一种用于操作系统的应用程序执行权限控制方法.pdf

摘要
申请专利号：	CN201210573690.0	申请日：	2012.12.26
公开号：	CN103020515A	公开日：	2013.04.03
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G06F 21/51申请日:20121226\|\|\|公开
IPC分类号：	G06F21/51(2013.01)I	主分类号：	G06F21/51
申请人：	中国人民解放军国防科学技术大学; 中国人民解放军总参谋部第六十一研究所
发明人：	魏立峰; 曹江; 陈松政; 初宁; 黄辰林; 李永红; 戴华东; 刘东红; 吴庆波; 童岚岚; 丁滟; 孙利杰
地址：	410073 湖南省长沙市砚瓦池正街47号中国人民解放军国防科学技术大学计算机学院
优先权：
专利代理机构：	湖南兆弘专利事务所 43008	代理人：	赵洪;谭武艺
PDF下载：	PDF下载

内容摘要

本发明公开了一种用于操作系统的应用程序执行权限控制方法，实施步骤如下：1）对操作系统的自带应用程序和外来应用程序进行分类；2）在操作系统中设置运行状态信息，其类型包含至少两种系统运行状态，为系统运行状态分别设置用于根据应用程序的分类控制应用程序执行权限的执行规则；3）操作系统启动后根据默认运行状态信息进入默认系统运行状态，在运行时根据用户指令切换操作系统的当前系统运行状态；当接收到应用程序的执行请求时，检查操作系统的当前系统运行状态，根据当前系统运行状态对应的执行规则以及应用程序的分类允许或者禁止应用程序的执行请求。本发明具有恶意软件防范能力强、安全可靠、稳定性高、通用性好、扩展性强的优点。

权利要求书

权利要求书一种用于操作系统的应用程序执行权限控制方法，其特征在于实施步骤如下：
1）对操作系统的自带应用程序和外来应用程序进行分类；
2）在操作系统中设置运行状态信息，所述运行状态信息的类型包含至少两种系统运行状态，为所述系统运行状态分别设置用于根据应用程序的分类控制应用程序执行权限的执行规则；
3）操作系统启动后根据预设的默认运行状态信息进入默认的系统运行状态，在运行时根据用户指令切换操作系统的当前系统运行状态；当接收到应用程序的执行请求时，检查操作系统的当前系统运行状态，根据当前系统运行状态对应的执行规则以及应用程序的分类允许或者禁止所述应用程序的执行请求。
根据权利要求1所述的用于操作系统的应用程序执行权限控制方法，其特征在于：所述步骤1）的详细步骤如下：

1. 1）将操作系统的自带应用程序分类并标记为操作系统运行必需的系统必要程序、操作系统运行不必需的系统非必要程序和用于管理软件安装的软件安装工具，将所述分类的标记存储在应用程序的程序扩展属性中；

1. 2）将外来应用程序根据存储在应用程序的程序扩展属性中分类标记分类为合法外来程序或者非法外来程序。
根据权利要求2所述的用于操作系统的应用程序执行权限控制方法，其特征在于，所述步骤2）中在操作系统中设置运行状态信息包含开发运行状态、正常运行状态、密封运行状态三种系统运行状态；为所述开发运行状态、正常运行状态、密封运行状态分别设置执行规则如下：所述开发运行状态下的执行规则为允许全部应用程序执行；所述正常运行状态下的执行规则为仅允许系统必要程序、软件安装工具、合法外来程序执行；所述密封运行状态下的执行规则为仅允许系统必要程序、合法外来程序执行。
根据权利要求2或3所述的用于操作系统的应用程序执行权限控制方法，其特征在于，所述步骤3）中在运行时根据用户指令切换操作系统的当前系统运行状态的详细步骤如下：在操作系统运行时，根据用户指令和包含第一用户授权、第二用户授权的双用户授权机制切换操作系统的系统运行状态，任意计算机只能在开发运行状态、正常运行状态之间切换或者在正常运行状态、密封运行状态之间切换，当从开发运行状态切换至正常运行状态时，直接进行切换；当从正常运行状态切换至密封运行状态时，仅在第一用户授权下才进行切换；当从正常运行状态切换至开发运行状态时，仅在第二用户授权下才进行切换；当从密封运行状态切换至正常运行状态时，仅在同时满足第一用户授权和第二用户授权下才进行切换；当从密封运行状态直接切换至开发运行状态，不响应切换用户指令。
根据权利要求4所述的用于操作系统的应用程序执行权限控制方法，其特征在于，所述步骤3）中根据当前系统运行状态对应的执行规则以及应用程序的分类允许或者禁止所述应用程序的执行请求的详细步骤如下：在当前系统运行状态处于正常运行状态时，获取应用程序分类的标记，如果应用程序分类的标记为系统必要程序、软件安装工具、合法外来程序中的任意一个，则允许应用程序执行，否则禁止应用程序执行；在当前系统运行状态处于密封运行状态时，获取应用程序分类的标记，如果应用程序分类的标记为系统必要程序、合法外来程序中的任意一个，则允许应用程序执行，否则禁止应用程序执行。
根据权利要求5所述的用于操作系统的应用程序执行权限控制方法，其特征在于：所述第一用户授权、第二用户授权均为基于ukey的用户授权。
根据权利要求6所述的用于操作系统的应用程序执行权限控制方法，其特征在于：所述步骤3）在操作系统运行时还包括检测对应用程序进行修改的步骤，如果检测到待修改目标应用程序分类的标记为软件安装工具，则禁止对所述目标应用程序的修改；否则检测到待修改目标应用程序分类的标记为除非法外来程序以外的类型，则自动将所述应用程序分类的标记修改为非法外来程序。

说明书

说明书一种用于操作系统的应用程序执行权限控制方法
技术领域
本发明涉及计算机安全领域，具体涉及一种用于防范恶意软件的用于操作系统的应用程序执行权限控制方法。
背景技术
当前，随着信息化程度的不断深入，病毒、木马、蠕虫等计算机病毒对信息系统的破坏日益严重，如何保障信息系统免受破坏迫在眉睫。通过分析可以发现，几乎所有的计算机病毒都是由于用户有意或无意执行恶意程序导致的。恶意程序通常伪装成正常程序或绑定到正常的程序中，诱发用户执行被篡改过的恶意程序来达到破坏目的。因此安装与运行有安全隐患的软件极易对信息系统的安全性造成破坏，轻则破坏系统的稳定性，影响系统的正常运行，重则导致信息泄露等安全事故。因此，限制信息系统中软件的安装与执行至关重要。
现有技术在信息系统中单个节点的操作系统中，限制软件安装与执行包含如下方法：
1）现有技术的技术方案对软件的安装进行控制，例如通过证书、软件签名或完整性校验等方式对软件进行合法性检查，达到控制非法软件的目的。但是，这些方法无法从根本上控制非法软件或代码的执行，用户仍然可能通过网络、USB移动存储等途径感染恶意代码或下载非法软件，甚至用户可以主动编写一些程序来达到某些非法目的。同时，操作系统内重要的软件一旦感染病毒或被篡改，那么再次运行这些软件就可能带来安全隐患。安全防护软件虽然能够在一定程度上能够检查并阻止某些恶意软件的执行，但是由于其只能防范已知的恶意软件，因此其安全防护能力也是有限的。
2）现有技术的技术方案利用可信计算技术进行完整性检查也是对软件执行进行控制。在软件执行前，通过完整性测量检查软件的完整性，以防止被篡改的软件执行。但是基于可信计算的完整性检测方法需要以TPM等可信计算芯片进行支撑，并且对所有的软件均进行基于可信计算芯片的完整性检测会对系统性能造成很大的影响。同时，由于软件安装、软件升级等导致的重新配置，可能使得以前已进入系统的非法软件得以运行，因此基于可信计算进行软件的执行控制也存在一定的安全隐患，不能有效地保护系统安全。
发明内容
本发明要解决的技术问题是提供一种恶意软件防范能力强、安全可靠、稳定性高、通用性好、扩展性强的用于操作系统的应用程序执行权限控制方法。
为了解决上述技术问题，本发明采用的技术方案为：
一种用于操作系统的应用程序执行权限控制方法，其实施步骤如下：
1）对操作系统的自带应用程序和外来应用程序进行分类；
2）在操作系统中设置运行状态信息，所述运行状态信息的类型包含至少两种系统运行状态，为所述系统运行状态分别设置用于根据应用程序的分类控制应用程序执行权限的执行规则；
3）操作系统启动后根据预设的默认运行状态信息进入默认的系统运行状态，在运行时根据用户指令切换操作系统的当前系统运行状态；当接收到应用程序的执行请求时，检查操作系统的当前系统运行状态，根据当前系统运行状态对应的执行规则以及应用程序的分类允许或者禁止所述应用程序的执行请求。
作为本发明用于操作系统的应用程序执行权限控制方法的进一步改进：
所述步骤1）的详细步骤如下：
1.1）将操作系统的自带应用程序分类并标记为操作系统运行必需的系统必要程序、操作系统运行不必需的系统非必要程序和用于管理软件安装的软件安装工具，将所述分类的标记存储在应用程序的程序扩展属性中；
1.2）将外来应用程序根据存储在应用程序的程序扩展属性中分类标记分类为合法外来程序或者非法外来程序。
所述步骤2）中在操作系统中设置运行状态信息包含开发运行状态、正常运行状态、密封运行状态三种系统运行状态；为所述开发运行状态、正常运行状态、密封运行状态分别设置执行规则如下：所述开发运行状态下的执行规则为允许全部应用程序执行；所述正常运行状态下的执行规则为仅允许系统必要程序、软件安装工具、合法外来程序执行；所述密封运行状态下的执行规则为仅允许系统必要程序、合法外来程序执行。
所述步骤3）中在运行时根据用户指令切换操作系统的当前系统运行状态的详细步骤如下：在操作系统运行时，根据用户指令和包含第一用户授权、第二用户授权的双用户授权机制切换操作系统的系统运行状态，任意计算机只能在开发运行状态、正常运行状态之间切换或者在正常运行状态、密封运行状态之间切换，当从开发运行状态切换至正常运行状态时，直接进行切换；当从正常运行状态切换至密封运行状态时，仅在第一用户授权下才进行切换；当从正常运行状态切换至开发运行状态时，仅在第二用户授权下才进行切换；当从密封运行状态切换至正常运行状态时，仅在同时满足第一用户授权和第二用户授权下才进行切换；当从密封运行状态直接切换至开发运行状态，不响应切换用户指令。
所述步骤3）中根据当前系统运行状态对应的执行规则以及应用程序的分类允许或者禁止所述应用程序的执行请求的详细步骤如下：在当前系统运行状态处于正常运行状态时，获取应用程序分类的标记，如果应用程序分类的标记为系统必要程序、软件安装工具、合法外来程序中的任意一个，则允许应用程序执行，否则禁止应用程序执行；在当前系统运行状态处于密封运行状态时，获取应用程序分类的标记，如果应用程序分类的标记为系统必要程序、合法外来程序中的任意一个，则允许应用程序执行，否则禁止应用程序执行。
所述第一用户授权、第二用户授权均为基于ukey的用户授权。
所述步骤3）在操作系统运行时还包括检测对应用程序进行修改的步骤，如果检测到待修改目标应用程序分类的标记为软件安装工具，则禁止对所述目标应用程序的修改；否则检测到待修改目标应用程序分类的标记为除非法外来程序以外的类型，则自动将所述应用程序分类的标记修改为非法外来程序。
本发明具有下述优点：
1、本发明提供的用于操作系统的应用程序执行权限控制方法通过对操作系统的自带应用程序和外来应用程序进行分类，能够根据操作系统中应用程序来源属性进行分类，能够有效识别外来的非法程序，具有恶意软件防范能力强、安全可靠的优点。
2、本发明提供的用于操作系统的应用程序执行权限控制方法在操作系统中设置运行状态信息，运行状态信息的类型包含至少两种系统运行状态，为系统运行状态分别设置用于根据应用程序的分类控制应用程序执行权限的执行规则，根据应用程序分类的标记、系统运行状态以及应用程序的执行规则，实现了基于分类的程序执行控制，能够有效防止非法程序运行，实现系统密封运行状态下的平台稳定性，具有恶意软件防范能力强、安全可靠、稳定性高的优点。
3、本发明进一步将应用程序的分类分别存储在应用程序的程序扩展属性中，采用扩展属性空间存储程序分类的标记，因此只要目标系统平台支持程序扩展属性，就能够使用本发明应用程序执行控制方法，既可以支持麒麟操作系统和linux系统，同样也能够支持其它支持程序扩展属性的操作系统，能够支持平台的多样性，具有通用性好、扩展性强的优点。
4、本发明进一步在操作系统运行时还包括检测对应用程序进行修改的步骤，如果检测到待修改目标应用程序分类的标记为软件安装工具，则禁止该修改；否则检测到待修改目标应用程序分类的标记为除非法外来程序以外的类型，则自动将应用程序修改为非法外来程序，因此能够检测到遭到篡改的程序，能够在应用程序被篡改后自动适应新的执行规则，能够进一步加强本实施例的恶意软件防范能力。
附图说明
图1为本发明实施例的基本流程示意图。
图2为本发明实施例中对外来应用程序的软件包进行签名的流程示意图。
图3为本发明实施例中对外来应用程序的软件包进行签名验证的流程示意图。
图4为本发明实施例中系统运行状态的切换示意图。
具体实施方式
如图1所示，本实施例用于操作系统的应用程序执行权限控制方法的实施步骤如下：
1）对操作系统的自带应用程序和外来应用程序进行分类；
2）在操作系统中设置运行状态信息，运行状态信息的类型包含至少两种系统运行状态，为系统运行状态分别设置用于根据应用程序的分类控制应用程序执行权限的执行规则；
3）操作系统启动后根据预设的默认运行状态信息进入默认的系统运行状态，在运行时根据用户指令切换操作系统的当前系统运行状态；当接收到应用程序的执行请求时，检查操作系统的当前系统运行状态，根据当前系统运行状态对应的执行规则以及应用程序的分类允许或者禁止应用程序的执行请求。
参见上述步骤1）～步骤3），本实施例提供的用于操作系统的应用程序执行权限控制方法通过对操作系统的自带应用程序和外来应用程序进行分类，能够根据操作系统中应用程序来源属性进行分类，能够有效识别外来的非法程序，具有恶意软件防范能力强、安全可靠的优点；本实施例提供的用于操作系统的应用程序执行权限控制方法在操作系统中设置运行状态信息，运行状态信息的类型包含至少两种系统运行状态，为系统运行状态分别设置用于根据应用程序的分类控制应用程序执行权限的执行规则，根据应用程序分类的标记、系统运行状态以及应用程序的执行规则，实现了基于分类的程序执行控制，能够有效防止非法程序运行，并实现系统密封运行状态下的平台稳定性，具有恶意软件防范能力强、安全可靠、稳定性高的优点。
本实施例中，步骤1）的详细步骤如下：
1.1）将操作系统的自带应用程序分类并标记为操作系统运行必需的系统必要程序S、操作系统运行不必需的系统非必要程序C和用于管理软件安装的软件安装工具I，将分类的标记存储在应用程序的程序扩展属性中；
1.2）将外来应用程序根据存储在应用程序的程序扩展属性中分类标记分类为合法外来程序V或者非法外来程序U。
本实施例把所有程序分为三类：第一类为随操作系统原始安装的系统程序；第二类为经过合法性验证的外来程序；第三类为未经合法性验证的其他外来程序。
第一类程序又被分为操作系统运行必需的系统必要程序（标记为S）、操作系统运行不必需的系统非必要程序（标记为C）和用于管理软件安装的软件安装工具（标记为I）。其中，标记为S的系统必要程序为非受限程序，系统必要程序是为保证系统正常运行所必不可少的程序；标记为C的系统非必要程序为受限程序，受限程序列表由系统安装时的安全配置文件确定，系统非必要程序是指是为了满足开发或调试的需要允许才需要的应用程序，这些应用程序在业务运行期间是可以不被执行的；标记为I的软件安装工具具体是指麒麟操作系统的软件安装工具kysoft，kysoft负责软件包的安装控制，在安装过程中通过验证程序的摘要和签名实现对软件的可靠性及完整性检查，确保只有合法的软件才能被安装。
第二类经过合法性验证的合法外来程序，标记为V。
第三类未经合法性验证的非法外来程序，标记为U。
本实施例的操作系统环境为国防科技大学计算机学院研制开发的麒麟操作系统，麒麟操作系统能够支持通过应用程序的程序扩展属性分类的标记，此外，本实施例同样也能够支持其它支持程序扩展属性的操作系统，支持平台的多样性，具有通用性好、扩展性强的优点；此外，也可以根据需要采用文件、数据库、内存等形式存储应用程序分类的标记，并且可优选采用加密的方式进行存储。本实施例利用操作系统支持的文件扩展属性存储程序的安全标记，扩展属性空间被命名为security.exectl，分类的标记存储在应用程序的程序扩展属性空间security.exectl中。在操作系统安装过程中，所有的程序和文件首先被标记为S，应该标记为C的受限程序列表在安全配置文件/etc/exectlfilelist中列出，在系统安装过程中对这些文件进行重标记，麒麟操作系统的软件安装工具为kysoft，也在安全配置文件/etc/exectlfilelist中列出，并在系统安装过程中将其重标记为I。操作系统安装完成后，后续软件的安装需经由软件安装工具进行安装，经软件安装工具验证合法性后安装的程序，操作系统内核自动将其标记设置为V，即由I标记的程序所创建的文件，其标记为V；任何未经软件安装工具验证安装的其他外来程序，操作系统内核自动将其标记为U，比如由usb设备、光盘等拷贝进来的文件、由网络下载的文件等，被操作系统内核标记为U。安全配置文件/etc/exectlfilelist由麒麟操作系统的安全机制加以保护，只能由安全管理员进行修改。
本实施例中，每个合法外来程序预先需要经过软件包签名和签名验证的步骤。进行软件包签名的步骤如图2所示，每个合法外来程序的软件包均由软件分发中心进行下发，在下发前首先计算软件包的摘要，然后使用软件分发中心的私钥对软件摘要进行签名，并将软件包和签名过的软件摘要一起下发为预先通过签名并携带软件摘要的软件包；使用软件安装工具进行签名验证的步骤如图3所示，软件安装工具在进行软件包安装时，首先计算软件摘要，并将软件分发中心签名过的软件摘要和计算得到的软件摘要一起传递给操作系统内核，由操作系统内核进行签名验证；操作系统内核在进行签名验证时，首先使用软件分发中心的公钥对核外软件安装工具传递进来的软件分发中心签名过的软件摘要进行解密操作，并与内核外的软件安装工具传递进来的软件安装工具计算得到的软件摘要进行比较，如果两者相同则判定签名验证通过则允许软件安装工具进行安装，并设置安装后的外来应用程序分类的标记为合法外来程序V，存储在应用程序的程序扩展属性中；如果两者不同则判定签名验证未通过，从而禁止软件安装工具进行安装。任何未经软件安装工具验证安装的外来程序则自动标记为U并存储在应用程序的程序扩展属性中，被分类成为非法外来程序。
本实施例中，步骤2）中在操作系统中设置运行状态信息包含开发运行状态、正常运行状态、密封运行状态三种系统运行状态；为开发运行状态、正常运行状态、密封运行状态分别设置执行规则如下：开发运行状态下的执行规则为允许全部应用程序执行；正常运行状态下的执行规则为仅允许系统必要程序S、软件安装工具I、合法外来程序V执行；密封运行状态下的执行规则为仅允许系统必要程序S、合法外来程序V执行。开发运行状态、正常运行状态、密封运行状态三种系统运行状态中，正常运行状态为一般业务运行状态，在该状态下允许合法程序的安装和运行；密封运行状态为密封环境下的业务运行状态，在该状态下不再允许任何后来程序的运行，也不允许软件安装工具安装任何软件；开发运行状态为业务开发或调试阶段的运行状态，在该状态下不限制程序的运行，系统受限程序可以为业务开发提供必要的开发环境支持。系统初始的运行状态在操作系统安装时确定。
本实施例中，步骤3）中在运行时根据用户指令切换操作系统的当前系统运行状态的详细步骤如下：在操作系统运行时，根据用户指令和包含第一用户授权、第二用户授权的双用户授权机制切换操作系统的系统运行状态，任意计算机只能在开发运行状态、正常运行状态之间切换或者在正常运行状态、密封运行状态之间切换，当从开发运行状态切换至正常运行状态时，直接进行切换；当从正常运行状态切换至密封运行状态时，仅在第一用户授权下才进行切换；当从正常运行状态切换至开发运行状态时，仅在第二用户授权下才进行切换；当从密封运行状态切换至正常运行状态时，仅在同时满足第一用户授权和第二用户授权下才进行切换；当从密封运行状态直接切换至开发运行状态，不响应切换用户指令。
如图4所示，本实施例系统运行状态切换规则为：任意计算机只能在开发运行状态、正常运行状态之间切换或者在正常运行状态、密封运行状态之间切换；允许系统由开发运行状态切换为正常运行状态；禁止由正常运行状态切换为开发运行状态；允许由正常运行状态切换为密封运行状态；允许由密封运行状态切换为正常运行状态；系统内保留切换前和切换后的两种系统运行状态，系统运行状态切换不能超出系统保留的该两种状态，初始没有进行过任何的系统运行状态切换情况下，保留的两种系统运行状态一致，均为当前的系统运行状态。比如密封运行状态可以到正常运行状态，但不能再继续由正常运行状态切换到开发运行状态。也就是说，不仅仅禁止由密封运行状态直接切换至开发运行状态，也不能间接切换至开发运行状态。同理，正常运行状态可以切换至开发运行状态，但不能再经切换至正常运行状态后再切换至密封运行状态，即开发运行状态和密封运行状态间不能直接或间接转换。本实施例通过上述切换操作系统的当前系统运行状态的策略，能够方便实现基于计算机角色的系统运行状态控制。例如，对于开发用计算机，控制其只能在开发运行状态、正常运行状态之间切换；对于生产用计算机，则控制其只能在正常运行状态、密封运行状态之间切换，确保生产用计算机只能执行标记为S、V的程序，更加安全可靠。
系统运行状态切换时，需满足一定的安全条件，在本实施例中，采用了基于ukey的身份鉴别作为系统运行状态转换的安全条件。本实施例定义了2个ukey用户A和B，分别绑定正常运行状态（ukey用户A）和密封运行状态（ukey用户B），每个ukey内部含有相应的用户私钥，验证用户B的ukey即为第一用户授权，验证用户A的ukey即为第二用户授权，验证用户B和A的ukey同时满足第一用户授权和第二用户授权。在系统由正常运行状态转换进入开发运行状态时，须验证用户A的ukey；在由正常运行状态转换进入密封运行状态时，须验证用户B的ukey，在由密封运行状态转换进入正常运行状态时，验证用户B和用户A两人的ukey，验证用户ukey的具体过程不属于本发明保护的技术范畴。本实施例中步骤3）通过包含第一用户授权、第二用户授权的双用户授权机制，实现了计算机的系统运行状态切换的授权管理机制，实现了身份认证、强制访问控制以及管理员分权等安全机制，具有安全可靠的优点；而且本实施例的第一用户授权、第二用户授权均为基于ukey的用户授权，通过具有硬件实体的ukey进行授权，使用方便，安全性也更容易得到保障。
本实施例中，步骤3）在操作系统运行时还包括检测对应用程序进行修改的步骤，如果检测到待修改目标应用程序分类的标记为软件安装工具I，则禁止对目标应用程序的修改；否则检测到待修改目标应用程序分类的标记为除非法外来程序U以外的类型，则自动将应用程序分类的标记修改为非法外来程序U。任何非U标记的程序一旦被非法修改，操作系统内核将其标记自动转换为U。由于软件安装工具创建的文件为V标记的文件，因此，在本实施例中，I标记的文件不允许被修改。
参见图1，本实施例步骤3）中根据当前系统运行状态对应的执行规则以及应用程序的分类允许或者禁止应用程序的执行请求的详细步骤如下：在当前系统运行状态处于正常运行状态时，获取应用程序分类的标记，如果应用程序分类的标记为系统必要程序S、软件安装工具I、合法外来程序V中的任意一个，则允许应用程序执行，否则禁止应用程序执行；在当前系统运行状态处于密封运行状态时，获取应用程序分类的标记，如果应用程序分类的标记为系统必要程序S、合法外来程序V中的任意一个，则允许应用程序执行，否则禁止应用程序执行。步骤3）根据系统运行状态和程序来源标记信息，对程序的执行进行控制，在正常运行状态下，标记为S、I和V的合法可信来源程序可以执行，标记为C、U的程序被禁止执行；在密封运行状态下，标记为S、V的程序可以执行，标记为I、C和U的程序被禁止执行；在开发运行状态下，所有标记的程序均可执行，通过对操作系统的自带应用程序和外来应用程序进行分类控制执行权限，具有恶意软件防范能力强、安全可靠的优点。
本实施例通过上述步骤，能够识别非法外来程序并限制非法外来程序的执行，能够识别非法软件，并能够通过系统运行状态和程序来源标记限制非法软件的执行，实现对应用程序的执行控制，能够有效保证系统的安全性和可靠性。
以上所述仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

资源描述

《一种用于操作系统的应用程序执行权限控制方法.pdf》由会员分享，可在线阅读，更多相关《一种用于操作系统的应用程序执行权限控制方法.pdf（14页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 103020515 A(43)申请公布日 2013.04.03CN103020515A*CN103020515A*(21)申请号 201210573690.0(22)申请日 2012.12.26G06F 21/51(2013.01)(71)申请人中国人民解放军国防科学技术大学地址 410073 湖南省长沙市砚瓦池正街47号中国人民解放军国防科学技术大学计算机学院申请人中国人民解放军总参谋部第六十一研究所(72)发明人魏立峰曹江陈松政初宁黄辰林李永红戴华东刘东红吴庆波童岚岚丁滟孙利杰(74)专利代理机构湖南兆弘专利事务所 43008代理人赵洪谭武艺(。

2、54) 发明名称一种用于操作系统的应用程序执行权限控制方法(57) 摘要本发明公开了一种用于操作系统的应用程序执行权限控制方法，实施步骤如下：1）对操作系统的自带应用程序和外来应用程序进行分类；2）在操作系统中设置运行状态信息，其类型包含至少两种系统运行状态，为系统运行状态分别设置用于根据应用程序的分类控制应用程序执行权限的执行规则；3）操作系统启动后根据默认运行状态信息进入默认系统运行状态，在运行时根据用户指令切换操作系统的当前系统运行状态；当接收到应用程序的执行请求时，检查操作系统的当前系统运行状态，根据当前系统运行状态对应的执行规则以及应用程序的分类允许或者禁止应用程序的执行请求。本发明。

3、具有恶意软件防范能力强、安全可靠、稳定性高、通用性好、扩展性强的优点。(51)Int.Cl.权利要求书2页说明书7页附图4页(19)中华人民共和国国家知识产权局(12)发明专利申请权利要求书 2 页说明书 7 页附图 4 页1/2页21.一种用于操作系统的应用程序执行权限控制方法，其特征在于实施步骤如下：1）对操作系统的自带应用程序和外来应用程序进行分类；2）在操作系统中设置运行状态信息，所述运行状态信息的类型包含至少两种系统运行状态，为所述系统运行状态分别设置用于根据应用程序的分类控制应用程序执行权限的执行规则；3）操作系统启动后根据预设的默认运行状态信息进入默认的系统运行状态，在运。

4、行时根据用户指令切换操作系统的当前系统运行状态；当接收到应用程序的执行请求时，检查操作系统的当前系统运行状态，根据当前系统运行状态对应的执行规则以及应用程序的分类允许或者禁止所述应用程序的执行请求。2.根据权利要求1所述的用于操作系统的应用程序执行权限控制方法，其特征在于：所述步骤1）的详细步骤如下：1.1）将操作系统的自带应用程序分类并标记为操作系统运行必需的系统必要程序、操作系统运行不必需的系统非必要程序和用于管理软件安装的软件安装工具，将所述分类的标记存储在应用程序的程序扩展属性中；1.2）将外来应用程序根据存储在应用程序的程序扩展属性中分类标记分类为合法外来程序或者非法外来程序。3.根。

5、据权利要求2所述的用于操作系统的应用程序执行权限控制方法，其特征在于，所述步骤2）中在操作系统中设置运行状态信息包含开发运行状态、正常运行状态、密封运行状态三种系统运行状态；为所述开发运行状态、正常运行状态、密封运行状态分别设置执行规则如下：所述开发运行状态下的执行规则为允许全部应用程序执行；所述正常运行状态下的执行规则为仅允许系统必要程序、软件安装工具、合法外来程序执行；所述密封运行状态下的执行规则为仅允许系统必要程序、合法外来程序执行。4.根据权利要求2或3所述的用于操作系统的应用程序执行权限控制方法，其特征在于，所述步骤3）中在运行时根据用户指令切换操作系统的当前系统运行状态的详细步骤如。

6、下：在操作系统运行时，根据用户指令和包含第一用户授权、第二用户授权的双用户授权机制切换操作系统的系统运行状态，任意计算机只能在开发运行状态、正常运行状态之间切换或者在正常运行状态、密封运行状态之间切换，当从开发运行状态切换至正常运行状态时，直接进行切换；当从正常运行状态切换至密封运行状态时，仅在第一用户授权下才进行切换；当从正常运行状态切换至开发运行状态时，仅在第二用户授权下才进行切换；当从密封运行状态切换至正常运行状态时，仅在同时满足第一用户授权和第二用户授权下才进行切换；当从密封运行状态直接切换至开发运行状态，不响应切换用户指令。5.根据权利要求4所述的用于操作系统的应用程序执行权限控制方。

7、法，其特征在于，所述步骤3）中根据当前系统运行状态对应的执行规则以及应用程序的分类允许或者禁止所述应用程序的执行请求的详细步骤如下：在当前系统运行状态处于正常运行状态时，获取应用程序分类的标记，如果应用程序分类的标记为系统必要程序、软件安装工具、合法外来程序中的任意一个，则允许应用程序执行，否则禁止应用程序执行；在当前系统运行状态处于密封运行状态时，获取应用程序分类的标记，如果应用程序分类的标记为系统必要程序、合法外来程序中的任意一个，则允许应用程序执行，否则禁止应用程序执行。6.根据权利要求5所述的用于操作系统的应用程序执行权限控制方法，其特征在于：权利要求书CN 103020515。

8、 A2/2页3所述第一用户授权、第二用户授权均为基于ukey的用户授权。7.根据权利要求6所述的用于操作系统的应用程序执行权限控制方法，其特征在于：所述步骤3）在操作系统运行时还包括检测对应用程序进行修改的步骤，如果检测到待修改目标应用程序分类的标记为软件安装工具，则禁止对所述目标应用程序的修改；否则检测到待修改目标应用程序分类的标记为除非法外来程序以外的类型，则自动将所述应用程序分类的标记修改为非法外来程序。权利要求书CN 103020515 A1/7页4一种用于操作系统的应用程序执行权限控制方法技术领域0001 本发明涉及计算机安全领域，具体涉及一种用于防范恶意软件的用于操作系统的。

9、应用程序执行权限控制方法。背景技术0002 当前，随着信息化程度的不断深入，病毒、木马、蠕虫等计算机病毒对信息系统的破坏日益严重，如何保障信息系统免受破坏迫在眉睫。通过分析可以发现，几乎所有的计算机病毒都是由于用户有意或无意执行恶意程序导致的。恶意程序通常伪装成正常程序或绑定到正常的程序中，诱发用户执行被篡改过的恶意程序来达到破坏目的。因此安装与运行有安全隐患的软件极易对信息系统的安全性造成破坏，轻则破坏系统的稳定性，影响系统的正常运行，重则导致信息泄露等安全事故。因此，限制信息系统中软件的安装与执行至关重要。0003 现有技术在信息系统中单个节点的操作系统中，限制软件安装与执行包含如下方法：。

10、1）现有技术的技术方案对软件的安装进行控制，例如通过证书、软件签名或完整性校验等方式对软件进行合法性检查，达到控制非法软件的目的。但是，这些方法无法从根本上控制非法软件或代码的执行，用户仍然可能通过网络、USB移动存储等途径感染恶意代码或下载非法软件，甚至用户可以主动编写一些程序来达到某些非法目的。同时，操作系统内重要的软件一旦感染病毒或被篡改，那么再次运行这些软件就可能带来安全隐患。安全防护软件虽然能够在一定程度上能够检查并阻止某些恶意软件的执行，但是由于其只能防范已知的恶意软件，因此其安全防护能力也是有限的。0004 2）现有技术的技术方案利用可信计算技术进行完整性检查也是对软件执行进行控。

11、制。在软件执行前，通过完整性测量检查软件的完整性，以防止被篡改的软件执行。但是基于可信计算的完整性检测方法需要以TPM等可信计算芯片进行支撑，并且对所有的软件均进行基于可信计算芯片的完整性检测会对系统性能造成很大的影响。同时，由于软件安装、软件升级等导致的重新配置，可能使得以前已进入系统的非法软件得以运行，因此基于可信计算进行软件的执行控制也存在一定的安全隐患，不能有效地保护系统安全。发明内容0005 本发明要解决的技术问题是提供一种恶意软件防范能力强、安全可靠、稳定性高、通用性好、扩展性强的用于操作系统的应用程序执行权限控制方法。0006 为了解决上述技术问题，本发明采用的技术方案为：一种用。

12、于操作系统的应用程序执行权限控制方法，其实施步骤如下：1）对操作系统的自带应用程序和外来应用程序进行分类；2）在操作系统中设置运行状态信息，所述运行状态信息的类型包含至少两种系统运行状态，为所述系统运行状态分别设置用于根据应用程序的分类控制应用程序执行权限的执说明书CN 103020515 A2/7页5行规则；3）操作系统启动后根据预设的默认运行状态信息进入默认的系统运行状态，在运行时根据用户指令切换操作系统的当前系统运行状态；当接收到应用程序的执行请求时，检查操作系统的当前系统运行状态，根据当前系统运行状态对应的执行规则以及应用程序的分类允许或者禁止所述应用程序的执行请求。0007 作为。

13、本发明用于操作系统的应用程序执行权限控制方法的进一步改进：所述步骤1）的详细步骤如下：1.1）将操作系统的自带应用程序分类并标记为操作系统运行必需的系统必要程序、操作系统运行不必需的系统非必要程序和用于管理软件安装的软件安装工具，将所述分类的标记存储在应用程序的程序扩展属性中；1.2）将外来应用程序根据存储在应用程序的程序扩展属性中分类标记分类为合法外来程序或者非法外来程序。0008 所述步骤2）中在操作系统中设置运行状态信息包含开发运行状态、正常运行状态、密封运行状态三种系统运行状态；为所述开发运行状态、正常运行状态、密封运行状态分别设置执行规则如下：所述开发运行状态下的执行规则为允许全部应。

14、用程序执行；所述正常运行状态下的执行规则为仅允许系统必要程序、软件安装工具、合法外来程序执行；所述密封运行状态下的执行规则为仅允许系统必要程序、合法外来程序执行。0009 所述步骤3）中在运行时根据用户指令切换操作系统的当前系统运行状态的详细步骤如下：在操作系统运行时，根据用户指令和包含第一用户授权、第二用户授权的双用户授权机制切换操作系统的系统运行状态，任意计算机只能在开发运行状态、正常运行状态之间切换或者在正常运行状态、密封运行状态之间切换，当从开发运行状态切换至正常运行状态时，直接进行切换；当从正常运行状态切换至密封运行状态时，仅在第一用户授权下才进行切换；当从正常运行状态切换至开发运行。

15、状态时，仅在第二用户授权下才进行切换；当从密封运行状态切换至正常运行状态时，仅在同时满足第一用户授权和第二用户授权下才进行切换；当从密封运行状态直接切换至开发运行状态，不响应切换用户指令。0010 所述步骤3）中根据当前系统运行状态对应的执行规则以及应用程序的分类允许或者禁止所述应用程序的执行请求的详细步骤如下：在当前系统运行状态处于正常运行状态时，获取应用程序分类的标记，如果应用程序分类的标记为系统必要程序、软件安装工具、合法外来程序中的任意一个，则允许应用程序执行，否则禁止应用程序执行；在当前系统运行状态处于密封运行状态时，获取应用程序分类的标记，如果应用程序分类的标记为系统必要程序、合法。

16、外来程序中的任意一个，则允许应用程序执行，否则禁止应用程序执行。0011 所述第一用户授权、第二用户授权均为基于ukey的用户授权。0012 所述步骤3）在操作系统运行时还包括检测对应用程序进行修改的步骤，如果检测到待修改目标应用程序分类的标记为软件安装工具，则禁止对所述目标应用程序的修改；否则检测到待修改目标应用程序分类的标记为除非法外来程序以外的类型，则自动将所述应用程序分类的标记修改为非法外来程序。0013 本发明具有下述优点：1、本发明提供的用于操作系统的应用程序执行权限控制方法通过对操作系统的自带说明书CN 103020515 A3/7页6应用程序和外来应用程序进行分类，能够根据。

17、操作系统中应用程序来源属性进行分类，能够有效识别外来的非法程序，具有恶意软件防范能力强、安全可靠的优点。0014 2、本发明提供的用于操作系统的应用程序执行权限控制方法在操作系统中设置运行状态信息，运行状态信息的类型包含至少两种系统运行状态，为系统运行状态分别设置用于根据应用程序的分类控制应用程序执行权限的执行规则，根据应用程序分类的标记、系统运行状态以及应用程序的执行规则，实现了基于分类的程序执行控制，能够有效防止非法程序运行，实现系统密封运行状态下的平台稳定性，具有恶意软件防范能力强、安全可靠、稳定性高的优点。0015 3、本发明进一步将应用程序的分类分别存储在应用程序的程序扩展属性中，采。

18、用扩展属性空间存储程序分类的标记，因此只要目标系统平台支持程序扩展属性，就能够使用本发明应用程序执行控制方法，既可以支持麒麟操作系统和linux系统，同样也能够支持其它支持程序扩展属性的操作系统，能够支持平台的多样性，具有通用性好、扩展性强的优点。0016 4、本发明进一步在操作系统运行时还包括检测对应用程序进行修改的步骤，如果检测到待修改目标应用程序分类的标记为软件安装工具，则禁止该修改；否则检测到待修改目标应用程序分类的标记为除非法外来程序以外的类型，则自动将应用程序修改为非法外来程序，因此能够检测到遭到篡改的程序，能够在应用程序被篡改后自动适应新的执行规则，能够进一步加强本实施例的恶意软。

19、件防范能力。附图说明0017 图1为本发明实施例的基本流程示意图。0018 图2为本发明实施例中对外来应用程序的软件包进行签名的流程示意图。0019 图3为本发明实施例中对外来应用程序的软件包进行签名验证的流程示意图。0020 图4为本发明实施例中系统运行状态的切换示意图。具体实施方式0021 如图1所示，本实施例用于操作系统的应用程序执行权限控制方法的实施步骤如下：1）对操作系统的自带应用程序和外来应用程序进行分类；2）在操作系统中设置运行状态信息，运行状态信息的类型包含至少两种系统运行状态，为系统运行状态分别设置用于根据应用程序的分类控制应用程序执行权限的执行规则；3）操作系统启动后根据预。

20、设的默认运行状态信息进入默认的系统运行状态，在运行时根据用户指令切换操作系统的当前系统运行状态；当接收到应用程序的执行请求时，检查操作系统的当前系统运行状态，根据当前系统运行状态对应的执行规则以及应用程序的分类允许或者禁止应用程序的执行请求。0022 参见上述步骤1）步骤3），本实施例提供的用于操作系统的应用程序执行权限控制方法通过对操作系统的自带应用程序和外来应用程序进行分类，能够根据操作系统中应用程序来源属性进行分类，能够有效识别外来的非法程序，具有恶意软件防范能力强、安说明书CN 103020515 A4/7页7全可靠的优点；本实施例提供的用于操作系统的应用程序执行权限控制方法在操作。

21、系统中设置运行状态信息，运行状态信息的类型包含至少两种系统运行状态，为系统运行状态分别设置用于根据应用程序的分类控制应用程序执行权限的执行规则，根据应用程序分类的标记、系统运行状态以及应用程序的执行规则，实现了基于分类的程序执行控制，能够有效防止非法程序运行，并实现系统密封运行状态下的平台稳定性，具有恶意软件防范能力强、安全可靠、稳定性高的优点。0023 本实施例中，步骤1）的详细步骤如下：1.1）将操作系统的自带应用程序分类并标记为操作系统运行必需的系统必要程序S、操作系统运行不必需的系统非必要程序C和用于管理软件安装的软件安装工具I，将分类的标记存储在应用程序的程序扩展属性中；1.2）将外。

22、来应用程序根据存储在应用程序的程序扩展属性中分类标记分类为合法外来程序V或者非法外来程序U。0024 本实施例把所有程序分为三类：第一类为随操作系统原始安装的系统程序；第二类为经过合法性验证的外来程序；第三类为未经合法性验证的其他外来程序。0025 第一类程序又被分为操作系统运行必需的系统必要程序（标记为S）、操作系统运行不必需的系统非必要程序（标记为C）和用于管理软件安装的软件安装工具（标记为I）。其中，标记为S的系统必要程序为非受限程序，系统必要程序是为保证系统正常运行所必不可少的程序；标记为C的系统非必要程序为受限程序，受限程序列表由系统安装时的安全配置文件确定，系统非必要程序是指是为了。

23、满足开发或调试的需要允许才需要的应用程序，这些应用程序在业务运行期间是可以不被执行的；标记为I的软件安装工具具体是指麒麟操作系统的软件安装工具kysoft，kysoft负责软件包的安装控制，在安装过程中通过验证程序的摘要和签名实现对软件的可靠性及完整性检查，确保只有合法的软件才能被安装。0026 第二类经过合法性验证的合法外来程序，标记为V。0027 第三类未经合法性验证的非法外来程序，标记为U。0028 本实施例的操作系统环境为国防科技大学计算机学院研制开发的麒麟操作系统，麒麟操作系统能够支持通过应用程序的程序扩展属性分类的标记，此外，本实施例同样也能够支持其它支持程序扩展属性的操作系统，支。

24、持平台的多样性，具有通用性好、扩展性强的优点；此外，也可以根据需要采用文件、数据库、内存等形式存储应用程序分类的标记，并且可优选采用加密的方式进行存储。本实施例利用操作系统支持的文件扩展属性存储程序的安全标记，扩展属性空间被命名为security.exectl，分类的标记存储在应用程序的程序扩展属性空间security.exectl中。在操作系统安装过程中，所有的程序和文件首先被标记为S，应该标记为C的受限程序列表在安全配置文件/etc/exectlfilelist中列出，在系统安装过程中对这些文件进行重标记，麒麟操作系统的软件安装工具为kysoft，也在安全配置文件/etc/exectlfi。

25、lelist中列出，并在系统安装过程中将其重标记为I。操作系统安装完成后，后续软件的安装需经由软件安装工具进行安装，经软件安装工具验证合法性后安装的程序，操作系统内核自动将其标记设置为V，即由I标记的程序所创建的文件，其标记为V；任何未经软件安装工具验证安装的其他外来程序，操作系统内核自动将其标记为U，比如由usb设备、光盘等拷贝进来的文件、由网络下载的文件等，被操作系统内核标记为说明书CN 103020515 A5/7页8U。安全配置文件/etc/exectlfilelist由麒麟操作系统的安全机制加以保护，只能由安全管理员进行修改。0029 本实施例中，每个合法外来程序预先需要经过软件。

26、包签名和签名验证的步骤。进行软件包签名的步骤如图2所示，每个合法外来程序的软件包均由软件分发中心进行下发，在下发前首先计算软件包的摘要，然后使用软件分发中心的私钥对软件摘要进行签名，并将软件包和签名过的软件摘要一起下发为预先通过签名并携带软件摘要的软件包；使用软件安装工具进行签名验证的步骤如图3所示，软件安装工具在进行软件包安装时，首先计算软件摘要，并将软件分发中心签名过的软件摘要和计算得到的软件摘要一起传递给操作系统内核，由操作系统内核进行签名验证；操作系统内核在进行签名验证时，首先使用软件分发中心的公钥对核外软件安装工具传递进来的软件分发中心签名过的软件摘要进行解密操作，并与内核外的软件安。

27、装工具传递进来的软件安装工具计算得到的软件摘要进行比较，如果两者相同则判定签名验证通过则允许软件安装工具进行安装，并设置安装后的外来应用程序分类的标记为合法外来程序V，存储在应用程序的程序扩展属性中；如果两者不同则判定签名验证未通过，从而禁止软件安装工具进行安装。任何未经软件安装工具验证安装的外来程序则自动标记为U并存储在应用程序的程序扩展属性中，被分类成为非法外来程序。0030 本实施例中，步骤2）中在操作系统中设置运行状态信息包含开发运行状态、正常运行状态、密封运行状态三种系统运行状态；为开发运行状态、正常运行状态、密封运行状态分别设置执行规则如下：开发运行状态下的执行规则为允许全部应用程。

28、序执行；正常运行状态下的执行规则为仅允许系统必要程序S、软件安装工具I、合法外来程序V执行；密封运行状态下的执行规则为仅允许系统必要程序S、合法外来程序V执行。开发运行状态、正常运行状态、密封运行状态三种系统运行状态中，正常运行状态为一般业务运行状态，在该状态下允许合法程序的安装和运行；密封运行状态为密封环境下的业务运行状态，在该状态下不再允许任何后来程序的运行，也不允许软件安装工具安装任何软件；开发运行状态为业务开发或调试阶段的运行状态，在该状态下不限制程序的运行，系统受限程序可以为业务开发提供必要的开发环境支持。系统初始的运行状态在操作系统安装时确定。0031 本实施例中，步骤3）中在运行。

29、时根据用户指令切换操作系统的当前系统运行状态的详细步骤如下：在操作系统运行时，根据用户指令和包含第一用户授权、第二用户授权的双用户授权机制切换操作系统的系统运行状态，任意计算机只能在开发运行状态、正常运行状态之间切换或者在正常运行状态、密封运行状态之间切换，当从开发运行状态切换至正常运行状态时，直接进行切换；当从正常运行状态切换至密封运行状态时，仅在第一用户授权下才进行切换；当从正常运行状态切换至开发运行状态时，仅在第二用户授权下才进行切换；当从密封运行状态切换至正常运行状态时，仅在同时满足第一用户授权和第二用户授权下才进行切换；当从密封运行状态直接切换至开发运行状态，不响应切换用户指令。00。

30、32 如图4所示，本实施例系统运行状态切换规则为：任意计算机只能在开发运行状态、正常运行状态之间切换或者在正常运行状态、密封运行状态之间切换；允许系统由开发运行状态切换为正常运行状态；禁止由正常运行状态切换为开发运行状态；允许由正常运行状态切换为密封运行状态；允许由密封运行状态切换为正常运行状态；系统内保留切换前和切换后的两种系统运行状态，系统运行状态切换不能超出系统保留的该两种状态，初说明书CN 103020515 A6/7页9始没有进行过任何的系统运行状态切换情况下，保留的两种系统运行状态一致，均为当前的系统运行状态。比如密封运行状态可以到正常运行状态，但不能再继续由正常运行状态切换到。

31、开发运行状态。也就是说，不仅仅禁止由密封运行状态直接切换至开发运行状态，也不能间接切换至开发运行状态。同理，正常运行状态可以切换至开发运行状态，但不能再经切换至正常运行状态后再切换至密封运行状态，即开发运行状态和密封运行状态间不能直接或间接转换。本实施例通过上述切换操作系统的当前系统运行状态的策略，能够方便实现基于计算机角色的系统运行状态控制。例如，对于开发用计算机，控制其只能在开发运行状态、正常运行状态之间切换；对于生产用计算机，则控制其只能在正常运行状态、密封运行状态之间切换，确保生产用计算机只能执行标记为S、V的程序，更加安全可靠。0033 系统运行状态切换时，需满足一定的安全条件，在本。

32、实施例中，采用了基于ukey的身份鉴别作为系统运行状态转换的安全条件。本实施例定义了2个ukey用户A和B，分别绑定正常运行状态（ukey用户A）和密封运行状态（ukey用户B），每个ukey内部含有相应的用户私钥，验证用户B的ukey即为第一用户授权，验证用户A的ukey即为第二用户授权，验证用户B和A的ukey同时满足第一用户授权和第二用户授权。在系统由正常运行状态转换进入开发运行状态时，须验证用户A的ukey；在由正常运行状态转换进入密封运行状态时，须验证用户B的ukey，在由密封运行状态转换进入正常运行状态时，验证用户B和用户A两人的ukey，验证用户ukey的具体过程不属于本发明保护。

33、的技术范畴。本实施例中步骤3）通过包含第一用户授权、第二用户授权的双用户授权机制，实现了计算机的系统运行状态切换的授权管理机制，实现了身份认证、强制访问控制以及管理员分权等安全机制，具有安全可靠的优点；而且本实施例的第一用户授权、第二用户授权均为基于ukey的用户授权，通过具有硬件实体的ukey进行授权，使用方便，安全性也更容易得到保障。0034 本实施例中，步骤3）在操作系统运行时还包括检测对应用程序进行修改的步骤，如果检测到待修改目标应用程序分类的标记为软件安装工具I，则禁止对目标应用程序的修改；否则检测到待修改目标应用程序分类的标记为除非法外来程序U以外的类型，则自动将应用程序分类的标记。

34、修改为非法外来程序U。任何非U标记的程序一旦被非法修改，操作系统内核将其标记自动转换为U。由于软件安装工具创建的文件为V标记的文件，因此，在本实施例中，I标记的文件不允许被修改。0035 参见图1，本实施例步骤3）中根据当前系统运行状态对应的执行规则以及应用程序的分类允许或者禁止应用程序的执行请求的详细步骤如下：在当前系统运行状态处于正常运行状态时，获取应用程序分类的标记，如果应用程序分类的标记为系统必要程序S、软件安装工具I、合法外来程序V中的任意一个，则允许应用程序执行，否则禁止应用程序执行；在当前系统运行状态处于密封运行状态时，获取应用程序分类的标记，如果应用程序分类的标记为系统必要程序。

35、S、合法外来程序V中的任意一个，则允许应用程序执行，否则禁止应用程序执行。步骤3）根据系统运行状态和程序来源标记信息，对程序的执行进行控制，在正常运行状态下，标记为S、I和V的合法可信来源程序可以执行，标记为C、U的程序被禁止执行；在密封运行状态下，标记为S、V的程序可以执行，标记为I、C和U的程序被禁止执行；在开发运行状态下，所有标记的程序均可执行，通过对操作系统的自带应用程序和外来应用程序进行分类控制执行权限，具有恶意软件防范能力强、安全可靠的优点。0036 本实施例通过上述步骤，能够识别非法外来程序并限制非法外来程序的执行，能说明书CN 103020515 A7/7页10够识别非法软件，并能够通过系统运行状态和程序来源标记限制非法软件的执行，实现对应用程序的执行控制，能够有效保证系统的安全性和可靠性。0037 以上所述仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。说明书CN 103020515 A10。

展开阅读全文