顯式授權機制及對應的可信安全計算機漫談

唐岢

西安飛豹科技發展公司,陜西省西安市 710089

隨著現代信息技術和網絡技術的發展，計算機已經成為人們生活中所不可缺少的一部分，其運用于人們的生活、工作、科研等方面，為人們帶來了許多的便利，而網絡的普遍更是使人可以“足不出戶知天下”，大大簡化了人們對各種信息的獲取途徑。但是，計算機網絡技術在為人們提供便利的同時，也為人們的信息安全帶來了許多的隱患，一些不法分子懷著各種的目的，利用惡意程序來攻擊用戶的計算機，以達到修改或者竊取用戶計算機上的數據和信息的目的，從而造成用戶信息的泄露或者破壞。這些惡意程序包括了病毒和木馬等。這些信息安全事件每年都給全世界造成巨大的損失，因此人們不得不認真思考關于計算機安全機制方面的一些問題。在此，我們分析了計算機系統的安全性問題，表明計算機系統對信息的絕對支配權是造成安全缺失的主要原因，然后提出了應對計算機系統安全缺失的機制——顯示授權機制，并論證了其可信度和安全性。

1 現代計算機系統存在的安全缺陷

現代計算機系統在運行的時候，存在著一個致命的安全缺陷，就是用戶無法取得對信息的支配權。當用戶登錄計算機時，計算機會為用戶創建一個代理用戶，而用戶在計算機上的所有程序都可以被代理用戶隨意運行，代理用戶在活動狀態時，其對用戶信息和程序的操作都會被計算機系統視為合法。對這些程序和數據的支配權，本來應該是由用戶本身掌握的，現在被計算機系統創建的代理用戶奪取了，這樣一來，代理用戶對用戶的程序或者數據的訪問就不需要經過用戶的同意，不用征求用戶意見。而這種缺陷就導致了用戶信息被合法的竊取和破壞，活動程序可以隨便讀取、修改或者刪除用戶的文件信息，或者通過網絡將信息傳送出去，造成信息的被盜和泄露，用戶卻完全不知情，而操作系統卻將這種行為視為是合法的。正是因為現代計算機系統存在如此設計缺陷，才導致了許多信息安全事件的發生，為此，我們提出了顯示授權機制。

2 顯示授權機制

顯示授權機制的思想是把信息文件的支配權主動權還給用戶，計算機的程序在訪問用戶文件的時候，必須要經過用戶的同意才能繼續訪問，經過用戶授權才能啟動程序。顯示授權機制的定義是計算機系統要在取得用戶的同意和授權之后，活動程序才能進行用戶文件的訪問或者是創建細膩的文件夾，通過對所有訪問行為進行監控，對于活動程序沒有經用戶同意或授權的訪問行為采取禁止執行的命令。顯示授權可以分為動態授權和靜態授權兩種授權方式。

2.1 動態授權

動態授權是指系統活動程序在運行的時候和用戶進行互動，程序每次要訪問用戶文件、啟動用戶程序或者在計算機上創建文件的之前都事先征求用戶的同意，在用戶授權同意之后才繼續執行，而如果用戶不同意則停止訪問行為。動態授權的有限時間是在用戶授權之后到訪問文件或者程序關閉以及創建文件完成之前，在這段時間例，活動程序對文件以及程序的任何訪問和操作都不用再征求用戶的同意。

2.2 靜態授權

靜態授權是指用戶事先授權某活動程序，讓其可以訪問用戶的指定文件或程序，可以在用戶指定的文件夾里創建文件，當活動程序要對這些文件和程序進行訪問，或者要在文件夾創建文件時，就認為其已經取得了用戶的同意授權，而無需再征求用戶的意見。靜態授權的有效時間為用戶授權之后，一直到用戶修改授權信息之前，或者是用戶指定的一個時期內，在這段時間里，活動程序對指定文件和程序的訪問都不需要再征求用戶的意見。

3 計算機顯示授權機制的可信安全性質

這里我們先給出要用到的一些基本的定義：

（1）程序p（p代表所有可以在用戶計算機上運行的程序），以及程序p的集合P；

（2）文件f（f代表用戶計算機中的所有文件，包括目錄），以及文件f的集合F；

（3）授權訪問模式m，授權訪問模式包括了read（讀）和write（寫），而由于write only（只讀）模式包含在write內，都是對文件進行寫的操作，不影響我們對顯示授權機制安全性質的正面，因此授權訪問模式中沒有包括write only模式，同時，write還包括了對文件的刪除以及創建操作。

（4）對于用戶授權程序p以m模式進行文件f的訪問，我們用布爾值au（p，f，m）來表示，如果用戶授權程序對文件的訪問，則au（p，f，m）=true，如果用戶沒有授權，則au（p，f，m）=false。

（5）對于用戶授權程序p以m模式進行文件f訪問的集合，我們用Fp表示，Fp={（f，m）丨f含于F，m含于M，au（p，f，m）=true}；

3.1 限制信息攻擊原理

3.2 免疫信息竊取原理

我們設一個文件的集合為S，而且沒有授權任何程序對其文件的訪問，也就是活動程序每次要對S集合的文件進行訪問，都需要經過我們的授權，而如果在沒有經過授權的情況先，S中的某文件f被修改或者竊取了，則一定是用戶實行了靜態授權訪的方式，事先授權同意了活動程序對文件f以m模式的操作。而根據顯示授權機制的定義可知，免疫信息竊取的功能是可以直接實現的。對于現在的大多數信息泄露事件，基本都是在用戶不知情的情況下發生的，屬于一種被動泄密。而用戶在知道文件f具有涉密性之后還授權同意程序對f的訪問，則屬于主動泄密，并不是技術上的問題，應該由用戶自己負責和承擔后果。根據顯示授權機制的免疫信息竊取原理，可以有效方式被動泄密的發生。

4 融入顯示授權機制的可信安全計算機系統方案

根據現有的計算機的硬件結構特點，我們稍微改動了算機操作系統的部分管理文件，設計出將顯示授權機制融入可信安全計算機系統的方案。

4.1 計算機文件管理系統

從計算機的應用程序出發，文件管理系統主要表現為文件的打開、讀寫以及關閉，而融入了顯示授權機制的文件管理系統，則在包含這些功能的同時，還添加了一個新的功能——顯示授權檢測功能，這個功能分別用open File()、close File()以及file Op（）來表示。另外，還增加了靜態授權——static Authorize（）、可信打開——trusted Open Dialog（）和可信保存trusted Save Dialog（）文件對話框這三個功能。

Void static Authorize（）是一個可信窗口程序，就相當于計算機上的文件管理程序，用戶可以通過這個窗口來整理文件以及進行靜態顯示授權，并且不能被篡改，可以真實反映用戶的操作。

HFILE trusted Open Dialog（）是一段可信對話框程序，通過這個對話框，用戶可以選擇打開什么文件，以什么模式打開等，而打開的文件以及模式就會被保存為動態授權形式。這與HFILE trusted Save Dialog（）是一樣的。

對于HFILE open File（），如果用戶已經靜態授權打開指定文件，則會返回合法文件句柄，而如果沒有靜態授權，則會要求用戶進行動態授權，用戶拒絕授權，則返回無效文件句柄。

Void close File（）為關閉指定文件，如果該文件的訪問是動態授權，則刪除授權信息。

bool file Op（）表示對文件的操作，如果用戶授權則可以進行，如果用戶沒有授權則判定為惡意程序攻擊。

4.2 機制的可信性

要保證顯示授權機制的可信，則只需要保證系統的調用可信以及文件系統調用不能有所旁路。程序訪問文件必須要經過系統調用，因此系統調用不旁路則可以保證授權信息的安全可信。

結束語

在本文里，我們分析了計算機系統存在的安全缺陷是計算計奪去了用戶對信息文件和程序的支配權，并針對這種缺陷而提出了計算機系統的安全機制——顯示授權機制，然后對這種機制的可信和安全性進行了分析，得出了顯示授權機制可以為用戶和計算機系統實現實時有效抵御惡意程序攻擊的作用。但由于研究工作還不能算非常完善，因此對于顯示授權機制的實際應用，還需要結合計算機系統實際的特點以及應用程序的情況進行更深入的研究，以為用戶提供一個更安全的計算機運行環境。

[1]任江春.系統可信賴安全增強關鍵技術的研究與實現[D].國防科學技術大學，2006.

[2]侯方勇.存儲系統數據機密性與完整性保護的關鍵技術研究[D].國防科學技術大學，2005.

[3]孫勇.計算機網絡管理及相關安全技術分析[j].才智，2012（20）.