CN102609667A - 基于过滤驱动程序的文件自动加解密系统和方法 - Google Patents

基于过滤驱动程序的文件自动加解密系统和方法 Download PDF

Info

Publication number
CN102609667A
CN102609667A CN 201210040703 CN201210040703A CN102609667A CN 102609667 A CN102609667 A CN 102609667A CN 201210040703 CN201210040703 CN 201210040703 CN 201210040703 A CN201210040703 A CN 201210040703A CN 102609667 A CN102609667 A CN 102609667A
Authority
CN
Grant status
Application
Patent type
Prior art keywords
file
encryption
module
encrypted
decryption
Prior art date
Application number
CN 201210040703
Other languages
English (en)
Inventor
任达千
孟庆波
张伟中
程文锋
Original Assignee
浙江机电职业技术学院
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date

Links

Abstract

本发明公开了一种基于过滤驱动程序的文件自动加解密系统和方法。包括Windows操作系统中已有的WIN32子系统、文件驱动程序、磁盘驱动程序和物理磁盘;在WIN32子系统和文件驱动程序间增加一个文件过滤驱动程序模块、用户管理程序模块和文件加解密模块;文件过滤驱动程序模块位于文件驱动程序的上方,文件过滤驱动程序模块分别与用户管理程序模块和文件加解密模块相连,该系统安装在每一个客户端中。加解密系统能拦截所有对加密文件的操作,能自动实现文件加密和解密,对于有足够权限的用户,不会感觉到文件加密系统的存在。文件加密系统在一个局域网内运行,加密文件即使泄露到局域网外,也无法解密。

Description

基于过滤驱动程序的文件自动加解密系统和方法

技术领域

[0001] 本发明涉及一种加解密系统和方法,尤其是涉及一种基于过滤驱动程序的文件自动加解密系统和方法。

背景技术

[0002] 计算机文件加密技术广泛应用于各领域。比如在制造业领域,各种图纸、文档均存储在计算机中。这些图纸、文档是技术人员艰苦劳动的成果,也是企业重要的生产资料,并且可以为企业创造价值,因此需要有足够的保护措施。为了利用这些图纸、文档,又需要有拷贝、编辑、打印等操作,很多情况下也需要在一个局域网内传输。文件加密系统的功能是保护文件,既不影响对文件的正常操作,又能防止被非法访问、利用。

[0003]目前文件自动加解密系统的实现方法主要是应用层加密技术,即HOOK技术,在应用程序调用文件操作函数时,比如打开、关闭文件,读写文件时均会调用一个HOOK程序,在 HOOK程序中即可对文件进行加密和解密。这种加密技术比较容易实现,但是因为其原理的缺陷,容易被一些事先潜伏的木马病毒截获。这种技术的适应性较差,同时加密多种应用程序时相互干扰大。

发明内容

[0004] 本发明的目的在于提供一种基于过滤驱动程序的文件自动加解密系统和方法,驱动层加解密技术是通过设计一个文件过滤驱动程序模块,实现自动加密和解密功能,控制更加灵活,运行更加稳定。

[0005] 本发明采用的技术方案是:

一、一种基于过滤驱动程序的文件自动加解密系统:

本发明包括Windows操作系统中已有的WIN32子系统、文件驱动程序、磁盘驱动程序和物理磁盘;在WIN32子系统和文件驱动程序间增加一个文件过滤驱动程序模块、用户管理程序模块和文件加解密模块;文件过滤驱动程序模块位于文件驱动程序的上方,文件过滤驱动程序模块分别与用户管理程序模块和文件加解密模块相连,该系统安装在每一个客户端中。

[0006] 所述的每一个客户端通过局域网与服务器连接。

[0007] 所述的客户端的文件过滤驱动程序模块对文件的读、写操作进行拦截。

[0008] 二、一种基于过滤驱动程序的文件自动加解密的方法:

1)当客户端对文件进行读操作时,文件过滤驱动程序模块读取文件的加密数据块中的数据,判断是否为加密文件,如果是加密文件,则取得加密算法,再从服务器取得加密文件的权限、文件类型、文件合法用户这些信息,然后调用文件加解密模块对文件进行解密,然后调用文件驱动程序读取文件,如果不是加密文件,则文件过滤驱动程序模块调用文件驱动程序读取文件;

2)当客户端对文件进行写操作时,文件过滤驱动程序模块取得应用程序的名称、文件类型这些信息,判断是否需要加密,如果需要加密,则生成加密数据块,然后调用文件加解 密模块加密文件,再写入磁盘。调用用户管理程序模块,将加密文件的加密信息发送到服务 器保存,如果不需要加密,则调用文件驱动程序写文件。

[0009] 本发明有益的效果是:

本发明在一台加解密服务器上对同一局域网内计算机上的文件进行分类管理,可设置 不同的加解密等级,不同的访问权限。在驱动层截获应用程序对文件的操作,对文件的任何 操作都无法被绕过。增加了文件加解密系统的可靠性。具有访问权限的用户,在访问文件 时自动加解密,因此对加密文件的访问与普通文件完全一样,不会感觉到文件加解密系统 的存在。没有访问权限的用户,则只能得到文件密文,无法获取文件明文。文件如果流出局 域网,则无法对文件进行解密,无足够权限的用户即使得到文件,也无法利用加密文件。驱 动层加解密技术控制更加灵活,运行更加稳定。过滤驱动程序涉及到Windows系统内核,技 术门槛较高,核心技术仅被少数几家实力雄厚的公司所掌握,不容易被攻击。因此基于过滤 驱动程序的文件加密技术是一种很有发展前景的加密技术。

附图说明

[0010] 图1是自动加密系统局域网组成图。

[0011 ] 图2是Windows系统文件存取方式示意。

[0012] 图3是文件自动加密系统的结构图。

[0013] 图4是加密文件格式图。

[0014] 图5是读文件流程图。

[0015] 图6是写文件流程图。

具体实施方式

[0016] 下面结合附图和实施例对本发明作进一步说明。

[0017] 如图1所示,是自动加密系统局域网组成图。每一个客户端6通过局域网与服务 器5连接。服务器5上设置有加密文件数据库,包括每个加密文件的加密权限、加密算法等 信息。当客户端6向物理磁盘上写加密文件时,将自动加密,并将相关信息保存到服务器5 上。客户端6在读物理磁盘上的加密文件时,将向服务器5取得该文件的权限、加密算法等 信息,对于具有足够权限的用户,客户端6将自动解密文件。

[0018] 图2为Windows操作系统的文件系统示意图,这里所指的应用程序包括常见的 Word、Excel等办公软件,在制造业领域所使用的AutoCAD, ProE,Protel等软件。应用程序 读写文件时,首先调用WIN32子系统,比如CreateFile、ReadFile、WriteFile等系统函数。 WIN32子系统则调用操作系统内核的文件驱动程序,文件驱动程序进一步调用磁盘驱动程 序完成对物理磁盘的访问。应用程序和WIN32子系统运行于操作系统的用户模式,文件驱 动程序和磁盘驱动程序运行于操作系统的内核模式。

[0019] 如图3所示,文件自动加解密系统在现有Windows操作系统的文件系统基础上,增 加了 3部分程序模块,分别为文件过滤驱动程序模块1、用户管理程序模块2和文件加解密 模块3。其中文件过滤驱动程序模块1位于操作系统的内核,可以拦截、过滤任何对文件驱 动程序的调用,即WIN32子系统对文件驱动程序的任何调用比如文件打开、关闭、读、写等操作均先经过文件过滤驱动程序模块I。当应用程序读、写加密文件时,文件过滤驱动程序模块I即逆向调用用户管理程序模块2,用户管理程序模块2将文件的使用用户、管理权限、 加密等级等信息通过局域网发送到服务器5上,再根据返回的信息判断是否对文件进行加密、解密操作。文件加解密模块3则是一个动态加载模块,主要是自主开发的加解密算法的程序实现,也包括各种常见的加解密算法如MD5、DES和RSA等的程序实现,供文件过滤驱动程序程序模块I调用。因此本发明公开的文件加解密系统可以根据用户需要选用不同的加密算法。如上所述,对三部分程序做了不同的分工,文件过滤驱动程序模块I是运行于内核模式,开发、调试都比较困难,而对运算速度的要求较高,因此文件过滤驱动程序模块I只实现最必须的功能。网络通讯、用户界面等功能均在用户管理程序模块2实现。文件加解密模块3主要是复杂的加解密算法,在用户模式下,有利于开发、调试和修改。

[0020] 如图4所示,未加密的文件为明文,加密文件包括加密数据块4和密文。加密数据块4位于加密文件头部,是一个4K字节大小的数据块,为使加密系统可以使用多种加密方法,在加密数据块4中保存加密标记、加密等级、加密算法标记、密钥等信息。文件头部之后是文件的密文,因加密算法的不同,密文长度可以与明文长度相等,也可以不相等。

[0021] 读取加密文件的流程图,如图5所示,当用户程序读取一个加密文件时,比如办公软件Word程序读取一个*. doc文件,当过滤驱动程序拦截这个读取操作时,先读取文件头部4K字节的加密数据块,判断是否加密文件,并识别加密所用算法等,对于非加密文件,则调用文件驱动程序,完成文件读取。对于加密文件,文件过滤驱动程序模块I逆向调用用户管理程序模块2,用户管理程序模块2通过局域网获取服务器5上的加密文件权限、加密算法等信息,文件过滤驱动程序I接着再调用加解密模块3完成文件的解密。如果客户端6 的用户没有足够的权限,则不解密文件,直接返回密文文件。

[0022] 如图6所示,当文件过滤驱动程序模块I拦截到写文件操作时,将取得应用程序的名称、文件类型等信息。接着判断是否需要加密,加密完成后调用文件驱动程序将文件写入磁盘。再调用用户管理程序模块2,将加密文件的加密信息发送到服务器5保存。写文件的操作即告完成。

Claims (4)

1. 一种基于过滤驱动程序的文件自动加解密系统,包括Windows操作系统中已有的 WIN32子系统、文件驱动程序、磁盘驱动程序和物理磁盘;其特征在于:在WIN32子系统和文件驱动程序间增加一个文件过滤驱动程序模块(I)、用户管理程序模块(2)和文件加解密模块(3);文件过滤驱动程序模块(I)位于文件驱动程序的上方,文件过滤驱动程序模块(I)分别与用户管理程序模块(2)和文件加解密模块(3)相连,该系统安装在每一个客户端(6)中。
2.根据权利要求I所述的一种基于过滤驱动程序的文件自动加解密系统,其特征在于:所述的每一个客户端(6)通过局域网与服务器(5)连接。
3.根据权利要求I所述的一种基于过滤驱动程序的文件自动加解密系统,其特征在于:所述的客户端(6)的文件过滤驱动程序模块(I)对文件的读、写操作进行拦截。
4.根据权利要求I所述系统的一种基于过滤驱动程序的文件自动加解密的方法,其特征在于:O当客户端对文件进行读操作时,文件过滤驱动程序模块(I)读取文件的加密数据块(4)中的数据,判断是否为加密文件,如果是加密文件,则取得加密算法,再从服务器(5)取得加密文件的权限、文件类型、文件合法用户这些信息,然后调用文件加解密模块(3 )对文件进行解密,然后调用文件驱动程序读取文件,如果不是加密文件,则文件过滤驱动程序模块(I)调用文件驱动程序读取文件;2)当客户端对文件进行写操作时,文件过滤驱动程序模块(I)取得应用程序的名称、文件类型这些信息,判断是否需要加密,如果需要加密,则生成加密数据块(4),然后调用文件加解密模块(3 )加密文件,再写入磁盘,调用用户管理程序模块(2 ),将加密文件的加密信息发送到服务器(5)保存,如果不需要加密,则调用文件驱动程序写文件。
CN 201210040703 2012-02-22 2012-02-22 基于过滤驱动程序的文件自动加解密系统和方法 CN102609667A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 201210040703 CN102609667A (zh) 2012-02-22 2012-02-22 基于过滤驱动程序的文件自动加解密系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201210040703 CN102609667A (zh) 2012-02-22 2012-02-22 基于过滤驱动程序的文件自动加解密系统和方法

Publications (1)

Publication Number Publication Date
CN102609667A true true CN102609667A (zh) 2012-07-25

Family

ID=46527027

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201210040703 CN102609667A (zh) 2012-02-22 2012-02-22 基于过滤驱动程序的文件自动加解密系统和方法

Country Status (1)

Country Link
CN (1) CN102609667A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102891749A (zh) * 2012-09-25 2013-01-23 东莞宇龙通信科技有限公司 数据加密的方法及其通信终端
CN103078866A (zh) * 2013-01-14 2013-05-01 成都西可科技有限公司 移动平台透明加密方法
CN104301111A (zh) * 2014-10-11 2015-01-21 中国科学院国家授时中心 北斗高精度差分信息安全传输方法
CN105243332A (zh) * 2014-06-23 2016-01-13 中兴通讯股份有限公司 加密方法及装置、内核加密数据的操作方法及装置
CN106203130A (zh) * 2016-06-26 2016-12-07 厦门天锐科技股份有限公司 一种基于智能动态驱动层的透明加解密方法
CN104156672B (zh) * 2014-08-06 2017-05-10 厦门天锐科技股份有限公司 基于linux的数据加密保护方法及系统
CN107423634A (zh) * 2017-06-30 2017-12-01 武汉斗鱼网络科技有限公司 文件解密方法、装置、计算机可读存储介质及设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1928881A (zh) * 2006-09-26 2007-03-14 南京擎天科技有限公司 一种计算机数据安全防护方法
CN101098224A (zh) * 2006-06-28 2008-01-02 中色科技股份有限公司 对数据文件动态加解密的方法
CN101729550A (zh) * 2009-11-09 2010-06-09 西北大学 基于透明加解密的数字内容安全防护系统及加解密方法
CN201682524U (zh) * 2010-04-19 2010-12-22 北京时代亿信科技有限公司 一种基于文件过滤驱动的文件流转权限控制系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101098224A (zh) * 2006-06-28 2008-01-02 中色科技股份有限公司 对数据文件动态加解密的方法
CN1928881A (zh) * 2006-09-26 2007-03-14 南京擎天科技有限公司 一种计算机数据安全防护方法
CN101729550A (zh) * 2009-11-09 2010-06-09 西北大学 基于透明加解密的数字内容安全防护系统及加解密方法
CN201682524U (zh) * 2010-04-19 2010-12-22 北京时代亿信科技有限公司 一种基于文件过滤驱动的文件流转权限控制系统

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102891749A (zh) * 2012-09-25 2013-01-23 东莞宇龙通信科技有限公司 数据加密的方法及其通信终端
CN103078866A (zh) * 2013-01-14 2013-05-01 成都西可科技有限公司 移动平台透明加密方法
CN103078866B (zh) * 2013-01-14 2015-11-04 成都西可科技有限公司 移动平台透明加密方法
CN105243332A (zh) * 2014-06-23 2016-01-13 中兴通讯股份有限公司 加密方法及装置、内核加密数据的操作方法及装置
CN104156672B (zh) * 2014-08-06 2017-05-10 厦门天锐科技股份有限公司 基于linux的数据加密保护方法及系统
CN104301111A (zh) * 2014-10-11 2015-01-21 中国科学院国家授时中心 北斗高精度差分信息安全传输方法
CN106203130A (zh) * 2016-06-26 2016-12-07 厦门天锐科技股份有限公司 一种基于智能动态驱动层的透明加解密方法
CN107423634A (zh) * 2017-06-30 2017-12-01 武汉斗鱼网络科技有限公司 文件解密方法、装置、计算机可读存储介质及设备

Similar Documents

Publication Publication Date Title
US8261320B1 (en) Systems and methods for securely managing access to data
Blaze A cryptographic file system for UNIX
US7587749B2 (en) Computer method and apparatus for managing data objects in a distributed context
US7987496B2 (en) Automatic application of information protection policies
US7562232B2 (en) System and method for providing manageability to security information for secured items
US20110113467A1 (en) System and method for preventing data loss using virtual machine wrapped applications
US20040091114A1 (en) Encrypting operating system
US20050066165A1 (en) Method and system for protecting confidential information
US20030110169A1 (en) System and method for providing manageability to security information for secured items
US20050262361A1 (en) System and method for magnetic storage disposal
US7171557B2 (en) System for optimized key management with file groups
US20090063869A1 (en) Securing Data in a Networked Environment
US20070277240A1 (en) Posture-based data protection
US20120036370A1 (en) Protecting Documents Using Policies and Encryption
US20100058072A1 (en) Content cryptographic firewall system
Gobioff et al. Security for network attached storage devices
US20050246778A1 (en) Transparent encryption and access control for mass-storage devices
Fu Group sharing and random access in cryptographic storage file systems
US7100047B2 (en) Adaptive transparent encryption
US20100235649A1 (en) Portable secure data files
US20090031128A1 (en) Transparent aware data transformation at file system level for efficient encryption and integrity validation of network files
US7827403B2 (en) Method and apparatus for encrypting and decrypting data in a database table
US20060085636A1 (en) Method and apparatus for data storage
US20110179412A1 (en) Information sharing system, computer, project managing server, and information sharing method used in them
Halcrow Demands, solutions, and improvements for Linux filesystem security

Legal Events

Date Code Title Description
C06 Publication
C10 Entry into substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)