[发明专利]一种实现访问控制的方法和装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种实现访问控制的方法和装置。

背景技术

计算机操作系统(Operating System，简称OS)，是电子计算机系统中负责支撑应用程序运行环境以及用户操作环境的系统软件，其对内管理计算机系统的各种资源，扩充硬件的功能；对外能向用户提供良好的人机界面，方便用户使用计算机，操作系统是计算机系统的核心与基石。

随着信息技术的发展，信息共享要求越来越广泛，外部网络或是内部网络需要频繁对网络中计算机上的资源进行访问，以满足信息共享的需求。

然而，无论是外部网络或者是内部网络，病毒、木马等非法进程越来越活跃，而目前最常用的计算机操作系统，如Windows操作系统，只提供基本的新技术文件系统(New Technology File System，NTFS)、文件分配表(File Allocation Table，FAT)文件的管理，不能识别、抵御网络上的非法访问操作。由于现有操作系统无法对资源访问进行任何的控制操作，势必导致计算机上包括涉密信息的多种资源将处于高级危险的状态。如何保证信息共享过程中大量的涉密信息的安全已成为一个亟待解决的问题。

发明内容

本发明实施例提供了一种实现访问控制的方法和装置，能够在网络信息共享过程中保证涉密信息的安全性，节省成本，提高现有系统的利用率。

为达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种实现访问控制的方法，包括：

利用内核态下的客户端驱动程序捕获输入输出请求包；

利用所述客户端驱动程序对所述输入输出请求包进行过滤，对过滤得到的输入输出请求包提取拦截信息，并将所述拦截信息打包发送至用户态下的客户端代理程序，由所述客户端代理程序将拦截信息发送至用户态下的服务器代理程序，并将服务器代理程序按照预定的安全策略得到的安全策略判断结果发送至客户端驱动程序；

通过所述客户端驱动程序，根据所述安全策略协商结果控制所述过滤得到的输入输出请求包的执行。

本发明实施例提供的一种实现访问控制的装置，包括：

消息传递模块，用于在用户态的客户端代理程序和所述装置的捕获模块、拦截信息提取模块及访问控制模块之间进行信息的传递；

捕获模块，用于通过所述消息传递模块捕获输入输出请求包；

过滤模块，用于对所述输入输出请求包进行过滤；

拦截信息提取模块，用于对过滤得到的输入输出请求包提取拦截信息，将所述拦截信息打包，通过所述消息传递模块发送至客户端代理程序；

访问控制模块，用于通过所述消息传递模块，接收来自客户端代理程序的安全策略协商结果并控制所述过滤得到的输入输出请求包的执行。

本发明实施例还提供了一种实现访问控制的装置，包括：

接收模块，用于接收来自内核态下的客户端驱动程序对输入输出请求包提取的拦截信息；以及，接收服务器代理程序发送的对所述拦截信息的安全策略判断结果；

发送模块，用于将所述拦截信息发送至服务器代理程序；以及，将所述安全策略判断结果发送至客户端驱动程序。

本发明实施例还提供了一种实现访问控制的装置，包括：

安全策略判断模块，用于接收用户态下客户端代理程序发送的拦截信息，按照预定的安全策略得到该拦截信息的安全策略判断结果，并将所述安全策略判断结果发送至客户端代理程序。

由上述可见，本发明实施例的技术方案提供了一种安全的输入输出访问控制方案，该方案在操作系统的驱动层捕获用户的操作，通过对用户操作的过滤以及所规定的安全策略，来确认是否允许或拒绝用户操作，从而在操作系统中实现了对资源访问的控制操作。本发明实施例的技术方案在现有操作系统的驱动程序中加入了访问控制功能，确保允许的输入输出操作都是安全的，能够在网络信息共享过程中保证涉密信息的安全性，且无需再在计算机上安装额外的访问控制软件，节省了成本，提高了现有系统的利用率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的一种实现访问控制的方法流程示意图；

图2本发明实施例的实现访问控制的方法中主要程序之间的关系示意图；

图3为本发明实施例二提供的一种实现访问控制的方法流程示意图；