王雷

北京工業(yè)大學計算機學院 北京 100124

0 引言

進入 21世紀，隨著信息化的不斷進步和加強，計算機已經(jīng)應(yīng)用到社會生活的方方面面。使用計算機對信息進行加工和處理也成了不可缺少的手段。隨著網(wǎng)絡(luò)的不斷發(fā)展，開放式網(wǎng)絡(luò)的安全問題越來越突出，信息的安全性越來越受到人們的廣泛關(guān)注。以往的防護措施是使用殺毒軟件，建立防火墻等預(yù)防網(wǎng)絡(luò)上病毒和黑客的攻擊。但是鎖著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，病毒層出不窮，黑客攻擊手段也是變幻莫測，這讓防護工作力不從心。

早在二十世紀六十年代安全操作系統(tǒng)的研究就引發(fā)了研究結(jié)構(gòu)(尤其是美國軍方)的重視。至今，這方面的研究已經(jīng)有了四十多年的歷程，積累了豐富的研究成果。我國在對安全操作系統(tǒng)的研究過程中提出了“計算機信息系統(tǒng)等級保護”等概念并為不同等級的劃分制定了準則。安全操作系統(tǒng)的開發(fā)方法大體上分為兩種：一種是在設(shè)計操作系統(tǒng)的時候就考慮安全的問題，還有一種就是安全的設(shè)計和實現(xiàn)與操作系統(tǒng)分離，在低安全級別操作系統(tǒng)的基礎(chǔ)上構(gòu)建高安全級別操作系統(tǒng)。第一種方法因為在設(shè)計的階段就考慮了安全性的問題，所以能很好的滿足安全要求，但是這種安全操作系統(tǒng)設(shè)計周期過長，實現(xiàn)較為困難；第二種方法實現(xiàn)起來相對容易一些，但是這種安全模塊的開發(fā)需要和Linux版本兼容，而目前市場上Linux版本有很多，而且內(nèi)核版本也有很多。內(nèi)核升級造成的安全模塊的變動又比較大，這就給安全操作系統(tǒng)的開發(fā)工作造成了一定的障礙。

現(xiàn)在Linux操作系統(tǒng)均有審計功能，審計機制記錄了系統(tǒng)中主體對客體的訪問，但是該審計記錄相當龐大，不便于進行數(shù)據(jù)的檢索和查詢，并且審計記錄的種類很多，不同類別的審計信息摻雜在一起，更加劇了分析的難度。

本文將結(jié)合輕量級DTE安全機制，實現(xiàn)對強制訪問控制機制的審計信息的管理。針對審計的分類、信息的格式、格式轉(zhuǎn)化以及審計開關(guān)進行詳細的研究和設(shè)計。

1 審計機制

審計機制是為了對系統(tǒng)中的進程或服務(wù)對客體進行的操作進行監(jiān)控，以便系統(tǒng)出現(xiàn)故障或異常情況時能提供信息的參考，圖1是審計機制的簡略圖。

圖1 審計機制設(shè)計圖

1.1 審計的分類

審計機制把審計信息分成50個類別，分別對系統(tǒng)中的進程以及進程打開的文件、超級塊、索引節(jié)點等的打開操作、讀操作、寫操作、刪除操作以及其他 LSM 機制中其他鉤子函數(shù)等進行監(jiān)控，按照一定的策略把這些獲得的審計信息輸出到外部文件中。

外部文件對這些審計信息的保存使用的是二進制格式，用戶在對這些審計信息進行查看時首先要進行格式轉(zhuǎn)換。這樣可以在一定程度上防止用戶對審計信息的惡意篡改。

1.2 格式轉(zhuǎn)換

如果用戶讀取審計信息，需要先對其進行格式轉(zhuǎn)化文本格式。審計信息的輸出是按照一定的格式進行輸出的，并且每條審計信息的大小是固定的，這樣方便格式之間的轉(zhuǎn)化。審計機制讀取審計文件，并對文件數(shù)據(jù)進行解析，并對解析的數(shù)據(jù)進行排版、輸出。這樣用戶就能得到了審計信息。

1.3 審計輸出

在審計機制中，審計輸出是較為關(guān)鍵的一步。審計機制獲得了審計數(shù)據(jù)，不能及時地輸出到外部文件，將造成審計信息的不一致，如果遇到斷電或者系統(tǒng)異常等情況，將造成無法估計的后果。為了解決這個難題，本文將采用兩種方法來確保審計信息的及時輸出。一種是如果審計信息已經(jīng)寫滿內(nèi)存空間，則一并輸出到外部文件；另一種是計時器方式，當計時器時間到時，不管內(nèi)存空間的審計信息是否寫滿，一并寫到外部文件中。這兩種方法確保了審計信息的安全輸出。

1.4 審計開關(guān)

通過審計輸出、格式轉(zhuǎn)換即可得到可識別的審計信息，但是由于系統(tǒng)的長時間運行可能審計信息的數(shù)量很大，這樣就給從審計信息分析系統(tǒng)運行帶來了很大的困難。為此，在審計機制中加入了審計開關(guān)。這樣可以通過設(shè)置審計開關(guān)來查看某一種或幾種審計信息，降低了對安全機制的訪問控制的分析難度。

2 實驗數(shù)據(jù)

通過設(shè)計一個測試程序，使其遍歷系統(tǒng)中的全部文件，測試文件的打開操作和關(guān)閉操作是否完全匹配。通過測試，得到的審計信息中打開文件和關(guān)閉文件的次數(shù)是一樣的。

還對審計信息中關(guān)于進程審計信息部分進行了分析，分析得出：在系統(tǒng)的初始化階段，安全機制是按照進程的 pid號的順序進行標記的，這一點在審計信息中得到了驗證；在系統(tǒng)的整個運行過程中，子進程與父進程之間的關(guān)系，以及進程的創(chuàng)建和結(jié)束都是完全匹配的。

表1是具體的實驗數(shù)據(jù)，以Debian5為例，內(nèi)核版本為3.2.20。

表1 具體的實驗數(shù)據(jù)

3 總結(jié)與展望

本文針對輕量級 DTE安全機制自身的特點設(shè)計審計機制，以達到對系統(tǒng)中所有操作進行監(jiān)控。本文對審計分類、信息格式、格式轉(zhuǎn)化以及審計開關(guān)等進行詳細的闡述，并通過實驗數(shù)據(jù)證明了該審計機制能夠?qū)ο到y(tǒng)中進行較為全面的監(jiān)控，并提供各種不同類別的審計信息供用戶參考。

下一步將在以下幾個方面進行更深入的研究和改進：

(1) 對系統(tǒng)中的訪問控制進行更詳細的研究，以達到更細粒度地對系統(tǒng)操作的監(jiān)控。

(2) 配合安全機制的完善，針對安全機制在隱通道方面的研究，完善審計機制。

(3) 更深入的研究強制訪問控制技術(shù)和同步機制，提高審計機制的兼容性和穩(wěn)定性。

[1]卿斯?jié)h,劉文清.操作系統(tǒng)安全導論[M].北京：科學出版社.2003.

[2]胡俊.高安全級別可信操作系統(tǒng)實現(xiàn)研究[J].中科院電子學研究所.2008.

[3]陳幼雷.可信計算模型及體系結(jié)構(gòu)研究[D].武漢大學博士論文.2006.

[4]沈昌祥.信息安全導論[M].電子工業(yè)出版社.2009.

[5]石文昌.安全操作系統(tǒng)研究的發(fā)展[J].中國科學院軟件研究所.2001.

[6]蔡誼,鄭志蓉,沈昌祥.基于多級安全策略的二維標識模型[J].計算機學報.2004.

[7]卿斯?jié)h,沈昌祥.高等級安全操作系統(tǒng)的設(shè)計[J].中國科學(E輯).2007.

[8]石文昌.安全操作系統(tǒng)研究的發(fā)展[M].計算機科學.2002.

[9]卿斯?jié)h,劉文清,溫紅子.操作系統(tǒng)安全[M].北京：清華大學出版社.2004.

[10]施軍,朱魯華,尤晉元,沈昌祥.可定制的安全操作系統(tǒng)內(nèi)核[J].計算機工程.2004.

[11]劉威鵬,胡俊,呂輝軍,劉毅.LSM框架下可執(zhí)行程序的強制訪問控制機制[J].計算機工程.2004.

[12]Robert Love Linux Kernel Development，Second Edition機械工業(yè)出版社.2006.

David E.Bell and Leonard J.LaPadula.Secure Computer Systems：Mathematical.

[13]Foundations.ESD-TR-73-278,Vol.I,AD 770-768,Electronic Systems Division,Air Force Systems Command,Hanscom Air Force Base,Bedford,MA,USA,Nov 1973.

[14]David E.Bell and Leonard J.LaPadula.Secure Computer Systems：A Mathematical Model.ESD-TR-73-278,Vol.II,AD 771-543,Electronic Systems Division,Air Force Systems Command,Hanscom Air Force Base,Bedford,MA,USA,Nov 1973.

[15]David E.Bell and Leonard J.LaPadula.Secure Computer Systems：A Refinement of the Mathematical Model.ESD-TR-73-278,Vol.III,AD 780-528,Electronic Systems Division,Air Force Systems Command,Hanscom Air Force Base,Bedford,MA,USA,Apr 1974.

[16]David E.Bell and Leonard J.LaPadula.Secure Computer Systems：Mathematical Foundations and Model.M74-244, The MITRE Corporation, Bedford, MA, USA , Oct 1974.

[17]David E.Bell and Leonard J.LaPadula.Secure Computer System： Unified Exposition and MULTICS Interpretation.MTR-2997 Rev.1,The MITRE Corporation.Bedford.MA,USA,Mar 1976.

[18]Clark,David D.;and Wilson,David R.;A Comparison of Commercial and Military Computer Security Policies; in Proceedings of the 1987 IEEE Symposium on Research in Security and Privacy (SP'87), Oakland, CA; IEEE Press.May 1987.

[19]Thomas RK, Sandhu RS.Task-Based authentication controls (TABC)：a family of models for active and enterpriseoriented authentication management.1997.

[20]D.F.C.Brewer and M.J.Nash.The Chinese wall security policy.In Proceedings of IEEE Symposium on Security and Privacy.1989.

[21]D.Ferraiolo,R.Sandhu,S.Gavrila,D.R.Kuhn,R.Chandramouli.A Proposed Standard for Role Based Access Control[J].ACM Transactions on Information and System Security.August.2001.

[22]D.Ferraiolo,J.Cugini,and D.R.Kuhn.Role Based Access Control (RBAC)：Features and Motivations[C].Proc.1995 Computer Security Applications Conference,Charlie Payne,New Orleans,December 1995.

[23]Sandhu,R.,Coyne,E.J.,Feinstein,H.L.and Youman,C.E.(August 1996) .Role-Based Access Control Models.IEEE Computer(IEEE Press).

[24]D.R.Kuhn (1998).Role Based Access Control on MLS Systems without Kernel Changes.Third ACM Workshop on Role Based Access Control.1998.

[25]卿斯?jié)h.基于DTE策略的安全域隔離Z形式模型[J].計算機研究與發(fā)展.2007.