[发明专利]一种用于操作系统的应用程序执行权限控制方法

说明书

技术领域

本发明涉及计算机安全领域，具体涉及一种用于防范恶意软件的用于操作系统的应用程序执行权限控制方法。

背景技术

当前，随着信息化程度的不断深入，病毒、木马、蠕虫等计算机病毒对信息系统的破坏日益严重，如何保障信息系统免受破坏迫在眉睫。通过分析可以发现，几乎所有的计算机病毒都是由于用户有意或无意执行恶意程序导致的。恶意程序通常伪装成正常程序或绑定到正常的程序中，诱发用户执行被篡改过的恶意程序来达到破坏目的。因此安装与运行有安全隐患的软件极易对信息系统的安全性造成破坏，轻则破坏系统的稳定性，影响系统的正常运行，重则导致信息泄露等安全事故。因此，限制信息系统中软件的安装与执行至关重要。

现有技术在信息系统中单个节点的操作系统中，限制软件安装与执行包含如下方法：

1）现有技术的技术方案对软件的安装进行控制，例如通过证书、软件签名或完整性校验等方式对软件进行合法性检查，达到控制非法软件的目的。但是，这些方法无法从根本上控制非法软件或代码的执行，用户仍然可能通过网络、USB移动存储等途径感染恶意代码或下载非法软件，甚至用户可以主动编写一些程序来达到某些非法目的。同时，操作系统内重要的软件一旦感染病毒或被篡改，那么再次运行这些软件就可能带来安全隐患。安全防护软件虽然能够在一定程度上能够检查并阻止某些恶意软件的执行，但是由于其只能防范已知的恶意软件，因此其安全防护能力也是有限的。

2）现有技术的技术方案利用可信计算技术进行完整性检查也是对软件执行进行控制。在软件执行前，通过完整性测量检查软件的完整性，以防止被篡改的软件执行。但是基于可信计算的完整性检测方法需要以TPM等可信计算芯片进行支撑，并且对所有的软件均进行基于可信计算芯片的完整性检测会对系统性能造成很大的影响。同时，由于软件安装、软件升级等导致的重新配置，可能使得以前已进入系统的非法软件得以运行，因此基于可信计算进行软件的执行控制也存在一定的安全隐患，不能有效地保护系统安全。

发明内容

本发明要解决的技术问题是提供一种恶意软件防范能力强、安全可靠、稳定性高、通用性好、扩展性强的用于操作系统的应用程序执行权限控制方法。

为了解决上述技术问题，本发明采用的技术方案为：

一种用于操作系统的应用程序执行权限控制方法，其实施步骤如下：

1）对操作系统的自带应用程序和外来应用程序进行分类；

2）在操作系统中设置运行状态信息，所述运行状态信息的类型包含至少两种系统运行状态，为所述系统运行状态分别设置用于根据应用程序的分类控制应用程序执行权限的执行规则；

3）操作系统启动后根据预设的默认运行状态信息进入默认的系统运行状态，在运行时根据用户指令切换操作系统的当前系统运行状态；当接收到应用程序的执行请求时，检查操作系统的当前系统运行状态，根据当前系统运行状态对应的执行规则以及应用程序的分类允许或者禁止所述应用程序的执行请求。

作为本发明用于操作系统的应用程序执行权限控制方法的进一步改进：

所述步骤1）的详细步骤如下：

1.1）将操作系统的自带应用程序分类并标记为操作系统运行必需的系统必要程序、操作系统运行不必需的系统非必要程序和用于管理软件安装的软件安装工具，将所述分类的标记存储在应用程序的程序扩展属性中；

1.2）将外来应用程序根据存储在应用程序的程序扩展属性中分类标记分类为合法外来程序或者非法外来程序。

所述步骤2）中在操作系统中设置运行状态信息包含开发运行状态、正常运行状态、密封运行状态三种系统运行状态；为所述开发运行状态、正常运行状态、密封运行状态分别设置执行规则如下：所述开发运行状态下的执行规则为允许全部应用程序执行；所述正常运行状态下的执行规则为仅允许系统必要程序、软件安装工具、合法外来程序执行；所述密封运行状态下的执行规则为仅允许系统必要程序、合法外来程序执行。