【技术实现步骤摘要】
基于SELinux的自学习可信策略构建方法及系统
本专利技术涉及计算机
,尤其涉及一种基于SELinux的自学习可信策略构建方法及系统。
技术介绍
SELinux安全模块的默认规则是,在强制模式下,策略文件中没有定义的一切操作都将被拒绝执行并把拒绝信息写入日志文件;在宽容模式下,SELinux允许应用程序的所有操作,将策略文件中没有定义的操作信息写入日志文件。日志文件里的拒绝信息主要包含:主体和客体信息以及安全上下文、主体对客体的操作等。如果策略文件中定义了某个操作信息,执行该操作时不会被SELinux拒绝,日志文件里也就不会记录相应的拒绝信息。当系统新安装一个应用程序时,该应用程序的任何操作都会被拒绝。保证应用程序的可信受控运行需要为应用程序构建合理的访问策略规则。为了保证策略规则的完整性及可信性,该构建过程建立在受保护的可信系统基础之上。现有技术中存在着诸多关于可信策略构建方法,其中专利申请号为CN201210563375.X的专利文件中,公开了一种基于自学习的Linux安全策略配置方法,用于解决L...
【技术保护点】
1.一种基于SELinux的自学习可信策略构建方法,其特征在于,包括:/n获取需要添加进策略文件的应用程序;/n进入策略学习模式,将SELinux设置为宽容模式;/n允许并执行所述应用程序的所有操作,并获取日志文件里记录的拒绝信息;/n读取所述拒绝信息,并将所述拒绝信息转化成策略文件;/n将所述策略文件加载至内核。/n
【技术特征摘要】
1.一种基于SELinux的自学习可信策略构建方法,其特征在于,包括:
获取需要添加进策略文件的应用程序;
进入策略学习模式,将SELinux设置为宽容模式;
允许并执行所述应用程序的所有操作,并获取日志文件里记录的拒绝信息;
读取所述拒绝信息,并将所述拒绝信息转化成策略文件;
将所述策略文件加载至内核。
2.根据权利要求1所述的基于SELinux的自学习可信策略构建方法,其特征在于,在将所述策略文件加载至内核之后,包括:
对所述策略文件进行度量,若确定所述策略文件完整,则退出策略学习模式,将所述SELinux设置为强制模式。
3.根据权利要求2所述的基于SELinux的自学习可信策略构建方法,其特征在于,在所述对所述策略文件进行度量,若确定所述策略文件完整之后,还包括:
将所述策略文件的度量值作为标准度量值,存入可信基准库中。
4.根据权利要求2所述的基于SELinux的自学习可信策略构建方法,其特征在于,在所述将所述SELinux设置为强制模式之后,还包括:
提取出所述拒绝信息中需要添加进所述策略文件里的操作拒绝信息;
将所述操作拒绝信息转化成附加策略文件;
利用所述附加策略文件对所述策略文件进行更新,获取新生成策略文件;
将所述新生成策略文件加载至所述内核,以替换所述策略文件。
5.根据权利要求4所述的基于SELinux的自学习可信策略构建方法,其特征在于,在所述利用所述附加策略文件对所述策略文件进行更新,获取新生成策略文件之后,还包括:
对所述新生成策略文件进行度量,并将获取的新生成度量值存入可信基准库中,替换所述...
【专利技术属性】
技术研发人员:张建标,万永祺,黄浩翔,冯星伟,陶务升,曹雪琛,
申请(专利权)人:北京工业大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。