一种基于SELinux系统的Linux内核加固方法及硬件平台的制作方法

文档序号:10489272阅读:327来源:国知局
一种基于SELinux系统的Linux内核加固方法及硬件平台的制作方法
【专利摘要】本发明公开了一种基于SELinux系统的Linux内核加固方法及硬件平台,属于Linux系统内核领域,本发明要解决的技术问题为如何能够增强Linux内核的安全性,解决对Android移动设备的攻击行为中的基于Linux内核的攻击问题。技术方案为:该方法是基于通用Android操作系统增加一个用于自主入侵检测和主动防御的安全内核增强模块LC?SELinux,安全内核增强模块LC?SELinux通过标准化接口接入Linux内核,实现安全内核增强模块LC?SELinux与Linux内核的源代码级解耦,为安全内核的动态升级提供基础;通过对安全内核增强模块LC?SELinux的扩展。
【专利说明】
一种基于SEL i nux系统的L i nux内核加固方法及硬件平台
技术领域
[0001 ]本发明涉及L i nux系统内核领域,具体地说是一种基于SEL i nux系统的L i nux内核 加固方法及硬件平台。
【背景技术】
[0002] LC1860C是联芯科技推出的高性价比LTE五模芯片,28nm四核A7主频1.5GHz,GPU搭 配双核Mal i T628,支持单通道LPDDR2/LPDDR3,1300万像素 ISP,720P HD屏幕,支持TD-LTE/ LTE FDD/TD-SCDMA/WCDMA/GGE网络,支持VoLTE-SRCC/CSFB/SG-LTE/DSDA/DSDS。目标市场 为中低端LTE智能手机市场。
[0003] Android是目前使用最为广泛的移动终端操作系统,主要使用于移动设备,如智能 手机和平板电脑。Android操作系统基于Linux内核,内核是整个操作系统的核心,如果内核 存在安全缺陷则整个系统的安全也就无从保证,上层的各种安全加固措施也只是空中楼 阁。
[0004] SELinux(Security-Enhanced Linux)是美国国家安全局(NSA)对于强制访问控制 的实现,是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了 一种访 问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。 SELinux默认安装在Fedora和Red Hat Enterprise Linux上,也可以作为其他发行版上容 易安装的包得到。
[0005] Android系统通过继承和创新,对系统架构各个层次的安全性都进行有针对性的 增强设计,使其安全性能得到较大提升。在Android安全机制中,既有传统的Linux安全机 制,也有Dalvik虚拟机的相关安全机制。同时,Google还设计了Android特有的安全机制, Android系统安全机制如下表所示:
[0007] Andorid系统安全隐患分析:尽管Andro id的安全机制经过良好设计,但这并不意 味Android不存在安全隐患。针对其存在的安全隐患,结合现今针对移动设备的攻击方式, 我们对Android移动设备的攻击行为进行分类:基于硬件的攻击、基于Linux内核的攻击、基 于系统核心程序的攻击和基于应用程序的攻击。
[0008] 由于Linux内核是高可配置性,而移动设备由于资源有限,往往会禁用一些内核选 项用以降低内存资源消耗,这其中就包括安全配置选项。在不同的移动设备上使用的内核 配置各不相同。如何能够增强Linux内核的安全性,解决对Android移动设备的攻击行为中 的基于Linux内核的攻击问题是目前急需解决的技术问题。

【发明内容】

[0009]本发明的技术任务是针对以上不足之处,提供一种结构简单、生产成本低、易于加 工、对环境无污染的基于SEL i nux系统的L i nux内核加固方法及硬件平台。
[0010]本发明解决其技术问题所采用的技术方案是:该方法是基于Android操作系统内 增加一个用于自主入侵检测和主动防御的安全内核增强模块LC-SELinux,安全内核增强模 块LC-SELinux通过标准化接口接入Linux内核,实现安全内核增强模块LC-SELinux与Linux 内核的源代码级解耦,为安全内核增强模块LC-SELinux的动态升级提供基础;通过对安全 内核增强模块LC-SELinux的扩展,实现对Linux内核所有敏感API调用的实时监控、实时跟 踪每个程序对Linux内核的使用情况,并对照恶意程序行为模式进行建模,从而检出恶意的 行为模式,有力的保障了整个Android操作系统环境的安全,为其他安全功能扩展提供了基 础保障。
[0011] 作为优选,所述安全内核增强模块LC-SELinux包括自主入侵检测模块和主动防御 模块,自主入侵检测模块在恶意攻击程序开始进行恶意内核攻击时,实时的检测出攻击行 为,为主动防御模块执行防御功能提供判定依据,从而防止恶意程序对Android操作系统的 攻击进一步加深。
[0012] 作为优选,所述安全内核增强模块LC-SELinux构建了两层访问控制系统,分别是 基于设备模型的访问控制系统和基于事务模型的访问控制系统;在基于设备模型的访问控 制系统中,采用了域-类型的强制模型,旨在保护系统本身的安全性;在基于事务模型的访 问控制系统中,融合了RBAC/MCS/MLS访问控制模型,侧重对应用和数据的保护。其中,用户 可以通过安全策略实施特有的安全控制方案,安全策略通过解析编译后,形成策略数据库, 并被控制系统执行。由于安全内核增强模块能够依据策略限制攻击者,即使系统有各种漏 洞/缺陷存在,也能够有效的避免恶意破坏,从而能够在系统层面有效解决各种安全问题。 安全内核增强模块拥有未知攻击入侵检测和主动防御功能,为上层提供了可靠的运行环 境,其上构件的沙盒模型/安全存储/隐私保护等各种安全特性才能够有效实施。安全内核 增强模块也和硬件安全引导、系统完整性监控、密钥管理等结合,利用硬件的特性加固自身 的安全性。
[0013] 作为优选,所述Android操作系统还包括资源监控和管理模块、多重访问控制模 块、系统调用监控模块、Root分权和内核审计系统,Android操作系统内置资源监控和管理 模块用于控制系统资源的安全使用;以DAC、MAC和ACL相结合的方式提供多重访问控制模 块,保证资源使用权限;Android操作系统内置系统调用监控模块用于控制应用层对系统关 键功能的使用,防范恶意使用;在Android操作系统的内核层支持数据加密和安全删除,确 保系统和用户数据安全;采用Root分权的方式控制权限,解决特权用户权力滥用问题;在 Andro i d操作系统内核态内置内核审计系统,保证系统操作可追踪。
[0014]更优地,所述多重访问控制模块采用纵深的访问控制体系保护内核接口和设备, 以DAC、ACL和MAC纵深访问控制的方式对内核的接口和设备文件进行保护,对隔离的安全域 内的应用空间进行隔离,以达到内存、设备、文件以及网络系统资源的应用隔离。
[0015] -种基于SELinux的系统硬件平台,采用上述中任意一种基于SELinux系统的 Li nuX内核加固方法的硬件平台,该硬件平台包括CPU、与CI3U连接的图形处理器(GI3U)、 eMCP、SIM小卡(Micro SIM)、TF储存卡(TF Card)、SIM卡、WiFi、蓝牙(BT)、按键、Micro-USB 卡、RJ45/RS232、LTE通信模块、光线/距离传感器、电子罗盘以及加速度传感器、GPS/北斗 (BDS)、相机(Camera)、液晶屏(LCD)/触摸屏(Touch)以及音频编解码器(Audio Codec)。
[0016] 其中,eMCP是结合e丽C和MCP封装而成的智慧型手机记忆体标准,与传统的MCP相 较之下,eMCP因为有内建的NAND Flash控制晶片,可以减少主晶片运算的负担,并且管理更 大容量的快闪记忆体,以外型设计来看,不论是eMCP或是eMMC内嵌式记忆体设计概念,都是 为了让智慧型手机的外型厚度更薄,机壳密闭度更完整。智慧型手机的记忆体储存方式最 早期是机身外接小型记忆卡mi croSD,这两年开始流行内嵌式记忆体,遂有eMMC模组冒出头 且成为内嵌式记忆体的主流,未来在价格下滑带动普及率之下,甚至一些功能型手机 (Feature Phone)都可能导入eMMC模组,预计2013年有超过80%的智慧型手机采用eMMC或 是eMCP做为记忆体储存模式。
[0017] RJ45/RS232是串口转RJ45模块/RS232转以太网模块中运行有嵌入式程序,它们的 功能是由这个嵌入式程序来实现的,当嵌入式程序出现故障就会导致以太网模块/RS232转 RJ45模块工作异常,看门狗设计的主要作用是防止RS232转以太网模块/串口转RJ45中的嵌 入式程序跑飞或死锁。当串口以太网模块工作异常时,看门狗将自动复位而重新运行嵌入 式程序,大大提高了我们产品的稳定性,最大限度保证客户通讯设备正常稳定运行。
[0018] 作为优选,所述音频编解码器上设置有喇叭(SPK HP)和麦克风(MIC)。
[0019]本发明的一种基于SELinux系统的Linux内核加固方法及硬件平台和现有技术相 比,具有以下优点:
[0020] 1、本发明以国产联芯LC1860C处理器的手持式计算机为硬件平台,基于SELinux的 强制访问控制机制,实现对Android操作系统Linux内核层面的加固;
[0021 ] 2、SEL i nux是基于域-类型(doma i n-1 y p e)模型的用于强制访问控制的安全系统是 一种混合的安全性策略,安全性策略的逻辑和通用接口一起封装在与操作系统独立的安全 服务器中,通过替换安全服务器,可以支持两种不同的安全策略:目标(targeted)策略,严 格(strict)策略;目标策略仅针对部分系统网络服务和进程执行seIinux策略;严格策略是 执行全局的nsa默认策略,此时几乎所有的网络服务都受控;操作系统在内核层引入 SELinux机制,并自主重新定义了多条强制访问控制策略(MAC);操作系统内置资源监控和 管理模块控制系统资源的安全使用;以DAC、MAC和ACL相结合的方式提供多重访问控制,保 证资源使用权限;内置系统调用监控模块控制应用层对系统关键功能的使用,防范恶意使 用;在内核层支持数据加密和安全删除,确保系统和用户数据安全;采用Root分权的方式控 制权限,解决特权用户权力滥用问题;最后,在内核态内置审计系统,保证系统操作可追踪; [0022] 3、本发明是基于通用Android操作系统增加一个具有自主入侵检测和主动防御功 能的安全内核增强模块LC-SELinux,安全内核增强模块LC-SELinux通过标准化接口接入 Linux内核,实现安全内核增强模块LC-SELinux与Linux内核的源代码级解親,为安全内核 的动态升级提供基础;通过对安全内核增强模块LC-SELinux的扩展,实现对Linux内核所有 敏感API调用的实时监控、实时跟踪每个程序对Linux内核的使用情况,并对照恶意程序行 为模式进行建模,从而检出恶意的行为模式,有力的保障了整个Android操作系统环境的 安全,为其他安全功能扩展提供了基础保障。
[0023] 故本发明具有设计合理、结构简单、易于加工、体积小、使用方便、一物多用等特 点,因而,具有很好的推广使用价值。
【附图说明】
[0024] 下面结合附图对本发明进一步说明。
[0025]附图1为Root分权机制示意图;
[0026] 附图2为双重访问控制框架图;
[0027] 附图3为Linux内核层安全机制结构框图;
[0028]附图4为硬件平台结构框图。
【具体实施方式】
[0029]下面结合附图和具体实施例对本发明作进一步说明。
[0030] 实施例1
[0031 ]本发明的一种基于SELinux系统的Linux内核加固方法及硬件平台,该方法是基于 Android操作系统内增加一个用于自主入侵检测和主动防御的安全内核增强模块LC-SELinux,安全内核增强模块LC-SELinux通过标准化接口接入Linux内核,实现安全内核增 强模块LC-SELinux与Linux内核的源代码级解耦,为安全内核增强模块LC-SELinux的动态 升级提供基础;通过对安全内核增强模块LC-SELinux的扩展,实现对Linux内核所有敏感 API调用的实时监控、实时跟踪每个程序对Linux内核的使用情况,并对照恶意程序行为模 式进行建模,从而检出恶意的行为模式。安全内核增强模块LC-SELinux包括自主入侵检测 模块和主动防御模块,自主入侵检测模块在恶意攻击程序开始进行恶意内核攻击时,实时 的检测出攻击行为,为主动防御模块执行防御功能提供判定依据,从而防止恶意程序对 An droid操作系统的攻击进一步加深。安全内核增强模块LC-SELinux构建了两层访问控制 系统,分别是基于设备模型的访问控制系统和基于事务模型的访问控制系统;在基于设备 模型的访问控制系统中,采用了域-类型的强制模型,旨在保护系统本身的安全性;在基于 事务模型的访问控制系统中,融合了RBAC/MCS/MLS访问控制模型,侧重对应用和数据的保 护。
[0032]如附图3所示,Android操作系统还包括资源监控和管理模块、多重访问控制模块、 系统调用监控模块、Root分权和内核审计系统,Android操作系统内置资源监控和管理模块 用于控制系统资源的安全使用;以DAC、MAC和ACL相结合的方式提供多重访问控制模块,保 证资源使用权限;Android操作系统内置系统调用监控模块用于控制应用层对系统关键功 能的使用,防范恶意使用;在Android操作系统的内核层支持数据加密和安全删除,确保系 统和用户数据安全;采用Root分权的方式控制权限,解决特权用户权力滥用问题;在 Andro i d操作系统内核态内置内核审计系统,保证系统操作可追踪。
[0033]如附图1所示,随着技术和网络的发展,移动设备越来越普及。在用户使用过程中, 暴露出目前主流移动设备操作系统存在安全缺陷,尤其体现在用户及程序的权限管理上, 以往的系统都存在一个超级用户(root),如果暴露了超级用户的使用权限,那么系统根本 没有安全可言,所以需要对移动操作系统的超级用户需要进行更严格的权限控制。
[0034] 针对超级用户权力管控的难题,POSIX提出了 Capabi Iity机制。Capabi Iity机制是 将内核系统资源访问划分为许多的权利属性,使用能力可以减小这种风险。采用POSIX的能 力机制,除Root账号,实现Root安全管理系统管理员为了系统的安全可以剥夺root权限程 序的某些能力,这样在运行该进程时就无法进行非赋予能力的操作。同时这个过程又是不 可逆的,也就是说如果一种能力被删除,无法重新添加被删除的能力。能力的分配是在系统 启动中进行,所以其他用户没有办法更改能力,因为过程不可逆。
[0035]在应用态完全去除Root账号,将安全内核系统进行权力分割。对所有需要特权能 力的程序进行权限分析,只赋给这些程序保证功能正常的基本能力,而不给其额外的能力。 从而保证即使系统用户账号被攻破,也不能攻陷整个系统。
[0036]如附图2所示,多重访问控制模块采用纵深的访问控制体系保护内核接口和设备, 以DAC、ACL和MAC纵深访问控制的方式对内核的接口和设备文件进行保护,对隔离的安全域 内的应用空间进行隔离,以达到内存、设备、文件以及网络系统资源的应用隔离。这样在应 用突破应用开发接口和服务管理的访问控制的情况下,仍然受制于纵深访问控制体系,从 而保证与内核资源和设备功能相关的系统能力仍然处于有效的控制之中。操作系统采用 DAC、MAC、ACL和网络过滤相结合的访问控制方式,达到应用空间隔离的目的。多重访问控制 模块的功能如下:
[0037] (1 )、以Linux的LSM框架为核心集成安全防护功能;
[0038] (2)、使用DAC机制实现应用沙箱隔离,所有应用按照Linux的用户/组方式进行划 分,不同用户就运行在不同空间内,达到空间隔离的目的;
[0039] (3)、强制系统使用MAC进行访问控制,确保所有的访问都是被集中管控的,不会因 用户的变更导致访问控制隔离的失效;
[0040] (4)、使用ACL实现基于角色的访问控制,弥补DAC机制无法对角色进行管控的缺 陷,使用ACL达到基于角色的精细控制程度;
[0041 ] (5)、以Linux的Netfilter机制为核心集成网络过滤功能,从而能精确控制应用对 网络资源的使用。
[0042] 实施例2
[0043] 如附图4所示,一种基于SELinux系统的硬件平台,采用实施例1的一种基于 SELinux系统的Linux内核加固方法的硬件平台,该硬件平台包括CPU、与CPU连接的图形处 理器、eMCP、SM小卡、TF 储存卡、SIM 卡、WiFi、蓝牙、按键、Micro-USB 卡、RJ45/RS232、LTE 通 信模块、光线/距离传感器、电子罗盘以及加速度传感器、GPS/北斗、相机、液晶屏/触摸屏以 及音频编解码器。音频编解码器上设置有喇叭和麦克风。
[0044] 上述【具体实施方式】仅是本发明的具体个案,本发明的专利保护范围包括但不限于 上述【具体实施方式】,任何符合本发明的一种基于SELinux系统的Linux内核加固方法及硬件 平台的权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换,皆 应落入本发明的专利保护范围。
[0045] 通过上面【具体实施方式】,所述技术领域的技术人员可容易的实现本发明。但是应 当理解,本发明并不限于上述的两种【具体实施方式】。在公开的实施方式的基础上,所述技术 领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
【主权项】
1. 一种基于SEL i nux系统的L i nux内核加固方法,其特征在于:该方法是基于Andr o i d操 作系统内增加一个用于自主入侵检测和主动防御的安全内核增强模块LC-SEL i nux,安全内 核增强模块LC-SELinux通过标准化接口接入Linux内核,实现安全内核增强模块LC-SELinux与Linux内核的源代码级解親,为安全内核增强模块LC-SELinux的动态升级提供基 础;通过对安全内核增强模块LC-SELinux的扩展,实现对Linux内核所有敏感API调用的实 时监控、实时跟踪每个程序对Linux内核的使用情况,并对照恶意程序行为模式进行建模, 从而检出恶意的行为模式。2. 根据权利要求1所述的一种基于SELinux系统的Linux内核加固方法,其特征在于:所 述安全内核增强模块LC-SELinux包括自主入侵检测模块和主动防御模块,自主入侵检测模 块在恶意攻击程序开始进行恶意内核攻击时,实时的检测出攻击行为,为主动防御模块执 行防御功能提供判定依据,从而防止恶意程序对Android操作系统的攻击进一步加深。3. 根据权利要求1所述的一种基于SELinux系统的Linux内核加固方法,其特征在于:所 述安全内核增强模块LC-SELinux构建了两层访问控制系统,分别是基于设备模型的访问控 制系统和基于事务模型的访问控制系统;在基于设备模型的访问控制系统中,采用了域-类 型的强制模型,旨在保护系统本身的安全性;在基于事务模型的访问控制系统中,融合了 RBAC/MCS/MLS访问控制模型,侧重对应用和数据的保护。4. 根据权利要求1所述的一种基于SELinux系统的Linux内核加固方法,其特征在于:所 述Android操作系统还包括资源监控和管理模块、多重访问控制模块、系统调用监控模块、 Root分权和内核审计系统,Android操作系统内置资源监控和管理模块用于控制系统资源 的安全使用;以DAC、MAC和ACL相结合的方式提供多重访问控制模块,保证资源使用权限; Android操作系统内置系统调用监控模块用于控制应用层对系统关键功能的使用,防范恶 意使用;在Android操作系统的内核层支持数据加密和安全删除,确保系统和用户数据安 全;采用Root分权的方式控制权限,解决特权用户权力滥用问题;在Android操作系统内核 态内置内核审计系统,保证系统操作可追踪。5. 根据权利要求4所述的一种基于SELinux系统的Linux内核加固方法,其特征在于:所 述多重访问控制模块采用纵深的访问控制体系保护内核接口和设备,以DAC、ACL和MAC纵深 访问控制的方式对内核的接口和设备文件进行保护,对隔离的安全域内的应用空间进行隔 离,以达到内存、设备、文件以及网络系统资源的应用隔离。6. -种基于SELinux系统的硬件平台,其特征在于:采用权利要求1-5中任意一种基于 SELinux系统的Linux内核加固方法的硬件平台,该硬件平台包括CPU、与CPU连接的图形处 理器、eMCP、SM小卡、TF 储存卡、SIM 卡、WiFi、蓝牙、按键、Micro-USB 卡、RJ45/RS232、LTE 通 信模块、光线/距离传感器、电子罗盘以及加速度传感器、GPS/北斗、相机、液晶屏/触摸屏以 及音频编解码器。7. 根据权利要求6所述的一种基于SELinux系统的硬件平台,其特征在于:所述音频编 解码器上设置有喇叭和麦克风。
【文档编号】G06F21/55GK105844152SQ201610164038
【公开日】2016年8月10日
【申请日】2016年3月22日
【发明人】赵瑞东, 刘传刚, 张廷银, 吴登勇
【申请人】山东超越数控电子有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1