基于VxWorks系统驱动层的数据访问监控系统及其控制方法技术方案

本发明专利技术公开了一种基于VxWorks系统驱动层的数据访问监控系统，主要包括：设置在VxWorks系统驱动层的访问过滤器、访问决策器和访问权限库；访问过滤器用于在驱动层中实时监控经过该层的数据包，同时获取数据包的头部信息；访问权限库将各类数据包信息进行排列组合，构成多条访问规则，共同形成一个访问控制列表；访问决策器同时加载访问过滤器和访问权限库，并对访问控制规则和数据包头部信息作出比对，将得出的控制方案传递给访问过滤器，由其完成对驱动层当前数据的处理操作。本发明专利技术还提供了一种基于VxWorks系统驱动层的数据访问监控系统的控制方法。本发明专利技术在VxWorks系统的驱动层引入包过滤访问控制技术，不仅增强了VxWorks系统的信息安全性，而且相比于现有的驱动层数据访问控制方法，更为简便高效。

【技术实现步骤摘要】

本专利技术属于计算机网络与信息安全
，特别涉及一种基于VxWorks系统驱动层的数据访问监控系统。
技术介绍
VxWorks操作系统因其卓越的可靠性和实时性被广泛应用于通信、军事、航空等实时性要求较高的领域。同样，正是由于这一被人认可的实时高效稳定性，VxWorks操作系统的民用需求也在不断增加。因而，伴随而来的VxWorks网络文件传输的安全性，成了一个不容忽视且急需解决的问题。现有的关于VxWorks系统访问控制机制的研究，一种是在操作系统上集成实现，具体是从操作系统协议栈入手，通过修改内核，将自定义的安全协议集成到主机操作系统上的TCP/IP中，作为协议栈的一部分；另外一种就是在应用层修改应用程序，在文件传输前后添加一些加密模块和完整性认证模块。田战玲等人提出了基于VxWorks系统的网络文件传输安全技术研究(田战玲,刘利强.基于VxWorks网络文件传输安全性的研究[J].信息技术与信息化,2011,54(4):32-35.)，就是综合采用上述两种方法来加强对VxWorks系统的访问防护，然而这种方法的缺陷在于，非法用户可以在VxWorks系统出现故障时，跳过这两个层次，从而对系统的安全性造成破坏。除此以外，也有少量的研究是在VxWorks系统驱动层设立访问机制，戴跃伟等人公开的一种VxWorks系统驱动层块设备数据访问控制方法(戴跃伟.一种VxWorks系统驱动层块设备数据访问控制方法:中国,CN104318152A[P].2015.01.28.)，该方法专注于VxWorks系统中块设备敏感数据的访问防护，但是未对系统中实时传送的数据安全性作研究，因而系统安全性仍然存在隐患。
技术实现思路
专利技术目的：为了克服现有技术的不足，本专利技术提供了一种安全性更高，结构更加简单的基于VxWorks系统驱动层的数据访问监控系统。技术方案：本专利技术提供了一种基于VxWorks系统驱动层的数据访问监控系统，包括设置在VxWorks系统驱动层的访问过滤器、访问决策器和访问权限库；其中：所述访问过滤器，用于实时监控途经VxWorks系统驱动层的数据包，直接拦截数据
包，并根据数据包的标准结构，完成对数据包的头部信息的获取；所述访问权限库中用于存储所有经过驱动层的数据包的头部信息，并根据头部信息中不同类型信息构成的访问权限判断条件与需要的控制结果形成一个访问控制列表；所述访问决策器，一边加载访问权限库，获取访问权限判断条件，同时接收来自访问过滤器的数据包的头部信息，将接收的数据包的头部信息与访问权限判断条件进行比较后获得控制方案，并将控制方案交由访问过滤器，访问过滤器完成对驱动层当前数据的处理。进一步，所述的访问过滤器设置于VxWorks系统驱动层中数据接收进程和数据发送进程之间的数据通路上。这样可实时对接收到的，或者即将要发送的数据进行监控。更加安全，方便。进一步，所述的访问权限库设置于VxWorks系统驱动层头文件库中。这样加载方便，VxWorks启动时，自动加载权限库；调用方便，监控器处理经过驱动层的数据包，当然调用驱动层头文件库，更方便；能够有效的节省时间，把对VxWorks系统实时性的影响，降到最低。进一步，所述访问权限判断条件列表选取的权限判断信息包括：源MAC地址、目的MAC地址、协议类型、源IP地址、目的IP地址、源端口号以及目的端口号。进一步，所述访问权限库分为接收权限库和发送权限库，所述接收权限库选择源MAC地址、协议类型、源IP地址和源端口号作为权限信息生成权限判断条件列表；所述发送权限库选用目的MAC地址、协议类型、目的IP地址和目的端口号作为权限信息生成权限判断条件列表。根据数据包的去向，加载相应的权限库，不仅能够保证VxWorks系统文件传输的双向安全性，而且可以提高系统的遍历访问处理速度，满足VxWorks系统实时性的要求。进一步，所述的访问决策器设置于VxWorks系统驱动层中数据接收进程和数据发送进程之间的数据通路上，与所述的访问过滤器属于平行结构，两者之间存在数据交换。本专利技术还提供了一种采用上述基于VxWorks系统驱动层的实时数据访问监控系统的控制方法，包括以下步骤：(1)在VxWorks系统驱动层中数据接收进程和数据发送进程之间的数据通路上设置访问过滤器；在VxWorks系统驱动层头文件库中设置访问权限库，所述访问权限库中存有访问控制列表；在VxWorks系统驱动层中数据接收进程和数据发送进程之间的数据
通路上设置访问决策器；(2)所述访问过滤器直接拦截数据包，并根据数据包的标准结构，完成对数据包的头部信息的获取；并将获取的数据包的头部信息发送给所述访问决策器；(3)所述访问决策器一边加载访问权限库，获取访问控制列表，同时接收来自访问过滤器的数据包的头部信息，将接收的数据包的头部信息与访问权限判断条件进行比较后获得控制方案，并将控制方案交由访问过滤器，访问过滤器完成对驱动层当前数据的处理。进一步，所述步骤(2)中获取数据包的头部信息的方法为：查询数据包的首地址，移动该首地址指针以获取数据包头部信息，将相应的数据包头部信息保存在一个设定的数据结构中。进一步，所述步骤(3)中访问过滤器对驱动层当前数据的处理方法为：若访问决策器给出的指令是对当前数据包作放行处理，则将该数据包交由接收进程，传递到上一层网络层，或者交由发送进程，传递到下一层物理层；若访问决策器给出的指令是对当前数据包作丢弃处理，则将该数据包所处缓存区置空。有益效果：与现有技术相比，本专利技术在VxWorks系统的驱动层引入包过滤访问监控系统及方法，增强了VxWorks系统的文件传输的安全性，而且优化了访问控制结构，相较于现有VxWorks系统驱动层的数据访问控制方法，更为简便高效。附图说明图1为本专利技术的一种基于VxWorks系统驱动层的实时数据访问控制结构图；图2为中断数据接收处理驱动函数中访问过滤器的具体嵌入位置图；图3为VxWorks系统内核数据帧的封装结构图；图4为网络数据通信中标准的数据包封装结构图；图5为访问权限库所设计的用户控制规则示意图；图6为访问过滤器中数据访问控制流程图。具体实施方式下面结合附图对本专利技术做更进一步的解释。以ARM9开发板搭载的VxWorks系统为例，进一步阐明本专利技术的一种基于VxWorks系统驱动层的实时数据访问控制方法。如图1所示，本专利技术提供的监控系统是在VxWorks系统的驱动层嵌入访问过滤器，
实时监控当前途经驱动层的数据包，同时获取数据包的头部信息，将获取的数据包头部各种信息传递给访问决策器，访问决策器再将这些信息和从访问权限库加载所得的访问控制列表和控制列表中给出的对应的访问权限判断条件进行比对，得出控制方案反馈给访问过滤器，最后由访问过滤器根据该控制方案完成对VxWorks系统驱动层当前数据包的处理操作。采用本专利技术提供的基于VxWorks系统驱动层的数据访问监控系统的控制方法具体实施步骤如下：步骤1：在VxWorks系统驱动层中数据接收进程和数据发送进程之间的数据通路上设置访问过滤器；在VxWorks系统驱动层头文件库中设置访问权限库；在VxWorks系统驱动层中数据接收进程和数据发送进程之间的数据通路上设置访问决策器；(1)设置访问本文档来自技高网...

【技术保护点】
一种基于VxWorks系统驱动层的数据访问监控系统，其特征在于：包括设置在VxWorks系统驱动层的访问过滤器、访问决策器和访问权限库；其中：所述访问过滤器，用于实时监控途经VxWorks系统驱动层的数据包，直接拦截数据包，并根据数据包的标准结构，完成对数据包的头部信息的获取；所述访问权限库中用于存储所有经过驱动层的数据包的头部信息，并根据头部信息中不同类型信息构成的访问权限判断条件与需要的控制结果形成一个访问控制列表；所述访问决策器，一边加载访问权限库，获取访问权限判断条件，同时接收来自访问过滤器的数据包的头部信息，将接收的数据包的头部信息与访问权限判断条件进行比较后获得控制方案，并将控制方案交由访问过滤器，访问过滤器完成对驱动层当前数据的处理。

【技术特征摘要】
1.一种基于VxWorks系统驱动层的数据访问监控系统，其特征在于：包括设置在VxWorks系统驱动层的访问过滤器、访问决策器和访问权限库；其中：所述访问过滤器，用于实时监控途经VxWorks系统驱动层的数据包，直接拦截数据包，并根据数据包的标准结构，完成对数据包的头部信息的获取；所述访问权限库中用于存储所有经过驱动层的数据包的头部信息，并根据头部信息中不同类型信息构成的访问权限判断条件与需要的控制结果形成一个访问控制列表；所述访问决策器，一边加载访问权限库，获取访问权限判断条件，同时接收来自访问过滤器的数据包的头部信息，将接收的数据包的头部信息与访问权限判断条件进行比较后获得控制方案，并将控制方案交由访问过滤器，访问过滤器完成对驱动层当前数据的处理。2.根据权利要求1所述的基于VxWorks系统驱动层的数据访问监控系统，其特征在于：所述的访问过滤器设置于VxWorks系统驱动层中数据接收进程和数据发送进程之间的数据通路上。3.根据权利要求1所述的基于VxWorks系统驱动层的数据访问监控系统，其特征在于：所述的访问权限库设置于VxWorks系统驱动层头文件库中。4.根据权利要求1所述的基于VxWorks系统驱动层的数据访问监控系统，其特征在于：所述访问权限判断条件列表选取的权限判断信息包括：源MAC地址、目的MAC地址、协议类型、源IP地址、目的IP地址、源端口号以及目的端口号。5.根据权利要求4所述的基于VxWorks系统驱动层的数据访问监控系统，其特征在于：所述访问权限库分为接收权限库和发送权限库，所述接收权限库选择源MAC地址、协议类型、源IP地址和源端口号作为权限信息生成权限判断条件列表；所述发送权限库选用目的MAC地址、协议类型、目的IP地址和目的端口号作为权限信息生成权限判断条件列表。6.根据权利要求1所述的基...

【专利技术属性】
技术研发人员：翟江涛，高斌，薛朋骏，戴跃伟，
申请(专利权)人：江苏科技大学，
类型：发明
国别省市：江苏;32