本发明专利技术提供一种具有基于用户许可安全模式的计算装置,所述计算装置通过向装置上的每个可执行程序提供单独的用户标识从而能够仿真基于进程能力的安全模式。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种在计算装置基于用户的保护环境中实现基于进程的保护系统的方法,具体地,涉及一种可用于提高运行多用户操作系统的单个用户计算装置的安全性的方法,所述多用户操作系统例如为Unix操作系统及其利用基于用户许可的保护模式的衍生系统。
技术介绍
术语“计算装置”包括但不限于台式计算机和膝上计算机、个人数字助理(PDA)、移动电话、智能电话、数字摄像机和数字音乐播放器。它还包括集成有一个或多个上述装置以及许多其它工业和家用电子设备的功能的集成装置。计算装置允许其所有者或用户在购买之后安装软件,从而可以使用新的应用程序或提供新的功能,因此被称为开放式装置。允许所有者或用户与其它计算装置进行通信以便交换数据和指令的计算装置被称为被连接装置。虽然能够以这些方式扩展装置的应用具有明显的好处,但是对于计算装置的所有者或用户而言用于添加额外软件和与其它机器进行通信的设备可能代表了非常大的安全风险。本领域技术人员以及许多非本领域的人员都知道,写得不好的程序或恶意程序(恶意软件)会影响开放式计算装置或被连接的计算装置,存在着非常大的风险;现在有许多装置是开放式的并且连接到其它装置,这极大的扩大了其风险。在通过网络连接到其它装置的被连接装置的情况下,风险可能会扩展到连接到网络的其它装置,从而威胁到网络自身的完整性。这种恶意软件具有许多类型,常见的类型包括但不限于病毒、特洛伊(Trojan)、间谍软件(spyware)和广告软件(adware).已经知道,基于能力(capability-based)的安全系统在保护所有计算装置不受恶意软件损害方面提供了非常大的好处,特别是对例如移动电话和PDA的单个用户移动开放式被连接装置而言。基于能力的系统已经在英国伦敦的-->Symbian Software Ltd公司提交的多项英国专利申请中进行了披露,SymbianSoftware Ltd公司是用于移动电话和其它被连接装置的高级操作系统Symbian OSTM操作系统的制造商。在这方面特别相关的是标题为“安全移动无线装置”的英国专利申请GB2389747和标题为“具有受保护文件系统的移动无线装置”的英国专利申请GB2391655。在GB2389747所描述的能力保护模式中,赋予可执行程序一定的权限,这些权限在被获得时限定了每个可执行程序能够实现的功能范围。例如,不具有网络能力的程序被禁止启动与其它计算机的网络连接。类似的能力控制范围能够实现该装置其它方面的功能。这些能力只能在可执行程序开始被编译和生成时赋予,而不能被添加;测试和验证系统控制赋予可执行程序的能力。某些非常敏感的能力(例如,控制格式化磁盘权限的能力)仅赋予作为装置的操作系统内核上的可信计算基(TCB)的一部分的那些可执行代码组件。实施基于能力保护的装置的额外的特征在GB239165中进行了公开。这个专利文献描述了安装在装置上的可执行程序如何在装置上对整个文件系统不具有不受限制的可见性。它们在整个文件系统中具有其自己私有的或受限制的区域,它们的数据文件存储在该区域中,其它任何应用程序均不能访问这些区域。另外,在文件系统不受限制的某些公共区域之外,这些可执行程序对于其它部分的文件系统不具有可见性。特别地,它们对于任何应用程序的私有区域不具可见性。这个特征已知为数据锁定(data caging),因为应用程序被有效地锁定在其自己的文件系统区域中;这个限制由控制装置的操作系统执行。然而,基于能力的安全系统并非仅有的用于保护计算装置不受攻击的方法。基于能力的系统将保护与程序相关联,但是存在将保护与不同实体相关联的替代模式。最著名的替代模式出现在多用户计算机世界中,其将保护与装置的用户而非数据或程序相关联。在这种模式下,不同的用户通常不能看到其它用户的数据;系统上的一些功能与具体的用户分类相关联,例如管理者,其被赋予特定的系统权限。基于用户许可的保护系统的一个著名的例子是Unix操作系统及其衍生系统(包括Linux)。它们提供了选择哪个用户的保护域应当与给定程序相关-->联的功能。在基于系统范围能力的保护系统和基于用户许可的保护系统之间存在明显的区别。在能力模式下,恶意可执行程序将永远不会被赋予执行敏感的或存在潜在破坏性的任何功能,从而在不被赋予这些功能的情况下,这些恶意可执行程序进行破坏的能力将受到极大的限制。另一方面,运行在具有基于用户许可模式下的装置上的恶意可执行程序将继承已经赋予运行该装置的用户的任何权限。如果用户具有管理员级别的权限并且能够访问文件系统的每个部分和装置上的外围设备和子系统,则在这个管理员的使用权限下运行的任何恶意软件将能够造成非常大的破坏。特别地,在单用户装置上,与基于能力的保护系统相比,基于用户许可的安全模式没有提供大的额外功能,但是却具有大得多的操作风险。然而,当对来自不同环境的具有不同保护模式的软件进行集成时,可能很难协调期望例如由能力模式提供的基于程序保护的任何软件与基于用户许可保护的软件环境。事实上,没有一项能够有利于集成两种保护模式的现在技术是已知的。当前的实践是将来自一种保护系统的软件转换为另一种保护系统,而不是提供一种能够对其不作改变的系统宽度的解决方案。
技术实现思路
根据本专利技术的一方面,提供一种操作具有基于用户许可安全模式的计算装置的方法,所述方法包括:通过向所述计算装置上的每个可执行程序提供单独的用户标识,使得所述计算装置能够仿真基于能力的安全模式。根据本专利技术的第二方面,提供一种计算装置,用于根据权利要求1到5中任一权利要求所述的方法进行操作。根据本专利技术的第三方面,提供一种操作系统,用于使计算装置根据权利要求1到5中任一权利要求所述的方法进行操作。具体实施方式下面将仅以示例的方式对本专利技术的实施例进行描述。本专利技术公开了一种将例如GB2391655中公开的能力保护模式的数据锁-->定特征映射到例如Unix及其衍生系统的用户许可能力模式上的方法,所述衍生系统例如为Linux.本专利技术通过自动为计算装置上的每个安装程序创建新的伪用户得以实现,从而运行在该装置上的每个程序作为为该程序创建的伪用户而执行。执行这个操作的机制优选地由Unix setuid比特位提供,所述Unix setuid比特位使得运行进程的用户ID被修改从而与可执行程序文件的所有者的用户ID相匹配。在Unix系统上,与可执行程序在实施前面所述GB2391655中技术方案的装置上的运行方式相同,用户(包括伪用户)可以具有它们自己的不同文件系统私有区域。因此,向每个安装程序提供唯一伪用户标识通过向每个可执行程序提供其自己的文件区域从而有效地提供每个程序数据锁定的可使用仿真。这个方法的策略可以通过确保关键系统服务器组件(例如主文件服务器)对它们客户的伪用户标识进行检查而实现。伪用户的初始标识要以在安装时确定(例如,通过使用一些名称或数字逻辑序列中的下一个自由标识)或者可以通过将标识包括在程序文件中或可安装程序包中或者通过单独的方式在安装之前确定。如果基本的用户许可保护模式允许用户与不同组相关联并且进一步支持某些可执行程序仅在它们为特定组或组集成的成员时运行的能力,那么伪用户标识的方案可用于对基于程序的信任设置方案进行映射,所述基于程序的信任设置方案例如为GB2389747中本文档来自技高网...
【技术保护点】
一种操作具有基于用户许可的安全模式的计算装置的方法,所述方法包括:通过向所述计算装置上的每个可执行程序提供单独的用户标识,使得所述计算装置能够仿真基于能力的安全模式。
【技术特征摘要】
【国外来华专利技术】GB 2006-6-15 0611901.01.一种操作具有基于用户许可的安全模式的计算装置的方法,所述方法包括:通过向所述计算装置上的每个可执行程序提供单独的用户标识,使得所述计算装置能够仿真基于能力的安全模式。2.根据权利要求1所述的方法,其特征在于,提供给可执行程序的所述用户标识:(1)在安装时确定,确定方式包括但不限于使用序列中的下一个自由标识;或者(2)在安装之前确定,确定方式包括但不限于将所述标识包括在将要安装的程序包中。3.根据权利要求1或2所述的方法,其特征在于,每个用户标识赋予访问该用户标识保留的私有...
【专利技术属性】
技术研发人员:安德鲁哈克,马修艾伦,
申请(专利权)人:西姆毕恩软件有限公司,
类型:发明
国别省市:GB[英国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。