（计算机科学与技术专业论文）ibac及其应用关键技术的研究与实现.pdf

国防科学技术大学研究生院硕十学位论文 摘要 随着计算机的普及，越来越多的个人、企业、政府部门把重要信息存储在计 算机中，但是数以百万计的病毒、木马、蠕虫等恶意软件给这些信息带来巨大威 胁，给计算机使用者造成严重损失。现有的数据保护技术具有严重的滞后性和不 稳定性，总是在恶意软件爆发之后才能给出解决方案，并且经常发生误杀错杀的 情况。 论文首先分析了恶意软件的本质，发现绝大部分的恶意软件都具有文件访问 行为，并且这些文件访问行为是不被用户所知的非法行为。进一步，文章对传统 的数据保护技术的原理进行了分析，主要包括用户权限最小化、软件安全认证技 术、代码认证技术、访问控制技术等。它们共同的缺陷是程序在运行时获得的权 限是用户的权限，所以恶意软件一旦获得运行权限之后就可以任意访问用户可以 访问的文件，对用户文件造成破坏。技术是中性的，本身不存在恶意，同样的技 术可以为f 常软件所用，所以从技术角度对恶意软件做出判断是不准确的，这也 是安全软件发生误杀、错杀的重要原因。 根据对恶意软件及传统数据保护技术的分析，论文首先给出了用户意愿的概 念，提出用户意愿是用户发布的文件访问授权，表示同意某程序以某模式访问某 文件。以用户意愿为基础提出新的病毒定义，即发出用户意愿以外的文件访问请 求的程序。然后建立了基于用户意愿的访问控制模型( i n t e n t i o nb a s e da c c e s s c o n t r o l ，简称i b a c ) ，接着分析了模型的基本安全性质及与其他模型结合之后的 安全性质，并针对在实际应用中存在的关键问题提出了合理的解决方案，最后在 w i n d o w s 系统上实现了该系统。 根据对系统的攻击测试、性能测试和可用性测试的结果分析，i b a c 具有良好 的实时性和可靠性，并且论文提出的可用性方案也较好的解决了i b a c 应用时的可 用性问题，可以达到较好的可用性。 主题词：病毒定义，用户意愿，文件系统，访问控制，可用性，病毒防御 第i 页 国防科学技术火学研究生院硕十学位论文 a b s t r a c t w i t ht h ep o p u l a r i t yo fc o m p u t e r s ，m o r ea n dm o r ei n d i v i d u a l s ，e n t e r p r i s e s ， g o v e r n m e n td e p a r t m e n t ss t o r et h e i ri n f o r m a t i o ni nc o m p u t e r s ，b u th u n d r e d so fm i l l i o n s o fv i r u s e s ，t r o j a nh o r s e s ，w o r m sa n do t h e rm a l i c i o u ss o f t w a r eb r i n ge n o r m o u st h r e a tt o t h ei n f o r m a t i o n a n dc a u s e ds e v e r ef i n a n c i a ll o s s e st ou s e r s t r a d i t i o n a ld a t ap r o t e c t i o n t e c h n o l o g i e sh a v eh y s t e r e s i sa n di n s t a b i l i t y ，c a n n o tg i v es o l u t i o n sb e f o r et h eo u t b r e a ko f m a l i c i o u ss o f t w a r e ，a n do f t e nm a k em i s t a k e si nd e t e c t i n ga n dc l e a n i n gv i r u s e s f i r s t l y ，t h i st h e s i sa n a l y z e dt h ee s s e n c eo fm a l i c i o u ss o f t w a r e ，a n df o u n dt h a tt h e o v e r w h e l m i n gm a j o r i t yo fm a l i c i o u ss o f t w a r eh a sf i l ea c c e s s e s ，a n dt h e s ef i l ea c c e s s e s a r ei l l e g a la n du n k n o w nt ou s e r s f u r t h e r ，t h et h e s i sa n a l y z e dp r i n c i p l e so ft r a d i t i o n a l d a t ap r o t e c t i o n t e c h n o l o g i e s ，i n c l u d i n gm i n i m i z eu s e r sr i g h t s ，s o f t w a r es e c u r i t y c e r t i f i c a t i o n ，a c c e s sc o n t r o lp o l i c i e sa n dp r o o f - c a r r y i n gc o d e t h e i rc o m m o nd e f e c t si s g i v i n gp r o c e s s e ss a m er i g h t sa su s e r s ，s oo n c em a l i c i o u ss o f t w a r eg e tr i g h t st of u r l ，t h e y c a na c c e s sa l lt h ef i l e st h a tu s e r sc a na c c e s s ，c a u s ed a m a g et ou s e r s d a t a t h e t e c h n o l o g yi sn e u t r a l ，i sn o tm a l i c i o u si t s e l f , t h es a m et e c h n o l o g yc a n b eu s e db yb o t h n o r m a ls o f t w a r ea n dm a l i c i o u ss o f t w a r e ，s om a l i c i o u ss o f t w a r e sd e f i n i t i o nf r o m t e c h n i c a lp o i n tv i e wi sn o ta c c u r a t e ，w h i c hi st h ei m p o r t a n tr e a s o nt h a ts e c u r i t ys o f t w a r e m a k em i s t a k e si nd e t e c t i n ga n dc l e a n i n gv i r u s e s b a s e do nt h ea n a l y s i so fm a l i c i o u ss o f t w a r ea n dt r a d i t i o n a ld a t ap r o t e c t i o n t e c h n o l o g i e s ，t h i st h e s i sp r e s e n t e dt h ec o n c e p to ft h eu s e r si n t e n t i o n ，t h a ti sa u t h o r i z ea p r o g r a mt oas p e c i f i e df i l ei ns p e c i f i e da c c e s sm o d e b a s e do nt h eu s e r si n t e n t i o n ，t h i s t h e s i sp r o p o s e dt h en e wd e f i n i t i o no fv i r u s t h e nt h i st h e s i se s t a b l i s h e di b a cm o d e l ( i n t e n t i o nb a s e da c c e s sc o n t r 0 1 ) ，a n da n a l y z e dt h eb a s i cs e c u r i t yq u a l i t ya n de x t e n s i o n s e c u r i t yq u a l i t yc o m b i n e dw i t ho t h e rm o d e l s ，a n dp u tf o r w a r dr e a s o n a b l es o l u t i o n st o t h ek e yi s s u e si ni b a ca p p l i c a t i o n f i n a l l y ，t h i st h e s i si m p l e m e n t e dt h es y s t e mo n w i n d o w sx p a c c o r d i n gt ot h ea n a l y s i so fa t t a c k st e s t s ，p e r f o r m a n c et e s t sa n du s a b i l i t yt e s t s ， i b a cd i dw e l li nr e a l - t i m ea n dr e l i a b i l i t y ，a n dt h es o l u t i o n st ou s a b i l i t yi s s u ea l s o a c h i e v e dg o o dr e s u l t s k e yw o r d s ：v i r u s sd e f i n i t i o n ，u s e r si n t e n t i o n ，f i l es y s t e m ，u s a b i l i t y ， v i r u sd e f e n s e 第i i 页 国防科学技术大学研究生院硕+ 学位论文 表目录 表1 1 2 0 年来全球十大病毒2 表5 1 访问请求元素信息4 6 表6 1f i l e m a n a g e r 与i be n g i n e 通信类型表。5 7 表6 2 添加静态授权通信格式表5 7 表7 1 反病毒软件对比表6 3 表7 2 写入文件测试结果6 6 表7 3 可用性测试结果7 0 第1 v 页 国防科学技术大学研究生院硕七学位论文 图目录 图1 12 0 0 8 年计算机病毒造成的危害比例l 图2 1t r u s t e d b s d 系统a c l 示意图9 图2 2 用户权限与进程权限关系图1 0 图2 3 进程执行时实际权限示意图l o 图2 4m a c 实现整体框架示意图。1 0 图2 5m a c 进程安全标记继承示意图1 1 图2 6r b a c 系统中进程权限示意图1 2 图2 7基于进程访问控制模型中权限分配示意图l2 图2 8 p r o o f - c a r r y i n gc o d e 结构图【4 2 1 1 9 图3 1病毒结构图2 2 图3 2 病毒传染过程示意图2 3 图3 3“熊猫烧香中毒示意图2 3 图3 4 逻辑用户、程序用户、实际用户关系图2 5 图3 5显式病毒、隐式病毒攻击范围示意图2 9 图4 1d a c 系统文件访问请求过程3 4 图4 2i b a c 与d a c 结合之后文件访问请求过程3 4 图5 1数据保护系统结构图3 6 图5 2 系统空闲时的文件访问请求3 7 图5 3 m i c r o s o f tw o r d 运行时产生的临时文件示意图3 7 图5 4w i n d o w s 图像查看器调用图像编辑器示意图3 8 图5 5程序调用本身示意图3 8 图5 6 程序询问用户是否删除临时文件示意图4 0 图5 7 授权判断专家系统结构图4 8 图6 1访问基本流程图5 0 图6 2i r p 处理流程图5l 图6 3i b d p s 方案结构图一5 2 图6 4f i l e m a n a g e r 功能模块关系图5 3 图6 5 保护区工作区图标5 4 图6 6 保护区示意图5 4 图6 7 f i l e m a n a g e r 普通目录右键菜单5 5 图6 8f i l e m a n a g e r 集中管理保护区工作区操作界面5 5 图6 9f i l e m a n a g e r 静态授权管理操作界面1 5 6 第v 页 国防科学技术人学研究生院硕+ 学位论文 图6 1 0 图6 1 l 图6 1 2 图6 1 3 图6 1 4 图7 1 图7 2 图7 3 图7 4 图7 5 图7 6 图7 7 图7 8 f i l e m a n a g e r 静念授权管理操作界面2 5 6 直接进行静态授权5 6 i bd i a l o g 操作界面图5 8 自动获取用户意愿流程图5 9 访问监控程序功能结构图5 9 未安装任何反病毒软件时系统被攻击示意图6 l 系统中毒之后重启提示信息6 l “卡巴斯基”扫描病毒结果6 2 “卡巴斯基警报界面6 2 病毒在关闭“卡巴斯基”之后对系统进行攻击6 3 i b d p s 拦截到病毒6 4 i b d p s 拒绝病毒攻击后系统状态6 4 系统性能测试对比图( 写入) 6 7 第v i 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 学位论文题目：! 旦堡丞基廑用差缝技盔鲍盈究曼塞理 学位论文作者签名：童蔓虬 日期：29 。7 年7 2 月2 7 日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文作者签名： 作者指导教师签名： 日期：2 。7 r 年，月彳日 日期：叫年，2 月7 日 国防科学技术人学研究生院硕十学位论文 第一章绪论 1 1 课题背景及意义 誊俎-霎l驾霹j1；i篙；垂!虬。 菊l 页 国防科学技术大学研究生院硕十学位论文 公司、电视机构、航空公司、邮购公司在内，损失都在6 5 0 万关元以上；0 8 年全 球仅商业界因计算机病毒的损失就在千亿美元以上。下面是2 0 年来对全球造成损 失最多的十大病毒的统计： 表1 i2 0 年来全球十大病毒 病毒名称爆发时间病毒主要危害造成损失 c i h1 9 9 8 感染可执行文件，删除硬盘数据1 0 0 亿美元 m e l i s s a1 9 9 9 发送垃圾邮件，感染w o r d 文件3 - 6 亿美元 i l o r e y o u2 0 0 0 发送恶意邮件，感染系统1 0 0 一1 5 0 亿美元 c o d e r e d2 0 0 l 修改网页，使服务器瘫痪2 6 亿美元 b l a s t e r2 0 0 3 使系统崩溃，网络堵塞5 0 1 0 0 亿美元 s o b i g 2 0 0 3 修改注册表使系统瘫痪5 0 1 0 0 亿美元 m v d o o m2 0 0 3发送垃圾邮件，造成网络堵塞5 0 1 0 0 亿美元 s a s s e r2 0 0 4 发送1 卜法数据致使网络瘫痪数千万美元 n i m a y a 2 0 0 6 删除朋户文件上亿关元 网游大洛 2 0 0 7 盗取游戏账号、密码笛数千万美元 计算机病毒造成如此严重危害的原因并不是用户的防御不足，是由于防御技 术存在缺陷而无法对用户数据提供实时、有效、全面的保护。在上例f b i 的调查 报告中，2 0 6 6 家受调查企业，有9 8 2 的被调查机构安装了杀毒软件，9 0 7 的安 装了防火墙，四分之三采用了反间谍软件和反垃圾邮件措施，大约一半拥有虚拟 专用网( v p n ) 、访问控制列表( a c l ) 、物理安全、桌面管理等，四分之一使用了加 密、入侵检测、内容过滤等方法，还有二十分之一有智能卡或生物安全措施。然 而即便如此，仍然有三分之二的企业因为计算机病毒遭受财务损失。 论文对传统的病毒防护技术做了深入分析研究，存在的问题归纳如下： 1 不能对数据提供实时保护 现有的反病毒软件、防火墙等不能对所有未知病毒提供实时的防御，总是在 病毒爆发之后才能拿出有效的解决方法，而在这期问，病毒已经造成严重损失。 研究表明，不存在一个算法可以准确识别所有已知和未知病毒1 4 j ，病毒识别己成为 国际上公认的难题。所以反病毒软件的这种滞后性是不可避免的，唯一的解决方 法就是研究新的病毒定义和病毒判断标准。 2 不能对数据提供全面的保护 一些安全软件对重要数据采用备份、加密等方式进行保护，但是数据加密、 备份并不是数据保护的全部。一旦系统被病毒攻破则有可能将备份数据删除，或 者将重要数据窃取进行解密。比如2 0 0 6 年爆发的“熊猫烧香”病毒就会删除所有 的g h o 类型的备份数据。所以备份、加密等方式只能从一定程度上减少用户损失 而不能全面的保护数据。 第2 页 国防科学技术大学研究生院硕十学位论文 3 财隐臧恶意的程序无能为力 用户对使用的软件、程序究竟有哪些功能无从考究，表面上是一个正常的程 序，但是如果其隐藏有恶意则用户可能在不知情的情况下遭受了损失，并且事后 也不易找出原因。比如许多软件公司都有在其软件中植入后门程序来保护自己的 版权或者收集用户信息，这在一定程度上窃取了用户的隐私并且也给病毒攻击提 供了机会。许多间谍软件也是伪装成正常软件或者注入到正常软件中，在用户使 用时却隐密的将用户数据窃取或者转移，这是许多泄密事件的原因。 4 过度依赖操作系统的安全性 现有的反病毒软件都认为操作系统是可信的，一方面是因为其本身运行需要 操作系统的支持，一方面是从技术上无法与操作系统相抗衡。如果操作系统要窃 取、修改用户数据，它完全可以无视安全软件的存在，直接将其绕过。所以操作 系统的安全性、可靠性几乎是所有国家和用户的心头之患。当前最流行的w i n d o w s 系统声称自己以前没有以后也不会添加后门程序，但是2 0 0 8 年针对盗版用户的“黑 屏”事件无疑给所有用户都蒙上了阴影。 5 对用户存在不同程度的干扰 现有的反病毒软件为了能更全面的防御病毒，对所有的文件访问请求进行拦 截，并且认为对关键区域和文件的访问，比如修改注册表、修改系统启动文件、 修改可执行文件等等都是可疑操作，以弹出提示对话框的方式询问用户是否允许 执行，对用户工作造成干扰。 研究能更全面、准确的识别、防御计算机病毒的新方法、新理论，以及在实 际应用时存在的问题，已经成为国际上信息安全领域最具挑战性的课题，如果能 够在技术上取得突破，在不降低安全性的基础上给用户方便、易用的软件，对国 防和国民经济建设都具有重大意义。 1 2 研究现状 目自仃国内外对于计算机安全的研究工作很多，本节将介绍一些主要研究成果 及其基本原理。 1 数据备份 数据备份是为了防止恶意程序或者由于非人为因素造成的数据损坏或者丢失 的解决办法，主要用于企业。目i i i 主要有三种备份策略： a )完全备份，备份周期内的每次备份对所有数据都进行备份。至少需要 两套备份介质，轮换交替进行。优点是发生数据灾难时只需要一份介质即可恢复 数据，缺点是数据量大，备份时间长。 第3 页 国防科学技术大学研究生院硕+ 学位论文 b )增量备份，一个周期( 如一间) 内只进行一次完全备份，然后每次备 份只对修改过的数据进行备份。优点是节省空间，备份时间短，缺点是发生数据 灾难时恢复数据较复杂。 c )差分备份，一个周期只进行一次完全备份，然后每次备份时分析与完 全备份不同的数据，将其进行备份。避免了上述两种方式的缺点，同时又节省了 空间，易于恢复数据。是广泛采用的一种备份方式。 2 数据加密 数据加密主要是解决数据被窃取或者数据丢失时造成的泄密问题，另外也可 以保证数据的完整性。采用数据加密可以在一个特定时期内保证数据的安全性， 但是加密不是数据保护的全部，并不能防止数据被窃取，并且加密是肯定可以被 破解的。 3 访问控制技术 访问控制技术的目的是限制计算机系统中合法用户的可执行操作以及程序的 行为【5 6 】。主要自主访问控制技术( d a c ) f 7 】、强制访问控制技术( m a c ) 【7 】，基 于角色的访问控制技术( r b a c ) f 8 j 和基于进程的访问控制技术( p b a c ) 【9 1 。但是 访问控制技术对数据的保护是有限的，病毒可以通过欺骗、伪装等手段逃过检查， 达到破坏的目地。 4 反病毒技术 反病毒技术是当前安全领域的研究热点，一般是先根据病毒识别方法辨认出 病毒，再根据病毒特征将病毒清除。病毒识别方法是关键技术，当前主要有以下 几种方法： a ) 病毒特征码扫描法 每一种病毒体含有的特定字符串，对被检测的对象进行扫描，如果在被检测 对象内部发现了某一种特定字符串，就表明发现了该字符串所代表的病毒。扫描 器包含特征串和扫描算法两部分构成，特征串与服务器保持更新，其大小也决定 了病毒识别耗费的时间。 b ) 虚拟机执行技术 此方法主要是为了识别经过加密的病毒。其原理是为代码虚拟出“指令执行 虚拟器”，以软件的方法模拟指令的执行，加密的病毒在执行时肯定会先解密， 病毒将自身解密之后，可以再利用病毒特征码扫描法判定代码是否为病毒。 c ) 文件实时监控技术 通过利用操作系统底层接口技术，对系统中的所有类型文件或指定类型的文 件进行实时的行为监控，一旦有病毒传染或发作时就及时报警。从而实现了对病 毒的实时、永久、自动监控。 第4 页 国防科学技术大学研究生院硕十学位论文 d ) 先知扫描法 先知扫描技术将专业人员用来判断程序是否存在计算机病毒代码的方法，分 析归纳成专家系统和知识库，再利用软件模拟技术( s o f t w a r ee m u l a t i o n ) 执行新 的计算机病毒，超前分析出新计算机病毒代码，对付未知的计算机病毒。 此外还有嵌入式杀毒、智能还原技术、陷阱技术等等。但是当前许多案例表 明反病毒技术还存在很大缺点：不能准确、实时查杀病毒；存在误判、误杀的情 况。 5 安全操作系统 现代个人计算机均基于存储程序原理，数据和指令保存在存储器中，c p u 负 责从存储器中取出指令和数据，然后执行指令要求的操作。其本质是一个指令序 列的自动执行器，而与安全并没有直接关系。正因为如此，操作系统被寄予了厚 望，成为计算机系统安全的关键层。 安全操作系统的研究与开发已经引起了世界各国的重视，如我国的8 6 3 计划、 国家自然科学基金等均支持安全操作系统的研究。安全操作系统开发通常是以操 作系统安全等级标准或者计算机系统安全等级标准为依据，研制相应的操作系统、 弥补操作系统的安全漏洞。美国国防部1 9 8 3 年公布了著名的桔皮书“可信计算机 系统评价准则”，对多用户计算机系统安全等级的划分作了规定，从低到高分为d 、 c l 、c 2 、b 1 、b 2 、b 3 、a l 七级1 1 0 , 1 1 1 。中国也颁布了对应的标准“计算机信息系 统安全保护等级划分准则”、“军用计算机安全评估准则”等。人们常见的操作 系统中，w i n d o w sn t 操作系统达到了c 2 等级，一些u n i x 平台的操作系统能达 到c l 等级。真j 下达到理论上比较可信的“验证设计级 ( a 1 级) 的产品国际上 尚未见报道。 6 自安全存储设备 自安全存储设纠1 2 , 1 3 】的设计目标是防止入侵者进行诸如私自篡改或者永久删 除存储数据这类攻击行为1 1 4 , 15 】。但由于入侵者可以取得真实用户甚至主机操作系 统的合法身份，所以任何由操作系统控制的资源是不可靠的，包括存储器自身。 自安全存储器并不附属于主机操作系统，而是将它服务的操作系统以及它们的用 户都看作不可靠的实体对象。自安全存储与主机控制备份的存储之问的关键区别 在于，入侵者不可能通过复杂的操作系统或者它们的用户账号绕过备份软件，而 必须经由单一设备，而该设备仪仅提供单一存储接口 7 可信平台模块( t p m ) 和l a g r a n d e 技术 t p m 技术是由包括微软、i b m 、h p 、i n t e l 等i t 公司成立的可信计算平台联 盟( t c p a ) 发布的标准模块。它通过在计算机系统中嵌入一个可抵制篡改的独立 计算引擎，使非法用户无法对其内部的数据进行更改，从而确保了身份认证和数 第5 页 国防科学技术人学研究生院硕十学位论文 抛加密的安全性。l a g r a n d e 技术是i n t e l 和微软n g s c b 共i 叫提出的计划，它构 建了一套严格的安全保护机制，将内存页面、存储系统、输入输出过程严密地保 护起来，为键盘、鼠标的信息输入提供了一条安全的通道，通过密钥加密机制， 恶意的窥探软件也无法获取用户的输入信息。 8 沙盒( s a n d b o x ) 技术 沙盒【1 7 ，1 8 l 是为解决a p p l e t 的安全问题而提出来的。j a v a 认为：来自网络上的 a p p l e t 总是不值得信任的，因此应对其访问资源的能力进行限制。沙盒最初是基 于这样的认识：本地代码是可信的，能够访问本地系统资源：而远程代码则是不 可信的，必须为其设置一个沙盒，使其只能访问这个沙盒中所设定的资源。后来， 随着安全问题的日益突出，把这一思想扩展为：本地代码与远程代码一样，也是 并不完全可信任的，同时，远程代码也不是完全不可信任的，于是为运行于j v m 环 境的代码均设置一个信任级别，这个信任级别由沙盒来定义与实现。 1 3 论文研究内容 在硕士课题研究期间，作者在数据保护方面做了大量的理论研究和实践工作。 对病毒的本质进行了深入研究、分析，研究了用户在系统中的角色，提出了基于 用户意愿的数据保护系统，对系统应用的若干重要关键技术进行了研究，提出可 行方案并对系统进行了实现与测试。主要研究内容概括如下： 1 传统数据保护技术的缺陷分析 对传统的各种数据保护技术进行了细致分析，包括访问控制技术、基于硬件 的数据保护技术、基于软件的数据保护技术等等。分析其不能对数据提供可靠实 时保护的安全漏洞。 2 病毒本质分析 对下载到的3 0 0 0 多份病毒样本，从传播、感染、攻击和系统驻留的详细分析， 根据分析指出病毒的恶意本质，以及广义病毒定义。在广义病毒定义的基础上提 出了以用户意愿对病毒进行判断的病毒判断标准。以新的病毒定义和病毒判断标 准为工具，证明了病毒是可以准确识别的。 3 基于用户意愿的访问控制模型研究 具体研究内容包括对其定义、形式化模型、模型的安全性质分析与证明、与 传统访问控制机制相比较分析等。 4 基于用户意愿的数据保护系统研究 在对基于用户意愿的访问控制模型的研究基础上，进一步提出基于用户意愿 的数据保护系统，并对该系统的安全性质进行了详细分析与证明。 第6 页 国防科学技术人学研究生院硕十学位论文 5 系统应用关键技术研究 理论的可行与实际应用还有很大差距，论文的一部分重要工作就是对应用数 据保护系统中存在的关键技术进行研究，在提高系统可用性、可靠性和性能方面 提出了可行方案，具体包括工作区概念的提出、授权方式区分以及授权判断专家 系统的构造等。 6 系统实现与测试 以当前主流操作系统w i n d o w sx p 系统为平台，做了包括系统内核修改、事 件驱动模块修改等工作，实现了基于用户意愿的数据保护系统，以及实现了提高 系统可用性、可靠性和性能的方案。最后对系统进行了攻击测试、性能测试及可 用性测试，并对测试结果进行了分析。 1 4 主要贡献 本文针对数据保护问题，提出了基于用户意愿的数据保护系统，并且对应用 该系统的关键技术进行了研究，提出了可行的方案，实现了w i n d o w s 平台下的原 型系统，并对系统进行了包括攻击测试、性能测试和可用性测试在内的全方位测 试。主要贡献包括： 1 提出病毒判断的标准 病毒判断的标准是反病毒软件、数据保护技术等安全领域的基础。论文提出 以是否违背用户意愿为识别程序，作为判别病毒的唯一标准，而不是以病毒所采 用的技术或者病毒的特征行为，避免了传统病毒识别中存在的“好病毒”和“坏病毒” 的矛盾，使得病毒能够被准确识别。 2 提出了基于用户意愿的数据保护系统 本文针对现有数据保护技术的安全脆弱性，提出了基于用户意愿的数据保护 系统，并建立了该机制的形式化模型。该机制的理论创新点在于： 一是真正将访问控制的粒度置于进程层次上，使得进程权限真j 下按需而设， 也使系统更紧密符合最小权限原则； 二是将保护策略从以程序为中心转变为以数据为中心，避丌了恶意程序识别 难题，防御未知文件攻击成为可能。 3 应用关键技术的研究 理论可行性与实际应用之间还有很大差距，论文详细分析了应用数据保护系 统时存在的问题，并且提出了可行的解决方案。主要创新点有： 一是提出了自动获取用户意愿和工作区的概念，大大减少了系统对用户的干 扰，提高了可用性。 第7 页 国防科学技术大学研究生院硕十学位论文 二是构造了授权判断专家系统，更易于普通用户的理解和使用，进一步减少 对用户的干扰同时保证了系统安全性不被降低。 4 系统在具体操作系统中的实现与测试 以w i n d o w s 平台为基础，实现了系统各个模块，并且给出了系统的可靠性、 性能及可用性的测试。验证了理论结论。 1 5 论文结构 全文共分为八章： 1 绪论。阐述了系统的研究背景，分析了国内外计算机安全领域的研究现状， 提出了论文的创新点、研究内容及主要贡献。 2 传统数据保护技术缺陷分析。分析了传统的数据保护技术，从技术原理及 实现方面分析了其安全性漏洞，指出了传统数据保护技术的缺陷的根本原因。 3 广义病毒的定义。首先对传统病毒定义进行了分析，指出其缺陷与矛盾所 在，进一步探讨了病毒的恶意本质，在此基础之上提出了广义病毒定义，并分析 定义的性质。 4 基于用户意愿的访问控制模型。对模型进行了详细描述，进一步分析了模 型的安全性质，包括基本安全性质和与其它传统访问控制模型结合之后的共同性 质。 5 基于i b a c 的数据保护系统。根据对i b a c 的分析，提出了新的数据保护 系统，证明了系统的安全性质。详细分析了应用数据保护系统中存在的问题，提 出可用解决方案。 6 系统实现。在w i n d o w sx p 平台下实现了基于i b a c 的数据保护系统，详 细阐述了系统结构及各个功能模块。 7 系统测试。对于实现的数据保护系统，本章提出并实际进行了包括攻击测 试、性能测试和可用性测试在内的三项系统测试方案，验证了系统的可靠性和可 用性。 8 结束语。总结全文，展望后续工作。 第8 页 国防科学技术大学研究生院硕十学位论文 第二章传统数据保护技术及其缺陷分析 计算机病毒技术与反病毒技术之间的斗争自从病毒诞生之日起就没有停止 过。随着病毒技术的进步，出现了各种各样的反病毒技术来保护数据的安全，同 时病毒制造者们也不断更新病毒技术来绕过、欺骗反病毒技术的检测，层出不穷 的安全事故和病毒爆发表明反病毒技术一直处于劣势。本章深入分析了各种反病 毒技术的理论基础，从其基本原理中找出其缺陷，主要包括访问控制技术、基于 硬件的数据保护技术和基于软件的数据保护技术。 2 1 访问控制技术 访问控制技术是保护计算机系统信息安全的重要技术手段。它是按用户身份 及用户所归属的预定义组来限制用户对某些信息项的访问，或限制对某些控制功 能的使用，包括安全策略的制定与执行。访问控制机制可以阻止用户对信息的非 授权访问。主要的访问控制技术有自由访问控制( d a c ) 、强制访问控制( m a c ) 、 基于角色的访问控制( r b a c ) 和基于进程的访问控制( p b a c ) ，下面分别进行 分析。 2 1 1 自主访问控制 自主访问控制策略允许对象的属主来制定针对该对象的保护策略【1 9 , 2 0 】，即拥 有授予某种访问权力的主体( 用户) 能够自己决定是否将访问控制权限的子集授 予其他的主体或从其他主体那早收回他所授予的访问权限。通常d a c 通过授权列 表或访问控制列表来限定哪些主体针对哪些客体可以执行什么操作。d a c 的优点 是用户具有很大的灵活性，能适应于现实世界的许多系统，使得它广泛成为各种 操作系统和应用程序的访问控制策略选择。t r u s t e d b s d 系统就应用了d a c ，下面 是t m s t e d b s d 系统中实现的访问控制列表的示意图： u il u 【j a ：r w g r o u p h ：r 图2 1t r u s t e d b s d 系统a c l 示意图 左侧o b j 为普通的文件、目录、设备、符号链接等可由用户访问的客体；右 第9 页 国防科学技术大学研究生院硕十学位论文 侧为单个用户a 、b 或者组用户对该客体的访问权限。 假定需为用户预设的权限为r u ，并认为该用户为完成任务所需发起的进程集 合为 p l ，p 2 ，p 3 ，p n ) ，r i 为p i 完成其子任务所需的权限，其中i _ 1 ，2 ，n ， 则r u = l 一，如下图所示： 图2 2 用户权限与进程权限关系图 但是p i 在执行用户任务时所拥有的实际权限r p i 与r u 相同，也为l f ，如 下图所示： 幽2 3 进程执行时实际权限示意图 可见进程的权限与用户权限相等，不符合最小权限规则。并且当用户自主的 将其权限授予其他主体时，常常会导致安全级别高的客体信息流向安全级别较低 的主体，破坏了信息的机密性原则。 2 1 2 强制访问控制 强制访问控制【2 i 】策略是指系统给主体和客体分配了不同的安全属性，用户不 能改变自身或任何客体的安全属性，即不允许单个用户确定访问权限，只有系统 管理员可确定用户与用户组的访问权限。系统通过比较客体和主体的安全属性来 决定主体是否可访问客体。其整体框架如下： 幽2 4m a c 实现整体框架示意图 第1 0 页 o = = 国防科学技术人学研究牛院硕十学位论文 m a c 的主要优点是：它提供了比d a c 更强的安全保证，它总能保证信息流 是从低安全级别的实体流向高安全级别的实体，保证了信息的机密性。然而，这 种强制性的后果是导致了其可用性较差，使得系统的授权管理等问题比较棘手。 同时，由于其对写访问的特殊要求，使得合理的高安全级别主体向低安全级别的 客体的写访问受到了限制，也是难以描绘现实系统的这种合理请求的。 另外，当主体访问系统内客体时，m a c 框架将检查主体及该主体所需访问的 客体所对应的内核对象的安全标记( 该内核对象的安全标记来自于客体的安全标 记) ，因此，需先定义的是系统的主、客体。上图的框架中，客体指所有的内核 对象的对应实体，主体应当是完成任务的进程本身，主体的安全标记应当是该进 程的安全标记。然而，如图2 5 所示，本文发现系统获取进程的安全标记却最终 来自于登录用户的安全标记。 匠 厂一子进程_ l 一子进程 匡匠 2 1 3 基于角色的访问控制 r b a c 2 2 2 5 1 的研究比较热，其基本思想是在用户和访问权限之间引入角色的概 念，将用户和角色联系起来，通过对角色的授权来控制用户对系统资源的访问。 目前为止，r b a c 包括四个不同的层次，分别为r b a c 0 、r b a c l 、r b a c 2 和r b a c 3 。r b a c 的主要优点是：它与现实世界的许多系统相类似，能应用到现 实中的许多系统中，同时，又保证了其良好的安全性质，也使得系统授权管理等 第11 页 国防科学技术人学研究生院硕+ 学位论文 l 、u j 题比较容易解决。然而，r b a c 无法在执行过程中埘执行主体的权限进行精确 的控制，主体执行过程中，其获得的权限仍是本次会话所激活角色的所有权限， 而不是它完成任务所需要的最小权限。如下图所示： 图2 6r b a c 系统中进程权限不恿图 进程p l ，p n 是用户u s e r 发起的，在一次会话过程中，设u s e r 被赋予 了r o l e l 、r o l e 2 ，r o l e l 和r o l e 2 分别被赋予了权限p r o l e l 和p r o l e 2 ，则u s e r 所拥 有的权限为p r o l e l + p m i e 2 ，由于进程权限的继承特性，p i 所拥有的权限也为 p r o l 。l + p m l e 2 ，即进程获得的权限为本次会话激活的角色的所有权限，而不是它完成 任务所需要的最小权限。 2 1 4 基于进程的访问控制 基于进程的访问控制( p b a c ) 9 , 2 6 】是比较新的观点。它以进程为中心，从进 程的角度建立安全模型。其基本思想是：资源的拥有者为用户，访问者为进程； 将用户的权限根据进程的权限进一步细分，使进程权限最小化。 p b a c 将所有进程分为系统进程、可信进程和普通进程三类。系统进程与用户 的权限相同，默认情况下可信进程也与用户权限相同，普通进程默认情况下没有 网络访问权限并且只能访问其本身所在目录下的文件与子目录。 p b a c 中权限的分配分为用户权限和进程权限两个步骤，其中进程的权限由系 统管理员和用户共同设定。如下图所示： 图2 7 基于进程访问控制模型中权限分配示意图 第1 2 页 国防科学技术大学研究生院硕十学位论文 p b a c 的缺点一方面在于普通用户无法根据自身需要准确分配给进程相应的 权限，恶意进程完全可以通过伪装、欺骗等骗取用户来获得相应权限，对系统造 成破坏。并且即使对于专业用户，为进程分配相应的权限也是非常复杂的，实现 的难度比较大且使用不方便。另外更重要的一方面在于p b a c 将系统进程的权限 与用户权限等同，并且默认时可信进程也与用户权限等同，不符合程序最小权限 原则。所以一旦恶意程序运行，获得用户权限，系统和用户数据受损失的范围就 非常大。 总之，传统访问控制策略着眼于控制用户的权限而非程序权限。因此，它们 只满足用户最小特权原则，而不满足程序最小特权原则。 2 2 1 安全芯片技术 2 2 硬件保护技术 可信平台模块t p m 和l a g r a n d e 技术是当前研究比较热门并正在推广的两类主 要安全芯片技术。 t p m 技术是由包括微软、i b m 、h p 、i n t e l 等i t 公司成立的可信计算平台联 盟( t c p a ) 发御的标准模块。它通过在计算机系统中嵌入一个可抵制篡改的独立 计算引擎，使非法用户无法对其内部的数据进行更改，从而确保了身份认证和数 据加密的安全性。 l a g r a n d e 技术是i n t e l 和微软n g s c b 共同提出的计划，它构建了一套严格的 安全保护机制，将内存页面、存储系统、输入输出过程严密地保护起来，为键盘、 鼠标的信息输入提供了一条安全的通道，通过密钥加密j o l * 0 ，恶意的窥探软