[发明专利]一种操作系统地址空间随机化分配系统及方法

摘要

一种操作系统地址空间随机化分配系统及方法，涉及信息安全领域，提高地址空间随机化分配范围，从而提高操作系统随机化的安全性。操作系统地址空间随机化分配系统，包括用户空间层和内核空间层。所述用户空间层包括用户空间可执行程序局部随机化管理策略生成/解析器、全局随机化管理策略模块、随机事件采集模块。所述内核空间层包括可执行程序加载模块、虚拟文件系统管理模块、管理策略解析模块、随机化因子生成模块、地址空间随机化分配模块。操作系统地址空间随机化分配方法，用于操作系统地址空间随机化分配系统。所述分配系统及方法同样适用于目前国产龙芯处理器平台。

主权项

一种操作系统地址空间随机化分配系统，其特征在于，包括用户空间层和内核空间层，所述用户空间层包括：用户空间可执行程序局部随机化管理策略生成/解析器、全局随机化管理策略模块、随机事件采集模块；所述内核空间层包括：可执行程序加载模块、虚拟文件系统管理模块、管理策略解析模块、随机化因子生成模块、地址空间随机化分配模块；所述用户空间可执行程序局部随机化管理策略生成/解析器用于：针对可执行程序或动态库生成局部随机化管理策略并将所述局部随机化管理策略以可执行文件形式或动态库文件形式输出至所述可执行程序加载模块；以及对所述局部随机化管理策略进行解析以向用户报告针对所述可执行程序或动态库的局部随机化管理策略；所述全局随机化管理策略模块用于：保存全局随机化管理策略，其中所述全局随机化管理策略包括：全局地址空间随机化分配强制策略、全局栈空间随机化分配策略、全局堆空间随机化分配策略以及全局内存映射空间随机化分配策略；以及在用户配置情况下供用户从中选择全局随机化管理策略以输出至所述虚拟文件系统管理模块；所述随机事件采集模块用于：采集包括以下内容的随机事件数据：用户随机输入的键盘值和鼠标值、所述操作系统的当前中断次数和所述操作系统的当前网络交换数据量；以及将所述随机事件数据提供给随机化因子生成模块；所述可执行程序加载模块用于：对来自所述用户空间可执行程序局部随机化管理策略生成/解析器的以所述可执行文件或动态库文件形式的所述局部随机化管理策略进行分析，并且加载所述可执行文件或动态库文件且将所述局部随机化管理策略输出至所述管理策略解析模块；所述虚拟文件系统管理模块：注册有虚拟文件系统，其中所述虚拟文件系统待装载来自全局随机化管理策略模块的全局随机化管理策略，并且具有全局随机化管理策略默认配置；用于对虚拟文件系统进行解析以获取最终全局随机化管理策略，使得在所述用户配置的情况下将所述虚拟文件系统中所装载的全局随机化管理策略作为所述最终全局随机化管理策略输出至所述管理策略解析模块，而在无用户配置的情况下将所述全局随机化管理策略默认配置作为所述最终全局随机化管理策略输出至所述管理策略解析模块；所述管理策略解析模块用于：对来自所述可执行程序加载模块的所述局部随机化管理策略和来自所述虚拟文件系统管理模块的所述最终全局随机化管理策略进行解析以生成最终随机化运行策略，并将所述最终随机化运行策略输出至所述地址空间随机化分配模块；所述随机化因子生成模块用于：根据来自所述随机事件采集模块的所述随机事件数据生成随机化修正值，根据所述随机化修正值和所述操作系统的系统库函数来生成随机数，并对所述随机数执行230模运算来获得随机化因子，以用于在所述地址空间随机化分配模块执行地址空间随机化分配时调整地址空间的固定分配地址，并将所述随机化因子输出至所述地址空间随机化分配模块；以及所述地址空间随机化分配模块用于：根据来自所述管理策略解析模块的所述最终随机化运行策略和来自所述随机化因子生成模块的所述随机化因子来执行所述地址空间随机化分配，使得所述地址空间具有随机化地址。