CN112685730B - 一种操作系统账户的权限控制方法、装置及电子设备 - Google Patents
一种操作系统账户的权限控制方法、装置及电子设备 Download PDFInfo
- Publication number
- CN112685730B CN112685730B CN202110290116.3A CN202110290116A CN112685730B CN 112685730 B CN112685730 B CN 112685730B CN 202110290116 A CN202110290116 A CN 202110290116A CN 112685730 B CN112685730 B CN 112685730B
- Authority
- CN
- China
- Prior art keywords
- account
- operating system
- application program
- kernel
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种操作系统账户的权限控制方法、装置及电子设备,基于安全管理员签名的操作系统账户授权、操作系统账户扮演授权、操作系统账户的应用程序执行授权等配置,由加固的操作系统内核实现基于账户授权的登录认证(新的login系统调用)并在启动或执行应用程序时拦截关键系统调用进行权限检查的方式实施权限控制,以限定并防范操作系统超级账户(包括普通账户)在基于本发明的操作系统内核环境下作恶。辅以由安全管理员控制的UEFI安全启动(secureboot)和其他内核防污染和防替代机制(比如Linux的内核锁定),操作系统超级账户(root)亦不能通过安装新内核或在操作系统运行时替换加固内核的方式绕过对自身、其他账户和应用程序的权限控制。
Description
技术领域
本发明涉及信息安全技术领域,尤其是加固内核防范操作系统超级账户作恶这一技术领域。
背景技术
相当多的信息安全事件与内部人员有关。内部人员中,操作系统超级账户(比如Unix/Linux root)尤其需要制约,因为其拥有全部权利,包括创建账户、维护权限、修改/删除日志等。通常的信息安全措施,不管是SELinux还是Linux 权能模块(capabilities)都是围绕信任root进行,这是巨大的信任假设。消除对root的信任假设,实现由相互制约的一人或多人安全管理员控制的权限控制,防范操作系统超级账户作恶,对实现信息安全至关重要。
发明内容
为了解决上述技术问题中的至少一个,本发明提供了一种操作系统账户的权限控制方法、装置、电子设备和可读存储介质。
本发明的第一方面,提供了一种操作系统账户的权限控制方法,包括:
加载操作系统的内核;所述操作系统的内核植入安全管理员的公钥相关信息;
所述操作系统的内核获取操作系统账户的配置信息,其中包括:授权信息、安全管理员对所述授权信息的私钥签名和安全管理员的公钥相关信息;
所述操作系统的内核根据植入的安全管理员的公钥相关信息、所述配置信息包括的安全管理员的公钥相关信息和安全管理员对所述授权信息的私钥签名,确认所述授权信息的有效性;
所述操作系统的内核在应用程序发起系统调用相关动作时,根据所述授权信息确定是否执行所述系统调用相关动作。
可选地,所述授权信息包括:
账户授权、账户扮演授权和应用程序执行授权;
所述系统调用相关动作包括:
登录系统调用、账户转换或扮演相关的系统调用、以及执行相关的系统调用;
根据所述授权信息确定是否执行所述系统调用相关动作,包括:
根据所述账户授权确定是否执行所述登录系统调用,或者,根据所述账户扮演授权确定是否执行所述账户转换或扮演相关的系统调用,或者,根据所述应用程序执行授权确定是否执行所述执行相关的系统调用。
可选地,所述系统调用包括登录系统调用;
所述授权信息包括账户授权,其中包括UID和账户公钥;
所述操作系统的内核在应用程序发起系统调用相关动作时,根据所述授权信息确定是否执行所述系统调用相关动作,包括:
所述操作系统的内核在应用程序发起登录系统调用时,获取所述应用程序对应的操作系统账户的UID;
所述操作系统的内核根据所述应用程序对应的操作系统账户的UID查询所述账户授权,确定所述应用程序对应的操作系统账户的账户公钥;
所述操作系统的内核接收所述应用程序传递的所述应用程序对应的操作系统账户的私钥签名信息;
所述操作系统的内核根据所述应用程序对应的操作系统账户的账户公钥验证所述私钥签名信息;
所述操作系统的内核根据签名验证结果确定是否执行所述登录系统调用。
具体地,当签名验证通过时,执行所述登录系统调用,当签名验证不通过时,拒绝所述登录系统调用。
可选地,所述应用程序与所述操作系统的内核通过布尔数据传递信息,所述布尔数据至少包括第一变量和第二变量;
所述操作系统的内核在应用程序发起登录系统调用时,获取所述应用程序对应的操作系统账户的UID,包括:
所述操作系统的内核在应用程序发起登录系统调用时,通过第一布尔数据的第一变量获取所述应用程序对应的操作系统账户的UID,所述第一布尔数据的第二变量为空;
所述操作系统的内核接收所述应用程序传递的所述应用程序对应的操作系统账户的私钥签名信息,包括:
所述操作系统的内核生成第一字符串,将所述第一字符串存储至所述第一布尔数据的第二变量后返回至所述应用程序,所述第一布尔数据的取值为false;
所述操作系统的内核从所述应用程序传递的第二布尔数据的第二变量中获取第二字符串,所述第二字符串包括所述第一字符串的私钥签名信息;
所述操作系统的内核根据所述应用程序对应的操作系统账户的账户公钥验证所述私钥签名信息,包括:
所述操作系统的内核根据所述应用程序对应的操作系统账户的账户公钥和所述第一字符串验证所述第二字符串。
可选地,所述操作系统的内核完成所述登录系统调用后,还包括:
将所述应用程序附着loginO对象,其中包括登录成功的操作系统账户的UID、所述第一字符串和所述第二字符串。
可选地,所述账户授权还包括:
操作系统权能和/或宿主机的特征;
所述操作系统的内核在应用程序发起系统调用相关动作时,根据所述授权信息确定是否执行所述系统调用相关动作,包括:
所述操作系统的内核在应用程序发起登录系统调用时,验证所述应用程序对应的操作系统账户是否符合所述操作系统权能,和/或,验证所述应用程序对应的操作系统账户的宿主机是否符合所述宿主机的特征,根据验证结果确定是否执行所述登录系统调用。
具体地,宿主机的特征可以设置为白名单或者黑名单,当采用白名单形式时,若应用程序对应的操作系统账户的宿主机符合宿主机的特征,则执行所述登录系统调用的条件之一被满足;当采用黑名单形式时,应用程序对应的操作系统账户的宿主机符合宿主机的特征,则不可执行所述登录系统调用。并且,当应用程序对应的操作系统账户符合所述操作系统权能时,可执行所述登录系统调用;反之,则不可执行所述登录系统调用。
可选地,所述账户授权还包括:被超级账户扮演的条件;
所述系统调用相关动作包括:账户转换或扮演相关的系统调用;
所述操作系统的内核在应用程序发起系统调用相关动作时,根据所述授权信息确定是否执行所述系统调用相关动作,包括:
所述操作系统的内核在应用程序发起账户转换或扮演相关的系统调用,且发起账户转换或扮演的操作系统账户为超级账户时,验证所述被超级账户扮演的条件是否被满足;
根据验证结果确定是否执行所述账户转换或扮演相关的系统调用。
具体地,当被超级账户扮演的条件被满足时,可执行所述账户转换或扮演相关的系统调用;反之,则不可执行所述账户转换或扮演相关的系统调用。
可选地,所述系统调用包括账户转换或扮演相关的系统调用;
所述授权信息包括账户扮演授权,其中包括授权的应用程序,以及可转换或扮演的账户列表;
所述操作系统的内核在应用程序发起系统调用相关动作时,根据所述授权信息确定是否执行所述系统调用相关动作,包括:
所述操作系统的内核在应用程序发起账户转换或扮演相关的系统调用时,获取所述应用程序的信息,以及获取发起账户转换或扮演相关的系统调用的操作系统账户的信息;
所述操作系统的内核验证所述应用程序是否被授权,以及验证所述应用程序对应的操作系统账户转换或扮演的目标账户是否符合所述可转换或扮演的账户列表;
根据验证结果确定是否执行所述账户转换或扮演相关的系统调用。
具体地,仅当应用程序被授权,且应用程序对应的操作系统账户转换或扮演的目标账户符合可转换或扮演的账户列表时,可执行账户转换或扮演相关的系统调用。
可选地,所述账户扮演授权还包括:账户转换或扮演的条件;
所述操作系统的内核在应用程序发起系统调用相关动作时,根据所述授权信息确定是否执行所述系统调用相关动作,还包括:
根据验证结果确定是否执行所述账户转换或扮演相关的系统调用之前,验证所述账户转换或扮演的条件是否被满足。
具体地,仅当账户转换或扮演的条件被满足时,可执行账户转换或扮演相关的系统调用;反之,则不可执行账户转换或扮演相关的系统调用。
可选地,所述系统调用包括执行相关的系统调用;
所述授权信息包括应用程序执行授权,其中包括应用程序哈希值、系统调用名称以及允许或不允许调用的限定;
所述操作系统的内核在应用程序发起系统调用相关动作时,根据所述授权信息确定是否执行所述系统调用相关动作,包括:
所述操作系统的内核在应用程序发起执行相关的系统调用时,根据所述应用程序哈希值验证所述应用程序是否被篡改,以及,根据所述系统调用名称、以及所述允许或不允许调用的限定,验证所述执行相关的系统调用是否被允许;
根据验证结果确定是否执行所述执行相关的系统调用。
具体地,仅当应用程序未被篡改,以及,执行相关的系统调用被允许时,执行所述执行相关的系统调用;反之,则不执行所述执行相关的系统调用。
可选地,所述应用程序执行授权还包括:调用参数的取值范围;
根据所述系统调用名称、以及所述允许或不允许调用的限定,验证所述执行相关的系统调用是否被允许,包括:
根据所述系统调用名称、所述调用参数的取值范围以及所述允许或不允许调用的限定,验证所述执行相关的系统调用是否被允许。
可选地,所述授权信息还包括账户授权;
所述操作系统的内核在应用程序发起系统调用相关动作时,根据所述授权信息确定是否执行所述系统调用相关动作,还包括:
根据验证结果确定是否执行所述执行相关的系统调用之前,验证所述应用程序对应的操作系统账户是否符合所述账户授权。
可选地,所述应用程序执行授权还包括应用程序的黑名单和/或白名单;
所述操作系统的内核在应用程序发起系统调用相关动作时,根据所述授权信息确定是否执行所述系统调用相关动作,还包括:
根据验证结果确定是否执行所述执行相关的系统调用之前,验证所述应用程序是否属于应用程序的黑名单或应用程序的白名单。
具体地,对于白名单的应用程序,可以执行所述执行相关的系统调用;反之,则不可执行所述执行相关的系统调用。
可选地,所述操作系统的内核通过安全管理员控制的基于UEFI的secure boot机制加载。
可选地,所述操作系统的内核启用防替换防污染相关机制。
可选地,所述操作系统的内核还植入安全管理员签名的信任策略;
所述操作系统的内核根据植入的安全管理员的公钥相关信息、所述配置信息包括的安全管理员的公钥相关信息和安全管理员对所述授权信息的私钥签名,确认所述授权信息的有效性,包括:
所述操作系统的内核根据植入的安全管理员的公钥相关信息、所述配置信息包括的安全管理员的公钥相关信息、安全管理员对所述授权信息的私钥签名验证每个安全管理员签名的有效性;
根据所述每个安全管理员签名的有效性以及所述安全管理员签名的信任策略,确认所述授权信息的有效性。
可选地,所述操作系统的内核还植入账户授权策略信息,所述授权策略信息指示操作系统账户授权的黑名单和/或白名单。
可选地,所述操作系统的内核植入的安全管理员的公钥相关信息,包括:安全管理员的公钥、或者安全管理员的数字证书、或者签名所述安全管理员的数字证书的CA数字证书;
所述配置信息包括的安全管理员的公钥相关信息,包括:安全管理员的公钥、或者安全管理员的数字证书。
本发明的第二方面,提供了一种操作系统账户的权限控制装置,包括:
内核加载模块,用于加载操作系统的内核;所述操作系统的内核植入安全管理员的公钥相关信息;
内核处理模块,用于获取操作系统账户的配置信息,其中包括:授权信息、安全管理员对所述授权信息的私钥签名和安全管理员的公钥相关信息;根据植入的安全管理员的公钥相关信息、所述配置信息包括的安全管理员的公钥相关信息和安全管理员对所述授权信息的私钥签名,确认所述授权信息的有效性;在应用程序发起系统调用相关动作时,根据所述授权信息确定是否执行所述系统调用相关动作。
可选地,所述内核处理模块用于根据所述授权信息确定是否执行所述系统调用相关动作时,具体用于:
获取所述授权信息包括的账户授权,其中包括UID和账户公钥;
所述操作系统的内核在应用程序发起登录系统调用时,获取所述应用程序对应的操作系统账户的UID;
所述操作系统的内核根据所述应用程序对应的操作系统账户的UID查询所述账户授权,确定所述应用程序对应的操作系统账户的账户公钥;
所述操作系统的内核接收所述应用程序传递的所述应用程序对应的操作系统账户的私钥签名信息;
所述操作系统的内核根据所述应用程序对应的操作系统账户的账户公钥验证所述私钥签名信息;
所述操作系统的内核根据签名验证结果确定是否执行所述登录系统调用。
可选地,所述内核处理模块用于获取所述应用程序对应的操作系统账户的UID时,具体用于:
在应用程序发起登录系统调用时,通过第一布尔数据的第一变量获取所述应用程序对应的操作系统账户的UID,所述第一布尔数据的第二变量为空;
所述内核处理模块用于接收所述应用程序传递的所述应用程序对应的操作系统账户的私钥签名信息时,具体用于:
生成第一字符串,将所述第一字符串存储至所述第一布尔数据的第二变量后返回至所述应用程序,所述第一布尔数据的取值为false;
从所述应用程序传递的第二布尔数据的第二变量中获取第二字符串,所述第二字符串包括所述第一字符串的私钥签名信息;
所述内核处理模块用于根据所述应用程序对应的操作系统账户的账户公钥验证所述私钥签名信息时,具体用于:
所述操作系统的内核根据所述应用程序对应的操作系统账户的账户公钥和所述第一字符串验证所述第二字符串。
可选地,所述内核处理模块用于根据所述授权信息确定是否执行所述系统调用相关动作时,具体用于:
获取所述授权信息包括的账户扮演授权,其中包括授权的应用程序,以及可转换或扮演的账户列表;
在应用程序发起账户转换或扮演相关的系统调用时,获取所述应用程序的信息,以及获取发起账户转换或扮演相关的系统调用的操作系统账户的信息;
验证所述应用程序是否被授权,以及验证所述应用程序对应的操作系统账户转换或扮演的目标账户是否符合所述可转换或扮演的账户列表;
根据验证结果确定是否执行所述账户转换或扮演相关的系统调用。
可选地,所述内核处理模块用于根据所述授权信息确定是否执行所述系统调用相关动作时,具体用于:
获取所述授权信息包括的应用程序执行授权,其中包括应用程序哈希值、系统调用名称以及允许或不允许调用的限定;
在应用程序发起执行相关的系统调用时,根据所述应用程序哈希值验证所述应用程序,以及,根据所述系统调用名称、以及所述允许或不允许调用的规定,验证所述执行相关的系统调用是否被允许;
根据验证结果确定是否执行所述执行相关的系统调用。
可选地,所述内核加载模块还在操作系统的内核植入安全管理员签名的信任策略;
所述内核处理模块用于根据植入的安全管理员的公钥相关信息、所述配置信息包括的安全管理员的公钥相关信息和安全管理员对所述授权信息的私钥签名,确认所述授权信息的有效性时,具体用于:
根据植入的安全管理员的公钥相关信息、所述配置信息包括的安全管理员的公钥相关信息、安全管理员对所述授权信息的私钥签名验证每个安全管理员签名的有效性;
根据所述每个安全管理员签名的有效性以及所述安全管理员签名的信任策略,确认所述授权信息的有效性。
本发明的第三方面,提供了一种电子设备,包括存储器和处理器,所述存储器用于存储计算机指令,其特征在于,所述计算机指令被所述处理器执行以实现第一方面的方法。
本发明的第四方面,提供了一种可读存储介质,其上存储有计算机指令,所述计算机指令被处理器执行时实现第一方面的方法。
本发明基于安全管理员签名的操作系统的账户授权、操作系统的账户扮演授权、操作系统账户的应用程序执行授权等配置,由加固的操作系统内核实现基于账户授权的登录认证(新的login系统调用)并在启动或执行应用程序时拦截关键系统调用进行权限检查的方式实施权限控制,以限定并防范操作系统超级账户(包括普通账户)在基于本发明的操作系统内核环境下作恶。辅以由安全管理员控制的UEFI 安全启动(secure boot)和其他内核防污染和防替代机制(比如Linux的内核锁定),操作系统超级账户(root)亦不能通过安装新内核或在操作系统运行时替换加固内核的方式绕过对自身和其他账户的权限控制。
附图说明
附图示出了本发明的示例性实施方式,并与其说明一起用于解释本发明的原理,其中包括了这些附图以提供对本发明的进一步理解,并且附图包括在本说明书中并构成本说明书的一部分。
图 1是本发明涉及的主要模块示例。
具体实施方式
下面结合附图和实施方式对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施方式仅用于解释相关内容,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分。
需要说明的是,在不冲突的情况下,本发明中的实施方式及实施方式中的特征可以相互组合。下面将参考附图并结合实施方式来详细说明。
本发明基于(一个或多个)安全管理员签名的操作系统账户授权(usr.authz)、操作系统账户扮演授权(imp.authz)、操作系统账户的应用程序执行执行授权(exe.authz)配置,由加固的操作系统内核实现基于账户授权的登录认证(新的login系统调用)并在启动或执行应用程序时拦截系统调用进行权限检查的方式实施权限控制,限定并防范操作系统超级账户(包括普通账户)作恶。
操作系统内核在编译时植入(或由安全管理员控制的UEFI/BIOS在启动时以UEFI/BIOS参数等方式传入)一个或多个安全管理员的密码学公钥(或包含安全管理员公钥的安全管理员的X.509证书列表、或签名其X.509证书的CA证书列表),以及签名授权策略(比如所有安全管理员都签名、安全管理员的大多数签名等)和默认授权策略(白名单、黑名单机制)。在安装/运行操作系统时,操作系统超级账户配置安全管理员设定并签名的usr.authz、imp.authz和exe.authz,以排除超级账户(root)非法创建账户、增删改自身或其他操作系统账户权限的可能。
基于本发明加固的操作系统内核,拦截应用程序的启动和执行时的系统调用(比如Linuxexecve、setuid、setgid、seteuid、setegid),获取应用程序当前的有效账户(euid)、检查并确保该euid对应的账户授权usr.authz有效性,该euid的对应的扮演授权(imp.authz)有效性(在拦截setuid或setgid等系统调用时)以及该euid启动和运行该应用程序进程时(连同相关的命令行参数、系统调用及参数)的执行授权(exe.authz)的有效性。如果其中任何一个授权被判定无效,则终止该应用程序进程的启动和执行。
因为账户授权、扮演授权和执行授权是由一个或多个安全管理员控制、访问控制是由本发明的加固内核实施,所以哪怕是操作系统超级账户(root)也被限制、不能作恶。辅以由安全管理员控制的UEFI安全启动(secureboot)和其他内核防污染和防替代机制(比如Linux的内核锁定),操作系统超级账户(root)亦不能通过安装新内核或在操作系统运行时替换加固内核的方式绕过对自身和其他账户的权限控制。
本发明的具体内容通过如下几个方面阐述:
一、问题的提出。
操作系统内核,通常完全信任超级账户(比如Linux/Unixroot)。以超级账户身份,可以增删改操作系统账户(比如登录账户或服务账户)、设定操作系统账户的认证方式、设定操作系统账户和/或应用程序的权限、悄无声息的扮演/嫁祸任何用户、非经授权删改任何磁盘分区或文件系统等。而且,操作系统内核通常不认证用户,而是依赖以超级账户身份运行的应用程序(比如Linuxlogin)认证账户之后再转换成已认证账户的身份,这为超级账户绕过账户认证大开方便之门。
在内核中支持不能登录系统的、相互制约的多人安全管理员机制,以实现防范超级账户(当然包括一般账户或服务账户)的操作系统账户登录和细颗粒度的权限控制,对信息安全至关重要。
二、实现方法。
图1所示是本发明的整体框架架构。操作系统账户(图块101)通过人机交互界面与应用程序用户进程(图块100)互动以启动执行、终止或使用当前或其他应用程序。一个应用程序进程(比如Linuxshell)调用操作系统内核(图块102)的exec系统调用以启动执行另一个应用程序(图块100)。一个应用程序用户进程(图块100)在其生命周期内调用操作系统内核(图块102)提供的现有系统调用(图块106)或本发明新加的login系统调用(图块103)以完成其既定的应用功能、启动/终止自身或其他应用程序。基于本发明的操作系统内核(图块102)提供login系统调用(图块103),它在被调用时基于被认证账户的账户授权(图块110)认证该账户、基于该登录进程(比如Linuxlogin应用)当前的有效账户身份(比如Linuxeuid)的扮演授权(图块108)决定其是否能够扮演/转换为被成功认证的账户身份。
一个应用程序用户进程(图块100)在执行过程中调用现有系统调用(图块106)时,基于本发明的操作系统内核(图块102)会拦截该系统调用,如果是账户扮演/转换类(比如Linuxsetuid、seteuid等)则提交扮演拦截模块(图块107),该模块读取该用户进程(图块100)当前的有效账户(euid)的账户授权(图块110)以决定其能否进行账户扮演/转换。如果是非login的现有系统调用(图块106),则读取该用户进程(图块100)当前的有效账户(euid)的执行授权(图块105)以决定当前系统调用能否执行。
(一)初始信任。
本发明在操作系统内核中植入一个或多个安全管理员的公钥或其X.509证书,或者签名安全管理员证书的CAX.509证书(或公钥)列表、信任策略(比如所有安全管理员签名方可有效、至少一个安全管理员签名有效、多数安全管理员签名有效等)和默认授权策略(白名单、黑名单机制)。
这些公钥或X.509证书和信任策略,必须是超级账户不可修改的,比如可以在编译操作系统内核时植入,或由安全管理员控制的UEFI/BIOS在启动时以UEFI/BIOS参数等方式直接传入内核。
内核在导入权限授权时,会校验其签名及信任策略是否相符。校验失败的权限授权会被忽略。
(二)登录认证。
本发明在操作系统内核中引入系统调用(system call)login(图块103),它基于安全管理员(一人或多人)签名的账户授权(usr.authz,图块110)认证操作系统账户以防范操作系统超级账户随意创建账户或绕过账户登录流程作恶。
每一个合法的操作系统账户,都必须有一个账户授权(usr.authz)配置文件(或其他机制),该文件的格式可以是X.509证书格式(或其他格式),包含账户的登录名(loginID)、UID、账户公钥、账户分组、操作系统权能(比如Linuxcapabilities权限CAP_KILL、CAP_MAC_ADMIN等)、被超级账户扮演的条件(是否允许被扮演、是否需要登录认证及认证方式等)、宿主机的特征(比如IP、MAC等,以限定账户的覆盖范围)、一个或多个安全管理员对这些内容的签名及各个管理员的公钥或X.509证书。安全管理员的公钥或X.509证书必须是宿主机操作系统内核中可以比对或验证的。这样,就能够确保只有安全管理员授权的账户才能被创建,从而排除了操作系统超级账户(root)创建非法账户的可能。
登录系统调用login(图块103),可以有多种定义和实现方式。为方便表述,本发明采取booleanlogin(intuid,char* authn, int size)格式(其中第三个参数size是第二个参数authn的长度)和两次调用login的方式实现防范超级账户作恶的账户登录:第一次调用login时,第二个参数authn的内容为空(’\0’),内核在执行该login调用时(图块103),生成一个一次性的字符串(可能包括随机数、时间戳、宿主机特征、甚至加密等安全措施),将其保存在该进程在内核的状态中,并拷贝到authn(以下以authn1表示),然后返回false。第二次调用时,authn的内容(以下以authn2表示)是用第一个参数uid对应的usr.authz中的公钥对应的私钥对authn1的签名得到authn2;内核的login系统调用模块(图块103)读取该uid对应的账户授权(usr.authz)、验证该授权的有效性、然后用其中的公钥验证authn2签名的有效性。如果无效,则登录失败(返回false)。如果有效,则调用login的应用程序进程成功完成账户登录,该进程在内核内的状态被附着(attach)一个loginO对象,该对象包含登录成功的账户的UID和认证证据(authn1&authn2)。
(三)授权验证。
在上述的初始信任和登录认证基础之上,本发明在操作系统内核中拦截关键系统调用(systemcall,比如Linux的exec、setuid、seteuid、setgid、setegid、bind等),以便在应用程序被启动、被终止或进行与关键操作相关的系统调用时检查相应的权限控制。
(A)账户扮演时的权限控制。
在应用程序进程运行中如果进行账户转换/扮演(比如通过Linuxsetuid、setgid、seteuid、setegid或相似的系统调用)时,基于本发明的操作系统内核检查该有效账户是否有相应的扮演授权(imp.authz)以及是否满足被扮演的账户的扮演/转换条件(比如是否需要登录认证)。如果没有,则账户扮演/转换失败。
每一个合法的UID,都可以有一个扮演授权(imp.authz,图块108)配置文件(或其他机制),该配置文件的包括一个或多个的扮演/转换授权项(imp-item)和一个或多个安全管理员对这些扮演/转换授权项的签名及其公钥或X.509证书。每一个扮演/转换授权项(imp-item)一般包括如下内容:授权应用程序(以其代码的哈希值表示)、可扮演/转换的UID/GID列表(比如root可以在apache应用程序中转换为apache服务账户)、扮演/转换条件(比如需不需要内核登录认证)等。安全管理员的公钥或X.509证书必须是宿主机操作系统内核中可以比对或验证的。这就排除了超级账户(root,或root创建权限管理用户)非法授权账户扮演/转换的可能。
(B) 程序启动执行时的权限控制。
在应用程序被执行时(比如通过Linuxexec系统调用),基于本发明的操作系统内核(图块102)验证当前的有效账户身份(比如Linux的euid/egid)是否对应相应的账户授权(usr.authz,图块110)。如果验证失败,则不予执行。然后,基于本发明的操作系统内核检查该有效账户身份是否有启动该应用程序(包括可能的命令行参数)的执行授权(exe.authz,图块105)。如果验证失败,则不予执行该应用程序。
每一个合法的UID,都必须有一个执行授权(exe.authz)配置文件(或其他机制),该配置文件针对每一个受限执行的应用程序(以其哈希值表示)的受限系统调用有一个执行授权项(exe-item),内容包括该应用程序哈希值、系统调用名称、各调用参数的取值范围、允许/不允许调用,最后是一个或多个安全管理员对这些扮演/转换授权项的签名及其公钥或X.509证书。
执行授权文件中,可以包含总受器(catch-all)执行授权项,以实现白名单/黑名单机制。比如,不在白名单内的应用程序,超级账户不得执行。
(四)防范内核替换。
上述措施确保在不更换基于本发明的操作系统内核的情况下,操作系统超级账户难以作恶(假定实现了合适的账户授权、扮演授权和执行授权)。但是,操作系统超级账户(比如Linux root)可能通过安装或在运行时替代/污染基于本发明的加固内核从而绕过本发明的权限控制机制。这可以通过安全管理员控制的基于UEFI的secure boot(root不知其管理密码、而且不能重置或绕过它)和内核防替换防污染机制(比如Linux的kernellockdown功能)等安全措施予以防范。
应当理解,这里描述的各种技术可结合硬件或软件,或者它们的组合一起实现。从而,本发明的方法和设备,或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介,例如软盘、CD-ROM、硬盘驱动器或者其它任意机器可读的存储介质中的程序代码(即指令)的形式,其中当程序被载入诸如计算机之类的机器,并被该机器执行时,该机器变成实践本发明的设备。
在程序代码在可编程计算机上执行的情况下,计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件),至少一个输入装置,和至少一个输出装置。其中,存储器被配置用于存储程序代码;处理器被配置用于根据该存储器中存储的该程序代码中的指令,执行本发明的各种方法。
以示例而非限制的方式,计算机可读介质包括计算机存储介质和通信介质。计算机可读介质包括计算机存储介质和通信介质。计算机存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并且包括任何信息传递介质。以上的任一种的组合也包括在计算机可读介质的范围之内。
本领域那些技术人员应当理解在本文所发明的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中发明的所有特征以及如此发明的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中发明的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的发明是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
Claims (25)
1.一种操作系统账户的权限控制方法,其特征在于,包括:
加载操作系统的内核;所述操作系统的内核植入安全管理员的公钥相关信息;
所述操作系统的内核获取操作系统账户的配置信息,其中包括:授权信息、安全管理员对所述授权信息的私钥签名和安全管理员的公钥相关信息;
所述操作系统的内核根据植入的安全管理员的公钥相关信息、所述配置信息包括的安全管理员的公钥相关信息和安全管理员对所述授权信息的私钥签名,确认所述授权信息的有效性;
所述操作系统的内核在应用程序发起系统调用相关动作时,根据所述授权信息确定是否执行所述系统调用相关动作;
其中,所述授权信息包括:
账户授权、账户扮演授权和应用程序执行授权;
所述系统调用相关动作包括:
登录系统调用、账户转换或扮演相关的系统调用、以及执行相关的系统调用;
所述操作系统的内核在应用程序发起系统调用相关动作时,根据所述授权信息确定是否执行所述系统调用相关动作,包括:
所述操作系统的内核在应用程序发起登录系统调用时,根据所述账户授权确定是否执行所述登录系统调用;或者,所述操作系统的内核在应用程序发起账户转换或扮演相关的系统调用时,根据所述账户授权确定是否执行所述账户转换或扮演相关的系统调用;或者,所述操作系统的内核在应用程序发起账户转换或扮演相关的系统调用时,根据所述账户扮演授权确定是否执行所述账户转换或扮演相关的系统调用;或者,所述操作系统的内核在应用程序发起执行相关的系统调用时,根据所述应用程序执行授权确定是否执行所述执行相关的系统调用。
2.如权利要求1所述的方法,其特征在于,
所述账户授权包括UID和账户公钥;
所述操作系统的内核在应用程序发起登录系统调用时,根据所述账户授权确定是否执行所述登录系统调用,包括:
所述操作系统的内核在应用程序发起登录系统调用时,获取所述应用程序对应的操作系统账户的UID;
所述操作系统的内核根据所述应用程序对应的操作系统账户的UID查询所述账户授权,确定所述应用程序对应的操作系统账户的账户公钥;
所述操作系统的内核接收所述应用程序传递的所述应用程序对应的操作系统账户的私钥签名信息;
所述操作系统的内核根据所述应用程序对应的操作系统账户的账户公钥验证所述私钥签名信息;
所述操作系统的内核根据签名验证结果确定是否执行所述登录系统调用。
3.如权利要求2所述的方法,其特征在于,所述应用程序与所述操作系统的内核通过布尔数据传递信息,所述布尔数据至少包括第一变量和第二变量;
所述操作系统的内核在应用程序发起登录系统调用时,获取所述应用程序对应的操作系统账户的UID,包括:
所述操作系统的内核在应用程序发起登录系统调用时,通过第一布尔数据的第一变量获取所述应用程序对应的操作系统账户的UID,所述第一布尔数据的第二变量为空;
所述操作系统的内核接收所述应用程序传递的所述应用程序对应的操作系统账户的私钥签名信息,包括:
所述操作系统的内核生成第一字符串,将所述第一字符串存储至所述第一布尔数据的第二变量后返回至所述应用程序,所述第一布尔数据的取值为false;
所述操作系统的内核从所述应用程序传递的第二布尔数据的第二变量中获取第二字符串,所述第二字符串包括所述第一字符串的私钥签名信息;
所述操作系统的内核根据所述应用程序对应的操作系统账户的账户公钥验证所述私钥签名信息,包括:所述操作系统的内核根据所述应用程序对应的操作系统账户的账户公钥和所述第一字符串验证所述第二字符串。
4.如权利要求3所述的方法,其特征在于,所述操作系统的内核完成所述登录系统调用后,还包括:
将所述应用程序附着loginO对象,其中包括登录成功的操作系统账户的UID、所述第一字符串和所述第二字符串。
5.如权利要求2所述的方法,其特征在于,所述账户授权还包括:
操作系统权能和/或宿主机的特征;
所述操作系统的内核在应用程序发起登录系统调用时,根据所述账户授权确定是否执行所述登录系统调用,包括:
所述操作系统的内核在应用程序发起登录系统调用时,验证所述应用程序对应的操作系统账户的行为是否符合所述操作系统权能,和/或,验证所述应用程序对应的操作系统账户的宿主机是否符合所述宿主机的特征,根据验证结果确定是否执行所述登录系统调用。
6.如权利要求2所述的方法,其特征在于,
所述账户授权还包括:被超级账户扮演的条件;
所述操作系统的内核在应用程序发起账户转换或扮演相关的系统调用时,根据所述账户授权确定是否执行所述账户转换或扮演相关的系统调用,包括:
所述操作系统的内核在应用程序发起账户转换或扮演相关的系统调用,且发起账户转换或扮演的操作系统账户为超级账户时,验证所述被超级账户扮演的条件是否被满足;
根据验证结果确定是否执行所述账户转换或扮演相关的系统调用。
7.如权利要求1所述的方法,其特征在于,
所述账户扮演授权包括授权的应用程序,以及可转换或扮演的账户列表;
所述操作系统的内核在应用程序发起账户转换或扮演相关的系统调用时,根据所述账户扮演授权确定是否执行所述账户转换或扮演相关的系统调用,包括:
所述操作系统的内核在应用程序发起账户转换或扮演相关的系统调用时,获取所述应用程序的信息,以及获取发起账户转换或扮演相关的系统调用的操作系统账户的信息;
所述操作系统的内核验证所述应用程序是否被授权,以及验证所述应用程序对应的操作系统账户转换或扮演的目标账户是否符合所述可转换或扮演的账户列表;
根据验证结果确定是否执行所述账户转换或扮演相关的系统调用。
8.如权利要求7所述的方法,其特征在于,所述账户扮演授权还包括:账户转换或扮演的条件;
所述操作系统的内核在应用程序发起账户转换或扮演相关的系统调用时,根据所述账户扮演授权确定是否执行所述账户转换或扮演相关的系统调用,还包括:
根据验证结果确定是否执行所述账户转换或扮演相关的系统调用之前,验证所述账户转换或扮演的条件是否被满足。
9.如权利要求1所述的方法,其特征在于,
所述应用程序执行授权包括应用程序哈希值、系统调用名称以及允许或不允许调用的限定;
所述操作系统的内核在应用程序发起执行相关的系统调用时,根据所述应用程序执行授权确定是否执行所述执行相关的系统调用,包括:
所述操作系统的内核在应用程序发起执行相关的系统调用时,根据所述应用程序哈希值验证所述应用程序是否被篡改,以及,根据所述系统调用名称、以及所述允许或不允许调用的限定,验证所述执行相关的系统调用是否被允许;
根据验证结果确定是否执行所述执行相关的系统调用。
10.如权利要求9所述的方法,其特征在于,
所述应用程序执行授权还包括:调用参数的取值范围;
根据所述系统调用名称、以及所述允许或不允许调用的限定,验证所述执行相关的系统调用是否被允许,包括:
根据所述系统调用名称、所述调用参数的取值范围以及所述允许或不允许调用的限定,验证所述执行相关的系统调用是否被允许。
11.如权利要求9所述的方法,其特征在于,
所述操作系统的内核在应用程序发起执行相关的系统调用时,根据所述应用程序执行授权确定是否执行所述执行相关的系统调用,还包括:
根据验证结果确定是否执行所述执行相关的系统调用之前,验证所述应用程序对应的操作系统账户是否符合所述账户授权。
12.如权利要求9所述的方法,其特征在于,所述应用程序执行授权还包括应用程序的黑名单和/或白名单;
所述操作系统的内核在应用程序发起执行相关的系统调用时,根据所述应用程序执行授权确定是否执行所述执行相关的系统调用,还包括:
根据验证结果确定是否执行所述执行相关的系统调用之前,验证所述应用程序是否属于应用程序的黑名单或应用程序的白名单。
13.如权利要求1所述的方法,其特征在于,所述操作系统的内核通过安全管理员控制的基于UEFI的secure boot机制加载。
14.如权利要求1所述的方法,其特征在于,所述操作系统的内核启用防替换防污染相关机制。
15.如权利要求1所述的方法,其特征在于,所述操作系统的内核还植入安全管理员签名的信任策略;
所述操作系统的内核根据植入的安全管理员的公钥相关信息、所述配置信息包括的安全管理员的公钥相关信息和安全管理员对所述授权信息的私钥签名,确认所述授权信息的有效性,包括:
所述操作系统的内核根据植入的安全管理员的公钥相关信息、所述配置信息包括的安全管理员的公钥相关信息、安全管理员对所述授权信息的私钥签名验证每个安全管理员签名的有效性;
根据所述每个安全管理员签名的有效性以及所述安全管理员签名的信任策略,确认所述授权信息的有效性。
16.如权利要求1所述的方法,其特征在于,所述操作系统的内核还植入账户授权策略信息,所述授权策略信息指示操作系统账户授权的黑名单和/或白名单。
17.如权利要求1所述的方法,其特征在于,
所述操作系统的内核植入的安全管理员的公钥相关信息,包括:安全管理员的公钥、或者安全管理员的数字证书、或者签名所述安全管理员的数字证书的CA数字证书;
所述配置信息包括的安全管理员的公钥相关信息,包括:安全管理员的公钥、或者安全管理员的数字证书。
18.一种操作系统账户的权限控制装置,其特征在于,包括:
内核加载模块,用于加载操作系统的内核;所述操作系统的内核植入安全管理员的公钥相关信息;
内核处理模块,用于获取操作系统账户的配置信息,其中包括:授权信息、安全管理员对所述授权信息的私钥签名和安全管理员的公钥相关信息;根据植入的安全管理员的公钥相关信息、所述配置信息包括的安全管理员的公钥相关信息和安全管理员对所述授权信息的私钥签名,确认所述授权信息的有效性;在应用程序发起系统调用相关动作时,根据所述授权信息确定是否执行所述系统调用相关动作;
其中,所述授权信息包括:
账户授权、账户扮演授权和应用程序执行授权;
所述系统调用相关动作包括:
登录系统调用、账户转换或扮演相关的系统调用、以及执行相关的系统调用;
所述内核处理模块用于在应用程序发起系统调用相关动作时,根据所述授权信息确定是否执行所述系统调用相关动作时,具体用于:
在应用程序发起登录系统调用时,根据所述账户授权确定是否执行所述登录系统调用,或者,所述操作系统的内核在应用程序发起账户转换或扮演相关的系统调用时,根据所述账户授权确定是否执行所述账户转换或扮演相关的系统调用;或者,所述操作系统的内核在应用程序发起账户转换或扮演相关的系统调用时,根据所述账户扮演授权确定是否执行所述账户转换或扮演相关的系统调用;或者,所述操作系统的内核在应用程序发起执行相关的系统调用时,根据所述应用程序执行授权确定是否执行所述执行相关的系统调用。
19.如权利要求18所述的装置,其特征在于,所述内核处理模块用于根据所述账户授权确定是否执行所述登录系统调用时,具体用于:
获取所述账户授权包括的UID和账户公钥;
在应用程序发起登录系统调用时,获取所述应用程序对应的操作系统账户的UID;
根据所述应用程序对应的操作系统账户的UID查询所述账户授权,确定所述应用程序对应的操作系统账户的账户公钥;
接收所述应用程序传递的所述应用程序对应的操作系统账户的私钥签名信息;
根据所述应用程序对应的操作系统账户的账户公钥验证所述私钥签名信息;
根据签名验证结果确定是否执行所述登录系统调用。
20.如权利要求19所述的装置,其特征在于,所述内核处理模块用于获取所述应用程序对应的操作系统账户的UID时,具体用于:
在应用程序发起登录系统调用时,通过第一布尔数据的第一变量获取所述应用程序对应的操作系统账户的UID,所述第一布尔数据的第二变量为空;
所述内核处理模块用于接收所述应用程序传递的所述应用程序对应的操作系统账户的私钥签名信息时,具体用于:
生成第一字符串,将所述第一字符串存储至所述第一布尔数据的第二变量后返回至所述应用程序,所述第一布尔数据的取值为false;
从所述应用程序传递的第二布尔数据的第二变量中获取第二字符串,所述第二字符串包括所述第一字符串的私钥签名信息;
所述内核处理模块用于根据所述应用程序对应的操作系统账户的账户公钥验证所述私钥签名信息时,具体用于:
所述操作系统的内核根据所述应用程序对应的操作系统账户的账户公钥和所述第一字符串验证所述第二字符串。
21.如权利要求18所述的装置,其特征在于,所述内核处理模块用于根据所述账户扮演授权确定是否执行所述账户转换或扮演相关的系统调用时,具体用于:
获取所述账户扮演授权包括的授权的应用程序,以及可转换或扮演的账户列表;
在应用程序发起账户转换或扮演相关的系统调用时,获取所述应用程序的信息,以及获取发起账户转换或扮演相关的系统调用的操作系统账户的信息;
验证所述应用程序是否被授权,以及验证所述应用程序对应的操作系统账户转换或扮演的目标账户是否符合所述可转换或扮演的账户列表;
根据验证结果确定是否执行所述账户转换或扮演相关的系统调用。
22.如权利要求18所述的装置,其特征在于,所述内核处理模块用于根据所述应用程序执行授权确定是否执行所述执行相关的系统调用时,具体用于:
获取所述应用程序执行授权包括的应用程序哈希值、系统调用名称以及允许或不允许调用的限定;
在应用程序发起执行相关的系统调用时,根据所述应用程序哈希值验证所述应用程序,以及,根据所述系统调用名称、以及所述允许或不允许调用的规定,验证所述执行相关的系统调用是否被允许;
根据验证结果确定是否执行所述执行相关的系统调用。
23.如权利要求18所述的装置,其特征在于,所述内核加载模块还在操作系统的内核植入安全管理员签名的信任策略;
所述内核处理模块用于根据植入的安全管理员的公钥相关信息、所述配置信息包括的安全管理员的公钥相关信息和安全管理员对所述授权信息的私钥签名,确认所述授权信息的有效性时,具体用于:
根据植入的安全管理员的公钥相关信息、所述配置信息包括的安全管理员的公钥相关信息、安全管理员对所述授权信息的私钥签名验证每个安全管理员签名的有效性;
根据所述每个安全管理员签名的有效性以及所述安全管理员签名的信任策略,确认所述授权信息的有效性。
24.一种电子设备,包括存储器和处理器,所述存储器用于存储计算机指令,其特征在于,所述计算机指令被所述处理器执行以实现如权利要求1-17的任一项所述的方法。
25.一种可读存储介质,其上存储有计算机指令,其特征在于,所述计算机指令被处理器执行时实现如权利要求1-17的任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110290116.3A CN112685730B (zh) | 2021-03-18 | 2021-03-18 | 一种操作系统账户的权限控制方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110290116.3A CN112685730B (zh) | 2021-03-18 | 2021-03-18 | 一种操作系统账户的权限控制方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112685730A CN112685730A (zh) | 2021-04-20 |
| CN112685730B true CN112685730B (zh) | 2021-06-22 |
Family
ID=75455607
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110290116.3A Active CN112685730B (zh) | 2021-03-18 | 2021-03-18 | 一种操作系统账户的权限控制方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112685730B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113505376B (zh) * | 2021-09-09 | 2022-03-08 | 北京全息智信科技有限公司 | 一种应用程序运行环境的控制方法、装置及电子设备 |
| CN114021176B (zh) * | 2022-01-06 | 2022-03-18 | 麒麟软件有限公司 | 一种SELinux动态授权的方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1617101A (zh) * | 2003-10-24 | 2005-05-18 | 微软公司 | 操作系统资源保护 |
| CN104035787A (zh) * | 2014-07-01 | 2014-09-10 | 深圳数字电视国家工程实验室股份有限公司 | 一种基于Andriod内核的强制访问控制方法及装置 |
| CN107154921A (zh) * | 2016-03-03 | 2017-09-12 | 阿里巴巴集团控股有限公司 | 共管账户的授权方法和装置、共管账户的认证方法和装置 |
| CN109598117A (zh) * | 2018-10-24 | 2019-04-09 | 平安科技(深圳)有限公司 | 权限管理方法、装置、电子设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8955057B2 (en) * | 2012-10-17 | 2015-02-10 | International Business Machines Corporation | Managing access to class objects in a system utilizing a role-based access control framework |
-
2021
- 2021-03-18 CN CN202110290116.3A patent/CN112685730B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1617101A (zh) * | 2003-10-24 | 2005-05-18 | 微软公司 | 操作系统资源保护 |
| CN104035787A (zh) * | 2014-07-01 | 2014-09-10 | 深圳数字电视国家工程实验室股份有限公司 | 一种基于Andriod内核的强制访问控制方法及装置 |
| CN107154921A (zh) * | 2016-03-03 | 2017-09-12 | 阿里巴巴集团控股有限公司 | 共管账户的授权方法和装置、共管账户的认证方法和装置 |
| CN109598117A (zh) * | 2018-10-24 | 2019-04-09 | 平安科技(深圳)有限公司 | 权限管理方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112685730A (zh) | 2021-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8560857B2 (en) | Information processing apparatus, a server apparatus, a method of an information processing apparatus, a method of a server apparatus, and an apparatus executable program | |
| US9473485B2 (en) | Secure single sign-on for a group of wrapped applications on a computing device and runtime credential sharing | |
| KR101556069B1 (ko) | 대역외 원격 인증 | |
| US9374390B1 (en) | Policy-based whitelisting with system change management based on trust framework | |
| US9626502B2 (en) | Method and system for enterprise network single-sign-on by a manageability engine | |
| EP3671508B1 (en) | Customizing operating system kernels with secure kernel modules | |
| Lee et al. | FACT: Functionality-centric access control system for IoT programming frameworks | |
| JP5497171B2 (ja) | セキュア仮想マシンを提供するためのシステムおよび方法 | |
| US7882352B2 (en) | Secure mobile wireless device | |
| US20130111211A1 (en) | External Reference Monitor | |
| JP4975127B2 (ja) | 取り外し可能な媒体に格納された実行可能なコードにタンパーエビデント性を提供する装置 | |
| Löhr et al. | Patterns for secure boot and secure storage in computer systems | |
| CN112685730B (zh) | 一种操作系统账户的权限控制方法、装置及电子设备 | |
| US11501005B2 (en) | Security system for using shared computational facilities | |
| CN113301107A (zh) | 节点计算平台及其实现方法、可信云平台实现方法 | |
| Klenk et al. | Preventing identity theft with electronic identity cards and the trusted platform module | |
| AT&T | ||
| Maruyama et al. | Trusted platform on demand (TPod) | |
| Zheng et al. | Daemon-guard: Towards preventing privilege abuse attacks in android native daemons | |
| Diathesopoulos | Computer laboratory setup for the assessment of state-of-the-art penetration testing tools | |
| Cheng et al. | Per-user network access control kernel module with secure multifactor authentication | |
| Stötzner | Design of an Android App2App redirect flow for the FAPI 2.0 standard | |
| Paul | Cyber War Fare Defence an Technologies | |
| CN114650184A (zh) | 一种基于信任度的Docker进程安全访问控制方法 | |
| Petullo et al. | Authentication in ethos |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |