专利名称:在计算装置的基于用户的保护环境中实施基于进程的保护系统的制作方法
技术领域:
本发明涉及一种在计算装置基于用户的保护环境中实现基于进程的保 护系统的方法,具体地,涉及一种可用于提高运行多用户操作系统的单个用
户计算装置的安全性的方法,所述多用户操作系统例如为Unix操作系统及 其利用基于用户许可的保护模式的衍生系统。
背景技术:
术语"计算装置,,包括但不限于台式计算机和膝上计算机、个人数字助 理(PDA)、移动电话、智能电话、数字摄像机和数字音乐播放器。它还包 括集成有一个或多个上述装置以及许多其它工业和家用电子设备的功能的
集成装置。
计算装置允许其所有者或用户在购买之后安装软件,从而可以使用新的 应用程序或提供新的功能,因此被称为开放式装置。允许所有者或用户与其 它计算装置进行通信以便交换数据和指令的计算装置被称为被连接装置。
虽然能够以这些方式扩展装置的应用具有明显的好处,但是对于计算装 置的所有者或用户而言用于添加额外软件和与其它机器进行通信的设备可 能代表了非常大的安全风险。本领域技术人员以及许多非本领域的人员都知 道,写得不好的程序或恶意程序(恶意软件)会影响开放式计算装置或被连 接的计算装置,存在着非常大的风险;现在有许多装置是开放式的并且连接 到其它装置,这极大的扩大了其风险。在通过网络连接到其它装置的被连接 装置的情况下,风险可能会扩展到连接到网络的其它装置,从而威胁到网络 自身的完整性。这种恶意软件具有许多类型,常见的类型包括但不限于病毒、 特洛4尹(Trojan)、间谍软件(spy ware )和广告软件(adware ).
已经知道,基于能力(capability-based )的安全系统在保护所有计算装置 不受恶意软件损害方面提供了非常大的好处,特别是对例如移动电话和PDA 的单个用户移动开放式被连接装置而言。基于能力的系统已经在英国伦敦的Symbian Software Ltd公司提交的多项英国专利申请中进行了披露,Symbian Software Ltd公司是用于移动电话和其它被连接装置的高级操作系统 Symbian OSTM操作系统的制造商。在这方面特别相关的是标题为"安全移动 无线装置"的英国专利申请GB2389747和标题为"具有受保护文件系统的 移动无线装置"的英国专利申请GB2391655。
在GB2389747所描述的能力保护模式中,赋予可执行程序一定的权限, 这些权限在被获得时限定了每个可执行程序能够实现的功能范围。例如,不 具有网络能力的程序被禁止启动与其它计算机的网络连接。类似的能力控制 范围能够实现该装置其它方面的功能。这些能力只能在可执行程序开始被编 译和生成时赋予,而不能被添加;测试和验证系统控制赋予可执行程序的能 力。某些非常敏感的能力(例如,控制格式化磁盘权限的能力)仅赋予作为 装置的操作系统内核上的可信计算基(TCB)的一部分的那些可执行代码组 件。
实施基于能力保护的装置的额外的特征在GB239165中进行了公开。这 个专利文献描述了安装在装置上的可执行程序如何在装置上对整个文件系 统不具有不受限制的可见性。它们在整个文件系统中具有其自己私有的或受 限制的区域,它们的数据文件存储在该区域中,其它任何应用程序均不能访 问这些区域。另外,在文件系统不受限制的某些公共区域之外,这些可执行 程序对于其它部分的文件系统不具有可见性。特别地,它们对于任何应用程 序的私有区域不具可见性。这个特征已知为数据锁定(datacaging),因为应 用程序^皮有效地锁定在其自己的文件系统区域中;这个限制由控制装置的操 作系统执行。
然而,基于能力的安全系统并非仅有的用于保护计算装置不受攻击的方 法。基于能力的系统将保护与程序相关联,但是存在将保护与不同实体相关 联的替代模式。最著名的替代模式出现在多用户计算机世界中,其将保护与 装置的用户而非数据或程序相关联。在这种模式下,不同的用户通常不能看 到其它用户的数据;系统上的一些功能与具体的用户分类相关联,例如管理 者,其被赋予特定的系统权限。
基于用户许可的保护系统的一个著名的例子是Unix操作系统及其衍生联的功能。
在基于系统范围能力的保护系统和基于用户许可的保护系统之间存在明 显的区别。在能力模式下,恶意可执行程序将永远不会被赋予执行敏感的或 存在潜在破坏性的任何功能,从而在不被赋予这些功能的情况下,这些恶意 可执行程序进行破坏的能力将受到极大的限制。
另 一方面,运行在具有基于用户许可模式下的装置上的恶意可执行程序 将继承已经赋予运行该装置的用户的任何权限。如果用户具有管理员级别的 权限并且能够访问文件系统的每个部分和装置上的外围设备和子系统,则在 这个管理员的使用权限下运行的任何恶意软件将能够造成非常大的破坏。
特别地,在单用户装置上,与基于能力的保护系统相比,基于用户许可 的安全模式没有提供大的额外功能,但是却具有大得多的操作风险。
然而,当对来自不同环境的具有不同保护模式的软件进行集成时,可能 很难协调期望例如由能力模式提供的基于程序保护的任何软件与基于用户 许可保护的软件环境。
事实上,没有 一项能够有利于集成两种保护模式的现在技术是已知的。 当前的实践是将来自 一种保护系统的软件转换为另 一种保护系统,而不是提 供一种能够对其不作改变的系统宽度的解决方案。
发明内容
根据本发明的一方面,提供一种操作具有基于用户许可安全模式的计算
装置的方法,所述方法包括通过向所述计算装置上的每个可执行程序提供 单独的用户标识,使得所述计算装置能够仿真基于能力的安全模式。
根据本发明的第二方面,提供一种计算装置,用于根据权利要求1到5 中任一权利要求所述的方法进行操作。
根据本发明的第三方面,提供一种操作系统,用于使计算装置根据权利 要求1到5中任一权利要求所述的方法进行操作。
具体实施例方式
本发明公开了一种将例如GB2391655中公开的能力保护模式的数据锁定特征映射到例如Unix及其衍生系统的用户许可能力模式上的方法,所述 衍生系统例如为Linux.
本发明通过自动为计算装置上的每个安装程序创建新的伪用户得以实 现,从而运行在该装置上的每个程序作为为该程序创建的伪用户而执行。执 行这个操作的机制优选地由Unix setuid比特位提供,所述Unix setuid比特位 使得运行进程的用户ID被修改从而与可执行程序文件的所有者的用户ID相 匹配。
在Unix系统上,与可执行程序在实施前面所述GB2391655中技术方案 的装置上的运行方式相同,用户(包括伪用户)可以具有它们自己的不同文 件系统私有区域。因此,向每个安装程序提供唯一伪用户标识通过向每个可
用仿真。
这个方法的策略可以通过确保关键系统服务器组件(例如主文件服务器) 对它们客户的伪用户标识进行检查而实现。
伪用户的初始标识要以在安装时确定(例如,通过使用一些名称或数字 逻辑序列中的下一个自由标识)或者可以通过将标识包括在程序文件中或可 安装程序包中或者通过单独的方式在安装之前确定。
如果基本的用户许可保护模式允许用户与不同组相关联并且进一步支持 某些可#1行程序仅在它们为特定組或组集成的成员时运行的能力,那么伪用 户标识的方案可用于对基于程序的信任设置方案进行映射,所述基于程序的 信任设置方案例如为GB2389747中所描述的能力。Unix setgid比特位可用于 这个目的。
因此,可以看出,本发明在实践中将基于能力的保护方案扩展到自然地 实施基于用户许可保护方案的那些保护方案。它是一种原本是单用户装置但 是运行为多用户计算机系统设计的操作系统软件的具体应用。运行Linux操 作系统的高级移动电话和智能电话是这种类型的计算装置的好例子。
因此,本发明被认为是通过以 一种新颖的方式使用现有的安全架构来解 决困难的技术问题。
虽然已经参照具体实施例对本发明进行了描述,但是应当理解,可以对 这些实施例进行修改而同时仍落入本发明权利要求书所限定的保护范围中。
权利要求
1. 一种操作具有基于用户许可的安全模式的计算装置的方法,所述方法包括通过向所述计算装置上的每个可执行程序提供单独的用户标识,使得所述计算装置能够仿真基于能力的安全模式。
2. 根据权利要求1所述的方法,其特征在于,提供给可执行程序的所 述用户标识(1) 在安装时确定,确定方式包括但不限于使用序列中的下一个自由 标识5或者(2) 在安装之前确定,确定方式包括但不限于将所述标识包括在将要 安装的程序包中。
3. 根据权利要求1或2所述的方法,其特征在于,每个用户标识赋予 访问该用户标识保留的私有文件存储区域的能力。
4. 根据权利要求1到3中任一项所述的方法,其特征在于,用户标识 被收集到组标识中,所述组标识可以不是互斥的,并且其中任何组的成员赋
5. 根据前面任一权利要求所述的方法,其特征在于,所述计算装置包 括Unix操作系统或相关的操作系统,并且可4丸行程序的setuid和setgid比特 位用于使进程能够为该程序采用所述用户标识和所述组标识。
6. —种计算装置,其被布置成根据权利要求1到5中任一权利要求所 述的方法进行操作。
7. —种操作系统,用于使计算装置根据权利要求1到5中任一权利要 求所述的方法进行操作。
全文摘要
本发明提供一种具有基于用户许可安全模式的计算装置,所述计算装置通过向装置上的每个可执行程序提供单独的用户标识从而能够仿真基于进程能力的安全模式。
文档编号G06F21/62GK101460957SQ200780020124
公开日2009年6月17日 申请日期2007年6月14日 优先权日2006年6月15日
发明者安德鲁·哈克, 马修·艾伦 申请人:西姆毕恩软件有限公司