1、 - .- -可修編- -. z.隨著網(wǎng)絡(luò)時(shí)代的到來(lái)，互聯(lián)網(wǎng)的觸角已經(jīng)深入到中國(guó)的每一個(gè)角落。在網(wǎng)絡(luò)化的同時(shí)，有關(guān)網(wǎng)絡(luò)信息安全的問(wèn)題也日益突出。絕大多數(shù)的企業(yè)、學(xué)校、政府機(jī)構(gòu)把網(wǎng)的安全重點(diǎn)放在防來(lái)自外部的攻擊，依賴于防火墻、防病毒軟件。然而對(duì)一系列計(jì)算機(jī)犯罪統(tǒng)計(jì)數(shù)字分析的結(jié)果，促使人們更多地關(guān)注來(lái)自部人員的安全威脅。其中計(jì)算機(jī)系統(tǒng)的外部設(shè)備泄密是信息泄露事件發(fā)生的一大重要根源。如今越來(lái)越多的敏感信息、秘密數(shù)據(jù)和檔案資料被存貯在計(jì)算機(jī)里，大量的秘密文件和資料變?yōu)榇判越橘|(zhì)、光學(xué)介質(zhì)，存貯在無(wú)保護(hù)的介質(zhì)里，外設(shè)的泄密隱患相當(dāng)大，部員工可以通過(guò)光驅(qū)、軟驅(qū)、USB等外設(shè)非法拷貝敏感信息和涉密信息，這些行

2、為造成嚴(yán)重的后果和不可彌補(bǔ)的損失。本文旨在對(duì)主機(jī)設(shè)備管理技術(shù)進(jìn)行研究，建立一個(gè)主機(jī)設(shè)備管理系統(tǒng)。該系統(tǒng)具有身份認(rèn)證、在線主機(jī)掃描、主機(jī)設(shè)備監(jiān)控等功能。本文首先分析了現(xiàn)階段主機(jī)設(shè)備管理的研究背景及現(xiàn)狀，然后從需求分析入手，分析了系統(tǒng)的層次結(jié)構(gòu)，接下來(lái)結(jié)合現(xiàn)有的技術(shù)，設(shè)計(jì)了一個(gè)主機(jī)設(shè)備管理系統(tǒng)，最后對(duì)該系統(tǒng)進(jìn)行了實(shí)現(xiàn)和測(cè)試。課題的最終成果為：設(shè)計(jì)了一個(gè)主機(jī)設(shè)備管理模塊，并依據(jù)該模塊實(shí)現(xiàn)了一個(gè)主機(jī)設(shè)備管理系統(tǒng)。實(shí)踐證明，該系統(tǒng)具備良好的實(shí)際應(yīng)用價(jià)值。關(guān)鍵詞：防水墻，主機(jī)設(shè)備管理，網(wǎng)絡(luò)安全，信息安全 - .-. z.AbstractNetwork has been popular in China w

3、hen the network age is ing, but the problem of information security bees more and more serious. Most of enterprises, schools and governments focus on e*ternal attack depending on fireware and anti-virus. While a series of statistic result of puter crime indicates that people should attend the securi

4、ty threat of interior personnel. The one of the reasons of blowing the gaff is the puter device, because more and more sensitive information、private data and archives are saved in the puter, a mass of files and datum are changed into magnetic medium and optical medium so that the possibility of blow

5、ing the gaff is big owing to interior personnel copying information through CD-ROM, floppy drive and USB.In this thesis, the conceptual architecture of such a system was described, and our e*perience with its initial implementation was addressed as well. This system consists of identity authenticati

6、on, on-line puter scan and device management.The achievements of this thesis include the design and implementation of a device management system. The requirement analysis was finished. Also the modules of the system and some key technologies were described. The system was implemented and tested as w

7、ell.In conclusion, the device management system has good performance and we can ensure that the information is not blabed through the device.Key words:WaterBo*, host device management, network security,information security - .-. z.目 錄 TOC o 1-4 h z u HYPERLINK l _Toc137610927第一章引言 PAGEREF _Toc137610

8、927 h 1HYPERLINK l _Toc1376109281.1背景以及國(guó)外現(xiàn)狀 PAGEREF _Toc137610928 h 1HYPERLINK l _Toc1376109291.2主要容 PAGEREF _Toc137610929 h 1HYPERLINK l _Toc1376109301.3論文章節(jié)安排 PAGEREF _Toc137610930 h 1HYPERLINK l _Toc137610931第二章需求分析 PAGEREF _Toc137610931 h 3HYPERLINK l _Toc1376109322.1系統(tǒng)需求 PAGEREF _Toc137610932 h

9、 3HYPERLINK l _Toc1376109332.2功能需求 PAGEREF _Toc137610933 h3HYPERLINK l _Toc1376109342.3性能需求 PAGEREF _Toc137610934 h 4HYPERLINK l _Toc1376109352.4硬件環(huán)境 PAGEREF _Toc137610935 h 5HYPERLINK l _Toc1376109362.5 軟件環(huán)境及開發(fā)環(huán)境 PAGEREF _Toc137610936 h 5HYPERLINK l _Toc1376109372.6 小結(jié) PAGEREF _Toc137610937 h 6HYPE

10、RLINK l _Toc137610938第三章總體設(shè)計(jì) PAGEREF _Toc137610938 h 7HYPERLINK l _Toc1376109393.1 系統(tǒng)總體結(jié)構(gòu)簡(jiǎn)介 PAGEREF _Toc137610939 h 7HYPERLINK l _Toc1376109403.2 子系統(tǒng)總體設(shè)計(jì) PAGEREF _Toc137610940 h 8HYPERLINK l _Toc1376109413.2.1 驗(yàn)證模塊模塊 PAGEREF _Toc137610941 h 9HYPERLINK l _Toc1376109423.2.2 系統(tǒng)主控平臺(tái) PAGEREF _Toc13761094

11、2 h 9HYPERLINK l _Toc1376109433.2.3 掃描在線主機(jī)模塊 PAGEREF _Toc137610943 h 9HYPERLINK l _Toc1376109443.2.4 主機(jī)設(shè)備管理模塊 PAGEREF _Toc137610944 h 10HYPERLINK l _Toc1376109453.3 系統(tǒng)基本處理流程 PAGEREF _Toc137610945 h 10HYPERLINK l _Toc1376109463.3.1 主機(jī)設(shè)備管理系統(tǒng)的數(shù)據(jù)流設(shè)計(jì)6 PAGEREF _Toc137610946 h 10HYPERLINK l _Toc1376109473.

12、3.2 驗(yàn)證模塊的流程圖 PAGEREF _Toc137610947 h 11HYPERLINK l _Toc1376109483.3.3 系統(tǒng)主控平臺(tái)的流程圖 PAGEREF _Toc137610948 h 12HYPERLINK l _Toc1376109493.3.4 在線主機(jī)掃描模塊的流程圖 PAGEREF _Toc137610949 h 13HYPERLINK l _Toc1376109503.3.5 主機(jī)設(shè)備管理模塊的流程圖 PAGEREF _Toc137610950 h 15HYPERLINK l _Toc1376109513.4 小結(jié) PAGEREF _Toc137610951

13、 h 18HYPERLINK l _Toc137610952第四章詳細(xì)設(shè)計(jì) PAGEREF _Toc137610952 h 19HYPERLINK l _Toc1376109534.1 權(quán)限驗(yàn)證模塊 PAGEREF _Toc137610953 h 19HYPERLINK l _Toc1376109544.1.1 權(quán)限驗(yàn)證IPO圖 PAGEREF _Toc137610954 h 19HYPERLINK l _Toc1376109554.1.2 權(quán)限驗(yàn)證模塊的界面設(shè)計(jì) PAGEREF _Toc137610955 h 19HYPERLINK l _Toc1376109564.1.3 權(quán)限驗(yàn)證模塊的實(shí)

14、現(xiàn) PAGEREF _Toc137610956 h 20HYPERLINK l _Toc1376109574.2 系統(tǒng)主控平臺(tái) PAGEREF _Toc137610957 h 21HYPERLINK l _Toc1376109584.2.1 主控平臺(tái)界面設(shè)計(jì) PAGEREF _Toc137610958 h 21HYPERLINK l _Toc1376109594.2.2 主控平臺(tái)的實(shí)現(xiàn) PAGEREF _Toc137610959 h 21HYPERLINK l _Toc1376109604.3 基于UDP的網(wǎng)段掃描模塊7 PAGEREF _Toc137610960 h 22HYPERLINK

15、l _Toc1376109614.3.1 設(shè)計(jì)思路 PAGEREF _Toc137610961 h 22HYPERLINK l _Toc1376109624.3.2 編程原理 PAGEREF _Toc137610962 h 22HYPERLINK l _Toc137610963 UDP與TCP簡(jiǎn)介 PAGEREF _Toc137610963 h 22HYPERLINK l _Toc137610964 Csocket類中的UDP相關(guān)函數(shù) PAGEREF _Toc137610964 h 23HYPERLINK l _Toc137610965 事件函數(shù)和線程創(chuàng)建函數(shù) PAGEREF _Toc1376

16、10965 h 25HYPERLINK l _Toc1376109664.3.3 實(shí)例祥解 PAGEREF _Toc137610966 h 26HYPERLINK l _Toc137610967 初始化例程 PAGEREF _Toc137610967 h 26HYPERLINK l _Toc137610968 啟動(dòng)掃描 PAGEREF _Toc137610968 h 27HYPERLINK l _Toc137610969 掃描線程 PAGEREF _Toc137610969 h 27HYPERLINK l _Toc137610970 獲得掃描結(jié)果 PAGEREF _Toc137610970 h

17、 28HYPERLINK l _Toc137610971 保存掃描結(jié)果 PAGEREF _Toc137610971 h 28HYPERLINK l _Toc137610972 雙擊動(dòng)作 PAGEREF _Toc137610972 h 29HYPERLINK l _Toc137610973 退出掃描 PAGEREF _Toc137610973 h 30HYPERLINK l _Toc1376109744.4 主機(jī)設(shè)備的管理 PAGEREF _Toc137610974 h 30HYPERLINK l _Toc1376109754.4.1 概述 PAGEREF _Toc137610975 h 30H

18、YPERLINK l _Toc137610976 對(duì)于控制光驅(qū)接口,我們可以通過(guò)若干方法來(lái)實(shí)現(xiàn)2 PAGEREF _Toc137610976 h 30HYPERLINK l _Toc137610977 對(duì)于控制USB接口,我們可以通過(guò)若干方法來(lái)實(shí)現(xiàn)3 PAGEREF _Toc137610977 h 33HYPERLINK l _Toc137610978 其他設(shè)備的管理 PAGEREF _Toc137610978 h35HYPERLINK l _Toc1376109794.4.2 Client/Server模式 PAGEREF _Toc137610979 h 35HYPERLINK l _Toc

19、137610980 概述 PAGEREF _Toc137610980 h 35HYPERLINK l _Toc137610981 套接字調(diào)用的流程 PAGEREF _Toc137610981 h 36HYPERLINK l _Toc137610982 Winsock編程原理 PAGEREF _Toc137610982 h 40HYPERLINK l _Toc137610983 系統(tǒng)中C/S模式的實(shí)現(xiàn) PAGEREF _Toc137610983 h 45HYPERLINK l _Toc1376109844.4.3 控制主機(jī)設(shè)備的關(guān)鍵技術(shù) PAGEREF _Toc137610984 h 50HYP

20、ERLINK l _Toc137610985 簡(jiǎn)述DDK4 PAGEREF _Toc137610985 h 50HYPERLINK l _Toc137610986 主機(jī)設(shè)備控制的實(shí)現(xiàn) PAGEREF _Toc137610986 h 50HYPERLINK l _Toc1376109874.5 小結(jié) PAGEREF _Toc137610987 h 55HYPERLINK l _Toc137610988第五章測(cè)試 PAGEREF _Toc137610988 h 56HYPERLINK l _Toc1376109895.1 系統(tǒng)集成測(cè)試 PAGEREF _Toc137610989 h 56HYPER

21、LINK l _Toc1376109905.2 主機(jī)設(shè)備模塊測(cè)試 PAGEREF _Toc137610990 h 57HYPERLINK l _Toc1376109915.2.1 測(cè)試環(huán)境 PAGEREF _Toc137610991 h 57HYPERLINK l _Toc1376109925.2.2 功能測(cè)試 PAGEREF _Toc137610992 h 58HYPERLINK l _Toc1376109935.2.3 性能測(cè)試 PAGEREF _Toc137610993 h 58HYPERLINK l _Toc1376109945.3 小結(jié) PAGEREF _Toc137610994 h

22、 59HYPERLINK l _Toc137610995第六章結(jié)論及展望 PAGEREF _Toc137610995 h 60HYPERLINK l _Toc137610996參考文獻(xiàn) PAGEREF _Toc137610996 h 61HYPERLINK l _Toc137610997致 PAGEREF _Toc137610997 h 63HYPERLINK l _Toc137610998外文資料原文 PAGEREF _Toc137610998 h 65HYPERLINK l _Toc137610999翻譯文稿 PAGEREF _Toc137610999 h 67 - .-. z.第一章 引

23、 言1.1背景以及國(guó)外現(xiàn)狀本課題來(lái)源于省青年軟件創(chuàng)新工程資助項(xiàng)目WaterBo*防水墻系統(tǒng)”的子系統(tǒng)WaterBo*防水墻系統(tǒng)的主機(jī)設(shè)備管理，項(xiàng)目編號(hào)為621。WaterBo*是由Water”和Bo*”組成的合成詞，Water”得名于安全技術(shù)的一個(gè)名詞，它的意思和防火墻剛好相反，傳達(dá)出阻止外流的意思，Bo*”這個(gè)詞則是象征性地表達(dá)了安全的意義，整個(gè)詞意是為了防止部信息未經(jīng)授權(quán)的泄露。我們知道，防火墻、IDS 和漏洞掃描僅僅解決了網(wǎng)安全理論的一個(gè)方面，但不能解決部用戶攻擊和威脅?；诰W(wǎng)安全理論的防水墻Waterbo*，將會(huì)給出了政府、民營(yíng)企業(yè)的網(wǎng)安全解決方案。在國(guó)外，spectore、Vontu

24、 Protect、employee-monitor的用途是提高員工工作效率，對(duì)員工的工作行為進(jìn)行約束，這些產(chǎn)品的功能主要是通過(guò)網(wǎng)絡(luò)途徑來(lái)實(shí)現(xiàn)的。如：Email、Web、Web mail、Chat、Install Messaging、FTP、Telnet、POP、IMAP、P2P、SMB等方式。在國(guó)，也有一些公司做出了關(guān)于網(wǎng)安全的產(chǎn)品，比如中軟的WaterBo*、衛(wèi)士通的一key通等?？傊?，從目前國(guó)外研究現(xiàn)狀來(lái)看，還沒(méi)有一個(gè)完整有效的網(wǎng)安全解決方案，缺乏系統(tǒng)有效的網(wǎng)安全產(chǎn)品。1.2主要容作為WaterBo*防水墻系統(tǒng)的一個(gè)子系統(tǒng)主機(jī)設(shè)備管理”，其主要功能就是通過(guò)實(shí)現(xiàn)對(duì)光驅(qū)、軟驅(qū)、USB、口、打印

25、機(jī)等外設(shè)的監(jiān)控和管理，防止部用戶通過(guò)計(jì)算機(jī)或者計(jì)算機(jī)網(wǎng)絡(luò)的外部設(shè)備或終端設(shè)備將組織部的秘密信息有意識(shí)或無(wú)意識(shí)泄漏出去，堵住任何一個(gè)可能泄漏的途徑，保證信息能夠安全可靠地保存和管理，從而最大限度地降低信息泄密的風(fēng)險(xiǎn)。1.3論文章節(jié)安排第一章 闡述課題背景、國(guó)外發(fā)展現(xiàn)狀、主要容以及論文的章節(jié)安排。第二章 簡(jiǎn)單論述了系統(tǒng)的需求分析以及系統(tǒng)開發(fā)所需的環(huán)境，包括系統(tǒng)需求、功能需求和性能需求以及硬件環(huán)境、軟件環(huán)境和開發(fā)環(huán)境。第三章 在分析系統(tǒng)總體結(jié)構(gòu)的基礎(chǔ)上，討論了主機(jī)設(shè)備管理子系統(tǒng)的總體設(shè)計(jì)。第四章 實(shí)現(xiàn)了主機(jī)設(shè)備管理系統(tǒng)。具體是各個(gè)模塊的設(shè)計(jì)和實(shí)現(xiàn)，包括權(quán)限驗(yàn)證模塊、系統(tǒng)主控平臺(tái)、掃描在線主機(jī)模塊以及

26、主機(jī)設(shè)備管理模塊。第五章 介紹了WaterBo*系統(tǒng)的測(cè)試方法以及主機(jī)設(shè)備管理系統(tǒng)的測(cè)試環(huán)境、測(cè)試方法和具體的測(cè)試結(jié)果。第六章 對(duì)全文和本人的工作做了總結(jié)，提出了未來(lái)的研究方向。-. z.第二章 需求分析本章簡(jiǎn)要介紹了系統(tǒng)的需求分析以及系統(tǒng)開發(fā)所需的環(huán)境。首先是需求分析，包括系統(tǒng)需求、功能需求和性能需求，接下來(lái)介紹了系統(tǒng)開發(fā)所需的環(huán)境，包括硬件環(huán)境、軟件環(huán)境以及開發(fā)環(huán)境。2.1系統(tǒng)需求WaterBo*防水墻系統(tǒng)主要分為數(shù)據(jù)分析與查詢子系統(tǒng)、網(wǎng)監(jiān)管子系統(tǒng)、進(jìn)程監(jiān)控子系統(tǒng)、認(rèn)證與加密子系統(tǒng)、主機(jī)設(shè)備監(jiān)管子系統(tǒng)。其中主機(jī)設(shè)備監(jiān)管子系統(tǒng)開發(fā)時(shí)應(yīng)考慮以下需求：能夠保證系統(tǒng)的安全，防止非管理員非法使用該系

27、統(tǒng)；能夠獲得當(dāng)前在線主機(jī)，并對(duì)其實(shí)現(xiàn)監(jiān)管；滿足對(duì)目標(biāo)網(wǎng)用戶主機(jī)的CD-ROM、USB、1394接口等設(shè)備的禁用；滿足網(wǎng)用戶在授權(quán)的情況下合法使用主機(jī)的CD-ROM、USB、網(wǎng)卡接口等設(shè)備。2.2功能需求基于對(duì)主機(jī)設(shè)備監(jiān)管子系統(tǒng)的系統(tǒng)需求，該系統(tǒng)需要實(shí)現(xiàn)一下基本功能:身份認(rèn)證：管理系統(tǒng)操作人員，設(shè)計(jì)管理員口令和權(quán)限。由于WaterBo*防水墻系統(tǒng)是一款保護(hù)用戶敏感信息不被非法泄露的系統(tǒng)，只有系統(tǒng)管理員才有權(quán)限使用其來(lái)監(jiān)控網(wǎng)的安全，所以只有輸入合法的防水墻用戶名和口令才可以登錄該系統(tǒng)。由于該功能不是系統(tǒng)的主要功能，所以暫時(shí)只有簡(jiǎn)單的身份認(rèn)證，還沒(méi)有添加用戶、修改密碼等功能。掃描在線主機(jī)：Water

28、Bo*防水墻系統(tǒng)是一款對(duì)局域網(wǎng)中的合法機(jī)器或非法機(jī)器進(jìn)行監(jiān)控的系統(tǒng)，我們需要知道實(shí)時(shí)監(jiān)控時(shí)局域網(wǎng)中的客戶機(jī)是否在線，只有客戶機(jī)在線才能對(duì)其進(jìn)行管理。當(dāng)前掃描方法有多種，包括基于TCP的掃描、基于UDP的掃描、基于ICMP的掃描等等，但是在掃描在線主機(jī)這個(gè)模塊中，我們主要利用UDP協(xié)議的掃描技術(shù)來(lái)得到*一網(wǎng)段所有在線主機(jī)的IP、機(jī)器名、工作組、用戶名以及MAC地址，因?yàn)榇四K希望快速得到同網(wǎng)段機(jī)器的信息，而并不是需要特別可靠的連接確認(rèn)機(jī)制,故采用UDP來(lái)實(shí)現(xiàn)。軟驅(qū)的禁用/啟動(dòng)：計(jì)算機(jī)系統(tǒng)的外部設(shè)備泄密是信息泄露事件發(fā)生的一大重要根源。作為外設(shè)之一的軟驅(qū)，部人員完全可以憑借軟盤將信息拷走，造成一定

29、的損失，所以WaterBo*防水墻系統(tǒng)中要實(shí)現(xiàn)這個(gè)功能，即對(duì)軟驅(qū)能夠?qū)崿F(xiàn)控制，在授權(quán)的情況下客戶可以使用，否則禁止用戶使用。CD-ROM的禁用/啟動(dòng)：計(jì)算機(jī)系統(tǒng)的外部設(shè)備泄密是信息泄露事件發(fā)生的一大重要根源。作為外設(shè)之一的CD-ROM，部人員完全可以憑借可察寫光盤將信息拷走，造成一定的損失，所以WaterBo*防水墻系統(tǒng)中要實(shí)現(xiàn)這個(gè)功能，即對(duì)CD-ROM能夠?qū)崿F(xiàn)控制，在授權(quán)的情況下客戶可以使用，否則禁止用戶使用。USB設(shè)備的禁用/啟動(dòng)：部用戶還可以通過(guò)計(jì)算機(jī)的USB移動(dòng)存儲(chǔ)器將敏感信息和重要資料拷貝出去。為防止這種情況的發(fā)生，WaterBo*需要對(duì)計(jì)算機(jī)的USB接口進(jìn)行管理。部用戶還可以對(duì)個(gè)人

30、用戶數(shù)據(jù)加密，整個(gè)網(wǎng)的數(shù)據(jù)需有一定的訪問(wèn)控制策略，重要信息也要加密。網(wǎng)卡的禁用/啟動(dòng)：網(wǎng)絡(luò)是信息泄漏事件發(fā)生的又一根源，部員工可以通過(guò)網(wǎng)絡(luò)，包括、BBS等將信息泄漏出去。盡管WaterBo*防水墻系統(tǒng)有專門的模塊實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)控、的還原和網(wǎng)頁(yè)的還原，但是仍然需要對(duì)網(wǎng)卡進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)用戶通過(guò)網(wǎng)絡(luò)進(jìn)行非法操作，就實(shí)行禁用網(wǎng)卡，最大限度地降低信息泄密的風(fēng)險(xiǎn)。其他外設(shè)的禁用/啟動(dòng)：計(jì)算機(jī)系統(tǒng)的外部設(shè)備泄密是信息泄露事件發(fā)生的一大重要根源。通過(guò)主機(jī)的其他設(shè)備，比如口、打印機(jī)等等，部人員完全可以泄漏部的重要信息，造成一定的損失，所以WaterBo*防水墻系統(tǒng)中要實(shí)現(xiàn)這個(gè)功能，即對(duì)其他外設(shè)能夠?qū)崿F(xiàn)控制，

31、在授權(quán)的情況下客戶可以使用，否則禁止用戶使用。2.3性能需求主機(jī)設(shè)備管理系統(tǒng)的優(yōu)點(diǎn)是能夠掃描在線主機(jī)，并對(duì)主機(jī)設(shè)備進(jìn)行監(jiān)控，其主要性能指標(biāo)如下：掃描在線主機(jī)性能規(guī)定能夠掃描在線主機(jī)，在主機(jī)臺(tái)數(shù)為4的情況下時(shí)間不高于1s；誤報(bào)率不高于1%；軟驅(qū)的禁用/啟用時(shí)間不超過(guò)3s；光驅(qū)的禁用/啟用時(shí)間不超過(guò)20s；USB的禁用/啟用時(shí)間不超過(guò)20s；網(wǎng)卡的禁用/啟用時(shí)間不超過(guò)20s；口的禁用/啟用時(shí)間不超過(guò)20s；打印機(jī)的禁用/啟用時(shí)間不超過(guò)20s。2.4硬件環(huán)境在最低配置的情況下，系統(tǒng)的性能往往不盡如人意，現(xiàn)在的硬件性能已經(jīng)相當(dāng)出色，而且價(jià)格也非常便宜，因此通常給系統(tǒng)配置高性能硬件，包括CPU、存、硬盤

32、等。如表2-1所示：表2-1系統(tǒng)的硬件環(huán)境機(jī)器型號(hào)應(yīng)用名稱數(shù)量硬件配置PC SERVER數(shù)據(jù)庫(kù)服務(wù)器11個(gè)CPU，512M存，80G硬盤PC系統(tǒng)管理員機(jī)器11個(gè)CPU，512M存PC客戶端機(jī)器若干1個(gè)CPU，256M存2.5 軟件環(huán)境及開發(fā)環(huán)境WaterBo*防水墻系統(tǒng)由數(shù)據(jù)庫(kù)服務(wù)器、系統(tǒng)管理員機(jī)器、客戶端機(jī)器組成，操作系統(tǒng)為microsoft的Windows，包括Windows server 2000和Windows *P，數(shù)據(jù)庫(kù)是Microsoft SQL Server 2000。如表2-2所示：表2-2系統(tǒng)的軟件環(huán)境應(yīng)用服務(wù)器操作系統(tǒng)其它軟件及版本數(shù)據(jù)庫(kù)服務(wù)器Windows server

33、 2000Microsoft SQL Server 2000系統(tǒng)管理員機(jī)器WindowsMicrosoft SQL Server 2000客戶端機(jī)器WindowsMicrosoft SQL Server 2000為了統(tǒng)一開發(fā)平臺(tái)、開發(fā)語(yǔ)言，整個(gè)項(xiàng)目組統(tǒng)一在Windows *P使用Visual C+ 6.0作為界面開發(fā)，底層用純C開發(fā)，數(shù)據(jù)庫(kù)為Microsoft SQL Server 2000。如表2-3所示。表2-3系統(tǒng)的開發(fā)環(huán)境開發(fā)平臺(tái)Windows *P開發(fā)語(yǔ)言Visual C+ 6.0、C、WinDDK、MSDN數(shù)據(jù)庫(kù)管理系統(tǒng)Microsoft SQL Server 20002.6 小結(jié)

34、本章首先介紹了一下系統(tǒng)的需求，然后簡(jiǎn)述了系統(tǒng)的功能需求、性能需求，最后概述了系統(tǒng)的硬件環(huán)境、軟件環(huán)境以及開發(fā)環(huán)境。下一章將介紹主機(jī)設(shè)備管理系統(tǒng)的總體設(shè)計(jì)，包括系統(tǒng)總體結(jié)構(gòu)簡(jiǎn)介、子系統(tǒng)總體設(shè)計(jì)和基本設(shè)計(jì)概念即處理流程。-. z.第三章 總體設(shè)計(jì)本章在分析系統(tǒng)總體結(jié)構(gòu)的基礎(chǔ)上，討論了主機(jī)設(shè)備管理子系統(tǒng)的總體設(shè)計(jì)。然后根據(jù)第二章的功能需求，并結(jié)合實(shí)際的需求，設(shè)計(jì)了一個(gè)使用的主機(jī)設(shè)備管理系統(tǒng)，對(duì)該系統(tǒng)的各個(gè)模塊作了闡述和說(shuō)明，同時(shí)介紹了系統(tǒng)的處理流程。3.1 系統(tǒng)總體結(jié)構(gòu)簡(jiǎn)介首先介紹一下整個(gè)WaterBo*系統(tǒng)。WaterBo*系統(tǒng)是網(wǎng)絡(luò)監(jiān)控模塊、非法接入模塊、主機(jī)設(shè)備管理模塊、系統(tǒng)監(jiān)控模塊，其中網(wǎng)絡(luò)

35、監(jiān)控模塊主要是對(duì)網(wǎng)通過(guò)網(wǎng)關(guān)或代理服務(wù)器流向Internet的數(shù)據(jù)包，系統(tǒng)進(jìn)行全面的截取、解析和過(guò)濾，系統(tǒng)按照網(wǎng)絡(luò)協(xié)議劃分，將部分?jǐn)?shù)據(jù)包保存記錄在數(shù)據(jù)庫(kù)中，以便管理人員察看同時(shí)系統(tǒng)需要還原和文件；非法接入模塊對(duì)網(wǎng)中未經(jīng)授權(quán)的主機(jī)進(jìn)行隔離，阻止它與其他主機(jī)的通，網(wǎng)中的每臺(tái)主機(jī)實(shí)時(shí)監(jiān)測(cè)與本機(jī)通信的其他主機(jī)的信息，發(fā)出身份認(rèn)證請(qǐng)求，然后將非法主機(jī)的信息報(bào)告給系統(tǒng)管理服務(wù)器做后續(xù)處理；主機(jī)設(shè)備管理模塊對(duì)主機(jī)的CD-ROM、USB、口等設(shè)備進(jìn)行管，網(wǎng)中的用戶在管理員授權(quán)的情況下才能使用這些設(shè)備；系統(tǒng)監(jiān)控模塊包括管理模塊、通信模塊和進(jìn)程監(jiān)控模塊。系統(tǒng)總體結(jié)構(gòu)圖如圖3-1所示：網(wǎng)絡(luò)監(jiān)控模塊非法接入模塊設(shè)備管理

36、模塊系統(tǒng)監(jiān)控模塊截獲、解析模塊數(shù)據(jù)庫(kù)管理模塊驗(yàn)證模塊通信模塊通信管理模塊過(guò)濾模塊還原、記錄模塊設(shè)備管理模塊硬件接口模塊進(jìn)程監(jiān)控模塊通信模塊通信模塊管理模塊公共出錯(cuò)信息處理模塊圖3-1系統(tǒng)總體結(jié)構(gòu)圖如上圖所示，系統(tǒng)管理實(shí)現(xiàn)方式為應(yīng)用程序，安裝在管理員計(jì)算機(jī)上。完成系統(tǒng)初始化、數(shù)據(jù)包監(jiān)控模塊管理、合發(fā)計(jì)算機(jī)信息表管理、遠(yuǎn)程主機(jī)設(shè)備啟用認(rèn)證、日志記錄功能。數(shù)據(jù)包監(jiān)控模塊管理調(diào)用數(shù)據(jù)庫(kù)管理實(shí)現(xiàn)管理員對(duì)數(shù)據(jù)包、文件、記錄的查看等功能。合法計(jì)算機(jī)信息表管理調(diào)用數(shù)據(jù)庫(kù)管理實(shí)現(xiàn)對(duì)信息表的增、刪、改、查等功能。同時(shí)作為整個(gè)系統(tǒng)的通信平臺(tái)的服務(wù)端完成通信規(guī)中定義的通信容。3.2 子系統(tǒng)總體設(shè)計(jì)本人主要負(fù)責(zé)主機(jī)設(shè)備

37、管理模塊，主要對(duì)主機(jī)的CD-ROM、USB、口等設(shè)備進(jìn)行管，網(wǎng)中的用戶在管理員授權(quán)的情況下才能使用這些設(shè)備。其中管理員交互界面在系統(tǒng)的顯示層，設(shè)備管理以及C/S通信在系統(tǒng)的處理層，系統(tǒng)與機(jī)器的接口在系統(tǒng)層。根據(jù)第二章的功能需求，主機(jī)設(shè)備管理系統(tǒng)的總體結(jié)構(gòu)比較簡(jiǎn)單，共分為驗(yàn)證模塊、系統(tǒng)主控模塊、掃描在線主機(jī)模塊和主機(jī)設(shè)備管理模塊等。根據(jù)主機(jī)設(shè)備管理的基本要求，我們?cè)O(shè)計(jì)了一個(gè)系統(tǒng)總體結(jié)構(gòu)，如圖3-2所示：主機(jī)設(shè)備管理界面系統(tǒng)接口公共出錯(cuò)信息處理模塊顯示層系統(tǒng)層處理層客戶端設(shè)備管理與客戶端通信USBCD-ROM軟驅(qū)本地驗(yàn)證遠(yuǎn)程驗(yàn)證掃描在線主機(jī)界面系統(tǒng)主控平臺(tái)界面驗(yàn)證模塊界面圖3-2主機(jī)設(shè)備管理總體結(jié)

38、構(gòu)圖如上圖所示，系統(tǒng)基本的流程是：管理員登陸-系統(tǒng)主控平臺(tái)界面-掃描在線主機(jī)-選擇對(duì)主機(jī)設(shè)備的禁用或啟用。下面將詳細(xì)闡述主機(jī)設(shè)備管理總體結(jié)構(gòu)。3.2.1 驗(yàn)證模塊模塊此模塊主要用于限制非法人員操作系統(tǒng)。由于WaterBo*防水墻系統(tǒng)是一款保護(hù)用戶敏感信息不被非法泄露的系統(tǒng)，只有系統(tǒng)管理員才有權(quán)限使用其來(lái)監(jiān)控網(wǎng)的安全，所以只有輸入合法的防水墻用戶名和口令才可以登錄該系統(tǒng)。3.2.2 系統(tǒng)主控平臺(tái)此模塊主要是界面的顯示，主要功能包括：?jiǎn)?dòng)掃描在線主機(jī)；啟動(dòng)主機(jī)設(shè)備管理；充分考慮界面易于操作的系統(tǒng)需求，主控制平臺(tái)使用簡(jiǎn)單和直觀的布局設(shè)計(jì)，提供菜單和工具欄兩種操作方式，其中下拉菜單和工具欄是一一對(duì)應(yīng)關(guān)

39、系。而且該界面還具有向后兼容的特點(diǎn)，并為整個(gè)WaterBo*防水墻系統(tǒng)其他子系統(tǒng)提供了接口，包括非法外聯(lián)子系統(tǒng)、通信子系統(tǒng)、網(wǎng)絡(luò)監(jiān)控子系統(tǒng)，為系統(tǒng)的集成打下了良好的基礎(chǔ)。3.2.3 掃描在線主機(jī)模塊此模塊主要掃描在線主機(jī)，并對(duì)在線主機(jī)準(zhǔn)備監(jiān)控。當(dāng)前掃描方法有多種，包括基于TCP的掃描、基于UDP的掃描、基于ICMP的掃描等等，但是由于此模塊希望快速得到同網(wǎng)段機(jī)器的信息，而并不需要特別可靠的連接確認(rèn)機(jī)制在掃描在線主機(jī)這個(gè)模塊中，所以我們就選擇了UDP協(xié)議的掃描技術(shù)來(lái)得到*一網(wǎng)段所有在線主機(jī)的IP、機(jī)器名、工作組、用戶名以及MAC地址。而且該模塊是基于對(duì)話框的，所以需要添加必要的控件。首先要有IP

40、地址控件，用來(lái)輸入搜索的IP圍；還應(yīng)有List Bo*控件，用來(lái)顯示已經(jīng)查詢的IP情況；中間的是List Control控件，用來(lái)顯示對(duì)應(yīng)每個(gè)IP的機(jī)器信息，從左到右分別顯示IP地址、工作組、機(jī)器名、用戶名和Mac地址。在這個(gè)模塊中，主要由初始化例程、啟動(dòng)掃描、掃描線程、掃描結(jié)果、雙擊動(dòng)作、退出掃描等部分組成。在初始化例程中，主要將一些信息初始化，然后在啟動(dòng)掃描過(guò)程中創(chuàng)建掃描線程，并把掃描結(jié)果顯示在列表框中，最后退出掃描，同時(shí)雙擊動(dòng)作可以引出主機(jī)設(shè)備管理界面。3.2.4 主機(jī)設(shè)備管理模塊此模塊主要實(shí)現(xiàn)對(duì)主機(jī)設(shè)備的監(jiān)控，控制其是啟用還是禁用。當(dāng)前幾乎所有企業(yè)對(duì)于網(wǎng)絡(luò)安全的重視程度一下子提高了，紛

41、紛采購(gòu)防火墻等設(shè)備希望堵住來(lái)自Internet的不安全因素。然而，Intranet部的攻擊和入侵卻依然猖狂。事實(shí)證明，公司部的不安全因素遠(yuǎn)比外部的危害更恐怖，尤其是通過(guò)主機(jī)外設(shè)泄漏。大多企業(yè)重視提高企業(yè)網(wǎng)的邊界安全，但是大多數(shù)企業(yè)網(wǎng)絡(luò)的核心網(wǎng)還是非常脆弱的。企業(yè)也對(duì)部網(wǎng)絡(luò)實(shí)施了相應(yīng)保護(hù)措施，如安裝動(dòng)輒數(shù)萬(wàn)甚至數(shù)十萬(wàn)的網(wǎng)絡(luò)防火墻、入侵檢測(cè)軟件等，并希望以此實(shí)現(xiàn)網(wǎng)與Internet的安全隔離，然而，情況并非如此!企業(yè)中經(jīng)常會(huì)有人私自通過(guò)光驅(qū)、軟驅(qū)、USB等偷竊信息及資料，而這些機(jī)器通常又置于企業(yè)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來(lái)了巨大的潛在威脅，從*種意義來(lái)講，企業(yè)耗費(fèi)巨資配備的防火墻已失去意義。

42、實(shí)踐證明，很多成功防企業(yè)網(wǎng)邊界安全的技術(shù)對(duì)保護(hù)企業(yè)網(wǎng)卻沒(méi)有效用。于是網(wǎng)絡(luò)維護(hù)者開始大規(guī)模致力于增強(qiáng)網(wǎng)的防衛(wèi)能力。當(dāng)前有多種方法可以禁用主機(jī)設(shè)備，包括在注冊(cè)表里修改選項(xiàng)、在BIOS中修改等等，但是都有一定的缺陷。我選擇了通過(guò)調(diào)用DDK函數(shù)控制設(shè)備使用，采用服務(wù)器/客戶端模式來(lái)共同來(lái)完成一個(gè)應(yīng)用任務(wù)，即主機(jī)設(shè)備管理。這種方法在*種程度上能夠有效的控制部員工對(duì)主機(jī)設(shè)備的訪問(wèn)，并且能夠?qū)徲?jì)追蹤，一旦出現(xiàn)事故將追究相關(guān)人士的責(zé)任，包括刑事責(zé)任。3.3 系統(tǒng)基本處理流程在本節(jié)，首先簡(jiǎn)單介紹一下主機(jī)設(shè)備管理系統(tǒng)的數(shù)據(jù)流設(shè)計(jì)，然后再分模塊詳細(xì)闡述各模塊的基本處理流程。3.3.1 主機(jī)設(shè)備管理系統(tǒng)的數(shù)據(jù)流設(shè)計(jì)6

43、數(shù)據(jù)流是軟件工程中的概念，它表示處于運(yùn)動(dòng)中的數(shù)據(jù)。數(shù)據(jù)流和數(shù)據(jù)流圖是無(wú)法分割的，軟件工程中利用數(shù)據(jù)流土描述系統(tǒng)的邏輯模型，任何軟件都可以用數(shù)據(jù)流圖表示。畫數(shù)據(jù)流圖的基本目的是利用它作為交流信息的工具，它通過(guò)簡(jiǎn)單的圖形符號(hào)描述數(shù)據(jù)的運(yùn)動(dòng)情況，圖中*一任何具體的物理元素，只是描繪信息在系統(tǒng)中流動(dòng)和處理的情況。特別要注意程序框圖和數(shù)據(jù)流圖的區(qū)別：程序框圖是從對(duì)數(shù)據(jù)進(jìn)行加工的角度描述系統(tǒng)的，其箭頭是控制流，表示的是對(duì)數(shù)據(jù)進(jìn)行加工的次序，它用于描述怎樣解決問(wèn)題；而數(shù)據(jù)流圖則是從數(shù)據(jù)的角度來(lái)描述系統(tǒng)的，其箭頭是數(shù)據(jù)流，表示的是數(shù)據(jù)的流動(dòng)方向，它用于描述是什么問(wèn)題。主機(jī)設(shè)備管理系統(tǒng)的數(shù)據(jù)流如圖3-3所示：服

44、務(wù)器上層應(yīng)用程序客戶端上層應(yīng)用程序服務(wù)器網(wǎng)絡(luò)層客戶端網(wǎng)絡(luò)層監(jiān)控外設(shè)Udp數(shù)據(jù)控制信息規(guī)則庫(kù)響應(yīng)信息圖3-3 主機(jī)設(shè)備管理系統(tǒng)數(shù)據(jù)流程示意圖從圖3-3中我們可以得知，數(shù)據(jù)的主要流動(dòng)為以下幾個(gè)方面。服務(wù)器向指定圍的IP發(fā)數(shù)據(jù)，首先它向一個(gè)IP發(fā)數(shù)據(jù)，然后等待響應(yīng)。收到響應(yīng)后，繼續(xù)對(duì)下一個(gè)IP發(fā)數(shù)據(jù)，如此循環(huán)?？蛻舳耸盏椒?wù)器的數(shù)據(jù)后，將響應(yīng)信息發(fā)回服務(wù)器。服務(wù)器從響應(yīng)信息中取出對(duì)應(yīng)的機(jī)器工作組、機(jī)器名、用戶名、MAC地址并顯示出來(lái)。服務(wù)器根據(jù)掃描結(jié)果，將控制主機(jī)設(shè)備的控制信息發(fā)給在線主機(jī)?？蛻舳耸盏叫畔⒑?，匹配規(guī)則庫(kù)，做出相應(yīng)的動(dòng)作。3.3.2 驗(yàn)證模塊的流程圖驗(yàn)證模塊主要用于限制非法人員操作系統(tǒng)

45、。由于WaterBo*防水墻系統(tǒng)是一款保護(hù)用戶敏感信息不被非法泄露的系統(tǒng)，只有系統(tǒng)管理員才有權(quán)限使用其來(lái)監(jiān)控網(wǎng)的安全，所以只有輸入合法的防水墻用戶名和口令才可以登錄該系統(tǒng)。該模塊的流程圖如圖3-4所示：圖3-4 驗(yàn)證模塊過(guò)程示意圖如上圖所示,當(dāng)進(jìn)入主機(jī)設(shè)備管理系統(tǒng)時(shí),需要對(duì)用戶的身份進(jìn)行驗(yàn)證。若用戶名和密碼一致，則進(jìn)入系統(tǒng)主控平臺(tái)，否則返回驗(yàn)證模塊。3.3.3 系統(tǒng)主控平臺(tái)的流程圖系統(tǒng)主控平臺(tái)主要用于系統(tǒng)界面的顯示，以及用來(lái)啟動(dòng)掃描在線主機(jī)和啟動(dòng)主機(jī)設(shè)備管理。另外，該平臺(tái)還是WaterBo*防水墻系統(tǒng)中其它子系統(tǒng)包括網(wǎng)絡(luò)監(jiān)控子系統(tǒng)、非法接入子系統(tǒng)、系統(tǒng)監(jiān)控子系統(tǒng)等的系統(tǒng)接口，保持了很好的擴(kuò)展及

46、兼容。所以充分考慮界面易于操作的系統(tǒng)需求，主控制平臺(tái)使用簡(jiǎn)單和直觀的布局設(shè)計(jì)，提供菜單和工具欄兩種操作方式。該模塊的流程圖如圖3-5所示：圖3-5 系統(tǒng)主控平臺(tái)過(guò)程示意圖如上圖所示，若系統(tǒng)通過(guò)了驗(yàn)證模塊的驗(yàn)證，則進(jìn)入系統(tǒng)的主控界面。在主控界面上有一些選項(xiàng)，若點(diǎn)擊掃描在線主機(jī)”則進(jìn)入掃描在線主機(jī)模塊；若點(diǎn)擊主機(jī)設(shè)備管理”則進(jìn)入主機(jī)設(shè)備管理模塊。3.3.4 在線主機(jī)掃描模塊的流程圖此模塊主要掃描在線主機(jī)，返回在線主機(jī)的一些信息，包括IP地址、機(jī)器工作組、機(jī)器名、用戶名、MAC地址等。在此模塊中，我們需要先設(shè)定系統(tǒng)的掃描圍，再把掃描結(jié)果存放在列表框中。由于此模塊希望快速得到同網(wǎng)段機(jī)器的信息，而并不是

47、需要特別可靠的連接確認(rèn)機(jī)制,所以采用UDP來(lái)實(shí)現(xiàn)。該模塊的流程圖如圖3-6所示：圖3-6 掃描在線主機(jī)處理過(guò)程示意圖如上圖所示，在系統(tǒng)主控界面上點(diǎn)擊掃描在線主機(jī)”，則進(jìn)入掃描在線主機(jī)界面。設(shè)置要掃描主機(jī)的IP圍，若IP圍不合法，則調(diào)用OnBtnE*it()退出掃描線程；否則SendTo()函數(shù)循環(huán)對(duì)要查詢的IP發(fā)數(shù)據(jù)。當(dāng)客戶端接收到數(shù)據(jù)后，返回響應(yīng)信息。此時(shí)服務(wù)器則調(diào)用ReceiveFrom()接收響應(yīng)信息，將數(shù)據(jù)報(bào)保存在Buf，IP存儲(chǔ)在strIP中，并根據(jù)數(shù)據(jù)報(bào)規(guī)則取出相應(yīng)的信息存放在列表框中。若要進(jìn)入下一模塊-主機(jī)設(shè)備管理模塊，則需調(diào)用OnDblclkListView()即雙擊列表框中的

48、*行。由于局域網(wǎng)的廣播特性，即在同一網(wǎng)段（IP地址的前三級(jí)地址一樣），若IP地址為1的計(jì)算機(jī)發(fā)送數(shù)據(jù)給2，該數(shù)據(jù)也同時(shí)被發(fā)送給了網(wǎng)段的其他計(jì)算機(jī)(192.168.0.*),只是它們接收到這些數(shù)據(jù)時(shí)發(fā)現(xiàn)不是發(fā)給自己的，而將其丟棄。因此，可以編程讓計(jì)算機(jī)不丟棄這些數(shù)據(jù)，而是接收它們，并將其解包，從而可以編制出功能更為強(qiáng)大的同時(shí)也是非?？膳碌木W(wǎng)段掃描器，它可以監(jiān)視網(wǎng)段其他計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)傳輸?shù)乃行畔?。這正是該系統(tǒng)以后的努力目標(biāo)之一。3.3.5 主機(jī)設(shè)備管理模塊的流程圖此模塊主要實(shí)現(xiàn)對(duì)主機(jī)設(shè)備的監(jiān)控，控制其是啟用還是禁用。作為整個(gè)系統(tǒng)最為主要的一個(gè)部分，該模塊的主要容就是通過(guò)實(shí)現(xiàn)對(duì)光驅(qū)、軟驅(qū)、USB、

49、口、打印機(jī)等外設(shè)的監(jiān)控，防止部用戶通過(guò)計(jì)算機(jī)或者計(jì)算機(jī)網(wǎng)絡(luò)的外部設(shè)備或終端設(shè)備將組織部的秘密信息有意識(shí)或無(wú)意識(shí)泄漏出去，堵住任何一個(gè)可能泄漏的途徑，保證信息能夠安全可靠地保存和管理，從而最大限度地降低信息泄密的風(fēng)險(xiǎn)。由于現(xiàn)在越來(lái)越多的敏感信息、秘密數(shù)據(jù)和檔案資料被存貯在計(jì)算機(jī)里，大量的秘密文件和資料變?yōu)榇判越橘|(zhì)、光學(xué)介質(zhì)，存貯在無(wú)保護(hù)的介質(zhì)里，外設(shè)的泄密隱患相當(dāng)大，一旦造成國(guó)家信息泄漏，將勢(shì)必造成嚴(yán)重的后果和不可彌補(bǔ)的損失，所以我們應(yīng)當(dāng)努力做好這個(gè)模塊，在保護(hù)網(wǎng)不受外來(lái)攻擊破壞的同時(shí)，盡可能的保障網(wǎng)的安全，防止部用戶的泄密。該模塊的流程圖如圖3-7、3-8所示：圖3-7 主機(jī)設(shè)備管理中的C/S

50、通信過(guò)程示意圖圖3-8 主機(jī)設(shè)備管理中的客戶機(jī)處理過(guò)程示意圖如圖3-7所示，主機(jī)設(shè)備管理模塊可以有兩條進(jìn)入路徑，一是直接有主控平臺(tái)進(jìn)入，二是在掃描在線主機(jī)后進(jìn)入。服務(wù)器端和客戶端分別定義消息和它的消息映射，再分別調(diào)用WSAStartup()函數(shù)初始化Windows Socket DLL，并檢查版本號(hào)?？蛻舳苏{(diào)用socket()建立套接字連接，然后調(diào)用WSAAsynSelect()函數(shù)，提名FD_CONNECT事件。再接著，獲得IP地址，調(diào)用connect()函數(shù)于服務(wù)器的*端口建立連接。最后收到消息UM_SOCK后，便按照定義的消息映射，調(diào)用OnRecv()進(jìn)行處理。OnRecv()首先判斷該

51、消息是由什么網(wǎng)絡(luò)事件引起的，再做出不同的處理：如果是是由FD_CONNECT引起的，表明與服務(wù)器的連接已經(jīng)成功。于是將閥值編輯框中的值發(fā)送給服務(wù)器。然后調(diào)用WSAAsynSelect()函數(shù)，提名FD_READ和FD_CLOSE事件。當(dāng)套接字可發(fā)送數(shù)據(jù)時(shí)以及當(dāng)連接被關(guān)閉時(shí)，對(duì)話框會(huì)收到Winsock DLL發(fā)送的UM_SOCK消息。服務(wù)器端收到該閥值后，到規(guī)則庫(kù)中匹配規(guī)則，并進(jìn)行相應(yīng)的處理，具體處理流程見圖3-8。如圖3-8所示，這個(gè)流程圖主要是當(dāng)服務(wù)器收到客戶端發(fā)來(lái)的閥值后進(jìn)行相應(yīng)的操作。首先我們從注冊(cè)表中得到主機(jī)設(shè)備包括CD-ROM、軟驅(qū)、USB、口、網(wǎng)卡、打印機(jī)等的guid，然后調(diào)用AP

52、I SetupDiGetClassDevs訪問(wèn)系統(tǒng)的硬件庫(kù)，再調(diào)用SetupDiGetClassDevs()函數(shù)遍歷所有的硬件，最后我們調(diào)用函數(shù)ChangeStatus(DWORD NewStatus, DWORD SelectedItem, HDEVINFO hDevInfo) 來(lái)執(zhí)行改變控制來(lái)確定是啟用”還是禁用”，其中NewStatus有兩種情況，一種是DICS_ENABLE，表示啟用設(shè)備；一種是DICS_DISABLE，表示禁用設(shè)備，i代表所選的設(shè)備，hDevInfo是由SetupDiGetClassDevs()函數(shù)返回的句柄。在這個(gè)函數(shù)中，我們先通過(guò)SetupDiEnumDevice

53、Info(hDevInfo, SelectedItem, &DeviceInfoData)函數(shù)枚舉指定設(shè)備信息集合的成員，并將數(shù)據(jù)放在DeviceInfoData中，然后設(shè)置PropChangeParams結(jié)構(gòu)，再通過(guò)函數(shù)SetupDiSetClassInstallParams()為設(shè)備信息集設(shè)置或清空類安裝參數(shù)，最后通過(guò)SetupDiCallClassInstaller()函數(shù)調(diào)用ClassInstaller執(zhí)行改變控制來(lái)確定是啟用”還是禁用”。3.4 小結(jié)本章主要介紹了WaterBo*系統(tǒng)及其主機(jī)設(shè)備管理子系統(tǒng)的總體設(shè)計(jì)。首先概述了系統(tǒng)的總體結(jié)構(gòu)，然后介紹了子系統(tǒng)的總體設(shè)計(jì)，最后闡述了系統(tǒng)

54、的基本設(shè)計(jì)概念及處理流程。下一章將介紹主機(jī)設(shè)備管理系統(tǒng)的詳細(xì)設(shè)計(jì)，包括驗(yàn)證模塊、系統(tǒng)平臺(tái)、掃描在線主機(jī)模塊和主機(jī)設(shè)備管理模塊的設(shè)計(jì)與實(shí)現(xiàn)。-. z.第四章 詳細(xì)設(shè)計(jì)基于系統(tǒng)需求分析與系統(tǒng)總體設(shè)計(jì)的結(jié)論，本系統(tǒng)采用Visual C+6.0實(shí)現(xiàn)各模塊的功能，下面按照模塊的劃分來(lái)闡述系統(tǒng)的詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)。4.1 權(quán)限驗(yàn)證模塊根據(jù)需求分析和總體設(shè)計(jì)，此模塊主要是根據(jù)用戶輸入的用戶名和密碼，驗(yàn)證用戶身份并決定其操作權(quán)限。4.1.1 權(quán)限驗(yàn)證IPO圖輸入：用戶名和密碼處理：管理員登陸對(duì)話框啟動(dòng)；管理員輸入用戶名并輸入密碼；從系統(tǒng)中檢查是否有相應(yīng)的用戶名和密碼；如果用戶名或密碼錯(cuò)誤，進(jìn)行提示；如果輸入的用戶

55、名和相應(yīng)的密碼正確，則進(jìn)入主控制平臺(tái)；輸出：主控制平臺(tái)4.1.2 權(quán)限驗(yàn)證模塊的界面設(shè)計(jì)該模塊通過(guò)登陸對(duì)話框?yàn)橛脩籼峁┎僮鹘缑?，界面的設(shè)計(jì)效果如圖4-1所示。圖4-1權(quán)限驗(yàn)證模塊的界面設(shè)計(jì)圖4.1.3 權(quán)限驗(yàn)證模塊的實(shí)現(xiàn)根據(jù)權(quán)限驗(yàn)證的IPO圖，通過(guò)定義CLoginDlg類來(lái)實(shí)現(xiàn)權(quán)限驗(yàn)證模塊的功能。下面介紹CLoginDlg類的設(shè)計(jì)和實(shí)現(xiàn)。處理過(guò)程：從系統(tǒng)中查找與所輸入的用戶名匹配的密碼，如果有則登陸主控制平臺(tái)，否則提示登陸錯(cuò)誤信息。其代碼如下：void CLoginDlg:OnOK() / TODO: Add e*tra validation hereUpdateData(TRUE);/讀取輸

56、入信息if(m_strUser=admin)&(m_strPassword=admin)CDialog:OnCancel();Af*MessageBo*(密碼輸入正確，歡迎您！,MB_ICONINFORMATION);ElseAf*MessageBo*(密碼輸入錯(cuò)誤，請(qǐng)重新輸入！,MB_ICONINFORMATION);m_strUser=;m_strPassword=;UpdateData(FALSE);4.2 系統(tǒng)主控平臺(tái)4.2.1 主控平臺(tái)界面設(shè)計(jì)充分考慮界面易于操作的系統(tǒng)需求，主控制平臺(tái)使用簡(jiǎn)單和直觀的布局設(shè)計(jì)，提供菜單和工具欄兩種操作方式。主控平臺(tái)的界面設(shè)計(jì)如圖4-2所示。圖4-2

57、主控平臺(tái)圖4.2.2 主控平臺(tái)的實(shí)現(xiàn)主體框架：使用MFC AppWizard創(chuàng)建一個(gè)單文檔結(jié)構(gòu)的應(yīng)用程序工程，建立起系統(tǒng)主體框架，生成應(yīng)用程序類(CWaterBo*App)文檔類(CWaterBo*Doc)、視圖類(CWaterBo*View)和主框架類(CMainFrame)。菜單和工具欄：根據(jù)系統(tǒng)總體設(shè)計(jì)中功能模塊的劃分，使用資源編輯器創(chuàng)建系統(tǒng)菜單和工具欄。背景圖：通過(guò)修改系統(tǒng)視圖類Draw事件處理函數(shù)OnDraw()來(lái)實(shí)現(xiàn)加載背景圖。其具體代碼如下：int b=bmp.LoadBitmap(IDB_BITMAP_BG);/將位圖取出dcmem.CreatepatibleDC(pDC);/

58、創(chuàng)建兼容設(shè)備上下文dcmem.SelectObject(&bmp);dcmem.SetMapMode(pDC-GetMapMode();GetObject(bmp.m_hObject,sizeof(BITMAP),(LPSTR)&bm);/加載視圖到設(shè)備上下文中pDC-StretchBlt(RectBmp.left,RectBmp.top,RectBmp.right,RectBmp.bottom,&dcmem,0,0,bm.bmWidth,bm.bmHeight,SRCCOPY);dcmem.DeleteDC();/除設(shè)備上下文4.3 基于UDP的網(wǎng)段掃描模塊74.3.1 設(shè)計(jì)思路程序運(yùn)行界面

59、如圖4-3所示：圖4-3 程序運(yùn)行界面圖4.3.2 編程原理 UDP與TCP簡(jiǎn)介 TCP和UDP是TCP/IP協(xié)議中的兩個(gè)傳輸層協(xié)議，它們使用IP路由功能把數(shù)據(jù)包發(fā)送到目的地，從而為應(yīng)用程序及應(yīng)用層協(xié)議（包括HTTP、SMTP、SNMP、FTP和Telnet）提供網(wǎng)絡(luò)服務(wù)。TCP提供的是面向連接的、可靠的數(shù)據(jù)流傳輸，而UDP提供的是非面向連接的、不可靠的數(shù)據(jù)流傳輸。面向連接的協(xié)議在任何數(shù)據(jù)傳輸前就建立好了點(diǎn)對(duì)點(diǎn)的連接。ATM和幀中繼是面向連接的協(xié)議，但它們工作在數(shù)據(jù)鏈路層，而不是在傳輸層。普通的音頻也是面向連接的?？煽康膫鬏攨f(xié)議可避免數(shù)據(jù)傳輸錯(cuò)誤。其實(shí)現(xiàn)方式是：在構(gòu)造數(shù)據(jù)包時(shí)在其中設(shè)置校驗(yàn)碼，

60、到達(dá)目的地后采用一定的算法重新計(jì)算校驗(yàn)碼，通過(guò)比較，就可以找到被破壞的數(shù)據(jù)。因?yàn)樾枰匕l(fā)被破壞的和已經(jīng)丟失的數(shù)據(jù)，所以在需要重發(fā)數(shù)據(jù)時(shí)，協(xié)議必須能夠使目的地給出源頭的一個(gè)確認(rèn)信號(hào)。有些數(shù)據(jù)包不一定按照順序到達(dá)，所以協(xié)議必須能夠探測(cè)出亂序的包，暫存起來(lái)，然后把它們按正確的順序送到應(yīng)用層去。另外，協(xié)議還必須能夠找出并丟棄重復(fù)發(fā)送的數(shù)據(jù)。一組定時(shí)器可以用戶限制針對(duì)不同確認(rèn)的等待時(shí)間，這樣就可以開始重新發(fā)送或重新連接。TCP不能在一個(gè)包以字節(jié)或位為單位構(gòu)造數(shù)據(jù)，它只負(fù)責(zé)傳輸未經(jīng)構(gòu)造的8位字符串。非面向連接的傳輸協(xié)議在數(shù)據(jù)傳輸之前不建立連接，而是在每個(gè)中間節(jié)點(diǎn)對(duì)非面向連接的包和數(shù)據(jù)包進(jìn)行路由。非面向連接