提供一种通过发放超级用户权限提高嵌入式Linux内核的安全性的应用程序启动方法和系统。所述方法包括:搜索关于用户选择的应用程序的安全设置信息;将应用程序的处理器的用户帐户改为与所述安全设置信息中的应用程序相关的用户ID;根据所述安全设置信息中的权能的设置信息设置处理器的权能;根据安全设置信息中的基本目录改变处理器的基本目录;和启动应用程序。
【技术实现步骤摘要】
本专利技术一般涉及一种用于提高嵌入式Linux内核安全性的应用程序启动方法和系统,具体来说,涉及一种通过发放超级用户权限提高嵌入式Linux内核安全性的应用程序启动方法和系统。
技术介绍
随着硬件处理器技术的发展,嵌入式系统的性能也得到极大的提高。因此,可通过固定线缆和移动网络将嵌入式系统连接到外部通信装置。因为可在PDP和PMP装置中使用诸如Linux的通用操作系统,所以用户或者程序产生器创建的外部程序可在所述嵌入式系统中被运行。因此,嵌入式系统的安全性变得很重要。在诸如Linux的通用操作系统中,安全方法基于多用户环境(诸如传统的服务器-客户机环境)。在多用户环境中,操作系统应当将用户处理器从系统管理处理器中分离出来,以保护系统不受用户影响。为此,所述操作系统保留一个具有用于管理系统所需的大部分权限的独立的超级用户帐户。在Unix类型的操作系统中(诸如Linux),超级用户帐户通常被称为根帐户。所述根帐户具有用于将特定端口与处理器进行绑定、载入内核模块、安装和卸载文件系统以及各种系统管理的权限。因此,在传统的Linux操作系统中,基于用户帐户而不是根帐户来设计安全方法。典型示例是安全内核。安全内核提高内核的内部安全性。也就是说,只允许拥有相应文件的用户的用户帐户访问该文件,并且允许拥有相应权限的用户帐户进行网络连接和处理器间的通信。因为嵌入式系统通常在单一用户环境下而不是多用户环境(诸如服务器-客户机环境)下操作,所以一个用户使用嵌入式系统。因此,在嵌入式系统中,不需要用户帐户,而使用根帐户运行多数处理器。图1是示出根据传统安全方法在嵌入式系统中运行应用程序的环境的框图。参照图1,使用根帐户运行应用程序110、120和130的处理器的每一个-->(以下称为应用程序处理器),并且每个处理器可没有任何限制地访问Linux内核100。因为即使当应用程序处理器110、120和130需要部分超级用户权限或者不需要超级用户权限时也可以行使与超级用户一样的全部权限(以下称为超级用户权限),所以他们会不必要地访问嵌入式系统。因此,根据基于多用户环境的传统安全方法在嵌入式系统中运行应用程序是不是有效的方法并且对嵌入式系统安全性构成威胁。
技术实现思路
为了解决以上讨论的现有技术的缺点,本专利技术的主要目的在于实际解决至少以上问题和/或缺点,并且至少提供以下优点。因此,本专利技术的一个目的在于提供一种使用传统安全方法的应用程序启动方法和系统,所述方法和系统在Linux操作系统中使用,并且所述方法和系统在不对传统安全方法进行大规模修改的情况下在嵌入式系统中被使用。根据本专利技术的一方面,提供一种在嵌入式Linux内核中启动应用程序的方法,所述方法包括以下步骤:搜索关于用户选择的应用程序的安全设置信息;将应用程序的处理器的用户帐户改为与所述安全设置信息中的应用程序相关的用户标识(ID);根据所述安全设置信息中的权能的设置信息设置处理器的权能;根据安全设置信息中的基本目录来改变处理器的基本目录;和启动应用程序。所述方法还包括:在搜索安全设置信息的步骤之前,安装应用程序的步骤。所述安装应用程序的步骤可包括以下步骤:为将被安装的应用程序分配用户ID;对应用程序所需的权能的设置信息进行配置;和在注册表中存储包括用户标识(ID)和权能的安全设置信息。根据本专利技术的另一方面,提供一种在嵌入式Linux内核中启动应用程序的设备,包括:用户接口,接收关于用户选择的应用程序的信息;注册表接口,通过与注册表管理器通信,从注册表搜索关于应用程序的安全设置信息;和控制器,根据安全设置信息来设置用户帐户、权能和基本目录,并启动应用程序的处理器。所述系统还可包括应用程序安装器,所述应用程序安装器用于检测将被安装的应用程序的安全设置信息,并在安装应用程序的处理中将检测到的安全设置信息存储在注册表中。根据本专利技术另一方面,提供一种存储执行在嵌入式Linux内核中启动应用程序的方法的程序的计算机可读记录介质,所述方法包括以下步骤:搜索-->关于用户选择的应用程序的安全设置信息;将应用程序的处理器的用户帐户改为与所述安全设置信息中的应用程序相关的用户标识(ID);根据所述安全设置信息中的权能的设置信息设置处理器的权能;根据安全设置信息中的基本目录改变处理器的基本目录;和启动应用程序。在进行以下对本专利技术的详细描述之前,贯穿本专利文档,对使用的特定词语和词组提前进行定义可以是有利的:术语“包括”和“包含”以及其变型表示非限制性的“包含”;术语“或者”是包括性的,表示“和/或”;词组“与......相关联”及其变型可表示“包括”、“被包括在......中”、“与......相互连接”、“包含”、“被包含在......中”、“连接到......或者与......连接”、“耦合到......或者与......耦合”、“与......通信”、“与......合作”、“交织”、“并列”、“与......接近”、“绑定到......或者与......绑定”、“具有”、“具有......的属性”等;以及术语“控制器”表示控制至少一项操作的任何装置、系统或者所述装置、系统的一部分,可以以硬件、固件或者软件实现的装置或者以上至少两项的一些组合实现所述装置。应当注意,不管本地还是远程,与任何特定控制器相关的功能可以是集中或者分布的。贯穿在本专利文档,提供了对特定词语和词组的定义,从而本领域技术人员应当理解,在大多数情况下,这些前述的定义既可以被应用于现有技术,也可将这些定义的词语和词组应用于未来的技术。附图说明为了更全面地理解本公开及其优点,现在对以下结合附图的描述进行参照,其中相同的标号表示相同的部分:图1是示出根据传统安全方法的在嵌入式系统中运行应用程序的环境的框图;图2是示出根据本专利技术实施例的用于启动应用程序的示意性步骤的流程图;图3是示出根据本专利技术实施例的应用启动处理器的环境的示图;图4是根据本专利技术实施例的应用启动处理器的框图;图5是示出根据本专利技术实施例的启动应用程序的步骤的流程图;和图6是示出根据本专利技术实施例的安装应用程序的步骤的流程图。-->具体实施方式以下讨论的图2到图6以及用于描述本专利文档中的本公开的原理的各个实施例仅用于示例性的目的,不应被理解为以任何方式限制本公开的范围。本领域技术人员将理解,本公开的原理可以在任何适当安置的处理系统中被实现。图2是示出根据本专利技术实施例的启动应用程序的示意性步骤的流程图。参照图2,用户210使用应用启动处理器220选择将被启动的应用程序。应用启动处理器220激活在Linux内核240上将被启动的选择的应用程序处理器232、234和236。因此,用户210不能直接启动应用程序。用户210仅可以使用应用启动处理器220来启动应用程序。换句话说,应用启动处理器220被用作用户210和应用程序处理器232、234和236之间的接口。为此,因为应用启动处理器220应当在嵌入式Linux系统运行时持续运行,所以应用启动处理器220可被实现为嵌入式Linux系统中的守护进程(daemon)。通常,应用启动处理器220可被实现为图形用户界面(GUI),在这种情况下,应用启动处理器220还被用作在嵌入式Linux系统中管理背景屏幕和图标的窗口管理器本文档来自技高网...
【技术保护点】
一种在嵌入式Linux内核中启动应用程序的方法,所述方法包括: 搜索关于用户选择的应用程序的安全设置信息; 将应用程序的处理器的用户帐户改为与所述安全设置信息中的应用程序相关的用户标识; 根据所述安全设置信息中的权能的设置 信息设置处理器的权能;和 启动应用程序。
【技术特征摘要】
KR 2007-10-4 10-2007-01000711、一种在嵌入式Linux内核中启动应用程序的方法,所述方法包括:搜索关于用户选择的应用程序的安全设置信息;将应用程序的处理器的用户帐户改为与所述安全设置信息中的应用程序相关的用户标识;根据所述安全设置信息中的权能的设置信息设置处理器的权能;和启动应用程序。2、如权利要求1所述的方法,其中,搜索安全设置信息的步骤包括:从存储包括与应用程序相关的用户标识和权能的安全设置信息的注册表中搜索关于所述应用程序的安全设置信息。3、如权利要求2所述的方法,其中,搜索安全设置信息的步骤包括:将与应用程序相关的用户标识用作从注册表搜索关于应用程序的安全设置信息的标识信息。4、如权利要求1所述的方法,还包括:在启动应用程序之前,根据安全设置信息中的基本目录改变处理器的基本目录。5、如权利要求1所述的方法,其中,设置权能的步骤包括:确定所述处理器是否是系统管理处理器;当所述处理器是系统管理处理器时,根据安全设置信息中的权能的设置信息来设置处理器的权能。6、如权利要求5所述的方法,当所述处理器不是系统管理处理器时,根据安全设置信息中的基本目录来改变处理器的基本目录。7、如权利要求1所述的方法,其中,用户标识对应用程序是唯一的。8、如权利要求1所述的方法,还包括:在搜索安全设置信息之前,安装应用程序。9、如权利要求8所述的方法,其中,安装应用程序的步骤包括:为将被安装的应用程序分配用户标识;对应用程序所需的权能的设置信息进行配置;...
【专利技术属性】
技术研发人员:金钢熙,任东赫,具蓉本,丁荣俊,林容宽,金载明,
申请(专利权)人:三星电子株式会社,韩国电子通信研究院,
类型:发明
国别省市:KR[韩国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。