專利名稱:一種安全操作系統(tǒng)中審計(jì)信息處理方法
技術(shù)領(lǐng)域:
本發(fā)明屬于安全操作系統(tǒng)領(lǐng)域�。根據(jù)我國國家標(biāo)準(zhǔn)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》,第二級信息系統(tǒng)的關(guān)鍵技術(shù)為審計(jì)���,本發(fā)明即用來處理審計(jì)所產(chǎn)生的審計(jì)信息����。
背景技術(shù):
第二級信息系統(tǒng)的可信計(jì)算基應(yīng)能記錄下述事件使用身份標(biāo)識與鑒別機(jī)制���;將客體導(dǎo)入用戶地址空間(如打開文件����、程序初始化)�����;刪除客體��;由操作員��、系統(tǒng)管理員�����、和 (或)安全管理員實(shí)施的動作��;以及其他安全相關(guān)事件。對于每一事件��,審計(jì)記錄應(yīng)清晰包括事件的日期與時間����、用戶����、事件類型、事件是否成功����。對于身份鑒別事件,審計(jì)記錄應(yīng)該包含請求的起源(如終端標(biāo)志符)��。對于客體導(dǎo)入用戶地址空間時間和客體刪除事件�,審計(jì)記錄應(yīng)該包含客體名稱。系統(tǒng)管理員應(yīng)該能夠選擇性地審計(jì)任意一個或多個標(biāo)示用戶的行為�����。常用的桌面系統(tǒng)所提供的審計(jì)功能往往不能滿足上述多樣且靈活的需求��, Windows系統(tǒng)將能進(jìn)行審計(jì)的事件固化了�����,Linux自帶的審計(jì)功能也只能記錄系統(tǒng)調(diào)用、文件訪問等等��,靈活性不夠��,尤其是當(dāng)我們利用LSM(Linux安全模塊)按照國家標(biāo)準(zhǔn) GB17859-1999的要求自行開發(fā)了可信計(jì)算基之后�,審計(jì)信息的產(chǎn)生和處理需求非常靈活多變,需要自行設(shè)計(jì)開發(fā)審計(jì)信息處理的相關(guān)功能�。審計(jì)信息的生成,通常是在LSM鉤子中進(jìn)行的��,開發(fā)者可以在鉤子中匯總所需信息生成一條長度固定的審計(jì)信息���。由于系統(tǒng)對一個用戶操作的響應(yīng)是大量的具體事件���,因此在系統(tǒng)運(yùn)行過程中審計(jì)信息并發(fā)大量地產(chǎn)生,這些大量的審計(jì)信息需要進(jìn)行記錄��,存儲到文件�����,而對目標(biāo)文件的寫操作不能并發(fā)進(jìn)行�����,因此需要有一套同步機(jī)制,來協(xié)調(diào)和同步對于審計(jì)信息文件的寫操作�����,將大量并發(fā)的寫操作轉(zhuǎn)換成順序進(jìn)行的�����,以確保審計(jì)信息確保其順利地保存到目標(biāo)文件中去���。在某些可信計(jì)算基的需求中,對大部分事件的審計(jì)信息沒有實(shí)時性需求�����,即審計(jì)信息生成后不需要立即在審計(jì)信息文件中得到體現(xiàn)�����,而對某些特定事件的審計(jì)信息是有實(shí)時性需求的�,即生成的審計(jì)信息需要盡快寫入審計(jì)信息文件以備查詢和使用,例如在一個安全操作系統(tǒng)中安裝完一個新的應(yīng)用程序�����,則需要可信計(jì)算基依賴審計(jì)信息立即做出響應(yīng)。因此審計(jì)信息處理方法必須兼顧實(shí)時性和高效這兩種需求����。
發(fā)明內(nèi)容
為了滿足可信計(jì)算基對審計(jì)信息處理機(jī)制高效性和實(shí)時性的需求,本發(fā)明首先將審計(jì)分為普通審計(jì)和有實(shí)時性需求關(guān)鍵審計(jì)�����,在可信計(jì)算基中基于緩沖區(qū)建立兩套機(jī)制分別用來處理普通審計(jì)信息和關(guān)鍵審計(jì)信息��,并通過定時器來保證關(guān)鍵審計(jì)信息處理的實(shí)時性�。本發(fā)明的技術(shù)方案是這樣的
對Linux安全模塊鉤子提供兩個接口,一個用來處理普通審計(jì)信息�,另一個用來處理關(guān)鍵審計(jì)信息,這兩個接口各對應(yīng)一個包含若干個緩沖區(qū)元素的緩沖區(qū)�����,接收到的審計(jì)信息通過自旋鎖這一同步機(jī)制串行地寫入各自對應(yīng)的緩沖區(qū)中的當(dāng)前作用元素�����,這一元素被寫滿后給對應(yīng)的守護(hù)進(jìn)程釋放信號量;在系統(tǒng)中設(shè)立兩個守護(hù)進(jìn)程并啟動一個定時器��,一個守護(hù)進(jìn)程用來處理普通審計(jì)信息�����,另一個守護(hù)進(jìn)程用來處理關(guān)鍵審計(jì)信息��,定時器每隔數(shù)秒鐘向關(guān)鍵審計(jì)守護(hù)進(jìn)程釋放一個信號量����;普通審計(jì)守護(hù)進(jìn)程平時處于睡眠狀態(tài)�����,在得到普通審計(jì)緩沖元素區(qū)滿這一事件所釋放的信號量后被喚醒���,其任務(wù)是將普通審計(jì)緩沖區(qū)中的已被寫滿的緩沖區(qū)元素寫入磁盤文件���,而后繼續(xù)轉(zhuǎn)入睡眠狀態(tài)等待信號量;關(guān)鍵審計(jì)守護(hù)進(jìn)程平時處于睡眠狀態(tài)�,在得到信號量后被喚醒,喚醒后通過關(guān)鍵審計(jì)緩沖區(qū)的標(biāo)識位判斷出信號量的來源是關(guān)鍵審計(jì)緩沖區(qū)滿這一事件還是定時器��,如果是前者已則將被寫滿的緩沖區(qū)元素寫入磁盤文件,如果是后者則將緩沖區(qū)中現(xiàn)有的內(nèi)容寫入磁盤文件�����,以保證關(guān)鍵審計(jì)信息實(shí)時出現(xiàn)在磁盤文件中����,而后繼續(xù)轉(zhuǎn)入睡眠狀態(tài)等待信號量。這套機(jī)制在運(yùn)行時�,LSM鉤子根據(jù)可信計(jì)算基的需求生成審計(jì)信息,并通過普通審計(jì)和關(guān)鍵審計(jì)兩個接口將審計(jì)信息送入本套機(jī)制�,收到信息后首先給相應(yīng)緩沖區(qū)的自旋鎖上鎖防止沖突,將兩種審計(jì)信息寫入對應(yīng)的緩沖區(qū)中的當(dāng)前作用元素�����,寫完后檢查當(dāng)前作用元素是否已被寫滿�����,如果沒有寫滿則解開自旋鎖等待下一次審計(jì)信息的送入�,如果寫滿了則置下一個元素為當(dāng)前作用元素,并釋放一個信號量��,再解開自旋鎖�。相應(yīng)的守護(hù)進(jìn)程得到信號量后���,開始工作,將已經(jīng)寫滿的緩沖區(qū)元素追加寫到相應(yīng)磁盤文件�,寫完后進(jìn)入睡眠狀態(tài)等待信號量。另外啟用一個定時器�����,以數(shù)秒鐘為固定時間間隔給處理關(guān)鍵審計(jì)的守護(hù)進(jìn)程釋放信號量�����,該進(jìn)程能夠通過緩沖區(qū)元素的標(biāo)識位判斷出該信號量的來源是否是定時器��,如果是定時器����,則將關(guān)鍵審計(jì)緩沖區(qū)的當(dāng)前作用元素中現(xiàn)有的信息寫入相應(yīng)磁盤文件���, 并初始化當(dāng)前作用元素��。本發(fā)明的有益效果是�����,能夠通過緩沖區(qū)高效地處理大量并發(fā)的審計(jì)信息����,同時,將審計(jì)劃分為普通審計(jì)和關(guān)鍵審計(jì)���,可以重點(diǎn)解決關(guān)鍵審計(jì)信息的實(shí)時性問題����。
圖1是本發(fā)明中普通審計(jì)信息處理流程的示意圖����。圖2是本發(fā)明中關(guān)鍵審計(jì)信息處理流程的示意圖。這兩個圖表示出了審計(jì)信息由鉤子產(chǎn)生到寫入磁盤文件的大致流程����,其中關(guān)鍵審計(jì)信息處理機(jī)制比普通審計(jì)信息處理機(jī)制多了一個定時器,同時其守護(hù)進(jìn)程的算法增加判斷信號量來源的功能��。
具體實(shí)施例方式在Linux系統(tǒng)中�,可信計(jì)算基以內(nèi)核模塊的形式加載至操作系統(tǒng),本發(fā)明的這套機(jī)制在可信計(jì)算基的代碼中是這樣實(shí)現(xiàn)的1.模塊初女臺化時����,啟動兩個守護(hù)進(jìn)程process_audit_send禾口 kprocess_audit_send分別處理普通審計(jì)信息和關(guān)鍵審計(jì)信息����;這兩個進(jìn)程通過用while循環(huán)等待信號量而進(jìn)入睡眠狀態(tài)��,在睡眠狀態(tài)該進(jìn)程不起作用�����,接收到信號量后進(jìn)程才被喚醒��。2.開辟兩個結(jié)構(gòu)體AudBufHead和kAudBufHead分別作為審計(jì)普通緩沖區(qū)和關(guān)鍵審計(jì)緩沖區(qū)��,每個結(jié)構(gòu)體中有一個含5個元素的數(shù)組��,每個元素中有一個指針void*PaUd指向由kmalloc開辟的內(nèi)存區(qū)域����,每個區(qū)域大小為4K(每條審計(jì)信息大小為80Β,4Κ的空間則可以保存50條審計(jì)信息)��。這兩個作為緩沖區(qū)的結(jié)構(gòu)體各自通過一個currentwrite從5 個元素中標(biāo)識出唯一的當(dāng)前作用元素���,每個緩沖區(qū)中還配一個自旋鎖rwlock_t。3.編寫兩個接口 函數(shù) maninfo_add_audit_item 和 kmaninfo_add_audit_item��,分別用于處理普通審計(jì)信息和關(guān)鍵審計(jì)信息,在2. 6的內(nèi)核中需要通過EXP0RT_SYMB0L導(dǎo)出�。4.普通審計(jì)信息和關(guān)鍵審計(jì)信息產(chǎn)生時,鉤子函數(shù)會分別調(diào)用maninf0_add_ audit_item和 kmaninfo_add_audit_item將審計(jì)信息的指針?biāo)腿?�,此時用 write_unlock給緩沖區(qū)的自旋鎖rwlock_t上鎖����,由currentwrite確定當(dāng)前作用元素,用memcpy將信息寫入相應(yīng)的AudBufHead或kAudBufHead�����。寫完后���,記錄當(dāng)前元素中的寫入位置�����,即已寫入的信息個數(shù)��,檢查是否達(dá)到上限50條�,若未達(dá)到則write_iml0Ck解鎖退出�����,若達(dá)到50條上限, 則設(shè)置下一個緩沖區(qū)元素為當(dāng)前作用元素�,write_iml0Ck解鎖并up—個信號量。此時緩沖區(qū)可以接收新的審計(jì)信息進(jìn)行緩沖���,信號量的作用是喚醒守護(hù)進(jìn)程將滿了的緩沖區(qū)元素寫入文件���。5.建立一個timer_list定時器,以1秒鐘為固定的時間間隔給kprocess_audit_ send釋放一個信號量��。6.普通審計(jì)的守護(hù)進(jìn)程pr0CeSS_audit_Send得到信號量后被喚醒����,將剛剛被寫滿的緩沖區(qū)元素追加寫到磁盤文件,其過程中用set_fs調(diào)整訪問空間限制�。關(guān)鍵審計(jì)的守護(hù)進(jìn)程 kprocess_audit_send 得到信號量后,通過 kAudBufHead 中的 currentwrite�、 currentread等標(biāo)識位判斷出該信號量的來源是kmaninfo_add_audit_item還是timer_ list定時器。判斷方法是比對currentwrite和currentread���,如果是緩沖區(qū)滿這一事件 ^ kmaninfo_add_audit_item ^^^fH^jfiWii currentwrite if 于 currentread 的��,若二者相等則說明來源是timer_list定時器�����。信號量的來源如果是kmaninf0_add_ auditjtem���,則將寫滿的緩沖區(qū)元素內(nèi)容追加寫到磁盤文件并初始化位置標(biāo)識pos,如果是 timer_liSt定時器則只需將當(dāng)前作用元素中的內(nèi)容寫入文件并初始化位置標(biāo)識pos����。
權(quán)利要求
1. 一種安全操作系統(tǒng)中審計(jì)信息處理方法,其特征是對Linux安全模塊鉤子提供兩個接口����,一個用來處理普通審計(jì)信息,另一個用來處理關(guān)鍵審計(jì)信息��,這兩個接口各對應(yīng)一個包含若干個緩沖區(qū)元素的緩沖區(qū)�,接收到的審計(jì)信息通過自旋鎖這一同步機(jī)制串行地寫入各自對應(yīng)的緩沖區(qū)中的當(dāng)前作用元素,這一元素被寫滿后給對應(yīng)的守護(hù)進(jìn)程釋放信號量��;在系統(tǒng)中設(shè)立兩個守護(hù)進(jìn)程并啟動一個定時器��,一個守護(hù)進(jìn)程用來處理普通審計(jì)信息�����,另一個守護(hù)進(jìn)程用來處理關(guān)鍵審計(jì)信息�,定時器每隔數(shù)秒鐘向關(guān)鍵審計(jì)守護(hù)進(jìn)程釋放一個信號量�����;普通審計(jì)守護(hù)進(jìn)程平時處于睡眠狀態(tài)�����,在得到普通審計(jì)緩沖元素區(qū)滿這一事件所釋放的信號量后被喚醒�,其任務(wù)是將普通審計(jì)緩沖區(qū)中的已被寫滿的緩沖區(qū)元素寫入磁盤文件���,而后繼續(xù)轉(zhuǎn)入睡眠狀態(tài)等待信號量����;關(guān)鍵審計(jì)守護(hù)進(jìn)程平時處于睡眠狀態(tài)�����,在得到信號量后被喚醒��,喚醒后通過關(guān)鍵審計(jì)緩沖區(qū)的標(biāo)識位判斷出信號量的來源是關(guān)鍵審計(jì)緩沖區(qū)滿這一事件還是定時器��,如果是前者已則將被寫滿的緩沖區(qū)元素寫入磁盤文件���,如果是后者則將緩沖區(qū)中現(xiàn)有的內(nèi)容寫入磁盤文件�,以保證關(guān)鍵審計(jì)信息實(shí)時出現(xiàn)在磁盤文件中,而后繼續(xù)轉(zhuǎn)入睡眠狀態(tài)等待信號量����。
全文摘要
一種安全操作系統(tǒng)中的審計(jì)信息處理方法屬于安全操作系統(tǒng)領(lǐng)域�����。本方法使用了兩個接口函數(shù)���、兩個緩沖區(qū)���、兩個守護(hù)進(jìn)程、一個定時器�。將可信計(jì)算基中產(chǎn)生的審計(jì)信息區(qū)分為沒有實(shí)時性要求和有實(shí)時性要求這兩種,并分別通過普通審計(jì)接口和關(guān)鍵審計(jì)接口送入�,接收到的審計(jì)信息在同步機(jī)制的控制下被寫入緩沖區(qū),進(jìn)而由守護(hù)進(jìn)程將緩沖區(qū)中的元素寫入磁盤文件����,定時器可控制關(guān)鍵審計(jì)守護(hù)進(jìn)程周期性地寫文件而不必等待緩沖區(qū)滿,這種設(shè)計(jì)可以將并發(fā)的審計(jì)信息生成轉(zhuǎn)化成對審計(jì)信息文件的串行寫入�����,滿足可信計(jì)算基對普通審計(jì)的高效性需求和對關(guān)鍵審計(jì)的實(shí)時性需求。
文檔編號G06F1/32GK102509040SQ201110308169
公開日2012年6月20日 申請日期2011年10月12日 優(yōu)先權(quán)日2011年10月12日
發(fā)明者姜偉, 李瑜, 王大海, 田立業(yè), 胡俊 申請人:北京工業(yè)大學(xué)