[发明专利]支持跨平台统一管理的自主访问控制方法及系统

说明书

【技术领域】

本发明涉及安全标记、自主访问控制等领域，尤其涉及支持跨平台统一管理的自主访问控制实现方法。

【背景技术】

在现有操作系统的计算平台上，从应用层到操作系统层，再到设备层，操作被逐步细化，随之而来的是操作所在的语境被逐渐冲淡，例如在文件系统层只能看到文件的基本读、写、创建等操作，但是这些动作是在什么语境下发起的，相关应用的流程如何，文件系统并不得而知，于是会出现应用层某个安全合理的请求，在文件系统层看来却是不安全的情况，即在操作系统层仅仅给出通用的访问控制机制，难免会出现控制不灵活，影响系统可用性的情况。

【发明内容】

本发明提供一种支持跨平台统一管理的自主访问控制系统及控制方法，在安全策略控制范围内，提高访问控制的灵活性。

本发明是通过下述技术方案解决上述技术问题的：

本发明提供一种支持跨平台统一管理的自主访问控制系统，包括安全管理中心，安全管理中心管理的不同操作系统的服务器和连接服务器的数据处理终端，其特征在于，所述的安全管理中心还包括用于管理实施对计算环境、区域边界和通信网络统一的自主访问控制安全策略模块、系统安全策略模块以及审计模块，所述自主访问控制安全策略模块包括主客体标记模块和自主访问控制模块，所述自主访问控制模块调用主客体标记模块判断主体访问请求。

如上所述的自主访问控制系统，所述的自主访问控制模块包括全策略执行子模块、管理信息处理子模块和标记管理子模块。

如上所述的自主访问控制系统，所述的系统安全策略载入的策略格式包括主体标记和客体标记。

如上所述的自主访问控制系统，所述的访问请求中主客体的客体包括进程、文件、段、设备。

本发明还进一步提供一种基于上述的支持跨平台统一管理的自主访问控制系统的自主访问控制方法，所述服务器和连接服务器的计算机终端作为安全管理中心管理的受控终端，所述的自主访问控制方法包括如下步骤：

(1)、主体发出访问控制请求；

(2)、自主访问控制模块拦截该访问控制请求，并检查访问控制请求是否符合系统安全策略，若是进入下一步骤，若否，禁止访问，并进入步骤(8)；

(3)检查是否是策略修改请求，若是，进入下一步骤，若否，允许访问，并进入步骤(8)；

(4)发送策略更新请求到安全管理中心；

(5)安全管理中心对策略更新请求的合法性和可用性进行审核，若通过审核，则进入下一步骤，若否，则禁止更新，进入步骤(8)；

(6)更新策略服务器的自主访问控制安全策略并审核；

(7)要求受控终端更新策略；

(8)结束。

如上所述的自主访问控制方法，所述的步骤(3)中，当用户请求订制策略时，系统所需要进行的策略配置流程包括如下步骤：

(1)、策略请求处理模块接收到对用户的授权请求信息，发送给授权机构审批；

(2)、授权机构处理后将授权信息返回给策略请求处理模块；

(3)、策略请求处理模块将授权信息发送给授权管理模块；

(4)、授权管理模块根据当前的用户授权列表库对授权请求信息进行检查，保证用户授权信息符合规则，授权管理模块调用策略管理模块更新策略服务器中的用户授权列表；

(5)、通知策略下发模块重新下发用户授权列表；

(6)、用户授权列表被发送到节点、区域边界和网络设备，更新各终端的用户授权列表。

如上所述的自主访问控制方法，所述的步骤(1)中自主访问控制模块拦截访问请求，并对其进行策略符合性检查时包括系统安全策略载入的步骤。

如上所述的自主访问控制方法，所述的系统安全策略载入由一个策略更新请求信号触发时，所述的步骤(7)的受控终端更新策略的载入方法包括如下步骤：

(1)、安全管理中心向受控终端发出策略更新请求，明确更新的策略版本；

(2)、受控终端通过安全策略执行模块接收策略更新请求；

(3)、安全策略执行模块调用标记管理模块检查现有策略版本情况；

(4)、当标记管理模块返回的现有策略版本低于更新版本时，策略执行模块向管理信息处理模块发送策略申请审计信息，并进入等待更新状态；

(5)、管理信息处理模块通过内核系统调用向安全管理中心发送策略申请数据包；

(6)、网络驱动将策略申请数据包发送到安全管理中心；

(7)、安全管理中心接收到策略申请数据包后，向节点子系统发送对应的安全策略数据包；