[发明专利]一种基于权能机制的linux系统特权分配方法

权利要求书

1.一种基于权能机制的linux系统特权分配方法，其步骤为：

1)关闭服务器的TPM启动度量，进入linux系统安全模式，登录root用户设置用户角色配置文件和角色能力配置文件；其中，所述用户角色配置文件中，一个用户对应且只对应一个角色；所述角色能力配置文件中一个角色依功能对应一个能力组，多个角色之间允许包含相同的能力；

2)根据liunx系统的特权应用程序所需要的能力对其进行标记；

3)服务器的TPM对所述用户角色配置文件、角色能力配置文件和标记后的特权应用程序和登录程序的可插入验证模块PAM进行度量和写保护，并将最新的度量值写入TPM；

4)开启服务器的TPM启动度量，进入linux系统工作模式；TPM对所述用户角色配置文件、角色能力配置文件进行度量验证，验证通过则进行步骤5)；

5)登录程序的可插入验证模块PAM对用户输入的用户名和密码进行认证，认证通过后根据输入的用户名查询用户角色配置文件获得该用户名对应的角色，然后查询角色能力配置文件读取该角色包含的能力集；

6)可插入验证模块PAM根据该角色对当前进程的能力进行标记，然后完成该用户的登录；

7)当该用户调用某个应用程序时，进程判断该应用程序是否为特权应用程序，如果不是，则可以执行，如果是特权应用程序，则判断该应用程序所标记的能力集与进程所标记的能力集是否匹配，如果匹配则进程获取该特权应用程序的能力并执行该特权应用程序，否则拒绝执行。

2.如权利要求1所述的方法，其特征在于，所述根据liunx系统的特权应用程序所需要的能力对其进行标记的方法为：首先在每一系统调用内核代码中插入钩子函数，得到每一系统调用对应的能力，建立一系统调用能力对应表，表中的每一项的格式为：(系统调用名,参数)->能力名；然后根据特权应用程序的系统调用得到其所使用的系统调用函数和参数，然后查找该系统调用能力对应表确定该特权应用程序所需要的能力并进行标记。

3.如权利要求1或2所述的方法，其特征在于，采用一文件允许能力集合fP、一文件可继承能力集合fI和一个文件有效能力集合fE对所述特权应用程序进行标记；其中，文件允许能力集合fP初始值为空，文件可继承能力集合fI记录特权应用程序所需要的能力，文件有效能力集合fE中的特权应用程序所需要的能力置true。

4.如权利要求3所述的方法，其特征在于，所述服务器采用一trace_cap工具对所述特权应用程序所需要的能力进行标记，且步骤3)之后，TPM将该trace_cap工具设置为不可执行。

5.如权利要求3所述的方法，其特征在于，所述PAM模块根据该角色对当前进程的能力进行标记的方法为：PAM模块采用一进程可继承能力集pI、进程允许能力集pP、进程有效能力集pE和进程最多所能获得的能力集cap_bset对当前进行能力进行标记，其中首先清空进程的进程允许能力集pP和进程有效能力集pE，然后设置当前进程可继承能力集pI＝set1，设置cap_bset＝set1；其中，set1为该角色包含的能力集。

6.如权利要求5所述的方法，其特征在于，所述步骤7)中，如果该应用程序为特权应用程序，且该特权应用程序的文件可继承能力集fI为set1且对应的文件有效能力集fE＝＝true，则更新进程能力集为pP＝pI&fI，且由于fE＝true，则进程有效能力集pE更新为pP更新后的值，从而进程将获得set1中定义的特权，执行该特权应用程序。

7.如权利要求5所述的方法，其特征在于，当当前进程创建子进程时，子进程会继承父进程的进程可继承能力集pI和能力集cap_bset，而且子进程会清空进程允许能力集pP和进程有效能力集pE，当子进程执行某个特权应用程序时，该子进程将获得该特权应用程序的文件可继承能力集fI中定义的特权，即该子进程的能力集pP＝pI&fI、pE＝fE＝＝true。