本发明专利技术提供一种计算机操作系统安全防护方法,是在计算机Unix操作系统的用户级上加装数字签名及证书数据库、安全管理模块和密约模块,在内核级上加装数字签名认证访问控制模块,在不改变系统执行文件和不修改内核的情况下,使加装的各个安全模块成为操作系统的有效部分,在不重写和透明的情况下实施对整个Unix操作系统进行安全保护和有效控制;具有简便、安全、实用和可靠。
【技术实现步骤摘要】
本专利技术涉及一种计算机应用技术,具体地说是一种。2、
技术介绍
随着Internet应用的广泛深入,信息安全问题日益引起人们的高度重视。目前常见的网络安全解决措施主要采用防火墙、入侵检测系统、防病毒等安全产品。网络安全是一项系统的工程,上述的产品只能针对某一方面,解决部分安全问题。而目前许多黑客也综合采用多种手段来攻击,如果只解决某一方面的安全问题,不能起到真正的安全,所以必需得系统的解决。每种安全技术或产品都具有一定的安全作用,例如,入侵检测系统可以检测到许多入侵行为,但是,同时也应该意识到,每种安全产品、安全技术也存在它的不足,比如,目前的许多入侵检测系统主要采用基于入侵特征模式库来识别入侵行为,因此,对于新近出现的入侵行为或未知的入侵行为就无法识别。因此,在建设信息安全工程时,不能单纯依赖于某一安全技术或产品,而需要进行系统规划。信息安全的最终目的就是对信息数据的安全保护。而和信息数据安全相接近的就是操作系统的安全。操作系统是连接计算机硬件与上层软件及用户的桥梁,它的安全性是至关重要的。操作系统作为计算机系统的基础软件是用来管理计算机资源的,它直接利用计算机硬件并为用户提供使用和编程接口。各种应用软件均建立在操作系统提供的系统软件平台之上,上层的应用软件要想获得运行的高可用性和信息的完整性、机密性,必须依赖于操作系统提供的系统软件基础。在网络环境中,网络系统的安全性依赖于网络中各主机系统的安全性,而主机系统的安全性正是由其操作系统的安全性所决定的,没有安全的操作系统的支持,网络安全也毫无根基可言。所以,操作系统安全是计算机网络系统安全的基础。而服务器及其上的业务数据又是被攻击的最终目标。因此,加强对关键服务器的安全控制,是增强系统总体安全性的核心。3
技术实现思路
本专利技术的操作系统安全防护方法,是在操作系统的用户级上加装数字签名及证书数据库、安全管理模块和密约模块,在内核级上加装数字签名认证访问控制模块系统内核实现安全保护的。它的最大优点是在不改变系统执行文件,不修改内核的情况下使加装的各个安全模块成为操作系统的有效部分,可以在不重写Unix和透明的情况下实现系统的安全控制功能。本专利技术的操作系统安全防护方法,是为Unix操作系统设置一个系统调用表,系统调用表包含指向每个系统调用的内存地址指针。应用程序对资源的访问、对硬件设备的使用、进程间的通讯时,通过内存地址指针引导的接口在操作系统内核中实现使用权限的认证。安全内核保存了该系统调用表中与安全有关的系统调用的指针,并把这些系统调用重定向到操作系统安全防护模块的相应代码。当用户或程序执行一个与安全有关的系统调用操作命令时,操作系统首先按指针引导通过安全管理模块调用用户操作系统数字签名及证书数据库中的数字签名和认证信息。操作系统取得数字签名认证信息后进入内核级的数字签名认证访问控制模块,数字签名认证访问控制模块对数字签名认证信息进行识别和认证,如果调用的数字签名认证信息是被授权的,操作系统可以通过系统访问界面安全调用Unix系统内核中的文件和程序。如果数字签名认证访问控制模块对数字签名认证信息进行识别和认证后,发现调用的数字签名认证信息不是被授权的,数字签名认证访问控制模块则向系统访问界面发出禁止访问请求指令,用户访问被禁止。附图说明附图1为通用计算机操作系统的设备部件配置图;附图2为本专利技术的计算机操作系统的安全防护设备配置图。具体实施方式如附图2所示,操作系统安全防护方法是通过以下方式实现的操作系统安全防护步骤如下(1)在Unix操作系统的用户级中设置一个数字签名及证书数据库、一个安全管理模块和一个密约模块,用户请求访问时先进行安全管理模块和密约模块的安全认证,应用程序通过认证后进入操作系统内核,对资源的访问、对硬件设备的使用以及进程间的通讯;(2)在Unix操作系统的内核级设置一个保存系统调用接口中与安全有关的系统调用指令的数字签名认证访问模块,数字签名认证访问模块把安全有关的系统调用指令定向到操作系统安全防扩模块的相应代码。(3)当用户程序执行一个与安全有关的系统调用时,操作系统通过数字签名认证访问控制模块检查访问请求是否被授权,如果调用是被授权的,数字签名认证访问控制模块操作系统通过系统访问界面访问Unix系统内核中的资源和对硬件设备的使用以及进程间的通讯,否则,访问请求将被禁止。权利要求1.计算机操作系统安全防护模块,其特征在于是在计算机Unix操作系统的用户级上加装数字签名及证书数据库、安全管理模块和密约模块,在内核级上加装数字签名认证访问控制模块,在不改变系统执行文件和不修改内核的情况下,使加装的各个安全模块成为操作系统的有效部分,在不重写和透明的情况下实施对整个Unix操作系统进行安全保护和有效控制;操作系统安全防护步骤如下(1)在Unix操作系统的用户级中设置一个数字签名及证书数据库、一个安全管理模块和一个密约模块,用户请求访问时先进行安全管理模块和密约模块的安全认证,应用程序通过认证后进入操作系统内核,对资源的访问、对硬件设备的使用以及进程间的通讯;(2)在Unix操作系统的内核级设置一个保存系统调用接口中与安全有关的系统调用指令的数字签名认证访问模块,数字签名认证访问模块把安全有关的系统调用指令定向到操作系统安全防护模块的相应代码。(3)当用户程序执行一个与安全有关的系统调用时,操作系统通过数字签名认证访问控制模块检查访问请求是否被授权,如果调用是被授权的,数字签名认证访问控制模块操作系统通过系统访问界面访问Unix系统内核中的资源和对硬件设备的使用以及进程间的通讯,否则,访问请求将被禁止。全文摘要本专利技术提供一种,是在计算机Unix操作系统的用户级上加装数字签名及证书数据库、安全管理模块和密约模块,在内核级上加装数字签名认证访问控制模块,在不改变系统执行文件和不修改内核的情况下,使加装的各个安全模块成为操作系统的有效部分,在不重写和透明的情况下实施对整个Unix操作系统进行安全保护和有效控制;具有简便、安全、实用和可靠。文档编号G06F1/00GK1743992SQ20051004487公开日2006年3月8日 申请日期2005年9月29日 优先权日2005年9月29日专利技术者黄家明, 刘正伟 申请人:浪潮电子信息产业股份有限公司 本文档来自技高网...
【技术保护点】
计算机操作系统安全防护模块,其特征在于是在计算机Unix操作系统的用户级上加装数字签名及证书数据库、安全管理模块和密约模块,在内核级上加装数字签名认证访问控制模块,在不改变系统执行文件和不修改内核的情况下,使加装的各个安全模块成为操作系统的有效部分,在不重写和透明的情况下实施对整个Unix操作系统进行安全保护和有效控制;操作系统安全防护步骤如下:(1)在Unix操作系统的用户级中设置一个数字签名及证书数据库、一个安全管理模块和一个密约模块,用户请求访问时先进行 安全管理模块和密约模块的安全认证,应用程序通过认证后进入操作系统内核,对资源的访问、对硬件设备的使用以及进程间的通讯;(2)在Unix操作系统的内核级设置一个保存系统调用接口中与安全有关的系统调用指令的数字签名认证访问模块,数字签名 认证访问模块把安全有关的系统调用指令定向到操作系统安全防护模块的相应代码。(3)当用户程序执行一个与安全有关的系统调用时,操作系统通过数字签名认证访问控制模块检查访问请求是否被授权,如果调用是被授权的,数字签名认证访问控制模块操作系 统通过系统访问界面访问Unix系统内核中的资源和对硬件设备的使用以及进程间的通讯,否则,访问请求将被禁止。...
【技术特征摘要】
【专利技术属性】
技术研发人员:黄家明,刘正伟,
申请(专利权)人:浪潮电子信息产业股份有限公司,
类型:发明
国别省市:88[中国|济南]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。