买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：哈尔滨工程大学

摘要：本发明公开了一种基于路径转换的机密性冲突检测方法，本发明主要围绕“规则检测”和“机密性冲突检测”这两个特性的实现，从系统内策略信息提取与基于路径转换的机密性检测两个方面进行设计。策略信息提取主要根据SELinux中安全策略源文件对系统内相关元素的定义，对系统内的相关信息进行归纳整理，并且给出系统内各种信息元素之间的关系。基于路径的机密性检测主要通过对系统内TE规则中的type_transition规则进行检测，获取系统内不同类型的转换方法，然后结合系统内的allow等规则，根据BLP模型所提出的不上读不下写基本安全思想，确定系统内可能会破坏系统机密性的相关规则。

主权项：1.一种基于路径转换的机密性冲突检测方法，其特征在于：包括以下步骤：步骤1：系统策略信息提取；遍历系统内与定义用户、角色、类型、属性相关的规则，然后根据属性的类型将系统内的信息元素加入到与之对应的集合中；步骤2：根据步骤1，基于路径转换的机密性检测；步骤2.1：类型直接转换集合的构建集合T为系统内所有类型元素的集合，先对集合T内的元素逐一进行读取，再根据系统内的类型转换规则，获取不同类型的直接转换类型空间；检测系统内与类型t0有关的类型转换规则，根据这些规则，获得t0所能够直接转换而成的类型，构成t0的直接转换类型集合Tdt0；对类型t1、t2、......、tn进行相同操作，获得对应的直接转换类型集合Tdt1、Tdt2、......、Tdtn；这些直接转换类型集合组成了当前系统内的直接转换类型空间；步骤2.2：类型转换集合的构建用列表的形式对t0能转换的类型进行统计，先取得集合Tdt0中的第一个元素t1，置于列表的第一项，遍历系统内与t1相关的类型转换规则，根据这些规则，获得t1直接转换而成的类型，将这些类型逐一与原来列表内的元素进行对比，相同则删除，不同则将该类型加入列表的最底段；直到当前列表中没有添加进新的元素，且列表被遍历完成，该列表中所有的元素构成类型t0的类型转换集合Tat0；对直接转换类型空间Td中的所有元素进行相同的操作，获取当前系统内所有类型的类型转换空间Ta；步骤2.3：类型转换路径集合的构建先取得集合Tdt0中的第一个元素t1，置于列表的第一项，遍历类型t0的直接类型转移集合Tdt0，分别将类型t0与其直接类型转移集合Tdt0内的所有构成直接转换路径，将这些转移路径加入类型t0的访问路径集合Dtt0，然后遍历系统内与t1相关的类型转换规则，根据这些规则，获得t1直接转换而成的类型，将这些类型逐一与原来列表内的元素进行对比，相同则删除，不同则将该类型加入列表的最底段；不断循环，当列表中所有的元素都被检测一遍之后，得到类型t0的访问路径集合Dtt0；当对当前系统内类型集T中的元素遍历完成之后，得到当前系统内所有类型的访问路径空间；每条访问路径的节点都是一个类型，通过对中间节点的限制，来限制该条转换路径，进而限制主体对客体的访问方式；步骤2.4：类型访问控制空间的构建对系统内所有的allow规则与auditallow规则进行遍历后，将这些规则记载的相关客体类型、客体类别与权限加入类型t0的类型访问控制集合Mt0中，然后遍历当前系统内所有的neverallow规则与dontaudit规则，将这些规则记载的相关客体类型、客体类别与权限从类型t0的类型访问控制集合Mt0中删去，当类型t0的类型访问控制集合Tat0中所有元素都被遍历之后，即可得到确定类型t0的访问控制集合；在遍历完当前系统内的类型访问控制空间内的元素之后，得到类型的访问控制空间M；步骤2.5：机密性冲突检测先取T中的任一类型t0，构建类型t0的访问控制集合Mt0，对主客体类型之间的访问关系进行判断，为一下三种：1类型t0为可信类型，在类型t0的访问控制集合中存在某一客体类型为不可信类型，且类型t0对该客体类型的访问是写相关操作；2类型t0为不可信类型，在类型t0的访问控制集合中存在某一客体类型为可信类型，且类型t0对该客体类型的访问是读相关操作，那么就需要将允许这种访问权限的allow规则或者auditallow规则加入违规集合B内；系统内所有主客体类型之间的访问关系都不属于1和2，则当前系统中不存在机密性冲突，当前系统处于一种安全的状态。

全文数据：

权利要求：

百度查询： 哈尔滨工程大学 一种基于路径转换的机密性冲突检测方法