一种用户态监视加密磁盘的方法

一种用户态监视加密磁盘的方法
【技术领域】
[0001]本发明涉及信息安全、数据审计、远程协助等技术领域，具体的说，是一种用户态监视加密磁盘的方法。
【背景技术】
[0002]随着网络技术逐渐普及，以及信息泄漏对生活造成的威胁。人们逐渐开始在生活和工作中使用加密存储的方式来保护自己的数据不受到非授权的访问。而由此带来的问题是，在一个权限受控的网络中，难以对加密的存储数据进行监控。敏感数据脱离监控而导致外泄的事件时有发生，而绝大部分泄漏事件难以防范和取证。
[0003]例如，机密文件A在未加密时具有某些敏感字符，在内网的传输过程中，能够被一般的内容监控系统识别和记录。但是一旦有人使用了加密工具对存储文件A的设备进行了加密，则除非其本人，其他人无从读取该存储设备，更无从识别该文件是否机密文件，或者其是否包含机密信息。
[0004]虽然存储设备加密在信息保密性上具有优势，但是在对于防泄密要求较高的环境中，存在诸多矛盾，比如审计困难，取证困难。

【发明内容】

[0005]本发明的目的在于提供一种用户态监视加密磁盘的方法，通过对现有审计监控系统，提供一种有效、平滑的软件实现方案，使得其可以审计、监控加密存储设备上的文件，用于实现本发明的软件能够非常方便的嵌入现有的监控、审计环境中，而不必对现有的监控、审计软件、操作系统做更改，极大的降低了部署成本；同时，本发明能够对多种加密软件做到良好的普适性、兼容性和稳定性，不会对系统稳定性造成影响，也不用频繁升级和修改。
[0006]本发明通过下述技术方案实现:一种用户态监视加密磁盘的方法，在监控、审计环境和加密存储设备之间嵌入一个软件层，在需要监控、审计时，该软件层提供一个看起来完全透明的明文存储设备，通过对用户态进程注入，截获用户态和内核态的加密、解密交互数据，而后通过解密流程重放的方式对已加密数据进行解密获取明文，实现过滤和监控，当有人使用加密软件对存储设备进行加密时，及时给予记录以供事后审计；当监控和审计进程试图访问的文件位于被加密的存储介质中时，加密存储介质可以实时加载并解密。
[0007]进一步的，为更好的实现本发明，所述“通过对用户态进程注入，截获用户态和内核态的加密、解密交互数据，而后通过解密流程重放的方式对已加密数据进行解密获取明文，实现过滤和监控”具体包括以下步骤:
1)实现一个用户态的进程监视模块，所述进程监视模块监视系统中所有进程的启动，可以根据特定的特征匹配来识别当前启动的进程是否是需要进行监视的目标进程；
2)实现一个用户态的动态链接库注入模块，所述动态链接库注入模块可以注入到指定目标进程中；
3)以动态链接库的形式，实现一个进程监控模块，在进程中搜寻到用户态与内核态交互接口，并通过热补丁的方式，将此接口的数据流重定向到进程监控模块中去；
4)在存储加密过程中，用户态进程与内核进行数据交互时，记录这些交互数据流以及文件位置信息到加密交互内容截获模块；
5)当监控、审计进程需要访问的文件位于加密的存储介质中时，软件从加密交互内容截获模块中找到解密流程使用的数据流，并使用该数据流和目标软件的驱动进行交互，重放解密流程，实现存储数据的解密。
[0008]进一步的，为更好的实现本发明，所述“用户态监视加密磁盘的方法”包括以下模块:
进程监视模块，监视系统内所有的进程启动，并根据软件特征码识别启动的进程是否是一个存储加密软件进程；
动态链接库注入模块，将加密截获模块注入到待监视进程中；
加密交互内容截获模块，记录解密信息；
加密设备重载模块，对已加密的存储数据重新加载并提供明文访问接口。
[0009]进一步的，为更好的实现本发明，所述“进程注入”，将某个动态连接库置于进程空间运行，并且使用热补丁的方式替换原进程与驱动通讯的接口函数为自身某个监视函数，以达到监视用户态进程与驱动的加密会话过程；
所述“热补丁的方式”，在进程运行过程中，不需要重新启动进程，在内存中对进程代码进行修改并且实时生效的进程代码修改方法；
所述“加密设备重载”，利用加密交互内容截获模块已记录的信息，对解密流程进行“重放”而获取明文的过程。
[0010]本发明与现有技术相比，具有以下优点及有益效果:
(I)本发明通过对现有审计监控系统，提供一种有效、平滑的软件实现方案，使得其可以审计、监控加密存储设备上的文件，用于实现本发明的软件能够非常方便的嵌入现有的监控、审计环境中，而不必对现有的监控、审计软件、操作系统做更改，极大的降低了部署成本；同时，本发明能够对多种加密软件做到良好的普适性、兼容性和稳定性，不会对系统稳定性造成影响，也不用频繁升级和修改。
[0011](2)本发明的应用具有透明性、稳定性及便捷性优势。
【附图说明】
[0012]图1是监控模块注入前本软件和存储加密软件工作原理图。
[0013]图2是本软件的监控模块注入存储加密软件工作流程图。
[0014]图3是监控模块注入后本软件和存储加密软件工作原理图。
[0015]图4是重载模块加载加密后的存储数据工作原理图。
【具体实施方式】
[0016]本发明涉及用户态进程注入、进程启动监控、内存代码补丁等多方面内容，是计算机技术在上述领域的一种综合应用。在本发明的实现过程中，会涉及到多个软件功能模块的应用。申请人认为，如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。
[0017]下面结合实施例对本发明作进一步地详细说明，但本发明的实施方式不限于此。
[0018]实施例1:
本发明提出了一种用户态监视加密磁盘的方法，结合图1、图2、图3、图4所示，在监控、审计环境和加密存储设备之间嵌入一个软件层，在需要监控、审计时，该软件层提供一个看起来完全透明的明文存储设备，通过对用户态进程注入，截获用户态和内核态的加密、解密交互数据，而后通过解密流程重放的方式对已加密数据进行解密获取明文，实现过滤和监控，当有人使用加密软件对存储设备进行加密时，及时给予记录以供事后审计；当监控和审计进程试图访问的文件位于被加密的存储介质中时，加密存储介质可以实时加载并解密，通过对现有审计监控系统，提供一种有效、平滑的软件实现方案，使得其可以审计、监控加密存储设备上的文件，用于实现本发明的软件能够非常方便的嵌入现有的监控、审计环境中，而不必对现有的监控、审计软件、操作系统做更改，极大的降低了部署成本；同时，本发明能够对多种加密软件做到良好的普适性、兼容性和稳定性，不会对系统稳定性造成影响，也不用频繁升级和修改。
[0019]实施例2:
本实施例是在上述实施例的基础上进一步优化，进一步的，为更好的实现本发明，结合图1、图2、图3、图4所示，所述“通过对用户态进程注入，截获用户态和内核态的加密、解密交互数据，而后通过解密流程重放的方式对已加密数据进行解密获取明文，实现过滤和监控”具体包括以下步骤:
1)实现一个用户态的进程监视模块，所述进程监视模块监视系统中所有进程的启动，可以根据特定的特征匹配来识别当前启动的进程是否是需要进行监视的目标进程；
2)实现一个用户态的动态链接库注入模块，所述动态链接库注入模块可以注入到指定目标进程中；
3)以动态链接库的形式，实现一个进程监控模块，在进程中搜寻到用户态与内核态交互接口，并通过热补丁的方式，将此接口的数据流重定向到进程监控模块中去；
4)在存储加密过程中，用户态进程与内核进行数据交互时，记录这些交互数据流以及文件位置信息到加密交互内容截获模块；
5)当监控、审计进程需要访问的文件位于加密的存储介质中时，软件从加密交互内容截获模块中找到解密流程使用的数据流，并使用该数据流和目标软件的驱动进行交互，重放解密流程，实现存储数据的解密。
[0020]所述目标软件，指实现存储器数据加密的软件，典型地包括但不限于truectrypt，beecrypt 等。
[0021]所述加密存储设备(加密存储器或加密存储介质)，是指使用了加密软件对数据进行加密处理的存储设备。它一般实现为一个数据块和配套的存储设备过滤驱动，数据块的载体可以是一个文件或者真实的物理磁盘。数据块的外在表现为:在操作系统中形成一个独立的分区(partit1n)或者卷(volume)，一旦通过用户身份认证成功，它就会挂载(mount)于操作系统中，像正常磁盘分区一样使用，其上的加密解密操作对用户的文件操作不可见；但是未经身份认证，则数据块(存储数据的文件或者存储设备)不可直接读取。
[0022]所述数据流重定向，是指修改目标进程的代码执