SELinux策略的編譯方法及系統(tǒng)的制作方法
【專利摘要】本申請公開了一種SELinux策略的編譯方法及系統(tǒng),涉及移動安全操作系統(tǒng)技術(shù)。該方法包括:讀取SELinux策略文件,根據(jù)預(yù)設(shè)的解析策略解析所述SELinux策略文件,獲得主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù);將所述主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù)導(dǎo)入一策略存儲系統(tǒng)中;調(diào)用SELinux策略的編譯工具,將從所述策略存儲系統(tǒng)中提取的數(shù)據(jù)編譯成SELinux策略二進(jìn)制包。該方法通過解析SELinux策略文件并保存,可以極大地提高SELinux策略的編譯速度。
【專利說明】
SEL i nux策略的編譯方法及系統(tǒng)
技術(shù)領(lǐng)域
[〇〇〇1]本發(fā)明涉及移動安全操作系統(tǒng)技術(shù)領(lǐng)域,具體而言,涉及一種SELinux策略的編譯方法及系統(tǒng)?!颈尘凹夹g(shù)】
[0002]雖然Linux比起Windows來說,它的可靠性和穩(wěn)定性要好得多,但是它也和其它的 UNIX—樣,有以下這些不足之處:存在特權(quán)用戶root,任何人只要得到root的權(quán)限,對于整個系統(tǒng)都可以為所欲為;對于文件的訪問權(quán)的劃分不夠細(xì),在Linux系統(tǒng)里,對于文件的操作,只有“所有者”,“所有組”,“其他”這3類的劃分。對于以上這些的不足,防火墻,入侵檢測系統(tǒng)都是無能為力的。在這種背景下,對于訪問權(quán)限大幅度強(qiáng)化的SELinux來說,它的優(yōu)點(diǎn)是顯著的。
[0003]SELinux(Security-Enhanced Linux),它是NSA(The Nat1nal Security Agency,美國國家安全局)和SCC(Secure Computing Corporat1n)開發(fā)的Linux的一個擴(kuò)張MAC(Mandatory Access Control,強(qiáng)制訪問控制)安全模塊,是對于強(qiáng)制訪問控制的實現(xiàn)。在這種訪問控制體系的限制下,進(jìn)程只能訪問那些在他的任務(wù)中所需要文件。SELinux 在類型強(qiáng)制服務(wù)器中合并了多級安全性或一種可選的多類策略,并采用了基于角色的訪問控制概念。
[0004]當(dāng)移動設(shè)備加載SELinux后,移動操作系統(tǒng)的安全等級將極大的提高。SELinux策略是移動系統(tǒng)SELinux強(qiáng)制訪問控制的重要組成部分。SELinux策略包含了系統(tǒng)中所有需要配置的應(yīng)用和服務(wù)訪問的訪問控制語句,并需要把所有的訪問控制語句編譯成系統(tǒng)內(nèi)核能夠識別的策略二進(jìn)制包。
[0005]SELinux策略大部分都是一套聲明和規(guī)則一起定義的類型強(qiáng)制(TE: Type Enforcement)策略,一個定義良好、嚴(yán)格的TE策略包括的TE規(guī)則數(shù)量巨大,因為它們表達(dá)了所有由內(nèi)核暴露出的允許對資源的訪問權(quán),這就意味著每個進(jìn)程對每個資源的訪問嘗試都必須至少要有一條允許的TE訪問規(guī)則。
[0006]由于現(xiàn)有的編譯方法需要每次編譯時將所有的SELinux策略文件一一解析對應(yīng)的關(guān)系,而系統(tǒng)中SELinux策略文件對應(yīng)的策略大概包含有幾萬條策略,這將是一個很復(fù)雜和耗時間的工作。
[0007]因此,需要一種新的SELinux策略的編譯方法及系統(tǒng)。
[0008]在所述【背景技術(shù)】部分公開的上述信息僅用于加強(qiáng)對本公開的背景的理解,因此它可以包括不構(gòu)成對本領(lǐng)域普通技術(shù)人員已知的現(xiàn)有技術(shù)的信息。
【發(fā)明內(nèi)容】
[0009]本發(fā)明提供一種SELinux策略的編譯方法及系統(tǒng),能夠提高SELinux策略二進(jìn)制包的編譯效率。
[0010]本發(fā)明的其他特性和優(yōu)點(diǎn)將通過下面的詳細(xì)描述變得顯然,或部分地通過本發(fā)明的實踐而習(xí)得。[0〇11]根據(jù)本發(fā)明的一方面,提供了一種SELinux策略的編譯方法,包括:讀取SELinux策略文件,根據(jù)預(yù)設(shè)的解析策略解析所述SELinux策略文件,獲得主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù);將所述主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù)導(dǎo)入一策略存儲系統(tǒng)中;調(diào)用SELinux策略的編譯工具,將從所述策略存儲系統(tǒng)中提取的數(shù)據(jù)編譯成SELinux策略二進(jìn)制包。[〇〇12]根據(jù)本發(fā)明的一實施方式,其中所述預(yù)設(shè)的解析策略為根據(jù)SELinux語法包含的用戶、規(guī)則、類型及各自包含的子類型自動解析所述SELinux策略文件的策略語句中的字段。[0〇13]根據(jù)本發(fā)明的一實施方式,其中所述SELinux策略文件包括基礎(chǔ)策略文件和應(yīng)用策略文件。
[0014]根據(jù)本發(fā)明的一實施方式,其中所述策略存儲系統(tǒng)為預(yù)先創(chuàng)建的一關(guān)系型數(shù)據(jù)庫、xml文件或文本文件。
[0015]根據(jù)本發(fā)明的一實施方式,其中所述調(diào)用SELinux策略的編譯工具,將從所述策略存儲系統(tǒng)中提取的數(shù)據(jù)編譯成SELinux策略二進(jìn)制包包括:更改所述編譯工具的編譯來源為所述策略存儲系統(tǒng);以及提取所述策略存儲系統(tǒng)中存儲的數(shù)據(jù),并將所述數(shù)據(jù)編譯成 SELinux策略二進(jìn)制包;其中所述SELinux策略二進(jìn)制包包括分別與所述基礎(chǔ)策略文件和應(yīng)用策略文件對應(yīng)的基礎(chǔ)策略包和應(yīng)用策略包。[〇〇16]根據(jù)本發(fā)明的一實施方式,還包括:檢測所述SELinux策略文件是否發(fā)生變更;當(dāng)所述SELinux策略文件發(fā)生變更時,解析出該變更的SELinux策略文件中的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù);在所述策略存儲系統(tǒng)中更新相應(yīng)的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù);調(diào)用所述編譯工具,將所述策略存儲系統(tǒng)中該更新的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù)編譯成變更后的SELinux策略二進(jìn)制包。[〇〇17]根據(jù)本發(fā)明的另一方面,提供了一種SELinux策略的編譯方法,包括:在一策略存儲系統(tǒng)中按照預(yù)設(shè)規(guī)則配置所述SELinux策略;調(diào)用SELinux策略的編譯工具,將從所述策略存儲系統(tǒng)中提取的數(shù)據(jù)編譯成SELinux策略二進(jìn)制包。[〇〇18]根據(jù)本發(fā)明的再一方面,提供了一種SELinux策略的編譯系統(tǒng),包括:解析模塊,其用于讀取SELinux策略文件,根據(jù)預(yù)設(shè)的解析策略解析所述SELinux策略文件,獲得主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù);策略存儲系統(tǒng),其用于存儲所述主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù);SELinux策略的編譯模塊,其用于將從所述策略存儲系統(tǒng)中提取的數(shù)據(jù)編譯成SELinux策略二進(jìn)制包。[〇〇19]根據(jù)本發(fā)明的一實施方式,其中所述策略存儲系統(tǒng)為預(yù)先創(chuàng)建的一關(guān)系型數(shù)據(jù)庫、xml文件或文本文件。
[0020]根據(jù)本發(fā)明的一實施方式,還包括:檢測模塊,其用于檢測所述SELinux策略文件是否發(fā)生變更;其中,當(dāng)所述SELinux策略文件發(fā)生變更時,調(diào)用所述解析模塊解析出該變更的SELinux策略文件中的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù),并在所述策略存儲系統(tǒng)中更新相應(yīng)的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù),調(diào)用所述編譯工具,將所述策略存儲系統(tǒng)中該更新的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù)編譯成變更后的 SELinux策略二進(jìn)制包。
[0021]根據(jù)本發(fā)明的SELinux策略的編譯方法及系統(tǒng),通過編寫自動化解析工具將 SELinux策略文件預(yù)先解析并存儲,之后再將存儲的數(shù)據(jù)編譯為SELinux策略二進(jìn)制包,這樣可以通過一次創(chuàng)建策略存儲系統(tǒng)達(dá)到反復(fù)使用的效果,極大地提高了 SELinux策略的編譯速度和效率。
[0022]另外,根據(jù)本發(fā)明的SELinux策略的編譯方法及系統(tǒng),還能夠?qū)崿F(xiàn)在策略存儲系統(tǒng)中配置SELinux策略,進(jìn)一步提高了SELinux策略的編譯速度和效率。
[0023]應(yīng)當(dāng)理解的是,以上的一般描述和后文的細(xì)節(jié)描述僅是示例性的,并不能限制本發(fā)明?!靖綀D說明】
[0024]通過參照附圖詳細(xì)描述其示例實施例,本發(fā)明的上述和其它目標(biāo)、特征及優(yōu)點(diǎn)將變得更加顯而易見。[〇〇25]圖1是根據(jù)一示例性實施方式示出的一種SELinux策略的編譯方法的流程圖。[〇〇26]圖2是根據(jù)一示例性實施方式示出的另一種SELinux策略的編譯方法的流程圖。 [〇〇27]圖3是根據(jù)一示例性實施方式示出的另一種SELinux策略的編譯方法的流程圖。 [0〇28]圖4是根據(jù)一不例性實施方式不出的一種SELinux策略的編譯系統(tǒng)的框圖。【具體實施方式】
[0029]現(xiàn)在將參考附圖更全面地描述示例實施方式。然而,示例實施方式能夠以多種形式實施,且不應(yīng)被理解為限于在此闡述的范例;相反,提供這些實施方式使得本發(fā)明將更加全面和完整,并將示例實施方式的構(gòu)思全面地傳達(dá)給本領(lǐng)域的技術(shù)人員。附圖僅為本發(fā)明的示意性圖解,并非一定是按比例繪制。圖中相同的附圖標(biāo)記表示相同或類似的部分,因而將省略對它們的重復(fù)描述。
[0030]此外,所描述的特征、結(jié)構(gòu)或特性可以以任何合適的方式結(jié)合在一個或更多實施方式中。在下面的描述中,提供許多具體細(xì)節(jié)從而給出對本發(fā)明的實施方式的充分理解。然而,本領(lǐng)域技術(shù)人員將意識到,可以實踐本發(fā)明的技術(shù)方案而省略所述特定細(xì)節(jié)中的一個或更多,或者可以采用其它的方法、組元、裝置、步驟等。在其它情況下,不詳細(xì)示出或描述公知結(jié)構(gòu)、方法、裝置、實現(xiàn)或者操作以避免喧賓奪主而使得本發(fā)明的各方面變得模糊。 [0〇31 ] SELinux是一種基于域類型模型(domain-type)的強(qiáng)制訪問控制安全系統(tǒng),它由 NSA編寫并設(shè)計成內(nèi)核模塊包含到內(nèi)核中,相應(yīng)的某些安全相關(guān)的應(yīng)用也被打了SELinux的補(bǔ)丁,最后還有一個相應(yīng)的安全策略。SELinux提供了比傳統(tǒng)的UNIX權(quán)限更好的訪問控制。 SELinux系統(tǒng)比起通常的Linux系統(tǒng)來,安全性能要高的多,它通過對于用戶、進(jìn)程權(quán)限的最小化,即使受到攻擊,進(jìn)程或者用戶權(quán)限被奪去,也不會對整個系統(tǒng)造成重大影響。SELinux 由以下兩部分組成:l)Kernel SELinux模塊(/kernel/security/selinux) ;2)用戶態(tài)工具。 [〇〇32] SELinux定義了系統(tǒng)中每個用戶、進(jìn)程、應(yīng)用和文件的訪問和轉(zhuǎn)變的權(quán)限,然后它使用一個安全策略來控制這些實體(用戶、進(jìn)程、應(yīng)用和文件)之間的交互,安全策略指定如何嚴(yán)格或?qū)捤傻剡M(jìn)行檢查。策略可以根據(jù)需要是嚴(yán)格的或?qū)捤傻?。只有同時滿足了 “標(biāo)準(zhǔn) Linux訪問控制”和“SELinux訪問控制”時,主體才能訪問客體。[〇〇33]圖1是根據(jù)一示例性實施方式示出的一種SELinux策略的編譯方法的流程圖。
[0034]如圖1所示,在步驟SI 10,讀取SELinux策略文件,根據(jù)預(yù)設(shè)的解析策略解析所述 SELinux策略文件,獲得主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù)。[〇〇35]在示例性實施例,其中所述預(yù)設(shè)的解析策略為根據(jù)SELinux語法包含的用戶 (USER)、規(guī)則(ROLE)、類型(Type)及各自包含的子類型自動解析所述SELinux策略文件的策略語句中的字段。[〇〇36] 其中,SELinux的策略類型說明如下:
[0037]1.USER:用戶
[0038]l)user identity:類似Linux系統(tǒng)中的UID(User Identificat1n,用戶身份證明),提供身份識別,用來記錄身份;安全上下文(SELinux security context)的一部分; [〇〇39]在SELinux中,訪問控制屬性總是安全上下文三人組(用戶:角色:類型)形式,所有客體和主體都有一個關(guān)聯(lián)的安全上下文。需要特別指出的是,因為SELinux的主要訪問控制特性是類型強(qiáng)制,安全上下文中的類型標(biāo)識符決定了訪問權(quán)。
[0040]2)三種常見的user:
[0041]user_u:普通用戶登錄系統(tǒng)后的預(yù)設(shè);[0〇42] system_u:開機(jī)過程中系統(tǒng)進(jìn)程的預(yù)設(shè);
[0043]root:root登錄后的預(yù)設(shè);
[0044]3)所有預(yù)設(shè)的SELinux Users都是以“_u”結(jié)尾的,root除外。
[0045]2.ROLE:規(guī)則
[0046]1)文件、目錄和設(shè)備的role:通常是object_r;
[0047]2)程序的 role:通常是 system_r;
[0048]3)用戶的role:targeted policy為system_r;strict policy^sysadm_rnstaff_ r、user_r〇
[0049]其中,用戶的role,類似系統(tǒng)中的GID(Group Identificat1n,群體身份,指共享資源系統(tǒng)使用者的身份),不同角色具備不同的權(quán)限;用戶可以具備多個role,但是同一時間內(nèi)只能使用一個role。使用基于RBAC(Roles Based Access Control,基于角色的訪問控制)的strict和MLS(Mult1-Level Security,多級安全)策略中,用來存儲角色信息。[〇〇5〇] 其中,SELinux中的多級安全,類型強(qiáng)制(Type Enforcement,TE)是SELinux引入的最重要的強(qiáng)制訪問控制機(jī)制。在某些情況下,主要是保密控制應(yīng)用程序的一個子集,多級安全強(qiáng)制訪問控制機(jī)制與類型強(qiáng)制一起使用顯得更有價值。對大多數(shù)安全應(yīng)用程序而言,包括許多非保密數(shù)據(jù)應(yīng)用程序,類型強(qiáng)制是最適合的安全增強(qiáng)的機(jī)制,盡管如此,MLS對部分應(yīng)用程序還是增強(qiáng)了安全性。[0051 ] SELinux是在標(biāo)準(zhǔn)Linux基礎(chǔ)上增加了類型強(qiáng)制,這就意味著標(biāo)準(zhǔn)Linux和SELinux 訪問控制都必須滿足先要能訪問一個客體,例如:如果對某個文件有SELinux寫入權(quán)限,但沒有該文件的w許可,那么也不能寫該文件。
[0052]3.Type:類型
[0053]Type用來將主體(subject,例如進(jìn)程)和客體(object,例如文件、端口)劃分為不同的組,給每個主體和系統(tǒng)中的客體定義了一個類型;為進(jìn)程運(yùn)行提供最低的權(quán)限環(huán)境;當(dāng)一個類型與執(zhí)行中的進(jìn)程相關(guān)聯(lián)時,其type也稱為domain; type是SELinux security context中最重要的部位,相當(dāng)于SELinux Type Enforcement的心臟,預(yù)設(shè)值以t結(jié)尾。[0〇54]類型是構(gòu)成TE規(guī)則的最小單位,SELinux主要就是使用類型來確定什么訪問是被允許的。在使用類型前,必須使用type語句明確地聲明一個類型標(biāo)識符,SELinux沒有預(yù)定義類型,必須自行聲明,例如:假設(shè)想聲明一個類型(httpd_t),并打算將其作為Web服務(wù)器的域類型,而另一個類型(http_User_C〇ntent_t)準(zhǔn)備應(yīng)用于用戶數(shù)據(jù)文件,S卩Web服務(wù)器顯示內(nèi)容的文件,使用type語句進(jìn)行聲明,如下:
[0055]type httpd_t;
[0056]type http_user_content_t;[〇〇57]聲明了類型后就可以在安全上下文、TE規(guī)則和其它策略語句中使用它們了。一個大型的,復(fù)雜的策略可能包括上萬個代表系統(tǒng)上不同資源的類型。
[0058]所有操作系統(tǒng)訪問控制都是以關(guān)聯(lián)的客體和主體的某種類型的訪問控制屬性為基礎(chǔ)的。在SELinux中,訪問控制屬性叫做安全上下文。所有客體(文件、進(jìn)程間通訊通道、套接字、網(wǎng)絡(luò)主機(jī)等)和主體(進(jìn)程)都有與其關(guān)聯(lián)的安全上下文,一個安全上下文由三部分組成:用戶、角色和類型標(biāo)識符。常常用下面的格式指定或顯示安全上下文:
[0059]USER:ROLE:TYPE[LEVEL[:CATEGORY]][〇〇6〇] 其中,LEVEL和CATEGORY用于定義層次和分類,只用于MLS策略中。LEVEL代表安全等級,目前已經(jīng)定義的安全等級為s〇-sl5,等級越來越高;CATEGORY代表分類,目前已經(jīng)定義的分類為c〇-cl023。[0061 ]安全上下文是一個簡單的、一致的訪問控制屬性,在SELinux中,類型標(biāo)識符是安全上下文的主要組成部分,一個進(jìn)程的類型通常被稱為一個域(domain),通常,認(rèn)為域、域類型、主體類型和進(jìn)程類型都是同義的,即都是安全上下文中的“TYPE”。[〇〇62] SELinux訪問控制是基于與所有系統(tǒng)資源(包括進(jìn)程)關(guān)聯(lián)的安全上下文的,安全上下文包括三個組件:用戶、角色和類型標(biāo)識符。類型標(biāo)識符是訪問控制的主要基礎(chǔ)。
[0063]系統(tǒng)中每個文件、目錄、網(wǎng)絡(luò)端口等都被指定一個安全上下文,policy(策略)則給出各安全上下文之間的作用規(guī)則;SELinux根據(jù)policy及security context規(guī)則來決定存取行為是否可執(zhí)行;Subject (主體),系統(tǒng)進(jìn)程,比如Aisr/sbin/httpd; Object (客體),被存取的項目,比如?;116、0;[代(31:(^7、1?、3〇。1^1:等。
[0064]在示例性實施例,其中所述SELinux策略文件包括基礎(chǔ)策略文件和應(yīng)用策略文件。 通常的,將SELinux配置文件(configurat1n)或策略文件(policy)位于/etc/目錄下,是一些源代碼文件,系統(tǒng)內(nèi)核不能直接識別。
[0065]在示例性實施例,所述主體通常指用戶,或代表用戶意圖運(yùn)行進(jìn)程或設(shè)備。主體是訪問操作的主動發(fā)起者,它是系統(tǒng)中信息流的啟動者,可以使信息流在實體之間流動。
[0066]所述客體通常是指信息的載體或從其他主體或客體接收信息的實體。主體有時也會成為訪問或受控的對象,如一個主體可以向另一個主體授權(quán),一個進(jìn)程可能控制幾個子進(jìn)程等情況,這時受控的主體或子進(jìn)程也是一種客體。客體不受它們所依存的系統(tǒng)的限制, 可以包括記錄、數(shù)據(jù)塊、存儲頁、存儲段、文件、目錄、目錄樹、庫表、郵箱、消息、程序等,還可以包括比特位、字節(jié)、字、字段、變量、處理器、通信信道、時鐘、網(wǎng)絡(luò)結(jié)點(diǎn)等。
[0067]所述主體和客體之間的關(guān)系包括主體對客體的訪問,例如讀,寫,可執(zhí)行,socket 訪問等。[〇〇68] 類型強(qiáng)制(TE)訪問控制,在SELinux中,所有訪問都必須明確授權(quán),SELinux默認(rèn)不允許任何訪問,不管Linux用戶/組ID是什么。這就意味著在SELinux中,沒有默認(rèn)的超級用戶了,與標(biāo)準(zhǔn)Linux中的root不一樣,通過指定主體類型(即域)和客體類型使用allow規(guī)則授予訪問權(quán)限,al low規(guī)則由四部分組成:[〇〇69] 源類型(Source type(S)),通常是嘗試訪問的進(jìn)程的域類型;[0〇7〇]目標(biāo)類型(Target type(s)),被進(jìn)程訪問的客體的類型;
[0071]客體類別(Object class(es)),指定允許訪問的客體的類型;[〇〇72] 許可(Permiss1n(s)),象征目標(biāo)類型允許源類型訪問客體類型的訪問種類。[〇〇73]在示例性實施例,根據(jù)對SELinux的語法的分析,編寫了自動化解析工具,該自動化解析工具的具體實現(xiàn)如下:[0〇74] 首先讀取位于se 1 inux-policy目錄下的SELinux策略文件,解析策略語句,例如:
[0075]allow user—t bin—t:file read;
[0076]這里的策略語句的主體具有user_t標(biāo)簽,客體具有bin_t標(biāo)簽,主客體關(guān)系為 class file可讀。即為允許具有user_t#簽的主體讀取標(biāo)簽為客體的內(nèi)容。[0〇77] 然后把解析出的allow,user_t,bin_t,file read字段,寫到所述策略存儲系統(tǒng)中。[〇〇78]再例如,也可以是下面的形式:
[0079]allow user_t bin_t:file{read execute getattr};
[0080]這個例子顯示了TE allow規(guī)則的基礎(chǔ)語法,這個規(guī)則包含了兩個類型標(biāo)識符:源類型(或主體類型或域)user_t,目標(biāo)類型(或客體類型)bin_t。標(biāo)識符f i le是定義在策略中的客體類別名稱(在這里,表示一個普通的文件),大括號中包括的許可是文件客體類別有效許可的一個子集,這個規(guī)則解釋如下:擁有域類型uSer_t的進(jìn)程可以讀/執(zhí)行或獲取具有 b in_t類型的文件客體的屬性。[〇〇81]需要說明的是,具體的SELinux策略文件是特別復(fù)雜的,在這里只是舉例說明下。 [〇〇82]在步驟S120,將所述主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù)導(dǎo)入一策略存儲系統(tǒng)中。[〇〇83]預(yù)先根據(jù)SELinux策略上述的各種類型創(chuàng)建關(guān)系型數(shù)據(jù)庫,把自動化解析工具解析的主體、客體及主客體之間的關(guān)系的數(shù)據(jù)導(dǎo)入該關(guān)系型數(shù)據(jù)庫。
[0084]在示例性實施例,其中所述策略存儲系統(tǒng)為預(yù)先創(chuàng)建的一關(guān)系型數(shù)據(jù)庫、xml文件或文本文件。當(dāng)然,本發(fā)明不限于所例舉的這三種存儲形式,只要是適合存儲所述主體、客體及主客體之間的關(guān)系的數(shù)據(jù)的任意形式均可以用于本發(fā)明。
[0085]在示例性實施例,所述策略存儲系統(tǒng)為關(guān)系型數(shù)據(jù)庫,可以建立主體相關(guān)數(shù)據(jù)的一個表格,建立客體相關(guān)數(shù)據(jù)的一個表格,建立主客體之間訪問關(guān)系的一個表格,把SQL語句重新轉(zhuǎn)換為上述的字段,然后調(diào)用SELinux的編譯工具編譯成策略二進(jìn)制包,所以需要在自動化解析工具中把所述關(guān)系型數(shù)據(jù)庫中的數(shù)據(jù)讀取成編譯工具可識別的。
[0086]本發(fā)明的數(shù)據(jù)存儲并不限于數(shù)據(jù)庫的形式,可以使用其他文件如xml或文本文件等存儲。當(dāng)使用其他文件存儲數(shù)據(jù)時,需要相應(yīng)的改變所述自動化解析工具的讀寫文件的接口。例如,xml需要使用libxml的庫,文本文件同樣可以。[〇〇87]在步驟S130,調(diào)用SELinux策略的編譯工具,將從所述策略存儲系統(tǒng)中提取的數(shù)據(jù)編譯成SELinux策略二進(jìn)制包。
[0088]在示例性實施例,其中所述調(diào)用SELinux策略的編譯工具,將從所述策略存儲系統(tǒng)中提取的數(shù)據(jù)編譯成SELinux策略二進(jìn)制包包括:更改所述編譯工具的編譯來源為所述策略存儲系統(tǒng);以及提取所述策略存儲系統(tǒng)中存儲的數(shù)據(jù),并將所述數(shù)據(jù)編譯成SELinux策略二進(jìn)制包;其中所述SELinux策略二進(jìn)制包包括分別與所述基礎(chǔ)策略文件和應(yīng)用策略文件對應(yīng)的基礎(chǔ)策略包和應(yīng)用策略包。[〇〇89]例如,重新寫SELinux策略的makefile文件,把編譯來源改為所述關(guān)系型數(shù)據(jù)庫; 通過編譯SELinux的編譯語言把從所述關(guān)系型數(shù)據(jù)庫提取的數(shù)據(jù)編譯成SELinux策略二進(jìn)制包。而現(xiàn)有的編譯來源是每次編譯都要把數(shù)量較多的所有的策略文件重新解析一遍,重新編譯速度比較慢。[0〇9〇] 本發(fā)明實施方式所公開的SELinux策略的編譯方法,通過對SELinux語法的分析, 通過編寫一個自動解析SELinux策略文件的工具,解析已有的SELinux策略文件中的主體和客體及主體和客體之間的關(guān)系的各種數(shù)據(jù),根據(jù)SELinux語法包含的USER,R0LE,TYPE類型及各自包含的子類型建表,創(chuàng)建一個關(guān)系型數(shù)據(jù)庫,然后修改SELinux本身的編譯工具,從關(guān)系型數(shù)據(jù)庫提取數(shù)據(jù),因為該關(guān)系型數(shù)據(jù)庫已經(jīng)解析好了各種主體和客體及主客體之間的關(guān)系,所以只需要直接把各自的對應(yīng)關(guān)系編譯轉(zhuǎn)換成二進(jìn)制的策略包,編譯速度將變得很快。本發(fā)明的編譯方法正是基于現(xiàn)有技術(shù)中編譯SELinux策略包需要很長時間,而提出一種快速編譯的SELinux策略包的方法,將大大節(jié)省編譯SELinux策略包的時間,提高編譯效率。[〇〇91]應(yīng)清楚地理解,本發(fā)明描述了如何形成和使用特定示例,但本發(fā)明的原理不限于這些示例的任何細(xì)節(jié)。相反,基于本發(fā)明公開的內(nèi)容的教導(dǎo),這些原理能夠應(yīng)用于許多其它實施方式。[〇〇92]圖2是根據(jù)一示例性實施方式示出的另一種SELinux策略的編譯方法的流程圖。
[0093]如圖2所示,以所述策略存儲系統(tǒng)為關(guān)系型數(shù)據(jù)庫為例進(jìn)行說明。[〇〇94] 在步驟S210,完成SELinux策略編譯的初始化。[〇〇95]在示例性實施例,所述編譯方法主要包括兩個流程:一個是初始化SELinux關(guān)系型數(shù)據(jù)庫,編譯策略二進(jìn)制包流程,此流程速度會相對慢點(diǎn);一個是SELinux初始化完成后的策略變更時候的流程,這個編譯流程將會速度很快。[〇〇96]在步驟S220,檢測所述SELinux策略文件是否發(fā)生變更(例如,增加,修改,刪除 SELinux策略文件);當(dāng)所述SELinux策略文件發(fā)生變更時,進(jìn)入下一步;反之,繼續(xù)判斷所述 SELinux策略文件是否發(fā)生變更。[〇〇97] 在步驟S230,解析出該變更的SELinux策略文件中的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù)。
[0098]這里,可以通過上述的自動化解析工具自動掃描或者指定的變更策略文件,解析出主體、客體及主客體之間的關(guān)系的數(shù)據(jù)。
[0099]在步驟S240,在所述策略存儲系統(tǒng)中更新相應(yīng)的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù)。
[0100]根據(jù)變更的數(shù)據(jù)更新所述關(guān)系型數(shù)據(jù)庫,例如,將一個應(yīng)用原來由于SELinux策略的限制無法進(jìn)行讀寫的一個文件,現(xiàn)在變更SELinux策略開啟該應(yīng)用對該文件的讀寫訪問。
[0101]在步驟S250,調(diào)用所述編譯工具,將所述策略存儲系統(tǒng)中該更新的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù)編譯成變更后的SELinux策略二進(jìn)制包。[〇1〇2] 這里,可以使用上述已經(jīng)變更編譯來源的makefile文件可以快速的編譯SELinux 的策略二進(jìn)制包。[〇1〇3]在示例性實施例,所述SELinux策略文件分為基礎(chǔ)策略文件(例如,可以命名為 files.te)和針對各個應(yīng)用的應(yīng)用策略文件(例如,可以命名為applicat1n.te),相應(yīng)的策略二進(jìn)制包也包括基礎(chǔ)策略包和針對各個應(yīng)用的應(yīng)用策略包。當(dāng)所述基礎(chǔ)策略文件發(fā)生變更時,需要對整個基礎(chǔ)策略包進(jìn)行重新編譯,類似的,當(dāng)針對某個特定的應(yīng)用的應(yīng)用策略文件發(fā)生變更時,需要對該應(yīng)用對應(yīng)的應(yīng)用策略包進(jìn)行重新編譯。[〇1〇4]本發(fā)明實施方式公開的SELinux策略的編譯方法,當(dāng)SELinux策略文件發(fā)生變更時,通過自動化解析工具解析變更后的SELinux策略文件,在關(guān)系型數(shù)據(jù)庫中更新相應(yīng)的主客體之間的訪問關(guān)系的數(shù)據(jù),再編譯成策略二進(jìn)制包,將極大的提高編譯速度??朔爽F(xiàn)有的編譯需要每次編譯時把所有的策略文件一一解析對應(yīng)的關(guān)系,而本發(fā)明可以做到一次創(chuàng)建數(shù)據(jù)庫、反復(fù)使用的效果,以后編譯策略只需要從關(guān)系型數(shù)據(jù)庫中提取不同的策略,編譯改變后的策略,從而達(dá)到提高編譯速度的效果。
[0105]本發(fā)明實施例中的其它內(nèi)容參考上述發(fā)明實施例,在此不再贅述。
[0106]圖3是根據(jù)一示例性實施方式示出的另一種SELinux策略的編譯方法的流程圖。
[0107]如圖3所示,在步驟S310,在一策略存儲系統(tǒng)中按照預(yù)設(shè)規(guī)則配置所述SELinux策略。
[0108]在步驟S320,調(diào)用SELinux策略的編譯工具,將從所述策略存儲系統(tǒng)中提取的數(shù)據(jù)編譯成SELinux策略二進(jìn)制包。
[0109]在示例性實施例,其中所述策略存儲系統(tǒng)為預(yù)先創(chuàng)建的一關(guān)系型數(shù)據(jù)庫、xml文件或文本文件。下面以所述策略存儲系統(tǒng)為關(guān)系型數(shù)據(jù)庫為例進(jìn)行說明。
[0110]在示例性實施例,該方法還包括:在所述自動化解析工具中添加一個功能,即在所述策略存儲系統(tǒng)中有新添加的SELinux策略時,生成一個新的SELinux策略文件寫入原本的策略源碼目錄中。
[0111]本發(fā)明實施方式公開的SELinux策略的編譯方法可以不需要SELinux策略文件,策略配置人員直接將SELinux策略配置到關(guān)系型數(shù)據(jù)庫中,然后從該關(guān)系型數(shù)據(jù)庫中讀取數(shù)據(jù)進(jìn)行編譯即可,可以進(jìn)一步提高SELinux策略編譯的速度和效率。
[0112]本發(fā)明實施例中的其它內(nèi)容參考上述發(fā)明實施例,在此不再贅述。[〇113]本領(lǐng)域技術(shù)人員可以理解實現(xiàn)上述實施方式的全部或部分步驟被實現(xiàn)為由CPU執(zhí)行的計算機(jī)程序。在該計算機(jī)程序被CHJ執(zhí)行時,執(zhí)行本發(fā)明提供的上述方法所限定的上述功能。所述的程序可以存儲于一種計算機(jī)可讀存儲介質(zhì)中,該存儲介質(zhì)可以是只讀存儲器, 磁盤或光盤等。
[0114]此外,需要注意的是,上述附圖僅是根據(jù)本發(fā)明示例性實施方式的方法所包括的處理的示意性說明,而不是限制目的。易于理解,上述附圖所示的處理并不表明或限制這些處理的時間順序。另外,也易于理解,這些處理可以是例如在多個模塊中同步或異步執(zhí)行的。
[0115]下述為本發(fā)明系統(tǒng)實施例,可以用于執(zhí)行本發(fā)明方法實施例。對于本發(fā)明系統(tǒng)實施例中未披露的細(xì)節(jié),請參照本發(fā)明方法實施例。[〇116]圖4是根據(jù)一不例性實施方式不出的一種SELinux策略的編譯系統(tǒng)的框圖。
[0117]如圖4所示,該系統(tǒng)包括:解析模塊410,其用于讀取SELinux策略文件,根據(jù)預(yù)設(shè)的解析策略解析所述SELinux策略文件,獲得主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù);策略存儲系統(tǒng)420,其用于存儲所述主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù);SELinux策略的編譯模塊430,其用于將從所述策略存儲系統(tǒng)中提取的數(shù)據(jù)編譯成SELinux策略二進(jìn)制包。
[0118]在示例性實施例,其中所述策略存儲系統(tǒng)為預(yù)先創(chuàng)建的一關(guān)系型數(shù)據(jù)庫、xml文件或文本文件。
[0119]在示例性實施例,還包括:檢測模塊,其用于檢測所述SELinux策略文件是否發(fā)生變更。其中,當(dāng)所述SELinux策略文件發(fā)生變更時,調(diào)用所述解析模塊解析出該變更的 SELinux策略文件中的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù),并在所述策略存儲系統(tǒng)中更新相應(yīng)的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù),調(diào)用所述編譯工具,將所述策略存儲系統(tǒng)中該更新的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù)編譯成變更后的SELinux 策略二進(jìn)制包。
[0120]本發(fā)明實施例中的其它內(nèi)容參考上述發(fā)明實施例,在此不再贅述。[〇121]需要注意的是,上述附圖中所示的框圖是功能實體,不一定必須與物理或邏輯上獨(dú)立的實體相對應(yīng)??梢圆捎密浖问絹韺崿F(xiàn)這些功能實體,或在一個或多個硬件模塊或集成電路中實現(xiàn)這些功能實體,或在不同網(wǎng)絡(luò)和/或處理器裝置和/或微控制器裝置中實現(xiàn)這些功能實體。
[0122]本發(fā)明提供的SELinux策略的編譯方法及系統(tǒng),通過對SELinux語法的分析,編寫了解析SELinux策略文件的自動化工具解析出SELinux策略文件中的主體、客體及主客體之間的關(guān)系的數(shù)據(jù),并將該數(shù)據(jù)進(jìn)行非易失性存儲,在編譯策略二進(jìn)制包時可以直接從存儲設(shè)備中提取相應(yīng)的數(shù)據(jù)進(jìn)行編譯即可,極大的提高了 SELinux策略包的編譯速度和效率。
[0123]通過以上的實施方式的描述,本領(lǐng)域的技術(shù)人員易于理解,這里描述的示例實施方式可以通過軟件實現(xiàn),也可以通過軟件結(jié)合必要的硬件的方式來實現(xiàn)。因此,根據(jù)本發(fā)明實施方式的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來,該軟件產(chǎn)品可以存儲在一個非易失性存儲介質(zhì)(可以是CD-ROM,U盤,移動硬盤等)中或網(wǎng)絡(luò)上,包括若干指令以使得一臺計算設(shè)備(可以是個人計算機(jī)、服務(wù)器、移動終端、或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行根據(jù)本發(fā)明實施方式的方法。
[0124]以上具體地示出和描述了本發(fā)明的示例性實施方式。應(yīng)可理解的是,本發(fā)明不限于這里描述的詳細(xì)結(jié)構(gòu)、設(shè)置方式或?qū)崿F(xiàn)方法;相反,本發(fā)明意圖涵蓋包含在所附權(quán)利要求的精神和范圍內(nèi)的各種修改和等效設(shè)置。
【主權(quán)項】
1.一種SELinux策略的編譯方法,其特征在于,包括:讀取SELinux策略文件,根據(jù)預(yù)設(shè)的解析策略解析所述SELinux策略文件,獲得主體、客 體及主體和客體之間的關(guān)系的數(shù)據(jù);將所述主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù)導(dǎo)入一策略存儲系統(tǒng)中;調(diào)用SELinux策略的編譯工具,將從所述策略存儲系統(tǒng)中提取的數(shù)據(jù)編譯成SELinux策略二進(jìn)制包。2.根據(jù)權(quán)利要求1所述的方法,其特征在于,其中所述預(yù)設(shè)的解析策略為根據(jù)SELinux 語法包含的用戶、規(guī)則、類型及各自包含的子類型自動解析所述SELinux策略文件的策略語 句中的字段。3.根據(jù)權(quán)利要求1所述的方法,其特征在于,其中所述SELinux策略文件包括基礎(chǔ)策略 文件和應(yīng)用策略文件。4.根據(jù)權(quán)利要求1所述的方法,其特征在于,其中所述策略存儲系統(tǒng)為預(yù)先創(chuàng)建的一關(guān) 系型數(shù)據(jù)庫、xml文件或文本文件。5.根據(jù)權(quán)利要求3所述的方法,其特征在于,其中所述調(diào)用SELinux策略的編譯工具,將 從所述策略存儲系統(tǒng)中提取的數(shù)據(jù)編譯成SELinux策略二進(jìn)制包包括:更改所述編譯工具的編譯來源為所述策略存儲系統(tǒng);以及提取所述策略存儲系統(tǒng)中存儲的數(shù)據(jù),并將所述數(shù)據(jù)編譯成SELinux策略二進(jìn)制包;其中所述SELinux策略二進(jìn)制包包括分別與所述基礎(chǔ)策略文件和應(yīng)用策略文件對應(yīng)的 基礎(chǔ)策略包和應(yīng)用策略包。6.根據(jù)權(quán)利要求1所述的方法,其特征在于,還包括:檢測所述SELinux策略文件是否發(fā)生變更;當(dāng)所述SELinux策略文件發(fā)生變更時,解析出該變更的SELinux策略文件中的主體、客 體及主體和客體之間的關(guān)系的數(shù)據(jù);在所述策略存儲系統(tǒng)中更新相應(yīng)的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù);調(diào)用所述編譯工具,將所述策略存儲系統(tǒng)中該更新的主體、客體及主體和客體之間的 關(guān)系的數(shù)據(jù)編譯成變更后的SELinux策略二進(jìn)制包。7.—種SELinux策略的編譯方法,其特征在于,包括:在一策略存儲系統(tǒng)中按照預(yù)設(shè)規(guī)則配置所述SELinux策略;調(diào)用SELinux策略的編譯工具,將從所述策略存儲系統(tǒng)中提取的數(shù)據(jù)編譯成SELinux策略二進(jìn)制包。8.—種SELinux策略的編譯系統(tǒng),其特征在于,包括:解析模塊,其用于讀取SELinux策略文件,根據(jù)預(yù)設(shè)的解析策略解析所述SELinux策略 文件,獲得主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù);策略存儲系統(tǒng),其用于存儲所述主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù);SELinux策略的編譯模塊,其用于將從所述策略存儲系統(tǒng)中提取的數(shù)據(jù)編譯成SELinux策略二進(jìn)制包。9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,其中所述策略存儲系統(tǒng)為預(yù)先創(chuàng)建的一關(guān) 系型數(shù)據(jù)庫、xml文件或文本文件。10.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,還包括:檢測模塊,其用于檢測所述SELinux策略文件是否發(fā)生變更;其中,當(dāng)所述SELinux策略文件發(fā)生變更時,調(diào)用所述解析模塊解析出該變更的 SELinux策略文件中的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù),并在所述策略存儲系統(tǒng) 中更新相應(yīng)的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù),調(diào)用所述編譯工具,將所述策略 存儲系統(tǒng)中該更新的主體、客體及主體和客體之間的關(guān)系的數(shù)據(jù)編譯成變更后的SELinux 策略二進(jìn)制包。
【文檔編號】G06F9/45GK106020923SQ201610388230
【公開日】2016年10月12日
【申請日】2016年6月2日
【發(fā)明人】蘭書俊
【申請人】北京元心科技有限公司