（计算机系统结构专业论文）基于winsock2+spi的内网主机安全通信研究.pdf

摘要 目前基于内网的不安全行为越来越多，传统的防火墙技术已经不能很好地解 决，论文首先考察内网安全的研究现状，在分析了内网安全存在的主要问题后， 参考目前已有的内网安全解决方案，并且分析比较各种网络封包截获技术的优缺 点，结合实际需求，提出了一种基于w i n s o c k 2s p i 网络封包截获技术的内网加密 通信方案。利用s p i 截获网络封包后，通过访问规则完成对数据包的过滤，再用 对称密码体制的d e s 算法对其进行加密认证，实现了内网中基于访问控制技术的 安全通信，提高了内网系统的安全性能。 论文所做的工作主要有三个方面：采用s p i 实现封包截获，不需要上层应用 程序作任何改动；具体从进程、口地址、s o c k e t 端口、数据封包内容分析及对数 据封包的加密认证提出了主机安全通信的技术途径，实现了在应用层基于主机的 访问控制的数据的安全加密传输；与一般的先将数据加密，再用w i n s o c k 发送， 接收数据后解密的系统不同，论文实现了一种基于s p i 网络封包截获技术的数据 加密传输模型。因此，在不改变已有通信系统的情况下实现了灵活的数据安全传 输功能，解决了内网的安全隐患，具有更好的通用性及灵活性，对于加强内网的 主机安全通信具有一定的应用价值。 关键词：w i n s o c k 2s p i 封包截获内网安全加密 a b s t r a c t w i t hm o r ea n dm o r ei n s e c u r i t yb e h a v i o rw h i c hc a n n o tb es o l v e dw e l lb yt h e t r a d i t i o n a lf i r ew a l lt e c h n o l o g yi ni n n e rn e t w o r k ，t h i sp a p e ri n v e s t i g a t et h ec u r r e n ts t a t u s o ft h ei n n e rn e t w o r ka tf i r s t ，a f t e ra n a l y z i n gt h em a i np r o b l e m so ft h ei n n e rn e t w o r k s e c u r i t y , a c c o r d i n gt om yr e f e r e n c e ，t h e r ea r em a n ys c h e m e sf o rt h es o l u t i o no ft h ei n n e r n e t w o r ks e c u r t y a f t e ra n a l y z i n ga l lk i n d so ft e c h n o l o g i e so ft h ep a c k a g ei n t e r c e p t i o n t h a te a c hh a si t so w na d v a n t a g e sa n dd i s a d v a n t a g e s an e we n c r y p t i o nc o m m u n i c a t i o n s c h e m eb a s e do nt h ep a c k a g e i n t e r c e p t i o nt e c h n o l o g yo fw i n s o c k 2s p ii ni n n e rn e t w o r k i sp r e s e n t e di n t h i sp a p e rw i t ht h ed e m a n do ft h ef a c t ：a f t e ru s i n gt h ep a c k a g e i n t e r c e p t i o nt e c h n o l o g yo fs p i ，u s et h ea c c e s sc o n t r o lr u l e st oc o m p l e t et h ef i l t r a t i o no f t h ep a c k a g e ，a n dt h e nu s et h ed e sa r i t h m e t i ct oa c c o m p l i s ht h ee n c r y p t i o no fi t s ot h i s s c h e m eh a sa c c o m p l i s h e dt h es e c u r ec o m m u n i c a t i o no fi n n e rn e t w o r kc o m b i n i n gw i t h t h ea c c e s sc o n t r o lt e c h n o l o g y t h e r ea r et h r e ea s p e c t sm a i n l yi nt h i sp a p e r ：f i r s ti tu s e sw i n s o c k 2s p ip a c k a g e i n t e r c e p t i o nt e c h n o l o g yt oa c c o m p l i s ht h ed e s i g nw i t h o u ta n ym o d i f i c a t i o no ft h eu p p e r a p p l i c a t i o np r o g r a m s e c o n di tp r o p o s e st h et e c h n o l o g ya p p r o a c ho ft h e s e c u r e c o m m u n i c a t i o no ft h eh o s tc o m p u t e rw h i c hc o n c r e t e l yu s i n gp r o c e s s 、i pa d d r e s s 、s o c k e t p o r t 、s p e c i a lk e y w o r di np a c k a g ea n de n c r y p t i o no ft h ep a c k a g et oc o m p l e t et h es e c u r e d a t at r a n s m i s s i o nb a s e do nt h ea c c e s sc o n t r o lo ft h eh o s tc o m p u t e r t h i r di t a c c o m p l i s h e san e w d a t ae n c r y p t i o nt r a n s m i s s i o nm o d e lw h i c hi sd i f f e r e n tf r o mt h e u s u a ls y s t e mw h i c he n c r y p t st h ed a t ab e f o r eu s i n gt h ew i n s o c kt os e n da n dd e c r y p tt h e d a t aa f t e rr e c e i v e s s ot h es y s t e mc a nt r a n s f e rd a t ap a c k e t si ns e c u r i t yw i t h o u tc h a n g i n g t h ec o n d i t i o no ft h ec o m m u n i c a t i o ns y s t e ma n ds o l v et h ei n s e c u r i t yh i d d e nt r o u b l ei n t h ei n t r a n e tc o m m u n i c a t i o n i ti sa na l l - p u r p o s es y s t e mw h i c hi sm o r ef l e x i b l ea n d p r o v e dt ob ev a l u a b l et os t r e n g t h e nt h ei n t r a n e th o s tc o m p u t e rc o m m u n i c a t i o ns e c u r i t y k e y w o r d ：w i n s o c k 2s p ip a c k a g ei n c e p t i o n i n n e rn e t w o r ks e c u r i t y e n c r y p t i o n 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗歹0 的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果：也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：鏊塾煎 同期咝= _ 鲨 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学应论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表沦文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文：学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文 在解密后遵守此规定) 本学位论文属于保密在年解密后适用本授权书。 本人签名： 导师签名： 同期型：丛 第一章绪论 第一章绪论 1 1 研究内网安全的背景及意义 当今世界已发展成为一个地球村，依赖的就是无处不在的网络技术【l j 。网络技 术的迅猛发展使当前各类机构、单位对网络日益依赖，不仅包括访问外部庞大的 i n t e m e t ，也包括其内部网络之间的相互访问通信。内网的概念，是针对公网( 外 部网络) 而言的，是指政府或企业等的部门与部门之间，或部门的内部所建立的 有限范围的内部通信网络，通过内网实现内部信息共享、协同工作。一般内网计 算机可通过一个公共的网关访问i n t e m e t 。 在世界范围，网络安全技术受到前所未有的高度重视，已成为世界经济、技 术发展中的关键技术问题之一。随着办公自动化在政府和企业中的应用，内部网 络通信的重要性日益凸显。在一个单位里，内部网络的建立可节约包括时间、人 员、低值易耗品等资源，大大控制了成本。但是，由于网络的共享性而造成的泄 密事件往往也能给一个企业带来致命的打击。如果这种网络安全事故出现在政府 部门，那么泄露的可能是国家机密，这种损失将不可估量。竞争对手、间谍、不 满的雇员、无聊的年轻人以及黑客会更加频繁地借助网络入侵他人的计算机，以 偷窃信息、进行破坏工作、发泄捣乱。尽管大部分机构已开始重视提高网络的边 界安全，但是企业网络内部的网络主机的防护还是非常脆弱的。虽然他们也对内 部网络实施了相应保护措施，如安装数万甚至数十万的网络防火墙、入侵检测软 件等，并希望以此实现内网与i n t e r n e t 的安全隔离，然而，达到的效果并不理想。 企业中经常会有用户出于各种不同的目的私自以m o d e m 拨号、手机或无线网卡等 方式上网，由于这些机器通常又置于企业内网中，这种情况的存在给企业网络带 来了巨大的潜在威胁。另外内网中提供对外服务的一些服务器也可能有系统漏洞 存在，某些用户有意窃听主机信息或者有意用恶意软件攻击同一内部局域网中的 其他主机，或者外网的黑客绕过防火墙而在企业毫不知情的情况下侵入内部网络， 从而造成敏感数据泄密、传播病毒等严重后果。在此情况下，企业耗费巨资配备 的防火墙就失去了意义。实践证明，很多成功防范威胁企业网边界安全的技术对 保护企业内网却没有作用。大多数的计算机安全统计数字表明，由内网发起的攻 击占全部计算机攻击的7 0 8 0 。因此当今企业网络的安全，仅靠网络边界的安 全已经远远不够，如何加强内网主机间的访问控制从而加强内网的整体安全将具 有重要意义。 内网安全问题的提出跟国家信息化的进程息息相关，信息化程度的提高，使 得内部信息网络具备了以下三个特点： 2 基于w i n s o c k 2s p i 的内网主机安全通信研究 1 ) 随着e r p 、o a 和c a d 等生产和办公系统的普及，单位的日程运转对内部 信息网络的依赖程度越来越高，内网信息网络已经成了各个单位的生命 线，对内网稳定性、可靠性和可控性提出高度的要求。 2 ) 内部信息网络由大量的终端、服务器和网络设备组成，形成了有机统一的 整体，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪， 对内网的各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所 未有的要求。 3 ) 由于生产和办公系统的电子化，使得内部网络成为单位信息和知识产权的 主要载体，传统的对信息的控制管理手段不再使用，新的信息管理控制手 段成为关注的焦点【2 】。 上述三个问题，都是依赖于内网，与内网的安全紧密相连的，因此内网安全 受到广泛关注和高度重视。 1 2 内网安全分析 相对于内网安全概念，传统意义上的网络安全更加为人所熟知和理解，事实 上，从本质来说，传统网络安全考虑的是防范外网对内网的攻击，即可以说是外 网安全，包括传统的防火墙、入侵检测系统和v p n 都是基于这种思路设计和考虑 的。外网安全的威胁模型假设内部网络都是安全可信的，威胁都来自于外部网络， 其途径主要通过内外网边界出口。所以，基于外网安全的威胁模型假设下，只要 将网络边界处的安全控制措施做好，就可以确保整个网络的安全。而内网安全的 威胁模型与外网安全模型相比，更加全面和细致，它假设内网网络中的任何一个 终端、用户和网络都是不安全和不可信的，威胁可能来自外网，也可能来自内网 的任何一个节点。所以，基于内网安全的威胁模型下，需要对内部网络中所有组 成节点和参与者进行细致管理，实现一个可管理、可控制和可信任的内网。由此 可见，相比于外网安全，内网安全具有：要求建立一种更加全面、客观和严格的 信任体系和安全体系；要求建立更加细粒度的安全控制措施，对计算机终端、服 务器、网络和使用者都进行更加具有针对性的管理；要求对信息进行生命周期的 完善管理。 通过内网安全分析，可以发现内部网络面临很多安全方面的隐患，具体可以 概括为： 1 ) 内网中各主机之间的相互安全通信很大程度上取决于主机的操作系统的 安全。但是当前的操作系统如w i n d o w s 2 0 0 0 、l i n u x 、u n i x 会经常发现存 在漏洞，或者内网用户技术上或人为的管理上缺乏安全管理手段，或安装 操作系统时采用了某些默认配置而引发的安全问题。 第一章绪论 3 2 ) 大部分的内网都是局域网，或者是由若干个局域网段构成。如果用集线器 相连，一群主机将处于同一个冲突域。其中任意主机，只要将其网卡设为 混杂模式，它就可以监听冲突域的所有过往数据包，无论是与之相关的， 还是另外两台主机间的通信数据包。这种技术称为嗅探技术，现在发展已 经非常成熟。攻击者可以非常方便地获取双方的通信内容，导致诸如用户 的帐号、密码等重要信息的泄露。即使主机之间以交换机相连而不处于同 一个冲突域，仍然可以针对交换机的转发原理，采用a r p 欺骗来达到网 内嗅探。 3 ) 主机的身份确认不能得到保证。很多内网的主机间通信是基于地址或者 m a c 地址或者i p 和m a c 的捆绑基础上来标识通信双方的身份。而内网 中的口地址是可以任意改动的，m a c 也是可以更改的。因此对于建立在 p 地址信任之上的m 地址欺骗将是可行的。通过软件编程，甚至直接在 网络属性配置上改动i p 地址，使得数据包的i p 源地址被伪造，这样信任 关系就名存实亡。但是对于外网，由于边界网关或者防火墙的存在，数据 包就不会通过。 4 ) t c p 会话的不安全性。嗅探技术和欺骗技术的存在，使得t c p 会话的劫持 成为可能。根据t c p i p 中的规定，t c p 协议进行通信需要提供两段序列 号以确保连接同步以及安全通信，系统的t c p i p 协议栈依据时间或者线 性地产生这两段序列号。在通信过程中，双方的序列号是相互依赖的，这 也是为什么称t c p 协议是可靠的传输协议。如果攻击者在此时进行会话劫 持，结果肯定是失败，因为会话双方“不认识 攻击者，攻击者不能提供 合法的序列号，因此，会话劫持的关键就是预测正确的序列号。而对于内 网环境，攻击者可以采取嗅探技术获得这些信息，同时结合口欺骗等技术 取代具有合法访问权限的主机接管t c p 会话。由此可见从攻击的严重性上 看，会话劫持攻击是致命的。 5 ) 安全威胁可能在内部局域网进行扩散。恶性的黑客攻击事件一般都是先控 制内网的一台主机，然后以此为跳板，利用内网主机间缺乏访问控制机制， 对其它主机发起恶性攻击，威胁整个网段。这种内网攻击的扩散性很强， 常见的缺乏安全机制的内部网络环境很难限制这种扩散。 6 ) 访问控制策略配置问题，在拥有多分布式主机的内网系统中，主机之间相 互的访问频繁，访问规则各异，使得每个用户到权限的映射规则变得非常 复杂庞大，很难维护。 综上所述，内网的主要威胁包括：网络数据包嗅探( 窃听) 、m 地址欺骗、t c p i p 会话劫持等，它们都是攻击最初可能利用的途径。作为内网用户的内部人员了解 内部的系统，内网业务流程，拥有一定的访问权限，而且一般不会被认为是非法 4 基于w i n s o c k 2s p i 的内网主机安全通信研究 用户，隐蔽性强，更有机会做非法的网络操作，较一般的黑客更加危险。这就使 得对于内网安全的研究显得更加迫切和重要。 1 3 内网安全的研究现状 从内网安全概念提出到现在，出现了相应的许多内网安全解决方案，由于缺 乏标准，这些产品和技术各不相同，但是总结起来，包括监控审计类、桌面管理 类、文档加密类、文件加密类和磁盘加密类等。 1 监控审计类 监控审计类是最早出现的内网安全方案，5 0 以上的内网安全厂商推出的内 网安全产品都是监控审计类的。监控审计类主要对计算机终端访问网络、应用使 用、系统配置、文件操作以及外设使用等提供集中监控和审计功能，并可以生成 各种类型的报表。监控审计技术一般是基于协议的分析、注册表监控和文件监控 等技术，具有实现简单和开发周期短的特点，能够在内网中发生安全事件后，提 供有效的证据，实现事后审计的目标。监控审计类的缺点是不能做到事前防范， 不能从根本上实现提高内网的可控性和可管理性。 2 桌面管理类 桌面管理类主要针对计算机终端实现一定的集中管理控制策略，包括外设管 理、应用程序管理、网络管理、资产管理以及补丁管理等功能，这类型常跟监控 审计产品有类似的地方，也提供了相当丰富的审计功能。桌面监控审计类技术除 了使用监控审计类的技术外，还可能需要针对w i n d o w s 系统使用钩子技术，对资 源进行控制，总体来说，技术难度不是很大。桌面监控审计实现了对计算机终端 资源的有效管理和授权，其缺点是不能实现对内网信息数据提供有效地控制。 3 文档加密类 文档加密类也是内网安全产品中研发厂商相对较多的内网安全产品类型，主 要解决特定格式主流文档的权限管理和防泄密问题，可以部分解决专利资料、财 务资料、设计资料和图纸资料的泄密问题。文档加密技术一般基于文件驱动和应 用程序的a p i 钩子技术结合完成，具有部署灵活的特点。但是，由于文档加密技 术基于文件驱动钩子、临时文件和a p i 钩子技术，具有软件兼容性差、应用系统 适应性差、安全性不高及维护升级工作量大的缺点。 4 文件加密类 文件加密类技术的类型繁多，有针对单个文件的加密，也有针对文件目录的 加密，但总体来说，基本上提供了一种用户主动的文件保护措施。文件加密技术 主要基于文件驱动技术，不针对特定类型文档，避免了文档加密类产品兼容性差 等特点，但是由于其安全性主要依赖于使用者的个人喜好和习惯，难以实现对数 第一章绪论 5 据信息的强制保护和控制。 5 磁盘加密类 磁盘加密类在磁盘驱动层对其部分或者全部扇区进行加密，对所有文件进行 强制保护，结合用户或者客户端认证技术，实现对磁盘数据的全面保护。由于磁 盘加密技术基于底层的磁盘驱动和内核驱动技术，具有技术难度高、研发周期长 的特点。此外，由于它对于上层系统、数据和应用都是透明的，要实现比较好的 效果，必须结合其它内网安全管理控制措施【2 】o 基于以上这些不同的内网安全解决方案，目前国内内网安全研究的方向主要 有： 1 ) 内网安全基础技术研究 传统的安全基础技术包括：内部访问控制、统一身份认证及加解密算法、安 全协议的分析研究。它侧重于针对特殊应用的实用算法的分析、提出或改进、实 现的研究。研究目的是掌握传统信息安全的数学工具，并将它们灵活地应用在实 际系统中。如：证书交换、私钥管理和交换等都是在这一主题下的工作。 2 ) 内网入侵及防范技术研究 主要研究外部主机在非授权情况下接入访问内部网络或者非授权可信域主机 访问内部网络；研究内部网络的入侵检测、入侵响应及防范技术、网络入侵行为 描述及入侵检测系统通讯的统一标准及协议，提出并实现针对不同内部网络的拓 扑模型的防护措施。 3 ) 系统安全体系及安全策略部署管理研究 主要研究应用层基础服务系统的安全整体策略，基于受保护基础服务的特点， 提出内网安全体系建立在符合各类组织结构基础上的层次和分级概念。研究包括： 内网安全系统的特殊性、相应的攻击手段特点、适应组织机构的全面防范体系、 系统抗毁恢复技术等。目的是提供完整的体系与策略来保障特定系统的安全。如： 对如何保护w e b 服务器、e m a i l 服务器、关键数据服务器安全的研究、如何保障 内外网安全隔离的研究。 4 )内网内容安全分析及保障技术研究 主要研究应用层对信息内容有安全要求的高层应用的安全性。研究包括：网 络信息内容的获取技术，研究如何在大规模的内部网络环境中保护信息内容的安 全存储、安全交换和安全更新技术，防护过程中的预报警技术，在发现目标时的 报警技术，包括通过终端或移动通讯设备报警；数字信息的版权保护技术。 5 ) 内网信息设备的安全保障 主要研究信息设备的登记和管理、信息资产的变更和维护管理、以及基于此 基础上的软件安全安装和设置等问题，为内网的各类应用提供稳定可靠的环境 1 】。 6 基于w i n s o c k 2s p i 的内网主机安全通信研究 1 4 论文的研究内容和章节安排 目前基于内网的不安全行为越来越多，传统的防火墙技术不能很好地解决， 论文提出了一种在应用层采用w i n s o c k 2s p i 网络封包截获技术开发的动态链接库 程序，实现了对基于s o c k e t 网络通信的服务的截获和过滤，实现了内网的安全通 信。在不改变已有通信系统的情况下实现了灵活的数据安全传输功能，解决了内 网通信过程中的不安全隐患。概括起来，论文所做的研究如下： 1 ) 在分析内网安全现状的基础上，研究内网安全的模型和网络封包截获的各 种技术。 2 ) 采用了w i n s o c k 2s p i 编程技术，通过在s o c k e t 中插入一层，为网络应用程 序调用t c p i p 函数提供了控制接口，基于s o c k e t 机制的网络程序都可以 得到有效控制。 3 ) 通过对主机用户的用户名，密码，硬盘序列号，m a c 地址和d 地址的验 证后，主机才开始通信加密数据。访问控制策略主要是对端口，地址及 协议的分析，而且访问控制规则可以根据用户需要进行添加和删除，更加 能够有效地控制访问用户及其权限。 4 ) 对通信数据的加密，文中采用了d e s 算法，具有公钥认证，每次会话使用 一个会话密钥，该次会话结束后销毁，大大增加了破解的难度。 5 ) 文中的加解密技术是对s o c k e t 机制发送或者接收的数据包一次性规则判断 后进行加解密，因此提高了加解密的效率。 基于以上所做的研究，论文章节安排如下； 第一章，绪论。首先介绍了研究内网安全的背景及意义，然后介绍了国内外 内网安全的研究现状，说明了研究内网安全的必要性。最后指出论文的主要研究 内容和论文的章节安排。 第二章，内网安全通信的技术背景。依次介绍了建立该目标模型所必需的一 些技术基础。包括各种网络封包截获技术、w i n s o c k 2s p i 编程技术、网络安全的 密码技术，作为展开本课题研究的基础性知识。其中重点对w i n s o c k 2s p i 编程技 术进行了详细介绍。 第三章，内网安全通信系统分析。根据前两章的分析和介绍，在分析了方案 的可行性以后，提出了模型系统的设计目标，分析建立模型的总体安全部署，给 出了模型的整体框架及各模块的概略。 第四章，内网安全通信系统的总体设计。这章是整个模型的全面设计，对模 型框架模块化，各模块进行详细分析和描述，包括各个过程、功能模块、相互之 间的交互作用、具体技术的应用等。 第五章，内网安全通信系统的具体实现，系统的两个主要模块：s p i 过滤模块 第一章绪论 7 和用户应用程序模块都给出了详细的实现过程，从而给系统模型设计的应用和研 究以实际的可行性支持。 结束语，作为全文的结束，总结了所建立的系统模型的特点及创新，定性地 分析了该安全模型系统，最后点出了系统尚待解决的不足和需要改进提高的方面， 并作了研究展望。 第二章内网安全通信的技术背景 9 第二章内网安全通信的技术背景 本课题所研究的目标是一个内部网络访问控制的安全通信模型，所采用的技 术必须是适用于内部网络环境下通信控制的。本章将探讨相关技术，作为创建目 标系统的技术依托和理论启发，从而保证内网的安全运行。首先概述了网络数据 包截获的各种技术，通过分析比较之后详细介绍了w i n s o c k 2s p i 的编程技术及其 优点，最后描述了现代网络密码学的相关技术原理。 2 1 网络数据包截获技术 目前，基于w i n d o w s 操作系统的网络数据包截获技术在具体的实现方式上有 很大的不同。但总的来说可分为用户级和内核级数据包截获两类。其中内核级主 要是t d i 过滤驱动程序( t d if i l t e rd r i v e r ) ，n d i s 中间层过滤驱动程序( n d i s i n t e r m e d i a t ed r i v e r ) ，n d i s 过滤钩子驱动程序( n d i sh o o kd r i v e r ) 等，它们都是 利用网络驱动来实现的；而用户级的过滤包括s p i 接口，w i n d o w s 2 0 0 0 包过滤接 口等。总体来说，要在w i n d o w s 2 0 0 0 x p 下实现网络数据包过滤可以在两个层面进 行：用户态( u s e r - m o d e ) 和内核态( k e r n e l m o d e ) 。 在用户态下进行网络数据包过滤方法有： w i n d o w s 2 0 0 0 x p 包过滤接口 是利用系统提供的a p ih o o k 的包过滤器的功能。但是，包过滤的规则有很多 限制，对于内网的安全通信的访问控制来说是远远不够的。 w i n s o c kl a y e r e ds e r v i c ep r o v i d e r ( l s p ) 即w i n s o c k 2s p i 接口。可以获得调用w i n s o c k 的进程的详细信息，可以用来 实现q o s ，对数据流进行加密等。 替换系统自带的w i n s o c k 动态链接库。 在内核态下进行网络数据包过滤的方法主要有： t d i 过滤驱动程序( t d if i l t e rd r i v e r ) 过滤驱动程序技术通过创建一个或多个设备对象( d e v i c e o b j e c t ) 直接挂接到 一个现有的驱动程序之上，当有应用程序或其他驱动程序调用这个对象时，会首 先映射到过滤驱动程序上，然后由过滤驱动程序处理完毕后再传回给原来的设备 对象。由于过滤驱动程序挂接的透明性，所有上层的应用程序或驱动程序并看不 到过滤驱动程序。在w i n d o w s 2 0 0 0 n t 下，i p ，t c p ，u d p 是在一个驱动程序中实 现的，叫做t o p s y s ，这个驱动程序创建了几个设备：d e v i c e r a w l p ，d e v i c e u d p ， d e v i c e t c p ，d e v i c e i p ，d e v i c e m u l t i c a s t 。应用程序所有的网络数据操作都是通过这 几个设备进行的。这种方法理论上可以截获往发给设备的原始数据包，但是在运 l o 基于w i n s o c k 2s p i 的内网主机安全通信研究 用中会有一些不便，一些非标准的过滤驱动程序会使得只有最后安装的过滤驱动 程序才有效，而忽略了前面装过的过滤驱动程序，从而导致数据截获失败。 n d i s 中间层驱动程序( n d i si n t e r m e d i a t ed r i v e r ) n d i s ( n e t w o r kd r i v e ri n t e r f a c es p e c i f i c a t i o n ) ，即网络驱动程序接1 2 规范，用 于实现传输驱动程序和网卡驱动程序之间的相互通信，w i n d o w s 所有的网络通信 最终必须通过n d i s 完成。n d i s 支持三种类型驱动程序： 1 、) m i n i p o r td r i v e r s 通过n d i s 接口完成对网卡的操作，同时开放m i n i p o r t 接口供 上层驱动调用。 2 ) i n t e r m e d i a t ed r i v e r s 位于m i n i p o r t 和p r o t o c o l 驱动之间，同时具有m i n i p o r t 和 p r o t o c o l 两种驱动程序接口。其实中间驱动程序在自身的上下两端分别开放出 一个m i n i p o r t 接口和一个p r o t o c o l 接口，其中上面的m i n i p o r t 接口同上层驱动 程序的p r o t o c o l 接口进行对接；下面的p r o t o c o l 接口同底层驱动程序m i n i p o r t 接口进行对接。这样中间驱动程序在两个驱动之间插入一层。n d i s 中间驱动 程序可以在网卡驱动程序和传输驱动程序之间插入一层自定义的处理程序，从 而可以截获到较为底层的网络数据包，并重新进行封包、加密、网络地址转换 及过滤等操作。 3 ) p r o t o c o ld r i v e r s 开放p r o t o c o l 接1 2 1 供底层驱动调用，实现协议驱动。 w i n 2 kf i l t e r - h o o kd r i v e r 这是从w i n d o w s 2 0 0 0 开始系统所提供的一种驱动程序，主要是利用i p f i l t d r v s y s 所提供的功能来过滤网络数据包。f i l t e r - h o o kd r i v e r 结构非常简单，易于实现。但 也正是由于其结构过于简单，且依赖于i p f i l t d r v s y s ，m i c r o s o f t 并不推荐使用 f i l t e r - h o o kd r i v e r 。 n d i sh o o kd r i v e r h o o k 技术的概念在w i n d o w s 9 x 系统目前非常流行且容易实现，在w i n d o w s 9 x 下，驱动程序( v x d ) 通过使用h o o kd e v i c es e r v i c e 可以挂接n d i s 提供的所有 服务。在w i n d o w s n t 2 0 0 0 系统下与w i n d o w s 9 x 系统下工作机制不同，要实现h o o k 有两种不同的思路：通过修改n d i s s y s 的e x p o r tt a b l e 。在、矾n d o w s n t 2 0 0 0 操作系统下，可执行文件( 包括d l l 及s y s ) 都是遵从p e ( p o r t a b l ee x e c u t a b l e ) 格式的。所有向其它操作系统提供接1 2 的驱动程序都有e x p o r tt a b l e ，因此只要修 改n d i s s y s 的e x p o r tt a b l e 就可以实现对关键n d i sa p i 的挂接。由于协议驱动 程序在系统启动的时候会调用n d i s r e g i s t e r p r o t o c o l 来向系统进行协议注册，因此 关键在于修改n d i s s y s 所提供的库函数的起始地址。在用户态要修改p e 文件格 式可以用一些a p i 来实现，而n d i s s y s 位于系统的核心内存区，因此要修改 n d i s s y s 就必需通过编写驱动程序来实现，要求对p e 文件格式有相当了解。使 用这种方法还要注意驱动程序的加载次序，显然h o o kd r i v e r 必须在n d i s s y s 被 第二章内网安全通信的技术背景 加载之后，而在协议驱动程序如t c p i p s y s 被加载之前。向系统注册假协议。在 w i n d o w s 内核中，所有已注册的协议是通过一个单向的协议链表来维护的。这个 单向链表保存了所有已注册协议的n d i sp r o t o c o lb l o c k 结构的地址，在这 个结构中保存了协议驱动所指定的相应的派发函数的地址如 r e c e w eh a n d l e r 等。并且，每个协议驱动还对应一个n d i so p e nb l o c k 的单向链表来维护其所绑定的网卡信息。当协议驱动调用n d i s r e g i s t e r p r o t o c o l 之 后，n d i s 总是把新注册的协议放在协议链表的表头并返回这张表，所以只要注册 一个新的协议通过其注册返回的链表头就可以遍历系统中所有协议表。但是，如 果要成功地挂接派发函数，还需要对协议所对应的n d i so p e nb l o c k 结构里的 派发函数进行挂接，因为n d i s 并不是直接调用协议驱动在 n d i sp r o t o c o lc h a r a c t e r i s t i c s 所注册的派发函数地址，而是调用 n d i so p e nb l o c k 里的派发函数。值得注意的是，在w i n d o w s 9 x m e n t 的d d k 中，n d i sp r o t o c o lb l o c k 的定义很明确，而在w i n d o w s 2 0 0 0 x p 的d d k 中， 并没有该结构的详细定义，因此开发人员需要利用各种调试工具来发掘该结构的 详细定义。由此可以看出，这种方法对平台的依赖性比较大，需要在程序中判断 不同的操作系统版本，从而使用不同的结构定义【3 】。 在设计内网的网络数据包过滤时，应该充分综合考虑各种方案优缺点，针对 性地取长补短，才能设计出满足需求的高性能内网安全通信的访问控制系统。作 为用户态的数据包过滤技术，w i n s o c k 2s p i 的缺陷是它仍然可以被底层的数据包 绕过，但对于目前绝大部分基于t c p ，u d p 协议的网络应用程序( 如网络游戏、 浏览器、f t p 客户端等) ，w i n s o c k 2s p i 技术完全可以胜任对数据包的拦截，而且 w i n s o c k 2s p i 技术针对应用层，在用户态中工作，效率高、实现简单、c p u 占用 率小、程序可移植性强。因此本方案选择w i n s o c k 2s p i 技术实现数据包的拦截。 2 2w i n s o c k 2s p i 编程技术 2 2 1 w i n s o c k 2s p i 基础 w i n s o c k 2 是w i n d o w ss o c k e t s 的2 0 版本，在w i n s o c k1 1 版本的基础上引入 了一种新的编程接口，称为服务提供者接口( s e r v i c ep r o v i d e ri n t e r f a c e ，s p i ) 。利 用这种技术可以在s o c k e t 中插入一层，从而可以完成诸如传输质量控制( q o s ) 、 扩展t c p i p 协议栈、u r l 过滤及网络安全控制等功能。 w i n s o c k 是为上层应用程序提供一种标准网络接口。上层应用程序不用关心 w i n s o c k 实现的细节，它为上层应用程序提供透明的服务。w i n s o c k 2 引入的一个 新功能就是打破服务提供者的透明，让开发者可以编写自定义的服务提供者接口 程序，即s p i 程序。所以它是一个非常强大而且有用的接口。它具有发现和使用 1 2 基于w i n s o c k 2s p i 的内网主机安全通信研究 任意数量的底层传输协议所提供的通信能力，并且增加了对更多传输协议的支持。 由于w i n s o c k 2s p i 具有在s o c k e t 中插入一层的能力，所以论文研究的内网安全访 问控制采用了w i n s o c k 2s p i 技术作为实现内网安全访问控制的基础。当自己编写 的s p i 程序安装到系统后，所有的w i n s o c k 请求都会先发送到这个程序并由它来 完成网络调用，这样工作的效果就是人们所熟知的钩子程序。w i n s o c k 2 提供的服 务提供者的结构如图2 1 所裂4 1 。 匝蔓回匝三囹 w i n s o c k 2a p i 接口 w i n s o c k 2 传输服务提供者接口w i n s o c k 2 名字空间服务提供者接口 图2 1w i n s o c k 2s p i 结构 w i n s o c k 2s p i 除了提供完成网络传输的传输服务提供者( t r a n s p o r ts e r v i c e p r o v i d e r ) ，还提供友好名字服务的名字空间服务提供者( n a m es p a c es e r v i c e p r o v i d e r ) 。传输服务提供者能够提供建立通信、传输数据、流量控制和错误控制 等服务。名字空间服务提供者把一个网络协议的地址属性和一个或多个用户友好 名称关联起来，这样就可以启用与协议无关的名字解析方案。论文仅讨论传输服 务提供者及其应用，暂不对名字空间服务提供者进行分析。 2 2 2 w i n s o c ka p i 与s p i 的对应关系 s p i 工作在应用层，为上层a p i 调用提供接口函数，所以一般情况下对用户应 用程序中使用的w i n s o c k 的a p i 函数在s p i 中都有与之相对应的函数，而且用法 基本一致。多数情况下，一个应用程序在调用w i n s o c k 2a p i 函数时，w s 23 2 d 1 1 会调用相应的w i n s o c k 2s p i 函数，利用特定的服务提供者执行所请求的服务。但 也有一些是由w s 23 2 d u 自己完成的。a p i 与s p i 对应关系见表2 1 ( 没有对应关 系的a p i 函数没有列出，如h t m l 等) 1 4 j 。 第二章内网安全通信的技术背景 表2 1w i n s o c k a p i 函数与s p i 函数之间的对应关系 w i n s o c k a p i 函数 w i n s o c ka p i 扩展函数 对应的s p i 函数 a c c e p tw s a a c c e p t w s p a c c e p t w s a a d d r e s s t o s t r i n gw s p a d d r e s s t o s t r i n g w s a a s y n c s e l e c t w s p a s y n c s e l e e t b i n dw s p b i n d w s a c a n c e l b l o c k i n g c a l lw s p c a n c e l b l o c k i n g c a l l w s a c l e a n u pw s p c i e a n u p w s a c l o s e e v e n tw s p c i o s e s o c k e t c o n n e c tw s a c o n n e c tw s p c o n n e c t w s a d u p l i c a t e s o c k e t w s p d u p l i c a t e s o c k e t w s a e n u m n e t w o r k e v e n t sw s p e n u m n e t w o r k e v e n t s w s a e v e n t s e l e c tw s p e v e n t s e l e c t w s a g e t o v e r l a p p e d r e s u l t w s p g e t o v e r l a p p e d r e s u l t g e t p e e r n a m e w s p g e t p e e r n a m e w s a g e t q o s b y n a m ew s p g e t q o s b y n a m e g e t s o c k n a m ew s