-
公开(公告)号:CN111159713A
公开(公告)日:2020-05-15
申请号:CN201911341073.6
申请日:2019-12-23
Applicant: 北京工业大学
IPC: G06F21/57
Abstract: 本发明实施例提供的一种基于SELinux的自学习可信策略构建方法及系统,该方法包括:获取需要添加进策略文件的应用程序;进入策略学习模式,将SELinux设置为宽容模式;允许并执行应用程序的所有操作,获取日志文件里记录的拒绝信息;读取拒绝信息,将拒绝信息转化成策略文件;将策略文件加载至内核。本发明实施例提供的自学习可信策略构建方法及系统,对新安装的应用程序,通过将SELinux设置为宽容模式,以一个训练过程构建策略文件,执行需要添加进策略文件的应用程序操作,在不添加前置操作策略的情况下,后置操作仍被允许执行而不会使学习过程停止,实现在不影响程序运行的情况下,构建应用程序所需的可信策略。
-
公开(公告)号:CN111125793A
公开(公告)日:2020-05-08
申请号:CN201911340046.7
申请日:2019-12-23
Applicant: 北京工业大学
Abstract: 本发明实施例提供的一种访问控制中客体内存可信验证方法及系统,该方法包括:获取访问控制过程中的客体内存,并将所述客体内存划分为客体进程内存和IPC对象共享内存;分别对客体进程内存和IPC对象共享内存进行可信验证。本发明实施例提供的访问控制中客体内存可信验证方法及系统,通过将客体内存数据分为充当主体服务对象的客体进程内存以及充当进程间通信的IPC对象共享内存,并分别对两种客体内存分别进行可信验证,实现了对被现有方案所忽略的不定客体数据的可信校验,保证了应用程序在运行过程中的动态可信。
-
公开(公告)号:CN111125793B
公开(公告)日:2022-03-11
申请号:CN201911340046.7
申请日:2019-12-23
Applicant: 北京工业大学
Abstract: 本发明实施例提供的一种访问控制中客体内存可信验证方法及系统,该方法包括:获取访问控制过程中的客体内存,并将所述客体内存划分为客体进程内存和IPC对象共享内存;分别对客体进程内存和IPC对象共享内存进行可信验证。本发明实施例提供的访问控制中客体内存可信验证方法及系统,通过将客体内存数据分为充当主体服务对象的客体进程内存以及充当进程间通信的IPC对象共享内存,并分别对两种客体内存分别进行可信验证,实现了对被现有方案所忽略的不定客体数据的可信校验,保证了应用程序在运行过程中的动态可信。
-
公开(公告)号:CN111159762A
公开(公告)日:2020-05-15
申请号:CN201911341090.X
申请日:2019-12-23
Applicant: 北京工业大学
IPC: G06F21/62
Abstract: 本发明实施例提供的一种强制访问控制下的主体可信验证方法及系统,该方法包括:初始化阶段和权限审核阶段;具体包括:获取应用程序的二进制文件和对应的动态链接库并进行度量,获取初始基准值;权限审核阶段包括:将应用程序的进程加载至内存,并在加载过程中度量应用程序的ELF文件,并将度量结果与初始基准值进行比对,获取第一比对结果;根据所述第一比对结果,对应用程序的加载进行控制。本发明实施例提供的主体可信验证方法及系统,通过在强制访问控制模型中,在进程加载前、加载时以及运行时进行主体可信验证,实现了对进程加载阶段的可信验证,有效避免了加载进程的系统调用被篡改而导致基准值错误情况的发生,增强了系统的安全防护。
-
公开(公告)号:CN111159691B
公开(公告)日:2022-03-11
申请号:CN201911341086.3
申请日:2019-12-23
Applicant: 北京工业大学
Abstract: 本发明实施例提供一种应用程序动态可信验证方法及系统,该方法包括:为应用程序构建可信运行环境;在强制访问控制状态,基于可信运行环境对应用程序进行动态可信验证。其中,为应用程序构建可信运行环境,包括:操作系统可信启动、构建策略文件以及构建可信基准库;对应用程序进行动态可信验证,包括:基于可信基准库、策略文件和安全增强模块,验证四要素的完整性。本发明实施例提供的应用程序动态可信验证方法及系统,在不修改应用程序本身的前提下,能够通过完整性度量机制、强制访问控制机制对应用程序从磁盘被加载到内存的过程、应用程序被加载到内存后的整个运行过程进行动态可信验证。
-
Patent Agency Ranking
公开(公告)号:CN111159714A
公开(公告)日:2020-05-15
申请号:CN201911341087.8
申请日:2019-12-23
Applicant: 北京工业大学
IPC: G06F21/57
Abstract: 本发明实施例提供的一种访问控制中主体运行时可信验证方法及系统,该方法包括:加载应用程序,并获取所述应用程序在运行阶段的系统调用;判定所述系统调用的等级;基于所述等级,度量所述系统调用的主体进程内存数据;确定所述度量结果为合格,则允许所述应用程序继续运行。该系统包括:系统调用获取模块、等级判定模块、度量模块和进程控制模块。本发明实施例提供的访问控制中主体运行时可信验证方法及系统,综合重要性和频率两个要素,设计并定义了系统调用的动态等级描述,以区别对待主体进程内存数据的度量步骤,在保证安全的同时,最大限度地降低了由频繁度量主体所产生的性能损耗。
-
公开(公告)号:CN111159691A
公开(公告)日:2020-05-15
申请号:CN201911341086.3
申请日:2019-12-23
Applicant: 北京工业大学
Abstract: 本发明实施例提供一种应用程序动态可信验证方法及系统,该方法包括:为应用程序构建可信运行环境;在强制访问控制状态,基于可信运行环境对应用程序进行动态可信验证。其中,为应用程序构建可信运行环境,包括:操作系统可信启动、构建策略文件以及构建可信基准库;对应用程序进行动态可信验证,包括:基于可信基准库、策略文件和安全增强模块,验证四要素的完整性。本发明实施例提供的应用程序动态可信验证方法及系统,在不修改应用程序本身的前提下,能够通过完整性度量机制、强制访问控制机制对应用程序从磁盘被加载到内存的过程、应用程序被加载到内存后的整个运行过程进行动态可信验证。
-
公开(公告)号:CN111159762B
公开(公告)日:2022-08-12
申请号:CN201911341090.X
申请日:2019-12-23
Applicant: 北京工业大学
IPC: G06F21/62
Abstract: 本发明实施例提供的一种强制访问控制下的主体可信验证方法及系统,该方法包括:初始化阶段和权限审核阶段;具体包括:获取应用程序的二进制文件和对应的动态链接库并进行度量,获取初始基准值;权限审核阶段包括:将应用程序的进程加载至内存,并在加载过程中度量应用程序的ELF文件,并将度量结果与初始基准值进行比对,获取第一比对结果;根据所述第一比对结果,对应用程序的加载进行控制。本发明实施例提供的主体可信验证方法及系统,通过在强制访问控制模型中,在进程加载前、加载时以及运行时进行主体可信验证,实现了对进程加载阶段的可信验证,有效避免了加载进程的系统调用被篡改而导致基准值错误情况的发生,增强了系统的安全防护。
-
公开(公告)号:CN111159713B
公开(公告)日:2022-05-10
申请号:CN201911341073.6
申请日:2019-12-23
Applicant: 北京工业大学
IPC: G06F21/57
Abstract: 本发明实施例提供的一种基于SELinux的自学习可信策略构建方法及系统,该方法包括:获取需要添加进策略文件的应用程序;进入策略学习模式,将SELinux设置为宽容模式;允许并执行应用程序的所有操作,获取日志文件里记录的拒绝信息;读取拒绝信息,将拒绝信息转化成策略文件;将策略文件加载至内核。本发明实施例提供的自学习可信策略构建方法及系统,对新安装的应用程序,通过将SELinux设置为宽容模式,以一个训练过程构建策略文件,执行需要添加进策略文件的应用程序操作,在不添加前置操作策略的情况下,后置操作仍被允许执行而不会使学习过程停止,实现在不影响程序运行的情况下,构建应用程序所需的可信策略。
-
公开(公告)号:CN111159714B
公开(公告)日:2022-03-11
申请号:CN201911341087.8
申请日:2019-12-23
Applicant: 北京工业大学
IPC: G06F21/57
Abstract: 本发明实施例提供的一种访问控制中主体运行时可信验证方法及系统,该方法包括:加载应用程序,并获取所述应用程序在运行阶段的系统调用;判定所述系统调用的等级;基于所述等级,度量所述系统调用的主体进程内存数据;确定所述度量结果为合格,则允许所述应用程序继续运行。该系统包括:系统调用获取模块、等级判定模块、度量模块和进程控制模块。本发明实施例提供的访问控制中主体运行时可信验证方法及系统,综合重要性和频率两个要素,设计并定义了系统调用的动态等级描述,以区别对待主体进程内存数据的度量步骤,在保证安全的同时,最大限度地降低了由频繁度量主体所产生的性能损耗。
-
-
-
-
-
-
-
-
-
Search Results
10
records
(took 0.027 seconds)
