唐岢

西安飛豹科技發(fā)展公司,陜西省西安市 710089

隨著現(xiàn)代信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)已經(jīng)成為人們生活中所不可缺少的一部分，其運(yùn)用于人們的生活、工作、科研等方面，為人們帶來(lái)了許多的便利，而網(wǎng)絡(luò)的普遍更是使人可以“足不出戶知天下”，大大簡(jiǎn)化了人們對(duì)各種信息的獲取途徑。但是，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在為人們提供便利的同時(shí)，也為人們的信息安全帶來(lái)了許多的隱患，一些不法分子懷著各種的目的，利用惡意程序來(lái)攻擊用戶的計(jì)算機(jī)，以達(dá)到修改或者竊取用戶計(jì)算機(jī)上的數(shù)據(jù)和信息的目的，從而造成用戶信息的泄露或者破壞。這些惡意程序包括了病毒和木馬等。這些信息安全事件每年都給全世界造成巨大的損失，因此人們不得不認(rèn)真思考關(guān)于計(jì)算機(jī)安全機(jī)制方面的一些問(wèn)題。在此，我們分析了計(jì)算機(jī)系統(tǒng)的安全性問(wèn)題，表明計(jì)算機(jī)系統(tǒng)對(duì)信息的絕對(duì)支配權(quán)是造成安全缺失的主要原因，然后提出了應(yīng)對(duì)計(jì)算機(jī)系統(tǒng)安全缺失的機(jī)制——顯示授權(quán)機(jī)制，并論證了其可信度和安全性。

1 現(xiàn)代計(jì)算機(jī)系統(tǒng)存在的安全缺陷

現(xiàn)代計(jì)算機(jī)系統(tǒng)在運(yùn)行的時(shí)候，存在著一個(gè)致命的安全缺陷，就是用戶無(wú)法取得對(duì)信息的支配權(quán)。當(dāng)用戶登錄計(jì)算機(jī)時(shí)，計(jì)算機(jī)會(huì)為用戶創(chuàng)建一個(gè)代理用戶，而用戶在計(jì)算機(jī)上的所有程序都可以被代理用戶隨意運(yùn)行，代理用戶在活動(dòng)狀態(tài)時(shí)，其對(duì)用戶信息和程序的操作都會(huì)被計(jì)算機(jī)系統(tǒng)視為合法。對(duì)這些程序和數(shù)據(jù)的支配權(quán)，本來(lái)應(yīng)該是由用戶本身掌握的，現(xiàn)在被計(jì)算機(jī)系統(tǒng)創(chuàng)建的代理用戶奪取了，這樣一來(lái)，代理用戶對(duì)用戶的程序或者數(shù)據(jù)的訪問(wèn)就不需要經(jīng)過(guò)用戶的同意，不用征求用戶意見(jiàn)。而這種缺陷就導(dǎo)致了用戶信息被合法的竊取和破壞，活動(dòng)程序可以隨便讀取、修改或者刪除用戶的文件信息，或者通過(guò)網(wǎng)絡(luò)將信息傳送出去，造成信息的被盜和泄露，用戶卻完全不知情，而操作系統(tǒng)卻將這種行為視為是合法的。正是因?yàn)楝F(xiàn)代計(jì)算機(jī)系統(tǒng)存在如此設(shè)計(jì)缺陷，才導(dǎo)致了許多信息安全事件的發(fā)生，為此，我們提出了顯示授權(quán)機(jī)制。

2 顯示授權(quán)機(jī)制

顯示授權(quán)機(jī)制的思想是把信息文件的支配權(quán)主動(dòng)權(quán)還給用戶，計(jì)算機(jī)的程序在訪問(wèn)用戶文件的時(shí)候，必須要經(jīng)過(guò)用戶的同意才能繼續(xù)訪問(wèn)，經(jīng)過(guò)用戶授權(quán)才能啟動(dòng)程序。顯示授權(quán)機(jī)制的定義是計(jì)算機(jī)系統(tǒng)要在取得用戶的同意和授權(quán)之后，活動(dòng)程序才能進(jìn)行用戶文件的訪問(wèn)或者是創(chuàng)建細(xì)膩的文件夾，通過(guò)對(duì)所有訪問(wèn)行為進(jìn)行監(jiān)控，對(duì)于活動(dòng)程序沒(méi)有經(jīng)用戶同意或授權(quán)的訪問(wèn)行為采取禁止執(zhí)行的命令。顯示授權(quán)可以分為動(dòng)態(tài)授權(quán)和靜態(tài)授權(quán)兩種授權(quán)方式。

2.1 動(dòng)態(tài)授權(quán)

動(dòng)態(tài)授權(quán)是指系統(tǒng)活動(dòng)程序在運(yùn)行的時(shí)候和用戶進(jìn)行互動(dòng)，程序每次要訪問(wèn)用戶文件、啟動(dòng)用戶程序或者在計(jì)算機(jī)上創(chuàng)建文件的之前都事先征求用戶的同意，在用戶授權(quán)同意之后才繼續(xù)執(zhí)行，而如果用戶不同意則停止訪問(wèn)行為。動(dòng)態(tài)授權(quán)的有限時(shí)間是在用戶授權(quán)之后到訪問(wèn)文件或者程序關(guān)閉以及創(chuàng)建文件完成之前，在這段時(shí)間例，活動(dòng)程序?qū)ξ募约俺绦虻娜魏卧L問(wèn)和操作都不用再征求用戶的同意。

2.2 靜態(tài)授權(quán)

靜態(tài)授權(quán)是指用戶事先授權(quán)某活動(dòng)程序，讓其可以訪問(wèn)用戶的指定文件或程序，可以在用戶指定的文件夾里創(chuàng)建文件，當(dāng)活動(dòng)程序要對(duì)這些文件和程序進(jìn)行訪問(wèn)，或者要在文件夾創(chuàng)建文件時(shí)，就認(rèn)為其已經(jīng)取得了用戶的同意授權(quán)，而無(wú)需再征求用戶的意見(jiàn)。靜態(tài)授權(quán)的有效時(shí)間為用戶授權(quán)之后，一直到用戶修改授權(quán)信息之前，或者是用戶指定的一個(gè)時(shí)期內(nèi)，在這段時(shí)間里，活動(dòng)程序?qū)χ付ㄎ募统绦虻脑L問(wèn)都不需要再征求用戶的意見(jiàn)。

3 計(jì)算機(jī)顯示授權(quán)機(jī)制的可信安全性質(zhì)

這里我們先給出要用到的一些基本的定義：

（1）程序p（p代表所有可以在用戶計(jì)算機(jī)上運(yùn)行的程序），以及程序p的集合P；

（2）文件f（f代表用戶計(jì)算機(jī)中的所有文件，包括目錄），以及文件f的集合F；

（3）授權(quán)訪問(wèn)模式m，授權(quán)訪問(wèn)模式包括了read（讀）和write（寫），而由于write only（只讀）模式包含在write內(nèi)，都是對(duì)文件進(jìn)行寫的操作，不影響我們對(duì)顯示授權(quán)機(jī)制安全性質(zhì)的正面，因此授權(quán)訪問(wèn)模式中沒(méi)有包括write only模式，同時(shí)，write還包括了對(duì)文件的刪除以及創(chuàng)建操作。

（4）對(duì)于用戶授權(quán)程序p以m模式進(jìn)行文件f的訪問(wèn)，我們用布爾值au（p，f，m）來(lái)表示，如果用戶授權(quán)程序?qū)ξ募脑L問(wèn)，則au（p，f，m）=true，如果用戶沒(méi)有授權(quán)，則au（p，f，m）=false。

（5）對(duì)于用戶授權(quán)程序p以m模式進(jìn)行文件f訪問(wèn)的集合，我們用Fp表示，F(xiàn)p={（f，m）丨f含于F，m含于M，au（p，f，m）=true}；

3.1 限制信息攻擊原理

3.2 免疫信息竊取原理

我們?cè)O(shè)一個(gè)文件的集合為S，而且沒(méi)有授權(quán)任何程序?qū)ζ湮募脑L問(wèn)，也就是活動(dòng)程序每次要對(duì)S集合的文件進(jìn)行訪問(wèn)，都需要經(jīng)過(guò)我們的授權(quán)，而如果在沒(méi)有經(jīng)過(guò)授權(quán)的情況先，S中的某文件f被修改或者竊取了，則一定是用戶實(shí)行了靜態(tài)授權(quán)訪的方式，事先授權(quán)同意了活動(dòng)程序?qū)ξ募以m模式的操作。而根據(jù)顯示授權(quán)機(jī)制的定義可知，免疫信息竊取的功能是可以直接實(shí)現(xiàn)的。對(duì)于現(xiàn)在的大多數(shù)信息泄露事件，基本都是在用戶不知情的情況下發(fā)生的，屬于一種被動(dòng)泄密。而用戶在知道文件f具有涉密性之后還授權(quán)同意程序?qū)的訪問(wèn)，則屬于主動(dòng)泄密，并不是技術(shù)上的問(wèn)題，應(yīng)該由用戶自己負(fù)責(zé)和承擔(dān)后果。根據(jù)顯示授權(quán)機(jī)制的免疫信息竊取原理，可以有效方式被動(dòng)泄密的發(fā)生。

4 融入顯示授權(quán)機(jī)制的可信安全計(jì)算機(jī)系統(tǒng)方案

根據(jù)現(xiàn)有的計(jì)算機(jī)的硬件結(jié)構(gòu)特點(diǎn)，我們稍微改動(dòng)了算機(jī)操作系統(tǒng)的部分管理文件，設(shè)計(jì)出將顯示授權(quán)機(jī)制融入可信安全計(jì)算機(jī)系統(tǒng)的方案。

4.1 計(jì)算機(jī)文件管理系統(tǒng)

從計(jì)算機(jī)的應(yīng)用程序出發(fā)，文件管理系統(tǒng)主要表現(xiàn)為文件的打開、讀寫以及關(guān)閉，而融入了顯示授權(quán)機(jī)制的文件管理系統(tǒng)，則在包含這些功能的同時(shí)，還添加了一個(gè)新的功能——顯示授權(quán)檢測(cè)功能，這個(gè)功能分別用open File()、close File()以及file Op（）來(lái)表示。另外，還增加了靜態(tài)授權(quán)——static Authorize（）、可信打開——trusted Open Dialog（）和可信保存trusted Save Dialog（）文件對(duì)話框這三個(gè)功能。

Void static Authorize（）是一個(gè)可信窗口程序，就相當(dāng)于計(jì)算機(jī)上的文件管理程序，用戶可以通過(guò)這個(gè)窗口來(lái)整理文件以及進(jìn)行靜態(tài)顯示授權(quán)，并且不能被篡改，可以真實(shí)反映用戶的操作。

HFILE trusted Open Dialog（）是一段可信對(duì)話框程序，通過(guò)這個(gè)對(duì)話框，用戶可以選擇打開什么文件，以什么模式打開等，而打開的文件以及模式就會(huì)被保存為動(dòng)態(tài)授權(quán)形式。這與HFILE trusted Save Dialog（）是一樣的。

對(duì)于HFILE open File（），如果用戶已經(jīng)靜態(tài)授權(quán)打開指定文件，則會(huì)返回合法文件句柄，而如果沒(méi)有靜態(tài)授權(quán)，則會(huì)要求用戶進(jìn)行動(dòng)態(tài)授權(quán)，用戶拒絕授權(quán)，則返回?zé)o效文件句柄。

Void close File（）為關(guān)閉指定文件，如果該文件的訪問(wèn)是動(dòng)態(tài)授權(quán)，則刪除授權(quán)信息。

bool file Op（）表示對(duì)文件的操作，如果用戶授權(quán)則可以進(jìn)行，如果用戶沒(méi)有授權(quán)則判定為惡意程序攻擊。

4.2 機(jī)制的可信性

要保證顯示授權(quán)機(jī)制的可信，則只需要保證系統(tǒng)的調(diào)用可信以及文件系統(tǒng)調(diào)用不能有所旁路。程序訪問(wèn)文件必須要經(jīng)過(guò)系統(tǒng)調(diào)用，因此系統(tǒng)調(diào)用不旁路則可以保證授權(quán)信息的安全可信。

結(jié)束語(yǔ)

在本文里，我們分析了計(jì)算機(jī)系統(tǒng)存在的安全缺陷是計(jì)算計(jì)奪去了用戶對(duì)信息文件和程序的支配權(quán)，并針對(duì)這種缺陷而提出了計(jì)算機(jī)系統(tǒng)的安全機(jī)制——顯示授權(quán)機(jī)制，然后對(duì)這種機(jī)制的可信和安全性進(jìn)行了分析，得出了顯示授權(quán)機(jī)制可以為用戶和計(jì)算機(jī)系統(tǒng)實(shí)現(xiàn)實(shí)時(shí)有效抵御惡意程序攻擊的作用。但由于研究工作還不能算非常完善，因此對(duì)于顯示授權(quán)機(jī)制的實(shí)際應(yīng)用，還需要結(jié)合計(jì)算機(jī)系統(tǒng)實(shí)際的特點(diǎn)以及應(yīng)用程序的情況進(jìn)行更深入的研究，以為用戶提供一個(gè)更安全的計(jì)算機(jī)運(yùn)行環(huán)境。

[1]任江春.系統(tǒng)可信賴安全增強(qiáng)關(guān)鍵技術(shù)的研究與實(shí)現(xiàn)[D].國(guó)防科學(xué)技術(shù)大學(xué)，2006.

[2]侯方勇.存儲(chǔ)系統(tǒng)數(shù)據(jù)機(jī)密性與完整性保護(hù)的關(guān)鍵技術(shù)研究[D].國(guó)防科學(xué)技術(shù)大學(xué)，2005.

[3]孫勇.計(jì)算機(jī)網(wǎng)絡(luò)管理及相關(guān)安全技術(shù)分析[j].才智，2012（20）.