一种实现访问控制的方法和装置制造方法及图纸

本发明专利技术公开了一种实现访问控制的方法和装置，能够在网络信息共享过程中保证涉密信息的安全性，节省成本，提高现有系统的利用率。本发明专利技术实施例提供的实现访问控制的方法，包括：利用内核态下的客户端驱动程序捕获输入输出请求包；利用所述客户端驱动程序对所述输入输出请求包进行过滤，对过滤得到的输入输出请求包提取拦截信息，并将所述拦截信息打包发送至用户态下的客户端代理程序，由所述客户端代理程序将拦截信息发送至用户态下的服务器代理程序，并将服务器代理程序按照预定的安全策略得到的安全策略判断结果发送至客户端驱动程序；通过所述客户端驱动程序，根据所述安全策略判断结果控制所述过滤得到的输入输出请求包的执行。

【技术实现步骤摘要】

本专利技术涉及网络安全
，尤其是涉及一种实现访问控制的方法和装置。
技术介绍
计算机操作系统(Operating System，简称OS)，是电子计算机系统中负责支撑应用程序运行环境以及用户操作环境的系统软件，其对内管理计算机系统的各种资源，扩充硬件的功能；对外能向用户提供良好的人机界面，方便用户使用计算机，操作系统是计算机系统的核心与基石。随着信息技术的发展，信息共享要求越来越广泛，外部网络或是内部网络需要频繁对网络中计算机上的资源进行访问，以满足信息共享的需求。然而，无论是外部网络或者是内部网络，病毒、木马等非法进程越来越活跃，而目前最常用的计算机操作系统，如Windows操作系统，只提供基本的新技术文件系统(New Technology File System，NTFS)、文件分配表(File Allocation Table，FAT)文件的管理， 不能识别、抵御网络上的非法访问操作。由于现有操作系统无法对资源访问进行任何的控制操作，势必导致计算机上包括涉密信息的多种资源将处于高级危险的状态。如何保证信息共享过程中大量的涉密信息的安全已成为一个亟待解决的问题。
技术实现思路
本专利技术实施例提供了一种实现访问控制的方法和装置，能够在网络信息共享过程中保证涉密信息的安全性，节省成本，提高现有系统的利用率。为达到上述目的，本专利技术实施例的技术方案是这样实现的本专利技术实施例提供了一种实现访问控制的方法，包括利用内核态下的客户端驱动程序捕获输入输出请求包；利用所述客户端驱动程序对所述输入输出请求包进行过滤，对过滤得到的输入输出请求包提取拦截信息，并将所述拦截信息打包发送至用户态下的客户端代理程序，由所述客户端代理程序将拦截信息发送至用户态下的服务器代理程序，并将服务器代理程序按照预定的安全策略得到的安全策略判断结果发送至客户端驱动程序；通过所述客户端驱动程序，根据所述安全策略协商结果控制所述过滤得到的输入输出请求包的执行。本专利技术实施例提供的一种实现访问控制的装置，包括消息传递模块，用于在用户态的客户端代理程序和所述装置的捕获模块、拦截信息提取模块及访问控制模块之间进行信息的传递；捕获模块，用于通过所述消息传递模块捕获输入输出请求包；过滤模块，用于对所述输入输出请求包进行过滤；拦截信息提取模块，用于对过滤得到的输入输出请求包提取拦截信息，将所述拦截信息打包，通过所述消息传递模块发送至客户端代理程序；访问控制模块，用于通过所述消息传递模块，接收来自客户端代理程序的安全策略协商结果并控制所述过滤得到的输入输出请求包的执行。本专利技术实施例还提供了一种实现访问控制的装置，包括接收模块，用于接收来自内核态下的客户端驱动程序对输入输出请求包提取的拦截信息；以及，接收服务器代理程序发送的对所述拦截信息的安全策略判断结果；发送模块，用于将所述拦截信息发送至服务器代理程序；以及，将所述安全策略判断结果发送至客户端驱动程序。本专利技术实施例还提供了一种实现访问控制的装置，包括安全策略判断模块，用于接收用户态下客户端代理程序发送的拦截信息，按照预定的安全策略得到该拦截信息的安全策略判断结果，并将所述安全策略判断结果发送至客户端代理程序。由上述可见，本专利技术实施例的技术方案提供了一种安全的输入输出访问控制方案，该方案在操作系统的驱动层捕获用户的操作，通过对用户操作的过滤以及所规定的安全策略，来确认是否允许或拒绝用户操作，从而在操作系统中实现了对资源访问的控制操作。本专利技术实施例的技术方案在现有操作系统的驱动程序中加入了访问控制功能，确保允许的输入输出操作都是安全的，能够在网络信息共享过程中保证涉密信息的安全性，且无需再在计算机上安装额外的访问控制软件，节省了成本，提高了现有系统的利用率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例一提供的一种实现访问控制的方法流程示意图；图2本专利技术实施例的实现访问控制的方法中主要程序之间的关系示意图；图3为本专利技术实施例二提供的一种实现访问控制的方法流程示意图；图4为本专利技术实施例二提供的过滤文件访问请求包的流程示意图；图5为本专利技术实施例二提供的过滤进程访问请求包的流程示意图；图6为本专利技术实施例二提供的一种对文件访问控制进行安全策略判断的方法流程示意图；图7为本专利技术实施例二提供的一种对进程访问控制进行安全策略判断的方法流程示意图；图8为本专利技术实施例三提供的实现访问控制的装置结构示意图。 具体实施例方式下面将结合本专利技术的附图，对本专利技术的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例， 本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例一提供了一种实现访问控制的方法，参见图1，包括11 利用内核态下的客户端驱动程序捕获输入输出请求包(I/ORequest Packet, IRP)；12:利用所述客户端驱动程序对所述输入输出请求包进行过滤，对过滤得到的输入输出请求包提取拦截信息，并将所述拦截信息打包发送至用户态下的客户端代理程序， 由所述客户端代理程序将拦截信息发送至用户态下的服务器代理程序，并将服务器代理程序按照预定的安全策略得到的安全策略判断结果发送至客户端驱动程序；13:通过所述客户端驱动程序，根据所述安全策略判断结果控制所述过滤得到的输入输出请求包的执行。进一步的，上述输入输出请求包为对应于文件访问操作或者进程访问操作的数据包，该输入输出请求包可以包括下述的至少一种或其组合文件的创建操作请求包，文件的读操作请求包，文件的写操作请求包，文件夹访问操作请求包，文件的重命令和删除操作请求包和进程访问请求包。在步骤13中，控制所述过滤得到的输入输出请求包的执行包括允许该输入输出请求包的执行，或者，拒绝该输入输出请求包的执行。由上述可见，本专利技术实施例的技术方案提供了一种安全的输入输出访问控制方案，该方案在操作系统的驱动层捕获用户的操作，通过对用户操作的过滤以及所规定的安全策略，来确认是否允许或拒绝用户操作，从而在操作系统中实现了对资源访问的控制操作。本专利技术实施例的技术方案在现有操作系统的驱动程序中加入了访问控制功能，确保允许的输入输出操作都是安全的，能够在网络信息共享过程中保证涉密信息的安全性，且无需再在计算机上安装额外的访问控制软件，节省了成本，提高了现有系统的利用率。本专利技术实施例中，核心态是操作系统内核所运行的模式。运行在该模式的代码，可以无限制地对系统存储、外部设备进行访问，即当CPU正在运行内核代码时我们就称操作系统处于内核态，而当CPU正运行用户代码时则称操作系统处于用户态。参见图2，显示了本专利技术实施例实现访问控制的方法中主要程序之间的关系示意图，在用户态下接收客户端用户的指令，执行文件访问操作或进程访问操作，以及运行客户单代理程序和服务器代理程序。在内核态下，运行消息传递工作程序、用于过滤文件访问的文件访问过滤程序和用于过滤进程访问的进程访本文档来自技高网...

【技术保护点】
１．一种实现访问控制的方法，其特征在于，所述方法包括：利用内核态下的客户端驱动程序捕获输入输出请求包；利用所述客户端驱动程序对所述输入输出请求包进行过滤，对过滤得到的输入输出请求包提取拦截信息，并将所述拦截信息打包发送至用户态下的客户端代理程序，由所述客户端代理程序将拦截信息发送至用户态下的服务器代理程序，并将服务器代理程序按照预定的安全策略得到的安全策略判断结果发送至客户端驱动程序；通过所述客户端驱动程序，根据所述安全策略判断结果控制所述过滤得到的输入输出请求包的执行。

【技术特征摘要】
1.一种实现访问控制的方法，其特征在于，所述方法包括 利用内核态下的客户端驱动程序捕获输入输出请求包；利用所述客户端驱动程序对所述输入输出请求包进行过滤，对过滤得到的输入输出请求包提取拦截信息，并将所述拦截信息打包发送至用户态下的客户端代理程序，由所述客户端代理程序将拦截信息发送至用户态下的服务器代理程序，并将服务器代理程序按照预定的安全策略得到的安全策略判断结果发送至客户端驱动程序；通过所述客户端驱动程序，根据所述安全策略判断结果控制所述过滤得到的输入输出请求包的执行。2.根据权利要求1所述的方法，其特征在于，所述利用所述客户端驱动程序对所述输入输出请求包进行过滤具体包括所述输入输出请求包为文件访问请求包时，客户端驱动程序通过下述步骤对文件访问请求包进行过滤第一步骤判断文件访问请求包是否满足驱动要求的安全等级，若是，执行第二步骤， 若否，允许所述文件访问请求包的执行；第二步骤判断被访问的文件是否为操作系统盘上的文件，若是，允许所述文件访问请求包的执行，若否，执行第三步骤；第三步骤判断被访问的文件是否为涉密盘上的文件，若是，过滤得到该文件访问请求包，若否，允许所述文件访问请求包的执行；所述输入输出请求包为进程访问请求包时，客户端驱动程序通过下述步骤对进程访问请求包进行过滤第一步骤判断进程访问请求包是否满足驱动要求的安全等级，若是，执行第二步骤， 若否，允许所述进程访问请求包的执行；第二步骤判断进程访问请求包在内存段是否可执行，若是，执行第三步骤，若否，允许所述进程访问请求包的执行；第三步骤判断进程访问请求包是否为客户端代理程序中的进程，若是，允许所述进程访问请求包的执行，若否，过滤得到该进程访问请求包。3.根据权利要求1或2所述的方法，其特征在于，所述对过滤得到的输入输出请求包提取拦截信息具体包括所述过滤得到的输入输出请求包为文件访问请求包，对文件访问请求包进行解析，并将得到的下述信息作为拦截信息拦截该文件访问请求包的进程名称、被访问文件路径信息、被访问文件操作码和当前用户名；所述过滤得到的输入输出请求包为进程访问请求包，对进程访问请求包进行解析，并将得到的下述信息作为拦截信息拦截该进程访问请求包的父进程名称，进程访问请求包的进程路径，进程摘要和当前用户名。4.根据权利要求3所述的方法，其特征在于，所述安全策略包括对文件访问控制的安全策略和对进程访问控制的安全策略，所述文件访问控制的安全策略包括为文件或目录设置静态的安全级别；为客户端用户设置静态安全级别和当前安全级别，所述静态安全级别为客户端用户的当前安全级别所能达到的最大值，所述当前安全级别为客户端用户访问过的文件或目录的安全级别的最大值；为客户端用户设置至少两种角色，所述角色包括读者和作者，当客户端用户的角色为读者时，客户端用户不能对文件的内容进行改动，当客户端用户的角色为作者时，客户端用户能够对文件的内容进行改动；根据所述所设置的文件或目录的安全级别，以及客户端用户的两种安全级别和角色， 进行安全策略判断，其中，当客户端用户的静态安全级别小于所访问的文件或目录的安全级别时，客户端用户对该文件或目录不具有读权限；当客户端用户的当前安全级别小于所访问的文件或目录的安全级别，客户端用户对该文件或目录不具有写权限； 所述进程访问控制的安全策略包括为服务端代理程序设置至少两种状态，所述状态包括学习状态和不学习状态，以及设置允许列表、拒绝列表和学习列表；当服务端代理程序处于学习状态时，允许所有进程访问操作； 当服务端代理程序处于不学习状态时，判断拦截该进程访问请求包的父进程名称是否在允许列表内，若否，拒绝该进程访问操作，若是，判断进程访问操作所对应的进程摘要是否与允许的摘要列表相匹配，若相匹配，允许该进程访问操作，若不匹配，拒绝该进程访问操作。5.一种实现访问控制的装置，其特征在于，包括消息传递模块，用于在用户态的客户端代理程序和所述装置的捕获模块、拦截信息提取模块及访问控制模块之间进行信息的传递；捕获模块，用于...

【专利技术属性】
技术研发人员：戴瑞，
申请(专利权)人：苏州九州安华信息安全技术有限公司，
类型：发明
国别省市：32