可信操作系統研究

摘要：簡要回顧了安全操作系統的發展歷史，指出了安全操作系統當前存在的主要問題；在此基礎上提出了可信操作系統的概念，分析了可信操作系統的特點、內涵以及與安全操作系統的關系；最后提出了可信操作系統需要解決的問題，為下一步將要開展的工作奠定基礎。

關鍵詞：安全操作系統； 可信操作系統； 可信計算

中圖分類號：TP311文獻標志碼：A

文章編號：1001-3695(2007)12-0010-06

0引言

根據計算機軟件系統的組成，軟件安全可劃分為應用軟件安全、數據庫安全、操作系統安全和網絡軟件安全。在數據庫中，DBMS通常是建立在操作系統之上的，若沒有操作系統安全機制的支持，數據庫就不可能具有存取控制的安全可信性。在網絡環境中，網絡的安全可信性依賴于各主機系統的安全可信性；而主機系統的安全性又依賴于其上操作系統的安全性。因此，若沒有操作系統的安全性就沒有主機系統的安全性，從而就不可能有網絡系統的安全性。計算機應用軟件均建立在操作系統之上，它們均是通過操作系統完成對系統中信息的存取和處理。因此，若沒有操作系統的安全性，就不可能有應用軟件信息處理的安全性。操作系統安全是計算機系統軟件安全的必要條件^[1~5]。

操作系統實質是一個資源管理系統，管理處理機、存儲器、設備、文件和作業等計算機資源，用戶通過它獲得對資源的訪問權。安全操作系統的目的是保證它所管理資源的安全性，包括機密性、完整性和可用性等。信息的保密性是為了防止信息在非授權情況下的泄露;信息的完整性是為了保護信息不被非法竄改或破壞。

1972年，作為承擔美國空軍的一項計算機安全規劃研究任務的研究成果，J.P.Anderson等人在一份研究報告^[6]中提出了引用監控機（reference monitor）、引用驗證機制（reference validation mechanism）、安全核（security kernel）和安全建模（modeling）等重要概念，并提出了開發安全操作系統總的指導思想（原則）。J.P.Anderson等人指出，要開發安全系統首先必須建立系統的安全模型。安全模型給出安全系統的形式化定義，正確地綜合系統的各類因素。這些因素包括系統的使用方式、使用環境類型、授權的定義、共享的客體（系統資源）、共享的類型和受控共享思想等。這些因素應構成安全系統的形式化抽象描述，使得系統可以被證明是完整的、反映真實環境的、邏輯上能夠實現程序的且受控執行的。完成安全系統的建模之后，再進行安全核的設計與實現。這一原則表明，要開發安全操作系統必須完成兩大任務，即訪問控制框架的建立和安全模型的建立。四十多年來，安全操作系統的開發一直遵循這一原則，在訪問控制框架和安全模型方面取得了豐碩的成果。在訪問控制框架方面有基于政策描述語言的FAM（flexible authorization manager）^[7]和企業間多協調框架^[8]、基于安全屬性的GFAC框架^[9~12]、基于統一模型的數據庫FMP^[13]、RBAC^[14]、Flask^[15，16]框架。在安全模型方面包括BLP、HUR、UNIX system V/MLS、BIBA、信息流的格模型、不干擾模型、CW模型、中國墻模型、RBAC和DTE等^[17]。

縱觀安全操作系統將近四十年的發展歷史可以發現，安全操作系統的主要應用范圍仍然是在國防和軍事領域，在商用和民用領域尚未有成熟的安全操作系統出現^[7]。迄今為止，整個國際上安全操作系統的實際應用并不成功。在實際應用中發揮作用的操作系統絕大部分不是安全操作系統。文獻[18，19]認為，安全操作系統在商業和民用領域的不成功，主要是因為安全操作系統缺少靈活性和兼容性，降低了系統性能和效率，應發展專用安全操作系統。文獻[17，20~24]認為，當前安全操作系統不成功的本質原因是安全操作系統存在諸多不完善的地方，如對多安全政策的支持；對動態多安全政策的支持，包括政策切換、權限撤銷等方面；對環境適應性的支持等。

1安全操作系統的發展歷史

早在20世紀60年代，對操作系統安全的研究就引起了眾多機構(尤其是美國軍方)的重視。至今人們已在這個領域付出了幾十年的努力，開展了大量的工作，取得了豐碩的成果，逐漸建立起了比較完善的安全操作系統理論體系。安全操作系統的研究大致可分為四個階段^[20]：第一階段開始于1967年，標志是Adept50系統的啟動，這一時期是基本思想、技術和方法的探索時期，創建了安全操作系統的基本理論；以可信計算機系統評估準則（TCSEC）的頒布為標志的第二階段，開始于1983年，安全評估標準的頒布，對安全操作系統的設計和評估起到了很大的指導作用；1993年進入以多政策為特點的第三階段，這一時期研究的重點是如何實現多種安全策略的共存問題；目前，安全操作系統的研究已發展到第四階段——動態策略時期。為了支持多種策略的靈活配置需要進一步研究新的體系結構。

2安全操作系統存在的問題

2．1對用戶身份的鑒別過程容易受攻擊

當前，一些主流的操作系統通過簡單的口令來確認用戶身份。這種鑒別是單向的和不安全的。例如，對于UNIX或Linux操作系統，每個用戶有一個注冊名和一個口令，每個注冊名對應一個用戶身份標志號。在系統內部使用的是用戶身份標志號，它可標志進程啟動者和文件擁有者的身份。用戶的注冊名和口令保存在系統的口令文件中，在注冊過程中，系統將用戶提供的口令用加密算法(一般是DES)進行加密，然后與口令文件中的相應口令密文作對比。如果口令正確則用戶身份得以鑒別通過，注冊進程便為用戶啟動口令文件相應項中指定的初始shell。又如，對于Windows操作系統，用戶名和口令存在SAM文件中，盡管它在系統運行時受操作系統保護，即使是超級用戶也無法直接打開，但仍然有四種獲取SAM數據的方法：a)在另外一個操作系統中對目標系統分區進行操作，再把SAM文件拷貝到軟盤中；b)拷貝Windows磁盤修復工具（命令RDISK）SAM文件拷貝；c)從SAM中直接抽取口令密碼的哈希值；d)涉及網絡用戶名/密碼交互的竊聽。黑客一旦獲得SAM文件，通過破解就可以獲得用戶的口令。

對于一些安全計算機，在開機和用戶登錄方面加強了鑒別力度，采用了雙因素認證，包括智能卡、USBKey，甚至還采用了指紋、虹膜等認證方式。采用這些方式有兩個共同的特點：密鑰或特征碼是放在操作系統的文件系統中；采用的是單向認證。因而，與普通操作系統一樣，存在著相同的安全隱患。

2．2傳統訪問控制技術不能解決開域授權問題

傳統的訪問控制理論表現為一種關口控制的概念，如圖1所示。不讓不符合條件者進去，但是一旦取得進入的資格和權利，在范圍內的活動行為就無法監管了，進入后想做什么就做什么。究其原因，主體對客體的訪問和行為是根據預定的授權和身份識別來決定的。授權一旦確定，不看主體的表現，也不考查主體行為的可信性，直到另外一次授權的改變。對重要信息的授權人操作行為的忽視往往是信息流失事件多發的根源，即使專用業務系統有一定的流程控制和系統審計措施，對信息目標的流動管理往往在授權之后卻沒有通用的控制方法。這是由授權機制本身所限制的。

一般來講，一個具備操作權限的人對信息的流動性操作過程，往往可分解為以下步驟：a）授權人行為主體身份權限的獲取；b）授權人對行為主體的控制；c）行為主體對行為目標的權限獲取；d）行為動作的執行；e）行為結果。

以Windows操作系統中的重要文件拷貝行為為例，其具體過程為：內部人員通過操作系統的身份認證獲得系統應用的使用權（系統核心服務提供的應用如Explorer應用程序激活）、重要信息的文件讀權限（系統文件目錄服務對Explorer應用程序的權限開放）、目標文件拷貝載體（如移動U盤）的訪問與權限；當這些權限均被操作者（經過認證后的操作系統當前用戶）獲得后，操作者利用這些權限實施重要文件向移動U盤的拷貝。在通常情況下，這種授權權限在操作系統身份認證后，往往不再對當前用戶進行資源訪問的限制，即便一些專用應用進行了文件加密的控制、文件目錄的權限控制，但對于已獲取控制權的人而言，拷貝的行為以及拷貝的目標存儲介質往往是不受約束的，可以稱這種授權為開域授權。目前基于Windows操作系統之上的應用系統，往往難以控制這類開域授權后的行為結果。這就是各類信息流失事件的行為模式。

2．3操作系統不能確認自身的完整性

操作系統自身的身份和完整性是否可信也需要得到確認。比如現在有很多病毒和黑客可以直接通過硬件對操作系統進行破壞。由于提供服務的操作系統和代表用戶運行的進程共享計算機系統的主存，操作系統需要自我保護防止用戶對其有意或無意的破壞。自我保護意味著一方面操作系統軟件自身是可信的，不能含有可能被惡意用戶利用的安全漏洞導致軟件運行偏離預期的軌跡；另一方面操作系統不能在用戶使用的過程中被惡意用戶竄改。

2．4操作系統的安全政策不能適應環境的變化

操作系統必須應用于真實環境才可以發揮其作用。真實安全環境有兩個特征：a)安全威脅是多種多樣的，有木馬、病毒、蠕蟲、拒絕服務攻擊和緩沖區溢出攻擊等。它們可能威脅信息的機密性、完整性和可用性。因此要求安全操作系統支持政策的多樣性，滿足多種安全目標。b)安全環境是變化的：一種是周期性的變化，如銀行下班前與下班后的安全政策不一樣，下班后對資源訪問的控制更嚴格；一種是環境的突發性變化，如發生了黑客入侵事件、火災、地震或戰爭等。另外，對于系統內信息的訪問許可在某些情況下，可能會隨著時間的變化而變化。例如某報社第二天將要出版的新聞稿件在第二天早上9：00之前是敏感信息，而在9：00之后它就是公共信息；又如對于戰場上的軍事情報，在決策的某一時刻前是敏感信息，過后就是普通信息了等。因此，操作系統必須能及時響應環境變化，將適合于新環境的安全政策立即有效地實施。

2．5操作系統中的部分主體與客體之間缺少相互驗證

安全操作系統中的主體是能夠發起行為的實體，如進程等，主體發出訪問操作，是存取要求的主動方。客體是主體行為的承擔者，通常意義的客體包括文件、目錄、共享內存、消息、信號量、管道、存儲器、緩沖器、磁盤和外部設備等。客體的概念還可以推廣到所有的對象概念上，客體甚至還可以是進程。進程本身也可以被操作，作為行為的受體。

值得注意的是，大部分安全操作系統在處理客體時，沒有區分具體的客體類型，將不同類型的客體采用同一方法標志和處理。在傳統的訪問控制技術條件下，部分主體對某類客體的訪問還存在一些問題。

一方面，部分主體在訪問某類客體時需要驗證客體的身份和完整性。傳統的訪問控制技術顯然不能辦到。例如在Windows操作系統中，有許多DLL，DLL文件是Windows的基礎，因為所有的API函數都是在DLL中實現。DLL沒有程序邏輯，由許多功能函數構成，它并不能獨立運行，一般由進程加載并調用。當作為主體的進程調用某DLL文件中的功能函數時，如果主體不對該DLL文件進行身份認證和完整性檢驗，則黑客或攻擊者可以采用如下兩種方法實施攻擊：用一個偽造的DLL文件替換原DLL文件；偽造一個接口相同但包含惡意代碼的功能函數供主體調用。這兩種情況該主體均不能辨別，如圖2所示。

另一方面，客體均是靜態客體。靜態客體具有如下特征：a)客體僅僅是主體的行為對象，一旦主體擁有權限，客體只能完全“接受”主題的行為，客體沒有根據自身的實際情況與主體的訪問進行協商的權利。b）客體不能驗證主體的身份。例如，不管是Windows、UNIX還是Linux，管道都是一種進程（主體）之間進行通信的有效機制。當主體1將用戶名和密碼通過管道客體傳給主體2時，黑客或攻擊者可以偽裝為主體2接收主體1傳過來的機密信息而不被察覺。如果管道客體在傳遞信息之前對主體的身份進行認證，那么黑客或攻擊者就會被發現，如圖3所示。在Windows中，黑客或攻擊者通過RunAs服務進程利用命名管道來提升權限就是屬于這種情況的典型案例。

2．6用軟件方式實現的安全核不能滿足安全操作系統發展的需要

安全操作系統一個重要的特征是安全核。安全模型的實施及相關接口和配置數據均在安全核中。到目前為止，絕大部分的安全操作系統，包括SELinux等均是用軟件的方式實現安全核的，并要求滿足如下原則：a) 必須具有自我保護能力；b) 必須總是處于活躍狀態；c) 必須設計得足夠小，以便于分析和測試，從而能夠證明它的實現是正確的。第一個原則保證引用驗證機制即使受到攻擊也能保持自身的完整性；第二個原則保證程序對資源的所有引用均得到引用驗證機制的仲裁；第三個原則保證引用驗證機制的實現是正確的和符合要求的。

在安全操作系統發展的初期，安全政策少、安全模型小、安全核和內核交互少，因而安全核小，滿足這三個原則相對容易。但是隨著安全操作系統的發展和威脅的增多，現在的安全操作系統不僅要支持多個安全政策，而且還需要安全政策之間的動態切換，并適應環境變化。此時的安全核復雜、龐大。從軟件工程的角度看，盡管可以采用模塊化和面向對象的設計方法、CGFA或微內核體系結構等來降低代碼實現中存在的錯誤，但錯誤不能避免。總之，安全核越復雜、越龐大，就越不能保證自身的正確性和完整性，黑客和攻擊者就更容易攻擊安全核。Greg Hoglund的論文(http://phrack.org/phrack/55/P55-05)提出了一種通過修改可信計算基（trusted computing base，TCB）來違反安全引用監視器（SRM）的訪問控制，并給出了一個具體的NT rootkit實現（http://www.megasecurity.org/ Tools/Nt_rootkit_all.html）。

在TCSEC標準中，將所有實現安全核的軟件和硬件統稱為TCB。實際上，安全核中的引用監控機、引用驗證機制、安全建模等關鍵部分均是用軟件來實現的。將對安全核的信任建立在軟件的基礎上顯然是有缺陷的。因為軟件總存在錯誤，軟件不能自己保護自己（存在悖論）。安全操作系統需要增加一個新的、用硬件實現的信任源或其他機制，對安全核實施正確性和完整性驗證。

3可信操作系統的概念

從上面的分析可以看出，在安全操作系統面臨的這些問題中，安全操作系統不適應環境變化這一問題是可以在安全操作系統的框架內解決的，如文獻[17，25]對該問題進行了有益的探索并提出了新的訪問控制框架。其余的問題在安全操作系統框架內是不容易解決的，如對于安全操作系統的開域授權問題。因為安全操作的訪問控制模型只能解決一次行為是否安全的問題，而不能解決用戶整個行為是否可信。安全操作系統的目的是為用戶提供一個安全的環境，而不能保證處于該安全環境中的用戶行為是否可信。目前，隨著新的安全技術的興起，可信計算正成為人們關注的熱點^[26~32]。可信計算^[33]一般是指通過對計算機硬件的加強，以允許軟件利用某一安全特征堵塞來自硬件的獨立操作。典型地，可信計算包括加密硬件以允許檢測(通過用戶和其他人)對軟件未授權的修改以及加密系統組件的通信信息。 一個可信計算平臺應該提供至少三個基本特征，即保護能力、完整性測量和完整性報告。從可信計算的概念及其特征可以發現，安全操作系統面臨的這些問題是可以用可信計算技術來解決的。

在給出可信操作系統的概念之前，首先解釋什么是計算環境中的可信。本文沿用文獻[34]提出的觀點。文獻[34]還提出了可信計算的體系結構，包括可信終端、終端可信應用、可信網絡連接、可信網絡服務器、可信交易以及可信評測方法和管理方法等。

定義1一個可信實體（包括組件、系統或過程）的行為在任意操作條件下是可預測的，并能很好地抵抗應用程序、病毒以及一定的物理干擾造成的破壞。

定義2可信操作系統是能夠通過支持多種安全政策來適應環境變化，并保證在系統中的本地用戶或遠程實體的行為總是以預期的方式和意圖發生的。客體內容是真實、保密和完整的，以及自身完整性的操作系統。

TCB安全核的概念對于操作系統和其上建設的數據庫管理系統（DBMS）以及應用系統均是有意義和有效的。在操作系統的安全觀念中，也按照角色（如管理員、超級用戶、普通用戶等）給予一定的引用系統服務的權限。也就是說，在TCSEC中提出的可信概念實際上是一種特權概念。只要是系統的管理員或超級用戶，就認為是可信的。

與TCB比較起來，可信操作系統具有三個特點：主體行為的可信性；客體內容的保密性、完整性和可信性；自身的完整性。

對于主體行為的可信性，可以從兩個方面進行理解：a)指行為歷史記錄反映主體行為是否違約、違規、違法、超越權限以及超范圍等統計特性，如違約概率、錯誤概率等。這樣的行為可信性可以劃分級別。行為可信性是可信認證的基礎，它在傳遞中通常要受到損害。b)行為可信性還可以定義為考察行為的預期性。也就是說，不可信行為對于從事某項工作來說不是必要的或預期的。從某種意義上說，可以把破壞行為的預期性理解為破壞行為的可信性或對行為的可信性產生懷疑。從理論上講，一個業務應用系統的終端系統的功能范圍應該僅僅是該業務應用終端所必需的功能。但實際上，現代計算機應用系統的終端大量地利用個人計算機，一個服務器中通常要存放多個應用系統。應用服務器或數據服務器提供的功能遠遠超過了應用系統所要求的，也即一個專用的應用系統建立在一個通用的網絡系統上。作為一個終端，在使用應用系統時，各項服務都是通過設計的規定服務實現的。這時終端是相對安全的，它不多做一件事情。但是終端不僅僅是應用系統終端，它使用Windows操作系統；而作為一個Windows操作系統用戶，采用同一臺計算機、同樣的計算機識別、同樣的系統域網絡授權，對系統的服務器進行訪問，它可以做任何想做的事情。從這個意義上講，這臺計算機是非常不安全的。從計算機終端來看，同一個操作人員和同一臺計算機的行為包括業務應用系統規定的操作，也包括非業務系統規定的操作，甚至還包括犯罪的操作。對于這樣的可信計算機終端，采用通常意義上的訪問控制、授權、口令、識別等方法將不再有效。因此必須采用行為監管的方法。

客體內容的機密性(confidentiality)是指防止信息泄露給未授權的用戶；完整性 (integrity)是指防止未授權用戶對客體內容的修改；客體內容可信性研究的是客體內容的真實性。在現實社會中，內容的真實性是通過內容與現實的一致性或言語的證據來考察的。內容真實性的考察是一項困難的工作，需要花費大量的人力和物力來進行調查研究或取證。但是在計算機世界中，實現內容的真實性不可以向現實世界一樣去考察。簡單地說，在計算機世界中，判斷內容是否可信，首先判斷信息來源是否可信，如果信息來源可信并真實，那么對信息進行處理的行為本身也必須是可信的；即使行為可信，也不一定表明內容進行增加、刪減或修改一定是正確的。但是，如果行為監控充分細致，這種增加、刪減和修改也是有可信來源的，包含在行為的輸入條件中，那么便滿足了內容變化的可信要求。

自身的完整性就是操作系統自己不被非法竄改，如現在有很多病毒和黑客可以直接通過硬件對操作系統進行破壞。由于提供服務的操作系統和代表用戶運行的進程共享計算機系統的主存，操作系統需要自我保護，防止用戶對其有意或無意的破壞。自我保護意味著一方面操作系統軟件自身是可信的，不能含有可能被惡意用戶利用的安全漏洞導致軟件運行偏離預期的軌跡；另一方面操作系統不能在用戶使用的過程中被惡意用戶竄改。因此系統需要有一個硬件支持的無條件信任的根來代表可信的第三方，從最底層的硬件開始，對系統中每一個啟動和運行實體的身份進行鑒別。從系統啟動的最初就保證是可信的，并且在每一次運行實體控制權轉移過程中系統均是可信的，這樣才能保證操作平臺是值得信任的。系統需要建立起一條操作系統—硬件—用戶的完整的信任鏈關系。在信任傳輸的作用下，實現安全機制的整體性檢查，從而確保了各環節的可信性，進而保證了整個系統的可信性。

歸根結底，可信操作系統必須確保用戶身份、主體行為的可信性，這是對使用者的信任；確保信息存儲、處理、傳輸的機密性、完整性、真實性，確保服務及應用程序的完整性，體現了客體內容的可信；確保密鑰操作和存儲的安全;確保系統具有免疫能力，從根本上防止病毒和黑客。

4可信操作系統與安全操作系統的關系

可信與安全之間是有聯系的。對于行為主體來說，可信的行為一定是安全的行為，但安全的行為不一定是可信的行為。可信與安全之間也是有區別的。對于行為主體，一次行動可以得到安全或者不安全的結論，但是得不到信任或者不信任的結論；信任只有通過經常的行動才能體現。因此可以說，安全是行動的結果，信任則是行為的結果。下面說明可信操作系統與安全操作系統的關系。

a)可信操作系統與安全操作系統是有聯系的。安全操作系統是可信操作系統的基礎，如圖4所示，沒有安全操作系統就沒有可信操作系統。可信操作系統不是主觀臆造的，是在安全操作系統的基礎上發展起來的。安全操作系統中的安全政策、訪問控制體系結構及其實現方式仍然適合可信操作系統。

b)可信操作系統是安全操作系統的進一步發展。目前，安全操作系統面臨諸多問題，如用戶身份鑒別、安全屬性即時撤銷(或安全授權即時撤銷)、環境適應性、主體行為可信和客體內容可信、自身完整性等。在這些問題中，安全屬性即時撤銷(或安全授權即時撤銷)、環境適應性等仍然可以沿著安全操作系統的研究路線，在安全操作系統的安全框架內加以解決。但其他問題的解決，如用戶身份鑒別、主體行為可信、客體內容可信、自身完整性等，必須轉換觀念，跳出傳統安全操作系統的研發思路，找到新的解決辦法。從本質上說，傳統安全操作系統的可信是角色的特權，而可信操作系統中的可信是一種信譽，這本身就是一種進步，如圖5所示。

c)可信操作系統與安全操作系統是有區別的。直觀地說，可信操作系統研究的是如何為用戶提供一個可信的計算環境；安全操作系統研究的是如何為用戶提供一個基礎安全平臺。可信的內涵和外延均包括了安全。因而，可信操作系統的研究方法與思路不能完全沿用于安全操作系統，必須要創新和拓展。從研究的內容來看，安全操作系統主要研究在操作系統中實現單安全模型、多安全模型、動態多安全模型的方法及體系結構等；可信操作系統主要研究操作系統中的主體行為可信和客體可信以及自身的完整性。安全操作系統的目標是保證信息的機密性、完整性和可用性；可信操作系統除了這些之外，還包括主體行為的可預測性和可控性、客體真實性和自身完整性等。它們之間的關系如圖6所示。

5實現可信操作系統需要解決的問題

需求1可信操作系統的體系結構

要實現可信操作系統，必須建立可信操作系統的體系結構。該體系結構既可以滿足安全操作系統的需要，又可以為用戶身份鑒別、自身的完整性、主客體身份鑒別和環境適應性提供保障。為了實現這些功能，必須擴展安全核，增加信任根。但是安全核如何擴展、信任根如何增加、需要什么樣的體系結構等問題是擺在可信操作系統面前的重要問題之一。

需求2自身完整性

操作系統是一組控制和管理計算機硬件及軟件資源、合理地對各類作業進行調度以及方便用戶的程序集合。隨著黑客技術的發展，破壞操作系統內核程序、修改核心數據結構、替換操作系統關鍵代碼等事件時有發生。如果操作系統都不能保證自身的正確和完整，如何為主體提供可信的計算環境？所以，操作系統自身的完整性是操作系統發揮有效作用的前提和基礎。

需求3用戶身份鑒別

用戶要使用操作系統，首先必須登錄。登錄前，必須由管理員事先建立用戶賬戶。一般包括用戶名和密碼，保存在系統內。用戶在登錄時，要求用戶輸入用戶名和密碼，然后將用戶輸入的用戶名和密碼與先前的用戶名和密碼進行比較。如果正確，用戶登錄進入系統享用計算機資源；否則，拒絕用戶登錄。不管是本地登錄，還是遠程登錄，其思想基本如此。但這種登錄方式存在兩個致命的缺陷：a)認證的單向性，即只能一方鑒別另一方，不能實現雙向認證；b)不安全。用戶的賬戶信息可以用加密的技術來增強其安全性，但是操作系統始終是采用軟件的方式來管理和保護這些敏感信息，因此為黑客們提供了可乘之機，它們可以通過各種手段竊取這些敏感信息。口令認證方式如此，IC卡認證、生物認證也是如此。

需求4環境適應性

操作系統要提供可信計算環境。它必須首先感知環境，然后根據當前環境面對的威脅，適當地啟用對應的安全策略進行應對。對于用戶來說，在不同的時間，所需要的可信計算環境可能不同。因此，可信操作系統對環境的適應性是必要的。

需求5主體行為可信

保證主體行為可信是可信操作系統與安全操作系統最大的區別之一。傳統的訪問控制技術只能保證主體的一次行為是否安全，不能保證主體行為軌跡是否可信。例如，對于開域授權問題，傳統的訪問控制技術就無能為力，只有在安全核中增加監控代理監督主體的行為，才能保證主體的行為不會泄密、不會破壞客體、不會造成危害。

需求6可信客體

客體是主體的行為承受者。在操作系統中，有各種各樣的主體，包括文件（文件中還分為文本文件和二進制文件）、目錄、管道、消息等。但傳統的安全操作系統并沒有區分客體的多樣性。將這些客體用統一的方法表示和標志，這為黑客的入侵帶來了可乘之機。另一方面，客體內容的真實性、保密性和完整性也是可信操作系統必須關注的問題。當然，這里所說的真實性與現實世界中的真實是不一樣的。這里所指的是客體內容的改變和變更必須留下主體的行為印記。

6結束語

隨著網絡技術的不斷發展和Internet的日益普及，人們對Internet的依賴也越來越強。WWW、BBS、email等名詞均已為大眾所熟悉。互聯網已經成為人們生活的一部分。然而，Internet是一個面向大眾的開放系統，網上攻擊與破壞事件層出不窮，包括竊取機密、非法訪問、惡意攻擊、計算機病毒、不良信息資源和信息戰，甚至于社交工程。面對如此嚴峻的安全形式，更需要新的思路來解決目前遇到的問題。

參考文獻：

[1]ABBOTT R P， CHIN J S，DONNELLEY J E， et al. NBSIR 76-1041， Security analysis and enhancement of computer operating systems[S].Gaithersburg， MD:[s.n.]，1976.

[2]HOLLINGWORTHD，GLASEMAN S，HOPWOOD M. Security test and evaluation tools: an approach to operating system security analysis，1-5298[R].Santa Monica:Calif Rand Corp，1974.

[3]LOSCOCCO P A， SMALLEY S D， MUCHELBAUER P A， et al. The inevitability of failure: the flawed assumption of security in modern computing environments[C]//Proc of the 21st National Information System Security Conference.Gaithersburg，MD:NIST Press，1998:396-407.

[4]LEPREAU J，FORD B， HIBLER M. The persistent relevance of the local operating system to global applications[C]//Proc ofSIGOPS European Workshop. New York:ACM Press，1996:187-192.

[5]BAKER D B. Fortresses built upon sand[C]//Proc of UCLA Conference on New Security Paradigms Workshops. Lake Arrowhead， CA:[s.n.]， 1996:148-153.

[6]ANDERSON J P. Computer security technology planning study volume Ⅱ[M].Bedford，MA:HanscomAir Force Base， 1972.

[7]JAJODIA S， SAMARATI P，SUBRAHMANIAN V， et al. A unified framework for enforcing in multiple access control policies[C]//Proc of ACM SIGMOD Int Conf on Management of Data. New York:ACM Press， 1997:474-485.

[8]GALIASSO P， HALE O B J， SHENOI S， et al. Policy mediation for multi-enterprise environments [C]//Proc of the 16th Annual Computer Security Application Conference. New Orleans:[s.n.]，2000:100-106.

[9]ABRAMS M，LAPADULA L， EGGERS K， et al. A generalized framework for access control:an informal description[C]//Proc of the 13th National Computer Security Conference. Bedford， MA:[s.n.]，1990:134-143.

[10]ABRAMS M， HEANEY JE， KINGO， et al. Generalizedframeworkforaccesscontrol:towards prototyping the ORGCON policy[C]//Proc of the 14th National Computer Security Conference. Washington DC:[s.n.]，1991:1-4.

[11]ABRAMS M， LAPADULA L， LAZEAR M， et al. Reconciling a formal model and prototype implementationlessons learned in implementing the ORGCON policy[M].Bedford:Mitre Corporation， 1991.

[12]LAPADULA L. Ruleset modelling of trusted computer system[C]//ABRAMS M， JAJODIA S， PODELL H. Information security:an integrated collection of essays. Cambridge:IEEE Computer Society Press， 1995.

[13]BERTINO E，JAJODIA S， SAMARATI P. Supporting multiple access control policies in database systems[C]//Proc of IEEE Symposium on Security and Privacy. Washington DC:IEEE Computer Society，1996:94.

[14]OSBORN S， SANDHU R，MUNAWER Q. Configuring rolebased access control to enforce mandatory and discretionary access control policies[J].ACM Trans on Information and System Security， 2000， 3(2):85-105.

[15]Secure Computing Corp. Assurance in the fluke microkernel， TR 55113[R].[S.l.]:Fluke Microkernel Roseville，1999.

[16]Secure Computing Corp. Assurance in the fluke microkernel: formal toplevel specification[EB/OL].(1999-02).http://www.cs.utah.edu/flux/flask/.

[17]SHAN Zhiyong. Research on the framework for multipolicies and practice in secure operating system[D].Beijing:Institute of Software， Chinese Academy of Sciences，2002.

[18]施軍， 朱魯華， 沈昌祥， 等.專用安全操作系統[J].計算機研究與發展，2003， 39(5):561-567.

[19]沈昌祥.可信計算平臺與安全操作系統[J]. 網絡安全技術與應用，2005，4(4):7-9.

[20]SHI Wenchang. Research on and enforcement of methods of secure operating systems development[D].Beijing:Institute of Software， Chinese Academy of Sciences， 2001.

[21]LIANG Honglia. Research on and enforcement of secure operating system supporting multiple security policy[D].Beijing:Institute of Software， Chinese Academy of Sciences， 2003.

[22]LIU Kelong. A formal model and implementation of secure Linux operating system and secure Web system[D].Beijing:Institute of Software， Chinese Academy of Sciences，2001.

[23]CHEN Zemao. Research on security architecture of secure operating system for malicious code defending[D].Xi’an:Naval University of Engineering，2005.

[24]LIANG Bin. Research on trusted process mechanism and related problems[D].Beijing:Institute of Software， Chinese Academy of Sciences，2004.

[25]CARNEY M，LOE B. A comparison of methods for implementing adaptive security policies[C]//Proc of the 7th USENIX Security Symposium. Minnesota:Michael Carney Secure Computing Corporation，1998:1-14.

[26]侯方勇， 王志英. 可信計算研究[J]. 計算機應用研究， 2004，21 (12): 1-4.

[27]劉鵬， 劉欣. 可信計算概論[J]. 信息安全與通信保密， 2003， 7(11): 17-19.

[28]周明輝， 梅宏. 可信計算初探[J].計算機科學， 2004， 31(7): 5-8.

[29]屈延文. 軟件行為學[M]. 北京：電子工業出版社，2005.

[30]林闖， 彭雪梅. 可信網絡研究[J]. 計算機學報， 2005， 28(25):751-758.

[31]譚良， 余堃，周明天. CRL分段—過量發布新模型[J].電子學報， 2005， 33(2): 227-230.

[32]譚良， 周明天. CRL增量—過量發布新模型[J]. 計算機科學， 2005，32(4): 133-136.

[33]Trusted computing group[EB/OL].(2001).http//www. trustedcomputinggroup.org.

[34]周明天，譚良.可信計算及其進展[J].電子科技大學學報，2006，35(4):686-697.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”