[发明专利]一种系统启动后加载的强制访问控制方法及系统

说明书

本发明提供了一种系统启动后加载的强制访问控制方法，包括系统启动后在内核中初始化一个主客体标记链表，所述主客体标记链表用于存储主客体标记；系统启动后加载用于实现强制访问控制逻辑的可加载模块；通过应用层工具对所述主客体标记链表进行维护。本发明基于Linux LSM框架，无需大量修改内核，实现访问控制策略的模块与内核完全解耦，且实现访问控制策略的模块在系统启动后加载，使用灵活，不影响系统启动，不需要服务节点，且模块相较于内核编译快、调试简单、开发周期短，还可以实现自定义的访问控制模型。本发明还公开了一种系统启动后加载的强制访问控制系统。

技术领域

本发明涉及计算机系统安全技术领域，尤其涉及一种系统启动后加载的强制访问控制方法及系统。

背景技术

很多商用和研究使用系统是基于Linux内核开发的，Linux内核源码十分庞大，有很多已知漏洞且漏洞一直在持续挖掘中。操作系统安全问题十分重要。一个安全的系统需要在自主访问控制、强制访问控制、标记、身份鉴别等等十多个方面满足相应的技术要求。

其中，Linux强制访问控制基于LSM框架实现，通过在内核数据结构中加入安全域，在进程、文件等主客体访问时候调用的系统调用中插入钩子函数，来实现特定的策略。其访问控制模型的一个实现模块为Selinux，在应用中使用最为广泛。包括基于角色类型的访问控制和基于安全级别的访问控制。Selinux中基于安全级别的访问控制实现了机密性模型(BLP)即低级别主体不向上读取高级别客体、高级别主体不向下写低级别客体。

在实际应用中，为达到安全操作系统的要求，需要实现完整性保护模型，或在一些应用中需要按照自定义的安全模型进行强制访问控制。而这些需求的实现通常通过修改主客体的标记和系统调用相应的钩子函数以实现特定的模型。或者抛弃LSM框架在应用层增加访问控制服务端，在系统调用后与应用层服务端通信以实现访问控制。然而通过在内核中添加主客体标记和访问控制策略代码的形式需要深入理解Linux内核，加入大量的内核代码，开发周期长且面对复杂的内核容易引入错误；修改后的内核启动时会延长启动时间；内核编译时间长、启动时调试过程复杂。使用强制访问控制服务器的方式需要复杂的系统设计、实现通信机制，将造成额外的服务器节点，访问控制的实现需要额外的通信代价。

发明内容

有鉴于此，本发明提供了一种系统启动后加载的强制访问控制方法及系统，本发明基于Linux LSM框架，无需大量修改内核，实现访问控制策略的模块与内核完全解耦，且实现访问控制策略的模块在系统启动后加载，使用灵活，不影响系统启动，不需要服务节点，且模块相较于内核编译快、调试简单、开发周期短，还可以实现自定义的访问控制模型。

本发明提供了一种系统启动后加载的强制访问控制方法，包括：

系统启动后在内核中初始化一个主客体标记链表，所述主客体标记链表用于存储主客体标记；

系统启动后加载用于实现强制访问控制逻辑的可加载模块；

通过应用层工具对所述主客体标记链表进行维护。

优选地，所述方法还包括：

在所述可加载模块中复制capabilitiy相关内核初始化接口；

调用所述capabilitiy相关内核初始化接口，向LSM框架注册所述可加载模块。

优选地，所述系统启动后在内核中初始化一个主客体标记链表包括：

系统启动后在所述主客体标记链表中初始化需要访问控制的所述主客体标记为equal，其中，所述主客体标记中的主体包括用户，所述主客体标记中的客体包括文件、文件系统和进程；

将所述主客体标记以一个无符号整形进行表示；

将所述主客体标记设为0-15级，其中，0级为最低级，15级为最高级。