（计算机应用技术专业论文）局域网内主机资源监控的设计与实现.pdf

摘要 摘要 随着信息化的快速发展，网络安全隐患也日益突出，权威机构调查表明，局域 网内部的安全威胁高于外部，因此，局域网的安全理论研究与应用成为网络安全 产品发展的新热点。 由于局域网内的主机资源主要以文件的形式存在，以存储设备为载体。因此， 主机资源中的存储设备和文件系统的访问控制便成为了局域网安全的关键环节。 本课题以w i n d o w s 环境下的主机资源的监控为研究对象展开工作。 论文描述了w i n d o w s 驱动模型的结构和工作机制，分析了过滤驱动技术的优 越性，讨论了过滤驱动程序在访问控制中的应用，详细阐述了软驱和光驱访问控 制模块的设计和实现过程，给出了对文件系统进行实时监控的基本流程，提供了 相关关键数据结构和关键函数的实现，并且对各模块的性能进行了测试与分析。 论文的特色包括：从兼容性，安全性和效率方面设计实现了过滤驱动；给 出了缓存文件读控制和临时文件写控制的解决方法；采用添加哈希表方式提高 文件系统过滤驱动的效率；使用文件过滤驱动进行软件的自我保护。 在课题中，参与了课题的理论研究与分析工作，独立负责了软驱和光驱监控模 块的设计与实现，并合作完成了文件系统实时监控模块，将各监控模块集成到局 域网安全管理平台，并针对系统进行了单元测试和集成测试。最终，各模块均稳 定运行于局域网安全管理平台上。 关键词：w i n d o w s 驱动模型，访问控制，过滤驱动 a b s 仃a c t a b s t r a c t w i t ht h eg r e a td e v e l o p m e n to fi n f o r m a t i o n i z a t i o n , t h ep o t e n t i a ld a n g e ri nn e t w o r k s e c u r i t yi sb e c o m i n gm o r ea n dm o r ed b v i o l l s i ti sr e v e a l e dt h a tt h ei n n e rt h r e a tf r o m l a n ( l o c a la r e an e t w o r k ) i sm o r ef o r c e f u lt h a ne 】【t e r i o rt h r o u g ht h ea u t h o r i t a t i v e o r g a n i z a t i o n si n v e s t i g a t i o n t h e r e f o r e , t h et h e o r yr e s e a r c ha n da p p l i c a t i o ni nl a n s e c u r i t yh a v e b e e nd e v e l o p i n ga n e w b r e a k p o i n t a sw ek n o w , h o s tr e s o u r c e sa t e m a i n l ys t o r e di nf i l e sa n dt a k et h es t o r a g ed e v i c ea s ae a r r i e ri nt h el o c a la r e an e t w o r k s o ，t h ea c c e s sc o n t r o lt ot h es t o r a g ed e v i c ea n dt h e f i l es y s t e mh a sb e e np l a y i n gak e yr o l ei nl a ns e c u r i t y n er e s e a r c hg o a lo ft h i s p r o j e c ti st om o n i t o rh o s tr e s o u r c e si nw i n d o w s i nt h i s d i s s e r t a t i o n , s t r u c t u r ea n dw o r km e c h a n i s mo f 、7 l 砀d o wd r i v e rm o d e l ( w d m ) a r ed e s c r i b e d a n dt h es u p e r i o r i t yo ff i l t e rd d v e ri sa n a l y z e d a l s oh o wt o a p p l yt h ef i l t e rd r i v e rt ot h ea c c e s sc o n t r o li sd i s c u s s e d t h e n , t h ed e s i g na n dr e a l i z a t i o n p r o c e s si nt h ea c c e s sc o n t r o lm o d u l eo ff l o p p ya n dc d d r i v e ra r ee l a b o r a t e d n e x t t h e b a s i cw o r kf l o wc a r r i e do nt h er e a l - t i m em o n i t o rt ot h ef i l es y s t e mi sg e n e r a t e d a tt h e s a n l et i m e ，t h er e a l i z a t i o no ft h ee s s e n t i a ld a t as t r u c t u r ea n dt h ee s s e n t i a lf u n c t i o n i n v o l v e da r ep r o v i d e d a tl a s t , t h et e s t t op e r f o r m a n c eo f e a c hm o d u l ei sc a r r i e do n f o u rd l a r a c t e r i s t i c sa r ei n c l u d e di n t h i sd i s s e r t a t i o n t h ef i l t e rd r i v e rf r o m c o m p a t i b i l i t y 。s e c u r i t ya n de f f i c i e n c ya r er e a l i z e d ( 9 ，n l cs o l u t i o no f a c c e s sc o n t r o l t or e a dc a c h ef i l ea n dt ow r i t eb yt e m p o r a r yf i l ei ss u g g e s t e d h a s ht a b l et of i l t e r d r i v e rt oi n c r e a s et h ee f f i c i e n c yi sa d o p t e d f i l t e rd r i v e ri sa p p l i e dt op r o t e c tt h e s e c u r i t ys y s t e m i nt h i sp r o j e c t ，t h ef u n d a m e n t a lr e s e a r c ha n dt h ea n a l y s i so ft h es u b j e c tw e r e p a r t i c i p a t e di n a n d ，t h ed e s i g na n di m p l e m e n to f t h ef l o p p ym o n i t o r i n gm o d u l e a sw e l l a sc dd r i v e rm o n i t o r i n gm o d u l ew a st a k e nc h a r g eo f a l s o t h er e a l t i m em o n i t o r i n g m o d u l et of i l es y s t e mw a sc o o p e r a t e dt or e a l i z e t h e n , e a c hm o d u l ew a si n t e g r a t e dt o t h el a n s e c u r i t yc o n t r o lp l a t f o r m f i n a l l y , u n i tt e s ta n di n t e g r a t i o nt e s tw e r ec a r r i e d0 1 1 n o w , e a c hm o d u l en 脚o n t h es e c u r i t yp l a t f o r ms t e a d i l y k e yw e t d s ：w d m ，a c c e s sc o n t r o l ，f i l t e rd r i v e r 图目录 图目录 图1 - 1 主要工作示意图7 图2 1w d m 驱动程序“容器”中的内容1 0 图2 - 2w d m 中设备对象和驱动程序的层次结构1 0 图2 - 3 设备递归枚举过程1 2 图2 - 4 驱动程序对象的数据结构1 5 图2 5 设备对象数据结构1 7 图2 - 6i r p 布局图2 0 图2 7 分派例程的选择。2 5 图2 8 过滤驱动程序的操作过程4 0 图3 - 1 软驱过滤驱动结构图4 6 图3 2 软驱权限设置接口的结构4 6 图3 3 软驱监控模块数据流程4 7 图3 _ 4 软驱权限设置外部接口：4 8 图3 5 软驱权限设置内部接口5 0 图3 - 6 光驱过滤驱动结构5 1 图3 7 光驱权限设置接口的结构5 2 图3 - 8 光驱设备数据流程5 3 图3 - 9 光驱权限设置接口与外部关系5 4 图3 1 0 光驱权限设置内部接口5 4 图3 1 1 文件系统过滤驱动结构图5 7 图3 1 2 关键文件设置接口的结构5 8 图3 1 3 日志记录模块的结构5 8 图3 1 4 文件系统监控模块数据流程5 9 图3 1 5 关键文件设置接口的外部接口6 0 图3 1 6 关键文件访问监视程序的外部接口6 1 图3 1 7 关键文件设置接口与文件系统过滤驱动的内部接口6 1 图3 1 毫文件访问监视程序与文件系统过滤驱动的内部接口6 2 i x 图目录 图4 1 安装软驱过滤驱动前读速度测试7 4 图4 - 2 安装软驱过滤驱动后读速度测试7 4 图4 3 安装软驱过滤驱动程序前写速度7 5 图4 ，4 安装软驱过滤驱动程序后写速度7 5 图4 5 安装光驱过滤驱动前的测试结果8 2 图4 6 安装光驱过滤驱动后的测试结果8 2 图4 7 安装文件系统过滤驱动程序前读写速度测试；9 6 图4 8 安装文件系统过滤驱动程序后读写速度测试9 6 x 表目录 表目录 表2 - 1 外部可见的i r p 头字段2 l 表2 2i r p 堆栈位置节选内容2 l 表2 - 3i r p 函数代码。2 7 表2 - 4 派遣例程参数2 8 表2 - 5i o s e t c o m p l e t e r o u t i n e 的参数说明：3 6 表2 - 6i o 完成例程函数参数说明3 6 表2 7c r e a t e f i l e 函数参数说明4 2 表2 8d e v i c e l o c o n t r o l 函数。4 3 表3 - 1 软驱权限设置外部接口函数s e t p r i v i l e g e 的参数说明4 9 表3 - 2 软驱权限设置中d e v i c e l o c o n t r o l 函数参数使用说明4 9 表3 3 光驱s e t p r i v i l e g e 参数说明5 4 表3 - 4 光驱权限设置中d e v i c e i o c o n t r o l 函数参数使用说明5 5 表3 - 5 文件权限设置外部接口s e t p r i v i l e g e 函数参数说明6 l 表3 - 6 文件权限设置模块中d e v i c e i o c o n t r o l 的参数说明6 1 表3 7 文件访问监视模块中d e v i c e l o c o n t r o l 参数说明6 2 x i 缩略词表 缩略词表 英文缩写英文全称中文释义 w d m w 铀d o w sd r i v e tm o d d w i n d o w s 驱动模型 d d kd i v e rd e v l o p ek i t驱动开发包 口i or e q u e s tp a c k a g e输入输出请求包 p d o p h y s i c a ld e v i c eo b j e c t 总线设备对象 f d of u n c t i o n a ld e v i c eo b j e c t功能设备对象 f i d of i l t e rd e v i c e0 b j e c t过滤设备对象 c d oc o n t r o ld e v i c eo b j e c t 控制设备对象 p n p p l u ga n dp l a y 即插即用 i s r i n t e r r u p ts e r v i c er o u t i n e 中断服务例程 x 修改提纲 1 第1 i 页 原文为： i nt h i sd i s s e r t a t i o n ，s t r u c t u r ea n dw o r km e c h a n i s mo fw i n d o wd r i v e rm o d e l ( w d m ) i sd e s c r i b e d a n dt h es u p e r i o r i t yo ff i l t e rd r i v e ri sa n a l y z e d a l s oh o w t o a p p l yt h ef i l t e r d r i v e rt ot h ea c c e s sc o n t r o li sd i s c u s s e d t h e n ，t h ed e s i g na n d r e a l i z a t i o np r o c e s si nt h ea c c e s sc o n t r o lm o d u l eo ff l o p p ya n dc dd r i v e ri se l a b o r a t e d n e x t ，t h eb a s i cw o r kf l o wc a r r i e do l lt h er e a l t i m em o n i t o rt ot h ef i l es y s t e mi s g e n e r a t e d a tt h es a n l et i m e ，t h er e a l i z a t i o no ft h ee s s e n t i a ld a t as t r u c t u r ea n dt h e e s s e n t i a lf u n c t i o ni n v o l v e dj sp r o v i d e d a tl a s t ，t h et e s tt op e r f o r m a n c eo fe a c h m o d u l ei sc a r d e do n 修改斌 一。、 i nt h i sd i s s e r t a t i o n s t r u c t u r ea n dw o r km e c h a n i s mo fw i n d o wd r i v e rm o d e l ( w d m ) a r ed e s c r i b e d a n dt h es u p e r i o r i t yo ff i l t e rd r i v e ri sa n a l y z e d a l s oh o w t o a p p l yt h ef i l t e r d r i v e rt ot h ea c c e s sc o n t r o li sd i s c u s s e d t h e n ，t h ed e s i g na n d r e a l i z a t i o np r o c e s si nt h ea c c e s sc o n t r o lm o d u l eo ff l o p p ya n dc dd r i v e ra y e e l a b o r a t e d n e x t ，t h eb a s i cw o r kf l o wc a r r i e do nt h er e a l - t i m em o n i t o rt ot h ef i l e s y s t e mi sg e n e r a t e d a tt h es a m et i m e ，t h er e a l i z a t i o no ft h ee s s e n t i a ld a t as t r u c t u r e a n dt h ee s s e n t i a lf u n c t i o ni n v o l v e da r ep r o v i d e d a tl a s t ，t h et e s tt op e r f o r m a n c eo f e a c hm o d u l ei sc a r d e do n 2 第5 1 页 原文为： 入口例程：初始化驱动程序对象的例程入口指针，初始化全局变量，创建控 制设备对象。 修改为： 图3 - 6 显示了光驱过滤驱动的结构，以下是各例程功能的介绍。 入口例程：初始化驱动程序对象的例程入口指针，初始化全局变量，创建控 制设备对象。 3 第5 2 页 原文为： 参数解析模块：把通用接口传来的参数分解为一个一个的对应的参数。比如 光驱设备名、操作类型、操作权限等解析为响应的参数。 修改为： 图3 7 给出了光驱权限设置接口的结构，它包含两个子模块。 参数解析模块：把通用接口传来的参数分解为个一个的对应的参数。比如 光驱设备名、操作类型、操作权限等解析为响应的参数。 指导老师 答辩主席 劢乏一 日期：m 年石月争日 钧 丌n 0 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：j 雅垄融一一日期：) _ 7 年多月4 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名： 缢垄熟导师签 日期： 第一章引言 1 1 课题背景 第一章引言 随着信息化的快速发展，网络安全隐患问题也日益突出，与外网的安全比起 来，局域网的整体安全越来越受到政府等众多大中型企业的重视。由于网络结构 及使用设备日趋复杂，如何在局域范围内有效地管理企业内部信息，提高信息文 档的安全性，避免重要信息泄密，己成为企业迫切需要解决的重要难题之一【l l 【2 l 【3 】。 在相当长的一段时期，安全界的努力大部分集中在如何解决来自外部的威胁。 而忽视了来自内部的威胁。以前对局域网的安全主要是指阻止外部网络的威胁和 入侵，防止局域网内的资源被窃取和遭受病毒的侵袭。伴之发展的技术有防火墙 技术、虚拟专用网技术和网络攻击检测技术等，国内外的侧重点都是放在这些方 面。但是由于局域网与i n t e m e t 相比，速度更快、防范疏漏、安全措施简单。局域 网的用户往往有权直接对数据库、服务器进行操作，有对核心数据进行误操作、 有意窃取或者破坏的机会。据f b i 和c s i 对4 8 4 家公司进行的网络安全专项调查， 显示：超过8 5 的安全威胁来自公司内部。在损失金额上，由于内部人员泄密导致 了6 0 5 6 5 万美元的损失，是黑客造成损失的1 6 倍，是病毒造成损失的1 2 倍。局 域网安全与外网安全有着很大的差别：外网安全体现在以阻断攻击为主，是粗粒 度的，而局域网安全属于细粒度的安全，以主动加固为主。外网安全主要防范外 部入侵或者外部非法流量访问，技术上也以防火墙、入侵检测等防御角度出发的 技术为主。局域网在安全管理上比外网要细得多，同时技术上局域网安全通常采 用的是加固技术，比如设置访问控制、身份管理等。当然造成局域网不安全的因 素很多，但归结起来不外乎两个方面：管理和技术。造成局域网不安全的管理方面 的因素主要是管理策略不完善，技术上主要由于对一些安全产品的使用和维护没 有特别重视【4 】【5 】 6 1 【7 1 。 论文的选题就是源于对局域网安全的思考和局域网安全项目的实践。局域网 监控非常重要的两个方面就是对存储设备资源和文件系统的监控。存储设备是进 行数据输入输出的最直接途径，文件系统是操作系统的核心组成和计算机数据的 载体，因此控制存储设备的使用和保护文件系统的安全是局域网安全应该具备的 基本功能。局域网中的数据管理本身通常不是很严谨。重要的数据一般只是采甩 电子科技大学硕士学位论文 了简单的授权口令保护，产品研发过程中的各种核心技术资料和工作资料就更没 有任何的保护措施，至少对整个开发组而言，全部的开发成果和数据都是透明的 和共享的，项目开发人员可以通过各种存储设备随意的拷贝和携带数据，对于防 误操作、防失窃和防破坏的保护几乎没有采取任何措旌。这样就使得在局域网中 非法取得授权和获得资料变得非常的容易【8 1 。如果没有对存储设备资源和文件系统 监控，任何人都可能有意或无意造成安全隐患、导致灾难和巨大经济的损失而且 可能遭遇国防、外交等更重要国家机密的泄漏，其后果不堪设想【虮。可见，对主机 资源的存储设备和文件系统的监控在实现局域网安全中是必不可少的。采取可靠 的主机资源监控策略，监控用户对各类存储设备使用和对文件的访问可以更好的 保护核心技术和资料，减少各种安全隐患和灾难性事件。 1 2 国内外发展现状及技术分析 1 2 1 国内外发展现状综述 局域网是网络应用中的一个主要组成部分，其安全性在国内外都受到越来越 多的重视。据不完全统计，国外在建设局域网时，投资额的1 5 是用于加强局域 网的网络安全。在我国r r 市场中，安全厂商保持着旺盛的增长势头。运营商在局 域网安全方面的投资比例不如国外多，但依然保持着持续的增长态势。同时，局 域网安全产品和厂商短短几年内大量涌现。但是，令人担忧的是，虽然众多的产 品和厂商都以局域网安全的概念在提供服务，但其中包含的实际技术和内容却千 差万别。这样的情况，一方面对市场和用户形成了误导，不利于解决用户的实际 局域网安全问题，造成投资浪费；另一方面也不利于创造良性的竞争环境，阻遏 了局域网安全市场的发展【1 0 】【l l 】。 1 2 2 局域网安全问题的形成原因 局域网安全问题的提出跟国家信息化的进程息息相关，信息化程度的提高使 得内部信息网络具备了以下三个特点： 1 ) 随着e r p 、o a 和c a d 等生产和办公系统的普及，单位的日程运转对内部信 息网络的依赖程度越来越高，局域网信息网络已经成了各个单位的生命线，对局 域网稳定性、可靠性和可控性提出高度的要求。 2 ) 内部信息网络由大量的终端、服务器和网络设备组成，形成了统一有机的整 2 第一章引言 体，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪，对局域网 各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。 3 1 由于生产和办公系统的电子化，使得内部网络成为单位信息和知识产权的主 要载体，传统的对信息的控制管理手段不再使用，新的信息管理控制手段成为关 注的焦点。 上述三个问题，都是依赖于局域网，与局域网的安全紧密相连的，局域网安 全受到广泛的高度重视也就不以为奇。 1 2 3 局域网安全问题的威胁模型 相对于局域网安全概念，传统意义上的网络安全更加为人所熟知和理解，事 实上，从本质来说，传统网络安全考虑的是防范外网对局域网的攻击，即可以说 是外网安全，包括传统的防火墙、入侵检察系统和 v p n 都是基于这种思路设计和 考虑的。外网安全的威胁模型假设内部网络都是安全可信的，威胁都来自于外部 网络，其途径主要通过内外网边界出口。所以，在外网安全的威胁模型假设下， 只要将网络边界处的安全控制措施做好，就可以确保整个网络的安全。 而局域网安全的威胁模型与外网安全模型相比，更加全面和细致，它即假设 局域网网络中的任何一个终端、用户和网络都是不安全和不可信的，威胁既可能 来自外网，也可能来自局域网的任何一个节点上。所以，在局域网安全的威胁模 型下，需要对内部网络中所有组成节点和参与者的细致管理，实现一个可管理、 可控制和可信任的局域网。由此可见，相比于外网安全，局域网安全具有以下特 点【1 2 1 【1 3 】： 1 ) 要求建立一种更加全面、客观和严格的信任体系和安全体系； 2 ) 要求建立更加细粒度的安全控制措施，对计算机终端、服务器、网络和使用 者都进行更加具有针对性的管理； 3 ) 要求对信息进行生命周期的完善管理。 1 2 4 现有局域网安全产品和技术分析 自从局域网安全概念提出到现在，有众多的厂商纷纷发布自己的局域网安全 解决方案，由于缺乏标准，这些产品和技术各不相同，但是总结起来，应该包括 监控审计类、桌面管理类、文档加密类、文件加密类和磁盘加密类等。下面分别 对这些产品和技术类型的特性做了简单的分析和说明。 3 电子科技大学硕士学位论文 1 监控审计类 监控审计类产品是最早出现的局域网安全产品，5 0 以上的局域网安全厂商 推出的局域网安全产品都是监控审计类的。监控审计类产品主要对计算机终端访 问网络、应用使用、系统配置、文件操作以及外设使用等提供集中监控和审计功 能，并可以生成各种类型的报表。 监控审计产品一般基于协议分析、注册表监控和文件监控等技术，具有实现 简单和开发周期短的特点，能够在局域网发生安全事件后，提供有效的证据，实 现事后审计的目标。监控审计类产品的缺点是不能做到事情防范，不能从根本上 实现提高局域网的可控性和可管理性。 2 桌面管理类 桌面管理类产品主要针对计算机终端实现一定的集中管理控制策略，包括外 设管理、应用程序管理、网络管理、资产管理以及补丁管理等功能，这类型产品 通常跟监控审计产品有类似的地方，也提供了相当丰富的审计功能。 桌面监控审计类产品除了使用监控审计类产品的技术外，还可能需要对针对 w i n d o w s 系统使用钩子技术，对资源进行控制，总体来说，技术难度也不是很大。 桌面监控审计类产品实现了对计算机终端资源的有效管理和授权，其缺点不能实 现对局域网信息数据提供有效的控制。 3 文档加密类 文档加密类产品也是局域网安全产品中研发厂商相对较多的局域网安全产品 类型，其主要解决特定格式主流文档的权限管理和防泄密问题，可以部分解决专 利资料、财务资料、设计资料和图纸资料的泄密问题。 文档加密技术一般基于文件驱动和应用程序的a p i 钩子技术结合完成，具有部 署灵活的特点。但是，因为文档加密技术基于文件驱动钩子、临时文件和a p i 钩子 技术，也具有软件兼容性差、应用系统适应性差、安全性不高以及维护升级工作 量大的缺点。 4 。文件加密类 文件加密类产品类型繁多，有针对单个文件的加密，也有针对文件目录的加 密，但是总体来说，基本上是提供了一种用户主动的文件保护措施。 文件加密类产品主要是基于文件驱动技术，不针对特定类型文档，避免了文 档加密类产品兼容性差等特点，但是由于其安全性主要依赖于使用者的喜好和习 4 第一章引言 惯，难以实现对数据信息的强制保护和控制。 5 磁盘加密类 磁盘加密类产品在磁盘驱动层对部分或者全部扇区进行加密，对所有文件进 行强制的保护，结合用户或者客户端认证技术，实现对磁盘数据的全面保护。 磁盘加密技术由于基于底层的磁盘驱动和内核驱动技术，因此具有技术难度 高、研发周期长的特点。此外，由于磁盘加密技术对于上层系统、数据和应用都 是透明的，要实现比较好的效果，必须结合其它局域网安全管理控制措施。 1 2 5 局域网安全体系的构建 从前面的介绍可以看出，上述的局域网安全产品，都仅仅解决了局域网安全 部分的问题，并且由于其技术的限制，存在各自的缺点。事实上，要真正构建一 个可管理、可信任和可控制的局域网安全体系，应该统一规划，综合上述各种技 术的优势，构建整体一致的局域网安全管理平台。 根据上述分析和局域网安全的特点，一个整体一致的局域网安全体系，应该 包括身份认证、授权管理、数据保密和监控审计四个方面，并且，这四个方面应 该是紧密结合、相互联动的统一平台，才能达到构建可信、可控和可管理的安全 局域网的效果 1 4 】 1 5 1 16 1 。 身份认证是局域网安全管理的基础，不确认实体的身份，进一步制定各种安 全管理策略也就无从谈起。局域网的身份认证，必须全面考虑所有参与实体的身 份确认，包括服务器、客户端、用户和主要设备等。其中，客户端和用户的身份 认证尤其要重点关注，因为他们具有数量大、环境不安全和变化频繁的特点。 授权管理是以身份认证为基础的，其主要对内部信息网络各种信息资源的使 用进行授权，确定“谁”能够在那些“计算机终端或者服务器”使用什么样的“资源和 权限”。授权管理的信息资源应该尽可能全面，应该包括所有终端使用权、外设资 源、网络资源、文件资源、服务器资源和存储设备资源等。 数据保密是局域网信息安全的核心，其实质是要对局域网的信息流和数据流 进行全生命周期的有效管理，构建信息和数据安全可控的使用、存储和交换环境， 从而实现对局域网核心数据的保密和数字知识产权的保护。由于信息和数据的应 用系统和表现方式多种多样，所以要求数据保密技术必须具有通用性和应用无关 性。 监控审计是局域网安全不可缺少的辅助部分，可以实现对局域网安全状态的 5 电子科技大学硕士学位论文 实时监控，提供局域网安全状态的评估报告，并在发生局域网安全事件后实现有 效的取证。 上述四个方面，必须是整体一致的，如果只简单实现其中一部分，或者只是 不同产品的简单堆砌，都难以建立和实现有效局域网安全管理体系 局域网安全已经成为信息安全的新热点，其技术和标准也在成熟和演进过程 中，我们有理由相信，随着用户对局域网安全的认识加深，用户局域网安全管理 制度的完善，整体一致的局域网安全解决方案和体系建设将成为局域网安全的主 要发展趋势【1 7 】。 1 3 核心技术介绍 本课题采用w d m 驱动程序实现对主机资源的访问控制，鉴于内核驱动程序具 有如下优点【1 8 】f 1 9 1 1 2 0 2 1 】： 1 ) 可移植性好：w i n d o w s 驱动程序很容易就可以移植到其他w i n d o w s 操作系统 上。在驱动程序程序里可以通过条件编译指令判断不同的操作系统，因此只需要 在针对不同系统的编译器编译就可以轻松地实现移植。 2 ) 对用户透明性高：驱动程序对用户来说是不可见的，因此进行实际操作的时 候，程序并不会暴露给用户。 3 ) 效率高：驱动程序在底层直接面对和处理i o 请求，能即时的对各种请求进 行处理。 除了以上优点，驱动程序最大的优点在于其安全性高。对于主机资源的监控， 目前国内外通常采用的进行监控的技术主要是挂钩w i n d o w s a p i ，通过在用户模式 挂钩c r e a t e f i l e o 、o p e n f i l e 0 、r e a d f i l e o 、w f i t e f i l e 0 等a p i 函数来监控设备和文件 系统，这种技术本身也有着很大的缺点。挂钩w i n d o w s a p i 通常有两种方法：修 改i a t 。这种方法的缺点是，如果像s h e u c o d e 中常用的那种根据d l l 输出表来计算 函数地址的方法，修改i a t 就无法挂钩到目标函数了。修改目标函数的前几个字 节，跳转到自定义的函数，自定义的函数里面再把那几个字节还原，调用原函数。 这种方法的缺点是多线程环境下不健壮，因此寻求一种更好的方法已经成为现在 研究的热点。 在w i n 2 0 0 0 发布前，w i n d o w s 操作系统仅通过一些内部数据结构来维护文件系 统的安全。为满足用户日益增长的需求，弥补老版本的安全缺陷，微软在w i n 2 0 0 0 中加入了加密文件系统e f s ( e n c r y p t i n g f i l es y s t e m ) ，它可为除系统文件外的其他任 6 第一章引言 何文件或目录提供加密服务。虽然e f s 使得w i n d o w s 与以往版本在安全性上有了质 的飞跃，但政府、金融、军队等用户仅使用e f s ，仍无法为敏感数据提供可靠的安 全保护，因为e f s 的安全性存在一定的局限性。其安全隐患主要包括四个方面：其 一，e f s 沿用操作系统的自主访问控制，用户可任意更改文件的访问权限，控制随 意性大：其二，e f s 与n t f s 紧密结合，这种实现方式一方面提高了加密操作的透明 性，另一方面降低了系统的兼容性，当加密文件拷入非n t f s 或低版本n t f s 文件系 统，将还原成明文， i i e f s 的加密操作不支持f a t 和n t f s 文件系统；其三，虽然 e f s 可使用任何对称密钥密码算法，但受美国政府密码产品出口限制，e f s 使用4 0 比特的d e s 算法，安全强度低；其四，e f s 不提供对文件系统的审计功能，因此不 能及时检测可疑非法操作，防患于未然，安全保障不全面瞄】【2 3 2 4 1 【2 5 1 。 经过实验，驱动程序还可以进行自我保护，比如通过文件系统驱动程序实现 禁止删除驱动程序文件、隐藏驱动程序文件等，同时还可以保护整个软件的文件。 1 4 主要工作 图1 - 1 主要工作示意图 局域网安全监控系统设计系统采用c s 架构体系。服务器端则负责下发安全策 略。客户端进行资源监控，主要包括子网监控模块、文件系统监控模块、打印监 视模块、外部设备监控模块、用户行为监视模块以及其他一些模块。 在整个局域网安全监控系统开发中，我主要负责外部设备监控模块中的软驱 监控模块和光驱监控模块的开发，并同时参加文件系统实时监控模块的开发，并 7 电子科技大学硕士学位论文 且对相应模块进行了功能和性能测试。 1 5 内容安排 本课题的主机资源监控均是基于内核模式过滤驱动的，同时这些内核驱动程序 均要与用户进程进行通讯。根据课题研究的重点，论文内容做如下安排； 第一章引言，介绍了课题的背景、发展现状、以及用到的核心技术；并给出 了课题中的主要工作以及论文内容的安排。 第二章w d m 驱动程序模型研究，包括w d m 驱动程序模型；驱动程序对象、 设备对象、i o 请求包、驱动程序d i s p a t c h 例程以及w d m 驱动程序与应用程序的 通讯。 第三章具体介绍主机资源监控设计，包括软驱监控模块的设计、光驱n 录机 监控模块的设计以及文件系统监控模块的设计等； 第四章具体介绍了在主机资源监控的实现并给出了测试结果，包括软驱监控模 块的实现、光驱n 录机监控模块的实现以及文件系统监控模块的实现等。 最后，对课题的研究工作进行了总结与展望。 第二章w d m 驱动模型研究 第二章w d m 驱动模型研究 2 1w d m 驱动程序模型 2 1 1w d m 驱动程序模型概述 在w d m 驱动程序模型中，每个硬件设备至少有两个驱动程序。其中一个驱 动程序我们称为功能( f u n c t i o n ) 驱动程序，通常它就是你认为的那个硬件设备驱动 程序。它了解使硬件工作的所有细节，负责初始化i o 操作，有责任处理i o 操作 完成时所带来的中断事件，有责任为用户提供一种设备适合的控制方式。 另一个驱动程序我们称为总线c o n s ) 驱动程序。它负责管理硬件与计算机的连 接。例如，p c i 总线驱动程序检测插入到p c i 槽上的设备并确定设备的资源使用情 况，它还能控制设备所在p c i 槽的电流开关。 有些设备有两个以上的驱动程序。这时使用术语过滤驱动程序( f i l t e rd r i v e r ) 来 描述它们。某些过滤驱动程序仅仅是在功能驱动程序执行i o 操作时进行监视。多 数情况是：硬件或软件厂商利用过滤器驱动程序修改现有功能驱动程序的行为。 上层过滤器驱动程序在功能驱动程序之前看到m p ( t o 请求包) ，它们有机会为用 户提供额外的特征，而功能驱动程序根本不知道。有时，一个上层驱动程序可以 修正功能驱动程序或硬件存在的毛病或缺陷。低层过滤器驱动程序在功能驱动程 序要向总线驱动程序发送i r p 时看到i r p 。在某些情况下，例如当u s b 设备插入 u s b 总线时，低层过滤器驱动程序可以修改功能驱动程序要执行的总线操作流。 w d m 功能驱动程序通常由两个分离的执行文件组成。一个文件是类驱动程 序，它了解如何处理操作系统使用的w d m 协议( 有些协议相当复杂) ，以及如何管 理整个设备类的基本特征。u s b 照相机类驱动程序就是一个例子。另一个文件称 为迷你驱动程序( m i n i d r i v e r ) ，它包含类驱动程序用于管理设备实例的厂商专有特征 例程。类驱动程序和迷你驱动程序合在一起才成为一个完整的功能驱动程序。 可以把一个完整的驱动程序看作是一个容器，它包含许多例程，当操作系统 遇到一个i r p 时，它就调用这个容器中的例程来执行该i r p 的各种操作。图2 - 1 表现了这个概念。有些例程，例如d r i v e r e n t r y 和a d d d e v i c e ，还有与几种i r p 对 应的派遣函数将出现在每一个这样的容器中。需要对i r p 排队的驱动程序一般都 9 电子科技大学硕士学位论文 有一个s t a r t i o 例程。执行d m a 传输的驱动程序应有一个a d a p t e r c o n t r o l 例程。大 部分能生成硬件中断的设备，其驱动程序都有一个中断服务例程( i s r ) 和一个推迟 过程调用( d p c ) 例程。驱动程序一般都有几个支持不同类型i r p 的派遣函数，其中 三个派遣函数是必须的。所以，w d m 驱动程序开发者的一个任务就是为这个容器 选择所需要的例程【1 8 】【1 9 】【2 0 1 。 基本驱动程序例程 i o 控制例程 派遣例程 s t a r t i o o n i n t e r r u p t d p c f o r i s r a d a p t e r c o n t r o l d i s p a t c h p n p d i s p a t c h p o w e r d i s p a t c h w m i d i s p a t c h r e a d d i s p a t e h w r i t o 图2 - 1w d m 驱动程序“容器”中的内容 2 1 2w d m 驱动程序的层次结构 图2 - 2w d m 中设备对象和驱动程序的层次结构 w d m 模型使用了如图2 - 2 的层次结构。图中左边是一个设备对象堆栈。设备 对象是系统为帮助软件管理硬件而创建的数据结