專利名稱:基于信息流模型的單機(jī)電子文檔保護(hù)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于信息流模型的單機(jī)電子文檔保護(hù)系統(tǒng)�����,屬于電子文檔安全領(lǐng)域���。
背景技術(shù):
信息技術(shù)的迅速發(fā)展�����,使得電子文檔得到了廣泛的應(yīng)用��,各種資料��、技術(shù)文檔等高價(jià)值的數(shù)據(jù)越來越多的以電子文檔的形式存在�����。在無紙化辦公的需求下�,各級(jí)政府���、科研機(jī)構(gòu)�、各企業(yè)部門等的大量涉密信息或敏感信息也均以電子文檔的形式存在�,在這種情況下, 電子文檔的泄漏�����、篡改���、仿冒等威脅越來越多����,使得電子文檔安全的重要性和緊迫性日益突顯出來。訪問控制主要解決信息安全系統(tǒng)的授權(quán)管理和權(quán)限使用問題��,在保證系統(tǒng)安全性與可用性方面有著不可取代的作用��。隨著安全系統(tǒng)范圍的發(fā)展變化�����,訪問控制模型與技術(shù)也發(fā)生了很大的變化����。在對(duì)電子文檔的保護(hù)方面,訪問控制的主要任務(wù)是保證包括電子文檔信息在內(nèi)的數(shù)據(jù)不被非法訪問和非法使用�����。訪問控制策略定義了在系統(tǒng)運(yùn)行期間的授權(quán)和非授權(quán)行為��,即哪些行為是允許發(fā)生的����,哪些是不允許發(fā)生的。傳統(tǒng)的訪問控制模型根據(jù)訪問控制策略的不同來進(jìn)行劃分。一般訪問控制策略有三種自主訪問控制 (Discretionary Access Control,DAC)����、強(qiáng)制訪問控制(Mandatory Access Control,MAC) 和基于角色的訪問控制(Role Based Access Control,RBAC)�����,其關(guān)系如圖1所示��。將這三種訪問控制策略應(yīng)用到電子文檔的管理中存在著安全級(jí)別較低����、缺乏靈活性和實(shí)用性����、信息流隱藏通道泄密等問題。
發(fā)明內(nèi)容
本發(fā)明的目的是為了解決將傳統(tǒng)的訪問控制策略應(yīng)用到電子文檔的保護(hù)存在安全級(jí)別較低的問題���,提供一種基于信息流模型的單機(jī)電子文檔保護(hù)系統(tǒng)����。本發(fā)明包括操作監(jiān)控模塊和信息流訪問控制模塊���,操作監(jiān)控模塊用于監(jiān)控用戶對(duì)電子文檔的操作�,并將監(jiān)控到的用戶操作發(fā)送給信息流訪問控制模塊,再根據(jù)信息流訪問控制模塊反饋的判斷結(jié)果對(duì)用戶的操作進(jìn)行控制���;信息流訪問控制模塊用于根據(jù)來自操作監(jiān)控模塊監(jiān)控到的用戶操作����,分析獲得用戶操作的主體信息���、客體信息及當(dāng)前主體的活動(dòng)信息流圖�,并依據(jù)信息流訪問控制模型以及隱藏通道檢測(cè)算法生成判斷結(jié)果�����,最后將該判斷結(jié)果發(fā)送給操作監(jiān)控模塊����;主體信息為欲對(duì)電子文檔進(jìn)行訪問的主體信息的集合,該主體為所述用戶或進(jìn)程�����;客體信息為主體欲訪問的電子文檔的集合�;當(dāng)前主體的活動(dòng)信息流圖為當(dāng)前時(shí)刻,當(dāng)前主體依據(jù)當(dāng)前主體的開啟文檔集生成的信息流圖;當(dāng)前主體的開啟文檔集為當(dāng)前時(shí)刻當(dāng)前主體打開的所有文檔���。所述信息流訪問控制模塊由主體信息���、策略實(shí)施單元、客體信息���、當(dāng)前主體的活動(dòng)信息流圖、安全策略控制決策單元����、其它主體的文檔信息流圖和當(dāng)前主體的開啟文檔集組成,策略實(shí)施單元用于接收來自操作監(jiān)控模塊監(jiān)控到的用戶操作�����,策略實(shí)施單元用于將所述判斷結(jié)果發(fā)送給操作監(jiān)控模塊���;策略實(shí)施單元用于根據(jù)主體信息�、客體信息及根據(jù)主體信息獲取的當(dāng)前主體的開啟文檔集���,生成待驗(yàn)證信息�����,并將待驗(yàn)證信息發(fā)送給安全策略控制決策單元�����,安全策略控制決策單元用于根據(jù)來自策略實(shí)施單元的待驗(yàn)證信息及其它主體的文檔信息流圖�,依據(jù)隱藏通道檢測(cè)算法,分析如果允許當(dāng)前主體依照自身權(quán)限打開所請(qǐng)求訪問電子文檔�����,是否造成該電子文檔泄露或被濫用����,以決策是否增加當(dāng)前主體的動(dòng)態(tài)約束條件,生成所述述判斷結(jié)果����,若判斷結(jié)果為安全,則允許當(dāng)前主體訪問所述電子文檔��;否則�����, 禁止當(dāng)前主體訪問所述電子文檔;其它主體的文檔信息流圖為主體信息中除當(dāng)前主體外的其它主體依據(jù)自身角色及權(quán)限所對(duì)應(yīng)的能訪問的文檔集�。本發(fā)明的優(yōu)點(diǎn)是本發(fā)明以單機(jī)環(huán)境為起點(diǎn),針對(duì)電子文檔安全�����,設(shè)計(jì)了一套完整的文檔保護(hù)系統(tǒng)�;本發(fā)明針對(duì)電子文檔安全提出了信息流訪問控制模型,能更好的對(duì)電子文檔的操作進(jìn)行訪問控制�;本發(fā)明的監(jiān)控粒度較小,監(jiān)控粒度為信息流���,信息流可能是“文件”或“文件的一部分”;本發(fā)明可對(duì)多種文件格式的信息流進(jìn)行監(jiān)控�;本發(fā)明不僅僅適用于文本文件,同時(shí)也能防止圖像��、音頻和視頻等多媒體敏感文件的泄漏�����,實(shí)用性較強(qiáng)���;本發(fā)明主要在操作系統(tǒng)內(nèi)核態(tài)和用戶態(tài)進(jìn)行文件監(jiān)控���,對(duì)用戶態(tài)的應(yīng)用程序是透明的���。本發(fā)明的安全級(jí)別較高,具有靈活性及實(shí)用性�,能夠有效的防止信息流通過隱藏通道泄密。本發(fā)明通過解析信息流對(duì)象的各個(gè)屬性�����,提取操作的主體�、客體、文檔信息流圖等����,并依據(jù)隱藏通道檢測(cè)算法判斷該操作是否會(huì)造成泄密,并根據(jù)判斷結(jié)果對(duì)用戶的操作進(jìn)行控制��。本發(fā)明的訪問控制模型不是傳統(tǒng)的三大訪問控制模型�,是基于信息流訪問控制模型實(shí)現(xiàn)的,能實(shí)現(xiàn)傳統(tǒng)的防泄密功能�����,更可以解決隱藏通道所造成的安全威脅���。本發(fā)明可以應(yīng)用于單機(jī)環(huán)境下任何形式數(shù)據(jù)的安全保護(hù)���。
圖1為現(xiàn)有三種訪問控制策略的關(guān)系圖����;圖2為本發(fā)明的流程框圖����;圖3為信息流訪問控制模塊的流程框圖;圖4為具體應(yīng)用結(jié)構(gòu)圖���。
具體實(shí)施例方式具體實(shí)施方式
一下面結(jié)合圖2和圖4說明本實(shí)施方式�����,本實(shí)施方 式包括操作監(jiān)控模塊1和信息流訪問控制模塊2,操作監(jiān)控模塊1用于監(jiān)控用戶對(duì)電子文檔的操作�����,并將監(jiān)控到的用戶操作發(fā)送給信息流訪問控制模塊2�����,再根據(jù)信息流訪問控制模塊2反饋的判斷結(jié)果對(duì)用戶的操作進(jìn)行控制;
信息流訪問控制模塊2用于根據(jù)來自操作監(jiān)控模塊1監(jiān)控到的用戶操作���,分析獲得用戶操作的主體信息2-1���、客體信息2-3及當(dāng)前主體的活動(dòng)信息流圖2-4,并依據(jù)信息流訪問控制模型以及隱藏通道檢測(cè)算法生成判斷結(jié)果�,最后將該判斷結(jié)果發(fā)送給操作監(jiān)控模塊1;主體信 息2-1為欲對(duì)電子文檔進(jìn)行訪問的主體信息的集合,該主體為所述用戶或進(jìn)程���;客體信息2-3為主體欲訪問的電子文檔的集合���;當(dāng)前主體的活動(dòng)信息流圖2-4為當(dāng)前時(shí)刻,當(dāng)前主體依據(jù)當(dāng)前主體的開啟文檔集 2-7生成的信息流圖����;當(dāng)前主體的開啟文檔集2-7為當(dāng)前時(shí)刻當(dāng)前主體打開的所有文檔?��?腕w為主體行為的承擔(dān)者��,在本實(shí)施方式中專指文檔����。本實(shí)施方式從功能來看,主要包含監(jiān)視和控制兩部分��。其目的在于防止包含敏感信息的電子文檔被非法訪問和篡改從而造成敏感信息的泄密����,用于當(dāng)用戶訪問敏感數(shù)據(jù)時(shí),該系統(tǒng)對(duì)用戶的操作進(jìn)行監(jiān)控��,并通過對(duì)信息流的分析判斷用戶是否可以執(zhí)行該操作����。 本實(shí)施方式的系統(tǒng)組成如圖4所示本實(shí)施方式相應(yīng)的軟件安裝在受保護(hù)的計(jì)算機(jī)中,用戶在受保護(hù)的計(jì)算機(jī)中訪問敏感信息����,因此本實(shí)施方式假定的前提是受保護(hù)的計(jì)算機(jī)是可以信任的,用戶是不可信任的����。在受保護(hù)的計(jì)算機(jī)內(nèi)部,本實(shí)施方式的功能分別執(zhí)行在用戶態(tài)和內(nèi)核態(tài)����,相互配合并完成不同的功能�。文件操作監(jiān)控采用內(nèi)核態(tài)文件過濾驅(qū)動(dòng)�����,內(nèi)核態(tài)文件過濾驅(qū)動(dòng)用于不改變底層設(shè)備驅(qū)動(dòng)或者用戶程序而增加I/O設(shè)備的新功能���,允許不需要重寫底層驅(qū)動(dòng)代碼而改變這個(gè)已存在I/O設(shè)備驅(qū)動(dòng)的特性,可以達(dá)到對(duì)指定文件��、文件夾或者整個(gè)邏輯盤進(jìn)行保護(hù)�����,攔截所有用戶對(duì)它的讀寫請(qǐng)求���。操作監(jiān)控模塊1能夠攔截并解析來自用戶的操作請(qǐng)求-IRP (IRP為I/O Request Package的縮寫���,即I/O請(qǐng)求包,IRP是I/O管理器在內(nèi)核態(tài)操作的對(duì)象)���,并將攔截到的信息流發(fā)送給信息流訪問控制模塊2���。
具體實(shí)施方式
二 下面結(jié)合圖3說明本實(shí)施方式,本實(shí)施方式為對(duì)實(shí)施方式一的進(jìn)一步說明,所述信息流訪問控制模塊2由主體信息2-1��、策略實(shí)施單元2-2��、客體信息2-3����、 當(dāng)前主體的活動(dòng)信息流圖2-4、安全策略控制決策單元2-5����、其它主體的文檔信息流圖2-6 和當(dāng)前主體的開啟文檔集2-7組成,策略實(shí)施單元2-2用于接收來自操作監(jiān)控模塊1監(jiān)控到的用戶操作����,策略實(shí)施單元2-2用于將所述判斷結(jié)果發(fā)送給操作監(jiān)控模塊1 ;策略實(shí)施單元2-2用于根據(jù)主體信息2-1�����、客體信息2-3及根據(jù)主體信息2_1獲取的當(dāng)前主體的開啟文檔集2-7��,生成待驗(yàn)證信息����,并將待驗(yàn)證信息發(fā)送給安全策略控制決策單元2-5,安全策略控制決策單元2-5用于根據(jù)來自策略實(shí)施單元2-2的待驗(yàn)證信息及其它主體的文檔信息流圖2-6,依據(jù)隱藏通道檢測(cè)算法��,分析如果允許當(dāng)前主體依照自身權(quán)限打開所請(qǐng)求訪問電子文檔���,是否造成該電子文檔泄露或被濫用,以決策是否增加當(dāng)前主體的動(dòng)態(tài)約束條件���,生成所述述判斷結(jié)果�����,若判斷結(jié)果為安全���,則允許當(dāng)前主體訪問所述電子文檔;否則��,禁止當(dāng)前主體訪問所述電子文檔���;
其它主體的文檔信息流圖2-6為主體信息2-1中除當(dāng)前主體外的其它主體依據(jù)自身角色及權(quán)限所對(duì)應(yīng)的能訪問的文檔集��。本實(shí)施主要以本發(fā)明提出的信息流訪問控制模型和隱藏通道算法為基礎(chǔ)���。可實(shí)現(xiàn)以信息流為粒度的訪問控制。
具體實(shí)施方式
三本實(shí)施方式為對(duì)實(shí)施方式二的進(jìn)一步說明�����,所述信息流訪問控制模型為
定義一定義變量DIF = (S���,D����,A�,SC, C,一)�,其中S表示主體信息2-1,設(shè)定s為單個(gè)主體信息���,其中s e S ����;D為客體信息2-3��,設(shè)定d為單個(gè)電子文檔��,d e D ����;A為用戶對(duì)電子文檔的操作集合�����,A = {r,w, a, e}��,其中r為讀操作��,w為寫操作��, a為追加操作�����,e為編輯操作���;SC為有限集合�����,為所有電子文檔的安全類別����,SC= {公開,秘密�,機(jī)密,絕密}��;C為有限集合���,是一種約束集合�,是施加在電子文檔操作上的限制�����,分為靜態(tài)約束和動(dòng)態(tài)約束���;—為二元關(guān)系��,表示兩個(gè)電子文檔之間的信息流動(dòng)關(guān)系���;定義二 對(duì)于有限集合SC,若屯一Clj成立���,當(dāng)且僅當(dāng)SC (Cli) ^ SC (dj)成立�����,式中 Cli為D中第i個(gè)電子文檔����,dj為D中第j個(gè)電子文檔,i和j均為電子文檔的序列號(hào)��;定義三對(duì)于客體信息D����,對(duì)于VO2 e/)��,若(s,屯����,r) Λ (s, d2, w) ASC(Cl1)彡SC(d2)滿足��,則有信息流Cl1^d2成立��,Cl1SD中第1個(gè)電子文檔���,(12為0中第2個(gè)電子文檔��;定義四同一時(shí)刻主體打開的所有文檔定義為開啟文檔集OD ���;定義五根據(jù)待驗(yàn)證信息���,根據(jù)上下文環(huán)境,生成的對(duì)電子文檔的靜態(tài)或動(dòng)態(tài)約束條件�,所生的策略定義為語境策略;定義六文檔信息流圖2-6為G= (V, E)����,為有限有向圖,V(G)是一個(gè)非空有限集合�,表示主體依據(jù)自身權(quán)限所能訪問的文檔集,八E(G)是V(G) XV(G)的一個(gè)子集��,表示文檔間的信息流一��,如果Cl1 e V(G)�,d2 e V(G),并且信息流(I1 — d2存在�,則有〈d” d2> e E(G);定義七定義某一主體在當(dāng)前時(shí)刻����,依據(jù)自身的開啟文檔集OD生成的信息流圖為活動(dòng)信息流圖。本實(shí)施方式中約束集合C的靜態(tài)約束是指依據(jù)已知的威脅��,在一定時(shí)間內(nèi)保持不變的約束。動(dòng)態(tài)約束是指依據(jù)系統(tǒng)環(huán)境的變化��,動(dòng)態(tài)強(qiáng)制性的約束�,以保證電子文檔的安全。例如���,使某電子文檔僅能在工作時(shí)間訪問�����,其他時(shí)間禁止訪問�;在特殊條件得到滿足的情況下���,禁止對(duì)電子文檔編輯操作等約束。所述二元關(guān)系一��,具體含義為����,如果Cli — (1」,則表明信息流可以從Cli流向…���。在所述定義二中���,信息流只能從低級(jí)向高級(jí)或同級(jí)之間流動(dòng)�,即只可上寫操作����,而不能向下寫。在定義三中�����,如果某主體s能夠訪問電子文檔Cl1和d2���,并且s擁有文檔d2的寫操作權(quán)限���,則有信息流Cl1 — d2成立。定義五中定義的語境策略(Contextual Policy)����,由于對(duì)同一文檔資源可能存在多種策略,如何選用策略將根據(jù)當(dāng)時(shí)的上下文環(huán)境(Context)���,包括OD和工作時(shí)間等��,生成對(duì)應(yīng)的靜態(tài)或動(dòng)態(tài)約束條件�,將這種對(duì)應(yīng)用戶請(qǐng)求,所生成的策略稱為語境策略�����。定義六中�,對(duì)于任意主體信息Sj e S而言,依據(jù)該主體的角色和讀寫文檔權(quán)限���,均有一個(gè)對(duì)應(yīng)的文檔集A存在����,并有可能涉及多個(gè)安全級(jí)別文檔���。由定義六可知�����,A對(duì)應(yīng)的文檔信息流圖將一定存在并唯一,它與主體是一一對(duì)應(yīng)的����。定義七中,主體s的活動(dòng)信息流圖AG(S),是依據(jù)當(dāng)前時(shí)刻所打開的文檔集OD 對(duì)應(yīng)生成的��,生成算法就是信息流圖生成算法�,只是用開啟文檔集OD替代全體文檔集 D,其它不變�。它顯然是該用 戶對(duì)應(yīng)信息流圖G(S)的一個(gè)子圖,有⑷)⑷)�����, E(AG(s))^E(G(s))��。定義六中文檔信息流圖2-6的生成算法當(dāng)前主體的信息流圖生成算法如下輸入所有文檔集合D����,文檔安全類別集合SC如密級(jí)輸出主體s所對(duì)應(yīng)的文檔信息流圖G(S) = (V, E)START1) V = 0 .E = 0 .2) FOR 所有文檔 d e D2. l)tag(d) = false ;// 標(biāo)記初始化2. 2)如果(s���,d�,讀)THENV = VU 6ek2qrk8dy8f���;2. 3)如果(s�����,d����,寫)THEN tag(d) = true ;3) FOR 所有節(jié)點(diǎn) V1 e V3. 1) FOR 所有節(jié)點(diǎn) V2 e V3. 1. 1)如果 tag (V1)并且 SC(V2) ( SC(V1)THEN E = EU {<v2, Vl>}�;3. 1. 2)如果 tag (V2)并且 SC(V1) ( SC(V2)THEN E = EU Kv1, v2>};END定義七中活動(dòng)信息流圖的維護(hù)算法打升文檔時(shí)輸入原活動(dòng)信息流圖AG(S) = (V, E)�,此時(shí)打開的文檔d輸出新活動(dòng)信息流圖AG(S) = (V, E)START1) tag(d) = false ;// 標(biāo)記初始化2)如果(s���,d�,讀)THENV = VU 6ek2qrk8dy8f�����;3)如果(s����,d,寫)THEN tag(d) = true �;4) FOR 所有節(jié)點(diǎn) V1 e V4. 1) FOR 所有節(jié)點(diǎn) V2 e V4. 1. 1)如果 tag (V1)并且 SC(V2) ( SC(V1)THEN E = EU {<v2, Vl>};4. 1. 2)如果 tag (V2)并且 SC(V1) ( SC(V2)THEN E = EU Kv1, v2>}���;END關(guān)閉文檔時(shí)輸入原活動(dòng)信息流圖AG(S) = (V, E),此時(shí)關(guān)閉的文檔d
輸出新活動(dòng)信息流圖AG(S) = (V, E)STARTDv1 = d2) FOR 所有節(jié)點(diǎn) V2 e V, V2 ^ d2. 1)如果 <v2, Vl> e E THEN E = E-{<v2, Vl>};2. 2)如果 <v1 v2> e E THEN E = E-Kv1, v2>}���;3)V = V-6ek2qrk8dy8f���;END具體實(shí)施方式
四本實(shí)施方式為對(duì)實(shí)施方式三的進(jìn)一步說明,所述隱藏通道檢測(cè)算法為依據(jù)當(dāng)前主體的開啟文檔集2-7及當(dāng)前主體的活動(dòng)信息流圖2-4����,對(duì)所有主體所對(duì)應(yīng)的活動(dòng)信息流圖進(jìn)行遍歷,判斷是否存在連通點(diǎn)及連通路徑���,如果存在�,遍歷終止�,并對(duì)該連通點(diǎn)所連通的電子文檔進(jìn)行強(qiáng)制性約束,禁止寫操作�����,此時(shí)判斷結(jié)果為不安全��;否貝U�����,判斷結(jié)果為安全。隱藏通道是指多個(gè)主體通過中間文檔進(jìn)行泄密�,例如文檔Dl、D2����、D12均為機(jī)密文檔,主體SA和主體SB分別對(duì)文檔Dl和D2擁有讀寫權(quán)限����,同時(shí)主體SA對(duì)D12擁有讀權(quán)限,主體SB對(duì)D12擁有寫權(quán)限��。SA和SB通過相互配合���,完成SA獲取D2的內(nèi)容���,簡(jiǎn)要的操作流程如下l)SBaD2;2)58將02內(nèi)容寫入012;3似讀012;4仏八將012寫入01。沒有違反上寫規(guī)則���,SA卻獲取了沒有讀取權(quán)限的D2文檔��。由上面可知����,隱藏通道是根據(jù)活動(dòng)信息流圖中的連通節(jié)點(diǎn)來完成的,在下面的隱藏通道檢測(cè)算法中將會(huì)對(duì)這些連通節(jié)點(diǎn)進(jìn)行臨時(shí)處理���,在語境策略中對(duì)動(dòng)態(tài)約束條件進(jìn)行相應(yīng)的修改來阻止泄密發(fā)生。本實(shí)施方式的原理為臨時(shí)加入dx節(jié)點(diǎn)后判斷AG(S)中任意d與s外的其它主體信息流圖的連通性���。輸入當(dāng)前主體的活動(dòng)信息流圖AG(S)�,主體集S的各信息流圖G��,新打開文檔dx�����,文檔安全類別集合SC���,開啟文檔集OD (s)的約束條件�����,輸出新的開啟文檔集OD(S)的動(dòng)態(tài)約束條件��,START1) FOR 所有 s e S11)如果 dx e V(G(s)) THEN1. 2. 1)遍歷有向圖AG(s)和G(s)中各節(jié)點(diǎn)1. 2. 1. 1)如果 <d���。�,dx> e E(AG(s))�,其中 d。e V(AG(s))并且<dx��,d, e E(G(s))���,其中 Cl1 e V(G(s))并且SC (d0)彡 SC (Cl1) THEN1.2.11.1)臨時(shí)禁止(s�����,dx�,w)即寫權(quán)限�����,在關(guān)閉后恢復(fù)相關(guān)權(quán)限���;
1. 2. 11. 2)跳出for循環(huán)���,遍歷終止;END具體實(shí)施方式
五下面結(jié)合圖2進(jìn)行說明���,本實(shí)施方式為對(duì)實(shí)施方式一���、二���、三或四的進(jìn)一步說明,它還包括自我免疫模塊3��,自我免疫模塊3用于在整個(gè)系統(tǒng)運(yùn)行期間����,針對(duì)Windows操作系統(tǒng)平臺(tái)電子文檔安全應(yīng)用程序所面臨的各種威脅���,對(duì)該應(yīng)用程序自身進(jìn)行保護(hù)��。
具體實(shí)施方式
六本實(shí)施方式為對(duì)實(shí)施方式五的進(jìn)一步說明�����,對(duì)所述應(yīng)用程序自身進(jìn)行的保護(hù)有保護(hù)所述應(yīng)用程序不被非授權(quán)方式終止����;保護(hù)所述應(yīng)用程序使用的文件在磁盤上存儲(chǔ)時(shí)不被非授權(quán)方式修改���;保護(hù)所述應(yīng)用程序使用的文件作為模塊被加載到內(nèi)存中后不被惡意修改����;保護(hù)所述應(yīng)用程序使用修改操作系統(tǒng)配置實(shí)現(xiàn)自身的加載,該配置不被非授權(quán)修改�;針對(duì)新發(fā)現(xiàn)的二進(jìn)制攻擊模塊,能夠進(jìn)行免疫��。應(yīng)用程序不被非授權(quán)方式終止包括合法用戶有意或無意通過操作結(jié)束進(jìn)程����、合法用戶或非法用戶通過編寫簡(jiǎn)單代碼結(jié)束進(jìn)程。應(yīng)用程序使用的文件在磁盤上存儲(chǔ)時(shí)不被非授權(quán)方式修改包括應(yīng)用程序使用的二進(jìn)制文件�����,配置文件等不被用戶惡意修改��。應(yīng)用程序使用的文件作為模塊被加載到內(nèi)存中后不被惡意修改包括應(yīng)用程序依賴的二進(jìn)制模塊�����,如各種DLL等不被惡意代碼注入后實(shí)施各種Hook���。應(yīng)用程序使用修改操作系統(tǒng)配置實(shí)現(xiàn)自身的加載�,該配置不被非授權(quán)修改由于應(yīng)用程序的啟動(dòng)由操作系統(tǒng)根據(jù)相關(guān)配置完成,對(duì)此配置的非授權(quán)修改將可能導(dǎo)致應(yīng)用程序無法隨操作系統(tǒng)啟動(dòng)加載運(yùn)行���,致使文檔保護(hù)無效���,必須予以控制。針對(duì)新發(fā)現(xiàn)的二進(jìn)制攻擊模塊����,能夠進(jìn)行免疫類似于各種殺毒軟件工作方式,能夠與新發(fā)現(xiàn)的針對(duì)本電子文檔保護(hù)應(yīng)用程序進(jìn)行攻擊的程序進(jìn)行對(duì)抗�����。
具體實(shí)施方式
七本實(shí)施方式為對(duì)實(shí)施方式六的進(jìn)一步說明���,所述自我免疫模塊 3對(duì)所述應(yīng)用程序自身進(jìn)行保護(hù)基于SSDT HOOK技術(shù)實(shí)現(xiàn),通過加入黑白名單模塊方式�����,動(dòng)態(tài)的進(jìn)行免疫�����。本實(shí)施方式的執(zhí)行,并不影響用戶的正常操作���。本實(shí)施方 式所采用的SSDT HOOK 驅(qū)動(dòng)無縫嵌入操作系統(tǒng)內(nèi)核�,對(duì)惡意操作進(jìn)行有效的攔截�����,安全性高����。本實(shí)施方式中自我免疫模塊3對(duì)Windows操作系統(tǒng)平臺(tái)電子文檔安全應(yīng)用程序進(jìn)行實(shí)時(shí)監(jiān)控,攔截系統(tǒng)和用戶對(duì)所要保護(hù)的應(yīng)用程序的操作���,通過查找黑白名單���,來決定是否放行。
權(quán)利要求
1.一種基于信息流模型的單機(jī)電子文檔保護(hù)系統(tǒng)�,其特征在于它包括操作監(jiān)控模塊 (1)和信息流訪問控制模塊(2),操作監(jiān)控模塊(1)用于監(jiān)控用戶對(duì)電子文檔的操作��,并將監(jiān)控到的用戶操作發(fā)送給信息流訪問控制模塊(2)�����,再根據(jù)信息流訪問控制模塊(2)反饋的判斷結(jié)果對(duì)用戶的操作進(jìn)行控制;信息流訪問控制模塊(2)用于根據(jù)來自操作監(jiān)控模塊(1)監(jiān)控到的用戶操作�,分析獲得用戶操作的主體信息(2-1)、客體信息(2-3)及當(dāng)前主體的活動(dòng)信息流圖(2-4)����,并依據(jù)信息流訪問控制模型以及隱藏通道檢測(cè)算法生成判斷結(jié)果,最后將該判斷結(jié)果發(fā)送給操作監(jiān)控模塊⑴����;主體信息(2-1)為欲對(duì)電子文檔進(jìn)行訪問的主體信息的集合,該主體為所述用戶或進(jìn)程��;客體信息(2-3)為主體欲訪問的電子文檔的集合��;當(dāng)前主體的活動(dòng)信息流圖(2-4)為當(dāng)前時(shí)刻�,當(dāng)前主體依據(jù)當(dāng)前主體的開啟文檔集 (2-7)生成的信息流圖;當(dāng)前主體的開啟文檔集(2-7)為當(dāng)前時(shí)刻當(dāng)前主體打開的所有文檔��。
2.根據(jù)權(quán)利要求1所述的基于信息流模型的單機(jī)電子文檔保護(hù)系統(tǒng)�,其特征在于所述信息流訪問控制模塊(2)由主體信息(2-1)���、策略實(shí)施單元(2-2)���、客體信息(2-3)、當(dāng)前主體的活動(dòng)信息流圖(2-4)、安全策略控制決策單元(2-5)��、其它主體的文檔信息流圖 (2-6)和當(dāng)前主體的開啟文檔集(2-7)組成�����,策略實(shí)施單元(2-2)用于接收來自操作監(jiān)控模塊(1)監(jiān)控到的用戶操作�,策略實(shí)施單元(2-2)用于將所述判斷結(jié)果發(fā)送給操作監(jiān)控模塊(1);策略實(shí)施單元(2-2)用于根據(jù)主體信息(2-1)�����、客體信息(2-3)及根據(jù)主體信息(2-1) 獲取的當(dāng)前主體的開啟文檔集(2-7)�,生成待驗(yàn)證信息,并將待驗(yàn)證信息發(fā)送給安全策略控制決策單元(2-5)�,安全策略控制決策單元(2-5)用于根據(jù)來自策略實(shí)施單元(2-2)的待驗(yàn)證信息及其它主體的文檔信息流圖(2-6),依據(jù)隱藏通道檢測(cè)算法���,分析如果允許當(dāng)前主體依照自身權(quán)限打開所請(qǐng)求訪問電子文檔���,是否造成該電子文檔泄露或被濫用,以決策是否增加當(dāng)前主體的動(dòng)態(tài)約束條件�,生成所述述判斷結(jié)果,若判斷結(jié)果為安全����,則允許當(dāng)前主體訪問所述電子文檔�;否則����,禁止當(dāng)前主體訪問所述電子文檔;其它主體的文檔信息流圖(2-6)為主體信息(2-1)中除當(dāng)前主體外的其它主體依據(jù)自身角色及權(quán)限所對(duì)應(yīng)的能訪問的文檔集�。
3.根據(jù)權(quán)利要求2所述的基于信息流模型的單機(jī)電子文檔保護(hù)系統(tǒng),其特征在于所述信息流訪問控制模型為定義一定義變量 DIF = (S�����,D���,A��,SC, C���,一),其中S表示主體信息(2-1)��,設(shè)定s為單個(gè)主體信息�����,其中s e S �;D為客體信息(2-3),設(shè)定d為單個(gè)電子文檔��,d e D ��;A為用戶對(duì)電子文檔的操作集合���,A = {r���,w, a, e},其中r為讀操作�����,w為寫操作���,a為追加操作���,e為編輯操作;SC為有限集合��,為所有電子文檔的安全類別��,SC= {公開,秘密����,機(jī)密,絕密}�����;C為有限集合�����,是一種約束集合����,是施加在電子文檔操作上的限制,分為靜態(tài)約束和動(dòng)態(tài)約束��;—為二元關(guān)系���,表示兩個(gè)電子文檔之間的信息流動(dòng)關(guān)系�;定義二 對(duì)于有 限集合SC��,S Cli — dj成立�����,當(dāng)且僅當(dāng)SC(Cli) ( SC(Clj)成立�����,式中Cli為 D中第i個(gè)電子文檔��,dj為D中第j個(gè)電子文檔��,i和j均為電子文檔的序列號(hào)�����;定義三對(duì)于客體信息D��,對(duì)于V02eZ)�����,若(s, d^r) Λ (s,d2,w) ASC(Cl1)彡 SC(d2) 滿足����,則有信息流Cl1 — d2成立,Cl1為D中第1個(gè)電子文檔��,d2為D中第2個(gè)電子文檔; 定義四同一時(shí)刻主體打開的所有文檔定義為開啟文檔集OD ���; 定義五根據(jù)待驗(yàn)證信息����,根據(jù)上下文環(huán)境����,生成的對(duì)電子文檔的靜態(tài)或動(dòng)態(tài)約束條件,所生的策略定義為語境策略��;定義六文檔信息流圖(2-6)為G= (V�,E),為有限有向圖���,V(G)是一個(gè)非空有限集合���,表示主體依據(jù)自身權(quán)限所能訪問的文檔集少(G)^) ;E(G)是V(G) XV(G)的一個(gè)子集,表示文檔間的信息流一�����,如果Cl1 e V(G),d2 e V(G)���,并且信息流(I1 — d2存在���,則有〈d” d2> e E(G)�����;定義七定義某一主體在當(dāng)前時(shí)刻�,依據(jù)自身的開啟文檔集OD生成的信息流圖為活動(dòng)信息流圖。
4.根據(jù)權(quán)利要求3所述的基于信息流模型的單機(jī)電子文檔保護(hù)系統(tǒng)����,其特征在于所述隱藏通道檢測(cè)算法為依據(jù)當(dāng)前主體的開啟文檔集(2-7)及當(dāng)前主體的活動(dòng)信息流圖(2-4),對(duì)所有主體所對(duì)應(yīng)的活動(dòng)信息流圖進(jìn)行遍歷���,判斷是否存在連通點(diǎn)及連通路徑�,如果存在���,遍歷終止�����,并對(duì)該連通點(diǎn)所連通的電子文檔進(jìn)行強(qiáng)制性約束���,禁止寫操作��,此時(shí)判斷結(jié)果為不安全��;否貝U�,判斷結(jié)果為安全�����。
5.根據(jù)權(quán)利要求1�����、2�����、3或4所述的基于信息流模型的單機(jī)電子文檔保護(hù)系統(tǒng)�����,其特征在于它還包括自我免疫模塊(3)��,自我免疫模塊(3)用于在整個(gè)系統(tǒng)運(yùn)行期間,針對(duì)Windows操作系統(tǒng)平臺(tái)電子文檔安全應(yīng)用程序所面臨的各種威脅����,對(duì)該應(yīng)用程序自身進(jìn)行保護(hù)。
6.根據(jù)權(quán)利要求5所述的基于信息流模型的單機(jī)電子文檔保護(hù)系統(tǒng)���,其特征在于對(duì)所述應(yīng)用程序自身進(jìn)行的保護(hù)有保護(hù)所述應(yīng)用程序不被非授權(quán)方式終止����;保護(hù)所述應(yīng)用程序使用的文件在磁盤上存儲(chǔ)時(shí)不被非授權(quán)方式修改�����; 保護(hù)所述應(yīng)用程序使用的文件作為模塊被加載到內(nèi)存中后不被惡意修改�����; 保護(hù)所述應(yīng)用程序使用修改操作系統(tǒng)配置實(shí)現(xiàn)自身的加載��,該配置不被非授權(quán)修改��; 針對(duì)新發(fā)現(xiàn)的二進(jìn)制攻擊模塊��,能夠進(jìn)行免疫����。
7.根據(jù)權(quán)利要求6所述的基于信息流模型的單機(jī)電子文檔保護(hù)系統(tǒng),其特征在于 所述自我免疫模塊(3)對(duì)所述應(yīng)用程序自身進(jìn)行保護(hù)基于SSDT HOOK技術(shù)實(shí)現(xiàn)����,通過加入黑白名單模塊方式,動(dòng)態(tài)的進(jìn)行免疫����。
全文摘要
基于信息流模型的單機(jī)電子文檔保護(hù)系統(tǒng),屬于電子文檔安全領(lǐng)域�。它解決了將傳統(tǒng)的訪問控制策略應(yīng)用到電子文檔的保護(hù)存在安全級(jí)別較低的問題。它包括操作監(jiān)控模塊和信息流訪問控制模塊��,操作監(jiān)控模塊用于監(jiān)控用戶對(duì)電子文檔的操作���,并將監(jiān)控到的用戶操作發(fā)送給信息流訪問控制模塊�,再根據(jù)信息流訪問控制模塊反饋的判斷結(jié)果對(duì)用戶的操作進(jìn)行控制����;信息流訪問控制模塊用于根據(jù)來自操作監(jiān)控模塊監(jiān)控到的用戶操作,分析獲得用戶操作的主體信息�、客體信息及當(dāng)前主體的活動(dòng)信息流圖,并依據(jù)信息流訪問控制模型以及隱藏通道檢測(cè)算法生成判斷結(jié)果�,最后將該判斷結(jié)果發(fā)送給操作監(jiān)控模塊�����。本發(fā)明適用于對(duì)電子文檔提供安全保護(hù)����。
文檔編號(hào)H04L29/06GK102185836SQ20111009496
公開日2011年9月14日 申請(qǐng)日期2011年4月15日 優(yōu)先權(quán)日2011年4月15日
發(fā)明者李瓊, 牛夏牧, 王莘, 石振鋒, 韓琦 申請(qǐng)人:哈爾濱工業(yè)大學(xué)