本发明专利技术提供一种Linux系统的安全访问方法、装置、设备和存储介质。Linux系统设置在第一硬件空间上,Linux系统的安全信息设置在第二硬件空间上,所述第一硬件空间和所述第二硬件空间之间物理隔离,该方法包括:接收访问对象发送的访问请求;对所述访问对象的访问权限进行鉴权处理;若鉴权通过,允许所述访问对象访问所述第二硬件空间。本发明专利技术实施例由于Linux系统和Linux系统的安全信息设置在相互物理隔离的不同硬件空间上,提高了Linux系统的安全性。
【技术实现步骤摘要】
Linux系统的安全访问方法、装置、设备和存储介质
本专利技术涉及计算机
,尤其涉及一种Linux系统的安全访问方法、装置、设备和存储介质。
技术介绍
强制访问控制安全系统(Security-EnhancedLinux,简称SeLinux)是一种基于域-类型(Domain-Type)模型的强制访问控制(MandatoryAccessControl,简称MAC)安全系统,是由美国国家安全局(NationalSecurityAgency,简称NSA)进行设计,并设计成将安全模块放入系统内核中的系统形式,SeLinux还包括相应的安全策略,上层系统可以基于安全策略来进行相应的安全运行操作。SeLinux应用的是MAC机制。在MAC机制中,用户、进程或者文件操作的权限是由基于安全策略决定的。例如,可以设定如下的安全策略:不允许将用户A创建的文件C授予用户B访问,基于上述安全策略的MAC机制下,无论用户A对文件C的操作权限进行何种形式的修改,用户B永远无法对文件C进行访问,但是在普通的Linux系统环境下通过用户A对文件C的操作权限进行适当的修改操作可以使得用户B对文件C进行访问,因此,SeLinux提供的强制访问控制机制可以强有力地保护系统的安全和可靠性。目前,Linux系统内核使用SeLinux控制各个进程的访问权限和资源的访问规则。SeLinux的配置文件以及使用的安全策略信息,放置在Linux系统中,一旦Linux系统被root后上述配置文件以及安全策略信息可以随意篡改,因此安全性较低。
技术实现思路
本专利技术提供一种Linux系统的安全访问方法、装置、设备和存储介质,以提高Linux系统的安全性。第一方面,本专利技术提供一种Linux系统的安全访问方法,Linux系统设置在第一硬件空间上,所述Linux系统的安全信息设置在第二硬件空间上,所述第一硬件空间和所述第二硬件空间之间物理隔离,该方法包括:接收访问对象发送的访问请求;对所述访问对象的访问权限进行鉴权处理;若鉴权通过,允许所述访问对象访问所述第二硬件空间。可选的,所述安全信息包括以下信息中的至少一种:SeLinux策略数据库、以及SeLinux配置文件。可选的,对所述访问对象的访问权限进行鉴权处理,包括:采用密码验证或者数字签名的方式,对所述访问对象的访问权限进行鉴权处理。可选的,所述第二硬件结构还存储有白名单,所述白名单包括被授权访问的对象的安全认证信息,对所述访问对象的访问权限进行鉴权处理,包括:根据所述白名单包括的安全认证信息,确定是否允许所述访问对象访问所述安全信息。可选的,对所述访问对象的访问权限进行鉴权处理之后,还包括:若鉴权失败,向所述访问对象反馈拒绝访问消息。可选的,所述第二硬件空间为可信域TrustZone硬件架构的硬件空间。第二方面,本专利技术提供一种Linux系统的安全访问方法,Linux系统设置在第一硬件空间上,所述Linux系统的安全信息设置在第二硬件空间上,所述第一硬件空间和所述第二硬件空间之间物理隔离,该方法包括:确定需要访问所述第二硬件空间;向所述第二硬件空间的控制端发送访问请求;在所述控制端鉴权通过后,访问所述第二硬件空间。可选的,所述安全信息包括:SeLinux策略数据库;确定需要访问所述第二硬件空间,包括:接收到所述Linux系统的指示消息后,确定需要访问所述第二硬件空间,所述指示消息用于指示所述Linux系统任一主体需要访问所述Linux系统中客体;在所述控制端鉴权通过后,访问所述第二硬件空间,还包括:根据SeLinux策略数据库,确定是否对所述主体访问所述客体授予权限。可选的,所述安全信息包括:SeLinux策略数据库;确定需要访问所述第二硬件空间,包括:接收到所述Linux系统中任一主体访问所述Linux系统中客体的访问请求后,确定需要访问所述第二硬件空间;在所述控制端鉴权通过后,访问所述第二硬件空间,还包括:指示SeLinux安全服务模块根据SeLinux策略数据库,确定是否对所述主体访问所述客体授予权限。可选的,所述主体为所述Linux系统的应用程序或进程,所述客体为Linux系统对应的资源。可选的,所述安全信息包括:SeLinux配置文件;确定需要访问所述第二硬件空间,包括:在确定需要执行任务或所述Linux系统启动后,确定需要访问所述第二硬件空间;在所述控制端鉴权通过后,访问所述第二硬件空,还包括:根据所述SeLinux配置文件,确定所述SeLinux安全服务模块的当前状态信息。可选的,所述第二硬件空间为可信域TrustZone硬件架构的硬件空间。第三方面,本专利技术提供一种Linux系统的安全访问装置,Linux系统设置在第一硬件空间上,所述Linux系统的安全信息设置在第二硬件空间上,所述第一硬件空间和所述第二硬件空间之间物理隔离,所述装置包括:接收模块,用于接收访问对象发送的访问请求;鉴权模块,用于对所述访问对象的访问权限进行鉴权处理;若鉴权通过,允许所述访问对象访问所述第二硬件空间。可选的,所述安全信息包括以下信息中的至少一种:SeLinux策略数据库、以及SeLinux配置文件。可选的,所述鉴权模块,具体用于:采用密码验证或者数字签名的方式,对所述访问对象的访问权限进行鉴权处理。可选的,所述第二硬件结构还存储有白名单,所述白名单包括被授权访问的对象的安全认证信息,所述鉴权模块,具体用于:根据所述白名单包括的安全认证信息,确定是否允许所述访问对象访问所述第二硬件空间。可选的,所述鉴权模块,具体用于:若鉴权失败,向所述访问对象反馈拒绝访问消息。可选的,所述第二硬件空间为可信域TrustZone硬件架构的硬件空间。第四方面,本专利技术提供一种Linux系统的安全访问装置,包括:确定模块,用于确定需要访问所述第二硬件空间;发送模块,用于向所述第二硬件空间的控制端发送访问请求;访问模块,用于在所述控制端鉴权通过后,访问所述第二硬件空间。可选的,所述安全信息包括:SeLinux策略数据库;所述确定模块,具体用于:接收到所述Linux系统的指示消息后,确定需要访问所述第二硬件空间,所述指示消息用于指示所述Linux系统任一主体需要访问所述Linux系统中客体;所述访问模块,具体用于:根据SeLinux策略数据库,确定是否对所述主体访问所述客体授予权限。可选的,所述安全信息包括:SeLinux策略数据库;所述确定模块,具体用于:接收到所述Linux系统中任一主体访问所述Linux系统中客体的访问请求后,确定需要访问所述第二硬件空间;所述访问模块,具体用于:指示SeLinux安全服务模块根据SeLinux策略数据库,确定是否对所述主体访问所述客体授予权限。可选的,所述主体为所述Linux系统的应用程序或进程,所述客体为Linux系统对应的资源。可选的,所述安全信息包括:SeLinux配置文件;所述确定模块,具体用于:在确定需要执行任务或所述Linux系统启动后,确定需要访问所述第二硬件空间;所述访问模块,具体用于:根据所述SeLinux配置文件,确定所述SeLinux安全服务模块的当前状态信息。可选的,所述第二硬件空间为可信域TrustZone硬件架构的硬件空间。第五方面,本专利技术实施例提供一种计算机可读存储介本文档来自技高网...
【技术保护点】
1.一种Linux系统的安全访问方法,其特征在于,Linux系统设置在第一硬件空间上,所述Linux系统的安全信息设置在第二硬件空间上,所述第一硬件空间和所述第二硬件空间之间物理隔离,所述方法包括:接收访问对象发送的访问请求;对所述访问对象的访问权限进行鉴权处理;若鉴权通过,允许所述访问对象访问所述第二硬件空间。
【技术特征摘要】
1.一种Linux系统的安全访问方法,其特征在于,Linux系统设置在第一硬件空间上,所述Linux系统的安全信息设置在第二硬件空间上,所述第一硬件空间和所述第二硬件空间之间物理隔离,所述方法包括:接收访问对象发送的访问请求;对所述访问对象的访问权限进行鉴权处理;若鉴权通过,允许所述访问对象访问所述第二硬件空间。2.根据权利要求1所述的方法,其特征在于,所述安全信息包括以下信息中的至少一种:SeLinux策略数据库、以及SeLinux配置文件。3.根据权利要求1所述的方法,其特征在于,对所述访问对象的访问权限进行鉴权处理,包括:采用密码验证或者数字签名的方式,对所述访问对象的访问权限进行鉴权处理。4.根据权利要求1所述的方法,其特征在于,所述第二硬件结构还存储有白名单,所述白名单包括被授权访问的对象的安全认证信息,对所述访问对象的访问权限进行鉴权处理,包括:根据所述白名单包括的安全认证信息,确定是否允许所述访问对象访问所述第二硬件空间。5.根据权利要求1所述的方法,其特征在于,对所述访问对象的访问权限进行鉴权处理之后,还包括:若鉴权失败,向所述访问对象反馈拒绝访问消息。6.根据权利要求1-5任一项所述的方法,其特征在于,所述第二硬件空间为可信域TrustZone硬件架构的硬件空间。7.一种Linux系统的安全访问方法,其特征在于,Linu...
【专利技术属性】
技术研发人员:王博,
申请(专利权)人:北京猎户星空科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。