【技术实现步骤摘要】
基于Linux操作系统的软件权限控制系统及方法
[0001]本专利技术涉及Linux操作系统基础安全领域,具体涉及一种软件权限控制系统的底层安全实现方法及系统。
技术介绍
[0002]随着信息技术的发展,个人数据隐私的重要性越来得到大家的重视,操作系统的安全技术也越来越得到大家的重视和关注,传统的DAC访问控制已经不再能够满足普通用户的需求,因为在这种安全权限系统的保护下,一旦root权限被非法获取,相当于获取了系统的一切权限和隐私数据。因此越来越多的桌面操作系统会给用户提供基于MAC和RBAC的安全权限控制系统,比如selinux,但是由于其本身设计的初衷是面向专业的安全部门和技术人员的,并不是普通用户,其策略配置复杂,技术门槛高,维护成本高,对普通用户不友好等特点,限制了selinux在普通用户中的推广和使用。
[0003]在Linux操作系统基础安全领域,最常用的软件权限控制方案是selinux,selinux是使用Linux LSM安全框架实现的安全子系统,它是一种强制访问控制系统(MAC:Mandatory...
【技术保护点】
【技术特征摘要】
1.基于Linux操作系统的软件权限控制系统,包括用户空间及内核空间,其特征在于:所述用户空间包括可视化授权程序模块及可视化安全策略管理工具,其中,可视化授权程序模块用于向用户提供可视化的动态授权界面,并将用户的授权选择结果写入内核空间;可视化安全策略管理工具用于显示当前操作系统安装的所有软件包及其权限,并向内核空间下发软件授权策略规则;所述内核空间包括安全子系统hooks函数模块、安全文件系统模块、内核策略管理模块及安全域转换模块,其中,安全子系统hooks函数模块与用户空间的可视化授权程序模块连接,用于在程序运行过程中遇到权限申请时,通过内核调用核外可视化授权程序模块引导用户选择授权策略;并用于基于应用程序中每个软件包的唯一身份标识及用户设置的策略规则对每个软件包进行权限审核及安全域转换;安全域转换模块与安全子系统hooks函数模块连接,用于提供安全域转换接口;安全文件系统模块与内核策略管理模块及用户空间的可视化授权程序模块连接,用于从可视化授权程序模块中接收用户的授权选择结果,并将其写入内核策略管理模块中;内核策略管理模块同时与用户空间的可视化安全策略管理工具连接,用于从可视化安全策略管理工具中接收软件授权策略规则;安全文件系统模块同时与安全子系统hooks函数模块连接,用于在安全子系统hooks函数模块通过内核调用核外可视化授权程序模块引导用户选择授权策略时,通过安全文件系统模块向用户传递数据。2.如权利要求1所述的基于Linux操作系统的软件权限控制系统,其特征在于:软件包的唯一身份标识包括主体安全标签及客体安全标签,其中,主体安全标签仅包括主体软件标识,或同时包括主体软件标识及主体解释器标识;客体安全标签包括客体软件标识、客体解释器标识、设备类型标识及特殊文件标识;或包括客体软件标识、设备类型标识及特殊文件标识;其中,主体软件标识及客体软件标识为对软件进行权限控制的唯一标识;主体解释器标识及客体解释器标识用于在一般性安全域转换规则无法适用的场景下提供正确的安全域转换规则。3.如权利要求2所述的基于Linux操作系统的软件权限控制系统,其特征在于:安全域转换模块提供三种安全域转换规则:一般性安全域转换规则,用于在进程的主体安全标签中没有包含解释器标识情况下适用;通用解释器安全域转换规则,用于在进程的主体安全标签中包含通用解释器标识...
【专利技术属性】
技术研发人员:徐建,徐叶,马桂才,杨诏钧,魏立峰,韩光,姬一文,
申请(专利权)人:麒麟软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。