建立一个安全可信的计算机平台，保证操作系统安全性，是当前亟待解决的问题。本文基于可信计算的思想，运用静态度量的方法设计主机可信安全管理系统。通过对系统可能出现的安全性漏洞进行分析，设计了文件保护、程序管理、网络端口控制以及违规外联处理等功能。在内核端基于LSM机制和netfilter机制编写可加载的内核模块，在用户端编写了文件监控进程处理消息，托盘进程进行违规预警，并且基于QT图形库设计了良好的用户UI界面，使用户有良好的交互体验。

课题的主要内容

本课题是基于TCM安全机制，采用静态度量方法，在搭载有龙芯3A3000处理器的中标麒麟系统上开发主机可信安全度量系统。

系统按进程划分有内核模块，文件监控进程，托盘进程，用户界面进程；系统按功能划分有用户认证登录、可信文件保护、可信程序管理、进程访问控制、网络端口控制、违规外联管理、日志管理。使用C/C++语言进行开发，主要技术使用了linux安全模块（LSM）、netlink通信、socket通信等机制。图形界面开发基于cute(QT)图形库，使用Qt Creator进行界面设计，给用户提供良好交互。

按照进程模块来划分有5个主要模块，分别是内核模块、用户登陆模块、文件监控进程模块、托盘进程模块，用户界面进程模块。

按照功能划分有6个主要功能，分别是可信文件保护、可信程序管理、用户行为策略、网络端口控制、违规外联处理和用户日志管理。

按进程模块划分

1.内核模块

内核模块是本系统的核心模块，负责系统的内核处理部分，在系统启动时就加载入内核，主要功能有：1．通过重写LSM中的回调函数来实现可信文件保护、可信程序管理、用户访问控制、网络端口控制、违规外联处理的安全策略，并注册到LSM安全框架中。2．负责用户非法操作拦截，当用户违反事先定义好的安全策略时，内核对操作进行拦截，并将拦截结果发送给文件监控进程。3．与用户界面进行通信，当用户改变安全策略改变时，内核响应用户端的操作，更新安全策略。

2.用户登陆进程模块

用户登陆进程模块主要控制用户的登陆，包含两个部分，一个是初始时的Linux系统登陆，一个是登陆可信安全管理系统界面。本系统有三种类型的用户，分别是管理员、审计员以及普通用户，权限分别为一级、二级、三级。在Linux系统中，系统的登陆是通过PAM来实现的，通过编写程序，并将其编译成.so动态库加载到pam.d的gdm-password(控制初始系统用户登陆验证过程)和gdm-screensaver(控制系统休眠时的重新登陆验证过程)中，就可以重新定义系统用户的登陆过程，将原先linux系统的用户名+密码的验证登陆方式，改变成用户名+可信安全用户类型+可信安全系统用户密码来登陆linux系统......

......

1.可信文件保护

在Linux操作系统中，经常是多个用户共享计算机的资源，一个用户所创建的文件在普通情况下其他用户（除了超级用户）是无法操作的，只能正常读取。然而，通过改写文件的权限或者当用户密码泄露时，文件仍然有可能被他人操作。为了防止文件被异常的操作，在linux的安全模块（LSM）中，提供了一系列关于文件保护的回调函数，用户可以通过重写该回调函数自定义文件保护安全策略，当有文件操作发生时，会询问LSM安全模块确认文件操作是否合法，若不合法则拦截该操作，若合法则继续操作。这样就可以达到对特定文件进行安全保护的效果。

在主机可信安全管理系统中，通过LSM安全机制自定义了文件保护策略，对文件的保护体现在三个操作：修改、重命名和删除，当用户存在这三类文件操作时，都会询问LSM进行检测。

系统的主要功能流程有：

a)启动加载：当linux启动时，用户登陆模块把用户信息发送给内核模块，内核模块根据用户权限，从可信文件保护列表中开始加载文件保护策略，通过解析策略文件，将最终策略保存于事先定义好的文件策略保护链表中。

修改策略：当用户通过在用户界面的操作，增加新的文件保护策略或者删除原有的文件保护策略时，用户界面会把操作记录到数据库中，在日志管理时会显示该操作记录。并且更新文件保护安全列表（存放于安装目录下的文本文件，用于保存文件安全策略）,最后发送消息给内核，通知内核模块策略更新。内核模块就会删除原有的文件策略保护链表的所有项，重新读取文件保护安全列表，解析文件保护策略，生成新的文件策略保护链表。