專利名稱:利用過濾驅(qū)動程序結(jié)合智能密鑰裝置自動保護(hù)磁盤數(shù)據(jù)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種保護(hù)磁盤數(shù)據(jù)的方法�,特別是一種利用過濾驅(qū)動程序結(jié)合智能密鑰裝置自動保護(hù)磁盤數(shù)據(jù)的方法�����。
背景技術(shù):
隨著計算機(jī)技術(shù)和信息技術(shù)的快速發(fā)展�����,計算機(jī)成為人們?nèi)粘I?、辦公和學(xué)習(xí)必不可少的設(shè)備��,越來越多的信息都以電子文檔的形式保存在計算機(jī)上���,這種改進(jìn)無疑給人們帶來便利��,但是同時也出現(xiàn)了安全性的問題——很多文檔信息具有機(jī)密性��,但是卻很容易被閱讀和篡改��,這樣就需要保證敏感信息的安全性。目前人們主要利用加密和認(rèn)證技術(shù)來控制非法用戶對敏感信息的訪問����,例如利用各種密鑰機(jī)制對數(shù)據(jù)加密��,從而防止非法用戶閱讀�;或者利用數(shù)字證書來認(rèn)證用戶的身份,控制非法用戶訪問數(shù)據(jù)�。
智能密鑰裝置就是在此基礎(chǔ)上出現(xiàn)的加密和認(rèn)證設(shè)備�����,它采用強雙因子認(rèn)證模式�����,內(nèi)置單片機(jī)或智能卡芯片���,可以存儲用戶密鑰和數(shù)字證書����,利用智能密鑰裝置內(nèi)置的密碼算法實現(xiàn)對用戶身份認(rèn)證和敏感信息加解密�����。利用智能密鑰裝置加密信息和身份認(rèn)證��,很大程度提高了敏感信息的安全性���。
人們還利用現(xiàn)有過濾驅(qū)動技術(shù)保護(hù)敏感信息�����,這種內(nèi)核級的保護(hù)模式具有更高的安全性���。過濾驅(qū)動程序是一種可選擇的特殊驅(qū)動程序���,可以加載在其他驅(qū)動程序之上���,用于修改或者增加原有驅(qū)動程序所能實現(xiàn)的功能�����,而不必修改原有驅(qū)動程序,也不必修改使用該原有驅(qū)動程序的應(yīng)用程序�����。結(jié)合過濾驅(qū)動程序的這一特點�,人們將過濾驅(qū)動程序加載在Windows操作系統(tǒng)中高層驅(qū)動程序(如文件系統(tǒng))和磁盤類驅(qū)動之間����,實現(xiàn)對磁盤中扇區(qū)讀寫進(jìn)行監(jiān)控。
上述的幾種方法都提高了敏感信息的安全性�����,但是隨著保護(hù)手段的不斷改進(jìn)��,惡意分子的攻擊手段也在不斷更新��,很多對磁盤數(shù)據(jù)保護(hù)措施的安全性也就具有了相對性�����,所以需要研究出更安全的保護(hù)方法�。
發(fā)明內(nèi)容
為了解決上述存在的問題���,本發(fā)明將智能密鑰裝置和磁盤過濾驅(qū)動程序相結(jié)合,提供一種更安全的磁盤數(shù)據(jù)保護(hù)方法。
本發(fā)明通過以下方案實現(xiàn)一種利用過濾驅(qū)動程序結(jié)合智能密鑰裝置自動保護(hù)磁盤數(shù)據(jù)的方法����,包括如下步驟1.用戶程序或高層驅(qū)動發(fā)送磁盤操作請求����;2.磁盤過濾驅(qū)動程序檢測智能密鑰裝置是否已經(jīng)插入計算機(jī);3.驗證用戶身份����;4.用戶通過身份認(rèn)證后���,根據(jù)操作請求進(jìn)行處理�。
所述磁盤過濾驅(qū)動程序通過獲取智能密鑰裝置驅(qū)動程序中的設(shè)備對象與智能密鑰裝置相關(guān)聯(lián),共同完成對磁盤的保護(hù)���。
所述智能密鑰裝置用于存儲密鑰����,并可以通過使用智能密鑰裝置來完成磁盤數(shù)據(jù)的加密和解密操作����,也可以通過從智能密鑰裝置中讀取密鑰,在內(nèi)存中完成磁盤數(shù)據(jù)的加密和解密�����。
所述步驟2如果沒有檢測到智能密鑰裝置插入計算機(jī)�,磁盤過濾驅(qū)動程序通知應(yīng)用監(jiān)控程序顯示界面���,該界面提示用戶插入智能密鑰裝置并進(jìn)行身份驗證,所述用戶身份驗證包括下列方法之一1)用戶輸入的PIN碼是否能夠通過智能密鑰裝置的驗證��;2)用戶的生物特征能夠通過智能密鑰裝置的驗證�����;3)用戶提供的智能密鑰裝置中是否包含特定的數(shù)據(jù);4)將一些數(shù)據(jù)發(fā)送給智能密鑰裝置進(jìn)行運算���,檢查運算結(jié)果是否是期望值����。
所述步驟3如果用戶沒有通過身份認(rèn)證����,則由智能密鑰裝置對用戶進(jìn)行身份認(rèn)證。
如果用戶沒有通過身份認(rèn)證�����,則返回用戶程序或高層驅(qū)動程序進(jìn)行處理����。
所述步驟4磁盤過濾驅(qū)動程序根據(jù)具體的磁盤操作請求對請求進(jìn)行過濾處理�,所述過濾處理包括1)對于寫的請求的處理利用智能密鑰裝置加密數(shù)據(jù)或者由磁盤過濾驅(qū)動程序加密數(shù)據(jù),然后將密文發(fā)送給底層驅(qū)動程序作進(jìn)一步的寫操作����。
2)對于讀的請求的處理從底層驅(qū)動程序讀取磁盤扇區(qū)數(shù)據(jù)后利用智能密鑰裝置或者直接由磁盤過濾驅(qū)動程序解密數(shù)據(jù)。
從本發(fā)明的技術(shù)方案可以看出���,本發(fā)明通過將智能密鑰裝置與磁盤過濾驅(qū)動程序相關(guān)聯(lián)保護(hù)磁盤中的數(shù)據(jù),用戶若想對受保護(hù)的磁盤進(jìn)行操作必須通過智能密鑰裝置的身份認(rèn)證����,過濾驅(qū)動程序的過濾,這種數(shù)據(jù)保護(hù)的方法相對于現(xiàn)有的保護(hù)方法更安全��。
圖1是本發(fā)明的原理框圖���。
圖2是本發(fā)明的實現(xiàn)流程圖。
具體實施例方式
下面結(jié)合附圖和具體實施例對本發(fā)明進(jìn)行更詳細(xì)的描述�。
本發(fā)明將智能密鑰裝置與磁盤過濾驅(qū)動程序相關(guān)聯(lián)����,共同實現(xiàn)對磁盤數(shù)據(jù)的保護(hù)。
如圖1所示,磁盤過濾驅(qū)動程序102處在用戶程序或高層驅(qū)動程序101和底層磁盤類驅(qū)動程序——磁盤類驅(qū)動程序103��、存儲Port驅(qū)動程序104之間�,用于實現(xiàn)監(jiān)控和保護(hù)對磁盤中扇區(qū)數(shù)據(jù)的訪問��。
用戶對磁盤扇區(qū)數(shù)據(jù)進(jìn)行操作時,磁盤過濾驅(qū)動程序102截獲相應(yīng)請求包�,讀取請求包中的數(shù)據(jù)內(nèi)容�,并獲取智能密鑰裝置107對應(yīng)的設(shè)備驅(qū)動對象,如果對象存在���,則說明智能密鑰裝置107已經(jīng)存在系統(tǒng)中����,如果對象不存在����,則說明智能密鑰裝置107不存在����,則不能對目標(biāo)磁盤進(jìn)行相應(yīng)操作����。
接下來驗證智能密鑰裝置107持有者的身份,如果已經(jīng)驗證過智能密鑰裝置107持有者的身份并且驗證通過����,則不需要再進(jìn)行驗證����,否則磁盤過濾驅(qū)動程序102通知上層應(yīng)用彈出界面要求輸入智能密鑰裝置的PIN碼或者導(dǎo)入數(shù)字證書驗證身份�����,再將身份驗證結(jié)果返回磁盤過濾驅(qū)動程序102,如果身份認(rèn)證不成功��,磁盤過濾驅(qū)動程序102直接返回��,上層應(yīng)用層彈出提示身份驗證不通過;如果身份認(rèn)證成功�,可以通過兩種方式實現(xiàn)對磁盤數(shù)據(jù)的保護(hù)1)磁盤過濾驅(qū)動程序102根據(jù)智能密鑰物理裝置驅(qū)動對象把數(shù)據(jù)內(nèi)容轉(zhuǎn)發(fā)到智能密鑰裝置驅(qū)動程序106,從而使用智能密鑰裝置107完成對數(shù)據(jù)的加密或者解密�,將加密后的密文寫入磁盤物理扇區(qū)或?qū)⒔饷芎蟮拿魑姆祷亟o上層應(yīng)用����,從而實現(xiàn)本發(fā)明保護(hù)磁盤數(shù)據(jù)的目的����;2)磁盤過濾驅(qū)動程序102通過智能密鑰裝置驅(qū)動程序中的設(shè)備對象來讀取保存在智能密鑰裝置107中的密鑰,在內(nèi)存中完成對數(shù)據(jù)的加密和解密����,將加密后的密文寫入磁盤物理扇區(qū)或?qū)⒔饷芎蟮拿魑臄?shù)據(jù)返回給上層應(yīng)用。
監(jiān)控程序105主要負(fù)責(zé)監(jiān)控硬件的插拔事件��,當(dāng)發(fā)現(xiàn)有硬件插入事件時����,將要求用戶輸入硬件的PIN碼并從硬件中讀取正確的密碼并發(fā)送到磁盤過濾驅(qū)動程序102,當(dāng)發(fā)現(xiàn)硬件拔除后����,將通知磁盤過濾驅(qū)動程序102刷新密碼到初始狀態(tài)。
如圖2所示���,首先步驟201用戶程序或高層驅(qū)動程序向磁盤過濾驅(qū)動程序下發(fā)磁盤操作請求����。
步驟202磁盤過濾驅(qū)動程序檢測智能密鑰裝置是否已經(jīng)插入計算機(jī)����,如果沒有插入則執(zhí)行步驟214返回錯誤到用戶程序或高層驅(qū)動程序�;如果已插入則步驟203判斷當(dāng)前用戶身份是否已經(jīng)驗證過��。如果用戶已經(jīng)通過了智能密鑰裝置的身份認(rèn)證��,則不需要再進(jìn)行身份認(rèn)證而直接運行步驟207,如果沒有驗證過用戶的身份則執(zhí)行步驟204智能密鑰裝置對用戶進(jìn)行身份認(rèn)證���,步驟205磁盤過濾驅(qū)動程序確認(rèn)用戶身份認(rèn)證是否通過,如果沒有通過�,則執(zhí)行步驟214返回錯誤到上層,否則執(zhí)行步驟206從智能密鑰裝置從讀取加/解密密鑰���。
步驟207,磁盤過濾驅(qū)動程序在接收到來自上層應(yīng)用或高層驅(qū)動程序的磁盤操作請求后����,根據(jù)請求的具體內(nèi)容判斷是哪種請求。
如果是讀請求(IRP_MJ_READ)�����,則步驟208將請求提交給下層驅(qū)動程序以讀取磁盤指定扇區(qū)上的密文數(shù)據(jù)�,步驟209將從下層驅(qū)動程序返回的密文數(shù)據(jù)進(jìn)行解密成明文����。
如果是寫磁盤扇區(qū)請求(IRP_MJ_WRITE)�����,則步驟210使用密鑰對數(shù)據(jù)進(jìn)行加密處理�,從而使明文數(shù)據(jù)轉(zhuǎn)換成密文�,磁盤過濾驅(qū)動將密文數(shù)據(jù)替換原來請求包中的明文數(shù)據(jù)內(nèi)容并將替換后執(zhí)行步驟211將請求發(fā)送到底層磁盤驅(qū)動程序?qū)⒚芪膶懭胫付ㄉ葏^(qū)�����。
如果是某些特定的請求包(根據(jù)用戶特定要求)如獲取磁盤大小等信息操作(IOCTL_DISK_GET_DRIVE_GEOMETRY、IOCTL_DISK_GET_LENGTH_INFO等)��,則步驟212根據(jù)具體磁盤內(nèi)容進(jìn)行處理�����,然后執(zhí)行步驟213將請求向下發(fā)送給下層驅(qū)動程序��。
步驟214將處理結(jié)果返回給上層用戶程序或高層驅(qū)動程序�。
以上對本發(fā)明所提供的利用過濾驅(qū)動程序結(jié)合智能密鑰裝置自動保護(hù)磁盤數(shù)據(jù)的方法進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進(jìn)行了闡述�,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想;同時����,對于本領(lǐng)域的一般技術(shù)人員���,依據(jù)本發(fā)明的思想���,在具體實施方式
及應(yīng)用范圍上均會有改變之處,綜上所述��,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制���。
權(quán)利要求
1.一種利用過濾驅(qū)動程序結(jié)合智能密鑰裝置自動保護(hù)磁盤數(shù)據(jù)的方法,包括如下步驟(1)用戶程序或高層驅(qū)動發(fā)送磁盤操作請求��;(2)磁盤過濾驅(qū)動程序檢測智能密鑰裝置是否已經(jīng)插入計算機(jī);(3)驗證用戶身份���;(4)用戶通過身份認(rèn)證后,根據(jù)操作請求進(jìn)行處理����。
2.根據(jù)權(quán)利要求1所述的利用過濾驅(qū)動程序結(jié)合智能密鑰裝置自動保護(hù)磁盤數(shù)據(jù)的方法�����,其特征在于所述磁盤過濾驅(qū)動程序通過獲取智能密鑰裝置驅(qū)動程序的設(shè)備對象與智能密鑰裝置相關(guān)聯(lián),共同完成對磁盤的保護(hù)���。
3.根據(jù)權(quán)利要求1或2所述的利用過濾驅(qū)動程序結(jié)合智能密鑰裝置自動保護(hù)磁盤數(shù)據(jù)的方法�����,其特征在于所述智能密鑰裝置用于存儲密鑰���,并通過使用智能密鑰裝置來完成磁盤數(shù)據(jù)的加密和解密操作。
4.根據(jù)權(quán)利要求1或2所述的利用過濾驅(qū)動程序結(jié)合智能密鑰裝置自動保護(hù)磁盤數(shù)據(jù)的方法���,其特征在于所述智能密鑰裝置用于存儲密鑰����,通過從智能密鑰裝置中讀取密鑰,在內(nèi)存中完成磁盤數(shù)據(jù)的加密和解密�����。
5.根據(jù)權(quán)利要求1或2所述的利用過濾驅(qū)動程序結(jié)合智能密鑰裝置自動保護(hù)磁盤數(shù)據(jù)的方法,其特征在于所述步驟2如果沒有檢測到智能密鑰裝置插入計算機(jī)�,磁盤過濾驅(qū)動程序通知應(yīng)用監(jiān)控程序顯示界面,該界面提示用戶插入智能密鑰裝置并進(jìn)行身份驗證��,所述用戶身份驗證包括下列方法之一1)用戶輸入的PIN碼是否能夠通過智能密鑰裝置的驗證����;2)用戶的生物特征能夠通過智能密鑰裝置的驗證����;3)用戶提供的智能密鑰裝置中是否包含特定的數(shù)據(jù)���;4)將一些數(shù)據(jù)發(fā)送給智能密鑰裝置進(jìn)行運算�,檢查運算結(jié)果是否是期望值�����。
6.根據(jù)權(quán)利要求1或2所述的利用過濾驅(qū)動程序結(jié)合智能密鑰裝置自動保護(hù)磁盤數(shù)據(jù)的方法��,其特征在于所述步驟3如果用戶沒有通過身份認(rèn)證,則由智能密鑰裝置對用戶進(jìn)行身份認(rèn)證��。
7.根據(jù)權(quán)利要求6所述的利用過濾驅(qū)動程序結(jié)合智能密鑰裝置自動保護(hù)磁盤數(shù)據(jù)的方法�����,其特征在于如果用戶沒有通過身份認(rèn)證���,則返回用戶程序或高層驅(qū)動進(jìn)行處理。
8.根據(jù)權(quán)利要求1或2所述的利用過濾驅(qū)動程序結(jié)合智能密鑰裝置自動保護(hù)磁盤數(shù)據(jù)的方法��,其特征在于所述步驟4磁盤過濾驅(qū)動程序根據(jù)具體的磁盤操作請求進(jìn)行過濾處理�,所述過濾處理包括對寫請求的處理利用智能密鑰裝置加密數(shù)據(jù)或者由磁盤過濾驅(qū)動程序加密數(shù)據(jù),然后將密文發(fā)送給底層驅(qū)動程序作進(jìn)一步的寫操作�����。
9.根據(jù)權(quán)利要求1或2所述的利用過濾驅(qū)動程序結(jié)合智能密鑰裝置自動保護(hù)磁盤數(shù)據(jù)的方法����,其特征在于所述步驟4磁盤過濾驅(qū)動程序根據(jù)具體的磁盤操作請求進(jìn)行過濾處理����,所述過濾處理包括對讀請求的處理從底層驅(qū)動程序讀取磁盤扇區(qū)數(shù)據(jù)后利用智能密鑰裝置或者直接由磁盤過濾驅(qū)動程序解密數(shù)據(jù)。
全文摘要
本發(fā)明公開了一種利用過濾驅(qū)動程序結(jié)合智能密鑰裝置自動保護(hù)磁盤數(shù)據(jù)的方法���,包括如下步驟用戶程序或高層驅(qū)動程序發(fā)送磁盤操作請求;磁盤過濾驅(qū)動程序檢測智能密鑰裝置是否已經(jīng)插入計算機(jī)��;判斷用戶是否已經(jīng)通過身份認(rèn)證�;用戶通過身份認(rèn)證后����,根據(jù)操作請求進(jìn)行處理。本發(fā)明通過將智能密鑰裝置與磁盤過濾驅(qū)動程序相關(guān)聯(lián)保護(hù)磁盤中的數(shù)據(jù)���,用戶若想對受保護(hù)的磁盤進(jìn)行操作必須通過智能密鑰裝置的身份認(rèn)證,過濾驅(qū)動程序的過濾����,這種數(shù)據(jù)保護(hù)的方法相對于現(xiàn)有的保護(hù)方法更安全。
文檔編號H04L9/32GK1889062SQ20061008891
公開日2007年1月3日 申請日期2006年7月26日 優(yōu)先權(quán)日2006年7月26日
發(fā)明者陸舟, 于華章 申請人:北京飛天誠信科技有限公司