技术领域
[0001] 本
发明涉及Linux系统内核领域,具体地说是一种基于SELinux系统的Linux内核加固方法及硬件平台。
背景技术
[0002] LC1860C是联芯科技推出的高性价比LTE五模芯片,28nm四核A7主频1.5GHz,GPU搭配双核Mali T628,支持单通道LPDDR2/LPDDR3,1300万
像素ISP,720P HD屏幕,支持TD-LTE/LTE FDD/TD-SCDMA/WCDMA/GGE网络,支持VoLTE-SRCC/CSFB/SG-LTE/DSDA/DSDS。目标市场为中低端LTE智能手机市场。
[0003] Android是目前使用最为广泛的移动终端
操作系统,主要使用于移动设备,如智能手机和
平板电脑。Android操作系统基于Linux内核,内核是整个操作系统的核心,如果内核存在安全
缺陷则整个系统的安全也就无从保证,上层的各种安全加固措施也只是空中楼阁。
[0004] SELinux(Security-Enhanced Linux)是美国国家安全局(NSA)对于强制
访问控制的实现,是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,
进程只能访问那些在他的任务中所需要文件。SELinux默认安装在Fedora和Red Hat Enterprise Linux上,也可以作为其他发行版上容易安装的包得到。
[0005] Android系统通过继承和创新,对系统架构各个层次的安全性都进行有针对性的增强设计,使其安全性能得到较大提升。在Android安全机制中,既有传统的Linux安全机制,也有Dalvik
虚拟机的相关安全机制。同时,Google还设计了Android特有的安全机制,Android系统安全机制如下表所示:
[0006]
[0007] Andorid系统安全隐患分析:尽管Android的安全机制经过良好设计,但这并不意味Android不存在安全隐患。针对其存在的安全隐患,结合现今针对移动设备的攻击方式,我们对Android移动设备的攻击行为进行分类:基于硬件的攻击、基于Linux内核的攻击、基于系统核心程序的攻击和基于应用程序的攻击。
[0008] 由于Linux内核是高可配置性,而移动设备由于资源有限,往往会禁用一些内核选项用以降低内存资源消耗,这其中就包括安全配置选项。在不同的移动设备上使用的内核配置各不相同。如何能够增强Linux内核的安全性,解决对Android移动设备的攻击行为中的基于Linux内核的攻击问题是目前急需解决的技术问题。
发明内容
[0009] 本发明的技术任务是针对以上不足之处,提供一种结构简单、生产成本低、易于加工、对环境无污染的基于SELinux系统的Linux内核加固方法及硬件平台。
[0010] 本发明解决其技术问题所采用的技术方案是:该方法是基于Android操作系统内增加一个用于自主入侵检测和主动防御的安全内核增强模
块LC-SELinux,安全内核增强模块LC-SELinux通过标准化
接口接入Linux内核,实现安全内核增强模块LC-SELinux与Linux内核的源代码级解耦,为安全内核增强模块LC-SELinux的动态升级提供
基础;通过对安全内核增强模块LC-SELinux的扩展,实现对Linux内核所有敏感API调用的实时监控、实时
跟踪每个程序对Linux内核的使用情况,并对照恶意程序行为模式进行建模,从而检出恶意的行为模式,有
力的保障了整个Android操作系统环境的安全,为其他安全功能扩展提供了基础保障。
[0011] 作为优选,所述安全内核增强模块LC-SELinux包括自主入侵检测模块和主动防御模块,自主入侵检测模块在恶意攻击程序开始进行恶意内核攻击时,实时的检测出攻击行为,为主动防御模块执行防御功能提供判定依据,从而防止恶意程序对Android操作系统的攻击进一步加深。
[0012] 作为优选,所述安全内核增强模块LC-SELinux构建了两层访问控制系统,分别是基于设备模型的访问控制系统和基于事务模型的访问控制系统;在基于设备模型的访问控制系统中,采用了域-类型的强
制模型,旨在保护系统本身的安全性;在基于事务模型的访问控制系统中,融合了RBAC/MCS/MLS访问控制模 型,侧重对应用和数据的保护。其中,用户可以通过安全策略实施特有的安全控制方案,安全策略通过解析编译后,形成策略
数据库,并被控制系统执行。由于安全内核增强模块能够依据策略限制攻击者,即使系统有各种漏洞/缺陷存在,也能够有效的避免恶意破坏,从而能够在系统层面有效解决各种安全问题。安全内核增强模块拥有未知攻击入侵检测和主动防御功能,为上层提供了可靠的运行环境,其上构件的沙盒模型/安全存储/隐私保护等各种安全特性才能够有效实施。安全内核增强模块也和硬件安全引导、系统完整性监控、密钥管理等结合,利用硬件的特性加固自身的安全性。
[0013] 作为优选,所述Android操作系统还包括资源监控和管理模块、多重访问
控制模块、系统调用监控模块、Root分权和内核审计系统,Android操作系统内置资源监控和管理模块用于控制系统资源的安全使用;以DAC、MAC和ACL相结合的方式提供多重访问控制模块,保证资源使用权限;Android操作系统内置系统调用监控模块用于控制应用层对系统关键功能的使用,防范恶意使用;在Android操作系统的内核层支持数据加密和安全删除,确保系统和用户数据安全;采用Root分权的方式控制权限,解决特权用户权力滥用问题;在Android操作系统内核态内置内核审计系统,保证系统操作可追踪。
[0014] 更优地,所述多重访问控制模块采用纵深的访问控制体系保护内核接口和设备,以DAC、ACL和MAC纵深访问控制的方式对内核的接口和设备文件进行保护,对隔离的安全域内的应用空间进行隔离,以达到内存、设备、文件以及网络系统资源的应用隔离。
[0015] 一种基于SELinux的系统硬件平台,采用上述中任意一种基于SELinux系统的Linux内核加固方法的硬件平台,该硬件平台包括CPU、与CPU连接的图形处理器(GPU)、eMCP、SIM小卡(Micro SIM)、TF储存卡(TF Card)、SIM卡、WiFi、蓝牙(BT)、按键、Micro-USB卡、RJ45/RS232、LTE通信模块、光线/距离
传感器、
电子罗盘以及
加速度传感器、GPS/北斗(BDS)、相机(Camera)、
液晶屏(LCD)/
触摸屏(Touch)以及音频编
解码器(Audio Codec)。
[0016] 其中,eMCP是结合eMMC和MCP封装而成的智慧型手机记忆体标准,与传统的MCP相较之下,eMCP因为有内建的NAND Flash控制晶片,可以减少主晶片运算的负担,并且管理更大容量的快闪记忆体,以外型设计来看,不论是eMCP或是eMMC内嵌式记忆体设计概念,都是为了让智慧型手机的外型厚度更薄,机壳密闭度更完整。智慧型手机的记忆体储存方式最早期是
机身外接小型记忆卡microSD,这两年开始流行内嵌式记忆体,遂有eMMC模组冒出头且成为内嵌式 记忆体的主流,未来在价格下滑带动普及率之下,甚至一些功能型手机(Feature Phone)都可能导入eMMC模组,预计2013年有超过80%的智慧型手机采用eMMC或是eMCP做为记忆体储存模式。
[0017] RJ45/RS232是串口转RJ45模块/RS232转以太网模块中运行有嵌入式程序,它们的功能是由这个嵌入式程序来实现的,当嵌入式程序出现故障就会导致以太网模块/RS232转RJ45模块工作异常,看
门狗设计的主要作用是防止RS232转以太网模块/串口转RJ45中的嵌入式程序跑飞或死
锁。当串口以太网模块工作异常时,看门狗将自动复位而重新运行嵌入式程序,大大提高了我们产品的
稳定性,最大限度保证客户通讯设备正常稳定运行。
[0018] 作为优选,所述音频编解码器上设置有喇叭(SPK HP)和麦克
风(MIC)。
[0019] 本发明的一种基于SELinux系统的Linux内核加固方法及硬件平台和
现有技术相比,具有以下优点:
[0020] 1、本发明以国产联芯LC1860C处理器的手持式计算机为硬件平台,基于SELinux的强制访问控制机制,实现对Android操作系统Linux内核层面的加固;
[0021] 2、SELinux是基于域-类型(domain-type)模型的用于强制访问控制的安全系统是一种混合的安全性策略,安全性策略的逻辑和通用接口一起封装在与操作系统独立的安全
服务器中,通过替换安全服务器,可以支持两种不同的安全策略:目标(targeted)策略,严格(strict)策略;目标策略仅针对部分系统网络服务和进程执行selinux策略;严格策略是执行全局的nsa默认策略,此时几乎所有的网络服务都受控;操作系统在内核层引入SELinux机制,并自主重新定义了多条强制访问控制策略(MAC);操作系统内置资源监控和管理模块控制系统资源的安全使用;以DAC、MAC和ACL相结合的方式提供多重访问控制,保证资源使用权限;内置系统调用监控模块控制应用层对系统关键功能的使用,防范恶意使用;在内核层支持数据加密和安全删除,确保系统和用户数据安全;采用Root分权的方式控制权限,解决特权用户权力滥用问题;最后,在内核态内置审计系统,保证系统操作可追踪;
[0022] 3、本发明是基于通用Android操作系统增加一个具有自主入侵检测和主动防御功能的安全内核增强模块LC-SELinux,安全内核增强模块LC-SELinux通过标准化接口接入Linux内核,实现安全内核增强模块LC-SELinux与Linux内核的源代码级解耦,为安全内核的动态升级提供基础;通过对安全内核增强模块LC-SELinux的扩展,实现对Linux内核所有敏感API调用的实时监控、实时跟踪每个程序对Linux内核的使用情况,并对照恶意程序行为模式进行建模,从 而检出恶意的行为模式,有力的保障了整个Android操作系统环境的安全,为其他安全功能扩展提供了基础保障。
[0023] 故本发明具有设计合理、结构简单、易于加工、体积小、使用方便、一物多用等特点,因而,具有很好的推广使用价值。
附图说明
[0024] 下面结合附图对本发明进一步说明。
[0025] 附图1为Root分权机制示意图;
[0027] 附图3为Linux内核层安全机制结构
框图;
[0028] 附图4为硬件平台结构框图。
具体实施方式
[0029] 下面结合附图和具体
实施例对本发明作进一步说明。
[0030] 实施例1
[0031] 本发明的一种基于SELinux系统的Linux内核加固方法及硬件平台,该方法是基于Android操作系统内增加一个用于自主入侵检测和主动防御的安全内核增强模块LC-SELinux,安全内核增强模块LC-SELinux通过标准化接口接入Linux内核,实现安全内核增强模块LC-SELinux与Linux内核的源代码级解耦,为安全内核增强模块LC-SELinux的动态升级提供基础;通过对安全内核增强模块LC-SELinux的扩展,实现对Linux内核所有敏感API调用的实时监控、实时跟踪每个程序对Linux内核的使用情况,并对照恶意程序行为模式进行建模,从而检出恶意的行为模式。安全内核增强模块LC-SELinux包括自主入侵检测模块和主动防御模块,自主入侵检测模块在恶意攻击程序开始进行恶意内核攻击时,实时的检测出攻击行为,为主动防御模块执行防御功能提供判定依据,从而防止恶意程序对Android操作系统的攻击进一步加深。安全内核增强模块LC-SELinux构建了两层访问控制系统,分别是基于设备模型的访问控制系统和基于事务模型的访问控制系统;在基于设备模型的访问控制系统中,采用了域-类型的强制模型,旨在保护系统本身的安全性;在基于事务模型的访问控制系统中,融合了RBAC/MCS/MLS访问控制模型,侧重对应用和数据的保护。
[0032] 如附图3所示,Android操作系统还包括资源监控和管理模块、多重访问控制模块、系统调用监控模块、Root分权和内核审计系统,Android操作系统内置资源监控和管理模块用于控制系统资源的安全使用;以DAC、MAC和ACL相结合的方式提供多重访问控制模块,保证资源使用权限;Android操作系统内置系 统调用监控模块用于控制应用层对系统关键功能的使用,防范恶意使用;在Android操作系统的内核层支持数据加密和安全删除,确保系统和用户数据安全;采用Root分权的方式控制权限,解决特权用户权力滥用问题;在Android操作系统内核态内置内核审计系统,保证系统操作可追踪。
[0033] 如附图1所示,随着技术和网络的发展,移动设备越来越普及。在用户使用过程中,暴露出目前主流移动设备操作系统存在安全缺陷,尤其体现在用户及程序的权限管理上,以往的系统都存在一个超级用户(root),如果暴露了超级用户的使用权限,那么系统根本没有安全可言,所以需要对移动操作系统的超级用户需要进行更严格的权限控制。
[0034] 针对超级用户权力管控的难题,POSIX提出了Capability机制。Capability机制是将内核系统资源访问划分为许多的权利属性,使用能力可以减小这种风险。采用POSIX的能力机制,除Root账号,实现Root安全管理系统管理员为了系统的安全可以剥夺root权限程序的某些能力,这样在运行该进程时就无法进行非赋予能力的操作。同时这个过程又是不可逆的,也就是说如果一种能力被删除,无法重新添加被删除的能力。能力的分配是在系统启动中进行,所以其他用户没有办法更改能力,因为过程不可逆。
[0035] 在应用态完全去除Root账号,将安全内核系统进行权力分割。对所有需要特权能力的程序进行权限分析,只赋给这些程序保证功能正常的基本能力,而不给其额外的能力。从而保证即使系统用户账号被攻破,也不能攻陷整个系统。
[0036] 如附图2所示,多重访问控制模块采用纵深的访问控制体系保护内核接口和设备,以DAC、ACL和MAC纵深访问控制的方式对内核的接口和设备文件进行保护,对隔离的安全域内的应用空间进行隔离,以达到内存、设备、文件以及网络系统资源的应用隔离。这样在应用突破应用开发接口和服务管理的访问控制的情况下,仍然受制于纵深访问控制体系,从而保证与内核资源和设备功能相关的系统能力仍然处于有效的控制之中。操作系统采用DAC、MAC、ACL和网络过滤相结合的访问控制方式,达到应用空间隔离的目的。多重访问控制模块的功能如下:
[0037] (1)、以Linux的LSM框架为核心集成安全防护功能;
[0038] (2)、使用DAC机制实现应用沙箱隔离,所有应用按照Linux的用户/组方式进行划分,不同用户就运行在不同空间内,达到空间隔离的目的;
[0039] (3)、强制系统使用MAC进行访问控制,确保所有的访问都是被集中管控的,不会因用户的变更导致访问控制隔离的失效;
[0040] (4)、使用ACL实现基于
角色的访问控制,弥补DAC机制无法对角色进行管控的缺陷,使用ACL达到基于角色的精细控制程度;
[0041] (5)、以Linux的Netfilter机制为核心集成网络过滤功能,从而能精确控制应用对网络资源的使用。
[0042] 实施例2
[0043] 如附图4所示,一种基于SELinux系统的硬件平台,采用实施例1的一种基于SELinux系统的Linux内核加固方法的硬件平台,该硬件平台包括CPU、与CPU连接的图形处理器、eMCP、SIM小卡、TF储存卡、SIM卡、WiFi、蓝牙、按键、Micro-USB卡、RJ45/RS232、LTE通信模块、光线/距离传感器、
电子罗盘以及加速度传感器、GPS/北斗、相机、液晶屏/触摸屏以及音频编解码器。音频编解码器上设置有喇叭和麦克风。
[0044] 上述具体实施方式仅是本发明的具体个案,本发明的
专利保护范围包括但不限于上述具体实施方式,任何符合本发明的一种基于SELinux系统的Linux内核加固方法及硬件平台的
权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
[0045] 通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的两种具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
[0046] 除
说明书所述的技术特征外,均为本专业技术人员的已知技术。
