一种基于权能的高可扩展性微内核安全管理方法技术

技术编号：41326931 阅读：5 留言：0更新日期：2024-05-13 15:04

本发明专利技术公开了一种基于权能的高可扩展性微内核安全管理方法，在内核态构建权能空间，同时在权能结构体中包含父指针parent、子指针next以及兄弟指针slibing，从而构成权能派生树；构建微内核安全管理系统，包括部署在用户态的权能空间管理子系统CSpace以及部署在内核态的CPTR解析模块，策略缓存模块，权能查找模块、策略安全策略决策模块和操作执行模块；在微内核操作系统初始化阶段，硬件初始化完成后随即构建根服务Rootserver的权能空间，然后再创建用户进程；用户通过权能空间管理子系统CSpace发送权能调用信息，由内核态模块进行权限控制和执行，然后再回收权能。本发明专利技术通过设计基于权能的安全管理，使得所有系统调用都依赖于权能，使得调用语义更加统一。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术属于微内核，更为具体地讲，涉及一种基于权能的高可扩展性微内核安全管理方法。

技术介绍

1、基于权能(capability)的访问机制是第一个给出严格语义定义的保护机制。所有受限访问的内核对象都被抽象为一种类型，而一个权能是一个不可伪造的三元组，包括对象、类型和权限。访问者必须持有对应的权能才能访问该对象，且允许限制权限的传递，以创建安全的运行环境。所有权能存放在权能空间内，形式上，权能空间是一个有向图；概念上，一个进程的权能空间是该进程可以遍历到的有向图的一部分。基于这种性质，在适当设计的情况下，权能集合的可达对象是一个传递的、自反的、半对称的闭包，而acl(accesscontrol lis，访问控制列表)可能违反这个闭包。权能机制的另一大好处是可以为其构建形式化语义，并进而对其进行形式化验证，这也是今后操作系统安全评估的重要组成部分。得益于此，sel4操作系统是第一个经过形式化验证的微内核操作系统，很多系统也都加入了权能机制。但是不足之处是若将存储权能的结点的容量设置的很大，那么将耗费过多内存。而如果设置的比较小，那么多层的权能空间将影响查找速度和管理难度。

2、权能机制作为自主访问控制机制是保护计算机信息系统资源不被非法访问的一种有效的手段，但它有一个明显的缺点，就是这种控制是自主的，资源的访问权限完全由主体决定。这种情况下安全的前提是必须信任管理权限的主体不会故意泄露权限。所以最好结合强制访问控制和最小权限原则来创造隔离的沙箱，避免无意间泄露权限。虽然自主访问控制的自主性为用户提供了很大的灵活性，但

3、此外，现有基于armv7-m微内核的权能系统实现机制比较简单，权能指针分配在内核态，增加了安全内核的范围。并且不同进程的权能空间并没有隔离开，使得安全性得不到完全的保证。64位的通用操作系统资源更加丰富，但是简单的管理机制可能导致系统的性能和可用性问题，并且权能机制比较固定，权限的可扩展性差，对于权能空间的管理机制不够完善，现有权能机制缺少针对多级查找的性能优化，且无法做到所有系统调用都通过权能。

技术实现思路

1、本专利技术的目的在于克服现有技术的不足，提供一种基于权能的高可扩展性微内核安全管理方法，通过设计基于权能的安全管理，使得所有系统调用都依赖于权能，使得调用语义更加统一。

2、为了实现上述专利技术目的，本专利技术基于权能的高可扩展性微内核安全管理方法包括以下步骤：

3、s1：在内核态构建权能空间，包括以下权能对象：

4、信息结点权能cnode，用于存储权能信息，是权能空间的结点，用于组织和索引权能；

5、线程控制块权能tcb，用于表示针对线程的控制权限，包括启动、停止、暂停和恢复线程；

6、启动信息权能bootinfo，用于存放进程初始的权能信息；

7、页表权能pagetable，用于支持持有者对页表进行操作，包括建立、修改和删除虚拟地址到物理地址的映射；

8、页帧权能frame，用于表示对页表的映射操作后对应的物理页帧权能；

9、物理内存权能dram，用于表示空闲的物理内存权能；

10、互斥锁权能sync，用于同步多个线程或进程对共享资源的访问；

11、特殊状态权能zombie，用于在权能被撤销或资源被释放时使用的状态；

12、事件通知权能ntfn，用于在不同实体之间传递事件或信号；

13、远程过程调用权能caller，用于实现跨进程的函数调用；

14、策略缓存权能avc，用于管理策略缓存向量的开关以及更新缓存时的替换策略；

15、信息结点权能cnode对应的操作有5种，分别为：

16、构建权能操作build，针对物理内存权能dram所进行的操作，用于使用一段物理内存构建一个新的权能对象，新的权能对象是物理内存权能dram的子权能；

17、拷贝权能操作copy，将一个权能从一个cnode槽拷贝到另一个槽；

18、删除权能操作delete，将一个权能及其派生出的子权能全部删除；

19、撤销权能操作revoke，将一个权能派生的所有权能删除，但是不删除该权能本身；

20、转移权能操作move，将一个权能从一个槽移动到另一个槽；

21、信息结点权能cnode在执行操作时，需要满足以下规则：只有当cnode权能移动到自身的1号槽时才可以执行转移权能操作move，其余情况cnode权能无法调用转移权能操作move；cnode权能的祖先dram只能转移到自身cnode空间以外的空间；拷贝权能操作copy派生出的权能标记为无回收权限；

22、每个权能的权能结构体中包含父指针parent、子指针next以及兄弟指针slibing，分别用于指向该权能的父权能，子权能以及兄弟权能；

23、s2：构建微内核安全管理系统，包括部署在用户态的权能空间管理子系统cspace，以及部署在内核态的cptr解析模块，策略缓存模块，权能查找模块、策略安全策略决策模块和操作执行模块，其中：

24、权能空间管理子系统cspace用于基于进程的权能空间进行权能空间管理，即保存每个进程的权能空间的信息，根据用户对权能的调用情况分配权能地址cptr并发送至cptr解析模块，并在调用完成后对权能进行回收；

25、cptr解析模块用于从权能地址cptr解析其对应的具体权能，根据该权能预设的决策方式，将权能地址cptr分发至权能查找模块或策略缓存模块；

26、权能查找模块用于根据权能地址cptr中的信息查找得到该次权能调用的所有权能，然后将得到的权能信息发送至安全策略决策模块；

27、略缓存模块用于缓存权能的安全决策策略，根据权能地址cptr中的信息匹配得到对应的权能信息并发送至安全策略决策模块；

28、安全策略决策模块用于根据接收到的权能信息进行访问控制，即根据权能信息中的权限信息判断该次权能调用是本文档来自技高网...

【技术保护点】

1.一种基于权能的高可扩展性微内核安全管理方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的高可扩展性微内核安全管理方法，其特征在于，所述步骤S2中权限包括：权能访问权限cap_right，表示对当前权能对象的权限；类型访问权限object_right，表示对于权能指向内核对象的权限；强制访问权限mac_level，表示对对象资源的强制访问控制权限。

【技术特征摘要】

1.一种基于权能的高可扩展性微内核安全管理方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的高可扩展性微内核安全管理方法，其特征在于，所述步骤s2中权限包括：权能访问...

【专利技术属性】
技术研发人员：肖堃，张鹏宇，李蒙，罗蕾，陈丽蓉，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人