（计算机系统结构专业论文）基于内网安全的文件访问控制研究.pdf

摘要 摘要 随着计算机和通信技术的发展，企业信息安全问题受到越来越多的关注。企 业除了要抵御来自外界攻击和破坏，同时还要防止来自内部的有意或无意的泄密。 仅依靠完善管理制度很难从根本上杜绝泄密事件的发生，因此必须从技术上为企 业提供更加可靠的安全保障。 论文首先对内网安全访问控制系统进行了分析，由此阐述了系统的总体设计 思想并提出了解决方案。其次，对系统中的文件访问控制子系统分别从应用层及 核心层提出了对应的解决方案。分析总结了在应用层当前使用的a p ih o o k 技术， 重点介绍了远程进程插入d l l 的文件访问控制方法，提出了h o o k 结合修改进 程模块输入节的方法来实现文件的访问控制。在核心层研究了使用文件过滤驱动 的方法来达到安全级别较高的文件访问控制技术。 论文根据不同的需求，从安全要求等级的角度出发分别在应用层和核心层提 出及研究了对应的解决方案，较好的解决了内网安全中的文件访问控制要求。 关键词：内网安全文件访问控制a p ih o o k 文件过滤驱动 a b s t r a c t a b s t r a c t w i t ht h ed e v e l o p m e n to fc o m p u t e rs c i e n c ea n dc o m m u n i c a t i o nt e c h n o l o g y ， p e o p l ep a ym o r ea t t e n t i o nt ot h ee n t e r p r i s e si n f o r m a t i o ns e c u r i t y t h ee n t e r p r i s e s o f t e nr e s i s tt h ea t t a c k sn o to n l yf r o mt h eo u t s i d e s ，b u ta l s of r o mt h ee n t e r p r i s ei n s i d e i t sd i f f i c u l tt op r e v e n ti n f o r m a t i o nf r o ml e a k i n go n l yd e p e n do nc o n s u m m a t i n g m a n a g e m e n tm e c h a n i s m t h e r e f o r e ，w em u s tp r o t e c tt h ei m p o r t a n ti n f o r m a t i o ni n s i d e t e c h n i c a l l y i n t e r n a ln e t w o r ka c c e s sc o n t r o ls y s t e mi sd i s c u s s e di nt h i sp a p e ra tf i r s t ，a n dt h e s o l u t i o nt ot h ed e s i g ni d e ao ft h es y s t e mi sp r o p o s e d s e c o n d l y , t h es o l u t i o nt ot h ef i l e a c c e s sc o n t r o ls u b s y s t e mi sp r e s e n t e df r o mt h ev i e wo fa p p l i c a t i o nl a y e ra n dk e r n e l l a y e r t h i r d l y , t h ee x i s t e n c ea p ih o o kt e c h n i q u ei sa n a l y z e di nt h ea p p l i c a t i o nl a y e r , e s p e c i a l l yt h em e t h o do fi n s e r t i n gd l l o ff i l ea c c e s sc o n t r o lf r o mr e m o t ep r o c e s si n d e t a i l ，a n dt h ei m p l e m e n t a t i o no ff i l ea c c e s sc o n t r o li sg i v e nw i t ht h em e t h o do fh o o k c o m b i n e dw i t ht h em o d i f i c a t i o no fi m p o r ta d d r e s st a b l ei np r o c e s sm o d u l e f i n a l l y , t h e t e c h n o l o g yo ff i l ea c c e s sc o n t r o lb ym e a n so ff i l ef i l t e rd r i v e r sw h i c hc a nr e a c ha h i g h e rs e c u r i t yl e v e li sp r o p o s e d a c c o r d i n gt o d i f f e r e n td e m a n d s ，t h ec o r r e s p o n d i n gs o l u t i o n si sp r e s e n t e di n a p p l i c a t i o nl a y e ra n dk e r n e ll a y e rf r o mt h ev i e wo fs e c u r i t yl e v e l ，w h i c hh a v et h e a b i l i t yt os o l v et h ep r o b l e mt of i l ea c c e s sc o n t r o li ni n t e r n a ls e c u r i t y k e y w o r d ：i n t e m a ln e t w o r ks e c u r i t y f i l ea c c e s sc o n t r o la p ih o o k f i l ef i l t e rd r i v e r s 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文章特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作过的同志对本研究所 做的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：堡丝圣日期：兰! 笪：兰! 乏 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究生 在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业 离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。学 校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部 或部分内容，可以允许采用影印、缩印、或其他复制手段保存论文。( 保密的论文 在解密后遵守此规定) 本人签名： 导师签名： 健廷丞 日期： 第一章绪论 第一章绪论 1 1 内网安全概述 自从1 9 4 6 年世界上第一台计算机e n i a c 在美国加利福尼亚州问世以来，在过 去的半个多世纪里，计算机以及网络技术得到了飞速的发展旧1 。今天，计算机不 仅仅是用来进行高速计算的工具，它已经深入到了我们工作生活的各个角落，在 当今的信息时代起着举足轻重的作用。伴随着计算机以及网络的广泛应用，计算 机领域内的安全形势日益严峻。就其中非常常见也是非常受人们关注的一种安全 威胁一计算机病毒来说，在2 0 0 7 年1 月1 0 日，江民科技发布了2 0 0 6 年计算机病 毒疫情报告。报告显示，2 0 0 6 年江民反病毒中心共截获新病毒6 0 3 8 3 种，较2 0 0 5 年增长5 6 。另据统计的数据，2 0 0 6 年全国共有1 9 3 1 9 6 5 8 台计算机感染了病毒， 感染计算机病毒种类为6 6 6 0 6 种n 1 。安全问题已经成为计算机发展的一个重大课 题。 现在几乎每个企业或政府机关都组建有自己的网络，这种主要用于内部管理 或内部信息共享的网络称为内网，也叫做局域网，指的是一个企业、单位将若干 台计算机联成一个小的网络，这个网络内部单机一般不直接通过i n t e r a c t 网与外 界相连。2 0 0 4 年，北京召开了第一届中国内网安全大会，作为网络安全的一个重 要组成部分，内网安全也成为了人们研究的热点躅1 。虽然我国的信息系统和计算 机网络的起步较美国风信息发达国家较晚，但是其成长速度已经对信息安全系统 的认识却与发达国家同在一个台阶上。国家、政府、军事以及银行、金融、高新 企业等行业需要一种能够充分解决网络外部攻击和有内而外的信息泄露的全方位 信息安全解决方案h 。 根据美国联邦调查局( f b i ) 和计算机安全机构( c s i ) 等权威机构的研究：超过 8 0 的信息泄密事件是来自组织内部人员，也就是说现在众多政府企事业单位所重 点防范的黑客入侵和病毒所造成的信息泄露最多不过2 0 哺1 。 造成以上数字的原因是因为大多数组织所采取的内网信任模型所导致的。所 谓内网信任就是指默认企业或者单位内部的网络、人员以及设施等都是安全的： 而内部安全管理的模型恰好是建立在内网不信任的模型的基础之上，也就是说， 并不默认信任企业或者单位内部的网络、人员以及设备等是安全的。业界普遍认 为，建立在内网信任模型上的我们称之为外网安全；建立在内网不信任模型上的 我们称之为内网安全旧。 基丁二内网安全的文件访问控制研究 1 2 内网安全分析 政府、企业等主要的内网组建者在网络安全防护建设中，普遍采用传统的内 网边界安全防护技术，即在内网的边缘设置网关型边界防火墙、a a a 认证、入侵 检测系统i d s 等等网络边界安全防护技术，对网络入侵进行监控和防护，抵御来 自外网的攻击，防止内网资源、信息遭受损失，保证内网业务流程的有效进行。 这种解决策略是针对外部入侵的防范，对于来自网络内部的对企业网络资源、信 息资源的破坏和非法行为的安全防护却起不到任何作用。对于那些需要经常移动 的终端设备在安全防护技术就更是鞭长莫及了，由此可能会严重危及内部网络的 安全。 正是由于以上所说的原因，使得政府和企业内网中因信息被窃取所造成的损 失远远超过病毒破坏和黑客攻击所造成的损失。安全问题主要原因有以下几个方 面： 缺乏对内网设备的了解和监控； 缺乏对内网i p 地址的管理； 缺乏对内网计算机软、硬件资源的管理； 缺乏对内网的网络服务的管理； 缺乏对内部人员访问网络权限的管理。 目前，国内外并没有一个完整有效的内网安全管理系统与解决方案，更是缺 乏系统有效的内网安全管理产品。但是根据木桶理论，网络安全是一个有机的整 体，也是一个环环相扣的链条，缺少其中任何一个环节，其安全性能就大幅度降 低或者几乎为零。 1 3 内网安全中的文件安全策略 电子文件作为传统纸质文档的信息化载体，具有成本低、使用易、通信快、 发布广的优点，在政府、企业等单位的信息化建设过程中越来越受到推崇。但是， 在上述优点给企事业单位带来利益和效率的同时，电子文件信息容易获取的特性， 也使很多企事业单位担心电子文档信息的安全问题。 根据c s i ( 美国计算机安全学会) 和f b i 每年的联合调查报告显示，在2 0 0 0 年 信息安全事件造成的损失当中，3 0 - - 一4 0 是由于电子文件的泄露造成的，财富 杂志排名前1 0 0 0 位的公司每年因电子文件泄露造成的损失平均为5 0 万美元。2 0 0 2 年有超过8 3 的的安全威胁来自于企业内部，包括内部未被授权的文件存取、专 利信息的窃取以及内部人员的财务欺骗等。 第一章绪论 在现代信息社会里，电子文件已经成为最常用的信息保存和使用形式。无论 是企业发展规划、产品设计方案、企业标准，还有其他的重要文档资料都常采用 电子文件的形式。一方面企业希望相关人员能很方便的查阅这些文档，另一方面 又担心这些文档泄密，希望能有效的控制这些文件的传播和使用。随着信息化程 度的深入，这个问题越发突出。 目前传统的文件访问控制方法是给重要的数据采用了简单的授权口令保护， 产品研发过程中的各种核心技术资料和工作资料就更没有任何的保护措施，至少 对整个开发组而言，全部的开发成果和数据都是透明的和共享的，对于防误操作、 防失窃和防破坏几乎没有采取任何保护措施。这样就是的在局域网中非法取得授 权和获得资料变得非常的容易。在内网中的数据管理本身通常不是很严谨，没有 文件系统的监控，使得任何人都可能有意或无意造成安全隐患甚至导致灾难性的 后果。 1 4 论文的内容和组织结构 论文从目前内网安全问题入手，简要概述了内网安全访问控制系统的重要性 和紧迫性，接着较为详细的介绍了内网安全访问控制系统中的文件访问控制技术。 文章详细分析了目前文件的访问控制技术，分别提出了基于用户层和核心层的文 件访问控制方案。根据以上内容论文章安排如下： 第一章、绪论。首先介绍了内网安全的由来和现在的发展状况，简要的分析了目 前内网安全的形势，接着论述了内网安全中的文件安全策略。最后指出 论文的内容和组织结构。 第二章、针对系统的安全机制提出了内网安全访问控制系统总体设计思想及子 系统划分，进一步的阐述了文件访问控制子系统的设计由来以及分别使 用何种技术。 第三章、介绍了动态链接库，并详细的描述了应用层实现文件访问控制的方法， 并对各种方法做出了分析，重点介绍了远程进程插入d l l 的文件访问 控制方法，提出了h o o k 结合修改进程模块输入节的方案，实现动态 的文件访问控制方法。 第四章、对w i n d o w s 驱动开发做了简单的介绍，详细的描述了核心层实现文件 访问控制的基础理论以及具体的实现方法。 结束语、总结了在设计和实现过程中所做的工作，并提出了以后工作的方向。 第二章内网安全访问控制系统总体结构 第二章内网安全访问控制系统总体结构 本章主要进行系统分析，阐述了系统的安全机制，并从系统的目标入手，分 析系统的目标功能，进而将系统细分为若干子系统，得出系统总体结构并对各个 子系统进行简要分析。就其中的文件系统进行了详细的剖析，并提出了对系统行 为监控性能优化的方案。 2 1 1 系统安全机制 2 1 系统总体设计思想 系统的安全机制包括以下几个部分： 1 、标识与鉴别 标识与鉴别是涉及系统和用户的一个过程。标识就是系统要标识用户的身份， 并为每个用户分配一个名称用户标识符( u s e ri d ) 。用户标识符必须是唯一的并且 不能被伪造。将用户标识符与用户联系的动作称为鉴别。为了识别用户的真实身 份，它总是需要用户具有能够证明他身份的特殊信息，这个信息是秘密的，任何 其他用户都不能拥有它，用标识与鉴别来识别用户是安全控制机制中非常重要的 一个环节。通常鉴别都是在用户登录时发生。一般使用用户名与密码的方式进行 标识与鉴别，因此口令的管理是一项非常重要的工作。更安全的身份认证方法是 一次性口令，智能卡等方式。 2 入侵监测 任何信息系统中都不能保证不存在安全漏洞，而且无论在理论上还是在实践 上都不可能完全填补系统的安全漏洞，也没有一种办法可以彻底的解决合法用户 在通过身份识别后滥用特权的问题。因此，入侵监测系统成为保护系统安全的一 个必要的补充手段。 目前用于入侵监测系统的主要是两类通用的模型 异常( a n o m a l y ) 检测方法。这一方法是基于用户的习惯行为特征被统计在行 为描述数据库中，以此与用户当前会话内的行为特征进行比较。两者比较发现足 够大的偏差时，检测系统向安全管理人员提交报告 特权滥用( m i s u s e ) 检测方法。这一方法使用存放在滥用数据库内的先验专家 系统规则来对用户的行为特征进行判断，报告可能的攻击行为。 入侵检测系统最主要的问题是实时响应问题，因为它需要处理的数据量十分 基于内网安全的文件访问控制研究 巨大，因此入侵检测需要借用人工智能统计学，信息理论及机器学习等领域的一 些成果。把这些成果融合，设计进入侵检测系统中，对入侵监测系统的影响正在 研究之中。 3 病毒防护 目前世界上每天都有新的计算机病毒产生，计算机病毒给社会带来了难以估 量的损失。随着计算机病毒的发展，计算机反病毒的技术与计算机病毒的检测技 术也在发展。第一代反病毒技术，单纯进行病毒特征代码分析，将病毒从带毒文 件中清楚掉，第二代则采用静态广谱特征扫描方法检测病毒，可以更多的检测到 变形病毒，但误报率也提高了。第三代反病毒技术的主要特点是将静态扫描与动 态仿真跟踪技术结合起来，第四代反病毒技术，基于病毒家族体系的命名规则、 多位c r c 校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内存 解毒模块、自身免疫模块等先进的反病毒技术，较好的解决了以前反病毒技术顾 此失彼的状态。 一般来说，完全防止计算机病毒是非常困难的，但是通过安全操作系统的强 制访问控制可以起到一定的保护作用。通过强制访问控制可以将信息系统划分为 三个区，即系统管理区、用户空间区与病毒保护区。他们通过强制访问控制机制 被分隔，从而可以把一般通用的命令和应用程序放在病毒保护区内供用户使用， 由于在这个区内一般用户只能读不能写，从而防止了病毒传染。在用户空间区内， 用于用户的安全级不同，即使计算机病毒发作也只能传染同级别用户的程序和文 件，缩小了病毒传染的范围。 4 对象重用保护 对象重用问题是指存储对象如内存、磁盘等重新进行分配时，前一个用户使 用这些对象时留下的信息，被后面一个用户非授权的得到并能够读出其中的数据。 对象重用保护最简单的方法是在对象分配时清除所有的内容。 5 可信通道 可信通道是用于一个终端上的用户与可信计算机t c b 直接交互的通路。t c b 是计算机系统中保护机制的统称，包括硬件、软件和固件中所有与实施安全有关 的部分。可信通路机制只能由t c b 内的用户启动而不能被不可信软件冒充。例如， 在一个可信系统中，可信通路可以通过一个唯一的锁序列来建立，这个系列只能 由t c b 直接截获。在m i c r o s o f t 的w i n d o w s 2 0 0 0 中，c t r l + a l t + d e l 三个键的组合就是 可信通路的一种实现，这三个键形成了w i n d o w s 操作系统中的s a ss e c u r ea t t e n t i o n s e q u e n c e ，它直接由安全内核截获。 6 隐蔽通道 隐蔽通道可以分为两类：隐蔽存储通道与隐蔽时间通道。 隐蔽存储通道是指一个进程直接或间接的写一个存储单元，而另一个进程可 第二章内网安全访问控制系统总体结构 以直接或间接的读这个存储单元而构成的信道。隐蔽时间通道是指一个进程通过 调节自己对系统资源的使用向另一个进程发消息，后者通过观察响应时间的改变 获得信息而构成的信道。一般的系统中总是充满了隐蔽信道，采用强制访问控制 的系统中，强制访问控制没有保护的任何信息的任何比特都可能构成一个潜在的 候补路径。隐蔽通道的分析是安全操作系统设计中的难点之一。 7 密码技术 计算机系统经常需要采用数据加密的方法从体制上保证信息不被篡改和泄 漏。数据加密不仅可以用于数据保密，而且也可以通过加密解密的双向变换实现 对数据的完整性检验。 密码技术是对传输信息和存储信息进行保护的重要手段，可以大大加强信息 保密性、完整性、可认证性等。密码技术可以实现信息加密、数字签名等安全服 务。加密算法根据密钥性质的不同，可以分为以下两类： 1 对称密钥体制。传统的对称密钥体制特点是无论加密还是解密都公用一把 密钥，其中最有影响的是美国国家标准局颁布的d e s ( 算法数据加密标准算法) 。 2 公开密钥体制( 非对称密钥体制) 。公开密钥体制的特点是加密与解密的密 钥不同，并且在理论上或者实际计算上不能由加密密钥推出解密密钥。所以即使 将加密密钥公开也不会危害解密密钥的安全。公开密钥技术诞生于1 9 7 6 年，其中 由r i v e s ts h a m i r e 和a d l e m a n 发明的r s a 算法是最有影响的一种。 8 安全审计 一个系统的安全审计就是对系统中有关安全的活动进行记录、检查和审核。 它的主要目的就是检测和阻止非法用户对计算机系统的入侵，并显示合法用户的 误。操作审计作为事后追查的手段保证系统的安全，它对涉及系统安全的操作作 一个完整的纪录。 审计是操作系统安全的一个重要方面，安全操作系统也都要求用审计方法来 监视安全相关的活动。审计机制要求系统保留审计记录和日志文件。审计机制要 考虑的主要问题是审计粒度，要综合考虑安全与效率。 9 访问控制 在计算机系统中，安全机制的主要内容就是访问控制，它包括以下三个任务： l 授权。确定可以给予那些主体存取客体的权利； 2 确定访问权限。通常是诸如读、写、执行、删除、添加等访问方式的组合。 3 实施访问控制 这里客体是指一种信息实体，它们蕴含或接受信息，如文件、目录、管道、 消息等，甚至可以包括字、位、通信线路、网络节点等。 主体是这样的一种实体，它引起信息在客体之间的流动。通常，这些实体是 指人、进程或设备。一般是代表用户执行操作的进程。 基于内网安全的文件访问控制研究 2 1 2 访问控制技术 在安全操作系统领域，访问控制一般都涉及自主访问控制和强制访问控制两 种。 1 、自主访问控制( d a c ) 自主访问的含义是有访问许可的主体能够直接或间接地向其他主体转让访问 权。自主访问控制是在确认主体身份以及( 或) 它们所属的组的基础上，控制主体 的活动，实施用户权限管理、访问属性( 读、写、执行) 管理等，是一种最为普遍 的访问控制手段。自主访问控制的主体可以按自己的意愿决定哪些用户可以访问 他们的资源，亦即主体有自主的决定权，一个主体可以有选择地与其它主体共享 他的资源。 基于访问控制矩阵的访问控制表( a c l ) 是d a c 中通常采用一种的安全机制。 a c l 是带有访问权限的矩阵，这些访问权是授予主体访问某一客体的。安全管理 员通过维护a c l 控制用户访问企业数据。对每一个受保护的资源，a c l 对应一个 个人用户列表或由个人用户构成的组列表，表中规定了相应的访问模式。当用户 数量多、管理数据量大时，由于访问控制的粒度是单个用户，a c l 会很庞大。当 组织内的人员发生能变化( 升迁、换岗、招聘、离职) 、工作职能发生变化( 新增业 务) 时，a c l 的修改变得异常困难。采用a c l 机制管理授权处于一个较低级的层次， 管理复杂、代价高以至易于出错。 d a c 的主要特征体现在主体可以自主地把自己所拥有客体的访问权限授予 其它主体或者从其它主体收回所授予的权限，访问通常基于访问控制表( a c l ) 。 访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的 访问权。d a c 的缺点是信息在移动过程中其访问权限关系会被改变。如用户a 可将其对目标0 的访问权限传递给用户b ，从而使不具备对0 访问权限的b 可访 问0 。 为了实现完备的自主访问控制系统，由访问控制矩阵提供的信息必须以某种 形式存放在系统中。访问矩阵中的每行表示一个主体，每- n n 表示一个受保护 的客体，而矩阵中的元素，则表示主体可以对客体的访问模式。目前，在系统中 访问控制矩阵本身，都不是完整地存储起来，因为矩阵中的许多元素常常为空。 空元素将会造成存储空间的浪费，而且查找某个元素会耗费很多时间。实际上常 常是基于矩阵的行或列来表达访问控制信息。 2 、强制访问控$ i j ( m a c ) 强制访问控制是“强加”给访问主体的，即系统强制主体服从访问控制政策。 强制访问控制( m a c ) 的主要特征是对所有主体及其所控制的客体( 例如：进程、文 件、段、设备) 实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是 第二章内网安全访问控制系统总体结构 等级分类和非等级类别的组合，它们是实施强制访问控制的依据。系统通过比较 主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能 改变他自己及任何其它客体的敏感标记，从而系统可以防止特洛伊木马的攻击。 强制访问控制一般与自主访问控制结合使用，并且实施一些附加的、更强的 访问限制。一个主体只有通过了自主与强制性访问限制检查后，才能访问某个客 体。用户可以利用自主访问控制来防范其它用户对自己客体的攻击，由于用户不 能直接改变强制访问控制属性，所以强制访问控制提供了一个不可逾越的、更强 的安全保护层以防止其它用户偶然或故意地滥用自主访问控制。 强制访问策略将每个用户及文件赋于一个访问级别，如，最高秘密级( t o p s e c r e t ) ，秘密级( s e c r e t ) ，机密级( c o n f i d e n t i a l ) 及无级别级( u n c l a s s i f i e d ) 。其级别 为t s c u ，系统根据主体和客体的敏感标记来决定访问模式。访问模式包括： 下读( r e a dd o w n ) ：用户级别大于文件级别的读操作； 上写( w r i t eu p ) ：用户级别小于文件级别的写操作； 下写( w r i t ed o w n ) ：用户级别等于文件级别的写操作； 上读( r e a du p ) ：用户级别小于文件级别的读操作； 主体客体主体客体 h i g hi n t e g r i t y 吕允许读n u n c l 雒s i f i e d 图2 1 b e l l - l a p a d u l a 安全模型 依据b e l l l a p a d u l a 安全模型所制定的原则是利用不上读不下写来保证数据 的保密性。见图2 - 1 。即不允许低信任级别的用户读高敏感度的信息，也不允许 高敏感度的信息写入低敏感度区域，禁止信息从高级别流向低级别。强制访问控 制通过这种梯度安全标签实现信息的单向流通。 主体客体主体客体 h i g hi n t e g r i t y 巨禁止读n l o w i n t c 鲥t y l o wi n t e g r i t y 图2 - 2 b i b a 安全模型 依据b i b a 安全模型所制定的原则是利用不下读不上写来保证数据的完整 9 兰 1 0 基于内网安全的文件访问控制研究 性。见图2 - 2 。在实际应用中，完整性保护主要是为了避免应用程序修改某些重 要的系统程序或系统数据库。 m a c 通常用于多级安全军事系统。 强制访问控制对专用的或简单的系统是有效的，但对通用、大型系统并不那 么有效。一般强制访问控制采用以下几种方法： 限制访问控制。 一个持洛伊木马可以攻破任何形式的自主访问控制，由于自主控制方式允许 用户程序来修改他拥有文件的存取控制表，因而为非法者带来可乘之机。m a c 可 以不提供这一方便，在这类系统中，用户要修改存取控制表的唯一途径是请求一 个特权系统调用。该调用的功能是依据用户终端输入的信息，而不是靠另一个程 序提供的信息来修改存取控制信息。 过程控制 在通常的计算机系统中，只要系统允许用户自己编程，就没办法杜绝特洛伊 木马。但可以对其过程采取某些措施，这种方法称为过程控制。例如，警告用户 不要运行系统目录以外的任何程序。提醒用户注意，如果偶然调用一个其它目录 的文件时，不要做任何动作，等等。需要说明的一点是，这些限制取决于用户本 身执行与否。 系统限制 要对系统的功能实施一些限制。比如，限制共享文件，但共享文件是计算机 系统的优点，所以是不可能加以完全限制的。再者，就是限制用户编程。不过这 种做法只适用于某些专用系统。在大型的，通用系统中，编程能力是不可能去除 的。 2 1 3 系统总体功能描述 目前，基于网络的攻击和不安全行为成为影响内网用户正常工作的主要因素， 也是造成密级要求比较高的内网网络泄密的主要因素。据统计，目前，来自内网 用户机的网络攻击和不安全行为的比例，已超过来自外网的比例，单纯使用传统 的网络防火墙和i d s 系统已经不能很好的解决该问题。因此，需要一种系统，对 内网的所有用户进行有效的管理，消除来自内网的不安全行为，这样才能有效的 保证内网的安全。 本系统为一个基于c s 结构的系统，主要分为两个子系统，一个为管理中心 服务器端s e r v e r ，一个为管理客户端c l i e n t 。 管理中心s e r v e r 部署在一个管理服务器上，功能主要包括：基于规则的安全 审计、客户管理、报警管理、同志管理等。 第二章内网安全访问控制系统总体结构 管理客户端c l i e n t 部署在内网的每台用户计算机上，功能主要包括：文 件访问控制、进程访问控制、外设使用控制、用户登陆行为控制以及输入输 出控制、屏幕行为控制等。图2 3 给出了系统的部署示意图 图2 - 3 系统的部署不恿图 c l i e n t 安装在每台工作p c 上，当用户登陆进入操作系统时，该客户端软件以 系统服务的方式启动，并对客户的各种行为进行权限控制和行为跟踪。用户身份 使用用户名、密码、用户机的硬盘序列号以及m a c 地址和口地址进行识别，每 个用户由管理员在系统中赋予不同的操作权限，并在自己有效的权限内进行文件 操作、网络访问操作、外设操作、系统登陆操作等行为。此外，用户机上的不安 全行为，如病毒、木马程序的网络行为，非信任进程行为、不安全的注册表访问 行为等，都在该系统的监控之下。所有行为的允许和不允许都有系统规则来管控， 系统规则存于s e r v e r 中，c l i e n t 通过加密的网络通信从s e r v e r 中获得。 s e r v e r 安装在内网中一台服务器中，存储内网中各个p c 用户机的访问操作 权限和系统规则，所有不在s e r v e r 监控审计之下的p c 用户和p c 将不能访问网 络资源和本地资源，也不能进行各种操作行为。管理员可以在s e r v e r 上建立和修 改用户信息，建立和修改审计规则，监控客户p c 行为，管理和审计日志，在线 分发升级信息等。 基于内网安全的文件访问控制研究 2 2 子系统划分以及主要功能描述 系统中的子系统划分如图2 4 ： 图2 - 4 内网安全访问控制系统子系统划分 具体子系统能能描述： 文件访问控制子系统 对于受控主机上的某些特定文件，需要制定一定的保护策略，管理员能够设 置受控机上制定文件的操作权限，包括读文件权限、写文件权限、删除文件权限、 创建文件权限等，有效的防止文件被删除、篡改、拷贝。 进程访问控制子系统 控制c l i e n t 端的活动进程列表、进程的启动权限( 能否启动) 、进程对网络资 源的访问权限。 外设访问控制子系统 控制c l i e n t 端对外设的访问权限，包括软盘、u 盘、红外设备、蓝牙设备、 光驱设备、并口设备、串口设备、p c i 设备等设备的使用权限。 登录行为控制子系统 用户登录行为控制是通过限制用户的登录时间来保证系统安全的一种手段， 对于内部网用户可以通过对其登录行为进行限制，针对每一个主机，设置允许登 录的身份，允许登录的时间段，来保障账户的安全性。即系统中登录控制的对象 第二章内网安全访问控制系统总体结构 对象是系统的合法用户，通过了系统自身的验证之后，还要经过登录控制文件的 验证才能成功登陆，而不是系统的合法用户则直接不允许登录。 网络访问控制子系统 针对现有系统在网络安全方面存在的缺陷，监控系统应该对内部网的“内部 攻击”与“外部攻击”都实施监控。具体为：h t t p 协议通讯数据的过滤与监控、 s m t p 协议通讯数据的过滤与监控、网络通讯地址( 源地址与目标地址) 的过滤与监 控、协议端口过滤与监控、通信协议( 应用层的h t t p 、s m t p 、p o p 3 、p 2 p 等， 传输层的t c p 、u d p 、i p 层的i c m p 、i g m p ，以及a r p 协议等) 监控等，同时对 每个用户的上网时间和网络流量进行记录。需要注意的是，对于网络通信的监控 包括本机向外网发起的通信和外网向本机发起的通信。 客户管理子系统 在s e r v e r 端完成c l i e n t 用户( 包括用户名和密码) 的建立、用户的权限( 规则) 管理、用户机资源列表管理( c p u 、内存、硬盘i d 、网卡m a c 地址等) 、用户进 程列表等。一个合法用户使用用户名+ 密码+ 硬盘i d + m a c 地址来标定，有一项不 符合，则该用户为非法用户。所有的合法用户信息以加密的形式存于s e r v e r 的数 据库中。每个合法用户拥有自己的权限，权限由规则定义，规则也以加密的形式 保存在s e r v e r 的数据库中。 规则管理子系统 规则用来定义一个用户的权限范围，包括文件访问权限、进程访问权限、外 设访问权限以及其它的系统资源访问权限。规则也以加密的形式保存在s e r v e r 的数据库中。用户端登录一个客户机后，c l i e n t 依据用户信息从s e r v e r 端读取 规则，在规则的管控下，在自己的权限范围内完成各种p c 操作。 报警管理子系统 对于违反规则的操作行为进行报警，报警形式包括弹出窗口报警、声音报警、 日值报警等。当用户违反规则时，报警在c l i e n t 端发生，同时报警信息会发往 s e r v e r ，在s e r v e r 端也同时进行报警。 日志管理子系统 对系统中发生的事件进行记录，事件包括：客户管理事件、规则管理时间、 报警事件、监控事件以及系统自身的一些事件。 2 3 文件访问控制子系统分析 w i n d o w s 操作系统要求处理器仅支持两个模式：一个或多个应用程序运行的 用户态和操作系统运行的内核态。用户态程序被保护，使得它们不能轻易的相互 破坏，或者轻易的破坏内核。相反，内核可以做它想做的任何事情，且可以访问 1 4 基丁内网安全的文件访问控制研究 所有内存。 每个用户模式的进程有其私有的地址空间，这些进程在最低的权限级别下运 行( 即r i n 9 3 或者用户模式) ，它们不允许执行c p u 的特权指令，对系统所属的数 据、地址空间以及硬件等的访问也是被严格限制的。要注意的是进程调用系统功 能的时候可以切换到内核模式执行，但是调用结束后，就返回到用户模式了。用 户模式的进程总是被认为是对操作系统稳定性的潜在威胁，所以它们的权限被严 格地限制，任何触及这些限制的举动都将使进程被终止。而内核模式的组件则可 以共享这些受保护的内核模式内存空间，在特权级别下运行( 也称为r i n 9 0 ) ，允许 执行任何c p u 指令，包括特权指令，可以无限制地访问系统数据、代码和硬件资 源。内核模式代码运行在系统地址空间中，并总是被认为是可信任的，一旦被装 载运行后，驱动程序就是系统的一部分，可以无限制地做任何事情。 论文所要描述的文件访问控制技术可以在用户态以及内核态两种模式下实 现，用户态下可以通过挂接系统中重要的关于文件的w i n d o w s a p i 函数来实现文 件访问控制( a p ih o o k ) ，内核态则可以使用文件过滤驱动技术来实现安全级别更 高的文件访问控制。 2 4 行为监控性能优化 操作系统会对需要监控的系统a p i 进行大量的调用，如果安全策略检查的效 率比较低的话，就会严重的影响系统的性能，增加系统的负载，使操作系统用户 使用明显感觉系统的相应速度缓慢。所以必须采取措施来提高行为监控的效率， 提高系统的相应速度。要提高系统的效率可以采用以下两个措施：提高安全策略 文件的访问速度和规则的匹配速度。 1 安全策略文件的访问速度 安全策略是作为一个文件来进行存储的，在策略检查的时候，如果采用正常 的文件读写方法，需要频繁的打开关闭文件，频繁的读写文件，这样显然导致安 全检查的速度比较慢，导致系统的效率低下。 内存文件映射也是w i n d o w s 的一种内存管理方法，提供了一个统一的内存管 理特征，使应用程序可以通过内存指针对磁盘上的文件进行访问，其过程就如同 对加载了文件的内存的访问。通过文件映射这种使磁盘文件的全部或部分内容与 进程虚拟地址空间的某个区域建立映射关联的能力，可以直接对被映射的文件进 行访问，而不必执行文件i o 操作，也无需对文件内容进行缓冲处理。 在使用内存映射文件进行i o 处理时，系统对数据的传输按页面来进行。至 于内部的所有内存页面则是由虚拟内存管理器来负责管理，由其来决定内存页面 何时被分页到磁盘，哪些页面应该被释放以便为其它进程提供空闲空l 白j ，以及每 第二章内网安全访问控制系统总体结构 个进程可以拥有超出实际分配物理内存之外的多少个页面空间等等。由于虚拟内 存管理器是以一种统一的方式来处理所有磁盘i 0 的( 以页面为单位对内存数据进 行读写) ，因此这种优化使其有能力以足够快的速度来处理内存操作。 使用内存映射文件时所进行的任何实际i 0 交互都是在内存中进行并以标准 的内存地址访问形式来访问。磁盘的周期性分页也是由操作系统在后台隐蔽实现 的，对应用程序而言是完全透明的。内存映射文件的这种特性在进行文件的磁盘 事务操作时将获得很高的效率。 在w i n d o w s 操作系统中，若要使用内存映射文件，必须执行下列操作步骤： 创建或打开一个文件内核对象，该对象用于标识磁盘上想用作内存映射文 件的文件。调用c r e a t e f i l e 函数来创建文件内核对象。 创建一个文件映射内核对象，告诉系统该文件的大小和如何访问该文件。 调用c r e a t e f i l e 函数，就可以将文件映射的物理存储器的位置告诉操作系统。 传递的路径名用于指明支持文件映射的物理存储器在磁盘( 或网络或光盘) 上的确 切位置。这时，必须告诉系统，文件映射对象需要多少物理存储器。若要进行这 项操作，可以调用c r e a t e f i l e m a p p i n g 函数： 让系统将文件映射对象的全部或一部分映射到进程地址空间中。 当创建了一个文件映射对象后，仍然必须让系统为文件的数据保留一个地址 空间区域，并将文件的数据作为映射到该区域的物理存储器进行交换。可以通过 调用m a p v i e w o f f i l e 函数来进行这项操作： 当映射文件内容完成以后，就可以通过m a p v i e w o f f i l e 函数返回的地址，来 按照指定的权限来访问这段地址的内容，就如同访问本地内存一样。 从进程的地址空间中撤销文件数据的映像。不再需要保留映射到自己的进 程地址空间区域中的文件数据时，可以通过调用下面的函数： b o o lu n m a p v i e w o f f i l e ( p v o i dp v b a s e a d d r e s s ) ； 关闭文件映射对象和文件对象 2 规则的匹配速度 在进行安全策略定义的时候，安全策略文件头部分其中包含的d r i v e 1 】到 d r i v e 2 4 代表c 到z 驱动器对应监控对象在策略文件中的偏移位置，即驱动器位 置索引。安全策略规则不是无序的排列，而是按照监控对象所在的磁盘驱动器进 行分类，按照字母顺序有序的排列。在安全策略检查的时候，已知的事监控对象 的名字，即文件或者文件夹的名字，根据这个名字，可以获得监控对象所在的磁 盘驱动器。可以通过磁盘驱动器，根据策略文件相应的位置索引，直接定位到该 监控对象所适用的策略范围，大大降低了需要进行规则匹配检查的数量。如果该 磁盘驱动器没有监控对象，直接通过d r i v e i 的零值来表示，不用进行匹配就可以 直接通过检查。 基于内网安全的文件访问控制研究 另外，在一个系统中，所要监控的敏感对象是相对少量的，因此可以采用“除 非拒绝否则允许”的策匹配规则。这样就减少了需要设置的规则的数量，减轻了 管理人员的负担，同时也减少了进行策略检查的时候规则匹配的数量，减轻了系 统的负载。 2 5 小结 本章对内网安全访问控制系统进行了一个总体的介绍，提出了内网安全访问 控制系统的总体设计思想并进行了子系统的划分。重点对文件访问控制子系统做 了一些分析得出可以分别从用户态以及内核态来实现对文件的访问控制。 第三章针对动态链接库的文件访问控制技术 第三章针对动态链接库的文件访问控制技术 1 7 本章所采用的文件访问控制方法是a p ih o o k 技术。它是一种非常实用的 w i n d o w s 系统编程技术，应用领域十分广泛。屏幕取词、内码转换、屏幕翻译、中 文平台、网络防火墙、串口红外通信或i n t e r n e t 通信的监视等，都涉及到了此项技 术。a p ih o o k 简言之，就是挂钩系统a p i 函数，即让a p i 函数的调用先绕一个弯路， 在它执行实际功能之前，可以先做一些“预处理”，通过这种方式可以监视或定 制某个w i n 3 2 a p i 的调用，以实现一些特殊的功能。 3 1 1 动态链接库介绍 3 1 动态链接库d l l 自从m i c r o s o f t 公司推出第一个版本的w i n d o w s 操作系统以来，动态链接库 ( d l l ) 一直是这个操作系统的基础，w i n d o w s a p i 中的所有函数都包含在d l l 中。 3 个最重要的d l l 是k e r n e l 3 2 d l l ，它包含用于管理内存、进程和线程的各个函数； u s e r 3 2 d l l ，它包含用于执行用户界面任务( 如窗口的创建和消息的传递) 的各个函 数；g d l 3 2 d l l ，它包含用于画图和现实文本的各个函数 1 】。 w i n d o w s 还配有若干别的d l l ，它们提供了用于执行一些特殊任务的函数。动 态链接库( d l l ) 的广泛应用主要是由于以下的一些原因： 它们扩展了应用程序的特性。由于d l l 能够动态地装入进程的地址空间， 因此应用程序能够在运行时确定需要执行什么操作，然后装入相应的代码，以便 根据需要执行这些