一種強(qiáng)制訪問(wèn)控制機(jī)制的審計(jì)方法

王雷

北京工業(yè)大學(xué)計(jì)算機(jī)學(xué)院 北京 100124

0 引言

進(jìn)入 21世紀(jì)，隨著信息化的不斷進(jìn)步和加強(qiáng)，計(jì)算機(jī)已經(jīng)應(yīng)用到社會(huì)生活的方方面面。使用計(jì)算機(jī)對(duì)信息進(jìn)行加工和處理也成了不可缺少的手段。隨著網(wǎng)絡(luò)的不斷發(fā)展，開(kāi)放式網(wǎng)絡(luò)的安全問(wèn)題越來(lái)越突出，信息的安全性越來(lái)越受到人們的廣泛關(guān)注。以往的防護(hù)措施是使用殺毒軟件，建立防火墻等預(yù)防網(wǎng)絡(luò)上病毒和黑客的攻擊。但是鎖著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，病毒層出不窮，黑客攻擊手段也是變幻莫測(cè)，這讓防護(hù)工作力不從心。

早在二十世紀(jì)六十年代安全操作系統(tǒng)的研究就引發(fā)了研究結(jié)構(gòu)(尤其是美國(guó)軍方)的重視。至今，這方面的研究已經(jīng)有了四十多年的歷程，積累了豐富的研究成果。我國(guó)在對(duì)安全操作系統(tǒng)的研究過(guò)程中提出了“計(jì)算機(jī)信息系統(tǒng)等級(jí)保護(hù)”等概念并為不同等級(jí)的劃分制定了準(zhǔn)則。安全操作系統(tǒng)的開(kāi)發(fā)方法大體上分為兩種：一種是在設(shè)計(jì)操作系統(tǒng)的時(shí)候就考慮安全的問(wèn)題，還有一種就是安全的設(shè)計(jì)和實(shí)現(xiàn)與操作系統(tǒng)分離，在低安全級(jí)別操作系統(tǒng)的基礎(chǔ)上構(gòu)建高安全級(jí)別操作系統(tǒng)。第一種方法因?yàn)樵谠O(shè)計(jì)的階段就考慮了安全性的問(wèn)題，所以能很好的滿足安全要求，但是這種安全操作系統(tǒng)設(shè)計(jì)周期過(guò)長(zhǎng)，實(shí)現(xiàn)較為困難；第二種方法實(shí)現(xiàn)起來(lái)相對(duì)容易一些，但是這種安全模塊的開(kāi)發(fā)需要和Linux版本兼容，而目前市場(chǎng)上Linux版本有很多，而且內(nèi)核版本也有很多。內(nèi)核升級(jí)造成的安全模塊的變動(dòng)又比較大，這就給安全操作系統(tǒng)的開(kāi)發(fā)工作造成了一定的障礙。

現(xiàn)在Linux操作系統(tǒng)均有審計(jì)功能，審計(jì)機(jī)制記錄了系統(tǒng)中主體對(duì)客體的訪問(wèn)，但是該審計(jì)記錄相當(dāng)龐大，不便于進(jìn)行數(shù)據(jù)的檢索和查詢，并且審計(jì)記錄的種類(lèi)很多，不同類(lèi)別的審計(jì)信息摻雜在一起，更加劇了分析的難度。

本文將結(jié)合輕量級(jí)DTE安全機(jī)制，實(shí)現(xiàn)對(duì)強(qiáng)制訪問(wèn)控制機(jī)制的審計(jì)信息的管理。針對(duì)審計(jì)的分類(lèi)、信息的格式、格式轉(zhuǎn)化以及審計(jì)開(kāi)關(guān)進(jìn)行詳細(xì)的研究和設(shè)計(jì)。

1 審計(jì)機(jī)制

審計(jì)機(jī)制是為了對(duì)系統(tǒng)中的進(jìn)程或服務(wù)對(duì)客體進(jìn)行的操作進(jìn)行監(jiān)控，以便系統(tǒng)出現(xiàn)故障或異常情況時(shí)能提供信息的參考，圖1是審計(jì)機(jī)制的簡(jiǎn)略圖。

圖1 審計(jì)機(jī)制設(shè)計(jì)圖

1.1 審計(jì)的分類(lèi)

審計(jì)機(jī)制把審計(jì)信息分成50個(gè)類(lèi)別，分別對(duì)系統(tǒng)中的進(jìn)程以及進(jìn)程打開(kāi)的文件、超級(jí)塊、索引節(jié)點(diǎn)等的打開(kāi)操作、讀操作、寫(xiě)操作、刪除操作以及其他 LSM 機(jī)制中其他鉤子函數(shù)等進(jìn)行監(jiān)控，按照一定的策略把這些獲得的審計(jì)信息輸出到外部文件中。

外部文件對(duì)這些審計(jì)信息的保存使用的是二進(jìn)制格式，用戶在對(duì)這些審計(jì)信息進(jìn)行查看時(shí)首先要進(jìn)行格式轉(zhuǎn)換。這樣可以在一定程度上防止用戶對(duì)審計(jì)信息的惡意篡改。

1.2 格式轉(zhuǎn)換

如果用戶讀取審計(jì)信息，需要先對(duì)其進(jìn)行格式轉(zhuǎn)化文本格式。審計(jì)信息的輸出是按照一定的格式進(jìn)行輸出的，并且每條審計(jì)信息的大小是固定的，這樣方便格式之間的轉(zhuǎn)化。審計(jì)機(jī)制讀取審計(jì)文件，并對(duì)文件數(shù)據(jù)進(jìn)行解析，并對(duì)解析的數(shù)據(jù)進(jìn)行排版、輸出。這樣用戶就能得到了審計(jì)信息。

1.3 審計(jì)輸出

在審計(jì)機(jī)制中，審計(jì)輸出是較為關(guān)鍵的一步。審計(jì)機(jī)制獲得了審計(jì)數(shù)據(jù)，不能及時(shí)地輸出到外部文件，將造成審計(jì)信息的不一致，如果遇到斷電或者系統(tǒng)異常等情況，將造成無(wú)法估計(jì)的后果。為了解決這個(gè)難題，本文將采用兩種方法來(lái)確保審計(jì)信息的及時(shí)輸出。一種是如果審計(jì)信息已經(jīng)寫(xiě)滿內(nèi)存空間，則一并輸出到外部文件；另一種是計(jì)時(shí)器方式，當(dāng)計(jì)時(shí)器時(shí)間到時(shí)，不管內(nèi)存空間的審計(jì)信息是否寫(xiě)滿，一并寫(xiě)到外部文件中。這兩種方法確保了審計(jì)信息的安全輸出。

1.4 審計(jì)開(kāi)關(guān)

通過(guò)審計(jì)輸出、格式轉(zhuǎn)換即可得到可識(shí)別的審計(jì)信息，但是由于系統(tǒng)的長(zhǎng)時(shí)間運(yùn)行可能審計(jì)信息的數(shù)量很大，這樣就給從審計(jì)信息分析系統(tǒng)運(yùn)行帶來(lái)了很大的困難。為此，在審計(jì)機(jī)制中加入了審計(jì)開(kāi)關(guān)。這樣可以通過(guò)設(shè)置審計(jì)開(kāi)關(guān)來(lái)查看某一種或幾種審計(jì)信息，降低了對(duì)安全機(jī)制的訪問(wèn)控制的分析難度。

2 實(shí)驗(yàn)數(shù)據(jù)

通過(guò)設(shè)計(jì)一個(gè)測(cè)試程序，使其遍歷系統(tǒng)中的全部文件，測(cè)試文件的打開(kāi)操作和關(guān)閉操作是否完全匹配。通過(guò)測(cè)試，得到的審計(jì)信息中打開(kāi)文件和關(guān)閉文件的次數(shù)是一樣的。

還對(duì)審計(jì)信息中關(guān)于進(jìn)程審計(jì)信息部分進(jìn)行了分析，分析得出：在系統(tǒng)的初始化階段，安全機(jī)制是按照進(jìn)程的 pid號(hào)的順序進(jìn)行標(biāo)記的，這一點(diǎn)在審計(jì)信息中得到了驗(yàn)證；在系統(tǒng)的整個(gè)運(yùn)行過(guò)程中，子進(jìn)程與父進(jìn)程之間的關(guān)系，以及進(jìn)程的創(chuàng)建和結(jié)束都是完全匹配的。

表1是具體的實(shí)驗(yàn)數(shù)據(jù)，以Debian5為例，內(nèi)核版本為3.2.20。

表1 具體的實(shí)驗(yàn)數(shù)據(jù)

3 總結(jié)與展望

本文針對(duì)輕量級(jí) DTE安全機(jī)制自身的特點(diǎn)設(shè)計(jì)審計(jì)機(jī)制，以達(dá)到對(duì)系統(tǒng)中所有操作進(jìn)行監(jiān)控。本文對(duì)審計(jì)分類(lèi)、信息格式、格式轉(zhuǎn)化以及審計(jì)開(kāi)關(guān)等進(jìn)行詳細(xì)的闡述，并通過(guò)實(shí)驗(yàn)數(shù)據(jù)證明了該審計(jì)機(jī)制能夠?qū)ο到y(tǒng)中進(jìn)行較為全面的監(jiān)控，并提供各種不同類(lèi)別的審計(jì)信息供用戶參考。

下一步將在以下幾個(gè)方面進(jìn)行更深入的研究和改進(jìn)：

(1) 對(duì)系統(tǒng)中的訪問(wèn)控制進(jìn)行更詳細(xì)的研究，以達(dá)到更細(xì)粒度地對(duì)系統(tǒng)操作的監(jiān)控。

(2) 配合安全機(jī)制的完善，針對(duì)安全機(jī)制在隱通道方面的研究，完善審計(jì)機(jī)制。

(3) 更深入的研究強(qiáng)制訪問(wèn)控制技術(shù)和同步機(jī)制，提高審計(jì)機(jī)制的兼容性和穩(wěn)定性。

[1]卿斯?jié)h,劉文清.操作系統(tǒng)安全導(dǎo)論[M].北京：科學(xué)出版社.2003.

[2]胡俊.高安全級(jí)別可信操作系統(tǒng)實(shí)現(xiàn)研究[J].中科院電子學(xué)研究所.2008.

[3]陳幼雷.可信計(jì)算模型及體系結(jié)構(gòu)研究[D].武漢大學(xué)博士論文.2006.

[4]沈昌祥.信息安全導(dǎo)論[M].電子工業(yè)出版社.2009.

[5]石文昌.安全操作系統(tǒng)研究的發(fā)展[J].中國(guó)科學(xué)院軟件研究所.2001.

[6]蔡誼,鄭志蓉,沈昌祥.基于多級(jí)安全策略的二維標(biāo)識(shí)模型[J].計(jì)算機(jī)學(xué)報(bào).2004.

[7]卿斯?jié)h,沈昌祥.高等級(jí)安全操作系統(tǒng)的設(shè)計(jì)[J].中國(guó)科學(xué)(E輯).2007.

[8]石文昌.安全操作系統(tǒng)研究的發(fā)展[M].計(jì)算機(jī)科學(xué).2002.

[9]卿斯?jié)h,劉文清,溫紅子.操作系統(tǒng)安全[M].北京：清華大學(xué)出版社.2004.

[10]施軍,朱魯華,尤晉元,沈昌祥.可定制的安全操作系統(tǒng)內(nèi)核[J].計(jì)算機(jī)工程.2004.

[11]劉威鵬,胡俊,呂輝軍,劉毅.LSM框架下可執(zhí)行程序的強(qiáng)制訪問(wèn)控制機(jī)制[J].計(jì)算機(jī)工程.2004.

[12]Robert Love Linux Kernel Development，Second Edition機(jī)械工業(yè)出版社.2006.

David E.Bell and Leonard J.LaPadula.Secure Computer Systems：Mathematical.

[13]Foundations.ESD-TR-73-278,Vol.I,AD 770-768,Electronic Systems Division,Air Force Systems Command,Hanscom Air Force Base,Bedford,MA,USA,Nov 1973.

[14]David E.Bell and Leonard J.LaPadula.Secure Computer Systems：A Mathematical Model.ESD-TR-73-278,Vol.II,AD 771-543,Electronic Systems Division,Air Force Systems Command,Hanscom Air Force Base,Bedford,MA,USA,Nov 1973.

[15]David E.Bell and Leonard J.LaPadula.Secure Computer Systems：A Refinement of the Mathematical Model.ESD-TR-73-278,Vol.III,AD 780-528,Electronic Systems Division,Air Force Systems Command,Hanscom Air Force Base,Bedford,MA,USA,Apr 1974.

[16]David E.Bell and Leonard J.LaPadula.Secure Computer Systems：Mathematical Foundations and Model.M74-244, The MITRE Corporation, Bedford, MA, USA , Oct 1974.

[17]David E.Bell and Leonard J.LaPadula.Secure Computer System： Unified Exposition and MULTICS Interpretation.MTR-2997 Rev.1,The MITRE Corporation.Bedford.MA,USA,Mar 1976.

[18]Clark,David D.;and Wilson,David R.;A Comparison of Commercial and Military Computer Security Policies; in Proceedings of the 1987 IEEE Symposium on Research in Security and Privacy (SP'87), Oakland, CA; IEEE Press.May 1987.

[19]Thomas RK, Sandhu RS.Task-Based authentication controls (TABC)：a family of models for active and enterpriseoriented authentication management.1997.

[20]D.F.C.Brewer and M.J.Nash.The Chinese wall security policy.In Proceedings of IEEE Symposium on Security and Privacy.1989.

[21]D.Ferraiolo,R.Sandhu,S.Gavrila,D.R.Kuhn,R.Chandramouli.A Proposed Standard for Role Based Access Control[J].ACM Transactions on Information and System Security.August.2001.

[22]D.Ferraiolo,J.Cugini,and D.R.Kuhn.Role Based Access Control (RBAC)：Features and Motivations[C].Proc.1995 Computer Security Applications Conference,Charlie Payne,New Orleans,December 1995.

[23]Sandhu,R.,Coyne,E.J.,Feinstein,H.L.and Youman,C.E.(August 1996) .Role-Based Access Control Models.IEEE Computer(IEEE Press).

[24]D.R.Kuhn (1998).Role Based Access Control on MLS Systems without Kernel Changes.Third ACM Workshop on Role Based Access Control.1998.

[25]卿斯?jié)h.基于DTE策略的安全域隔離Z形式模型[J].計(jì)算機(jī)研究與發(fā)展.2007.