郭育艷

（河南財(cái)經(jīng)政法大學(xué) 圖書(shū)館450002）

0 引言

計(jì)算機(jī)技術(shù)發(fā)展至今，信息安全問(wèn)題一直備受關(guān)注.目前針對(duì)信息安全問(wèn)題，相繼出現(xiàn)了不少新技術(shù)，如偵測(cè)與反偵測(cè)技術(shù)、動(dòng)態(tài)度量技術(shù)、主動(dòng)防御技術(shù)等，這些技術(shù)都在系統(tǒng)應(yīng)用層和操作系統(tǒng)內(nèi)核層等不同層次上實(shí)現(xiàn).Windo ws系統(tǒng)是目前最流行的PC操作系統(tǒng)之一，同時(shí)也是信息安全研究最關(guān)注的操作系統(tǒng)之一［1］.在廣泛流行殺毒軟件技術(shù)、防火墻技術(shù)的情況下，安全操作系統(tǒng)的研究也日益受到關(guān)注，這也是我們的研究重點(diǎn).作者選擇USBKEY嵌入式Windows XPE研究、設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)安全操作系統(tǒng)原型－Security Reinforced XPE，簡(jiǎn)稱(chēng)SR－XPE.首先簡(jiǎn)要介紹SR－XPE系統(tǒng)設(shè)計(jì)，主要有基于GRUB的可信引導(dǎo)，基于過(guò)濾驅(qū)動(dòng)和內(nèi)核Hook的進(jìn)程、網(wǎng)絡(luò)及外接設(shè)備訪(fǎng)問(wèn)控制，基于GINA技術(shù)的身份認(rèn)證，安全通訊協(xié)議等，然后側(cè)重介紹強(qiáng)制訪(fǎng)問(wèn)控制技術(shù)和文件訪(fǎng)問(wèn)控制的實(shí)現(xiàn).

1 SR－XPE系統(tǒng)設(shè)計(jì)

1.1 基于GRUB的可信引導(dǎo)

基于可信計(jì)算信任鏈傳遞的思想，可以采用層層驗(yàn)證的方法來(lái)保障系統(tǒng)整體的安全性.可信引導(dǎo)作為可信系統(tǒng)的基礎(chǔ)，是系統(tǒng)實(shí)現(xiàn)可信計(jì)算非常重要的部分.SR－XPE采用基于USBKEY的Gr ub引導(dǎo)啟動(dòng)，在Gr ub2內(nèi)核加入了引導(dǎo)控制程序.

在裁剪Gr ub2時(shí)，不使用Gr ub2默認(rèn)包含的／boot／gr ub目錄及gr ub目錄下的文件，把所有使用到的模塊都要靜態(tài)加載到Gr ub2內(nèi)核鏡像中.為實(shí)現(xiàn)USB啟動(dòng)，引導(dǎo)程序必須使用的模塊有硬盤(pán)設(shè)備模塊biosdisk、分區(qū)類(lèi)型part＿msdos、分區(qū)格式fat、驅(qū)動(dòng)器號(hào)映射模塊drivemap、引導(dǎo)主程序模塊nor mal和命令模塊boot，在Linux環(huán)境下創(chuàng)建內(nèi)核文件的命令為：

.／grub－mkimage－d.－o coreloadxpe.img biosdisk part＿msdos fat drivemap nor mal boot

Gr ub引導(dǎo)過(guò)程的一個(gè)重要工作是關(guān)鍵資源（操作系統(tǒng)啟動(dòng)核心文件和安全組件自身等）保護(hù).關(guān)鍵資源保護(hù)通過(guò)文件完整性校驗(yàn)實(shí)現(xiàn)，目的是防止重要文件遭惡意篡改.

1.2 系統(tǒng)強(qiáng)身份認(rèn)證

SR－XPE系統(tǒng)使用定制的用戶(hù)身份認(rèn)證模塊，以增強(qiáng)系統(tǒng)登錄安全.Windows XP／2003／XPE系統(tǒng)默認(rèn)使用GINA機(jī)制進(jìn)行登錄用戶(hù)身份 認(rèn) 證［1］.GINA （Graphical Identification and Authentication）是 Windo ws操作系統(tǒng)的核心文件之一.Winl ogon.exe在系統(tǒng)啟動(dòng)時(shí)加載GINA.GINA的主要功能包括：用戶(hù)身份認(rèn)證、系統(tǒng)鎖屏登錄、啟動(dòng)Explorer等.

微軟提供了使用定制GINA替換系統(tǒng)GINA（msgina.dll）的方法，因此我們可以在驗(yàn)證用戶(hù)名密碼的同時(shí)加入我們關(guān)心的其他驗(yàn)證模塊，如人臉識(shí)別、聲控、自定義口令等.當(dāng)然，自定義GINA需要實(shí)現(xiàn)系統(tǒng)GINA的全部接口函數(shù)，也可以?xún)H實(shí)現(xiàn)自己關(guān)心的部分接口，其余直接調(diào)用系統(tǒng)GINA的接口實(shí)現(xiàn).圖1是GINA修改后的系統(tǒng)登錄界面截圖：

圖1 SR－XPE系統(tǒng)登錄界面Fig.1 Landing interf ace for SR－XPE

在這個(gè)自定義GINA中系統(tǒng)重新實(shí)現(xiàn)了標(biāo)準(zhǔn)接口函數(shù) Wl x Logged Out SAS，增加了 USBKEY硬件口令驗(yàn)證（即PIN碼），同時(shí)去掉了密碼輸入框.自定義GINA需要實(shí)現(xiàn)的供 Winlogon.exe調(diào)用的一系列 Win Wl x接口函數(shù)，如WlxInitialize，Wlx Logged Out SAS，Wl x Logged On SAS，Wl x Activate User Shell，Wl x Shutdown，Wl x Create User Desktop，Wlx WkstaLocked SAS等.

1.3 進(jìn)程啟動(dòng)控制

SR－XPE系統(tǒng)提供對(duì)應(yīng)用程序真實(shí)性和完整性度量和校驗(yàn)的功能.可執(zhí)行程序的真實(shí)性度量，是為了確保運(yùn)行的可執(zhí)行程序都是合法的.可執(zhí)行程序完整性度量，是為了保證系統(tǒng)啟動(dòng)的可執(zhí)行程序都是可信的，禁止不符合預(yù)期的程序的啟動(dòng).SR－XPE核心模塊會(huì)在可執(zhí)行程序啟動(dòng)前，度量該程序的真實(shí)性和完整性，只有在度量結(jié)果和預(yù)存值匹配的情況下，才允許程序啟動(dòng)，否則禁止啟動(dòng).如果SR－XPE中的某個(gè)程序被惡意代碼感染，將無(wú)法通過(guò)度量，進(jìn)而無(wú)法啟動(dòng)，這就能夠有效阻止病毒或木馬繼續(xù)傳播和破壞，實(shí)現(xiàn)對(duì)惡意代碼的免疫，保障系統(tǒng)完整性不被破壞.

SR－XPE系統(tǒng)的進(jìn)程啟動(dòng)控制是通過(guò)內(nèi)核鉤子和文件過(guò)濾驅(qū)動(dòng)實(shí)現(xiàn)的.Windows內(nèi)核Hook技術(shù)已趨于成熟［2］，我們可以通過(guò)修改系統(tǒng)服務(wù)描述符表（SSDT）來(lái)實(shí)現(xiàn)控制系統(tǒng)的內(nèi)核操作（詳見(jiàn)2.2節(jié)）.系統(tǒng)應(yīng)用程序的一些操作，比如用戶(hù)層執(zhí)行CreateFile函數(shù)創(chuàng)建文件，內(nèi)核層鉤到該IRP請(qǐng)求并進(jìn)行攔截控制.成功攔截之后，判讀文件摘要與預(yù)設(shè)值是否匹配，如果匹配則允許啟動(dòng)；否則拒絕執(zhí)行，如圖2所示.

圖2 進(jìn)程阻止運(yùn)行提示Fig.2 Indication of halt of proceeding course

1.4 網(wǎng)絡(luò)訪(fǎng)問(wèn)控制

SR－XPE系統(tǒng)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制實(shí)現(xiàn)類(lèi)似于防火墻的功能.當(dāng)截獲網(wǎng)絡(luò)數(shù)據(jù)包時(shí)，系統(tǒng)核心模塊會(huì)檢查數(shù)據(jù)包頭中的源IP、源端口、目的IP、目的端口和協(xié)議類(lèi)型，看與訪(fǎng)問(wèn)控制策略庫(kù)（白名單列表）是否匹配.系統(tǒng)會(huì)放行允許的數(shù)據(jù)包，阻止非法的數(shù)據(jù)包，如試圖tel net不在白名單中的IP，如圖3所示.

圖3 網(wǎng)絡(luò)策略配置庫(kù)Fig.3 Net wor k strategy configuration database

系統(tǒng)通過(guò)在NDIS層掛接內(nèi)核鉤子實(shí)現(xiàn)對(duì)所有網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行攔截控制［2］.攔截的IRP請(qǐng)求包括創(chuàng)建（IRP＿M(jìn)J＿CREATE）、關(guān)聯(lián)請(qǐng)求（TDI＿ASSOCIATE＿ADDRESS，TDI＿DISASSOCIATE＿ADDRESS）、關(guān)閉（IRP＿M(jìn)J＿CLOSE）以及Socket操作.通過(guò)解析address＿entr y可以獲取當(dāng)前操作的目的是IP或者本地進(jìn)程，目前實(shí)現(xiàn)了基于IP的控制.

1.5 安全通訊協(xié)議

以上主要描述了系統(tǒng)終端設(shè)計(jì)，為了對(duì)SRXPE系統(tǒng)進(jìn)行統(tǒng)一管理，需要構(gòu)建一個(gè)管理平臺(tái)，SR－XPE系統(tǒng)終端與管理平臺(tái)間的安全通訊變得尤為重要.

下面簡(jiǎn)要介紹安全通訊序列中的會(huì)話(huà)密鑰協(xié)商過(guò)程：終端發(fā)送包含終端身份信息的協(xié)商請(qǐng)求（client＿h(yuǎn)ell o）；服務(wù)端產(chǎn)生一個(gè)會(huì)話(huà)ID，并和服務(wù)端證書(shū)一起發(fā)給終端（sercer＿cert）；終端使用服務(wù)端CA驗(yàn)證服務(wù)端證書(shū)，驗(yàn)證通過(guò)后，發(fā)送隨機(jī)數(shù)和客戶(hù)端證書(shū)（client＿cert），同時(shí)存儲(chǔ)會(huì)話(huà)ID；服務(wù)端驗(yàn)證終端證書(shū)，驗(yàn)證通過(guò)后，產(chǎn)生一個(gè)會(huì)話(huà)密鑰，再加上服務(wù)端隨機(jī)數(shù)和終端隨機(jī)數(shù)，用服務(wù)端私鑰和終端公鑰進(jìn)行簽名和加密后發(fā)給終端（secret＿inf o）；終端使用自身私鑰和服務(wù)端公鑰解密和驗(yàn)簽，然后驗(yàn)證隨機(jī)數(shù)，得到會(huì)話(huà)密鑰，接下來(lái)發(fā)送一個(gè)協(xié)商完成消息（client＿finish）；服務(wù)端應(yīng)答消息（ser ver＿finish）使用會(huì)話(huà)密鑰加密.之后的會(huì)話(huà)過(guò)程和數(shù)據(jù)傳輸過(guò)程使用新的會(huì)話(huà)密鑰加密.實(shí)驗(yàn)證明，該會(huì)話(huà)密鑰協(xié)商過(guò)程是安全可靠的.

圖4 通訊協(xié)議－密鑰協(xié)商Fig.4 Communicating agreementcode consulting

2 強(qiáng)制訪(fǎng)問(wèn)控制

2.1 訪(fǎng)問(wèn)控制

訪(fǎng)問(wèn)控制，是指按用戶(hù)身份及其所歸屬的分組來(lái)限制用戶(hù)對(duì)特定資源的訪(fǎng)問(wèn)權(quán)限，一般分為自主訪(fǎng)問(wèn)控制和強(qiáng)制訪(fǎng)問(wèn)控制兩大類(lèi).

強(qiáng)制訪(fǎng)問(wèn)控制基本思想是每個(gè)主體和每個(gè)客體都有既定的安全屬性，主體對(duì)客體的訪(fǎng)問(wèn)權(quán)限，取決于二者安全屬性之間的關(guān)系［3］.主體對(duì)客體的訪(fǎng)問(wèn)主要有4種方式：向下讀（r d），向上讀（ru），向下寫(xiě)（wd），向上寫(xiě)（wu）.可見(jiàn)，MAC通過(guò)分級(jí)的安全標(biāo)簽實(shí)現(xiàn)了信息的單向流通，比較著名的有BLP模型和BIBA模型.

在設(shè)計(jì)實(shí)現(xiàn)的強(qiáng)制訪(fǎng)問(wèn)控制中，所有的主體（如用戶(hù)或進(jìn)程）和客體（如資源或文件）都劃分安全級(jí)別，如1－6級(jí).主體對(duì)客體的訪(fǎng)問(wèn)權(quán)限是在安全策略中規(guī)定的.SR－XPE將安全級(jí)別按照從高到底排序，規(guī)定安全級(jí)別高的進(jìn)程可以單向讀寫(xiě)安全級(jí)別低的文件，而安全級(jí)別低的進(jìn)程禁止訪(fǎng)問(wèn)安全級(jí)別高的文件.

2.2 文件訪(fǎng)問(wèn)控制實(shí)現(xiàn)

作者按照訪(fǎng)問(wèn)控制以安全級(jí)別制定控制策略的原理和內(nèi)核過(guò)濾驅(qū)動(dòng)技術(shù)，實(shí)現(xiàn)了一個(gè)強(qiáng)制訪(fǎng)問(wèn)控制模型.控制策略規(guī)定重要資源（包括文件和注冊(cè)表項(xiàng)）擁有較高安全級(jí)別，只有特定進(jìn)程才能訪(fǎng)問(wèn).

操作系統(tǒng)中文件是最重要的信息載體，操作系統(tǒng)安全最重要的工作之一就是保障重要文件的安全.使用文件過(guò)濾驅(qū)動(dòng)技術(shù)和Hook技術(shù)，可以覆蓋了文件的整個(gè)生命周期，包括文件的創(chuàng)建（ZwCreateFile），打 開(kāi) （Zw Open File），刪 除（Zw Delete File），讀（Zw Read File），寫(xiě)（Zw Write－File）等操作.目前SR－XPE系統(tǒng)實(shí)現(xiàn)了我們關(guān)心的核心文件禁止普通進(jìn)程訪(fǎng)問(wèn)的功能（打開(kāi)、重命名、刪除等）.當(dāng)用戶(hù)進(jìn)程notepad.exe試圖打開(kāi)一個(gè)安全級(jí)別較高的文件時(shí)，SR－XP系統(tǒng)會(huì)阻斷訪(fǎng)問(wèn)，彈出提示如圖5所示.

圖5 文件拒絕打開(kāi)Fig.5 Default of opening files

3 結(jié)語(yǔ)

作者介紹了一種Window安全加固技術(shù)并設(shè)計(jì)了SR－XPE系統(tǒng)，實(shí)現(xiàn)了基于GRUB的可信引導(dǎo)、基于GINA的強(qiáng)身份認(rèn)證、基于內(nèi)核HOOK的進(jìn)程啟動(dòng)控制和網(wǎng)絡(luò)連接控制、改進(jìn)的安全通訊協(xié)議以及基于過(guò)濾驅(qū)動(dòng)關(guān)鍵資源訪(fǎng)問(wèn)控制等功能，可以有效保護(hù)操作系統(tǒng)安全.

［1］ LI L，WU J，GUO X W，et al.Framewor k for Windows Password Function Security Enhancement［J］.Jour nal of Southeast Univesity，2007，37：26－28.

［2］ 劉邦明，鄔浙艷，孫黌杰.SSDT掛鉤：基于 Windows內(nèi)核的Root Kit技術(shù)樣本［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（3）：62－64.

［3］ 譚文，楊瀟，邵堅(jiān)磊.寒江獨(dú)釣：Windows內(nèi)核安全編程［M］.北京：電子工業(yè)出版社.2009：90－99.

［4］ LACOSTE M，JARBOUI T，HE R.A componentbased policy－neutral architecture forkernel－level access control［J］.Annales Des Telecommunications－Annals of Telecommunications，2009，64：121－146.