一种操作系统的主动安全防护方法、系统及终端设备与流程

本发明属于软件安全防护技术领域，尤其涉及一种操作系统的主动安全防护方法、系统及终端设备。

背景技术：

安卓android是一种基于linux的自由及开放源代码的操作系统，主要使用于移动设备，如智能手机和平板电脑。android的系统架构采用了分层的架构，android分为四个层，从高层到低层分别是应用程序层、应用程序框架层、系统运行库层和linux内核层。

目前，由于安卓系统的开放式特点，导致其无论从存储分区、linux内核或是软件安装等方面均存在漏洞，容易被黑客利用，造成恶意程序对系统的破坏和数据窃取等安全事故。

技术实现要素：

有鉴于此，本发明实施例提供了一种操作系统的主动安全防护方法、系统及终端设备，以解决现有技术中操作系统存在漏洞，容易被黑客利用，造成恶意程序对系统的破坏和数据窃取等安全事故的问题。

本发明实施例的第一方面提供了一种操作系统的主动安全防护方法，包括：

在收到第三方驱动文件的加载请求时，执行校验签名。

利用所述操作系统的密钥，验证所述第三方驱动文件的签名。

若所述签名通过验证，则允许加载所述第三方驱动文件。

若所述签名未通过验证，则拒绝加载或者访问所述第三方驱动文件。

本发明实施例的第二方面提供了一种操作系统的主动安全防护系统，包括：

驱动请求接收模块，用于在收到第三方驱动文件的加载请求时，执行校验签名。

驱动文件验证模块，用于利用所述操作系统的密钥，验证所述第三方驱动文件的签名。

第一驱动控制模块，用于若所述签名通过验证，则允许加载所述第三方驱动文件。

第二驱动控制模块，用于若所述签名未通过验证，则拒绝加载或者访问所述第三方驱动文件。

本发明实施例的第三方面提供了一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上所述操作系统的主动安全防护方法的步骤。

本发明实施例的第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如上所述操作系统的主动安全防护方法的步骤。

本发明实施例与现有技术相比存在的有益效果是：通过对要加载的第三方驱动文件进行签名校验，来判断文件的安全性。验证成功后，才允许加载第三方驱动文件，否则，不允许加载或者访问所述第三方驱动文件。避免了不明来源的恶意程序的自动安装，提高了系统防护级别。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明的一个实施例提供的操作系统的主动安全防护方法的实现流程示意图；

图2是本发明的另一个实施例提供的操作系统的主动安全防护方法的实现流程示意图；

图3是本发明的一个具体应用场景；

图4是本发明的一个实施例提供的操作系统的主动安全防护系统的结构示意图；

图5是本发明的另一个实施例提供的操作系统的主动安全防护系统的结构示意图；

图6是本发明的一个实施例提供的终端设备的示意图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本发明实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本发明的描述。

本发明的说明书和权利要求书及上述附图中的术语“包括”以及其他任何变形，是指“包括但不限于”，意图在于覆盖不排他的包含。例如包含一系列步骤或单元的过程、方法或系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。此外，术语“第一”、“第二”和“第三”等是用于区别不同对象，而非用于描述特定顺序。

为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。

实施例1：

图1示出了本发明的一个实施例所提供的操作系统的主动安全防护方法的实现流程图，为了便于说明，仅示出了与本发明实施例相关的部分，详述如下：

如图1所示，本发明实施例所提供的一种操作系统的主动安全防护方法，包括：

步骤s101，在收到第三方驱动文件的加载请求时，执行校验签名。

步骤s102，利用所述操作系统的密钥，验证所述第三方驱动文件的签名。

步骤s103，若所述签名通过验证，则允许加载所述第三方驱动文件。

步骤s104，若所述签名未通过验证，则拒绝加载或者访问所述第三方驱动文件。

本实施例中所述的第三方驱动文件为用于系统内核的非原始厂商预设的驱动文件。例如，用户在使用终端设备时，设备自带的应用程序无法满足用户需要时，要自行加载安装第三方的应用程序，为了实现应用程序的正常运行，在安装应用程序时会同时安装相应的第三方驱动文件。由于程序来源的多样化，某些第三方驱动文件可能未经过厂商检验，但是用户仍然可以获取到。本实施例中，通过对要加载的第三方驱动文件进行签名校验，来判断文件的安全性。验证成功后，才允许加载第三方驱动文件，否则，不允许加载或者访问所述第三方驱动文件。避免了不明来源的恶意程序的自动安装，提高了系统防护级别。

在一个实施例中，在步骤s102中，所述密钥为公钥，利用操作系统的公钥，验证所述第三方驱动文件的签名。

本实施例中，操作系统的密钥为采用rsa(rsaalgorithm)加密算法生成的2048位密钥。密钥包括公钥和私钥，私钥的采用厂商固件级加密机进行安全管理。

本实施例中所述的操作系统包括但不限于：安卓(android)操作系统、windows操作系统、linux操作系统、symbian操作系统、windowsmobile操作系统、以及ios操作系统等等。

以安卓(android)操作系统为例，其中的linux内核(linuxkernel)可加载第三方驱动文件(例如文件名后缀为.ko的文件)，进而允许第三方代码注入到linux内核。由于现有操作系统的安全漏洞，黑客通过加载第三方驱动文件，可利用linux内核的漏洞，窃取或控制linux内核重要的驱动处理数据。

本实施例中，通过修改操作系统的系统内核代码，针对系统内核自带的加载第三方驱动文件的功能，添加了对第三方驱动文件进行校验签名的逻辑代码，以确保第三方驱动文件只能是由同一个厂商开发和发布的才能加载。杜绝了黑客程序加载未知驱动模块的攻击方法。校验签名的逻辑与系统内核被校验签名的逻辑是相同的，可信的。

如图2所示，在本发明的一个实施例中，在步骤s104之后，所述的操作系统的主动安全防护方法，还包括：

步骤s201，在收到对系统内核的敏感节点进行访问的请求时，检验当前访问进程是否属于指定访问进程。

步骤s202，若所述当前访问进程属于所述指定访问进程，则允许所述当前访问进程访问所述敏感节点。

步骤s203，若所述当前访问进程不属于所述指定访问进程，则拒绝此次访问请求。

本实施例中，所述敏感节点为系统内核对中间层开放的/dev目录下的设备文件符。

所述指定访问进程为预先指定的访问进程。

所述当前访问进程为当前访问所述敏感节点的进程。

在一个实施例中，步骤s203中所述的拒绝此次访问请求包括拒绝加载当前访问进程或者拒绝访问敏感节点。

在具体应用中，现有的linux内核创建的文件节点，只要是有权限的程序，均可以访问。因此对于一些敏感文件节点，一旦通过漏洞获取高权限后，即可对敏感节点进行访问，进而影响正常的敏感操作数据。

本实施例中，通过修改系统内核代码，实现系统内核开放的敏感节点，只能被指定的进程访问，不属于指定访问进程的非法进程，即使获取了root权限，也无法访问该节点，提高了系统安全性。

在本发明的一个实施例中，步骤s201中所述的检验当前访问进程是否属于指定访问进程，包括：

1)在预设的允许访问进程列表中查找是否有与所述当前访问进程相对应的指定访问进程。

2)若有，则判定所述当前访问进程属于所述指定访问进程。

3)若无，则判定所述当前访问进程不属于所述指定访问进程。

本实施例中，通过判断当前访问进程是否在预设的允许访问进程列表中，来判定当前访问进程是否属于指定访问进程。

允许访问进程列表中包括若干预先指定的访问进程。

在本发明的另一个实施例中，步骤s201中所述的检验当前访问进程是否属于指定访问进程，包括：

1)获取所述当前访问进程中预设位置的预设字长的代码。

2)校验所述代码是否与预设校验代码相同。

3)若相同，则判定所述当前访问进程属于所述指定访问进程。

4)若不相同，则判定所述当前访问进程不属于所述指定访问进程。

本实施例中，预设校验代码为所述指定访问进程中预设位置的预设字长的代码。

在本发明的一个实施例中，在步骤s101之前，所述的操作系统的主动安全防护方法，还包括：

禁用所述操作系统的数据分区对第三方程序的可执行文件的执行功能。

本实施例中，通过修改系统内核代码，关闭数据分区(data分区)的可执行文件的执行功能。

在操作时，为了实现关闭执行功能，可以通过修改系统内核代码，当数据分区的文件尝试做执行操作(exec)时，系统内核会判断该文件的路径，如果路径处于data分区，系统内核会直接返回错误。

在本发明的另一个实施例中，在步骤s101之前，所述的操作系统的主动安全防护方法，还包括：

禁用所述操作系统的系统分区的重加载功能。

本实施例中，通过修改系统内核代码，关闭系统分区(system分区)的重加载(remount)功能。

在操作时，为了实现关闭重加载功能，可以通过修改系统内核代码，当中间层尝试调用重加载remount命令时，系统内核会直接返回错误。

在本发明的又一个实施例中，在步骤s101之前，所述的操作系统的主动安全防护方法，还包括：

1)在当前程序运行系统内核之前，执行签名校验。

2)利用所述操作系统的密钥，验证所述系统内核的签名。

3)若所述系统内核的签名通过验证，则允许启动所述当前程序。

4)若所述系统内核的签名未通过验证，则拒绝启动所述当前程序。

本发明实施例，提供了一种新型的操作系统主动安全防护的方案，通过主动封堵系统中容易被攻击程序利用的功能点来实现主动安全防护，采用了基于高安全密钥保护方法，使得封堵手段不可破解。可用于防止黑客获得操作系统的root权限，避免恶意程序对系统的破坏和窃取行为，可以杜绝这类可能的攻击手段，让操作系统可应用于高安全要求行业，同时不影响正常应用的运行。

如图3所示，以一个具体应用场景为例进行说明，本方法的执行过程可包括如下步骤：

a.在运行系统内核时，利用公钥验证签名，若通过则向下执行，若不通过则拒绝启动程序。

b.禁用data分区的可执行文件的执行功能。

c.禁用system分区的remount功能。

d.在加载第三方驱动文件时，利用公钥验证签名，若通过则允许加载第三方驱动文件，若不通过则拒绝加载或访问。

e.加载敏感节点的允许访问进程列表，在有当前访问进程访问该节点时，判断进程是否在列表内，若是则允许该进程访问该节点，若否则拒绝加载或访问。

本方案具有以下特点：

1.兼容性好，修改后的操作系统对于正常功能的程序是无感觉的，不影响正常功能。

2.可实施性强，掌握原理，即可快速实施。

3.安全性好，可应对任意针对操作系统未知漏洞的攻击行为，防患于未然。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

实施例2：

如图4所示，在本发明的一个实施例中，操作系统的主动安全防护系统100包括：

驱动请求接收模块101，用于在收到第三方驱动文件的加载请求时，执行校验签名。

驱动文件验证模块102，用于利用所述操作系统的密钥，验证所述第三方驱动文件的签名。

第一驱动控制模块103，用于若所述签名通过验证，则允许加载所述第三方驱动文件。

第二驱动控制模块104，用于若所述签名未通过验证，则拒绝加载或者访问所述第三方驱动文件。

如图5所示，在本发明的一个实施例中，操作系统的主动安全防护系统100还包括：

敏感请求接收模块105，用于在收到对系统内核的敏感节点进行访问的请求时，检验当前访问进程是否属于指定访问进程。

第一敏感校验模块106，用于若所述当前访问进程属于所述指定访问进程，则允许所述当前访问进程访问所述敏感节点。

第二敏感校验模块107，用于若所述当前访问进程不属于所述指定访问进程，则拒绝此次访问请求。

在本发明的一个实施例中，操作系统的主动安全防护系统100还包括：

数据分区功能禁用模块，用于禁用所述操作系统的数据分区对第三方程序的可执行文件的执行功能。

系统分区功能禁用模块，用于禁用所述操作系统的系统分区的重加载功能。

在本发明的一个实施例中，操作系统的主动安全防护系统100还包括：

系统内核校验模块，用于在当前程序运行系统内核之前，执行签名校验。

内核签名验证模块，用于利用所述操作系统的密钥，验证所述系统内核的签名。

第一内核验证模块，用于若所述系统内核的签名通过验证，则允许启动所述当前程序。

第二内核验证模块，用于若所述系统内核的签名未通过验证，则拒绝启动所述当前程序。

在一个实施例中，操作系统的主动安全防护系统100还包括其他功能模块/单元，用于实现实施例1中各实施例中的方法步骤。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即所述操作系统的主动安全防护系统100的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述操作系统的主动安全防护系统100中模块的具体工作过程，可以参考实施例1中方法的对应过程，在此不再赘述。

实施例3：

图6是本发明一实施例提供的终端设备的示意图。如图6所示，该实施例的终端设备6包括：处理器60、存储器61以及存储在所述存储器61中并可在所述处理器60上运行的计算机程序62。所述处理器60执行所述计算机程序62时实现如实施例1中所述的各实施例中的步骤，例如图1所示的步骤s101至s104。或者，所述处理器60执行所述计算机程序62时实现如实施例2中所述的各系统实施例中的各模块/单元的功能，例如图4所示模块101至104的功能。

所述终端设备6是指具有数据处理能力的终端，包括但不限于计算机、工作站、服务器，甚至是一些性能优异的智能手机、掌上电脑、平板电脑、个人数字助理(pda)、智能电视(smarttv)等。以上详细罗列了终端设备6的具体实例，本领域技术人员可以意识到，智能终端并不同限于上述罗列实例。

所述终端设备可包括，但不仅限于，处理器60、存储器61。本领域技术人员可以理解，图6仅仅是终端设备6的示例，并不构成对终端设备6的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述终端设备6还可以包括输入输出设备、网络接入设备、总线等。

所称处理器60可以是中央处理单元(centralprocessingunit，cpu)，还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器61可以是所述终端设备6的内部存储单元，例如终端设备6的硬盘或内存。所述存储器61也可以是所述终端设备6的外部存储设备，例如所述终端设备6上配备的插接式硬盘，智能存储卡(smartmediacard,smc)，安全数字(securedigital,sd)卡，闪存卡(flashcard)等。进一步地，所述存储器61还可以既包括所述终端设备6的内部存储单元也包括外部存储设备。所述存储器61用于存储所述计算机程序以及所述终端设备6所需的其他程序和数据。所述存储器61还可以用于暂时地存储已经输出或者将要输出的数据。

实施例4：

本发明实施例还提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现如实施例1中所述的各实施例中的步骤，例如图1所示的步骤s101至步骤s104。或者，所述计算机程序被处理器执行时实现如实施例2中所述的各系统实施例中的各模块/单元的功能，例如图4所示的模块101至104的功能。

所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括是电载波信号和电信信号。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。

本发明实施例系统中的模块或单元可以根据实际需要进行合并、划分和删减。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的实施例中，应该理解到，所揭露的系统/终端设备和方法，可以通过其它的方式实现。例如，以上所描述的系统/终端设备实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。

以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。