CN1743992A - 计算机操作系统安全防护方法 - Google Patents
计算机操作系统安全防护方法 Download PDFInfo
- Publication number
- CN1743992A CN1743992A CN 200510044874 CN200510044874A CN1743992A CN 1743992 A CN1743992 A CN 1743992A CN 200510044874 CN200510044874 CN 200510044874 CN 200510044874 A CN200510044874 A CN 200510044874A CN 1743992 A CN1743992 A CN 1743992A
- Authority
- CN
- China
- Prior art keywords
- operating system
- module
- digital signature
- security
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 16
- 238000004891 communication Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 5
- 230000008901 benefit Effects 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种计算机操作系统安全防护方法,是在计算机Unix操作系统的用户级上加装数字签名及证书数据库、安全管理模块和密约模块,在内核级上加装数字签名认证访问控制模块,在不改变系统执行文件和不修改内核的情况下,使加装的各个安全模块成为操作系统的有效部分,在不重写和透明的情况下实施对整个Unix操作系统进行安全保护和有效控制;具有简便、安全、实用和可靠。
Description
1、技术领域
本发明涉及一种计算机应用技术,具体地说是一种计算机操作系统安全防护方法。
2、背景技术
随着Internet应用的广泛深入,信息安全问题日益引起人们的高度重视。
目前常见的网络安全解决措施:主要采用防火墙、入侵检测系统、防病毒等安全产品。网络安全是一项系统的工程,上述的产品只能针对某一方面,解决部分安全问题。而目前许多黑客也综合采用多种手段来攻击,如果只解决某一方面的安全问题,不能起到真正的安全,所以必需得系统的解决。
每种安全技术或产品都具有一定的安全作用,例如,入侵检测系统可以检测到许多入侵行为,但是,同时也应该意识到,每种安全产品、安全技术也存在它的不足,比如,目前的许多入侵检测系统主要采用基于入侵特征模式库来识别入侵行为,因此,对于新近出现的入侵行为或未知的入侵行为就无法识别。因此,在建设信息安全工程时,不能单纯依赖于某一安全技术或产品,而需要进行系统规划。
信息安全的最终目的就是对信息数据的安全保护。而和信息数据安全相接近的就是操作系统的安全。操作系统是连接计算机硬件与上层软件及用户的桥梁,它的安全性是至关重要的。操作系统作为计算机系统的基础软件是用来管理计算机资源的,它直接利用计算机硬件并为用户提供使用和编程接口。各种应用软件均建立在操作系统提供的系统软件平台之上,上层的应用软件要想获得运行的高可用性和信息的完整性、机密性,必须依赖于操作系统提供的系统软件基础。在网络环境中,网络系统的安全性依赖于网络中各主机系统的安全性,而主机系统的安全性正是由其操作系统的安全性所决定的,没有安全的操作系统的支持,网络安全也毫无根基可言。
所以,操作系统安全是计算机网络系统安全的基础。而服务器及其上的业务数据又是被攻击的最终目标。因此,加强对关键服务器的安全控制,是增强系统总体安全性的核心。
3、发明内容
本发明的操作系统安全防护方法,是在操作系统的用户级上加装数字签名及证书数据库、安全管理模块和密约模块,在内核级上加装数字签名认证访问控制模块系统内核实现安全保护的。
它的最大优点是在不改变系统执行文件,不修改内核的情况下使加装的各个安全模块成为操作系统的有效部分,可以在不重写Unix和透明的情况下实现系统的安全控制功能。
本发明的操作系统安全防护方法,是为Unix操作系统设置一个系统调用表,系统调用表包含指向每个系统调用的内存地址指针。应用程序对资源的访问、对硬件设备的使用、进程间的通讯时,通过内存地址指针引导的接口在操作系统内核中实现使用权限的认证。安全内核保存了该系统调用表中与安全有关的系统调用的指针,并把这些系统调用重定向到操作系统安全防护模块的相应代码。
当用户或程序执行一个与安全有关的系统调用操作命令时,操作系统首先按指针引导通过安全管理模块调用用户操作系统数字签名及证书数据库中的数字签名和认证信息。操作系统取得数字签名认证信息后进入内核级的数字签名认证访问控制模块,数字签名认证访问控制模块对数字签名认证信息进行识别和认证,如果调用的数字签名认证信息是被授权的,操作系统可以通过系统访问界面安全调用Unix系统内核中的文件和程序。如果数字签名认证访问控制模块对数字签名认证信息进行识别和认证后,发现调用的数字签名认证信息不是被授权的,数字签名认证访问控制模块则向系统访问界面发出禁止访问请求指令,用户访问被禁止。
4、附图说明
附图1为通用计算机操作系统的设备部件配置图;
附图2为本发明的计算机操作系统的安全防护设备配置图。
5、具体实施方式
如附图2所示,操作系统安全防护方法是通过以下方式实现的:
操作系统安全防护步骤如下:
(1)在Unix操作系统的用户级中设置一个数字签名及证书数据库、一个安全管理模块和一个密约模块,用户请求访问时先进行安全管理模块和密约模块的安全认证,应用程序通过认证后进入操作系统内核,对资源的访问、对硬件设备的使用以及进程间的通讯;
(2)在Unix操作系统的内核级设置一个保存系统调用接口中与安全有关的系统调用指令的数字签名认证访问模块,数字签名认证访问模块把安全有关的系统调用指令定向到操作系统安全防扩模块的相应代码。
(3)当用户程序执行一个与安全有关的系统调用时,操作系统通过数字签名认证访问控制模块检查访问请求是否被授权,如果调用是被授权的,数字签名认证访问控制模块操作系统通过系统访问界面访问Unix系统内核中的资源和对硬件设备的使用以及进程间的通讯,否则,访问请求将被禁止。
Claims (1)
1、计算机操作系统安全防护模块,其特征在于是在计算机Unix操作系统的用户级上加装数字签名及证书数据库、安全管理模块和密约模块,在内核级上加装数字签名认证访问控制模块,在不改变系统执行文件和不修改内核的情况下,使加装的各个安全模块成为操作系统的有效部分,在不重写和透明的情况下实施对整个Unix操作系统进行安全保护和有效控制;
操作系统安全防护步骤如下:
(1)在Unix操作系统的用户级中设置一个数字签名及证书数据库、一个安全管理模块和一个密约模块,用户请求访问时先进行安全管理模块和密约模块的安全认证,应用程序通过认证后进入操作系统内核,对资源的访问、对硬件设备的使用以及进程间的通讯;
(2)在Unix操作系统的内核级设置一个保存系统调用接口中与安全有关的系统调用指令的数字签名认证访问模块,数字签名认证访问模块把安全有关的系统调用指令定向到操作系统安全防护模块的相应代码。
(3)当用户程序执行一个与安全有关的系统调用时,操作系统通过数字签名认证访问控制模块检查访问请求是否被授权,如果调用是被授权的,数字签名认证访问控制模块操作系统通过系统访问界面访问Unix系统内核中的资源和对硬件设备的使用以及进程间的通讯,否则,访问请求将被禁止。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510044874 CN1743992A (zh) | 2005-09-29 | 2005-09-29 | 计算机操作系统安全防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510044874 CN1743992A (zh) | 2005-09-29 | 2005-09-29 | 计算机操作系统安全防护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1743992A true CN1743992A (zh) | 2006-03-08 |
Family
ID=36139398
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200510044874 Pending CN1743992A (zh) | 2005-09-29 | 2005-09-29 | 计算机操作系统安全防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1743992A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102270287A (zh) * | 2011-07-13 | 2011-12-07 | 中国人民解放军海军计算技术研究所 | 一种提供主动安全服务的可信软件基 |
| CN102375956A (zh) * | 2010-08-19 | 2012-03-14 | 北京市国路安信息技术有限公司 | 基于Unix系统调用重定向的机制构建Unix可信平台的方法 |
| CN101729565B (zh) * | 2009-12-31 | 2012-10-10 | 卓望数码技术(深圳)有限公司 | 一种传感器的安全访问方法、传感器及安全访问系统 |
| CN102880828A (zh) * | 2012-09-07 | 2013-01-16 | 普华基础软件股份有限公司 | 一种针对虚拟化支撑环境的入侵检测与恢复系统 |
| CN104484611A (zh) * | 2014-11-10 | 2015-04-01 | 福建联迪商用设备有限公司 | 一种Android系统的分区挂载管控方法及装置 |
| CN104573530A (zh) * | 2015-02-26 | 2015-04-29 | 浪潮电子信息产业股份有限公司 | 一种服务器安全加固系统 |
| CN105931042A (zh) * | 2015-09-22 | 2016-09-07 | 中国银联股份有限公司 | 一种应用权限管理方法以及智能pos终端 |
-
2005
- 2005-09-29 CN CN 200510044874 patent/CN1743992A/zh active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729565B (zh) * | 2009-12-31 | 2012-10-10 | 卓望数码技术(深圳)有限公司 | 一种传感器的安全访问方法、传感器及安全访问系统 |
| CN102375956A (zh) * | 2010-08-19 | 2012-03-14 | 北京市国路安信息技术有限公司 | 基于Unix系统调用重定向的机制构建Unix可信平台的方法 |
| CN102375956B (zh) * | 2010-08-19 | 2016-05-25 | 北京市国路安信息技术有限公司 | 基于Unix系统调用重定向的机制构建Unix可信平台的方法 |
| CN102270287A (zh) * | 2011-07-13 | 2011-12-07 | 中国人民解放军海军计算技术研究所 | 一种提供主动安全服务的可信软件基 |
| CN102270287B (zh) * | 2011-07-13 | 2013-07-24 | 中国人民解放军海军计算技术研究所 | 一种提供主动安全服务的可信软件基 |
| CN102880828A (zh) * | 2012-09-07 | 2013-01-16 | 普华基础软件股份有限公司 | 一种针对虚拟化支撑环境的入侵检测与恢复系统 |
| CN104484611A (zh) * | 2014-11-10 | 2015-04-01 | 福建联迪商用设备有限公司 | 一种Android系统的分区挂载管控方法及装置 |
| CN104573530A (zh) * | 2015-02-26 | 2015-04-29 | 浪潮电子信息产业股份有限公司 | 一种服务器安全加固系统 |
| CN105931042A (zh) * | 2015-09-22 | 2016-09-07 | 中国银联股份有限公司 | 一种应用权限管理方法以及智能pos终端 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9888032B2 (en) | Method and system for mitigating the effects of ransomware | |
| Waidner et al. | Security in industrie 4.0-challenges and solutions for the fourth industrial revolution | |
| JP6122555B2 (ja) | 危殆化されている秘密鍵を識別するためのシステム及び方法 | |
| CN101667232B (zh) | 基于可信计算的终端可信保障系统与方法 | |
| Laureano et al. | Protecting host-based intrusion detectors through virtual machines | |
| CN104081404A (zh) | 使用动态优化框架的应用沙盒化 | |
| CN111683047B (zh) | 越权漏洞检测方法、装置、计算机设备及介质 | |
| US10963583B1 (en) | Automatic detection and protection against file system privilege escalation and manipulation vulnerabilities | |
| CN1743992A (zh) | 计算机操作系统安全防护方法 | |
| KR101089157B1 (ko) | 클라이언트 가상화를 이용한 서버의 논리적 망분리 시스템 및 방법 | |
| Strackx et al. | Salus: Kernel support for secure process compartments | |
| Isohara et al. | Lsm-based secure system monitoring using kernel protection schemes | |
| Ye et al. | Position paper: On using trusted execution environment to secure COTS devices for accessing industrial control systems | |
| CN114238943A (zh) | 应用程序防护方法、装置、设备及存储介质 | |
| Shafique et al. | Towards Protection Against a USB Device Whose Firmware Has Been Compromised or Turned as ‘BadUSB’ | |
| JP4638494B2 (ja) | コンピュータのデータ保護方法 | |
| Aron et al. | Overview of security on mobile devices | |
| CN112668025A (zh) | 一种漏洞挖掘管理方法、系统、设备及可读存储介质 | |
| Mahmoodi et al. | A secure communication in mobile agent system | |
| Lee et al. | Cognitive countermeasures against bad USB | |
| CN111027078A (zh) | 一种对电能表应用进行管理的方法和系统 | |
| Skoularidou et al. | Security architectures for network clients | |
| Brandao | Integrated security framework for private cloud computing on-premise | |
| Chang | The study on end-to-end security for ubiquitous commerce | |
| Maidl et al. | Threat Modeling for Cyber-Physical Systems: A Two-dimensional Taxonomy Approach for Structuring Attack Actions. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |