電腦科學與技術專業的開題報告

一、研究背景及意義

隨著資訊科技的發展，人們越來越依賴於計算機來處理關鍵資料，並且逐步摒棄字紙處理方式，因而整個社會中電子檔案資訊的激增。如何去維護這些電子資訊的安全，防止其洩漏和損壞也同時越發的引起關注。另外隨著移動儲存裝置尤其是USB裝置的快速發展和便捷，這個問題越發的嚴重起來。本課題主要針對研究Windows下通過USB方式轉移資料的行為進行監控，確保電子資料通過USB傳播的有據可尋，以便於安全審計和統計。

由於USB匯流排較高的介面速率和靈活方便的使用特性，使得越來越多的儲存裝置使用USB介面來接入計算機，如快閃記憶體盤、行動硬碟等。基於USB介面的儲存裝置已取代軟盤，成為一種重要的資訊交換方式。但USB儲存裝置的廣泛使用帶來了許多安全隱患：

(1)竊密者可以在合法使用者不在場的情況下，利用USB儲存裝置快速地將個人隱私、國家機密或商業敏感資訊取走，並且不會留下痕跡;

(2)合法使用者的違規操作和逾權動作可以把USB儲存裝置作為中轉媒;

(3)USB儲存裝置可作為病毒載體以及開機鑰匙等。上述安全隱患都對主機安全構成了較大威脅。因此，對USB儲存裝置的安全實施監控具有重要意義。目前很多保密單位在物理上禁用USB埠，這會給使用者帶來很多不便。而一些基於使用者態的USB儲存裝置監控軟體很容易被病毒、木馬等惡意程式繞過，無法完成有效、實時的監控。本文采用基於驅動層的技術實現其主要的監控功能，相對應用層，更加安全和穩定。

二、國內外研究情況

1、Linux操作系統：

因其具有原始碼開放，穩定，可靠。安全等顯著優點。在電子政務中得到了廣泛應用。此類應用的安全性要求較高，特別是內部網。據統計，80%的安全事件來自內部網。其中USB介面是內部網路資訊洩密的一個重要途徑 由於USB裝置種類眾多且使用廣泛.僅僅簡單地禁用USB介面會使其他的USB裝置(如USB滑鼠、USB鍵盤、ikey等)無法正常使用，給使用者帶來很多不便。文中在Linux環境下實現了一個分散式USB裝置監控系統.可以根據管理員制定的安全策略分類禁用USB裝置.以便管理員對網路中各主機的USB裝置進行細粒度的管理。該系統的主要功能是以核心模組的形式實現的.相對於應用層程式而言。其可靠性高並且很難被使用者破解。

2、USB監控基本情況：

Linux的USB子系統分為USB客戶軟體、USB核心層和主控制器驅動程式3個層次。

USB客戶軟體是特定裝置驅動程式的主機部分.主要完成裝置功能驅動，為了和裝置正常通訊，它通過10請求包(IRP.I/O Request Packet)向USB核心發出資料接收或傳送請求。USB核心則為客戶端驅動程式層和主機控制器驅動函式提供了一套函式集。HCD(Host Controller Driver)與主機控制器合作完成USB各種事務處理[”對於USB裝置的所有操作都是通過向USB裝置傳送相應的IRP完成的。本系統將攔截所有發給USB裝置的IRP並對其中的內容進行分析.得到USB裝置的裝置型別，如儲存類裝置、USB集線器類裝置或者廠商自定義裝置等.然後根據安全策略檔案來決定是否允許這個裝置使用。USB裝置監控系統中的關鍵問題是IRP攔截.判斷裝置型別以及對廠商自定義類裝置的管理。

3、IRP攔截技術：

為了實現資料傳輸核心提供了一個數據結構稱為URB(USB Request Block)。一個URB由執行任何一個USB事務資訊、分發資料資訊和回傳的狀態資訊組成。URB中具有USB資料傳輸的所有資訊，包括傳輸型別、傳輸方向、資料快取區、資料傳輸的裝置、端點、返回資訊及指向傳輸完成的處理函式的指標。從圖l中可以看出。所有的USB裝置I/O請求最終都由匯流排提交函式usbmit_ttrb(struct urb*urb)傳送到USB總線上.因此可以通過攔截usb_submit urb函式.對所有的URB資料包進行分析的方法來實現對USB裝置的控制。目前x(所支援的主控制器主要有OHC(Open Host Controller) 和UHC (Universal HostController) 種控制器的驅動程式分別是ohci.0和 subruit urb函式就是由這兩個模組提供的一般情況下。一臺計算機只有一種控制器。Linux考慮了有多種控制器的可能性併為將來擴充套件更多的控制器提供了方便。

因此，攔截usb submit urb函式就是要攔截核心模組的匯出函式。Linux採用整體式核心結構.如果要對核心功能進行修改或充.必須重新編譯整個核心。這給擴充套件核心功能帶來諸多不便。因此。Linux提供了一種新的機制：動態可載入核心模組 核心模組將一些需要擴充套件的功能先單獨編譯成一組目的碼.該程式碼是核心的一分.但並沒有編譯到核心裡面去.可以根據需要在系統啟動後動態地載入到系統核心中.當模組不再需要時，可以動態地從系統核心解除安裝。核心符號表中維護著一個核心資源連結串列.在載入模組時.它能夠解析出模組中對核心資源的引用 某個模組對其他模組的服務或資源的需求類似於模組對核心本身資源或服務的請求.不過此時所請求的服務是來自另外一個已載入的模組 每當載入模組時核心將把該載入模組輸出的所有資源和符號新增到核心符號表中21核心符號表中包含模組匯出函式名、變數的名字和其相應的地址通過更改函式地址值的方法可以對函式呼叫進行攔截。

但這種方法在攔截模組匯出函式的時並不適用。如前所述，模組在載入的過程中會使用核心符號表中的資訊對引用的函式和變數進行重定向。這種訪問是一次性的。系統在核心級中執行時，訪問了大量的暫存器，而很多暫存器值是由上層呼叫者提供的。如果改變這些暫存器值.系統會變得不穩定。很可能出現不可預料的後果。

因此使用hook函式的最佳原則是：在hook函式中呼叫原函式時。所有暫存器的值與被hook前的資訊一樣 普通的C函式呼叫都提供了函式堆疊切換操作。而在funl和fun2中要使用原函式的堆疊來獲取傳人的引數地址.因此這兩個函式必須用匯編語言編寫這裡分析一下攔截程式碼的穩定性 在整個作業系統執行期間.系統服務會經常被呼叫。當一個程序呼叫了被hook的系統服務.這時如果發生了程序切換，則另一個程序再次呼叫相同的系統服務時.就會出現此次呼叫沒有被hook的情況 雖然可以通過關閉中斷方法加以避免.但對系統性能影響比較大USB子系統的資料傳輸通常不是提交一次URB就能完成的。

偶爾漏掉了一個URB並不會影響對資料傳輸的禁用效果.所以這裡完全可以忽略這種情況 在實際的測試和使用中沒有出現禁用失效的情況。

三、監控系統應用價值與基本方法

監控系統在已有研究成果的基礎之上，對誤差控制、大塊資料處理、地形簡化等演算法和實現技術進行了改進。包圍盒進行LOD誤差處理，大大地提高了演算法的效率，該演算法已經應用到研製的某衛星網管模擬測試系統中，取得了良好的效果。演算法使用的是儲存在本地的地形資料，未來有可能通過網路使用實時的真實地形資料，此時記憶體對映檔案將失效，因此需要進一步考慮如何有效地載入和傳輸來自網路的資料，從而實時顯示真實的地形。另外，使用C++語言實現演算法和地形顯示，可以進一步提高軟體的效率。基於USB的CAN匯流排系統監控平臺的開發成功，為CAN匯流排控制系統的開發、除錯和診斷提供了得力工具。無論在實驗室還是在工業現場，開發人員都可方便地將CAN網路與計算機互聯，實時監控系統的匯流排狀態。以此為基礎，今後還將進一步完善其上位機應用程式，豐富其監控的現場匯流排種類，使其成為基於CAN的多種現場匯流排的監控平臺。

USB(universal serial bus)通用序列匯流排，是由Intel、康柏、微軟和NEC等公司共同推出的序列介面。它支援即插即用和帶電熱插拔，佔用的系統資源少，不會出現與其它外設資源衝突的情況，軟體安裝也很方便;其通訊速度為1.5、12和480Mb/s，突破了傳統計算機序列通訊介面(如RS一232)與高速外設進行資料傳輸時的速度“瓶頸”;介面還可以提供最大5V/500mA的匯流排電源，小型USB裝置無需外擴電源，簡化電路設計。USB介面已經成為PC的標準介面。為了便於攜帶使用，在下位橋接器設計中均採用體積小、功耗低的平面封裝器件，這可以減小體積、充分利用USB匯流排供電。另外，在下位橋接器設計中還設計了資料緩衝和CAN匯流排通訊錯誤識別功能，這樣可以進一步避免系統監控資料的丟失，並且能在CAN匯流排通訊出錯時提供詳細的狀態記錄資訊，提高平臺的監控效能。

一個USB裝置插入到計算機USB埠上時，作業系統硬體管理程式將會發現裝置，然後查詢該裝置的驅動程式是否存在，如果存在，系統載入驅動程式，然後給USB裝置分配碟符等。

從上面的分析中可以知道，如果要阻止USB裝置在計算機上使用，至少有兩個方法可以使用：一是修改裝置驅動程式，在裝置驅動程式裡面加入對裝置進行判斷的程式碼，從而阻止非授權USB裝置在系統上的識別;第二種方法是不修改驅動程式，而在USB裝置列舉完成後，立即把裝置解除安裝，從而在系統中無法使用該裝置。

上面兩種方法中，第一種需要熟悉驅動程式開發技術，難度比較大;第二種原理比較簡單，實現起來也相對容易。本文將採用第二種方法。第二種方法的原理是：當插入USB儲存裝置時，應該立即獲取該USB裝置的資訊，然後判斷這些資訊是否是經過授權的，如果非法，立即呼叫解除安裝函式解除安裝該USB裝置。系統可以分為三部分：USB儲存裝置的檢測、USB裝置資訊的讀取判斷、裝置的解除安裝。

四、小結

總之，面向端系統的行為安全監控系統是針對Windows平臺的。隨著Windows平臺在電子政務中的日益廣泛應用.面向Windows平臺的行為安全監控系統將具有廣泛的應用前景，課題設計提出的USB裝置監控技術不僅可以對USB裝置行為進行有效監控.還同樣適用於對並口裝置及光碟機類裝置進行監控.具有普遍的指導意義。此課題具有可以成功解決保密要求較高的個人和單位只能在物理上禁用USB埠、使用不靈活的問題。軟體關鍵功能的實現，可優先監控到USB儲存裝置，不易被惡意程式繞過，軟體資源的佔有率低等優點。

參考文獻

[1] 劉蕊紅，蔡皖東，張 贅. 面向Linux的USB裝置監控技術研究與實現[J]. 西安：西北工業大學,2019.

[2] 張贊 蔡皖東 王胡. 基於IRP攔截技術的USB裝置監控系統[D]. 西安：西北工業大學,2019.

[3] Walter ramming the Microsoft Windows Driver Mode1[M] Francisco, Microsoft Press, 1999.

[4] Art Baker，Jerry Windows2019 Device Driver Book[M] Francisco, Prentice Hall PTR,2019.

[5] 王成儒，李英偉 2.0原理與工程開發[M].北京：國防工業出版社,2019:34-36.

[6] 肖踞雄，翁鐵成，宋中慶技術及應用設計[M].北京：清華大學出版社，2019.

[7] 陳莉君.深入分析Linux核心原始碼[M].北京：人民郵電出版社,2019.

[8] 張贊，蔡皖東，王弱.基於IRP攔截技術的USB裝置監控系統[J].微電子學與

計算機，2019，22(12)：179-183.

[9] Daniel P Bovet，Macro rstanding the Linuxkerne1[M] York:O ’reillk,2019.

[10]Peter Jay Salzman, IJnux kernel program module guide[M], New York:Academic Pr ,2019.

[11]陽憲惠，主編.現場匯流排技術及其應用[M].北京：清華大學出版社，1999.

[12]現場匯流排技術的發展.全國高校製造自動化研究會東北、華北地區2019年學術會議論文集[C]. 天津[出版者不詳]：2019.

[13]尹羅生，等.一種具有USB接13的通訊控制器的設計實現[J].電力系統自動化，2019,18(12)：65-68.

[14]潘琢金，施國君.C8051Fxxx高速SOS微控制器原理及應用[M].北京：北京航空航天大學出版社，2019.

[15]Jan 大全[M].陳逸，譯.北京：中國電力出出版社，2019.