Windows系统中基于文件过滤驱动文件动态访问控制技术研究.docVIP

Windows系统中基于文件过滤驱动文件动态访问控制技术研究 　　摘要：该文对Windows系统下基于文件过滤驱动的文件动态访问控制技术进行了研究。并对其实现的关键技术进行了详细的分析。通过该技术可以有效的保护文件避免非授权的访问。从而更为有效的保护信息资源安全。 　　关键词：文件过滤驱动；截获；输入输出请求包；动态访问控制 　　中图分类号：TP316文献标识码：A文章编号：1009-3044(2012)09-2045-03 　　Research on the Technology of Dynamically Access Control Based on File Filter Driver in Windows System 　　LI Zhu-feng 　　（PLA University of Foreign Languages,Luoyang 471003,China） 　　Abstract: The research on dynamically access control based on file driver in Windows system was introduced in this article. and also the key technology was analyzed in detail. with this technology we can protect files from unauthorized accessing more effectively.Thus to protect the security of information resource. 　　Key words: file filter driver; intercept; IRP; dynamically access control 　　目前，随着技术的不断发展，基于计算机网络进行的攻击行为严重的威胁到了信息的安全，特别是非授权用户在入侵至目标主机之后通过各种技术手段提升自己的权限从而对目标主机内的敏感文件具备了相应的访问权限，导致了信息机密性被破坏。目前Windows操作系统自带的访问控制机制已经无法阻挡攻击者层出不穷的入侵和提权手段。随着黑客相关技术的发展，大量绕过UAC等机制的手段不断涌现，威胁到了一般的文件保护机制。按照NII对信息安全的定义，信息的机密性、完整性和真实性无法得到有效的保护，这些现状要求从事计算机及网络安全相关产业的人们提供更为有效的文件访问控制机制和相关的技术。 　　1 Windows文件过滤驱动模型 　　在Windows操作系统中，设备和驱动程序使用了如图1所示的堆栈层次结构。[1] 　　 　　图1设备和驱动程序的分层结构 　　如图1所示，驱动程序是一个层次结构，I/O请求首先会被最上层的驱动程序处理，之后向下依次传递，每一层处理完成后是否向下传递取决于设备以及I/O请求所携带的内容。I/O管理器将用户的文件操作请求构成I/O请求包IRP（I/O Request Package）提交给文件系统驱动程序。之后驱动程序把这个操作转化为存储设备驱动能够理解的操作并调用存储设备。但是在这个过程中I/O管理器会检测目标设备对象上层是否有其他的构造生成的附加设备对象。如果这样的附加设备对象存在那么I/O管理器原本要发送给文件系统驱动的请求就会先提交给构建的附加设备。[1]这就为我们监控文件操作创造了机会。 　　这种方式的原理如图2所示。[2] 　　 　　图2文件过滤驱动工作原理 　　2文件动态访问控制技术 　　本论文研究对主机核心文件的动态保护，保证被保护的数据只能被经过授权的合法进程访问。因此本论文采用动态的文件过滤驱动级文件操作监控技术。文件过滤驱动程序加载在文件Windows操作系统文件驱动程序上层，通过对IRP请求的捕捉并修改达到修改或完善文件驱动程序的目的。动态访问控制技术正是基于文件过滤驱动的特性，在文件操作请求的IRP请求包到达文件系统驱动之前截获到这些IRP请求，正如防火墙的动态包过滤技术一样，通过对IRP请求包的动态过滤来达到对用户文件操作行为的动态监控。同时，我们还要对FAST I/O文件访问方式进行处理，以期能够更加快速的访问缓存数据，从而缩短处理时间，增强用户体验。 　　驱动程序有一个名为DriverEntry的初始化入口点，这是驱动程序的一个例程。在驱动程序加载的时候内核首先调用这个例程。DriverEntry在驱动程序中的作用相当于一般C代码中的Main函数。 　　一般DriverEntry的函数原型如下： 　　NTSTATUS 　　DriverEntry(IN PDRIVER_OBJECT DriverObject