基于强制访问控制的文件安全监控系统的设计与实现.pdf

重点分析了基于信息保密的BLP(Bell-LaPadula)模型和基于信息完整性的Biba模型，基于这两个模型设计了兼顾系统保密性喝完整性需求的强制访问控制模型，并结合Windows文件过滤驱动程序开发了一个基于该强制访问控制模型的文件安全监控系统，对其主要模块和关键技术进行了详细介绍。该文件完全监控系统可有效地维护文件系统的保密性和完整性，检测并阻断本地网络的入侵。第12期王雷等:基于强制访问控制的文件安全监控系统的设计与实现2943pDriverObjecl - MajorFurclionI[ TRP_MJ_DEVICE_CONTROL.等,则称这两个保密性标签相等FW_Device ContrulDispatch//控制例程(2)若以下条件成立则称侏密性标签A大丁侏密性标pDriverObject - MajorFunction[ IRP_MJ_READ]= FW//读例程签B:A的密级大于B的密级并且两个类別集合相等;两密级pDriverObject - Major Function[ IRP_ MJ_WRITEJ= FW相等并且A的类别集合是B的类别集合的真超集;A的密级此外,过滤程序调用相关的Fato例程,.写例程大于B的密级并且A的类别集合是B的类别集合的貞超集;(3)若两个保密性标签不相等并且哪个保密性标签都不pFastloDispatch-> FastloRead =FW_FastloRead大于另一个保密性标签,则称这两个保密性标签不可比较。pFastloDispatch ->Fastlo Write= FW_Fastlo Write关于完整性标签的比较,有如下定义:pFastloDispatch - FastloQuery BasicInfo(1)若两个完整性标签的完整级相等并且类别集合也相FW FastloQuery BasicInfo等,则称这两个完整性标签相等pFastloDispatch->Fastlo Query standardInfo(2)若以下条件成立,则称完整性标签A大于完整性标上W上 astloQueryStandardlnfo;2.1.2强刽访问控制模型签B:A的完整级大于B的完整级并且两个类别集合相等;两要实现强制访问控制必须设计和实现强制访问控制完整级相等并且A的类别集合是B的类别集合的真超集A型,该模型主要功能是接收来自用户控制模块的管理请求添的完整级大于B的完整级并且A的类别集合是B的类别集加、删除、更新主客体的保密性和完整性标签,实现强制访问合的真超集;(3)若两个完整性标签不相等并且哪个完整性标签都不控制的保密性和完整性两大策略:1)保密性模块。该模块为每个主体和客体定义个但人于另一个完整性标签则称这两个完整性标签不可比较。密性标签,系统中分别以结构体定义主体和客体的保密性标比较结果结合新模型定义的规则,可以实现操作系统的强制访问控制,并月兼顾了系统的保密性与完整性。签/*主体保密性标签定义*/2.1.3安全标签的维护typedef struct安全标签的维护通过两个数据结构实现,主体(用户进I SECURITY_ LEVEL top level∥/主体最高保密性等级程)安全标签采取的是哈希表结构,而客体(文件)安全标签SECURITY LEVEL cur lcvcl:/主体当前保密性等级则采取树结构这主要是出于优化查询速度以及方便存取的ECURITY CATEGORY Category:/主体保密性类别集合目的。通过对数据结构的操作实现对主客体安全标签的创J SUB_SEC_ LABEL, *P- SUB- SEC_LABEI建、插入、删除、更新等,例如:/水客体保密性标签定义*get_obj_mac_label((char*)& fileName)//获取客休安全标签lypexlef strucIinsert_obj_mac_label( char *)&filename, &objlabel)I SECURITY__LEVEL sec_level//客体保密性等级//插人客体安仝标签SECURITY_ CATEGORY category;/客体保密性类别集合get_sub_mac_label(( char *)&username,( char *)&procName,J OBJ_SEC_LABEL, *P_OBJ_SEC_LABEL&sublabel)/获取主体安仝标签(2)完整性模块。该模块为何个主体和客体定义完整性insert_sub_mac_label(( char )&username,( char )&procName,标签,系统中主体和客体共用相同的完整性标签&sublabel//插入主体安全标签/*完整性标签定义*木系统核心是在文件过滤驱动程序的Ftypedef structeviceControlDispatch控制例程中进行安全标签的相关操作NTERGRITY_LEVEL. inl_1e〃/完整性等级INTERGRITYCATEGORY category;/完整性类别集合通过在该例程中传入 loCtrolCode决定具体的操作方式。如JINT_LAREL, P_INT_LABET表1所示(3)主客体安全标签。系统将保帟性标签和完整性标签表 loCtrICode及其说明结合,形成主客体的安全标签:loCirlCode说明/*主体安全标签*IoCtL FW_AddMAClabel添加安全不签typedef structIOCTI. FW RermoveMACIabel移除安全标签I SUB_SEC_ LABEL sec_label;//主体保密性标签W STARTFILTER开始过滤IVT LABEL, int label/主体完整性标签IOCTL FW STOPFILTER停止过滤J SUB_MAC_LABEL, P_SUB_MAC_LAREL;IOCTL FWⅴ ERSION获取当前驱动版本/*客体安全标签*typedef struct在实验中,分别针对特定的主体(例如用户名[OBJ_SEC_LABEL sec_label//客休保密性标签Administrator”,进程名“ notepad.exe”)和客体(例如文件名INT_LABEL int_ label;//客体完整性标签OBJ MAC LABEL, &P oBJ MAC LABELE:\ File Watcher \test.tst”)加上了相应标签,例如(4)标签比较函数。系统为主客体的保密性标签和完整SUB MAC LABEL sublabel-〃主体安全标签sublabel sec_label. top_level- SEC_LEVEL_UNCLASSIFIED性标签分别定义比较函数//最高保密性等级cmp_sec_label( P_SUB_SEC_LABEL psub_sec_label, P_OBJ_SECsublabel. sec_label. cur_level = sublabel sec_label, top_levelLABEL Pobj_sec_label, boolean isread/当前保密性等级cmp_int_label( P-SUB__INT_lAbel psub_int_label, P_OBJ_INTsublabel. sec_label. category=0x1010;//保密性类别集合LABEL pobj_int_label, boolean isreadsublabel int label, int level = INt LEVEL IMPORtaNt:关于保密性标签的比较,有如下定义:/完整性等级1)若两个保密性标签的密级相等并且类别集合也相sublabel int_label. category =0xl010/完笔性类别集合2944计算机应用2006年OBJ_MAC_LABEL. objlabel客体安全标签 Windows文件内核的安全性,可大幅度提高网络安全等级和bjlabel. sec_label. sec_level SEC_LEVEL_SECRET系统安全。将网络安全技术应用由单一的依靠防火墙、入侵/保密性等级bjlabel. see_label. category =0x1010检测等应用层网络防护转入内外结合的、更加安全的立体化//休密性类别集合bbjlabel. int_label. int_level INT_LEVEL_IMPORTANT;防护体系,使网络安全“标本兼治”成为可能完整性等级参考文献:objlalxel. int_label. calegory =0x1010/完整性类别集合1] SAMARATI P, DE CAPITANI DI VIMERCAT在进行了安全标签的比较后,系统决定主体能否访问或Policies, Mudels and Mexhanism[ A]. Foundations of Security Anal修改客体,监控系统运行结果如图2所小。ysis and Design: Tutorial Lectures[ Cl. London, UK: Springer-Ver-爹鑫送独赛瓣感lag,2003,Vol2171:137-19606/04/2415191 \File Watcher \rest. [xt notepad. ex末打开 Administr/0421520:24 E: \File Watcher\test. txt notepad.ex:未打开 Administra[2 BELL DE, LAPADULA L Secure Computer Systems: Mathematical图2文件安全监控系统运行界而Foundations and Model[ R]. Technical Report M 74-244, Mitre由图2可知监控系统阻断的进程信息,包括进程名、用户Corp, Bedford, MA, 1973名以及端口等;实验结果表明“E: File Watcher lesl.x的内3]庄毅,潘龙平,刘坤分布式资源安全监控系统模型的研究J谷无法读取和更改,原因在于监控系统发现了非法的进程南京航空航天大学学报,2006.38(1):90-94.4]潘龙平庄毅,吴学成.基于强制访问控制的安全Inx系统设(打开)操作,并成功阻断了该进程。计与实现[J.计算机工程与应用,2006,42(5):142-1452.1.4驱动程序与控制程序的通信15 MAGAR R. Windows NT File System IntermalsL M]. OREILLY,本文件安全监控系统采取 Deviceloconlrol异步调用的方法实现驱动程序与控制程序的通信。驱动程序提供了组控61 BAKER A, LOZANO.Wndw200备驱动程序设计指南制接口,实现对驱动程序的配置等功能,这些接口主要由M].施诺,等译.北京:机械工业出版社,2001Deviceiocontrol实现,应用程序通过调用Wina32 Deviceiocontrol[7]刘海峰卿斯汉,刘文清安全操作系统审计的设计与实现[J函数,向驱动程序发出控制命令。同时驱动程序捕获到一些异计算机研究与发展,2001,38(10):1262-1268常操作,通过接口及时发送给控制程序进行分析。[8](美) Internet Security Systems公司. Windows2000安全技术参考2.2用户控制模块[M].北京:机械工业出版社,200控制模块主要实现对文件系统过滤驱动程序的图形化视S010MoND, RLSSINOVICH ME Inside Microsoft Window00图控制、监视消息的显示、攻击主机皿地址追踪、 Socket接口[M. Microsoft Press, 2000等功能,具体结构如图3所示[10 WU SL, SHETH A, MILLER JA, et al. Authorization and Access1) Driver Message Controller负责和驱动程序通信,启动Control of Application Data in Workflow Systems[J]. IntelligentInformation Systems, 2002, 18(1): 71-94个线程监听驱动程序发送过来的消息(2)标签维护模块实现了主客体安全标签的添加、删除中国计算机学会清空等操作,监视消息显示模块主要用于显示文件访问日志;全国第二届语义Web与本体论学术研讨会(3) Sniffer模块对流经木机网卡的所有PP包进行截获,(SWON2007)征文通知侏存一定数量的最新P包,记录接收到PP包的吋间戳,为实、征文范围(包括但不限于)现对攻击主机P地址的追踪准备数据;语义Web语言与工具;语义Web知识表示;语义(4) Socket Controller实现了控制程序的 Socket接口Web知识管理;语义Web推理;语义Web服务;语义Web用户安仝;语义We挖掘;语义信息标注;语义检索和查询;本体学习与元数据生成;本体夺储与管理;语义集成和映Socket控制器Sniffer射。↓安全标操作消监视消二、来稿要求签维护「1息显示息显示本次会议只按受 E-mail投稿,且中英文稿均可匚驱动信息控制器(Wo或PDF格式),一般不超过6000字,必须附中英文摘要、关键词、资助基金与主要参考文献,注明作者及主文件过滤驱动程序要联系人姓名、工作单位、详细通信地址(包括Emli地图3用户控制程序结构址)与作者简介结语投稿地址:华中科技大学计算机学院李瑞轩,文坤梅在 Windows原有的安全基础上,通过设置文件过滤驱动(swon2007@hust.edu.cn)程序和加载强制访问控制模型,实现了基于强制访冋控制的会务情况:中国人民大学文件安全监控系统,并且对原有的强制访问控制模型进行改杨楠,姜芳艽(wisa2007@gmail.com)进,使其兼顾保密性和完整性,有效地保护了主机资源。当网大会网站http://www.ruc.educn/wisa2007络入侵突破防火墙的控制进入操作系统时,文件监控系统能http://www.neu.educn/wisa2007够设置主客体的安全级别,对非法用户进程的请求进行阻断,征文截至日期:2007年4月1日通过比较主客体的安全标签来有效地保护系统数据,追嫁攻录月通知发出日期:2007年4月20日击进程的相关信息并生成文件访问日志,能够很好地监视和正式论文提交日期:2007年5月10日抵御来自本地和网终上的攻击。文件安全监控系统加固了会议召开日期:2007年9月14~16日