[发明专利]一种基于权能机制的linux系统特权分配方法在审
| 申请号: | 201410643335.5 | 申请日: | 2014-11-06 |
| 公开(公告)号: | CN104484594A | 公开(公告)日: | 2015-04-01 |
| 发明(设计)人: | 涂碧波;李艳昭;孟丹 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | G06F21/45 | 分类号: | G06F21/45 |
| 代理公司: | 北京君尚知识产权代理事务所(普通合伙) 11200 | 代理人: | 司立彬 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于权能机制的linux系统特权分配方法。本方法为:1)安全模式下,设置用户角色配置文件和角色能力配置文件;2)根据系统的特权应用所需要的能力对其进行标记;服务器的TPM对配置文件和标记后的特权应用进行度量和写保护;3)开启TPM度量,进入系统工作模式;TPM对所述配置文件进行度量验证,通过后根据用户名查询配置文件获得对应的角色,读取该角色包含的能力集;4)PAM根据该角色对当前进程的能力进行标记,当调用某个应用时,如果是特权应用,则判断该应用所标记的能力集与进程所标记的能力集是否匹配,如果匹配则进程获取该特权应用的能力并执行该特权应用,否则拒绝执行。本方法易于管理和权限控制。 | ||
| 搜索关键词: | 一种 基于 权能 机制 linux 系统 特权 分配 方法 | ||
【主权项】:
一种基于权能机制的linux系统特权分配方法,其步骤为:1)关闭服务器的TPM启动度量,进入linux系统安全模式,登录root用户设置用户角色配置文件和角色能力配置文件;其中,所述用户角色配置文件中,一个用户对应且只对应一个角色;所述角色能力配置文件中一个角色依功能对应一个能力组,多个角色之间允许包含相同的能力;2)根据liunx系统的特权应用程序所需要的能力对其进行标记;3)服务器的TPM对所述用户角色配置文件、角色能力配置文件和标记后的特权应用程序和登录程序的可插入验证模块PAM进行度量和写保护,并将最新的度量值写入TPM;4)开启服务器的TPM启动度量,进入linux系统工作模式;TPM对所述用户角色配置文件、角色能力配置文件进行度量验证,验证通过则进行步骤5);5)登录程序的可插入验证模块PAM对用户输入的用户名和密码进行认证,认证通过后根据输入的用户名查询用户角色配置文件获得该用户名对应的角色,然后查询角色能力配置文件读取该角色包含的能力集;6)可插入验证模块PAM根据该角色对当前进程的能力进行标记,然后完成该用户的登录;7)当该用户调用某个应用程序时,进程判断该应用程序是否为特权应用程序,如果不是,则可以执行,如果是特权应用程序,则判断该应用程序所标记的能力集与进程所标记的能力集是否匹配,如果匹配则进程获取该特权应用程序的能力并执行该特权应用程序,否则拒绝执行。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201410643335.5/,转载请声明来源钻瓜专利网。
