-
公开(公告)号:CN104484594B
公开(公告)日:2017-10-31
申请号:CN201410643335.5
申请日:2014-11-06
Applicant: 中国科学院信息工程研究所
IPC: G06F21/45
Abstract: 本发明公开了一种基于权能机制的linux系统特权分配方法。本方法为:1)安全模式下,设置用户角色配置文件和角色能力配置文件;2)根据系统的特权应用所需要的能力对其进行标记;服务器的TPM对配置文件和标记后的特权应用进行度量和写保护;3)开启TPM度量,进入系统工作模式;TPM对所述配置文件进行度量验证,通过后根据用户名查询配置文件获得对应的角色,读取该角色包含的能力集;4)PAM根据该角色对当前进程的能力进行标记,当调用某个应用时,如果是特权应用,则判断该应用所标记的能力集与进程所标记的能力集是否匹配,如果匹配则进程获取该特权应用的能力并执行该特权应用,否则拒绝执行。本方法易于管理和权限控制。
-
公开(公告)号:CN104751048A
公开(公告)日:2015-07-01
申请号:CN201510046876.4
申请日:2015-01-29
Applicant: 中国科学院信息工程研究所
IPC: G06F21/51
Abstract: 本发明公开了一种预链接机制下的动态链接库完整性度量方法。本发明为:1)关闭Linux的完整性度量使能开关,进入完整性维护模式并提取所需度量的文件;2)检测度量文件是否属于动态链接库文件;如果是,则提取该动态链接库文件中代码段在文件中的偏移位置和长度发送给度量函数计算基准度量值并保存;3)进入完整性验证模式;当系统加载的文件为需度量文件时,检测其是否属于动态链接库文件;如果是,则提取该动态链接库文件中代码段在文件中的偏移位置和长度发送给度量函数计算度量值并与对应基准度量值进行比较,如果匹配,则允许加载执行,否则拒绝。本发明不需要关闭prelink工具即可对动态链接库进行完整性度量。
-
公开(公告)号:CN104751048B
公开(公告)日:2017-12-15
申请号:CN201510046876.4
申请日:2015-01-29
Applicant: 中国科学院信息工程研究所
IPC: G06F21/51
Abstract: 本发明公开了一种预链接机制下的动态链接库完整性度量方法。本发明为:1)关闭Linux的完整性度量使能开关,进入完整性维护模式并提取所需度量的文件;2)检测度量文件是否属于动态链接库文件;如果是,则提取该动态链接库文件中代码段在文件中的偏移位置和长度发送给度量函数计算基准度量值并保存;3)进入完整性验证模式;当系统加载的文件为需度量文件时,检测其是否属于动态链接库文件;如果是,则提取该动态链接库文件中代码段在文件中的偏移位置和长度发送给度量函数计算度量值并与对应基准度量值进行比较,如果匹配,则允许加载执行,否则拒绝。本发明不需要关闭prelink工具即可对动态链接库进行完整性度量。
-
公开(公告)号:CN104484594A
公开(公告)日:2015-04-01
申请号:CN201410643335.5
申请日:2014-11-06
Applicant: 中国科学院信息工程研究所
IPC: G06F21/45
CPC classification number: G06F21/44 , G06F2221/2141
Abstract: 本发明公开了一种基于权能机制的linux系统特权分配方法。本方法为:1)安全模式下,设置用户角色配置文件和角色能力配置文件;2)根据系统的特权应用所需要的能力对其进行标记;服务器的TPM对配置文件和标记后的特权应用进行度量和写保护;3)开启TPM度量,进入系统工作模式;TPM对所述配置文件进行度量验证,通过后根据用户名查询配置文件获得对应的角色,读取该角色包含的能力集;4)PAM根据该角色对当前进程的能力进行标记,当调用某个应用时,如果是特权应用,则判断该应用所标记的能力集与进程所标记的能力集是否匹配,如果匹配则进程获取该特权应用的能力并执行该特权应用,否则拒绝执行。本方法易于管理和权限控制。
-
-
-
Search Results
4
records
(took 0.034 seconds)
