http://www.paper.edu.cn适合PC的安全操作系统研究罗改龙，盛承光,程胜利（武汉理工大学计算机学院，湖北武汉430000）E-mail：luogailong@sohu.com摘要：本文提出了一种全新的适合pc的安全操作系统模型。在该操作系统中所有的可运行程序必须经过特定的安全测试机构进行安全测试并进行数字签名才能运行，从而保证了在该操作系统下运行的所有程序的合法性。因此，该安全操作系统能够有效地防范木马和病毒等恶意代码。关键词：安全，操作系统，数字签名，木马，病毒中图分类号TP316.89文献标志码①1引言QQ账号被盗、网游密码泄露、网上银行密码无故失效……随着互联网的日渐普及，病毒、木马和黑客也越来越猖獗，它们已经对用户的pc系统和信息安全及个人隐私构成了严重威胁。对于绝大多数pc用户，装防火墙和杀毒软件是唯一的选择，但是由于目前防火墙和杀毒软件对新的病毒和木马的检测能力非常有限，因此并不能从根本上保障pc机的安全。目前的各pc操作系统虽然在安全方面做了大量工作，但是其使用相对复杂，需要用户具有一定甚至是较深厚的计算机安全知识才能够比较有效地发挥其安全保护作用，并不适合大多数普通用户。于是，作者为pc设计了一种新的操作系统模型，该操作系统具有强制安全性，即使用户没有任何安全相关的知识,pc机也不会中病毒和木马。2国内外对安全操作系统的研究国外对安全操作系统的研究比较早，早在1969年，美国国防科学部就研制成功了世上第一个安全操作系统Adept-50。1973年，Bell和LaPadula提出了基于状态机的可证明的安全模型，也就是著名的BLP模型[1]。Multics和IBM的Xenix均是以该原型为基础的安全操作系统。1983年，美国国防部颁布了历史上第一个计算机安全评价标准，这就是著名的可信计算机系统评价标准，简称TCSEC，又称橙皮书[2]。自此以后，对安全操作系统的研究开始走向成熟。1986和1987年，IBM公司发表了安全Xenix系统的设计与开发成果，该系统实现的TCSEC标准的B2-A1安全等级。1988年，贝尔实验室发表了SYSTEMV/MLS系统的研究成果，该系统要实现的是TCSEC标准的安全等级B。1993年，美国国防部推出新的安全体系结构DGSA，要求操作系统提供对多种安全政策的支持。1977年完成的DTOS以Mach微内核操作系统为原型，实现了多种安全策略。1999年诞生的Flask是以Fluke操作系统为基础开发的安全操作系统原型。Flask在DTOS的基础上进一步发展，能够动态地实现各种安全政策[3]。2001年，P.Loscocco等发布了以Linux操作系统为基础的基于Flask安全体系结构的安全操作系统SE-Linux.相对来说，国内对安全操作系统的研究起步较晚。“九五”期间，信息产业部电子第15研究所开展了Unix操作系统的安全性研究工作。1998年，该研究所按照TCSEC标准的B1安全等级的要求对Unix操作系统的内核进行了改造。2000年，中国的安全操作系统研究人员相继推出了一批基于Linux的安全操作系统开发成果。中国科学院计算技术研究所研究开发了基于Linux的安全操作系统LIDS，南京大学开发了基于Linux的安全操作系统SoftOS，中国科学院信息安全技术工程研究中心开发了基于Linux的安全操作系统SecLinux。-1-http://www.paper.edu.cn3一种新的安全操作系统模型尽管国内外对安全操作系统的研究已经取得了一定成果，并且也已经有比较成熟的安全操作系统产品出现，但是这些操作系统并不是为pc机设计的，或者说是专门为pc机设计的。要有效地使用这些安全操作系统，往往需要用户具有一定的计算机安全知识，事实上很多安全操作系统配备了专门的安全管理人员。目前，还没有专门针对pc设计的安全操作系统出现。3.1本操作系统的设计目标本操作系统主要是为pc机设计的，即使pc用户没有任何安全相关的知识，电脑也不会中木马或病毒。甚至用户想在自己的pc机上安装一个木马或病毒也不可能。因此，这种操作系统具有强制安全性。要实现本操作系统的安全目标，就是要保证系统在任何情况下都不会将控制全交给一个可疑的程序。图1是该操作系统下的应用程序从开发到安装、运行和卸载的流程图。程序开发签名认证程序发行安装程序中心数据库运行控制中心卸载图1应用程序工作原理图3.2安全操作系统的两种工作模式该操作系统分为两种工作模式：开发模式和普通模式。工作模式在安装系统时进行选择，以后不能再进行更改，除非重新安