微過(guò)濾驅(qū)動(dòng)在終端文檔安全保護(hù)中的應(yīng)用

黎計(jì)仲， 凌 捷， 黃萬(wàn)民， 袁肅蓉， 劉 新

(1.廣東工業(yè)大學(xué)計(jì)算機(jī)學(xué)院，廣東廣州510006；2.廣州鈞衡軟件測(cè)評(píng)技術(shù)有限公司，廣東廣州510663)

0 引 言

為了解決終端重要信息的安全問(wèn)題，一種有效的方法就是直接對(duì)信息的載體和源頭—終端的文檔進(jìn)行訪問(wèn)控制和加密。但當(dāng)前很多加密系統(tǒng)都是應(yīng)用層加密系統(tǒng)，沒(méi)有與操作系統(tǒng)的文件系統(tǒng)集成在一起，在實(shí)際應(yīng)用中都要求用戶在訪問(wèn)文件前要進(jìn)行手動(dòng)的加解密處理，使用起來(lái)很不方便。隨著文件系統(tǒng)過(guò)濾驅(qū)動(dòng)技術(shù)的成熟，使用文件系統(tǒng)過(guò)濾驅(qū)動(dòng)技術(shù)對(duì)重要文件進(jìn)行透明加密已成為解決文件安全保護(hù)的重要技術(shù)手段，但是使用文件系統(tǒng)過(guò)濾驅(qū)動(dòng)實(shí)現(xiàn)對(duì)文檔動(dòng)態(tài)透明加解密時(shí)，首先要解決動(dòng)態(tài)透明加解密中區(qū)分加密文件與非加密文件的問(wèn)題。方法一是將特定類(lèi)型的文件放在一個(gè)固定的目錄下或者將文件的全路徑存放在另外一個(gè)文件里。這些做法的缺點(diǎn)是文件的移動(dòng)、打包壓縮或者通過(guò)網(wǎng)絡(luò)發(fā)送就變得極其麻煩，文件標(biāo)識(shí)很容易丟失，不利于實(shí)際應(yīng)用。方法二是采用文檔標(biāo)識(shí)技術(shù)[1]，把文檔標(biāo)識(shí)嵌入文檔本身，文檔與標(biāo)識(shí)保存在一起，避免由于文件的移動(dòng)而造成標(biāo)識(shí)丟失的可能性，實(shí)現(xiàn)了在細(xì)粒度級(jí)別上對(duì)文件進(jìn)行透明標(biāo)識(shí)。

但原有的文檔標(biāo)識(shí)技術(shù)只有識(shí)別文檔的功能，本文先對(duì)原有的文檔標(biāo)識(shí)技術(shù)進(jìn)行改進(jìn)，把對(duì)文檔的加密密鑰和文檔的策略控制信息保存在文檔標(biāo)識(shí)中，使文檔標(biāo)識(shí)不僅有識(shí)別文檔的功能，而且具有密鑰管理以及策略管理功能，然后基于新型文件系統(tǒng)過(guò)濾驅(qū)動(dòng)Minifilter過(guò)濾驅(qū)動(dòng)以及改進(jìn)的文檔標(biāo)識(shí)技術(shù)，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)終端文檔安全保護(hù)系統(tǒng)，實(shí)現(xiàn)對(duì)文檔的透明加密和透明標(biāo)識(shí)以及嚴(yán)格的訪問(wèn)控制，使文檔在終端如常使用，通過(guò)移動(dòng)存儲(chǔ)設(shè)備拷貝出去或者通過(guò)網(wǎng)絡(luò)發(fā)送出去，在外不可用，可以有效地保護(hù)終端重要信息的安全。

1 Minifilter過(guò)濾驅(qū)動(dòng)技術(shù)和文檔標(biāo)識(shí)技術(shù)的改進(jìn)

1.1 Minifilter過(guò)濾驅(qū)動(dòng)技術(shù)

Windows 2K/XP/2003等基于NT內(nèi)核的Windows操作系統(tǒng)的驅(qū)動(dòng)程序是采用分層的結(jié)構(gòu)模型，文件系統(tǒng)驅(qū)動(dòng)程序只是I/O子系統(tǒng)的一個(gè)組件。在這種分層的結(jié)構(gòu)下，I/O管理器所發(fā)出的每個(gè)IRP(I/O請(qǐng)求包)的處理分別經(jīng)過(guò)各層驅(qū)動(dòng)程序，直到某層驅(qū)動(dòng)程序完成這個(gè)請(qǐng)求[2]。因此，可以在I/O管理器與文件系統(tǒng)驅(qū)動(dòng)之間插入過(guò)濾驅(qū)動(dòng)，截獲和處理來(lái)自上層的IRP以及下層返回上層的IRP，從而實(shí)現(xiàn)對(duì)文檔的透明加解密。過(guò)濾驅(qū)動(dòng)的工作原理如圖1所示。

圖1 過(guò)濾驅(qū)動(dòng)的工作原理

1.2 改進(jìn)的文檔標(biāo)識(shí)技術(shù)

文檔標(biāo)識(shí)技術(shù)把文檔標(biāo)識(shí)嵌入文檔本身是為了解決以前把識(shí)別文檔需要?jiǎng)討B(tài)加解密的標(biāo)識(shí)放在文檔本身之外，使文件標(biāo)識(shí)很容易丟失，不利于實(shí)際應(yīng)用的問(wèn)題。文檔標(biāo)識(shí)技術(shù)把文檔標(biāo)識(shí)與文檔保存在一起，避免由于文件的移動(dòng)而造成文件標(biāo)識(shí)丟失的可能性，實(shí)現(xiàn)在細(xì)粒度級(jí)別上對(duì)文件進(jìn)行透明標(biāo)識(shí)，但它只有識(shí)別文檔的功能。

本文對(duì)原有的文檔標(biāo)識(shí)的構(gòu)成進(jìn)行擴(kuò)展，把文檔的加密密鑰，文檔的策略控制信息也保存在文檔標(biāo)識(shí)中，使文檔標(biāo)識(shí)不僅有識(shí)別文檔的功能，而且有密鑰管理的功能。對(duì)密鑰的管理，方法一是所有文檔使用相同的密鑰[1-3]，不用對(duì)密鑰進(jìn)行管理，但該方法存在破解一個(gè)文檔就破解所有文檔的風(fēng)險(xiǎn)。方法二把密鑰集中存在密鑰服務(wù)器[4]，一文檔一密鑰，安全性高。但該方法每次訪問(wèn)文檔都要通過(guò)內(nèi)核向應(yīng)用層詢問(wèn)密鑰，透明加密時(shí)延大，一旦密鑰服務(wù)器遭破壞，所有文檔都失效。本文綜合前兩種方法的優(yōu)點(diǎn)，先是文檔密鑰隨機(jī)產(chǎn)生，不同文檔不同密鑰，密鑰存放在對(duì)文檔標(biāo)識(shí)中，利用文檔標(biāo)識(shí)管理密鑰，然后使用統(tǒng)一的密鑰對(duì)文檔標(biāo)識(shí)加密，最后把加密后的文檔標(biāo)識(shí)嵌入文檔頭部，內(nèi)核訪問(wèn)文檔時(shí)直接從解密后的文檔標(biāo)識(shí)中得到密鑰，減少時(shí)延，提高效率。文檔標(biāo)識(shí)結(jié)構(gòu)如圖2所示。

圖2 文檔標(biāo)識(shí)結(jié)構(gòu)

2 終端文檔安全保護(hù)系統(tǒng)的模塊設(shè)計(jì)

本系統(tǒng)旨在對(duì)終端的文件進(jìn)行安全保護(hù)，采用Minifilter過(guò)濾驅(qū)動(dòng)透明加密技術(shù)，使終端上的文檔始終以密文的形式存放在磁盤(pán)上，從源頭上解決終端文檔的安全問(wèn)題。文件的加密密鑰隨機(jī)產(chǎn)生，并且加密的密鑰嵌入文件的內(nèi)部，系統(tǒng)用戶也不知道文件的密鑰，這樣更能防止合法人員有意無(wú)意的操作而造成的信息泄漏問(wèn)題，同時(shí)對(duì)文件進(jìn)行分級(jí)保護(hù)，用戶也分等級(jí)，不同等級(jí)的用戶對(duì)不同等級(jí)的文件的操作權(quán)限也各不相同，系統(tǒng)的總體模塊設(shè)計(jì)如圖3所示。

圖3 系統(tǒng)總體模塊

2.1 應(yīng)用層界面模塊

提供用戶的操作界面，負(fù)責(zé)用戶信息管理，日志管理等功能。日志用于記錄什么用戶什么時(shí)候進(jìn)行什么操作，這有利于對(duì)安全事故進(jìn)行追蹤，界面模塊還負(fù)責(zé)用戶與內(nèi)核進(jìn)行信息交換。

2.2 規(guī)則策略模塊

由于文檔分等級(jí)，用戶也分等級(jí)，不同的用戶對(duì)不同的文檔的權(quán)限不同，這樣就要進(jìn)行權(quán)限訪問(wèn)控制，禁止越權(quán)讀，寫(xiě)，修改文檔等操作。

2.3 內(nèi)核透明加密模塊

這個(gè)模塊只要采用Minifilter過(guò)濾驅(qū)動(dòng)技術(shù)實(shí)現(xiàn)對(duì)文檔的透明加密。在I/O管理器和文件系統(tǒng)驅(qū)動(dòng)之間插入Minifilter過(guò)濾驅(qū)動(dòng)程序攔截上層發(fā)來(lái)的I/O請(qǐng)求包，并對(duì)該IRP進(jìn)行處理后再繼續(xù)向下傳遞或直接向上返回結(jié)果通常被送到設(shè)備堆棧的最上層驅(qū)動(dòng)程序，實(shí)現(xiàn)實(shí)時(shí)加密寫(xiě)入文件系統(tǒng)的文件，實(shí)時(shí)解密從文件系統(tǒng)讀出的文件，讀多少解密多少，寫(xiě)多少加密多少[5]，保證受保護(hù)的文檔始終是以密文的狀態(tài)存放在磁盤(pán)上。

2.4 密鑰發(fā)配模塊及文檔標(biāo)識(shí)

本系統(tǒng)為了文檔安全保護(hù)性能而設(shè)計(jì)了密鑰發(fā)配模塊，該模塊為每個(gè)新建的文檔發(fā)配一個(gè)不重復(fù)的密鑰，使每個(gè)文檔的加密密鑰各不相同，密鑰隨機(jī)產(chǎn)生，密鑰和相應(yīng)的控制策略信息以文檔標(biāo)識(shí)的方式嵌入文件的本身，有利于對(duì)密鑰進(jìn)行管理以及在細(xì)粒度級(jí)別上對(duì)文檔進(jìn)行安全保護(hù)。不同的文檔不同的密鑰，這樣就使密鑰與文檔是一對(duì)一的關(guān)系，有效地防止破解一個(gè)文檔就可以破解所有文檔的風(fēng)險(xiǎn)。

2.5 輔助功能模塊

輔助功能模塊提供一個(gè)簡(jiǎn)單的類(lèi)似漏洞掃描功能的模塊，負(fù)責(zé)檢測(cè)終端是否裝殺毒軟件、防火墻等輔助性軟件，以及提示重要系統(tǒng)補(bǔ)丁的缺漏，提高終端整體的安全性能。

3 關(guān)鍵技術(shù)與主要功能模塊的實(shí)現(xiàn)

3.1 文檔打開(kāi)預(yù)處理的實(shí)現(xiàn)

文檔打開(kāi)預(yù)處理是指當(dāng)進(jìn)行文檔透明加密的過(guò)濾驅(qū)動(dòng)檢測(cè)到機(jī)密進(jìn)程試圖打開(kāi)一個(gè)文檔 (新建的文檔或者已存在的文檔)時(shí)所需要進(jìn)行的處理，在這個(gè)過(guò)程中涉及到文檔信息的提取，密鑰的發(fā)配，文檔標(biāo)識(shí)的相關(guān)操作以及決定該文檔打開(kāi)之后是否要加入文檔加密表中。

無(wú)論用戶請(qǐng)求打開(kāi)新建的文檔或者已存在的文檔，I/O管理器首先向文件系統(tǒng)驅(qū)動(dòng)發(fā)出的都是 IRP_MJ_CREATE IRP請(qǐng)求包，因此可以利用Minifilter過(guò)濾驅(qū)動(dòng)技術(shù)在內(nèi)核中截獲IRP_MJ_CREATE操作，判斷當(dāng)前打開(kāi)的是否是新建的文檔，是就申請(qǐng)一個(gè)新的密鑰，把密鑰和文件的等級(jí)信息，權(quán)限信息等寫(xiě)入新的文檔標(biāo)識(shí)中，并把文檔標(biāo)識(shí)加入加密表中，然后對(duì)文檔標(biāo)識(shí)加密，最后把加密的文檔標(biāo)識(shí)寫(xiě)入新的文檔中，如果不是新建的文檔，就提取文檔的文檔標(biāo)識(shí)，提取成功，就把文檔標(biāo)識(shí)加入加密表，提取失敗就放過(guò)這個(gè)請(qǐng)求，流程如圖4所示。

圖4 文檔打開(kāi)預(yù)處理過(guò)程

3.2 透明加密與訪問(wèn)策略控制的實(shí)現(xiàn)

任何加密方法都可以抽象成鉤子技術(shù)，即在數(shù)據(jù)從用戶態(tài)請(qǐng)求到磁盤(pán)存儲(chǔ)這條通路的某個(gè)地方，安裝自己的處理過(guò)程，當(dāng)寫(xiě)請(qǐng)求到來(lái)時(shí)進(jìn)行數(shù)據(jù)加密，當(dāng)讀請(qǐng)求到來(lái)時(shí)進(jìn)行數(shù)據(jù)解密[6]。因此可在I/O管理器和文件系統(tǒng)驅(qū)動(dòng)之間插入Minifilter過(guò)濾驅(qū)動(dòng)程序，截獲I/0管理器發(fā)往文件系統(tǒng)驅(qū)動(dòng)的讀寫(xiě)IRP，獲得當(dāng)前的文件對(duì)TargetFileObject，根據(jù)文件對(duì)象從加密表中取得相應(yīng)的文件信息以及對(duì)應(yīng)的控制策略信息，還有文檔密鑰等，然后把控制策略信息送到規(guī)則策略模塊，判斷當(dāng)前用戶對(duì)當(dāng)前文檔是否夠權(quán)限進(jìn)行相應(yīng)的請(qǐng)求操作，如果允許進(jìn)行操作，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行相應(yīng)的動(dòng)態(tài)加解密處理：數(shù)據(jù)讀請(qǐng)求時(shí)對(duì)讀入的數(shù)據(jù)進(jìn)行解密；數(shù)據(jù)寫(xiě)請(qǐng)求時(shí)對(duì)寫(xiě)出的數(shù)據(jù)進(jìn)行加密[3]，否則就禁止用戶的操作。

實(shí)現(xiàn)的流程圖如圖5所示。

動(dòng)態(tài)寫(xiě)加密實(shí)現(xiàn)的關(guān)鍵代碼如下：

圖5 透明加密的實(shí)現(xiàn)流程

3.3 驅(qū)動(dòng)程序與應(yīng)用程序通信的實(shí)現(xiàn)

在內(nèi)核層與用戶層的通信，傳統(tǒng)的做法是使用用戶態(tài)的API函數(shù)DeviceIoControl結(jié)合內(nèi)核模塊中的處理控制請(qǐng)求來(lái)實(shí)現(xiàn)雙方通信的，而采用Minifilter過(guò)濾驅(qū)動(dòng)技術(shù)則不同，Minifilter有內(nèi)建的API提供給開(kāi)發(fā)者使用，引入了新的對(duì)象微過(guò)濾器通信端口[7]，通過(guò)FilterConnectionPort這個(gè)回調(diào)函數(shù)注冊(cè)一個(gè)通信端口，利用FilterSendMessage以及FilterGetMessage實(shí)現(xiàn)兩層的通信，為了實(shí)現(xiàn)他們之間的實(shí)時(shí)通信，本系統(tǒng)先在用戶模式應(yīng)用程序創(chuàng)建一個(gè)事件，并將該事件旬柄傳給文件系統(tǒng)驅(qū)動(dòng)程序，然后創(chuàng)建一個(gè)輔助線程。文件系統(tǒng)驅(qū)動(dòng)程序收到該事件的句柄后，將其轉(zhuǎn)換成能夠使用的事件指針，并存儲(chǔ)起來(lái)以便使用。在文件系統(tǒng)驅(qū)動(dòng)程序向應(yīng)用程序傳遞信息時(shí)，就將此事件設(shè)置為有信號(hào)狀態(tài)，然后應(yīng)用程序的輔助線程便會(huì)知道這個(gè)消息并進(jìn)行相應(yīng)的處理。

4 系統(tǒng)運(yùn)行結(jié)果及性能分析

圖6 沒(méi)有文件標(biāo)識(shí)的文件

圖7 有文件標(biāo)識(shí)的文件

對(duì)兩個(gè)相同大小的有文件標(biāo)識(shí)和沒(méi)有文件標(biāo)識(shí)的文件，有文件標(biāo)識(shí)的文件在開(kāi)啟終端文檔安全保護(hù)系統(tǒng)情況下進(jìn)行讀寫(xiě)操作與沒(méi)有文件標(biāo)識(shí)的文件在沒(méi)有開(kāi)啟終端文檔安全保護(hù)系統(tǒng)情況下進(jìn)行讀寫(xiě)操作。讀寫(xiě)速度幾乎一樣，時(shí)延非常小如圖8所示，并且系統(tǒng)具有以下性能：

圖8 文件讀寫(xiě)時(shí)間測(cè)試

(1)可操作性：本文的終端文檔安全保護(hù)系統(tǒng)是基于Minifilter過(guò)濾驅(qū)動(dòng)開(kāi)發(fā)的，它與Windows文件系統(tǒng)高度集成在一起，對(duì)文檔的加/解密過(guò)程是在內(nèi)核中自動(dòng)完成的，對(duì)應(yīng)用層來(lái)說(shuō)完全是透明的，因此不會(huì)對(duì)應(yīng)用程序訪問(wèn)方式和用戶操作習(xí)慣產(chǎn)生任何影響。文件內(nèi)容加解密采用流加密算法，效率可以接受。同時(shí)系統(tǒng)不僅支持NTFS格式文件系統(tǒng)，也支持FAT格式文件系統(tǒng)，具有很強(qiáng)的實(shí)用性。

(2)安全性：被保護(hù)的重要文件以密文的形式存儲(chǔ)在磁盤(pán)上，入侵者不能得到被保護(hù)的重要文件的明文。由于每個(gè)文件的密鑰是隨機(jī)產(chǎn)生并且都各不相同，即使攻破一個(gè)文件，其他文件仍是安全的。

(3)共享性：由于對(duì)文件的所有訪問(wèn)控制策略以及加密的密鑰都以文件標(biāo)識(shí)的方式嵌入文件的頭部，所以文件在系統(tǒng)下自由移動(dòng)，并不對(duì)文件的共享性產(chǎn)生任何影響，只要訪問(wèn)者具有相應(yīng)的權(quán)限，對(duì)文件的操作無(wú)需作任何改變。

5 結(jié)束語(yǔ)

本文先對(duì)原有的文檔標(biāo)識(shí)技術(shù)進(jìn)行改進(jìn)，使文檔標(biāo)識(shí)不僅有識(shí)別文檔的功能，而且具有密鑰管理以及策略管理功能，然后結(jié)合Minifilter過(guò)濾驅(qū)動(dòng)設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)終端文檔安全保護(hù)系統(tǒng)。實(shí)現(xiàn)對(duì)終端重要文檔的透明加密以及透明標(biāo)識(shí)，在細(xì)粒度級(jí)別上對(duì)受保護(hù)文檔進(jìn)行標(biāo)識(shí)，使受保護(hù)文檔始終是以密文的狀態(tài)存放在終端上，且加密時(shí)不同的文檔采用不同的密鑰，實(shí)驗(yàn)結(jié)果證明系統(tǒng)能有效地保護(hù)終端重要信息的安全，達(dá)到設(shè)計(jì)的預(yù)期效果。改進(jìn)的文檔標(biāo)識(shí)技術(shù)不僅應(yīng)用在文件透明加密系統(tǒng)中，還可應(yīng)用在目錄安全控制系統(tǒng)或者其他文件安全防護(hù)系統(tǒng)中，具有良好的應(yīng)用前景。

[1]龍飛宇,劉嘉勇.基于文件系統(tǒng)過(guò)濾驅(qū)動(dòng)的文件標(biāo)識(shí)研究[J].通信技術(shù),2008,41(10):76-79.

[2]胡宏銀,姚峰,何成萬(wàn).一種基于文件過(guò)濾驅(qū)動(dòng)的Windows文件安全保護(hù)方案[J].計(jì)算機(jī)應(yīng)用,2009,29(1):168-171.

[3]李民,方勇,劉林超,等.文件過(guò)濾驅(qū)動(dòng)及應(yīng)用[J].信息與電子工程,2005,3(4):290-292.

[4]于飛,胡平.基于文件過(guò)濾驅(qū)動(dòng)的局域網(wǎng)安全系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)工程與設(shè)計(jì),2008,29(20):5174-5176.

[5]沈瑋,王雷,陳佳捷.基于文件系統(tǒng)過(guò)濾驅(qū)動(dòng)的加密系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2009,35(20):157-159.

[6]顧正義,黃皓.新加密文件系統(tǒng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì),2009,30(14):3272-3277.

[7]譚文,楊瀟,釗堅(jiān)磊,等.Windows內(nèi)核安全編程[M].北京:電子工業(yè)出版社,2009.