WO2022183912A1 - 一种强制访问控制mac方法及相关设备 - Google Patents

Abstract

本申请实施例公开了一种强制访问控制MAC方法及相关设备，该方法应用于操作系统中的安全模块，在安全模块工作在enforcing模式时，该方法包括：在第一主体访问第一客体以执行第一操作时，如果安全模块基于安全策略确定第一主体没有访问第一客体以执行第一操作的权限，但第一客体被配置为permissive模式，则，可以允许第一主体访问第一客体并执行第一操作。如此，在有待执行主体访问客体以执行操作的情况下，安全模块能够在确保安全的前提下灵活的确定该主体访问客体以执行操作的行为应该被允许还是被拒绝，提高了MAC机制的灵活性和安全性。

Description

一种强制访问控制MAC方法及相关设备

本申请要求于2021年03月05日提交中国国家知识产权局、申请号为202110245052.5、申请名称为“一种强制访问控制MAC方法及相关设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，特别是涉及一种强制访问控制(英文：mandatory access control，简称：MAC)方法及相关设备。

背景技术

为了提高操作系统的安全防护能力，通过在操作系统中增加安全模块，由该安全模块实现对操作系统的强制访问控制。例如，Linux操作系统中的安全增强Linux(英文：Security-Enhanced Linux，简称：SELinux)提高Linux的安全性；又例如，安卓(英文：Android)操作系统中的SEAndroid提高Android的安全性。

目前，安全模块采用MAC机制，针对操作系统中的主体(或称为进程)访问客体(或称为资源)以执行的某个或某些操作进行权限管理，根据安全策略(英文：security policy)中预先设置的规则，限定主体可以访问客体以执行的操作。当主体访问客体以执行操作的行为未匹配到security policy中的规则时，如果该安全模块工作在强制(英文：enforcing)模式，则，拒绝该主体访问该客体；如果该安全模块工作在许可(英文：permissive)模式，则，允许该主体访问该客体并执行该操作。如此，对于未匹配到security policy中规则的主体访问客体以执行操作的行为，上述MAC机制对所有的主体访问客体以执行操作的行为都进行一样的控制，存在许多的问题。

基于此，亟待提供一种MAC方法，能够灵活且安全的确定待执行的动作是否可以执行，实现合理的MAC。

发明内容

基于此，本申请实施例提供了一种强制访问控制MAC方法及相关设备，在有待执行主体访问客体以执行操作的情况下，安全模块能够在确保安全的前提下灵活的确定该主体访问客体以执行操作的行为应该被允许还是被拒绝，提高了MAC机制的灵活性和安全性。

本申请中，操作系统可以为基于安全标签进行MAC的操作系统，例如，可以为基于Linux的操作系统、基于Android的操作系统或苹果操作系统。如果操作系统为Linux的操作系统，则，该操作系统中的安全模块可以为SELinux；如果操作系统为Android的操作系统，则，该操作系统中的安全模块可以为SEAndroid。

第一方面，本申请实施例提供了一种MAC方法，该方法应用于操作系统中的安全模块，在安全模块工作在enforcing模式时，该MAC方法例如可以包括：在第一主体访问第一客体以执行第一操作时，如果安全模块基于安全策略确定第一主体没有访问第一客体以执行第一操作的权限，但第一客体被配置为permissive模式，则，可以允许第一主体访问第一客体并执行第一操作。可见，安全模块在“总开关”的状态为enforcing模式时，能够根据客体是否配置了permissive模式灵活的确定该主体访问客体以执行操作的行为应该被允许还是被拒绝，提高了MAC机制的灵活性和安全性。此外，即使在操作系统所在的通信 装置较为复杂，梳理的security policy中遗漏了该主体访问该客体以执行该操作的权限，也可以通过配置该客体为permissive模式保证该主体能够访问该客体并执行该操作，从而保证包括该主体访问该客体以执行该操作的业务正常运行，不会被中断。而且，该MAC方法中，安全模块在梳理security policy时，可以基于客体进行梳理，将需要开放权限的客体设置为permissive模式，无需全面的将所有的主体访问客体以执行操作的权限均梳理到security policy中，降低了梳理security policy的工作量。其中，安全策略(英文：security policy)中包括不同的规则，规则的类型包括但不限于：各个主体的安全标签、各个客体的安全标签、主体访问客体以执行操作的权限(如允许(英文：allow)规则)以及配置客体对应的客体类型为permissive模式的规则。

在一种实现方式中，安全模块中的该安全策略包括第一规则，该第一规则指示第一客体工作在permissive模式。例如，第一客体对应的客体类型为os_dev_t，安全策略中包括的第一规则可以为：permissive os_dev_t，用于指示os_dev_t对应的所有客体均被配置为permissive模式，从而可以指示第一客体被配置为permissive模式。

在一种实现方式中，当安全模块根据第一客体被配置为permissive模式才允许第一主体访问第一客体并执行第一操作，那么，在允许第一主体访问第一客体并执行第一操作之后，安全模块还可以生成第一日志，该第一日志用于记录所述第一主体访问所述第一客体以执行所述第一操作相关联的信息。其中，该第一日志可以是系统日志，记录的内容可以包括：第一主体的安全标签、第一客体的安全标签、第一主体访问第一客体执行第一操作被允许以及permissive＝1，其中，permissive＝1用于指示第一客体配置为permissive模式后该行为被允许执行。如此，使得安全模块能够基于所记录的日志，对操作系统的安全性以及安全策略的完备性和准确性进行分析和了解。

在一种实现方式中，安全模块还可以通过验证或测试进一步完善安全策略。作为一个示例，如果通过验证或测试，确定该第一主体访问第一客体以执行第一操作的行为属于安全的访问行为，由于梳理安全策略时的遗漏导致从安全策略中确定第一主体没有访问第一客体以执行第一操作的权限，那么，安全模块可以更新所述安全策略，使得更新后的安全策略包括第二规则，该第二规则指示允许第一主体访问第一客体以执行第一操作。作为另一个示例，如果通过验证或测试，确定该第一主体访问第一客体以执行第一操作的行为属于不安全的攻击行为，那么，为了安全起见，可以从安全策略中删除第一规则，这样，再有第一主体访问第一客体以执行第一操作的行为发生时，不仅基于安全策略确定第一主体没有访问第一客体以执行第一操作的权限，而且还可以确定第一客体未配置为permissive模式，从而，拒绝第一主体访问第一客体以执行第一操作，确保了操作系统的安全性。如此，通过完善安全策略，使得后续再有第一主体访问第一客体以执行第一操作的行为发生时，能够按照完善后的安全策略准确的处理该行为。

在一种实现方式中，该MAC方法例如还可以包括：在第二主体访问第二客体以执行第二操作时，如果安全模块基于安全策略确定第二主体没有访问第二客体以执行第二操作的权限，且第二客体未配置为permissive模式，则，拒绝第二主体访问第二客体以执行第二操作。例如，安全模块的安全策略中，可以将操作系统中的一些非关键客体配置为 permissive模式，实现对非关键客体的宽松访问；为了保证该操作系统的安全性，可以不配置关键客体或经过充分验证的客体为permissive模式，从而实现对这些客体的强制保护。

在一种实现方式中，当安全模块根据第二客体未配置为permissive模式，拒绝第二主体访问第二客体以执行第二操作，那么，在拒绝第二主体访问第二客体以执行第二操作之后，安全模块还可以生成第二日志，该第二日志用于记录所述第二主体访问所述第二客体以执行所述第二操作相关联的信息。其中，该第二日志可以是系统日志，记录的内容可以包括：第二主体的安全标签、第二客体的安全标签、第二主体访问第二客体执行第二操作被拒绝以及permissive＝0，其中，permissive＝0用于指示第二客体未配置为permissive模式且该行为被拒绝执行。如此，使得安全模块能够基于所记录的日志，对操作系统的安全性以及安全策略的完备性和准确性进行分析和了解。

第二方面，本申请实施例还提供了另一种MAC方法，该方法应用于操作系统中的安全模块，在安全模块工作在permissive模式时，该MAC方法例如可以包括：在第一主体访问第一客体以执行第一操作时，如果安全模块基于安全策略确定第一主体没有访问第一客体以执行第一操作的权限，但第一客体或第一主体被配置为enforcing模式，则，可以拒绝第一主体访问第一客体以执行第一操作。这样，安全模块在“总开关”的状态为permissive模式时，根据主体或客体是否配置了enforcing模式灵活的确定该主体访问客体以执行操作的行为应该被允许还是被拒绝，提高了MAC机制的灵活性和安全性。而且，该MAC方法中，安全模块在梳理security policy时，可以基于客体或主体进行梳理，将需要强制拒绝执行的主体或客体设置为enforcing模式，保证安全模块对操作系统的安全增强作用，无需全面的将所有的主体访问客体以执行操作的权限均梳理到security policy中，降低了梳理security policy的工作量。

需要说明的是，安全模块可以支持安全策略中主体的enforcing模式，或者，支持安全策略中客体的enforcing模式，但为了安全模块能够基于安全策略对权限进行有效的控制，安全模块通常不同时支持主体和客体的enforcing模式。

在一种实现方式中，安全策略可以包括第一规则，所述第一规则指示所述第一主体工作在所述enforcing模式。那么，当安全策略支持主体的enforcing模式，则，可以在确定第一主体没有访问第一客体以执行第一操作的权限后，根据第一主体被配置为enforcing模式确定拒绝第一主体访问第一客体以执行第一操作。或者，安全策略也可以包括第二规则，所述第二规则指示所述第一客体工作在所述enforcing模式。那么，当安全策略支持客体的enforcing模式，则，可以在确定第一主体没有访问第一客体以执行第一操作的权限后，根据第一客体被配置为enforcing模式确定拒绝第一主体访问第一客体以执行第一操作。

在一种实现方式中，为了记录该次拒绝执行安全策略中没有权限的行为，该方法还可以包括：生成第三日志，该第三日志用于记录第一主体访问第一客体以执行所述第一操作相关联的信息。例如，第三日志可以为系统日志，记录的内容可以包括：第一主体的安全标签、第一客体的安全标签、第一主体访问第一客体执行第一操作被拒绝以及enforcing＝1，其中，enforcing＝1用于指示第一主体配置为enforcing模式后该行为被拒绝执行。或者，该方法也可以包括：生成第五日志，该第五日志用于记录第一主体访问第一客体以执行所述 第一操作相关联的信息。例如，第五日志可以为系统日志，记录的内容可以包括：第一主体的安全标签、第一客体的安全标签、第一主体访问第一客体执行第一操作被拒绝以及enforcing＝1，其中，enforcing＝1用于指示第一客体配置为enforcing模式后该行为被拒绝执行。

在一种实现方式中，还可以通过验证或测试进一步完善安全策略。作为一个示例，如果通过验证或测试，确定该第一主体访问第一客体以执行第一操作的行为属于安全的访问行为，由于梳理安全策略时的遗漏导致从安全策略中确定第一主体没有访问第一客体以执行第一操作的权限，那么，安全模块可以更新所述安全策略，使得更新后的安全策略包括第三规则，该第三规则指示允许第一主体访问第一客体以执行第一操作。这样，通过完善安全策略，使得后续再有第一主体访问第一客体以执行第一操作的行为发生时，能够按照完善后的安全策略准确的处理该行为。

在一种实现方式中，如果安全模块支持客体的enforcing模式，那么，该MAC方法例如还可以包括：在第二主体访问第二客体以执行第二操作时，如果安全模块基于安全策略确定第二主体没有访问第二客体以执行第二操作的权限，且第二客体未配置为enforcing模式，则，允许第二主体访问第二客体并执行第二操作。或者，如果安全模块支持主体的enforcing模式，那么，该MAC方法例如还可以包括：在第二主体访问第二客体以执行第二操作时，如果安全模块基于安全策略确定第二主体没有访问第二客体以执行第二操作的权限，且第二主体未配置为enforcing模式，则，允许第二主体访问第二客体并执行第二操作。例如，安全模块的安全策略中，可以将操作系统中的一些非关键主体或客体配置为enforcing模式，实现对非关键主体或客体的宽松访问；为了保证该操作系统的安全性，可以不配置关键主体和客体(或经过充分验证的主体和客体)为enforcing模式，从而实现对这些主体和客体的强制保护。

在一种实现方式中，当安全模块根据第二客体或第二主体未配置为enforcing模式，允许第二主体访问第二客体并执行第二操作，那么，在允许第二主体访问第二客体并执行第二操作之后，安全模块还可以生成系统日志，用于记录所述第二主体访问所述第二客体以执行所述第二操作相关联的信息。

第三方面，本申请提供了一种通信装置，该通信装置应用于操作系统中的安全模块，所述通信装置工作在强制enforcing模式。该通信装置例如可以包括：第一处理单元和第二处理单元。其中：第一处理单元，用于在第一主体访问第一客体以执行第一操作时，基于安全策略确定所述第一主体没有访问所述第一客体以执行所述第一操作的权限，所述第一客体配置为许可permissive模式；第二处理单元，用于允许所述第一主体访问所述第一客体并执行所述第一操作。

在一种实现方式中，所述安全策略包括第一规则，所述第一规则指示所述第一客体工作在所述permissive模式。

在一种实现方式中，所述通信装置还包括：第三处理单元。该第三处理单元，用于在允许所述第一主体访问所述第一客体并执行所述第一操作之后，生成第一日志，所述第一日志用于记录所述第一主体访问所述第一客体以执行所述第一操作相关联的信息。

在一种实现方式中，所述通信装置还包括：第四处理单元。其中，该第四处理单元，用于更新所述安全策略，所述更新后的安全策略包括第二规则，所述第二规则指示允许所述第一主体访问所述第一客体以执行所述第一操作。

在一种实现方式中，所述通信装置还包括：第五处理单元。其中，该第五处理单元，用于从所述安全策略中删除所述第一规则。

在一种实现方式中，所述第一处理单元，还用于在第二主体访问第二客体以执行第二操作时，基于所述安全策略确定所述第二主体没有访问所述第二客体以执行所述第二操作的权限，其中，所述第二客体未配置为permissive模式；所述第二处理单元，还用于拒绝所述第二主体访问所述第二客体以执行所述第二操作。

需要说明的是，本申请实施例第三方面提供的通信装置，具体实现方式以及达到的效果可以参见上述第一方面所示实施例中的相关说明，此处不再赘述。

第四方面，本申请实施例还提供了另一种通信装置，所述通信装置应用于操作系统中的安全模块，所述通信装置工作在许可permissive模式。所述通信装置例如可以包括：第一处理单元和第二处理单元。其中：第一处理单元，用于在第一主体访问第一客体以执行第一操作时，基于安全策略确定所述第一主体没有访问所述第一客体以执行所述第一操作的权限，所述第一主体或所述第一客体配置为强制enforcing模式；第二处理单元，用于拒绝所述第一主体访问所述第一客体以执行所述第一操作。

在一种实现方式中，所述安全策略包括第一规则，所述第一规则指示所述第一主体工作在所述enforcing模式；或者，所述安全策略包括第二规则，所述第二规则指示所述第一客体工作在所述enforcing模式。

在一种实现方式中，所述通信装置还包括：第三处理单元。其中，该第三处理单元，用于更新所述安全策略，所述更新后的安全策略包括第三规则，所述第三规则指示允许所述第一主体访问所述第一客体以执行所述第一操作。

在一种实现方式中，所述第一处理单元，还用于在第二主体访问第二客体以执行第二操作时，基于所述安全策略确定所述第二主体没有访问所述第二客体以执行所述第二操作的权限，其中，所述第二客体未配置为enforcing模式；所述第二处理单元，用于允许所述第二主体访问所述第二客体和所述第二主体并执行所述第二操作。

需要说明的是，本申请实施例第四方面提供的通信装置，具体实现方式以及达到的效果可以参见上述第二方面所示实施例中的相关说明，此处不再赘述。

第五方面，本申请提供了一种通信装置，所述通信装置包括存储器和处理器；所述存储器，用于存储程序代码；所述处理器，用于运行所述程序代码中的指令，使得所述通信装置执行以上第一方面以及第一方面任意一项所述的方法，或者，使得所述通信装置执行以上第二方面以及第二方面任意一项所述的方法。

第六方面，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得所述计算机执行以上第一方面以及第一方面任意一项所述的方法，或者，使得所述计算机执行以上第二方面以及第二方面任意一项所述的方法。

第七方面，本申请提供了一种计算机程序产品，包括程序，当所述程序在处理器上运行时，实现以上第一方面以及第一方面任意一项所述的方法，或者，实现以上第二方面以及第二方面任意一项所述的方法。

第八方面，本申请提供了一种服务器，所述服务器中存储程序代码，所述程序代码被处理器运行时，实现以上第一方面以及第一方面任意一项所述的方法，或者，实现以上第二方面以及第二方面任意一项所述的方法。

附图说明

图1为本申请实施例中一种Linux操作系统10的结构示意图；

图2为本申请实施例中一种MAC方法在一示例下的流程示意图；

图3为本申请实施例中一种MAC方法100的流程示意图；

图4为本申请实施例中另一种MAC方法200的流程示意图；

图5为本申请实施例中又一种MAC方法300的流程示意图；

图6为本申请实施例提供的一种通信装置的结构示意图；

图7为本申请实施例提供的一种通信装置的结构示意图。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行描述。本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

本申请中的“1”、“2”、“3”、“第一”、“第二”以及“第三”等序数词用于对多个对象进行区分，不用于限定多个对象的顺序。

本申请中提及的“A和/或B”，应该理解为包括以下情形：仅包括A，仅包括B，或者同时包括A和B。

本申请实施例提供了一种由安全模块执行的MAC方法，提高了操作系统中MAC机制的灵活性和安全性。其中，安全模块集成在可以基于安全标签(英文：security label)进行MAC的操作系统中，例如可以是操作系统内核中的安全模块。

为了方便理解，下面对于本申请涉及的一些技术术语作简单解释说明。

安全模块，是指能够基于MAC机制对该安全模块所在的操作系统进行安全增强的模块，用于提高该操作系统的安全防护能力。例如，Linux操作系统中的安全模块，可以是SELinux；又例如，Android操作系统中的安全模块，可以是SEAndroid。安全模块对于操作系统中主体访问客体以执行操作的权限进行管理和控制，这种权限的限制能够有效克服攻击源伪装为操作系统管理者对操作系统进行攻击的问题，降低风险发生的可能性。

主体，在本申请实施例中可以指进程。“主体”和“进程”在MAC机制中可能经常交替使用，应理解，二者指代相同的含义。

客体，在本申请实施例中也可以称为资源，指主体访问的对象。客体例如可以包括但不限于：文件(英文：file)、目录(英文：dir)、文件系统(英文：filesystem)、网络端口和设备。

主体访问客体以执行的操作，在本申请实施例中可以包括但不限于：读、写、创建、查询、卸载、挂载等。例如，客体为文件时，主体访问客体以执行的操作可以包括但不限于：进程访问文件以执行读、写和创建操作中的至少一种；又例如，客体为文件系统时，体访问客体以执行的操作可以包括但不限于：进程访问文件系统以执行挂载和卸载操作中的至少一种。具体实现时，主体访问客体以执行操作可以通过命令行体现，运行命令行启动该“主体访问客体以执行操作”的进程，生成对应的可执行文件，从而安全模块对该“主体访问客体以执行操作”进行MAC。

安全策略(英文：security policy)，是安全模块对主体访问客体以执行操作的权限进行管理和控制的依据。安全策略中包括不同的规则，规则的类型包括但不限于：各个主体的安全标签、各个客体的安全标签、以及主体访问客体以执行操作的权限(如允许(英文：allow)规则)。

安全标签(英文：security label)也可以称为安全上下文(英文：security context)，通常可以是包括多个字段的语句，一条语句与一个主体或一个客体对应，用于描述该语句对应的主体或客体，该语句中的每个字段指定所描述的主体或客体的一个属性。其中，主体的安全标签包括但不限于该主体的下述属性：用户、角色和主体类型，客体的安全标签包括但不限于该客体的下述属性：用户、角色和客体类型。例如，/usr/bin/ftpput文件执行后的主体1(即进程ftpput)的安全标签可以为system_u:system_r:os_ftp_t，其中，system_u为主体1对应的用户名称，system_r为主体1对应的角色名称，os_ftp_t为主体1对应的主体类型，可选地，在主体类型之后，还可以增加主体1对应的安全级别的属性字段，如s0:c0；客体1的安全标签可以为：system_u:object_r:os_dev_t，其中，system_u为客体1对应的用户名称，object_r为客体1对应的角色名称，os_dev_t为客体1对应的客体类型，可选地，在客体类型之后，还可以增加客体1对应的安全级别的属性字段，如s0:c0。需要说明的是，对于操作系统中可能出现的主体和客体，均可以在security policy中定义各主体和客体对应的安全标签，以描述各主体和各客体的属性。主体类型可以视作该security policy中对一个或多个主体的统一名称，每个主体类型可以对应一个主体，也可以对应多个主体；同理，客体类型可以视作该security policy中对一个或多个客体的统一名称，每个客体类型可以对应一个客体也可以对应多个客体。一个或多个主体类型可以对应一个角色，一个或多个客体类型可以对应一个角色。

主体访问客体以执行操作的权限，用于指示主体能够访问的客体类型、客体分类(英文：Object class，也可以理解为允许访问的客体的具体格式)以及允许执行的操作，可以通过包括多个字段的一条语句表示，一条语句与主体访问客体以执行操作的一个权限对应，用于描述该主体访问客体以执行操作的权限，以allow规则为例，allow规则的格式可以为：allow主体类型客体类型：客体分类{允许执行的操作}。例如，security policy中包括主体1访问客体1以执行操作对应的allow规则1可以是：allow os_ftp_t os_dev_t:file{read write}，其中，allow指示该规则1的类型为允许访问，os_ftp_t为主体1对应的主体类型os_dev_t为客体1对应的客体类型，file指示允许访问格式为普通文件的客体，{read write}指示允许执行读和写的操作。其中，一条allow规则中，客体分类以及允许执行的操作均 可以包括至少一个，当客体分类或允许执行的操作为多个时，可以将多个客体分类或允许执行的操作写入一个大括号(即，{})中。需要说明的是，当多个主体类型的权限相同(即，将多个主体类型对应到不同的allow规则中，仅主体类型不同，其他内容均相同)时，为了节约security policy中的资源，可以在security policy中以一条allow规则体现，该allow规则可以表示为：allow主体标签{主体类型1主体类型2…}客体类型：客体分类{允许执行的操作}；同理，当多个客体类型的权限相同时，可以在security policy中以一条allow规则体现，该allow规则可以表示为：allow主体类型客体标签{客体类型1客体类型2…}：客体分类{允许执行的操作}；或者，当多个客体类型和多个客体对应的权限均相同时，可以在security policy中以一条allow规则体现，该allow规则可以表示为：allow主体标签{主体类型1主体类型2…}客体标签{客体类型1客体类型2…}：客体分类{允许执行的操作}。上述主体标签可以是安全模块中为该多个权限相同的主体类型定义的标签，该多个主体类型和该主体标签对应；客体标签可以是安全模块中为该多个权限相同的客体类型定义的标签，该多个客体类型和该客体标签对应。例如，主体类型os_ftp_t1和主体类型os_ftp_t2在安全模块中有相关的权限，定义两者对应的主体标签为A，客体类型os_dev_t1、客体类型os_dev_t2和客体类型os_dev_t3在安全模块中有相关的权限，定义三者对应的客体标签为B，那么，且安全模块中包括一条允许主体标签A访问主体标签B中file格式的资源以执行读和写操作的allow规则，那么，该allow规则例如可以表示为：allow A{os_ftp_t1os_ftp_t2}B{os_dev_t1os_dev_t2os_dev_t3}:file{read write}。

安全模块的工作模式包括强制(英文：enforcing)模式和允许(英文：permissive)模式。目前，当安全模块工作在enforcing模式时，该安全模块对于security policy中没有主体访问客体以执行操作的权限的情况，一律拒绝该主体访问该客体以执行该操作。例如，在enforcing模式下，安全模块在主体1访问客体1以执行操作1时，获得主体1对应的主体类型和客体1对应的客体类型，在security policy中根据所获得的主体类型和客体类型未匹配到allow规则，则，确定主体1没有访问客体1以执行操作1的权限，所以，安全模块拒绝主体1访问客体1以执行操作1。当安全模块工作在permissive模式时，该安全模块对于security policy中没有主体访问客体以执行操作的权限的情况，一律允许该主体访问该客体并执行该操作。例如，在permissive模式下，安全模块在主体2访问客体2以执行操作2时，获得主体2对应的主体类型和客体2对应的客体类型，在security policy中根据所获得的主体类型和客体类型未匹配到allow规则，则，确定主体2没有访问客体2以执行操作2的权限，但安全模块允许主体2访问客体2并执行操作2。需要说明的是，无论是enforcing模式还是permissive模式，安全模块在确定主体没有访问客体以执行操作的权限时，均会生成对应的日志，记录主体访问客体以执行操作相关联的信息，例如，生成的日志记录的内容可以包括但不限于：主体的安全标签、客体的安全标签、本次MAC任务的情况(哪个主体访问哪个客体，执行的是哪个操作)、以MAC任务的执行结果(是允许执行还是拒绝执行)等。其中，生成的日志可以是系统日志，如访问向量缓存(英文：access vector cache，简称：avc)日志，可以存放在系统审计(英文：audit)日志文件中。

目前的MAC机制中，安全模块的工作模式可以视作操作系统级的“总开关”，该“总开 关”的状态影响所有没有在security policy中匹配到主体访问客体以执行操作权限的情况的决策，这就要求前期梳理的security policy是绝对全面和准确的，否则，这样操作系统级的“总开关”控制粒度较粗，对操作系统的安全性和业务的正常运行均有影响。基于此，本申请实施例提供了一种更加灵活和安全的MAC方法，能够在操作系统级的“总开关”下针对性的细化控制方式。

随着操作系统所在通信装置越来越复杂，梳理出的security policy很难包括所有应该具有主体访问客体以执行操作的权限对应的规则，所以，目前对于安全模块处于enforcing模式时，“一律拒绝访问”的MAC机制在很多情况下，很可能不仅无法提高该操作系统的安全性，还会使得正常运行的业务出现中断的风险。

在本申请实施例的第一种可能的实现方式中，为了解决目前MAC机制中针对安全模块工作在enforcing模式下存在的问题，提供了一种灵活且安全的MAC方式。该MAC方式中，针对工作在enforcing模式的安全模块，能够根据实际需求在security policy中为部分客体配置permissive模式，这样，当主体访问客体以执行操作时，该安全模块基于security policy确定该主体没有访问该客体以执行该操作的权限，如果该客体被配置为permissive模式，则，允许该主体访问该客体并执行该操作。这样，安全模块在“总开关”的状态为enforcing模式时，根据客体是否配置了permissive模式灵活的确定该主体访问客体以执行操作的行为应该被允许还是被拒绝，提高了MAC机制的灵活性和安全性。即使在操作系统所在的通信装置较为复杂，梳理的security policy中遗漏了该主体访问该客体以执行该操作的权限，也可以通过配置该客体为permissive模式保证该主体能够访问该客体并执行该操作，从而保证包括该主体访问该客体以执行该操作的业务正常运行，不会被中断。而且，该MAC方法中，安全模块在梳理security policy时，可以基于客体进行梳理，将需要开放权限的客体设置为permissive模式，无需全面的将所有的主体访问客体以执行操作的权限均梳理到security policy中，降低了梳理security policy的工作量。需要说明的是，该实现方式提供的MAC方法的具体实现方式以及达到的技术效果的相关描述可以参见下述图3所示的方法100。

此外，目前对于安全模块处于permissive模式时，“一律允许访问”的MAC机制，与安全模块通过对主体访问客体以执行操作的权限进行管理和控制的方式，实现对操作系统安全增强的效果背离，无法保证操作系统的安全性。

在本申请实施例的第二种可能的实现方式中，为了解决目前MAC机制中针对安全模块工作在permissive模式下存在的问题，提供了一种灵活且安全的MAC方式。该MAC方式中，针对工作在permissive模式的安全模块，能够根据实际需求在security policy中为部分主体或客体配置enforcing模式，当主体访问客体以执行操作时，该安全模块基于security policy确定该主体没有访问该客体以执行该操作的权限，如果该主体或客体被配置为enforcing模式，则，拒绝该主体访问该客体并执行该操作。这样，安全模块在“总开关”的状态为permissive模式时，根据主体或客体是否配置了enforcing模式灵活的确定该主体访问客体以执行操作的行为应该被允许还是被拒绝，提高了MAC机制的灵活性和安全性。而且，该MAC方法中，安全模块在梳理security policy时，可以基于客体或主体进行梳理， 将需要强制拒绝执行的主体或客体设置为enforcing模式，保证安全模块对操作系统的安全增强作用，无需全面的将所有的主体访问客体以执行操作的权限均梳理到security policy中，降低了梳理security policy的工作量。需要说明的是，该实现方式提供的MAC方法的具体实现方式以及达到的技术效果的相关描述可以参见下述图4所示的方法200和图5所示的方法300。

需要说明的是，本申请实施例提供的安全模块，可以集成在操作系统中，操作系统例如可以安装在网络装置的单板上，一个网络通信装置可以包括至少一个单板。其中，网络装置例如可以是路由器、交换机、防火墙或物联网(英文：Internet of Things，简称：IoT)终端。或者，本申请实施例提供的安全模块，也可以是待集成的程序产品或计算机可读存储介质，供用户在有对操作系统进行安全增强的需求时集成在该操作系统中。又或者，本申请实施例提供的安全模块，也可以是服务器上存储的程序代码，供用户在有对操作系统进行安全增强的需求时，从该服务器上下载并在该操作系统中集成，以实现对该操作系统的安全增强。

本申请实施例中提及的通信装置，可以是交换机、路由器防火墙或IoT终端等网络设备，也可以是网络设备上的一部分组件，例如是网络设备上的单板，线卡，可以是网络设备上的一个功能模块，还可以是用于实现本申请方法的芯片，本申请实施例不做具体限定。

以安全模式为SELinux为例，图1为本申请实施例中一种Linux操作系统10的架构示意图。参见图1，该Linux操作系统10可以包括用户空间(英文：user space)100和内核空间(英文：kernel space)200，其中，用户空间100可以包括：应用程序(英文：application，简称：App)110和SELinux策略管理单元120，内核空间200可以包括自主访问控制检测(英文：discretionary access control check，简称：DAC Check)210、Linux安全模块(英文：Linux security module，简称：LSM)220、SELinux 230和Linux审计(英文：Audit)240。内核空间200和用户空间100包括系统调用(英文：Syscall)模块12。其中，LSM 220允许安全模块以插件形式进入内核，在内核调用逻辑中提供一套钩子，钩子可以指权限检查的函数接口。DAC Check 210用于执行DAC机制，DAC机制可以理解为由主体的身份和该主体所属的组限制对客体的访问，拥有访问权限的主体将访问权限赋予其他主体，对权限的管理和控制的限制较为宽松。

Linux操作系统10中的安全模块不仅包括SELinux策略管理单元120，还包括SELinux 230，其中，该SELinux 230中可以包括：SELinux钩子(英文：Hooks)231、SELinux文件系统(英文：filesystem)232、访问向量缓存(英文：access vector cache，简称：avc)233、安全服务器(英文：security server)234和策略数据库(英文：policy database)235。具体实现时，可以通过在SELinux策略管理单元120中定义security policy，并通过SELinux filesystem 232和security server 234加载到policy database 235中。

作为一个示例，如果发生了主体1访问客体1以执行操作1的行为，那么，Linux操作系统10的MAC过程参见图2，例如可以包括：S11，DAC Check 210对该行为进行检测，如果通过，则执行S12，否则，执行S18；S12，SELinux 230根据主体1对应的主体类型、客体1对应的客体类型和操作1，从policy database 235中查询security policy中是否有匹配 的规则，如果有，则，执行S16，否则，执行S13；S13，判断SELinux 230工作在permissive模式还是enforcing模式，如果工作在enforcing模式，则执行S14，如果工作在permissive模式，则执行S24。当SELinux 230工作在enforcing模式，S14，判断客体1对应的客体类型是否被配置为permissive模式，如果是，则执行S15～S16，否则执行S17～S18；S15，生成日志1，该日志1记录的内容例如可以包括：主体1的安全标签、客体1的安全标签、主体1访问客体1执行操作1被允许以及permissive＝1(指示客体1配置为permissive模式后被允许执行)；S16，允许主体1访问客体1并执行操作1；S17，生成日志2，该日志2记录的内容例如可以包括：主体1的安全标签、客体1的安全标签、主体1访问客体1执行操作1被拒绝以及permissive＝0(指示客体1未配置为permissive模式被拒绝执行)；S18，拒绝主体1访问客体1以执行操作1。当SELinux 230工作在permissive模式，S24，判断支持主体的enforcing模式还是客体的enforcing模式，如果支持主体的enforcing模式，则执行S25，如果支持客体的enforcing模式，则执行S35。对于支持主体的enforcing模式，S25，判断主体1对应的主体类型是否被配置为enforcing模式，如果是，则执行S26和S18，否则执行S27和S16；S26，生成日志3，该日志3记录的内容例如可以包括：主体1的安全标签、客体1的安全标签、主体1访问客体1执行操作1被拒绝以及enforcing＝1(指示主体1配置为enforcing模式后被拒绝执行)；S27，生成日志4，该日志4记录的内容例如可以包括：主体1的安全标签、客体1的安全标签、主体1访问客体1执行操作1被允许以及enforcing＝0(指示主体1未配置为enforcing模式被允许执行)。对于支持客体的enforcing模式，S35，判断客体1对应的客体类型是否被配置为enforcing模式，如果是，则执行S36和S18，否则执行S37和S16；S36，生成日志5，该日志5记录的内容例如可以包括：主体1的安全标签、客体1的安全标签、主体1访问客体1执行操作1被拒绝以及enforcing＝1(指示客体1配置为enforcing模式后被拒绝执行)；S37，生成日志6，该日志6记录的内容例如可以包括：主体1的安全标签、客体1的安全标签、主体1访问客体1执行操作1被允许以及enforcing＝0(指示客体1未配置为enforcing模式被允许执行)。

本申请实施例中的图1以及上述MAC过程，只是为了方便理解本申请实施例提及的相关内容而作为可能的示例而示出，其并不构成对本申请实施例的限定。

以下结合附图介绍本申请实施例提供的MAC方法。下述方法可以由操作系统的安全模块执行，其中，操作系统可以是基于安全标签进行MAC的操作系统。例如，操作系统为基于Linux的操作系统，该操作系统中集成的安全模块可以为SELinux；又例如，操作系统为基于Android的操作系统，该操作系统中集成的安全模块可以为SEAndroid；再例如，操作系统为基于苹果(简称：iOS)的操作系统，该操作系统中集成的安全模块可以为SEiOS。

与上述第一种可能的实现方式对应，本申请实施例提供了一种MAC方法100。图3为本申请实施例提供的一种MAC方法100的流程示意图。执行该方法100的安全模块工作在enforcing模式，且支持客体的permissive模式。该MAC方法100，例如可以由图1中的Linux操作系统10中的SELinux 230执行。参见图3，该方法100例如可以包括S101～S102：

S101，在第一主体访问第一客体以执行第一操作时，基于安全策略确定第一主体没有 访问第一客体以执行第一操作的权限，第一客体配置为permissive模式。

S102，允许所述第一主体访问所述第一客体并执行所述第一操作。

安全策略中，还可以包括用于配置客体对应的客体类型为permissive模式的规则。假设第一客体对应的客体类型为os_dev_t，安全策略中可以包括第一规则，第一规则例如可以为：permissive os_dev_t，用于指示os_dev_t对应的所有客体均工作在permissive模式，例如，可以用于指示第一客体工作在permissive模式。

具体实现时，在第一主体访问第一客体以执行第一操作时，可以先获得第一主体对应的主体类型以及第一客体对应的客体类型，接着，从安全策略包括的主体访问客体以执行操作的权限中，查看是否有与第一主体访问第一客体以执行第一操作的行为匹配的权限。如果有，则，允许第一主体访问第一客体并执行第一操作；如果没有，则，可以确定第一主体没有访问第一客体以执行第一操作的权限，则，在安全策略中查看是否包括第一规则，如果包括第一规则，则可以确定第一客体配置为permissive模式，从而执行S102；如果不包括第一规则，则可以确定第一客体未配置为permissive模式，从而按照安全模块的“总开关”对该行为进行MAC，即，拒绝第一主体访问第一客体以执行第一操作。

其中，与第一主体访问第一客体以执行第一操作的行为匹配的权限，可以指安全策略中某条主体访问客体以执行操作的权限中，主体类型为第一主体对应的主体类型，客体类型为第一客体对应的客体类型，客体分类包括该第一客体的格式，且允许执行的操作中包括该第一操作。

第一客体配置为permissive模式，可以指第一客体对应的客体类型被配置为permissive模式，在具体实现时，可以查看安全策略中是否包括所获得的第一客体的客体类型对应的第一规则，如果包括，则，认为该第一客体被配置为permissive模式。

例如，安全模块的安全策略中，可以将操作系统中的一些非关键客体配置为permissive模式，实现对非关键客体的宽松访问；为了保证该操作系统的安全性，可以不配置关键客体或经过充分验证的客体为permissive模式，从而实现对这些客体的强制保护。

需要说明的是，可以在安全策略中将部分客体对应的客体类型配置为permissive模式，从而当主体访问这些客体时，不会对由于安全模块工作在enforcing模式而拒绝对这些客体的访问，能够避免由于安全策略中梳理的主体访问客体以执行操作的权限不全面导致本来安全运行的业务被迫中断的问题。

虽然可以对部分配置为permissive模式的客体执行S102，但是，为了记录该次允许执行安全策略中没有权限的行为，在S102之后，该方法100还可以包括：生成第一日志，该第一日志用于记录第一主体访问第一客体以执行所述第一操作相关联的信息。例如，第一日志可以为系统日志，记录的内容可以包括：第一主体的安全标签、第一客体的安全标签、第一主体访问第一客体执行第一操作被允许以及permissive＝1，其中，permissive＝1用于指示第一客体配置为permissive模式后该行为被允许执行。

对于第一主体访问第一客体以执行第一操作的行为，在S102之后，为了处理该异常，可以通过验证或测试进一步完善安全策略，使得后续再有第一主体访问第一客体以执行第一操作的行为发生时，能够按照完善后的安全策略准确的处理该行为。

作为一个示例，如果通过验证或测试，确定该第一主体访问第一客体以执行第一操作的行为属于安全的访问行为，由于梳理安全策略时的遗漏导致从安全策略中确定第一主体没有访问第一客体以执行第一操作的权限，那么，安全模块可以更新所述安全策略，使得更新后的安全策略包括第二规则，该第二规则指示允许第一主体访问第一客体以执行第一操作。例如，更新前的安全策略中不包括第二规则，更新后的安全策略中增加了第二规则，该第二规则可以是：allow第一主体的主体类型第一客体的客体类型：第一客体的客体分类第一操作。又例如，更新前的安全策略中包括关于第一主体访问第一客体的权限对应的规则，但是允许执行的操作类型不包括第一操作，那么，更新后的安全策略中可以对已有的关于第一主体访问第一客体的权限对应的规则进行更新，更新后记作第二规则，该第二规则可以是：allow第一主体的主体类型第一客体的客体类型：第一客体的客体分类{更新前允许执行的操作第一操作}。

作为另一个示例，如果通过验证或测试，确定该第一主体访问第一客体以执行第一操作的行为属于不安全的攻击行为，那么，为了安全起见，可以从安全策略中删除第一规则，这样，再有第一主体访问第一客体以执行第一操作的行为发生时，不仅基于安全策略确定第一主体没有访问第一客体以执行第一操作的权限，而且还可以确定第一客体未配置为permissive模式，从而，拒绝第一主体访问第一客体以执行第一操作，确保了操作系统的安全性。

可选地，该方法100例如还可以包括S103～S104：

S103，在第二主体访问第二客体以执行第二操作时，基于安全策略确定第二主体没有访问第二客体以执行第二操作的权限，其中，第二客体未配置为permissive模式。

S104，拒绝第二主体访问第二客体以执行第二操作。

为了记录该次允许执行安全策略中没有权限的行为，在S104之后，该方法100还可以包括：生成第二日志，该第二日志用于记录第二主体访问第二客体以执行所述第二操作相关联的信息。例如，第二日志可以为系统日志，记录的内容可以包括：第二主体的安全标签、第二客体的安全标签、第二主体访问第二客体执行第二操作被允许以及permissive＝0，其中，permissive＝0用于指示第二客体未配置为permissive模式且该行为被拒绝执行。

可见，该方法100中，安全模块在“总开关”的状态为enforcing模式时，根据客体是否配置了permissive模式灵活的确定该主体访问客体以执行操作的行为应该被允许还是被拒绝，提高了MAC机制的灵活性和安全性。即使在操作系统所在的通信装置较为复杂，梳理的security policy中遗漏了该主体访问该客体以执行该操作的权限，也可以通过配置该客体为permissive模式保证该主体能够访问该客体并执行该操作，从而保证包括该主体访问该客体以执行该操作的业务正常运行，不会被中断。而且，该MAC方法中，安全模块在梳理security policy时，可以基于客体进行梳理，将需要开放权限的客体设置为permissive模式，无需全面的将所有的主体访问客体以执行操作的权限均梳理到security policy中，降低了梳理security policy的工作量。

相比于目前安全模块工作在enforcing模式下为部分主体配置permissive模式的MAC机制，方法100提供的MAC方法100能够适用于主体访问客体以执行操作情况较为复杂 的情况，且对于操作系统量级较大的情况也能够灵活和安全的实现MAC。而且，在本申请实施例中，对于安全模块工作在enforcing模式的情况下，可以根据实际需要支持主体的permissive模式或客体的permissive模式，MAC方法更加灵活，对于用户而言该安全模块的使用更加友好。

需要说明的是，为了避免一个访问行为的主体和客体配置的模式发生冲突，导致无法对该访问行为实现MAC，只能支持主体的permissive模式或客体的permissive模式，而不能同时支持主体的permissive模式和客体的permissive模式。

与上述第二种可能的实现方式对应，本申请实施例提供了一种MAC方法200和MAC方法300。其中，MAC方法200的安全模块工作在permissive模式，且执行该方法200的安全模块支持主体的enforcing模式。MAC方法300的安全模块工作在permissive模式，且执行该方法300的安全模块支持客体的enforcing模式。需要说明的是，为了避免一个访问行为的主体和客体配置的模式发生冲突，导致无法对该访问行为实现MAC，只能支持主体的enforcing模式或客体的enforcing模式，而不能同时支持主体的enforcing模式和客体的enforcing模式。

图4为本申请实施例提供的一种MAC方法200的流程示意图。方法200中的安全模块工作在permissive模式，且支持主体的enforcing模式。该MAC方法200，例如可以由图1中的Linux操作系统10中的SELinux 230执行。参见图4，该方法200例如可以包括S201～S202：

S201，在第一主体访问第一客体以执行第一操作时，基于安全策略确定第一主体没有访问第一客体以执行第一操作的权限，第一主体配置为强制enforcing模式。

S202，拒绝第一主体访问第一客体以执行第一操作。

其中，安全策略可以包括第一规则，第一规则指示第一主体工作在enforcing模式。假设第一主体对应的主体类型为os_ftp_t，安全策略中可以包括第一规则，第一规则例如可以为：enforcing os_ftp_t，用于指示os_ftp_t对应的所有主体均工作在enforcing模式。

具体实现时，在第一主体访问第一客体以执行第一操作时，可以先获得第一主体对应的主体类型以及第一客体对应的客体类型，接着，从安全策略包括的主体访问客体以执行操作的权限中，查看是否有与第一主体访问第一客体以执行第一操作的行为匹配的权限。如果有，则，允许第一主体访问第一客体并执行第一操作；如果没有，则，可以确定第一主体没有访问第一客体以执行第一操作的权限，则，在安全策略中查看是否包括第一规则，如果包括第一规则，则可以确定第一主体配置为enforcing模式，从而执行S202；如果不包括第一规则，则可以确定第一主体未配置为enforcing模式，从而按照安全模块的“总开关”对该行为进行MAC，即，允许第一主体访问第一客体并执行第一操作。

第一主体配置为enforcing模式，可以指第一主体对应的主体类型被配置为enforcing模式，在具体实现时，可以查看安全策略中是否包括所获得的第一主体的主体类型对应的第一规则，如果包括，则，认为该第一主体被配置为enforcing模式。

例如，安全模块的安全策略中，可以将操作系统中的一些关键主体或经过充分验证的 主体配置为enforcing模式，实现对这些主体的强制保护；可以对非关键主体不配置为enforcing模式，从而实现对这些主体的宽松访问。

需要说明的是，可以在安全策略中将部分主体对应的主体类型配置为enforcing模式，从而当这些主体访问客体时，不会对由于安全模块工作在permissive模式而允许这些主体的访问，能够有效的提高该操作系统的安全性。

虽然可以对部分配置为enforcing模式的主体执行S202，但是，为了记录该次拒绝执行安全策略中没有权限的行为，在S202之后，该方法200还可以包括：生成第三日志，该第三日志用于记录第一主体访问第一客体以执行所述第一操作相关联的信息。例如，第三日志可以为系统日志，记录的内容可以包括：第一主体的安全标签、第一客体的安全标签、第一主体访问第一客体执行第一操作被拒绝以及enforcing＝1，其中，enforcing＝1用于指示第一主体配置为enforcing模式后该行为被拒绝执行。

对于第一主体访问第一客体以执行第一操作的行为，在S202之后，为了处理该异常，可以通过验证或测试进一步完善安全策略，使得后续再有第一主体访问第一客体以执行第一操作的行为发生时，能够按照完善后的安全策略准确的处理该行为。作为一个示例，如果通过验证或测试，确定该第一主体访问第一客体以执行第一操作的行为属于安全的访问行为，由于梳理安全策略时的遗漏导致从安全策略中确定第一主体没有访问第一客体以执行第一操作的权限，那么，安全模块可以更新所述安全策略，使得更新后的安全策略包括第三规则，该第三规则指示允许第一主体访问第一客体以执行第一操作。

可选地，该方法200例如还可以包括S203～S204：

S203，在第二主体访问第二客体以执行第二操作时，基于安全策略确定第二主体没有访问第二客体以执行第二操作的权限，其中，第二主体未配置为enforcing模式。

S204，允许第二主体访问第二客体并执行第二操作。

为了记录该次允许执行安全策略中没有权限的行为，在S204之后，该方法200还可以包括：生成第四日志，该第四日志用于记录第二主体访问第二客体以执行所述第二操作相关联的信息。例如，第四日志可以为系统日志，记录的内容可以包括：第二主体的安全标签、第二客体的安全标签、第二主体访问第二客体执行第二操作被允许以及enforcing＝0，其中，enforcing＝0用于指示第二主体未配置为enforcing模式且该行为被允许执行。

可见，该方法200中，安全模块在“总开关”的状态为permissive模式时，根据主体是否配置了enforcing模式灵活的确定该主体访问客体以执行操作的行为应该被允许还是被拒绝，提高了MAC机制的灵活性和安全性。而且，该MAC方法中，安全模块在梳理security policy时，可以基于主体进行梳理，将需要强制拒绝执行的主体设置为enforcing模式，保证安全模块对操作系统的安全增强作用，无需全面的将所有的主体访问客体以执行操作的权限均梳理到security policy中，降低了梳理security policy的工作量。

图5为本申请实施例提供的一种MAC方法300的流程示意图。方法300中的安全模块工作在permissive模式，且支持客体的enforcing模式。该MAC方法300，例如可以由图1中的Linux操作系统10中的SELinux 230执行。参见图5，该方法300例如可以包括 S301～S302：

S301，在第一主体访问第一客体以执行第一操作时，基于安全策略确定第一主体没有访问第一客体以执行第一操作的权限，第一客体配置为强制enforcing模式。

S302，拒绝第一主体访问第一客体以执行第一操作。

或者，安全策略包括第二规则，第二规则指示第一客体工作在enforcing模式。

其中，安全策略可以包括第二规则，第二规则指示第一客体工作在enforcing模式。假设第一客体对应的客体类型为os_dev_t，安全策略中可以包括第二规则，第二规则例如可以为：enforcing os_dev_t，用于指示os_dev_t对应的所有客体均工作在enforcing模式。

具体实现时，在第一主体访问第一客体以执行第一操作时，可以先获得第一主体对应的主体类型以及第一客体对应的客体类型，接着，从安全策略包括的主体访问客体以执行操作的权限中，查看是否有与第一主体访问第一客体以执行第一操作的行为匹配的权限。如果有，则，允许第一主体访问第一客体并执行第一操作；如果没有，则，可以确定第一主体没有访问第一客体以执行第一操作的权限，则，在安全策略中查看是否包括第二规则，如果包括第二规则，则可以确定第一客体配置为enforcing模式，从而执行S302；如果不包括第二规则，则可以确定第一客体未配置为enforcing模式，从而按照安全模块的“总开关”对该行为进行MAC，即，拒绝第一主体访问第一客体以执行第一操作。

第一客体配置为enforcing模式，可以指第一客体对应的客体类型被配置为enforcing模式，在具体实现时，可以查看安全策略中是否包括所获得的第一客体的客体类型对应的第二规则，如果包括，则，认为该第一客体被配置为enforcing模式。

例如，安全模块的安全策略中，可以将操作系统中的一些关键客体或经过充分验证的客体配置为enforcing模式，实现对这些客体的强制保护；可以对非关键客体不配置为enforcing模式，从而实现对这些客体的宽松访问。

需要说明的是，可以在安全策略中将部分客体对应的客体类型配置为enforcing模式，从而当主体访问这些客体时，不会对由于安全模块工作在permissive模式而允许对这些客体的访问，能够有效的提高该操作系统的安全性。

虽然可以对部分配置为enforcing模式的客体执行S302，但是，为了记录该次拒绝执行安全策略中没有权限的行为，在S302之后，该方法300还可以包括：生成第五日志，该第五日志用于记录第一主体访问第一客体以执行所述第一操作相关联的信息。例如，第五日志可以为系统日志，记录的内容可以包括：第一主体的安全标签、第一客体的安全标签、第一主体访问第一客体执行第一操作被拒绝以及enforcing＝1，其中，enforcing＝1用于指示第一客体配置为enforcing模式后该行为被拒绝执行。

对于第一主体访问第一客体以执行第一操作的行为，在S302之后，为了处理该异常，可以通过验证或测试进一步完善安全策略，使得后续再有第一主体访问第一客体以执行第一操作的行为发生时，能够按照完善后的安全策略准确的处理该行为。作为一个示例，如果通过验证或测试，确定该第一主体访问第一客体以执行第一操作的行为属于安全的访问行为，由于梳理安全策略时的遗漏导致从安全策略中确定第一主体没有访问第一客体以执行第一操作的权限，那么，安全模块可以更新所述安全策略，使得更新后的安全策略包括 第三规则，该第三规则指示允许第一主体访问第一客体以执行第一操作。

可选地，该方法300例如还可以包括S303～S304：

S303，在第二主体访问第二客体以执行第二操作时，基于安全策略确定第二主体没有访问第二客体以执行第二操作的权限，其中，第二客体未配置为enforcing模式。

S304，允许第二主体访问第二客体并执行第二操作。

为了记录该次允许执行安全策略中没有权限的行为，在S304之后，该方法300还可以包括：生成第六日志，该第六日志用于记录第二主体访问第二客体以执行所述第二操作相关联的信息。例如，第六日志可以为系统日志，记录的内容可以包括：第二主体的安全标签、第二客体的安全标签、第二主体访问第二客体执行第二操作被允许以及enforcing＝0，其中，enforcing＝0用于指示第二客体未配置为enforcing模式且该行为被允许执行。

可见，该方法300中，安全模块在“总开关”的状态为permissive模式时，根据客体是否配置了enforcing模式灵活的确定该主体访问客体以执行操作的行为应该被允许还是被拒绝，提高了MAC机制的灵活性和安全性。而且，该MAC方法中，安全模块在梳理security policy时，可以基于客体进行梳理，将需要强制拒绝执行的客体设置为enforcing模式，保证安全模块对操作系统的安全增强作用，无需全面的将所有的主体访问客体以执行操作的权限均梳理到security policy中，降低了梳理security policy的工作量。

在本申请实施例中，对于安全模块工作在permissive模式的情况下，可以根据实际需要支持主体的enforcing模式或客体的enforcing模式，MAC方法更加灵活，对于用户而言该安全模块的使用更加友好。

为了更加清楚和直观的介绍本申请实施例，下面以SELinux场景中的具体示例进行说明。

作为一个示例，安全模块工作在enforcing模式，且支持客体的permissive模式。安全策略中包括：

system_u:system_r:os_ftp_a；//主体类型a的安全上下文，主体类型a至少对应主体1

system_u:object_r:os_dev_A；//客体类型A的安全上下文，客体类型A至少对应客体1

system_u:object_r:os_dev_B；//客体类型B的安全上下文，客体类型B至少对应客体2

system_u:object_r:os_dev_C；//客体类型C的安全上下文，客体类型C至少对应客体3

allow os_ftp_a os_dev_C：filesystem{mount umount}//允许os_ftp_a访问os_dev_B中filesystem格式的客体以执行读和写的操作

allow os_ftp_a os_dev_B：file{read write}//允许os_ftp_a访问os_dev_C中file格式的客体以执行挂载和卸载的操作

permissive os_dev_A；//将客体类型os_dev_A配置为permissive模式

permissive os_dev_C；//将客体类型os_dev_C配置为permissive模式

那么，在该示例中，针对主体1访问客体1以执行读操作时所进行MAC的过程可以包括：安全模块可以先确定主体1对应的主体类型为os_ftp_a，确定客体1对应的客体类型为os_dev_A；基于安全策略中，确认没有与os_ftp_a和os_dev_A匹配的规则，从而确定 主体1没有访问客体1以执行读操作的权限；基于安全策略匹配规则permissive os_dev_A，该规则中，将客体1对应的客体类型配置为permissive模式；基于匹配的规则，允许主体1访问客体1并执行读操作。

作为另一个示例，安全模块工作在permissive模式，且支持主体的enforcing模式。安全策略包括：

system_u:system_r:os_ftp_a；//主体类型a的安全上下文，主体类型a至少对应主体1

system_u:system_r:os_ftp_b；//主体类型b的安全上下文，主体类型b至少对应主体2

system_u:object_r:os_dev_A；//客体类型A的安全上下文，客体类型A至少对应客体1

system_u:object_r:os_dev_B；//客体类型B的安全上下文，客体类型B至少对应客体2

system_u:object_r:os_dev_C；//客体类型C的安全上下文，客体类型C至少对应客体3

allow os_ftp_a os_dev_C：filesystem{mount umount}//允许os_ftp_a访问os_dev_B中filesystem格式的客体以执行读和写的操作

allow os_ftp_a os_dev_B：file{read write}//允许os_ftp_a访问os_dev_C中file格式的客体以执行挂载和卸载的操作

enforcing os_ftp_a；//将主体类型os_ftp_a配置为enforcing模式

那么，该示例中，针对主体1访问客体2以执行查询操作所进行的MAC过程可以包括：安全模块可以先确定主体1对应的主体类型为os_ftp_a，确定客体2对应的客体类型为os_dev_B；由于所述安全策略中匹配os_ftp_a和os_dev_B的规则为allow os_ftp_a os_dev_B：file{read write}，即允许执行主体1对客体2所执行的操作不包括查询操作，因而可以确定主体1没有访问客体2以执行查询操作的权限；进一步地，确认安全策略中包括与主体1匹配的规则enforcing os_ftp_a，该规则中，将主体1对应的主体类型配置为enforcing模式；根据该规则，拒绝主体1访问客体2以执行查询操作。

作为又一个示例，如果安全模块工作在permissive模式，且支持客体的enforcing模式。安全策略包括：

system_u:system_r:os_ftp_a；//主体类型a的安全上下文，主体类型a至少对应主体1

system_u:system_r:os_ftp_b；//主体类型b的安全上下文，主体类型b至少对应主体2

system_u:object_r:os_dev_A；//客体类型A的安全上下文，客体类型A至少对应客体1

system_u:object_r:os_dev_B；//客体类型B的安全上下文，客体类型B至少对应客体2

system_u:object_r:os_dev_C；//客体类型C的安全上下文，客体类型C至少对应客体3

allow os_ftp_a os_dev_C：filesystem{mount umount}//允许os_ftp_a访问os_dev_B中filesystem格式的客体以执行读和写的操作

allow os_ftp_a os_dev_B：file{read write}//允许os_ftp_a访问os_dev_C中file格式的客体以执行挂载和卸载的操作

enforcing os_dev_B；//将客体类型os_dev_B配置为enforcing模式

那么，该示例中，针对主体2访问客体2以执行读操作所进行的MAC过程可以包括：安全模块确定主体2对应的主体类型为os_ftp_b，确定客体2对应的客体类型为os_dev_B； 基于所述安全策略中，确定没有同时匹配os_ftp_b和os_dev_B匹配的规则，从而确定主体2没有访问客体2以执行读操作的权限；然后，确认安全策略中包括规则enforcing os_dev_B，该规则中，将客体2对应的客体类型配置为enforcing模式；根据该规则，拒绝主体2访问客体2以执行读操作。

可见，基于本申请实施例提供的MAC方法，在有待执行主体访问客体以执行操作的情况下，安全模块能够在确保安全的前提下灵活的确定该主体访问客体以执行操作的行为应该被允许还是被拒绝，提高了MAC机制的灵活性和安全性。

此外，本申请实施例还提供了一种通信装置600，参见图6所示。图6为本申请实施例提供的一种通信装置600的结构示意图。该通信装置600包括第一处理单元601和第二处理单元602。该通信装置600可以用于执行以上实施例中的方法100、方法200或方法300。

当通信装置600执行上述方法100时：

第一处理单元601，用于在第一主体访问第一客体以执行第一操作时，基于安全策略确定所述第一主体没有访问所述第一客体以执行所述第一操作的权限，所述第一客体配置为许可permissive模式；第二处理单元602，用于允许所述第一主体访问所述第一客体并执行所述第一操作。

其中，第一处理单元601执行操作的具体实现方式以及达到的效果，可以参见方法100中的S101的相关描述。第二处理单元602执行操作的具体实现方式以及达到的效果，可以参见方法100中的S102的相关描述。

在一种实现方式中，所述安全策略包括第一规则，所述第一规则指示所述第一客体工作在所述permissive模式。

在一种实现方式中，所述通信装置600还包括：第三处理单元。该第三处理单元，用于在允许所述第一主体访问所述第一客体并执行所述第一操作之后，生成第一日志，所述第一日志用于记录所述第一主体访问所述第一客体以执行所述第一操作相关联的信息。

在一种实现方式中，所述通信装置600还包括：第四处理单元。其中，该第四处理单元，用于更新所述安全策略，所述更新后的安全策略包括第二规则，所述第二规则指示允许所述第一主体访问所述第一客体以执行所述第一操作。

在一种实现方式中，所述通信装置600还包括：第五处理单元。其中，该第五处理单元，用于从所述安全策略中删除所述第一规则。

在一种实现方式中，所述第一处理单元601，还用于在第二主体访问第二客体以执行第二操作时，基于所述安全策略确定所述第二主体没有访问所述第二客体以执行所述第二操作的权限，其中，所述第二客体未配置为permissive模式；所述第二处理单元602，还用于拒绝所述第二主体访问所述第二客体以执行所述第二操作。该实现方式中，第一处理单元601执行操作的具体实现方式以及达到的效果，可以参见方法100中的S103的相关描述。第二处理单元602执行操作的具体实现方式以及达到的效果，可以参见方法100中的S104的相关描述。

当通信装置600执行上述方法200时：

第一处理单元601，用于在第一主体访问第一客体以执行第一操作时，基于安全策略确定所述第一主体没有访问所述第一客体以执行所述第一操作的权限，所述第一主体配置为强制enforcing模式；第二处理单元602，用于拒绝所述第一主体访问所述第一客体以执行所述第一操作。

其中，第一处理单元601执行操作的具体实现方式以及达到的效果，可以参见方法200中的S201的相关描述。第二处理单元602执行操作的具体实现方式以及达到的效果，可以参见方法200中的S202的相关描述。

在一种实现方式中，所述安全策略包括第一规则，所述第一规则指示所述第一主体工作在所述enforcing模式。

在一种实现方式中，所述通信装置600还包括：第三处理单元。其中，该第三处理单元，用于更新所述安全策略，所述更新后的安全策略包括第三规则，所述第三规则指示允许所述第一主体访问所述第一客体以执行所述第一操作。

在一种实现方式中，所述第一处理单元601，还用于在第二主体访问第二客体以执行第二操作时，基于所述安全策略确定所述第二主体没有访问所述第二客体以执行所述第二操作的权限，其中，所述第二主体未配置为enforcing模式；所述第二处理单元602，用于允许所述第二主体访问所述第二客体和所述第二主体并执行所述第二操作。该实现方式中，第一处理单元601执行操作的具体实现方式以及达到的效果，可以参见方法200中的S203的相关描述。第二处理单元602执行操作的具体实现方式以及达到的效果，可以参见方法200中的S204的相关描述。

当通信装置600执行上述方法300时：

第一处理单元601，用于在第一主体访问第一客体以执行第一操作时，基于安全策略确定所述第一主体没有访问所述第一客体以执行所述第一操作的权限，所述第一客体配置为强制enforcing模式；第二处理单元602，用于拒绝所述第一主体访问所述第一客体以执行所述第一操作。

其中，第一处理单元601执行操作的具体实现方式以及达到的效果，可以参见方法300中的S301的相关描述。第二处理单元602执行操作的具体实现方式以及达到的效果，可以参见方法300中的S302的相关描述。

在一种实现方式中，所述安全策略包括第二规则，所述第二规则指示所述第一客体工作在所述enforcing模式。

在一种实现方式中，所述通信装置600还包括：第三处理单元。其中，该第三处理单元，用于更新所述安全策略，所述更新后的安全策略包括第三规则，所述第三规则指示允许所述第一主体访问所述第一客体以执行所述第一操作。

在一种实现方式中，所述第一处理单元601，还用于在第二主体访问第二客体以执行第二操作时，基于所述安全策略确定所述第二主体没有访问所述第二客体以执行所述第二操作的权限，其中，所述第二客体未配置为enforcing模式；所述第二处理单元602，用于允许所述第二主体访问所述第二客体和所述第二主体并执行所述第二操作。该实现方式中， 第一处理单元601执行操作的具体实现方式以及达到的效果，可以参见方法300中的S303的相关描述。第二处理单元602执行操作的具体实现方式以及达到的效果，可以参见方法300中的S304的相关描述。

此外，本申请实施例还提供了一种通信装置700，参见图7所示，图7为本申请实施例提供的一种通信装置700的结构示意图。该通信装置700可以用于执行以上实施例中的方法100、方法200或方法300。

如图7所示，通信装置700可以包括处理器710，与所述处理器710耦合连接的存储器720。处理器710可以是中央处理器(英文：central processing unit，缩写：CPU)，网络处理器(英文：network processor，缩写：NP)或者CPU和NP的组合。处理器还可以是专用集成电路(英文：application-specific integrated circuit，缩写：ASIC)，可编程逻辑器件(英文：programmable logic device，缩写：PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文：complex programmable logic device，缩写：CPLD)，现场可编程逻辑门阵列(英文：field-programmable gate array，缩写：FPGA)，通用阵列逻辑(英文：generic array logic,缩写：GAL)或其任意组合。处理器710可以是指一个处理器，也可以包括多个处理器。存储器720可以包括易失性存储器(英文：volatile memory)，例如随机存取存储器(英文：random-access memory，缩写：RAM)；存储器也可以包括非易失性存储器(英文：non-volatile memory)，例如只读存储器(英文：read-only memory，缩写：ROM)，快闪存储器(英文：flash memory)，硬盘(英文：hard disk drive，缩写：HDD)或固态硬盘(英文：solid-state drive，缩写：SSD)；存储器720还可以包括上述种类的存储器的组合。存储器720可以是指一个存储器，也可以包括多个存储器。在一个实施方式中，存储器720中存储有计算机可读指令，所述计算机可读指令包括多个软件模块，例如第一处理模块721和第二处理模块722，此外，还可以包括第三处理模块、第四处理模块和第五处理模块中的至少一个，可以分别对应于上述通信装置600中的第一处理单元601、第二处理单元602、第三处理单元、第四处理单元和第五处理单元。处理器710执行各个软件模块后可以按照各个软件模块的指示进行相应的操作。在本实施例中，一个软件模块所执行的操作实际上是指处理器710根据所述软件模块的指示而执行的操作。例如，第一处理模块721执行的“在第一主体访问第一客体以执行第一操作时，基于安全策略确定所述第一主体没有访问所述第一客体以执行所述第一操作的权限”，实际上可以指处理器710根据该第一处理模块721的指示而执行的“在第一主体访问第一客体以执行第一操作时，基于安全策略确定所述第一主体没有访问所述第一客体以执行所述第一操作的权限”，此时，该第一处理模块721可以对应于通信装置600中的第一处理单元601。

在一个示例中，所述通信装置700可以执行以上实施例中的方法100，当通信装置700用于执行以上实施例中的方法100时：处理器710用于执行方法100中所有处理相关的操作。例如，所述处理器710用于在第一主体访问第一客体以执行第一操作时，基于安全策略确定所述第一主体没有访问所述第一客体以执行所述第一操作的权限，所述第一客体配置为许可permissive模式，允许所述第一主体访问所述第一客体并执行所述第一操作。

在一个示例中，所述通信装置700可以执行以上实施例中的方法200，当通信装置700 用于执行以上实施例中的方法200时：处理器710用于执行方法200中所有处理相关的操作。例如，所述处理器710用于在第一主体访问第一客体以执行第一操作时，基于安全策略确定所述第一主体没有访问所述第一客体以执行所述第一操作的权限，所述第一主体配置为强制enforcing模式，拒绝所述第一主体访问所述第一客体以执行所述第一操作。

在一个示例中，所述通信装置700可以执行以上实施例中的方法300，当通信装置700用于执行以上实施例中的方法300时：处理器710用于执行方法300中所有处理相关的操作。例如，所述处理器710用于在第一主体访问第一客体以执行第一操作时，基于安全策略确定所述第一主体没有访问所述第一客体以执行所述第一操作的权限，所述第一客体配置为强制enforcing模式，拒绝所述第一主体访问所述第一客体以执行所述第一操作。

本申请还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得所述计算机执行前述实施例中任一实施例所述的方法(例如，方法100、方法200和方法300)中任意一个或多个操作。

本申请还提供了一种计算机程序产品，包括计算机程序，当其在计算机上运行时，使得所述计算机执行前述实施例中任一实施例所述的方法(例如，方法100、方法200和方法300)中任意一个或多个操作。

本申请提供了一种服务器，所述服务器中存储程序代码，所述程序代码被处理器运行时，实现前述实施例中任一实施例所述的方法(例如，方法100、方法200和方法300)中任意一个或多个操作。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑业务划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各业务单元可以集成在一个处理单元中，也可以是各 个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件业务单元的形式实现。

集成的单元如果以软件业务单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的业务可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些业务存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上仅为本发明的具体实施方式而已。

以上，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (30)

1. 一种强制访问控制MAC方法，其特征在于，应用于操作系统中的安全模块，所述安全模块工作在强制enforcing模式，所述方法包括：

   在第一主体访问第一客体以执行第一操作时，基于安全策略确定所述第一主体没有访问所述第一客体以执行所述第一操作的权限，所述第一客体配置为许可permissive模式；

   允许所述第一主体访问所述第一客体并执行所述第一操作。
2. 根据权利要求1所述的方法，其特征在于，所述安全策略包括第一规则，所述第一规则指示所述第一客体工作在所述permissive模式。
3. 根据权利要求1或2所述的方法，其特征在于，在允许所述第一主体访问所述第一客体并执行所述第一操作之后，所述方法还包括：

   生成第一日志，所述第一日志用于记录所述第一主体访问所述第一客体以执行所述第一操作相关联的信息。
4. 根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

   更新所述安全策略，所述更新后的安全策略包括第二规则，所述第二规则指示允许所述第一主体访问所述第一客体以执行所述第一操作。
5. 根据权利要求2所述的方法，其特征在于，所述方法还包括：

   从所述安全策略中删除所述第一规则。
6. 根据权利要求1-5任一项所述的方法，其特征在于，所述方法还包括：

   在第二主体访问第二客体以执行第二操作时，基于所述安全策略确定所述第二主体没有访问所述第二客体以执行所述第二操作的权限，其中，所述第二客体未配置为permissive模式；

   拒绝所述第二主体访问所述第二客体以执行所述第二操作。
7. 一种强制访问控制MAC方法，其特征在于，应用于操作系统中的安全模块，所述安全模块工作在许可permissive模式，所述方法包括：

   在第一主体访问第一客体以执行第一操作时，基于安全策略确定所述第一主体没有访问所述第一客体以执行所述第一操作的权限，所述第一主体或所述第一客体配置为强制enforcing模式；

   拒绝所述第一主体访问所述第一客体以执行所述第一操作。
8. 根据权利要求7所述的方法，其特征在于，

   所述安全策略包括第一规则，所述第一规则指示所述第一主体工作在所述enforcing模式；

   或者，所述安全策略包括第二规则，所述第二规则指示所述第一客体工作在所述enforcing模式。
9. 根据权利要求7或8所述的方法，其特征在于，所述方法还包括：

   更新所述安全策略，所述更新后的安全策略包括第三规则，所述第三规则指示允许所述第一主体访问所述第一客体以执行所述第一操作。
10. 根据权利要求7-9任一项所述的方法，其特征在于，所述方法还包括：

    在第二主体访问第二客体以执行第二操作时，基于所述安全策略确定所述第二主体没有访问所述第二客体以执行所述第二操作的权限，其中，所述第二客体和所述第二主体未配置为enforcing模式；

    允许所述第二主体访问所述第二客体并执行所述第二操作。
11. 根据权利要求1-10任一项所述的方法，其特征在于，所述操作系统为基于安全标签进行MAC的操作系统。
12. 根据权利要求11所述的方法，其特征在于，所述操作系统为基于Linux的操作系统、基于安卓Android的操作系统或苹果操作系统。
13. 根据权利要求1-11任一项所述的方法，所述安全模块为安全增强SELinux，或安全增强安卓SEAndroid。
14. 一种通信装置，其特征在于，所述通信装置应用于操作系统中的安全模块，所述通信装置工作在强制enforcing模式，所述通信装置包括：

    第一处理单元，用于在第一主体访问第一客体以执行第一操作时，基于安全策略确定所述第一主体没有访问所述第一客体以执行所述第一操作的权限，所述第一客体配置为许可permissive模式；

    第二处理单元，用于允许所述第一主体访问所述第一客体并执行所述第一操作。
15. 根据权利要求14所述的通信装置，其特征在于，所述安全策略包括第一规则，所述第一规则指示所述第一客体工作在所述permissive模式。
16. 根据权利要求14或15所述的通信装置，其特征在于，所述通信装置还包括：

    第三处理单元，用于在允许所述第一主体访问所述第一客体并执行所述第一操作之后，生成第一日志，所述第一日志用于记录所述第一主体访问所述第一客体以执行所述第一操作相关联的信息。
17. 根据权利要求14-16任一项所述的通信装置，其特征在于，所述通信装置还包括：

    第四处理单元，用于更新所述安全策略，所述更新后的安全策略包括第二规则，所述第二规则指示允许所述第一主体访问所述第一客体以执行所述第一操作。
18. 根据权利要求15所述的通信装置，其特征在于，所述通信装置还包括：

    第五处理单元，用于从所述安全策略中删除所述第一规则。
19. 根据权利要求14-18任一项所述的通信装置，其特征在于，

    所述第一处理单元，还用于在第二主体访问第二客体以执行第二操作时，基于所述安全策略确定所述第二主体没有访问所述第二客体以执行所述第二操作的权限，其中，所述第二客体未配置为permissive模式；

    所述第二处理单元，还用于拒绝所述第二主体访问所述第二客体以执行所述第二操作。
20. 一种通信装置，其特征在于，所述通信装置应用于操作系统中的安全模块，所述通信装置工作在许可permissive模式，所述通信装置包括：

    第一处理单元，用于在第一主体访问第一客体以执行第一操作时，基于安全策略确定所述第一主体没有访问所述第一客体以执行所述第一操作的权限，所述第一主体或所述第一客体配置为强制enforcing模式；

    第二处理单元，用于拒绝所述第一主体访问所述第一客体以执行所述第一操作。
21. 根据权利要求20所述的通信装置，其特征在于，

    所述安全策略包括第一规则，所述第一规则指示所述第一主体工作在所述enforcing模式；

    或者，所述安全策略包括第二规则，所述第二规则指示所述第一客体工作在所述enforcing模式。
22. 根据权利要求20或21所述的通信装置，其特征在于，所述通信装置还包括：

    第三处理单元，用于更新所述安全策略，所述更新后的安全策略包括第三规则，所述第三规则指示允许所述第一主体访问所述第一客体以执行所述第一操作。
23. 根据权利要求20-22任一项所述的通信装置，其特征在于，

    所述第一处理单元，还用于在第二主体访问第二客体以执行第二操作时，基于所述安全策略确定所述第二主体没有访问所述第二客体以执行所述第二操作的权限，其中，所述第二客体未配置为enforcing模式；

    所述第二处理单元，用于允许所述第二主体访问所述第二客体和所述第二主体并执行所述第二操作。
24. 根据权利要求14-23任一项所述的通信装置，其特征在于，所述操作系统为基于安全标签进行MAC的操作系统。
25. 根据权利要求24所述的通信装置，其特征在于，所述操作系统为基于Linux的操作系统、基于安卓Android的操作系统或苹果操作系统。
26. 根据权利要求14-24任一项所述的通信装置，所述安全模块为安全增强SELinux，或安全增强安卓SEAndroid。
27. 一种通信装置，其特征在于，所述通信装置包括存储器和处理器；

    所述存储器，用于存储程序代码；

    所述处理器，用于运行所述程序代码中的指令，使得所述通信装置执行以上权利要求1-13任意一项所述的方法。
28. 一种计算机程序产品，其特征在于，包括程序，当所述程序在处理器上运行时，实现权利要求1-13任意一项所述的方法。
29. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括指令，当其在处理器上运行时，实现以上权利要求1-13任一项所述的方法。
30. 一种服务器，其特征在于，所述服务器中存储程序代码，所述程序代码被处理器运行时，实现以上权利要求1-13任一项所述的方法。

Images