安全作業系統中防止文件客體重用的方法

2023-05-18 21:28:16

專利名稱：：安全作業系統中防止文件客體重用的方法
技術領域：
：本發明涉及安全作業系統(OS)設計領域，尤其涉及一種安全作業系統中防止文件客體重用的方法。
背景技術：
：作業系統中的客體重用，是指客體在被釋放(或刪除)時，僅僅釋放該客體在文件系統中的索引，而所佔用的磁碟塊中的內容並未清空。當創建新的客體時，有可能利用到以前客體中的內容，例如磁碟塊，從而造成信息洩漏。所述客體，具體指磁碟文件，即存儲在可擦寫介質上(一般為磁碟)上的具有索引結構的文件系統上的文件，也包括一部分內存中的文件系統，如ramfs、ramdisk上的文件系統等。客體的重用是使用索引文件系統的作業系統中典型的安全漏洞之一，由於索引文件系統的固有結構，為了性能需要，客體的創建和刪除一般僅僅更新索引項，這就造成了客體內容可能復用的問題。例如=Linux作業系統，出於性能的考慮，對於資源的管理採用即時分配和丟棄方式，通過指針、掩碼等方式表示資源的分配情況，而不是將資源真正的分配和回收。以磁碟文件為例，在安全作業系統所支持的ext3文件系統上，文件是以i節點存儲的，每個i節點指示了該文件所有的磁碟塊；而i節點和磁碟塊均是以掩碼方式標識該塊的使用情況。當用戶刪除文件時，只是將相應的i節點掩碼和磁碟塊掩碼去掉，而該文件的內容仍然還存儲在磁碟塊上，該磁碟塊並不會被清空。因此當其他用戶創建一個新的文件時，這些磁碟塊有可能被分配到該文件，用戶讀取該文件時，就可能讀到原來的文件中的部分內容，即發生了信息洩漏。作業系統中除了磁碟文件外，還有其他客體，如動態內存、IPC對象等，由於頻繁的分配和回收機制並不改變其內容，因此也會造成信息洩漏。其中最重要的客體是磁碟文件。由於多任務作業系統中對文件的操作涉及到的場景比較複雜，涉及一個進程多次打開文件、多個進程打開一個文件、硬連結等各種各樣的場景，而不能僅僅由刪除客體的發起者做簡單的清空，因此解決客體重用的方法一般都是在程序做文件刪除的系統調用時，由作業系統內核將文件內容清空，以保證該操作的原子性，而不會造成用戶態程序的同步問題。在現有的作業系統內核中，執行刪除的系統調用前將文件清空的做法比較簡單，保證清空和刪除這兩個操作的原子性，不會影響到其他進程訪問該文件產生的異常行為。但是，由於輸入/輸出(I/o)系統調用的不可重入性，在這兩個操作完成前，內核無法返回用戶態，當前處理器上的其他所有進程均會阻塞，從而嚴重的影響性能。尤其是在刪除較大的文件時，將導致作業系統停止響應等嚴重問題。因此，從這個意義上講，惡意的大文件刪除操作導致系統性能降低也是一種攻擊。
發明內容有鑑於此，本發明所要解決的技術問題在於提供一種安全作業系統中防止文件客體重用的方法，以解決現有的防止客體重用技術中的性能缺陷(如由於內核的工作過於集中導致防止客體重用策略失效等)，通過將大量作業系統內核的工作轉移到用戶態程序，並通過設計嚴格的同步機制，使多任務環境下不會產生同步問題，以改善系統運行的性能和避免在防止文件客體重用時引起的信息洩露。為解決上述技術問題，本發明一方面提供了一種安全作業系統中防止文件客體重用的方法，其特徵在於，當應用程式需要刪除文件客體時，首先所述應用程式通過fcount系統調用從系統內核獲取所述需要被刪除文件客體的引用計數；當引用計數為O時，文件作業系統調用對該文件客體設置互斥機制，並將被刪除文件客體內容清空。進一步，本發明所述的安全作業系統中防止文件客體重用的方法，其特徵在於獲取所述需要被刪除文件客體的引用計數的方式為通過路徑獲取對應文件客體的引用計數或者通過文件描述符獲取對應的文件客體的引用計數。進一步，本發明所述的安全作業系統中防止文件客體重用的方法，其特徵在於，所述fcount系統調用包括兩個操作常量FC0P_FD和FC0P_PATH;其中，對於獲取一個路徑名表示的文件客體，要獲得其引用計數，則傳入FC0P_PATH和相應的路徑；對於獲取一個文件描述符對應的文件客體，則通過傳入FC0P_FD和文件描述符得到其引用計數。進一步，本發明所述的安全作業系統中防止文件客體重用的方法，其特徵在於，所述文件作業系統調用為unlink操作。進一步，本發明所述的安全作業系統中防止文件客體重用的方法，其特徵在於，所述文件作業系統調用為close操作。進一步，本發明所述的安全作業系統中防止文件客體重用的方法，其特徵在於，所述文件作業系統調用為_exit操作。進一步，本發明所述的安全作業系統中防止文件客體重用的方法，其特徵在於，所述將被刪除文件客體內容清空的方式為將文件客體所佔用的磁碟空間內容填寫為零。進一步，本發明所述的安全作業系統中防止文件客體重用的方法，其特徵在於，所述互斥機制為互斥鎖機制，所述互斥鎖機制由文件操作鎖提供，所述文件操作鎖由文件作業系統調用提供。進一步，本發明所述的安全作業系統中防止文件客體重用的方法，其特徵在於所述文件操作鎖包括加鎖操作、解鎖操作和等待鎖操作其中，執行所述加鎖操作後，任何對該鎖的等待都會被阻塞；執行所述解鎖操作後，將文件鎖解除，任何對該鎖的等待不會發生阻塞，並立即返回；執行所述等待鎖操作，嘗試等待一個鎖，其操作結果是阻塞或返回。本發明所提供的安全作業系統中防止文件客體重用的方法，具有以下優點本發明的防止文件客體重用的方法中，應用獲取文件計數的fcount系統調用、以及在應用程式調用防止客體重用功能模塊時刪除客體對各種場景的分析並不留能夠旁路的路徑，使該防止客體重用功能模塊能夠顯著改善系統運行的性能，使其在刪除客體時不再阻塞其他的進程，同時也避免了在防止文件客體重用時引起的信息洩露。圖I為實現本發明所述的安全作業系統中防止文件客體重用方法的結構示意圖；圖2為實現本發明所述的安全作業系統中防止文件客體重用方法的各功能模塊的詳細結構示意圖3為本發明所述的安全作業系統中防止文件客體重用方法中unlink操作流程示意圖4為本發明所述的安全作業系統中防止文件客體重用方法中的close操作流程示意圖5為本發明所述的安全作業系統中防止文件客體重用方法中的_exit操作流程示意圖6為本發明所述的安全作業系統中防止文件客體重用方法中的open操作流程示意圖。具體實施例方式下面結合附圖及本發明的實施例對本發明的方法作進一步詳細的說明。關於防止文件客體重用，在國標GB/T20272的4.4.I.8.a中的規定如下應確保動態分配與管理的資源，在保持信息安全的情況下被再利用，主要包括一、確保非授權用戶不能查找使用後返還系統的記錄介質中的信息內容；二、確保非授權用戶不能查找系統現已分配給他的記錄介質中以前的信息內容；有的文件客體在其他主體使用後返還給系統時，還保留有原來的信息，標準中規定了當介質返還給系統後，即使該用戶擁有了所有權，也不能獲得該對象以前的信息。圖I為實現本發明所述的安全作業系統中防止文件客體重用方法的結構示意圖；如圖I所示，當應用(用戶)程序使用磁碟文件、內存等文件客體時，需要通過系統調用向內核發出請求，由於頻繁的請求，內核陷入核心態(特權態)後再返回用戶態會造成系統性能的大幅降低，因此一般只需要讓內核實現一些比較簡單、獨立的工作，剩下的部分則由用戶態的庫，一般是由GNUC(GNUCLibrary，又稱Glibc)庫來完成。Glibc全稱為GNUClibrary是GNU下的C語言標準庫。本發明的防止文件客體重用的設計也沿用該方式，在不對性能造成較大影響的前提下，實現防止文件客體的內容被重用的功能，具體是要求儘可能的在用戶程序和用戶態的C標準庫的層面上實現，但仍然需要在系統內核的協助下獲取一些信息，而帶來的問題就是用戶態的程序可以輕易的旁路掉文件客體重用的功能。因此，也需要在內核中實現一部分防止文件客體內容被重用的功能。由於標準庫，尤其是C標準庫，在安全作業系統上為Glibc庫，提供了程序運行的最基本功能，離開Glibc庫的程序基本不能請求系統的資源和服務，因此可以在該層次上實現客體重用的功能。其他一些特殊工具，如文件系統格式化工具，由於工具功能的獨立性，可以在其中實現，而不必考慮功能的旁路。圖2為實現本發明所述的安全作業系統中防止文件客體重用方法的各功能模塊的詳細結構示意圖；如圖2所示，為防止客體重用，應用(用戶)程序在設計上大多數時候都處於用戶態，但是也有一些如IPC對象，需要在內核中實現，另外，其他一些客體，如磁碟文件，需要在內核的協助下獲取一些信息，也需要在內核中實現一部分功能。IPC進程間通信時創建IPC對象，調用IPC_alloc來動態分配IPC對象需要的內存空間，在刪除對象時調用kfree或者vfree釋放內存空間，但預先未對內存空間進行清零，為防止信息洩露，考慮在IPC對象釋放內存空間時分別進行清零操作。本發明的防止客體重用的方法需要在C標準庫層和系統內核2個部分中同時進行。文件客體的內容要在刪除該客體時清除掉，會涉及到多種情況，如多個進程的同步問題、硬連結的情況等，需要對其分別進行考慮和設計。在設計前，還需要明確以下幾項內容第一、文件的刪除在POSix兼容的系統中，沒有專門定義對於文件的刪除操作，只有減小其引用計數的操作，其系統調用為unlink。該操作只能將引用計數減少1，但並不能完全保證刪除文件，只有該文件引用計數達到了0，而且在沒有被別的進程使用的情況下才會刪除文件。這裡，P0SIX,為可移植作業系統接口(PortableOperatingSystemInterface,縮寫為POSIX是為了讀音更像UNIX)。電氣和電子工程師協會(IEEE)最初開發POSIX標準，是為了提高UNIX環境下應用程式的可移植性。但POSIX並不局限於UNIX。許多其它的作業系統，如DECOpenVMS和MicrosoftWindowsNT，都支持POSIX標準，尤其是IEEEStd.1003.1-1990(1995年修訂)或P0SIX.1,P0SIX.I提供了原始碼級別的C語言應用編程接口(API)給作業系統的服務程序，如讀寫文件。第二、文件的硬連結P0SIX兼容的系統有硬連結的概念，對於ext2、ext3之類的索引文件系統，硬連結通過i節點來實現。使用link系統調用增加一個文件的硬連結，而unlink減少一個硬連結。一個文件的引用計數可以通過stat系統調用得到。當一個文件的硬連結為O時，表示該文件的內容被丟棄，不再有效，相應的磁碟塊也被回收。第三、文件的共享在安全作業系統中，文件的打開操作是通過open系統調用實現的。一個文件是可以被多個進程打開的，這也是POSix的定義，也可以被一個進程多次打開，比如不同的函數或不同的線程。當一個文件被打開多個實例時，即使其引用計數達到了0，也不會刪除該文件，因為還有其他文件描述符、其他進程在使用這個文件，依然可以讀寫其內容。當一個進程或打開的文件描述符不再使用該文件時，會通過close系統調用關閉該文件；只有當一個文件不被任何程序使用時，即未被打開時，當其引用計數達到了O時，才會刪除該文件。第四、同步一個文件未被打開，且其引用計數達到了O將要刪除時，將其填零仍然需要一段操作。該操作如果在內核中進行，可以保證填零操作的原子性，但是這樣會嚴重影響性能。對於大文件，在內核中對其填零非常耗時，此時其他所有進程均被阻塞，不能加以調度，絕大多數都是I/o操作，而CPU卻仍然閒置。因此填零操作必須在用戶態進行，而在用戶態填零時，當前進程可能會被調度而掛起，新的進程可能會再次打開該文件，這樣就會造成文件內容的不一致。因此需要在填零時將文件加鎖而獨佔。第五、異常情況對於文件的讀寫，正規的方式應該是打開(open系統調用)、讀寫(read/write系統調用)、關閉(close系統調用)。但是系統在容錯性設計時,會對異常的情況進行考慮，如文件未被關閉時，當進程執行_exit系統調用退出，或者被殺死時，內核會將該進程未關閉的所有文件進行關閉。而用戶態無法獲得該文件關閉的通知，此時如果該文件被關閉後正好達到了刪除的條件，則用戶態錯過了阻止該客體信息被重用的情況。因此需要在_61^系統調用的入口強制在用戶態關閉所有文件。在明確了以上的具體情況後，通過分析，可以得出需要設計的以下機制文件的引用計數、文件的操作鎖、unlink操作、close操作、_exit操作和open操作。下面針對上述各種機制並結合附圖進行詳細的說明一、文件的引用計數包括路徑對應的文件、文件描述符對應的文件的使用計數。該信息在用戶態無法獲得，而且系統中未提供相應的系統調用，必須增加新的系統調用。在一般的作業系統中，一個文件是否被使用只允許內核知道，而用戶態沒有途徑獲得這種信息。但是在文件客體的可擦除的判斷邏輯中，該信息是最關鍵的信息之一，必須通過某種途徑得到。因此在該系統中設計了新的系統調用fcount(調用名)，通過該系統調用能得到一個文件的引用計數。當引用計數為O時，表示該文件沒有被打開或使用。在進程之間，文件是通過路徑名，即目錄項表示的。而在進程內部，文件除了目錄項外,還有文件描述符。POSIX標準中，uniink操作需要知道一個文件的路徑，而close操作則需要知道一個文件的描述符，因此fcount系統調用應該能對這兩種情況均返回正確結果。故作業系統中還定義了兩個操作常量FC0P_FD和FC0P_PATH。FC0P_FD和FC0P_PATH都是C語言的宏，FCOP就是阿拉伯數字1，FPATH_就是阿拉伯數字2。其中，對於獲取一個路徑名表示的文件客體，要獲得其引用計數，傳入FC0P_PATH和相應的路徑；對於獲取一個文件描述符對應的文件客體，則通過傳入FC0P_FD和文件描述符得到其引用計數。二、文件操作鎖文件操作鎖是用來保證當文件被判斷是否可以填零時不會發生進程間語義的衝突。當系統中被加以文件操作鎖時，任何進程對任何文件的試圖訪問均會造成該進程阻塞，直到設置鎖的進程主動解鎖，在此期間會造成一定的性能損失。文件操作鎖被設計為全局鎖的主要原因是系統中文件數量過於龐大，為每個文件設置鎖在用戶態不可實現，而對鎖的操作則可以通過優化邏輯來減少性能損失。文件操作鎖使用SystemV版本的信號量實現，該信號量在系統的內核中實現，不同於POSIX信號量在內存中的實現，這樣能保證Glibc的bug和錯誤不會影響文件操作鎖的實現。對於文件操作鎖，定義了以下幾種操作1、加鎖加鎖後，任何對該鎖的等待都會被阻塞；2、解鎖將文件鎖解除，任何對該鎖的等待不會發生阻塞，立即返回；3、等待鎖嘗試等待一個鎖，可能的結果是阻塞或返回。unlink,close,_exit,open都是系統給用戶提供的系統調用，用戶根據需要調用，實現自己的邏輯。在系統級這幾個系統調用間無依賴關係。例如當一個進程對一個文件進行unlink,close,open操作時，首先對這個文件做鎖操作，防止其他進程操作。文件操作鎖達到的目的就是讓鎖這段過程成為原子操作，原子操作的目的就是使得操作過程不能被中斷。當應用程式需要刪除文件客體時，首先所述應用程式通過fcount系統調用從系統內核獲取所述需要被刪除文件客體的引用計數；當引用計數為O時，文件作業系統調用對該文件客體設置互斥機制，並將被刪除文件客體內容清空。其中，所述將被刪除文件客體內容清空的方式為將文件客體所佔用的磁碟空間內容填寫為零。所述文件作業系統調用包括unlink操作、close操作、_exit操作。所述互斥機制為互斥鎖機制,所述互斥鎖機制由文件操作鎖提供，其中文件操作鎖由文件作業系統調用提供。三、unlink操作刪除文件時判斷時機，將其內容清空。unlink操作文件時，有可能發生引用計數為0，而且文件未被打開佔用，此時除了需要判斷客體重用的開關和滿足的條件外，還需要設置文件操作鎖。此時，任何對該文件的打開、關閉等操作均被阻塞。在發現不能滿足填零條件，還需要解鎖，以便其他對該文件的操作能恢復正常。圖3為本發明所述的安全作業系統中防止文件客體重用方法中unlink操作流程示意圖3的執行過程如下(I)在整個過程之前，有可能有其他進程也在unlink該文件，因此需要先等待文件操作鎖。(2)如果系統中鎖機制因為鎖機制失效或客體重用開關關閉，則必須考慮恢復系統調用原有功能直接進入unlink系統調用，即不進行擦除操作的各種邏輯。(3)如果滿足條件，首先對其執行鎖文件操作，防止其他主體進入而導致重用。(4)對其進行unlink操作，首先對其引用計數判斷,如果大於O則直接進入unlink系統調用，調用完畢解鎖文件，結束程序。如果等於O則根據系統環境進行判斷是否仍然打開，如果允許打開則直接進入unlink系統調用，判斷調用的結果成功與否再解鎖文件，如果成功就清除文件，結束程序，如果失敗就不清除文件，結束程序。如果前面的仍然打開判斷不被允許則直接做解鎖文件操作，結束程序。四、close操作關閉文件時判斷時機，將其內容清空。圖4為本發明所述的安全作業系統中防止文件客體重用方法中的close操作流程示意圖；圖4的執行過程如下(I)在整個過程之前，有可能有其他進程也在close該文件，因此需要先等待文件操作鎖。(2)如果系統中鎖機制因為客體重用開關關閉，則不考慮客體重用問題，直接調用close系統調用。(3)如果滿足條件，首先對其執行鎖文件操作，防止其他主體進入而導致重用。(4)首先對其引用計數判斷，如果大於O則直接解鎖文件，調用close系統調用，結束程序。如果等於O則根據系統環境進行判斷是否仍然打開，如果是則也解鎖文件操作，調用close系統調用，結束程序。如果不允許打開，則做解鎖文件操作，擦除文件之後再調用close系統調用，結束程序。五、_exit操作退出程序時，將未關閉的文件在用戶態關閉。系統在被發送KILL信號殺死前，或者自身退出時，會自動調用_exit系統調用。該系統調用會導致進程退出運行，並使內核關閉該進程尚未關閉的文件，因此也有可能滿足擦除文件的兩個條件。由於內核關閉文件時，用戶態無法得到通知，因此需要在該系統調用前強制關閉所有文件，即調用close函數。圖5為本發明所述的安全作業系統中防止文件客體重用方法中的_exit操作流程示意圖；圖5的執行過程如下、(I)如果系統中鎖機制因為客體重用開關關閉，則不考慮客體重用問題，直接調用_exit系統調用。(2)如果滿足條件，首先對其執行關閉文件操作，防止其他主體進入而導致重用。首先打開fd目錄，並讀文件描述符，然後調用close系統調用，判斷是否讀完文件，如果沒有則返回到讀文件描述符步驟循環，如果已經讀完則關閉fd目錄則調用_exit系統調用。(3)結束程序。需要說明的是，本發明的_exit系統調用的函數在強制調用close功能時，必須得到該進程中尚未關閉的文件。這些文件不能直接得到，而是只能通過/proc偽文件系統得到文件描述符。例如，對於Pid為1000的進程，打開/proc/1000/fd的目錄，會得到O、I、2……等的文件描述符，之後再調用close函數，分別對其關閉，由於close函數已經實現了擦除操作以及文件操作鎖的邏輯(上文已進行表述，在此不再贅述)。因此_exit系統調用可以不需要自己再做該工作以及操作文件操作鎖。_exit系統調用也可以在讀取文件描述符之後，對其引用計數進行判斷，再進行文件操作鎖解鎖和擦除等步驟。六、open操作打開文件時，根據時機等待。圖6為本發明所述的安全作業系統中防止文件客體重用方法中的open操作流程示意圖。圖6的執行過程如下(I)如果系統中鎖機制因為客體重用開關關閉，則不考慮客體重用問題，直接調用open系統調用。(2)如果滿足條件，首先對其執行鎖文件操作，防止其他主體進入而導致重用。得到鎖以後，調用open系統調用，結束程序，如果得不到則等待，直到得到為止。(3)結束程序。最後應當說明的是以上實施例僅用以說明本發明的技術方案而非對其限制；儘管參照較佳實施例對本發明進行了詳細的說明，所屬領域的普通技術人員應當理解依然可以對本發明的具體實施方式進行修改或者對部分技術特徵進行等同替換；而不脫離本發明技術方案的精神，其均應涵蓋在本發明請求保護的技術方案範圍當中。權利要求1.一種安全作業系統中防止文件客體重用的方法，其特徵在於，當應用程式需要刪除文件客體時，首先所述應用程式通過fcount系統調用從系統內核獲取所述需要被刪除文件客體的引用計數；當引用計數為0時，文件作業系統調用對該文件客體設置互斥機制，並將被刪除文件客體內容清空。2.根據權利要求I所述的安全作業系統中防止文件客體重用的方法，其特徵在於獲取所述需要被刪除文件客體的引用計數的方式為通過路徑獲取對應文件客體的引用計數或者通過文件描述符獲取對應的文件客體的引用計數。3.根據權利要求I或2所述的安全作業系統中防止文件客體重用的方法，其特徵在於，所述fcount系統調用包括兩個操作常量FC0P_FD和FC0P_PATH;其中，對於獲取一個路徑名表示的文件客體，要獲得其引用計數，則傳入FC0P_PATH和相應的路徑；對於獲取一個文件描述符對應的文件客體，則通過傳入FC0P_FD和文件描述符得到其引用計數。4.根據權利要求I所述的安全作業系統中防止文件客體重用的方法，其特徵在於，所述文件作業系統調用為unlink操作。5.根據權利要求I所述的安全作業系統中防止文件客體重用的方法，其特徵在於，所述文件作業系統調用為close操作。6.根據權利要求I所述的安全作業系統中防止文件客體重用的方法，其特徵在於，所述文件作業系統調用為_exit操作。7.根據權利要求I至6任何之一所述的安全作業系統中防止文件客體重用的方法，其特徵在於，所述將被刪除文件客體內容清空的方式為將文件客體所佔用的磁碟空間內容填寫為零。8.根據權利要求I至6任何之一所述的安全作業系統中防止文件客體重用的方法，其特徵在於，所述互斥機制為互斥鎖機制，所述互斥鎖機制由文件操作鎖提供，所述文件操作鎖由文件作業系統調用提供。9.根據權利要求8所述的安全作業系統中防止文件客體重用的方法，其特徵在於所述文件操作鎖包括加鎖操作、解鎖操作和等待鎖操作其中，執行所述加鎖操作後，任何對該鎖的等待都會被阻塞；執行所述解鎖操作後，將文件鎖解除，任何對該鎖的等待不會發生阻塞，並立即返回；執行所述等待鎖操作，嘗試等待一個鎖，其操作結果是阻塞或返回。全文摘要一種安全作業系統中防止文件客體重用的方法，主要包括對文件的使用計數fcount進行系統調用的步驟；對unlink操作的步驟；對close操作的步驟；對_exit操作的步驟；對open操作的步驟；以及為上述各類操作提供互斥鎖機制的文件操作鎖的操作步驟。採用本發明的防止文件客體重用的實現方法，應用獲取文件計數的fcount系統調用以及在應用程式調用防止客體重用功能模塊時，刪除客體對各種場景的分析並不留下能夠被旁路的路徑，使該防止客體重用功能模塊能夠顯著改善系統運行的性能，使其在刪除客體時不再阻塞其他的進程，同時也能夠避免在防止文件客體重用時引起的信息洩露。文檔編號G06F21/00GK102708323SQ20121014972公開日2012年10月3日申請日期2012年5月15日優先權日2012年5月15日發明者劉冬梅,劉燕,周啟明,武術,王戍靖,郎金剛,龔文申請人:中國科學院軟體研究所,中科方德軟體有限公司