一種強制訪問控制機制的審計方法

王雷

北京工業大學計算機學院 北京 100124

0 引言

進入 21世紀，隨著信息化的不斷進步和加強，計算機已經應用到社會生活的方方面面。使用計算機對信息進行加工和處理也成了不可缺少的手段。隨著網絡的不斷發展，開放式網絡的安全問題越來越突出，信息的安全性越來越受到人們的廣泛關注。以往的防護措施是使用殺毒軟件，建立防火墻等預防網絡上病毒和黑客的攻擊。但是鎖著網絡技術的不斷發展，病毒層出不窮，黑客攻擊手段也是變幻莫測，這讓防護工作力不從心。

早在二十世紀六十年代安全操作系統的研究就引發了研究結構(尤其是美國軍方)的重視。至今，這方面的研究已經有了四十多年的歷程，積累了豐富的研究成果。我國在對安全操作系統的研究過程中提出了“計算機信息系統等級保護”等概念并為不同等級的劃分制定了準則。安全操作系統的開發方法大體上分為兩種：一種是在設計操作系統的時候就考慮安全的問題，還有一種就是安全的設計和實現與操作系統分離，在低安全級別操作系統的基礎上構建高安全級別操作系統。第一種方法因為在設計的階段就考慮了安全性的問題，所以能很好的滿足安全要求，但是這種安全操作系統設計周期過長，實現較為困難；第二種方法實現起來相對容易一些，但是這種安全模塊的開發需要和Linux版本兼容，而目前市場上Linux版本有很多，而且內核版本也有很多。內核升級造成的安全模塊的變動又比較大，這就給安全操作系統的開發工作造成了一定的障礙。

現在Linux操作系統均有審計功能，審計機制記錄了系統中主體對客體的訪問，但是該審計記錄相當龐大，不便于進行數據的檢索和查詢，并且審計記錄的種類很多，不同類別的審計信息摻雜在一起，更加劇了分析的難度。

本文將結合輕量級DTE安全機制，實現對強制訪問控制機制的審計信息的管理。針對審計的分類、信息的格式、格式轉化以及審計開關進行詳細的研究和設計。

1 審計機制

審計機制是為了對系統中的進程或服務對客體進行的操作進行監控，以便系統出現故障或異常情況時能提供信息的參考，圖1是審計機制的簡略圖。

圖1 審計機制設計圖

1.1 審計的分類

審計機制把審計信息分成50個類別，分別對系統中的進程以及進程打開的文件、超級塊、索引節點等的打開操作、讀操作、寫操作、刪除操作以及其他 LSM 機制中其他鉤子函數等進行監控，按照一定的策略把這些獲得的審計信息輸出到外部文件中。

外部文件對這些審計信息的保存使用的是二進制格式，用戶在對這些審計信息進行查看時首先要進行格式轉換。這樣可以在一定程度上防止用戶對審計信息的惡意篡改。

1.2 格式轉換

如果用戶讀取審計信息，需要先對其進行格式轉化文本格式。審計信息的輸出是按照一定的格式進行輸出的，并且每條審計信息的大小是固定的，這樣方便格式之間的轉化。審計機制讀取審計文件，并對文件數據進行解析，并對解析的數據進行排版、輸出。這樣用戶就能得到了審計信息。

1.3 審計輸出

在審計機制中，審計輸出是較為關鍵的一步。審計機制獲得了審計數據，不能及時地輸出到外部文件，將造成審計信息的不一致，如果遇到斷電或者系統異常等情況，將造成無法估計的后果。為了解決這個難題，本文將采用兩種方法來確保審計信息的及時輸出。一種是如果審計信息已經寫滿內存空間，則一并輸出到外部文件；另一種是計時器方式，當計時器時間到時，不管內存空間的審計信息是否寫滿，一并寫到外部文件中。這兩種方法確保了審計信息的安全輸出。

1.4 審計開關

通過審計輸出、格式轉換即可得到可識別的審計信息，但是由于系統的長時間運行可能審計信息的數量很大，這樣就給從審計信息分析系統運行帶來了很大的困難。為此，在審計機制中加入了審計開關。這樣可以通過設置審計開關來查看某一種或幾種審計信息，降低了對安全機制的訪問控制的分析難度。

2 實驗數據

通過設計一個測試程序，使其遍歷系統中的全部文件，測試文件的打開操作和關閉操作是否完全匹配。通過測試，得到的審計信息中打開文件和關閉文件的次數是一樣的。

還對審計信息中關于進程審計信息部分進行了分析，分析得出：在系統的初始化階段，安全機制是按照進程的 pid號的順序進行標記的，這一點在審計信息中得到了驗證；在系統的整個運行過程中，子進程與父進程之間的關系，以及進程的創建和結束都是完全匹配的。

表1是具體的實驗數據，以Debian5為例，內核版本為3.2.20。

表1 具體的實驗數據

3 總結與展望

本文針對輕量級 DTE安全機制自身的特點設計審計機制，以達到對系統中所有操作進行監控。本文對審計分類、信息格式、格式轉化以及審計開關等進行詳細的闡述，并通過實驗數據證明了該審計機制能夠對系統中進行較為全面的監控，并提供各種不同類別的審計信息供用戶參考。

下一步將在以下幾個方面進行更深入的研究和改進：

(1) 對系統中的訪問控制進行更詳細的研究，以達到更細粒度地對系統操作的監控。

(2) 配合安全機制的完善，針對安全機制在隱通道方面的研究，完善審計機制。

(3) 更深入的研究強制訪問控制技術和同步機制，提高審計機制的兼容性和穩定性。

[1]卿斯漢,劉文清.操作系統安全導論[M].北京：科學出版社.2003.

[2]胡俊.高安全級別可信操作系統實現研究[J].中科院電子學研究所.2008.

[3]陳幼雷.可信計算模型及體系結構研究[D].武漢大學博士論文.2006.

[4]沈昌祥.信息安全導論[M].電子工業出版社.2009.

[5]石文昌.安全操作系統研究的發展[J].中國科學院軟件研究所.2001.

[6]蔡誼,鄭志蓉,沈昌祥.基于多級安全策略的二維標識模型[J].計算機學報.2004.

[7]卿斯漢,沈昌祥.高等級安全操作系統的設計[J].中國科學(E輯).2007.

[8]石文昌.安全操作系統研究的發展[M].計算機科學.2002.

[9]卿斯漢,劉文清,溫紅子.操作系統安全[M].北京：清華大學出版社.2004.

[10]施軍,朱魯華,尤晉元,沈昌祥.可定制的安全操作系統內核[J].計算機工程.2004.

[11]劉威鵬,胡俊,呂輝軍,劉毅.LSM框架下可執行程序的強制訪問控制機制[J].計算機工程.2004.

[12]Robert Love Linux Kernel Development，Second Edition機械工業出版社.2006.

David E.Bell and Leonard J.LaPadula.Secure Computer Systems：Mathematical.

[13]Foundations.ESD-TR-73-278,Vol.I,AD 770-768,Electronic Systems Division,Air Force Systems Command,Hanscom Air Force Base,Bedford,MA,USA,Nov 1973.

[14]David E.Bell and Leonard J.LaPadula.Secure Computer Systems：A Mathematical Model.ESD-TR-73-278,Vol.II,AD 771-543,Electronic Systems Division,Air Force Systems Command,Hanscom Air Force Base,Bedford,MA,USA,Nov 1973.

[15]David E.Bell and Leonard J.LaPadula.Secure Computer Systems：A Refinement of the Mathematical Model.ESD-TR-73-278,Vol.III,AD 780-528,Electronic Systems Division,Air Force Systems Command,Hanscom Air Force Base,Bedford,MA,USA,Apr 1974.

[16]David E.Bell and Leonard J.LaPadula.Secure Computer Systems：Mathematical Foundations and Model.M74-244, The MITRE Corporation, Bedford, MA, USA , Oct 1974.

[17]David E.Bell and Leonard J.LaPadula.Secure Computer System： Unified Exposition and MULTICS Interpretation.MTR-2997 Rev.1,The MITRE Corporation.Bedford.MA,USA,Mar 1976.

[18]Clark,David D.;and Wilson,David R.;A Comparison of Commercial and Military Computer Security Policies; in Proceedings of the 1987 IEEE Symposium on Research in Security and Privacy (SP'87), Oakland, CA; IEEE Press.May 1987.

[19]Thomas RK, Sandhu RS.Task-Based authentication controls (TABC)：a family of models for active and enterpriseoriented authentication management.1997.

[20]D.F.C.Brewer and M.J.Nash.The Chinese wall security policy.In Proceedings of IEEE Symposium on Security and Privacy.1989.

[21]D.Ferraiolo,R.Sandhu,S.Gavrila,D.R.Kuhn,R.Chandramouli.A Proposed Standard for Role Based Access Control[J].ACM Transactions on Information and System Security.August.2001.

[22]D.Ferraiolo,J.Cugini,and D.R.Kuhn.Role Based Access Control (RBAC)：Features and Motivations[C].Proc.1995 Computer Security Applications Conference,Charlie Payne,New Orleans,December 1995.

[23]Sandhu,R.,Coyne,E.J.,Feinstein,H.L.and Youman,C.E.(August 1996) .Role-Based Access Control Models.IEEE Computer(IEEE Press).

[24]D.R.Kuhn (1998).Role Based Access Control on MLS Systems without Kernel Changes.Third ACM Workshop on Role Based Access Control.1998.

[25]卿斯漢.基于DTE策略的安全域隔離Z形式模型[J].計算機研究與發展.2007.