《基于可信kylin的局域网内usb存储设备集中访问控制技术研究》由会员分享,可在线阅读,更多相关《基于可信kylin的局域网内usb存储设备集中访问控制技术研究(71页珍藏版)》请在金锄头文库上搜索。
1、国防科学技术大学 硕士学位论文 基于可信Kylin的局域网内USB存储设备集中访问控制技术研究 姓名:程栋柏 申请学位级别:硕士 专业:软件工程 指导教师:罗军 2010-10 国防科学技术大学研究生院工程硕士学位论文 第 i 页 摘 要 随着计算机技术的发展,USB 存储设备的应用越来越广泛,它具有易于携带、 容量大和使用方便等特点,逐渐成为了计算机之间数据交换的重要工具,同时也 成为了内部人员泄露或盗取局域网内机密信息的主要途径。现有的针对局域网内 USB存储设备访问控制技术仅仅是基于本机的操作系统来限制或允许USB存储设 备的使用,没有实现局域网内所有 USB 存储设备的集中访问控制,因
2、此其安全性 和可用性大大降低。 针对局域网内 USB 存储设备访问控制存在的问题,论文分析了基于 WDM 过 滤驱动的 USB 存储设备访问控制技术等相关工作,并总结了它们的优缺点,通过 研究 Linux USB 子系统和 SCSI 控制器的模拟过程, 提出了基于可信 Kylin 的 USB 过滤驱动技术;有机结合角色定权机制(RBA,Role Based Authorization)、PMI (Privilege Management Infrastructure)和 PKI(Public Key Infrastructure)的相关原 理,提出了 RBA-PP 联合安全认证与授权系统。在此
3、基础上结合客户端和服务端 双向认证技术,设计并实现了基于可信 Kylin 的局域网内 USB 存储设备访问控制 系统USBACS(USB Access Control System)。 USBACS 在应用层对局域网内所有需要向 USB 存储设备写入数据的用户,通 过 USBkey 进行第二次身份认证;在内核层,通过 USB 过滤驱动实现 USB 存储设 备的访问控制。USBACS 由基于可信 Kylin 的 USB 过滤驱动子系统、RBA-PP 联 合安全认证与授权子系统和客户端与服务端双向认证服务共同组成。基于可信 Kylin的USB过滤驱动子系统实现了在可信Kylin操作系统中系统与设备
4、之间数据 传输的单向控制。 RBA-PP 联合安全认证与授权子系统实现了局域网环境下服务端 对客户端用户身份进行认证并对其授予权限。客户端与服务端双向认证服务提高 了局域网内所有客户端和服务端的安全性和不可抵赖性。 基于以上的设计思想,论文将 USBACS 应用于局域网环境下进行测试并对其 安全性进行分析。结果表明,USBACS 在保证高安全性的同时,对系统性能影响 不大。 主题词:USB 存储设备;集中访问控制;过滤驱动; RBA-PP; USBACS 国防科学技术大学研究生院工程硕士学位论文 第 ii 页 ABSTRACT With the development of computer
5、technology ,USB storage devices are used more and more widely. They have many features such as easy to carry, large capacity and ease of use,etc. While they are important tools for exchanging data among computers, they are also becoming the main ways to leak or steal confidential information in LAN
6、for internal workers. Existing technologies of USB storage devices access control in LAN have only addressed the problem on the level of operating system. And have not implemented centralized access control for all USB storage devices in LAN, thus their security and availability are reduced. To solv
7、e the access control issues existed in the USB storage devices in LAN, this paper first analyzes WDM filter driver for USB storage devices access control technology and other related work, and summarizes their advantages and disadvantages. By studying the Linux USB subsystem and SCSI controller simu
8、lation process, we propose a novel Trusted Kylin based USB filter driver technique. Combining with the RBA (Role Based Authorization), PMI (Privilege Management Infrastructure) and PKI (Public Key Infrastructure), a joint security authentication and authorization system, RBA-PP, is proposed. We then
9、 design and implement the Trusted Kylin based LAN USB Access Control System (USBACS) on the basis of bidirectional authentication between client and server. At the application layer, USBACS authenticates the identity twice to the users who need to write data by USB storage devices in LAN, while in t
10、he kernel layer, the USB access control is implemented through USB filter driver. USBACS is composed of Trusted Kylin based USB filter driver subsystem, RBA-PP and bidirectional authentication service between clients and servers. We also implement the one-way control of data transference between the
11、 system and devices. RBA-PP authenticates the identity of the client user and grants user authorization in LAN environment. Bidirectional authentication service guarantees the security and non-repudiation of all servers and clients. Base on the above design principles, we implement USBACS, test it a
12、nd analysis its security in LAN environment. Our evaluation shows that USBACS has very small impact on system performance while greatly guarantees the system security. Key Words:USB storage devices; centralized access control; filter driver; RBA-PP; USBACS 国防科学技术大学研究生院工程硕士学位论文 第 III 页 表 目 录 表 3.1 CB
13、W 包格式 . 19 表 3.2 CSW 包格式 . 20 表 6.1 使用 USBACS 前后 USB 存储设备读性能测试表 . 54 表 6.2 使用 USBACS 前后 USB 存储设备写性能测试表 . 55 表 6.3 USBACS 涉及的参与者 . 56 国防科学技术大学研究生院工程硕士学位论文 第 IV 页 图 目 录 图 2.1 USB 存储设备的注册过程 . 7 图 2.2 USB 存储设备下层过滤驱动 . 10 图 2.3 过滤驱动工作流程 . 10 图 2.4 Windows 安全终端的硬件体系结构框架图 . 12 图 2.5 ENSS 辅核系统与主系统的数据交互示意图 . 12 图 2.6 优化后的 I/O 数据传输流程的系统体系图 . 13 图 2.7 基于角色的多级授权访问控制模型 . 14 图 3.1 可信 Kylin 安全功能结构 . 15 图 3.2 RBA 结构 .
