一种为访问请求只包括访问请求数据,则此时在接收到访问请求数据后开始对其对应的域操作系统的身份信息进行安全验证;第二种为访问请求包括访问请求数据以及临时授权数据这两种数据,即当工作人员授予所述域操作系统的临时访问权限时,会生成所述临时授权数据,并且无需验证其对应的域操作系统的身份信息即可通过安全验证,并且所述临时授权数据还包括授权时间,从接收到访问请求开始计时超过所述授权时间后所述访问请求中的临时授权数据会被抹除即进入第一种只包括访问请求数据的情况,其具体包括:
步骤S2031,利用下面公式(1),对所述访问请求中的数据进行数据校验,判断所述访问请求中是否存在临时授权数据,
Figure BDA0003399688990000041
在上述公式(1)中,D表示所述访问请求中是否存在临时授权数据的判断值;m表示所述访问请求中属于访问请求数据的数据长度,即访问请求数据的二进制形式对应的二进制位数;G(i+m)表示访问请求的二进制形式中第i+m位的二进制数;F(i)表示临时授权数据的标准帧头数据二进制形式中第i位的二进制数;n表示临时授权数据的标准帧头数据的数据长度,即临时授权数据的标准帧头数据的二进制位数;| |表示求绝对值运算;K表所述访问请求中不属于访问请求数据的数据长度,即除访问请求数据外的其他数据的二进制位数并且K>n;V表示逻辑关系或运算;
Figure BDA0003399688990000042
表示除访问请求数据外的其他数据所有位上的数值全部为0;
若D=1,则表示访问请求中存在临时授权数据;
若D=0,则表示访问请求中不存在临时授权数据;
步骤S2032,利用下面公式(2),根据访问请求中的数据校验状态以及其对应的域操作系统的身份信息,得到其对应的域操作系统的安全验证结果,
Figure BDA0003399688990000043
在上述公式(2)中,Y表示所述访问请求对应的域操作系统的安全验证结果;S表示所述访问请求求对应的域操作系统的身份信息数据,并且所述身份信息数据形式为二进制形式;Se表示所述虚拟安全控制器中预先存储的安全域操作系统的身份信息数据,并且所述身份信息数据形式为二进制形式;B表示所述虚拟安全控制器中预先存储的安全域操作系统个数;()10表示将括号内的数值转换为十进制数值;
若Y=0,则表示所述访问请求对应的域操作系统的安全验证结果为通过;
若Y≠0,则表示所述访问请求对应的域操作系统的安全验证结果为不通过;
步骤S2033,利用下面公式(3),根据访问请求中的数据校验状态以及当前时刻,将访问请求中的临时授权数据的删除,
C(t)=D×{t-t0-[G(n+1+m)~G(K-x+m)]10} (3)
在上述公式(3)中,C(t)表示当前时刻所述访问请求中除访问请求数据外的其他数据清零控制值;t表示当前时刻;t0表示所述虚拟安全控制器接收到访问请求的时刻;x表示临时授权数据的标准帧尾数据的数据长度,即临时授权数据的标准帧尾数据的二进制位数;G(n+1+m)~G(K-x+m)表示所述访问请求的二进制形式中第n+1+m位到第K-x+m位组成的二进制数据;
若C(t)≤0,则表示当前时刻所述访问请求中除访问请求数据外的其他数据还未到清零时间,则不控制清零;
若C(t)>0,则表示当前时刻所述访问请求中除访问请求数据外的其他数据已到清零时间,则控制所述访问请求中除访问请求数据外的其他数据进行清零,并再次重新执行步骤S2031-S2033以此重新对访问请求进行判断和安全验证:
进一步,在所述步骤S3中,当确定域操作系统具备对安全分区内存空间的访问权限时,对所述安全分区内存空间进行内存数据隔离处理;再在所述允许连接持续时间内,指示域操作系统对所述安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息具体包括:
步骤S301,当确定域操作系统具备对安全分区内存空间的访问权限时,获取所述安全分区内存空间当前存储的数据对应的存放历史时间长度;
步骤S302,将所述存放历史时间长度与预设时间长度阈值进行比对,若所述存放历史时间长度大于或者等于预设时间长度阈值,则将所述存储的数据删除;否则,将所述存储的数据进行加密处理,从而实现所述内存数据隔离处理;
步骤S303,在所述允许连接持续时间内,指示域操作系统对所述安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息;其中所述域操作系统内存访问日志信息包括域操作系统实际访问时间长度;再根据所述域操作系统内存访问日志信息,判断域操作系统是否存在超时访问的情况,若存在,则强制中断域操作系统当前的访问进程。
本发明还提供操作系统安全路由处理系统,其特征在于,其包括安全分区内存空间设定模块、域操作系统连接时间确定模块、域操作系统访问权限确定模块和域操作系统访问监控模块;其中,
所述安全分区内存空间设定模块用于在多域隔离操作系统的共享内存空间设置安全分区内存空间;
所述域操作系统连接时间确定模块用于获取多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,并根据所述任务运行负载信息,确定每个域操作系统与所述安全分区内存空间之间的允许连接持续时间;
所述域操作系统访问权限确定模块用于在所述安全分区内存空间中设置虚拟消息路由和虚拟安全控制器;通过所述虚拟消息路由将来自域操作系统的访问请求发送至所述虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限;
所述域操作系统访问监控模块用于当确定域操作系统具备对安全分区内存空间的访问权限时,对所述安全分区内存空间进行内存数据隔离处理;再在所述允许连接持续时间内,指示域操作系统对所述安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息;
进一步,所述安全分区内存空间设定模块在多域隔离操作系统的共享内存空间设置安全分区内存空间具体包括:
在多域隔离操作系统的共享内存空间中划分预设大小的存储空间作为安全分区内存空间;
以及,
所述域操作系统连接时间确定模块获取多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,并根据所述任务运行负载信息,确定每个域操作系统与所述安全分区内存空间之间的允许连接持续时间具体包括:
获取多域隔离操作系统中每个域操作系统在预设时间段内各自的任务执行次数以及每个任务各自对应的任务数据量,以此作为所述任务运行负载信息;
根据所述任务执行次数和所述任务数据量,确定每个域操作系统在预设时间段内的任务运算总数据量,继而确定所有域操作系统在预设时间段内的任务运算整体数据量;再确定每个域操作系统的任务运算总数据量与所述任务运算整体数据量的数据量占比;
根据每个域操作系统的数据量占比,从预设安全分区内存连接整体时间段内确定每个域操作系统与所述安全分区内存空间之间的允许连接持续时间;其中,所述预设安全分区内存连接整体时间段是指所有域操作系统整体允许与所述安全分区内存空间进行连接的最长时间长度;
进一步,所述域操作系统访问权限确定模块在所述安全分区内存空间中设置虚拟消息路由和虚拟安全控制器;通过所述虚拟消息路由将来自域操作系统的访问请求发送至所述虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限具体包括:
在所述安全分区内存空间中设置虚拟网关,再在所述虚拟网关上加载形成虚拟消息路由和虚拟安全控制器;
通过所述虚拟消息路由对来自域操作系统的访问请求进行截取,并根据所述访问请求的发送时间先后顺序,将所述访问请求置于相应的请求队列中;
从所述请求队列中依次将访问请求发送至所述虚拟安全控制器中,以使所述虚拟安全控制器根据所述访问请求及其对应的域操作系统的身份信息进行安全验证;当所述安全验证通过后,确定域操作系统具备对安全分区内存空间的访问权限,否则,确定域操作系统不具备对安全分区内存空间的访问权限;
进一步,所述域操作系统访问监控模块当确定域操作系统具备对安全分区内存空间的访问权限时,对所述安全分区内存空间进行内存数据隔离处理;再在所述允许连接持续时间内,指示域操作系统对所述安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息具体包括:
当确定域操作系统具备对安全分区内存空间的访问权限时,获取所述安全分区内存空间当前存储的数据对应的存放历史时间长度;
将所述存放历史时间长度与预设时间长度阈值进行比对,若所述存放历史时间长度大于或者等于预设时间长度阈值,则将所述存储的数据删除;否则,将所述存储的数据进行加密处理,从而实现所述内存数据隔离处理;
在所述允许连接持续时间内,指示域操作系统对所述安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息;其中所述域操作系统内存访问日志信息包括域操作系统实际访问时间长度;再根据所述域操作系统内存访问日志信息,判断域操作系统是否存在超时访问的情况,若存在,则强制中断域操作系统当前的访问进程。
相比于现有技术,该操作系统安全路由处理方法和系统在多域隔离操作系统的共享内存空间设置安全分区内存空间,并根据多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,确定每个域操作系统与安全分区内存空间之间的允许连接持续时间;并且通过虚拟消息路由将来自域操作系统的访问请求发送至虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限;当确定域操作系统具备对安全分区内存空间的访问权限时,对安全分区内存空间进行内存数据隔离处理;再在允许连接持续时间内,指示域操作系统对安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息,这样通过对访问申请进行安全验证以此保证所有域操作系统能够有序安全的访问安全分区内存空间以及提高内存空间的数据安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的操作系统安全路由处理方法的流程示意图。
图2为本发明提供的操作系统安全路由处理系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,为本发明实施例提供的操作系统安全路由处理方法的流程示意图。该操作系统安全路由处理方法包括如下步骤:
步骤S1,在多域隔离操作系统的共享内存空间设置安全分区内存空间;获取多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,并根据该任务运行负载信息,确定每个域操作系统与该安全分区内存空间之间的允许连接持续时间;
步骤S2,在该安全分区内存空间中设置虚拟消息路由和虚拟安全控制器;通过该虚拟消息路由将来自域操作系统的访问请求发送至该虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限;
步骤S3,当确定域操作系统具备对安全分区内存空间的访问权限时,对该安全分区内存空间进行内存数据隔离处理;再在该允许连接持续时间内,指示域操作系统对该安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息。
上述技术方案的有益效果为:该操作系统安全路由处理方法在多域隔离操作系统的共享内存空间设置安全分区内存空间,并根据多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,确定每个域操作系统与安全分区内存空间之间的允许连接持续时间;并且通过虚拟消息路由将来自域操作系统的访问请求发送至虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限;当确定域操作系统具备对安全分区内存空间的访问权限时,对安全分区内存空间进行内存数据隔离处理;再在允许连接持续时间内,指示域操作系统对安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息,这样通过对访问申请进行安全验证以此保证所有域操作系统能够有序安全的访问安全分区内存空间以及提高内存空间的数据安全性。
优选地,在该步骤S1中,在多域隔离操作系统的共享内存空间设置安全分区内存空间;获取多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,并根据该任务运行负载信息,确定每个域操作系统与该安全分区内存空间之间的允许连接持续时间具体包括:
步骤S101,在多域隔离操作系统的共享内存空间中划分预设大小的存储空间作为安全分区内存空间;获取多域隔离操作系统中每个域操作系统在预设时间段内各自的任务执行次数以及每个任务各自对应的任务数据量,以此作为该任务运行负载信息;
步骤S102,根据该任务执行次数和该任务数据量,确定每个域操作系统在预设时间段内的任务运算总数据量,继而确定所有域操作系统在预设时间段内的任务运算整体数据量;再确定每个域操作系统的任务运算总数据量与该任务运算整体数据量的数据量占比;
步骤S103,根据每个域操作系统的数据量占比,从预设安全分区内存连接整体时间段内确定每个域操作系统与该安全分区内存空间之间的允许连接持续时间;其中,该预设安全分区内存连接整体时间段是指所有域操作系统整体允许与该安全分区内存空间进行连接的最长时间长度。
上述技术方案的有益效果为:在多域隔离操作系统对应的服务器的共享内存空间(比如共享内存器)中划分预设大小的存储空间作安全分区内存空间,该安全分区内存空间的存储空间大小决定于多域隔离操作系统中所有域操作系统的运行内存空间总和需求,一般而言,该安全分区内存空间的存储空间不小于该运行内存空间总和需求。通过获取每个域操作系统在预设时间段内各自的任务执行次数以及每个任务各自对应的任务数据量,并以两者的乘积作为每个域操作系统在预设时间段内的任务运算总数据量,这样能够确定每个域操作系统各自在任务运行过程中的数据量占比,再以该数据量占比为基准,从预设安全分区内存连接整体时间段内确定每个域操作系统与该安全分区内存空间之间的允许连接持续时间;比如,某一域操作系统的数据量占比为10%,并且预设安全分区内存连接整体时间为A,那么该域操作系统对应的允许连接持续时间为10%*A。通过上述方式能够为具有较大任务运行负荷的域操作系统分配较长的允许连接持续时间,从而保证每个域操作系统均具有充足的允许连接持续时间。
优选地,在该步骤S2中,在该安全分区内存空间中设置虚拟消息路由和虚拟安全控制器;通过该虚拟消息路由将来自域操作系统的访问请求发送至该虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限具体包括:
步骤S201,在该安全分区内存空间中设置虚拟网关,再在该虚拟网关上加载形成虚拟消息路由和虚拟安全控制器;
步骤S202,通过该虚拟消息路由对来自域操作系统的访问请求进行截取,并根据该访问请求的发送时间先后顺序,将该访问请求置于相应的请求队列中;
步骤S203,从该请求队列中依次将访问请求发送至该虚拟安全控制器中,以使该虚拟安全控制器根据该访问请求及其对应的域操作系统的身份信息进行安全验证;当该安全验证通过后,确定域操作系统具备对安全分区内存空间的访问权限,否则,确定域操作系统不具备对安全分区内存空间的访问权限。
上述技术方案的有益效果为:在该安全分区内存空间设置虚拟网关,以及在该虚拟网关上加载形成虚拟消息路由器和虚拟安全控制器,其中该虚拟消息路由器作为对域操作系统的访问控制执行组件,该虚拟安全控制器作为安全验证模块;其中,该虚拟网关,该虚拟消息路由器和该虚拟安全控制器均可通过在该安全分区内存空间中加载运行相应的软件来实现的,这里不做详细的累述。该虚拟消息路由器能够对来自不同域操作系统的访问申请进行截取和识别,这样能够避免多个域操作系统在同一时间段发出访问申请而发生访问拥堵的情况,该虚拟消息路由器作为访问控制执行组件能够控制不同访问申请发送到该虚拟安全控制器的顺序。该虚拟安全控制器通过执行相应的安全策略,来对访问申请进行安全验证,从而确保只有在数据安全的情况下才授予域操作系统访问权限。
优选地,在该步骤S203中,该虚拟安全控制器根据该访问请求及其对应的域操作系统的身份信息进行安全验证具体为:
该访问请求包含两种类型的访问请求,其中第一种为访问请求只包括访问请求数据,则此时在接收到访问请求数据后开始对其对应的域操作系统的身份信息进行安全验证;第二种为访问请求包括访问请求数据以及临时授权数据这两种数据,即当工作人员授予该域操作系统的临时访问权限时,会生成该临时授权数据,并且无需验证其对应的域操作系统的身份信息即可通过安全验证,并且该临时授权数据还包括授权时间,从接收到访问请求开始计时超过该授权时间后该访问请求中的临时授权数据会被抹除即进入第一种只包括访问请求数据的情况,其具体包括:
步骤S2031,利用下面公式(1),对该访问请求中的数据进行数据校验,判断该访问请求中是否存在临时授权数据,
Figure BDA0003399688990000131
在上述公式(1)中,D表示该访问请求中是否存在临时授权数据的判断值;m表示该访问请求中属于访问请求数据的数据长度,即访问请求数据的二进制形式对应的二进制位数;G(i+m)表示访问请求的二进制形式中第i+m位的二进制数;F(i)表示临时授权数据的标准帧头数据二进制形式中第i位的二进制数;n表示临时授权数据的标准帧头数据的数据长度,即临时授权数据的标准帧头数据的二进制位数;| |表示求绝对值运算;K表该访问请求中不属于访问请求数据的数据长度,即除访问请求数据外的其他数据的二进制位数并且K>n;V表示逻辑关系或运算;
Figure BDA0003399688990000132
表示除访问请求数据外的其他数据所有位上的数值全部为0;
若D=1,则表示访问请求中存在临时授权数据;
若D=0,则表示访问请求中不存在临时授权数据;
在访问请求中会分为两部分前部分为访问请求数据,后部分为其他数据,访问请求数据的数据长度为m所以从m往后的数据则为其他数据,步骤S2031的目的就是利用公式(1)根据帧头判断出其他数据是否为临时授权数据;此外所述访问请求的数据总长度为m+K,访问请求数据的数据长度为m所以除访问请求数据外的其他数据的数据长度为K;
步骤S2032,利用下面公式(2),根据访问请求中的数据校验状态以及其对应的域操作系统的身份信息,得到其对应的域操作系统的安全验证结果,
Figure BDA0003399688990000141
在上述公式(2)中,Y表示该访问请求对应的域操作系统的安全验证结果;S表示该访问请求求对应的域操作系统的身份信息数据,并且该身份信息数据形式为二进制形式;Se表示该虚拟安全控制器中预先存储的安全域操作系统的身份信息数据,并且该身份信息数据形式为二进制形式;B表示该虚拟安全控制器中预先存储的安全域操作系统个数;()10表示将括号内的数值转换为十进制数值;
若Y=0,则表示该访问请求对应的域操作系统的安全验证结果为通过;
若Y≠0,则表示该访问请求对应的域操作系统的安全验证结果为不通过;
步骤S2033,利用下面公式(3),根据访问请求中的数据校验状态以及当前时刻,将访问请求中的临时授权数据的删除,
C(t)=D×{t-t0-[G(n+1+m)~G(K-x+m)]10} (3)
在上述公式(3)中,C(t)表示当前时刻该访问请求中除访问请求数据外的其他数据清零控制值;t表示当前时刻;t0表示该虚拟安全控制器接收到访问请求的时刻;x表示临时授权数据的标准帧尾数据的数据长度,即临时授权数据的标准帧尾数据的二进制位数;G(n+1+m)~G(K-x+m)表示该访问请求的二进制形式中第n+1+m位到第K-x+m位组成的二进制数据;
若C(t)≤0,则表示当前时刻该访问请求中除访问请求数据外的其他数据还未到清零时间,则不控制清零;
若C(t)>0,则表示当前时刻该访问请求中除访问请求数据外的其他数据已到清零时间,则控制该访问请求中除访问请求数据外的其他数据进行清零,并再次重新执行步骤S2031-S2033以此重新对访问请求进行判断和安全验证;
当D=1时表示表示访问请求中存在临时授权数据,那么公式(3)的计算便会有效,则公式(3)中的G(n+1+m)~G(K+m)即为临时授权数据中刨除临时授权数据的帧头以及帧尾后的数据即为授权时间数据,再将授权时间数据转换为十进制即为授权时间.
上述技术方案的有益效果为:利用上述公式(1)对访问请求中的数据进行数据校验,判断所述访问请求中是否存在临时授权数据,进而知晓是否存在工作人员对域操作系统的访问进行临时授权,以确保所述域操作系统工作以及访问的可靠性;利用上述公式(2)根据访问请求中的数据校验状态以及其对应的域操作系统的身份信息得到其对应的域操作系统的安全验证结果,进而从两个方面来进行安全验证,一是可以在临时授权时尽快通过安全验证方便工作人员的访问以及后续操作,二是再没有临时授权时可以与安全域操作系统进行一一比对保证其安全验证的安全性;利用上述公式(3)根据访问请求中的数据校验状态以及当前时刻控制访问请求中的临时授权数据的删除,目的是为了在临时授权时间超过后及时的重新进行安全验证,确保系统的安全性和可靠性。
优选地,在该步骤S3中,当确定域操作系统具备对安全分区内存空间的访问权限时,对该安全分区内存空间进行内存数据隔离处理;再在该允许连接持续时间内,指示域操作系统对该安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息具体包括:
步骤S301,当确定域操作系统具备对安全分区内存空间的访问权限时,获取该安全分区内存空间当前存储的数据对应的存放历史时间长度;
步骤S302,将该存放历史时间长度与预设时间长度阈值进行比对,若该存放历史时间长度大于或者等于预设时间长度阈值,则将该存储的数据删除;否则,将该存储的数据进行加密处理,从而实现该内存数据隔离处理;
步骤S303,在该允许连接持续时间内,指示域操作系统对该安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息;其中该域操作系统内存访问日志信息包括域操作系统实际访问时间长度;再根据该域操作系统内存访问日志信息,判断域操作系统是否存在超时访问的情况,若存在,则强制中断域操作系统当前的访问进程。
上述技术方案的有益效果为:通过获取该安全分区内存空间当前存储的数据对应的存放历史时间长度,并与预设时间长度阈值进行比对,这样能够有效区分识别当前存储的数据是否为必须继续存储在该安全分区内存空间的数据。具体而言,当该存放历史时间长度大于或者等于预设时间长度阈值,则表明当前存储的数据不属于必须继续存储在该安全分区内存空间的数据,否则,表明当前存储的数据属于必须继续存储在该安全分区内存空间的数据。接着,通过对存储的数据进行删除或者加密处理,能够确保在后续访问过程中,该存储的数据不会被窃取或者篡改。最后,根据该域操作系统内存访问日志信息,判断域操作系统是否存在超时访问的情况,若存在,则强制中断域操作系统当前的访问进程,这样能够防止域操作系统超时访问该安全分区内存空间而影响其他域操作系统的访问该安全分区内存空间的进度。
参阅图2,为本发明实施例提供的操作系统安全路由处理系统的结构示意图。该操作系统安全路由处理系统包括安全分区内存空间设定模块、域操作系统连接时间确定模块、域操作系统访问权限确定模块和域操作系统访问监控模块;其中,
该安全分区内存空间设定模块用于在多域隔离操作系统的共享内存空间设置安全分区内存空间;
该域操作系统连接时间确定模块用于获取多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,并根据该任务运行负载信息,确定每个域操作系统与该安全分区内存空间之间的允许连接持续时间;
该域操作系统访问权限确定模块用于在该安全分区内存空间中设置虚拟消息路由和虚拟安全控制器;通过该虚拟消息路由将来自域操作系统的访问请求发送至该虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限;
该域操作系统访问监控模块用于当确定域操作系统具备对安全分区内存空间的访问权限时,对该安全分区内存空间进行内存数据隔离处理;再在该允许连接持续时间内,指示域操作系统对该安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息。
上述技术方案的有益效果为:该操作系统安全路由处理系统在多域隔离操作系统的共享内存空间设置安全分区内存空间,并根据多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,确定每个域操作系统与安全分区内存空间之间的允许连接持续时间;并且通过虚拟消息路由将来自域操作系统的访问请求发送至虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限;当确定域操作系统具备对安全分区内存空间的访问权限时,对安全分区内存空间进行内存数据隔离处理;再在允许连接持续时间内,指示域操作系统对安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息,这样通过对访问申请进行安全验证以此保证所有域操作系统能够有序安全的访问安全分区内存空间以及提高内存空间的数据安全性。
优选地,该安全分区内存空间设定模块在多域隔离操作系统的共享内存空间设置安全分区内存空间具体包括:
在多域隔离操作系统的共享内存空间中划分预设大小的存储空间作为安全分区内存空间;
以及,
该域操作系统连接时间确定模块获取多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,并根据该任务运行负载信息,确定每个域操作系统与该安全分区内存空间之间的允许连接持续时间具体包括:
获取多域隔离操作系统中每个域操作系统在预设时间段内各自的任务执行次数以及每个任务各自对应的任务数据量,以此作为该任务运行负载信息;
根据该任务执行次数和该任务数据量,确定每个域操作系统在预设时间段内的任务运算总数据量,继而确定所有域操作系统在预设时间段内的任务运算整体数据量;再确定每个域操作系统的任务运算总数据量与该任务运算整体数据量的数据量占比;
根据每个域操作系统的数据量占比,从预设安全分区内存连接整体时间段内确定每个域操作系统与该安全分区内存空间之间的允许连接持续时间;其中,该预设安全分区内存连接整体时间段是指所有域操作系统整体允许与该安全分区内存空间进行连接的最长时间长度。
上述技术方案的有益效果为:在多域隔离操作系统对应的服务器的共享内存空间(比如共享内存器)中划分预设大小的存储空间作安全分区内存空间,该安全分区内存空间的存储空间大小决定于多域隔离操作系统中所有域操作系统的运行内存空间总和需求,一般而言,该安全分区内存空间的存储空间不小于该运行内存空间总和需求。通过获取每个域操作系统在预设时间段内各自的任务执行次数以及每个任务各自对应的任务数据量,并以两者的乘积作为每个域操作系统在预设时间段内的任务运算总数据量,这样能够确定每个域操作系统各自在任务运行过程中的数据量占比,再以该数据量占比为基准,从预设安全分区内存连接整体时间段内确定每个域操作系统与该安全分区内存空间之间的允许连接持续时间;比如,某一域操作系统的数据量占比为10%,并且预设安全分区内存连接整体时间为A,那么该域操作系统对应的允许连接持续时间为10%*A。通过上述方式能够为具有较大任务运行负荷的域操作系统分配较长的允许连接持续时间,从而保证每个域操作系统均具有充足的允许连接持续时间。
优选地,该域操作系统访问权限确定模块在该安全分区内存空间中设置虚拟消息路由和虚拟安全控制器;通过该虚拟消息路由将来自域操作系统的访问请求发送至该虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限具体包括:
在该安全分区内存空间中设置虚拟网关,再在该虚拟网关上加载形成虚拟消息路由和虚拟安全控制器;
通过该虚拟消息路由对来自域操作系统的访问请求进行截取,并根据该访问请求的发送时间先后顺序,将该访问请求置于相应的请求队列中;
从该请求队列中依次将访问请求发送至该虚拟安全控制器中,以使该虚拟安全控制器根据该访问请求及其对应的域操作系统的身份信息进行安全验证;当该安全验证通过后,确定域操作系统具备对安全分区内存空间的访问权限,否则,确定域操作系统不具备对安全分区内存空间的访问权限。
上述技术方案的有益效果为:在该安全分区内存空间设置虚拟网关,以及在该虚拟网关上加载形成虚拟消息路由器和虚拟安全控制器,其中该虚拟消息路由器作为对域操作系统的访问控制执行组件,该虚拟安全控制器作为安全验证模块;其中,该虚拟网关,该虚拟消息路由器和该虚拟安全控制器均可通过在该安全分区内存空间中加载运行相应的软件来实现的,这里不做详细的累述。该虚拟消息路由器能够对来自不同域操作系统的访问申请进行截取和识别,这样能够避免多个域操作系统在同一时间段发出访问申请而发生访问拥堵的情况,该虚拟消息路由器作为访问控制执行组件能够控制不同访问申请发送到该虚拟安全控制器的顺序。该虚拟安全控制器通过执行相应的安全策略,来对访问申请进行安全验证,从而确保只有在数据安全的情况下才授予域操作系统访问权限。
优选地,该域操作系统访问监控模块当确定域操作系统具备对安全分区内存空间的访问权限时,对该安全分区内存空间进行内存数据隔离处理;再在该允许连接持续时间内,指示域操作系统对该安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息具体包括:
当确定域操作系统具备对安全分区内存空间的访问权限时,获取该安全分区内存空间当前存储的数据对应的存放历史时间长度;
将该存放历史时间长度与预设时间长度阈值进行比对,若该存放历史时间长度大于或者等于预设时间长度阈值,则将该存储的数据删除;否则,将该存储的数据进行加密处理,从而实现该内存数据隔离处理;
在该允许连接持续时间内,指示域操作系统对该安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息;其中该域操作系统内存访问日志信息包括域操作系统实际访问时间长度;再根据该域操作系统内存访问日志信息,判断域操作系统是否存在超时访问的情况,若存在,则强制中断域操作系统当前的访问进程。
上述技术方案的有益效果为:通过获取该安全分区内存空间当前存储的数据对应的存放历史时间长度,并与预设时间长度阈值进行比对,这样能够有效区分识别当前存储的数据是否为必须继续存储在该安全分区内存空间的数据。具体而言,当该存放历史时间长度大于或者等于预设时间长度阈值,则表明当前存储的数据不属于必须继续存储在该安全分区内存空间的数据,否则,表明当前存储的数据属于必须继续存储在该安全分区内存空间的数据。接着,通过对存储的数据进行删除或者加密处理,能够确保在后续访问过程中,该存储的数据不会被窃取或者篡改。最后,根据该域操作系统内存访问日志信息,判断域操作系统是否存在超时访问的情况,若存在,则强制中断域操作系统当前的访问进程,这样能够防止域操作系统超时访问该安全分区内存空间而影响其他域操作系统的访问该安全分区内存空间的进度。
从上述实施例的内容可知,该操作系统安全路由处理方法和系统在多域隔离操作系统的共享内存空间设置安全分区内存空间,并根据多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,确定每个域操作系统与安全分区内存空间之间的允许连接持续时间;并且通过虚拟消息路由将来自域操作系统的访问请求发送至虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限;当确定域操作系统具备对安全分区内存空间的访问权限时,对安全分区内存空间进行内存数据隔离处理;再在允许连接持续时间内,指示域操作系统对安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息,这样通过对访问申请进行安全验证以此保证所有域操作系统能够有序安全的访问安全分区内存空间以及提高内存空间的数据安全性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (7)

1.操作系统安全路由处理方法,其特征在于,其包括如下步骤:
步骤S1,在多域隔离操作系统的共享内存空间设置安全分区内存空间;获取多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,并根据所述任务运行负载信息,确定每个域操作系统与所述安全分区内存空间之间的允许连接持续时间;
步骤S2,在所述安全分区内存空间中设置虚拟消息路由和虚拟安全控制器;通过所述虚拟消息路由将来自域操作系统的访问请求发送至所述虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限;
步骤S3,当确定域操作系统具备对安全分区内存空间的访问权限时,对所述安全分区内存空间进行内存数据隔离处理;再在所述允许连接持续时间内,指示域操作系统对所述安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息;
其中,在所述步骤S1中,在多域隔离操作系统的共享内存空间设置安全分区内存空间;获取多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,并根据所述任务运行负载信息,确定每个域操作系统与所述安全分区内存空间之间的允许连接持续时间具体包括:
步骤S101,在多域隔离操作系统的共享内存空间中划分预设大小的存储空间作为安全分区内存空间;获取多域隔离操作系统中每个域操作系统在预设时间段内各自的任务执行次数以及每个任务各自对应的任务数据量,以此作为所述任务运行负载信息;
步骤S102,根据所述任务执行次数和所述任务数据量,确定每个域操作系统在预设时间段内的任务运算总数据量,继而确定所有域操作系统在预设时间段内的任务运算整体数据量;再确定每个域操作系统的任务运算总数据量与所述任务运算整体数据量的数据量占比;
步骤S103,根据每个域操作系统的数据量占比,从预设安全分区内存连接整体时间段内确定每个域操作系统与所述安全分区内存空间之间的允许连接持续时间;其中,所述预设安全分区内存连接整体时间段是指所有域操作系统整体允许与所述安全分区内存空间进行连接的最长时间长度。
2.如权利要求1所述的操作系统安全路由处理方法,其特征在于:
在所述步骤S2中,在所述安全分区内存空间中设置虚拟消息路由和虚拟安全控制器;通过所述虚拟消息路由将来自域操作系统的访问请求发送至所述虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限具体包括:
步骤S201,在所述安全分区内存空间中设置虚拟网关,再在所述虚拟网关上加载形成虚拟消息路由和虚拟安全控制器;
步骤S202,通过所述虚拟消息路由对来自域操作系统的访问请求进行截取,并根据所述访问请求的发送时间先后顺序,将所述访问请求置于相应的请求队列中;
步骤S203,从所述请求队列中依次将访问请求发送至所述虚拟安全控制器中,以使所述虚拟安全控制器根据所述访问请求及其对应的域操作系统的身份信息进行安全验证;当所述安全验证通过后,确定域操作系统具备对安全分区内存空间的访问权限,否则,确定域操作系统不具备对安全分区内存空间的访问权限。
3.如权利要求2所述的操作系统安全路由处理方法,其特征在于:
在所述步骤S203中,所述虚拟安全控制器根据所述访问请求及其对应的域操作系统的身份信息进行安全验证具体为:
所述访问请求包含两种类型的访问请求,其中第一种为访问请求只包括访问请求数据,则此时在接收到访问请求数据后开始对其对应的域操作系统的身份信息进行安全验证;第二种为访问请求包括访问请求数据以及临时授权数据这两种数据,即当工作人员授予所述域操作系统的临时访问权限时,会生成所述临时授权数据,并且无需验证其对应的域操作系统的身份信息即可通过安全验证,并且所述临时授权数据还包括授权时间,从接收到访问请求开始计时超过所述授权时间后所述访问请求中的临时授权数据会被抹除即进入第一种只包括访问请求数据的情况,其具体包括:
步骤S2031,利用下面公式(1),对所述访问请求中的数据进行数据校验,判断所述访问请求中是否存在临时授权数据,
Figure 281592DEST_PATH_IMAGE001
(1)
在上述公式(1)中,
Figure 34784DEST_PATH_IMAGE002
表示所述访问请求中是否存在临时授权数据的判断值;
Figure 916152DEST_PATH_IMAGE003
表示所 述访问请求中属于访问请求数据的数据长度,即访问请求数据的二进制形式对应的二进制 位数;
Figure 412993DEST_PATH_IMAGE004
表示访问请求的二进制形式中第
Figure 328996DEST_PATH_IMAGE005
位的二进制数;
Figure 987511DEST_PATH_IMAGE006
表示临时授 权数据的标准帧头数据二进制形式中第
Figure 356175DEST_PATH_IMAGE007
位的二进制数;
Figure 656706DEST_PATH_IMAGE008
表示临时授权数据的标准帧头 数据的数据长度,即临时授权数据的标准帧头数据的二进制位数;
Figure DEST_PATH_IMAGE009
表示求绝对值运算;
Figure 896058DEST_PATH_IMAGE010
表示所述访问请求中不属于访问请求数据的数据长度,即除访问请求数据外的其他数据 的二进制位数并且
Figure 991053DEST_PATH_IMAGE011
Figure 847013DEST_PATH_IMAGE012
表示逻辑关系或运算;
Figure 951236DEST_PATH_IMAGE013
表示除访问请 求数据外的其他数据所有位上的数值全部为0;
Figure 310673DEST_PATH_IMAGE014
,则表示访问请求中存在临时授权数据;
Figure 842148DEST_PATH_IMAGE015
,则表示访问请求中不存在临时授权数据;
步骤S2032,利用下面公式(2),根据访问请求中的数据校验状态以及其对应的域操作系统的身份信息,得到其对应的域操作系统的安全验证结果,
Figure 913966DEST_PATH_IMAGE016
(2)
在上述公式(2)中,
Figure 556300DEST_PATH_IMAGE017
表示所述访问请求对应的域操作系统的安全验证结果;
Figure 301402DEST_PATH_IMAGE018
表示所 述访问请求对应的域操作系统的身份信息数据,并且所述身份信息数据形式为二进制形 式;
Figure 738200DEST_PATH_IMAGE019
表示所述虚拟安全控制器中预先存储的安全域操作系统的身份信息数据,并且所述 身份信息数据形式为二进制形式;
Figure 568753DEST_PATH_IMAGE020
表示所述虚拟安全控制器中预先存储的安全域操作系 统个数;
Figure 749198DEST_PATH_IMAGE021
表示将括号内的数值转换为十进制数值;
Figure 348807DEST_PATH_IMAGE022
,则表示所述访问请求对应的域操作系统的安全验证结果为通过;
Figure 956506DEST_PATH_IMAGE023
,则表示所述访问请求对应的域操作系统的安全验证结果为不通过;
步骤S2033,利用下面公式(3),根据访问请求中的数据校验状态以及当前时刻,将访问请求中的临时授权数据的删除,
Figure 8775DEST_PATH_IMAGE024
(3)
在上述公式(3)中,
Figure 992912DEST_PATH_IMAGE025
表示当前时刻所述访问请求中除访问请求数据外的其他数据 清零控制值;
Figure 447027DEST_PATH_IMAGE026
表示当前时刻;
Figure 491206DEST_PATH_IMAGE027
表示所述虚拟安全控制器接收到访问请求的时刻;
Figure 30772DEST_PATH_IMAGE028
表示 临时授权数据的标准帧尾数据的数据长度,即临时授权数据的标准帧尾数据的二进制位 数;
Figure 818599DEST_PATH_IMAGE029
表示所述访问请求的二进制形式中第
Figure 127221DEST_PATH_IMAGE030
位 到第
Figure 342302DEST_PATH_IMAGE031
位组成的二进制数据;
Figure 103584DEST_PATH_IMAGE032
,则表示当前时刻所述访问请求中除访问请求数据外的其他数据还未到 清零时间,则不控制清零;
Figure 695103DEST_PATH_IMAGE033
,则表示当前时刻所述访问请求中除访问请求数据外的其他数据已到清 零时间,则控制所述访问请求中除访问请求数据外的其他数据进行清零,并再次重新执行 步骤S2031-S2033以此重新对访问请求进行判断和安全验证。
4.如权利要求1所述的操作系统安全路由处理方法,其特征在于:
在所述步骤S3中,当确定域操作系统具备对安全分区内存空间的访问权限时,对所述安全分区内存空间进行内存数据隔离处理;再在所述允许连接持续时间内,指示域操作系统对所述安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息具体包括:
步骤S301,当确定域操作系统具备对安全分区内存空间的访问权限时,获取所述安全分区内存空间当前存储的数据对应的存放历史时间长度;
步骤S302,将所述存放历史时间长度与预设时间长度阈值进行比对,若所述存放历史时间长度大于或者等于预设时间长度阈值,则将所述存储的数据删除;否则,将所述存储的数据进行加密处理,从而实现所述内存数据隔离处理;
步骤S303,在所述允许连接持续时间内,指示域操作系统对所述安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息;其中所述域操作系统内存访问日志信息包括域操作系统实际访问时间长度;再根据所述域操作系统内存访问日志信息,判断域操作系统是否存在超时访问的情况,若存在,则强制中断域操作系统当前的访问进程。
5.操作系统安全路由处理系统,其特征在于,其包括安全分区内存空间设定模块、域操作系统连接时间确定模块、域操作系统访问权限确定模块和域操作系统访问监控模块;其中,
所述安全分区内存空间设定模块用于在多域隔离操作系统的共享内存空间设置安全分区内存空间;
所述域操作系统连接时间确定模块用于获取多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,并根据所述任务运行负载信息,确定每个域操作系统与所述安全分区内存空间之间的允许连接持续时间;
所述域操作系统访问权限确定模块用于在所述安全分区内存空间中设置虚拟消息路由和虚拟安全控制器;通过所述虚拟消息路由将来自域操作系统的访问请求发送至所述虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限;
所述域操作系统访问监控模块用于当确定域操作系统具备对安全分区内存空间的访问权限时,对所述安全分区内存空间进行内存数据隔离处理;再在所述允许连接持续时间内,指示域操作系统对所述安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息;
其中,所述安全分区内存空间设定模块在多域隔离操作系统的共享内存空间设置安全分区内存空间具体包括:
在多域隔离操作系统的共享内存空间中划分预设大小的存储空间作为安全分区内存空间;
以及,
所述域操作系统连接时间确定模块获取多域隔离操作系统中每个域操作系统当前各自的任务运行负载信息,并根据所述任务运行负载信息,确定每个域操作系统与所述安全分区内存空间之间的允许连接持续时间具体包括:
获取多域隔离操作系统中每个域操作系统在预设时间段内各自的任务执行次数以及每个任务各自对应的任务数据量,以此作为所述任务运行负载信息;
根据所述任务执行次数和所述任务数据量,确定每个域操作系统在预设时间段内的任务运算总数据量,继而确定所有域操作系统在预设时间段内的任务运算整体数据量;再确定每个域操作系统的任务运算总数据量与所述任务运算整体数据量的数据量占比;
根据每个域操作系统的数据量占比,从预设安全分区内存连接整体时间段内确定每个域操作系统与所述安全分区内存空间之间的允许连接持续时间;其中,所述预设安全分区内存连接整体时间段是指所有域操作系统整体允许与所述安全分区内存空间进行连接的最长时间长度。
6.如权利要求5所述的操作系统安全路由处理系统,其特征在于:
所述域操作系统访问权限确定模块在所述安全分区内存空间中设置虚拟消息路由和虚拟安全控制器;通过所述虚拟消息路由将来自域操作系统的访问请求发送至所述虚拟安全控制器中进行安全验证,以此判断域操作系统是否具备对安全分区内存空间的访问权限具体包括:
在所述安全分区内存空间中设置虚拟网关,再在所述虚拟网关上加载形成虚拟消息路由和虚拟安全控制器;
通过所述虚拟消息路由对来自域操作系统的访问请求进行截取,并根据所述访问请求的发送时间先后顺序,将所述访问请求置于相应的请求队列中;
从所述请求队列中依次将访问请求发送至所述虚拟安全控制器中,以使所述虚拟安全控制器根据所述访问请求及其对应的域操作系统的身份信息进行安全验证;当所述安全验证通过后,确定域操作系统具备对安全分区内存空间的访问权限,否则,确定域操作系统不具备对安全分区内存空间的访问权限。
7.如权利要求5所述的操作系统安全路由处理系统,其特征在于:
所述域操作系统访问监控模块当确定域操作系统具备对安全分区内存空间的访问权限时,对所述安全分区内存空间进行内存数据隔离处理;再在所述允许连接持续时间内,指示域操作系统对所述安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息具体包括:
当确定域操作系统具备对安全分区内存空间的访问权限时,获取所述安全分区内存空间当前存储的数据对应的存放历史时间长度;
将所述存放历史时间长度与预设时间长度阈值进行比对,若所述存放历史时间长度大于或者等于预设时间长度阈值,则将所述存储的数据删除;否则,将所述存储的数据进行加密处理,从而实现所述内存数据隔离处理;
在所述允许连接持续时间内,指示域操作系统对所述安全分区内存空间进行访问,同时形成相应的域操作系统内存访问日志信息;其中所述域操作系统内存访问日志信息包括域操作系统实际访问时间长度;再根据所述域操作系统内存访问日志信息,判断域操作系统是否存在超时访问的情况,若存在,则强制中断域操作系统当前的访问进程。
CN202111512442.0A 2021-12-08 2021-12-08 操作系统安全路由处理方法和系统 Active CN114417395B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111512442.0A CN114417395B (zh) 2021-12-08 2021-12-08 操作系统安全路由处理方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111512442.0A CN114417395B (zh) 2021-12-08 2021-12-08 操作系统安全路由处理方法和系统

Publications (2)

Publication Number Publication Date
CN114417395A CN114417395A (zh) 2022-04-29
CN114417395B true CN114417395B (zh) 2022-08-19

Family

ID=81265719

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111512442.0A Active CN114417395B (zh) 2021-12-08 2021-12-08 操作系统安全路由处理方法和系统

Country Status (1)

Country Link
CN (1) CN114417395B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101986325A (zh) * 2010-11-01 2011-03-16 山东超越数控电子有限公司 一种计算机安全访问控制系统及控制方法
CN103368973A (zh) * 2013-07-25 2013-10-23 浪潮(北京)电子信息产业有限公司 一种云操作系统安全体系
CN108475376A (zh) * 2015-12-28 2018-08-31 莫比威孚公司 在设备上认证用户的系统和方法
CN108632276A (zh) * 2018-05-07 2018-10-09 襄阳市尚贤信息科技有限公司 一种计算机网络信息安全系统
CN110287252A (zh) * 2019-06-27 2019-09-27 南方电网科学研究院有限责任公司 一种数据安全防护系统
CN113495921A (zh) * 2020-04-02 2021-10-12 北京京东振世信息技术有限公司 一种数据库集群的路由方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11641364B2 (en) * 2020-03-03 2023-05-02 International Business Machines Corporation Cross-domain state synchronization

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101986325A (zh) * 2010-11-01 2011-03-16 山东超越数控电子有限公司 一种计算机安全访问控制系统及控制方法
CN103368973A (zh) * 2013-07-25 2013-10-23 浪潮(北京)电子信息产业有限公司 一种云操作系统安全体系
CN108475376A (zh) * 2015-12-28 2018-08-31 莫比威孚公司 在设备上认证用户的系统和方法
CN108632276A (zh) * 2018-05-07 2018-10-09 襄阳市尚贤信息科技有限公司 一种计算机网络信息安全系统
CN110287252A (zh) * 2019-06-27 2019-09-27 南方电网科学研究院有限责任公司 一种数据安全防护系统
CN113495921A (zh) * 2020-04-02 2021-10-12 北京京东振世信息技术有限公司 一种数据库集群的路由方法和装置

Also Published As

Publication number Publication date
CN114417395A (zh) 2022-04-29

Similar Documents

Publication Publication Date Title
US8856933B2 (en) Secure system for allowing the execution of authorized computer program code
JP4809530B2 (ja) 制限付きのトークンを使用したセキュリティモデル
US20220086166A1 (en) Access Control Based on Combined Multi-System Authentication Factors
US20090106844A1 (en) System and method for vulnerability assessment of network based on business model
CN114553540B (zh) 基于零信任的物联网系统、数据访问方法、装置及介质
CN110855709A (zh) 安全接入网关的准入控制方法、装置、设备和介质
CN113542214B (zh) 一种访问控制方法、装置、设备及机器可读存储介质
CN101562558A (zh) 一种终端等级划分的方法、系统和设备
CN106228078A (zh) 一种Linux下基于增强型ROST的安全运行方法
CN116418568A (zh) 一种基于动态信任评估的数据安全访问控制方法、系统及存储介质
JP6183889B2 (ja) コンピュータシステムの構成要素間の相互作用を制御するためのセキュリティシステムおよびセキュリティ方法
CN114417395B (zh) 操作系统安全路由处理方法和系统
US11334258B2 (en) System and method for memory region protection
Leiwo et al. A method to implement a denial of service protection base
CN101291333B (zh) 一种网络软件使用节点数的控制方法
CN111125793B (zh) 一种访问控制中客体内存可信验证方法及系统
JP2002318700A (ja) 仮想計算機システムの運用管理情報提供制御方法および仮想計算機システム
CN114357399A (zh) 一种基于存储器的访存权限控制方法及装置
CN111027078A (zh) 一种对电能表应用进行管理的方法和系统
CN111090841A (zh) 一种用于工控系统的认证方法和装置
EP4155957A1 (en) Method for managing access by a thread to a slave device
US20150007349A1 (en) Efficient Assurance of Database Server Integrity
CN117421760A (zh) 一种适用于电力边缘计算芯片的安全访问方法及系统
CN116961967A (zh) 数据处理方法、装置、计算机可读介质及电子设备
CN115694927A (zh) 安全管理方法、系统、服务器和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant