[发明专利]一种用于实现系统状态感知安全策略的方法

说明书

本发明提供了一种用于在基于计算机的系统(10)上实现强制访问控制(Mandatory Access Control，MAC)的方法和系统。通过引入数据采集模块以采集实时输入数据(3)；通过引入安全服务模块，可以根据所述输入数据(3)和一组预定义规则来确定当前系统状态，其中，所述预定义规则使得所述安全服务模块能够至少部分地根据所述当前系统状态响应执行主体(1)的关于客体(2)的请求。所述方法还允许改变系统状态，而不仅仅是保持所述系统状态。

技术领域

本发明涉及一种用于在基于计算机的系统上实现安全策略的方法和系统，尤其涉及一种在基于计算机的系统上实现强制性访问控制(Mandatory Access Control，MAC)的方法和系统。

背景技术

在计算机安全方面，强制访问控制(Mandatory Access Control，MAC)是指操作系统用于限制执行主体或发起方访问客体或目标或通常对客体或目标执行某种操作的能力的一种访问控制类型。在实践中，执行主体通常是进程或线程；客体是文件、目录、TCP/UDP端口、共享内存段、IO设备等形式。这些执行主体和客体每个都可以具有一组安全属性。每当执行主体尝试访问客体时，操作系统内核强制实施的授权规则会检查这些安全属性，并决定是否可以进行访问。任何此类尝试都会通过一组授权规则(也称为安全策略)进行测试，以确定是否允许进行此操作。

在MAC的情况下，安全策略由安全策略管理员集中控制，这意味着终端用户无法重写该策略，例如，对其它将受到限制的文件进行访问授权。相比之下，自由访问控制(discretionary access control，DAC)也控制执行主体访问客体的能力，但允许用户做出策略决策和/或分配安全属性。

过去，MAC与多级安全(multilevel security，MLS)和专用军事系统密切相关。在这种情况下，MAC意味着MLS系统的约束条件要求非常严格。然而，最近，MAC开始出现在军事或MLS之外的领域。Linux和Windows操作系统的最新实现允许管理员专注于网络攻击和恶意软件等问题，而非专注于MLS的严格要求或约束条件。然而，这些实现具有不同的缺点和限制。

例如，SELinux基于索引节点(inode)，这些索引节点唯一标识每个文件，并需要一个允许将SELinux元数据保存到文件的元数据结构中的文件系统。因此，SELinux具有相当复杂的配置语法，使得标准用户无法对SELinux进行访问。TOMOYO Linux基于声明请求访问的进程所需的行为和资源。此外，TOMOYO Linux是基于路径名的，而非基于元数据标签。其它例子包括：AppArmor，类似于SELinux，但基于类似于TOMOYO Linux的文件路径；以及Smack，类似于SELinux，但旨在使标准用户配置更简单。

通常，这些方案基于某些中间实体，这些中间实体提前知道请求访问的一方和允许访问(例如，访问文件)的一方。这样，可以创建允许或拒绝某个用户访问某种资源的静态规则。在双方本身在某些数据方面被认为是可信的或不可信的情况下，这种方法很有效。

然而，例如，当用户无意中通过欺骗或复杂系统中的错误泄露数据时，这种方法就存在不足。

如果考虑多个系统中的一个系统，例如计算机网络，这种方法就会变得更加复杂。如果考虑单独的系统，访问控制通常基于某种凭证，中间方需要决定是否允许服务请求。或者，可以存在一个防火墙，用来检查流量，作为单一控制点，并代表中间方(或和中间方一起)做出决策。然而，这些情况下的决策通常也是静态的。

事实上，大多数现有技术方案的目的是定义静态规则。在个别情况下，可以考虑系统状态，但这种保护是作为并行机制实施的，其中，检查系统状态独立于访问控制规则。当状态可能在状态评估和后续规则评估之间变化时，引入了可能的竞态条件。

此外，有些方法根据安全分类数据的性质具有一定的灵活性，例如，数据的分类可以根据谁有权访问数据动态更改。然而，这种方法仍然无法解决用户无意操作导致数据安全漏洞的问题。

发明内容