技術領域

本發明涉及操作系統中角色的動態轉換方法，尤其是有大量角色和復雜應用的角色動態轉換方法。

背景技術

訪問控制是信息安全領域中的一類重要技術，其作用是對需要訪問的主體(用戶或進程)進行身份驗證，限制主體對訪問客體(文件或系統)的訪問權限，使計算機系統在合法的范圍內使用。研究表明80％的攻擊和入侵都來自組織內部，來源于合法用戶的非法使用和越權訪問。訪問控制可以最大限度阻止這種來自內部的破壞。它通過授權系統的控制，保證用戶只能獲得訪問資源的最低權限，避免越權訪問的發生。隨著網絡技術的發展與普及，訪問控制的重要性越來越被人們所認識，它聯同其它一些信息安全技術，比如密碼、認證與識別、審計、網間隔離與訪問代理、反病毒等一起，致力于打造一種支持多種安全服務，具有強有力的安全機制的信息系統。

針對不同的安全策略提出了許多訪問控制模型，如自主式訪問控制(DAC)、強制式訪問控制(MAC)和基于角色的訪問控制(RBAC)。單一自主式和強制式訪問控制策略的工作量大，而且不便于管理，而基于角色的訪問控制(RBAC)擁有諸如安全性高，靈活性強，接近現實世界等優點，一經提出就得到了廣泛的關注，目前已在很多領域得到了大量的應用，發展較為成熟。

基于最小權限的原則，在現有基于RBAC的操作系統中，對于系統中的大部分應用，無論經過何種認證，一開始都為用戶綁定一個最小權限角色。角色的權限決定了用戶的權限，當用戶需要執行某些受限操作時，無論之前用戶是否進行過認證，都需要對用戶進行再次登陸。系統的重復登陸增加了用戶的工作量，降低了應用的靈活性。

角色的動態轉換是解決上述問題的一個很好的方法，但是角色的動態轉換改變了原有角色的轉換模式，帶來了一系列新的問題。依據用戶對轉換是否感知，角色轉換可以分為顯式轉換和隱式轉換，兩類轉換都存在著各自的難點。顯式轉換中，需要為用戶提供角色選擇界面，而遠程訪問用戶無法彈出角色選擇界面。隱式轉換中，如果采用創建新進程的方式，則原進程的中斷難以恢復現場，目前還沒有一種適合操作系統中本地角色動態轉換的方法。

在當前的安全操作系統中，隨著計算機速度的飚升，和網絡并行計算的普及，越來越多舊的認證機制變得非常脆弱；同時，也出于用戶管理方便的需要，有時侯需要去改變應用程序的認證過程。傳統的應用程序的認證機制就顯得很不方便。Unified?Login?With?Pluggable?Authentication?Modules(PAM)(V.Samar，R.Schemers.http://www.opengroup.org/tech/rfc/mirror-rfc/rfc86.0.txt)，October?1995)公布的可插入式認證模塊即PAM(PLUGGABLE?AUTHENTICATION?MODULES)解決了這個問題。PAM主要由PAM引擎(在/lib中的PAM庫中，包括PAM?API和PAM?SPI)，認證模塊，配置文件三個部分組成。如果某個應用程序使用了PAM，當它需要進行用戶認證的時候，通過讀取以該應用命名的配置文件加載配置文件指定的認證模塊。/etc/pam.d目錄被用來存儲所有的PAM應用程序的配置文件，每個應用程序(確切地說是每個服務)都有它自己的配置文件。配置文件由規則組成，每條規則包含四個字段——模塊類型(指定了PAM模塊類型。現有4種模塊類型，分別為auth，account，session和password)、控制標識(指定了對PAM模塊結果所應采取的行動。4個有可能使用的值為required，requisite，optional和sufficient)、模塊路徑(包含了PAM模塊的絕對路徑名位置)、變量(模塊的標識或選項)。

應用程序只需要把認證過程簡單地交給PAM，然后，由PAM對用戶進行認證，PAM再將認證的結果返回給應用程序，應用程序并不知道PAM到底使用什么方法對用戶進行認證。

用戶成功通過系統的認證機制便認為該用戶為“可信”用戶。然而，黑客可以通過多種途徑成功騙取用戶的認證憑證，繞過認證模塊登陸系統，但黑客明顯不是“可信”用戶。而且可信是非理性的，是一種經驗的體現，不僅僅有具體的內容，還應有程度的劃分。

針對如何體現用戶通過不同強度的認證機制的問題，國防科大提出了認證可信度推理模型，其中借鑒專家系統中不確定性推理的思想，利用可信度來對這些不確定性因素進行度量。

定義1可信度表示一個事物或現象x在系統中主觀可信的程度，用t(x)表示，t(x)∈[0，1]。t(x)為0表示完全不可信，為1表示完全可信。