基于三权分立的操作系统体系结构及实现方法

1.一种基于三权分立的操作系统体系结构，其特征在于：所述的操作系统的权限被分为系统管理权、安全管理权、安全审计权；系统管理权对应于操作系统中的管理子系统，安全安全管理权对应于操作系统中的安全管理子系统，安全审计权对应于操作系统中的审计子系统；删除管理员，将登录操作系统进行实际操作的用户命名为操作员； 所述的管理子系统由可信度量、可信服务、可信基准库和可信判定组成，操作系统管理子系统对系统中的硬件配置信息、软件配置信息、用户身份信息进行管理，其中，软硬件配置信息是利用应用层的策略配置工具进行采集并生成相应的策略文件，管理方式主要包括对以USB-KEY表示的用户身份、可执行程序文件的摘要值及用户与程序的对应关系进行管理；可信基准库负责信息存储，利用可信度量机制对系统中的主体，包括用户和进程，进行身份的鉴别，可信服务则为应用提供相应的可信支撑；
所述的安全管理子系统判定系统中的访问请求是否符合安全策略，安全管理子系统由访问控制、安全隔离、安全策略和安全判定组成；其中，访问控制通过解析IRP包获取访问操作类型及客体信息，通过向系统管理子系统询问，得知该主体是否是合法的主体，然后依据安全策略，做出对主体、客体、操作三个元素所对应的访问请求的安全判定；安全隔离则通过进程与资源的绑定方式，实现对资源访问的安全隔离；
所述的安全审计子系统负责记录系统中的行为，并对系统管理子系统和安全管理子系统的工作情况进行审计。
2.一种基于三权分立的操作系统体系结构的实现方法，其特征在于：在通用的WINDOWS操作系统中，构建系统管理子系统、安全管理子系统、审计子系统； 利用应用层的策略配置工具，为三个子系统提供不同的策略配置界面，策略配置工具完成策略配置后，生成相应的策略文件，并且以消息通信的方式通知安全内核加载； 运行在WINDOWS内核层的安全内核采用文件过滤驱动程序，完成本发明的三权分立的控制体系，在加载安全策略后，通过上层可信代理，截获操作系统应用层与底层文件系统间的通信信息，然后送至三权分立的三个子系统进行判定；安全内核作为系统驱动，以服务的方式加载，截获系统输入输出管理器发出的输入输出请求包，实现前面所述体系；在安全内核中，上层代理通过系统钩子机制挂钩ZwCreateSection操作，以获得程序的启动请求；通过WINDOWS文件过滤驱动提供的两个派遣例程IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION获得对文件的访问请求；
所述的系统管理子系统包括以下步骤：
a、系统初始时，为每一个用户配发一个USB-KEY，系统管理子系统通过作为用户身份唯一标识的USB-KEY实现对用户身份的鉴别；每一项白名单的数据结构是用户名，程序全路径名，摘要值，所有的可执行程序文件在系统初始时，采用通用的杂凑算法SHA1算法收集其摘要值，建立用户与程序的对应关系，每个程序可以赋给所有用户，也可赋给某一用户，在安全内核的文件过滤驱动中，通过WINDOWS提供的RegmonMapServiceTable获得对程序往内存中加载处的挂钩；
b、配置工具与安全内核协商形成加解密的密钥文件，该文件被隔离保护，禁止任何进程或程序对其进行读取、修改操作；
所述的安全管理子系统包括以下步骤：
系统启动时，安全策略加载到安全内核开辟的内存链表中；
a、通过派遣函数例程：IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION获得系统中的访问控制请求，解析输入输出请求包，获得访问操作的类型；通过解析文件对象获得要被访问的客体；通过PsGetCurrentProcessId函数获得当前进程的进程标识信息，并通过向系统管理子系统询问，得知主体是否为合法的主体；依据安全策略对操作系统中的访问请求实施判定；
b、通过进程与资源的绑定方式，实现资源的安全隔离；
所述的审计子系统包括以下步骤：
系统初始启动时安全内核通过PsCreateSystemThread一个审计线程，并构建链表结构的审计队列；
a、在系统中的关键访问控制点挂载审计钩子函数，通过钩子函数记录相应的审计信息，并将审计记录存放到审计队列中；
b、审计线程通过定时轮询审计队列的方式，将审计队列中的信息，写入审计日志文件；
c、审计日志的结构包括：时间、用户、进程、客体、操作结果、系统管理判定结果、安全管理判定结果。

基于三权分立的操作系统体系结构及实现方法\n技术领域\n[0001] 本发明基于三权分立的操作系统体系结构及实现方法，涉及将操作系统特权在系统核心层进行三权分立的实现方法。该方法能实现对操作系统特权的有效分离，依据权限的映射，将特权划分成既相互制约、又相互支撑的三个部分，避免了管理员误判导致的系统安全事故，同时也禁止了管理员由于非法目的而进行的非法操作，彻底去除了操作系统中具备所有特权权限的超级管理员角色，属于信息安全领域。\n背景技术\n[0002] 特权是操作系统执行一些安全操作所必须具备的权限，例如维护用户帐户、软件的安装、系统关闭等。如果这些特权功能一旦被滥用，系统的安全将受到极大威胁。因此，现有的许多主流操作系统，如Linux和Windows等，都限制这些特权，只允许管理员进行操作。但是，一旦管理员的权限被窃取，或是由于管理员依据经验做出的判断有误，那么系统的机密性和完整性就极有可能遭到破坏。\n[0003] 现在对操作系统特权的控制技术，主要有以下几种：\n[0004] 最小特权(Least Privilege)原则是系统安全中最基本的原则之一，它限制了使用者对系统及数据进行存取所需要的最小权限，既保证了用户能够完成所操作的任务，同时也确保非法用户或异常操作所造成的损失最小；基于角色访问控制(Role-BasedAccess Control)通过分配和取消角色来完成用户权限的授予和取消，并且提供角色分配规则。安全管理人员根据需要定义各种角色，并设置合适的访问权限，而用户根据其责任和资历再被指派为不同的角色。这样，整个访问控制过程就分成两个部分，即访问权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限的逻辑分离；职责隔离(Separation ofDuty)是指没有一个主体可单独获得完成该职责要求的所有权限，在分析角色关系的基础上，主要通过角色互斥实现职责隔离。\n[0005] 然而，上述的技术都忽略了一个重要事实，即不论是对程序进行权限的控制，还是对用户进行角色的划分，都不能在操作系统层进行最根本的特权消除。比如一个恶意程序通过缓冲区溢出的方式获得管理员权限，其仍拥有对系统配置的全部权限。\n[0006] 在现有主流操作系统中，用户为了运行时的方便，往往以管理员身份登录系统。这种登录的模式，有几大缺陷：首先，由于管理员角色拥有最高权限，用户可对系统中的资源进行任意访问，包括修改审计日志等，极易造成安全事故；其次，恶意的程序启动时会继承管理员的权限，与普通用户登录相比，其破坏性可能更大；第三，对于某些特殊的过程，比如系统软件安装，新的程序可能会替换或删除原有的程序。因此，用户必然要以管理员身份登录系统，否则安装可能不能正常完成。此时，如果某一病毒或木马被激活，就可能会对合法的程序同样进行恶意篡改。而现有安全机制难以对这两种正常和恶意的操作进行区分，容易造成安全隐患。\n发明内容\n[0007] 本发明的目的在于，通过提供基于三权分立的操作系统体系结构及实现方法，以解决操作系统特权用户由于权限过大引发的各种安全问题。通过对特权操作的权限映射，将所有特权划分成既相互制约、又相互支撑的三个部分，最终实现对操作系统特权的有效分离，彻底去除操作系统中具备所有特权权限的管理员角色。禁止了管理员由于非法目的而进行的非法操作，也彻底去除了操作系统中“超级管理员”角色。\n[0008] 本发明是采用以下技术手段实现的：\n[0009] 一种基于三权分立的操作系统体系结构，操作系统的权限被分为系统管理权、安全管理权、安全审计权；系统管理权对应于操作系统中的系统管理子系统(SystemManagement Subsystem，SMS)，安全管理权对应于操作系统中的安全管理子系统(Security Management Subsystem，SEMS)，安全审计权对应于操作系统中的审计子系统(Audit Subsystem，AS)；删除管理员，将登录操作系统进行实际操作的用户命名为操作员；\n[0010] 系统管理子系统由可信度量、可信服务、可信基准库和可信判定组成，操作系统系统管理子系统主要对系统中的硬件配置信息、软件配置信息、用户身份信息等进行管理；其中，可信基准库负责信息存储，利用可信度量机制等对系统中的主体，包括用户和进程，进行身份的鉴别，可信服务则为应用提供相应的可信支撑；\n[0011] 安全管理子系统判定系统中的访问请求是否符合安全策略，安全管理子系统由访问控制、安全隔离、安全策略和安全判定组成；\n[0012] 安全审计子系统负责记录系统中的行为，并对系统管理子系统和安全管理子系统的工作情况进行审计。\n[0013] 一种基于三权分立的操作系统体系结构的实现方法，在通用的WINDOWS操作系统中，构建系统管理子系统、安全管理子系统、审计子系统；\n[0014] 利用应用层的策略配置工具(ConfgTool)，为三个子系统提供不同的策略配置界面，ConfgTool完成策略配置后，生成相应的策略文件，并且以DeviceIoControl的方式通知安全内核(PriKernel)加载；\n[0015] 运行在WINDOWS内核层的文件过滤驱动程序PriKernel，完成本发明的三权分立的控制体系，在加载安全策略后，通过上层可信代理，截获操作系统应用层与底层文件系统间的通信信息，然后送至三权分立的三个子系统进行判定；PriKernel作为系统驱动，以服务的方式加载，截获I/O管理器发出的IRP包，实现前面所述体系；在内核驱动PriKernel中，上层代理通过Hook机制挂钩ZwCreateSection操作，以获得程序的启动请求；通过文件过滤驱动提供的两个派遣例程IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION获得对文件的访问请求；\n[0016] 所述的系统管理子系统包括以下步骤：\n[0017] a、系统初始时，为每一个用户配发一个USB-KEY，系统管理子系统通过作为用户身份唯一标识的USB-KEY实现对用户身份的鉴别；每一项白名单的数据结构是User，Fullpath，Hash，所有的可执行程序文件在系统初始时，都用SHA1算法收集其摘要值，建立用户与程序的对应关系，每个程序可以赋给所有用户，也可赋给某一用户，在文件过滤驱动PriKernel中，通过RegmonMapServiceTable获得对程序往内存中加载处的挂钩；\n[0018] b、配置工具ConfgTool与内核PriKernel协商形成加解密的密钥文件，该文件被隔离保护，禁止任何进程或程序对其进行读取、修改操作；\n[0019] 所述的安全管理子系统包括以下步骤：\n[0020] 系统启动时，安全策略加载到PriKernel开辟的内存LIST_ENTRY链表中；\n[0021] a、通过派遣函数例程：IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION获得系统中的访问控制请求，解析IRP包，获得访问操作的类型；通过FileObject获得要被访问的客体；\n通过PsGetCurrentProcessId函数获得当前进程的PID信息，并通过向系统管理子系统询问，得知该主体是否为合法的主体；依据安全策略对操作系统中的访问请求实施判定；\n[0022] b、通过进程与资源的绑定方式，实现资源的安全隔离；\n[0023] 所述的审计子系统包括以下步骤：\n[0024] 系统初始启动时PriKernel通过PsCreateSystemThread一个审计线程，并构建LIST_ENTRY结构的审计队列；\n[0025] a、在系统中的关键访问控制点挂载审计钩子函数，通过钩子函数记录相应的审计信息，并将审计记录存放到LIST_ENTRY结构的审计队列中；\n[0026] b、审计线程通过定时轮询审计队列的方式，将审计队列中的信息，写入审计日志文件；\n[0027] c、审计日志的结构包括：时间、用户、进程、客体、操作结果、系统管理判定结果、安全管理判定结果。\n[0028] 本发明与现有技术相比，具有以下明显的优势和有益效果：\n[0029] 与传统安全操作系统中在操作系统层面只有一个管理员相比，三权分立的操作系统体系将权限划分为三部分。这三个部分既相互支撑，又相互制约，将操作系统中管理员的权限进行了有效地分离。\n[0030] (1)缓冲区溢出攻击\n[0031] 在传统操作系统中，假设一个黑客制造了一个缓冲区溢出，将代码溢出到预先植入系统的恶意程序v.exe，那么v.exe一旦启动，则可以感染其他可执行程序或者窃取系统中的机密信息。而在三权分立的操作系统体系结构中，v.exe要启动时，系统管理子系统首先会根据签名或事先收集的摘要值鉴别v.exe的合法性，而同时安全管理子系统会判定v.exe的访问请求是否违背安全策略。如果作为病毒，v.exe要感染其他的可执行程序，则必定是违背安全策略的。最后，审计子系统会将该访问请求及结果进行记录。这样，就可以从某种程度上防止缓冲区溢出攻击。\n[0032] (2)软件安装\n[0033] 采用沙箱技术等获得软件安装包中的程序信息，包括安装包中所有可执行程序的程序名和摘要值信息。这些信息更新至系统管理子系统的可信基准库。\n[0034] 软件安装时，系统管理子系统对要启动的进程，或其他要安装的程序依据可信基准库，进行度量。安全管理子系统则对安装过程中的行为的策略符合性进行判定。审计子系统将所有的安装操作进行记录。\n[0035] 这样，在安装过程中，如果有病毒或木马要启动，则系统管理子系统和安全管理子系统都会禁止该操作，并且审计子系统也会有安装操作的记录。最终降低了在传统操作系统软件安装过程中，由于管理员特权引入病毒或木马的风险。彻底去除了超级管理员角色，在操作系统核心层实现了权限分离。即使一个子系统由于失误做出了误判，则另外两个子系统仍能保障系统的安全，降低了管理员误判导致的系统安全事故，也禁止了管理员由于某种目的而进行的非法操作。\n附图说明\n[0036] 图1权限映射示意图；\n[0037] 图2权限示意图；\n[0038] 图3授权管理对比示意图；\n[0039] 图4基于三权分立的操作系统体系结构示意图；\n[0040] 图5系统工作流程示意图\n[0041] 其中：\n[0042] 图-中的1表示系统管理子系统，结点11表示用户是否合法的权限判定，12表示程序的启动权限，13表示能否调用加解密运算接口权限；2表示安全管理子系统，21表示访问控制权限，22表示安全隔离权限；3表示审计子系统，31表示操作系统审计，32表示三个子系统操作的管理审计权限。\n[0043] 图2中的结点11表示用户是否合法的权限判定，12表示程序的启动权限，13表示能否调用加解密运算接口权限；21表示访问控制权限，22表示安全隔离权限；31表示操作系统审计，32表示三个子系统操作的管理审计权限。\n具体实施方式\n[0044] 以下结合说明书附图，对本发明的具体实施例加以说明：\n[0045] 一种基于三权分立的操作系统体系结构，操作系统的权限被分为系统管理权、安全管理权、安全审计权；系统管理权对应于操作系统中的系统管理子系统(SystemManagement Subsystem，SMS)，安全安全管理权对应于操作系统中的安全管理子系统(Security Management Subsystem，SEMS)，安全审计权对应于操作系统中的审计子系统(Audit Subsystem，AS)；删除管理员，将登录操作系统进行实际操作的用户命名为操作员；\n[0046] (1)系统管理子系统(System Management Subsystem，SMS)\n[0047] 系统管理子系统由可信度量、可信服务、可信基准库和可信判定组成。系统管理子系统主要对系统中的硬件配置信息、软件配置信息、用户身份信息等进行管理。可信基准库负责这些信息的存储。通过这些信息，系统管理子系统利用可信度量机制等对系统中的主体，包括用户和进程，进行身份的鉴别。可信服务则为应用提供相应的可信支撑。\n[0048] (2)安全管理子系统(Security Management Subsystem，SEMS)\n[0049] 安全管理子系统主要是判定系统中的访问请求是否符合安全策略。安全管理子系统由访问控制、安全隔离、安全策略和安全判定组成。\n[0050] (3)审计子系统(Audit Subsystem，AS)\n[0051] 安全审计子系统负责记录系统中的行为，并对系统管理子系统和安全管理子系统的工作情况进行审计。\n[0052] 如附图1所示，图1中的1表示系统管理子系统，结点11表示用户是否合法的权限判定，12表示程序的启动权限，13表示能否调用加解密运算接口权限；2表示安全管理子系统，21表示访问控制权限，22表示安全隔离权限；3表示审计子系统，31表示操作系统审计，32表示三个子系统操作的管理审计权限。\n[0053] 如果将三个子系统放到一个平面上，其各自对应的权限也必然映射到另一平面上，我们把它称为权限平面，用点表示权限平面中的权限。用点表示权限，三个子系统对应的权限记为SMSn，SEMSn，ASn。当一个访问请求到达时，必然要经过一系列的权限判断，如主体身份鉴别、进程的完整性校验、访问控制、审计等等。按照权限判定的先后顺序，将平面B中的点连接起来，便构成了一个有向图，称为权限图(如图2)。图2中的结点11表示用户是否合法的权限判定，12表示程序的启动权限，13表示能否调用加解密运算接口权限；21表示访问控制权限，22表示安全隔离权限；31表示操作系统审计，32表示三个子系统操作的管理审计权限。边(m，n)表示经m的权限判定后，紧接着下一步由n进行判定。\n[0054] 权限图具有以下性质：\n[0055] 性质1、任一访问请求经过权限判定图所形成的子图AG1(V1，E1)，必然是权限图的子图，且满足(V1∩SMSn≠Φ)^(V1∩SEMSn≠Φ)^(V1∩ASn≠Φ)，即任一访问请求都必须受三个权限子系统的制约。\n[0056] 性质2、权限图是有向无环图。\n[0057] 若权限图中出现环，则说明无论环中的权限检查点是否生效，始终都会回到某一点，其他点的判定可有可无，这证明权限之间不存在相互制约关系，这与三权分立的思想是不相符合的。\n[0058] 性质3、对权限图中的任意边(m，n)，必定存在属于审计子系统的边t，且存在m至少一条m到t的路径。即每一个操作最后都会被审计监控，而且说明每一个授权都会被审计，即体现了三权分立中审计子系统对其他两个子系统的制约。\n[0059] 基于三权分立的操作系统体系结构如图4所示。在通用的WINDOWS 2003操作系统中，在应用程序与系统派遣服务之间加入上层可信代理模块，系统构建上述的系统管理子系统、安全管理子系统、审计子系统，分别对应图中的1、2、3三个部分。系统管理子系统主要提供可信度量与可信服务，以可信基准作为依据做出可信判定；安全管理子系统实现访问控制与安全隔离功能，通过安全策略做出安全判定；审计子系统提供审计功能。实施的技术手段主要是文件过滤驱动，对应的程序主要有两部分：\n[0060] 一是应用层的策略配置工具ConfgTool，为三个子系统提供不同的策略配置界面。\nConfgTool完成策略配置后，生成相应的策略文件，并且以DeviceIoControl的方式通知安全内核PriKernel加载策略。\n[0061] 二是运行在WINDOWS 2003内核层的文件过滤驱动程序PriKernel，该驱动主要完成本发明的三权分立的控制体系。在加载安全策略后，通过如图4中的上层可信代理，截获操作系统应用层与底层文件系统间的通信信息，然后送至三权分立的三个子系统进行判定。PriKernel作为系统驱动，以服务的方式加载，截获I/O管理器发出的IRP包，实现前面所述体系。在内核驱动PriKernel中，上层代理通过Hook机制挂钩ZwCreateSection操作，以获得程序的启动请求；通过文件过滤驱动提供的两个派遣例程IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION获得对文件的访问请求。整个系统的工作流程如图5所示。\n[0062] (1)系统管理子系统\n[0063] a、系统初始时，为每一个用户配发一个USB-KEY。系统管理子系统通过作为用户身份唯一标识的USB-KEY实现对用户身份的鉴别。而对系统中的程序及硬件驱动程序的鉴别则是采用白名单技术，该技术不是本发明要研究的重点，但却是本发明应采用的技术。每一项白名单的数据结构是(User，Fullpath，Hash)，所有的可执行程序文件在系统初始时，都会用SHA1算法收集其摘要值。这样就建立起了用户与程序的对应关系，每个程序可以赋给所有用户，如C:\WINDOWS\SYSTEM32\WINLOGON.EXE；也可赋给某一用户，如C:\ProgramFiles\Windows Media Player\wmplayer.exe。在文件过滤驱动PriKernel中，通过RegmonMapServiceTable获得对程序往内存中加载处的挂钩。那么根据SEC_IMAGE属性，任何程序在启动时都会被截获，进行完整性的校验。这样，系统管理子系统可以实现对用户、系统中程序、系统硬件驱动程序的身份鉴别，实现可信度量。\n[0064] b、本发明所采用的USB-KEY具有加解密运算的功能。这样，系统管理子系统的可信服务功能——加密存储，便可以实现。配置工具ConfgTool与内核PriKernel协商形成加解密的密钥文件，该文件被隔离保护，禁止任何进程或程序对其进行读取、修改操作。\n[0065] (2)安全管理子系统\n[0066] 系统启动时，安全策略就会加载到PriKernel开辟的内存LIST_ENTRY链表中。\n[0067] a、通过两个主要的派遣函数例程：IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION获得系统中的访问控制请求。解析IRP包，获得访问操作的类型，如读、写、改名、删除等；通过FileObject获得要被访问的客体；通过PsGetCurrentProcessId函数获得当前进程的PID信息，并通过向系统管理子系统询问，得知该主体是否是合法的主体。这样，访问控制中的主体、客体、操作三个元素就都具备了。此时，便可以依据安全策略对操作系统中的访问请求实施判定。\n[0068] b、通过进程与资源的绑定方式，实现资源的安全隔离。比如，某重要Tomcat数据库应用系统，则只允许Tomcat进程访问，其他进程对该资源的访问一概禁止，这样就实现了对该资源的安全隔离。\n[0069] (3)审计子系统\n[0070] 系统初始启动时PriKernel通过PsCreateSystemThread一个审计线程，并构建LIST ENTRY结构的审计队列。\n[0071] a、在系统中的关键访问控制点挂载审计钩子函数，如对文件的读、写、改名、删除，程序启动，进程创建等；通过钩子函数记录相应的审计信息，并将审计记录存放到LIST_ENTRY结构的审计队列中。\n[0072] b、审计线程通过定时轮询审计队列的方式，将审计队列中的信息，写入审计日志文件。前面所述的安全隔离机制，可以实现对审计子系统的审计日志的保护，只有专门负责审计管理的人员才可以通过ConfgTool程序实现对审计日志的查看及维护，任何其他对审计日志的操作都会被禁止。\n[0073] c、审计日志的结构包括：时间、用户、进程、客体、操作结果、系统管理判定结果，安全管理判定结果。