一種基于微過(guò)濾驅(qū)動(dòng)的文件強(qiáng)制訪問(wèn)控制方法及其系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明提供一種基于微過(guò)濾驅(qū)動(dòng)的文件強(qiáng)制訪問(wèn)控制方法及其系統(tǒng)�,涉及計(jì)算機(jī)技術(shù)領(lǐng)域���,具體涉及一種結(jié)合強(qiáng)制訪問(wèn)控制多級(jí)安全策略模型(MLS)的基于Windows系統(tǒng)微過(guò)濾驅(qū)動(dòng)的文件強(qiáng)制訪問(wèn)控制方法及其系統(tǒng)�����。
【背景技術(shù)】
[0002]隨著電子辦公技術(shù)的逐漸普及��,電子文檔資料的安全性顯得越來(lái)越重要�����。Windows系統(tǒng)作為當(dāng)今最主流的C2級(jí)商務(wù)操作系統(tǒng)��,其針對(duì)文件的訪問(wèn)控制仍停留在自主訪問(wèn)控制階段(DAC)�,顯然無(wú)法滿足軍工部門(mén)甚至是航天部門(mén)對(duì)文檔資料處理的高機(jī)密性搞完整性要求。
[0003]強(qiáng)制訪問(wèn)控制是實(shí)現(xiàn)操作系統(tǒng)安全的一個(gè)重要的方法�,是對(duì)操作系統(tǒng)的各種客體(如文件���、socket�����、系統(tǒng)FIF0�、IPC等)進(jìn)行細(xì)粒度的訪問(wèn)����,即當(dāng)用戶或用戶程序訪問(wèn)系統(tǒng)的某個(gè)客體時(shí),強(qiáng)制訪問(wèn)控制機(jī)制對(duì)這種訪問(wèn)的安全性進(jìn)行檢查����。與自主訪問(wèn)控制機(jī)制不同,強(qiáng)制訪問(wèn)控制對(duì)用戶及用戶程序的行為進(jìn)行限制�����,從而達(dá)到更高的安全級(jí)別。
[0004]為了判定訪問(wèn)行為是安全的�,引入安全策略的概念。安全策略是一組檢查條件�����,它為每次訪問(wèn)的主體(用戶或用戶程序)和被訪問(wèn)的客體(如文件等)定義一個(gè)安全標(biāo)記��,再根據(jù)主體和客體的安全標(biāo)記來(lái)決定這次訪問(wèn)是否安全����。目前已經(jīng)開(kāi)發(fā)出多種安全策略,其中多級(jí)安全策略MLS用得最多�����。它的基本思想是定義一些安全級(jí)����,如從低到高分普通、機(jī)密��、絕密等安全級(jí)���,要求高安全級(jí)別的信息不能泄露給低安全級(jí)別的用戶�����,這樣就要求低安全級(jí)的主體不能讀高安全級(jí)的客體�,同時(shí)高安全級(jí)的主體不能寫(xiě)低安全級(jí)的客體。
[0005]當(dāng)前業(yè)內(nèi)針對(duì)Windows平臺(tái)文件的訪問(wèn)控制技術(shù)主要有兩種:系統(tǒng)默認(rèn)的自主訪問(wèn)控制(DAC)技術(shù)和HOOK (鉤子)技術(shù)���;其中:
[0006]自主訪問(wèn)控制技術(shù)���,允許具有管理員權(quán)限的用戶決定系統(tǒng)上的資源可以被哪些用戶或進(jìn)程訪問(wèn),這種濫用信任基礎(chǔ)的操作不僅難以防止那些以某個(gè)用戶的身份運(yùn)行惡意程序的訪問(wèn)��,也明顯違背了信息安全基本原則:最小權(quán)限化原則和一切未知事物不可信原則����。
[0007]HOOK技術(shù)是通過(guò)對(duì)Windows系統(tǒng)提供的文件操作函數(shù)及文件操作所觸發(fā)的系統(tǒng)消息進(jìn)行鉤子過(guò)濾�����,經(jīng)過(guò)有針對(duì)性的處理來(lái)實(shí)現(xiàn)文件訪問(wèn)控制的效果�,但該技術(shù)最大的缺點(diǎn)是在Windows 7及更高系統(tǒng)上穩(wěn)定性和兼容性都非常差。
[0008]綜上所述�,現(xiàn)有的技術(shù)難以實(shí)現(xiàn)具有強(qiáng)大的安全防護(hù)的滿足安全好用需要的文件訪問(wèn)控制方法���。
【發(fā)明內(nèi)容】
[0009]為了克服上述現(xiàn)有技術(shù)的不足,本發(fā)明提供一種基于微過(guò)濾驅(qū)動(dòng)的文件強(qiáng)制訪問(wèn)控制方法及其系統(tǒng)����,通過(guò)基于微過(guò)濾驅(qū)動(dòng)的文件過(guò)濾驅(qū)動(dòng)框架和強(qiáng)制訪問(wèn)控制多級(jí)安全策略模型MLS,實(shí)現(xiàn)對(duì)本地磁盤(pán)文件的打開(kāi)����、寫(xiě)入、刪除�、重命名、刪除等操作的控制功能�,并提供基于微過(guò)濾驅(qū)動(dòng)的文件強(qiáng)制訪問(wèn)控制系統(tǒng),適用于具有辦公保密特殊需求的軍工等部門(mén)�����。
[0010]本文中����,“MLS”(Multilevel security)表示強(qiáng)制訪問(wèn)控制多級(jí)安全策略模型;“IRP” (I/O request packets)表示輸入/輸出請(qǐng)求包���;“Minifilter”表示微過(guò)濾驅(qū)動(dòng)����;“ sfi Iter ”表示過(guò)濾驅(qū)動(dòng)。
[0011]本發(fā)明的原理是:通過(guò)文件系統(tǒng)微過(guò)濾驅(qū)動(dòng)技術(shù)���,在文件系統(tǒng)驅(qū)動(dòng)上加載過(guò)濾驅(qū)動(dòng)而對(duì)系統(tǒng)操作產(chǎn)生的IRP進(jìn)行針對(duì)性過(guò)濾攔截���,從而提供更細(xì)粒度級(jí)別的文件訪問(wèn)控制。I/O管理器在發(fā)送文件操作請(qǐng)求到目標(biāo)設(shè)備之前�,會(huì)檢查是否有附加設(shè)備掛載在目標(biāo)設(shè)備之上,若有�����,則把該IRP先發(fā)送給附加設(shè)備����,經(jīng)附加設(shè)備所屬驅(qū)動(dòng)程序處理之后���,再發(fā)送給目標(biāo)設(shè)備完成操作請(qǐng)求�。本發(fā)明基于微過(guò)濾驅(qū)動(dòng)文件強(qiáng)制訪問(wèn)控制方法��,包括用戶模式(應(yīng)用層)和內(nèi)核模式兩個(gè)層面,采用微過(guò)濾驅(qū)動(dòng)Minifilter通信端口進(jìn)行通信�����,為了支持實(shí)時(shí)處理��,驅(qū)動(dòng)程序根據(jù)用戶程序的需求�����,選擇將過(guò)濾管理器傳遞的IRP消息直接在內(nèi)核模式下做判斷處理�����;核心就是在IRP請(qǐng)求下發(fā)的過(guò)程中���,通過(guò)文件系統(tǒng)微過(guò)濾驅(qū)動(dòng)程序構(gòu)造附加設(shè)備對(duì)象掛載在文件系統(tǒng)的存儲(chǔ)目標(biāo)設(shè)備對(duì)象之上�,在微過(guò)濾驅(qū)動(dòng)程序中對(duì)發(fā)送到目標(biāo)設(shè)備的操作請(qǐng)求進(jìn)行處理�����,具體是:在用戶模式下�����,應(yīng)用程序向微過(guò)濾驅(qū)動(dòng)程序傳送控制命令;在內(nèi)核模式下���,微過(guò)濾驅(qū)動(dòng)程序根據(jù)用戶應(yīng)用程序下發(fā)的控制命令解析用戶應(yīng)用程序觸發(fā)的IRP請(qǐng)求����,截取類(lèi)型是文件操作的IRP��,再具體細(xì)節(jié)化文件操作類(lèi)型(包括打開(kāi)����、寫(xiě)入、刪除����、重命名等操作類(lèi)型),并記錄觸發(fā)IRP請(qǐng)求的用戶��,依據(jù)事先配置的表示安全策略的安全標(biāo)簽庫(kù)進(jìn)行文件強(qiáng)制訪問(wèn)控制操作����,安全標(biāo)簽庫(kù)的安全策略可以為:如果觸發(fā)IRP請(qǐng)求的用戶的密級(jí)不低于文件操作的密級(jí),則允許IRP消息通過(guò)�����;否則返回拒絕消息��;不屬于文件操作的IRP允許通過(guò)�����;進(jìn)而達(dá)到控制文件訪問(wèn)��、保護(hù)文件的安全性��。
[0012]本發(fā)明提供的技術(shù)方案是:
[0013]一種基于微過(guò)濾驅(qū)動(dòng)的文件強(qiáng)制訪問(wèn)控制方法���,通過(guò)結(jié)合文件系統(tǒng)微過(guò)濾驅(qū)動(dòng)和強(qiáng)制訪問(wèn)控制多級(jí)安全策略模型MLS����,實(shí)現(xiàn)文件的訪問(wèn)控制和安全防護(hù)�,具體包括如下步驟:
[0014]I)根據(jù)強(qiáng)制訪問(wèn)控制多級(jí)安全策略模型MLS設(shè)定文件強(qiáng)制訪問(wèn)控制的規(guī)則,作為安全策略���,存入配置文件�;
[0015]2)在用戶模式(應(yīng)用層)下�,用戶操作系統(tǒng)文件,產(chǎn)生I/O請(qǐng)求�,向內(nèi)核模式的I/O管理器下傳I/O請(qǐng)求�;
[0016]3)在內(nèi)核模式中��,I/O管理器處理I/O請(qǐng)求�����,并下傳IRP消息��;
[0017]4)在內(nèi)核模式中�,觸發(fā)微過(guò)濾驅(qū)動(dòng)程序進(jìn)行IRP消息攔截;
[0018]5)在內(nèi)核模式中����,微過(guò)濾驅(qū)動(dòng)程序獲取到IRP消息,解析IRP消息�����;
[0019]6)通過(guò)輪詢(xún)步驟I)中的配置文件��,對(duì)IRP消息予以放行或返回拒絕消息����。
[0020]上述基于微過(guò)濾驅(qū)動(dòng)的文件強(qiáng)制訪問(wèn)控制方法中,在本發(fā)明實(shí)施例中����,進(jìn)一步地,
[0021]步驟I)中設(shè)定規(guī)則具體是:在用戶模式(應(yīng)用層)中����,應(yīng)用程序向微過(guò)濾驅(qū)動(dòng)程序設(shè)置規(guī)則,作為文件安全策略存入配置文件�����,規(guī)則包括:
[0022]1.1)上層管理子系統(tǒng)中�����,管理員選定用戶名User���,對(duì)用戶名User進(jìn)行密級(jí)設(shè)置�;
[0023]1.2)管理員對(duì)選定文件的操作類(lèi)型進(jìn)行密級(jí)設(shè)置�����;
[0024]1.3)將上述用戶名User密級(jí)和文件的操作類(lèi)型密級(jí)設(shè)置形成規(guī)則作為安全策略�,存入配置文件。
[0025]在本發(fā)明實(shí)施例中�����,將系統(tǒng)用戶名賬戶和文件的權(quán)限級(jí)別設(shè)定為7級(jí),第I級(jí)到7級(jí)分別是:公開(kāi)�����、內(nèi)部�、普通商密、秘密����、核心商密、機(jī)密和絕密��,第7級(jí)絕密的密級(jí)最高����,相關(guān)操作權(quán)限最大。文件對(duì)應(yīng)的操作具體為:打開(kāi)����、寫(xiě)入、刪除���、重命名��、執(zhí)行�����。安全標(biāo)簽庫(kù)(即配置文件)主要是由系統(tǒng)賬戶權(quán)限級(jí)別規(guī)則和文件對(duì)應(yīng)的操作級(jí)別規(guī)則形成的安全策略組成的�。
[0026]步驟4)中觸發(fā)微過(guò)濾驅(qū)動(dòng)程序進(jìn)行IRP消息攔截具體是:通過(guò)微過(guò)濾驅(qū)動(dòng)程序�����,控制文件的I/o操作����,包括:
[0027]4.1)微過(guò)濾驅(qū)動(dòng)程序加載;
[0028]4.2)微過(guò)濾驅(qū)動(dòng)程序?qū)ξ募僮鬟M(jìn)行監(jiān)控��;
[0029]步驟5)中解析IRP信息具體是:首先判斷IRP信息是否為文件操作類(lèi)型的IRP ;對(duì)不屬于文件操作類(lèi)型的IRP予以通過(guò)�����;對(duì)屬于文件操作類(lèi)型的IRP���,進(jìn)一步獲取到IRP對(duì)應(yīng)的文件操作類(lèi)型(包括打開(kāi)���、寫(xiě)入�、刪除�����、復(fù)制����、重命名、執(zhí)行等操作)�;
[0030]步驟6)中,在輪詢(xún)配