《2008年全國大學生電子設計競賽信息安全技術專題邀請賽》作品設計報告作品題目啞謎——基于行為密碼和擊鍵特征的身份認證系統參賽學校北京理工大學參賽隊員付力力李海煒郭天放指導教師王耀威目錄1引言 11.1項目背景 11.2名詞解釋 21.2.1行為密碼 21.2.2擊鍵特征 32系統方案 32.1總體設計 32.1.1目標 32.1.2系統框圖 42.2模塊設計 52.2.1通用函數庫 52.2.2文件保護驅動模塊 52.2.3進程及注冊表保護驅動模塊 72.2.4Windows登錄模塊 92.2.5核心服務程序模塊 102.2.6系統配置程序模塊 123功能與性能指標 133.1功能指標 133.2.1Windows系統登錄保護 133.2.2文檔保護 143.2.3關鍵字輸入保護 14性能指標 153.3.1安全特性指標 153.3.2時間特性指標 163.3.3精度指標 163.3.4系統資源占用指標 164系統特色 175系統測試 18測試環境 185.2測試過程描述 18 針對Windows登錄保護模塊的測試 18 針對文件保護模塊的測試用例 20 針對擊鍵特征識別模塊的測試用例 21 針對自身安全的測試用例 225.3測試結果分析 236參考文獻 24

1引言1.1項目背景傳統的字符密碼是如今用戶認證方式中的最主要手段，然而，這種方式存在著它的弊端：容易被間諜程序記錄、容易被猜測、密鑰存儲安全難以保證等等。有鑒于此，我們提出了一種新的思路：如果記錄用戶一連串特定的行為，并將其作為一種“密碼”，將是對傳統密碼的絕佳補充。實際上，這種方式在保險柜鎖上已有應用（譬如其鎖的左右旋轉不同圈數）。由于行為密碼不存在可見的字符輸入，使得它難于被現有的木馬程序記錄，有著傳統字符密碼認證方式所不能及的優勢。同時，考慮到每個用戶使用電腦的習慣互不相同且難以模仿，用戶的擊鍵行為在終端使用過程中出現比較高，并且容易采集和區分，因此可以把用戶的擊鍵行為特征作為身份認證的依據之一。“啞謎”系統將“行為密碼認證”和“擊鍵特征識別”這兩種身份認證手段應用于終端系統，從而更好的保護終端系統的安全。“啞謎”系統提出并實現了一種新的身份驗證方式——結合用戶行為密碼和擊鍵特征進行計算機終端用戶身份的識別。行為密碼就是把用戶在一段時間內的鍵盤、鼠標操作序列作為密碼。同時對用戶擊鍵特征進行驗證，以進一步保證用戶身份的真實性。自上世紀70年代以來，研究者們發現每個人的鍵盤擊鍵方式不同（譬如力度，粘滯時間等）。系統采用了與字符相關的擊鍵粘滯時間作為特征對不同用戶進行識別，識別正確率達95%。系統采用計算機終端用戶行為密碼技術加強系統安全，同時采用基于關鍵字的擊鍵特征保護技術輔助確認用戶身份，并采用文檔欺騙對入侵者進行攻擊。對于系統自身的安全則采用目前應用廣泛而有效的底層驅動隱藏和保護技術來保護系統自身進程。系統實現了對Windows登錄的接管，將行為密碼、擊鍵特征和字符密碼同時作為用戶身份驗證的手段；并支持對計算機內的文檔和重要數據（如注冊表）采用行為密碼和擊鍵特征進行保護或欺騙（不拒絕非法訪問，但非法用戶訪問的是一個事先定制的假文檔）。實驗結果表明系統對計算機終端用戶的保護可行、有效。采用360安全衛士等軟件不能找到系統進程和殺死系統進程，確保系統自身能夠安全、可靠的運行。1.2名詞解釋行為密碼行為密碼是指由若干個用戶操作組成的操作序列。主要包括以下操作1.鼠標擊鍵操作a.左鍵單擊b.右鍵單擊即從按住鼠標左鍵到釋放的過程中鼠標移動所形成的動作序列。比如按住鼠標左鍵從12點鐘方向開始，順時針旋轉360度，回到12點鐘方向。3.鍵盤操作a.單一擊鍵，即一次Press-Release操作b.組合鍵，類似Ctrl+C，Ctrl+Alt+Q之類的操作一個典型的行為密碼的例子是： →←,A,S,D即先用按下鼠標左鍵，然后先向右再向左移動，接著鼠標左鍵，最后依次按下A、S、D三個鍵，即成功輸入一次密碼。另外出于系統保密性的考慮，輸入行為密碼時是不會出現任何提示。默認情況下在進行需要進行行為密碼認證的操作前10秒內的操作算做有效的行為密碼輸入。擊鍵特征本系統所使用的擊鍵特征是指用戶在使用鍵盤輸入某個特定的字符串時所產生的特征信息。這里的特征信息包括字符串擊鍵總時間、各字母擊鍵粘滯時間、粘滯時間在所有字母中的排序位置。下面以“admin”這個字符串為例詳細說明。首先定義一個PR值，即Press-Release，是指用戶從按下一個鍵到彈起的時間，以毫秒為單位，這個是擊鍵特征的主要組成部分。顯然，對于“admin”這個字符串，用戶會產生5個PR值，實驗表明，對于不同的用戶來說，這5個PR值以及他們之間的關系是很不一樣的，并且對于同一個用戶來說，是相對穩定的，這個就是擊鍵特征判別的基礎。例如用戶A這5個PR值從大到小的排序是“dmina”，而用戶B則是“animd”，根據這個排序和具體的PR值可以對每個按鍵的擊鍵算出一個M值，公式為M=位置其中位置A是指某個按鍵在用戶A的PR值排序中的位置，PRA指這個按鍵用戶A的PR值。具體來說，“d”這個按鍵M值為(|1–5|+1)x|PRA-PRB|。對于每個按鍵都計算出一個M值，然后相加即可得到最終的特征值。在擊鍵特征的訓練過程中，用戶需要重復輸入10次特定字符串。從而得到這10次輸入數據的方差σ和平均數。根據公式CV=σ/μ算出變異系數CV，若CV>10%則認定特征不穩定，訓練無效。否則由方差σ和平均數得到一個高斯分布函數N(x)。對于每一次的輸入x，濾掉Nx<N(μ-σ)和Nx>2系統方案2.1總體設計目標提出并實現一種新的身份驗證方式：結合用戶行為密碼和擊鍵特征的計算機終端用戶身份識別系統。系統把鍵盤、鼠標操作序列作為計算機終端用戶密碼，同時對計算機終端用戶擊鍵特征進行驗證，以進一步保證用戶身份的真實性。本系統的適用者是所有計算機終端用戶。系統框圖圖SEQ圖表\*ARABIC1 系統框圖2.2模塊設計通用函數庫定義系統數據結構，并實現其他模塊所需的I/O，加密，日志記錄等基本功能，主要包括以下幾部分：一、行為密碼 行為密碼的結構體的定義，行為密碼的記錄、存儲、復制、銷毀和比較等函數。二、擊鍵特征 擊鍵特征的結構體的定義，擊鍵特征的記錄、存儲、比較和復制等相關函數。三、其他 編碼\解碼函數、常用的輔助函數以及統一的日志記錄函數。文件保護驅動模塊文件保護驅動模塊使用微軟提供的微過濾器驅動模型實現的對底層文件IO操作進行過濾的驅動程序。本驅動程序模塊通過對文件的IRP_MJ_CREATE請求(任何進程試圖對某個文件進行打開、創建操作時會發送此請求)進行過濾，達到禁止、通過或者重定向文件打開操作的目的，從而實現文件保護的功能。圖2 文件保護驅動模塊流程圖進程及注冊表保護驅動模塊程序自身的進程安全以及注冊表保護采用hookSSDT方式予以實現，這是目前軟件自我保護的主流方法之一。以防止進程被惡意結束為例，說明模塊的工作過程。Ring3下有結束進程功能的API如TerminateProcess(),EndTask()等，歸根結底最后都調用了ntdll.dll導出的ZwTerminateProcess函數來結束進程。我們只需要將SSDT中ZwTerminateProcess函數的地址替換為我們構造好的新函數NewZwTerminateProcess的地址，并在這個新函數中驗證是否是其他進程在試圖結束受保護的進程，若是，就返回拒絕訪問，否則就調用真正的ZwTerminateProcess函數正常完成請求。首先，修改SSDT中的函數地址，并替換為我們構造好的NewZwTerminateProcess函數，過程描述如下：圖3 HOOKSSDT流程圖一旦有用戶以非法手段試圖結束”啞謎”服務進程，便會在NewZwTerminateProcess函數中被攔截，以下以某用戶試圖用”ntsd–cq–p[進程ID]”命令來強制結束啞謎進程為例，描述這個過程：圖4 進程保護流程圖Windows登錄模塊將Windows傳統的字符密碼驗證替換為行為密碼驗證和原密碼驗證。WindowsXP系統中的用戶登錄邏輯的處理是通過winlogon進程來調用GINADLL中的相關函數來實現的。為了達到這個目的，在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\下新增字符串鍵，名稱為GINADLL，內容為啞謎系統所帶的ROAGina.dll的路徑，在ROAG，這樣就可以實現自己的登錄驗證功能。程序在對話框的WM_INITDIALOG消息處理中啟用一個全局鼠標鉤子和一個全局鍵盤鉤子，在鉤子的回調函數中調用通用函數庫中的相關函數，實現行為密碼的記錄。同時處理一個自定義的WM_ROALOGIN消息，收到這個消息即表示登錄成功，調用EndDialog來結束對話框，完成登錄過程。WM_ROALOGIN消息在鉤子的回調函數中發出，當用戶輸入了正確的行為密，WM_ROALOGIN消息會立即傳遞到登錄對話框的消息處理函數中，讓用戶輸入原系統登錄密碼。圖5 Windows登錄模塊流程圖核心服務程序模塊本程序是整個系統在用戶態的核心程序，負責將底層驅動模塊和系統配置模塊關聯起來，實現文件保護和擊鍵特征識別的功能。下面分幾個部分說明這個模塊的設計。一、行為密碼的記錄行為密碼的記錄采用全局鍵盤鉤子（WH_KEYBOARD_LL）和全局鼠標鉤子（WH_MOUSE_LL）實現。在兩個鉤子的回調函數中會對用戶的鍵盤行為和鼠標行為進行分析處理，最終格式化為行為密碼原子并加入到存儲行為密碼的鏈表中。為了保證匹配的準確性，行為密碼的鏈表中只會保存用戶10秒之內的有效輸入。圖6 行為密碼記錄流程圖二、文件保護驗證本程序會和文件保護驅動模塊進行通信，接受其發送過來的文件信息，然后驗證該文件是否已經被解鎖，或者用戶是否已經輸入行為密碼解密了該文件，最后把成功或者失敗的信息返回到核心態的文件保護驅動。圖7 文件保護驗證流程圖三、關鍵字輸入保護關鍵字的識別和特征的提取采用全局鍵盤鉤子（WH_KEYBOARD_LL）來實現。在全局鍵盤鉤子的回調函數中對用戶的輸入進行檢查，初始化出錯計數為0，一旦識別到用戶輸入了關鍵字列表中的某個單詞，則把該單詞的特征信息和存儲在配置中的對應信息進行比較，如果認定是合法用戶則把出錯計數-1，直到減為0。如果是非法用戶則把出錯計數+1，當出錯計數達到設定值（默認為5次）時計算機會立即鎖定。圖8 關鍵字特征識別流程圖 系統配置程序模塊本模塊是基于MFC的圖形界面程序，提供友好的操作界面，用于修改系統的各項配置。界面由一個對話框和三個TAB組成，每個TAB里可以進行一個功能項的相關配置。本模塊和其他模塊的接口是一個名為ROAConfig.ini的配置文件，配置程序根據用戶的定義把相應的配置寫在配置文件中，而其他的模塊則會根據自己的需要來讀取配置文件。ROAConfig.ini受到文件保護驅動的保護，所以只有本系統自己的進程才可以讀取該文件，其它進程無法對其進行讀取、復制和刪除等操作的。本模塊通過管道和核心服務程序進行通信，通知核心服務程序各項配置的改變，讓其重新讀取配置，達到讓用戶的配置實時生效的目的。3功能與性能指標3.1功能指標Windows系統登錄保護本部分功能主要對系統的登錄行為進行保護。啟用本功能之前，需要設定一個行為密碼，之后的系統登陸操作需要正確輸入此行為密碼才能進入。行為密碼的構成原子可以是：鼠標手勢、鍵盤按鍵、鼠標左右鍵單擊。本功能支持擁有個多個用戶的終端計算機。登錄之前，先在用戶名框中輸入想登錄的用戶名，然后輸入對應的行為密碼即可登陸。圖9 Windows系統登錄保護設置界面文檔保護本部分功能主要是對系統的文件/目錄進行保護。可以對具體的文件/目錄添加一個讀/寫保護，并設置一個行為密碼。同時，還能設定一個欺騙文檔(可選)。設定之后，任何進程試圖讀/寫該文件/目錄之前都必須通過行為密碼的認證，否則會失敗，對于事先設定好欺騙文檔的文件或目錄，所有的操作都只會對欺騙文檔進行。圖10 文件保護效果圖11 文件欺騙效果關鍵字輸入保護關鍵字輸入保護是擊鍵特征識別的一項具體應用。用戶事先設定一個關鍵字，并進行5次輸入，“啞謎”系統會采集用戶數據，并進行分析。同時，用戶還要設定一個匹配失敗次數閾值，在之后的使用過程中，匹配失敗次數累計超過閾值后，計算機將自動鎖定。設置完畢后，在之后的擊鍵過程中一旦出現設定好的關鍵字，就進行擊鍵特匹配，以智能地保證終端計算機安全。默認的錯誤次數閾值為5，用戶可以設置任何大于0的數作為閾值。圖12 關鍵字輸入保護設置界面安全特性指標.1進程自我保護及隱藏通過Windows底層操作，HOOKSSDT(SystemServiceDescriptorTable,系統服務描述符表)，隱藏進程，同時能夠保護進程不被其他進程非法結束。無法通過任務管理器、tasklist命令查看進程。無法通過任務管理器、taskkill命令、tskill命令、ntsd-cq-p結束進程。.2自身數據安全保證數據存儲安全。通過Windows底層文件過濾驅動保護自身數據的安全，不被非法讀取、修改、刪除。cmd、explorer及一般的第三方應用程序等進程都無法訪問自身配置文件。.3越權訪問保護通過Windows底層文件過濾驅動保護，保證受保護的文件或文件夾在未經授權的情況下不被讀取/寫入/執行。cmd、explorer及一般的第三方應用程序等進程都無法訪問受保護的文件（夾）。.4注冊表關鍵鍵值保護通過Windows底層操作，HOOKSSDT(SystemServiceDescriptorTable,系統服務描述符表)，保護注冊表。Regedit.exe，reg.exe及一般的第三方應用程序等進程都無法訪問受保護的鍵值。這里的注冊表保護并不是全局的注冊表保護，它保護的是“啞謎”系統自身正常運行所需要保護的注冊表項。時間特性指標行為密碼檢測周期10秒，也就是說選擇10秒內的鍵盤鼠標操作序列作為匹配依據。文件解鎖時間可由用戶自己定義，默認為10秒。精度指標行為密碼為順序精確匹配。關鍵字擊鍵特征識別的準確率達95.4%。系統資源占用指標1.內存占用： a.ROAService.exe(啞謎系統核心服務程序)：約為1964K b.ROAConfig.exe(啞謎系統配置程序)：約為5624K2.CPU占用：a.ROAService.exe(啞謎系統核心服務程序)：常駐時占用率為0%，峰值為3%b.ROAConfig.exe(啞謎系統配置程序)：常駐時占用率為0%，峰值為10%4系統特色一、使用計算機終端用戶行為密碼加強系統安全隱藏了輸入提示。行為密碼不像傳統的密碼那樣，有一個明確的密碼輸入提示。行為密碼的輸入是一系列的鍵盤、鼠標操作，夾雜在用戶的正常操作中，“啞謎”系統會實時進行行為密碼的匹配，匹配成功，用戶便獲得相應的權限。在匹配成功后，如果用戶10秒（該時間可由用戶定義）內沒有對文檔進行操作，文檔會自動鎖定。用戶每對文檔進行一次讀寫操作，超時計時器自動重新計時。便于記憶。由于密碼由一系列動作構成，較字符容易記憶。密鑰空間大。原子動作的組合，遠大于字符的組合。不易被木馬和其他間諜軟件記錄。作為行為密碼的鍵盤，鼠標操作，與用戶平常使用電腦時的一些“小動作”別無二致；退一步而言，即使入侵者知道您已經使用行為密碼，也很難弄清楚哪些鍵盤、鼠標操作才是真正的密碼。圖13 行為密碼設定界面二、采用基于關鍵字的擊鍵特征保護技術輔助確認用戶身份通過對計算機終端用戶的擊鍵特征識別輔助確認用戶的身份。這項研究已經非常成熟，從上個世紀70年代開始，研究者們對此進行了大量的研究。目前已有AdmitOneSecurity/Psylock/bioChec等成熟的商業產品。采用這項技術無疑可以增強系統的安全性。三、采用文檔欺騙方式對入侵者進行攻擊對非法入侵者可以設置欺騙文檔進行欺騙。有時候欺騙比拒絕更有意義。當非法用戶訪問文檔時不是拒絕訪問，而是把事先準備好的欺騙文檔提供給他，讓入侵者以為成功得到了文件。四、通過底層驅動隱藏和保護自身進程系統進程自身的安全如果得不到保障，其他的保護都是空談。我們采取了主流殺毒軟件保護自身的方式——HOOKSSDT，從Windows底層驅動對自身進程進行保護，防止被其他進程非法結束。為了增強隱蔽性，我們進一步隱藏了自身進程，使非法程序更難發現我們的蹤跡。5系統測試測試環境操作系統：WindowsXPSP2(32位)內存：DDR6672.00GB網卡：BroadcomNetXtreme57xxGigabitController5.2測試過程描述5.2.1 針對Windows登錄保護模塊的測試1號測試用例測試目的：測試Windows登錄保護模塊能否在本地正常運作預置條件：開啟了Windows登錄保護模塊，并為相應的Windows用戶設定了行為密碼；第一次安裝之后重新啟動計算機。操作描述：1.打開啞謎系統配置界面2.開啟Windows登錄保護3.雙擊用戶列表的中用戶名4.輸入用戶名對應的Windows登陸密碼5.設定行為密碼，行為密碼采用的是：鼠標從9點鐘位置沿順時針方向轉一圈，然后鍵盤按1次F5，然后鼠標從3點鐘位置沿逆時針方向轉一圈6.保存并重新啟動計算機。期望結果：1.Windows重啟后原先的登錄界面被啞謎系統的登錄界面替換2.在用戶名處填寫用戶名，并輸入之前設定的行為密碼之后，成功登錄到Windows。3.鎖定計算機，計算機成功鎖定，喚出啞謎系統登錄界面。4.使用行為密碼能解鎖計算機。測試結果：與期望結果一致2號測試用例測試目的：測試Windows登錄保護模塊能否在遠程登錄時正常運作預置條件：開啟了Windows登錄保護模塊；第一次安裝之后重新啟動計算機；終端計算機開啟了遠程桌面服務。操作描述：行為密碼設定過程同1號測試用例。開啟本機遠程桌面。在另外一臺計算機上登錄本機遠程桌面，并嘗試通過行為密碼登錄。期望結果：1.Windows重啟后，遠程桌面登錄之后看到啞謎系統的登錄界面2.在用戶名處填寫用戶名，并輸入之前設定的行為密碼之后，成功通過遠程桌面登錄到Windows。測試結果：與期望結果一致3號測試用例測試目的：測試Windows登錄保護模塊是否能正常停用預置條件：開啟了Windows登錄保護模塊；第一次安裝之后重新啟動計算機。操作描述3.保存并重新啟動計算機。期望結果：Windows登錄方式變回原先的默認認證方式測試結果：與期望結果一致5.2.2 針對文件保護模塊的測試用例1號測試用例測試目的：測試文件保護模塊是否正正常運作預置條件：無操作描述：1.打開啞謎系統配置界面2.點擊文件保護標簽頁，點擊添加文件（夾）3.雙擊行為密碼網格，為文件（夾）設定解鎖需要的行為密碼4.如果需要設定解鎖時間，雙擊解鎖時間網格，設定解鎖時間5.如果需要設定欺騙文檔，雙擊欺騙文檔網格，設定一個欺騙文檔6.點擊保存。期望結果：1.輸入行為密碼前，文件無法被打開\修改\刪除\執行（對于事先設定欺騙文檔的，所有操作將在欺騙文檔中進行）2.輸入行為密碼之后，在解鎖時間內，文件可以被打開\修改\刪除\執行。3.輸入行為密碼后，在解鎖時間后，文件無法被打開\修改\刪除\執行（對于事先設定欺騙文檔的，所有操作將在欺騙文檔中進行）。測試結果：與期望結果一致2號測試用例測試目的：測試文件保護模塊是否正正常刪除被保護對象預置條件：無操作描述：1.打開啞謎系統配置界面2.點擊文件保護標簽頁，選中對應的文件（夾）3.點擊刪除按鈕以刪除保護4.點擊保存。期望結果：文件（夾）不再受啞謎系統保護，能夠打開\修改\刪除\執行測試結果：與期望結果一致3號測試用例測試目的：測試文件保護模塊是否能正常保護啞謎系統配置程序自身預置條件：無操作描述：1.打開啞謎系統配置界面2.點擊文件保護標簽頁，點擊添加文件，選定啞謎系統安裝目錄下的RoaConfig.exe3.雙擊行為密碼網格，為文件（夾）設定解鎖需要的行為密碼4.如果需要設定解鎖時間，雙擊解鎖時間網格，設定解鎖時間5.如果需要設定欺騙文檔，雙擊欺騙文檔網格，設定一個欺騙文檔6.點擊保存。期望結果：1.輸入行為密碼前，啞謎系統配置程序無法被打開\修改\刪除\執行（對于事先設定欺騙文檔的，所有操作將在欺騙文檔中進行）2.輸入行為密碼之后，在解鎖時間內，啞謎系統配置程序可以被打開\修改\刪除\執行。3.輸入行為密碼后，在解鎖時間后，啞謎系統配置程序無法被打開\修改\刪除\執行（對于事先設定欺騙文檔的，所有操作將在欺騙文檔中進行）。測試結果：與期望結果一致5.2.3 針對擊鍵特征識別模塊的測試用例1號測試用例測試目的：測試關擊鍵特征識別模塊是否正正常運作預置條件：無操作描述擊鍵特征識別標簽頁，啟用擊鍵特征識別保護3.點擊添加關鍵字4.雙擊特征信息網格，重復輸入關鍵字5.設定最大容錯次數，默認為5次6.點擊保存。期望結果：1.非法用戶在特定關鍵字的輸入累計出錯次數達到5次后，Windows自動鎖定2.合法用戶正常使用，不會鎖定。測試結果：與期望結果基本一致在實際測試過程中發現，合法用戶在個別情況下也會因出錯次數達到閾值而被拒絕。2號測試用例測試目的：測試關鍵字能否被刪除預置條件：無操作描述擊鍵特征識別標簽頁，啟用擊鍵特征識別保護3.選中需要刪除的關鍵字4.點擊保存。期望結果：被刪除的關鍵字不再受到保護測試結果：與期望結果一致5.2.4 1號測試用例測試目的：“啞謎”服務進程在常見檢測手段下是否可見預置條件：測試主機安裝了“360安全衛士”軟件操作描述：1.打開“360安全衛士”，選擇“高級”下的“系統進程狀態”，尋找“啞謎”服務進程2.打開Windows任務管理器，尋找“啞謎”服務進程期望結果：“啞謎”“360安全衛士”與Windows任務管理器的列表中測試結果：與期望結果一致2號測試用例測試目的：測試進程常見結束進程手段對“啞謎”服務進程