国产操作系统下的可移动介质访问权限的管控方法及系统技术方案

本发明专利技术提出一种国产操作系统下的可移动介质访问权限的管控方法及系统，具体为管理可移动介质的读写权限、执行权限、重命名权限、删除权限和权限更改；以及对可移动介质的传输管控和接入管控。通过本发明专利技术的方法及系统，能够动态监控可移动介质，在恶意代码执行前将其拦截，防止恶意代码给主机带来的危害，保证管控的实时性。本发明专利技术也可以防止可移动介质中的文件被篡改，保证可移动设备的安全可信。

Method and system for managing removable medium access permission in domestic operating system

The invention provides a method and system for control of the domestic operating system of mobile media access, specifically for the management of removable media read and write permissions, delete, rename, execute permissions permissions permissions and permission to change; and the transmission control of mobile media and access control. The method and the system of the invention can dynamically monitor the removable medium, intercept the malicious code before execution, prevent the harm of the malicious code to the host, and ensure the real-time control. The invention can also prevent the file in the movable medium from being tampered with, so as to ensure the safety and reliability of the mobile device.

【技术实现步骤摘要】

本专利技术涉及计算机安全领域，特别涉及一种国产操作系统下的可移动介质访问权限的管控方法及系统。
技术介绍
随着计算机技术的发展，信息安全观念的加强，国有化安全可控的重视，致使国产操作系统的研发与普及近年达到了空前的热度，为实现自主研发安全可控打下夯实的基础。由于可移动介质是恶意代码传播的重要方式，因此国产操作系统需要对移动介质数据传输进行综合管控，主动防御通过移动介质传输的恶意代码。可移动介质种类繁多，开发并不繁琐，以致开发者良莠不齐，版本型号很难有效控制。可移动介质又有很好的便携性，是存储和传输数据的重要工具，因此这些也被很多攻击者所利用，攻击者通过将恶意代码植入可移动介质，在可移动介质介入主机后，将恶意代码以某种形式导入主机，进而做一系列非法操作。国产操作系统下现有技术并没有成熟的对可移动介质数据传输管控的解决方案，传统的可移动介质存储数据管理，恶意代码的发现也就是通过扫描方式进行的。但是对于一些未知的恶意代码，并不能有效的阻止其执行，一些恶意代码并不是立即进行攻击操作，会进行一系列的伪装工作，因此在常规检测扫描中很难发现，不能够满足我们的需求。主动防御技术已经普遍的用于各种操作系统，但对于国产操作系统下的使用与普及仍给研究人员提供了更大的交互舞台。基于LSM框架动态监控可移动介质的数据传输和执行等操作，是Linux内核的一个轻量级通用访问控制框架。
技术实现思路
本专利技术提出一种国产操作系统下的可移动介质访问权限的管控方法及系统，解决了国产操作系统下可移动介质中数据访问权限以及传输管控的问题。本专利技术方法具体为，一种国产操作系统下的可移动介质访问权限的管控方法，包括：读写权限控制、执行权限控制、重命名权限控制、删除权限控制及权限更改控制；各权限控制方法具体为：注册LSM框架下securty_operations结构下相应权限控制的回调函数；获取操作信息，所述操作信息包括当前操作的文件的文件名、所述文件的进程信息或操作所述文件的进程信息及操作所述文件的用户信息；判断当前操作的文件是否被禁止相应操作，或所述文件的进程信息是否为恶意，如果是，则拦截所述操作；否则若所述操作为读写操作，则判断操作所述文件的进程信息是否为异常进程，如果是则拦截所述操作，否则判断操作所述文件的用户信息是否非法，如果是则拦截所述操作，否则允许继续操作；若所述操作为执行操作，则判断所述文件的父进程是否异常，如果是则拦截所述操作，否则判断所述文件的用户信息是否非法，如果是，则拦截所述操作，否则允许继续操作；若所述操作为重命名、删除或权限更改，则允许继续操作。所述的方法中，还包括传输管控；所述传输管控包括：普通模式，允许可移动介质与主机间进行文件相互传输，并对数据传输信息形成日志记录；只读模式，只允许可移动介质中文件拷贝至主机，拦截对可移动介质的所有写操作，并统计记录拦截信息形成拦截日志记录；安全模式，禁止拷贝文件至可移动介质，同时监控主机，控制可移动介质中的文件只可拷贝到主机的特定目录。所述的方法中，还包括接入管控：设置可移动介质白名单及黑名单，控制是否允许可移动介质接入主机；所述白名单及黑名单中至少包含供应商ID、产品识别码及全局唯一标识字段。所述的方法中，所述当前操作的文件是否被禁止相应操作的设置，通过配置文件进行设置和更改。本专利技术还相应提出一种国产操作系统下的可移动介质访问权限管控系统，包括：注册模块，用于注册LSM框架下securty_operations结构下相应权限控制的回调函数；信息获取模块，用于获取操作信息，所述操作信息包括当前操作的文件的文件名、所述文件的进程信息或操作所述文件的进程信息及操作所述文件的用户信息；读写权限控制模块，用于判断当前操作的文件是否被禁止相应操作，如果是，则拦截所述操作；否则，判断操作所述文件的进程信息是否为异常进程，如果是则拦截所述操作；否则判断操作所述文件的用户信息是否非法，如果是则拦截所述操作，否则允许继续操作；执行权限控制模块，用于判断所述文件的进程信息是否为恶意，如果是，则拦截所述操作；否则判断所述文件的父进程是否异常，如果是则拦截所述操作，否则判断所述文件的用户信息是否非法，如果是，则拦截所述操作，否则允许继续操作；重命名权限控制模块，用于判断当前操作的文件是否被禁止相应操作，如果是，则拦截所述操作；否则允许继续操作；删除权限控制模块，用于判断当前操作的文件是否被禁止相应操作，如果是，则拦截所述操作；否则允许继续操作；权限更改控制模块，用于判断当前操作的文件是否被禁止相应操作，如果是，则拦截所述操作；否则允许继续操作；所述的系统中，还包括传输管控模块；所述传输管控包括：普通模式，允许可移动介质与主机间进行文件相互传输，并对数据传输信息形成日志记录；只读模式，只允许可移动介质中文件拷贝至主机，拦截对可移动介质的所有写操作，并统计记录拦截信息形成拦截日志记录；安全模式，禁止拷贝文件至可移动介质，同时监控主机，控制可移动介质中的文件只可拷贝到主机的特定目录。所述的系统中，还包括接入管控模块：设置可移动介质白名单及黑名单，控制是否允许可移动介质接入主机；所述白名单及黑名单中至少包含供应商ID、产品识别码及全局唯一标识字段。所述的系统中，所述当前操作的文件是否被禁止相应操作的设置，通过配置文件进行设置和更改。本专利技术解决了国产操作系统下可移动介质中数据访问权限以及传输管控的问题，能够动态监控，在恶意代码执行前进行拦截，防止恶意代码带来的危害，保证防御管控的实时性，本方法也可以防止国产操作系统下可移动设备中文件被篡改、移动和删除，防止数据损坏丢失的可能，保护不被恶意代码植入，保证可移动介质的安全可信；同时管控可移动介质和主机之间的数据传输，防止可移动介质中的恶意代码流入主机，对主机带来危害；管控可移动介质的接入，从根源上阻止了通过可移动介质传输恶意代码的途径。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例一读写权限控制方法流程图；图2为本专利技术实施例二执行权限控制方法流程图；图3为本专利技术实施例三重命名权限、删除权限或权限更改方法流程图；图4本专利技术国产操作系统下的可移动介质访问权限管控系统结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术中技术方案作进一步详细的说明。本专利技术提出一种国产操作系统下的可移动介质访问权限的管控方法及系统，解决了国产操作系统下可移动介质中数据访问权限以及传输管控的问题。本专利技术方法具体为，一种国产操作系统下的可移动介质访问权限的管控方法，包括：读写权限控制、执行权限控制、重命名权限控制、删除权限控制及权限更改控制；各权限控制方法具体为：实施例一为本专利技术中读写权限控制方法，用于管控可移动介质中的数据读写权限，因为一些恶意代码注入通常需要在文件中写入或者改写某些部分，已达到注入的目的，这时就可以获取注入操作信息，从而拦截该操作。如图1所示：本文档来自技高网...

【技术保护点】
一种国产操作系统下的可移动介质访问权限的管控方法，其特征在于，包括：读写权限控制、执行权限控制、重命名权限控制、删除权限控制及权限更改控制；各权限控制方法具体为：注册LSM框架下securty_operations结构下相应权限控制的回调函数；获取操作信息，所述操作信息包括当前操作的文件的文件名、所述文件的进程信息或操作所述文件的进程信息及操作所述文件的用户信息；判断当前操作的文件是否被禁止相应操作，或所述文件的进程信息是否为恶意，如果是，则拦截所述操作；否则若所述操作为读写操作，则判断操作所述文件的进程信息是否为异常进程，如果是则拦截所述操作，否则判断操作所述文件的用户信息是否非法，如果是则拦截所述操作，否则允许继续操作；若所述操作为执行操作，则判断所述文件的父进程是否异常，如果是则拦截所述操作，否则判断所述文件的用户信息是否非法，如果是，则拦截所述操作，否则允许继续操作；若所述操作为重命名、删除或权限更改，则允许继续操作。

【技术特征摘要】
1.一种国产操作系统下的可移动介质访问权限的管控方法，其特征在于，包括：读写权限控制、执行权限控制、重命名权限控制、删除权限控制及权限更改控制；各权限控制方法具体为：注册LSM框架下securty_operations结构下相应权限控制的回调函数；获取操作信息，所述操作信息包括当前操作的文件的文件名、所述文件的进程信息或操作所述文件的进程信息及操作所述文件的用户信息；判断当前操作的文件是否被禁止相应操作，或所述文件的进程信息是否为恶意，如果是，则拦截所述操作；否则若所述操作为读写操作，则判断操作所述文件的进程信息是否为异常进程，如果是则拦截所述操作，否则判断操作所述文件的用户信息是否非法，如果是则拦截所述操作，否则允许继续操作；若所述操作为执行操作，则判断所述文件的父进程是否异常，如果是则拦截所述操作，否则判断所述文件的用户信息是否非法，如果是，则拦截所述操作，否则允许继续操作；若所述操作为重命名、删除或权限更改，则允许继续操作。2.如权利要求1所述的方法，其特征在于，还包括传输管控；所述传输管控包括：普通模式，允许可移动介质与主机间进行文件相互传输，并对数据传输信息形成日志记录；只读模式，只允许可移动介质中文件拷贝至主机，拦截对可移动介质的所有写操作，并统计记录拦截信息形成拦截日志记录；安全模式，禁止拷贝文件至可移动介质，同时监控主机，控制可移动介质中的文件只可拷贝到主机的特定目录。3.如权利要求1或2所述的方法，其特征在于，还包括接入管控：设置可移动介质白名单及黑名单，控制是否允许可移动介质接入主机；所述白名单及黑名单中至少包含供应商ID、产品识别码及全局唯一标识字段。4.如权利要求3所述的方法，其特征在于，所述操作的文件是否被禁止相应操作的设置，通过配置文件进行设置和更改。5.一种国产操作系统下的可移动介质访问权限管控系统，其特征在于，包括：注册模块，用于注册LSM框架下securty_...

【专利技术属性】
技术研发人员：王辛宇，童志明，何公道，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江;23