信息系统审计证据生成系统模型及签名算法探讨

1、信息系统审计证据生成系统模型及签名算法探讨            信息系统审计证据生成系统模型及签名算法探讨    2012-1-14 15:48:20                        

2、                         关键词: 计算机取证；系统整体保护；完整性保护；摘要:对信息系统下计算机取证工作的需求进行分析，提出了信息系统审计证据生成系统模型。该模型解决了信息系统审计数据作为电子证据时存在的完整性保护不足问题，为依据GB/T 25070-2010信息安全技术 信息系统等级保护安全设计技术要求建设的信息系统增加带有时间戳

3、的审计证据完整性保护功能，可以在不修改信息系统审计数据原保存格式的前提下，使系统审计数据满足电子证据取证需要。该模型采用简单时间戳协议和审计数据分组签名算法，有效降低了审计证据生成系统对网络带宽和存储空间资源的占用。1引言计算机证据已经成为司法工作中常见的证据类型，重要信息系统中的各类审计信息，都可能在网络安全事件中成为计算机证据。计算机证据具有数字性、技术性、脆弱性、多态性、人机交互性、复合性等特点，其中脆弱性特点是指：计算机中的证据信息容易被修改，并且对其进行修改后可以做到不留痕迹。鉴于计算机证据的这一特点，证据生成技术不但要为证据数据内容提供完整性保护，更要为产生证据数据的时间信息提供完

4、整性保护。如何将计算机取证工作与信息系统整体保护技术紧密结合，在系统整体保护环境下对审计数据进行合法有效的调查取证，成为当前计算机取证工作中的热点问题之一。2信息系统整体保护环境下的审计数据管理国家标准GB/T 25070-2010信息安全技术 信息系统等级保护安全设计技术要求为系统整体保护环境的设计实现提供了技术指导，该标准对第二级以及第二级以上信息系统的安全管理中心提出了审计管理功能要求3。在该标准的信息系统整体保护技术体系结构中，本文来自论文之家:,转载请保留此标记规定计算环境、通信网络、区域边界等信息系统各组成部分的审计日志，需通过审计子系统传送至信息系统安全管理中心，进行统一集中管理

5、。标准的这一要求体现了系统整体保护思想，避免了信息系统计算节点、区域边界等组件被外来攻击者入侵、破坏后危及审计数据安全。但审计管理系统允许管理员对审计数据进行备份、删除，因此在安全事件发生后，审计数据内容仍有可能被系统内部管理人员选择性删改，或通过修改系统时间等手法伪造审计记录，使得审计数据作为电子证据的可信度受到质疑。因此，需要为信息系统增强审计数据完整性保护功能，将审计数据自动转化为审计证据，使审计数据的完整性保护强度满足电子证据的取证需要。3 传统计算机取证技术完整性保护能力分析3.1传统计算机取证技术传统信息系统中，计算机取证工作通常在安全事件发生后，使用EnCase等取证工具，直接在

6、被取证计算机上采集电子证据4，并在取证时刻形成与证据内容相关联的时间戳签名，为计算机证据提供完整性保护。将原始数据生成的时刻记为T0，调查取证时刻记为T1。通常T1时刻与T0时刻之间相隔数周甚至数月，该方法生成的计算机证据，仅能证明在取证时刻T1之后，证据数据的完整性未被破坏，无法保护证据数据生成时刻T0到T1之间的时间段内证据数据的完整性，因此传统取证方法在证据数据完整性保护方面存在缺陷。3.2传统取证技术直接应用于系统整体保护环境将传统计算机取证方法在系统整体保护环境中进行应用，其工作方式由直接在安全事件发生主机取证，改为在信息系统安全管理中心针对审计数据进行调查取证。将原始数据生成的时刻

7、记为T0，审计信息保存至安全管理中心的时刻记为T1，调查取证时刻记为T2。信息系统中各节点的审计日志由审计子系统实时传送并保存在安全管理中心，因此可视为T0= T1。该方法与3.1节方法存在相同问题，由于无法证明在T2与T0之间作为证据的审计数据未被篡改，所以传统取证方法在系统整体保护环境下依然存在证据数据完整性保护缺陷。4信息系统审计证据生成系统模型由3.2节的分析可以了解到，解决计算机取证工作中的完整性保护问题，关键在于从原始数据生成时刻起为证据信息提供完整性保护。图1带有时间戳的审计数据完整性保护技术如图1所示，本文通过将时间戳签名机制引入信息系统的审计子系统，在审计数据生成后的第一时间

8、为其进行时间戳签名。通过数字签名为数据生成时间提供完整性保护56，使证据数据的完整性有效证明时间提前到时间戳签名时间T1，由于系统对原始审计数据实时进行传输、存储，所以T1等效于原始数据生成时刻T0，即解决了3.2节所述方法存在的问题，审计数据可以被直接作为证据数据，实现系统整体保护环境下的审计证据生成。图2给出了信息系统审计证据生成系统模型，该模型利用信息系统外的第三方公证机构提供的时间戳服务，对原始数据进行实时签名，然后将签名数据与原始审计数据一起保存。在调查取证时，同时提取审计数据和相应的数字签名，通过校验数字签名的有效性，证明审计数据从产生时刻起未被篡改。图2 信息系统审计证据生成系统

9、模型5审计数据分组签名算法信息系统运行过程中，会产生大量审计信息，大型应用系统的审计数据量可达每日数十GB。每次时间戳签名请求需要额外完成审计数据摘要值和时间戳签名两次网络数据传输，每个时间戳签名的存储需要消耗与被签名原始数据相当的存储空间。如果为审计系统生成的每一条审计记录单独生成一个时间戳签名，系统对网络带宽的占用量将达到原值的3倍，存储大量时间戳签名将导致审计记录存储空间达到原系统的2倍，因此需要在不影响审计数据的证据效力的前提下，尽可能缩减审计证据生成系统所产生的网络带宽与存储空间资源占用。本文采用限制时间戳签名请求频率的方法提高信息系统审计证据生成系统运行效率，减少资源占用。算法1审

10、计数据分组摘要值算法输入：原始审计数据输出：审计数据分组摘要值方法：(1)    记录当前时间为t；(2)    从审计数据库中取最大签名组号Gmax，计算当前签名组组号G=Gmax+1；(3)    查询是否接收到新审计数据，若无数据则转(5)；(4)    将审计数据和对应签名组组号保存到审计数据库；        ：         

11、;信息系统审计证据生成系统模型及签名算法探讨    2012-1-14 15:48:20                                       &#

12、160;          (5)    计算 t=tnow-t ，其中tnow为当前时间，如果t小于一个签名组的时间间隔，则转(3)，否则转(6)；(6)    对该组审计数据整体计算摘要值。审计数据分组签名算法将系统在t时间段内产生的所有审计数据归为同一个签名组，每组审计数据生成一个分组摘要值，共用同一个时间戳。当签名组内日志数据被修改、删除或日志数据的顺序被人为调整时，审计数据分组摘要值会发生变化，通过时间戳签名进行完整性验证会发现该审计数

13、据分组内的证据数据异常。国家标准GB/T 25070-2010信息安全技术 信息系统等级保护安全设计技术要求附录B给出了信息系统审计记录的参考数据结构定义3。typedef struct tagAudit_RecordUINT16  NodeID;UINT16  iType;UINT32  Time;ALABEL SubLabel;ALABEL ObjLabel;UINT16  Bret;Byte        Reserved6; Audit_Record;其中，Reserved字段

14、的用途是保留字段，本文采用该字段保存审计数据分组的组号，将组号对应的时间戳数字签名另行储存。该方法充分利用了国家标准GB/T 25070-2010中为审计子系统预留的数据存储字段，在不修改信息系统原有审计记录数据结构的基础上，实现了降低存储空间需求的目标，由于该方法无需对信息系统的其他审计功能相关组件进行任何代码修改，使信息系统审计证据生成系统具备良好的兼容性。6 实验结果及分析时间戳签名对数据完整性保护的有效性已经得到了广泛认可789，因此本文针对信息系统审计证据生成系统的资源占用情况进行实验分析。实验中每个签名组的时间间隔t设置为1分钟，在多种审计数据生成速率条件下，分别测试信息系统审计证

15、据生成系统对网络带宽和存储空间的占用情况。审计数据量(条/ 分钟)表1 信息系统审计子系统资源占用情况由实验结果可以发现，审计证据生成系统额外产生的网络包个数与存储空间占用量只与时间相关。单位时间内审计数据量越大，审计证据生成系统对网络带宽和存储空间造成的额外消耗比例就越小。在每分钟600条审计数据的模拟系统中，审计证据生成系统为网络带宽和存储空间带来的资源占用增长比例仅为0.33%和0.17%，因此审计证据生成系统的部署不会给信息系统网络和存储资源造成明显影响。7 结束语计算机取证是重要信息系统设计与建设工作中必须考虑的安全功能，本文在信息系统整体保护技术体系结构基础上，提出了一种新的计算机

16、证据生成技术，该技术可以为电子证据的内容、生成时间、生成顺序等关键因素提供完整性保护，消除了电子证据在证据数据形成时刻至证据提取时刻之间存在的完整性保护空白。该方法与国家标准GB/T 25050-2010信息安全技术 信息系统等级保护安全设计技术要求相兼容，以微小的网络带宽和附加数据存储空间代价在信息系统中实现了审计数据取证功能。参考文献:丁丽萍,王永吉.计算机取证的相关法律技术问题研究,软件学报,2005,16(2):260-275.郑捷文,许榕生,杨泽明.计算机取证平台研究J,通讯和计算机,2005,2(4):29-34.3 GB/T 25070-2010.信息安全技术 信息系统等级保护安全设计技术要求S.4 胡亮,王文博,赵阔.计算机取证综述J吉林大学学报(信息科学版), 2010,28(04) :378-384.5张科伟,唐晓波.时间戳协议研究J,计算机应用研究,2004,10:100-103.6美 Andrew Nash, Wil