專(zhuān)利名稱(chēng)：增加文件頭的文件透明加密方法
技術(shù)領(lǐng)域：
本發(fā)明應(yīng)用于數(shù)據(jù)加密領(lǐng)域，尤其是文件加密。使用加文件頭的方法加密文件，可
以在不改變用戶使用習(xí)慣的情況下，實(shí)現(xiàn)數(shù)據(jù)的加密和保護(hù)。本發(fā)明可以應(yīng)用于主動(dòng)的數(shù) 據(jù)安全保護(hù)和被動(dòng)的數(shù)據(jù)安全保護(hù)。
背景技術(shù)：
當(dāng)今，對(duì)于計(jì)算機(jī)上系統(tǒng)的安全性的威脅是來(lái)自多方面的，黑客和木馬給企業(yè)帶
來(lái)的損失，難以估量。數(shù)據(jù)顯示，我國(guó)每年因網(wǎng)絡(luò)泄密導(dǎo)致的經(jīng)濟(jì)損失高達(dá)上百億。 信息技術(shù)的不斷發(fā)展，使網(wǎng)絡(luò)資源的雙刃劍日漸凸顯。來(lái)自網(wǎng)絡(luò)的安全威脅日益
嚴(yán)重，如網(wǎng)絡(luò)數(shù)據(jù)竊賊、黑客侵襲、病毒發(fā)布，甚至系統(tǒng)內(nèi)部泄密，已經(jīng)使信息安全成為各行
業(yè)信息化建設(shè)中的首要問(wèn)題。 據(jù)國(guó)家安全部門(mén)負(fù)責(zé)人透露，有63.6%的企業(yè)用戶處于"高度風(fēng)險(xiǎn)"級(jí)別，因此，網(wǎng) 絡(luò)安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來(lái)越受到各個(gè)行業(yè)的關(guān)注。 如果網(wǎng)絡(luò)信息安全得不到有效保障，企業(yè)將面臨網(wǎng)絡(luò)無(wú)法正常使用、文件丟失或 損毀、生產(chǎn)及管理系統(tǒng)癱瘓、服務(wù)器及客戶端硬件設(shè)施損壞、機(jī)密信息和知識(shí)產(chǎn)權(quán)被盜等多 方面的威脅，而這些，都會(huì)給企業(yè)帶來(lái)直接的經(jīng)濟(jì)損失。 在信息安全領(lǐng)域中，加密敏感信息，必然成為數(shù)據(jù)存儲(chǔ)一個(gè)不可或缺的必要環(huán)節(jié)。
現(xiàn)有的解決方法是，對(duì)文件手動(dòng)加密，和針對(duì)特定進(jìn)程，開(kāi)發(fā)應(yīng)用層的HOOK模塊， 修改文件讀寫(xiě)行為。手動(dòng)加密方法的缺陷在于，如果員工忘記手動(dòng)加密或者員工惡意不去 手動(dòng)加密，就會(huì)帶來(lái)泄密的風(fēng)險(xiǎn)。應(yīng)用層HOOK模塊缺陷在于，兼容性很差，無(wú)法支持許多程 序的加密。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種加文件頭方式，實(shí)現(xiàn)通用的文件透明加密方法。
本發(fā)明的技術(shù)方案是
1首先對(duì)整個(gè)系統(tǒng)初始化 設(shè)定進(jìn)程匹配規(guī)則和文件匹配規(guī)則以及加密密鑰； 使用應(yīng)用層程序掃描全盤(pán)，在需要加密的文件前面增加一個(gè)固定大小的標(biāo)志文件
頭，并將文件頭后的數(shù)據(jù)加密。
2正常工作時(shí)的工作流程 內(nèi)核模塊攔截文件操作，并識(shí)別是否是滿足進(jìn)程匹配規(guī)則和文件匹配規(guī)則的文 件，不是則不做任何處理；如果是則走下面的流程。 針對(duì)沒(méi)有加密的文件，內(nèi)核模塊給文件補(bǔ)充一個(gè)文件頭，并將文件頭后的數(shù)據(jù)加 密； 針對(duì)加密文件，內(nèi)核模塊將與偏移量有關(guān)的10操作都偏移一個(gè)文件頭大小處理；
針對(duì)加密文件，內(nèi)核模塊對(duì)寫(xiě)入磁盤(pán)的數(shù)據(jù)加密，對(duì)讀入內(nèi)存的數(shù)據(jù)解密。
由于使用內(nèi)核驅(qū)動(dòng)模塊實(shí)現(xiàn)，可以通過(guò)修改匹配規(guī)則，對(duì)指定程序所訪問(wèn)的指定
后綴類(lèi)型的文件進(jìn)行加密，不需要員工手動(dòng)加密，兼容性也比應(yīng)用層HOOK要好。 由于使用的是加文件頭的方式，加密標(biāo)志可以穩(wěn)定地被保存在文件內(nèi)，不存在掉
電導(dǎo)致加密標(biāo)志信息損壞的問(wèn)題。 由于使用的是按照進(jìn)程為識(shí)別規(guī)則的加密方式，不同的進(jìn)程看到的數(shù)據(jù)映像是不 一樣的。解密進(jìn)程可以看到解密數(shù)據(jù)，但非解密進(jìn)程看到是沒(méi)有解密的數(shù)據(jù)。這種按照進(jìn) 程的數(shù)據(jù)隔離方式，可以阻止黑客、木馬等程序產(chǎn)生的數(shù)據(jù)泄漏。


圖1 :系統(tǒng)初始化流程
圖2 :系統(tǒng)正常運(yùn)行時(shí)的流程
圖3 :具體實(shí)施圖示
具體實(shí)施例方式
基于文件頭的文件透明加密的軟硬件構(gòu)成如下 PC機(jī)、加文件頭的透明加密軟件、windows系統(tǒng)。如圖3所示，整個(gè)系統(tǒng)的運(yùn)行過(guò) 程如下 步驟1 :使用"進(jìn)程匹配文件匹配加密密鑰設(shè)置工具"配置加密規(guī)則，什么進(jìn)程操 作什么文件加密。 步驟2 :使用"進(jìn)程匹配文件匹配加密密鑰設(shè)置工具"，使用前面的文件匹配規(guī)則， 遍歷整個(gè)計(jì)算機(jī)，對(duì)需要加密的文件增加一個(gè)文件頭，并對(duì)內(nèi)容加密。
步驟3 :用戶正常按照以前的方式使用計(jì)算機(jī)。當(dāng)指定的進(jìn)程打開(kāi)一個(gè)加密文件
時(shí)，內(nèi)核模塊自動(dòng)讀取文件頭，提取解密信息，匹配訪問(wèn)規(guī)則中的密鑰信息，對(duì)讀入內(nèi)存的
數(shù)據(jù)解密，對(duì)寫(xiě)入磁盤(pán)的數(shù)據(jù)加密。當(dāng)指定的進(jìn)程打開(kāi)一個(gè)未加密的文件或者是新建文件
(包含覆蓋)時(shí)，內(nèi)核模塊自動(dòng)將未加密的文件增加文件頭，將內(nèi)容加密；然后將寫(xiě)入磁盤(pán)
的數(shù)據(jù)加密，讀入內(nèi)存的數(shù)據(jù)解密。
下面就相關(guān)問(wèn)題介紹如下 1文件頭 文件頭內(nèi)存在一個(gè)標(biāo)記，標(biāo)記一個(gè)文件是否已經(jīng)被加密，并保存一些附加的其他 信息；文件頭內(nèi)存在一個(gè)隨機(jī)密鑰，用于加密數(shù)據(jù)；用戶密鑰對(duì)文件頭加密。
2文件識(shí)別 使用文件后綴，目錄，或通配符的組合來(lái)實(shí)現(xiàn)。支持對(duì)單個(gè)文件的加密，也支持對(duì) 一個(gè)類(lèi)型的文件加密，也支持對(duì)一個(gè)目錄下的文件加密。
3進(jìn)程識(shí)別 使用進(jìn)程名識(shí)別或者進(jìn)程全路徑識(shí)別，或者可執(zhí)行文件的特征碼來(lái)識(shí)別。
4文件頭解密 解密后，內(nèi)部的標(biāo)記與計(jì)算出的標(biāo)記一致。
510請(qǐng)求的截獲與處理 I/O請(qǐng)求的截獲是在內(nèi)核層實(shí)現(xiàn)的。對(duì)于I/O請(qǐng)求存在三種情況
第一種I/0請(qǐng)求(如查詢(xún)文件屬性)是不需要攔截的，對(duì)于這種IO請(qǐng)求，直接下 發(fā)就可以了。 第二種對(duì)于文件的CACHE方式讀寫(xiě)的IRP(IO Request Packet)，直接放過(guò)。
第三種對(duì)于文件的非CACHE方式讀寫(xiě)的IRP (10 Request Packet)，將讀寫(xiě)偏轉(zhuǎn) 一個(gè)文件頭的位置，然后將寫(xiě)入數(shù)據(jù)加密，將讀出的數(shù)據(jù)解密。
6文件的解密狀態(tài)和加密狀態(tài)的切換 當(dāng)一個(gè)文件在內(nèi)存中由解密變成加密，或者反過(guò)來(lái)的時(shí)候，需要使用清緩存 (CACHE)的方式，將內(nèi)存中緩存的數(shù)據(jù)都刷新到磁盤(pán)上，銷(xiāo)毀緩存。然后讓系統(tǒng)重新構(gòu)建緩 存。 7應(yīng)用領(lǐng)域 Windows系統(tǒng)下的參考實(shí)現(xiàn) 本發(fā)明已經(jīng)在WINDOWS XP系統(tǒng)上成功應(yīng)用，其具體的系統(tǒng)組成如下Windows XPProfessional (sp3);本發(fā)明的用戶界面程序和驅(qū)動(dòng)程序。
流程說(shuō)明如下 本發(fā)明在Windows下包含了用戶級(jí)和內(nèi)核級(jí)兩層調(diào)用；
用戶級(jí)調(diào)用的主要函數(shù)包括 SetPolicyToDriver :負(fù)責(zé)將進(jìn)程匹配和文件匹配的規(guī)則下發(fā)到驅(qū)動(dòng)內(nèi)； ScanFileAndEncrypt::負(fù)責(zé)掃描整個(gè)硬盤(pán)，將需要加密的文件加文件頭，并加密
文件數(shù)據(jù)。 操作流程如下
初始化 策略設(shè)置工具調(diào)用SetPolicyToDriver將策略設(shè)置到驅(qū)動(dòng)； 策略設(shè)置工具調(diào)用ScanFileAndEncrypt掃描全盤(pán)，將該加密的文件加上文件頭，
并把數(shù)據(jù)加密。 正常運(yùn)行 用戶按照以往的方式操作常用軟件。
權(quán)利要求
增加文件頭的文件透明加密方法，其特征是包含以下步驟初始化時(shí)，設(shè)置進(jìn)程和文件的匹配規(guī)則；初始化時(shí)，掃描整個(gè)硬盤(pán)，按照文件匹配規(guī)則將需要加密的文件加密；正常運(yùn)行時(shí)，內(nèi)核模塊在發(fā)現(xiàn)指定的進(jìn)程訪問(wèn)一個(gè)文件但這個(gè)文件沒(méi)有加密，自動(dòng)增加一個(gè)文件頭，并將文件頭后的數(shù)據(jù)加密；正常運(yùn)行時(shí)，內(nèi)核模塊發(fā)現(xiàn)指定的進(jìn)程打開(kāi)一個(gè)加密文件，使用標(biāo)志校驗(yàn)文件頭的合法性；正常運(yùn)行時(shí)，內(nèi)核模塊對(duì)于加密文件，與偏移量有關(guān)的IO操作需要加一個(gè)偏移量；正常運(yùn)行時(shí)，內(nèi)核模塊對(duì)于加密文件，讀入內(nèi)存的數(shù)據(jù)解密，寫(xiě)入磁盤(pán)的數(shù)據(jù)加密。
2. 根據(jù)權(quán)利1要求的增加文件頭的方法，其特征在于第一次使用的時(shí)候，對(duì)用戶指定的文件夾進(jìn)行掃描加密所有需要加密的文件，需要加 文件頭；在用戶正常使用過(guò)程中，對(duì)于以前沒(méi)有加密的文件，由驅(qū)動(dòng)自動(dòng)增加文件頭； 對(duì)于已經(jīng)加密的文件，內(nèi)核模塊使用文件頭內(nèi)的數(shù)據(jù)做合法性校驗(yàn)。
3. 根據(jù)權(quán)利1所述的IO操作偏移的方法，其特征在于對(duì)于寫(xiě)入磁盤(pán)的IO都需要偏移，偏移量為一個(gè)文件頭大??； 對(duì)于不是寫(xiě)入磁盤(pán)的IO，則不需要偏移；對(duì)于應(yīng)用程序需要看到的文件大小，需要減掉一個(gè)文件頭大小。
4. 根據(jù)權(quán)利1所述的基于加密方法，其特征在于對(duì)于寫(xiě)入磁盤(pán)的數(shù)據(jù)，增加一個(gè)文件頭位移后，將數(shù)據(jù)加密寫(xiě)入磁盤(pán)； 對(duì)于從磁盤(pán)讀出的數(shù)據(jù)，增加一個(gè)文件位移后，將數(shù)據(jù)讀出并解密。
5. 基于權(quán)利1所述的過(guò)濾文件的方法，其特征在于 使用通配符識(shí)別文件名。
6. 基于權(quán)利1所述的過(guò)濾進(jìn)程的方法，其特征在于使用通配符匹配進(jìn)程名或者使用進(jìn)程的可執(zhí)行程序文件的特征碼來(lái)識(shí)別進(jìn)程。
全文摘要
本發(fā)明涉及一種可以實(shí)現(xiàn)增加文件頭的文件透明加密方法。方法含有如下步驟設(shè)置進(jìn)程和文件的匹配規(guī)則；掃描整個(gè)硬盤(pán)，將需要加密的文件加密；內(nèi)核模塊在發(fā)現(xiàn)一個(gè)文件需要加密但沒(méi)有加密時(shí)，自動(dòng)增加一個(gè)文件頭，并將文件頭后的數(shù)據(jù)加密；對(duì)于指定的進(jìn)程訪問(wèn)加密文件，與偏移量有關(guān)的IO都加一個(gè)偏移量，讀入內(nèi)存的數(shù)據(jù)解密，寫(xiě)入磁盤(pán)的數(shù)據(jù)加密。
文檔編號(hào)G06F21/24GK101751536SQ20091018887
公開(kāi)日2010年6月23日 申請(qǐng)日期2009年12月16日 優(yōu)先權(quán)日2009年12月16日
發(fā)明者于泳濤, 卓勇, 胡躍 申請(qǐng)人:深圳市虹安信息技術(shù)有限公司