[发明专利]一种基于模块权能的内核模块隔离方法及系统

权利要求书

1.一种基于模块权能的内核模块隔离方法，其特征在于，包括：

步骤1、对待隔离内核模块进行模块训练，确定所述待隔离内核模块的模块权能文件；当所述待隔离内核模块需要装入内核操作系统中时，获取所述待隔离内核模块的模块权能文件，所述模块权能文件用于存储所述待隔离内核模块的模块权能，所述模块权能指所述待隔离内核模块对内核其它成分的读、写或执行权限的集合；

步骤2、根据所述待隔离内核模块的模块权能，确定所述待隔离内核模块的模块页表和slab标记；所述模块页表用于记录待隔离模块对内核资源的访问权限；所述slab标记指基于slab标注的待隔离模块能够访问的内核数据类型；

步骤3、根据所述待隔离内核模块的模块页表和slab标记为所述待隔离内核模块构建隔离环境，对所述待隔离内核模块进行隔离。

2.根据权利要求1所述的方法，其特征在于，所述模块权能文件具体包括：模块完整性指纹、访问的内核函数列表和访问的内核数据对象及类型列表。

3.根据权利要求2所述的方法，其特征在于，所述步骤2具体为：

根据模块完整性指纹，将所述模块权能与所述待隔离内核模块进行匹配验证；

若所述模块权能与所述待隔离内核模块完成匹配验证，则根据所述访问的内核数据对象及类型列表确定所述待隔离内核模块的slab标记；并根据所述访问的内核函数列表，确定所述待隔离内核模块的模块页表。

4.根据权利要求1所述的方法，其特征在于，所述步骤3具体包括：

根据所述待隔离内核模块的模块页表和slab标记，确定所述待隔离内核模块的隔离域；

根据所述待隔离内核模块的隔离域和内核的执行模式，对所述待隔离内核模块与所述内核进行隔离。

5.一种基于模块权能的内核模块隔离系统，其特征在于，包括：

模块训练单元，用于对待隔离内核模块进行模块训练，确定所述待隔离内核模块的模块权能文件；所述模块权能指所述待隔离内核模块对内核其它成分的读、写或执行权限的集合；

模块分析单元，用于当所述待隔离内核模块需要装入内核操作系统中时，获取所述待隔离内核模块的模块权能文件，所述模块权能文件用于存储所述待隔离内核模块的模块权能；

模块装入单元，用于根据所述待隔离内核模块的模块权能，确定所述待隔离内核模块的模块页表和slab标记；所述模块页表用于记录待隔离模块对内核资源的访问权限；所述slab标记指基于slab标注的待隔离模块能够访问的内核数据类型；

模块隔离单元，用于根据所述待隔离内核模块的模块页表和slab标记为所述待隔离内核模块构建隔离环境，对所述待隔离内核模块进行隔离。

6.根据权利要求5所述的系统，其特征在于，所述模块权能文件具体包括：模块完整性指纹、访问的内核函数列表和访问的内核数据对象及类型列表。

7.根据权利要求6所述的系统，其特征在于，所述模块装入单元具体包括：

模块验证子单元，用于根据模块完整性指纹，将所述模块权能与所述待隔离内核模块进行匹配验证；

模块页表和slab标记确定子单元，若所述模块权能与所述待隔离内核模块完成匹配验证，则根据所述访问的内核数据对象及类型列表确定所述待隔离内核模块的slab标记；并根据所述访问的内核函数列表，确定所述待隔离内核模块的模块页表。

8.根据权利要求5所述的系统，其特征在于，所述模块隔离单元具体包括：

确定隔离域子单元，根据所述待隔离内核模块的模块页表和slab标记，确定所述待隔离内核模块的隔离域；

内核模块隔离子单元，根据所述待隔离内核模块的隔离域和内核的执行模式，对所述待隔离内核模块与所述内核进行隔离。