本发明提供一种控制ELF文件运行的方法、装置和操作系统,该方法包括:将ELF文件对应的操作系统划分出至少三个区域,并为所述至少三个区域设置对应的执行权限;初始化所述ELF文件对应的操作系统;根据所述至少三个区域的执行权限,将当前ELF文件分配到对应的区域;控制所述当前ELF文件在所述对应的区域内运行,从而有效地提高了操作系统的安全性。
一种控制ELF文件运行的方法、装置和操作系统
技术领域
[0001] 本发明涉及计算机应用技术领域,特别涉及一种控制ELF文件运行的方法、装置和操作系统。
背景技术
[0002] 随着Linux在个人和企业中应用范围越来广,Linux最主要的可执行文件格式(Executable and Linkable Format,简称为ELF),已成为了病毒及各种恶意代码的攻击目标。而且有不少的病毒程序就是通过直接修改ELF文件来实现入侵的。在现有技术中,虽然可以在程序安装时通过对ELF文件进行签名验证,来防止病毒程序在程序安装过程中修改ELF文件,但是,在操作系统运行过程中,ELF文件形成的程序将不再进行校验,仍然可被很多病毒程序以及木马程序有机可乘,使得操作系统的安全性较低。
发明内容
[0003] 本发明提供一种控制ELF文件运行的方法、装置和操作系统,提高操作系统的安全性。
[0004] 一种控制ELF文件运行的方法,将ELF文件对应的操作系统划分出至少三个区域,并为所述至少三个区域设置对应的执行权限;包括:
[0005] 初始化所述ELF文件对应的操作系统;
[0006] 根据所述至少三个区域的执行权限,将当前ELF文件分配到对应的区域;
[0007] 控制所述当前ELF文件在所述对应的区域内运行。
[0008] 优选地,所述为所述至少三个区域设置对应的执行权限,包括:
[0009] 为所述至少三个区域设置允许执行的操作和允许访问的文件,其中,[0010] 为所述至少三个区域中的第一区域设置的执行权限,包括:读取数据库中数据的权限,将数据写入数据库的权限和控制所述ELF文件执行的权限中的任意一个或多个;
[0011] 为所述至少三个区域中的第二区域设置的执行权限,包括:记录在该第二区域运行的ELF文件执行的动作,根据所述记录的ELF文件执行的动作,为所述第二区域运行的ELF文件重新分配区域;
[0012] 为所述至少三个区域中的第三区域设置的执行权限,包括:对该第三区域运行的ELF文件执行修改操作。
[0013] 优选地,上述方法进一步包括:确定所述至少三个区域的区域标准签名;
[0014] 所述初始化所述ELF文件对应的操作系统,包括:
[0015] 在操作系统初次安装过程中,为所述划分出的至少三个区域生成区域签名;
[0016] 判断所述生成的区域签名与对应的所述区域标准签名是否相同,如果是,则执行将当前ELF文件分配到对应的区域。
[0017] 优选地,上述方法进一步包括:确定每一个所述ELF文件的文件标准签名,并将所述文件标准签名存储到所述第一区域中的数据库;
[0018] 在所述初始化所述ELF文件对应的操作系统之后,在所述将当前ELF文件分配到对应的区域之前,进一步包括:
[0019] 在所述第一区域,根据当前ELF文件的信息,为当前ELF文件生成文件签名;
[0020] 判断所述生成的文件签名与对应的所述数据库中的文件标准签名是否相同,如果是,则执行将所述当前ELF文件分配到对应的区域。
[0021] 优选地,上述方法进一步包括:为所述操作系统设置三种工作模式,并设置在所述操作系统运行过程中,所述三种工作模式间能够相互转换,所述三种工作模式,包括:禁用工作模式、自学习工作模式和强制工作模式;
[0022] 在所述初始化所述ELF文件对应的操作系统之后,在所述将当前ELF文件分配到对应的区域之前,进一步包括:选定所述禁用工作模式、所述自学习工作模式和所述强制工作模式中的一种作为所述操作系统的工作模式;
[0023] 所述控制所述当前ELF文件在所述对应的区域内运行,包括:
[0024] 当所述操作系统的工作模式为所述禁用工作模式时,控制属于所述第一区域的ELF文件在所述第一区域中运行,剩余的ELF文件在所述第三区域中运行;
[0025] 当所述操作系统的工作模式为所述自学习工作模式时,控制每一个ELF文件在分配的对应的区域中运行,并将没有分配区域的ELF文件在所述第二区域中运行,记录在所述第二区域中执行的动作,为在所述第二区域运行的ELF文件重新分配区域;
[0026] 当所述操作系统的工作模式为所述强制工作模式时,控制每一个ELF文件在分配的对应的区域中运行,没有分配区域的ELF文件则不能运行。
[0027] 优选地,上述方法进一步包括:
[0028] 为所述操作系统增设至少一个区域控制,为该至少一个区域控制设置对应的执行权限;
[0029] 根据所述至少一个区域控制的执行权限,分配对应的ELF文件给所述至少一个区域控制。
[0030] 一种控制ELF文件运行的装置,包括:
[0031] 划分单元,用于为ELF文件对应的操作系统划分出至少三个区域;
[0032] 第一设置单元,用于为所述划分单元划分的所述至少三个区域设置对应的执行权限;
[0033] 分配单元,用于初始化所述ELF文件对应的操作系统,根据所述第一设置单元设置的至少三个区域的执行权限,将当前ELF文件分配到对应的区域;
[0034] 控制单元,用于控制所述当前ELF文件在所述分配单元分配的对应的区域内运行。
[0035] 优选地,所述第一设置单元,用于为所述至少三个区域设置允许执行的操作和允许访问的文件,其中,为所述至少三个区域中的第一区域设置的执行权限,包括:读取数据库中数据的权限,将数据写入数据库的权限和控制所述ELF文件执行的权限中的任意一个或多个;为所述至少三个区域中的第二区域设置的执行权限,包括:记录在该第二区域运行的ELF文件执行的动作,根据所述记录的ELF文件执行的动作,为所述第二区域运行的ELF文件重新分配区域;为所述至少三个区域中的第三区域设置的执行权限,包括:对该第三区域运行的ELF文件执行修改操作。
[0036] 优选地,上述装置进一步包括:第一确定单元,其中,
[0037] 所述第一确定单元,用于确定所述划分单元划分出的至少三个区域的区域标准签名;
[0038] 所述分配单元,用于在操作系统初次安装过程中,为所述划分单元划分出的至少三个区域生成区域签名;判断所述生成的区域签名与对应的所述第一确定单元确定的区域标准签名是否相同,如果是,则执行将当前ELF文件分配到对应的区域。
[0039] 优选地,上述装置进一步包括:第二确定单元,其中,
[0040] 所述第二确定单元,用于确定每一个所述ELF文件的文件标准签名,并将所述文件标准签名存储到所述第一区域中的数据库;
[0041] 所述分配单元,进一步用于在所述第一区域,根据当前ELF文件的信息,为当前ELF文件生成文件签名;判断所述生成的文件签名与对应的所述第二确定单元存储在数据库中的文件标准签名是否相同,如果是,则执行将当前ELF文件分配到对应的区域。
[0042] 优选地,上述装置进一步包括:第二设置单元和选择单元,其中,[0043] 所述第二设置单元,用于为所述操作系统设置三种工作模式,并设置在所述操作系统运行过程中,所述三种工作模式间能够相互转换,所述三种工作模式,包括:禁用工作模式、自学习工作模式和强制工作模式;
[0044] 所述选择单元,用于选定所述第二设置单元设置的所述禁用工作模式、所述自学习工作模式和所述强制工作模式中的一种作为所述操作系统的工作模式;
[0045] 所述控制单元,用于当所述选择单元选定的所述操作系统的工作模式为所述禁用工作模式时,控制属于所述第一区域的ELF文件在所述第一区域中运行,剩余的ELF文件在所述第三区域中运行;当所述选择单元当选定的所述操作系统的工作模式为所述自学习工作模式时,控制每一个ELF文件在分配的对应的区域中运行,并将没有分配区域的ELF文件在所述第二区域中运行,记录在所述第二区域中执行的动作,为在所述第二区域运行的ELF文件重新分配区域;当所述选择单元选定的所述操作系统的工作模式为所述强制工作模式时,控制每一个ELF文件在分配的对应的区域中运行,没有分配区域的ELF文件则不能运行。
[0046] 优选地,上述装置进一步包括:自定义单元,其中,
[0047] 所述自定义单元,用于为所述操作系统增设至少一个区域控制,为该至少一个区域控制设置对应的执行权限;
[0048] 所述分配单元,用于根据所述自定义单元设置的至少一个区域控制的执行权限,分配对应的ELF文件给所述至少一个区域控制。
[0049] 一种控制ELF文件运行的操作系统,包括:
[0050] 至少三个区域,每一个区域分别用于根据自身区域的执行权限,获取对应的ELF文件,根据所述ELF文件间的关联,所述操作系统运行过程中,每一个区域间相互影响。
[0051] 优选地,所述至少三个区域中,第一区域的执行权限,包括:读取数据库中数据的权限,将数据写入数据库的权限和控制所述ELF文件执行的权限中的任意一个或多个权限;
[0052] 所述至少三个区域中,第二区域的执行权限,包括:记录在该第二区域运行的ELF文件执行的动作的权限,根据所述记录的ELF文件执行的动作,为所述第二区域运行的ELF文件重新分配区域的权限;
[0053] 所述至少三个区域中,第三区域的执行权限,包括:对该第三区域运行的ELF文件执行修改操作的权限。
[0054] 优选地,上述操作系统进一步包括:三种工作模式,每一种工作模式用于控制ELF文件和操作系统的程序运行的区域,在所述操作系统运行过程中,所述三种工作模式间能够相互转换,所述三种工作模式,包括:禁用工作模式、自学习工作模式和强制工作模式。
[0055] 优选地,上述操作系统进一步包括:至少一个区域控制,用于根据自身的执行权限,获取对应的ELF文件,并在在所述至少一个区域控制内运行所述对应的ELF文件。
[0056] 本发明实施例提供了一种控制ELF文件运行的方法、装置和操作系统,该控制ELF文件运行的方法主要是将ELF文件对应的操作系统划分出至少三个区域,并为所述至少三个区域设置对应的执行权限,通过设置的执行权限可以保证只有设置权限范围内的ELF文件能够在对应的区域中运行,即通过初始化所述ELF文件对应的操作系统;根据所述至少三个区域的执行权限,将当前ELF文件分配到对应的区域,控制所述当前ELF文件在所述对应的区域内运行。而对于病毒或者木马程序来说,由于划分出的各个区域均没有提供病毒或者木马程序运行的权限,使得病毒或者木马程序不能在操作区域中运行,从而有效的提高了操作程序的安全性。
附图说明
[0057] 图1为本发明实施例提供的一种控制ELF文件运行的方法的流程图;
[0058] 图2为本发明另一实施例提供的一种控制ELF文件运行的方法的流程图;
[0059] 图3为本发明实施例提供的一种控制ELF文件运行的装置的结构示意图;
[0060] 图4为本发明实施例提供的一种操作系统的结构示意图。
具体实施方式
[0061] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0062] 如图1所示,本发明实施例提供一种控制ELF文件运行的方法,该方法可以包括如下步骤:
[0063] 步骤101:将ELF文件对应的操作系统划分出至少三个区域,并为至少三个区域设置对应的执行权限;
[0064] 步骤102:初始化ELF文件对应的操作系统;
[0065] 步骤103:根据至少三个区域的执行权限,将当前ELF文件分配到对应的区域;
[0066] 步骤104:控制当前ELF文件在对应的区域内运行。
[0067] 在本发明一个实施例中,为了防止病毒或者木马程序的入侵,步骤101中为至少三个区域设置对应的执行权限的具体实施方式:为至少三个区域设置允许执行的操作和允许访问的文件,其中,为至少三个区域中的第一区域设置的执行权限,包括:读取数据库中数据的权限,将数据写入数据库的权限和控制ELF文件执行的权限中的任意一个或多个;为至少三个区域中的第二区域设置的执行权限,包括:记录在该第二区域运行的ELF文件执行的动作,根据记录的ELF文件执行的动作,为第二区域运行的ELF文件重新分配区域;为至少三个区域中的第三区域设置的执行权限,包括:对该第三区域运行的ELF文件执行修改操作。
[0068] 在本发明一个实施例中,为了增加各个区域的安全性,从而进一步提高操作系统的安全性,该方法进一步包括:确定至少三个区域的区域标准签名;步骤102的具体实施方式:在操作系统初次安装过程中,为划分出的至少三个区域生成区域签名;判断生成的区域签名与对应的区域标准签名是否相同,如果是,则执行将当前ELF文件分配到对应的区域。
[0069] 在本发明一个实施例中,为了保证ELF文件的完整性,该方法进一步包括:确定每一个ELF文件的文件标准签名,并将文件标准签名存储到所述第一区域中的数据库;在步骤102之后,在步骤103之前,进一步包括:在第一区域,根据当前ELF文件的信息,为当前ELF文件生成文件签名;判断所述生成的文件签名与对应的所述数据库中的文件标准签名是否相同,如果是,则执行将所述当前ELF文件分配到对应的区域。
[0070] 在本发明一个实施例中,为了增加操作系统的实用性,该方法进一步包括:为所述操作系统设置三种工作模式,并设置在所述操作系统运行过程中,所述三种工作模式间能够相互转换,所述三种工作模式,包括:禁用工作模式、自学习工作模式和强制工作模式;步骤104的具体实施方式:当操作系统的工作模式为禁用工作模式时,控制属于第一区域的ELF文件在第一区域中运行,剩余的ELF文件在第三区域中运行;当操作系统的工作模式为自学习工作模式时,控制每一个ELF文件在分配的对应的区域中运行,并将没有分配区域的ELF文件在第二区域中运行,记录在第二区域中执行的动作,为在第二区域运行的ELF文件重新分配区域;当操作系统的工作模式为强制工作模式时,控制每一个ELF文件在分配的对应的区域中运行,没有分配区域的ELF文件则不能运行。
[0071] 在本发明一个实施例中,为了使操作系统能够根据用户需求增加区域,从而提高ELF文件的可控性,该方法进一步包括:为操作系统增设至少一个区域控制,为该至少一个区域控制设置对应的执行权限;根据至少一个区域控制的执行权限,分配对应的ELF文件给至少一个区域控制。
[0072] 如图2所示,本发明另一实施例提供一种控制ELF文件运行的方法,该方法可以包括如下步骤:
[0073] 步骤201:将ELF文件对应的操作系统划分出至少三个区域,并为至少三个区域设置对应的执行权限;
[0074] 在该步骤中,为至少三个区域中的第一区域设置的执行权限,包括:读取数据库中数据的权限,将数据写入数据库的权限和控制ELF文件执行的权限中的任意一个或多个;
[0075] 为至少三个区域中的第二区域设置的执行权限,包括:记录在该第二区域运行的ELF文件执行的动作,根据记录的ELF文件执行的动作,为第二区域运行的ELF文件重新分配区域;
[0076] 为至少三个区域中的第三区域设置的执行权限,包括:对该第三区域运行的ELF文件执行修改操作。
[0077] 例如:为操作系统中的程序划分出的三个区域分别为特殊区域、自学习区域和默认区域;在这特殊区域即为上述第一区域,由于其只具有读取数据库中数据的权限,将数据写入数据库的权限和控制ELF文件执行的权限中的任意一个或多个,而不存在修改的权限,那么可将数据库存储在该区域中,以防止数据库中的数据被篡改,另外,文件签名校验的操作以及自定义区域控制的过程也可以在该区域中完成;对于没有被分配区域的ELF文件或者操作系统中的程序,可以将其分配给自学习区域即第二区域,根据这些ELF文件或者操作系统中的程序的动作,推荐其应该划分到哪个区域,客户可根据该推荐选择是否将在自学习区域中的ELF文件或者操作系统中的程序移入另外的区域,而对于需要被修改的ELF文件则将其划分到默认区域即第三区域。
[0078] 值得说明的是,由于特殊区域即第一区域是操作系统设值的权限控制比较严格的区域,对于权限以外的任何程序绝对不能在该区域中运行,则还可以在该区域中放置一些不可修改的程序和文件如系统控制程序、文件签名程序、区域划分程序、ELF文件执行控制程序以及存放配置文件的数据库等等。
[0079] 步骤202:为操作系统设置三种工作模式;
[0080] 在该步骤中,三种工作模式,包括:禁用工作模式、自学习工作模式和强制工作模式;还可以设置在操作系统运行过程中,禁用工作模式、自学习工作模式和强制工作模式间能够相互转换。
[0081] 对于禁用模式:控制属于特殊区域即第一区域的ELF文件在第一区域中运行,剩余的ELF文件在默认区域即第三区域中运行;在该模式下,自学习区域即第二区域不能运行;
[0082] 对于自学习工作模式:控制分配了区域的ELF文件在分配的对应的区域中运行,并将没有分配区域的ELF文件在自学习区域即第二区域中运行,记录在自学习区域即第二区域中执行的动作,为在自学习区域即第二区域运行的ELF文件重新分配区域;
[0083] 对于强制工作模式:控制每一个ELF文件在分配的对应的区域中运行,没有分配区域的ELF文件则不能运行,在该模式下,自学习区域即第二区域也不能运行,即每个文件必须属于一个或多个区域,若一个文件不在任何一个区域内,这个文件是不被允许访问的。
[0084] 步骤203:为操作系统增设至少一个区域控制,为该至少一个区域控制设置对应的执行权限;
[0085] 该步骤的区域控制为管理员自己创建的区域,这个区域中仅允许执行规定的操作(如读、写、创建、删除等)和访问规定的文件,其它操作或者文件将执行拒绝动作。如限制程序执行的操作及操作对象。可限制的操作有:创建、修改、删除文件、创建进程等;可限制的操作对象为磁盘上存在的所有文件。
[0086] 步骤204:确定至少三个区域和至少一个区域控制的区域标准签名;
[0087] 根据设置的区域中存在程序或者区域的权限等,为这些区域生成对应的区域标准签名,可以将该区域标准签名存放到数据库中。
[0088] 步骤205:确定每一个ELF文件的文件标准签名;
[0089] 操作系统第一次安装过程中,通过读取ELF文件头和部分文件数据、签名者信息、签名时间通过签名算法生成散列值,将散列值作为文件标准签名存储到第一区域中的数据库,另外,数据库中还可以存储系统配置文件。
[0090] 步骤206:在操作系统初次安装过程中,为划分出的至少三个区域和至少一个区域控制生成区域签名;
[0091] 步骤207:判断生成的区域签名与对应的区域标准签名是否相同,如果是,则执行步骤208;否则,执行步骤209;
[0092] 例如:如果在安装过程中,操作系统某一段程序被恶意篡改,将导致这段程序所在的区域的签名与区域标准签名不同。
[0093] 步骤208:选定禁用工作模式、自学习工作模式和强制工作模式中的一种作为操作系统的工作模式,并执行步骤210;
[0094] 在该步骤中,用户可根据自身需求选择操作系统的工作模式,另外,在操作系统运行过程中,用户还可以在直接通过工作模式选择界面更换工作模式,在其更换工作模式之后,由于不同工作模式下,运行的区域有所差异,可使得一些ELF文件不可运行,而另一些ELF文件开始运行,通过这一过程有效的提高了操作系统的运行效率。
[0095] 步骤209:阻止操作系统运行,并结束当前流程;
[0096] 步骤210:在第一区域,根据ELF文件的信息,为ELF文件生成文件签名;
[0097] ELF文件一般存储在磁盘中,可以设置只有特殊区域即第一区域能够访问磁盘文件,由于特殊区域即第一区域的权限已被限制,因此,特殊区域即第一区域的安全性更高,其访问磁盘文件可以避免磁盘文件被病毒或木马程序入侵。
[0098] 在该步骤中,为了进一步保证分配给各区域的ELF文件的完整性,防止被修改的ELF文件进入到各个区域,特殊区域即第一区域能够根据ELF文件头和部分文件数据、签名者信息、签名时间、通过签名算法生成散列值。
[0099] 步骤211:判断生成的文件签名与对应的文件标准签名是否相同,如果是,则执行步骤212;否则,执行步骤213;
[0100] 将步骤210生成的散列值与步骤205确定的散列值进行对比,如果相同,则说明ELF文件完整,否则,说明ELF文件被篡改过。
[0101] 步骤212:根据选定的工作模式和区域的权限,为ELF文件分配对应的区域,并执行214;
[0102] 在该步骤中,对于具有区域控制的操作系统来说,还需要根据至少一个区域控制的执行权限,分配对应的ELF文件给至少一个区域控制。
[0103] 步骤213:阻止ELF文件运行,并结束当前流程;
[0104] 步骤214:根据选定的工作模式和区域的权限,控制ELF文件在对应的区域内运行。
[0105] 如图3所示,本发明实施例提供一种控制ELF文件运行的装置,该装置包括:
[0106] 划分单元301,用于为ELF文件对应的操作系统划分出至少三个区域;
[0107] 第一设置单元302,用于为划分单元301划分的至少三个区域设置对应的执行权限;
[0108] 分配单元303,用于初始化ELF文件对应的操作系统,根据第一设置单元302设置的至少三个区域的执行权限,将当前ELF文件分配到对应的区域;
[0109] 控制单元304,用于控制当前ELF文件在分配单元303分配的对应的区域内运行。
[0110] 在本发明另一实施例中,第一设置单元302,用于为至少三个区域设置允许执行的操作和允许访问的文件,其中,为至少三个区域中的第一区域设置的执行权限,包括:读取数据库中数据的权限,将数据写入数据库的权限和控制所述ELF文件执行的权限中的任意一个或多个;为至少三个区域中的第二区域设置的执行权限,包括:记录在该第二区域运行的ELF文件执行的动作,根据记录的ELF文件执行的动作,为第二区域运行的ELF文件重新分配区域;为至少三个区域中的第三区域设置的执行权限,包括:对该第三区域运行的ELF文件执行修改操作。
[0111] 在本发明另一实施例中,上述装置进一步包括:第一确定单元(图中未示出),其中,
[0112] 第一确定单元,用于确定划分单元301划分出的至少三个区域的区域标准签名;
[0113] 分配单元304,用于在操作系统初次安装过程中,为划分单元301划分出的至少三个区域生成区域签名;判述生成的区域签名与对应的第一确定单元确定的区域标准签名是否相同,如果是,则执行将当前ELF文件分配到对应的区域。
[0114] 在本发明又一实施例中,上述装置进一步包括:第二确定单元(图中未示出),其中,
[0115] 第二确定单元,用于确定每一个所述ELF文件的文件标准签名,并将所述文件标准签名存储到第一区域中的数据库;
[0116] 分配单元304,进一步用于在第一区域,根据当前ELF文件的信息,为当前ELF文件生成文件签名;判断生成的文件签名与对应的第二确定单元存储在数据库中的文件标准签名是否相同,如果是,则执行将当前ELF文件分配到对应的区域。
[0117] 在本发明又一实施例中,上述装置进一步包括:第二设置单元和选择单元(图中未示出),其中,
[0118] 第二设置单元,用于为操作系统设置三种工作模式,并设置在操作系统运行过程中,三种工作模式间能够相互转换,三种工作模式,包括:禁用工作模式、自学习工作模式和强制工作模式;
[0119] 选择单元,用于选定第二设置单元设置的所述禁用工作模式、所述自学习工作模式和所述强制工作模式中的一种作为所述操作系统的工作模式;
[0120] 所述控制单元,用于当选择单元选定的操作系统的工作模式为禁用工作模式时,控制属于第一区域的ELF文件在第一区域中运行,剩余的ELF文件在第三区域中运行;当选择单元当选定的操作系统的工作模式为自学习工作模式时,控制每一个ELF文件在分配的对应的区域中运行,并将没有分配区域的ELF文件在第二区域中运行,记录在第二区域中执行的动作,为在第二区域运行的ELF文件重新分配区域;当选择单元选定的操作系统的工作模式为强制工作模式时,控制每一个ELF文件在分配的对应的区域中运行,没有分配区域的ELF文件则不能运行。
[0121] 在本发明又一实施例中,上述装置进一步包括:自定义单元(图中未示出),其中,[0122] 自定义单元,用于为操作系统增设至少一个区域控制,为该至少一个区域控制设置对应的执行权限;
[0123] 分配单元304,用于根据自定义单元设置的至少一个区域控制的执行权限,分配对应的ELF文件给至少一个区域控制。
[0124] 如图4所示,本发明实施例提供一种操作系统,该操作系统,包括:
[0125] 至少三个区域401,每一个区域分别用于根据自身区域的执行权限,获取对应的ELF文件,根据ELF文件间的关联,操作系统运行过程中,每一个区域间相互影响。
[0126] 在本发明又一实施例中,操作系统中的至少三个区域中,第一区域的执行权限,包括:读取数据库中数据的权限,将数据写入数据库的权限和控制所述ELF文件执行的权限中的任意一个或多个权限;
[0127] 所述至少三个区域中,第二区域的执行权限,包括:记录在该第二区域运行的ELF文件执行的动作的权限,根据记录的ELF文件执行的动作,为第二区域运行的ELF文件重新分配区域的权限;
[0128] 至少三个区域中,第三区域的执行权限,包括:对该第三区域运行的ELF文件执行修改操作的权限。
[0129] 在本发明又一实施例中,上述操作系统进一步包括:三种工作模式(图中未示出),每一种工作模式用于控制ELF文件和操作系统的程序运行的区域,在操作系统运行过程中,三种工作模式间能够相互转换,三种工作模式,包括:禁用工作模式、自学习工作模式和强制工作模式。
[0130] 在本发明又一实施例中,上述操作系统,进一步包括:至少一个区域控制(图中未示出),用于根据自身的执行权限,获取对应的ELF文件,并在在所述至少一个区域控制内运行所述对应的ELF文件。
[0131] 值得说明的是,本发明实施例涉及的操作系统,除上述的至少三个区域外,还包括了磁盘、数据库等存储单元,其中,磁盘用于存储磁盘文件和ELF文件;数据库用于存储区域标准签名、文件标准签名以及操作系统的配置文件,由于数据库属于第一区域,避免了数据库被病毒或木马程序的恶意攻击,进一步保障了操作系统文件的安全性。
[0132] 本发明实施例提供的方案,至少能够达到如下有益效果:
[0133] 1.通过将ELF文件对应的操作系统划分出至少三个区域,并为所述至少三个区域设置对应的执行权限,可以保证只有设置权限范围内的ELF文件能够在对应的区域中运行,即通过初始化所述ELF文件对应的操作系统;根据所述至少三个区域的执行权限,将当前ELF文件分配到对应的区域,控制所述当前ELF文件在所述对应的区域内运行。而对于病毒或者木马程序来说,由于划分出的各个区域均没有提供病毒或者木马程序运行的权限,使得病毒或者木马程序不能在操作区域中运行,从而有效的提高了操作程序的安全性。
[0134] 2.通过确定每一个ELF文件的文件标准签名,并将文件标准签名存储到第一区域中的数据库;并在所述第一区域,根据当前ELF文件的信息,为当前ELF文件生成文件签名;判断所述生成的文件签名与对应的所述数据库中的文件标准签名是否相同,如果是,则执行所述将所述当前ELF文件分配到对应的区域;通过该过程实现了签名交验,从而确保ELF文件的可靠性和运行过程的可控性。
[0135] 3-为所述操作系统设置三种工作模式,并设置在所述操作系统运行过程中,所述三种工作模式间能够相互转换,所述三种工作模式,包括:禁用工作模式、自学习工作模式和强制工作模式;通过这三种工作模式使得操作系统的工作状态可以根据用户实际需求进行选择,增加了操作系统的实用性。
[0136] 4.本发明实施例还可以确定至少三个区域的区域标准签名;在操作系统初次安装过程中,为所述划分出的至少三个区域生成区域签名;判断所述生成的区域签名与对应的所述区域标准签名是否相同,如果是,则执行所述将当前ELF文件分配到对应的区域,通过这一校验区域签名的过程,保证了区域中存在的操作的安全性,进一步提高了操作系统的安全性。
[0137] 5.本发明实施例还可以为操作系统增设至少一个区域控制,根据用户需求,为该至少一个区域控制设置对应的执行权限;根据所述至少一个区域控制的执行权限,分配对应的ELF文件给所述至少一个区域控制,这一过程使得用户根据自己的需求自定义区域,将一些操作分配在这些自定义的区域中进行,减少了各个区域的负担,使得操作系统具有可控性。
[0138] 需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语″包括″、″包含″或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句″包括一个……″限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
[0139] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
