[发明专利]一种实现操作系统资源访问限制的方法及装置

权利要求书

1.一种实现操作系统资源访问限制的方法，其特征在于，包括如下步骤：

S1.在应用软件中预设安全策略，以及在操作系统内核中增设安全模块；所述应用软件包括可执行程序和安全策略；

S2.应用软件运行时，安全模块对应用软件进行加载，并判断应用软件中安全策略是否已由安全管理员审核通过，并在未审核通过时等待安全管理员审核；

S3.应用软件中安全策略审核通过后，根据安全策略选择允许或禁止应用软件中可执行程序启动，实现操作系统资源访问限制。

2.如权利要求1所述的实现操作系统资源访问限制的方法，其特征在于，步骤S1具体步骤如下：

S11.获取系统管理员或软件开发人员定制的安全策略，并将安全策略提供给安全管理员审核；

S12.在可执行程序编译阶段，添加安全管理员审核通过的安全策略，并将安全策略固化到可执行程序中，生成应用软件；

S13.在操作系统内核中增设安全模块，所述安全模块包括安全加载单元、运行控制单元、日志记录单元、安全接口单元、策略审计单元以及日志审计单元。

3.如权利要求2所述的实现操作系统资源访问限制的方法，其特征在于，步骤S12中软件开发人员通过安全接口单元控制应用软件启用或禁用安全模块，并在启用安全模块时，通过安全接口单元将安全管理员审核通过的安全策略静态编译在可执行程序的二进制文件中或者动态放置到安全模块的配置文件中。

4.如权利要求2所述的实现操作系统资源访问限制的方法，其特征在于，步骤S2具体步骤如下：

S21.应用软件运行时，安全模块判断是否存在安全策略；

若是，进入步骤S22；

若否，进入步骤S25；

S22.安全模块的安全加载单元通过自定义的加载策略或默认的加载策略对安全策略进行加载；

S23.安全模块判断加载的安全策略是否经过安全管理员审核；

若是，通过安全模块的日志审计单元记录安全策略审计日志，进入步骤S3；

若否，进入步骤S24；

S24.安全模块禁止应用程序的可执行文件执行，并等待安全管理员对安全策略进行审核，返回步骤S22；

S25.安全模块加载制定的默认策略，并判断默认策略是否经安全管理员审核通过；

若是，进入步骤S3；

若否，进入步骤S26；

S26.安全模块禁止应用程序的可执行文件执行，并等待安全管理员对默认策略进行审核，返回步骤S25。

5.如权利要求4所述的实现操作系统资源访问限制的方法，其特征在于，步骤S3具体步骤如下：

S31.判断应用程序中经安全管理员审核通过的是安全策略还是默认策略；

若是安全策略，进入步骤S32；

若是默认策略，进入步骤S33；

S32.安全模块的运行控制单元根据安全策略对应用软件可执行程序的运行过程进行访问控制、进程控制以及进程防篡改控制；

若可执行程序符合安全策略，则允许启动应用软件的可执行程序，并通过日志记录单元记录运行日志，结束；

若可执行程序不符合安全策略，则禁止启动应用软件的可执行程序，并通过日志记录单元记录运行日志，结束；

S33.安全模块的运行控制单元根据默认策略对应用软件可执行程序的运行过程进行控制；

若可执行程序符合默认策略，则允许启动应用软件的可执行程序，并通过日志记录单元记录运行日志，结束；

若可执行程序不符合默认策略，则禁止启动应用软件的可执行程序，并通过日志记录单元记录运行日志，结束。