CN108399341B - 一种基于移动端的Windows双重文件管控系统 - Google Patents
一种基于移动端的Windows双重文件管控系统 Download PDFInfo
- Publication number
- CN108399341B CN108399341B CN201810045418.2A CN201810045418A CN108399341B CN 108399341 B CN108399341 B CN 108399341B CN 201810045418 A CN201810045418 A CN 201810045418A CN 108399341 B CN108399341 B CN 108399341B
- Authority
- CN
- China
- Prior art keywords
- file
- mobile phone
- user
- computer
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/544—Buffers; Shared memory; Pipes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/545—Interprogram communication where tasks reside in different layers, e.g. user- and kernel-space
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Telephone Function (AREA)
Abstract
本发明公开了一种基于移动端的Windows双重文件管控系统。第一重管控采用Socket通信技术,用户将手机和电脑通过WiFi连接,电脑会隐式的验证接入手机的身份,并决定用户的操作权限;第二重管控采用基于Minifilter开发框架的内核模式的文件加解密驱动,文件在驱动层加密,用户无需记忆大量的文件密码,手机端通过匹配文件SHA‑3值将相应密钥传输给电脑解密。双重认证安全有效地保护用户个人电脑的文件安全,用户可以用手机来管控电脑上的文件,通过手机匹配电脑端文件的SHA‑3值自动调出文件密钥,方便快捷,同时文件在驱动层透明加解密,提供极高的安全性。双重认证安全有效地保护用户个人电脑的文件安全,本发明实用高效的性能蕴含着巨大的市场与应用前景。
Description
技术领域
本发明涉及信息安全技术领域,具体为一种基于移动端的Windows双重文件管控系统。
背景技术
如今,个人隐私信息与企业机密信息以电子文档的存储方式为主,而电子文档存在易于传播的特点。个人办公电脑上存在大量的企业机密文件,目前主要的信息泄密手段有直接的收买公司职员盗取电脑上的资料等(比如重要OFFICE文件,图纸文件等)。此时,防火墙、入侵检测等防护系统就形同虚设,起不到任何保护作用。据IDC统计,目前信息系统80%左右的攻击都来自于内部人员,而只有20%左右的攻击来自于外部人员。因此,要高度重视内部人员攻击。
作为数据防泄密安全厂商,天锐科技根据2015上半年网上曝出的企业商业窃密案件,进行了泄密事件整理,其中典型事件有:
(1)南京三超金刚石石具有限公司日语翻译窃走技术图纸后自己开公司获利千万;
(2)海尔前高管跳槽窃取商业秘密,给海尔集团分别造成直接经济损失372.44万元和2579.81万元。
从中可以看出,大部分的企业泄密的来源是技术人员参与窃密,可见内网安全犹需重视,企业泄密事件高发,数据安全问题需要警钟长鸣。
同时,个人私有电脑上也存在着大量的隐私文件,保护个人的隐私问题也显得尤为重要。
针对以上问题,大部分用户都会采取使用文件加密软件的解决办法,对电脑上的文件进行加密保护,可是如果需要保护的文件数量太多,这么多的文件若都使用同一个密钥,那么安全性将非常的低,为了增强安全性,我们可能会给每个文件设置不同的密码,可是这么多的密码和文件名又有记忆困难、难以管理的问题。
如今现有的文件加密软件只能对文件提供加密保护,降低其泄露的风险,然而文件加密软件却无法提供对文件加密密钥的安全保障,用户手动输入密码时仍存在文件密钥易被偷窥而泄露的风险,且大量的文件密钥存在难以管理、查找不便等问题,如何更好地实现文件的安全管控是目前丞需解决的问题。
发明内容
本发明要解决的技术问题在于,针对上述目前文件加密软件无法提供密钥的安全保障,且大量的文件密钥存在难以管理、查找不便的技术缺陷,提供了一种基于移动端的Windows双重文件管控系统来解决上述问题。
一种基于移动端的Windows双重文件管控系统,其特征在于,第一重管控采用Socket通信技术实现,用户将手机和电脑通过WiFi连接,电脑端会对连接的手机端进行隐式验证,决定用户的操作权限;第二重管控采用基于Minifilter开发框架的内核模式的文件加解密驱动,文件在文件系统驱动层加密,手机端通过匹配文件SHA-3值将相应密钥传输给电脑端进行密钥认证。
进一步的,所述第一重管控中进行的隐式验证用于身份认证,并分配相应的操作权限。
进一步的,所述第一重管控中进行的隐式验证,若验证失败,则判断操作权限为普通用户;若验证成功,则判断操作权限为管理员用户,普通用户只能查看文件,管理员用户能对文件进行编辑操作。
进一步的,所述第二重管控中进行的密钥认证,手机端通过匹配文件SHA-3值将相应密钥传输给电脑进行解密。
进一步的,电脑端与手机端的通信是通过构建C/S结构实现的,由电脑端作为服务端,手机作为客户端,形成一个小型的网络。
进一步的,电脑端采用C#语言实现了服务端的搭建,手机端采用Java语言实现了客户端的搭建。
进一步的,第一重管控流程如下:
S71、定义Start()函数开启服务,通过Socket类的构造函数Socket(AddressFamily.InterNetwork,SocketType.Stream,ProtocolType.Tcp)创建一个服务端socket描述符,然后通过Socket类中的Bind(localEndPoint)函数把IP地址和端口号赋给socket,接着调用Socket类中的Listen(1)函数监听这个socket,实时监听是否有服务端发来的请求;
S72、创建线程serverThread=new Thread(new ThreadStart(ReceiveAccept))并开启该服务器线程,首先定义客户端会话类Client,并在函数ReceiveAccept()中实例化该类,用于在相关函数中操作接收到的客户端socket;
S73、停止服务时,调用Socket类中的Close()函数和Thread类中的Abort()函数来关闭socket并终止线程。
进一步的,在第一重管控的验证操作完成后,应用将对文件读写的I/O请求进行过滤,应用将询问是否需要对文件进行加密;若选择加密,则电脑端随机产生一个密钥对文件进行加密,并对文件做特有标识存入硬盘,将加密文件SHA-3值以及文件密钥发送至手机端保存;若选择不加密,则驱动不对其进行操作;当驱动过滤到读文件I/O请求时,驱动判断该文件是否含有文件加密标识,若存在,则使用加密文件SHA-3值向手机请求文件密钥,并对文件进行解密;若该文件不含有文件加密标识,则该文件正常打开,驱动不对其进行其他操作;具体的第二重管控流程如下:
S81、应用程序发送读写文件的I/O请求;
S82、I/O管理器创建IRP,发送给Filter Manager,Filter Manger把IRP转化成FTL_CALLBACK_DATA发送给加解密过滤驱动实例,调用它的PreOperation()例程;
S83、在PreOperation()例程中,会根据进程访问控制策略,对文件访问执行相应的加解密处理,也会对一些预设操作进行拦截,文件密钥通过用户管理程序向Android端发送隐式请求;
S84、Minifilter过滤驱动处理结束后,如果没有结束该I/O请求,就把该请求发送到文件系统驱动继续处理,否则,Filter Manger把该请求返回给I/O管理器处理;
S85、底层驱动操作完成后返回给Filter Manager,调用过滤驱动实例PostOperation()例程,最后将结果返回给I/O管理器。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明一种基于移动端的Windows双重文件管控系统整体示意图;
图2是本发明中处理create请求的示意图;
图3是本发明中处理white请求的示意图;
图4是本发明中处理read请求的示意图;
图5是本发明中Windows开启端口监听界面示意图,
图6是本发明中手机端文件密钥库界面示意图,
图7是本发明中文件加密界面示意图,
图8是本发明中用户接收分享密钥界面示意图,
图9是本发明中用户模式修改文件被拦截界面示意图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现对照附图详细说明本发明的具体实施方式。
本发明为一种基于移动端的Windows双重文件管控系统。第一重管控采用Socket通信技术实现,用户将手机和电脑通过WiFi连接,电脑端会对接入手进行隐式验证,决定用户的操作权限;第二重管控采用采用基于Minifilter开发框架的内核模式的文件加解密驱动,文件在驱动层加密,用户无需记忆大量的文件密码,手机端通过匹配文件SHA-3值将相应密钥传输给电脑进行密钥认证,方便快捷。双重认证安全有效地保护用户个人电脑的文件安全。
1、第一重防护
第一重防护是对用户身份进行划分。当用户打开电脑端的应用并与手机相接后,手机自动发送身份信息进行隐式验证,若对手机验证失败,则该用户在查看机密文件时,不能更改文件内容;若验证成功,则用户可以对文件进行所有操作。
2、第二重防护
文件保密方式采用基于Minifilter开发框架的内核模式的文件加解密驱动,使得机密文件在硬盘上以密文方式存在,它的本质是一个加载在内核模式中的加解密过滤驱动程序,对读写文件的I/O请求自动的进行加解密操作[14]。该文件保护系统分为Windows端和Android端,Windows端主要进行文件加解密(SMS4算法加密)、用户身份权限验证等操作;Android端主要进行密钥存储和保护、密钥共享等操作。下面对该模块的功能做具体介绍。在第一重防护的验证操作完成后,应用将启动文件过滤驱动,对文件读写的I/O请求进行过滤。当驱动过滤到写文件I/O请求时,应用将询问用户是否需要对文件进行加密,若用户选择加密,则电脑端随机产生一个密钥,对文件进行加密,并对文件做特有标识后存入硬盘,将加密文件SHA-3值以及文件密钥发送至手机端保存;若用户选择不加密,则驱动不对其进行操作。当驱动过滤到读文件I/O请求时,驱动判断该文件是否含有文件加密标识,若存在,则使用加密文件SHA-3值向手机请求文件密钥,并对文件进行解密;若该文件不含有文件加密标识,则该文件正常打开,驱动不对其进行其他操作。
1)文件透明加解密方法:
文件透明加密技术采用的主要实现技术当前包括两种技术:钩子(Hook)技术和文件过滤驱动技术(File Filter Driver Technology)
二者的主要技术特点如下所述:
①钩子技术多实现在操作系统的应用层,它对操作目标类型文件的软件的文件读、写请求等进行应用层程序挂钩。在捕获到文件读请求或写请求时,将这些文件操作请求重定向到自定义的功能模块,在自定义的功能模块中对文件操作请求进行分析和处理。采用钩子技术实现的文件透明加密系统就是在自定义模块中对目标文件的数据进行加密或解密等操作。
②文件过滤驱动技术实现在操作系统的内核层之中,其程序主体以一个内核驱动程序的形式加载于操作系统内核,加载位置多为文件系统(File System)之上。在加载进操作系统内核后,文件过滤驱动即可对所有的文IO操作进行过滤(Filter),对过滤到的文件IO操作添加自定义操作。
根据以上,钩子技术主要运行于操作系统的用户层,由于各种软件的文件读写方式的多样化,一般需要针对每种软件进行特定处理,其适用性不广;另外,同样由于其运行于用户层,它的稳定性与文件过滤驱动技术相比得不到操作系统内核的保护,其稳定性较差;最后,钩子技术易受目标操作系统平台的限制,在有些平台下无法对特定的软件进行挂钩。文件过滤驱动技术由于其运行于内核层,它的适用性、稳定性和平台兼容性均得到了良好保证。故此,本系统选择使用文件过滤驱动技术实现对文件的透明操作,保护文件安全。
2)基于Minifilter的文件保护系统设计的具体功能:
①手机身份隐式认证
本功能是为了对机密文件查看者身份进行认证,对于只能查看文件的用户,其不能对文件明文内容进行修改;而文件所有者能够进行所有操作。在Windows端与Android端软件安装完成后,须将Windows端与Android端进行配置,Windows端将随机产生一个序列码发送给手机作为隐式认证的口令,本地保存序列码SHA-3值,若手机拥有该口令则视为该Windows端机密文件的所有者,其可对机密文件进行所有操作。
当Windows端与Android端都打开文件保护模块功能后,Windows端与Android端将进行隐式认证。Android端通过Socket将序列码发送给Windows端(发送过程采用公钥密码体制,对序列码加密),电脑端对序列码计算SHA-3值后与本地保存的值进行比较,若相同则通过认证,若不相同,则认证失败。
②文件密钥请求与收集和密钥共享当Windows端需要文件密钥时,会通过文件的SHA-3值向手机请求相应文件密钥,手机对本地数据数据库进行检索,若存在文件密钥,则将文件密钥发送至Windows端,Windows端通过密钥对文件进行驱动层解密。Windows端产生文件密钥时,会将密文文件的SHA-3值以及文件密钥发送至手机,手机存入本地数据库。密钥共享是将自己的文件加密密钥共享给指定用户。
③文件I/O请求过滤操作
本系统最主要的是加解密微过滤驱动程序,应用程序读写文件的过程是:创建文件句柄,调用读文件、写文件函数读写目标文件,最后关闭该句柄;在内核模式中,对应的过程是依次发送IRP_MJ_CREATE、IRP_MJ_READ或IRP_MJ_WRITE、IRP_MJ_CLOSE、IRP_MJ_CLEANUP等类型的I/O请求完成文件读写操作。
3、如图1所示是本发明的系统整体示意图,具体步骤如下:
(1)电脑端与手机端连接,进行隐式验证,用户管理程序给用户相应的文件操作权限,加载进程控制策略;
(2)应用程序发送读写文件的I/O请求;
(3)I/O管理器创建IRP,发送给Filter Manager,Filter Manger把IRP转化成FTL_CALLBACK_DATA发送给加解密过滤驱动实例,调用它的PreOperation()例程;
(4)在PreOperation()例程中,会根据进程访问控制策略,对文件访问执行相应的加解密处理,也会对一些操作进行拦截,文件密钥通过用户管理程序隐式向Android端请求;
(5)Minifilter过滤驱动处理结束后,如果没有结束该I/O请求,就把它发送到底层文件系统驱动继续处理,否则,Filter Manger把它返回给I/O管理器处理;
(6)底层驱动操作完成后返回给Filter Manager,调用过滤驱动实例的PostOperation()例程,最后将结果返回给I/O管理器。
如图2所示是处理create请求(用户管理程序创建一个请求,即对文件的创建或打开操作,此时I/O管理器如何进行处理,对应的是图中的I/O管理器那一块)的流程图,在应用程序创建或打开文件时,I/O管理器会调用IoCreateFile()例程来发送该I/O请求。根据用户需求以及文件标识,并不需要对所有的文件操作都执行加解密操作,而是要对用户指定文件进行加解密处理,对于其他文件则不作处理直接发送到文件系统驱动。
如图3所示是处理write请求(写数据的请求,用户管理程序向文件中写入数据)的流程图,对于需要加密的文件,捕获到该文件写请求时需对写入目标文件的数据进行加密。由于写入文件的数据是由用户模式应用程序传递到内核模式中,所以,当过滤到文件写入请求时,要写入文件的数据是可以获取到的,所以其加密逻辑是放在处理写请求IRP的前处理例程PreWrite中。因为存放写入文件的数据的缓冲区是不能被随意更改的,所以在PreWrite在内核中调用内核API(ExAllocatePool或ExAllocatePoolWithTag)从内核的内存池中手动分配一个缓冲区,将写入文件的数据拷贝到这个缓冲区中,然后对这个缓冲区中的数据调用加密算法进行加密,最后修改IRP请求中的数据缓冲区地址为上面分配的缓冲区地址传递给文件系统。在此过程中,也根据用户的权限进行拦截,对于没有修改文件权限的用户,不能对文件进行修改并保存。
如图4所示是处理read请求的流程图,当应用程序调用Win32API ReadFile读取文件中的数据或者内核模块调用内核API ZwReadFile读取文件数据时,其文件操作请求被I/O管理器封装为主功能码为IRP_MJ_READ的IRP请求包,其中包含目标文件的全路径、读取文件数据长度、读取文件的偏移量等操作信息。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (5)
1.一种基于移动端的Windows双重文件管控系统,其特征在于,第一重管控采用Socket通信技术实现,用户将手机和电脑通过WiFi连接,电脑端会对连接的手机端进行隐式验证,决定用户的操作权限;第二重管控采用基于Minifilter开发框架的内核模式的文件加解密驱动,文件在文件系统驱动层加密,手机端通过匹配文件SHA-3值将相应密钥传输给电脑端进行密钥认证;
所述第一重管控中进行的隐式验证,在Windows端与Android端软件安装完成后,须将Windows端与Android端进行配置,Windows端将随机产生一个序列码发送给手机作为隐式认证的口令,当用户打开电脑端的应用并与手机相接后,手机自动发送身份信息进行隐式验证,若验证失败,则判断操作权限为普通用户;若验证成功,则判断操作权限为管理员用户,普通用户只能查看文件,管理员用户能对文件进行编辑操作;所述身份信息为初始配置时所述Windows端随机产生的一个序列码;
所述第一重管控流程如下:
S61、定义Start()函数开启服务,通过Socket类的构造函数Socket(AddressFamily.InterNetwork,SocketType.Stream,ProtocolType.Tcp)创建一个服务端socket描述符,然后通过Socket类中的Bind(localEndPoint)函数把IP地址和端口号赋给socket,接着调用Socket类中的Listen(1)函数监听这个socket,实时监听是否有服务端发来的请求;
S62、创建线程serverThread=new Thread(new ThreadStart(ReceiveAccept))并开启该线程,首先定义客户端会话类Client,并在函数ReceiveAccept()中实例化该类,用于在相关函数中操作接收到的客户端socket;
S63、停止服务时,调用Socket类中的Close()函数和Thread类中的Abort()函数来关闭socket并终止线程;
在第一重管控的验证操作完成后,应用将对文件读写的I/O请求进行过滤,应用将询问是否需要对文件进行加密;若选择加密,则电脑端随机产生一个密钥对文件进行加密,并对文件做特有标识存入硬盘,将加密文件SHA-3值以及文件密钥发送至手机端保存;若选择不加密,则驱动不对其进行操作;当驱动过滤到读文件I/O请求时,驱动判断该文件是否含有文件加密标识,若存在,则使用加密文件SHA-3值向手机请求文件密钥,并对文件进行解密;若该文件不含有文件加密标识,则该文件被正常打开,驱动不对其进行其他操作;具体的第二重管控流程如下:
S71、应用程序发送读写文件的I/O请求;
S72、I/O管理器创建IRP,发送给Filter Manager,Filter Manger把IRP转化成FTL_CALLBACK_DATA发送给加解密过滤驱动实例,调用它的PreOperation()例程;
S73、在PreOperation()例程中,会根据进程访问控制策略,对文件访问执行相应的加解密处理,也会对一些预设操作进行拦截,文件密钥通过用户管理程序向Android端发送隐式请求;
S74、Minifilter过滤驱动处理结束后,如果没有结束该I/O请求,就把该请求发送到文件系统驱动继续处理,否则,Filter Manger把该请求返回给I/O管理器处理;
S75、底层驱动操作完成后返回给Filter Manager,调用过滤驱动实例PostOperation()例程,最后将结果返回给I/O管理器。
2.根据权利要求1所述的一种基于移动端的Windows双重文件管控系统,其特征在于,所述第一重管控中进行的隐式验证用于身份认证,并分配相应的操作权限。
3.根据权利要求1所述的一种基于移动端的Windows双重文件管控系统,其特征在于,所述第二重管控中进行的密钥认证,手机端通过匹配文件SHA-3值将相应密钥传输给电脑进行解密。
4.根据权利要求1所述的一种基于移动端的Windows双重文件管控系统,其特征在于,电脑端与手机端的通信是通过构建C/S结构实现的,由电脑端作为服务端,手机作为客户端,形成一个小型的网络。
5.根据权利要求1所述的一种基于移动端的Windows双重文件管控系统,其特征在于,电脑端采用C#语言实现了服务端的搭建,手机端采用Java语言实现了客户端的搭建。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810045418.2A CN108399341B (zh) | 2018-01-17 | 2018-01-17 | 一种基于移动端的Windows双重文件管控系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810045418.2A CN108399341B (zh) | 2018-01-17 | 2018-01-17 | 一种基于移动端的Windows双重文件管控系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108399341A CN108399341A (zh) | 2018-08-14 |
| CN108399341B true CN108399341B (zh) | 2020-10-30 |
Family
ID=63094627
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810045418.2A Active CN108399341B (zh) | 2018-01-17 | 2018-01-17 | 一种基于移动端的Windows双重文件管控系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108399341B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108831241A (zh) * | 2018-09-10 | 2018-11-16 | 河南职业技术学院 | 一种物联网仿真教学系统 |
| CN110795733A (zh) * | 2019-10-12 | 2020-02-14 | 苏州浪潮智能科技有限公司 | 管理主机中文件方法和装置 |
| CN112035885B (zh) * | 2020-08-26 | 2023-03-28 | 山谷网安科技股份有限公司 | 基于minifilter和usbkey的透明加解密文件驱动的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729550A (zh) * | 2009-11-09 | 2010-06-09 | 西北大学 | 基于透明加解密的数字内容安全防护系统及加解密方法 |
| CN102821096A (zh) * | 2012-07-17 | 2012-12-12 | 华中科技大学 | 一种分布式存储系统及其文件共享方法 |
| CN104200176A (zh) * | 2014-08-28 | 2014-12-10 | 电子科技大学 | 对智能移动终端中文件进行透明加解密的系统及方法 |
| CN107438024A (zh) * | 2017-07-27 | 2017-12-05 | 杭州冒险元素网络技术有限公司 | 一种基于会员制的在线行程管理装置以及权限管理方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8893285B2 (en) * | 2008-03-14 | 2014-11-18 | Mcafee, Inc. | Securing data using integrated host-based data loss agent with encryption detection |
-
2018
- 2018-01-17 CN CN201810045418.2A patent/CN108399341B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729550A (zh) * | 2009-11-09 | 2010-06-09 | 西北大学 | 基于透明加解密的数字内容安全防护系统及加解密方法 |
| CN102821096A (zh) * | 2012-07-17 | 2012-12-12 | 华中科技大学 | 一种分布式存储系统及其文件共享方法 |
| CN104200176A (zh) * | 2014-08-28 | 2014-12-10 | 电子科技大学 | 对智能移动终端中文件进行透明加解密的系统及方法 |
| CN107438024A (zh) * | 2017-07-27 | 2017-12-05 | 杭州冒险元素网络技术有限公司 | 一种基于会员制的在线行程管理装置以及权限管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108399341A (zh) | 2018-08-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7849514B2 (en) | Transparent encryption and access control for mass-storage devices | |
| US9032219B2 (en) | Securing speech recognition data | |
| EP0752635B1 (en) | System and method to transparently integrate private key operations from a smart card with host-based encryption services | |
| CN101853363A (zh) | 一种文件保护方法及系统 | |
| WO2021164166A1 (zh) | 一种业务数据保护方法、装置、设备及可读存储介质 | |
| CN102819702B (zh) | 文件加密运行方法和文件加密运行系统 | |
| CN110489996B (zh) | 一种数据库数据安全管理方法及系统 | |
| US20120278611A1 (en) | Vpn-based method and system for mobile communication terminal to access data securely | |
| CN107301544A (zh) | 一种区块链安全钱包系统 | |
| CN102227734A (zh) | 用于保护机密文件的客户端计算机和其服务器计算机以及其方法和计算机程序 | |
| CN108399341B (zh) | 一种基于移动端的Windows双重文件管控系统 | |
| WO2017166362A1 (zh) | 一种esim号码的写入方法、安全系统、esim号码服务器及终端 | |
| CN103268456A (zh) | 一种文件安全控制方法及装置 | |
| JPH07295892A (ja) | セキュアシステム | |
| CN106992851A (zh) | 基于TrustZone的数据库文件口令加解密方法、装置及终端设备 | |
| CN101739361A (zh) | 访问控制方法、访问控制装置及终端设备 | |
| JP2006155554A (ja) | データベース暗号化及びアクセス制御方法、セキュリティ管理装置 | |
| CN107066885A (zh) | 跨平台可信中间件的实现系统及实现方法 | |
| RU2546585C2 (ru) | Система и способ предоставления прав доступа приложениям к файлам компьютера | |
| WO2024045407A1 (zh) | 虚拟磁盘安全存储方法 | |
| CN110543775B (zh) | 一种基于超融合理念的数据安全防护方法及系统 | |
| JP2004070674A (ja) | 電子データ交換システムにおけるデータ保護装置及びデータ保護方法並びにそれに用いるプログラム | |
| CN104955043B (zh) | 一种智能终端安全防护系统 | |
| CN112688999B (zh) | 云存储模式下基于TrustZone的密钥使用次数管理方法及系统 | |
| CN112711762A (zh) | 一种数据库透明加密的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Ma Zhao Inventor after: Song Jun Inventor after: Yang Fan Inventor after: Zhang Hanqing Inventor after: Zhu Chaoqun Inventor after: Peng Yan Inventor before: Ma Zhao Inventor before: Song Jun Inventor before: Wang Lizhe Inventor before: Yang Fan Inventor before: Zhang Hanqing Inventor before: Zhu Chaoqun Inventor before: Peng Yan |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |