一种基于三权分立的操作系统体系结构及实现方法,其权限被分为系统管理权、安全管理权、安全审计权;系统管理权对应于操作系统中的管理子系统,安全安全管理权对应于操作系统中的安全管理子系统,安全审计权对应于操作系统中的审计子系统;删除管理员,将登录操作系统进行实际操作的用户命名为操作员;运行在WINDOWS内核层的文件过滤驱动程序PriKernel,完成三权分立的控制体系,在加载安全策略后,通过上层可信代理,截获操作系统应用层与底层文件系统间的通信信息,然后送至三权分立的三个子系统进行判定;彻底去除了管理员角色,实现了权限分离。降低了管理员误判导致的系统安全事故,也禁止了管理员由于某种目的而进行的非法操作。
【技术实现步骤摘要】
本专利技术,涉及将操作系统特权在系 统核心层进行三权分立的实现方法。该方法能实现对操作系统特权的有效分离,依据权限 的映射,将特权划分成既相互制约、又相互支撑的三个部分,避免了管理员误判导致的系统 安全事故,同时也禁止了管理员由于非法目的而进行的非法操作,彻底去除了操作系统中 具备所有特权权限的超级管理员角色,属于信息安全领域。
技术介绍
特权是操作系统执行一些安全操作所必须具备的权限,例如维护用户帐户、软件 的安装、系统关闭等。如果这些特权功能一旦被滥用,系统的安全将受到极大威胁。因此, 现有的许多主流操作系统,如Linux和Windows等,都限制这些特权,只允许管理员进行操 作。但是,一旦管理员的权限被窃取,或是由于管理员依据经验做出的判断有误,那么系统 的机密性和完整性就极有可能遭到破坏。现在对操作系统特权的控制技术,主要有以下几种最小特权(Least Privilege)原则是系统安全中最基本的原则之一,它限制了使 用者对系统及数据进行存取所需要的最小权限,既保证了用户能够完成所操作的任务,同 时也确保非法用户或异常操作所造成的损失最小;基于角色访问控制(Role-BasedAccess Control)通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则。安 全管理人员根据需要定义各种角色,并设置合适的访问权限,而用户根据其责任和资历再 被指派为不同的角色。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关 联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离;职责隔离(Separation ofDuty)是指没有一个主体可单独获得完成该职责要求的所有权限,在分析角色关系的基 础上,主要通过角色互斥实现职责隔离。然而,上述的技术都忽略了一个重要事实,即不论是对程序进行权限的控制,还是 对用户进行角色的划分,都不能在操作系统层进行最根本的特权消除。比如一个恶意程序 通过缓冲区溢出的方式获得管理员权限,其仍拥有对系统配置的全部权限。在现有主流操作系统中,用户为了运行时的方便,往往以管理员身份登录系统。这 种登录的模式,有几大缺陷首先,由于管理员角色拥有最高权限,用户可对系统中的资源 进行任意访问,包括修改审计日志等,极易造成安全事故;其次,恶意的程序启动时会继承 管理员的权限,与普通用户登录相比,其破坏性可能更大;第三,对于某些特殊的过程,比如 系统软件安装,新的程序可能会替换或删除原有的程序。因此,用户必然要以管理员身份登 录系统,否则安装可能不能正常完成。此时,如果某一病毒或木马被激活,就可能会对合法 的程序同样进行恶意篡改。而现有安全机制难以对这两种正常和恶意的操作进行区分,容 易造成安全隐患。
技术实现思路
本专利技术的目的在于,通过提供,以 解决操作系统特权用户由于权限过大引发的各种安全问题。通过对特权操作的权限映射, 将所有特权划分成既相互制约、又相互支撑的三个部分,最终实现对操作系统特权的有效 分离,彻底去除操作系统中具备所有特权权限的管理员角色。禁止了管理员由于非法目的 而进行的非法操作,也彻底去除了操作系统中“超级管理员”角色。本专利技术是采用以下技术手段实现的一种基于三权分立的操作系统体系结构,操作系统的权限被分为系统管 理权、安全管理权、安全审计权;系统管理权对应于操作系统中的系统管理子系统 (SystemManagement Subsystem, SMS),安全管理权对应于操作系统中的安全管理子系统 (Security Management Subsystem, SEMS),安全审计权对应于操作系统中的审计子系统 (Audit Subsystem, AS);删除管理员,将登录操作系统进行实际操作的用户命名为操作 员;系统管理子系统由可信度量、可信服务、可信基准库和可信判定组成,操作系统系 统管理子系统主要对系统中的硬件配置信息、软件配置信息、用户身份信息等进行管理;其 中,可信基准库负责信息存储,利用可信度量机制等对系统中的主体,包括用户和进程,进 行身份的鉴别,可信服务则为应用提供相应的可信支撑;安全管理子系统判定系统中的访问请求是否符合安全策略,安全管理子系统由访 问控制、安全隔离、安全策略和安全判定组成;安全审计子系统负责记录系统中的行为,并对系统管理子系统和安全管理子系统 的工作情况进行审计。一种基于三权分立的操作系统体系结构的实现方法,在通用的WINDOWS操作系统 中,构建系统管理子系统、安全管理子系统、审计子系统;利用应用层的策略配置工具(ConfgTool),为三个子系统提供不同的策略配置界 面,ConfgTool完成策略配置后,生成相应的策略文件,并且以DeviceloControl的方式通 知安全内核(PriKernel)加载;运行在WINDOWS内核层的文件过滤驱动程序I^riKernel,完成本专利技术的三权分立 的控制体系,在加载安全策略后,通过上层可信代理,截获操作系统应用层与底层文件系统 间的通信信息,然后送至三权分立的三个子系统进行判定;PriKernel作为系统驱动,以服 务的方式加载,截获1/0管理器发出的IRP包,实现前面所述体系;在内核驱动I^riKernel 中,上层代理通过Hook机制挂钩ZwCreat必ection操作,以获得程序的启动请求;通过文件 过滤驱动提供的两个派遣例程IRP_MJ_CREATE和IRP_MJ_SET_INF0RMATI0N获得对文件的 访问请求;所述的系统管理子系统包括以下步骤a、系统初始时,为每一个用户配发一个USB-KEY,系统管理子系统通过作为用 户身份唯一标识的USB-KEY实现对用户身份的鉴别;每一项白名单的数据结构是User, Fullpath, Hash,所有的可执行程序文件在系统初始时,都用SHAl算法收集其摘要值,建立 用户与程序的对应关系,每个程序可以赋给所有用户,也可赋给某一用户,在文件过滤驱动 PriKernel中,通过RegmonMapkrviceTable获得对程序往内存中加载处的挂钩;5b、配置工具ConfgTool与内核PriKernel协商形成加解密的密钥文件,该文件被 隔离保护,禁止任何进程或程序对其进行读取、修改操作;所述的安全管理子系统包括以下步骤系统启动时,安全策略加载到I^iKernel开辟的内存LIST_ENTRY链表中; a、通过派遣函数例程IRP_MJ_CREATE和IRP_MJ_SET_INF0RMATI0N获得系统中的 访问控制请求,解析IRP包,获得访问操作的类型;通过FileObject获得要被访问的客体; 通过I^sGetCurrentProcessId函数获得当前进程的PID信息,并通过向系统管理子系统询 问,得知该主体是否为合法的主体;依据安全策略对操作系统中的访问请求实施判定;b、通过进程与资源的绑定方式,实现资源的安全隔离;所述的审计子系统包括以下步骤系统初始启动时I^riKernel通过I^sCreateSystemThread —个审计线程,并构建 LIST_ENTRY结构的审计队列;a、在系统中的关键访问控制点挂载审计钩子函数,通过钩子函数记录相应的审计 信息,并将审计记录存放到LIST_ENTRY结构的本文档来自技高网...
【技术保护点】
一种基于三权分立的操作系统体系结构,其特征在于:所述的操作系统的权限被分为系统管理权、安全管理权、安全审计权;系统管理权对应于操作系统中的管理子系统,安全安全管理权对应于操作系统中的安全管理子系统,安全审计权对应于操作系统中的审计子系统;删除管理员,将登录操作系统进行实际操作的用户命名为操作员;所述的管理子系统由可信度量、可信服务、可信基准库和可信判定组成,操作系统管理子系统主要对系统中的硬件配置信息、软件配置信息、用户身份信息等进行管理;其中,可信基准库负责信息存储,利用可信度量机制等对系统中的主体,包括用户和进程,进行身份的鉴别,可信服务则为应用提供相应的可信支撑;所述的安全管理子系统判定系统中的访问请求是否符合安全策略,安全管理子系统由访问控制、安全隔离、安全策略和安全判定组成;所述的安全审计子系统负责记录系统中的行为,并对系统管理子系统和安全管理子系统的工作情况进行审计。
【技术特征摘要】
【专利技术属性】
技术研发人员:李瑜,赵勇,韩培胜,
申请(专利权)人:北京工业大学,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。