基于HOOK技术的网络流透明加密系统的研究与实现

基于HOOK技术的网络流透明加密系统的研究与实现 基于HOOK技术的网络流透明加密系统的 研究与实现 科技情报开发与经j齐SCI-TECHINFORMATIONDEVELOPMENT&ECONOMY2007年第17卷第25期 文章编号:1005—6033(2007)25—0213—02 基于HOOK技术的网络流透明 加密系统的研究与实现 杨帆一,王锋 收稿日期:2007-05—10 (1.昆明理工大学云南省计算机技术应用重点 实验室 17025实验室iso17025实验室认可实验室检查项目微生物实验室标识重点实验室计划 ,云南昆明,650051;2.福贡县人民武装部,云南福贡,673400) 摘要:透明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技 术.简要介绍了基于HOOK技术的网络流透明加密系统的实现与研究. 关键词:透明加密;HOOK技术;文件保密 中图分类号:TP393.08文献标识码:A 目前,网络已成为企业与企业,人与人沟通的重要工具之一.企业内 部不论是透过Intemet对外通信与内部通信,已经离不开使用网络相关 通信工具.但在网络通信方便,效率高的背后,则隐藏着管理上的漏洞, 一 个企业对外网络通信开放的情况下,企业便无法有效控制员工将数据 外流泄密的行为,不论用各种方式进行监控防堵,总是防不胜防,总有百 密一疏的时候.与其防堵内部人员将数据泄漏,还不如采取文件加密方 式,使其就算把数据外流出去,也将变成无法解密的垃圾数据.从根本上 一 次彻底解决问题,做好事前预防而不是事后再追查的数据保护管理. 透明加密技术就是在这种背景下应运而生的. 1透明加密技术 透明加密技术是与Windows紧密结合的一种技术,它工作于 Windows的底层.通过监控应用程序对文件的操作,在打开文件时自动对 密文进行解密,在写文件时自动将内存中的明文加密并写入存储介质, 从而保证存储介质上的文件始终处于加密状态. 监控Windows打开(读),保存(写)可以在Windows操作文件的几个 层面上进行.现有的32位CPU定义了4种(0,1,2,3)特权级别,或称环 (ring),见图1.其中0级为特权级,3级是最低级(用户级).运行在0级 的代码又称内核模式,3级的为用户模式.常用的应用程序都是运行在用 户模式下,用户级程序无权直接访问内核级的对象,需要通过API函数 来访问内核级的代码,从而达到最终操作存储在各种介质上文件的目 的. 图1特权级别 为了实现透明加密的目的,透明加密技术必须在程序读写文件时改 变程序的读写方式.使密文在读入内存时程序能够识别,而在保存时又 为了防止黑客的篡改,WPA为IEEE802.11的每个数据分组都增加 了一个8B的数据完整性校验值(MIC),它采用Michael算法,具有很高 的安全特性.当MIC发生错误的时候,数据很可能已经被篡改,系统很可 能正在受到攻击.此时,WPA还会采取一系列的对策,比如立刻更换组 密钥,暂停活动60S等来阻止黑客的攻击. 2004年,Wi—Fi联盟经过修订后重新推出了具有与IEEE802.11i标 准相同功能的WPA2.Wi—Fi联盟表示"WPA2可以满足部分企业和政府 机构等需要导入AES的用户需求".相对于已出台的WPA,WPA2使用 的加密协议是AES(AdvancedEncrypfionStandard).WPA2将成为未来安 全措施的核心. 3结语 无线局域网 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 包括IEEE制定的802.11,802.1la,802.1lb, 802.1lg,中国无线局域网国家标准WAPI,蓝牙和红外线数据标准,家庭 射频标准和高性能无线局域网标准.无线局域网的安全主要采取服务集 标志符SSID,MAC地址过滤,有线等效保密机制WEP,端口访问控制技 术802.Ix和WPA技术.在实际的应用中,各个用户应根据自身的安全需 求,选用适合的无线局域网安全技术,提供足够的安全防护,让用户放心 地使用无线局域网带来的方便快捷. 参考文献 [1]刘建伟,王育民网络安全——技术与实践[M].北京:清华大学出版 社,2005:343—385. [2]孙树峰,石兴方,苏鹏,等.无线局域网安全技术与漫游研究[J].计 算机 工程 路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理 与应用,2003(7):4o-42. (责任编辑:薛培荣) 第一作者简介:王淑娟,女,1982年1月生,2004年毕业于河南科技 学院.现为华中科技大学2005级在职硕士研究生,工程师,助教.广州大 学华软软件学院网络技术系,广东省广J州市从化经济技术开发区广从大 道13号.510990. TalkingabouttheStandardofWirelessLANandtheSecurityTechnology WANGShu-juan ABSTRACT:ThroughcognizingthesecurityproblemsexistingincurrentwirelessLN.ands tartingfromthestandardof wirelessLAN.thispaperanalyzesthesecuritytechnologyofwirelessLAN. KEYWORDS:wirelessLAN:standardofwirelessLAN:accesscontrol 213 扬帆,王锋基于HOOK技术的网络流透明加密系统的研究与实现本刊E信息技术 要将明文转换成密文.Window允许编程者在内核级和用户级对文件的 读写进行操作.内核级提供了虚拟驱动的方式,用户级提供HookAPI的 方式.因此,透明加密技术也分为APIHOOK广度和VDM(Windows DriverMode1)内核设备驱动方式两种技术.APIHOOK俗称钩子技术, VDM俗称驱动技术.本文重点讨论了钩子透明加密技术. 2钩子(HOOK)透明加密技术 所有Windows应用程序都是通过WindowsAPI函数对文件进行读 写的.程序在打开或新建一个文件时,一般要调用Windows的CreateFile 或OpenFile,ReadFile等WindowsAPI函数;而在向磁盘写文件时要调用 WriteFile函数. Windows提供了一种叫钩子(Hook)的消息处理机制,该机制允许应 用程序将其自身作为一个子程序安装到其他的程序中,以监视指定窗口 某种类型的消息.当消息到达后,先处理安装的子程序后再处理原程序, 这就是钩子. 钩子透明加密技术就是将上述两种技术组合而成的.通过Windows 的钩子技术,监控应用程序对文件实施打开和保存,当打开文件时,先将 密文转换后再让程序读人内存,保证程序读到的是明文;而在保存时,又 将内存中的明文加密后再写入到磁盘中(见图2o 内核层 图2钩子透明加密技术原理图 钩子透明加密技术与应用程序密切相关,它是通过监控应用程序的 启动而启动的.一旦应用程序名更改,则无法挂钩.同时,由于不同应用 程序在读写文件时所用的方式方法不尽相同,同一个软件不同的版本在 处理数据时也有变化,钩子透明加密必须针对每种应用程序,甚至每个 版本进行开发. 3基于过滤钩子技术的网络流透明加密系统的研究与实现 讨论完了有关原理,下面来尝试 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 一个简单的防火墙范例程序, 我们命名为钩子防火墙1.O版,作为一个素材程序,它从技术层面上说十 分有限,在基于过滤钩子技术基础之上,只采用了WinSoek2SPI技术. WinSock2SPI是一个DLL程序,它工作在API和Driver之间,为上 层应用程序提供服务.WinSock2SPI(ServiceProviderInterface)服务提供 者接口建立在Windows开放系统架构(WindowsOpenSystem Architecture,W0SA)之上,是WinSock系统组件提供的面向系统底层的 编程接口.WinSock系统组件向上面向用户应用程序提供一个标准的 API接口;向下在WinSoek组件和WinSock服务提供者(比如TCPBP协 议栈)之间提供一个标准的SPI接口. 钩子防火墙的核心模块是HOOKDLL,它主要利用WinSoek2SPI 技术截获网络封包,并利用控管 规则 编码规则下载淘宝规则下载天猫规则下载麻将竞赛规则pdf麻将竞赛规则pdf 对过往封包进行合法性检查和过 滤.WinSock2SPI允许开发者编写自己的服务提供者接口程序,即SPI 程序.SPI程序以动态链接库(D工JL)的形式存在,它工作在应用层,为上 层API调用提供接口函数.作为接口,WinSock2SPI能发现和利用底层 传输协议完成通信.这样,将自己编写的SPI程序安装到系统之后,所有 的WinSock请求都会先发送到这个程序并由它完成网络调用. WinSoek2SPI允许开发2类服务提供者:传输服务提供者和名字空 间服务提供者.WinSock2中使用的传输服务提供者有2类:基础服务提 供者和分层服务提供者. 由于SPI程序是DLL的形式,所以它必须有—个标准的DuMain函数 作为入口函数.同时需要自定义WSPStartup函数并用Expert导出,以便其 他程序调用,这样,钩子防火墙就轻松实现了对进出网络封包的记录与处 理.但是,由于钩子防火墙所使用的WinSoek2SPI工作在应用层,这就决 定了钩子防火墙只能拦截应用层的包,无法拦截驱动程序层的包,对于不 用Socket的网络通信就无法拦截,比如:使用NetBIOS的网上邻居,和使 用ICMP协议的Ping,显然,这样对网络访问的控制是不安全的. 为实现对进出数据包的"监控"功能,尤其是能够对各种网络服务的 访问控制,在防火墙的核心部分——包过滤中采用了Windows2000过 滤钩子驱动程序(FilterhookDriver)技术,即在WindOWS2000DDK中编 写网络驱动程序来拦截数据封包;界面部分在VC6.0下实现;为方便程 序的编译,在VC6.0中实现了对Windows2000DDK的使用,结合 Windows20oO下驱动程序的动态加载,实现了整个钩子防火墙. 4结语 随着Imemet的迅猛发展和网络攻击手段的不断变化,网络安全已 成为人们普遍关心的一个问题,加密技术作为一种有效的防护手段,越 来越为大众所熟知并接受.钩子防火墙1.0仅为一个素材范例,尽管已经 实现了最基本的对进出网络数据包的监控加密控制功能,但是要成为一 个成熟的防火墙产品,这样的功能是远远不够的,在其后续的产品中,如 何能够结合其他成熟产品,逐步补充一些实用功能,将是工作的重点. 此外,我们也要认识到,基于HOOK的网络流透明加密技术,虽然存 在网络操作能力不受限制,开发较易等优点,但是它在应用层加密时,速 度较慢,大文件容易死机,同时易为反HOOK软件所破解,这些缺点我们 也必须清楚了解. 参考文献 .监听与隐藏网络侦听揭密与数据保护技术[M].北京:人民 [1]谭思亮 邮电出版社,2oo2:38—39. [2]朱燕辉.Windows防火墙与网络封包截获技术[M].北京:电子工业 出版社,2002:110—112. [3]叶小虎.Windows下的个人防火墙网络数据包拦截技术概览[E彤 OL].【2002—09—07]. (责任编辑:胡建平) 第一作者简介:杨帆,男.1976年l2月生,1999年毕业于国防科 技大学,现为昆明理工大学计算机专业2006级在读硕士研究生,云南省 福贡县人民武装部,云南省福贡县,673400. TransparentNetflowEncryptionSystemBasedonHooKTechnology YANGFan,WANGFeng ABSTRACT:Thetransparentencryptionisakindofdocumentencryptiontechnology,whic hemergeinrecentyears becauseofthedemandofthefilesecurityoftheenterprise.Thispaperbrieflyintroducestheim plementationofand researchonthetransparentnetflowencryptionsystembasedonHOOKtechnology. KEYWORDS:transparentencryption;HOOK;filesecurity 214