[发明专利]一种授权体系、构成方法及针对给定系统的安全评测方法

权利要求书

1.一种消除直接转变授权状态的缺陷的授权体系，其特征在于：

所述授权体系包括：授权基础层、授权提供层和授权检查层；

所述授权基础层，包括：剥夺用户程序访问其他用户资源的能力，同时用户程序和内核之间只能依赖提供的双向专用通道进行转移和数据传递，以此形成用户程序对内核提供的访问能力的依赖；

所述授权提供层，包括：依赖提供的功能受限、使用可控的原子授权操作；

所述授权检查层，包括：提供符合授权规则的授权检查程序，并且，用户必须接受所述检查程序进行授权检查，无法改变授权相关要素。

2.一种权利要求1所述的授权体系构成方法B1，其特征在于：

针对超越授权攻击，将所述授权体系构成所涉及内容分为三个层次，分别是：授权基础层、授权提供层和授权检查层；

其中，如果授权基础层构成内容无效，是后面两层构成内容也都会无效，而授权提供层构成内容无效，授权检查层构成内容也会无效；

所述超越授权攻击是指攻击者未经授权体系允许，访问禁止其访问的授权资源；

所述无效是指该层存在直接转变授权状态的缺陷。

3.根据权利要求2所述的方法，其特征在于：

所述授权基础层的构成方法，进一步包括：剥夺用户程序访问其他用户资源的全部能力的实现方法B1-1，

提供双向专用通道，迫使用户只能依赖此通道，在用户程序和内核之间进行转移和数据传递，的实现方法B1-2；

所述剥夺用户程序访问其他用户资源的全部能力，是指剥夺用户程序访问超出自身代码、数据之外的所有主机、外设资源的能力。

其中，所述的实现方案B1-1，进一步包括：剥夺用户程序访问超出自身代码、数据之外主机资源的能力的实现方案B1-1-1，和/或，剥夺用户程序访问外设资源的能力的实现方案B1-1-2。

4.根据权利要求2所述的方法，其特征在于：

所述授权提供层的构成方法，进一步包括：

提供的功能受限、使用可控的原子授权操作，具体包括：确保提供的原子授权操作软件设计要符合授权规则的实现方案B1-3，和/或，确保提供的原子授权操作运行时不能改变授权相关要素中任何一个的实现方案B1-4；

授权相关要素构成，优选的：包括用户要素、授权操作要素、授权操作对象要素这严格要素；

所述原子授权操作是指内核为一类授权对象提供的一项配套授权操作。

5.根据权利要求2所述的方法，其特征在于：

所述授权检查层的构成方法，进一步包括：确保授权检查程序自身正确的实现方案B1-5，和/或，确保授权检查在运行时不会改变授权相关要素的实现方案B1-6。

6.一种对给定操作系统授权体系的安全评测方法C1，其特征在于：

步骤1：对给定的操作系统授权体系进行层次划分；

步骤2：在步骤1所述层次划分基础上，采用方法C2，针对各层分析并发现对给定的操作系统授权体系成功进行超越授权攻击所需直接转变授权状态的必要条件；

所述转变授权状态是指攻击者从只能访问授权体系允许其访问的授权资源的状态，转变为随时有能力访问授权体系禁止其访问的授权资源的状态；

所述直接转变授权状态的缺陷简称为DDCAS；

所述可直接转变授权状态的缺陷就是直接转变授权状态的必要条件。

7.根据权利要求6所述的方法，其特征在于：

所述层次划分，进一步包括：

将所述给定的操作系统授权体系构成所涉及内容分为三个层次，分别是：授权基础层、授权提供层和授权检查层。