本发明专利技术实施例提供了系统调用方法和装置,所述方法包括:接收到应用的系统调用请求后,对所述系统调用请求进行权限检查;所述权限检查通过后,将本权限及安全检查模块的预设的安全标识作为发送方标识携带于系统调用请求中向内核发送;所述内核接收到系统调用请求后,若确定出接收到的系统调用请求的发送方标识与预存的安全标识相一致,则进行相应的系统调用。本发明专利技术实施例中,对应用的系统调用请求的权限检查在内核之外的应用层中进行,并在系统调用请求中设置权限及安全检查模块的预设的安全标识供内核识别,这部分代码不属于开源代码不会被公开,大大增强了系统调用的安全性。
【技术实现步骤摘要】
本专利技术涉及终端
,具体而言,本专利技术涉及一种系统调用方法和装置。
技术介绍
随着科技的发展,智能手机、平板电脑和电子阅读器等智能终端已经广泛普及。大量的智能终端中安装了基于Linux内核的操作系统,例如Android、Tizen、Ubuntu和FireFox等等。这些操作系统通常都是在Linux内核的基础上,增加各自设计的框架层而实现的。基于Linux内核的操作系统(后文简称操作系统)中,Linux内核统一管理系统资源,应用层的应用程序(后文简称应用)进行系统调用的方法通常包括:应用发送系统调用请求到内核中的系统调用接口;由内核中内置的多种安全模块执行各自的安全机制,即对系统调用请求进行多种安全或权限检查,例如DAC(Discretionary Access Control,自主访问控制)、MAC(Mandatory Access Control,强制访问控制)和权能检测等等;之后,由内核根据系统调用请求执行系统调用。然而,本专利技术的专利技术人发现,Linux是开源项目,其内核代码通常是需要公开的。而现有的执行各种安全机制的安全模块内置在Linux内核中,即使对安全模块进行改进以改进其安全机制,然而改进后的安全模块的源代码依然需要遵循协议进行公开,导致黑客等攻击者仍然可以获取改进后的安全模块的安全机制,从而造成现有的系统调用方法依然容易受到攻击,安全性低下,容易给用户带来损失,降低用户体验。
技术实现思路
本专利技术针对现有方式的缺点,提出一种系统调用方法和装置,用以解决现有技术存在系统调用的安全性低下的问题。本专利技术的实施例根据一个方面,提供了一种系统调用方法,包括:接收到应用的系统调用请求后,对所述系统调用请求进行权限检查;所述权限检查通过后,将本权限及安全检查模块的预设的安全标识作为发送方标识携带于系统调用请求中向内核发送;所述内核接收到系统调用请求后,若确定出接收到的系统调用请求的发送方标识与预存的安全标识相一致,则进行相应的系统调用。本专利技术的实施例根据另一个方面,还提供了一种系统调用装置,包括:权限及安全检查模块,设置于应用层,用于接收到应用的系统调用请求后,对所述系统调用请求进行权限检查;所述权限检查通过后,将所述权限及安全检查模块的预设的安全标识作为发送方标识携带于系统调用请求中向内核发送;系统调用接口模块,设置于所述内核,用于接收到系统调用请求后,若确定出接收到的系统调用请求的发送方标识与预存的安全标识相一致,则进行相应的系统调用。本专利技术实施例中,对应用的系统调用请求的权限检查在内核之外的应用层中进行,并在系统调用请求中设置权限及安全检查模块的预设的安全标识供内核识别,这部分代码不属于开源代码不会被公开,大大增强了系统调用的安全性。本专利技术附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本专利技术的实践了解到。附图说明本专利技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:图1a和1b都为本专利技术实施例的系统调用方法的流程示意图;图2为本专利技术实施例的系统调用装置的内部结构的框架示意图。具体实施方式下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本专利技术,而不能解释为对本专利技术的限制。本
技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本专利技术的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。本
技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本专利技术所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。本
技术人员可以理解,这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,进行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(Personal Communications Service,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal Digital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Positioning System,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile Internet Device,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。本专利技术实施例中,在应用层中设置权限及安全检查模块;权限及安全检查模块接收到应用的系统调用请求后,对系统调用请求进行权限检查;权限检查通过后,将本权限及安全检查模块的预设的安全标识作为发送方标识携带于系统调用请求中向内核发送;内核接收到系统调用请求后,若确定出接收到的系统调用请求的发送方标识与预存的安全标识相一致,则进行相应的系统调用。可见,本专利技术实施例中,对应用的系统调用请求的权限检查在内核之外的应用层中进行,并在系统调用请求中设置权限及安全检查模块的预设的安全标识供内核识别,这部分代码不属于开源代码不会被公开,大大增强了系统调用的安全性。而且,本专利技术实施例中,内核若确定出接收到的系统调用请求的发送方标识与预存的权限及安全检查模块的安全标识不一致,则拒绝执行接收到的系统调用请求。可见,本专利技术实例中,现有的应用直接向内核发送的系统调用请求,因没有携带安全检查模块的安全标识,都将被内核拒接执行;能够防止病毒、木马、恶意程序等非法应用利用现有的Linux的安全机制入侵,大大增强了系统调用的安全性。进一步,本专利技术的专利技术人还发现,现有的系统调用方法中,执行各种安全机制的安全模块内置在操作系统的内核中,由于本文档来自技高网...
【技术保护点】
一种系统调用方法,其特征在于,包括:接收到应用的系统调用请求后,对所述系统调用请求进行权限检查;所述权限检查通过后,将本权限及安全检查模块的预设的安全标识作为发送方标识携带于系统调用请求中向内核发送;所述内核接收到系统调用请求后,若确定出接收到的系统调用请求的发送方标识与预存的安全标识相一致,则进行相应的系统调用。
【技术特征摘要】
1.一种系统调用方法,其特征在于,包括:接收到应用的系统调用请求后,对所述系统调用请求进行权限检查;所述权限检查通过后,将本权限及安全检查模块的预设的安全标识作为发送方标识携带于系统调用请求中向内核发送;所述内核接收到系统调用请求后,若确定出接收到的系统调用请求的发送方标识与预存的安全标识相一致,则进行相应的系统调用。2.根据权利要求1所述的方法,其特征在于,还包括:所述内核若确定出接收到的系统调用请求的发送方标识与预存的安全标识不一致,则拒绝执行接收到的系统调用请求,并向发送该系统调用请求的应用返回拒绝访问消息。3.根据权利要求1所述的方法,其特征在于,所述对所述系统调用请求进行权限检查,具体包括:根据定制的安全策略,对所述系统调用请求进行权限检查。4.根据权利要求1所述的方法,其特征在于,所述权限及安全检查模块的安全标识包括:所述权限及安全检查模块的身份信息和/或地址信息。5.根据权利要求1所述的方法,其特征在于,在所述确定出接收到的系统调用请求的发送方标识与预存的安全标识相一致后,还包括:所述内核根据所述安全标识对所述权限及安全检查模块的相关信息进行合法性验证;以及所述进行相应的系统调用,包括:若验证结果为合法,则进行相应的系统调用。6.根据权利要求5所述的方法,其特征在于,所述根据所述安全标识对所述权限及安全检查模块的相关信息进...
【专利技术属性】
技术研发人员:高连凯,
申请(专利权)人:北京元心科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。