[发明专利]一种SELinux操作系统安全策略完整性模型及完整性检测方法

说明书

本发明公开了一种SELinux操作系统策略完整性模型及策略完整性检测方法，属于信息安全领域。分为两个阶段，第一个阶段：首先构建SSIM模型，然后转化成访问控制矩阵格式的标准规则。此步骤仅需做一次；第二个阶段：每次检查SELinux安全策略完整性时，按照基于SSIM模型的完整性检测方法对安全策略进行检测即可。本发明为了解决现有完整性模型不适用于在保护数据完整性的同时还要对数据进行保密且方便授权访问的问题以及对策略完整性检测缺乏有效方法的问题。

技术领域

本发明属于信息安全领域，具体涉及一种SELinux操作系统安全策略完整性模型及完整性检测方法。

背景技术

Linux是目前的主流操作系统之一，特别是国产操作系统主要都是在Linux基础上开发的。Linux操作系统作的安全性直接决定着计算机系统的安全性。SELinux是一种采用强制访问控制策略对Linux进行安全增强的操作系统，正确配置SELinux的安全策略，可以有效保护计算机内存储信息的完整性。完整性是信息安全的基本特征之一，是指保持数据不被破坏或修改、不丢失和数据未经授权不能改变的特性，不同的完整性需求可以通过自定义完整性模型来描述。操作系统内的实体会被划分成不同的安全等级，完整性模型通过限制不同安全级别实体之间的可访问关系来对完整性做出限定。目前已有多种SELinux完整性模型，如Biba模型、Low-Water-Mark模型、Ring模型、Strict Integrity模型、Clark-Wilson模型和Chinese Wallm模型等。Biba模型通过不下读(主体不能从较低完整性级别读取数据)、不上写(主体不能向位于较高完整性级别的客体写数据)、不高调(主体不能请求或调用完整性级别更高的主体的服务)3条规则来实现数据完整性保护，Biba模型不关心数据的机密性。Low-Water-Mark模型中主体和客体的完整性级别可动态改变，不适合主客体级别不允许改变的应用场景。Ring模型中，不管完整性级别如何，任何主体都可以读任何客体，这种机制会造成非常严重的信息泄露。Strict Integrity模型能够标记适当的完整性级别，但并没有给出合适的级别分配作为参考。Clark-Wilson模型不对数据进行多级划分，而是将需要完整性保护的客体和不需要完整性保护的客体区分开，然后对每个访问子过程进行分别认证授权，认证过程复杂，且如果用户之间存在某种利益同盟，则可能存在欺骗，从而使得完整性得不到保护。Chinese Wall模型可以用于实现动态改变访问权限，它的基本原则是用户只能访问与已经拥有的信息没有利益冲突的信息，主要用在商业信息保护领域，该模型使用户无法访问有利益冲突的任何文件类，局限性非常大。以上完整性模型均不适用于在保护数据完整性的同时还要对数据进行保密且方便授权访问的应用场景。尽管目前也有考虑机密性的模型，如BLP(Bell-Lapadula)模型，但该模型不具备完整性保护能力。

为了确保配置的安全策略符合完整性模型的要求，需对安全策略进行完整性检测。但由于SELinux安全策略的庞杂性和多变性，完整性检测非常具有挑战性，目前缺乏有效的检测方法。

发明内容

本发明的目的在于提供一种SELinux操作系统安全策略完整性模型及完整性检测方法。

本发明的目的通过如下技术方案来实现：

一种SELinux操作系统安全策略完整性模型及完整性检测方法，步骤如下：

步骤1：构建SSIM模型并转化成访问控制矩阵格式的标准规则；

步骤1.1：构建包含4条规则的SSIM模型；

步骤1.2：根据步骤1.1，将SSIM模型中的规则表示为访问控制矩阵，形成标准规则矩阵；

步骤2：根据步骤1，对SELinux安全策略的完整性进行检测；

步骤2.1：获取主体、客体的完整性标签；

步骤2.2：获取安全上下文；