[发明专利]一种基于内核驱动钩子技术的电子标签数据保护方法

说明书

技术领域

本发明是一种使用Windows内核驱动钩子技术来实现从电子标签（RFID）系统的底层直接截取电子标签读卡器的读卡数据，使得读卡数据跳过在传输层的多次驻留与转换，从而保护电子标签数据的方法。属于物联网与信息安全的交叉领域。

 

背景技术

目前，物联网（The Internet of Things）被人们广泛应用，它可以将人们和身边无数物品联系起来，使物品成为网络中用户的一分子，给人们带来诸多便利。作为物联网核心基础之一的电子标签（RFID）技术因其具有防水防磁、读取距离远、读取速度快、存储容量大、可重复使用等优点，已被广泛应用于交通、物流、医疗、食品安全、零售、制造、海关、安检、机场等领域。可见，电子标签安全直接关系到物联网安全和应用的推广。因此，电子标签技术一直是研究的热点问题。

最基本的电子标签系统主要由作为数据载体的电子标签、读写电子标签数据的读卡器、用于存储、处理电子标签数据的后台数据库三个部分组成。一般情况下，读卡器和后台数据库之间的通信被认为是安全可靠的。关键是电子标签、读卡器的安全。因此，我们把电子标签系统安全问题分为：物理安全、通信安全、数据安全三个方面：

（1）电子标签物理安全:包括电子标签读卡器伪造、电子标签伪造、电子标签冲突问题等。

（2）电子标签通信安全：电子标签使用的是无线通信信道，这就给非法用户的攻击带来了方便。攻击者可以非法截取通信数据；可以通过发射干扰信号来堵塞通信链路，使得读卡器过载，无法接收正常的标签数据，制造DoS攻击；可以冒名顶替向电子标签发送数据，篡改或伪造数据。

（3）电子标签数据安全：电子标签系统中最主要的安全风险是“数据保密性”。信息泄露是指暴露标签发送信息，这个信息包括标签用户或识别对象的相关信息。包括窃取电子标签数据、篡改电子标签数据、往电子标签植入病毒、泄露电子标签数据格式。

Rootkit是安全领域的一个术语，来自root和kit两个单词的组合，其中root是Unix系统中超级用户的名称，拥有系统的最高权限；kit则是工具套件的意思。维基百科中关于Rootkit的定义如下：“Rootkit是攻击者在入侵系统后用来保持对系统的超级用户访问权限，创建后门和隐藏攻击痕迹等常采用的一种技术。Rootkit存在于Linux、Solaris和Windows等各种操作系统上。”钩子技术是Rootkit的一个核心内容。

钩子(Hook)，是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息，而且所监视的窗口可以是其它进程所创建的。当消息到达后，在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理Windows消息或特定事件。钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。一般来说有三种常见的钩子技术：

（1）内联钩子(Inline Hook)：Inline Hook通过硬编码的方式向内核API函数的内存空间（通常是开始的一段字节，但理论上可以在任何位置）写入跳转语句，从而对函数执行流程进行修改，达到控制函数过滤操作的目的，之后只要该API函数被调用，程序就会跳转运行我们的函数。

（2）Ring3下钩子(IAT Hook)：IAT即导入地址表。IAT Hook就是通过修改IAT表中的函数地址而达到API截获的方法。每个被调用的API函数地址都保存在IAT表中。程序中每个被调用的API函数的CALL指令所使用的地址都是相应函数登记在IAT表的地址。所以为了截获API函数，我们只需将IAT表中的地址换成用户自己的API函数地址即可。

（3）Ring0下钩子(SSDT Hook)：SSDT的全称系统服务描述符表，就是一个把Ring3的Win32 API和Ring0的内核API联系起来的表。SSDT并不仅仅只包含一个庞大的地址索引表，它还包含着一些其它有用的信息，诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址可以对常用Windows函数及API进行挂钩，从而实现对一些关心的系统动作进行过滤、监控的目的。因此，修改在SSDT这个数组中保存的系统服务的地址，就可以将这个地址对应保存的服务地址替换掉，将我们自己的钩子处理函数的地址来替换掉原来的地址，这样当每次调用这个地址时就会调用我们自己的这个钩子处理函数了。