基于TPM细粒度权限的Android系统安全增强系统及方法
【技术领域】
[0001]本发明涉及一种Android操作系统可信安全增强的方法,特别是涉及一种适用于现有的安全操作系统架构(如LSM),基于可信平台模块(TPM)细粒度权限的Android系统安全增强系统及方法。
【背景技术】
[0002]随着移动终端的广泛应用,Android操作系统走入人们的生活,成为众多操作系统中最受欢迎的操作系统。由于Android是一个开放的系统,在给人们便利的同时,也产生了许多安全隐患,故系统的安全尤为重要。当前已经有多种实际的安全增强操作系统被设计和开放出来了。其中重要的有基于Flask体系结构的态策略安全操作系统,已经最有影响力的安全操作系统SecurityLinux和它的实现机制LSM(Linux Security Model)。
[0003]LSM(Linux Security Model)是一个轻量级通用访问控制框架,使得各种不同的安全访问控制模型能够以Linux可加载内核的方式实现,根据需要选择恰当的安全模块载入到内核中。目前不是增强型访问控制模型,如安全增强Linux(SELinux)、域和类型增强(DTE)等都在LSM框架上得到实现。
[0004]传统的访问控制DAC(Discret1nary Access Control,自主访问控制模型)一个最大问题是主体的权限太大,无意间就有可能泄漏重要信息,抵抗攻击能力比较弱。MAC (Mandatory Access Control,强制访问控制模型)是一种强加给访问主体的一种访问方式,MAC其主要缺陷在于实现工作量较大,管理不方便,不够灵活,而且由于过分强调保密性,对系统连续工作能力,授权管理方面考虑不足。
[0005]TPM(Trusted Platform Module,可信平台模块)是一个含有密码运算部件和存储部件的小型片上系统,可作为独立运行的模块与可信计算机平台主板连接,与平台主板已经外围设备组成可信的硬件平台,为系统软件提供可信度量、可信存储和可信报告等。它既是密钥的生成器,又是密钥管理器件,同时还提供了统一的编程接口,TPM通过提供密钥管理和配置管理等特性,与配套的应用软件一起,主要用于完成计算平台的可靠性认证、用户身份认证和数字签名等功能。同时,利用TPM芯片内置的加密模块生成系统中各种密钥,对应用模块进行加解密,向上提供安全通信接口,以保证上层应用模块的安全。
【发明内容】
[0006]本发明的目的在于克服现有技术的不足,提供一种通过细粒度隐私权限分配模块改变以往粗粒度权限控制的缺点,实现了多应用多权限分配策略;以TPM为信任根,通过信任链来保证数据的安全性,实现了 Android操作系统与细粒度权限可信验证技术紧耦合的安全增强的基于TPM细粒度权限的Android系统安全增强系统及方法。
[0007]本发明的目的是通过以下技术方案来实现的:基于TPM细粒度权限的Android系统安全增强系统,包括应用层、应用框架层、内核层和硬件层:
[0008]所述的应用层包括普通应用和管理员应用;
[0009]所述的应用框架层包括:用户审核模块,用于对应用层是否安装普通应用进行审核;
[0010]安装程序模块:用于指导普通应用的安装;
[0011]APK安全指示模块:用于指引普通应用进入细粒度隐私权限分配模块;
[0012]细粒度隐私权限分配模块:用于根据系统保留的安全策略以及用户制定的个性化安全策略为应用普通应用和管理员应用分配权限;
[0013]所述的内核层包括隐私数据模块、隐私权限管理模块、普通数据模块和共享区域;
[0014]所述的硬件层包括TPM模块,用于为新的应用的权限记录提供保护。
[0015]进一步地,所述的隐私权限管理模块包括隐私权限记录子模块、隐私权限验证子模块和验证可信报告子模块。
[0016]本发明的基于TPM细粒度权限的Android系统安全增强方法,包括以下步骤:
[0017]S1、应用层需要安装普通应用时向用户审核模块发送安装请求;
[0018]S2、应用层根据用户审核模块返回的审核结果进行操作:若用户决定安装该普通应用则在安装程序的指导下进行安装,否则不操作;
[0019]S3、普通应用通过APK安全指示后进入细粒度隐私权限分配模块,细粒度隐私权限分配模块根据系统保留的安全策略以及用户制定的个性化安全策略为新安装的普通应用分配权限,细粒度隐私权限分配模块通过调用TPM驱动库接口,将新的普通应用的权限记录写入隐私权限管理模块;
[0020]S4、主体进程访问客体数据时需要通过隐私权限管理模块进行验证:主体进程发起系统调用访问客体数据,隐私权限管理模块对该系统调用命令进行验证,如果验证通过则允许访问,否则记录主体进程的异常行为,并中断此次访问。
[0021]进一步地,所述的步骤S4具体包括以下子步骤:
[0022]S41、主体进程通过系统调用命令发起对客体数据的访问请求;
[0023]S42、TPM模块接收系统调用策略模块请求策略的完整性报告;
[0024]S43、TPM模块收到请求后,将请求的相应信息传递给权限可信验证子模块;
[0025]S44、权限可信验证子模块从权限可信记录子模块中分别调用主体进程与客体数据的权限记录,对主客体权限之间以及主客体自身的权限进行完整性度量;
[0026]S45、权限可信验证子模块将主客体权限的验证结果传递给权限可信报告子模块,并记录该认证结果;
[0027]S46、系统调用策略模块读取权限可信报告子模块发送的认证报告结果,并制定策略;
[0028]S47、系统根据策略对客体数据进行操作。
[0029]其中,所述的系统策略模块包含了策略判定部件和策略实施部件。步骤S42中,TPM模块接通过嵌入到系统调用策略模块的钩子接收系统调用策略模块请求策略的完整性?艮胃。
[0030]进一步地,本发明中所述的主体是系统中的执行体-进程,客体包括文件、目录、设备、IPC和Socket对象。
[0031]本发明的有益效果是:通过细粒度隐私权限分配模块改变以往粗粒度权限控制的缺点,实现了多应用多权限分配策略;通过TPM模块,能够实现隐私权限的可信存储、可信验证和可信报告,在系统运行过程中,以TPM为信任根,通过信任链来保证数据的安全性,阻止恶意应用或进程提升权限访问其他应用或进程的隐私数据;实现了 Android操作系统与细粒度权限可信验证技术紧耦合的安全增强,使得安全机制更强,可广泛应用与对安全等级要求高的环境中。
【附图说明】
[0032]图1为本发明的Android系统安全增强系统结构示意图;
[0033]图2为本发明的主体进程访问客体数据流程图。
【具体实施方式】
[0034]为了使本发明的目的、技术方案以及优点更加清楚明白,以下结合附图对本发明进一步详细说明。本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或者类似特征中的一个例子而已。
[0035]如图1所示,基于TPM细粒度权限的Android系统安全增强系统,包括应用层、应用框架层、内核层和硬件层:
[0036]所述的应用层包括普通应用(普通应用A、普通应用B)和管理员应用;
[0037]所述的应用框架层包括:用户审核模块,用于对应用层是否安装普通应用进行审核;
[0038]安装程序模块:用于指导普通应用的安装;
[0039]APK安全指示模块:用于指引普通应用进入细粒度隐私权限分配模块;
[0040]细粒度隐私权限分配模块:用于根据系统保留的安全策略以及用户制定的个性化安全策略为应用普通应用和管理员应用分配权限;
[0041]所述的内核层包括隐私数据模块、隐私权限管理模块、普通数据模块