本发明专利技术适用于操作系统安全领域,提供了一种基于Linux内核的文档安全访问控制方法,包括:Linux系统启动时,Linux内核读取所述启动脚本注册信息,向Linux内核注册所述预处理模块;读取启动程序信息,并启动策略加载模块;其中,所述预处理模块,运行在Linux内核态;所述预处理模块启动后向虚拟文件系统VFS注册安全文件系统,然后注册监听端口;策略加载模块从本地读取一个安全策略文件,创建安全策略,发送给预处理模块监听端口;预处理模块接收所述安全策略,在内存创建安全策略供安全文件系统使用;在文件被应用程序进程访问时,安全文件系统根据所述安全策略调用本地文件系统完成文件数据的操作。提高了Linux系统中文件安全访问控制的效率。
【技术实现步骤摘要】
本专利技术属于操作系统安全领域,尤其涉及一种基于Linux内核的文档安全访问控制方法。
技术介绍
普通的Linux环境下的文档安全访问控制是在用户态设置安全策略,在文件访问过程中由过滤驱动与用户态交互,进行策略判断,其安全性依赖于用户态程序运行环境,可靠性较低。同时,过滤驱动拦截了对于磁盘所有文件的操作,造成了不必要的安全判断。例如用户采用个人账号登录系统时,应用进程仅对Home目录有读写权限,过滤驱动仅需对用户在Home目录下创建的文件进行控制即可,不必对应用程序产生的配置文件和root根目录下的所有文件施行安全访问控制。
技术实现思路
本专利技术实施例的目的在于提供一种基于Linux内核的文档安全访问控制方法,以解决现有技术文档安全访问控制可靠性低、交互过程复杂的问题。本专利技术实施例是这样实现的,一方面提供了一种基于Linux内核的文档安全访问控制方法,Linux系统包含一个预处理模块,所述预处理模块的注册信息被写入启动脚本,所述方法包括以下步骤:Linux系统启动时,Linux内核读取所述启动脚本注册信息,向Linux内核注册所述预处理模块;读取启动程序信息,并启动策略加载模块;其中,所述预处理模块,运行在Linux内核态;所述预处理模块启动后向虚拟文件系统VFS注册安全文件系统,然后注册监听端口;策略加载模块从本地读取一个安全策略文件,创建安全策略,发送给预处理模块监听端口;预处理模块接收所述安全策略,在内存创建安全策略供安全文件系统使用;在文件被应用程序进程访问时,安全文件系统根据所述安全策略调用本地文件系统完成文件数据的操作。优选的,所述安全策略包括:安全文件系统需挂载的目录路径,授权应用程序进程名称和安全处理措施。优选的,所述预处理模块接收所述安全策略,在内存创建安全策略供安全文件系统使用;在文件被应用程序进程访问时,安全文件系统根据所述安全策略调用本地文件系统完成文件数据的操作,具体包括:预处理模块接收所述安全策略,将安全文件系统挂载至安全策略指定的目录路径,在内存创建安全策略供安全文件系统使用;安全文件系统在其挂载的目录路径下的文件被应用程序进程访问时,根据所述安全策略调用本地文件系统完成文件数据的操作。优选的,所述安全处理措施具体为:进行文件数据的加密处理。优选的,所述访问具体包括:文件的创建、文件的读取或文件的改写。优选的,所述根据所述安全策略调用本地文件系统完成文件数据的操作,具体包括:当所述操作为写文件时,所述安全文件系统按照安全策略处理待写入的数据,然后调用本地文件系统写入处理过的数据。优选的,所述根据所述安全策略调用本地文件系统完成文件数据的操作,具体包括:当所述操作为读文件时,所述安全文件系统调用本地文件系统读出数据,按照安全策略处理所述读出的数据,然后返回给发起所述读文件操作的应用程序。优选的,所述方法还包括:若安全策略不允许应用程序进程访问本地文件系统的文件数据时,则返回权限错误。优选的,所述启动策略加载模块的启动程序信息,由操作人员以管理员权限事先添加到所述启动脚本中。另一方面本专利技术实施例还提供了一种基于Linux内核的文档安全访问控制装置,包括存储器、输入输出接口、处理器和显示设备,具体的:所述存储器,用于存储在所述处理器中执行的程序代码,包括所述Linux内核的代码、所述预处理加载模块代码、所述策略加载模块代码和所述安全系统代码;所述处理器,用于运行所述存储器中存储的程序代码,并完成如权利要求1-9任一所述的方法;所述输入输出接口,用于提供操作人员与所述Linux系统交互的接口;所述显示设备,用于将运行结果显示给所述操作人员。本专利技术实施例提供的一种基于Linux内核的文档安全访问控制方法的有益效果包括:本专利技术实施例提供的一种内核级的文档安全访问控制方法,在内核态设置包括指定控制目录、授权应用进程的安全策略,并在内核态完成策略判断,从而产生较好的文件安全访问控制效果。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种基于Linux内核的文档安全访问控制方法的功能模块结构示意图;图2是本专利技术实施例提供的一种基于Linux内核的文档安全访问控制方法的流程图;图3是本专利技术实施例提供的一种基于Linux内核的文档安全访问控制装置结构示意图;图4是本专利技术实施例提供的访问控制初始化的方法流程图;图5是本专利技术实施例提供的创建(写)访问控制的方法流程图;图6是本专利技术实施例提供的读访问控制的方法流程图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。为了说明本专利技术所述的技术方案,下面通过具体实施例来进行说明。实施例一如图1所示为本专利技术提供的一种基于Linux内核的文档安全访问控制方法的功能模块结构示意图,主要涉及启动脚本、策略加载程序、预处理模块、安全策略;虚拟文件系统、安全文件系统、本地文件系统;还有应用程序进程。其关系具体为:所述启动脚本中存储有策略加载程序的启动信息和预处理模块的注册信息,以便在Linux系统启动时,能够根据所述启动脚本完成在内核中注册所述预处理模块,并启动所述策略加载程序。所述策略加载程序,在启动后便会调取存储的策略,并发送给预处理模块,以便所述预处理模块在内核中生成安全策略。所述安全策略包括安全文件系统需要挂载的目录。针对每个用户,设置每个用户mount的目录,例如用户Home目录。同时,设置用户Home目录下可不做安全访问控制的配置文件目录,例如:config,gnome2,.fontconfig等。所述安全策略包括合法进程的名字和进程的全路径目录的循环冗余码校验(Cyclical Redundancy Check,简写为:CRC)值。安全策略包括对合法进程读写的数据采取的安全处理措施,如加密方法等。安全策略可存储为一个本地的文件policy.cfg。预处理模块除了用于生成所述安全策略外,还用于在Linux内核中注册安全文件系统。所述安全文件系统介于所述虚拟文件系统VFS和所述本地文件系统之间,能够对应用程序本文档来自技高网...
【技术保护点】
一种基于Linux内核的文档安全访问控制方法,其特征在于,Linux系统包含一个预处理模块,所述预处理模块的注册信息被写入启动脚本,所述方法包括:Linux系统启动时,Linux内核读取所述启动脚本注册信息,向Linux内核注册所述预处理模块;读取启动程序信息,并启动策略加载模块;其中,所述预处理模块,运行在Linux内核态;所述预处理模块启动后向虚拟文件系统VFS注册安全文件系统,然后注册监听端口;策略加载模块从本地读取一个安全策略文件,创建安全策略,发送给预处理模块监听端口;预处理模块接收所述安全策略,在内存创建安全策略供安全文件系统使用;在文件被应用程序进程访问时,安全文件系统根据所述安全策略调用本地文件系统完成文件数据的操作。
【技术特征摘要】
1.一种基于Linux内核的文档安全访问控制方法,其特征在于,Linux系统包含一个预
处理模块,所述预处理模块的注册信息被写入启动脚本,所述方法包括:
Linux系统启动时,Linux内核读取所述启动脚本注册信息,向Linux内核注册所述预处
理模块;读取启动程序信息,并启动策略加载模块;其中,所述预处理模块,运行在Linux
内核态;
所述预处理模块启动后向虚拟文件系统VFS注册安全文件系统,然后注册监听端口;
策略加载模块从本地读取一个安全策略文件,创建安全策略,发送给预处理模块监听端
口;
预处理模块接收所述安全策略,在内存创建安全策略供安全文件系统使用;
在文件被应用程序进程访问时,安全文件系统根据所述安全策略调用本地文件系统完成
文件数据的操作。
2.如权利要求1所述的方法,其特征在于,所述安全策略包括:
安全文件系统需挂载的目录路径,授权应用程序进程名称和安全处理措施。
3.如权利要求2所述的方法,其特征在于,所述预处理模块接收所述安全策略,在内存
创建安全策略供安全文件系统使用;在文件被应用程序进程访问时,安全文件系统根据所述
安全策略调用本地文件系统完成文件数据的操作,具体包括:
预处理模块接收所述安全策略,将安全文件系统挂载至安全策略指定的目录路径,在内
存创建安全策略供安全文件系统使用;
安全文件系统在其挂载的目录路径下的文件被应用程序进程访问时,根据所述安全策略
调用本地文件系统完成文件数据的操作。
4.如权利要求1-3任一所述的方法,其特征在于,所述安全处理措施具体为:进行文件
数据的加密处理。
5.如...
【专利技术属性】
技术研发人员:唐威,唐相雄,周涛,景弈昕,韩敏,
申请(专利权)人:武汉华工安鼎信息技术有限责任公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。