一种国产操作系统可信安全增强方法
【专利摘要】本发明提供了一种国产操作系统可信安全增强方法。本发明针对国内目前安全操作系统的安全问题,将安全操作系统技术与可信计算技术有机的结合起来,实现紧耦合,充分利用可信平台控制模块(TPCM)提供的可信度量、可信存储和可信报告机制,基于信任链传递,从系统启动开始就将操作系统根值于TPCM的保护中,安全策略和各个安全功能实施都经过严格的身份确认和完整性验证,杜绝非法用户和非授权用户对系统的各种操作,从信任源头上确保操作系统和应用环境的安全。
【专利说明】一种国产操作系统可信安全增强方法
【技术领域】
[0001]本发明涉及一种国产操作系统可信安全增强方法,特别是涉及一种适用于现有的安全操作系统架构(如Flask和LSM),基于可信平台控制模块(TPCM)的国产操作系统可信安全增强方法。
【背景技术】
[0002]在国内,当前很多实际的安全操作系统已经被设计和开发出来。其中,最为重要的是基于Flask体系结构的动态策略安全操作系统,以及随后出现的迄今最有影响力的安全操作系统 Security Linux 和它的实现机制 LSM (Linux Security Modle)。
[0003]Flask体系结构由客体管理器(ObjectManger,0M)和安全服务器(SecurityServer, SS)组成,Flask的主要优点是将策略实施与策略决策分开,OM负责策略实施,SS负责策略决策。Flask的主要目标是提供安全策略的灵活和可变通性,与其他的体系结构相比,Flask最主要的优点是支持动态策略,即系统中策略的实施与决策是分开的,在一个系统的安全策略需要修改的时候,不需要修改引用监控器等其他关键组件,而只需要更新安全策略服务器中存储的策略即可。
[0004]LSM采取了系统钩子函数的方法来控制系统对核心“内部”客体(如进程、节点、打开文件、IPC等)的存取访问。每当系统通过了 Linux系统自带的自主访问控制DAC策略检查而试图对一个客体进行访问时,LSM借助于插入到核心代码中的“钩子函数”来仲裁对该客体的访问。LSM并不为该函数提供具体的实现,该函数就像一个“钩子”一样调用“挂”在它上面的某个具体安全模块的函数。主体是否能对客体进行访问完全取决于具体的安全模块函数,安全模块根据自己的安全策略来判断访问请求是通过还是拒绝并强制返回一个错误码。
[0005]现有的安全操作系统在强制访问控制方面表现不错,但没能很好的将强制访问控制机制与可信计算技术有机的结合起来,构建一个具有信任根的完整安全机制的系统。安全操作系统与可信计算两者结合构成的可信系统还远远不完善,耦合度较低,有的系统只是简单将可信计算功能实现在一个安全操作系统上,二者几乎各自独立运行;有的过于依赖可信计算芯片的计算能力,导致效率和可用性不高。
[0006]TPCM作为可以独立运行的模块与可信计算平台主板连接,与平台主板(含可信B1S)以及外围设备等组成可信硬件平台,为可信系统软件提供可信度量、可信存储和可信报告服务支持。TPCM还提供系统所需的数字签名、完整性验证、数据加解密等服务,并接受密码管理系统的管理。TPCM模块由硬件和工作在模块处理器上的嵌入控制程序,以及工作在主机上的驱动软件组成。
【发明内容】
[0007]本发明要解决的技术问题是提供一种针对国产操作系统,基于TPCM,实现操作系统与可信技术紧耦合的可信安全增强方法。
[0008]本发明采用的技术方案如下:一种国产操作系统可信安全增强方法,其特征在于,所述方法步骤为:一、应用层软件通过调用TSS服务提供层(TSP)提供的接口,发送请求;二、由I/O管理器转换数据包后,发送给TSS核心服务层(TCS);三、TCS通过调用TPCM驱动库接口(TDDL),将请求转换成IRP请求,发送给TPCM驱动(TDD);四、TPCM模块针对请求执行相应操作,再将操作结果返回给TDD ;五、TDD将此IRP,返回到TDDL,通过TCS的接口返回给TSP。
[0009]所述方法还包括:所述步骤二中,由I/O管理器转换数据包后,通过安全增强模块发送给TCS。
[0010]所述安全增强模块包括策略实施部件和策略判断部件,具体的安全增强方法步骤为:1、主体(进程)通过系统调用发起对客体的访问请求;2、策略实施部件收到访问请求后,向策略判断部件获取访问策略;3、策略判断部件收到请求后,从策略库中查询安全策略,并向TPCM获取策略的完整性报告;4、TPCM收到请求后,对策略及权限进行完整性验证后,将完整性状态报告及安全策略返回给策略判断部件,策略判断部件再返回给策略实施部件;
5、策略实施部件收到安全策略后,将调用可信服务接口通过TPCM来验证被访问的客体可信状态;6、TPCM收到策略实施部件的验证请求后,首先对主体的用户实施身份认证,并对被访问的客体进行完整性度量,将认证结果和度量结果报告给策略实施部件;7、策略实施部件,根据收到策略和报告,对客体执行访问操作,并向主体返回访问结果。
[0011]所述步骤2中,通过嵌入到系统调用的钩子接收访问请求。
[0012]所述步骤还包括:8、记录审计日志。
[0013]与现有技术相比,本发明的有益效果是:实现了国产操作系统与可信技术紧耦合的可信安全增强方法,安全机制更强。
[0014]本发明进一步的有益效果是:通过安全增强模块,进一步增强了可信安全。
【专利附图】
【附图说明】
[0015]图1为本发明其中一实施例的原理示意图。
[0016]图2为图1所示实施例中的安全增强原理示意图。
【具体实施方式】
[0017]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0018]本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
[0019]如图1所示,一种国产操作系统可信安全增强方法,所述方法步骤为:一、应用层软件通过调用TSS服务提供层(TSP)提供的接口,发送请求(功能请求);二、由I/O管理器转换数据包后,发送给TSS核心服务层(TCS);三、TCS通过调用TPCM驱动库接口(TDDL)Jf请求转换成IRP请求,发送给TPCM驱动(TDD);四、TPCM模块针对请求执行相应操作(如加、解密等针对功能请求的操作),再将操作结果返回给TDD ;五、TDD将此IRP,返回到TDDL,通过TCS的接口返回给TSP。
[0020]至此,应用软件对TPCM模块的一次I /0操作完成,对于需要在内核层实现的可信应用,则直接调用内核层的TCS接口,实现与TPCM的IRP数据交互。
[0021]所述方法还包括:所述步骤二中,由I/O管理器转换数据包后,通过安全增强模块发送给TCS。
[0022]如图2所示,所述安全增强模块包括策略实施部件和策略判断部件,具体的安全增强方法步骤为:1、主体(进程)通过系统调用发起对客体的访问请求(功能操作请求);2、策略实施部件收到访问请求后,向策略判断部件获取访问策略;3、策略判断部件收到请求后,从策略库中查询安全策略,并向TPCM获取策略的完整性报告;4、TPCM收到请求后,对策略及权限进行完整性验证后,将完整性状态报告及安全策略返回给策略判断部件,策略判断部件再返回给策略实施部件;5、策略实施部件收到安全策略后,将调用可信服务接口通过TPCM来验证被访问的客体可信状态;6、TPCM收到策略实施部件的验证请求后,首先对主体的用户实施身份认证,并对被访问的客体进行完整性度量,将认证结果和度量结果报告给策略实施部件;7、策略实施部件,根据收到策略和报告,对客体执行访问操作,并向主体返回访问结果。
[0023]其中主体是系统中的执行体-进程,客体可以是文件、目录、设备、IPC和Socket等对象。
[0024]安全增强模块通过TCS接口调用TPCM提供的可信服务功能,确保在主体对客体的访问时的访问控制,保证其行为可信赖。
[0025]所述步骤2中,通过嵌入到系统调用的钩子接收访问请求。
[0026]所述步骤还包括:8、记录审计日志。
[0027]通过增强模块,能够实现可执行代码完整度量,文件加密,外设控制,端口控制,网络控制和进程启动控制。
[0028]另外,操作系统启动过程中,以TPCM为信任根,通过信任链传递来保证操作系统启动的可信,操作系统启动过程中由自主安全增强模块来实现对需要加载的可执行程序和进程的可信状态和权限的判定,阻止完整性被篡改的代码执行。
[0029]采用LSM框架和自主研发的可信平台控制模块(TPCM),通过紧耦合方式,将通常的操作系统安全功能根植于TPCM的可信机制保护中,实现了系统启动过程的安全可信和系统应用过程的安全可信。由于整个系统的安全是构建在信任根的基础之上,只要充当信任根的TPCM是安全的,则整个系统就是安全的,而TPCM是具备物理安全防护特性的硬件设备,因此采用该技术构建的系统是具备很高安全等级的。本发明可广泛应用于对安全等级要求很高的环境中。
【权利要求】
1.一种国产操作系统可信安全增强方法,其特征在于,所述方法步骤为:一、应用层软件通过调用TSS服务提供层提供的接口,发送请求;二、由I/O管理器转换数据包后,发送给TSS核心服务层;三、TCS通过调用TPCM驱动库接口,将请求转换成IRP请求,发送给TPCM驱动;四、TPCM模块针对请求执行相应操作,再将操作结果返回给TDD ;五、TDD将此IRP,返回到TDDL,通过TCS的接口返回给TSP。
2.根据权利要求1所述的所述国产操作系统可信安全增强方法,其特征在于,方法还包括:所述步骤二中,由I/O管理器转换数据包后,通过安全增强模块发送给TCS。
3.根据权利要求1或2所述的所述国产操作系统可信安全增强方法,其特征在于,所述安全增强模块包括策略实施部件和策略判断部件,具体的安全增强方法步骤为:1、主体通过系统调用发起对客体的访问请求;2、策略实施部件收到访问请求后,向策略判断部件获取访问策略;3、策略判断部件收到请求后,从策略库中查询安全策略,并向TPCM获取策略的完整性报告;4、TPCM收到请求后,对策略及权限进行完整性验证后,将完整性状态报告及安全策略返回给策略判断部件,策略判断部件再返回给策略实施部件;5、策略实施部件收到安全策略后,将调用可信服务接口通过TPCM来验证被访问的客体可信状态;6、TPCM收到策略实施部件的验证请求后,首先对主体的用户实施身份认证,并对被访问的客体进行完整性度量,将认证结果和度量结果报告给策略实施部件;7、策略实施部件,根据收到策略和报告,对客体执行访问操作,并向主体返回访问结果。
4.根据权利要求3所述的所述国产操作系统可信安全增强方法,其特征在于,所述步骤2中,通过嵌入到系统调用的钩子接收访问请求。
5.根据权利要求3所述的所述国产操作系统可信安全增强方法,其特征在于,所述步骤还包括:8、记录审计日志。
【文档编号】H04L9/00GK104202296SQ201410366231
【公开日】2014年12月10日 申请日期:2014年7月30日 优先权日:2014年7月30日
【发明者】庞飞, 冷冰, 张毅, 黄沾, 龙飞宇 申请人:中国电子科技集团公司第三十研究所