專利名稱:在計(jì)算裝置的基于用戶的保護(hù)環(huán)境中實(shí)施基于進(jìn)程的保護(hù)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在計(jì)算裝置基于用戶的保護(hù)環(huán)境中實(shí)現(xiàn)基于進(jìn)程的保 護(hù)系統(tǒng)的方法����,具體地,涉及一種可用于提高運(yùn)行多用戶操作系統(tǒng)的單個(gè)用
戶計(jì)算裝置的安全性的方法����,所述多用戶操作系統(tǒng)例如為Unix操作系統(tǒng)及 其利用基于用戶許可的保護(hù)模式的衍生系統(tǒng)��。
背景技術(shù):
術(shù)語"計(jì)算裝置����,�,包括但不限于臺(tái)式計(jì)算機(jī)和膝上計(jì)算機(jī)、個(gè)人數(shù)字助 理(PDA)��、移動(dòng)電話����、智能電話、數(shù)字?jǐn)z像機(jī)和數(shù)字音樂播放器��。它還包 括集成有一個(gè)或多個(gè)上述裝置以及許多其它工業(yè)和家用電子設(shè)備的功能的
集成裝置����。
計(jì)算裝置允許其所有者或用戶在購買之后安裝軟件,從而可以使用新的 應(yīng)用程序或提供新的功能�,因此被稱為開放式裝置。允許所有者或用戶與其 它計(jì)算裝置進(jìn)行通信以便交換數(shù)據(jù)和指令的計(jì)算裝置被稱為被連接裝置���。
雖然能夠以這些方式擴(kuò)展裝置的應(yīng)用具有明顯的好處�,但是對于計(jì)算裝 置的所有者或用戶而言用于添加額外軟件和與其它機(jī)器進(jìn)行通信的設(shè)備可 能代表了非常大的安全風(fēng)險(xiǎn)���。本領(lǐng)域技術(shù)人員以及許多非本領(lǐng)域的人員都知 道�����,寫得不好的程序或惡意程序(惡意軟件)會(huì)影響開放式計(jì)算裝置或被連 接的計(jì)算裝置�,存在著非常大的風(fēng)險(xiǎn)�;現(xiàn)在有許多裝置是開放式的并且連接 到其它裝置,這極大的擴(kuò)大了其風(fēng)險(xiǎn)��。在通過網(wǎng)絡(luò)連接到其它裝置的被連接 裝置的情況下�,風(fēng)險(xiǎn)可能會(huì)擴(kuò)展到連接到網(wǎng)絡(luò)的其它裝置,從而威脅到網(wǎng)絡(luò) 自身的完整性�。這種惡意軟件具有許多類型,常見的類型包括但不限于病毒����、 特洛4尹(Trojan)、間諜軟件(spy ware )和廣告軟件(adware ).
已經(jīng)知道�����,基于能力(capability-based )的安全系統(tǒng)在保護(hù)所有計(jì)算裝置 不受惡意軟件損害方面提供了非常大的好處,特別是對例如移動(dòng)電話和PDA 的單個(gè)用戶移動(dòng)開放式被連接裝置而言����。基于能力的系統(tǒng)已經(jīng)在英國倫敦的Symbian Software Ltd公司提交的多項(xiàng)英國專利申請中進(jìn)行了披露�,Symbian Software Ltd公司是用于移動(dòng)電話和其它被連接裝置的高級操作系統(tǒng) Symbian OSTM操作系統(tǒng)的制造商。在這方面特別相關(guān)的是標(biāo)題為"安全移動(dòng) 無線裝置"的英國專利申請GB2389747和標(biāo)題為"具有受保護(hù)文件系統(tǒng)的 移動(dòng)無線裝置"的英國專利申請GB2391655�。
在GB2389747所描述的能力保護(hù)模式中,賦予可執(zhí)行程序一定的權(quán)限��, 這些權(quán)限在被獲得時(shí)限定了每個(gè)可執(zhí)行程序能夠?qū)崿F(xiàn)的功能范圍����。例如,不 具有網(wǎng)絡(luò)能力的程序被禁止啟動(dòng)與其它計(jì)算機(jī)的網(wǎng)絡(luò)連接��。類似的能力控制 范圍能夠?qū)崿F(xiàn)該裝置其它方面的功能�。這些能力只能在可執(zhí)行程序開始被編 譯和生成時(shí)賦予,而不能被添加�;測試和驗(yàn)證系統(tǒng)控制賦予可執(zhí)行程序的能 力。某些非常敏感的能力(例如���,控制格式化磁盤權(quán)限的能力)僅賦予作為 裝置的操作系統(tǒng)內(nèi)核上的可信計(jì)算基(TCB)的一部分的那些可執(zhí)行代碼組 件�。
實(shí)施基于能力保護(hù)的裝置的額外的特征在GB239165中進(jìn)行了公開�����。這 個(gè)專利文獻(xiàn)描述了安裝在裝置上的可執(zhí)行程序如何在裝置上對整個(gè)文件系 統(tǒng)不具有不受限制的可見性。它們在整個(gè)文件系統(tǒng)中具有其自己私有的或受 限制的區(qū)域���,它們的數(shù)據(jù)文件存儲(chǔ)在該區(qū)域中���,其它任何應(yīng)用程序均不能訪 問這些區(qū)域���。另外��,在文件系統(tǒng)不受限制的某些公共區(qū)域之外�����,這些可執(zhí)行 程序?qū)τ谄渌糠值奈募到y(tǒng)不具有可見性���。特別地,它們對于任何應(yīng)用程 序的私有區(qū)域不具可見性��。這個(gè)特征已知為數(shù)據(jù)鎖定(datacaging)�,因?yàn)閼?yīng) 用程序^皮有效地鎖定在其自己的文件系統(tǒng)區(qū)域中;這個(gè)限制由控制裝置的操 作系統(tǒng)執(zhí)行���。
然而�,基于能力的安全系統(tǒng)并非僅有的用于保護(hù)計(jì)算裝置不受攻擊的方 法?��;谀芰Φ南到y(tǒng)將保護(hù)與程序相關(guān)聯(lián)���,但是存在將保護(hù)與不同實(shí)體相關(guān) 聯(lián)的替代模式。最著名的替代模式出現(xiàn)在多用戶計(jì)算機(jī)世界中�����,其將保護(hù)與 裝置的用戶而非數(shù)據(jù)或程序相關(guān)聯(lián)��。在這種模式下���,不同的用戶通常不能看 到其它用戶的數(shù)據(jù)�;系統(tǒng)上的一些功能與具體的用戶分類相關(guān)聯(lián)����,例如管理 者,其被賦予特定的系統(tǒng)權(quán)限��。
基于用戶許可的保護(hù)系統(tǒng)的一個(gè)著名的例子是Unix操作系統(tǒng)及其衍生聯(lián)的功能�����。
在基于系統(tǒng)范圍能力的保護(hù)系統(tǒng)和基于用戶許可的保護(hù)系統(tǒng)之間存在明 顯的區(qū)別。在能力模式下����,惡意可執(zhí)行程序?qū)⒂肋h(yuǎn)不會(huì)被賦予執(zhí)行敏感的或 存在潛在破壞性的任何功能,從而在不被賦予這些功能的情況下��,這些惡意 可執(zhí)行程序進(jìn)行破壞的能力將受到極大的限制�。
另 一方面,運(yùn)行在具有基于用戶許可模式下的裝置上的惡意可執(zhí)行程序 將繼承已經(jīng)賦予運(yùn)行該裝置的用戶的任何權(quán)限����。如果用戶具有管理員級別的 權(quán)限并且能夠訪問文件系統(tǒng)的每個(gè)部分和裝置上的外圍設(shè)備和子系統(tǒng)����,則在 這個(gè)管理員的使用權(quán)限下運(yùn)行的任何惡意軟件將能夠造成非常大的破壞。
特別地��,在單用戶裝置上���,與基于能力的保護(hù)系統(tǒng)相比����,基于用戶許可 的安全模式?jīng)]有提供大的額外功能,但是卻具有大得多的操作風(fēng)險(xiǎn)�����。
然而��,當(dāng)對來自不同環(huán)境的具有不同保護(hù)模式的軟件進(jìn)行集成時(shí)���,可能 很難協(xié)調(diào)期望例如由能力模式提供的基于程序保護(hù)的任何軟件與基于用戶 許可保護(hù)的軟件環(huán)境���。
事實(shí)上,沒有 一項(xiàng)能夠有利于集成兩種保護(hù)模式的現(xiàn)在技術(shù)是已知的���。 當(dāng)前的實(shí)踐是將來自 一種保護(hù)系統(tǒng)的軟件轉(zhuǎn)換為另 一種保護(hù)系統(tǒng)����,而不是提 供一種能夠?qū)ζ洳蛔鞲淖兊南到y(tǒng)寬度的解決方案���。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的一方面��,提供一種操作具有基于用戶許可安全模式的計(jì)算
裝置的方法����,所述方法包括通過向所述計(jì)算裝置上的每個(gè)可執(zhí)行程序提供 單獨(dú)的用戶標(biāo)識(shí),使得所述計(jì)算裝置能夠仿真基于能力的安全模式��。
根據(jù)本發(fā)明的第二方面�����,提供一種計(jì)算裝置���,用于根據(jù)權(quán)利要求1到5 中任一權(quán)利要求所述的方法進(jìn)行操作����。
根據(jù)本發(fā)明的第三方面��,提供一種操作系統(tǒng)�����,用于使計(jì)算裝置根據(jù)權(quán)利 要求1到5中任一權(quán)利要求所述的方法進(jìn)行操作����。
具體實(shí)施例方式
本發(fā)明公開了一種將例如GB2391655中公開的能力保護(hù)模式的數(shù)據(jù)鎖定特征映射到例如Unix及其衍生系統(tǒng)的用戶許可能力模式上的方法��,所述 衍生系統(tǒng)例如為Linux.
本發(fā)明通過自動(dòng)為計(jì)算裝置上的每個(gè)安裝程序創(chuàng)建新的偽用戶得以實(shí) 現(xiàn)�,從而運(yùn)行在該裝置上的每個(gè)程序作為為該程序創(chuàng)建的偽用戶而執(zhí)行�����。執(zhí) 行這個(gè)操作的機(jī)制優(yōu)選地由Unix setuid比特位提供���,所述Unix setuid比特位 使得運(yùn)行進(jìn)程的用戶ID被修改從而與可執(zhí)行程序文件的所有者的用戶ID相 匹配。
在Unix系統(tǒng)上�,與可執(zhí)行程序在實(shí)施前面所述GB2391655中技術(shù)方案 的裝置上的運(yùn)行方式相同,用戶(包括偽用戶)可以具有它們自己的不同文 件系統(tǒng)私有區(qū)域�。因此,向每個(gè)安裝程序提供唯一偽用戶標(biāo)識(shí)通過向每個(gè)可
用仿真��。
這個(gè)方法的策略可以通過確保關(guān)鍵系統(tǒng)服務(wù)器組件(例如主文件服務(wù)器) 對它們客戶的偽用戶標(biāo)識(shí)進(jìn)行檢查而實(shí)現(xiàn)����。
偽用戶的初始標(biāo)識(shí)要以在安裝時(shí)確定(例如,通過使用一些名稱或數(shù)字 邏輯序列中的下一個(gè)自由標(biāo)識(shí))或者可以通過將標(biāo)識(shí)包括在程序文件中或可 安裝程序包中或者通過單獨(dú)的方式在安裝之前確定��。
如果基本的用戶許可保護(hù)模式允許用戶與不同組相關(guān)聯(lián)并且進(jìn)一步支持 某些可#1行程序僅在它們?yōu)樘囟ńM或組集成的成員時(shí)運(yùn)行的能力����,那么偽用 戶標(biāo)識(shí)的方案可用于對基于程序的信任設(shè)置方案進(jìn)行映射,所述基于程序的 信任設(shè)置方案例如為GB2389747中所描述的能力����。Unix setgid比特位可用于 這個(gè)目的���。
因此,可以看出���,本發(fā)明在實(shí)踐中將基于能力的保護(hù)方案擴(kuò)展到自然地 實(shí)施基于用戶許可保護(hù)方案的那些保護(hù)方案���。它是一種原本是單用戶裝置但 是運(yùn)行為多用戶計(jì)算機(jī)系統(tǒng)設(shè)計(jì)的操作系統(tǒng)軟件的具體應(yīng)用。運(yùn)行Linux操 作系統(tǒng)的高級移動(dòng)電話和智能電話是這種類型的計(jì)算裝置的好例子���。
因此�,本發(fā)明被認(rèn)為是通過以 一種新穎的方式使用現(xiàn)有的安全架構(gòu)來解 決困難的技術(shù)問題�����。
雖然已經(jīng)參照具體實(shí)施例對本發(fā)明進(jìn)行了描述����,但是應(yīng)當(dāng)理解�,可以對 這些實(shí)施例進(jìn)行修改而同時(shí)仍落入本發(fā)明權(quán)利要求書所限定的保護(hù)范圍中。
權(quán)利要求
1. 一種操作具有基于用戶許可的安全模式的計(jì)算裝置的方法�����,所述方法包括通過向所述計(jì)算裝置上的每個(gè)可執(zhí)行程序提供單獨(dú)的用戶標(biāo)識(shí),使得所述計(jì)算裝置能夠仿真基于能力的安全模式�����。
2. 根據(jù)權(quán)利要求1所述的方法�����,其特征在于���,提供給可執(zhí)行程序的所 述用戶標(biāo)識(shí)(1) 在安裝時(shí)確定���,確定方式包括但不限于使用序列中的下一個(gè)自由 標(biāo)識(shí)5或者(2) 在安裝之前確定,確定方式包括但不限于將所述標(biāo)識(shí)包括在將要 安裝的程序包中��。
3. 根據(jù)權(quán)利要求1或2所述的方法�,其特征在于,每個(gè)用戶標(biāo)識(shí)賦予 訪問該用戶標(biāo)識(shí)保留的私有文件存儲(chǔ)區(qū)域的能力���。
4. 根據(jù)權(quán)利要求1到3中任一項(xiàng)所述的方法�����,其特征在于����,用戶標(biāo)識(shí) 被收集到組標(biāo)識(shí)中,所述組標(biāo)識(shí)可以不是互斥的��,并且其中任何組的成員賦
5. 根據(jù)前面任一權(quán)利要求所述的方法����,其特征在于,所述計(jì)算裝置包 括Unix操作系統(tǒng)或相關(guān)的操作系統(tǒng)����,并且可4丸行程序的setuid和setgid比特 位用于使進(jìn)程能夠?yàn)樵摮绦虿捎盟鲇脩魳?biāo)識(shí)和所述組標(biāo)識(shí)。
6. —種計(jì)算裝置��,其被布置成根據(jù)權(quán)利要求1到5中任一權(quán)利要求所 述的方法進(jìn)行操作�。
7. —種操作系統(tǒng),用于使計(jì)算裝置根據(jù)權(quán)利要求1到5中任一權(quán)利要 求所述的方法進(jìn)行操作�。
全文摘要
本發(fā)明提供一種具有基于用戶許可安全模式的計(jì)算裝置,所述計(jì)算裝置通過向裝置上的每個(gè)可執(zhí)行程序提供單獨(dú)的用戶標(biāo)識(shí)從而能夠仿真基于進(jìn)程能力的安全模式����。
文檔編號(hào)G06F21/62GK101460957SQ200780020124
公開日2009年6月17日 申請日期2007年6月14日 優(yōu)先權(quán)日2006年6月15日
發(fā)明者安德魯·哈克, 馬修·艾倫 申請人:西姆畢恩軟件有限公司