万方数据基于多重身份授权检查机制的操作系统安全模型张文盛，杨建华进程，必须在该配置文件ACL中加入能使该用户读安徽广播电视大学学报2008年第1期(安徽广播电视大学，合肥230022)网络的大规模普及给人们的工作和生活带来许多意想不到的便利和好处，但随之而来的病毒泛滥和黑客肆虐，也给我们的工作和生活增添了许多烦恼，如何解决这些问题，已经迫切地摆到我们面前。仔细探究可以发现，操作系统安全在计算机安全中具有堡垒地位，但它目前的设计和实现存在一些缺陷，使其并没有发挥人们期望的作用。从另一角度看，操作系统安全的设计和实现正面临着前所未有的挑战。操作系统安全的设计和实现本质上是安全机制的设计和实现。纵观安全机制的研究和发展现状，虽然取得了长足的发展，各种安全技术层出不穷，但仍然不能很好地满足当前的安全需求，这是由于机制本身固有的缺陷阻碍了安全性的进一步提高。隔离和保护是安全的两个重要方面，只有在主体和客体之间执行了彻底的隔离，才能对客体实现完善的保护。当前流行安全机制的核心思想可概括为简单的身份继承，因为该机制对主客体之间的隔离执行不充分，所以对客体保护实现不尽如人意，这正是其安全性不高的根本原因。当前流行的安全机制特征及其弊端从身份使用的角度，我们可把当前流行的安全机制命名为单重身份授权检查。1．1机制描述假设用户启动进程来访问某个文件。用户启动进程后，进程就拥有用户的身份(即和一身份标识相关联)。进程访问文件的权限可称为请求权限，进程访问文件时，系统会检查文件的访问控制列表List，ACL)中，是否存在一表项允许该身份以请求权限访问，是则允许，否则拒绝o[121．2机制特征A)用户启动进程，进程就拥有用户的身份，从而拥有用户的全部权限，能够访问用户能访问的所有资源。B)如果进程a创建另一进程b，则b将继承a的黑产曳馈。一1．3机制弊端由机制特征可总结存在如下两个方面的问题：A)用户必须信赖进程能分毫不差地完成任务，但这不现实。首先程序是不可靠的，例如：病毒、恶意程序的大量存在；所有的程序都有bug，导致执行错误操作。其次用户也是不可靠的，例如：敲错命令(rm-rf／)；用户对软件不熟悉；用户故意或企图搞破坏等。B)进程的执行通常涉及到许多文件(配置文件，库等)，这些文件和用户的直接关系不大，但是该机制使得这些文件和用户之间的安全处理很复杂。假设进程执行当中要读写配置文件，为了使用户能执行该摘要：操作系统安全模型包括许多重要安全组件，如组、账号、访问控制列表、日志等，而把这些组件有机地联系在一起的则是安全机制，因此安全机制是安全模型的核心，如果安全机制存在缺陷，那么这种模型所能提供的安全特性将是有限的。当前流行的安全机制从身份使用的角度可命名为单重身份授权检查，虽然该机制有许多优点，但是其中也存在一些缺陷，且这些缺陷的危险性不容忽视。本文提出一种新的安全机制——多重身份授权检查，同时说明该机制所具有的安全特性和所能提供的安全解决方案。关键词：操作系统；安全机制；多重身份授权检查中图分类号：TP309．2文章编号：1008—6021(2008)01—0125—04作者简介：张文盛(1980一)，男，安徽枞阳人，助理工程师。(AccessControl文献标识码：A1收稿日期：2007一08—15125万方数据们先引入新的安全要素来实现彻底的隔离。对属于grp．user的文-件拥有全部权限。grp．admin安徽广播电视大学学报2008年第1期写的表项，但如此一来用户执行其它进程时该进程也能读写该文件了。一个典型例子是unix下的pass—wd程序，虽然引入SUID(setid)位解决了该问题，但同时又产生缓冲区溢出的安全隐患o[53解决问题A的关键在于要严格区分用户请求和程序操作。解决问题B的关键在于有效隔离用户文件和程序文件。2新的安全机制特征及其优点旧机制的缺陷在于没有彻底隔离用户和程序，为此我们设计出新安全机制，即多重身份授权检查。我2．1安全要素安全组和账户管理一个应用通常包含许多程序文件和数据文件，这些文件之间关系紧密，而应用之间的文件逻辑联系很少，这样该应用的文件就组成一独立单元，可称为应用集。例如系统程序和系统数据也组成一独立单元，可称为系统集，记为system。(1)用户和他所有的文件只属于一个组，应用集和系统集也是。组之间是平行关系，组名全局唯一。一个组下可创建若干账户，账户名只需要组内唯一。组之间的账户不相交，即系统中任何一个账户只属于一个组。每个组(简记为grp)至少都必须有一个admin(管理员)账户和guest(来宾)账户，可使用grp．admin这种方式来引用。系统中配有admin(管理员)组，即超级用户登录时所属的组。(2)假设user是grp中的一个账户，则grp．user对该组的所有文件拥