[发明专利]基于最小特权的过程控制软件安全架构

权利要求书

1.一种计算机设备，包括：

处理器；

外部介质端口；

本地存储器存储单元；以及

操作系统，所述操作系统根据配置数据在所述处理器上执行以实现服务进程，所述服务进程包括能够经由所述外部介质端口与能够移除的存储器设备进行通信的服务进程，其中，能够经由所述外部介质端口与能够移除的存储器设备进行通信的所述服务进程不具有写入到所述本地存储器存储单元的特权。

2.根据权利要求1所述的计算机设备，其中，所述本地存储器存储单元存储服务进程文件或服务进程文件夹。

3.根据权利要求2所述的计算机设备，其中，所述本地存储器存储单元还存储桌面应用程序文件。

4.根据权利要求1所述的计算机设备，其中，所述计算机设备进一步包括通信端口，并且其中，能够经由所述外部介质端口与能够移除的存储器进行通信的所述服务进程中的一个不具有下述特权：与具有经由所述通信端口进行通信的特权的另外的服务进程直接进行通信。

5.根据权利要求1所述的计算机设备，还包括桌面环境，并且其中，所述操作系统执行以施行与桌面命名空间分离的服务命名空间，并且操作以在所述服务命名空间中执行所述服务进程以及在所述桌面命名空间中执行一个或多个桌面应用程序。

6.根据权利要求5所述的计算机设备，其中，所述操作系统施行以下要求：运行在所述桌面命名空间中的进程必须经由进程间通信与运行在所述服务命名空间中的进程进行通信。

7.根据权利要求6所述的计算机设备，其中，桌面应用程序被分配有操作系统特权集合，所述操作系统特权集合是同与启动所述桌面应用程序的用户账号相关联的操作系统特权集合被分离地设置的，并且其中，被分配给所述桌面应用程序的所述操作系统特权集合不包括管理员操作系统特权。

8.根据权利要求7所述的计算机设备，其中，所述操作系统施行以下规则：所述桌面应用程序在操作系统特权中不能够被提升。

9.根据权利要求1所述的计算机设备，其中，还包括桌面，所述桌面包括用户界面，并且其中，所述操作系统施行以下规则：防止所述服务进程中的任何服务进程直接访问所述桌面。

10.根据权利要求1所述的计算机设备，其中，所述操作系统根据所述配置数据执行以：

执行多个桌面应用程序，所述桌面应用程序具有相应的应用程序特权集合，并且所述桌面应用程序是能够代表具有相应的用户特权集合的多个用户帐号进行操作的；

将所述服务进程分配给多个定制服务帐号中的第一定制服务帐号，所述多个定制服务帐号中的每个定制服务帐号具有相应的操作系统特权集合，其中，用于所述第一定制服务帐号的操作系统特权集合(1)包括经由所述外部介质端口与所述能够移除的存储器设备进行通信的特权，以及(2)不包括写入到所述本地存储器存储单元的特权；以及

提供所述服务进程，以代表所述多个桌面应用程序中的每一个运行，其中，所述服务进程的运行使用用于所述第一定制服务帐号的操作系统特权集合，来防止所述服务进程获取所述相应的应用程序特权集合中的任何应用程序特权集合或所述相应的用户特权集合中的任何用户特权集合。