[发明专利]一种实现访问控制的方法和装置

权利要求书

1.一种实现访问控制的方法，其特征在于，所述方法包括：

利用内核态下的客户端驱动程序捕获输入输出请求包；

利用所述客户端驱动程序对所述输入输出请求包进行过滤，对过滤得到的输入输出请求包提取拦截信息，并将所述拦截信息打包发送至用户态下的客户端代理程序，由所述客户端代理程序将拦截信息发送至用户态下的服务器代理程序，并将服务器代理程序按照预定的安全策略得到的安全策略判断结果发送至客户端驱动程序；

通过所述客户端驱动程序，根据所述安全策略判断结果控制所述过滤得到的输入输出请求包的执行。

2.根据权利要求1所述的方法，其特征在于，所述利用所述客户端驱动程序对所述输入输出请求包进行过滤具体包括：

所述输入输出请求包为文件访问请求包时，客户端驱动程序通过下述步骤对文件访问请求包进行过滤：

第一步骤：判断文件访问请求包是否满足驱动要求的安全等级，若是，执行第二步骤，若否，允许所述文件访问请求包的执行；

第二步骤：判断被访问的文件是否为操作系统盘上的文件，若是，允许所述文件访问请求包的执行，若否，执行第三步骤；

第三步骤：判断被访问的文件是否为涉密盘上的文件，若是，过滤得到该文件访问请求包，若否，允许所述文件访问请求包的执行；

所述输入输出请求包为进程访问请求包时，客户端驱动程序通过下述步骤对进程访问请求包进行过滤：

第一步骤：判断进程访问请求包是否满足驱动要求的安全等级，若是，执行第二步骤，若否，允许所述进程访问请求包的执行；

第二步骤：判断进程访问请求包在内存段是否可执行，若是，执行第三步骤，若否，允许所述进程访问请求包的执行；

第三步骤：判断进程访问请求包是否为客户端代理程序中的进程，若是，允许所述进程访问请求包的执行，若否，过滤得到该进程访问请求包。

3.根据权利要求1或2所述的方法，其特征在于，所述对过滤得到的输入输出请求包提取拦截信息具体包括：

所述过滤得到的输入输出请求包为文件访问请求包，对文件访问请求包进行解析，并将得到的下述信息作为拦截信息：

拦截该文件访问请求包的进程名称、被访问文件路径信息、被访问文件操作码和当前用户名；

所述过滤得到的输入输出请求包为进程访问请求包，对进程访问请求包进行解析，并将得到的下述信息作为拦截信息：

拦截该进程访问请求包的父进程名称，进程访问请求包的进程路径，进程摘要和当前用户名。

4.根据权利要求3所述的方法，其特征在于，所述安全策略包括对文件访问控制的安全策略和对进程访问控制的安全策略，

所述文件访问控制的安全策略包括：

为文件或目录设置静态的安全级别；

为客户端用户设置静态安全级别和当前安全级别，所述静态安全级别为客户端用户的当前安全级别所能达到的最大值，所述当前安全级别为客户端用户访问过的文件或目录的安全级别的最大值；

为客户端用户设置至少两种角色，所述角色包括读者和作者，当客户端用户的角色为读者时，客户端用户不能对文件的内容进行改动，当客户端用户的角色为作者时，客户端用户能够对文件的内容进行改动；

根据所述所设置的文件或目录的安全级别，以及客户端用户的两种安全级别和角色，进行安全策略判断，其中，当客户端用户的静态安全级别小于所访问的文件或目录的安全级别时，客户端用户对该文件或目录不具有读权限；当客户端用户的当前安全级别小于所访问的文件或目录的安全级别，客户端用户对该文件或目录不具有写权限；

所述进程访问控制的安全策略包括：

为服务端代理程序设置至少两种状态，所述状态包括学习状态和不学习状态，以及设置允许列表、拒绝列表和学习列表；

当服务端代理程序处于学习状态时，允许所有进程访问操作；

当服务端代理程序处于不学习状态时，判断拦截该进程访问请求包的父进程名称是否在允许列表内，若否，拒绝该进程访问操作，若是，判断进程访问操作所对应的进程摘要是否与允许的摘要列表相匹配，若相匹配，允许该进程访问操作，若不匹配，拒绝该进程访问操作。