【技术实现步骤摘要】
一种授权体系、构成方法及针对给定系统的安全评测方法
本申请涉及信息
,特别涉及一种完全消除了DDCAS的操作系统授权体系及其构成方法,以及以此构成方法为参照标准对给定操作系统授权体系的安全评测方法,以及根据评测结果改造给定操作系统授权体系使其有能力抵御超越授权攻击的解决方案。
技术介绍
现阶段没有针对计算机攻击进行明确的定义,基于现代的CPU架构和操作系统架构,无法完全杜绝针对操作系统成功实施超越授权攻击的现象。攻击者可以转变超越授权的状态,进行诸如以下操作:1、超越授权读取用户数据(包括内存和外设的数据)。2、超越授权写入(包括篡改、删除)用户数据。3、超越授权执行系统调用。4、超越授权执行应用程序。
技术实现思路
针对超越授权攻击层出不穷的问题,本专利技术提供了一种消除直接转变授权状态的缺陷的授权体系,并在此基础上,进一步公开了授权体系的构成方法、以构成方法为参照标准的一种对给定授权体系的安全评测方法和一种改造给定授权体系以使其有能力抵御超越授权攻击的解决方案。一种消除直接转变授权状态的缺陷的授权体系,其特征在于:所述授权体系包括:授权基础层、授权提供层和授权检查层;所述授权基础层,包括:剥夺用户程序访问其他用户资源的能力,同时用户程序和内核之间只能依赖提供的双向专用通道进行转移和数据传递,以此形成用户程序对内核提供的访问能力的依赖;所述授权提供层,包括:依赖提供的功能受限、使用可控的原子授权操作;所述授权检查层,包...
【技术保护点】
1.一种消除直接转变授权状态的缺陷的授权体系,其特征在于:/n所述授权体系包括:授权基础层、授权提供层和授权检查层;/n所述授权基础层,包括:剥夺用户程序访问其他用户资源的能力,同时用户程序和内核之间只能依赖提供的双向专用通道进行转移和数据传递,以此形成用户程序对内核提供的访问能力的依赖;/n所述授权提供层,包括:依赖提供的功能受限、使用可控的原子授权操作;/n所述授权检查层,包括:提供符合授权规则的授权检查程序,并且,用户必须接受所述检查程序进行授权检查,无法改变授权相关要素。/n
【技术特征摘要】
1.一种消除直接转变授权状态的缺陷的授权体系,其特征在于:
所述授权体系包括:授权基础层、授权提供层和授权检查层;
所述授权基础层,包括:剥夺用户程序访问其他用户资源的能力,同时用户程序和内核之间只能依赖提供的双向专用通道进行转移和数据传递,以此形成用户程序对内核提供的访问能力的依赖;
所述授权提供层,包括:依赖提供的功能受限、使用可控的原子授权操作;
所述授权检查层,包括:提供符合授权规则的授权检查程序,并且,用户必须接受所述检查程序进行授权检查,无法改变授权相关要素。
2.一种权利要求1所述的授权体系构成方法B1,其特征在于:
针对超越授权攻击,将所述授权体系构成所涉及内容分为三个层次,分别是:授权基础层、授权提供层和授权检查层;
其中,如果授权基础层构成内容无效,是后面两层构成内容也都会无效,而授权提供层构成内容无效,授权检查层构成内容也会无效;
所述超越授权攻击是指攻击者未经授权体系允许,访问禁止其访问的授权资源;
所述无效是指该层存在直接转变授权状态的缺陷。
3.根据权利要求2所述的方法,其特征在于:
所述授权基础层的构成方法,进一步包括:剥夺用户程序访问其他用户资源的全部能力的实现方法B1-1,
提供双向专用通道,迫使用户只能依赖此通道,在用户程序和内核之间进行转移和数据传递,的实现方法B1-2;
所述剥夺用户程序访问其他用户资源的全部能力,是指剥夺用户程序访问超出自身代码、数据之外的所有主机、外设资源的能力。
其中,所述的实现方案B1-1,进一步包括:剥夺用户程序访问超出自身代码、数据之外主机资源的能力的实现方案B1-1-1,和/或,剥夺用户程序访问外设资源的能力的实现方案B1-1-2。
4.根据权利要求2所述的方法,其特征在于:
所述授权提供层的构成方法,进一步包括:
提供的功能受限、使用可控的原子授权操作,具体包括:确保提供的原子授权操作软件设计要符合授权规则的实现方案B1-3,和/或,确保提供的原子授权操作运行时不能改变授权相关要素中任何一个的实现方案B1-4;
授权相关要素构成,优选的:包括用户要素、授权操作要素、授权操作对象要素这严格要素;
所述原子授权操作是指内核为一类授权对象提供的一项配套授权操作。
5.根据权利要求2所述的方法,其特征在于:
所述授权检查层的构成方法,进一步包括:确保授权检查程序自身正确的实现方案B1-5,和/或,确保授权检查在运行时不会改变授权相关要素的实现方案B1-6。
6.一种对给定操作系统授权体系的安全评测方法C1,其特征在于:
步骤1:对给定的操作系统授权体系进行层次划分;
步骤2:在步骤1所述层次划分基础上,采用方法C2,针对各层分析并发现对给定的操作系统授权体系成功进行超越授权攻击所需直接转变授权状态的必要条件;
所述转变授权状态是指攻击者从只能访问授权体系允许其访问的授权资源的状态,转变为随时有能力访问授权体系禁止其访问的授权资源的状态;
所述直接转变授权状态的缺陷简称为DDCAS;
所述可直接转变授权状态的缺陷就是直接转变授权状态的必要条件。
7.根据权利要求6所述的方法,其特征在于:
所述层次划分,进一步包括:
将所述给定的操作系统授权体系构成所涉及内容分为三个层次,分别是:授权基础层、授权提供层和授权检查层。
8.根据权利要求7所述的方法,其特征在于:
所述授权基础层,进一步包括:剥夺用户程序访问超出自身代码、数据之外主机资源的能力的构成内容H1,和/或,剥夺用户程序访问外设资源的能力的构成内容H2,和/或,由系统调用及返回用户空间的方式构成的双向专用通道H3;
所述授权提供层,进一步包括:提供的功能受限、使用可控的原子授权操作;
所述原子授权操作是指内核为一类授权对象提供的一项配套授权操作;
所述授权检查层是指通过授权检查进行访问控制;
进一步包括:为了进行访问控制,提供被依赖的原子授权操作;通过比较预先保存的授权相关要素信息,检查判断用户申请的访问是否符合授权以决定是否允许其执行。
9.根据权利要求6所述的方法,其特征在于:
所述方法C2,进一步包括:以完全剥夺了用户程序一切可能访问其他用户资源的能力,和/或,用户程序只能依赖双向专用通道与内核之间相互转移和传递数据为标准,衡量给定操作系统授权基础层所述内容,将其中不符合标准的设计内容识别出来,认定为该层全部DDCAS的方法G1,和/或,以不能改变计算机使用者每次通过操作系统访问计算机资源固有的三个要素,用户要素、授权操作要素、授权操作对象要素中任何一个为标准,衡量给定操作系统授权提供层所述内容,将其中不符合标准的设计内容识别出来,认定为该层全部DDCAS的方法G2,和/或,以不能改变计算机使用者每次通过操作系统访问计算机资源固有的授权相关要素中任何一个为标准,衡量给定操...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。