本发明专利技术涉及一种通过进程行为的配伍禁忌提高操作系统安全性的方法,主要步骤如下:1.1)定义一组可能存在配伍禁忌、即可能要求互斥的关键行为;1.2)每个进程都有按一定形式记录的配伍禁忌规则;1.3)每个进程都按一定的形式记录下已经发生过的关键行为;1.4)关键行为在发生前须经过禁忌检查,根据当事进程的配伍禁忌规则和已经发生过的关键行为进行判断,如果已经发生过的关键行为中有与其构成配伍禁忌、即互斥的关键行为已经发生,该关键行为视为禁忌行为就不允许其发生。本发明专利技术有益的效果是:将进程行为的配伍禁忌引入计算机操作系统,根据进程已有的行为控制其后续的行为,提高计算机操作系统的安全性。
【技术实现步骤摘要】
本专利技术涉及一种提高计算机操作系统安全性的方法,主要是一种。
技术介绍
操作系统的安全性主要体现为文件系统的安全性。为保证具体的文件和目录不受到不适当的访问,例如恶意或意外的读、写、修改、创建、执行,在操作系统领域发展起了一种称为“访问控制名单(ACL)”的机制与技术,为每个文件或目录(或其它资源)都配备一个“访问控制名单”,名单中详列对于哪些人或组允许什么样的访问权限(读/写/执行及其它),或者不允许什么样的访问;名单上没有的就不许访问,或只允许读。这个名单就是ACL,即“Access Control List”,也翻译成“访问控制列表”或“访问控制表”。ACL在一定程度上提高了操作系统的安全性,所以早就在例如银行一类的机构中得到了应用,目前占主导地位的操作系统、即Windows和Unix/Linux、也都支持ACL。但是ACL基本上只是根据用户的身份控制其访问具体文件的权限,而身份在某些条件下是可以伪造、或者钻空子套取的,例如黑客攻击时就总是千方百计套取“超级用户”的身份,一旦有了“超级用户”的身份就可以通行无阻了。所以,特别是随着网络技术和应用的发展,ACL已经愈来愈不能满足系统安全性的要求了。为此,人们开始研究如何改进ACL、增强其功能,结果是出现了一种基于“安全策略(Security Policy)”的机制和技术。这里所谓的“策略(Policy)”其实是“规则”的意思。在这方面特别值得一提的是美国“国家安全局(National Security Agency)”、即NSA、以及美国犹它大学Flask项目组所做的工作。在他们所做工作的基础上,上世记90年代末和本世记初,形成了对Linux操作系统的扩充和改进,称为SELinux,意为“增强了安全性的Linux”。从Linux的2.6版开始,SELinux已经成为Linux内核版本的一部分。而Windows,实际上也在其企业版中实现了类似的机制。有了安全策略机制,对文件系统的访问控制就在一定程度上扩展到了进程的行为控制,例如执行某个程序的进程只能为哪一些可执行文件(即程序)创建子进程,等等。但是,尽管如此,这种安全策略机制对进程的行为控制仍是静态的,而并没有根据进程在某一方面的实际行为控制其另一方面的行为。应该说,在操作系统对于文件等对象的保护机制中不考虑、不考察使用者的行为历史,是现有技术的缺陷,它在一定程度上降低了系统的安全性。在医药上有一种称为“配伍禁忌”的概念如果病人服了某种药,就不能再让其服用另外一种(或几种)什么药。实质上这就是根据行为主体在某一方面已有的行为控制其后续的另一方面的行为。所以,把“配伍禁忌”的概念引入操作系统的安全策略机制,用于进程的行为控制是很有实际意义的。例如可以把网络连接和对于敏感文件的访问定为配伍禁忌。这样,如果进程P已经建立了网络连接,然后要求读某个存有敏感信息的文件F,就应该加以拒绝;但是,对于同一个进程,如果没有建立网络连接,则允许其读文件F。反过来,如果进程P先读了文件F,然后要求建立网络连接,则同样应该加以阻拦,反正这二者互斥而不能兼得。所以,配伍禁忌实际上是对于互斥的说明和要求。总之,在同一进程中,如果行为A跟B构成配伍禁忌,那么其中任何一方的执行都以对方从未得到执行为条件。其实人们在社会生活中也常常在实行配伍禁忌,例如从事机密工作的人不得移民出国,而有“海外关系”的人可能也不适合机密工作,如此等等。配伍禁忌实际上就是“互斥(Mutual-Exclusive)”,例如让网络连接与某个目录下的文件访问互斥。这样,即使有个间谍软件获得了运行,并且套取了“超级用户”的身份,但是想要把这个目录下的文件通过网络连接发送出去,却不能得逞。显然,操作系统的安全性因此得到了改善。本专利技术的内容和特点就是把对于进程行为历史的考察纳入包括ACL在内的安全机制,对进程的行为按预定的配伍禁忌加以控制,从而达到提高系统安全性的目的。在本说明书中,“操作”与“行为”、“配伍禁忌”与“互斥”为同义词,可以互换使用。
技术实现思路
针对现有技术的缺陷,本专利技术提供了一种在计算机操作系统中对进程的行为实行配伍禁忌,使不同行为按预定的规则实现互斥,其效果是提高了计算机操作系统的安全性。本专利技术所述的这种,主要步骤如下1.1)定义一组可能存在配伍禁忌、即可能要求互斥的关键行为;1.2)每个进程都有按一定形式记录的配伍禁忌规则;1.3)每个进程都按一定的形式记录下已经发生过的关键行为;1.4)关键行为在发生前须经过禁忌检查,根据当事进程的配伍禁忌规则和已经发生过的关键行为进行判断,如果已经发生过的关键行为中有与其构成配伍禁忌、即互斥的关键行为已经发生,该关键行为视为禁忌行为就不允许其发生。其中,上述的一组可能存在配伍禁忌、即可能要求互斥的“关键行为”,包括(但不限于)文件操作、网络操作、进程间通信、创建子进程等等。其中文件操作也可以按具体的操作类型细分成按读模式打开文件、按写模式打开文件、按执行模式打开文件、映射文件、读文件、写文件、执行文件、改变文件属性等数项。只有必须通过系统调用完成的操作才可以定义为关键行为。配伍禁忌只能发生在关键行为之间。关键行为的具体选取与具体的操作系统有关,因为不同操作系统提供的机制和有关的系统调用也有所不同;但是关键行为应该包括下列操作文件操作类为读而打开文件(包括目录)、为写打开文件(目录)、为执行打开文件,还可以包括实际的读文件、写文件、执行文件、映射文件。网络操作类建立/打开插口(Socket)、等待接收对方的连接要求(Listen)、要求连接到对方(Connect)、接受对方的连接要求(Accept)、等等。进程间通信指可以在进程间传递大量信息的进程间通信机制,包括创建管道、创建/连接/使用命名管道、创建/连接/使用本地(相当于Unix域)插口、创建/使用报文队列、创建/使用共享内存,创建/使用Windows中的LPC、Windows中跨进程的内存访问等。进程管理创建子进褶,执行某个可执行文件。系统管理关机,重启,动态安装内核模块,改变配伍禁忌规则。不过,关键行为的具体选取并不改变本专利技术对进程的行为实行配伍禁忌、使不同行为按预定的规则实现互斥的本质。本专利技术所述的这种,还可以通过下述方法进一步完善和补充。1.对ACL机制加以扩充,使具体的ACE在允许按指定模式打开目标文件的同时提供两种信息禁忌行为描述块与按指定模式打开此文件构成配伍禁忌的其它行为。配伍禁忌描述块对于可执行文件,执行此文件的进程所遵循的初始配伍禁忌。2.为每个进程配备一个关键行为的“配伍禁忌描述块”、一个记录着已有关键行为的“既有行为记录块”、和一个“禁忌行为描述块”。作用如下配伍禁忌描述块包括若干配伍禁忌描述项,每一个配伍禁忌描述项给出两组互斥的关键操作(但是同一组内的操作并不互斥,每一组内至少有一种操作),构成一对配伍禁忌。既有行为记录块按类型记录着本进程已经发生过的关键操作。禁忌行为描述块按类型记录着已知的禁忌、即禁止发生的关键操作。对于除打开文件以外的关键操作,根据配伍禁忌和已经发生的关键操作可以推算出禁忌行为。对于打开文件操作,则根据目标文件ACL提供的禁忌行为描述块动态加以扩充。3.每个进程的关键行为配伍禁忌描述块的原始本文档来自技高网...
【技术保护点】
一种通过进程行为的配伍禁忌提高计算机操作系统安全性的方法,其特征是:1.1)定义一组可能存在配伍禁忌、即可能要求互斥的关键行为;1.2)每个进程都有按一定形式记录的配伍禁忌规则;1.3)每个进程都按一定的形式记录下已 经发生过的关键行为;1.4)关键行为在发生前须经过禁忌检查,根据当事进程的配伍禁忌规则和已经发生过的关键行为进行判断,如果已经发生过的关键行为中有与其构成配伍禁忌、即互斥的关键行为已经发生,该关键行为即视为禁忌行为而不允许其发生。
【技术特征摘要】
【专利技术属性】
技术研发人员:毛德操,
申请(专利权)人:毛德操,
类型:发明
国别省市:86[中国|杭州]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。