一种基于驱动层内核级代码的文件加密的方法及装置的制造方法
【技术领域】
[0001]本发明涉及数据安全领域,特别涉及一种基于驱动层内核级代码的文件加密的方法及装置。
【背景技术】
[0002]随着计算机应用及网络技术的发展,数据信息的安全性也日益成为用户关注的焦点。各种各样的信息窃取方式层出不穷,给终端用户的数据信息带来了极大的安全隐患。攻击者对数据信息的觊觎始终围绕在终端用户计算机和服务器等的文件系统,以及网络中传输的数据信息。传统的数据安全防护是基于应用代码级的,其容易被恶意用户绕过,所以其数据信息的安全性不高。
【发明内容】
[0003]本发明要解决的技术问题在于,针对现有技术的上述数据信息的安全性不高的缺陷,提供一种数据信息的安全性较高的基于驱动层内核级代码的文件加密的方法及装置。
[0004]本发明解决其技术问题所采用的技术方案是:构造一种基于驱动层内核级代码的文件加密的方法,工作于操作系统的底层,所述内核级代码工作在驱动层,I/o管理器的驱动层包括第一驱动层、第二驱动层、第三驱动层和第四驱动层;所述方法包括如下步骤:
A)通过所述第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求;
B)所述文件系统接受所述第一请求后,对所述第一目标文件进行过滤驱动得到第二目标文件;
C)通过所述第二驱动层向所述文件系统发送对所述第二目标文件进行驱动的第二请求;
D)所述文件系统接受所述第二请求后,对所述第二目标文件进行驱动得到第三目标文件;
E)通过所述第三驱动层向存储设备发送对所述第三目标文件进行过滤驱动的第三请求;
F)所述存储设备接受所述第三请求后,对所述第三目标文件进行透明加密操作得到第四目标文件;
G)通过所述第四驱动层向所述存储设备发送对所述第四目标文件进行驱动的第四请求;
H)所述存储设备接受所述第四请求后将所述第四目标文件进行存储。
[0005]在本发明所述的基于驱动层内核级代码的文件加密的方法中,在所述步骤F)中,所述透明加密操作为将待写入内存的数据加密后保存到内存中。
[0006]在本发明所述的基于驱动层内核级代码的文件加密的方法中,所述透明加密操作采用DES对称算法。
[0007]在本发明所述的基于驱动层内核级代码的文件加密的方法中,在所述步骤A)中,采用用户身份识别的方式来判定所述第一请求是否拥有访问权限。
[0008]在本发明所述的基于驱动层内核级代码的文件加密的方法中,所述操作系统为基于WindowsNT内核的操作系统。
[0009]本发明还涉及一种实现上述基于驱动层内核级代码的文件加密的方法的装置,工作于操作系统的底层,所述内核级代码工作在驱动层,I/O管理器的驱动层包括第一驱动层、第二驱动层、第三驱动层和第四驱动层;所述装置包括:
第一请求发送单元:用于通过所述第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求;
文件过滤驱动单元:用于在所述文件系统接受所述第一请求后,对所述第一目标文件进行过滤驱动得到第二目标文件;
第二请求发送单元:用于通过所述第二驱动层向所述文件系统发送对所述第二目标文件进行驱动的第二请求;
文件驱动单元:用于在所述文件系统接受所述第二请求后,对所述第二目标文件进行驱动得到第三目标文件;
第三请求发送单元:用于通过所述第三驱动层向存储设备发送对所述第三目标文件进行过滤驱动的第三请求;
加密单元:用于在所述存储设备接受所述第三请求后,对所述第三目标文件进行透明加密操作得到第四目标文件;
第四请求发送单元:用于通过所述第四驱动层向所述存储设备发送对所述第四目标文件进行驱动的第四请求;
存储单元:用于在所述存储设备接受所述第四请求后将所述第四目标文件进行存储。
[0010]在本发明所述的实现上述基于驱动层内核级代码的文件加密的方法的装置中,在所述加密单元中,所述透明加密操作为将待写入内存的数据加密后保存到内存中。
[0011]在本发明所述的实现上述基于驱动层内核级代码的文件加密的方法的装置中,所述透明加密操作采用DES对称算法。
[0012]在本发明所述的实现上述基于驱动层内核级代码的文件加密的方法的装置中,在所述第一请求发送单元中,采用用户身份识别的方式来判定所述第一请求是否拥有访问权限。
[0013]在本发明所述的实现上述基于驱动层内核级代码的文件加密的方法的装置中,所述操作系统为基于WindowsNT内核的操作系统。
[0014]实施本发明的基于驱动层内核级代码的文件加密的方法及装置,具有以下有益效果:由于工作于操作系统的底层,内核级代码工作在驱动层,相对于应用级代码更难于被恶意用户绕过,所以用户访问控制与自我保护的效果优于应用级,所以其数据信息的安全性较高。
【附图说明】
[0015]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0016]图1为本发明基于驱动层内核级代码的文件加密的方法及装置一个实施例中系统的方法的流程图;
图2为所述实施例中透明加解密的实现过程图;
图3为所述实施例中装置的结构示意图。
【具体实施方式】
[0017]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0018]在本发明基于驱动层内核级代码的文件加密的方法及装置实施例中,其基于驱动层内核级代码的文件加密的方法的流程图如图1所示。该方法工作于操作系统的底层,内核级代码工作在驱动层,本实施例中的操作系统为基于WindowsNT内核的操作系统。本实施例中,该方法整个过程经过四层驱动,因此,本实施例中的I/O管理器的驱动层有四个驱动层,分别为第一驱动层、第二驱动层、第三驱动层和第四驱动层。图1中,该方法包括如下步骤:步骤S01通过第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求:本步骤中,通过I/O管理器的第一驱动层向文件系统发送对待加密的第一目标文件进行过滤驱动的第一请求,也就是第一目标文件(即需要加密的文件)通过I/O管理器请求文件系统过滤驱动进行文件访问控制,也相当于验证当前用户的合法性。值得一提的是,本实施例中,采用用户身份识别的方式来判定上述第一请求是否拥有访问权限,系统采用了用户身份识别的方式来判定当前请求是否拥有访问权限,保证了数据信息的安全性。当然,在本实施例的一些情况下,也可以采用其他方式来判定第一请求是否拥有访问权限。
[0019]步骤S02文件系统接受第一请求后,对第一目标文件进行过滤驱动得到第二目标文件:本步骤中,文件系统接受第一请求后,对第一目标文件进行过滤驱动得到第二目标文件,也就是第一请求被文件系统过滤驱动允许后,得到第二目标文件,第二目标文件是在用户权限范围内能访问的文件。
[0020]步骤S03通过第二驱动层向文件系统发送对第二目标文件进行驱动的第二请求:本步骤中,通过第二驱动层向文件系统发送对第二目标文件进行驱动的第二请求,具体就是第二目标文件进入I/o管理器的第二驱动层,并继续请求文件系统驱动。值得一提的是,第二驱动层是普通访问,是操作系统必须有的步骤。
[0021]步骤S04文件系统接受第二请求后,对第二目标文件进行驱动得到第三目标文件:本步骤中,文件系统接受第二请求后,对第二目标文件进行驱动得到第三目标文件。
[0022]步骤S05通过第三驱动层向存储设备发送对第三目标文件进行过滤驱动的第三请求:本步骤中,通过第三驱动层向存储设备发送对第三目标文件进行过滤驱动的第三请求,具体就是第二请求被文件系统允许后,第三目标文件进入I/o管理器的第三驱动层,并继续请求存储设备(也就是物理存储设备)过滤驱动进行透明加密操作。本实施例中,只是以透明加密为例进行介绍的。当然,在这里,也可以进行透明解密操作。
[0023]步骤S06存储设备接受第三请求后,对第三目标文件进行透明加密操作得到第四目标文件:本步骤中,存储设备接受第三请求后,对第三目标文件进行透明加密操作得到第四目标文件,本实施例中,透明加密操作为将待写入内存的数据加密后保存到内存中,也就是只将写入内存的部分进行加密,透明加密操作可以采用DES对称算法。