一种强制访问控制机制的审计方法

王雷

北京工业大学计算机学院 北京 100124

0 引言

进入 21世纪，随着信息化的不断进步和加强，计算机已经应用到社会生活的方方面面。使用计算机对信息进行加工和处理也成了不可缺少的手段。随着网络的不断发展，开放式网络的安全问题越来越突出，信息的安全性越来越受到人们的广泛关注。以往的防护措施是使用杀毒软件，建立防火墙等预防网络上病毒和黑客的攻击。但是锁着网络技术的不断发展，病毒层出不穷，黑客攻击手段也是变幻莫测，这让防护工作力不从心。

早在二十世纪六十年代安全操作系统的研究就引发了研究结构(尤其是美国军方)的重视。至今，这方面的研究已经有了四十多年的历程，积累了丰富的研究成果。我国在对安全操作系统的研究过程中提出了“计算机信息系统等级保护”等概念并为不同等级的划分制定了准则。安全操作系统的开发方法大体上分为两种：一种是在设计操作系统的时候就考虑安全的问题，还有一种就是安全的设计和实现与操作系统分离，在低安全级别操作系统的基础上构建高安全级别操作系统。第一种方法因为在设计的阶段就考虑了安全性的问题，所以能很好的满足安全要求，但是这种安全操作系统设计周期过长，实现较为困难；第二种方法实现起来相对容易一些，但是这种安全模块的开发需要和Linux版本兼容，而目前市场上Linux版本有很多，而且内核版本也有很多。内核升级造成的安全模块的变动又比较大，这就给安全操作系统的开发工作造成了一定的障碍。

现在Linux操作系统均有审计功能，审计机制记录了系统中主体对客体的访问，但是该审计记录相当庞大，不便于进行数据的检索和查询，并且审计记录的种类很多，不同类别的审计信息掺杂在一起，更加剧了分析的难度。

本文将结合轻量级DTE安全机制，实现对强制访问控制机制的审计信息的管理。针对审计的分类、信息的格式、格式转化以及审计开关进行详细的研究和设计。

1 审计机制

审计机制是为了对系统中的进程或服务对客体进行的操作进行监控，以便系统出现故障或异常情况时能提供信息的参考，图1是审计机制的简略图。

图1 审计机制设计图

1.1 审计的分类

审计机制把审计信息分成50个类别，分别对系统中的进程以及进程打开的文件、超级块、索引节点等的打开操作、读操作、写操作、删除操作以及其他 LSM 机制中其他钩子函数等进行监控，按照一定的策略把这些获得的审计信息输出到外部文件中。

外部文件对这些审计信息的保存使用的是二进制格式，用户在对这些审计信息进行查看时首先要进行格式转换。这样可以在一定程度上防止用户对审计信息的恶意篡改。

1.2 格式转换

如果用户读取审计信息，需要先对其进行格式转化文本格式。审计信息的输出是按照一定的格式进行输出的，并且每条审计信息的大小是固定的，这样方便格式之间的转化。审计机制读取审计文件，并对文件数据进行解析，并对解析的数据进行排版、输出。这样用户就能得到了审计信息。

1.3 审计输出

在审计机制中，审计输出是较为关键的一步。审计机制获得了审计数据，不能及时地输出到外部文件，将造成审计信息的不一致，如果遇到断电或者系统异常等情况，将造成无法估计的后果。为了解决这个难题，本文将采用两种方法来确保审计信息的及时输出。一种是如果审计信息已经写满内存空间，则一并输出到外部文件；另一种是计时器方式，当计时器时间到时，不管内存空间的审计信息是否写满，一并写到外部文件中。这两种方法确保了审计信息的安全输出。

1.4 审计开关

通过审计输出、格式转换即可得到可识别的审计信息，但是由于系统的长时间运行可能审计信息的数量很大，这样就给从审计信息分析系统运行带来了很大的困难。为此，在审计机制中加入了审计开关。这样可以通过设置审计开关来查看某一种或几种审计信息，降低了对安全机制的访问控制的分析难度。

2 实验数据

通过设计一个测试程序，使其遍历系统中的全部文件，测试文件的打开操作和关闭操作是否完全匹配。通过测试，得到的审计信息中打开文件和关闭文件的次数是一样的。

还对审计信息中关于进程审计信息部分进行了分析，分析得出：在系统的初始化阶段，安全机制是按照进程的 pid号的顺序进行标记的，这一点在审计信息中得到了验证；在系统的整个运行过程中，子进程与父进程之间的关系，以及进程的创建和结束都是完全匹配的。

表1是具体的实验数据，以Debian5为例，内核版本为3.2.20。

表1 具体的实验数据

3 总结与展望

本文针对轻量级 DTE安全机制自身的特点设计审计机制，以达到对系统中所有操作进行监控。本文对审计分类、信息格式、格式转化以及审计开关等进行详细的阐述，并通过实验数据证明了该审计机制能够对系统中进行较为全面的监控，并提供各种不同类别的审计信息供用户参考。

下一步将在以下几个方面进行更深入的研究和改进：

(1) 对系统中的访问控制进行更详细的研究，以达到更细粒度地对系统操作的监控。

(2) 配合安全机制的完善，针对安全机制在隐通道方面的研究，完善审计机制。

(3) 更深入的研究强制访问控制技术和同步机制，提高审计机制的兼容性和稳定性。

[1]卿斯汉,刘文清.操作系统安全导论[M].北京：科学出版社.2003.

[2]胡俊.高安全级别可信操作系统实现研究[J].中科院电子学研究所.2008.

[3]陈幼雷.可信计算模型及体系结构研究[D].武汉大学博士论文.2006.

[4]沈昌祥.信息安全导论[M].电子工业出版社.2009.

[5]石文昌.安全操作系统研究的发展[J].中国科学院软件研究所.2001.

[6]蔡谊,郑志蓉,沈昌祥.基于多级安全策略的二维标识模型[J].计算机学报.2004.

[7]卿斯汉,沈昌祥.高等级安全操作系统的设计[J].中国科学(E辑).2007.

[8]石文昌.安全操作系统研究的发展[M].计算机科学.2002.

[9]卿斯汉,刘文清,温红子.操作系统安全[M].北京：清华大学出版社.2004.

[10]施军,朱鲁华,尤晋元,沈昌祥.可定制的安全操作系统内核[J].计算机工程.2004.

[11]刘威鹏,胡俊,吕辉军,刘毅.LSM框架下可执行程序的强制访问控制机制[J].计算机工程.2004.

[12]Robert Love Linux Kernel Development，Second Edition机械工业出版社.2006.

David E.Bell and Leonard J.LaPadula.Secure Computer Systems：Mathematical.

[13]Foundations.ESD-TR-73-278,Vol.I,AD 770-768,Electronic Systems Division,Air Force Systems Command,Hanscom Air Force Base,Bedford,MA,USA,Nov 1973.

[14]David E.Bell and Leonard J.LaPadula.Secure Computer Systems：A Mathematical Model.ESD-TR-73-278,Vol.II,AD 771-543,Electronic Systems Division,Air Force Systems Command,Hanscom Air Force Base,Bedford,MA,USA,Nov 1973.

[15]David E.Bell and Leonard J.LaPadula.Secure Computer Systems：A Refinement of the Mathematical Model.ESD-TR-73-278,Vol.III,AD 780-528,Electronic Systems Division,Air Force Systems Command,Hanscom Air Force Base,Bedford,MA,USA,Apr 1974.

[16]David E.Bell and Leonard J.LaPadula.Secure Computer Systems：Mathematical Foundations and Model.M74-244, The MITRE Corporation, Bedford, MA, USA , Oct 1974.

[17]David E.Bell and Leonard J.LaPadula.Secure Computer System： Unified Exposition and MULTICS Interpretation.MTR-2997 Rev.1,The MITRE Corporation.Bedford.MA,USA,Mar 1976.

[18]Clark,David D.;and Wilson,David R.;A Comparison of Commercial and Military Computer Security Policies; in Proceedings of the 1987 IEEE Symposium on Research in Security and Privacy (SP'87), Oakland, CA; IEEE Press.May 1987.

[19]Thomas RK, Sandhu RS.Task-Based authentication controls (TABC)：a family of models for active and enterpriseoriented authentication management.1997.

[20]D.F.C.Brewer and M.J.Nash.The Chinese wall security policy.In Proceedings of IEEE Symposium on Security and Privacy.1989.

[21]D.Ferraiolo,R.Sandhu,S.Gavrila,D.R.Kuhn,R.Chandramouli.A Proposed Standard for Role Based Access Control[J].ACM Transactions on Information and System Security.August.2001.

[22]D.Ferraiolo,J.Cugini,and D.R.Kuhn.Role Based Access Control (RBAC)：Features and Motivations[C].Proc.1995 Computer Security Applications Conference,Charlie Payne,New Orleans,December 1995.

[23]Sandhu,R.,Coyne,E.J.,Feinstein,H.L.and Youman,C.E.(August 1996) .Role-Based Access Control Models.IEEE Computer(IEEE Press).

[24]D.R.Kuhn (1998).Role Based Access Control on MLS Systems without Kernel Changes.Third ACM Workshop on Role Based Access Control.1998.

[25]卿斯汉.基于DTE策略的安全域隔离Z形式模型[J].计算机研究与发展.2007.