[发明专利]一种基于强制访问控制的策略容器设计方法在审
| 申请号: | 201510027169.0 | 申请日: | 2015-01-20 |
| 公开(公告)号: | CN104601580A | 公开(公告)日: | 2015-05-06 |
| 发明(设计)人: | 赵媛 | 申请(专利权)人: | 浪潮电子信息产业股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 济南信达专利事务所有限公司 37100 | 代理人: | 姜明 |
| 地址: | 250101 山东*** | 国省代码: | 山东;37 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 强制 访问 控制 策略 容器 设计 方法 | ||
1.一种基于强制访问控制的策略容器设计方法,其特征是具体步骤为:
①用户操作创建安全容器,填写容器名称及容器信息,容器内尚未配置策略;
②用户选择放入容器的应用程序和程序要访问的文件,容器系统自动分析应用程序访问其需要的文件,并设置容器入口,在容器入口任意进程具有读、执行权限,设置系统库支持容器内应用程序运行,则设置支持通配符,对系统的文件具有只读权限,保证程序正常运行,并根据分析结果配置应用程序目录及对文件的访问权限,从而自动生成主客体容器策略,当访问容器时,只有满足规定的策略才能访问容器里的客体,否则被拒绝,同时容器里的客体也被限制对外面的资源;
③用户初始化容器,自动加载安全策略,构建安全域,即开始构建容器相关配置,当容器启动时,默认应用程序将被容器启动;
④用户启用容器,容器策略生效,同时启动容器中的默认应用程序,策略容器生成并实现安全隔离的目的。
2.根据权利要求1所述的一种基于强制访问控制的策略容器设计方法,其特征是所述的步骤②中分析结果配置应用程序对文件的访问权限包括读、写、执行、删除的权限。
3.根据权利要求1或2所述的一种基于强制访问控制的策略容器设计方法,其特征是
①用户操作创建apache安全容器,填写容器名称及容器信息,apache容器内尚未配置策略;
②用户选择放入容器的应用程序和程序要访问的文件,容器系统自动分析应用程序访问其需要的文件,并设置容器入口,在容器入口任意进程具有读、执行权限,设置系统库支持容器内应用程序运行,则设置支持通配符,对系统的文件具有只读权限,保证程序正常运行,并根据分析结果配置应用程序目录及对文件的访问权限,从而自动生成主客体容器策略,当访问容器时,只有满足规定的策略才能访问容器里的客体,否则被拒绝,同时容器里的客体也被限制对外面的资源;
③用户初始化容器,自动加载安全策略,构建安全域,即开始构建容器相关配置,当容器启动时,默认应用程序将被容器启动;
④用户启用容器,容器策略生效,同时启动容器中的默认应用程序,策略容器生成并实现安全隔离的目的。
4.根据权利要求3所述的一种基于强制访问控制的策略容器设计方法,其特征是所述的步骤②中根据分析结果配置两个目录/usr/local/apache 和/var/www,及其对文件的访问权限包括读、写、执行、删除的权限。
5.根据权利要求3或4所述的一种基于强制访问控制的策略容器设计方法,其特征是所述的步骤②中配置/etc/init.d/httpd为容器入口,在容器入口任意进程具有读、执行权限。
6.根据权利要求5所述的一种基于强制访问控制的策略容器设计方法,其特征是所述的步骤②中容器策略为:
主体策略是:/usr/local/apache
/var/www
/etc/init.d/httpd
客体策略是:/usr/local/apache
/var/www
/etc/init.d/httpd;
最终形成的apache容器的后台策略为:
主体策略是:/usr/local/apache
/var/www
/etc/init.d/httpd
客体策略是:/usr/local/apache 读、写、执行、删除
/var/www 读
/etc/init.d/httpd 读、写、执行、任意进程
* 读
即当访问apache时,只有满足以上规定的策略才能访问容器里的客体,否则被拒绝,同时容器里的客体也被限制对外面的资源。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于浪潮电子信息产业股份有限公司;,未经浪潮电子信息产业股份有限公司;许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510027169.0/1.html,转载请声明来源钻瓜专利网。
