一种基于驱动层内核级代码的文件加密的方法及装置的制造方法
一种基于驱动层内核级代码的文件加密的方法及装置的制造方法
【技术领域】
[0001]本发明涉及数据安全领域,特别涉及一种基于驱动层内核级代码的文件加密的方法及装置。
【背景技术】
[0002]随着计算机应用及网络技术的发展,数据信息的安全性也日益成为用户关注的焦点。各种各样的信息窃取方式层出不穷,给终端用户的数据信息带来了极大的安全隐患。攻击者对数据信息的觊觎始终围绕在终端用户计算机和服务器等的文件系统,以及网络中传输的数据信息。传统的数据安全防护是基于应用代码级的,其容易被恶意用户绕过,所以其数据信息的安全性不高。
【发明内容】
[0003]本发明要解决的技术问题在于,针对现有技术的上述数据信息的安全性不高的缺陷,提供一种数据信息的安全性较高的基于驱动层内核级代码的文件加密的方法及装置。
[0004]本发明解决其技术问题所采用的技术方案是:构造一种基于驱动层内核级代码的文件加密的方法,工作于操作系统的底层,所述内核级代码工作在驱动层,I/o管理器的驱动层包括第一驱动层、第二驱动层、第三驱动层和第四驱动层;所述方法包括如下步骤:
A)通过所述第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求;
B)所述文件系统接受所述第一请求后,对所述第一目标文件进行过滤驱动得到第二目标文件;
C)通过所述第二驱动层向所述文件系统发送对所述第二目标文件进行驱动的第二请求;
D)所述文件系统接受所述第二请求后,对所述第二目标文件进行驱动得到第三目标文件;
E)通过所述第三驱动层向存储设备发送对所述第三目标文件进行过滤驱动的第三请求;
F)所述存储设备接受所述第三请求后,对所述第三目标文件进行透明加密操作得到第四目标文件;
G)通过所述第四驱动层向所述存储设备发送对所述第四目标文件进行驱动的第四请求;
H)所述存储设备接受所述第四请求后将所述第四目标文件进行存储。
[0005]在本发明所述的基于驱动层内核级代码的文件加密的方法中,在所述步骤F)中,所述透明加密操作为将待写入内存的数据加密后保存到内存中。
[0006]在本发明所述的基于驱动层内核级代码的文件加密的方法中,所述透明加密操作采用DES对称算法。
[0007]在本发明所述的基于驱动层内核级代码的文件加密的方法中,在所述步骤A)中,采用用户身份识别的方式来判定所述第一请求是否拥有访问权限。
[0008]在本发明所述的基于驱动层内核级代码的文件加密的方法中,所述操作系统为基于WindowsNT内核的操作系统。
[0009]本发明还涉及一种实现上述基于驱动层内核级代码的文件加密的方法的装置,工作于操作系统的底层,所述内核级代码工作在驱动层,I/O管理器的驱动层包括第一驱动层、第二驱动层、第三驱动层和第四驱动层;所述装置包括:
第一请求发送单元:用于通过所述第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求;
文件过滤驱动单元:用于在所述文件系统接受所述第一请求后,对所述第一目标文件进行过滤驱动得到第二目标文件;
第二请求发送单元:用于通过所述第二驱动层向所述文件系统发送对所述第二目标文件进行驱动的第二请求;
文件驱动单元:用于在所述文件系统接受所述第二请求后,对所述第二目标文件进行驱动得到第三目标文件;
第三请求发送单元:用于通过所述第三驱动层向存储设备发送对所述第三目标文件进行过滤驱动的第三请求;
加密单元:用于在所述存储设备接受所述第三请求后,对所述第三目标文件进行透明加密操作得到第四目标文件;
第四请求发送单元:用于通过所述第四驱动层向所述存储设备发送对所述第四目标文件进行驱动的第四请求;
存储单元:用于在所述存储设备接受所述第四请求后将所述第四目标文件进行存储。
[0010]在本发明所述的实现上述基于驱动层内核级代码的文件加密的方法的装置中,在所述加密单元中,所述透明加密操作为将待写入内存的数据加密后保存到内存中。
[0011]在本发明所述的实现上述基于驱动层内核级代码的文件加密的方法的装置中,所述透明加密操作采用DES对称算法。
[0012]在本发明所述的实现上述基于驱动层内核级代码的文件加密的方法的装置中,在所述第一请求发送单元中,采用用户身份识别的方式来判定所述第一请求是否拥有访问权限。
[0013]在本发明所述的实现上述基于驱动层内核级代码的文件加密的方法的装置中,所述操作系统为基于WindowsNT内核的操作系统。
[0014]实施本发明的基于驱动层内核级代码的文件加密的方法及装置,具有以下有益效果:由于工作于操作系统的底层,内核级代码工作在驱动层,相对于应用级代码更难于被恶意用户绕过,所以用户访问控制与自我保护的效果优于应用级,所以其数据信息的安全性较高。
【附图说明】
[0015]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0016]图1为本发明基于驱动层内核级代码的文件加密的方法及装置一个实施例中系统的方法的流程图;
图2为所述实施例中透明加解密的实现过程图;
图3为所述实施例中装置的结构示意图。
【具体实施方式】
[0017]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0018]在本发明基于驱动层内核级代码的文件加密的方法及装置实施例中,其基于驱动层内核级代码的文件加密的方法的流程图如图1所示。该方法工作于操作系统的底层,内核级代码工作在驱动层,本实施例中的操作系统为基于WindowsNT内核的操作系统。本实施例中,该方法整个过程经过四层驱动,因此,本实施例中的I/O管理器的驱动层有四个驱动层,分别为第一驱动层、第二驱动层、第三驱动层和第四驱动层。图1中,该方法包括如下步骤:步骤S01通过第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求:本步骤中,通过I/O管理器的第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求,也就是第一目标文件(即需要加密的文件)通过I/O管理器请求文件系统过滤驱动进行文件访问控制,也相当于验证当前用户的合法性。值得一提的是,本实施例中,采用用户身份识别的方式来判定上述第一请求是否拥有访问权限,系统采用了用户身份识别的方式来判定当前请求是否拥有访问权限,保证了数据信息的安全性。当然,在本实施例的一些情况下,也可以采用其他方式来判定第一请求是否拥有访问权限。
[0019]步骤S02文件系统接受第一请求后,对第一目标文件进行过滤驱动得到第二目标文件:本步骤中,文件系统接受第一请求后,对第一目标文件进行过滤驱动得到第二目标文件,也就是第一请求被文件系统过滤驱动允许后,得到第二目标文件,第二目标文件是在用户权限范围内能访问的文件。
[0020]步骤S03通过第二驱动层向文件系统发送对第二目标文件进行驱动的第二请求:本步骤中,通过第二驱动层向文件系统发送对第二目标文件进行驱动的第二请求,具体就是第二目标文件进入I/o管理器的第二驱动层,并继续请求文件系统驱动。值得一提的是,第二驱动层是普通访问,是操作系统必须有的步骤。
[0021]步骤S04文件系统接受第二请求后,对第二目标文件进行驱动得到第三目标文件:本步骤中,文件系统接受第二请求后,对第二目标文件进行驱动得到第三目标文件。
[0022]步骤S05通过第三驱动层向存储设备发送对第三目标文件进行过滤驱动的第三请求:本步骤中,通过第三驱动层向存储设备发送对第三目标文件进行过滤驱动的第三请求,具体就是第二请求被文件系统允许后,第三目标文件进入I/o管理器的第三驱动层,并继续请求存储设备(也就是物理存储设备)过滤驱动进行透明加密操作。本实施例中,只是以透明加密为例进行介绍的。当然,在这里,也可以进行透明解密操作。
[0023]步骤S06存储设备接受第三请求后,对第三目标文件进行透明加密操作得到第四目标文件:本步骤中,存储设备接受第三请求后,对第三目标文件进行透明加密操作得到第四目标文件,本实施例中,透明加密操作为将待写入内存的数据加密后保存到内存中,也就是只将写入内存的部分进行加密,透明加密操作可以采用DES对称算法。
[0024]步骤S07通过第四驱动层向存储设备发送对第四目标文件进行驱动的第四请求:本步骤中,通过第四驱动层向存储设备发送对第四目标文件进行驱动的第四请求,也就是第三请求被存储设备过滤驱动允许后,第四目标文件进入I/O管理器的第四驱动层,进入存储设备驱动请求。
[0025]步骤S08存储设备接受第四请求后将第四目标文件进行存储:本步骤中,存储设备接受第四请求后将第四目标文件进行存储,也就是第四请求被存储设备驱动允许后,第四目标文件将存储到存储设备中。
[0026]值得一提的是,上述方法的反向过程可以实现透明解密操作。在解密时,只对从内存读出的部分进行解密,可根据实际需要选择相应的解密方式。图2透明加解密实现文档本地存储的安全性,采用动态透明加解密在读取文件时,会将从内存读出的那部分数据进行解密,写文件时,则将写入到内存的部分数据加密并下传至存储设备,透明加解密技术是与操作系统紧密结合的一种技术,其工作于操作系统底层,由于内核级代码工作在驱动层,相对于应用级代码更难于被恶意用户绕过,所以用户访问控制与自我保护的效果优于应用级,所以其数据信息的安全性较高。同时,该方法充分利用了 NT分层驱动模型和过滤驱动的基本原理,同时又使用了 NT内核的一些机制提高了系统运行的效率,减小了系统的时空开销,增加了安全保护机制,保证用户信息和过滤驱动的安全性。
[0027]图2为本实施例中透明加解密的实现过程图。
[0028]本实施例还涉及一种实现上述基于驱动层内核级代码的文件加密的方法的装置,其结构示意图如图3所示。该装置工作于操作系统的底层,内核级代码工作在驱动层,本实施例中的操作系统为基于WindowsNT内核的操作系统。本实施例中,该装置在透明加解密的整个实现过程中经过四层驱动,因此,本实施例中的I/O管理器的驱动层有四个驱动层,分别为第一驱动层、第二驱动层、第三驱动层和第四驱动层。图3中,该装置包括第一请求发送单元1、文件过滤驱动单元2、第二请求发送单元3、文件驱动单元4、第三请求发送单元
5、加密单元6、第四请求发送单元7和存储单元8 ;其中,第一请求发送单元1用于通过第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求;文件过滤驱动单元2用于在文件系统接受第一请求后,对第一目标文件进行过滤驱动得到第二目标文件;第二请求发送单元3用于通过第二驱动层向文件系统发送对第二目标文件进行驱动的第二请求;文件驱动单元4用于在文件系统接受第二请求后,对第二目标文件进行驱动得到第三目标文件;第三请求发送单元5用于通过第三驱动层向存储设备发送对第三目标文件进行过滤驱动的第三请求;加密单元6用于在存储设备接受第三请求后,对第三目标文件进行透明加密操作得到第四目标文件;第四请求发送单元7用于通过第四驱动层向存储设备发送对第四目标文件进行驱动的第四请求;存储单元8用于在存储设备接受第四请求后将第四目标文件进行存储。
[0029]本实施例中,在加密单元6中,透明加密操作为将待写入内存的数据加密后保存到内存中。本实施例中,透明加密操作采用的DES对称算法,当然也可以根据具体需要选择其他方式的加密算法。在第一请求发送单元1中,采用用户身份识别的方式来判定第一请求是否拥有访问权限。该装置也可以实现透明解密操作。
[0030]总之,在本实施例中,本发明在基于WindowsNT内核的操作系统中,通过开发运行于内核模式的IFS(Installable File System)过滤驱动,可以监控所有对文件系统的访问,同时由驱动主控模块对其进行分析并阻截非法访问,实现对文件系统数据文件的安全防护,为文件系统搭建一个第三方的数据信息安全保障平台。系统采用了用户身份识别的方式来判定当前请求是否拥有访问权限,保证了数据信息的安全性。同时,本发明充分利用了 NT分层驱动模型和过滤驱动的基本原理,同时又使用了 NT内核的一些机制提高了系统运行的效率,减小了系统的时空开销,增加了安全保护机制,保证用户信息和过滤驱动的安全性。
[0031]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种基于驱动层内核级代码的文件加密的方法,其特征在于,工作于操作系统的底层, 所述内核级代码工作在驱动层,I/o管理器的驱动层包括第一驱动层、第二驱动层、第三驱动层和第四驱动层;所述方法包括如下步骤: A)通过所述第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求;B)所述文件系统接受所述第一请求后,对所述第一目标文件进行过滤驱动得到第二目标文件; C)通过所述第二驱动层向所述文件系统发送对所述第二目标文件进行驱动的第二请求; D)所述文件系统接受所述第二请求后,对所述第二目标文件进行驱动得到第三目标文件; E)通过所述第三驱动层向存储设备发送对所述第三目标文件进行过滤驱动的第三请求; F)所述存储设备接受所述第三请求后,对所述第三目标文件进行透明加密操作得到第四目标文件; G)通过所述第四驱动层向所述存储设备发送对所述第四目标文件进行驱动的第四请求; H)所述存储设备接受所述第四请求后将所述第四目标文件进行存储。2.根据权利要求1所述的基于驱动层内核级代码的文件加密的方法,其特征在于,在所述步骤F)中,所述透明加密操作为将待写入内存的数据加密后保存到内存中。3.根据权利要求2所述的基于驱动层内核级代码的文件加密的方法,其特征在于,所述透明加密操作采用DES对称算法。4.根据权利要求1至3任意一项所述的基于驱动层内核级代码的文件加密的方法,其特征在于,在所述步骤A)中,采用用户身份识别的方式来判定所述第一请求是否拥有访问权限。5.根据权利要求4所述的基于驱动层内核级代码的文件加密的方法,其特征在于,所述操作系统为基于WindowsNT内核的操作系统。6.一种实现如权利要求1所述的基于驱动层内核级代码的文件加密的方法的装置,其特征在于,工作于操作系统的底层,所述内核级代码工作在驱动层,I/O管理器的驱动层包括第一驱动层、第二驱动层、第三驱动层和第四驱动层;所述装置包括: 第一请求发送单元:用于通过所述第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求; 文件过滤驱动单元:用于在所述文件系统接受所述第一请求后,对所述第一目标文件进行过滤驱动得到第二目标文件; 第二请求发送单元:用于通过所述第二驱动层向所述文件系统发送对所述第二目标文件进行驱动的第二请求; 文件驱动单元:用于在所述文件系统接受所述第二请求后,对所述第二目标文件进行驱动得到第三目标文件; 第三请求发送单元:用于通过所述第三驱动层向存储设备发送对所述第三目标文件进行过滤驱动的第三请求; 加密单元:用于在所述存储设备接受所述第三请求后,对所述第三目标文件进行透明加密操作得到第四目标文件; 第四请求发送单元:用于通过所述第四驱动层向所述存储设备发送对所述第四目标文件进行驱动的第四请求; 存储单元:用于在所述存储设备接受所述第四请求后将所述第四目标文件进行存储。7.根据权利要求6所述的实现上述基于驱动层内核级代码的文件加密的方法的装置,其特征在于,在所述加密单元中,所述透明加密操作为将待写入内存的数据加密后保存到内存中。8.根据权利要求7所述的实现上述基于驱动层内核级代码的文件加密的方法的装置,其特征在于,所述透明加密操作采用DES对称算法。9.根据权利要6至8任意一项所述的实现上述基于驱动层内核级代码的文件加密的方法的装置,其特征在于,在所述第一请求发送单元中,采用用户身份识别的方式来判定所述第一请求是否拥有访问权限。10.根据权利要求9所述的实现上述基于驱动层内核级代码的文件加密的方法的装置,其特征在于,所述操作系统为基于WindowsNT内核的操作系统。
【专利摘要】本发明提出了一种基于驱动层内核级代码的文件加密的方法及装置,方法包括:通过第一驱动层发送对第一目标文件过滤驱动的第一请求;文件系统接受后对第一目标文件过滤驱动得到第二目标文件;通过第二驱动层发送对第二目标文件驱动的第二请求;文件系统接受后对第二目标文件驱动得到第三目标文件;通过第三驱动层向存储设备发送对第三目标文件过滤驱动的第三请求;存储设备接受后对第三目标文件进行透明加密操作得到第四目标文件;通过第四驱动层向存储设备发送对第四目标文件进行驱动的第四请求;存储设备接受后将第四目标文件进行存储。实施本发明的基于驱动层内核级代码的文件加密的方法及装置,具有以下有益效果:数据信息的安全性较高。
【IPC分类】G06F21/60
【公开号】CN105488420
【申请号】CN201410532699
【发明人】任刚, 舒畅, 张家福
【申请人】广州联奕信息科技有限公司
【公开日】2016年4月13日
【申请日】2014年10月10日
【技术领域】
[0001]本发明涉及数据安全领域,特别涉及一种基于驱动层内核级代码的文件加密的方法及装置。
【背景技术】
[0002]随着计算机应用及网络技术的发展,数据信息的安全性也日益成为用户关注的焦点。各种各样的信息窃取方式层出不穷,给终端用户的数据信息带来了极大的安全隐患。攻击者对数据信息的觊觎始终围绕在终端用户计算机和服务器等的文件系统,以及网络中传输的数据信息。传统的数据安全防护是基于应用代码级的,其容易被恶意用户绕过,所以其数据信息的安全性不高。
【发明内容】
[0003]本发明要解决的技术问题在于,针对现有技术的上述数据信息的安全性不高的缺陷,提供一种数据信息的安全性较高的基于驱动层内核级代码的文件加密的方法及装置。
[0004]本发明解决其技术问题所采用的技术方案是:构造一种基于驱动层内核级代码的文件加密的方法,工作于操作系统的底层,所述内核级代码工作在驱动层,I/o管理器的驱动层包括第一驱动层、第二驱动层、第三驱动层和第四驱动层;所述方法包括如下步骤:
A)通过所述第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求;
B)所述文件系统接受所述第一请求后,对所述第一目标文件进行过滤驱动得到第二目标文件;
C)通过所述第二驱动层向所述文件系统发送对所述第二目标文件进行驱动的第二请求;
D)所述文件系统接受所述第二请求后,对所述第二目标文件进行驱动得到第三目标文件;
E)通过所述第三驱动层向存储设备发送对所述第三目标文件进行过滤驱动的第三请求;
F)所述存储设备接受所述第三请求后,对所述第三目标文件进行透明加密操作得到第四目标文件;
G)通过所述第四驱动层向所述存储设备发送对所述第四目标文件进行驱动的第四请求;
H)所述存储设备接受所述第四请求后将所述第四目标文件进行存储。
[0005]在本发明所述的基于驱动层内核级代码的文件加密的方法中,在所述步骤F)中,所述透明加密操作为将待写入内存的数据加密后保存到内存中。
[0006]在本发明所述的基于驱动层内核级代码的文件加密的方法中,所述透明加密操作采用DES对称算法。
[0007]在本发明所述的基于驱动层内核级代码的文件加密的方法中,在所述步骤A)中,采用用户身份识别的方式来判定所述第一请求是否拥有访问权限。
[0008]在本发明所述的基于驱动层内核级代码的文件加密的方法中,所述操作系统为基于WindowsNT内核的操作系统。
[0009]本发明还涉及一种实现上述基于驱动层内核级代码的文件加密的方法的装置,工作于操作系统的底层,所述内核级代码工作在驱动层,I/O管理器的驱动层包括第一驱动层、第二驱动层、第三驱动层和第四驱动层;所述装置包括:
第一请求发送单元:用于通过所述第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求;
文件过滤驱动单元:用于在所述文件系统接受所述第一请求后,对所述第一目标文件进行过滤驱动得到第二目标文件;
第二请求发送单元:用于通过所述第二驱动层向所述文件系统发送对所述第二目标文件进行驱动的第二请求;
文件驱动单元:用于在所述文件系统接受所述第二请求后,对所述第二目标文件进行驱动得到第三目标文件;
第三请求发送单元:用于通过所述第三驱动层向存储设备发送对所述第三目标文件进行过滤驱动的第三请求;
加密单元:用于在所述存储设备接受所述第三请求后,对所述第三目标文件进行透明加密操作得到第四目标文件;
第四请求发送单元:用于通过所述第四驱动层向所述存储设备发送对所述第四目标文件进行驱动的第四请求;
存储单元:用于在所述存储设备接受所述第四请求后将所述第四目标文件进行存储。
[0010]在本发明所述的实现上述基于驱动层内核级代码的文件加密的方法的装置中,在所述加密单元中,所述透明加密操作为将待写入内存的数据加密后保存到内存中。
[0011]在本发明所述的实现上述基于驱动层内核级代码的文件加密的方法的装置中,所述透明加密操作采用DES对称算法。
[0012]在本发明所述的实现上述基于驱动层内核级代码的文件加密的方法的装置中,在所述第一请求发送单元中,采用用户身份识别的方式来判定所述第一请求是否拥有访问权限。
[0013]在本发明所述的实现上述基于驱动层内核级代码的文件加密的方法的装置中,所述操作系统为基于WindowsNT内核的操作系统。
[0014]实施本发明的基于驱动层内核级代码的文件加密的方法及装置,具有以下有益效果:由于工作于操作系统的底层,内核级代码工作在驱动层,相对于应用级代码更难于被恶意用户绕过,所以用户访问控制与自我保护的效果优于应用级,所以其数据信息的安全性较高。
【附图说明】
[0015]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0016]图1为本发明基于驱动层内核级代码的文件加密的方法及装置一个实施例中系统的方法的流程图;
图2为所述实施例中透明加解密的实现过程图;
图3为所述实施例中装置的结构示意图。
【具体实施方式】
[0017]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0018]在本发明基于驱动层内核级代码的文件加密的方法及装置实施例中,其基于驱动层内核级代码的文件加密的方法的流程图如图1所示。该方法工作于操作系统的底层,内核级代码工作在驱动层,本实施例中的操作系统为基于WindowsNT内核的操作系统。本实施例中,该方法整个过程经过四层驱动,因此,本实施例中的I/O管理器的驱动层有四个驱动层,分别为第一驱动层、第二驱动层、第三驱动层和第四驱动层。图1中,该方法包括如下步骤:步骤S01通过第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求:本步骤中,通过I/O管理器的第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求,也就是第一目标文件(即需要加密的文件)通过I/O管理器请求文件系统过滤驱动进行文件访问控制,也相当于验证当前用户的合法性。值得一提的是,本实施例中,采用用户身份识别的方式来判定上述第一请求是否拥有访问权限,系统采用了用户身份识别的方式来判定当前请求是否拥有访问权限,保证了数据信息的安全性。当然,在本实施例的一些情况下,也可以采用其他方式来判定第一请求是否拥有访问权限。
[0019]步骤S02文件系统接受第一请求后,对第一目标文件进行过滤驱动得到第二目标文件:本步骤中,文件系统接受第一请求后,对第一目标文件进行过滤驱动得到第二目标文件,也就是第一请求被文件系统过滤驱动允许后,得到第二目标文件,第二目标文件是在用户权限范围内能访问的文件。
[0020]步骤S03通过第二驱动层向文件系统发送对第二目标文件进行驱动的第二请求:本步骤中,通过第二驱动层向文件系统发送对第二目标文件进行驱动的第二请求,具体就是第二目标文件进入I/o管理器的第二驱动层,并继续请求文件系统驱动。值得一提的是,第二驱动层是普通访问,是操作系统必须有的步骤。
[0021]步骤S04文件系统接受第二请求后,对第二目标文件进行驱动得到第三目标文件:本步骤中,文件系统接受第二请求后,对第二目标文件进行驱动得到第三目标文件。
[0022]步骤S05通过第三驱动层向存储设备发送对第三目标文件进行过滤驱动的第三请求:本步骤中,通过第三驱动层向存储设备发送对第三目标文件进行过滤驱动的第三请求,具体就是第二请求被文件系统允许后,第三目标文件进入I/o管理器的第三驱动层,并继续请求存储设备(也就是物理存储设备)过滤驱动进行透明加密操作。本实施例中,只是以透明加密为例进行介绍的。当然,在这里,也可以进行透明解密操作。
[0023]步骤S06存储设备接受第三请求后,对第三目标文件进行透明加密操作得到第四目标文件:本步骤中,存储设备接受第三请求后,对第三目标文件进行透明加密操作得到第四目标文件,本实施例中,透明加密操作为将待写入内存的数据加密后保存到内存中,也就是只将写入内存的部分进行加密,透明加密操作可以采用DES对称算法。
[0024]步骤S07通过第四驱动层向存储设备发送对第四目标文件进行驱动的第四请求:本步骤中,通过第四驱动层向存储设备发送对第四目标文件进行驱动的第四请求,也就是第三请求被存储设备过滤驱动允许后,第四目标文件进入I/O管理器的第四驱动层,进入存储设备驱动请求。
[0025]步骤S08存储设备接受第四请求后将第四目标文件进行存储:本步骤中,存储设备接受第四请求后将第四目标文件进行存储,也就是第四请求被存储设备驱动允许后,第四目标文件将存储到存储设备中。
[0026]值得一提的是,上述方法的反向过程可以实现透明解密操作。在解密时,只对从内存读出的部分进行解密,可根据实际需要选择相应的解密方式。图2透明加解密实现文档本地存储的安全性,采用动态透明加解密在读取文件时,会将从内存读出的那部分数据进行解密,写文件时,则将写入到内存的部分数据加密并下传至存储设备,透明加解密技术是与操作系统紧密结合的一种技术,其工作于操作系统底层,由于内核级代码工作在驱动层,相对于应用级代码更难于被恶意用户绕过,所以用户访问控制与自我保护的效果优于应用级,所以其数据信息的安全性较高。同时,该方法充分利用了 NT分层驱动模型和过滤驱动的基本原理,同时又使用了 NT内核的一些机制提高了系统运行的效率,减小了系统的时空开销,增加了安全保护机制,保证用户信息和过滤驱动的安全性。
[0027]图2为本实施例中透明加解密的实现过程图。
[0028]本实施例还涉及一种实现上述基于驱动层内核级代码的文件加密的方法的装置,其结构示意图如图3所示。该装置工作于操作系统的底层,内核级代码工作在驱动层,本实施例中的操作系统为基于WindowsNT内核的操作系统。本实施例中,该装置在透明加解密的整个实现过程中经过四层驱动,因此,本实施例中的I/O管理器的驱动层有四个驱动层,分别为第一驱动层、第二驱动层、第三驱动层和第四驱动层。图3中,该装置包括第一请求发送单元1、文件过滤驱动单元2、第二请求发送单元3、文件驱动单元4、第三请求发送单元
5、加密单元6、第四请求发送单元7和存储单元8 ;其中,第一请求发送单元1用于通过第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求;文件过滤驱动单元2用于在文件系统接受第一请求后,对第一目标文件进行过滤驱动得到第二目标文件;第二请求发送单元3用于通过第二驱动层向文件系统发送对第二目标文件进行驱动的第二请求;文件驱动单元4用于在文件系统接受第二请求后,对第二目标文件进行驱动得到第三目标文件;第三请求发送单元5用于通过第三驱动层向存储设备发送对第三目标文件进行过滤驱动的第三请求;加密单元6用于在存储设备接受第三请求后,对第三目标文件进行透明加密操作得到第四目标文件;第四请求发送单元7用于通过第四驱动层向存储设备发送对第四目标文件进行驱动的第四请求;存储单元8用于在存储设备接受第四请求后将第四目标文件进行存储。
[0029]本实施例中,在加密单元6中,透明加密操作为将待写入内存的数据加密后保存到内存中。本实施例中,透明加密操作采用的DES对称算法,当然也可以根据具体需要选择其他方式的加密算法。在第一请求发送单元1中,采用用户身份识别的方式来判定第一请求是否拥有访问权限。该装置也可以实现透明解密操作。
[0030]总之,在本实施例中,本发明在基于WindowsNT内核的操作系统中,通过开发运行于内核模式的IFS(Installable File System)过滤驱动,可以监控所有对文件系统的访问,同时由驱动主控模块对其进行分析并阻截非法访问,实现对文件系统数据文件的安全防护,为文件系统搭建一个第三方的数据信息安全保障平台。系统采用了用户身份识别的方式来判定当前请求是否拥有访问权限,保证了数据信息的安全性。同时,本发明充分利用了 NT分层驱动模型和过滤驱动的基本原理,同时又使用了 NT内核的一些机制提高了系统运行的效率,减小了系统的时空开销,增加了安全保护机制,保证用户信息和过滤驱动的安全性。
[0031]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种基于驱动层内核级代码的文件加密的方法,其特征在于,工作于操作系统的底层, 所述内核级代码工作在驱动层,I/o管理器的驱动层包括第一驱动层、第二驱动层、第三驱动层和第四驱动层;所述方法包括如下步骤: A)通过所述第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求;B)所述文件系统接受所述第一请求后,对所述第一目标文件进行过滤驱动得到第二目标文件; C)通过所述第二驱动层向所述文件系统发送对所述第二目标文件进行驱动的第二请求; D)所述文件系统接受所述第二请求后,对所述第二目标文件进行驱动得到第三目标文件; E)通过所述第三驱动层向存储设备发送对所述第三目标文件进行过滤驱动的第三请求; F)所述存储设备接受所述第三请求后,对所述第三目标文件进行透明加密操作得到第四目标文件; G)通过所述第四驱动层向所述存储设备发送对所述第四目标文件进行驱动的第四请求; H)所述存储设备接受所述第四请求后将所述第四目标文件进行存储。2.根据权利要求1所述的基于驱动层内核级代码的文件加密的方法,其特征在于,在所述步骤F)中,所述透明加密操作为将待写入内存的数据加密后保存到内存中。3.根据权利要求2所述的基于驱动层内核级代码的文件加密的方法,其特征在于,所述透明加密操作采用DES对称算法。4.根据权利要求1至3任意一项所述的基于驱动层内核级代码的文件加密的方法,其特征在于,在所述步骤A)中,采用用户身份识别的方式来判定所述第一请求是否拥有访问权限。5.根据权利要求4所述的基于驱动层内核级代码的文件加密的方法,其特征在于,所述操作系统为基于WindowsNT内核的操作系统。6.一种实现如权利要求1所述的基于驱动层内核级代码的文件加密的方法的装置,其特征在于,工作于操作系统的底层,所述内核级代码工作在驱动层,I/O管理器的驱动层包括第一驱动层、第二驱动层、第三驱动层和第四驱动层;所述装置包括: 第一请求发送单元:用于通过所述第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求; 文件过滤驱动单元:用于在所述文件系统接受所述第一请求后,对所述第一目标文件进行过滤驱动得到第二目标文件; 第二请求发送单元:用于通过所述第二驱动层向所述文件系统发送对所述第二目标文件进行驱动的第二请求; 文件驱动单元:用于在所述文件系统接受所述第二请求后,对所述第二目标文件进行驱动得到第三目标文件; 第三请求发送单元:用于通过所述第三驱动层向存储设备发送对所述第三目标文件进行过滤驱动的第三请求; 加密单元:用于在所述存储设备接受所述第三请求后,对所述第三目标文件进行透明加密操作得到第四目标文件; 第四请求发送单元:用于通过所述第四驱动层向所述存储设备发送对所述第四目标文件进行驱动的第四请求; 存储单元:用于在所述存储设备接受所述第四请求后将所述第四目标文件进行存储。7.根据权利要求6所述的实现上述基于驱动层内核级代码的文件加密的方法的装置,其特征在于,在所述加密单元中,所述透明加密操作为将待写入内存的数据加密后保存到内存中。8.根据权利要求7所述的实现上述基于驱动层内核级代码的文件加密的方法的装置,其特征在于,所述透明加密操作采用DES对称算法。9.根据权利要6至8任意一项所述的实现上述基于驱动层内核级代码的文件加密的方法的装置,其特征在于,在所述第一请求发送单元中,采用用户身份识别的方式来判定所述第一请求是否拥有访问权限。10.根据权利要求9所述的实现上述基于驱动层内核级代码的文件加密的方法的装置,其特征在于,所述操作系统为基于WindowsNT内核的操作系统。
【专利摘要】本发明提出了一种基于驱动层内核级代码的文件加密的方法及装置,方法包括:通过第一驱动层发送对第一目标文件过滤驱动的第一请求;文件系统接受后对第一目标文件过滤驱动得到第二目标文件;通过第二驱动层发送对第二目标文件驱动的第二请求;文件系统接受后对第二目标文件驱动得到第三目标文件;通过第三驱动层向存储设备发送对第三目标文件过滤驱动的第三请求;存储设备接受后对第三目标文件进行透明加密操作得到第四目标文件;通过第四驱动层向存储设备发送对第四目标文件进行驱动的第四请求;存储设备接受后将第四目标文件进行存储。实施本发明的基于驱动层内核级代码的文件加密的方法及装置,具有以下有益效果:数据信息的安全性较高。
【IPC分类】G06F21/60
【公开号】CN105488420
【申请号】CN201410532699
【发明人】任刚, 舒畅, 张家福
【申请人】广州联奕信息科技有限公司
【公开日】2016年4月13日
【申请日】2014年10月10日
最新回复(0)