一種國產操作系統可信安全增強方法
【專利摘要】本發明提供了一種國產操作系統可信安全增強方法。本發明針對國內目前安全操作系統的安全問題,將安全操作系統技術與可信計算技術有機的結合起來,實現緊耦合,充分利用可信平臺控制模塊(TPCM)提供的可信度量、可信存儲和可信報告機制,基于信任鏈傳遞,從系統啟動開始就將操作系統根值于TPCM的保護中,安全策略和各個安全功能實施都經過嚴格的身份確認和完整性驗證,杜絕非法用戶和非授權用戶對系統的各種操作,從信任源頭上確保操作系統和應用環境的安全。
【專利說明】一種國產操作系統可信安全增強方法
【技術領域】
[0001]本發明涉及一種國產操作系統可信安全增強方法,特別是涉及一種適用于現有的安全操作系統架構(如Flask和LSM),基于可信平臺控制模塊(TPCM)的國產操作系統可信安全增強方法。
【背景技術】
[0002]在國內,當前很多實際的安全操作系統已經被設計和開發出來。其中,最為重要的是基于Flask體系結構的動態策略安全操作系統,以及隨后出現的迄今最有影響力的安全操作系統 Security Linux 和它的實現機制 LSM (Linux Security Modle)。
[0003]Flask體系結構由客體管理器(ObjectManger,0M)和安全服務器(SecurityServer, SS)組成,Flask的主要優點是將策略實施與策略決策分開,OM負責策略實施,SS負責策略決策。Flask的主要目標是提供安全策略的靈活和可變通性,與其他的體系結構相比,Flask最主要的優點是支持動態策略,即系統中策略的實施與決策是分開的,在一個系統的安全策略需要修改的時候,不需要修改引用監控器等其他關鍵組件,而只需要更新安全策略服務器中存儲的策略即可。
[0004]LSM采取了系統鉤子函數的方法來控制系統對核心“內部”客體(如進程、節點、打開文件、IPC等)的存取訪問。每當系統通過了 Linux系統自帶的自主訪問控制DAC策略檢查而試圖對一個客體進行訪問時,LSM借助于插入到核心代碼中的“鉤子函數”來仲裁對該客體的訪問。LSM并不為該函數提供具體的實現,該函數就像一個“鉤子”一樣調用“掛”在它上面的某個具體安全模塊的函數。主體是否能對客體進行訪問完全取決于具體的安全模塊函數,安全模塊根據自己的安全策略來判斷訪問請求是通過還是拒絕并強制返回一個錯誤碼。
[0005]現有的安全操作系統在強制訪問控制方面表現不錯,但沒能很好的將強制訪問控制機制與可信計算技術有機的結合起來,構建一個具有信任根的完整安全機制的系統。安全操作系統與可信計算兩者結合構成的可信系統還遠遠不完善,耦合度較低,有的系統只是簡單將可信計算功能實現在一個安全操作系統上,二者幾乎各自獨立運行;有的過于依賴可信計算芯片的計算能力,導致效率和可用性不高。
[0006]TPCM作為可以獨立運行的模塊與可信計算平臺主板連接,與平臺主板(含可信B1S)以及外圍設備等組成可信硬件平臺,為可信系統軟件提供可信度量、可信存儲和可信報告服務支持。TPCM還提供系統所需的數字簽名、完整性驗證、數據加解密等服務,并接受密碼管理系統的管理。TPCM模塊由硬件和工作在模塊處理器上的嵌入控制程序,以及工作在主機上的驅動軟件組成。
【發明內容】
[0007]本發明要解決的技術問題是提供一種針對國產操作系統,基于TPCM,實現操作系統與可信技術緊耦合的可信安全增強方法。
[0008]本發明采用的技術方案如下:一種國產操作系統可信安全增強方法,其特征在于,所述方法步驟為:一、應用層軟件通過調用TSS服務提供層(TSP)提供的接口,發送請求;二、由I/O管理器轉換數據包后,發送給TSS核心服務層(TCS);三、TCS通過調用TPCM驅動庫接口(TDDL),將請求轉換成IRP請求,發送給TPCM驅動(TDD);四、TPCM模塊針對請求執行相應操作,再將操作結果返回給TDD ;五、TDD將此IRP,返回到TDDL,通過TCS的接口返回給TSP。
[0009]所述方法還包括:所述步驟二中,由I/O管理器轉換數據包后,通過安全增強模塊發送給TCS。
[0010]所述安全增強模塊包括策略實施部件和策略判斷部件,具體的安全增強方法步驟為:1、主體(進程)通過系統調用發起對客體的訪問請求;2、策略實施部件收到訪問請求后,向策略判斷部件獲取訪問策略;3、策略判斷部件收到請求后,從策略庫中查詢安全策略,并向TPCM獲取策略的完整性報告;4、TPCM收到請求后,對策略及權限進行完整性驗證后,將完整性狀態報告及安全策略返回給策略判斷部件,策略判斷部件再返回給策略實施部件;
5、策略實施部件收到安全策略后,將調用可信服務接口通過TPCM來驗證被訪問的客體可信狀態;6、TPCM收到策略實施部件的驗證請求后,首先對主體的用戶實施身份認證,并對被訪問的客體進行完整性度量,將認證結果和度量結果報告給策略實施部件;7、策略實施部件,根據收到策略和報告,對客體執行訪問操作,并向主體返回訪問結果。
[0011]所述步驟2中,通過嵌入到系統調用的鉤子接收訪問請求。
[0012]所述步驟還包括:8、記錄審計日志。
[0013]與現有技術相比,本發明的有益效果是:實現了國產操作系統與可信技術緊耦合的可信安全增強方法,安全機制更強。
[0014]本發明進一步的有益效果是:通過安全增強模塊,進一步增強了可信安全。
【專利附圖】
【附圖說明】
[0015]圖1為本發明其中一實施例的原理示意圖。
[0016]圖2為圖1所示實施例中的安全增強原理示意圖。
【具體實施方式】
[0017]為了使本發明的目的、技術方案及優點更加清楚明白,以下結合附圖及實施例,對本發明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅用以解釋本發明,并不用于限定本發明。
[0018]本說明書(包括任何附加權利要求、摘要和附圖)中公開的任一特征,除非特別敘述,均可被其他等效或者具有類似目的的替代特征加以替換。即,除非特別敘述,每個特征只是一系列等效或類似特征中的一個例子而已。
[0019]如圖1所示,一種國產操作系統可信安全增強方法,所述方法步驟為:一、應用層軟件通過調用TSS服務提供層(TSP)提供的接口,發送請求(功能請求);二、由I/O管理器轉換數據包后,發送給TSS核心服務層(TCS);三、TCS通過調用TPCM驅動庫接口(TDDL)Jf請求轉換成IRP請求,發送給TPCM驅動(TDD);四、TPCM模塊針對請求執行相應操作(如加、解密等針對功能請求的操作),再將操作結果返回給TDD ;五、TDD將此IRP,返回到TDDL,通過TCS的接口返回給TSP。
[0020]至此,應用軟件對TPCM模塊的一次I /0操作完成,對于需要在內核層實現的可信應用,則直接調用內核層的TCS接口,實現與TPCM的IRP數據交互。
[0021]所述方法還包括:所述步驟二中,由I/O管理器轉換數據包后,通過安全增強模塊發送給TCS。
[0022]如圖2所示,所述安全增強模塊包括策略實施部件和策略判斷部件,具體的安全增強方法步驟為:1、主體(進程)通過系統調用發起對客體的訪問請求(功能操作請求);2、策略實施部件收到訪問請求后,向策略判斷部件獲取訪問策略;3、策略判斷部件收到請求后,從策略庫中查詢安全策略,并向TPCM獲取策略的完整性報告;4、TPCM收到請求后,對策略及權限進行完整性驗證后,將完整性狀態報告及安全策略返回給策略判斷部件,策略判斷部件再返回給策略實施部件;5、策略實施部件收到安全策略后,將調用可信服務接口通過TPCM來驗證被訪問的客體可信狀態;6、TPCM收到策略實施部件的驗證請求后,首先對主體的用戶實施身份認證,并對被訪問的客體進行完整性度量,將認證結果和度量結果報告給策略實施部件;7、策略實施部件,根據收到策略和報告,對客體執行訪問操作,并向主體返回訪問結果。
[0023]其中主體是系統中的執行體-進程,客體可以是文件、目錄、設備、IPC和Socket等對象。
[0024]安全增強模塊通過TCS接口調用TPCM提供的可信服務功能,確保在主體對客體的訪問時的訪問控制,保證其行為可信賴。
[0025]所述步驟2中,通過嵌入到系統調用的鉤子接收訪問請求。
[0026]所述步驟還包括:8、記錄審計日志。
[0027]通過增強模塊,能夠實現可執行代碼完整度量,文件加密,外設控制,端口控制,網絡控制和進程啟動控制。
[0028]另外,操作系統啟動過程中,以TPCM為信任根,通過信任鏈傳遞來保證操作系統啟動的可信,操作系統啟動過程中由自主安全增強模塊來實現對需要加載的可執行程序和進程的可信狀態和權限的判定,阻止完整性被篡改的代碼執行。
[0029]采用LSM框架和自主研發的可信平臺控制模塊(TPCM),通過緊耦合方式,將通常的操作系統安全功能根植于TPCM的可信機制保護中,實現了系統啟動過程的安全可信和系統應用過程的安全可信。由于整個系統的安全是構建在信任根的基礎之上,只要充當信任根的TPCM是安全的,則整個系統就是安全的,而TPCM是具備物理安全防護特性的硬件設備,因此采用該技術構建的系統是具備很高安全等級的。本發明可廣泛應用于對安全等級要求很高的環境中。
【權利要求】
1.一種國產操作系統可信安全增強方法,其特征在于,所述方法步驟為:一、應用層軟件通過調用TSS服務提供層提供的接口,發送請求;二、由I/O管理器轉換數據包后,發送給TSS核心服務層;三、TCS通過調用TPCM驅動庫接口,將請求轉換成IRP請求,發送給TPCM驅動;四、TPCM模塊針對請求執行相應操作,再將操作結果返回給TDD ;五、TDD將此IRP,返回到TDDL,通過TCS的接口返回給TSP。
2.根據權利要求1所述的所述國產操作系統可信安全增強方法,其特征在于,方法還包括:所述步驟二中,由I/O管理器轉換數據包后,通過安全增強模塊發送給TCS。
3.根據權利要求1或2所述的所述國產操作系統可信安全增強方法,其特征在于,所述安全增強模塊包括策略實施部件和策略判斷部件,具體的安全增強方法步驟為:1、主體通過系統調用發起對客體的訪問請求;2、策略實施部件收到訪問請求后,向策略判斷部件獲取訪問策略;3、策略判斷部件收到請求后,從策略庫中查詢安全策略,并向TPCM獲取策略的完整性報告;4、TPCM收到請求后,對策略及權限進行完整性驗證后,將完整性狀態報告及安全策略返回給策略判斷部件,策略判斷部件再返回給策略實施部件;5、策略實施部件收到安全策略后,將調用可信服務接口通過TPCM來驗證被訪問的客體可信狀態;6、TPCM收到策略實施部件的驗證請求后,首先對主體的用戶實施身份認證,并對被訪問的客體進行完整性度量,將認證結果和度量結果報告給策略實施部件;7、策略實施部件,根據收到策略和報告,對客體執行訪問操作,并向主體返回訪問結果。
4.根據權利要求3所述的所述國產操作系統可信安全增強方法,其特征在于,所述步驟2中,通過嵌入到系統調用的鉤子接收訪問請求。
5.根據權利要求3所述的所述國產操作系統可信安全增強方法,其特征在于,所述步驟還包括:8、記錄審計日志。
【文檔編號】H04L9/00GK104202296SQ201410366231
【公開日】2014年12月10日 申請日期:2014年7月30日 優先權日:2014年7月30日
【發明者】龐飛, 冷冰, 張毅, 黃沾, 龍飛宇 申請人:中國電子科技集團公司第三十研究所