WO2011137743A1 - 一种文件保护方法及系统 - Google Patents

Description

一种文件保护方法及系统 技术领域 本发明涉及信息安全领域， 特别涉及一种文件保护方法和系统。 背景技术 随着计算机技术的发展， 各行各业都开始了信息化的大进化， 尤其是各种 金融公司、 软件开发公司等， 敏感数据不断增多， 需要进行保护的电子数据不 断增多， 这些电子数据的安全大多关系着企业的生存， 因此文件的保护越来越 受到重视。 同时， 各种木马、 病毒也越来月活动， 恶意攻击者开发越来越多的非法程 序植入他人计算机， 窃取各种敏感数据， 同时窃取技术也越来越高。 为了防止 保密数据被窃取， 出现了越来越多的文件保护方法。 最简单是方法是， 对秘密 文件进行隐藏， 或是对文件加上密码保存， 但是这种方式及其脆弱， 很容易通 过扫面计算机或是暴力破解等手段破解文件， 也出现了更高安全性的手段。 对需要保密的文件使用密钥进行加密， 并且密钥是秘密保存的， 例如保存 在加密锁中， 加密锁一般为 USB 接口的智能设备， 其可以与计算机进行了连 接， 和计算机一起完成文件保护和权限管理的功能， 在密钥被攻击者获取的情 况下， 可以保证文件的安全性， 该方法具体为， 在计算机中安装一个文件保护 程序， 当合法的程序打开加密文件时，文件保护程序使用密钥对文件进行解密， 得到明文的文件以供合法者操作， 当非法的程序试图打开加密文件时， 文件保 护程序禁止其打开加密文件， 并且不提供解密 艮务。 但是这种方法仍然存在不安全性， 在计算机操作系统中， 当合法的程序打 开并解密受保护的文件时， 操作系统会为解密得到的明文在緩存中分配一定的 空间， 并将这些明文存放在緩存中， 同时返回句柄， 合法者即可以对受保护文 件进行操作， 当合法用户关闭受保护文件时， 在緩存中的受保护文件并不会立 即清空， 这时非法程序如果同样通过上层接口访问该文件时， 可直接得到受保 护文件在緩存中的地址读出明文的数据。 综上所述， 现有的文件保护方案中存在缺陷， 在合法的应用程序访问受保 护文件后， 緩存中的明文数据不会立即被清除， 导致非法应用程序在緩存中数 据未清除时访问受保护文件， 可以得到緩存中的明文数据， 使得受保护文件数 据泄露。 发明内容 本发明实施例的主要目的在于提供了一种文件保护方法和系统， 以解决现 有技术中存在合法的程序访问受保护文件后， 明文数据遗留在緩存未清除时， 非法的程序可通过緩存地址对明文数据进行访问的缺陷的问题。 技术方案如 下： 一种文件保护方法， 所述方法包括： 应用程序接收用户发出的对受保护文件进行操作的指令， 所述受保护文件 为经过加密并以密文形式保存在磁盘中的文件， 所述对受保护文件进行操作的 指令包括打开、 读、 写、 关闭所述受保护文件的指令； 接收到所述打开所述受保护文件的指令之后， 打开所述受保护文件的操作 包括： 所述应用程序调用操作系统的上层接口， 所述上层接口向文件系统发出打 开所述受保护文件的指令； 过滤驱动截获所述上层接口向文件系统发出的打开所述受保护文件的指 令， 并判断所述应用程序是否为合法应用程序； 如果合法， 所述过滤驱动读取受保护文件的属性信息， 向所述文件系统发 出在虚拟磁盘中创建所述受保护文件的影子文件的指令， 所述文件系统通过虚 拟磁盘驱动在所述虚拟磁盘中创建所述影子文件， 所述操作系统向所述应用程 序返回所述影子文件的句柄， 引用计数值增加一个步长； 其中， 在所述虚拟磁盘中创建影子文件包括方法 A和 B:

A, 所述过滤驱动通过所述文件系统读取所述受保护文件的属性信息， 在 所述虚拟磁盘中创建所述影子文件， 为所述影子文件随机命名， 并写入所述受 保护文件的属性信息， 所述影子文件的数据为空； 或, B, 所述过滤驱动通过所述文件系统读取所述受保护文件， 并使用与主机 连接的加密锁中存储的密钥对所述受保护文件进行解密， 得到明文， 将明文放 入所述虚拟磁盘中作为影子文件的数据， 并为所述明文随机命名， 作为所述影 子文件； 接收到所述读所述受保护文件的指令之后， 读所述受保护文件的操作包 括： 所述应用程序发出才艮据所述句柄对文件进行读的指令； 当创建影子文件使用方法 A , 所述影子文件的数据为空时， 所述过滤驱动 截获所述应用程序发出的才艮据所述句柄对文件进行读的指令， 从磁盘中读取所 述受保护文件的预定部分或全部， 使用与所述主机连接的加密锁内存储的密钥 对所述受保护文件的预定部分或全部进行解密， 得到所述受保护文件的预定部 分的明文或全部明文， 所述操作系统为所述影子文件分配緩存空间中， 并将所 述预定部分的明文或全部明文放入所述操作系统为所述影子文件分配的緩存 空间， 建立文件映射关系， 所述应用程序完成对所述受保护文件的读操作； 当创建影子文件使用方法 B , 所述影子文件中的数据为受保护文件的明文 时， 所述过滤驱动截获所述应用程序发出的才艮据所述句柄对文件进行读的指 令， 通过所述虚拟磁盘驱动在所述虚拟磁盘中读取所述影子文件， 所述操作系 统为所述影子文件分配緩存空间， 并将所述虚拟磁盘中的明文放入所述操作系 统为所述影子文件分配的緩存空间中， 所述应用程序完成对所述受保护文件的 读操作； 接收到所述写所述受保护文件的指令之后， 写所述受保护文件的操作包 括： 所述应用程序发出才艮据所述句柄对文件进行写操作的指令； 所述应用程序在所述操作系统为所述影子文件分配的緩存中完成对所述 明文的受保护文件的写操作， 所述写操作包括对所述受保护文件的插入新数 据、 4爹改、 替换、 编辑； 所述过滤驱动对所述 4爹改后的受保护文件进行加密操作并保存； 接收到所述关闭所述受保护文件的指令之后， 关闭所述受保护文件的操作 包括： 所述过滤驱动逐一关闭打开的所述影子文件的句柄， 将所述引用计数值递 减， 递减后检查所述引用计数值， 当所述引用计数值为初值时， 删除所述影子 文件。 一种文件保护系统， 所述系统包括文件保护驱动和加密锁： 所述文件保护驱动包括： 应用程序模块、 上层接口模块、 过滤驱动模块、 文件系统模块、 虚拟磁盘驱动模块； 所述应用程序模块， 用于通过调用所述上层接口模块打开存储在磁盘中的 受保护文件， 并通过所述上层接口模块发出根据句柄对文件进行读操作和写操 作的指令； 所述上层接口模块， 用于接收所述应用程序模块发出的对文件操作的指 令， 并通过操作所述文件系统模块完成文件的打开、 读、 写、 关闭的操作； 所述过滤驱动模块， 用于监控主机中对所述文件系统模块的操作， 当发现 预定义的对所述文件系统模块的操作时， 执行预设的附加操作， 对所述预定义 的对所述文件系统模块的操作进行控制； 所述文件系统模块， 用于管理磁盘中存储的文件， 可以在磁盘中完成建立 文件， 索引文件， 读取文件， 修改文件的操作； 所述虚拟磁盘驱动模块， 用于当接收到所述过滤驱动模块通过所述文件系 统模块发出的创建所述受保护文件的影子文件的指令后， 在虚拟磁盘中建立影 子文件， 当所述影子文件建立完成后， 操作系统向所述应用程序模块返回所述 影子文件的句柄； 所述加密锁包括： 验证模块和密钥存储模块； 所述-险证模块， 用于在所述应用程序模块启动时， 辅助 -险证是否有加密锁 连接在主机中， 如果有， 则所述应用程序模块可以启动， 否则， 所述应用程序 模块不能启动。 所述密钥存储模块， 用于在所述过滤驱动模块对受保护文件进行加解密操 作时， 提供加解密操作的密钥。 本发明实施例提供的技术方案带来的有益效果是通过在文件保护系统中 加入影子文件， 将受保护文件的明文数据放入为影子文件分配的緩存空间中， 并且影子文件存储在虚拟磁盘中， 虚拟磁盘对非常程序不可见， 且影子文件不 为非法程序所知， 因此非常程序无法通过访问影子文件得到緩存中受保护文件 的明文数据， 解决了在现有技术中存在合法的程序访问受保护文件后， 明文数 据遗留在緩存未清除时， 非法的程序可通过緩存地址对明文数据进行访问的缺 陷， 具有更高的安全性。 附图说明 图 1为本发明具体实施例一提供的一种文件保护方法的流程图。 图 2为本发明具体实施例二提供的一种文件保护方法的流程图。 图 3为本发明具体实施例三提供的一种文件保护系统的框图。 具体实施方式 为使本发明的目的、 技术方案和优点更加清楚， 下面将结合附图对本发明 实施方式作进一步地详细描述。 实施例 1 本实施例提供了一种文件保护方法， 本实施例以对在磁盘中存储的受保护 文件 Encrypt.txt进行读操作为例进行说明， Encrypt.txt为存储在用户磁盘上的 受保护文件， 并经过密钥加密， 是以密文形式在磁盘上存储的。 在用户对文件 Encrypt.txt进行读取或^ ί'爹改操作时， 需要进行解密操作， 以 使用户能够在用户界面上得到明文的文件数据； 在不同的操作系统中， 需要相应的应用程序用以打开不同格式的文件， 本 实施例以在 windows XP系统中为例进行说明， 在 windows XP系统下对 txt格 式的文件进行读写时， 需要启动系统提供的程序 notepad.exe, 并在系统中建立 进程 notepad. exe, notepad.exe 可以调用操作系统提供的接口 NtcreateFile、 NtReadFile 等进行打开文件、 建立文件、 读取文件等操作， 即打开文件 Encrypt.txt, 需启动程序 notepad.exe; 在本实施例所提供的一种文件保护方法之前还包括， 艮据需要保护的文 件，对操作系统提供的合法的应用程序进行预处理，在本实施例中， Encrypt.txt 为受保护文件， 由于受保护的文件为 txt格式， 则对应用程序 notepad. exe进行 预处理， 在本实施例中， 优选地， 对 notepad.exe进行预处理为加壳处理， 具体 的为： 在 notepad.exe中力口入代码， 使得在系统运行 notepad.exe时， 先要检查 主机上是否有合法的加密锁接入， 如果有， 则可以运行该进程， 否则， 系统不 力口载 notepad.exe进程； 一种文件保护方法， 参加图 1 , 具体步骤如下： 步骤 101 , 应用程序接欠用户发出的 4丁开受保护文件 Encrypt.txt的命令； 在本实施例中， 具体的为， 应用程序接收用户发出的读文件 Encrypt.txt的 命令， 其中， 应用程序可能为合法应用程序或非法应用程序： 合法应用程序为上述经过加壳处理的程序 notepad.exe, 并且有合法的加密 锁接入， 具有运行 notepad. exe的权限； 非法应用程序为未经授权访问受保护文件 Encrypt.txt的程序； 在本实施例中， 步 4聚 101开始前还包括： 启动操作系统， 加载过滤驱动和 虚拟磁盘驱动， 并在内存中建立虚拟磁盘， 其中， 过滤驱动和虚拟磁盘驱动为 本发明所提供， 过滤驱动通过文件系统操作虚拟磁盘驱动， 可以在虚拟磁盘中 完成创建、 修改、 闪存文件等操作， 上述虚拟磁盘建立在内存中， 可以提高读 写速度， 并且只对过滤驱动及过滤驱动认可的程序可见； 虚拟磁盘为在内存中模拟出一个磁盘分区， 并在上面建立与磁盘存储相同 的数据存储格式， 使得内存中被划分为虚拟磁盘的区域可以作为普通存储类磁 盘使用。 步骤 102, 应用程序调用操作系统上层应用接口准备打开受保护文件； 在本实施例中， 所述操作系统上层应用接口， 为操作系统提供的用于操作 文件 Encrypt.txt的接口， 例如 NtcreateFile、 NtReadFile等， 这些接口可以完成 txt文件的建立、 读取等操作； 步骤 103 , 过滤驱动截取上层应用接口发送的指令， 并判断应用程序是否 合法， 如果不合法， 执行步 4聚 104, 如果合法， 则执行步 4聚 105; 所述过滤驱动， 可以用于监控主机中对于文件系统的操作， 当发生预定义 的对文件系统的操作时， 执行预设的附加操作， 或对预定义的对文件系统的操 作进行控制。 并且， 所述过滤驱动还具有判断发出打开受保护文件命令的应用 程序是否合法的功能； 其中， 上述预定义的对文件系统的操作包括读写预设文件等， 在本实施例 中， 预定义的对文件系统的操作为读取受保护文件 Encrypt.txt的操作； 上述预设的附加操作包括， 创建影子文件、 对文件进行加解密、 对数据进 行个性化操作等； 过滤驱动判断应用程序是否合法， 具体的为： 在对合法的应用程序进行加 壳处理时， 使加壳后的应用程序向过滤驱动进行注册， 过滤驱动 ΐ己录合法的应 用程序的注册信息， 当操作系统中存在应用程序通过调用上层应用接口发送打 开受保护文件的指令时， 过滤驱动获取应用程序的信息， 并判断与记录的合法 应用程序的注册信息是否相符， 如果相同， 则认为应用程序合法， 如果不相同， 则认为应用程序不合法。 其中， 上述注册信息包括应用程序的名称、 进程 ID、 路径， 以及应用程序 的注册表信息等。 步骤 104, 操作系统在磁盘上找到受保护文件 Encrypt.txt, 并为其分配緩 存空间， 进行读取； 在本步骤中， 由于没有使用密钥进行解密， 因此放入緩存并进行读取的文 件 Encrypt.txt为密文形式； 在本实施例中， 本步骤还可以为： 返回错误， 禁止非法应用程序对受保护 文件 Encrypt.txt进行访问。 步骤 105 , 过滤驱动在虚拟磁盘中创建一个新文件作为受保护文件的影子 文件， 在本实施例中， 将受保护文件的影子文件命名为 l.txt; 其中， 过滤驱动创建受保护文件的影子文件具体包括： 步骤 A, 过滤驱动读取受保护文件的属性信息； 上述受保护文件的属性信息包括文件的大小、 类型、 创建时间等， 其中受 保护文件的具体内容为加密存储， 但是其属性信息可通过文件系统获得， 为明 文数据， 过滤驱动通过文件系统读取受保护文件的属性信息； 步骤 B , 过滤驱动向文件系统发送在虚拟磁盘中建立 1.txt的指令; 步骤 C , 文件系统向虚拟磁盘驱动发送创建 l .txt的指令， 虚拟磁盘驱动建 立 l .txt; 步骤 D,在虚拟磁盘中为影子文件 1.txt写入数据； 在本实施例中， 在为影子文件 l .txt写入数据时包括两种方法： 方法 1 , 将受保护文件 Encrypt.txt的属性信息写入虚拟磁盘， 作为影子文 件 1.txt的属性， 但是 1.txt的数据为空； 方法 2 , 将受保护文件 Encrypt.txt的属性信息写入虚拟磁盘， 作为影子文 件 l .txt的属性， 同时过滤驱动将受保护文件 Encrypt.txt中的数据读出， 并使用 与主机连接的加密锁内存储的密钥进行解密， 得到明文的数据， 写入虚拟磁盘 中作为影子文件 l .txt的数据； 其中， 在方法 2中， 对 Encrypt.txt进行解密时， 优选地以簇为单位对密文 进行解密， 将 Encrypt.txt中的预定部分或全部解密， 得到预定部分的明文或全 部的明文放入虚拟磁盘中， 作为 1.txt的数据； 在对受保护文件进行加解密操作时， 不局限于以簇为单位进行解密， 还可 以以流为单位进行解密、以字节为单位进行解密、以数据块为单位进行解密等； 在过滤驱动为受保护文件 Encrypt.txt创建影子文件时， 影子文件的命名为 随机命名， 即为影子文件随机生成一个名称， 并且该名称与磁盘中所存储的其 他文件名称不同， 在本实施例中， 以为影子文件随机生成的名称为 l .txt为例进 行说明。 步骤 106 , 过滤马区动向应用程序返回影子文件 l .txt的句柄； 在本实施例中， 认为影子文件 l .txt的句柄为 hltxt; 在本步骤中， 还包括： 将引用计数值增加一个步长， 优选地， 将引用计数 值增加 1 , 引用计数值记录打开的影子文件的句柄数， 当未有影子文件的句柄 返回时， 将引用计数值设置为初值 0 , 当有影子文件的句柄被关闭时， 将引用 计数值递减一个步长。 步骤 107 , 应用程序发出根据句柄 hltxt进行读操作的指令; 步骤 108 , 过滤驱动截获到根据句柄 hltxt进行读操作的命令， 读出磁盘中 存储的密文形式的受保护文件 Encrypt.txt , 并进行解密操作， 将明文形式的 Encrypt.txt内容读入操作系统为 l.txt分配的緩存当中； 其中， 过滤驱动对密文形式的 Encrypt.txt进行解密操作， 还包括， 解密操 作所使用的密钥存储于与主机连接的加密锁中， 受保护文件的加密方式可以选 择对称力口密或非对称力口密； 将明文形式的 Encrypt.txt 内容读入操作系统为 l.txt分配的緩存当中还包 括： 过滤驱动为緩存中的文件 Encrypt.txt与磁盘中存储的密文的 Encrypt.txt建 立文件映射关系， 将磁盘中存储的受保护文件 Encrypt.txt解密后分块读入緩存 中， 以节省緩存空间； 在对受保护文件进行解密并将明文放入为影子文件分配的緩存时， 可以包 括^ σ下方法： 方法一， 将受保护文件的全部数据解密， 并完整的放入为影子文件分配的 緩存中， 这个适用于受保护文件比较小时； 方法二， 将受保护文件中需要访问的部分， 以簇为单元进行解密， 并将解 密的部分放入为影子文件分配的緩存中， 这种方法适用于受保护文件比较大 时， 并优选地受保护文件在进行加密保存时， 以簇为单位进行加密。 在本步 4聚中， 上述描述的方法适用于步 4聚 105中步 4聚 D釆用方法 1时； 在步 4聚 D釆用方法 2时， 步 4聚 108还可以为： 过滤驱动截获到才艮据句柄 hltxt进行读操作的指令， 向文件系统发送读取 影子文件的指令， 文件系统通过虚拟磁盘驱动读取影子文件 l.txt中的数据， 将 l.txt中的数据放入操作系统为影子文件分配的緩存中。 步骤 109, 应用程序关闭打开的受保护文件 Encrypt.txt。 在本实施例中， 步骤 109后还可以包括： 过滤驱动逐一关闭打开的影子文 件 1.txt的句柄， 同时将引用计数值递减， 每次递减后检查所述 I用计数值， 当 ？ I用计数值为初值 0时， 删除所述影子文件。 本实施例所提供的一种文件保护方法， 通过在系统中安装一个过滤驱动， 在合法的应用程序访问受保护文件的过程中， 首先并不打开真实的受保护文 件， 而是在虚拟磁盘中建立受保护文件的影子文件， 并更改为其他名称， 为其 分配緩存空间， 再将受保护文件进行解密操作读入緩存中， 合法的应用程序通 过影子文件的句柄打开受保护文件， 其中， 虚拟磁盘只对合法程序可见， 影子 文件的句柄也只有合法程序可以得到， 因此，避免了被非法恶意程序获得句柄， 而在緩存中将明文形式的受保护文件读出， 因此， 克服了现有技术中， 当文件 读入緩存中不能进行有效保护的缺点， 因此， 本发明提供的一种文件保护方法 具有更好的安全性。 实施例 2 在本实施例中， 以对存储在磁盘上的受保护文件 Encrypt.txt进行写操作为 例进行说明， 其中， 写操作包括， 在原有文档 Encrypt.txt的数据基础上插入新 数据、 编辑和 4爹改数据的操作； 同实施例 1 , 受保护文件 Encrypt.txt加密后以密文的形式存储在磁盘上， 以在 windows XP 系统中为例， 将用于打开文件 Encrypt.txt 的合法应用程序 notepad. exe 进行加壳处理， 本实施例中的加壳处理具体的为： 在应用程序 notepad. exe 中加入代码， 使得应用程序在运行时具有如下功能， 在启动 notepad. exe 时， 检查是否有合法的加密锁接入， 当有合法的加密锁接入时， notepad.exe可以运行， 系统允许建立 notepad.exe进程， 并通过 notepad.exe对 受保护文件 Encrypt.txt进行写操作， 当没有合法的加密锁接入时， notepad.exe 不能运行； 上述加密锁在接入主机时， 可以提供对合法进程 notepad.exe需要的认证， 并且， 在加密锁中秘密的存储有密钥， 所述密钥用于对受保护文件 Encrypt.txt 进行加解密操作； 一种文件的保护方法， 参加图 2, 具体的如下： 步骤 201 , 应用程序接收用户发出的打开受保护文件 Encrypt.txt的指令； 在本实施例中， 应用程序包括： 合法应用程序和非法应用程序； 合法应用程序为经过加壳处理的 notepad.exe, 可将 notepad.exe与 txt格式 进行关联， 当用户打开文件 Encrypt.txt时， notepad.exe启动， 并-险证是否有合 法的加密锁接入， 如果有， 则建立 notepad.exe进程， 可以通过 notepad.exe对 Encrypt.txt进行操作； 非法应用程序为攻击者写入， 以窃取或修改受保护文件为目的的程序， 不 需加密锁接入就可以启动； 同实施例 1 , 在步骤 201前， 还包括： 系统启动， 加载过滤驱动和虚拟磁 盘驱动， 并在内存中创建虚拟磁盘； 步骤 202, 应用程序调用操作系统上层应用接口向文件系统发出打开受保 护文件的指令； 其中， 合法应用程序和非法应用程序都需要通过操作系统提供的上层接口 打开受保护文件， 在 Windows XP系统中， 上述上层接口包括： NtcreateFile、 NtReadFile等； 上述文件系统具体的为， 操作系统通过文件系统管理磁盘上存储的文件， 包括 FAT、 NTFS等。 步骤 203 , 过滤驱动截取操作系统上层接口向文件系统发出的打开受保护 文件 Encrypt.txt的指令，并判断应用程序是否合法，如果不合法，执行步骤 204, 如果合法， 则执行步骤 205； 上述过滤驱动， 可以用于监控所述主机系统中对文件系统的操作， 当发生 预定义的对文件系统的操作时， 执行预设的附加操作， 或对预定义的对文件系 统的操作进行控制， 并且， 所述过滤驱动还具有判断发出打开受保护文件命令 的应用程序是否合法的功能； 在本实施例中， 过滤驱动当截获到操作系统上层接口向文件系统发出的打 开受保护文件 Encrypt.txt的指令时， 可以挂起该命令， 在对应用程序判断后， 根据判断结果执行相应的命令； 其中， 过滤驱动判断应用程序是否合法， 具体的为： 在对合法的应用程序 进行加壳处理时， 使加壳后的应用程序向过滤驱动进行注册， 过滤驱动记录合 法的应用程序的注册信息， 当操作系统中发现应用程序通过调用上层应用接口 发送访问受保护文件的指令时， 过滤驱动获取应用程序的信息， 并判断与记录 的合法应用程序的注册信息是否相同， 如果相同， 则认为应用程序合法， 如果 不相同， 则认为应用程序不合法； 上述注册信息包括应用程序的名称、 进程 ID、 路径， 以及应用程序的注册 表信息等。 步骤 204 , 操作系统通过文件系统打开文件 Encrypt.txt, 文件为密文形式； 当步骤 203中， 过滤驱动判断应用程序为非法应用程序时， 则通过文件系 统打开文件 Encrypt.txt, 将磁盘中存储的 Encrypt.txt数据加载入緩存， 系统为 其分配緩存地址并返回句柄， 由于未进行解密操作，所显示的文件内容为密文； 在本步骤后， 还可以包括： 非法应用程序通过操作系统上层接口发送对文 件 Encrypt.txt进行写操作的指令， 上层接口向文件系统发出写数据的指令， 过 滤系统截获该指令， 禁止执行， 并返回非法修改的错误。 步骤 205 , 过滤驱动创建一个新文件作为受保护文件的影子文件， 在本实 施例中， 将受保护文件的影子文件命名为 l.txt; 其中， 过滤驱动创建受保护文件的影子文件的过程与实施例 1 中步骤 105 中相同， 这里不再赘述； 步骤 206 , 过滤驱动向合法的应用程序返回 l.txt的句柄 hltxt,打开文件受 保护文件； 在本实施例中， 具体的打开文件 Encrypt.txt并得到明文数据的操作包括： 206a, 过滤马区动返回 l.txt的句柄 hltxt;

206b, 应用程序发出根据句柄 hltxt读文件的指令；

206c, 过滤驱动读出受保护文件 Encrypt.txt的数据， 并进行解密操作， 将 明文形式的 Encrypt.txt内容放入操作系统为 l.txt分配的緩存中，并建立文件映 射关系； 其中， 步 4聚 206c也可以为， 过滤驱动从虚拟磁盘中读取影子文件 l.txt的 内容， 1.txt中存储的为受保护文件 Encrypt.txt的明文数据； 过滤驱动对密文形式的 Encrypt.txt进行解密操作， 具体地， 解密操作所使 用的密钥存储于与主机连接的加密锁中， 受保护文件的加密方式可以选择对称 加密或非对称加密； 过滤驱动向合法的应用程序返回 l.txt的句柄 hltxt后， 还可以包括： 过滤 驱动将引用计数值增加 1。 步骤 207 , 应用程序发出根据句柄对向受保护文件 Encrypt.txt指定位置进 行写操作的指令， 并进行写操作； 在本步骤中， 对文件 Encrypt.txt的写操作在緩存中完成， 即修改的为緩存 中存储的 Encrypt.txt中的数据； 其中， 所述写操作包括对原受保护文件的写入新数据、 删除、 替换、 修改、 编辑等操作。 步骤 208 , 写操作结束， 过滤驱动对緩存中的明文 Encrypt.txt内容进行加 密操作并保存， 得到修改后的受保护文件 Encrypt.txt; 在本实施例中， 过滤驱动对緩存中的明文 Encrypt.txt内容进行加密操作并 保存， 得到修改后的受保护文件 Encrypt.txt, 具体的包括如下方法： 方法一， 在步骤 206c 中， 将 Encrypt.txt的明文完整的读入緩存中， 以供 用户在緩存中对 Encrypt.txt进行写操作， 当写操作结束后， 使用存储于緩存中 的 Encrypt.txt完整覆盖存储于磁盘中的原受保护文件 Encrypt.txt, 得到爹改后 的受保护文件 Encrypt.txt; 方法二，在对受保护文件进行加解密操作时， 以簇为单位进行加解密操作， 其中， 簇为磁盘存储介质的最小存储单元。 在步骤 206c 中， 将需要操作的 Encrypt.txt文件部分读入緩存中， 在緩存中完成写操作后， 以簇为单位对数据 进行加密操作， 将磁盘中存储的 Encrypt.txt文件中被修改的簇进行替换， 并由 文件系统为增加的数据部分分配新簇进行存储， 当簇中数据在文件 Encrypt.txt 中的位置发生改变时， 文件系统记录簇的顺序， 得到修改后的受保护文件 Encrypt.txt; 当步骤 206c为过滤驱动从虚拟磁盘中读取影子文件 l.txt的内容时， 使用 方法三： 应用程序在緩存中完成对明文的 Encrypt.txt的 4爹改， 并对虚拟磁盘中 存储的 Encrypt.txt进行爹改，当写操作完成后，将虚拟磁盘中明文的 Encrypt.txt 以簇为单位进行加密， 替换磁盘中存储的密文 Encrypt.txt; 在本实施例中， 步骤 208后还可以包括： 过滤驱动逐一关闭打开的影子文 件 1.txt的句柄， 同时将引用计数值递减， 每次递减后检查所述 I用计数值， 当 ？ I用计数值为初值 0时， 删除所述影子文件。 本实施例所提供的文件保护方法， 通过在内存中建立虚拟磁盘， 并在虚拟 磁盘中建立影子文件的方法， 克月艮了传统技术中的将受保护文件解密到緩存 中， 容易暴漏受保护文件的缺点， 在本发明中， 所有的读写操作均是对影子文 件进行的， 并且虚拟磁盘只是合法的应用程序可见， 大大提高了文件数据的安 全性。 实施例 3 本实施例提供了一种文件保护系统， 参加图 2, 上述一种文件保护系统包 括， 文件保护驱动 1和加密锁 2; 其中， 文件保护驱动 1 包括： 应用程序模块 11、 上层接口模块 12、 过滤 驱动模块 13、 文件系统模块 14、 虚拟磁盘驱动模块 15。 具体地： 应用程序模块 11 , 用于通过调用上层接口模块 12打开存储在磁盘中的受 保护文件， 并通过 12上层接口模块发出根据句柄进行读操作和写操作的指令； 进一步地， 应用程序模块 11包括： -险证单元 111 , 用于在应用程序模块 11启动时， -险证主机是否连接有合法 的加密锁， 如果有， 所应用程序模块 11可以启动， 否则， 应用程序模块 11不 能启动； 打开单元 112, 用于在接收到用户发送的打开受保护文件的指令时， 向上 层接口模块 12发出打开受保护文件的指令， 并在接收到所述影子文件的句柄 时， 才艮据上述句柄访问受保护文件； 读写单元 113 , 用于在接收到操作系统返回的影子文件的句柄后， 根据上 述句柄发出读和写操作的指令。 上层接口模块 12 , 用于接收应用程序模块 11发出的对文件操作的指令， 并通过操作文件系统模块 14完成文件的打开、 读、 写、 关闭的操作；； 过滤驱动模块 13 , 用于监控主机中对于文件系统模块 14的操作， 当发现 预定义的对文件系统模块 14 的操作时， 执行预设的附加操作， 对上述预定义 的对文件系统模块 14的操作进行控制； 在本实施例中， 优选地， 上述预设的附加操作具体的为， 创建影子文件、 对文件进行加解密、 对数据进行个性化操作等； 进一步地， 过滤驱动模块 13 , 具体的包括： 过滤单元 131、 判断单元 132、 解密单元 133、 影子文件创建单元 134; 过滤单元 131 , 用于监控上层接口模块 12是否有打开受保护文件的操作， 当存在打开受保护文件的操作时， 执行预设的附加操作； 判断单元 132,用于在过滤单元 131截获预设的对文件系统模块 14的操作 时， 判断打开受保护文件的应用程序是否合法， 如果合法， 则向文件系统模块 14发出创建影子文件的指令， 如果不合法， 则直接打开受保护文件， 打开受保 护文件时， 不进行解密操作， 其中， 预设的对文件系统模块 14 的操作指的是 对受保护文件的打开、 读、 写操作； 解密单元 133 ,用于当接收到上层接口模块 12发送根据句柄对文件进行读 或写操作的指令时， 向文件系统模块 14 发出读取受保护文件的命令， 并将读 出的密文形式的受保护文件进行解密操作， 得到明文的受保护文件， 放入操作 系统为上述影子文件分配的緩存中； 影子文件创建单元 134 ,用于向文件系统模块 14发送创建影子文件的指令， 并为该影子文件随机命名。 文件系统模块 14, 用于管理磁盘中存储的文件， 可以在磁盘中完成建立文 件， 索引文件， 读取文件， 修改文件的操作； 虚拟磁盘驱动模块 15 , 用于当接收到过滤驱动模块 13通过文件系统模块

14发出的创建受保护文件的影子文件的指令后， 在虚拟磁盘中建立影子文件， 当影子文件建立完成后， 操作系统向应用程序模块 11 返回上述影子文件的句 柄； 加密锁 2包括： 验证模块 21和密钥存储模块 22; -险证模块 21 , 用于在应用程序模块 11启动时， 辅助-险证是否有加密锁连 接在主机中， 如果有， 则应用程序模块 11 可以启动， 否则， 应用程序模块 11 不能启动。 密钥存储模块 22, 用于在过滤驱动模块 14对受保护文件进行加解密操作 时， 提供加解密操作的密钥； 在虚拟磁盘中建立影子文件具体的为： 过滤驱动模块 13通过文件系统模块 14读取所述受保护文件的属性信息， 在虚拟磁盘中创建所述影子文件， 并写入所述受保护文件的属性信息， 所述影 子文件的数据为空； 或， 过滤驱动模块 13通过文件系统模块 14读取受保护文件， 并使用加密锁 2 中存储的密钥对受保护文件进行解密，得到明文，将明文放入上述虚拟磁盘中， 作为影子文件； 其中， 当影子文件的数据为空时， 应用程序模块 11 根据句柄发出读操作 的指令后， 还包括： 过滤驱动模块 13截获应用程序模块 11发出的才艮据上述句柄进行读操作的 指令， 从磁盘中读取受保护文件的预定部分或全部， 使用加密锁 2内部存储的 密钥对受保护文件的预定部分或全部进行解密操作， 得到受保护文件的预定部 分的明文或全部明文， 操作系统为影子文件分配緩存空间， 并将预定部分的明 文或全部明文放入操作系统为上述影子文件分配的緩存空间， 建立文件映射关 系； 应用程序模块 11根据上述句柄发出读操作的指令后， 还包括： 所述过滤驱动模块截获所述应用程序发出的才艮据所述句柄对文件进行读 的指令， 向文件系统模块 14 发送根据上述句柄进行读操作的指令， 并通过所 述虚拟磁盘模块在所述虚拟磁盘中读取影子文件， 操作系统为上述影子文件分 配緩存空间， 并将所述虚拟磁盘中的明文放入操作系统为上述影子文件分配的 緩存空间， 完成对受保护文件的读操作； 过滤驱动模块 13使用加密锁 2 内部存储的密钥对受保护文件的预定部分 或全部进行解密操作， 具体的为： 过滤驱动模块 13使用加密锁 2 内部存储的密钥以簇为单位对受保护文件 的预定部分或全部进行解密操作； 在本实施例中，过滤驱动模块 13还包括加密单元 135 ,加密单元 135用于： 当将预定部分的明文放入操作系统为上述影子文件分配的緩存空间时， 加 密单元 135将经过应用程序模块 11 写操作 4爹改的受保护文件的明文以簇为单 位进行加密， 并通过文件系统模块 14对磁盘中存储的受保护文件进行爹改； 或， 当将全部明文放入操作系统为上述影子文件分配的緩存空间时， 加密单元 135将经过应用程序模块 11写操作修改的受保护文件的明文以簇为单位进行加 密， 覆盖磁盘中存储的受保护文件。 在本实施例中， 过滤驱动模块 13还可以包括引用计数单元 136, 引用计数 单元 136用于： 记录影子文件的句柄数， 当准备打开受保护文件并且未返回所述影子文件 的句柄时， 所述引用计数单元 136的计数值为初值， 每返回一个上述影子文件 的句柄， 引用计数值增加一个步长， 每关闭一个上述影子文件的句柄， 引用计 数值递减一个步长， 当引用计数值递减为初值时， 删除所述影子文件。 本实施例所提供的系统， 与实施例 1、 2 所提供的方法相对应， 并互做补 充， 在系统中可以体现方法， 并由方法可以 4舞断得出系统。 在本发明所提供的实施例中， 所提供的各种操作及顺序仅为最优情况， 在 实际的使用中并不一定严格按照上述实施例提供的操作顺序进行实施， 并且文 件名称等可以进行协定的变化只要按照本发明所提供的方法以及通过本发明 所提供的方法进行的没有创造性的变换进行的实施均应该属于本发明的保护 范围。 以上仅为本发明的较佳实施例， 并不用以限制本发明， 凡在本发明的精神 和原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护 范围之内。

Claims

权 利 要 求 书

1. 一种文件保护方法， 其特征在于， 所述方法包括：

应用程序接收用户发出的对受保护文件进行操作的指令， 所述受保 护文件为经过加密并以密文形式保存在磁盘中的文件， 所述对受保护文 件进行操作的指令包括打开、 读、 写、 关闭所述受保护文件的指令； 接收到所述打开所述受保护文件的指令之后， 打开所述受保护文件 的操作包括：

所述应用程序调用操作系统的上层接口， 所述上层接口向文件系统 发出打开所述受保护文件的指令；

过滤驱动截获所述上层接口向文件系统发出的打开所述受保护文件 的指令， 并判断所述应用程序是否为合法应用程序；

如果合法， 所述过滤驱动读取受保护文件的属性信息， 向所述文件 系统发出在虚拟磁盘中创建所述受保护文件的影子文件的指令， 所述文 件系统通过虚拟磁盘驱动在所述虚拟磁盘中创建所述影子文件， 所述操 作系统向所述应用程序返回所述影子文件的句柄， 引用计数值增加一个 步长；

其中， 在所述虚拟磁盘中创建影子文件包括：

所述过滤驱动通过所述文件系统读取所述受保护文件的属性信 息， 在所述虚拟磁盘中创建所述影子文件， 为所述影子文件随机命 名， 并写入所述受保护文件的属性信息， 所述影子文件的数据为空， 或者，

所述过滤驱动通过所述文件系统读取所述受保护文件， 并使用 与主机连接的加密锁中存储的密钥对所述受保护文件进行解密， 得 到明文， 将明文放入所述虚拟磁盘中作为影子文件的数据， 并为所 述影子文件随机命名， 作为所述影子文件；

接收到所述读所述受保护文件的指令之后， 读所述受保护文件的操 作包括：

所述应用程序发出才艮据所述句柄对文件进行读的指令； 当所述影子文件的数据为空时， 所述过滤驱动截获所述应用程序发 出的根据所述句柄对文件进行读的指令， 从磁盘中读取所述受保护文件 的预定部分或全部， 使用与所述主机连接的加密锁内存储的密钥对所述 受保护文件的预定部分或全部进行解密， 得到所述受保护文件的预定部 分的明文或全部明文， 所述操作系统为所述影子文件分配緩存空间， 并 将所述预定部分的明文或全部明文放入所述操作系统为所述影子文件分 配的緩存空间中， 建立文件映射关系， 所述应用程序完成对所述受保护 文件的读操作；

当所述影子文件中的数据为受保护文件的明文时， 所述过滤驱动截 获所述应用程序发出的才艮据所述句柄对文件进行读的指令， 通过所述虚 拟磁盘驱动在所述虚拟磁盘中读取所述影子文件， 所述操作系统为所述 影子文件分配緩存空间， 并将所述虚拟磁盘中的明文放入所述操作系统 为所述影子文件分配的緩存空间中， 所述应用程序完成对所述受保护文 件的读操作；

接收到所述写所述受保护文件的指令之后， 写所述受保护文件的操 作包括：

所述应用程序发出才艮据所述句柄对文件进行写操作的指令； 所述应用程序在所述操作系统为所述影子文件分配的緩存中完成对 所述明文的受保护文件的写操作， 所述写操作包括对所述受保护文件的 插入新数据、 修改、 替换、 编辑；

所述过滤驱动对所述 4爹改后的受保护文件进行加密操作并保存； 接收到所述关闭所述受保护文件的指令之后， 关闭所述受保护文件 的操作包括：

所述过滤驱动逐一关闭打开的所述影子文件的句柄， 将所述引用计 数值递减， 递减后检查所述引用计数值， 当所述引用计数值为初值时， 删除所述影子文件。

2. 如权利要求 1所述的方法， 其特征在于， 所述应用程序接收用户发出的 打开所述受保护文件的指令前， 所述方法还包括：

所述操作系统启动， 再自动加载所述过滤驱动、 所述虚拟磁盘驱动 , 并在内存中创建所述虚拟磁盘。

3. 如权利要求 1所述的方法， 其特征在于， 当判断所述应用程序为不合法 时， 所述方法还包括：

所述上层接口通过所述文件系统找到所述受保护文件， 所述操作系 统为所述受保护文件分配緩存， 并将所述受保护文件读入緩存， 所述读 入緩存中的受保护文件为密文形式；

或，

向所述应用程序返回错误 ,非法应用程序禁止访问所述受保护文件。

4. 如权利要求 1所述的方法， 其特征在于， 所述过滤驱动使用与所述主机 连接的加密锁内存储的密钥对所述受保护文件的预定部分或全部进行解 密， 具体的为：

所述过滤驱动使用与所述主机连接的加密锁内存储的密钥以簇为单 位对所述受保护文件的预定部分或全部进行解密。

5. 如权利要求 4所述的方法， 其特征在于，

当所述将预定部分的明文放入所述操作系统为所述影子文件分配的 緩存空间时， 所述过滤驱动对所述 4爹改后的受保护文件进行加密操作并 保存， 具体的包括： 所述过滤驱动将所述 4爹改后的受保护文件的明文以 簇为单位使用与所述主机连接的加密锁内存储的密钥进行加密， 并通过 所述文件系统对磁盘中存储所述受保护文件的簇进行修改，

或者，

当所述将全部明文放入所述操作系统为所述影子文件分配的緩存空 间时， 所述过滤驱动对所述 4爹改后的受保护文件进行加密操作并保存， 具体的包括： 所述过滤驱动将完整的所述修改后的受保护文件使用与所 述主机连接的加密锁内存储的密钥进行加密， 覆盖所述磁盘中存储的所 述受保护文件。

6. 如权利要求 1所述的方法， 其特征在于， 所述上层接口为， 所述操作系 统提供的供所述应用程序调用， 为所述应用程序提供创建、 打开、 读取 文件操作的功能的接口。

7. 如权利要求 1所述的方法， 其特征在于， 所述过滤驱动判断所述应用程 序是否合法， 具体的包括： 在进行文件保护前， 使合法的应用程序向所述过滤驱动进行注册， 过滤驱动记录所述合法的应用程序的注册信息， 当存在应用程序通过调 用上层接口发送访问受保护文件的指令时， 过滤驱动获取应用程序的信 息， 并判断与记录的合法应用程序的注册信息是否相同， 如果相同， 则 认为应用程序合法， 如果不相同， 则认为应用程序不合法， 所述注册信 息包括所述合法的应用程序的名称、 进程 ID、 路径， 以及应用程序的注 册表信息。

8. 如权利要求 1所述的方法， 其特征在于， 所述应用程序接收用户发出的 打开受保护文件的指令前， 还包括：

对所述应用程序进行加壳处理， 使得所述加壳后的应用程序在启动 时判断是否有合法的加密锁接入， 如果有， 则所述应用程序可以启动， 否则， 所述应用程序不能启动。

9. 如权利要求 1所述的方法， 其特征在于， 所述引用计数值用于记录所述 影子文件的句柄数， 当未返回所述影子文件的句柄时， 所述引用计数值 为初值， 每返回一个所述影子文件的句柄， 所述引用计数值增加一个步 长， 每关闭一个所述影子文件的句柄， 所述引用计数值递减一个步长。

10. —种文件保护系统， 其特征在于， 所述系统包括： 文件保护驱动和加密 锁：

所述文件保护驱动包括： 应用程序模块、 上层接口模块、 过滤驱动 模块、 文件系统模块、 虚拟磁盘驱动模块；

所述应用程序模块， 用于通过调用所述上层接口模块打开存储在磁 盘中的受保护文件， 并通过所述上层接口模块发出根据句柄对文件进行 读操作和写操作的指令； 所述上层接口模块， 用于接收所述应用程序模块发出的对文件操作 的指令， 并通过操作所述文件系统模块完成文件的打开、 读、 写、 关闭 的操作；

所述过滤驱动模块， 用于监控主机中对所述文件系统模块的操作， 当发现预定义的对所述文件系统模块的操作时， 执行预设的附加操作， 对所述预定义的对所述文件系统模块的操作进行控制；

所述文件系统模块， 用于管理磁盘中存储的文件， 可以在磁盘中完 成建立文件， 索引文件， 读取文件， 4爹改文件的操作； 所述虚拟磁盘驱动模块， 用于当接收到所述过滤驱动模块通过所述 文件系统模块发出的创建所述受保护文件的影子文件的指令后， 在虚拟 磁盘中建立影子文件， 当所述影子文件建立完成后， 操作系统向所述应 用程序模块返回所述影子文件的句柄；

所述加密锁包括： 验证模块和密钥存储模块；

所述-险证模块， 用于在所述应用程序模块启动时， 辅助 -险证是否有 加密锁连接在主机中， 如果有， 则所述应用程序模块可以启动， 否则， 所述应用程序模块不能启动。

所述密钥存储模块， 用于在所述过滤驱动模块对受保护文件进行加 解密操作时， 提供加解密操作的密钥。

11. 如权利要求 10所述的系统， 其特征在于， 所述应用程序模块包括-险证单 元、 打开单元、 读写单元： 所述-险证单元， 用于在所述应用程序模块启动时， -险证主机是否连 接有合法的加密锁， 如果有， 所述应用程序模块可以启动， 否则， 所述 应用程序模块不能启动；

所述打开单元， 用于在接收到所述用户发送的打开受保护文件的指 令时， 向所述上层接口模块发出打开所述受保护文件的指令， 并在接收 到所述影子文件的句柄时， 才艮据所述句柄打开受保护文件；

所述读写单元， 用于在接收到所述操作系统返回的所述影子文件的 句柄后， 才艮据所述句柄发出读写操作的指令。

12. 如权利要求 10所述的系统， 其特征在于， 所述过滤驱动模块， 具体的包 括： 过滤单元、 判断单元、 解密单元、 影子文件创建单元；

所述过滤单元， 用于监控所述上层接口模块是否有打开所述受保护 文件的操作， 当存在打开所述受保护文件的操作时， 执行预设的附加操 作；

所述判断单元， 用于在所述过滤单元截获预设的对所述文件系统模 块的操作时， 判断打开受保护文件的应用程序是否合法， 如果合法， 则 向所述文件系统模块发出创建影子文件的指令， 如果不合法， 则直接打 开所述受保护文件， 打开所述受保护文件时， 不进行解密操作； 所述解密单元， 用于当接收到所述上层接口模块发送的根据所述句 柄读或写所述影子文件的指令时， 向所述文件系统模块发出读取受保护 文件的命令， 并将读出的密文形式的所述受保护文件进行解密操作， 得 到明文形式的受保护文件 ,放入操作系统为所述影子文件分配的緩存中； 所述影子文件创建单元， 用于向所述文件系统模块发送创建影子文 件的指令， 并为所述影子文件随机命名。

13. 如权利要求 12所述的系统 ,其特征在于，所述预设的附加操作具体的为 , 创建影子文件、 对文件进行加解密、 对数据进行个性化操作。

14. 如权利要求 12所述的系统， 其特征在于， 所述文件系统模块还用于， 当 接收到所述影子创建单元发送的创建影子文件的指令时， 向所述虚拟磁 盘驱动模块发送创建影子文件的指令。

15. 如权利要求 10所述的系统， 其特征在于， 所述在虚拟磁盘中建立影子文 件具体的为： 所述过滤驱动模块通过所述文件系统模块读取所述受保护文件的属 性信息， 在所述虚拟磁盘中创建所述影子文件， 并写入所述受保护文件 的属性信息， 所述影子文件的数据为空， 或者，

所述过滤驱动模块通过所述文件系统模块读取所述受保护文件， 并 使用所述加密锁中存储的密钥对所述受保护文件进行解密， 得到明文， 将所述明文放入所述虚拟磁盘中， 作为所述影子文件。

16. 如权利要求 15所述的系统，其特征在于，当所述影子文件的数据为空时， 所述应用程序模块发出才艮据所述句柄对文件进行读操作的指令后， 还包 括：

所述过滤驱动模块截获所述应用程序模块发出的才艮据所述句柄对文 件进行读的指令， 从磁盘中读取所述受保护文件的预定部分或全部， 使 用所述加密锁内部存储的密钥对所述受保护文件的预定部分或全部进行 解密操作， 得到所述受保护文件的预定部分的明文或全部明文， 所述操 作系统为所述影子文件分配緩存空间， 并将所述预定部分的明文或全部 明文放入所述操作系统为所述影子文件分配的緩存空间， 建立文件映射 关系。

17. 如权利要求 15所述的系统， 其特征在于， 所述应用程序模块发出才艮据所 述句柄对文件读操作的指令后， 还包括：

所述过滤驱动模块截获所述应用程序发出的才艮据所述句柄对文件进 行读的指令， 向所述文件系统模块发送根据所述句柄对文件进行读的指 令， 并通过所述虚拟磁盘模块在所述虚拟磁盘中读取所述影子文件， 所 述操作系统为所述影子文件分配緩存空间， 并将所述虚拟磁盘中的明文 放入所述操作系统为所述影子文件分配的緩存空间， 完成对所述受保护 文件的读操作。

18. 如权利要求 16所述的系统， 其特征在于， 所述过滤驱动模块使用所述加 密锁内部存储的密钥对所述受保护文件的预定部分或全部进行解密操 作， 具体的为： 所述过滤驱动模块使用所述加密锁内部存储的密钥以簇为单位对所 述受保护文件的预定部分或全部进行解密操作。

19. 如权利要求 16所述的系统， 其特征在于， 所述过滤驱动模块还包括加密 单元， 所述加密单元用于：

当所述将预定部分的明文放入所述操作系统为所述影子文件分配的 緩存空间时， 所述加密单元将经过所述应用程序模块写操作爹改的所述 受保护文件的明文以簇为单位进行加密， 并通过所述文件系统模块对磁 盘中存储的所述受保护文件进行修改，

或者，

当所述将全部明文放入所述操作系统为所述影子文件分配的緩存空 间时， 所述加密单元将经过所述应用程序模块写操作爹改的所述受保护 文件的明文以簇为单位进行加密， 覆盖磁盘中存储的所述受保护文件。

20. 如权利要求 16所述的系统， 其特征在于， 所述过滤驱动模块还包括？ I用 计数单元， 所述引用计数单元用于：

记录所述影子文件的句柄数， 当未返回所述影子文件的句柄时， 所 述引用计数单元的计数值为初值， 每返回一个所述影子文件的句柄， 所 述引用计数值增加一个步长， 每关闭一个所述影子文件的句柄， 所述引 用计数值递减一个步长， 当所述引用计数值递减为初值时， 删除所述影 子文件。