专利名称:支持跨平台统一管理的强制访问控制系统及方法
支持跨平台统一管理的强制访问控制系统及方法
技术领域:
本发明涉及安全标记、强制访问控制等领域,尤其涉及支持跨平台统一管理的强制访问控制实现方法。
背景技术:
在信息化建设中进行信息系统安全管理已经引起国家的高度重视。信息系统安全管理不单单是管理体制和技术问题,而是策略、管理和技术的有机集合。从安全管理体系的高度来全面构建和规范信息安全,将有效地保障我国的信息系统安全。在现有技术的操作系统的计算平台上,从应用层到操作系统层,再到设备层,操作被逐步细化,随之而来的是操作所在的语境被逐渐冲淡,例如在文件系统层只能看到文件的基本读、写、创建等操作,但是这些动作是在什么语境下发起的,相关应用的流程如何,文件系统并不得而知,于是会出现应用层某个安全合理的请求,在文件系统层看来却是不安 全的情况,即在操作系统层仅仅给出通用的访问控制机制,难免会出现控制不灵活,影响系统可用性的情况。
发明内容本发明提供一种实用性强的支持跨平台统一管理的强制访问控制系统该,在具体应用语境下判断应用操作请求的安全性,保护信息系统的机密性及完整性不受破坏。本发明是通过下述技术方案解决上述技术问题的本发明公开一种支持跨平台统一管理的强制访问控制系统,包括安全管理中心、安全管理中心管理管理的不同操作系统的服务器和连接服务器的数据处理终端,其特征在于,所述安全管理中心还包括连接服务器和数据处理终端的应用层的强制访问控制模块,所述强制访问控制模块包括专用强制访问控制模块、用于强制访问控制和策略符合性检查的通用强制访问控制模块、策略管理模块以及审计模块。如上所述的强制访问控制系统,所述专用强制访问控制模块依据实现方式分为应用封装模块和安全系统调用模块。本发明还公开一种基于上述的支持跨平台统一管理的强制访问控制系统的强制访问控制方法,包括如下步骤(I)、应用层发出访问请求,强制访问控制模块拦截该访问请求;(2)、强制访问控制模块与标记管理模块通信,并获得访问请求中主客体的安全标记,以检查该访问请求是否符合系统安全策略;(3)、强制访问控制模块依据获得的访问请求中的主客体的安全标记和系统符合性检查策略判断该访问请求是否安全;(4)、如果检查通过,允许所述访问请求执行,发送审计日志给审计模块,否则将访问请求传给等级改变审计模块;(5)、等级改变审计模块依据系统等级改变审核策略检查是否符合改变安全等级以允许访问请求执行,如果可以,则允许该请求,否则拒绝该请求,同时进行审计报警。如上所述的强制访问控制方法,所述的步骤(5)中是否符合改变安全等级是指临时改变或永久客体安全级以允许访问请求执行。如上所述的强制访问控制方法,所述的策略格式包括主体标记和客体标记。如上所述的强制访问控制方法,所述的步骤(2)中的访问请求中主客体的客体包括进程、文件、段、设备。如上所述的强制访问控制方法,所述的访问请求中主客体的安全标记包括依据等级分类和非等级分类组合的指定敏感标记。如上所述的强制访问控制方法,所述的步骤(I)还包括系统安全策略载入的步
骤。 如上所述的强制访问控制方法,所述服务器和计算机终端作为受控终端,所述的系统安全策略载入由策略更新请求信号触发时,所述的系统安全策略的载入方法包括如下步骤(I)、安全管理中心向受控终端发出策略更新请求,明确更新的策略版本;(2)、受控终端通过安全策略执行模块接收策略更新请求;(3)、安全策略执行模块调用标记管理模块检查现有策略版本情况;(4)、当标记管理模块返回的现有策略版本低于更新版本时,策略执行模块向管理信息处理模块发送策略申请审计信息,并进入等待更新状态;(5)、管理信息处理模块通过内核系统调用向安全管理中心发送策略申请数据包;(6)、网络驱动将策略申请数据包发送到安全管理中心;(7)、安全管理中心接收到策略申请数据包后,向节点子系统发送对应的安全策略数据包;(8)、管理信息处理模块通过内核系统调用获取安全策略数据包,并对其进行解密操作和完整性检查操作;(9)、管理信息处理模块通过标记管理模块策略载入接口,将安全策略载入标记管理模块的策略缓存;(10)、管理信息处理模块通知安全策略执行模块的策略更新完成;(11)、安全策略执行模块再度调用标记管理模块,完成安全策略符合性检查操作;(12)、检查通过后、系统恢复正常运行状态,如检查失败,则发送失败的审计信息给安全管理中心,要求安全管理中心进行策略检查,并再次更新。如上所述的强制访问控制方法,所述的步骤(4)中的允许访问请求执行包括系统访问控制执行,所述的系统访问控制执行包括如下步骤(I)、应用程序通过系统调用提出访问控制请求;(2)、系统调用入口调用安全策略执行模块;(3)、安全策略执行模块调用标记管理模块,执行标记管理判决函数,并返回判断结果;(4)、安全策略执行模块将审计信息发送给管理信息处理模块;
(5)、系统调用入口获取安全策略执行模块的裁决函数后,进入系统调用执行阶段(6)、系统调用执彳丁完成后,返回应用子系统。如上所述,本发明通过所设置的安全管理中心的强制访问控制模块针对访问请求的策略检查,对不符合系统强制访问控制策略的行为进行检查,符合强制访问策略的访问进行调整,控制进程对文件的操作,提高系统安全的可靠性,保护信息系统的机密性及完整性不受破坏,增强系统安全控制的灵活性。
图I是本发明的支持跨平台统一管理的强制访问控制系统图。图2是本发明的部件接口说明示意图。图3是本发明的安全管理中心的架构图。图4是本发明的强制访问控制架构示意图。图5是本发明的强制访问控制流程图。图6是本发明的强制访问控制流程说明示意图。图7是本发明的系统安全策略载入流程示意图。图8是本发明的系统访问控制执行流程示意图。
具体实施方式为进一步阐述本发明达成预定目的所采取的技术手段及功效,以下结合附图及实施方式、结构特征,对本发明的具体结构及其功效,详细说明如下。如图1,本发明的跨平台统一管理的强制访问控制整体结构由安全管理中心和Windows数据处理终端、Linux数据处理终端、Windows服务器、Linux服务器等不同的平台以及交换机组成。不同操作系统的服务器和数据处理终端作为安全管理中心的受控终端,安全管理中心管理实施对计算环境、区域边界和通信网络统一的安全策略,确保系统配置完整可信,确定用户操作权限,实施全程审计追踪。其中,计算环境安全通过受控终端、服务器操作系统、上层应用系统和数据库的安全机制服务,保障应用业务处理全过程的安全;区域边界通过对进入和流出应用环境的信息流进行安全检查和访问控制,确保不会有违背系统安全策略的信息流经过边界;通信网络设备通过对通信双方进行可信鉴别验证,建立安全通道,实施传输数据密码保护,确保其在传输过程中不会被窃听、篡改和破坏。整体结构以受控终端安全为基础,由安全管理中心支撑,对计算环境、区域边界和通信网络三部分进行保护。如图2,本发明的部件接口及部件之间的关系可以用应用子系统、节点子系统和管理中心之间的关系来说明。其中,应用子系统与节点子系统之间通过系统调用接口,节点子系统之间、节点子系统与管理中心之间则通过可靠的网络传输协议,按照规定的接口协议传输策略数据、审计数据以及其他平台认证数据等。如图3和图4,本发明的核心层的强制访问控制模块连接服务器和数据处理终端的应用层,强制访问控制模块的架构被分成两层底层是通用的强制访问控制模块,高层是专用的强制访问控制模块。专用强制访问控制模块依据实现方式分为应用封装模块和安全系统调用模块。通用的强制访问控制模块这一层只严格按照安全模型进行强制访问控制,即只机械地进行策略符合性检查,而不进行等级改变审核检查;高层的专用强制访问控制模块是为系统中的一些服务程序或安全应用程序量身定制的,根据实现方式的不同分成安全封装方式和安全系统调用接口方式两种,其中安全封装方式适用于那些已经成熟的或源代码不可控的系统服务程序,通过拦截这些程序发出的系统调用,还原出相应的应用语境信息,以便在应用发出违背系统安全策略的请求时,对其进行调节,以满足业务的正常需求,安全系统调用是一些经过安全封装的系统调用接口,对接口进行封装的目的是确保应用相关的流程及语境信息能够传递到强制访问控制模块中,从而使得强制访问控制模块能够利用这些信息进行策略符合性检查和等级改变检查,最终做出更合理的访问控制决策。当应用发出访问请求后,操作系统强制访问控制模块会拦截到该请求,并对其进行策略复合性检查。但是为了检查该访问请求是否符合系统安全策略,访问控制模块需要与标记管理模块通信,以获得访问请求中主客体的安全标记。在此基础上,强制访问控制模块依据系统符合性检查策略判断该请求是否安全,如果检查通过,则允许该请求执行,否则将请求传给等级改变审计模块。等级改变审计模块依据系统等级改变审核策略检查是否能 够通过临时改变或永久改变客体安全级的方式来允许该请求执行,如果可以,则允许该请求,否则拒绝该请求,同时进行审计报警。如图5,需要说明的是,在发明的具体实施例的描述中,是以Linux操作系统平台的环境下的计算机作为终端进行举例的图示和说明,本领域的技术人员根据本发明的说明可以得知,本发明在其他操作系统例如Windows操作系统等操作系统的平台中同样予以适用,在此不再赘述。本发明的强制访问控制方法包括以下步骤(I)、应用层发出访问请求,强制访问控制模块拦截该访问请求,并进行安全策略符合性检查;(2)、强制访问控制模块与标记管理模块通信,并获得访问请求中主客体的安全标记,以检查该访问请求是否符合系统安全策略;(3)、强制访问控制模块依据获得的访问请求中的主客体的安全标记和系统符合性检查策略判断该访问请求是否安全;(4)、如果检查通过,允许该访问请求执行,发送审计日志给审计模块,否则将访问请求传给等级改变审计模块;(5)、等级改变审计模块依据系统等级改变审核策略检查是否符合改变安全等级以允许访问请求执行,如果可以,则允许该请求,否则拒绝该请求,同时进行审计报警。如上所述的强制访问控制方法,所述的策略标记格式包括主体标记列表、客体标记列表,参阅图6,本发明的主体标记列表和客体标记列表分别设置成主体标识库和客体标识库中。在具体实施运行中,还包括设置成临时标识库的临时标记列表,但临时标记列表仅在更新时用于缓存新策略并进行检查,并不参与到系统运行中的控制流程。如上所述的强制访问控制方法,所述的步骤(2)中的访问请求中主客体的客体包括进程、文件、段、设备。如上所述的强制访问控制方法,所述的访问请求中主客体的安全标记包括依据等级分类和非等级分类组合的指定敏感标记。如上所述的步骤(5)中是否符合改变安全等级是指临时改变或永久客体安全级以允许访问请求执行。如图7,需要说明的是,在本图7中的数字标记表示各程序模块的工作流程顺序。本发明的强制访问控制方法的系统安全策略载入流程由一个策略更新请求信号触发时,例如系统访问到一个无安全标识客体的挂载新存储设备触发,所述服务器和计算机终端作为安全管理中心的受控终端,所述的系统安全策略的载入方法包括如下步骤(I)、安全管理中心向受控终端发出策略更新请求,明确更新的策略版本;(2)、受控终端通过安全策略执行模块接收策略更新请求;(3)、安全策略执行模块调用标记管理模块检查现有策略版本情况;(4)、当标记管理模块返回的现有策略版本低于更新版本时,策略执行模块向管理信息处理模块发送策略申请审计信息,并进入等待更新状态;·
(5)、管理信息处理模块通过内核系统调用向安全管理中心发送策略申请数据包;(6)、网络驱动将策略申请数据包发送到安全管理中心;(7)、安全管理中心接收到策略申请数据包后,向节点子系统发送对应的安全策略数据包;(8)、管理信息处理模块通过内核系统调用获取安全策略数据包,并对其进行解密操作和完整性检查操作;(9)、管理信息处理模块通过标记管理模块策略载入接口,将安全策略载入标记管理模块的策略缓存;(10)、管理信息处理模块通知安全策略执行模块的策略更新完成;(11)、安全策略执行模块再度调用标记管理模块,完成安全策略符合性检查操作;(12)、检查通过后、系统恢复正常运行状态,如检查失败,则发送失败的审计信息给安全管理中心,要求安全管理中心进行策略检查,并再次更新。本发明的策略格式包括主体标记列表和客体标记列表,分别说明如下。参阅表1,为主体标记列表,主体标记列表的安全策略格式如下
权利要求
1.一种支持跨平台统一管理的强制访问控制系统,包括安全管理中心、安全管理中心管理管理的不同操作系统的服务器和连接服务器的数据处理终端,其特征在于,所述安全管理中心还包括连接服务器和数据处理终端的应用层的强制访问控制模块,所述强制访问控制模块包括专用强制访问控制模块、用于强制访问控制和策略符合性检查的通用强制访问控制模块、策略管理模块以及审计模块。
2.如权利要求I所述的强制访问控制系统,其特征在于,所述专用强制访问控制模块依据实现方式分为应用封装模块和安全系统调用模块。
3.—种如权利要求I所述的支持跨平台统一管理的强制访问控制系统的强制访问控制方法,包括如下步骤 (1)、应用层发出访问请求,强制访问控制模块拦截该访问请求; (2)、强制访问控制模块与标记管理模块通信,并获得访问请求中主客体的安全标记,以检查该访问请求是否符合系统安全策略; (3)、强制访问控制模块依据获得的访问请求中的主客体的安全标记和系统符合性检查策略判断该访问请求是否安全; (4)、如果检查通过,允许所述访问请求执行,发送审计日志给审计模块,否则将访问请求传给等级改变审计模块; (5)、等级改变审计模块依据系统等级改变审核策略检查是否符合改变安全等级以允许访问请求执行,如果可以,则允许该请求,否则拒绝该请求,同时进行审计报警。
4.如权利要求3所述的强制访问控制方法,其特征在于,所述的步骤(5)中是否符合改变安全等级是指临时改变或永久客体安全级以允许访问请求执行。
5.如权利要求3或4所述的强制访问控制方法,其特征在于,所述的策略格式包括主体标记和客体标记。
6.如权利要求3所述的强制访问控制方法,其特征在于,所述的步骤(2)中的访问请求中主客体的客体包括进程、文件、段、设备。
7.如权利要求6所述的强制访问控制方法,其特征在于,所述的访问请求中主客体的安全标记包括依据等级分类和非等级分类组合的指定敏感标记。
8.如权利要求3所述的强制访问控制方法,所述的步骤(I)还包括系统安全策略载入的步骤。
9.如权利要求8所述的强制访问控制方法,其特征在于,所述服务器和计算机终端作为受控终端,所述的系统安全策略载入由策略更新请求信号触发时,所述的系统安全策略的载入方法包括如下步骤 (1)、安全管理中心向受控终端发出策略更新请求,明确更新的策略版本; (2)、受控终端通过安全策略执行模块接收策略更新请求; (3)、安全策略执行模块调用标记管理模块检查现有策略版本情况; (4)、当标记管理模块返回的现有策略版本低于更新版本时,策略执行模块向管理信息处理模块发送策略申请审计信息,并进入等待更新状态; (5)、管理信息处理模块通过内核系统调用向安全管理中心发送策略申请数据包; (6)、网络驱动将策略申请数据包发送到安全管理中心; (7)、安全管理中心接收到策略申请数据包后,向节点子系统发送对应的安全策略数据包; (8)、管理信息处理模块通过内核系统调用获取安全策略数据包,并对其进行解密操作和完整性检查操作; (9)、管理信息处理模块通过标记管理模块策略载入接口,将安全策略载入标记管理模块的策略缓存; (10)、管理信息处理模块通知安全策略执行模块的策略更新完成; (11)、安全策略执行模块再度调用标记管理模块,完成安全策略符合性检查操作; (12)、检查通过后、系统恢复正常运行状态,如检查失败,则发送失败的审计信息给安全管理中心,要求安全管理中心进行策略检查,并再次更新。
10.如权利要求3所述的强制访问控制方法,其特征在于,所述的步骤(4)中的允许访 问请求执行包括系统访问控制执行,所述的系统访问控制执行包括如下步骤 (1)、应用程序通过系统调用提出访问控制请求; (2)、系统调用入口调用安全策略执行模块; (3)、安全策略执行模块调用标记管理模块,执行标记管理判决函数,并返回判断结果; (4)、安全策略执行模块将审计信息发送给管理信息处理模块; (5)、系统调用入口获取安全策略执行模块的裁决函数后,进入系统调用执行阶段; (6)、系统调用执行完成后,返回应用子系统。
全文摘要
本发明公开一种支持跨平台统一管理的强制访问控制系统,包括安全管理中心,安全管理中心管理不同操作系统的服务器和连接服务器的数据处理终端,所述安全管理中心还包括连接服务器和数据处理终端的应用层的强制访问控制模块,所述强制访问控制模块包括专用强制访问控制模块、用于强制访问控制和策略符合性检查的通用强制访问控制模块、策略模块以及审计模块。本发明还提供一种基于上述的强制访问控制方法,通过强制访问控制模块基于系统强制访问控制策略对访问请求进行检查,对不符合系统强制访问控制策略的行为,进行检查,符合强制访问策略的访问进行调整,控制进程对文件的操作,提高系统安全的可靠性,保护信息系统的机密性及完整性不受破坏,增强系统安全控制的灵活性。
文档编号H04L29/06GK102904889SQ20121038534
公开日2013年1月30日 申请日期2012年10月12日 优先权日2012年10月12日
发明者沈军 申请人:北京可信华泰信息技术有限公司