[发明专利]一种国产操作系统可信安全增强方法

说明书

技术领域

本发明涉及一种国产操作系统可信安全增强方法，特别是涉及一种适用于现有的安全操作系统架构（如Flask和LSM），基于可信平台控制模块（TPCM）的国产操作系统可信安全增强方法。

背景技术

在国内，当前很多实际的安全操作系统已经被设计和开发出来。其中，最为重要的是基于Flask体系结构的动态策略安全操作系统，以及随后出现的迄今最有影响力的安全操作系统Security Linux和它的实现机制LSM（Linux Security Modle）。

Flask体系结构由客体管理器 (ObjectManger，OM)和安全服务器(SecurityServer，SS)组成，Flask的主要优点是将策略实施与策略决策分开，OM负责策略实施，SS负责策略决策。Flask的主要目标是提供安全策略的灵活和可变通性，与其他的体系结构相比，Flask最主要的优点是支持动态策略，即系统中策略的实施与决策是分开的，在一个系统的安全策略需要修改的时候，不需要修改引用监控器等其他关键组件，而只需要更新安全策略服务器中存储的策略即可。

LSM采取了系统钩子函数的方法来控制系统对核心“内部”客体（如进程、节点、打开文件、IPC等）的存取访问。每当系统通过了Linux系统自带的自主访问控制DAC策略检查而试图对一个客体进行访问时，LSM借助于插入到核心代码中的“钩子函数”来仲裁对该客体的访问。LSM并不为该函数提供具体的实现，该函数就像一个“钩子”一样调用“挂”在它上面的某个具体安全模块的函数。主体是否能对客体进行访问完全取决于具体的安全模块函数，安全模块根据自己的安全策略来判断访问请求是通过还是拒绝并强制返回一个错误码。

现有的安全操作系统在强制访问控制方面表现不错，但没能很好的将强制访问控制机制与可信计算技术有机的结合起来，构建一个具有信任根的完整安全机制的系统。安全操作系统与可信计算两者结合构成的可信系统还远远不完善，耦合度较低，有的系统只是简单将可信计算功能实现在一个安全操作系统上，二者几乎各自独立运行；有的过于依赖可信计算芯片的计算能力，导致效率和可用性不高。

TPCM作为可以独立运行的模块与可信计算平台主板连接，与平台主板（含可信BIOS）以及外围设备等组成可信硬件平台，为可信系统软件提供可信度量、可信存储和可信报告服务支持。TPCM还提供系统所需的数字签名、完整性验证、数据加解密等服务，并接受密码管理系统的管理。TPCM模块由硬件和工作在模块处理器上的嵌入控制程序，以及工作在主机上的驱动软件组成。

发明内容

本发明要解决的技术问题是提供一种针对国产操作系统，基于TPCM，实现操作系统与可信技术紧耦合的可信安全增强方法。

本发明采用的技术方案如下： 一种国产操作系统可信安全增强方法，其特征在于，所述方法步骤为：一、应用层软件通过调用TSS服务提供层（TSP）提供的接口，发送请求；二、由I/O管理器转换数据包后，发送给TSS核心服务层（TCS）；三、TCS通过调用TPCM驱动库接口（TDDL），将请求转换成IRP请求，发送给TPCM驱动（TDD）；四、TPCM模块针对请求执行相应操作，再将操作结果返回给TDD；五、TDD将此IRP，返回到TDDL，通过TCS的接口返回给TSP。

所述方法还包括：所述步骤二中，由I/O管理器转换数据包后，通过安全增强模块发送给TCS。

所述安全增强模块包括策略实施部件和策略判断部件，具体的安全增强方法步骤为：1、主体（进程）通过系统调用发起对客体的访问请求；2、策略实施部件收到访问请求后，向策略判断部件获取访问策略；3、策略判断部件收到请求后，从策略库中查询安全策略，并向TPCM获取策略的完整性报告； 4、TPCM收到请求后，对策略及权限进行完整性验证后，将完整性状态报告及安全策略返回给策略判断部件，策略判断部件再返回给策略实施部件；5、策略实施部件收到安全策略后，将调用可信服务接口通过TPCM来验证被访问的客体可信状态；6、TPCM收到策略实施部件的验证请求后，首先对主体的用户实施身份认证，并对被访问的客体进行完整性度量，将认证结果和度量结果报告给策略实施部件；7、策略实施部件，根据收到策略和报告，对客体执行访问操作，并向主体返回访问结果。

所述步骤2中，通过嵌入到系统调用的钩子接收访问请求。

所述步骤还包括：8、记录审计日志。

与现有技术相比，本发明的有益效果是：实现了国产操作系统与可信技术紧耦合的可信安全增强方法，安全机制更强。