本發(fā)明屬于數(shù)據(jù)通信技術(shù)領(lǐng)域，具體地說(shuō)，是涉及一種SElinux安全訪問(wèn)方法和POS終端。

背景技術(shù)：

Linux為一個(gè)開(kāi)源的操作系統(tǒng)，具有豐富的功能接口和良好的可擴(kuò)展性，在嵌入式設(shè)備領(lǐng)域應(yīng)用廣泛。

SElinux在Linux基礎(chǔ)上增加了安全模塊（LSM，Linux Security Module），安全模塊提供了安全框架，允許將安全訪問(wèn)控制載入Linux內(nèi)核，使用最小特權(quán)原則，根據(jù)安全訪問(wèn)控制策略配置文件中的定義，分配指定進(jìn)程的訪問(wèn)權(quán)限。

但是，這種訪問(wèn)控制權(quán)限的授權(quán)是在系統(tǒng)中預(yù)設(shè)的，實(shí)現(xiàn)預(yù)設(shè)應(yīng)用程序的安全訪問(wèn)控制，但若應(yīng)用程序在加載過(guò)程中被惡意篡改，系統(tǒng)則無(wú)法阻止這種應(yīng)用軟件的非法運(yùn)行。

技術(shù)實(shí)現(xiàn)要素：

本申請(qǐng)?zhí)峁┝艘环NSElinux安全訪問(wèn)方法和POS終端，解決現(xiàn)有SElinux訪問(wèn)中存在的無(wú)法阻止應(yīng)用程序在加載過(guò)程中被惡意篡改的技術(shù)問(wèn)題。

為解決上述技術(shù)問(wèn)題，本申請(qǐng)采用以下技術(shù)方案予以實(shí)現(xiàn)：

提出一種SElinux安全訪問(wèn)方法，包括：加載應(yīng)用程序至內(nèi)存后，對(duì)應(yīng)用程序的可執(zhí)行文件進(jìn)行簽章驗(yàn)證；判斷簽章驗(yàn)證是否通過(guò)；若通過(guò)執(zhí)行所述應(yīng)用程序。

提出一種POS終端，運(yùn)行有SElinux操作系統(tǒng)，連接有安全外接設(shè)備，所述SElinux操作系統(tǒng)加載應(yīng)用程序至內(nèi)存后，對(duì)應(yīng)用程序的可執(zhí)行文件進(jìn)行簽章驗(yàn)證，并判斷簽章驗(yàn)證是否通過(guò)，若通過(guò)，執(zhí)行所述應(yīng)用程序。

與現(xiàn)有技術(shù)相比，本申請(qǐng)的優(yōu)點(diǎn)和積極效果是：本申請(qǐng)?zhí)岢龅腟Elinux安全訪問(wèn)方法和POS終端中，將應(yīng)用程序的可執(zhí)行文件中增加簽章，在將應(yīng)用程序加載到內(nèi)存后開(kāi)始運(yùn)行前，由內(nèi)核對(duì)應(yīng)用程序進(jìn)行簽章驗(yàn)證，確保在內(nèi)存中運(yùn)行的應(yīng)用完整性和真實(shí)性，只有通過(guò)簽章驗(yàn)證的應(yīng)用程序，才能執(zhí)行，這種采取內(nèi)存中簽章驗(yàn)證的方法，杜絕了應(yīng)用程序的執(zhí)行文件在加載過(guò)程中被惡意篡改的可能性，解決了現(xiàn)有SElinux訪問(wèn)中存在的無(wú)法阻止應(yīng)用程序在加載過(guò)程中被惡意篡改的技術(shù)問(wèn)題。

結(jié)合附圖閱讀本申請(qǐng)實(shí)施方式的詳細(xì)描述后，本申請(qǐng)的其他特點(diǎn)和優(yōu)點(diǎn)將變得更加清楚。

附圖說(shuō)明

圖1 為本申請(qǐng)?zhí)岢龅腟Elinux安全訪問(wèn)方法的方法流程圖；

圖2為本申請(qǐng)?zhí)岢龅腖inux操作系統(tǒng)的架構(gòu)圖。

具體實(shí)施方式

下面結(jié)合附圖對(duì)本申請(qǐng)的具體實(shí)施方式作進(jìn)一步詳細(xì)地說(shuō)明。

本申請(qǐng)?zhí)岢龅腟Elinux安全訪問(wèn)方法和POS終端，是在SElinux基礎(chǔ)上，結(jié)合電子簽名技術(shù)，在應(yīng)用程序每次加載到內(nèi)存開(kāi)始運(yùn)行之前，由Linux操作系統(tǒng)讀取存儲(chǔ)在安全區(qū)域的驗(yàn)證公鑰對(duì)使用私鑰簽章的應(yīng)用程序執(zhí)行文件進(jìn)行身份性驗(yàn)證，確保應(yīng)用程序可執(zhí)行文件的真實(shí)性和完整性，能夠杜絕應(yīng)用程序在文件系統(tǒng)中或加載過(guò)程中被篡改。

本申請(qǐng)?zhí)岢龅腟Elinux安全訪問(wèn)方法運(yùn)用于如圖2所示的Linux系統(tǒng)中，Linux系統(tǒng)運(yùn)行于POS終端中，其在用戶層包括有主應(yīng)用程序11、應(yīng)用程序12和安全守護(hù)進(jìn)程13；在內(nèi)核空間包括有RSA加密算法模塊21、LSM模塊22和授權(quán)判斷模塊23；在硬件層包括有諸如鍵盤、顯示和/或讀卡器等涉及個(gè)人賬戶信息和密碼信息的安全外接設(shè)備31、以及其他的硬件設(shè)備32。

在用戶層，分為主應(yīng)用程序11和應(yīng)用程序12，其中主應(yīng)用程序11負(fù)責(zé)應(yīng)用程序12的下載、選擇等人機(jī)接口工作，與應(yīng)用程序12區(qū)別開(kāi)，使得軟件結(jié)構(gòu)層次清晰，維護(hù)便捷。安全守護(hù)進(jìn)程13采用通常由安全外接設(shè)備的廠商授權(quán)的授權(quán)私鑰進(jìn)行簽章，并通過(guò)簽章驗(yàn)證后才能被授予獲取安全外接設(shè)備信息的訪問(wèn)權(quán)限，以及進(jìn)行數(shù)據(jù)安全加密處理等工作，并對(duì)應(yīng)用程序12進(jìn)行管理。這里，安全外接設(shè)備信息包含秘鑰等安全數(shù)據(jù)。

應(yīng)用程序12需要采用諸如應(yīng)用程序開(kāi)發(fā)方提供的私鑰簽章，并通過(guò)系統(tǒng)的簽章驗(yàn)證后才能執(zhí)行。

本申請(qǐng)基于SElinux，安全模塊LSM22配置外接設(shè)備的訪問(wèn)權(quán)限，經(jīng)過(guò)簽章驗(yàn)證的安全守護(hù)進(jìn)程，才能被授予訪問(wèn)安全外接設(shè)備信息的權(quán)限。

基于如圖2所示的Linux系統(tǒng)，本申請(qǐng)?zhí)岢龅腟Elinux安全訪問(wèn)方法，如圖1所示，包括如下步驟：

步驟S11：加載應(yīng)用程序至內(nèi)存。

應(yīng)用程序被加載至內(nèi)存之前，需要使用應(yīng)用程序開(kāi)發(fā)方提供的私鑰對(duì)應(yīng)用程序的可執(zhí)行文件采用諸如RSA算法增加簽章信息，同時(shí)不影響原有可執(zhí)行文件格式信息。簽章的應(yīng)用程序由內(nèi)核加載到內(nèi)存。在加載到內(nèi)存之后，

步驟S12：對(duì)應(yīng)用程序的可執(zhí)行文件進(jìn)行簽章驗(yàn)證。

簽章的應(yīng)用程序由內(nèi)核加載到內(nèi)存后，由內(nèi)核讀取存儲(chǔ)在安全區(qū)域的驗(yàn)證公鑰，對(duì)應(yīng)用程序的可執(zhí)行文件進(jìn)行簽章驗(yàn)證，確保在內(nèi)存中運(yùn)行的應(yīng)用完整性和真實(shí)性。

步驟S13：判斷簽章驗(yàn)證是否通過(guò)；若通過(guò)，

步驟S14：執(zhí)行該應(yīng)用程序。

在SElinux系統(tǒng)內(nèi)核加載應(yīng)用程序到內(nèi)存中后，由內(nèi)核驗(yàn)證應(yīng)用程序的簽章，只有通過(guò)簽章驗(yàn)證的應(yīng)用程序，才能運(yùn)行。

上述可以看出，采用應(yīng)用程序被加載至內(nèi)存后進(jìn)行簽章驗(yàn)證的方法，當(dāng)應(yīng)用程序在加載之前或者加載過(guò)程中被惡意篡改了，則不能通過(guò)簽章驗(yàn)證，也就不能運(yùn)行，因此，采用本申請(qǐng)?zhí)岢龅腟Elinux安全訪問(wèn)方法，能夠杜絕應(yīng)用程序的執(zhí)行文件在加載過(guò)程中被惡意篡改的可能性，解決了現(xiàn)有SElinux訪問(wèn)中存在的無(wú)法阻止應(yīng)用程序在加載過(guò)程中被惡意篡改的技術(shù)問(wèn)題。

在確保了應(yīng)用程序的完整性、真實(shí)性和安全性之后，應(yīng)用程序得以運(yùn)行。根據(jù)現(xiàn)有技術(shù)，運(yùn)行后的應(yīng)用程序，所有與安全外接設(shè)備的秘鑰相關(guān)的數(shù)據(jù)處理功能全部在內(nèi)核層實(shí)現(xiàn)，例如用于POS終端的刷卡應(yīng)用，在POS終端的讀卡器上刷卡后讀取到了卡片的賬戶信息后，賬戶信息由內(nèi)核讀取報(bào)文秘鑰后對(duì)報(bào)文進(jìn)行加密處理，并將加密報(bào)文發(fā)送至后臺(tái)使用；這種在內(nèi)核層進(jìn)行秘鑰相關(guān)處理的方式，將秘鑰相關(guān)處理功能固化在了內(nèi)核層，若秘鑰相關(guān)處理方式升級(jí)或者更新，則需要更新固件，這會(huì)增加后期維護(hù)的難度和成本。

針對(duì)于此，在本申請(qǐng)中，在用戶層還創(chuàng)建有一個(gè)安全守護(hù)進(jìn)程（Secure Daemon），該安全守護(hù)進(jìn)程需要經(jīng)過(guò)簽章驗(yàn)證后才可以授予訪問(wèn)安全外接設(shè)備信息的權(quán)限，才可以執(zhí)行。在被授權(quán)并運(yùn)行之后，負(fù)責(zé)讀取安全外接設(shè)備的秘鑰，并對(duì)應(yīng)用程序產(chǎn)生的報(bào)文進(jìn)行加密處理，將加密報(bào)文返回給應(yīng)用程序，將原來(lái)由內(nèi)核負(fù)責(zé)執(zhí)行的加密等涉及安全的功能轉(zhuǎn)移至用戶層，通過(guò)安全守護(hù)進(jìn)程對(duì)應(yīng)用程序進(jìn)行動(dòng)態(tài)管理，以適應(yīng)多種應(yīng)用場(chǎng)景的不同需求，在秘鑰相關(guān)處理方式需要升級(jí)或者更新時(shí)，只需更新用戶層的安全守護(hù)進(jìn)程，使得維護(hù)更加便捷，也降低了維護(hù)的難度，從而降低了維護(hù)成本。

具體的，在步驟S14執(zhí)行應(yīng)用程序之前，執(zhí)行以下步驟：

步驟S21：對(duì)安全守護(hù)進(jìn)程使用授權(quán)私鑰簽章。

步驟S22：加載安全守護(hù)進(jìn)程至內(nèi)存。

步驟S23：對(duì)安全守護(hù)進(jìn)程進(jìn)行簽章驗(yàn)證。

加載安全守護(hù)進(jìn)程至內(nèi)存后，由內(nèi)核從安全存儲(chǔ)區(qū)域讀取授權(quán)公鑰對(duì)安全守護(hù)進(jìn)程進(jìn)行簽章驗(yàn)證。

步驟S24：判斷簽章驗(yàn)證是否通過(guò)；若通過(guò)，

步驟S25：授予安全守護(hù)進(jìn)程訪問(wèn)安全外接設(shè)備信息的訪問(wèn)權(quán)限，并執(zhí)行安全守護(hù)進(jìn)程。

該安全守護(hù)進(jìn)程只有通過(guò)了簽章驗(yàn)證后，才授予訪問(wèn)安全外接設(shè)備信息的權(quán)限，才能夠執(zhí)行，在安全守護(hù)進(jìn)程執(zhí)行之后，安全守護(hù)進(jìn)程與運(yùn)行的應(yīng)用程序之間定義了二者之間通信RPC進(jìn)程間安全接口，由安全守護(hù)進(jìn)程實(shí)現(xiàn)訪問(wèn)秘鑰以及加密等涉及安全的處理功能，并將處理數(shù)據(jù)通過(guò)RPC進(jìn)程間安全接口發(fā)送給應(yīng)用程序直接使用，確保數(shù)據(jù)處理流程的可控性和應(yīng)用間的數(shù)據(jù)安全交互。

具體的，在應(yīng)用程序執(zhí)行之后，執(zhí)行步驟S15：應(yīng)用程序產(chǎn)生報(bào)文并發(fā)送給安全守護(hù)進(jìn)程。

以安全外接設(shè)備為POS終端的讀卡器為例，POS終端中運(yùn)行有SElinux操作系統(tǒng)，應(yīng)用程序運(yùn)行后，用戶在讀卡器上刷卡后，應(yīng)用程序獲取用戶的賬戶信息，通過(guò)RPC進(jìn)程間安全接口，將報(bào)文，也即用戶賬戶信息發(fā)送給安全守護(hù)進(jìn)程。

步驟S16：安全守護(hù)進(jìn)程獲取安全外接設(shè)備的報(bào)文秘鑰。

安全守護(hù)進(jìn)程被授予訪問(wèn)讀卡器信息的權(quán)限，則其可從讀卡器驅(qū)動(dòng)中讀取用于讀卡器的報(bào)文秘鑰。

步驟S17：使用該報(bào)文秘鑰對(duì)報(bào)文做加密處理。

獲取讀卡器的報(bào)文秘鑰后，通過(guò)RPC進(jìn)程間安全接口將該報(bào)文秘鑰反饋至安全守護(hù)進(jìn)程，安全守護(hù)進(jìn)程使用該報(bào)文秘鑰對(duì)用戶賬戶信息進(jìn)行加密處理，得到加密報(bào)文，也即加密的用戶賬戶信息；然后將加密報(bào)文發(fā)送給應(yīng)用程序。這里的用戶賬戶信息例如賬戶卡號(hào)、密碼等支付相關(guān)信息。

步驟S18：應(yīng)用程序接受安全守護(hù)進(jìn)程發(fā)送的加密報(bào)文。

應(yīng)用程序接收到加密報(bào)文后，可以進(jìn)一步將加密報(bào)文發(fā)送至后臺(tái)，例如銀行服務(wù)端，由銀行服務(wù)端對(duì)加密報(bào)文采用相應(yīng)的報(bào)文秘鑰將報(bào)文解密使用。

本申請(qǐng)還提出一種POS終端，該P(yáng)OS終端運(yùn)行有SELinux操作系統(tǒng)，連接有鍵盤、顯示器、讀卡器等涉及用戶賬戶信息安全信息輸入、輸出或顯示的安全外接設(shè)備；其工作基于上述提出的SElinux安全訪問(wèn)方法，加載應(yīng)用程序至內(nèi)存后，對(duì)應(yīng)用程序的可執(zhí)行文件進(jìn)行簽章驗(yàn)證，并判斷簽章驗(yàn)證是否通過(guò)，若通過(guò)，則執(zhí)行應(yīng)用程序，能夠杜絕應(yīng)用程序在加載至內(nèi)存之前或過(guò)程中被惡意篡改。

優(yōu)選的，在該P(yáng)OS終端的操作系統(tǒng)被加載之后，執(zhí)行應(yīng)用程序之前，還需加載一個(gè)安全守護(hù)進(jìn)程至內(nèi)存，并對(duì)該安全守護(hù)進(jìn)程進(jìn)行簽章驗(yàn)證，該安全守護(hù)進(jìn)程使用授權(quán)私鑰簽章，若所述安全守護(hù)進(jìn)程的簽章驗(yàn)證通過(guò)，則授予安全守護(hù)進(jìn)程訪問(wèn)安全外接設(shè)備信息的權(quán)限，并執(zhí)行安全守護(hù)進(jìn)程，否則不執(zhí)行。執(zhí)行之后，能夠在接收到應(yīng)用程序產(chǎn)生的報(bào)文后，獲取安全外接設(shè)備的報(bào)文秘鑰，并使用報(bào)文秘鑰對(duì)所述報(bào)文做加密處理，并向應(yīng)用程序返回加密報(bào)文，將原來(lái)由內(nèi)核負(fù)責(zé)執(zhí)行的加密等涉及安全的功能轉(zhuǎn)移至用戶層，通過(guò)安全守護(hù)進(jìn)程對(duì)應(yīng)用程序進(jìn)行動(dòng)態(tài)管理，以適應(yīng)多種應(yīng)用場(chǎng)景的不同需求，在秘鑰相關(guān)處理方式需要升級(jí)或者更新時(shí)，只需更新用戶層的安全守護(hù)進(jìn)程，使得維護(hù)更加便捷，也降低了維護(hù)的難度，從而降低了維護(hù)成本。

具體的POS終端的工作方法已經(jīng)在上述SElinux安全訪問(wèn)方法中詳述，此處不予贅述。

上述本申請(qǐng)?zhí)岢龅腟Elinux安全訪問(wèn)方法和POS終端，在應(yīng)用程序和安全守護(hù)進(jìn)程被加載到內(nèi)存之后運(yùn)行之前，需要進(jìn)行簽章驗(yàn)證，只有簽章驗(yàn)證通過(guò)的情況下才能運(yùn)行，應(yīng)用程序才能夠與安全守護(hù)進(jìn)程建立數(shù)據(jù)通信，安全守護(hù)進(jìn)程才會(huì)被授予訪問(wèn)安全外接設(shè)備信息的權(quán)限，這種由內(nèi)核在內(nèi)存中對(duì)應(yīng)用程序和安全守護(hù)進(jìn)程簽章驗(yàn)證的方式，能夠在確保執(zhí)行文件完整性和真實(shí)性時(shí)，還杜絕在加載之前或加載過(guò)程中被惡意篡改的可能性，保障了應(yīng)用程序的安全性。

安全守護(hù)進(jìn)程采用授權(quán)私鑰進(jìn)行簽章，并在通過(guò)簽章驗(yàn)證后才可授權(quán)和運(yùn)行，實(shí)現(xiàn)對(duì)秘鑰等安全數(shù)據(jù)的處理，以及通過(guò)安全接口實(shí)現(xiàn)對(duì)其他應(yīng)用程序的管理，在執(zhí)行空間上與主應(yīng)用程序和其他應(yīng)用程序隔離，使得軟件結(jié)構(gòu)層次清晰，提高了系統(tǒng)的安全性，并且能夠適應(yīng)不同應(yīng)用的需求，將內(nèi)核處理私鑰等安全數(shù)據(jù)的功能提到用戶應(yīng)用層，便于后期的功能升級(jí)或更新。

基于SElinux技術(shù)，在LSM配置安全外接設(shè)備的基礎(chǔ)上，還需有安全守護(hù)進(jìn)程才可實(shí)現(xiàn)對(duì)安全外接設(shè)備秘鑰信息的訪問(wèn)，提高了Linux內(nèi)核系統(tǒng)的安全性，能夠在很大程度上避免Linux系統(tǒng)安全漏洞可能帶來(lái)的軟件系統(tǒng)的安全隱患。

應(yīng)該指出的是，上述說(shuō)明并非是對(duì)本發(fā)明的限制，本發(fā)明也并不僅限于上述舉例，本技術(shù)領(lǐng)域的普通技術(shù)人員在本發(fā)明的實(shí)質(zhì)范圍內(nèi)所做出的變化、改型、添加或替換，也應(yīng)屬于本發(fā)明的保護(hù)范圍。