支持跨平台统一管理的强制访问控制系统及方法

【技术领域】

本发明涉及安全标记、强制访问控制等领域，尤其涉及支持跨平台统一管 理的强制访问控制实现方法。

【背景技术】

在信息化建设中进行信息系统安全管理已经引起国家的高度重视。信息系 统安全管理不单单是管理体制和技术问题，而是策略、管理和技术的有机集合。 从安全管理体系的高度来全面构建和规范信息安全，将有效地保障我国的信息系 统安全。

在现有技术的操作系统的计算平台上，从应用层到操作系统层，再到设备 层，操作被逐步细化，随之而来的是操作所在的语境被逐渐冲淡，例如在文件系 统层只能看到文件的基本读、写、创建等操作，但是这些动作是在什么语境下发 起的，相关应用的流程如何，文件系统并不得而知，于是会出现应用层某个安全 合理的请求，在文件系统层看来却是不安全的情况，即在操作系统层仅仅给出通 用的访问控制机制，难免会出现控制不灵活，影响系统可用性的情况。

【发明内容】

本发明提供一种实用性强的支持跨平台统一管理的强制访问控制系统该， 在具体应用语境下判断应用操作请求的安全性，保护信息系统的机密性及完整性 不受破坏。

本发明是通过下述技术方案解决上述技术问题的：

本发明公开一种支持跨平台统一管理的强制访问控制系统，包括：安全管理 中心、安全管理中心管理管理的不同操作系统的服务器和连接服务器的数据处理 终端，其特征在于，所述安全管理中心还包括连接服务器和数据处理终端的应用 层的强制访问控制模块，所述强制访问控制模块包括专用强制访问控制模块、用 于强制访问控制和策略符合性检查的通用强制访问控制模块、策略管理模块以及 审计模块。

如上所述的强制访问控制系统，所述专用强制访问控制模块依据实现方式分 为应用封装模块和安全系统调用模块。

本发明还公开一种基于上述的支持跨平台统一管理的强制访问控制系统的 强制访问控制方法，包括如下步骤：

(1)、应用层发出访问请求，强制访问控制模块拦截该访问请求；

(2)、强制访问控制模块与标记管理模块通信，并获得访问请求中主客体的 安全标记，以检查该访问请求是否符合系统安全策略；

(3)、强制访问控制模块依据获得的访问请求中的主客体的安全标记和系统 符合性检查策略判断该访问请求是否安全；

(4)、如果检查通过，允许所述访问请求执行，发送审计日志给审计模块， 否则将访问请求传给等级改变审计模块；

(5)、等级改变审计模块依据系统等级改变审核策略检查是否符合改变安全 等级以允许访问请求执行，如果可以，则允许该请求，否则拒绝该请求，同时进 行审计报警。

如上所述的强制访问控制方法，所述的步骤(5)中是否符合改变安全等级 是指临时改变或永久客体安全级以允许访问请求执行。

如上所述的强制访问控制方法，所述的策略格式包括主体标记和客体标记。

如上所述的强制访问控制方法，所述的步骤(2)中的访问请求中主客体的 客体包括进程、文件、段、设备。

如上所述的强制访问控制方法，所述的访问请求中主客体的安全标记包括依 据等级分类和非等级分类组合的指定敏感标记。

如上所述的强制访问控制方法，所述的步骤(1)还包括系统安全策略载入 的步骤。

如上所述的强制访问控制方法，所述服务器和计算机终端作为受控终端，所 述的系统安全策略载入由策略更新请求信号触发时，所述的系统安全策略的载入 方法包括如下步骤：

(1)、安全管理中心向受控终端发出策略更新请求，明确更新的策略版本；

(2)、受控终端通过安全策略执行模块接收策略更新请求；

(3)、安全策略执行模块调用标记管理模块检查现有策略版本情况；

(4)、当标记管理模块返回的现有策略版本低于更新版本时，策略执行模块 向管理信息处理模块发送策略申请审计信息，并进入等待更新状态；

(5)、管理信息处理模块通过内核系统调用向安全管理中心发送策略申请数 据包；

(6)、网络驱动将策略申请数据包发送到安全管理中心；

(7)、安全管理中心接收到策略申请数据包后，向节点子系统发送对应的安 全策略数据包；

(8)、管理信息处理模块通过内核系统调用获取安全策略数据包，并对其进 行解密操作和完整性检查操作；

(9)、管理信息处理模块通过标记管理模块策略载入接口，将安全策略载入 标记管理模块的策略缓存；

(10)、管理信息处理模块通知安全策略执行模块的策略更新完成；

(11)、安全策略执行模块再度调用标记管理模块，完成安全策略符合性检 查操作；

(12)、检查通过后、系统恢复正常运行状态，如检查失败，则发送失败的 审计信息给安全管理中心，要求安全管理中心进行策略检查，并再次更新。

如上所述的强制访问控制方法，所述的步骤(4)中的允许访问请求执行包 括系统访问控制执行，所述的系统访问控制执行包括如下步骤：

(1)、应用程序通过系统调用提出访问控制请求；

(2)、系统调用入口调用安全策略执行模块；

(3)、安全策略执行模块调用标记管理模块，执行标记管理判决函数，并返 回判断结果；

(4)、安全策略执行模块将审计信息发送给管理信息处理模块；

(5)、系统调用入口获取安全策略执行模块的裁决函数后，进入系统调用执 行阶段：

(6)、系统调用执行完成后，返回应用子系统。

如上所述，本发明通过所设置的安全管理中心的强制访问控制模块针对访问 请求的策略检查，对不符合系统强制访问控制策略的行为进行检查，符合强制访 问策略的访问进行调整，控制进程对文件的操作，提高系统安全的可靠性，保护 信息系统的机密性及完整性不受破坏，增强系统安全控制的灵活性。

【附图说明】

图1是本发明的支持跨平台统一管理的强制访问控制系统图。

图2是本发明的部件接口说明示意图。

图3是本发明的安全管理中心的架构图。

图4是本发明的强制访问控制架构示意图。

图5是本发明的强制访问控制流程图。

图6是本发明的强制访问控制流程说明示意图。

图7是本发明的系统安全策略载入流程示意图。

图8是本发明的系统访问控制执行流程示意图。

【具体实施方式】

为进一步阐述本发明达成预定目的所采取的技术手段及功效，以下结合附图 及实施方式、结构特征，对本发明的具体结构及其功效，详细说明如下。

如图1，本发明的跨平台统一管理的强制访问控制整体结构由安全管理中心 和Windows数据处理终端、Linux数据处理终端、Windows服务器、Linux服务 器等不同的平台以及交换机组成。不同操作系统的服务器和数据处理终端作为安 全管理中心的受控终端，安全管理中心管理实施对计算环境、区域边界和通信网 络统一的安全策略，确保系统配置完整可信，确定用户操作权限，实施全程审计 追踪。其中，计算环境安全通过受控终端、服务器操作系统、上层应用系统和数 据库的安全机制服务，保障应用业务处理全过程的安全；区域边界通过对进入和 流出应用环境的信息流进行安全检查和访问控制，确保不会有违背系统安全策略 的信息流经过边界；通信网络设备通过对通信双方进行可信鉴别验证，建立安全 通道，实施传输数据密码保护，确保其在传输过程中不会被窃听、篡改和破坏。 整体结构以受控终端安全为基础，由安全管理中心支撑，对计算环境、区域边界 和通信网络三部分进行保护。

如图2，本发明的部件接口及部件之间的关系可以用应用子系统、节点子系 统和管理中心之间的关系来说明。其中，应用子系统与节点子系统之间通过系统 调用接口，节点子系统之间、节点子系统与管理中心之间则通过可靠的网络传输 协议，按照规定的接口协议传输策略数据、审计数据以及其他平台认证数据等。

如图3和图4，本发明的核心层的强制访问控制模块连接服务器和数据处理 终端的应用层，强制访问控制模块的架构被分成两层：底层是通用的强制访问控 制模块，高层是专用的强制访问控制模块。专用强制访问控制模块依据实现方式 分为应用封装模块和安全系统调用模块。通用的强制访问控制模块这一层只严格 按照安全模型进行强制访问控制，即只机械地进行策略符合性检查，而不进行等 级改变审核检查；高层的专用强制访问控制模块是为系统中的一些服务程序或安 全应用程序量身定制的，根据实现方式的不同分成安全封装方式和安全系统调用 接口方式两种，其中安全封装方式适用于那些已经成熟的或源代码不可控的系统 服务程序，通过拦截这些程序发出的系统调用，还原出相应的应用语境信息，以 便在应用发出违背系统安全策略的请求时，对其进行调节，以满足业务的正常需 求，安全系统调用是一些经过安全封装的系统调用接口，对接口进行封装的目的 是确保应用相关的流程及语境信息能够传递到强制访问控制模块中，从而使得强 制访问控制模块能够利用这些信息进行策略符合性检查和等级改变检查，最终做 出更合理的访问控制决策。

当应用发出访问请求后，操作系统强制访问控制模块会拦截到该请求，并对 其进行策略复合性检查。但是为了检查该访问请求是否符合系统安全策略，访问 控制模块需要与标记管理模块通信，以获得访问请求中主客体的安全标记。在此 基础上，强制访问控制模块依据系统符合性检查策略判断该请求是否安全，如果 检查通过，则允许该请求执行，否则将请求传给等级改变审计模块。等级改变审 计模块依据系统等级改变审核策略检查是否能够通过临时改变或永久改变客体 安全级的方式来允许该请求执行，如果可以，则允许该请求，否则拒绝该请求， 同时进行审计报警。

如图5，需要说明的是，在发明的具体实施例的描述中，是以Linux操作系 统平台的环境下的计算机作为终端进行举例的图示和说明，本领域的技术人员根 据本发明的说明可以得知，本发明在其他操作系统例如Windows操作系统等操 作系统的平台中同样予以适用，在此不再赘述。本发明的强制访问控制方法包括 以下步骤：

(1)、应用层发出访问请求，强制访问控制模块拦截该访问请求，并进行 安全策略符合性检查；

(2)、强制访问控制模块与标记管理模块通信，并获得访问请求中主客体 的安全标记，以检查该访问请求是否符合系统安全策略；

(3)、强制访问控制模块依据获得的访问请求中的主客体的安全标记和系 统符合性检查策略判断该访问请求是否安全；

(4)、如果检查通过，允许该访问请求执行，发送审计日志给审计模块， 否则将访问请求传给等级改变审计模块；

(5)、等级改变审计模块依据系统等级改变审核策略检查是否符合改变安 全等级以允许访问请求执行，如果可以，则允许该请求，否则拒绝该请求，同时 进行审计报警。

如上所述的强制访问控制方法，所述的策略标记格式包括主体标记列表、客 体标记列表，参阅图6，本发明的主体标记列表和客体标记列表分别设置成主体 标识库和客体标识库中。在具体实施运行中，还包括设置成临时标识库的临时标 记列表，但临时标记列表仅在更新时用于缓存新策略并进行检查，并不参与到系 统运行中的控制流程。

如上所述的强制访问控制方法，所述的步骤(2)中的访问请求中主客体的 客体包括进程、文件、段、设备。

如上所述的强制访问控制方法，所述的访问请求中主客体的安全标记包括依 据等级分类和非等级分类组合的指定敏感标记。

如上所述的步骤(5)中是否符合改变安全等级是指临时改变或永久客体安 全级以允许访问请求执行。

如图7，需要说明的是，在本图7中的数字标记表示各程序模块的工作流程 顺序。本发明的强制访问控制方法的系统安全策略载入流程由一个策略更新请求 信号触发时，例如系统访问到一个无安全标识客体的挂载新存储设备触发，所述 服务器和计算机终端作为安全管理中心的受控终端，所述的系统安全策略的载入 方法包括如下步骤：

(1)、安全管理中心向受控终端发出策略更新请求，明确更新的策略版本；

(2)、受控终端通过安全策略执行模块接收策略更新请求；

(3)、安全策略执行模块调用标记管理模块检查现有策略版本情况；

(4)、当标记管理模块返回的现有策略版本低于更新版本时，策略执行模块 向管理信息处理模块发送策略申请审计信息，并进入等待更新状态；

(5)、管理信息处理模块通过内核系统调用向安全管理中心发送策略申请数 据包；

(6)、网络驱动将策略申请数据包发送到安全管理中心；

(7)、安全管理中心接收到策略申请数据包后，向节点子系统发送对应的安 全策略数据包；

(8)、管理信息处理模块通过内核系统调用获取安全策略数据包，并对其进 行解密操作和完整性检查操作；

(9)、管理信息处理模块通过标记管理模块策略载入接口，将安全策略载入 标记管理模块的策略缓存；

(10)、管理信息处理模块通知安全策略执行模块的策略更新完成；

(11)、安全策略执行模块再度调用标记管理模块，完成安全策略符合性检 查操作；

(12)、检查通过后、系统恢复正常运行状态，如检查失败，则发送失败的 审计信息给安全管理中心，要求安全管理中心进行策略检查，并再次更新。

本发明的策略格式包括主体标记列表和客体标记列表，分别说明如下。

参阅表1，为主体标记列表，主体标记列表的安全策略格式如下：

表1-主体标记列表

参阅表2，为主客体标记列表，客体标记列表的策略格式如下：

表2-客体标记列表

如图8，需要说明的是，在本图8中的数字标记用以表示各程序模块的工作 流程顺序。本发明的系统访问控制执行的流程包括如下步骤：

(1)、应用程序通过系统调用提出访问控制请求，在本发明中，服务器和计 算机终端作为安全管理中心的受控终端，所述应用程序包括所述受控终端的应用 程序的集合如浏览器、word等；

(2)、系统调用入口调用安全策略执行模块；

(3)、安全策略执行模块调用标记管理模块，执行标记管理判决函数，并返 回判断结果；

(4)、安全策略执行模块将审计信息发送给管理信息处理模块；

(5)、系统调用入口获取安全策略执行模块的裁决函数后，进入系统调用执 行阶段；

(6)、系统调用执行完成后，返回应用程序。

综上所述，本发明是基于现有技术：

一、安全标记：计算机信息系统中可信计算基维护的与主体及其控制的存储 客体(例如：进程、文件、段、设备)相关的敏感标记。这些标记是实施自主访 问控制的基础。

二、强制访问控制：目前，一些操作系统实现了强制访问控制机制，但其访 问控制粒度粗，无法适用于安全性要求较高的场合。

本发明通过所设置的安全管理中心的强制访问控制模块针对访问请求的访 问客体的进程、文件等进行策略检查，实现了细粒度的客体访问控制，对不符合 系统强制访问控制策略的行为进行检查，符合强制访问策略的访问进行调整，控 制进程对文件的操作，提高系统安全的可靠性，保护信息系统的机密性及完整性 不受破坏，增强系统安全控制的灵活性。

本发明的上述实施例仅用以说明本发明的原理和结构，本领域技术人员据此 所作任何之显而易见之变换实施者，均在本发明的保护范围之内。