本發明涉及一種基于安全標記的進程強制控制方法，該方法預先在程序文件的強制訪問控制機制中構建用于記錄安全標記的標識以及核內外安全標記映射表，具有安全標記的程序文件運行時，操作系統內核讀取其安全標記的控制規則庫，并將控制規則庫的內容存儲在進程的進程控制塊中；當進程需要執行新程序時，將新程序的路徑與進程控制塊中存儲的控制規則庫內容進行規則匹配，根據所述規則匹配的結果，進行進程的強制行為控制。該方法可以有效防御攻擊者對進程強制訪問控制特權的篡改。

技術領域

本發明屬于計算機技術領域，具體涉及一種基于安全標記的進程強制控制方法。

背景技術

隨著基礎信息網絡和重要信息系統面臨的安全威脅和安全隱患日益嚴重，計算機病毒傳播和網絡非法入侵十分猖獗，網絡違法犯罪持續大幅上升，犯罪分子利用一些安全漏洞，使用黑客病毒技術、網絡釣魚技術、木馬間諜程序等新技術進行違法犯罪，給用戶造成嚴重損失。

在安全體系規劃中，物理層、網絡層等安全是人們比較容易理解的部分，而在實際操作中，計算環境安全，尤其是涉及操作系統的標記和強制訪問控制，是很多用戶困惑的地方。常見的WINDOWS、Linux、UNIX等商用操作系統雖然提供了一些安全措施,但是其功能非常有限,并且經常存在各種漏洞,所以如何通過合理的標記和強制訪問控制保證主機安全,同時防止內、外非法用戶的攻擊就成為當前信息系統等級化建設中一個至關重要的問題。

“黑客”攻擊服務器系統的主要方法是所謂的“代碼注入”。“代碼注入”根本原理都是利用程序語言的固有缺陷，用大量的數據填充程序的數據區，在程序不保護其堆棧邊界時，自動執行保留在堆棧中的程序，從而成功闖入服務器。由于被攻破的服務器進程往往具有系統的最高運行權限，攻擊程序就自然地繼承了這些特權。具有特權的進程能夠超越系統中安全策略的限制，認證與鑒別、訪問控制等安全機制名存實亡，形同虛設，入侵者可以任意拷貝、篡改、刪除服務器中的信息。現有技術針對“代碼注入”這種普遍存在而又危害嚴重的網絡威脅，國內外的學者和專家提出了許多種解決方案。其中比較著名的有：數據地雷(Data Mine)方案、堆棧不可執行方案、數據和代碼分離方案和邊界檢查方案。但這些方案都不能完全防止使用“代碼注入”的方法獲得的服務器最高控制權。

發明內容

針對現有技術無法解決“代碼注入”獲得服務器最高控制權的問題，本發明提出一種基于安全標記的進程強制控制方法。

基于安全標記的進程強制控制方法，其特征在于該方法通過以下步驟實施：

預先在程序文件的強制訪問控制機制中構建用于記錄安全標記的內部標識、外部標識之間對應關系的核內外安全標記映射表，將保存在核外的安全管理員對操作系統中各類對象配置的安全標記作為外部標識，在操作系統運行時在核內隨機化生成該安全標記對應的內部標識，將安全標記的內部標識、外部標識之間的對應關系添加至核內外安全標記映射表，并將內部標識作為安全屬性賦予給核內各類對象，基于內部標識建立強制訪問控制機制的內核訪問控制規則庫；

具有安全標記的程序文件運行時，操作系統內核讀取其安全標記的控制規則庫，并將控制規則庫的內容存儲在進程的進程控制塊中；當任一主體對象訪問客體對象時，獲取主體與客體對象的內部標識，根據內部標識查詢內核訪問控制規則庫判斷該主體對象是否具有對該客體對象的訪問權限，如果有對該客體對象的訪問權限，則允許本次主體對象訪問客體對象，否則拒絕本次主體對象訪問客體對象；

當進程需要執行新程序時，將新程序的路徑與進程控制塊中存儲的控制規則庫內容進行規則匹配，根據所述規則匹配的結果，進行進程的強制行為控制：如果新程序的路徑不帶有業務安全標記，則記錄日志并做相應處理；如果新程序的路徑不帶有業務安全標記并且發送端允許無標記數據導入，則為待單向傳輸的格式化數據塊自動添加指定的業務安全標記后執行單向傳輸；如果新程序的路徑帶有業務安全標記，則對數據的業務安全標記進行匹配檢查，若檢查通過，則將數據的業務安全標記添加到待單向傳輸的格式化數據塊后執行單向傳輸，否則記錄日志并做相應處理。