万方数据基于三权分立原则的安全操作系统结构设计黄玉琪1张建平1-5利2SYSTEMPoWEItS0引言传统操作系统的安全机制第27卷第8期计算机应用与软件2010年8月摘要设计了一种新型的操作系统结构。该结构在三权分立的原则下，对传统操作系统的功能进行分割与重组，让不同的功能组件分别运行在不同的虚拟机中，利用虚拟机间的强隔离特性保证各组件的独立性，利用虚拟机间的专有通信机制实现各组件之间的协作与制约。这种新型的结构有效地解决了传统操作系统结构中安全性不高的问题。关键词三权分立操作系统虚拟机监控器虚拟机DESIGNINGSTRUCTUREOFSAFETYoPERATINGBASEDONPRINCIPLESEPARATIoNoFJianpin91powers随着计算机在社会生活中的日益普及，互联网的广泛应用和开放式的网络体系架构对政府、公司等信息敏感部门的安全提出了新的挑战。如何构建一个安全的系统，成为迫切需要解决的问题。在传统的计算机系统中，操作系统是运行在硬件之上的第一层软件，它拥有最高的特权，并负责管理计算机系统的所有资源，包括处理器、内存、外存、网卡、其它外部设备，以及进程、文件、各种策略和配置数据等。这种结构的操作系统主要存在如下一些问题：(1)集各种权力于一身，体制不完善在传统结构中，操作系统是一个独立的实体，它既是各类政策的制定者，又是这些政策的执行者；既是各类资源的管理者，又是这些资源的使用者。从社会学的角度来说，这种集各种权力于一身的体制是不完善的，虽然它能够提高系统的整体运行效率。如果系统本身存在漏洞(事实证明，漏洞总是存在的)，而又被恶意利用的话，系统的权力就容易被窃取并被滥用，整个系统就容易失控，甚至崩溃。(2)各成员之间相互影响，隔离不彻底在传统结构中，操作系统也被分成不同的组成部分，如操作系统内核与用户进程，其中操作系统内核又被分成不同的子系统，如进程管理、内存管理、文件系统、设备管理等。通常情况下，操作系统内核被设计成一个整体，各子系统之间并没有独立的边界，它们能够互相调用、互相影响。(3)需引入第三方代码，内核封闭性差在传统的操作系统中由于新的外部设备、文件系统、网络协议等几乎每天都在出现，因而在内核中包含所有的设备驱动程序、文件系统、网络协议等是不现实的。解决办法是打破内核的封闭性，允许动态地向其中插入模块。这种方法解决了操作系统的可扩展性、适应性问题，但又引入了可靠性与安全性问题。原因是插入到内核中的设备驱动程序、文件系统、网络协议等都是第三方设计的，其代码质量难以保证、代码行为难以控制。显然，要提高计算机系统的可靠性、安全性，就应该解决操作系统内核封闭性与可扩展性的矛盾。(4)需要安装应用程序，环境封闭性差在传统操作系统结构中，所有的应用程序都在同一个环境中执行，具有相同的资源访问权限，而不管它们的来源是否可信。执行不可信的程序很容易破坏系统的完整性，向系统中引ComputerApplicationsandSoftwareV01．27No．8Aug．20101(中州大学信息7-程学院河南郑州450044)2(河南工业大学电气工程学院河南郑州450007)HuangYuqiZhangMaLi21(AcademyofInformation450044，ltenan，China)2(DepartmentofElectricalEngineering，HenanofTechnolngy，Zhengzhou450007，ltenan，China)powers，theoperatingrespectively，USeSbetweenOperating收稿日期：2010-01一18。黄玉琪，博士，主研领域：信息安全。Engineering，ZhongzhouUniversity，ZhengzhouUniversityAbstractInthepaperdesigntypeofsystemstructure．Basedprincipleseparationdividesreorganisesfunctionstraditionalsystem，allowsdifferentfunctioncomponentsrunninginvirtualchinesstrongisolationcharacteristicmachinesguaranteeindependenceeachcomponent，usesproprietarycommunicationmechanismsachievecollaborationconstraintscomponents．Thisstructuresolveseffectivelyproblemlowersecuritysystem．KeywordsSeparationViau