显式授权机制及对应的可信安全计算机漫谈

唐岢

西安飞豹科技发展公司,陕西省西安市 710089

随着现代信息技术和网络技术的发展，计算机已经成为人们生活中所不可缺少的一部分，其运用于人们的生活、工作、科研等方面，为人们带来了许多的便利，而网络的普遍更是使人可以“足不出户知天下”，大大简化了人们对各种信息的获取途径。但是，计算机网络技术在为人们提供便利的同时，也为人们的信息安全带来了许多的隐患，一些不法分子怀着各种的目的，利用恶意程序来攻击用户的计算机，以达到修改或者窃取用户计算机上的数据和信息的目的，从而造成用户信息的泄露或者破坏。这些恶意程序包括了病毒和木马等。这些信息安全事件每年都给全世界造成巨大的损失，因此人们不得不认真思考关于计算机安全机制方面的一些问题。在此，我们分析了计算机系统的安全性问题，表明计算机系统对信息的绝对支配权是造成安全缺失的主要原因，然后提出了应对计算机系统安全缺失的机制——显示授权机制，并论证了其可信度和安全性。

1 现代计算机系统存在的安全缺陷

现代计算机系统在运行的时候，存在着一个致命的安全缺陷，就是用户无法取得对信息的支配权。当用户登录计算机时，计算机会为用户创建一个代理用户，而用户在计算机上的所有程序都可以被代理用户随意运行，代理用户在活动状态时，其对用户信息和程序的操作都会被计算机系统视为合法。对这些程序和数据的支配权，本来应该是由用户本身掌握的，现在被计算机系统创建的代理用户夺取了，这样一来，代理用户对用户的程序或者数据的访问就不需要经过用户的同意，不用征求用户意见。而这种缺陷就导致了用户信息被合法的窃取和破坏，活动程序可以随便读取、修改或者删除用户的文件信息，或者通过网络将信息传送出去，造成信息的被盗和泄露，用户却完全不知情，而操作系统却将这种行为视为是合法的。正是因为现代计算机系统存在如此设计缺陷，才导致了许多信息安全事件的发生，为此，我们提出了显示授权机制。

2 显示授权机制

显示授权机制的思想是把信息文件的支配权主动权还给用户，计算机的程序在访问用户文件的时候，必须要经过用户的同意才能继续访问，经过用户授权才能启动程序。显示授权机制的定义是计算机系统要在取得用户的同意和授权之后，活动程序才能进行用户文件的访问或者是创建细腻的文件夹，通过对所有访问行为进行监控，对于活动程序没有经用户同意或授权的访问行为采取禁止执行的命令。显示授权可以分为动态授权和静态授权两种授权方式。

2.1 动态授权

动态授权是指系统活动程序在运行的时候和用户进行互动，程序每次要访问用户文件、启动用户程序或者在计算机上创建文件的之前都事先征求用户的同意，在用户授权同意之后才继续执行，而如果用户不同意则停止访问行为。动态授权的有限时间是在用户授权之后到访问文件或者程序关闭以及创建文件完成之前，在这段时间例，活动程序对文件以及程序的任何访问和操作都不用再征求用户的同意。

2.2 静态授权

静态授权是指用户事先授权某活动程序，让其可以访问用户的指定文件或程序，可以在用户指定的文件夹里创建文件，当活动程序要对这些文件和程序进行访问，或者要在文件夹创建文件时，就认为其已经取得了用户的同意授权，而无需再征求用户的意见。静态授权的有效时间为用户授权之后，一直到用户修改授权信息之前，或者是用户指定的一个时期内，在这段时间里，活动程序对指定文件和程序的访问都不需要再征求用户的意见。

3 计算机显示授权机制的可信安全性质

这里我们先给出要用到的一些基本的定义：

（1）程序p（p代表所有可以在用户计算机上运行的程序），以及程序p的集合P；

（2）文件f（f代表用户计算机中的所有文件，包括目录），以及文件f的集合F；

（3）授权访问模式m，授权访问模式包括了read（读）和write（写），而由于write only（只读）模式包含在write内，都是对文件进行写的操作，不影响我们对显示授权机制安全性质的正面，因此授权访问模式中没有包括write only模式，同时，write还包括了对文件的删除以及创建操作。

（4）对于用户授权程序p以m模式进行文件f的访问，我们用布尔值au（p，f，m）来表示，如果用户授权程序对文件的访问，则au（p，f，m）=true，如果用户没有授权，则au（p，f，m）=false。

（5）对于用户授权程序p以m模式进行文件f访问的集合，我们用Fp表示，Fp={（f，m）丨f含于F，m含于M，au（p，f，m）=true}；

3.1 限制信息攻击原理

3.2 免疫信息窃取原理

我们设一个文件的集合为S，而且没有授权任何程序对其文件的访问，也就是活动程序每次要对S集合的文件进行访问，都需要经过我们的授权，而如果在没有经过授权的情况先，S中的某文件f被修改或者窃取了，则一定是用户实行了静态授权访的方式，事先授权同意了活动程序对文件f以m模式的操作。而根据显示授权机制的定义可知，免疫信息窃取的功能是可以直接实现的。对于现在的大多数信息泄露事件，基本都是在用户不知情的情况下发生的，属于一种被动泄密。而用户在知道文件f具有涉密性之后还授权同意程序对f的访问，则属于主动泄密，并不是技术上的问题，应该由用户自己负责和承担后果。根据显示授权机制的免疫信息窃取原理，可以有效方式被动泄密的发生。

4 融入显示授权机制的可信安全计算机系统方案

根据现有的计算机的硬件结构特点，我们稍微改动了算机操作系统的部分管理文件，设计出将显示授权机制融入可信安全计算机系统的方案。

4.1 计算机文件管理系统

从计算机的应用程序出发，文件管理系统主要表现为文件的打开、读写以及关闭，而融入了显示授权机制的文件管理系统，则在包含这些功能的同时，还添加了一个新的功能——显示授权检测功能，这个功能分别用open File()、close File()以及file Op（）来表示。另外，还增加了静态授权——static Authorize（）、可信打开——trusted Open Dialog（）和可信保存trusted Save Dialog（）文件对话框这三个功能。

Void static Authorize（）是一个可信窗口程序，就相当于计算机上的文件管理程序，用户可以通过这个窗口来整理文件以及进行静态显示授权，并且不能被篡改，可以真实反映用户的操作。

HFILE trusted Open Dialog（）是一段可信对话框程序，通过这个对话框，用户可以选择打开什么文件，以什么模式打开等，而打开的文件以及模式就会被保存为动态授权形式。这与HFILE trusted Save Dialog（）是一样的。

对于HFILE open File（），如果用户已经静态授权打开指定文件，则会返回合法文件句柄，而如果没有静态授权，则会要求用户进行动态授权，用户拒绝授权，则返回无效文件句柄。

Void close File（）为关闭指定文件，如果该文件的访问是动态授权，则删除授权信息。

bool file Op（）表示对文件的操作，如果用户授权则可以进行，如果用户没有授权则判定为恶意程序攻击。

4.2 机制的可信性

要保证显示授权机制的可信，则只需要保证系统的调用可信以及文件系统调用不能有所旁路。程序访问文件必须要经过系统调用，因此系统调用不旁路则可以保证授权信息的安全可信。

结束语

在本文里，我们分析了计算机系统存在的安全缺陷是计算计夺去了用户对信息文件和程序的支配权，并针对这种缺陷而提出了计算机系统的安全机制——显示授权机制，然后对这种机制的可信和安全性进行了分析，得出了显示授权机制可以为用户和计算机系统实现实时有效抵御恶意程序攻击的作用。但由于研究工作还不能算非常完善，因此对于显示授权机制的实际应用，还需要结合计算机系统实际的特点以及应用程序的情况进行更深入的研究，以为用户提供一个更安全的计算机运行环境。

[1]任江春.系统可信赖安全增强关键技术的研究与实现[D].国防科学技术大学，2006.

[2]侯方勇.存储系统数据机密性与完整性保护的关键技术研究[D].国防科学技术大学，2005.

[3]孙勇.计算机网络管理及相关安全技术分析[j].才智，2012（20）.