傳感器網絡作業系統自保護系統的製作方法

2023-05-29 08:24:01 3

專利名稱：傳感器網絡作業系統自保護系統的製作方法
技術領域：
本發明涉及一種在高性能無線傳感器網絡作業系統中最小核心文件集合的訪問控制管理 系統，屬於高性能無線傳感器網絡領域。
背景技術：
目前基於Linux的嵌入式作業系統雖然有了較大的發展，引起了國內研究機構的廣泛關 注。作為嵌入式軟體系統的一種新選擇，Linux有如下的一些優點技術上具有先進性、健 壯性和安全性，它是一個多fi&務系統，可應付成千上萬的工作，能用於許多硬體平臺，廣泛 支持網絡、文件系統以及通訊協議，獲得了廣泛的硬體及軟體應用支持，免費的完整原始碼， 使整體開發、維護的費用很低。
傳統Linux系統中存在多個用戶，給予不同的用戶不同的用戶權限以訪問文件[l]，但是 嵌入式系統一般均為單用戶系統，這樣的安全控制手段是無法使用。
SELinux[2]比起通常的Linux系統來，安全性能要高的多，它通過對於用戶，進程權限 的最小化，即使受到攻擊，進程或者用戶權限被奪去，也不會對整個系統造成重大影響。 SELinux對於所有的文件、目錄、埠這類資源的訪問，都可以是基於策略設定的，這些策 略是由管理員定製的、 一般用戶是沒有權限更改的。它對所有的文件都賦予一個叫type的文 件類型標籤，對於所有的進程也賦予各自的一個叫domain的標籤。Domain標籤能夠執行的 操作也是由access vector在策略裡定好的。由於其傑出的安全性，目前很多系統都提供了 SELinux的擴展，並在這幾年中對其進行了改進。
但由於SELinux在嵌入式系統對於系統性能影響較大，在針對無線傳感器網絡的系統中 使用並不方便，因此我們制定了給予進程、文件的訪問控制策略。

發明內容
1、 所要解決的技術問題
針對以上問題，本發明提供了一種高性能無線傳感器網絡作業系統自保護系統來對系統 文件資源實現訪問控制。
2、 技術方案
本發明TFAD-901結合MicaZ節點，組成異構的無線傳感器網絡，包括有分布在特定地點的TFAD-901節點，通過無線方式通訊，組成網絡的主幹，1個TFAD-901節點與1個MicaZ 節點通過串口相連，其餘MicaZ節點之間通過無線方式通信；MicaZ節點進行環境數據的收 集工作，之後將收集到的數據傳回與TFAD-901相連的MicaZ節點，通過串口傳到TFAD-901 之後再通過主幹網傳到PC。
在TFAD-901節點上實現經過裁剪的Linux系統，在此基礎上，在TFAD-901之上進行訪 問控制規則管理。
在每個TFAD-901節點中寫入配置自保護方法代碼，分為應用層模塊和核心層模塊兩部分， 其中應用層模塊稱為管理中心；核心層模塊稱為決策中心；
應用層管理中心包括初始化模塊、規則配置模塊及規則配置信息表模塊、規則監控模塊、 知識監控模塊，內核數據交互接口，需要完成系統自保護模塊的啟動、初始化工作、策略配 置、策略運行狀態監控與感知應用環境相關的知識變化的知識監控等功能；
內核層決策中心包括訪問控制策略庫模塊、訪問控制決策統計模塊、安全策略緩存模塊、 訪問控制決策中心模塊，實現了根據訪問控制策略庫中信息，實現進程對最小可信文件資源 的訪問控制，統計訪問控制策略庫中信息被訪問情況，以便提高效率；
在控制臺與管理中心間有交互接口，承擔與控制臺以及管理中心各模塊的配置與監控數 據交換；
管理中心通過控制臺與用戶交互，進行規則配置、知識監控，再通過內核數據交互接口 與決策中心交互，將規則寫入訪問控制策略庫，決策中心通過決策庫進行進程對文件的訪問 控制。
所述的內核層決策中心在截獲系統的system—open進程信息和要訪問的文件信息之後， 逐條的取安全決策緩存，如果匹配成功並且規則為操作允許，則在更新訪問控制日誌後正常 調用system—open操作；如果匹配成功並且規則為操作不允許，則在更新訪問控制日誌後返 回，system—open操作不執行；如果匹配不成功，則逐條取訪問控制規則庫的規則進行逐條 匹配，如果匹配成功並且規則為操作不允許，則在更新訪問控制日誌後返回，system—open 操作不執行，否則在更新訪問控制日誌後正常調用system—open操作。
所述的規則配置模塊根據用戶輸入進行規則配置，用戶輸入的命令參數分為清空規則 庫、追加新規則和插入新規則。如果命令為清空規則庫，則調用內核交互接口清空規則庫； 如果為追加新規則，則在獲取新規則信息後，將新規則追加到規則配置信息，再調用內核交 互接口動態加載新規則；如果為插入新規則，則在獲取新規則信息後，將新規則插入到規則 配置信息合適位置在調用內核交互接口動態加載新規則。所述的知識監控模塊系統中設置定時器，當定時器超時之後，掃描特定文件目錄，如 果發現新文件則調用規則配置，添加新規則，然後掃描特殊請求，否則直接掃描特殊請求， 之後如果有合法新進程訪問文件規則，則調用規則配置插入新規則並回傳規則已更新信號， 然後更新定時器，如果沒有合法新進程訪問文件規則，則直接更新定時器，之後繼續等待定 時器超時。
所述的訪問控制決策統計模塊統計一個時間段內，進程對文件的訪問的拒絕或接受情 況，統計常用決策，用於提高系統決策效率。
所述的安全策略緩存模塊系統中設置定時器，當定時器超時之後，根據權利要求7所 述的訪問控制決策統計模塊獲取規則匹配次數信息，按規則訪問數量排序，取前n條放入安 全決策緩存，清空規則匹配次數信息，更新定時器之後等待定時器超時。
3、有益效果
所有的規則由用戶來進行配置管理，降低系統的資源消耗。系統自保護是對具體運用場 景下核心文件的訪問進行必要的控制，阻止非授權的進程訪問核心文件。本方法可在TFAD-901
節點上 實現文件訪問控制，並且在組成網絡後能夠對節點上的規則進行動態的配置。


圖1為本發明運行環境的網絡結構拓撲圖2為本發明的整體模塊結構圖3為本發明的規則配置模塊的工作流程圖4為本發明的知識監控模塊的工作流程圖5為本發明的訪問控制決策模塊的工作流程圖6為本發明的安全策略緩存模塊的工作流程圖7(a)為本發明不使用安全策略緩存的流程；
圖7(b)為本發明使用安全策略緩存的工作流程圖。
具體實施例方式
本發明包括TFAD-901節點以及在其上運行的系統自保護方法。
圖1中，l為MicaZ節點，2為TFAD-901節點。本方法提供了一種支持傳感器的高性能 節點TFAD-901，包括有基於0MAP5912的開發板，連接傳感器節點的串口，支持802. llg的無線網卡。開發板包括節點本身的CPU、內存、Flash等核心部件，串口用來連接MicaZ節 點，支持802.15.4的無線網卡。用於數據收集，無線網卡用於節點間的互相通信，利用其進 行規則配置。串口的數據收集並不影響本發明的實施，無線網卡則是本發明進行通信，配置 規則的必須部件。
TFAD-901結合MicaZ節點，組成異構的無線傳感器網絡，包括有分布在特定地點的 TFAD-901節點，通過無線方式通信，組成網絡的主幹，l個TFAD-901節點與l個MicaZ節點 通過串口相連，其餘MicaZ節點之間通過無線方式通信。MicaZ節點進行環境數據的收集工 作，收集的數據包括光照、溫度、溼度等，之後將收集到的數據傳回與TFAD-901相連的MicaZ 節點，通過串口傳到TFAD-901之後再通過主幹網傳到PC。網絡結構如圖l所示。
TFAD-901節點上實現經過裁剪的Linux系統，提供系統底層支持，並實現TFAD-901節點 間、TFAD-901節點與MicaZ節點的數據傳輸。
在此基礎上，在TFAD-901之上進行訪問控制規則管理，實現對可信文件的保護並建立專 業知識推導訪問規則集。
為達到上述目的，本發明提供了一種高性能無線傳感器網絡作業系統自保護系統，
(1) 系統自保護方法實現在每個TFAD-901節點中寫入配置自保護方法代碼，系統自 保護系統分為應用層模塊和核心層模塊兩部分，結構如圖2所示，其中核心層模塊主要負責 實施安全匹配決策，實現進程對最小可信文件資源的訪問控制，稱為決策中心；應用層模塊 主要負責控制策略的更新以及加載，主要是完成控制策略的管理功能，稱為管理中心。策略 在邏輯上被封裝在一個與作業系統的獨立組件中，它帶有一個良好定義的接口，通過這個接 口可以獲得根據安全政策所做的允許與否的存取決定。這個獨立的組件訪問控制決策中心， 其運行在微內核中。
交互接口是演示訪問系統自保護模塊的接口 ，提供對自保護配置與查看的命令fi^接口 ， 應能夠提供管理員與系統自保護模塊之間的交互功能，使之能夠對系統自保護模塊進行策略 配置，並完成與系統自保護模塊的通信。
應用層管理中心包括初始化模塊、規則配置模塊及規則配置信息表模塊、規則監控模塊、 與感知應用環境相關的知識變化的知識監控模塊，內核數據交互接口;
內核層決策中心包括訪問控制策略庫模塊、訪問控制決策統計模塊、安全策略緩存模塊、 訪問控制決策中心模塊；實現了根據訪問控制策略庫中信息，實現進程對最小可信文件資源 的訪問控制，統計訪問控制策略庫中信息被訪問情況，以便提高效率。
(2) 系統自保護方法處理在內核截獲所有進程對文件的訪問行為，對該行為按照一定的訪問控制策略進行檢查，以判斷是否允許該進程訪問核心文件。
(3)更新訪問規則通過串口直接在TFAD-901節點上配置，或者通過網絡進行配置。 上述(1)中包括下列操作
(11) 初始化模塊進行系統自保護啟動時的必要配置讀取配置文件，提取所有規則 調入內核，啟動自保護功能內核模塊。
(12) 交互接口承擔與控制臺以及系統管理中心各模塊的配置與監控數據交換。
(13) 規則配置模塊執行系統自保護的規則配置，並能夠實現自動加載。流程如圖3 所示根據用戶輸入進行規則配置，用戶輸入的命令參數分為清空規則庫、追加新規則和插 入新規則。如果命令為清空規則庫，則調用內核交互接口清空規則庫；如果為追加新規則， 則在獲取新規則信息後，將新規則追加到規則配置信息，再調用內核交互接口動態加載新規 則；如果為插入新規則，則在獲取新規則信息後，將新規則插入到規則配置信息合適位置在 調用內核交互接口動態加載新規則。
(14) 知識監控模塊周期性檢測應用背景的變化，根據專業知識的變化來自動更新規 則庫。流程如圖4所示系統中設置定時器，當定時器超時之後，掃描特定文件目錄，如果 發現新文件則調用規則配置，添加新規則，然後掃描特殊請求，否則直接掃描特殊請求，之 後如果有合法新進程訪問文件規則，則調用規則配置插入新規則並回傳規則已更新信號，然 後更新定時器，如果沒有合法新進程訪問文件規則，則直接更新定時器，之後繼續等待定時 器超時。
(15) 內核數據交互將系統配置模塊發來的控制命令及外界的各種反饋，轉換為內部 可接受的形式，通知內核程序辭去相應的動作。
(16) 訪問控制策略截獲所有進程對文件的訪問行為，對該行為按照一定的訪問策略 進行檢査，以判斷是否允許該進程訪問核心文件。決策流程如圖5所示在截獲系統的
system—open進程信息和要訪問的文件信息之後，逐條的取安全決策緩存，如果匹配成功並 且規則為操作允許，則在更新訪問控制日誌後正常調用system_open操作；如果匹配成功並 且規則為操作不允許，則在更新訪問控制日誌後返回，system_open操作不執行；如果匹配 不成功，則逐條取訪問控制規則庫的規則進行逐條匹配，如果匹配成功並且規則為操作不允 許，則在更新訪問控制日誌後返回，system—open操作不執行，否則在更新訪問控制日誌後 正常調用system—open操作。
(17) 訪問控制決策統計統計一個時間段內，進程對文件的訪問的拒絕或接受情況， 統計常用決策，用於提高系統決策效率。上述(2)中包括下列操作
(21) 截獲進程對文件的訪問信息程序在內核捕獲進程對文件的訪問需求，截取open 系統調用。
(22) 進入控制決策中心逐條匹配訪問控制規則，如果未找到匹配項或者匹配項的結 果為允許，則允許進程訪問文件，否則拒絕進程對文件的訪問。
上述(22)進一步包括下列操作
(221) 訪問控制規則訪問控制中心將截獲的進程和所要訪問的文件等各相關欄位按順 序自上而下和訪問控制策略庫中的規則匹配，如果匹配到最後一條規則，還沒有匹配規則， 則採用隱含的"拒絕"或"允許"，這由默認操作類型制定，在該系統中為了保證系統一般進 程的正常運行，默認操作類型為"允許"。由於該系統中不需要考慮用戶級別，所有規則庫中 具體規則內容只涉及程序和文件等信息。該規則庫中需要保護規則條數，具體的規則內容， 以及默認規則操作等。
為了能正確匹配規則，並保證操作的正確性，規定了規則存放的順序，操作類型為允許 訪問規則在前，操作類型為不允許訪問規則在後。操作類型為允許訪問規則為嚴格規則，而 操作類型為不允許訪問規則可簡單模糊匹配。
(222) 訪問控制中心鎖控制同一個時間段內，可能存在訪問控制決策需要讀訪問控制 策略庫中規則和用戶層規則配置模塊需要動態更新訪問控制策略庫的讀寫訪問衝突，因此提 供訪問控制策略庫的讀防寫是系統得以正常運行的前提條件。
(223) 訪問控制用戶緩存表訪問控制用戶層緩存表是為將規則配置信息表中內容動態 或者靜態傳入內核策略訪問庫中，規則實時監控提供中轉服務，主要由規則配置模塊、規則 實時監控和內核數據交互接口等訪問該數據結構。訪問控制用戶層緩存表的邏輯結構和訪問 控制策略庫結構類似。
(224) 緩存安全策略為了提高系統自保護模塊的執行效率，該方法在內核還提供一個 安全緩存決策，這個組件保存由訪問控制統計中心提供的訪問決策，這些決策隨後將會被訪 問控制中心使用。這樣，就可以使許多進程訪問文件的檢査不再需要匹配訪問控制策略庫中 所有的規則。訪問控制統計中心周期性的以訪問最多的規則情況來更新安全決策緩存中的決 策信息。當安全緩存決策組件收到一個決策改變通知時，更新安全緩存決策，更新完畢後通 知訪問控制中心。如圖6所示系統中設置定時器，當定時器超時之後，根據(17)的訪問控 制決策統計獲取規則匹配次數信息，按規則訪問數量排序，取前n條放入安全決策緩存，清 空規則匹配次數信息，更新定時器之後等待定時器超時。.圖7比較了採用及不採用緩存安全策略的控制決策中心工作流程，使用了緩存安全決策 後，對截獲的進程對文件訪問信息先與安全決策緩存信息相比較，直接得到決策信息，根據 決策信息決定是否允許訪問文件的操作。如果在安全決策緩存沒有找到匹配項，那麼就需要 逐條匹配訪問控制規則，而不採用緩存策略則直接匹配訪問控制規則。 上述(3)中包括以下操作
(31) 通過串口直接在節點上配置可以通過命令維護或者修改配置文件維護。通過命 令行維護一般針對單條規則，修改配置文件一般用於導入多條規則。
(32) 通過網絡在伺服器端配置直接修改配置文件進行維護。 本發明是一種高性能無線傳感器網絡作業系統自保護系統，實現定義安全策略和實施安
全策略檢查的分離設計，可更有效的利用開放式內核核心模塊結構，靈活支持強制訪問控制 策略隨應用知識的變化而自動更新，並支持本地和網絡進行更新策略的動態加載，在消耗較 少系統資源的情況下增強了節點的安全性。
參考文獻[美]AronHsiao著.史興華譯.Linux系統安全基礎[M].北京人們郵電出版社，2002. [2]Peter A. Stephen D. Meeting Critical Security objectives with Security-Enhanced Linux. Proceedings of the 2001 Ottawa Linux Symposium, 2001.
權利要求
1、一種傳感器網絡作業系統自保護系統，其特徵在於TFAD-901結合MicaZ節點，組成異構的無線傳感器網絡，包括有分布在特定地點的TFAD-901節點，通過無線方式通訊，組成網絡的主幹，1個TFAD-901節點與1個MicaZ節點通過串口相連，其餘MicaZ節點之間通過無線方式通信；MicaZ節點進行環境數據的收集工作，之後將收集到的數據傳回與TFAD-901相連的MicaZ節點，通過串口傳到TFAD-901之後再通過主幹網傳到PC。
2、 根據權利要求1所述的傳感器網絡作業系統自保護系統，其特徵在於在TFAD-901 節點上實現經過裁剪的Linux系統，在此基礎上，在TFAD-901之上進行訪問控制規則管理。
3、 根據權利要求1所述的傳感器網絡作業系統自保護系統,其特徵在於:在每個TFAD-901 節點中寫入配置自保護方法代碼，分為應用層模塊和核心層模塊兩部分，其中應用層模塊稱 為管理中心；核心層模塊稱為決策中心；應用層管理中心包括初始化模塊、規則配置模塊及規則配置信息表模塊、規則監控模塊、 知識監控模塊，內核數據交互接口，需要完成系統自保護模塊的啟動、初始化工作、策略配 置、策略運行狀態監控與感知應用環境相關的知識變化的知識監控等功能；內核層決策中心包括訪問控制策略庫模塊、訪問控制決策統計模塊、安全策略緩存模塊、 訪問控制決策中心模塊，實現了根據訪問控制策略庫中信息，實現進程對最小可信文件資源 的訪問控制，統計訪問控制策略庫中信息被訪問情況，以便提高效率；在控制臺與管理中心間有交互接口，承擔與控制臺以及管理中心各模塊的配置與監控數 據交換；管理中心通過控制臺與用戶交互，進行規則配置、知識監控，再通過內核數據交互接口 與決策中心交互，將規則寫入訪問控制策略庫，決策中心通過決策庫進行進程對文件的訪問 控制。
4、 根據權利要求3所述的傳感器網絡作業系統自保護系統，其特徵在於所述的內核層 決策中心在截獲系統的system—open進程信息和要訪問的文件信息之後，逐條的取安全決 策緩存，如果匹配成功並且規則為操作允許，則在更新訪問控制日誌後正常調用system—open 操作；如果匹配成功並且規則為操作不允許，則在更新訪問控制日誌後返回，system—open 操作不執行；如果匹配不成功，則逐條取訪問控制規則庫的規則進行逐條匹配，如果匹配成 功並且規則為操作不允許，則在更新訪問控制日誌後返回，system_0pen操作不執行，否則在更新訪問控制日誌後正常調用system_open操作。
5、 根據權利要求3所述的傳感器網絡作業系統自保護系統，其特徵在於所述的規則配 置模塊根據用戶輸入進行規則配置，用戶輸入的命令參數分為清空規則庫、追加新規則和 插入新規則。如果命令為清空規則庫，則調用內核交互接口清空規則庫；如果為追加新規則， 則在獲取新規則信息後，將新規則追加到規則配置信息，再調用內核交互接口動態加載新規 則；如果為插入新規則，則在獲取新規則信息後，將新規則插入到規則配置信息合適位置在 調用內核交互接口動態加載新規則。
6、 根據權利要求3所述的傳感器網絡作業系統自保護系統，其特徵在於所述的知識監 控模塊系統中設置定時器，當定時器超時之後，掃描特定文件目錄，如果發現新文件則調 用規則配置，添加新規則，然後掃描特殊請求，否則直接掃描特殊請求，之後如果有合法新 進程訪問文件規則，則調用規則配置插入新規則並回傳規則已更新信號，然後更新定時器， 如果沒有合法新進程訪問文件規則，則直接更新定時器，之後繼續等待定時器超時。
7、 根據權利要求3所述的傳感器網絡作業系統自保護系統，其特徵在於所述的訪問控 制決策統計模塊統計一個時間段內，進程對文件的訪問的拒絕或接受情況，統計常用決策， 用於提高系統決策效率。
8、 根據權利要求3所述的傳感器網絡作業系統自保護系統，其特徵在於所述的安全策 略緩存模塊系統中設置定時器，當定時器超時之後，根據權利要求7所述的訪問控制決策 統計模塊獲取規則匹配次數信息，按規則訪問數量排序，取前n條放入安全決策緩存，清空規則匹配次數信息，更新定時器之後等待定時器超時。
全文摘要
本發明涉及一種傳感器網絡作業系統自保護系統。本發明TFAD-901結合MicaZ節點，組成異構的無線傳感器網絡，包括有分布在特定地點的TFAD-901節點，通過無線方式通訊，組成網絡的主幹，1個TFAD-901節點與1個MicaZ節點通過串口相連，其餘MicaZ節點之間通過無線方式通信；MicaZ節點進行環境數據的收集工作，之後將收集到的數據傳回與TFAD-901相連的MicaZ節點，通過串口傳到TFAD-901之後再通過主幹網傳到PC。所有的規則由用戶來進行配置管理，降低系統的資源消耗。系統自保護是對具體運用場景下核心文件的訪問進行必要的控制，阻止非授權的進程訪問核心文件。
文檔編號H04L29/06GK101420773SQ200810243700
公開日2009年4月29日 申請日期2008年12月12日 優先權日2008年12月12日
發明者孫玉星, 達 李, 杜景林, 湯曉峰, 立 謝, 陳力軍, 陳道蓄 申請人:南京大學