本發(fā)明涉及信息安全,具體涉及一種進程繼承強制訪問控制安全級別的方法。
背景技術:
1、強制訪問控制,簡稱強訪,是一種由操作系統(tǒng)強制實施的訪問控制機制,根據(jù)gb17859-1999等安全標準,要求安全等級在三級及以上的安全系統(tǒng)必須使用強制訪問控制。
2、強制訪問控制的核心目標是限制主體(如用戶、進程等)對客體(如文件、數(shù)據(jù)等)的訪問權限。在這種模型中,每個主體和客體都被賦予了一定的安全屬性,通常是安全級別和類別,如特定的進程擁有特定的安全級別,在這種策略下,系統(tǒng)會根據(jù)主體和客體的安全屬性來決定是否允許特定的訪問行為。然而,在實際使用時,進程或程序在運行過程中,會啟動相應的子進程用于完成一些臨時性的工作,如刪除無效的文件等。
3、啟動的子進程可能是系統(tǒng)內(nèi)部的程序或是臨時性腳本,這些程序被很多的父進程廣泛的啟動調(diào)用,由于這些程序工作要求的特殊性,這些程序不可能擁有與父進程相同的安全級別。
4、然而,通常子進程不僅要擁有與父目錄同樣的主體的安全級別,還要有父進程相同的安全級別以完成對應的任務,如何判斷子進程是否需要繼承父進程的權限,動態(tài)調(diào)整安全級別,是本領域亟待解決的技術問題。
技術實現(xiàn)思路
1、為了緩解或部分緩解上述技術問題,本發(fā)明的解決方案如下所述:
2、在某類實施例中,本發(fā)明涉及一種繼承強制訪問權限的方法,通過親密性算法,判斷進程樹中的子進程是否繼承父進程的強制訪問權限;其中,父進程與子進程的親密性計算公式為:
3、
4、s表示親密值,m表示親密性條件的項數(shù),i表示親密性條件的序號,ai表示第i項親密性條件的分值;
5、若親密值大于或等于預設值,則子進程繼承父進程的權限,并同步更新子進程的強制訪問權限信息。
6、可選地,利用進程跟蹤模塊建立和實時維護進程樹。
7、可選地,所述進程跟蹤模塊通過以下步驟建立和實時維護進程樹:
8、步驟s001、進程跟蹤模塊監(jiān)控系統(tǒng)中所有進程的啟動、執(zhí)行和終止情況;
9、步驟s002、進程跟蹤模塊通過父子關系組建進程樹,顯示進程間的關系。
10、可選地,借助進程樹訪問父進程的強訪權限,采用父進程的強制訪問權限。
11、可選地,當親密值大于或等于6,則同步更新子進程的強制訪問權限信息。
12、在另一類實施例中,本發(fā)明的繼承強制訪問權限的方法,包括如下步驟:
13、步驟s102、判斷子進程是否有自己的強制訪問權限,若是則繼續(xù)步驟s103,若否則跳轉(zhuǎn)至步驟s104;
14、步驟s103、判斷子進程自身的強制訪問權限是否可以訪問預期的文件,若是則直接訪問預期的文件,若否則跳轉(zhuǎn)至步驟s104。
15、步驟s104、利用強訪權限模塊訪問預期的文件;
16、其中,所述強訪權限模塊通過親密性算法,判斷子進程是否能夠繼承父進程的強制訪問權限,以訪問預期的文件。
17、可選地,所述利用強訪權限模塊訪問預期的文件包括如下步驟:
18、步驟s201、采集子進程信息,計算子進程與父進程的親密性;
19、步驟s202、判斷父進程與子進程的親密值是否大于或等于預設值,若是則繼承父進程的強制訪問權限。
20、可選地,所述步驟s202還包括:
21、若父進程與子進程的親密值是否大于或等于預設值,則強訪權限模塊借助進程樹訪問父進程的強訪權限;
22、采用父進程的強制訪問權限,以繼承父進程的安全級別。
23、可選地,通過如下公式計算父進程與子進程的親密性:
24、
25、s表示親密值,m表示親密性條件的項數(shù),i表示親密性條件的序號,ai表示第i項親密性條件的分值。
26、本發(fā)明還涉及一種提供臨時的安全級別的方法,包括如下步驟:
27、具有不同安全級別的父進程調(diào)用同一個程序,所述同一個程序創(chuàng)建的子進程通過如權利要求1至9任一項所述的繼承強制訪問權限的方法分別繼承各自父進程的安全級別。
28、本發(fā)明技術方案,具有如下有益的技術效果之一或多個:
29、(1)本發(fā)明通過親密性算法,判斷子進程是否繼承父進程權限,通過為進程樹提供臨時的安全級別,實現(xiàn)安全級別的動態(tài)調(diào)整。本發(fā)明的親密性算法簡潔易工程實施。
30、(2)本發(fā)明通過為進程樹提供臨時的安全級別,實現(xiàn)安全級別的動態(tài)調(diào)整。
31、(3)本發(fā)明的子進程在繼承父進程權限時,原有的權限也不丟失。同時,及時以同步更新各子進程的強制訪問權限,保證程序的實際運行行為與用戶希望的強制訪問配置權限一致,增加了強制訪問的準確性。
32、此外,本發(fā)明還具有的其它有益效果將在具體實施例中提及。
1.一種繼承強制訪問權限的方法,其特征在于:
2.根據(jù)權利要求1所述的繼承強制訪問權限的方法,其特征在于:
3.根據(jù)權利要求2所述的繼承強制訪問權限的方法,其特征在于,所述進程跟蹤模塊通過以下步驟建立和實時維護進程樹:
4.根據(jù)權利要求1至3任一項所述的繼承強制訪問權限的方法,其特征在于:
5.根據(jù)權利要求1至3任一項所述的繼承強制訪問權限的方法,其特征在于:
6.一種繼承強制訪問權限的方法,其特征在于,包括如下步驟:
7.根據(jù)權利要求6所述的繼承強制訪問權限的方法,其特征在于,所述利用強訪權限模塊訪問預期的文件包括如下步驟:
8.根據(jù)權利要求6所述的繼承強制訪問權限的方法,其特征在于,所述步驟s202還包括:
9.根據(jù)權利要求6至8任一項所述的繼承強制訪問權限的方法,其特征在于,通過如下公式計算父進程與子進程的親密性:
10.一種提供臨時的安全級別的方法,其特征在于,包括如下步驟: