CN100429668C - 一种电子文件的自动保护方法及系统 - Google Patents
一种电子文件的自动保护方法及系统 Download PDFInfo
- Publication number
- CN100429668C CN100429668C CNB2006100901291A CN200610090129A CN100429668C CN 100429668 C CN100429668 C CN 100429668C CN B2006100901291 A CNB2006100901291 A CN B2006100901291A CN 200610090129 A CN200610090129 A CN 200610090129A CN 100429668 C CN100429668 C CN 100429668C
- Authority
- CN
- China
- Prior art keywords
- file
- file system
- intelligent key
- driver module
- key apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种安全性更高、保护手段更强的电子文件自动保护方法及系统,该方法通过文件系统过滤驱动模块接收文件系统模块下发的文件操作请求,当请求操作的文件为受保护文件时,通过智能密钥装置对用户进行身份认证,认证通过后,根据文件操作请求对该请求进行过滤处理,并将过滤结果信息返回;该方法将智能密钥装置同文件系统过滤驱动技术相结合对文件进行保护,进一步提高文件的安全性。
Description
技术领域
本发明涉及电子信息安全保护领域,特别涉及一种电子文件的自动保护方法及系统。
背景技术
随着计算机技术和信息技术的快速发展,计算机已成为人们日常生活、办公和学习必不可少的工具,越来越多的数据信息通过电子文件的形式保存在计算机上,例如以各种电子文档的形式;这种形式给人们带来便利的同时,也出现了安全性的问题--很多文档信息具有机密性,不能被随意阅读和篡改,因此需要保证敏感信息的安全性。目前人们主要利用加密和认证技术来控制非法操作者对敏感信息的访问,例如利用各种密钥机制对文件加密,或利用数字证书来验证操作者的身份,从而防止非法操作者访问文件。
现有技术中通常采用智能密钥装置以及过滤驱动技术对信息进行安全保护。智能密钥装置采用强双因子认证模式,内置单片机或智能卡芯片,可以存储操作者密钥和数字证书,利用智能密钥装置内置的密码算法实现对操作者身份认证和敏感信息的加解密。过滤驱动程序是一种可选择的特殊驱动程序,可以加载在其他驱动程序之上,用于修改或者增加原有驱动程序可以实现的功能,而不必修改原有驱动程序,也不必修改使用该原有驱动程序的应用程序;结合过滤驱动程序的这一特点,人们将过滤驱动程序加载在Windows操作系统文件处理模块的文件系统和操作系统驱动层的文件系统驱动之间,实现对文件读写进行监控;过滤驱动技术这种内核级的保护模式进一步提高了信息的安全性。
上述方法虽然提高了敏感信息的安全性,但是随着保护手段的不断改进,恶意分子的攻击手段也在不断更新,很多保护措施都不能满足对安全性日益增长的要求,因此,需要进一步改进对信息的保护手段以适应当今的需求。
发明内容
本发明所要解决的技术问题是提供一种安全性更高、保护手段更强的电子文件自动保护方法及系统。
为解决上述技术问题,本发明采取的技术方案是提供一种文件的自动保护方法,该方法包括下列步骤:
A1.文件系统过滤驱动模块接收文件操作请求;
A2.当请求操作的文件为受保护文件时,所述文件系统过滤驱动模块检测计算机是否已连接智能密钥装置;
A3.当已连接智能密钥装置时,验证用户身份;
A4.用户身份验证通过后,根据所述文件操作请求对该请求进行过滤处理;
A5.过滤完成后,所述文件系统过滤驱动模块返回过滤结果信息。
优选的,步骤A1还可以包括对操作请求的判断步骤,即所述文件系统过滤驱动模块判断所述操作请求是否是对受保护文件的操作,如果是,则执行步骤A2,如果否,则直接发送至下层文件系统驱动模块。
优选的,步骤A3中验证用户身份步骤:如果用户身份已经过验证,并验证通过,则执行步骤A4;否则,所述文件系统过滤驱动模块通知应用监控模块,提示用户进行身份认证,如果身份认证成功,则执行步骤A4,否则,所述文件系统过滤驱动模块结束所述操作请求;其中,通过所述智能密钥装置对用户进行身份认证。
优选的,步骤A4中所述的过滤处理可以是针对写文件操作请求或读文件操作请求,通过所述智能密钥装置对数据进行加密或解密处理;其过程表现为:所述文件系统过滤驱动模块根据所述智能密钥物理装置驱动设备对象将数据内容发送至智能密钥装置驱动模块,进而实现所述智能密钥装置对数据的加密或解密处理。
优选的,上述针对写文件操作请求或读文件操作请求的过滤处理,还可以通过所述文件系统过滤驱动模块对数据进行加密或解密处理。
优选的,所述过滤处理还可以是创建、删除、重命名或取文件信息操作请求,根据具体文件的保护策略返回错误信息或将该请求发送至文件系统驱动模块。
优选的,所述过滤处理是针对指定特定应用程序访问的文件进行的处理。
优选的,步骤A5中所述返回过滤结果信息可以为将所述过滤结果信息发送到下层文件系统驱动模块或返回文件系统或上层应用模块。
本发明还提供了一种文件的自动保护系统,用于实现上述文件自动保护方法,包括文件系统模块和文件系统驱动模块,还包括:
文件系统过滤驱动模块,用于接收所述文件操作请求,触发检测事件,以及对所述文件操作请求进行过滤处理,并发送过滤结果信息;
应用监控模块,监控所述文件系统过滤驱动模块,等待所述文件系统过滤驱动模块发送的事件并进行相应处理;
智能密钥装置,用于验证用户身份,以及与智能密钥装置驱动模块相关联;
智能密钥装置驱动模块,用于实现所述智能密钥装置同所述文件系统过滤驱动模块之间的关联;
优选的,所述智能密钥装置对数据进行加密或解密处理。
优选的,所述文件系统过滤驱动模块对数据进行加密或解密处理。
优选的,所述智能密钥装置驱动模块还可以建立所述智能密钥装置同所述应用监控模块之间的关联。
同现有技术相比,本发明的技术方案具有以下优点:
1.建立智能密钥装置同文件系统过滤驱动模块的关联,通过获取智能密钥装置对应的设备驱动设备对象,进而实现智能密钥装置的加解密技术同文件系统过滤驱动技术的结合。
2.通过将智能密钥装置同文件系统过滤驱动技术结合对文件进行保护,操作者如果想对受保护的文件进行操作必须首先通过智能密钥装置的身份认证,再经过过滤驱动模块的过滤,这种方法进一步提高了文件的安全性,保护手段也进一步增强。
附图说明
图1是本发明所述电子文件自动保护系统的结构图;
图2是本发明所述电子文件自动保护方法的总体流程图;
图3是本发明所述电子文件自动保护方法的具体流程图。
具体实施方式
本发明的核心思想是:文件系统过滤驱动模块接收文件操作请求,通过智能密钥装置对操作用户进行身份认证,认证通过后再对操作请求进行过滤处理,最后返回过滤结果信息,即:将智能密钥装置和文件系统过滤驱动模块相关联,共同实现对文件的保护。
参照图1,是本发明所述电子文件自动保护系统的结构图;
如图所示,在Windows及其他操作系统文件处理模块的文件系统模块11和操作系统驱动层的文件系统驱动模块13之间,包括一个用于实现文件监控和读写保护的文件系统过滤驱动模块12。文件系统过滤驱动模块12通过获取与智能密钥装置16对应的设备驱动设备对象与智能密钥装置16相关联。文件系统过滤驱动模块12还与应用监控模块14相关联,实现与操作者的交互,操作者可以通过应用监控模块14配置文件的保护策略;监控文件系统过滤驱动模块12,等待驱动发来的事件并进行相应的处理。智能密钥装置驱动模块15用以实现智能密钥装置16同文件系统过滤驱动模块12及应用监控模块14之间的关联。
参照图2,是本发明所述电子文件自动保护方法的总体流程图;
步骤201,文件系统过滤驱动模块接收文件操作请求;
文件系统过滤驱动模块12接收来自计算机操作系统中文件系统模块11的文件操作请求,即截获相应的请求包。
步骤202,判断操作请求是否是对受保护文件的操作;
文件系统过滤驱动模块12从请求包中的内容获得操作请求文件的文件名,根据配置文件保护策略判断是否是受保护的文件,如果否,则将该操作请求直接发送至下层的文件系统驱动模块13,进行相应的常规操作;如果是,则读取请求包中的数据内容,并执行下列步骤。
步骤203,检测计算机是否已连接智能密钥装置;
文件系统过滤驱动模块12获取智能密钥装置16对应的设备驱动设备对象,如果取设备对象不成功,则说明智能密钥装置16不存在,则不能对受保护文件进行相应操作,并提示错误;如果取设备对象成功,则说明智能密钥装置16已经存在系统中,接下来验证智能密钥装置16持有者的身份,如果已经验证过智能密钥装置16持有者的身份并且验证通过,则不需要再进行验证,否则文件系统过滤驱动模块12发事件通知应用监控模块14弹出界面要求输入智能密钥装置16的pin码或指纹、虹膜等生物特征信息,应用监控模块14通过智能密钥装置驱动模块15调用智能密钥装置16验证用户身份,智能密钥装置16将身份认证结果返回应用监控模块14,应用监控模块14再将结果发送至文件系统过滤驱动模块12,如果身份认证不成功,应用监控模块14提示身份认证不通过,文件系统过滤驱动模块12直接返回上述操作请求;如果身份认证成功,执行下列步骤。
步骤204,用户身份认证通过后,对上述文件操作请求进行过滤处理;
优选的,所述过滤处理可以是通过智能密钥装置16完成对数据内容的加密、解密;文件系统过滤驱动模块12根据智能密钥物理装置设备驱动设备对象把数据内容转发到智能密钥装置驱动模块15,从而使用智能密钥装置16完成对数据的加密或者解密,当加密或者解密后的数据内容返回到文件系统过滤驱动模块12后,用该数据内容替换原来请求包中的数据内容。下面结合附图3对上述过程进行详细描述。
参照图3,是本发明所述电子文件自动保护方法的具体流程图;
步骤308,文件系统过滤驱动模块12根据操作请求的具体内容判断是哪种请求:如果是IRP_MJ_WRITE写请求,则步骤313使用智能密钥装置16对数据进行加密处理,加密处理的方法就是由文件系统过滤驱动模块12获取智能密钥装置16的设备驱动设备对象,通过该设备对象把请求包中的明文数据发往智能密钥装置驱动模块15,从而使明文数据经智能密钥装置16加密处理后转换成密文,智能密钥装置驱动模块15将密文返回到文件系统过滤驱动模块12,文件系统过滤驱动模块12用密文数据替换原来请包中的明文数据内容。
如果是IRP_MJ_READ读请求,则步骤309将请求提交给下层驱动模块,步骤310中下层驱动模块将要读取的数据返回给文件系统过滤驱动模块12,步骤311利用智能密钥装置16中的密钥解密数据,解密方法与加密方法类似,就是把密文数据发往智能密钥装置驱动模块15,经智能密钥装置16解密成明文,智能密钥装置驱动模块15将该明文返回到文件系统过滤驱动模块12,文件系统过滤驱动模块12用明文数据替换原来请包中的密文数据内容。
如果是某些特定的请求包(根据操作者特定要求),例如创建、删除、重命名或取文件信息等特殊操作,则步骤314根据具体文件的保护策略返回错误或由步骤316将请求向下发送给下层驱动模块。如果上述特殊操作的文件为指定特定应用程序文件,当发现IRP是IRP_MJ_CREATE类型,此时取访问此文件的应用程序名称,根据此名称判断,如果应用程序不是指定应用程序,则文件系统过滤驱动模块12直接返回错误状态。
如果是其他操作,则步骤315不对请求作任何处理,进行步骤316将请求向下发送给下层驱动模块。
优选的,所述过滤处理还可以是通过文件系统过滤驱动模块12完成对数据内容的加密、解密;与智能密钥装置16完成加解密操作的不同之处在于,对数据内容的加解密直接通过公知的过滤驱动技术完成,而智能密钥装置16在此优选方式中只起到验证用户身份的作用。
步骤205,过滤完成后文件系统过滤驱动模块返回过滤结果信息。
通过步骤204中两种优选方式的其中一个完成过滤处理后,根据请求包原来的传递方向把数据传送到文件系统过滤驱动模块12的上层文件系统、上层应用模块或者下层文件系统驱动模块,即返回过滤结果信息,从而实现本发明双重保护文件的目的。
以上应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (8)
1.一种电子文件的自动保护方法,其特征在于,包括以下步骤:
101.文件系统过滤驱动模块接收文件操作请求,根据保护策略判断所述操作请求是否是对受保护文件的操作,如果是,则执行步骤
102,如果否,则直接发送至下层文件系统驱动;
102.当请求操作的文件为受保护文件时,所述文件系统过滤驱动模块检测计算机是否已连接智能密钥装置;
103.当已连接智能密钥装置时,通过智能密钥装置验证用户身份,如果用户身份已经过验证,并验证通过,则执行步骤104,否则,所述文件系统过滤驱动模块通知应用监控模块,应用监控模块提示用户进行身份验证,并通过所述智能密钥装置对用户身份进行验证,如果身份验证成功,则执行步骤104,否则,所述文件系统过滤驱动模块结束所述操作请求;
104.用户身份验证通过后,根据所述文件操作请求对该请求进行过滤处理,所述过滤处理包括针对读写文件操作请求,对读数据的解密和对写数据的加密;
105.过滤处理完成后,所述文件系统过滤驱动模块将所述过滤处理的结果信息发送到下层文件系统驱动模块或返回文件系统或上层应用模块。
2.如权利要求1所述的方法,其特征在于,所述对读数据进行解密处理和对写数据进行加密处理由所述智能密钥装置完成。
3.如权利要求2所述的方法,其特征在于,所述文件系统过滤驱动模块根据所述智能密钥物理装置驱动设备对象将数据内容发送至智能密钥装置驱动模块,进而实现所述智能密钥装置对数据的加密或解密处理。
4.如权利要求1所述的方法,其特征在于,所述对读数据进行解密处理和对写数据进行加密处理由所述文件系统过滤驱动模块完成。
5.如权利要求1所述的方法,其特征在于,所述过滤处理还包括针对创建、删除、重命名或取文件信息操作请求,根据具体文件的保护策略返回错误信息或将该请求发送至文件系统驱动模块。
6.如权利要求1所述的方法,其特征在于,所述过滤处理是针对指定特定应用程序访问的文件进行的处理。
7.一种文件的自动保护系统,其特征在于,包括:
文件系统过滤驱动模块,用于接收所述文件操作请求,根据保护策略触发对智能密钥装置的检测,在用户身份验证通过后,对所述文件操作请求进行过滤处理,所述过滤处理包括针对读写文件操作请求,对读数据的解密和对写数据的加密,并发送过滤处理结果信息;
应用监控模块,用于配置文件保护策略,监控所述文件系统过滤驱动模块,提示用户进行身份认证,等待所述文件系统过滤驱动模块发送的事件并进行相应处理;
智能密钥装置,用于验证用户身份,以及与智能密钥装置驱动模块相关联;
智能密钥装置驱动模块,用于实现所述智能密钥装置同所述文件系统过滤驱动模块和应用监控模块之间的关联。
8.如权利要求7所述的系统,其特征在于,所述对读数据进行解密和对写数据进行加密的处理由智能密钥装置代替所述文件系统过滤驱动模块来完成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100901291A CN100429668C (zh) | 2006-06-23 | 2006-06-23 | 一种电子文件的自动保护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100901291A CN100429668C (zh) | 2006-06-23 | 2006-06-23 | 一种电子文件的自动保护方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1877594A CN1877594A (zh) | 2006-12-13 |
| CN100429668C true CN100429668C (zh) | 2008-10-29 |
Family
ID=37510024
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100901291A Active CN100429668C (zh) | 2006-06-23 | 2006-06-23 | 一种电子文件的自动保护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100429668C (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101916349A (zh) * | 2010-07-30 | 2010-12-15 | 中山大学 | 基于过滤驱动的文件访问控制方法、系统及过滤器管理器 |
| CN102609652B (zh) * | 2012-02-07 | 2015-01-07 | 浪潮(北京)电子信息产业有限公司 | 针对打开中的文件实现保护的方法及装置 |
| CN102831346B (zh) * | 2012-07-31 | 2015-09-02 | 深圳市紫色力腾科技发展有限公司 | 一种文件保护系统进行文件加解密的方法 |
| CN104834869A (zh) * | 2012-08-07 | 2015-08-12 | 北京奇虎科技有限公司 | 一种文件保护处理的方法和装置 |
| CN103366115B (zh) * | 2013-07-03 | 2016-03-23 | 中国联合网络通信集团有限公司 | 安全性检测方法和装置 |
| CN105488420B (zh) * | 2014-10-10 | 2018-08-28 | 广州联奕信息科技有限公司 | 一种基于驱动层内核级代码的文件加密的方法及装置 |
| CN104484608A (zh) * | 2014-12-16 | 2015-04-01 | 北京奇虎科技有限公司 | 一种应用程序的消息处理方法和装置 |
| CN106897636A (zh) * | 2017-02-28 | 2017-06-27 | 郑州云海信息技术有限公司 | 一种基于api hook的移动存储介质安全管理方法 |
| CN108509802B (zh) * | 2018-02-28 | 2020-01-14 | 郑州信大捷安信息技术股份有限公司 | 一种应用程序数据防泄密方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1595374A (zh) * | 1999-10-11 | 2005-03-16 | 三星电子株式会社 | 通用串行总线使用的便携式集成电路存储设备 |
| CN1725196A (zh) * | 2005-06-06 | 2006-01-25 | 付爱香 | 一种计算机数据的加密保护及读写控制方法 |
| US20060080137A1 (en) * | 2004-10-04 | 2006-04-13 | Chambers Kevin B | USB MED STICK with personal medical history |
| JP2006139489A (ja) * | 2004-11-11 | 2006-06-01 | Nippon Telegr & Teleph Corp <Ntt> | 共同利用パソコンシステムの環境復元方法および共同利用パソコン |
-
2006
- 2006-06-23 CN CNB2006100901291A patent/CN100429668C/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1595374A (zh) * | 1999-10-11 | 2005-03-16 | 三星电子株式会社 | 通用串行总线使用的便携式集成电路存储设备 |
| US20060080137A1 (en) * | 2004-10-04 | 2006-04-13 | Chambers Kevin B | USB MED STICK with personal medical history |
| JP2006139489A (ja) * | 2004-11-11 | 2006-06-01 | Nippon Telegr & Teleph Corp <Ntt> | 共同利用パソコンシステムの環境復元方法および共同利用パソコン |
| CN1725196A (zh) * | 2005-06-06 | 2006-01-25 | 付爱香 | 一种计算机数据的加密保护及读写控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1877594A (zh) | 2006-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100429668C (zh) | 一种电子文件的自动保护方法及系统 | |
| US8417946B2 (en) | Method and apparatus for accessing an electronic device by a data terminal | |
| CN101430752B (zh) | 计算机与移动存储设备的敏感数据交换控制模块及方法 | |
| CN101334915B (zh) | 生物体认证装置、生物体信息取得方法和装置 | |
| US7861015B2 (en) | USB apparatus and control method therein | |
| CN100533459C (zh) | 数据安全读取方法及其安全存储装置 | |
| CN102831346B (zh) | 一种文件保护系统进行文件加解密的方法 | |
| JP4681053B2 (ja) | 電子計算機のデータ管理方法、プログラム、及び記録媒体 | |
| CN100399304C (zh) | 利用过滤驱动程序结合智能密钥装置自动保护磁盘数据的方法 | |
| JPWO2007049625A1 (ja) | 電子計算機のデータ管理方法、プログラム、及び記録媒体 | |
| CN101443744A (zh) | 传送权限对象的方法和电子装置 | |
| CN102812473A (zh) | 基于可执行程序身份的文件访问 | |
| EP1775881A1 (en) | Data management method, program thereof, and program recording medium | |
| JP2016531508A (ja) | データセキュアストレージ | |
| CN103345601A (zh) | 基于射频的身份记录和验证系统 | |
| CN1956016A (zh) | 存储介质发行方法 | |
| CN100419719C (zh) | 利用过滤驱动程序结合智能密钥装置自动保护u盘的方法 | |
| CN101097589A (zh) | 打印系统、打印控制方法以及计算机可读介质 | |
| AU2020386382B2 (en) | Cryptographic key management | |
| KR20150128328A (ko) | 증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법 | |
| CN101237353A (zh) | 一种利用usbkey监控移动存储设备的方法和系统 | |
| US9076007B2 (en) | Portable data support with watermark function | |
| WO2018095737A1 (fr) | Procede de generation d'un acces pour une entite a des donnees d'identification d'une personne, dispositif de generation et procede d'authentification associes | |
| CN110059507B (zh) | 一种实现智能安全u盘的系统及方法 | |
| TWI444849B (zh) | 透過伺服器驗證並授權解密以監控個資檔案之系統及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: FEITIAN TECHNOLOGIES CO., LTD. Free format text: FORMER NAME: BEIJING FEITIAN CHENGXIN TECHNOLOGY CO., LTD. |
|
| CP03 | Change of name, title or address |
Address after: 100085 Beijing city Haidian District Xueqing Road No. 9 Ebizal building B block 17 layer Patentee after: Feitian Technologies Co., Ltd. Address before: 100083, Haidian District, Xueyuan Road, Beijing No. 40 research, 7A building, 5 floor Patentee before: Beijing Feitian Chengxin Science & Technology Co., Ltd. |