CN113688411A - 一种基于Netlink技术的国产操作系统文件透明加解密系统 - Google Patents
一种基于Netlink技术的国产操作系统文件透明加解密系统 Download PDFInfo
- Publication number
- CN113688411A CN113688411A CN202110975973.7A CN202110975973A CN113688411A CN 113688411 A CN113688411 A CN 113688411A CN 202110975973 A CN202110975973 A CN 202110975973A CN 113688411 A CN113688411 A CN 113688411A
- Authority
- CN
- China
- Prior art keywords
- file
- netlink
- kernel
- decryption
- application layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/545—Interprogram communication where tasks reside in different layers, e.g. user- and kernel-space
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于Netlink技术的国产操作系统文件透明加解密系统,所述系统包括:内核模块和应用层;所述内核模块搜索系统调用表,捕获常用的系统调用操作;内核模块与应用层建立netlink通信;内核模块监控进程的系统调用操作,当进程为受控进程时,将系统调用操作通过netlink通知应用层程序;应用层处理完成后将返回值传递给内核模块,内核模块继续完成系统调用的工作。本发明解决现有国产操作系统透明加解密操作适配度低、算法难以统一的问题。
Description
技术领域
本发明涉及加解密技术领域,具体涉及一种基Netlink技术的国产操作系统文件透明加解密系统。
背景技术
现有的基于国产操作系统的透明加解密方案通常有两种方式,一、在应用层HOOK同时调用应用层的加解密库进行加解密,此时所有的工作都是在应用层完成的,不涉及到任何与内核态的交互及操作;二、在内核态进行HOOK并调用内核的加解密库进行加解密,核心的功能都是在内核态实现,基本不涉及与应用层的交互。本发明实现了在内核层进行HOOK并调用应用层的加解密库进行透明加解密的功能。
在应用层HOOK同时调用应用层的加解密库实现透明加解密的缺陷在于实现层级太高,要对每一个需要实现透明加解密的进程进行适配工作,无法灵活的做到对于应用进程底层次的控制,同时效率也比较低下。在内核态进行HOOK并调用内核的加解密库进行加解密的缺陷在于在不同的操作系统版本下,都需要提供不同的内核加解密模块,很难做到算法统一,不同版本的加解密模块难于管理。
发明内容
为此,本发明提供一种基Netlink技术的国产操作系统文件透明加解密系统,以解决现有国产操作系统透明加解密操作适配度低、算法难以统一的问题。
为了实现上述目的,本发明提供如下技术方案:
本发明的公开了一种基于Netlink技术的国产操作系统文件透明加解密系统,所述系统包括:内核模块和应用层;
所述内核模块搜索系统调用表,捕获常用的系统调用操作;
内核模块与应用层建立netlink通信;
内核模块监控进程的系统调用操作,当进程为受控进程时,将系统调用操作通过netlink通知应用层程序;
应用层处理完成后将返回值传递给内核模块,内核模块继续完成系统调用的工作。
进一步地,所述内核模块包括文件处理内核单元,通过文件处理内核单元能够调用原系统函数,捕获常用的系统调用操作包括read/write/lseek。
进一步地,所述文件处理内核单元能够通过netlink通信向应用层发送原密文路径,接受重定向明文路径。
进一步地,所述应用层包括文件处理单元,进行接收密文路径发送明文路径。
进一步地,所述内核模块捕获内核中的系统调用函数,当软件内部按逻辑处理进行系统调用时,将会调用文件处理内核单元的功能。
进一步地,所述系统的加密过程为:
文件处理内核单元通过netlink通信将原明文路径发送给应用层的文件处理单元,文件处理单元接收密文路径后通过文件处理服务,调用加解密库进行加密文件并存为密文,然后文件处理单元将新的密文路径通过netlink通信发送给文件处理内核单元,再继续进行原系统函数的处理。
进一步地,所述系统的解密过程为:
文件处理内核单元通过netlink通信将被操作文件路径发送给应用层的文件处理单元,文件处理单元判断该文件是否为密文,如果为密文的话,将重新定向到相应的明文路径,并将该路径发送给文件处理内核单元,文件处理内核单元调用相关的系统函数对明文进行处理。
本发明具有如下优点:
本发明公开了一种基于Netlink技术的国产操作系统文件透明加解密系统,兼顾了内核态HOOK的细粒度控制与用户态加解密的灵活处理,方便集成第三方的加解密库,采用内核态与应用态结合的方式,吸收二者的优点,摒弃二者的缺点,适应于各种不同的需求。兼顾了内核态HOOK的灵活和实现细粒度的控制以及应用层加解密库的算法容易统一和管理。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引申获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容得能涵盖的范围内。
图1为本发明实施例提供的一种基于Netlink技术的国产操作系统文件透明加解密系统的架构图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例
本发明公开了一种基于Netlink技术的国产操作系统文件透明加解密系统,所述系统包括:内核模块和应用层;
所述内核模块搜索系统调用表,捕获常用的系统调用操作;
内核模块与应用层建立netlink通信;
内核模块监控进程的系统调用操作,当进程为受控进程时,将系统调用操作通过netlink通知应用层程序;
应用层处理完成后将返回值传递给内核模块,内核模块继续完成系统调用的工作。
Netlink套接字是用以实现用户进程与内核进程通信的一种特殊的进程间通信(IPC),也是网络应用程序与内核通信的最常用的接口。Netlink是一种特殊的socket,它是Linux所特有的,由于传送的消息是暂存在socket接收缓存中,并不被接收者立即处理,所以netlink是一种异步通信机制。系统调用和ioctl则是同步通信机制。
内核模块包括文件处理内核单元,通过文件处理内核单元能够调用原系统函数,hook捕获常用的系统调用操作包括read/write/lseek,文件处理内核单元能够通过netlink通信向应用层发送原密文路径,接受重定向明文路径。
应用层包括文件处理单元,进行接收密文路径发送明文路径;内核模块捕获内核中的系统调用函数,当软件内部按逻辑处理进行系统调用时,将会调用文件处理内核单元的功能;应用层内的系统调用与软件交互界面,进行文件打开和文件保存,便于用户进行交互。
系统的加密过程为:
文件处理内核单元通过netlink通信将原明文路径发送给应用层的文件处理单元,文件处理单元接收密文路径后通过文件处理服务,调用加解密库进行加密文件并存为密文,然后文件处理单元将新的密文路径通过netlink通信发送给文件处理内核单元,再继续进行原系统函数的处理。
系统的解密过程为:
文件处理内核单元通过netlink通信将被操作文件路径发送给应用层的文件处理单元,文件处理单元判断该文件是否为密文,如果为密文的话,将重新定向到相应的明文路径,并将该路径发送给文件处理内核单元,文件处理内核单元调用相关的系统函数对明文进行处理。
本实施例公开的一种基于Netlink技术的国产操作系统文件透明加解密系统,兼顾了内核态HOOK的细粒度控制与用户态加解密的灵活处理,方便集成第三方的加解密库,采用内核态与应用态结合的方式,吸收二者的优点,摒弃二者的缺点,适应于各种不同的需求。兼顾了内核态HOOK的灵活和实现细粒度的控制以及应用层加解密库的算法容易统一和管理。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (7)
1.一种基于Netlink技术的国产操作系统文件透明加解密系统,其特征在于,所述系统包括:内核模块和应用层;
所述内核模块搜索系统调用表,捕获常用的系统调用操作;
内核模块与应用层建立netlink通信;
内核模块监控进程的系统调用操作,当进程为受控进程时,将系统调用操作通过netlink通知应用层程序;
应用层处理完成后将返回值传递给内核模块,内核模块继续完成系统调用的工作。
2.如权利要求1所述的一种基于Netlink技术的国产操作系统文件透明加解密系统,其特征在于,所述内核模块包括文件处理内核单元,通过文件处理内核单元能够调用原系统函数,捕获常用的系统调用操作包括read/write/lseek。
3.如权利要求2所述的一种基于Netlink技术的国产操作系统文件透明加解密系统,其特征在于,所述文件处理内核单元能够通过netlink通信向应用层发送原密文路径,接受重定向明文路径。
4.如权利要求1所述的一种基于Netlink技术的国产操作系统文件透明加解密系统,其特征在于,所述应用层包括文件处理单元,进行接收密文路径发送明文路径。
5.如权利要求1所述的一种基于Netlink技术的国产操作系统文件透明加解密系统,其特征在于,所述内核模块捕获内核中的系统调用函数,当软件内部按逻辑处理进行系统调用时,将会调用文件处理内核单元的功能。
6.如权利要求1所述的一种基于Netlink技术的国产操作系统文件透明加解密系统,其特征在于,所述系统的加密过程为:
文件处理内核单元通过netlink通信将原明文路径发送给应用层的文件处理单元,文件处理单元接收密文路径后通过文件处理服务,调用加解密库进行加密文件并存为密文,然后文件处理单元将新的密文路径通过netlink通信发送给文件处理内核单元,再继续进行原系统函数的处理。
7.如权利要求1所述的一种基于Netlink技术的国产操作系统文件透明加解密系统,其特征在于,所述系统的解密过程为:
文件处理内核单元通过netlink通信将被操作文件路径发送给应用层的文件处理单元,文件处理单元判断该文件是否为密文,如果为密文的话,将重新定向到相应的明文路径,并将该路径发送给文件处理内核单元,文件处理内核单元调用相关的系统函数对明文进行处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110975973.7A CN113688411A (zh) | 2021-08-24 | 2021-08-24 | 一种基于Netlink技术的国产操作系统文件透明加解密系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110975973.7A CN113688411A (zh) | 2021-08-24 | 2021-08-24 | 一种基于Netlink技术的国产操作系统文件透明加解密系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113688411A true CN113688411A (zh) | 2021-11-23 |
Family
ID=78581962
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110975973.7A Pending CN113688411A (zh) | 2021-08-24 | 2021-08-24 | 一种基于Netlink技术的国产操作系统文件透明加解密系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113688411A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104331644A (zh) * | 2014-11-24 | 2015-02-04 | 北京邮电大学 | 一种智能终端文件的透明加解密方法 |
| CN110569651A (zh) * | 2019-08-27 | 2019-12-13 | 北京明朝万达科技股份有限公司 | 基于国产操作系统的文件透明加解密方法及系统 |
| CN112699397A (zh) * | 2021-01-22 | 2021-04-23 | 山西大学 | 基于虚拟环境下的软件加解密方法和系统 |
-
2021
- 2021-08-24 CN CN202110975973.7A patent/CN113688411A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104331644A (zh) * | 2014-11-24 | 2015-02-04 | 北京邮电大学 | 一种智能终端文件的透明加解密方法 |
| CN110569651A (zh) * | 2019-08-27 | 2019-12-13 | 北京明朝万达科技股份有限公司 | 基于国产操作系统的文件透明加解密方法及系统 |
| CN112699397A (zh) * | 2021-01-22 | 2021-04-23 | 山西大学 | 基于虚拟环境下的软件加解密方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2629694C (en) | Centralized polling service | |
| US7089390B2 (en) | Apparatus and method to reduce memory footprints in processor architectures | |
| US5574888A (en) | A method and apparatus for establishing compatibility between communication applications producing at commands and a telephony application programming interface | |
| US6343263B1 (en) | Real-time signal processing system for serially transmitted data | |
| US20070071202A1 (en) | Server apparatus | |
| CN113688411A (zh) | 一种基于Netlink技术的国产操作系统文件透明加解密系统 | |
| US6985480B2 (en) | System, software and method for implementing an integrated, device independent, packet telephony framework software solution | |
| JP2005509216A (ja) | 分散型ソフトウェアコンポーネントを構築する方法 | |
| US20060050856A1 (en) | Computer telephony server for scripted call termination | |
| EP1126685A2 (en) | System and method for reporting the addition and deletion of TAPI line and phone devices in absence of such notification from a PBX | |
| EP0101377B1 (fr) | Dispositif pour commander des transferts de fichiers entre des ordinateurs | |
| KR100539907B1 (ko) | 지능망교환시스템에서 쓰레드에 의한 호 처리 수행 구조 및방법 | |
| CN115085977B (zh) | 一种基于Unix域套接字实现国密功能的系统及其方法 | |
| KR20010060627A (ko) | 다중 통화를 지원하는 웹 서버 장치 | |
| CA2295221A1 (en) | Method for processing atm cells in bidirectional data streams | |
| KR100442599B1 (ko) | 교환 시스템에서 워크스테이션의 분산 객체를 이용한메시지 처리 장치 및 방법 | |
| CN100563198C (zh) | 数字信号处理系统内消息包的处理方法 | |
| KR950003680B1 (ko) | 전전자 교환기의 공통선 신호방식을 위한 메세지 큐 관리방법 | |
| KR20060086665A (ko) | 멀티모뎀을 구비한 단말기를 이용한 다중작업 처리 방법 | |
| JP2676423B2 (ja) | オフィス通信処理方式 | |
| JP2936028B2 (ja) | 同時通話における転送方式 | |
| KR100251706B1 (ko) | 비동기 전송 모드 교환기에서 시그널링 프로토콜 처리 장치 및방법 | |
| JPH0417048A (ja) | セション管理処理方法 | |
| JPS5857888A (ja) | ボタン電話装置における通話路制御方式 | |
| JPH02222253A (ja) | 計算機管理方式 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |