0 引言
计算机和计算机网络已经成为当前企业、政府和其它各种组织的重要信息载体和传输渠道。但是,人们在享受计算机以及计算机网络所带来的方便性的同时,信息安全也成为目前受到广泛关注的问题。美国联邦调查局(FBI)和计算机安全机构 (CSl)等权威机构的研究证明:超过80%的信息安全隐患是来自组织内部。内部的安全状况较差,不仅会给攻击者以可乘之机,还会使已构建的安全设施形同虚设,为内部安全违规事件的发生打开方便之门。目前广泛采用的安全设备和安全措施,均侧重于对付外部的攻击、侵犯和威胁,而无法阻止内部不怀好意的员工盗取涉密信息并将其拷贝或传播出去。因此,数据资源的保密以及非法外泄的防范已成为当前迫在眉睫的安全需求。而利用USB存储设备的单向控制技术可对接人计算机的存储介质进行控制,以防止信息被有意或者无意地从移动存储设备泄漏出去。由于用户可以根据需要设定存储设备的使用权限(比如只读或者读写等),因此,该方法既保留了移动设备的方便性,又堵截了移动存储设备可能带来的安全隐患。
1 单向控制的设计与实现
本文采用对磁盘驱动器进行过滤的方法来实现USB存储设备的单向控制。该技术以DDK中的filter为原形。采用标准的WDM过滤,可拦截所有对USB存储设备的写操作,从而实现U盘的单向控制。其中过滤器驱动程序是可选择的驱动程序,它可以给设备增加值或修改设备行为,而且,该过滤器驱动程序能服务于一个或多个设备。由于顶层的过滤器驱动程序主要是为某一设备提供增值特征,而低层过滤器驱动程序则主要修改设备的硬件行为。所以,本文选择使用低层设备过滤器驱动程序,来监视和修改磁盘驱动器的I/0请求。
1.1 驱动程序的基本结构
一个WDM驱动程序的基本结构包括一组必要的,通过系统定义的标准驱动程序函数,同时还有一些可选的标准函数与内部函数(取决于驱动程序的类型和下层设备)。对于所有的驱动程序,不管它们在附属驱动程序链中所处的是那一层,都必须有一组基本的标准函数来处理IRP。一个驱动程序是否必须执行附加标准函数,取决于该驱动程序的类型和下层设备是控制一个物理设备的驱动程序,还是在一个物理设备驱动程序之上的驱动程序,同时也取决于下层物理设备的属性。控制物理设备的最低层驱动程序比较高层驱动程序拥有更多所要求的函数,较高层的驱动程序一般将IRP传送给较低层的驱动程序来处理。
下面所列是本驱动程序所需要的标准驱动程序函数:
(1)DIiveEntry
该函数可用于初始化驱动程序并设置其他标准函数的人口点。当驱动程序的DriverEntry函数被调用,它将直接在驱动程序对象中设置Dispatch和Unload的入口点,方法如下:
在驱动程序对象内的DriverExtension中设置它的AddDevice函数的人口点方法如下:
DriverObject->DriverExtension一>AddDevice=DDAddDevice;
驱动程序能定义若干Dispatch人口点,但是它只能在其驱动程序对象中定义一个AddDevice人口点和一个Unload人口点。
(2) AddDevice
AddDevice函数主要用于创建设备对象,地址在DriverObject->DriverExtension->AddDevice。
(3)Dispatch
该函数至少应一个Dispatch人口点。因为要用一个或多个主要功能来编码处理IRP,以得到请求PnP、电源和I/O操作的IRP。
(4)Unload
如果驱动程序能动态地被装载和/或者替换,还需要一个Unload人口点,以释放系统资源(诸如驱动程序已分配的系统对象或者内存等)。
1.2驱动程序的实现
实现驱动程序时,首先要为设备定义GUID。驱动程序使用设备名和GUID(globallv unique identifiers)来标识不同的物理、逻辑或虚拟设备。PnP驱动程序可注册并激活一个与GUID连接的设备接口,应用程序和其他系统组件则可通过接口对设备进行I/O请求和控制,WDM用于过滤驱动禁止给它们的设备对象命名,所以,要为设备定义GUID。
其次是应为驱动程序函数选择名字。由于每个驱动程序中都要包含标准的驱动程序函数,因此,应使用一套区别于其他驱动程序的函数命名机制,由于使程序更容易开发、调试和测试。
此外,还要编写一个为AddDevice、DispatchPnP、DispatchPower和DispatchCreate函数设置入口点的 DriverEntry函数,同时要编写一个完成内容的AddDevice函数。这四个内容。第一是调用IoCreateDevice以创建一个独立设备对象:第二是调用IoAttachDeviceToDeviceStack。以把它自己加入设备栈,同时填写PDEVICE_EXTENSION;第三是调用IoRegisterDeviceInterface,并为它的设备暴露一个接口,暴露的接口可为访问该设备的应用程序提供途径:第四调用 IoSetDevi.ceInterfaceState,以激活它先前注册的接口。
至此,过滤设备就可以在DeviceTree中看到了。
最后,应为IRP_MJ_PNP请求编写一个基本DispatchPnP函数。该DispatchPnP函数必须准备处理具体的PnP IRP,然后为IRP_MJ_POWER编写一个基本DispatchPower函数,再为IRP_MJ_CREATE请求编写一个基本Dispatch Create函数,同时拦截相应的IRP请求,接着再为I/O控制请求编写一个基本DispatchDevCtrl函数,以与应用程序进行通讯和处理具体的控制请求。
2单向控制关键技术分析
2.1 SCSI命令的分析
对应于不同的过滤功能,其需要拦截的IRP也不相同。要对U盘进行单向控制。就需要拦截所有的写操作,使U盘成为只读的。但是,写U盘的时候,发送的并不是通常的IRP_MJ_WRITE请求,而是要分析相应的SCSI命令,对SCSI命令的取得和操作大致有两种。
第一种是得到当前的SCSI命令,其格式为:
2.2单向控制的实现
系统进行写操作时,通常都是先写在缓存区,然后经过一定的延时后,才会写到真正的磁盘中。所以,当拦截到SCSI命令中的SCSIOP WRITE后,虽然系统不会真正的写东西到U盘上,但却要过很久才会提示延时写错误。所以,本文采用了另外一种方法,即用软件实现“带写保护功能”的U 盘,其效果与硬件实现的写保护方式一样,从而实现了U盘的只读。其软件实现方法如下:
2.3 区分硬盘和U盘驱动器
作为磁盘驱动器的低层设备过滤器驱动程序。在区分硬盘和U盘驱动器时,Device_Ob_iect->DeviceType的值并不能真正区分硬盘和U盘驱动器。这个值对于U盘而言,第一次插入时是0x2d,但是,一旦被虚拟化成磁盘分区后,它将变成07。这和本地硬盘没有任何区别。因此,如果采用IoGetDeviceProperty来获得当前物理设备对象的总线类型的GUID,就往往会导致操作系统出现蓝屏(系统死机)。因为函数调用要求在passive-level执行。而不是dispatch— level。其代码如下:
但是,由于符号链接的名称和光盘驱动器的设备类型将保持不变。所以,可以通过修改设备扩展的内部结构,并增加DeviceType项,然后根据符号链接的名称和设备类型来设置:deviceExtension->DeviceType
该方法对光盘和硬盘以及USB都有很好的支持。其代码如下:
3 结束语
本文在分析了磁盘读写技术的基础上,采用对磁盘驱动器进行过滤的方法,给出了基于过滤驱动的USB存储设备的单向控制方法。这种技术的实现能有效解决涉密信息的外泄,是内网安全的一种重要辅助手段。