[发明专利]基于最小特权的过程控制软件安全架构

权利要求书

1.一种计算机设备，包括：

处理器；以及

操作系统，所述操作系统根据配置数据在所述处理器上执行以实现服务进程和一个或多个桌面进程；

其中，所述操作系统执行以施行与桌面命名空间分离的服务命名空间，以及操作以在服务命名空间中执行所述服务进程并且在与所述服务命名空间分离的桌面命名空间中执行一个或多个桌面应用程序，并且其中，在所述服务命名空间中实现的所有进程必须经由进程间通信与所述桌面命名空间中的进程进行通信。

2.根据权利要求1所述的计算机设备，其中，所述一个或多个桌面应用程序被分配有操作系统特权集合，所述操作系统特权集合是同与启动所述桌面应用程序的用户账号相关联的操作系统特权集合被分离地设置的。

3.根据权利要求1所述的计算机设备，其中，所述一个或多个桌面应用程序被分配有相同的操作系统特权集合，所述相同的操作系统特权集合不依赖于与启动所述桌面应用程序的用户账号相关联的操作系统特权。

4.根据权利要求3所述的计算机设备，其中，被分配给所述桌面应用程序的所述操作系统特权集合不包括管理员操作系统特权。

5.根据权利要求4所述的计算机设备，其中，被分配给所述桌面应用程序的所述操作系统特权集合是与一般用户相关联的操作系统特权。

6.根据权利要求3所述的计算机设备，其中，所述操作系统施行以下规则：桌面应用程序在操作系统特权中不能够被提升。

7.根据权利要求1所述的计算机设备，其中，所述计算机设备包括本地存储器存储单元，并且其中，所述操作系统施行以下规则：防止桌面应用程序写入到被存储在所述本地存储器存储单元中的服务文件或服务文件夹。

8.根据权利要求1所述的计算机设备，还包括桌面，所述桌面包括用户界面，并且其中，所述操作系统施行以下规则：防止所述服务进程中的任何服务进程访问所述桌面。

9.根据权利要求1所述的计算机设备，其中，在桌面应用程序处发起的消息包括识别桌面应用程序的用户的用户身份信息，并且其中，所述用户身份信息跟随消息通过与发送所述消息相关联的多个进程。

10.根据权利要求9所述的计算机设备，其中，所述用户身份信息不控制与用于将所述消息转发给消息接收者的一个或多个进程相关联的操作系统特权。

11.根据权利要求1所述的计算机设备，其中，所述计算机设备还包括通信端口和本地存储器存储单元，并且其中，能够与所述通信端口进行通信的所述服务进程中的一个不具有写入到所述本地存储器存储单元的特权。

12.根据权利要求1所述的计算机设备，其中，所述计算机设备还包括外部介质端口，并且其中，能够与所述通信端口进行通信的所述服务进程中的一个不具有经由所述外部介质端口与能够移除的存储单元进行通信的特权。

13.根据权利要求1所述的计算机设备，其中，所述计算机设备还包括通信端口、本地存储器存储单元、以及外部介质端口，并且其中，能够与通信网络端口进行通信的所述服务进程中的一个不具有写入到所述本地存储器存储单元的特权或经由所述外部介质端口与能够移除的存储单元进行通信的特权，其中，能够经由所述外部介质端口与能够移除的存储单元进行通信的所述服务进程中的一个不具有写入到所述本地存储器存储单元的特权，并且不具有与所述通信端口进行通信的特权，并且其中，能够与所述通信端口进行通信的所述服务进程中的一个不具有以下特权：与能够经由所述外部介质端口与能够移除的存储单元进行通信的所述服务进程中的一个直接进行通信。

14.根据权利要求1所述的计算机设备，其中，所述操作系统根据所述配置数据执行以：

执行所述一个或多个桌面应用程序，所述桌面应用程序具有相应的应用程序特权集合，并且所述桌面应用程序是能够代表具有相应的用户特权集合的多个用户帐号进行操作的；

将所述服务进程分配给多个定制服务帐号中的相应的定制服务帐号，所述多个定制服务帐号中的每个定制服务帐号具有相应的操作系统特权集合；以及

提供所述服务进程，以代表所述一个或多个桌面应用程序运行，其中，所述服务进程的运行使用所述服务进程被分配给的对应的定制服务帐号的相应的操作系统特权集合，来防止所述服务进程获取所述相应的应用程序特权集合中的任何应用程序特权集合或所述相应的用户特权集合中的任何用户特权集合。