[发明专利]一种强制访问控制MAC方法及相关设备

说明书

本申请实施例公开了一种强制访问控制MAC方法及相关设备，该方法应用于操作系统中的安全模块，在安全模块工作在enforcing模式时，该方法包括：在第一主体访问第一客体以执行第一操作时，如果安全模块基于安全策略确定第一主体没有访问第一客体以执行第一操作的权限，但第一客体被配置为permissive模式，则，可以允许第一主体访问第一客体并执行第一操作。如此，在有待执行主体访问客体以执行操作的情况下，安全模块能够在确保安全的前提下灵活的确定该主体访问客体以执行操作的行为应该被允许还是被拒绝，提高了MAC机制的灵活性和安全性。

技术领域

本申请涉及通信技术领域，特别是涉及一种强制访问控制(英文：mandatoryaccess control，简称：MAC)方法及相关设备。

背景技术

为了提高操作系统的安全防护能力，通过在操作系统中增加安全模块，由该安全模块实现对操作系统的强制访问控制。例如，Linux操作系统中的安全增强Linux(英文：Security-Enhanced Linux，简称：SELinux)提高Linux的安全性；又例如，安卓(英文：Android)操作系统中的SEAndroid提高Android的安全性。

目前，安全模块采用MAC机制，针对操作系统中的主体(或称为进程)访问客体(或称为资源)以执行的某个或某些操作进行权限管理，根据安全策略(英文：securitypolicy)中预先设置的规则，限定主体可以访问客体以执行的操作。当主体访问客体以执行操作的行为未匹配到security policy中的规则时，如果该安全模块工作在强制(英文：enforcing)模式，则，拒绝该主体访问该客体；如果该安全模块工作在许可(英文：permissive)模式，则，允许该主体访问该客体并执行该操作。如此，对于未匹配到securitypolicy中规则的主体访问客体以执行操作的行为，上述MAC机制对所有的主体访问客体以执行操作的行为都进行一样的控制，存在许多的问题。

基于此，亟待提供一种MAC方法，能够灵活且安全的确定待执行的动作是否可以执行，实现合理的MAC。

发明内容

基于此，本申请实施例提供了一种强制访问控制MAC方法及相关设备，在有待执行主体访问客体以执行操作的情况下，安全模块能够在确保安全的前提下灵活的确定该主体访问客体以执行操作的行为应该被允许还是被拒绝，提高了MAC机制的灵活性和安全性。

本申请中，操作系统可以为基于安全标签进行MAC的操作系统，例如，可以为基于Linux的操作系统、基于Android的操作系统或苹果操作系统。如果操作系统为Linux的操作系统，则，该操作系统中的安全模块可以为SELinux；如果操作系统为Android的操作系统，则，该操作系统中的安全模块可以为SEAndroid。