雙因素認(rèn)證以及文件過濾的系統(tǒng)安全增強(qiáng)策略

韓金池 丁汨

摘要：目前，絕大多數(shù)計(jì)算機(jī)操作系統(tǒng)是微軟的Windows 10操作系統(tǒng)，而Windows 10操作系統(tǒng)不開源的特性，再結(jié)合該操作系統(tǒng)的個(gè)人數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)的混合存儲(chǔ)以及其支持的應(yīng)用程序的多樣性，為廣大用戶工作生活帶來方便的同時(shí)，也給計(jì)算機(jī)信息安全埋下了嚴(yán)重隱患。針對當(dāng)前的主流操作系統(tǒng)Windows 10存在的安全隱患，通過對安全風(fēng)險(xiǎn)模型分析，從三個(gè)方面對系統(tǒng)進(jìn)行安全增強(qiáng)：第一，雙因素認(rèn)證，保證了用戶的合法性;第二，應(yīng)用程序控制，降低了應(yīng)用程序帶來的風(fēng)險(xiǎn);第三，數(shù)據(jù)傳播途徑控制，控制了敏感數(shù)據(jù)的外泄。試驗(yàn)表明，從三個(gè)方面人手進(jìn)行系統(tǒng)安全增強(qiáng)，極大地提高了Win-dows 10操作系統(tǒng)的安全性，具有很強(qiáng)的實(shí)用性。

關(guān)鍵詞：雙因素認(rèn)證;安全增強(qiáng);文件過濾;國產(chǎn)密碼模塊

中圖分類號(hào)：TP309.2 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）29-0052-03

1 引言

隨著我國信息化的高速發(fā)展，計(jì)算機(jī)已經(jīng)是各個(gè)行業(yè)不可或缺的工具。而計(jì)算機(jī)操作系統(tǒng)的行為，則直接關(guān)系到人們?nèi)粘Ｉ?，娛樂以及業(yè)務(wù)辦公的安全。目前，絕大多數(shù)計(jì)算機(jī)操作系統(tǒng)是微軟的Windows 10操作系統(tǒng)，雖然在國家政策的指導(dǎo)下，操作系統(tǒng)國產(chǎn)化趨勢正在穩(wěn)步推進(jìn)，但是在可預(yù)見的未來幾年內(nèi)，在還未建立起一個(gè)完備的國產(chǎn)化系統(tǒng)生態(tài)環(huán)境的背景下，Windows 10操作系統(tǒng)將依然占據(jù)主流地位。而Windows 10操作系統(tǒng)不開源的特性，再結(jié)合該操作系統(tǒng)的個(gè)人數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)的混合存儲(chǔ)以及其支持的應(yīng)用程序的多樣性，為廣大用戶工作生活帶來方便的同時(shí)，也給計(jì)算機(jī)信息安全埋下了嚴(yán)重隱患[5]。因此，在Windows 10操作系統(tǒng)終端上解決安全性問題具有絕對重要的意義。

2 終端安全風(fēng)險(xiǎn)模型分析

操作系統(tǒng)終端安全，歸根結(jié)底是數(shù)據(jù)的安全，所以，我們需要對建立操作系統(tǒng)的安全風(fēng)險(xiǎn)模型。

由圖1可知，Windows 10操作系統(tǒng)終端安全風(fēng)險(xiǎn)主要包括以下幾個(gè)方面。

（1）非法用戶通過對操作系統(tǒng)的直接操作，讀取終端用戶的私密數(shù)據(jù)，刪除或者篡改用戶關(guān)鍵文件等。

（2）非法應(yīng)用程序，通過底層系統(tǒng)調(diào)用，竊取終端上用戶的關(guān)鍵信息和數(shù)據(jù)。

（3）數(shù)據(jù)通過網(wǎng)絡(luò)、USB通道、藍(lán)牙、Wi-Fi等途徑外流。

3 系統(tǒng)終端安全增強(qiáng)方案策略

針對上述分析，Windows 10操作系統(tǒng)終端的安全風(fēng)險(xiǎn)非常明確，為了規(guī)避安全風(fēng)險(xiǎn)的發(fā)生，就要從風(fēng)險(xiǎn)源頭（用戶、應(yīng)用）、保護(hù)對象（數(shù)據(jù)）、傳播途徑（數(shù)據(jù)通道）三個(gè)方面一起抓，形成一個(gè)全方位防護(hù)體系[1]，下圖是移動(dòng)智能終端的安全防護(hù)模型。

如圖2所示，從風(fēng)險(xiǎn)源頭、保護(hù)對象、傳播途徑三個(gè)方面，分別制定了相應(yīng)的風(fēng)險(xiǎn)規(guī)避措施，通過不同措施的組合形成一個(gè)完善的防護(hù)體系。

圖中的①，主要針對風(fēng)險(xiǎn)源頭（用戶）的防護(hù)措施，專指用戶身份認(rèn)證。

圖中的②，主要針對風(fēng)險(xiǎn)源頭（應(yīng)用）的防護(hù)措施，包括應(yīng)用啟動(dòng)控制、應(yīng)用開機(jī)啟動(dòng)控制、應(yīng)用權(quán)限管理、應(yīng)用安裝控制等。

圖中的③，針對傳播途徑的防護(hù)措施，包括WIFI傳輸控制、藍(lán)牙傳輸控制、4G網(wǎng)絡(luò)傳輸控制、USB連接控制等。

圖中的④，針對數(shù)據(jù)資源本身的控制，包括操作系統(tǒng)安全隔離、數(shù)據(jù)加密傳輸、加密存儲(chǔ)。

4 終端安全增強(qiáng)方案策略實(shí)現(xiàn)

我們根據(jù)Windows 10操作系統(tǒng)建立的安全防護(hù)模型，從三個(gè)方面設(shè)計(jì)了對Windows 10操作系統(tǒng)的安全增強(qiáng)能力。

4.1 雙因素身份認(rèn)證

雙因素身份認(rèn)證為當(dāng)前較為通用的身份認(rèn)證體系。通過“我”所知道的再加上“我”所擁有的這兩個(gè)要素組合到一起，以達(dá)到身份認(rèn)證的目的。本系統(tǒng)的雙因素身份認(rèn)證方案需要利用硬件密碼模塊+安全口令PIN碼的強(qiáng)身份驗(yàn)證方式，以確保用戶身份的唯一性與合法性。其中硬件密碼模塊用于進(jìn)行安全口令PIN碼的校驗(yàn)[2]。

具體步驟如下。

第一步：登錄界面庫定制

Vista之前，Windows的開機(jī)密碼認(rèn)證模塊一般是由GinaDLL完成的。而Windows Vista之后的版本（包括Windows 10）則使用了新的“憑據(jù)提供程序”體系結(jié)構(gòu)來代替GINA。在Win-dows 10系統(tǒng)中，Winlogon會(huì)啟動(dòng)一個(gè)單獨(dú)的進(jìn)程Logonui.exe，該進(jìn)程將加載注冊表中配置的“憑據(jù)提供程序”。而這個(gè)“憑據(jù)提供程序”以dll庫的形式實(shí)現(xiàn)了對用戶輸入的安全口令與硬件密碼模塊進(jìn)行認(rèn)證的過程，該庫需要用戶在插入與操作系統(tǒng)具有綁定關(guān)系的密碼模塊的基礎(chǔ)上再輸入安全口令進(jìn)行強(qiáng)身份認(rèn)證，如果認(rèn)證成功，才能進(jìn)入操作系統(tǒng)。

第二步：將“憑據(jù)提供程序”添加到注冊表

＼HKEY_LOCAL MACHINE＼SOFTWARE＼Microsoft＼Win

—dows＼CurrentVersion＼Authentication＼Credential Ptoviders下增加“憑據(jù)提供程序”，來替換系統(tǒng)原有登錄界面。

4.2 應(yīng)用程序管控

應(yīng)用程序管控是指能夠?qū)?yīng)用的整個(gè)生命周期進(jìn)行管理，包括應(yīng)用的安裝、運(yùn)行、卸載等。目前，非法應(yīng)用程序的運(yùn)行是對系統(tǒng)造成致命威脅的重要因素之一，雖然安裝殺毒軟件能夠做到被動(dòng)防御，但是如果能夠從應(yīng)用程序的整個(gè)生命周期進(jìn)行控制，將會(huì)在更大程度上降低非法應(yīng)用所帶來的風(fēng)險(xiǎn)。

應(yīng)用程序的生命周期，包括安裝、啟動(dòng)、卸載等過程。這個(gè)過程的控制，我們采用文件過濾驅(qū)動(dòng)配合安全策略的方式實(shí)現(xiàn)。

應(yīng)用程序控制的實(shí)現(xiàn)分為三步。

第一步：文件安裝/啟動(dòng)攔截功能實(shí)現(xiàn)

應(yīng)用程序在安裝或啟動(dòng)時(shí)，都會(huì)向文件系統(tǒng)驅(qū)動(dòng)程序發(fā)送Create的IRP請求，此時(shí)只需要通過附加在文件系統(tǒng)驅(qū)動(dòng)上層的文件過濾驅(qū)動(dòng)攔截到這個(gè)請求，并判斷這個(gè)需要打開的文件類型是否為可執(zhí)行文件，如果是，則與安全策略中的白名單進(jìn)行比對，這個(gè)白名單可以是文件名，也可以是硬件安全模塊提供的國密SM3算法獲得的文件摘要。如果是策略允許的合法應(yīng)用程序，則將該IRP請求繼續(xù)下發(fā)給文件系統(tǒng)驅(qū)動(dòng)，如果不是合法應(yīng)用程序，則直接攔截，防止該程序啟動(dòng)。

第二步：文件過濾驅(qū)動(dòng)安裝

通過驅(qū)動(dòng)程序inf文件或者以服務(wù)形式安裝到文件系統(tǒng)驅(qū)動(dòng)棧中，即可實(shí)現(xiàn)對可執(zhí)行程序的安裝啟動(dòng)攔截。

第三步：對于卸載操作，則需要在注冊表中查找軟件的卸載程序，然后通過運(yùn)行在終端上的安全管理引擎來進(jìn)行強(qiáng)制卸載。

4.3 傳播途徑控制

對數(shù)據(jù)傳播途徑的控制，可以有效防止敏感數(shù)據(jù)外流，做到“拿不走”。傳播途徑目前主要包括WIFI傳輸、藍(lán)牙傳輸、4G網(wǎng)絡(luò)傳輸、USB連接等。對于這類傳播途徑的控制，可以通過“類過濾”驅(qū)動(dòng)框架來實(shí)現(xiàn)。這類設(shè)備的控制原理如圖3所示。

如圖3所示，對于數(shù)據(jù)傳播途徑的攔截分為兩步：

第一步：WIFI、藍(lán)牙、4G模塊、USB設(shè)備IPR請求攔截實(shí)現(xiàn)

只要控制住了這幾個(gè)物理設(shè)備使用，就攔截住了所有數(shù)據(jù)傳播的根源。與文件過濾驅(qū)動(dòng)類似，我們需要在這類設(shè)備驅(qū)動(dòng)上層增加過濾驅(qū)動(dòng)，用于攔截對這類設(shè)備的使用請求，位于設(shè)備棧上層的過濾驅(qū)動(dòng)會(huì)先于物理設(shè)備獲取到使用這類設(shè)備的IPR請求，上層過濾器通過對IRP_MJ_PNP子功能IPR_MN_START_DEVICE進(jìn)行控制，如果安全策略不允許使用這類設(shè)備，上層過濾器則攔截掉IRP請求，設(shè)備將無法正常工作。

第二步：設(shè)備過濾驅(qū)動(dòng)安裝

設(shè)備位于注冊表＼HKEY_LOCAL MACHINE＼SYSTEM＼Cur-rentControISet＼ControI＼Class下，子健為GUID，GUID下子健為具體的設(shè)備序號(hào)。在對應(yīng)的子健下的UpperFilters項(xiàng)中添加對應(yīng)的過濾驅(qū)動(dòng)，重啟系統(tǒng)即可生效。

4.4 針對數(shù)據(jù)資源本身的控制

數(shù)據(jù)資源本身的控制，包含了操作系統(tǒng)本身的隔離與用戶數(shù)據(jù)安全存儲(chǔ)。

（1）操作系統(tǒng)隔離

目前存在著大量的計(jì)算機(jī)生活?yuàn)蕵放c政務(wù)辦公混用的情況，而這樣的計(jì)算機(jī)是無法提供一個(gè)安全可靠的辦公環(huán)境的，所以有必要將辦公環(huán)境與生活?yuàn)蕵翻h(huán)境隔離開來，常規(guī)的方式是增加一臺(tái)計(jì)算機(jī)，一個(gè)用于安全辦公，一個(gè)用于生活?yuàn)蕵?。但是這種方式的弊端是投入巨大，因?yàn)樵黾恿艘慌_(tái)計(jì)算機(jī)的投入。更合理的方案是一機(jī)兩用，即計(jì)算機(jī)本身的系統(tǒng)作為生活?yuàn)蕵翻h(huán)境，然后利用Windowsl0的WTG（ Windows to go）特性，在高速U盤上安裝一個(gè)WTG系統(tǒng)，并利用磁盤驅(qū)動(dòng)隔離技術(shù)，將WTG系統(tǒng)與本地計(jì)算機(jī)硬盤隔離開來，使得WTG系統(tǒng)在一個(gè)完全獨(dú)立的環(huán)境下運(yùn)行，做到辦公數(shù)據(jù)與日常生活數(shù)據(jù)的完全隔離。而WTG辦公環(huán)境與本地硬盤隔離的核心原理是磁盤隔離驅(qū)動(dòng)。磁盤隔離驅(qū)動(dòng)類似于數(shù)據(jù)傳播控制中的設(shè)備控制驅(qū)動(dòng)，在注冊表＼HKEY_LOCAL MACHINE＼SYSTEM＼CurrentCon-troISet＼ControI＼Class＼{4d36e967-e325-llce-bfcl-08002be103181下的UpperFilters中，增加磁盤隔離驅(qū)動(dòng)文件，該驅(qū)動(dòng)程序?qū)⒃赪TG系統(tǒng)啟動(dòng)過程中對計(jì)算機(jī)本地硬盤進(jìn)行反注冊行為，使得WTG系統(tǒng)無法識(shí)別本地硬盤。由于磁盤隔離驅(qū)動(dòng)是在一個(gè)純凈的WTG系統(tǒng)中優(yōu)先加載的，所以保證了磁盤隔離驅(qū)動(dòng)程序具有最高優(yōu)先級(jí)，無法被其他惡意驅(qū)動(dòng)程序旁路。

（2）用戶數(shù)據(jù)安全存儲(chǔ)

由于辦公環(huán)境下的用戶數(shù)據(jù)與本地磁盤的生活?yuàn)蕵窋?shù)據(jù)完全隔離，在一定程度上保證了數(shù)據(jù)的安全性，但是用戶數(shù)據(jù)存儲(chǔ)在隔離系統(tǒng)中，一旦離開隔離環(huán)境，例如將該WTG系統(tǒng)盤當(dāng)成一個(gè)普通USB存儲(chǔ)設(shè)備連接到一般的計(jì)算機(jī)上，那么辦公數(shù)據(jù)依然存在泄漏風(fēng)險(xiǎn)。為了解決這種數(shù)據(jù)外泄問題，可以考慮用戶數(shù)據(jù)單獨(dú)存儲(chǔ)的方式，即將WTG系統(tǒng)盤分成兩個(gè)區(qū)域，其中一個(gè)為WTG系統(tǒng)區(qū)，另外一個(gè)區(qū)用于敏感數(shù)據(jù)存放，而這個(gè)敏感數(shù)據(jù)存放區(qū)，通過文件透明加解密技術(shù)對進(jìn)入該區(qū)域的文件進(jìn)行加解密，而文件透明加解密驅(qū)動(dòng)運(yùn)行在WTG系統(tǒng)中，密鑰由安全模塊提供。這樣，只有進(jìn)入WTG系統(tǒng)時(shí)，文件才能正常讀寫，否則將無法得到解密后的文件數(shù)據(jù)。透明加解密原理如圖4。

如圖4可知，數(shù)據(jù)安全存儲(chǔ)分為以下兩步。

第一步：透明加解密功能實(shí)現(xiàn)

文件透明加解密離不開文件過濾驅(qū)動(dòng)，具體實(shí)現(xiàn)原理是在WTG系統(tǒng)[4]中，存人磁盤物理介質(zhì)的數(shù)據(jù)，都進(jìn)行加密操作，讀取的所有數(shù)據(jù)都進(jìn)行解密操作。如果脫離了WTG系統(tǒng)環(huán)境，在沒有透明加解密驅(qū)動(dòng)的支持下，無論哪種系統(tǒng)環(huán)境下，讀出的數(shù)據(jù)都將是密文。通過軟硬件結(jié)合的方式，極大程度上保證了用戶敏感數(shù)據(jù)的安全性。

第二步：透明加解密驅(qū)動(dòng)的安裝

與應(yīng)用程序控制驅(qū)動(dòng)椅子，通過驅(qū)動(dòng)程序inf文件或者以服務(wù)形式安裝到文件系統(tǒng)驅(qū)動(dòng)棧中，即可實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)的透明加解密功能。

5 實(shí)驗(yàn)

為了驗(yàn)證本文設(shè)計(jì)的安全增強(qiáng)方案，構(gòu)建了對應(yīng)的測試驗(yàn)證環(huán)境。安裝系統(tǒng)的高速USB存儲(chǔ)設(shè)備采用的是由鄭州信大捷安信息技術(shù)股份有限公司（以下簡稱信大捷安）自主研發(fā)生產(chǎn)的終端安全防護(hù)系統(tǒng)盤，該系統(tǒng)盤集成了信大捷安自主研發(fā)的安全芯片SSX1207作為測試的安全模塊，能夠灌裝WTG系統(tǒng)的同時(shí)，還具有智能密碼鑰匙功能，支持SMI-SM4國密算法。系統(tǒng)盤中灌裝WTG系統(tǒng)的同時(shí)，提前植入了磁盤隔離驅(qū)動(dòng)，使得該測試系統(tǒng)與宿主計(jì)算機(jī)上的存儲(chǔ)硬盤完全隔離。在對該系統(tǒng)整合了以上各個(gè)安全模塊后，對整個(gè)系統(tǒng)的安全性進(jìn)行了驗(yàn)證。

5.1 用戶登錄

在用戶登錄過程中，要求用戶輸入安全口令，WTG系統(tǒng)在沒有安全模塊或沒有正確輸入安全口令的情況下，用戶無法進(jìn)入系統(tǒng)。如果在安全模塊輸錯(cuò)安全口令10次，則安全模塊鎖死，如果不返廠重新初始化，將永遠(yuǎn)無法使用。而且安全口令根據(jù)安全策略，定義了口令復(fù)雜度，過于簡單的口令無法使用。

5.2 應(yīng)用程序控制

運(yùn)行安全策略不允許的應(yīng)用程序時(shí)，應(yīng)用程序無法正常啟動(dòng)運(yùn)行，也無法執(zhí)行安裝程序。并且在管理員下發(fā)卸載指令后，相應(yīng)的應(yīng)用程序被卸載，達(dá)到了對應(yīng)用程序控制的效果。

5.3 傳播途徑控制

在安全策略不允許的情況下，WIFI傳輸、藍(lán)牙傳輸、4G網(wǎng)絡(luò)傳輸、USB連接等功能均無法使用，系統(tǒng)也處在了一種完全隔離的狀態(tài)下。

5.4 數(shù)據(jù)資源控制

系統(tǒng)運(yùn)行在獨(dú)立的USB介質(zhì)上，并且在獨(dú)立系統(tǒng)中，無法訪問計(jì)算機(jī)本地硬盤數(shù)據(jù)。將裝有系統(tǒng)的USB介質(zhì)連接到正常計(jì)算機(jī)系統(tǒng)下，無法訪問加密區(qū)內(nèi)的數(shù)據(jù)，根據(jù)二進(jìn)制度數(shù)，顯示為亂碼。

6 結(jié)論

本文研究了對Windows 10操作系統(tǒng)進(jìn)行安全增強(qiáng)的幾個(gè)方案，從幾個(gè)關(guān)鍵途徑對系統(tǒng)的安全性進(jìn)行了加固和增強(qiáng)，通過實(shí)驗(yàn)可知，該方案有效且可靠，極大地解決了當(dāng)前一機(jī)多用為用戶帶來的安全隱患，為用戶提供了一套有效的安全辦公方案。

參考文獻(xiàn)：

[1]卿斯?jié)h，程偉，杜超.Windows操作系統(tǒng)的安全風(fēng)險(xiǎn)可控性分析[J].信息網(wǎng)絡(luò)安全，2015（4）：5-12.

[2]戈洋洋，毛宇光.一種基于Minifilter的文件安全保護(hù)系統(tǒng)[J].計(jì)算機(jī)與數(shù)字工程，2013，41（4）：631-634.

[3]向磊.操作系統(tǒng)安全隱患分析與防護(hù)[J].信息與電腦（理論版），2016（12）：213-214.

[4]李志勇，葉柏龍.基于文件過濾驅(qū)動(dòng)的文檔透明加解密系統(tǒng)原理[J].東莞理工學(xué)院學(xué)報(bào)，2010，17（3）：48-50.

[5]賽迪智庫信息化形勢分析課題組.2020年中國信息化發(fā)展形勢展望[N].中國計(jì)算機(jī)報(bào)，2020-01-20（12）.

【通聯(lián)編輯：代影】

作者簡介：韓金池（1982-），男，主要研究領(lǐng)域?yàn)樾畔踩?、操作系統(tǒng)加固;丁汨（1980-），女，主要研究方向?yàn)樾畔踩⒂?jì)算機(jī)網(wǎng)絡(luò)。