[发明专利]一种移动办公应用平台安全通信系统

权利要求书

1.一种移动办公应用平台安全通信系统，包括进程控制模块、专用进程行为监控模块、安全通信协议簇和系统平台构建，其特征在于：所述进程控制模块：用户安全办公系统平台启动后，通过控制策略截获进程的创建请求，并启动通信专用进程，防止非专用进程对系统的破坏，保护进程的专有性和系统的安全性；

专用进程行为监控模块：在启用通信专用进程后，系统通过多重加窗算法对专用进程实施动态监测，防止被木马注入的专用进程对用户信息的窃取，保证通信的机密性、可靠性；

安全通信协议簇：在启动进程行为监控后，通过用户身份鉴别子模块完成用户身份认证和预共享密钥的颁发，通过动态安全通道建立子模块完成密钥参数的协商，通过数据安全传输子模块完成数据的封装和数据的加密认证，三个模块环环相扣，保证了端对端、端对服务器的安全通信；

系统平台构建：通过Linux系统裁剪定制到U盘，搭建移动办公安全通信平台，保证通信系统平台的特定性和安全性。

2.根据权利要求1所述的一种移动办公应用平台安全通信系统，其特征在于，所述Linux系统裁剪方法为：1)无关项目裁剪：对于Linux下与系统功能毫无关联的目录和文件进行剪裁。包括应用程序(/bin，/sbin，/usr/bin，/usr/sbin)、设备文件(/dev)、脚本和配置文件(/etc)、库文件(/lib，/usr/lib，/usr/share)等，裁剪过程中要注意网络功能和安全服务的保护，同时保留文件共享功能以方便系统文件在主机和虚拟机之间传递备份；

2)剪裁—测试—备份：将上一步得到的系统装入内核裁剪平台Fedora中使用，使剪裁好的系统能够在Linux2.6下正常工作。然后取消文件共享功能，通过Fedora实现系统文件备份。此时，剩余文件目录与系统或多或少有所关联，需要详细分析，通过“剪裁一测试—备份”对其进行筛选，并记录问题和目录的作用，此过程结束后，系统将剪裁至13MB左右；

3)利用T具裁剪：采用BusyBox，BusyBox集成了一百多个最常用的Linux命令和T具，BusyBox通过将很多必需的工具放入一个可执行程序，并让它们可以共享代码中相同的部分，从而缩小代码所占空间，BusyBox的配置程序和Linux内核菜单配置方式基本相同，通过以上工具，将系统剪裁至6MB左右。

3.根据权利要求1所述的一种移动办公应用平台安全通信系统，其特征在于，所述专用进程行为监控模块的监控算法为：Input：长度为L的系统调用流：Q＝(open，setup，mmap，...write)

Output：进程正常或者异常

1)将具体的系统调用名称换为l，2，……，n的数字得到Q＝(s₁,s₂，…,s_L),S_i∈{l，2...n}

2)将Q进行加窗处理，窗长为k；得到系统调用序列流

S＝(Line_l，Line₂，...Line_L-K+1)，其中Line_i＝(si,s_i+1,s_i+2,...,s_i+L+1)；

3)算出每个序列出现的概率p(Line_i)；

4)设定一个门限α，if(p(Line_i)α)other(Line_i)＝1,(表明此序列片正常)

else other(Line_i)＝0，(表明此序列片异常)

得到一个新的O、1序列0＝(other(Line_l)，other(Line₂)，...，other(Line_L-k+1))；

5)再以窗长w为对序列O进行加窗处理，并确定一个门限λ，计算；

6)if(F(n)＝λ)output进程正常；

else output进程异常。

4.根据权利要求2所述的一种移动办公应用平台安全通信系统，其特征在于，所述Linux系统裁剪方法中还采用initrd技术让系统启动过程分两个阶段进行，首先让内核以一组最小的、被编译进内核里的驱动程序来启动，然后从initrd中加载其他模块，具体应用于本系统中，将文件系统编译成模块，在系统启动时通过initrd技术加载到内核中，这样，一方面减小了内核的体积，另一方面当文件系统运行在内核态时，运算速度将大为提高。