夹。29. 根据权利要求24所述的计算机设备,其中,在桌面应用程序处发起的消息包括识 别所述桌面应用程序的用户的用户身份信息,并且其中,所述用户身份信息跟随所述消息 通过访问通信网络端口以经由通信网络发送所述消息的所述服务进程。30. 根据权利要求18所述的计算机设备,进一步包括桌面,所述桌面包括用户界面,并 且其中,所述操作系统施行以下规则:防止所述服务进程中的任何服务进程直接访问所述 桌面。31. -种计算机设备,包括: 处理器; 外部介质端口; 本地存储器存储单元;以及 操作系统,所述操作系统根据配置数据在所述处理器上执行以实现服务进程,所述服 务进程包括能够经由外部介质端口与能够移除的存储器设备进行通信的服务进程,其中, 能够经由所述外部介质端口与能够移除的存储器设备进行通信的所述服务进程不具有写 入到所述本地存储器存储单元的特权。32. 根据权利要求31所述的计算机设备,其中,所述本地存储器存储单元存储服务进 程文件或服务进程文件夹。33. 根据权利要求32所述的计算机设备,其中,所述本地存储器存储单元还存储桌面 应用程序文件。34. 根据权利要求31所述的计算机设备,其中,所述计算机设备进一步包括通信端口, 并且其中,能够经由所述外部介质端口与能够移除的存储器进行通信的所述服务进程中的 一个不具有与具有经由所述通信端口进行通信的特权的另外的服务进程直接进行通信的 特权。35. 根据权利要求31所述的计算机设备,还包括桌面环境,并且其中,所述操作系统执 行以施行与桌面命名空间分离的服务命名空间,并且操作以执行在所述服务命名空间中的 所述服务进程以及在所述桌面命名空间中的一个或多个桌面应用程序。36. 根据权利要求35所述的计算机设备,其中,所述操作系统施行以下要求:运行在所 述桌面命名空间中的进程必须经由进程间通信与在所述服务命名空间中运行的进程进行 通信。37. 根据权利要求36所述的计算机设备,其中,桌面应用程序被分配有操作系统特权 的集合,所述操作系统特权的集合是同与启动所述桌面应用程序的用户账号相关联的操作 系统特权的集合被分离地设置的,并且其中,被分配给所述桌面应用程序的所述操作系统 特权的集合不包括管理员操作系统特权。38. 根据权利要求37所述的计算机设备,其中,所述操作系统施行以下规则:所述桌面 应用程序在操作系统特权中不能够被提升。39. 根据权利要求31所述的计算机设备,其中,还包括桌面,所述桌面包括用户界面, 并且其中,所述操作系统施行以下规则:防止所述服务进程中的任何服务进程直接访问所 述桌面。40. -种计算机设备,包括: 处理器; 外部介质端口; 通信端口;以及 操作系统,所述操作系统根据配置数据在所述处理器上执行以实现服务进程,所述服 务进程包括能够经由外部介质端口与能够移除的存储器设备进行通信的服务进程,其中, 能够经由所述外部介质端口与能够移除的存储器设备进行通信的所述服务进程不具有访 问所述通信端口的特权。41. 根据权利要求40所述的计算机设备,其中,能够经由所述外部介质端口与能够移 除的存储器设备进行通信的所述服务进程不具有对能够访问所述通信端口的另一服务进 行直接访问的特权。42. 根据权利要求40所述的计算机设备,还包括桌面环境,并且其中,所述操作系统执 行以施行与桌面命名空间分离的服务命名空间,并且操作以执行在所述服务命名空间中的 所述服务进程以及在所述桌面命名空间中的一个或多个桌面应用程序。43. 根据权利要求42所述的计算机设备,其中,所述操作系统施行以下要求:运行在所 述桌面命名空间中的进程必须经由进程间通信与运行在所述服务命名空间中的进程进行 通信。44. 根据权利要求40所述的计算机设备,其中,所述操作系统施行以下要求:服务必须 经由进程间通信与其他服务进行通信。45. -种计算机设备,包括: 处理器;以及 操作系统,所述操作系统根据配置数据在所述处理器上执行以实现服务进程和一个或 多个桌面进程; 其中,所述操作系统执行以施行与桌面命名空间分离的服务命名空间,以及操作以在 服务命名空间中执行所述服务进程并且在与所述服务命名空间分离的桌面命名空间中执 行一个或多个桌面应用程序,并且其中,在所述服务命名空间中实现的所有进程必须经由 进程间通信与所述桌面命名空间中的进程进行通信。46. 根据权利要求45所述的计算机设备,其中,所述一个或多个桌面应用程序被分配 有操作系统特权的集合,所述操作系统特权的集合是同与启动所述桌面应用程序的用户账 号相关联的操作系统特权的集合被分离地设置的。47. 根据权利要求45所述的计算机设备,其中,所述一个或多个桌面应用程序被分配 有相同的操作系统特权的集合,所述相同的操作系统特权的集合同与启动所述桌面应用程 序的用户账号相关联的操作系统特权不相关。48. 根据权利要求47所述的计算机设备,其中,被分配给所述桌面应用程序的所述操 作系统特权的集合不包括管理员操作系统特权。49. 根据权利要求48所述的计算机设备,其中,被分配给所述桌面应用程序的所述操 作系统特权的集合是与一般用户相关联的操作系统特权。50. 根据权利要求47所述的计算机设备,其中,所述操作系统施行以下规则:桌面应用 程序在操作系统特权中不能够被提升。51. 根据权利要求45所述的计算机设备,其中,所述计算机设备包括本地存储器存储 单元,并且其中,所述操作系统施行以下规则:防止桌面应用程序写入到被存储在所述本地 存储器存储单元中的服务文件或服务文件夹。52. 根据权利要求45所述的计算机设备,还包括桌面,所述桌面包括用户界面,并且其 中,所述操作系统施行以下规则:防止所述服务进程中的任何服务进程访问所述桌面。53. 根据权利要求45所述的计算机设备,其中,在桌面应用程序处发起的消息包括识 别桌面应用程序的用户的用户身份信息,并且其中,所述用户身份信息跟随消息通过与发 送所述消息相关联的多个进程。54. 根据权利要求53所述的计算机设备,其中,所述用户身份信息不控制与用于将所 述消息转发给消息接收者的一个或多个进程相关联的操作系统特权。55. 根据权利要求45所述的计算机设备,其中,所述计算机设备还包括通信端口和本 地存储器存储单元,并且其中,能够与所述通信端口进行通信的所述服务进程中的一个不 具有写入到所述本地存储器存储单元的特权。56. 根据权利要求45所述的计算机设备,其中,所述计算机设备还包括外部介质端口, 并且其中,能够与所述通信端口进行通信的所述服务进程中的一个不具有经由所述外部介 质端口与能够移除的存储单元进行通信的特权。57. 根据权利要求45所述的计算机设备,其中,所述计算机设备还包括通信端口、本地 存储器存储单元、以及外部介质端口,并且其中,能够与通信网络端口进行通信的所述服务 进程中的一个不具有写入到所述本地存储器存储单元的特权或经由所述外部介质端口与 能够移除的存储单元进行通信的特权,其中,能够经由所述外部介质端口与能够移除的存 储单元进行通信的所述服务进程中的一个不具有写入到所述本地存储器存储单元的特权, 并且不具有与所述通信端口进行通信的特权,并且其中,能够与所述通信端口进行通信的 所述服务进程中的一个不具有与能够经由所述外部介质端口与能够移除的存储单元进行 通信的所述服务进程中的一个直接进行通信的特权。58. -种计算机设备,包括: 处理器;以及 操作系统,所述操作系统根据配置数据在所述处理器上执行以实现服务进程和一个或 多个桌面进程; 其中,所述操作系统基于被分配给每一个服务进程的定制服务账号来施行针对所述服 务进程的操作系统特权,而不考虑调用所述服务进程的进程,其中,所述操作系统使用操作 系统特权的标准集合来施行针对一个或多个桌面应用程序中的每一个的操作系统特权,所 述操作系统特权的标准集合针对所述桌面应用程序被定义以用于所述桌面应用程序,而不 考虑用户账号的集合中的哪个用户账号调用所述桌面应用程序,并且其中,进行发送的桌 面应用程序向接收者进程发送消息,使得所述消息包括对所述桌面应用程序的用户进行识 别的用户身份,其中,随着所述消息从所述进行发送的桌面应用程序被中继到进行接收的 进程,随着所述消息由多个不同服务进程中的每一个进行处理,所述用户身份与所述消息 一起流动。59. 根据权利要求58所述的计算机设备,其中,所述用户身份信息跟随消息通过多个 进程到达它们最终目的地,包括通过访问所述通信端口以经由通信链路发送所述消息的服 务进程。60. 根据权利要求59所述的计算机设备,其中,所述用户身份信息不控制所述操作系 统特权和/或与用于将所述消息转发给消息接收者的一个或多个进程相关联的访问许可。61. 根据权利要求60所述的计算机设备,其中,所述用户身份信息控制对过程控制网 络中的过程控制对象的访问许可。62. 根据权利要求58所述的计算机设备,其中,针对所述桌面应用程序定义的所述操 作系统特权的标准集合不包括管理员操作系统特权。63. 根据权利要求62所述的计算机设备,其中,所述操作系统施行以下规则:桌面应用 程序在操作系统特权中不能够被提升。64. 根据权利要求58所述的计算机设备,其中,所述计算机设备包括本地存储器存储 单元,并且其中,所述操作系统施行以下规则:防止桌面应用程序写入到被存储在所述本地 存储器存储单元中的服务文件或服务文件夹。65. 根据权利要求58所述的计算机设备,还包括桌面,所述桌面包括用户界面,并且其 中,所述操作系统施行以下规则:防止所述服务进程中的任何服务进程访问所述桌面。66. 根据权利要求58所述的计算机设备,其中,所述用户身份信息不影响与用于将所 述消息转发给所述进行接收的进程的一个或多个进程相关联的所述操作系统特权。67. 根据权利要求58所述的计算机设备,其中,所述计算机设备还包括通信端口和本 地存储器存储单元,并且其中,能够与所述通信端口进行通信的所述服务进程中的一个不 具有写入到所述本地存储器存储单元的特权。68. 根据权利要求58所述的计算机设备,其中,所述计算机设备还包括外部介质端口, 并且其中,能够与所述通信端口进行通信的所述服务进程中的一个不具有经由所述外部介 质端口与能够移除的存储单元进行通信的特权。69. 根据权利要求58所述的计算机设备,其中,所述计算机设备还包括通信端口、本地 存储器存储单元、以及外部介质端口,并且其中,能够与所述通信端口进行通信的所述服务 进程中的一个不具有写入到所述本地存储器存储单元的特权,其中,能够经由所述外部介 质端口与能够移除的存储单元进行通信的所述服务进程中的一个不具有写入到所述本地 存储器存储单元的特权,并且其中,能够与所述通信端口进行通信的所述服务进程中的一 个不具有与能够经由所述外部介质端口与能够移除的存储单元进行通信的所述服务进程 中的一个直接进行通信的特权。70. 根据权利要求58所述的计算机设备,其中,所述操作系统执行以施行与桌面命名 空间分离的服务命名空间,并且操作以执行在服务命名空间中的所述服务进程以及在与所 述服务命名空间分离的桌面命名空间中的所述一个或多个桌面应用程序,并且其中,在所 述服务命名空间中实现的所有进程必须经由进程间通信与所述桌面命名空间中的进程进 行通信。
【专利摘要】一种过程控制系统软件安全架构,其更有效地防止零日或其他类型的恶意软件攻击,当执行应用程序和服务运行在计算机设备内时,实现了使用“最小特权”。所述基于最小特权的架构通过将软件系统的全局命名空间划分为服务命名空间和登录用户命名空间,以及通过使用进程间通信来严格地控制在这些不同命名空间中的应用程序和服务之间的通信来将“服务”进程与代表登录用户运行的桌面应用程序进行分离。此外,所述安全架构使用定制账号来保证每一个服务进程具有实现其功能所需要的特权的最小集合,而不考虑与调用的应用程序或用户相关联的特权。
【IPC分类】G05B19/418
【公开号】CN105302092
【申请号】CN201510441630
【发明人】L·A·奈策尔, D·H·乌辛
【申请人】费希尔-罗斯蒙特系统公司
【公开日】2016年2月3日
【申请日】2015年7月24日
【公告号】DE102015112026A1, US20160026813