| 发明名称 | 一种强制访问控制方法及其系统 | ||
| 摘要 | 本发明涉及一种计算机安全保障方法,特别涉及一种针对操作系统强制访问控制策略安全性问题所提出的解决方法及其实现的系统。该系统包括访问控制执行模块、决策模块、策略模块和策略序列模块;其工作状态可由系统安全管理员选择为正常状态和学模式。本发明提供的一种强制访问控制方法,将策略序列与强制访问控制相结合,采用策略序列分析方法构建访问控制模型,能够保证在自动细化生成的强制访问控制策略下操作系统的安全;自学的策略模块能够将初始的强制访问控制策略细化,细化后的访问控制策略能够满足初始的强制访问控制模型,能更好地有效保护操作系统的安全;其核心模块可完全进入在操作系统内核,提高了运行效率。 | ||
| 申请公布号 | CN101783799A | 申请公布日期 | 2010.07.21 |
| 申请号 | CN201010022739.4 | 申请日期 | 2010.01.13 |
| 申请人 | 苏州国华科技有限公司 | 发明人 | 周学海;李曦;李奇;许宏琪;乜聚虎 |
| 分类号 | H04L29/06(2006.01)I;G06F21/00(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 代理人 | ||
| 主权项 | 一种强制访问控制的方法,其特征在于包括如下步骤:(1)强制访问控制执行模块截获主体的操作请求,并将其转发至决策模块,由决策模块向策略模块发出操作许可请求;(2)策略模块依据系统安全管理员的设置,判断当前工作状态为正常状态或学习模式,若为学习模式,则执行步骤(4);若为正常状态,则查询初始强制访问控制策略数据库和细化的强制访问策略数据库,如果当前操作请求在上述两个策略数据库中都找到相应的允许策略,则将当前操作向策略序列分析模块传递允许操作请求,执行步骤(3);否则向决策模块提交拒绝操作请求并转至步骤(7);(3)策略序列模块接受由策略模块转来的操作许可请求,查询策略序列数据库并作出判断,将允许当前操作或拒绝当前操作的判断结果提交给决策模块后转至步骤(7);(4)策略模块进入学习模式,查询初始强制访问控制策略数据库,判断当前操作是否符合初始的强制访问控制策略,若符合初始的强制访问控制策略,执行步骤(5);否则向决策模块提交拒绝操作请求并转到步骤(7);(5)策略模块将当前操作许可请求转至策略序列模块,策略序列模块对当前操作进行策略序列分析,并与系统安全管理员进行交互;(6)策略模块接收策略序列模块和系统安全管理员交互的允许当前操作的结果,对当前操作进行策略细化分析,并与系统安全管理员进行交互;更新细化的强制访问控制策略库;以系统安全管理员判断的结果作为最终的判断结果提交给决策模块;(7)决策模块将系统的决策结果交予强制访问控制执行模块实施对主体的操作请求的允许或拒绝。 | ||
| 地址 | 215123 江苏省苏州市工业园区星湖街328号艺坊路创意产业园C-6号国华大厦 | ||