基于過濾驅(qū)動(dòng)的SAP系統(tǒng)文件輸出安全策略研究

◆楊家成

(廣東南華工商職業(yè)學(xué)院信息工程與商務(wù)管理學(xué)院 廣東 510507)

隨著個(gè)人及企業(yè)對(duì)于信息保護(hù)的安全意識(shí)不斷提高，文件安全性問題已經(jīng)成為國內(nèi)外研究機(jī)構(gòu)關(guān)注的熱點(diǎn)領(lǐng)域[1]。使用SAP系統(tǒng)的企業(yè)經(jīng)常會(huì)生成用戶需要的數(shù)據(jù)、報(bào)表并將數(shù)據(jù)導(dǎo)出到指定路徑的文件中。這樣的數(shù)據(jù)往往涉及企業(yè)的商業(yè)機(jī)密，不可隨意復(fù)制流通，于是產(chǎn)生了這樣的問題，導(dǎo)出數(shù)據(jù)如何進(jìn)行保護(hù)[2]。SAP系統(tǒng)在這方面并沒有相應(yīng)的涉及，其在安全性方面利用用戶角色、權(quán)限分配等對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行保護(hù)，而導(dǎo)出功能卻不在此安全性控制范圍之內(nèi)?，F(xiàn)有的文件加密軟件不能實(shí)現(xiàn)與 SAP系統(tǒng)的無縫對(duì)接以及相應(yīng)的透明加解密[3]。許多客戶在使用的過程中通過安裝文件加密軟件進(jìn)行導(dǎo)出數(shù)據(jù)的保護(hù)，但是這些軟件普遍存在的問題就是必須通過用戶手動(dòng)選擇相應(yīng)加密的文件或者文件夾才能進(jìn)行相應(yīng)的加密，這不僅會(huì)因?yàn)橛脩暨z忘加密而造成文件的不安全，更會(huì)嚴(yán)重地改變用戶的使用習(xí)慣[4]。由于SAP系統(tǒng)在全球范圍內(nèi)的廣泛使用，這樣的需求會(huì)更加強(qiáng)烈。綜合上述，基于SAP系統(tǒng)導(dǎo)出文件的安全性研究對(duì)于保護(hù)SAP系統(tǒng)導(dǎo)出數(shù)據(jù)安全以及保證用戶正常使用有著廣泛而重要的意義。

信息安全和文件保護(hù)方面，許多著名的信息安全企業(yè)和組織還是推出了自己的文件加密產(chǎn)品，雖然不能直接滿足上面提到的需求，但是卻可以作為研究的參考資料[5]。使用較為廣泛的有賽門鐵克推出的企業(yè)版端點(diǎn)軟件SEP，趨勢科技推出的云安全軟件Pc-cillin，以及諾頓安全軟件 NORTON中的文件加密工具軟件DISKREET[6]。使用最為廣泛而且典型的就是微軟推出的加密文件系統(tǒng)EFS和Office洗了辦公軟件中的加密功能。主流加密軟件均存在各種各樣的缺陷，而這樣的缺陷均不能實(shí)現(xiàn)基于SAP系統(tǒng)導(dǎo)出文件的安全性研究，并且同時(shí)滿足不改變用戶的使用方式即透明加密以及較細(xì)的加密粒度。

1 問題描述

SAP系統(tǒng)是一種企業(yè)管理解決方案實(shí)施軟件，在各行各業(yè)中得到廣泛應(yīng)用，其在每個(gè)行業(yè)中都有規(guī)范式的解決方案實(shí)施標(biāo)準(zhǔn)，充分考慮各行業(yè)中的特殊業(yè)務(wù)與處理需求以統(tǒng)一的形式進(jìn)行規(guī)劃。在SAP系統(tǒng)中包含有多個(gè)模塊，主要有FI、TR、CO、PP、MM、HR、SD等[7]，模塊的劃分是依據(jù)業(yè)務(wù)邏輯進(jìn)行的，故SAP系統(tǒng)中每個(gè)模塊的工作流程均不相同。若脫離具體的業(yè)務(wù)邏輯，單純從數(shù)據(jù)流動(dòng)情況考慮，SAP系統(tǒng)流程圖參見圖1所示。

用戶憑借用戶名、口令以及登錄端口憑證登錄到 SAP系統(tǒng)中，進(jìn)入SAP系統(tǒng)初始界面。在此用戶根據(jù)自身需求鍵入tcode，跳轉(zhuǎn)至相應(yīng)的界面并進(jìn)行操作。在進(jìn)行操作的過程中首先會(huì)產(chǎn)生操作請(qǐng)求，系統(tǒng)接收到請(qǐng)求后驗(yàn)證用戶權(quán)限，如果用戶有此操作權(quán)限即可進(jìn)行操作，否則操作被拒絕。用戶權(quán)限實(shí)現(xiàn)了對(duì)系統(tǒng)中數(shù)據(jù)的基本保護(hù)，使得沒有權(quán)限的用戶無法進(jìn)行非授權(quán)操作，具體關(guān)系如圖2所示。

圖1 SAP系統(tǒng)流程圖

數(shù)據(jù)經(jīng)數(shù)據(jù)處理模塊處理后，根據(jù)用戶需要實(shí)現(xiàn)顯示數(shù)據(jù)或保存數(shù)據(jù)到數(shù)據(jù)庫，此時(shí)該操作執(zhí)行完成；如果用戶有其他操作需要進(jìn)行，產(chǎn)生相應(yīng)的操作請(qǐng)求即可。SAP系統(tǒng)中操作請(qǐng)求主要有查詢、修改、新建、刪除等。在實(shí)際使用過程中，不會(huì)單獨(dú)使用某一種操作，如新建操作在處理時(shí)首先會(huì)進(jìn)行查詢，查詢將創(chuàng)建的記錄在數(shù)據(jù)庫中是否存在。因?yàn)镾AP系統(tǒng)的業(yè)務(wù)邏輯復(fù)雜程度高，數(shù)據(jù)在數(shù)據(jù)處理部分會(huì)經(jīng)過復(fù)雜的業(yè)務(wù)邏輯計(jì)算后，再進(jìn)行其他操作。

圖2 權(quán)限、用戶、角色關(guān)系圖

2 SAP導(dǎo)出文件保護(hù)設(shè)計(jì)

2.1 捕獲文件操作并處理

IRP（I/O request package）是操作系統(tǒng)內(nèi)核的一個(gè)數(shù)據(jù)結(jié)構(gòu)。應(yīng)用程序與驅(qū)動(dòng)程序進(jìn)行通信需要通過IRP包[8]。當(dāng)上層應(yīng)用程序需要與驅(qū)動(dòng)通信的時(shí)候，通過調(diào)用一定的API函數(shù)，IO管理器針對(duì)不同的API產(chǎn)生不同的IRP，IRP被傳遞到驅(qū)動(dòng)內(nèi)部不同的分發(fā)函數(shù)進(jìn)行處理。對(duì)于不會(huì)處理的IRP包需要提供一個(gè)默認(rèn)的分發(fā)函數(shù)來處理。MJ表示主要的即主要的派遣函數(shù)，主功能碼用來標(biāo)識(shí)不同的操作請(qǐng)求，在本系統(tǒng)中需要進(jìn)行處理的IRP請(qǐng)求包有：IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_WRITE、IRP_MJ_CLOSE、IRP_MJ_CLEANUP 等[9]。

2.1.1 獲取被操作文件信息

在IRP_MJ_CREATE類型的IRP請(qǐng)求包的后操作回調(diào)函數(shù)中進(jìn)行文件信息的獲取，主要包括文件名稱、文件路徑、操作的進(jìn)程信息以及設(shè)置上下文操作。而在其預(yù)操作回調(diào)函數(shù)中，不能獲取信息文件的信息，否則在運(yùn)行系統(tǒng)后，隨即出現(xiàn)藍(lán)屏的情況。

在 IRP_MJ_READ的后操作回調(diào)函數(shù)中判斷文件是否加密文件，依據(jù)文件頭部有無加密標(biāo)識(shí)進(jìn)行判斷。如果是加密文件，從文件頭部向后移動(dòng)加密標(biāo)識(shí)的長度，并調(diào)用解密模塊進(jìn)行解密處理，解密的過程中使用解密緩存替換原緩存。在進(jìn)行緩存的讀取時(shí)，以塊為單位進(jìn)行處理。

在IRP_MJ_WRITE的預(yù)操作回調(diào)函數(shù)中，判斷操作進(jìn)程是否特定進(jìn)程，由于系統(tǒng)只針對(duì) SAP系統(tǒng)進(jìn)程進(jìn)行處理，即若是SAP系統(tǒng)導(dǎo)出文件，則調(diào)用加密模塊進(jìn)行加密處理。在加密緩存中首先寫入固定長度的字符串，其用于表示該文件是加密文件，以便后續(xù)對(duì)文件類型進(jìn)行判斷。在讀取緩存的時(shí)候，每次以弧頂長度進(jìn)行加密處理[10]：

（1）如若讀取長度已達(dá)到固定長度，則直接進(jìn)行加密處理；

（2）當(dāng)本地塊讀取完成，但仍不夠固定長度進(jìn)行加密處理，此時(shí)暫不進(jìn)行處理，等待下一塊緩存的傳入，進(jìn)行拼接后仍以固定長度進(jìn)行加密；

（3）在文件結(jié)束時(shí)，如若不夠固定長度進(jìn)行加密，在字符串的結(jié)尾處進(jìn)行補(bǔ)零處理，直至長度符合要求。

讀寫文件操作的一般流程參見圖3所示，圖中未標(biāo)識(shí)出特殊情況的處理過程。IRP_MJ_READ請(qǐng)求會(huì)使得文件內(nèi)容以明文的形式存在于內(nèi)存中，如加密文件的復(fù)制操作或者發(fā)送文件，此時(shí)會(huì)生成IRP_MJ_READ類型的請(qǐng)求包將文件內(nèi)容讀至緩沖區(qū)。后續(xù)的IRP_MJ_WRITE寫請(qǐng)求會(huì)將緩沖區(qū)中的內(nèi)容寫入文件中，從而使得文件內(nèi)容被以明文形式保存。為了解決這一問題，在系統(tǒng)中維護(hù)一張加密文件信息鏈表，其中存放了所有被讀取文件內(nèi)容且沒有關(guān)閉的文件信息，包括文件路徑、原緩存地址、替換緩存地址。寫文件前對(duì)比鏈表信息，如果有該信息，則使用原緩存地址進(jìn)行替換；如若沒有該信息，直接進(jìn)行寫操作，從而保證文件復(fù)制、發(fā)送時(shí)仍舊以密文的形式發(fā)送。

在IRP_MJ_QUERY_INFORMATION的后操作回調(diào)函數(shù)中，將文件大小與占用空間的值進(jìn)行處理，因?yàn)椴樵兊降慕Y(jié)果中包括加密標(biāo)識(shí)的大小，在實(shí)際顯示時(shí)，不應(yīng)讓用戶發(fā)覺到加密標(biāo)識(shí)的存在。

在IRP_MJ_SET_INFORMATION的預(yù)操作回調(diào)函數(shù)中，將文件大小與占用空間的值進(jìn)行處理，因?yàn)閭魅氲臄?shù)據(jù)中不包括加密標(biāo)識(shí)的大小，是實(shí)際文件大小與占用空間，應(yīng)在其中加入加密標(biāo)識(shí)的大小才是正確的數(shù)據(jù)。

讀寫文件屬性流程參見圖4所示。在讀文件屬性中用讀取到的數(shù)據(jù)減去文件頭部加密標(biāo)識(shí)的長度，并將差值傳遞至應(yīng)用層，使得用戶在查看文件屬性時(shí)，顯示的是不包含文件頭部加密標(biāo)識(shí)的情況[11]。在寫文件屬性時(shí)，將要寫入的值與文件頭部加密標(biāo)識(shí)長度相加，將和值傳遞至下層驅(qū)動(dòng)，使得最終寫入的值是包含文件頭部加密標(biāo)識(shí)長度的。

圖3 讀寫文件操作一般流程

圖4 讀寫文件屬性流程

在IRP_MJ_CLOSE后操作回調(diào)函數(shù)中，不能進(jìn)行文件名稱、文件路徑等信息的獲取以及對(duì)上下文的操作。這是因?yàn)楫?dāng)程序執(zhí)行到IRP_MJ_CLOSE時(shí)，系統(tǒng)內(nèi)部結(jié)構(gòu)以及資源可能已經(jīng)析構(gòu)或者釋放，此時(shí)再對(duì)后操作回調(diào)函數(shù)進(jìn)行處理，會(huì)出現(xiàn)不定期藍(lán)屏，因?yàn)椴荒鼙ＷC每次執(zhí)行都是成功的。

IRP_MJ_CLOSE與IRP_MJ_CLEANUP有本質(zhì)的區(qū)別，前者產(chǎn)生的條件是當(dāng)FO引用計(jì)數(shù)為0時(shí)，發(fā)送此IRP；后者產(chǎn)生的條件是當(dāng)一個(gè)文件對(duì)象的句柄引用為0時(shí)，發(fā)送此IRP，即該文件對(duì)象所有句柄均關(guān)閉。一般，IRP_MJ_CLOSE都是產(chǎn)生于IRP_MJ_CLEANUP之后，有可能緊隨著其產(chǎn)生，也可能比IRP_MJ_CLEANUP晚較長時(shí)間[12]。

2.1.2 獲取操作文件的進(jìn)程信息

在IRP_MJ_CREATE類型IRP請(qǐng)求包的后操作回調(diào)函數(shù)以及在IRP_MJ_WRITE類型IRP請(qǐng)求包的預(yù)操作回調(diào)函數(shù)中進(jìn)行操作文件的進(jìn)程信息獲取，包括進(jìn)程名稱、進(jìn)程路徑。

2.1.3 緩存數(shù)據(jù)處理

對(duì)緩存的處理過程參見圖5所示，緩存的讀取以塊為單位。讀取原緩沖區(qū)內(nèi)容時(shí)，以塊的形式讀取，從塊中截取固定長度的字符串用于加解密處理，此時(shí)需要對(duì)字符串的長度進(jìn)行判斷，如果長度為固定長度則直接進(jìn)行加解密處理；如果長度小于固定長度，判斷是否到文件結(jié)尾。若未到文件結(jié)尾，讀取下一塊緩存，并將其與之前的字符串拼接再進(jìn)行處理；若已到文件結(jié)尾處，需對(duì)字符串進(jìn)行補(bǔ)0處理，直至長度為固定長度。

圖5 讀寫文件屬性流程

2.2 文件驅(qū)動(dòng)與應(yīng)用程序通信

由于密鑰的生成是在應(yīng)用層生成的，而文件的加解密操作在驅(qū)動(dòng)層實(shí)現(xiàn)，故需要將密鑰從應(yīng)用層下發(fā)至驅(qū)動(dòng)層。如圖4-1（沒有圖4-1！）所示，在文件過濾驅(qū)動(dòng)程序中有通信模塊，實(shí)現(xiàn)文件過濾驅(qū)動(dòng)與應(yīng)用層Server端的通信，將密鑰請(qǐng)求上傳至Server端，并接收來自Server端的下發(fā)信息，該信息中包含有文件加解密的密鑰。

2.2.1 通信的建立

通信的建立過程并非是單一的密鑰請(qǐng)求發(fā)送，驗(yàn)證并下發(fā)密鑰的過程。為了防止重放攻擊以及信息發(fā)送與接收過程中可能的其他攻擊行為，采用授信的第三方介入到通信的建立過程中。這里的授信的第三方是指KDC（Key Distribution Center）即密鑰分配中心，通信雙方的會(huì)話密鑰是由KDC下發(fā)的。KDC在Windows操作系統(tǒng)中作為一個(gè)域服務(wù)來使用，它使用 A ctive Directory作為數(shù)據(jù)庫，使用GlobalCatalog傳輸數(shù)據(jù)到其他的域。KDC保存著每一個(gè)用戶與其之間通信的唯一密鑰，該密鑰用來保證用戶與KDC之間通信的安全性，并且根據(jù)該密鑰判斷信息的來源是可信的。在會(huì)話密鑰的分配過程中，KDC按照需要生成密鑰，并下發(fā)至需要進(jìn)行通信的雙方。會(huì)話密鑰的下發(fā)過程中，信息經(jīng)用戶與KDC通信的密鑰進(jìn)行加密處理，以保證會(huì)話密鑰的安全性[13]。KDC在kerberos中通常提供兩種服務(wù)：

（1）Authentication Service （AS）：認(rèn)證服務(wù)；

（2）Ticket-Granting Service （TGS）：授予票據(jù)服務(wù)。

2.2.2 數(shù)據(jù)傳遞

在文件透明加密系統(tǒng)中，由于系統(tǒng)相對(duì)于用戶是透明的，如何獲取密鑰并分發(fā)就顯得非常重要。結(jié)合本系統(tǒng)自身的特點(diǎn)，SAP系統(tǒng)導(dǎo)出的文件僅能在本地進(jìn)行正常的操作，不允許離開本機(jī)單獨(dú)操作。結(jié)合密鑰分配中心KDC，由授信的第三方進(jìn)行密鑰的分配。

圖6 密鑰分發(fā)過程

如圖7所示密鑰分發(fā)過程，通信A方與B方進(jìn)行通信：

（1）通信A方向KDC發(fā)送通信請(qǐng)求，請(qǐng)求中包括A的標(biāo)識(shí)符IDA、N1（隨機(jī)數(shù)與時(shí)間戳組合）、請(qǐng)求通信方B標(biāo)示符IDB。通信請(qǐng)求使用通信A方的主密鑰KA（用于與KDC通信）進(jìn)行加密，這樣確保只有KDC可以接收該請(qǐng)求。KDC接收到通信A的通信請(qǐng)求，向通信B方轉(zhuǎn)發(fā)通信A方的通信請(qǐng)求，如圖6所示（2）流程。

（2）KDC轉(zhuǎn)發(fā)A方的通信請(qǐng)求，請(qǐng)求中包括A的標(biāo)識(shí)符IDA、N1、KAB（會(huì)話密鑰）。通信請(qǐng)求使用通信B方的主密鑰KB進(jìn)行加密，確保只有通信B方能接收該請(qǐng)求，并且讓通信B方確信該請(qǐng)求來自KDC。

（3）通信B方發(fā)送應(yīng)答請(qǐng)求，告知KDC通信B存在，可以進(jìn)行通信。該應(yīng)答請(qǐng)求中包括A的標(biāo)識(shí)符IDA、f（N1）、B的標(biāo)示符IDB，該應(yīng)答請(qǐng)求利用KB進(jìn)行加密，保證只有KDC能夠接收該信息。

（4）KDC轉(zhuǎn)發(fā)B方的應(yīng)答請(qǐng)求，請(qǐng)求中包括B的標(biāo)識(shí)符IDB、f（N1）、KAB。通信請(qǐng)求使用通信A方的主密鑰KA進(jìn)行加密，確保只有通信A方能接收該請(qǐng)求，并且讓通信A方確信該請(qǐng)求來自KDC。

（5）通信A方使用會(huì)話密鑰KAB對(duì)會(huì)話請(qǐng)求加密，確保只有通信B方能夠接收該請(qǐng)求。會(huì)話請(qǐng)求中包括A的標(biāo)識(shí)符IDA、N2、B的標(biāo)識(shí)符IDB。

（6）通信B方使用會(huì)話密鑰KAB對(duì)會(huì)話請(qǐng)求進(jìn)行解密，確保只有通信A方能夠發(fā)送該請(qǐng)求，并驗(yàn)證通信A方信息。通信B方發(fā)送會(huì)話應(yīng)答以KAB進(jìn)行加密，會(huì)話應(yīng)答中包括A的標(biāo)識(shí)符IDA、f（N2）、B的標(biāo)識(shí)符IDB。

（7）通信A方經(jīng)驗(yàn)證會(huì)話應(yīng)答，確認(rèn)會(huì)話應(yīng)答是從通信B方發(fā)送，且AB之間通信安全。通信A方利用KAB對(duì)會(huì)話內(nèi)容加密，會(huì)話內(nèi)容中包括文件密鑰，從而實(shí)現(xiàn)AB之間安全的信息傳遞，實(shí)現(xiàn)密鑰的分發(fā)。

2.3 文件透明加密

文件的加密過程在寫文件的過程中實(shí)現(xiàn)，即在IRP_MJ_WRITE類型IRP請(qǐng)求包的處理函數(shù)中進(jìn)行。處理函數(shù)分為預(yù)操作回調(diào)函數(shù)與后操作回調(diào)函數(shù)，而加密的過程是在預(yù)操作回調(diào)函數(shù)中完成的，即攔截IRP的過程中，從請(qǐng)求包中獲取寫文件信息。如果該文件是需要加密的文件，則申請(qǐng)新的緩存區(qū)，逐長度的讀取字符串，經(jīng)過加密運(yùn)算，將加密結(jié)果寫入新的緩存區(qū)，全部字符串加密完成后，將新的緩存區(qū)的地址寫入IRP請(qǐng)求包中，替換原有的IRP請(qǐng)求包中的緩存地址。

在判斷文件是否是需要加密的文件過程中，是依據(jù)獲取的操作文件的進(jìn)程信息進(jìn)行判斷的，判斷進(jìn)程名稱是否是SAPLogon.exe，如果是則表示該文件是 SAP系統(tǒng)的導(dǎo)出文件，是需要進(jìn)行加密處理的。

結(jié)合SAP系統(tǒng)導(dǎo)出文件的特點(diǎn)，SAP系統(tǒng)在顯示數(shù)據(jù)部分常用ALV、OOALV、REPORT等方式，通過對(duì)SAP系統(tǒng)工作流程的研究，導(dǎo)出文件操作均是針對(duì)顯示數(shù)據(jù)進(jìn)行的。以導(dǎo)出文件到桌面為例，具體流程參加圖7所示。

導(dǎo)出文件時(shí)，例如導(dǎo)出到桌面，文件在寫入完成前，不會(huì)在桌面生成臨時(shí)文件（.temp）并最終實(shí)現(xiàn)臨時(shí)文件的保存、覆蓋等操作。

圖7 文件導(dǎo)出流程圖

而是在SAP系統(tǒng)目錄下，首先生成模板臨時(shí)文件，將模板信息導(dǎo)出寫入臨時(shí)文件中并保存。然后在桌面上生成臨時(shí)文件，將前面已經(jīng)導(dǎo)出的模板文件內(nèi)容復(fù)制到桌面臨時(shí)文件中，再將ALV中展示數(shù)據(jù)導(dǎo)出到桌面臨時(shí)文件中，導(dǎo)出完成后保存文件并刪除SAP系統(tǒng)目錄下導(dǎo)出模板文件。

如果在導(dǎo)出操作完成前終止導(dǎo)出操作，根據(jù)導(dǎo)出操作進(jìn)行的程度，會(huì)產(chǎn)生不同的效果，未生成模板文件、生成模板文件且未生成導(dǎo)出文件、生成模板文件且導(dǎo)出部分?jǐn)?shù)據(jù)。在對(duì)系統(tǒng)模型測試過程中，需對(duì)以上所有可能發(fā)生的情況進(jìn)行驗(yàn)證，以保證系統(tǒng)模型涵蓋所有導(dǎo)出情況。

加密的過程采用DES加密算法以及AES加密算法。系統(tǒng)中采用兩種加密算法是為了對(duì)加密效率進(jìn)行比較，并證明本系統(tǒng)的可實(shí)現(xiàn)性。解密的過程與加密的過程相反，但不是完全相同的。

另外針對(duì)文件復(fù)制與發(fā)送的特殊情況，文件被操作時(shí)，雖然沒有執(zhí)行讀操作，但是實(shí)際上有IRP_MJ_READ類型的IRP請(qǐng)求包生成，在執(zhí)行該操作時(shí)，文件的內(nèi)容已經(jīng)被讀至緩沖區(qū)，并且是以明文的形式保存。如果此時(shí)直接進(jìn)行文件寫操作，即生成IRP_MJ_WRITE類型的 IRP請(qǐng)求包，會(huì)造成緩沖區(qū)中的明文被寫入文件中，從而使得文件加密被破解。

為了解決這樣的問題，在處理 IRP_MJ_WRITE類型的 IRP請(qǐng)求包時(shí)，加入加密文件鏈表。鏈表中保存著文件名稱、原緩沖區(qū)地址、新緩沖區(qū)地址等信息，并且該文件是進(jìn)行過IRP_MJ_READ但沒有關(guān)閉的加密文件。當(dāng)有加密文件被讀取內(nèi)容時(shí)，將該文件的信息插入至鏈表中；當(dāng)文件被關(guān)閉時(shí)，將該文件信息從鏈表中刪除。在上面的步驟中加入對(duì)文件信息的判斷，即當(dāng)有IRP_MJ_WRITE類型的IRP請(qǐng)求包生成時(shí)，判斷緩存地址是否在鏈表中有記錄，如果有該條記錄，則將鏈表中的原緩存地址替換此IRP請(qǐng)求包中的緩存地址，即將密文寫入到文件中。從而實(shí)現(xiàn)對(duì)文件的保護(hù)。

3 原型系統(tǒng)實(shí)現(xiàn)和仿真實(shí)驗(yàn)

3.1 原型系統(tǒng)架構(gòu)

系統(tǒng)主要包括三個(gè)部分，分別是SAP系統(tǒng)導(dǎo)出文件、驅(qū)動(dòng)層文件操作處理與文件透明加解密、Server端。具體結(jié)構(gòu)參見圖8所示。

從圖8中可以看出，文件過濾驅(qū)動(dòng)程序是本系統(tǒng)的核心部分，也是開發(fā)的重難點(diǎn)。操作處理中主要對(duì)操作處理回調(diào)函數(shù)進(jìn)行設(shè)置，尤其是對(duì)前后的選擇。緩存處理，將經(jīng)過處理的緩存替換原有緩存，并將信息傳遞給下層進(jìn)行處理。加解密模塊實(shí)現(xiàn)了兩種加密算法，用于證明該系統(tǒng)對(duì)多種加解密算法的支持。應(yīng)用層通信，用于向應(yīng)用層Server端發(fā)送獲取密鑰請(qǐng)求并接收密鑰。文件類型，根據(jù)文件頭部是否存有加密標(biāo)識(shí)判斷文件是否加密文件。

圖8 系統(tǒng)結(jié)構(gòu)圖

圖9顯示了系統(tǒng)中數(shù)據(jù)的流向，文件過濾驅(qū)動(dòng)程序位于文件系統(tǒng)驅(qū)動(dòng)程序之上，攔截需要處理的IRP，并交給相應(yīng)的操作處理回調(diào)函數(shù)進(jìn)行處理。文件過濾驅(qū)動(dòng)程序與應(yīng)用層Server端通信，實(shí)現(xiàn)密鑰的獲取請(qǐng)求發(fā)送與密鑰的接收。

圖9 系統(tǒng)數(shù)據(jù)流程圖

3.2 實(shí)驗(yàn)環(huán)境

本系統(tǒng)的測試環(huán)境主要有 WinDbg與虛擬機(jī)聯(lián)調(diào)、WDK、DriverMonitor。不僅在最后的測試環(huán)節(jié)中，在程序調(diào)試的過程中，WinDbg與虛擬機(jī)聯(lián)調(diào)起著重要的作用。在測試過程中，測試文件大小為1.27M、10.43M、100M，分別使用三種類型文件進(jìn)行測試，測試過程中時(shí)間計(jì)算是從加解密開始計(jì)算計(jì)時(shí)，不包括SAP系統(tǒng)導(dǎo)出時(shí)其響應(yīng)時(shí)間。

3.3 結(jié)果分析

別對(duì)EXCEL、TXT、WORD三種類型導(dǎo)出文件進(jìn)行測試，測試該系統(tǒng)模型對(duì)文件類型的可支持性。并且測試 1.27M、10.43M、100M三個(gè)文件大小數(shù)量級(jí)，檢測該系統(tǒng)模型耗時(shí)是否是用戶可接受的。在文件加解密過程中，采用通用的AES與DES兩種加密算法。在表5-1所顯示的部分測試數(shù)據(jù)中，加密時(shí)間范圍為1.86-124.77，解密時(shí)間范圍為1.97-124.83，均在可接受的范圍之內(nèi)。

通過對(duì)具有不同數(shù)量級(jí)大小的三種類型文件進(jìn)行 DES與AES加解密處理測試，初步證明了該系統(tǒng)模型的可行性，及對(duì)多種文件的支持。為了驗(yàn)證上述結(jié)論的正確性，本文進(jìn)行了大量的實(shí)測實(shí)驗(yàn)，并繪制加解密時(shí)間隨文件大小變化的分布圖，參見圖5-13所示，其中的數(shù)據(jù)來源是EXCEL類型文件經(jīng)AES加密算法處理過程中獲取的，其他兩種文件類型的數(shù)據(jù)分布與圖10類似，區(qū)別在于飽和點(diǎn)的位置不同。從分布圖中可以看到文件大小增長到1000M時(shí)，加密時(shí)間仍在可接受范圍內(nèi)。

表1 部分測試數(shù)據(jù)

圖10 加密時(shí)間隨文件大小變化分布圖

實(shí)驗(yàn)數(shù)據(jù)證明了本文提出的對(duì) SAP系統(tǒng)導(dǎo)出文件實(shí)施保護(hù)方法的有效性與可行性，以及本文實(shí)現(xiàn)的系統(tǒng)模型的正確性。該系統(tǒng)安裝后，不改變用戶的使用習(xí)慣，用戶可以正常操作SAP系統(tǒng)并實(shí)現(xiàn)導(dǎo)出文件。在本地計(jì)算機(jī)中打開文件可以看到文件內(nèi)容正常顯示，將文件復(fù)制到其他計(jì)算機(jī)上，文件可以打開，顯示為亂碼，從而實(shí)現(xiàn)了對(duì)SAP系統(tǒng)導(dǎo)出文件的加密保護(hù)，將導(dǎo)出文件限制在本地計(jì)算機(jī)中，而對(duì)其他文件不產(chǎn)生影響。

4 結(jié)論

本文基于企業(yè)信息安全實(shí)際的需求，設(shè)計(jì)并實(shí)現(xiàn)軟件系統(tǒng)，完成了基于 SAP系統(tǒng)導(dǎo)出文件設(shè)計(jì)與安全性提升的功能要求。對(duì)文件監(jiān)控的方式有應(yīng)用層的API、驅(qū)動(dòng)層的SSDT以及驅(qū)動(dòng)層IRP三種方式。結(jié)合SAP系統(tǒng)自身的特點(diǎn)，研究、綜合比較三種方式，選取其中最適宜的方式進(jìn)行本系統(tǒng)模型的建立，并最終實(shí)現(xiàn)本系統(tǒng)。由于本文不是按照文件類型對(duì)文件實(shí)施加密的，即在同一臺(tái)計(jì)算機(jī)上只有由 SAP系統(tǒng)導(dǎo)出的文件需要加密，其他文件均不需要加密。因此對(duì)文件系統(tǒng)監(jiān)控時(shí)，判斷進(jìn)程信息，若是特定進(jìn)程即進(jìn)行監(jiān)控。SAP系統(tǒng)并不直接對(duì)文件進(jìn)行操作，故需研究如何將 SAP系統(tǒng)的操作與對(duì)應(yīng)文件聯(lián)系起來。最后針對(duì)該軟件系統(tǒng)實(shí)現(xiàn)功性能測試并分析實(shí)驗(yàn)結(jié)果數(shù)據(jù)，驗(yàn)證研究成果、方法、技術(shù)的可行性。