基于安全内核设计理念打造马提克斯操作系统

1972年，美国空军组建了第二个委员会，专门研究计算机系统安全问题的解决方案。

该委员会由美国空军电子系统部的罗杰·谢尔少校牵头，他组建了一个由美国空军和美国国家安全局专家组成的团队，用了7个月的时间，撰写了一份研究报告，以主笔人詹姆斯·安德森的名字命名，称为《安德森报告》，如图2-3所示。

图2-3 《安德森报告》

《安德森报告》重申了《威尔报告》关于计算机复杂性会增加安全风险的观点，给出了对策建议。

建议的核心观点是，在设计与实现计算机系统的阶段，就应该充分考虑安全问题，而不是等系统出现安全问题后再考虑如何弥补。

《安德森报告》认为，当前美国空军的计算机安全管控措施效率低下，耗费了大量人力物力，导致空军每年都要损失1亿美元。

为此，《安德森报告》建议创建一个安全的计算机操作系统来提升安全管控的效率，制造这样一个系统只需要800万美元。

《安德森报告》明确提出了“安全内核”的系统设计理念。具体内容是，为操作系统设计一个安全内核，这个安全内核在接收到用户访问计算机的请求时，能够自动评估这个请求是不是安全的，并做出允许用户访问或者拒绝用户访问的决定。同时，这个安全内核能够确保自身持续正常运转，并能够防范恶意用户对它进行篡改或绕过安全内核。

《安德森报告》提出的安全系统设计理念受到了广泛重视。当时，美国国防部正在出资赞助一个名为马提克斯（Multics）的操作系统，麻省理工学院、通用电气公司和贝尔实验室都是这个操作系统的合作设计方。

马提克斯操作系统（其标志见图2-4）充分吸收了《安德森报告》提出的理念，设计并实现了安全内核以及相应的安全功能，成为第一个高度重视信息安全的计算机操作系统。

图2-4 马提克斯操作系统的标志

在具体安全功能的实现上，马提克斯操作系统使用了一种圆环形的安全结构。这种结构有点像打靶用的靶标，上面有许多同心圆环，靶心的编号是0，然后由内向外依次编为1号、2号、3号、4号等。马提克斯操作系统规定，编号为0～3的（内环）只能由操作系统本身使用，而编号为4及以上的（外环）由用户程序使用。外环中的程序不能影响、损害内环中的程序，通过这样的机制，保证操作系统的安全。

然而，让美国军方和各家设计单位意外的是，虽然马提克斯操作系统一开始就内置了安全功能，又严格践行了“安全内核”理念，但这个操作系统的安全性，却没有达到他们期待的结果。