| 主权项 |
1.一种在安全操作系统中实现最小特权控制的方法,其特征在于,该方法包括:步骤S1:对照系统的安全需求将超级用户特权划分成细粒度的权能集合;步骤S2:搜索和确定操作系统中与安全相关的系统调用,在系统调用中执行必要的权能检查;步骤S3:确定可信管理程序和可信应用程序的权能状态;步骤S4:利用新提供的管理命令配置缺省角色、域的权能属性值以及用户、角色和域之间的指派关系;步骤S5:通过新的会话程序验证登陆用户的安全属性和设置进程的初始权能状态,具体包括:先增加新的标识与鉴别机制,使新的会话程序不仅验证会话请求者的用户名和密码,还验证用户所属角色和角色所属域,保证指定的角色属于该用户允许承担的角色,和指定的域属于该角色允许进入的域;然后,会话程序从相应的策略配置文件中读取指定角色和域的属性,包括角色和域的标识和权能属性值;然后,根据角色的权能和域的权能属性值以及POSIX关于进程权能状态的定义,设置进程的初始权能状态,包括其可继承权能集,最大许可权能集和有效权能集;再根据角色和域的标识值,设置进程的初始角色和域的标识值;步骤S6:判定进程执行的下一个操作是调用execve()系统调用,还是请求执行安全相关的操作,如果是调用execve()系统调用,则进行权能运算或执行域转换;否则,如果是请求执行安全相关的操作,则通过权能检查去调用权能判定功能,决定其是否允许执行安全相关的操作;步骤S7:判定进程是否具有请求的受限操作或超越访问的权能:进程执行一个受限的操作或超越访问之前,先经过授权检查,决定其是否具有相应的行为能力,权能判定模块检测执行进程的有效权能集中是否具有所请求的行为权能,如果有,则授权其执行;否则,终止此行为;步骤S8:执行受限的操作或超越访问;步骤S9:判断要执行的程序文件是否是一个实现域转换的入口程序,如果是,则执行域转换;否则,保持域小变;步骤S10:对照策略配置执行安全的域转换和检索新域的权能状态;步骤S11:检索程序文件的权能状态;步骤S12:系统依据提供的权能运算方法计算新的进程权能状态值,具体包括:如果不存在域转换,则系统根据当前进程的权能状态、程序文件的权能状态和进程原来的角色和域的权能状态来计算新的进程权能状态;如果存在成功的域转换,则参与权能运算的除了包括当前进程的权能状态和程序文件的权能状态之外,还需要更新域的权能状态,而角色的权能状态保持不变。 |
