CN1773412A - 数据完整性保护方法 - Google Patents
数据完整性保护方法 Download PDFInfo
- Publication number
- CN1773412A CN1773412A CN 200410046918 CN200410046918A CN1773412A CN 1773412 A CN1773412 A CN 1773412A CN 200410046918 CN200410046918 CN 200410046918 CN 200410046918 A CN200410046918 A CN 200410046918A CN 1773412 A CN1773412 A CN 1773412A
- Authority
- CN
- China
- Prior art keywords
- main body
- integrality
- attribute
- mark
- franchise
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种数据完整性保护方法,目的是解决现有数据完整性保护方法不能有效保证系统的完整性、实时性差等缺点。技术方案是定义对象的完整性标记、完整性逻辑关系、访问控制规则,设计完整性保护模型,该模型的核内由以动态模块方式实现的完整性保护模块和系统调用组成,核外由函数库、命令行工具和图形化工具组成;完整性保护模块包括完整性标记计算器和完整性检查器,完整性标记计算器在创建或读对象时根据完整性逻辑关系计算主体和/或客体的完整性标记;完整性检查器则在各个写或执行操作点依据访问控制规则判断主体是否可以操作客体,对系统的完整性进行保护。本发明能有效保证系统的完整性,实时性和可用性好。
Description
技术领域
本发明涉及计算机信息安全领域数据完整性保护方法,尤其是在操作系统内核进行数据完整性保护的方法。
背景技术
计算机信息安全主要包括信息的机密性、完整性和可用性。随着计算机应用和网络的不断发展,许多组织和机构都使用计算机进行信息处理,计算机中存储的信息已成为这些单位的巨大财富。这些数据的丢失或破坏,将导致生命、财产的巨大损失。同时计算机系统本身的完整性保护也是系统正常运转的必需条件。总而言之,信息的完整性保护尤其是存储信息的完整性保护越来越重要。完整性的破坏可能是本地用户无意识导致的,但入侵者和恶意代码是破坏系统完整性的主要源头。目前主要采用以下几种方法防止入侵者和恶意代码对系统完整性的破坏:
1)检测和响应方法
这类方法以反病毒软件和完整性检查软件以及入侵检测软件为代表。反病毒软件,如金山公司的金山毒霸http://www.duba.net,可实时监控和检测系统中是否包含恶意代码的特有签名标记,以判断系统是否受到恶意代码感染,一旦断定系统受到感染,就自动或请求用户清除或删除被感染的成分。反病毒软件通常不能检测新的或未知的恶意代码。完整性检查软件,如tripwire(参考http://www.tripwire.org),利用校验码断定系统完整性是否受到破坏,可检测已知的、新的或未知的恶意代码,并恢复破坏的对象。但完整性检查软件资源消耗大,通常不能实时检查系统是否受到破坏,只能进行定时检查。
2)沙盒方法。
沙盒方法如java虚拟机使得恶意代码在一个受限、受保护的环境中执行。在这个环境下,程序访问的资源是有限的,对资源的操作也是受控的。然而java虚拟机只能防止java编写的恶意代码,不能防止所有恶意代码。
3)签名方法
微软的ActiveX控件采用这类方法,它采用密码或非密码的方法使代码与一段信息关联,通过这个信息可以验证代码是否完整以及代码的来源。但这种方法通常不能保证代码无恶意,只能起到威慑作用。
发明内容
本发明要解决的技术问题是针对现有数据完整性保护方法要么不能检测新的或未知的恶意代码,要么只能定时检查不能实时检查系统是否受到破坏,要么只能防止特定的恶意代码不能防止所有恶意代码,不能保证代码无恶意等缺点提出一种适合操作系统内核支持的完整性保护方法,该方法既具有强制性,是一种强制的访问控制方法,能实施系统范围制定的完整性安全策略,有效保护系统的完整性;又能保证实时性,能够实时地防止对系统的完整性进行破坏;且该方法在保护完整性的同时,尽可能不影响正常用户对系统的使用。
本发明的技术方案是:定义主体或客体(主体是操作系统中动作的执行者,也就是代表用户工作的进程;客体是操作系统中动作的承受者,即被操作对象,如文件、网络接口等,某些情况下进程也可以是客体)对象的完整性标记,定义主体完整性标记与客体完整性标记的逻辑关系(简称‘完整性逻辑关系’)以及访问控制规则,设计一个完整性保护模型,该模型依据完整性逻辑关系维护主体和客体的完整性标记,为访问控制提供决策依据,在进行写、执行操作时,依据访问控制规则判断操作是否合法从而实现系统的完整性保护;完整性保护模型的设计方法是将该模型分为核内和核外两部分,核内由以动态模块方式实现的完整性保护模块和系统调用组成,核外由函数库、命令行工具和图形化工具组成。完整性保护模块主要包括完整性标记计算器和完整性检查器,完整性标记计算器在创建或读对象时根据完整性逻辑关系计算主体和/或客体的完整性标记;完整性检查器则在各个写或执行操作点依据访问控制规则判断主体是否可以操作客体,对系统的完整性进行保护。完整性保护模块采用系统调用的方式向用户层提供查看主体、客体的完整性标记、设置客体的完整性标记的功能。在系统调用的基础上,本发明提供一个函数库为在核外操作主体和客体的完整性标记提供方便的手段。在函数库的基础上,本发明设计一套命令行工具和一个图形化工具,它们完成相同的功能,包括查看主体、客体的完整性标记、设置客体的完整性标记。命令行工具提供给高级用户使用,而一般用户则可以使用图形化工具。
对象的完整性标记由三个属性域组成,其类型都为布尔类型,它们是:特权属性,表示该对象是否具有特殊性权力,即不受访问控制规则的限制;可信属性,表示对象是否可信,可信的对象不具有恶意行为,不会对系统的完整性造成破坏,不可信的对象可能具有恶意行为,可能会对系统的完整性造成破坏;执行属性,表示对象是否具有执行权力。主体的完整性标记只包含特权属性和可信属性。大多数客体的完整性标记包含三个属性,某些客体只包含可信属性。
主体都是动态创建的,主体对象的完整性标记是临时保存的,一旦主体消失,这些完整性标记就不再保存。大多数客体是永久性实体,需要永久保存它们的完整性标记。本发明把文件这类客体对象的完整性标记保存在文件的扩展属性之中,把磁盘等块设备以及网络设备这类对象的完整性标记保存在配置文件dev.conf中,这类对象通常只有可信属性。
本发明的完整性保护模块采用操作系统的内核动态模块实现,可以在系统启动时选择是否加载。具体方法是在操作系统的内核中设置一个开关变量integrity enabled,表示完整性保护模块是否加载,内核引导完整性保护模块不加载时,置integrity enabled为0;完整性保护模块加载时,将其置为1。一旦该模块被加载,系统就强制实施完整性保护;如果模块没有加载,则不实施完整性保护,对系统无任何影响。这样,操作系统既可以应用于对安全要求高的环境,也可以适应一般的普通环境。
访问控制规则描述了主体和客体之间的哪些操作是合法的、允许的。本发明定义了执行操作和写操作的访问控制规则,执行操作的访问控制规则是:设置了特权属性的特权客体或设置了可信属性的可信客体能够执行;设置了执行属性的不可信客体能够执行。写操作的访问控制规则是:设置了特权属性或可信属性的主体能够写任何客体;没有设置可信属性的主体,即不可信主体,只能写没有设置可信属性的客体。访问控制规则由完整性检查器来使用。在进行写操作或执行操作时,将激活完整性检查器。完整性检查器依据访问控制规则进行完整性保护,过程是:读取相关主体和客体的完整性标记,如果当前操作是写操作,则判断主体和客体的完整性标记是否满足写操作访问控制规则,满足则允许写操作,否则拒绝写操作;如果当前操作是执行操作,则判断主体和客体的完整性标记是否满足执行操作访问控制规则,满足则允许执行操作,否则拒绝执行操作。
完整性逻辑关系定义了主体和客体对象操作前后完整性标记的变化关系,这种变化通过完整性标记计算器对完整性标记进行计算来体现。主体的完整性标记计算分布在读操作、创建操作frok和执行操作exec。
读操作时,完整性标记计算过程是:如果主体设置了特权属性,则不管客体的完整性标记是什么,主体的完整性标记不变,仍为特权主体;如果主体没有设置特权属性,且被读客体是可信客体,则主体的完整性标记保持不变;如果主体没有设置特权属性,且被读客体是不可信客体,则主体的可信属性被清零,成为不可信主体。
Fork操作时,完整性标记计算过程是:新创建的子主体实际上是父主体的拷贝,所以子主体的完整性标记完全复制父主体的,保持不变。
Exec操作时,完整性标记计算过程是:如果被执行客体是特权客体,则主体的特权属性被设置成为特权主体;如果主体是特权主体,但被执行客体不是特权客体,则主体的特权属性被清零,可信属性等于被执行客体的可信属性;如果主体不是特权主体,且被执行客体是可信客体,则主体的完整性标记保持不变;如果主体不是特权主体,且被执行客体是不可信客体,则主体成为不可信主体。
通过主体的完整性标记计算过程可以达到以下目的:除了特权主体外,任何主体只要读了不可信的客体就要变为不可信的主体,其写操作受到限制,以防不可信客体中包含恶意行为破坏系统完整性;特权主体只能由特权客体产生,不能传递,防止特权扩散。
客体的完整性标记计算分布在创建操作create和挂接操作mount。
Create操作时,完整性标记计算过程是:如果主体是特权主体或可信主体,则新建的客体是可信客体;如果主体是不可信主体,则新建的客体是不可信的客体,它的执行属性同时被清零。
Mount操作用于输出磁盘设备上的文件系统,执行它时完整性标记计算过程是:从配置文件dev.conf中获得磁盘设备的完整性标记,如果磁盘设备的可信属性被设置,则输出的文件系统是可信的,即其下的文件的缺省完整性标记内容是特权属性为0,可信属性为1;否则,输出的文件系统是不可信的,即其下的文件的缺省完整性标记内容是特权属性为0,可信属性为0,执行属性为0。
通过客体的完整性标记计算过程可以达到以下目的:新建的客体的可信属性与创建它的主体一致;防止磁盘特别是移动磁盘上的恶意数据对系统造成破坏。
安全和系统可用性总是一对矛盾体,为了保证系统可用性好,本发明在核外设计了一个命令行工具,它用于客体升级,即把客体从低权力级别或升级为具有执行属性的不可信客体,或升级为可信客体,或升级为特权客体,从而获得更多的权力。该命令行工具受到严格保护,只能由安全管理员来执行,该工具利用已有的反病毒软件或静态分析软件等对软件进行分析处理,确定其危险程度。并依据代码的危险程度进行以下处理:如果代码具有恶意行为,则拒绝升级软件;如果代码的恶意行为不确定,则可升级为具有执行属性的不可信软件;如果代码没有恶意,则可升级为可信软件;如果代码没有恶意,且需要升级为特权软件,才能保证系统可用性,则升级为特权软件。
通过分析各种完整性破坏手段发现:入侵者通常是从远程发起攻击的;恶意代码通常是本地用户在不知情的情况下从磁盘安装或从网络下载或通过网络自动传播到本地的。基于完整性逻辑关系和完整性保护模型,本发明防止入侵者和来自不可信源的恶意代码对系统完整性的破坏的过程是:
假定系统安装盘不含有恶意代码,在安装系统到磁盘设备时,把这些磁盘设备记录到配置文件dev.conf中,并设置可信属性。这样在系统启动或使用过程中,mount这些设备时,依据完整性逻辑关系,输出文件系统上的所有文件都是可信的。完整性保护就是保护可信的客体不会被入侵者或恶意代码修改。管理员把需要完整性保护的客体都设置为可信的。
入侵者从远程入侵系统必须借助本地的一个服务进程,当服务进程从网络读数据时,由于网络设备缺省是不可信的,依据读操作时主体的完整性标记计算法则,主体成为不可信主体,依据写访问控制规则,不可信主体不能写访问可信客体,从而有效的防止了入侵者破坏系统。
当服务进程从网络接收恶意数据时,同样成为不可信主体,它将把恶意数据以文件形式保存到磁盘,依据客体创建时的完整性计算法则,这个文件是不可信客体,再依据执行访问规则,这个恶意代码不能执行,没有破坏系统完整性的机会。即使以后管理员利用升级手段设置该客体的执行属性,恶意代码也不能破坏可信客体的完整性。同理从不可信磁盘进入系统的恶意代码的破坏行为也受到限制。
采用本发明可以达到以下的技术效果:
1)本发明能有效保证系统的完整性。本发明把初始安装在计算机系统上的软件代码和数据归类为可信,把那些从不可信块设备或网络进入系统的软件代码和数据归类为不可信。实验表明,这种分类原则简单并真实地反映了不可信数据的主要来源和传播途径,依据访问控制规则能够有效的防止象病毒、蠕虫等恶意代码对系统的破坏。与反病毒软件相比,它能有效的防止各种已知或未知的恶意代码。
2)实时性好。在进行写或执行访问时,完整性检查器一旦发现操作违反访问控制规则,就及时的阻止对数据完整性的破坏,而不是事后检查数据的完整性是否受到破坏。
3)系统的可用性好。通过软件升级的方法提高系统的可用性。系统要求软件升级只能由具有特权的用户执行,并受严格的过程控制。这样不会对完整性保护功能造成重大损害。
4)对操作系统的性能影响几乎可以忽略不计,从而能够进行实时的安全保护。TDA不需要进行密码操作,也不需要进行庞大的数据查询匹配操作,只需要进行简单的比较操作,对系统性能的影响非常小,可以实时执行完整性保护。
附图说明
图1为本发明的完整性保护模型结构图。
图2为本发明读访问时完整性逻辑关系示意图。
图3为本发明写访问时访问控制示意图。
图4为本发明执行访问时完整性逻辑关系和访问控制示意图。
图5为本发明创建客体时完整性逻辑关系示意图。
图6为不可信软件升级过程示意图。
具体实施方式
图1是完整性保护模型结构图。该模型分为核内和核外两部分,核内由以动态模块方式实现的完整性保护模块和系统调用组成,核外由函数库、命令行工具和图形化工具组成。完整性保护模块主要包括完整性标记计算器和完整性检查器,完整性标记计算器在创建或读对象时根据完整性逻辑关系计算主体或客体的完整性标记;完整性检查器则在各个写或执行操作点依据访问控制规则判断主体是否可以操作客体,对系统的完整性进行保护。完整性保护模块采用系统调用的方式向用户层提供查看主体、客体的完整性标记、设置客体的完整性标记的功能。在系统调用的基础上,本发明提供一个函数库为在核外操作主体和客体的完整性标记提供方便的手段。在函数库的基础上,本发明设计一套命令行工具和一个图形化工具,它们完成相同的功能,包括查看主体、客体的完整性标记、设置客体的完整性标记。命令行工具提供给高级用户使用,而一般用户则可以使用图形化工具。
图2为读访问时完整性逻辑关系示意图。在读操作过程中,完整性标记计算器负责调整主体的完整性标记。其过程如下:
1.主体发送读请求。
2.“完整性标记计算器”首先判断被读对象是否为可信客体或特权客体,如果是,则主体的完整性标记不变。否则转3。
3.完整性标记计算器判断主体是否为特权主体,如果是,则主体的完整性标记不变,否则主体成为不可信主体。
图3为写访问时访问控制示意图。完整性检查器对写操作进行访问控制决策,以保护系统的完整性不受非法破坏。其过程如下:
1.主体发送写请求。
2.完整性检查器首先判断主体是否为可信主体或特权主体,如果是,则允许主体进行写操作。否则转3。
3.完整性检查器判断客体是否为不可信客体,如果是,则允许主体进行写操作,否则拒绝主体进行写操作。
图4为执行访问时完整性逻辑关系和访问控制示意图。在执行操作中由完整性标记计算器维护主体的完整性标记,由完整性检查器对执行操作进行控制决策,降低恶意代码的执行机会,从而保证系统完整性。其过程如下:
1.主体发送执行请求。
2.完整性检查器首先判断客体是否为特权客体,如果是,则允许主体进行执行操作,同时完整性标记计算器改变主体成为特权主体。否则转3。
3.完整性检查器判断客体是否为可信客体,如果是,则允许执行,同时完整性标记计算器按以下情况计算主体的完整性标记:如果当前主体是特权主体,则主体成为可信主体,否则主体的完整性标记不变。如果客体不是可信客体,则转4。
4.完整性检查器判断不可信客体是否具有执行属性,如果有,则允许执行,同时完整性标记计算器改变主体成为不可信主体。否则不允许执行。
图5为创建客体时完整性逻辑关系示意图。在创建操作中完整性标记计算器为新创建的客体设置完整性标记。其过程如下:
1.主体发送创建请求。
2.完整性标记计算器判断是否创建主体(进程)对象(执行fork系统调用时),如果是,则新创建的子进程与创建主体的完整性标记保持一致。否则转3。
3.判断是否创建文件系统对象(执行mount操作时),如果是,则分两种情况考虑:当文件系统所在的块设备是可信设备时,则文件系统是可信的,其中的文件对象缺省是可信的;当文件系统所在的块设备是不可信设备时,则文件系统是不可信的,其中的文件对象缺省是不可信的。否则转4。
4.判断是否创建套接字对象,如果是,则分两种情况考虑:当套接字关联的网络设备是可信设备时,则套接字是可信的;当套接字关联的网络设备是不可信设备时,则套接字是不可信的。否则转5。
5.判断是否创建文件对象,如果是,则分两种情况考虑:当主体为不可信主体时,则新建的文件是不可信的;当主体为可信或特权主体时,则新建的文件是可信的。
图6为不可信软件升级过程示意图。为了可用性考虑,需要对不可信代码升级,本发明在核外提供一个命令行工具用于软件升级。过程如下:
1.主体发送不可信软件升级请求。
2.判断执行主体的用户是否为安全管理员(成为安全管理员需通过强的身份认证,如IC卡认证等),如果不是,则拒绝升级软件。否则转3。
3.利用已有的反病毒软件或静态分析软件等对不可信软件进行分析处理,确定其危险程度。依据代码的危险程度进行以下处理:如果代码具有恶意行为,则拒绝升级软件;如果代码的恶意行为不确定,则可升级为具有执行属性的不可信软件;如果代码没有恶意,则可升级为可信软件;如果代码没有恶意,且需要升级为特权软件,才能保证系统可用性,则升级为特权软件,由于特权软件的特殊性,需谨慎。
本发明已经应用于银河麒麟YHKylin安全操作系统中,但本发明并不局限于任何具体的硬件平台和操作系统,可以方便地移植到其它环境中,如Linux、Free BSD等操作系统中,具有广泛的通用性。
Claims (8)
1.一种数据完整性保护方法,其特征在于定义主体或客体对象的完整性标记,定义主体完整性标记与客体完整性标记的逻辑关系即‘完整性逻辑关系’以及访问控制规则,设计一个完整性保护模型,该模型依据完整性逻辑关系维护主体和客体的完整性标记,为访问控制提供决策依据,在进行写、执行操作时,依据访问控制规则判断操作是否合法从而实现系统的完整性保护;完整性保护模型的设计方法是将该模型分为核内和核外两部分,核内由以动态模块方式实现的完整性保护模块和系统调用组成,核外由函数库、命令行工具和图形化工具组成;完整性保护模块主要包括完整性标记计算器和完整性检查器,完整性标记计算器在创建或读对象时根据完整性逻辑关系计算主体和/或客体的完整性标记;完整性检查器则在各个写或执行操作点依据访问控制规则判断主体是否可以操作客体,对系统的完整性进行保护;完整性保护模块采用系统调用的方式向用户层提供查看主体、客体的完整性标记、设置客体的完整性标记的功能;在系统调用的基础上,本发明提供一个函数库为在核外操作主体和客体的完整性标记提供方便的手段;在函数库的基础上,本发明设计一套命令行工具和一个图形化工具,它们完成相同的功能,包括查看主体、客体的完整性标记、设置客体的完整性标记;命令行工具提供给高级用户使用,而一般用户则可以使用图形化工具。
2.如权利要求1所述的数据完整性保护方法,其特征在于所述对象的完整性标记由三个属性域组成,其类型都为布尔类型,它们是:特权属性,表示该对象是否具有特殊性权力,即不受访问控制规则的限制;可信属性,表示对象是否可信,可信的对象不具有恶意行为,不会对系统的完整性造成破坏,不可信的对象可能具有恶意行为,可能会对系统的完整性造成破坏;执行属性,表示对象是否具有执行权力;主体的完整性标记只包含特权属性和可信属性,主体都是动态创建的,主体对象的完整性标记是临时保存的,一旦主体消失,这些完整性标记就不再保存;大多数客体的完整性标记包含三个属性,某些客体只包含可信属性,大多数客体是永久性实体,本发明把文件这类客体对象的完整性标记保存在文件的扩展属性之中,把磁盘等块设备以及网络设备这类对象的完整性标记保存在配置文件dev.conf中,这类对象通常只有可信属性。
3.如权利要求1所述的数据完整性保护方法,其特征在于所述完整性保护模块采用操作系统的内核动态模块实现,可以在系统启动时选择是否加载,具体方法是在操作系统的内核中设置一个开关变量integrity_enabled,表示完整性保护模块是否加载,内核引导完整性保护模块不加载时,置integrity_enabled为0;完整性保护模块加载时,将其置为1,一旦该模块被加载,系统就强制实施完整性保护;如果模块没有加载,则不实施完整性保护,对系统无任何影响,这样,操作系统既可以应用于对安全要求高的环境,也可以适应一般的普通环境。
4.如权利要求1所述的数据完整性保护方法,其特征在于所述访问控制规则描述了主体和客体之间的哪些操作是合法的、允许的,本发明定义了执行操作和写操作的访问控制规则,执行操作的访问控制规则是:设置了特权属性的特权客体或设置了可信属性的可信客体能够执行;设置了执行属性的不可信客体能够执行;写操作的访问控制规则是:设置了特权属性或可信属性的主体能够写任何客体;没有设置可信属性的主体,即不可信主体,只能写没有设置可信属性的客体。
5.如权利要求1所述的数据完整性保护方法,其特征在于所述访问控制规则由完整性检查器来使用,在进行写操作或执行操作时,将激活完整性检查器,完整性检查器依据访问控制规则进行完整性保护,过程是:读取相关主体和客体的完整性标记,如果当前操作是写操作,则判断主体和客体的完整性标记是否满足写操作访问控制规则,满足则允许写操作,否则拒绝写操作;如果当前操作是执行操作,则判断主体和客体的完整性标记是否满足执行操作访问控制规则,满足则允许执行操作,否则拒绝执行操作。
6.如权利要求1所述的数据完整性保护方法,其特征在于所述完整性逻辑关系定义了主体和客体对象操作前后完整性标记的变化关系,这种变化通过完整性标记计算器对完整性标记进行计算来体现,主体的完整性标记计算分布在读操作、创建操作frok和执行操作exec,通过主体的完整性标记计算过程可以使得除了特权主体外,任何主体只要读了不可信的客体就要变为不可信的主体,其写操作受到限制,以防不可信客体中包含恶意行为破坏系统完整性,且特权主体只能由特权客体产生,不能传递,防止特权扩散;客体的完整性标记计算分布在创建操作create和挂接操作mount,通过客体的完整性标记计算过程可以使得:新建的客体的可信属性与创建它的主体一致,且防止磁盘特别是移动磁盘上的恶意数据对系统造成破坏:
6.1.读操作时,完整性标记计算过程是:如果主体设置了特权属性,则不管客体的完整性标记是什么,主体的完整性标记不变,仍为特权主体;如果主体没有设置特权属性,且被读客体是可信客体,则主体的完整性标记保持不变;如果主体没有设置特权属性,且被读客体是不可信客体,则主体的可信属性被清零,成为不可信主体;
6.2.Fork操作时,完整性标记计算过程是:新创建的子主体实际上是父主体的拷贝,所以子主体的完整性标记完全复制父主体的,保持不变;
6.3.Exec操作时,完整性标记计算过程是:如果被执行客体是特权客体,则主体的特权属性被设置成为特权主体;如果主体是特权主体,但被执行客体不是特权客体,则主体的特权属性被清零,可信属性等于被执行客体的可信属性;如果主体不是特权主体,且被执行客体是可信客体,则主体的完整性标记保持不变;如果主体不是特权主体,且被执行客体是不可信客体,则主体成为不可信主体;
6.4.Create操作时,完整性标记计算过程是:如果主体是特权主体或可信主体,则新建的客体是可信客体;如果主体是不可信主体,则新建的客体是不可信的客体,它的执行属性同时被清零;
6.5.Mount操作用于输出磁盘设备上的文件系统,执行它时完整性标记计算过程是:从配置文件dev.conf中获得磁盘设备的完整性标记,如果磁盘设备的可信属性被设置,则输出的文件系统是可信的,即其下的文件的缺省完整性标记内容是特权属性为0,可信属性为1;否则,输出的文件系统是不可信的,即其下的文件的缺省完整性标记内容是特权属性为0,可信属性为0,执行属性为0。
7.如权利要求1所述的数据完整性保护方法,其特征在于所述命令行工具用于客体升级,即把客体从低权力级别或升级为具有执行属性的不可信客体,或升级为可信客体,或升级为特权客体,从而获得更多的权力,该命令行工具受到严格保护,只能由安全管理员来执行,该工具利用已有的反病毒软件或静态分析软件等对软件进行分析处理,确定其危险程度,并依据代码的危险程度进行以下处理:如果代码具有恶意行为,则拒绝升级软件;如果代码的恶意行为不确定,则可升级为具有执行属性的不可信软件;如果代码没有恶意,则可升级为可信软件;如果代码没有恶意,且需要升级为特权软件,才能保证系统可用性,则升级为特权软件。
8.如权利要求1所述的数据完整性保护方法,其特征在于本发明防止入侵者和来自不可信源的恶意代码对系统完整性的破坏的过程是:
8.1.假定系统安装盘不含有恶意代码,在安装系统到磁盘设备时,把这些磁盘设备记录到配置文件dev.conf中,并设置可信属性,这样在系统启动或使用过程中,mount这些设备时,依据完整性逻辑关系,输出文件系统上的所有文件都是可信的,管理员把需要完整性保护的客体都设置为可信的;
8.2.入侵者从远程入侵系统必须借助本地的一个服务进程,当服务进程从网络读数据时,由于网络设备缺省是不可信的,依据读操作时主体的完整性标记计算法则,主体成为不可信主体,依据写访问控制规则,不可信主体不能写访问可信客体,从而有效的防止了入侵者破坏系统;
8.3.当服务进程从网络接收恶意数据时,同样成为不可信主体,它将把恶意数据以文件形式保存到磁盘,依据客体创建时的完整性计算法则,这个文件是不可信客体,再依据执行访问规则,这个恶意代码不能执行,没有破坏系统完整性的机会,即使以后管理员利用升级手段设置该客体的执行属性,恶意代码也不能破坏可信客体的完整性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100469186A CN100501635C (zh) | 2004-11-10 | 2004-11-10 | 数据完整性保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100469186A CN100501635C (zh) | 2004-11-10 | 2004-11-10 | 数据完整性保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1773412A true CN1773412A (zh) | 2006-05-17 |
| CN100501635C CN100501635C (zh) | 2009-06-17 |
Family
ID=36760419
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100469186A Expired - Fee Related CN100501635C (zh) | 2004-11-10 | 2004-11-10 | 数据完整性保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100501635C (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101990208A (zh) * | 2009-07-31 | 2011-03-23 | 中国移动通信集团公司 | 一种数据自动校验方法、系统和设备 |
| CN101615236B (zh) * | 2009-07-24 | 2011-07-20 | 北京工业大学 | 一种基于强制访问控制技术的可信应用环境构建方法 |
| CN102722388A (zh) * | 2012-05-30 | 2012-10-10 | 曙光信息产业(北京)有限公司 | 一种实现图形界面程序与cpu绑定的系统和方法 |
| CN103268440A (zh) * | 2013-05-17 | 2013-08-28 | 广东电网公司电力科学研究院 | 可信内核动态完整性度量方法 |
| CN104035787A (zh) * | 2014-07-01 | 2014-09-10 | 深圳数字电视国家工程实验室股份有限公司 | 一种基于Andriod内核的强制访问控制方法及装置 |
| CN104298925A (zh) * | 2014-10-14 | 2015-01-21 | 北京可信华泰信息技术有限公司 | 操作系统主动免疫平台的设计和实现方法 |
| CN106529315A (zh) * | 2016-11-04 | 2017-03-22 | 杭州华澜微电子股份有限公司 | 一种硬盘安全防护方法及系统 |
| CN111984998A (zh) * | 2020-08-20 | 2020-11-24 | 北京人大金仓信息技术股份有限公司 | 数据库的强制访问控制方法和装置 |
| CN112231726A (zh) * | 2020-10-16 | 2021-01-15 | 中国南方电网有限责任公司 | 访问控制方法、装置、计算机设备及可读存储介质 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104778410B (zh) * | 2015-04-16 | 2017-07-11 | 电子科技大学 | 一种应用程序完整性验证方法 |
| CN107533614B (zh) | 2015-08-14 | 2020-10-16 | 慧与发展有限责任合伙企业 | 用于存储数据的装置和存储介质 |
-
2004
- 2004-11-10 CN CNB2004100469186A patent/CN100501635C/zh not_active Expired - Fee Related
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101615236B (zh) * | 2009-07-24 | 2011-07-20 | 北京工业大学 | 一种基于强制访问控制技术的可信应用环境构建方法 |
| CN101990208A (zh) * | 2009-07-31 | 2011-03-23 | 中国移动通信集团公司 | 一种数据自动校验方法、系统和设备 |
| CN101990208B (zh) * | 2009-07-31 | 2013-05-15 | 中国移动通信集团公司 | 一种数据自动校验方法、系统和设备 |
| CN102722388A (zh) * | 2012-05-30 | 2012-10-10 | 曙光信息产业(北京)有限公司 | 一种实现图形界面程序与cpu绑定的系统和方法 |
| CN103268440A (zh) * | 2013-05-17 | 2013-08-28 | 广东电网公司电力科学研究院 | 可信内核动态完整性度量方法 |
| CN104035787A (zh) * | 2014-07-01 | 2014-09-10 | 深圳数字电视国家工程实验室股份有限公司 | 一种基于Andriod内核的强制访问控制方法及装置 |
| CN104298925A (zh) * | 2014-10-14 | 2015-01-21 | 北京可信华泰信息技术有限公司 | 操作系统主动免疫平台的设计和实现方法 |
| CN104298925B (zh) * | 2014-10-14 | 2017-07-21 | 北京可信华泰信息技术有限公司 | 操作系统主动免疫平台的设计和实现方法 |
| CN106529315A (zh) * | 2016-11-04 | 2017-03-22 | 杭州华澜微电子股份有限公司 | 一种硬盘安全防护方法及系统 |
| CN106529315B (zh) * | 2016-11-04 | 2019-04-16 | 杭州华澜微电子股份有限公司 | 一种硬盘安全防护方法及系统 |
| CN111984998A (zh) * | 2020-08-20 | 2020-11-24 | 北京人大金仓信息技术股份有限公司 | 数据库的强制访问控制方法和装置 |
| CN112231726A (zh) * | 2020-10-16 | 2021-01-15 | 中国南方电网有限责任公司 | 访问控制方法、装置、计算机设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100501635C (zh) | 2009-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10810309B2 (en) | Method and system for detecting kernel corruption exploits | |
| CN102592082B (zh) | 通过操作码随机化的安全 | |
| CN104700026B (zh) | 用于检测从基于字节码的沙箱环境逃逸的尝试的方法、设备和系统 | |
| WO2019226363A9 (en) | Small-footprint endpoint data loss prevention (dlp) | |
| CN103124975A (zh) | 用于在计算机系统中实行资源访问控制的方法 | |
| CN103473508B (zh) | 操作系统内核运行时安全验证方法 | |
| CN102201043A (zh) | 基于资源属性审核对数据的访问 | |
| CN1700136A (zh) | 处理器扩展和软件验证 | |
| US20080046977A1 (en) | Direct process access | |
| WO2020132012A1 (en) | Systems and methods for data lifecycle protection | |
| CN1877525A (zh) | 用于在嵌入式系统中安全执行的协议脚本语言 | |
| CN100501635C (zh) | 数据完整性保护方法 | |
| WO2015016952A1 (en) | Determining malware based on signal tokens | |
| US11074323B2 (en) | Method and system for persisting files | |
| US10885193B2 (en) | Method and system for persisting untrusted files | |
| EP1989627A2 (en) | Prevention of executable code modification | |
| CN100478974C (zh) | 一种防止计算机病毒的方法和装置 | |
| US7698742B1 (en) | Method and apparatus for scanning exclusively locked files | |
| MXPA05009332A (es) | Autorizacion de acceso integrado. | |
| EP3535681B1 (en) | System and method for detecting and for alerting of exploits in computerized systems | |
| US20220206961A1 (en) | Architecture, system and methods thereof for secure computing using hardware security classifications | |
| Gorski III et al. | {FReD}: Identifying File {Re-Delegation} in Android System Services | |
| Elphinstone | Future directions in the evolution of the L4 microkernel | |
| JP2006216038A (ja) | セキュリティクリティカルデータコンテナ | |
| CN1256678C (zh) | 计算机信息的保护方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090617 Termination date: 20111110 |