專利名稱:一種電子文件的自動保護方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電子信息安全保護領(lǐng)域�,特別涉及一種電子文件的自動保護方法及系統(tǒng)���。
背景技術(shù):
隨著計算機技術(shù)和信息技術(shù)的快速發(fā)展����,計算機已成為人們?nèi)粘I?��、辦公和學(xué)習必不可少的工具��,越來越多的數(shù)據(jù)信息通過電子文件的形式保存在計算機上�����,例如以各種電子文檔的形式��;這種形式給人們帶來便利的同時���,也出現(xiàn)了安全性的問題——很多文檔信息具有機密性,不能被隨意閱讀和篡改���,因此需要保證敏感信息的安全性��。目前人們主要利用加密和認證技術(shù)來控制非法操作者對敏感信息的訪問�,例如利用各種密鑰機制對文件加密,或利用數(shù)字證書來驗證操作者的身份�,從而防止非法操作者訪問文件。
現(xiàn)有技術(shù)中通常采用智能密鑰裝置以及過濾驅(qū)動技術(shù)對信息進行安全保護��。智能密鑰裝置采用強雙因子認證模式����,內(nèi)置單片機或智能卡芯片�,可以存儲操作者密鑰和數(shù)字證書,利用智能密鑰裝置內(nèi)置的密碼算法實現(xiàn)對操作者身份認證和敏感信息的加解密����。過濾驅(qū)動程序是一種可選擇的特殊驅(qū)動程序,可以加載在其他驅(qū)動程序之上����,用于修改或者增加原有驅(qū)動程序可以實現(xiàn)的功能,而不必修改原有驅(qū)動程序�,也不必修改使用該原有驅(qū)動程序的應(yīng)用程序;結(jié)合過濾驅(qū)動程序的這一特點���,人們將過濾驅(qū)動程序加載在Windows操作系統(tǒng)文件處理模塊的文件系統(tǒng)和操作系統(tǒng)驅(qū)動層的文件系統(tǒng)驅(qū)動之間�,實現(xiàn)對文件讀寫進行監(jiān)控;過濾驅(qū)動技術(shù)這種內(nèi)核級的保護模式進一步提高了信息的安全性�。
上述方法雖然提高了敏感信息的安全性,但是隨著保護手段的不斷改進���,惡意分子的攻擊手段也在不斷更新����,很多保護措施都不能滿足對安全性日益增長的要求���,因此��,需要進一步改進對信息的保護手段以適應(yīng)當今的需求��。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種安全性更高���、保護手段更強的電子文件自動保護方法及系統(tǒng)。
為解決上述技術(shù)問題�����,本發(fā)明采取的技術(shù)方案是提供一種文件的自動保護方法����,該方法包括下列步驟A1.文件系統(tǒng)過濾驅(qū)動模塊接收文件操作請求����;A2.當請求操作的文件為受保護文件時��,所述文件系統(tǒng)過濾驅(qū)動模塊檢測計算機是否已連接智能密鑰裝置����;A3.當已連接智能密鑰裝置時,驗證用戶身份��;A4.用戶身份驗證通過后���,根據(jù)所述文件操作請求對該請求進行過濾處理;A5.過濾完成后�,所述文件系統(tǒng)過濾驅(qū)動模塊返回過濾結(jié)果信息。
優(yōu)選的�,步驟A1還可以包括對操作請求的判斷步驟,即所述文件系統(tǒng)過濾驅(qū)動模塊判斷所述操作請求是否是對受保護文件的操作�,如果是,則執(zhí)行步驟A2����,如果否,則直接發(fā)送至下層文件系統(tǒng)驅(qū)動模塊。
優(yōu)選的�,步驟A3中驗證用戶身份步驟如果用戶身份已經(jīng)過驗證,并驗證通過����,則執(zhí)行步驟A4;否則�,所述文件系統(tǒng)過濾驅(qū)動模塊通知應(yīng)用監(jiān)控模塊,提示用戶進行身份認證�,如果身份認證成功,則執(zhí)行步驟A4���,否則����,所述文件系統(tǒng)過濾驅(qū)動模塊結(jié)束所述操作請求���;其中����,通過所述智能密鑰裝置對用戶進行身份認證��。
優(yōu)選的���,步驟A4中所述的過濾處理可以是針對寫文件操作請求或讀文件操作請求���,通過所述智能密鑰裝置對數(shù)據(jù)進行加密或解密處理����;其過程表現(xiàn)為所述文件系統(tǒng)過濾驅(qū)動模塊根據(jù)所述智能密鑰物理裝置驅(qū)動設(shè)備對象將數(shù)據(jù)內(nèi)容發(fā)送至智能密鑰裝置驅(qū)動模塊����,進而實現(xiàn)所述智能密鑰裝置對數(shù)據(jù)的加密或解密處理。
優(yōu)選的��,上述針對寫文件操作請求或讀文件操作請求的過濾處理�����,還可以通過所述文件系統(tǒng)過濾驅(qū)動模塊對數(shù)據(jù)進行加密或解密處理�。
優(yōu)選的��,所述過濾處理還可以是創(chuàng)建�、刪除、重命名或取文件信息操作請求�,根據(jù)具體文件的保護策略返回錯誤信息或?qū)⒃撜埱蟀l(fā)送至文件系統(tǒng)驅(qū)動模塊。
優(yōu)選的�,所述過濾處理是針對指定特定應(yīng)用程序訪問的文件進行的處理�。
優(yōu)選的��,步驟A5中所述返回過濾結(jié)果信息可以為將所述過濾結(jié)果信息發(fā)送到下層文件系統(tǒng)驅(qū)動模塊或返回文件系統(tǒng)或上層應(yīng)用模塊�。
本發(fā)明還提供了一種文件的自動保護系統(tǒng),用于實現(xiàn)上述文件自動保護方法�,包括文件系統(tǒng)模塊和文件系統(tǒng)驅(qū)動模塊,還包括文件系統(tǒng)過濾驅(qū)動模塊�,用于接收所述文件操作請求,觸發(fā)檢測事件����,以及對所述文件操作請求進行過濾處理,并發(fā)送過濾結(jié)果信息�;應(yīng)用監(jiān)控模塊,監(jiān)控所述文件系統(tǒng)過濾驅(qū)動模塊����,等待所述文件系統(tǒng)過濾驅(qū)動模塊發(fā)送的事件并進行相應(yīng)處理;智能密鑰裝置���,用于驗證用戶身份��,以及與智能密鑰裝置驅(qū)動模塊相關(guān)聯(lián)�;智能密鑰裝置驅(qū)動模塊�����,用于實現(xiàn)所述智能密鑰裝置同所述文件系統(tǒng)過濾驅(qū)動模塊之間的關(guān)聯(lián);優(yōu)選的����,所述智能密鑰裝置對數(shù)據(jù)進行加密或解密處理。
優(yōu)選的�����,所述文件系統(tǒng)過濾驅(qū)動模塊對數(shù)據(jù)進行加密或解密處理�。
優(yōu)選的,所述智能密鑰裝置驅(qū)動模塊還可以建立所述智能密鑰裝置同所述應(yīng)用監(jiān)控模塊之間的關(guān)聯(lián)�����。
同現(xiàn)有技術(shù)相比�,本發(fā)明的技術(shù)方案具有以下優(yōu)點1.建立智能密鑰裝置同文件系統(tǒng)過濾驅(qū)動模塊的關(guān)聯(lián),通過獲取智能密鑰裝置對應(yīng)的設(shè)備驅(qū)動設(shè)備對象����,進而實現(xiàn)智能密鑰裝置的加解密技術(shù)同文件系統(tǒng)過濾驅(qū)動技術(shù)的結(jié)合。
2.通過將智能密鑰裝置同文件系統(tǒng)過濾驅(qū)動技術(shù)結(jié)合對文件進行保護�,操作者如果想對受保護的文件進行操作必須首先通過智能密鑰裝置的身份認證���,再經(jīng)過過濾驅(qū)動模塊的過濾�,這種方法進一步提高了文件的安全性,保護手段也進一步增強���。
圖1是本發(fā)明所述電子文件自動保護系統(tǒng)的結(jié)構(gòu)圖����;圖2是本發(fā)明所述電子文件自動保護方法的總體流程圖��;圖3是本發(fā)明所述電子文件自動保護方法的具體流程圖����。
具體實施例方式
本發(fā)明的核心思想是文件系統(tǒng)過濾驅(qū)動模塊接收文件操作請求,通過智能密鑰裝置對操作用戶進行身份認證�����,認證通過后再對操作請求進行過濾處理�����,最后返回過濾結(jié)果信息�,即將智能密鑰裝置和文件系統(tǒng)過濾驅(qū)動模塊相關(guān)聯(lián),共同實現(xiàn)對文件的保護�����。
參照圖1,是本發(fā)明所述電子文件自動保護系統(tǒng)的結(jié)構(gòu)圖�����;如圖所示�����,在Windows及其他操作系統(tǒng)文件處理模塊的文件系統(tǒng)模塊11和操作系統(tǒng)驅(qū)動層的文件系統(tǒng)驅(qū)動模塊13之間�����,包括一個用于實現(xiàn)文件監(jiān)控和讀寫保護的文件系統(tǒng)過濾驅(qū)動模塊12���。文件系統(tǒng)過濾驅(qū)動模塊12通過獲取與智能密鑰裝置16對應(yīng)的設(shè)備驅(qū)動設(shè)備對象與智能密鑰裝置16相關(guān)聯(lián)���。文件系統(tǒng)過濾驅(qū)動模塊12還與應(yīng)用監(jiān)控模塊14相關(guān)聯(lián),實現(xiàn)與操作者的交互����,操作者可以通過應(yīng)用監(jiān)控模塊14配置文件的保護策略;監(jiān)控文件系統(tǒng)過濾驅(qū)動模塊12,等待驅(qū)動發(fā)來的事件并進行相應(yīng)的處理���。智能密鑰裝置驅(qū)動模塊15用以實現(xiàn)智能密鑰裝置16同文件系統(tǒng)過濾驅(qū)動模塊12及應(yīng)用監(jiān)控模塊14之間的關(guān)聯(lián)。
參照圖2���,是本發(fā)明所述電子文件自動保護方法的總體流程圖����;步驟201�,文件系統(tǒng)過濾驅(qū)動模塊接收文件操作請求;文件系統(tǒng)過濾驅(qū)動模塊12接收來自計算機操作系統(tǒng)中文件系統(tǒng)模塊11的文件操作請求��,即截獲相應(yīng)的請求包��。
步驟202��,判斷操作請求是否是對受保護文件的操作���;文件系統(tǒng)過濾驅(qū)動模塊12從請求包中的內(nèi)容獲得操作請求文件的文件名����,根據(jù)配置文件保護策略判斷是否是受保護的文件�,如果否,則將該操作請求直接發(fā)送至下層的文件系統(tǒng)驅(qū)動模塊13,進行相應(yīng)的常規(guī)操作���;如果是��,則讀取請求包中的數(shù)據(jù)內(nèi)容��,并執(zhí)行下列步驟�。
步驟203�,檢測計算機是否已連接智能密鑰裝置;文件系統(tǒng)過濾驅(qū)動模塊12獲取智能密鑰裝置16對應(yīng)的設(shè)備驅(qū)動設(shè)備對象�����,如果取設(shè)備對象不成功��,則說明智能密鑰裝置16不存在���,則不能對受保護文件進行相應(yīng)操作�,并提示錯誤�����;如果取設(shè)備對象成功��,則說明智能密鑰裝置16已經(jīng)存在系統(tǒng)中,接下來驗證智能密鑰裝置16持有者的身份��,如果已經(jīng)驗證過智能密鑰裝置16持有者的身份并且驗證通過�,則不需要再進行驗證,否則文件系統(tǒng)過濾驅(qū)動模塊12發(fā)事件通知應(yīng)用監(jiān)控模塊14彈出界面要求輸入智能密鑰裝置16的pin碼或指紋����、虹膜等生物特征信息��,應(yīng)用監(jiān)控模塊14通過智能密鑰裝置驅(qū)動模塊15調(diào)用智能密鑰裝置16驗證用戶身份���,智能密鑰裝置16將身份認證結(jié)果返回應(yīng)用監(jiān)控模塊14����,應(yīng)用監(jiān)控模塊14再將結(jié)果發(fā)送至文件系統(tǒng)過濾驅(qū)動模塊12�����,如果身份認證不成功��,應(yīng)用監(jiān)控模塊14提示身份認證不通過�����,文件系統(tǒng)過濾驅(qū)動模塊12直接返回上述操作請求;如果身份認證成功����,執(zhí)行下列步驟。
步驟204�,用戶身份認證通過后,對上述文件操作請求進行過濾處理���;優(yōu)選的�,所述過濾處理可以是通過智能密鑰裝置16完成對數(shù)據(jù)內(nèi)容的加密���、解密����;文件系統(tǒng)過濾驅(qū)動模塊12根據(jù)智能密鑰物理裝置設(shè)備驅(qū)動設(shè)備對象把數(shù)據(jù)內(nèi)容轉(zhuǎn)發(fā)到智能密鑰裝置驅(qū)動模塊15���,從而使用智能密鑰裝置16完成對數(shù)據(jù)的加密或者解密�����,當加密或者解密后的數(shù)據(jù)內(nèi)容返回到文件系統(tǒng)過濾驅(qū)動模塊12后���,用該數(shù)據(jù)內(nèi)容替換原來請求包中的數(shù)據(jù)內(nèi)容��。下面結(jié)合附圖3對上述過程進行詳細描述�����。
參照圖3��,是本發(fā)明所述電子文件自動保護方法的具體流程圖���;步驟308,文件系統(tǒng)過濾驅(qū)動模塊12根據(jù)操作請求的具體內(nèi)容判斷是哪種請求如果是IRP_MJ_WRITE寫請求���,則步驟313使用智能密鑰裝置16對數(shù)據(jù)進行加密處理,加密處理的方法就是由文件系統(tǒng)過濾驅(qū)動模塊12獲取智能密鑰裝置16的設(shè)備驅(qū)動設(shè)備對象�,通過該設(shè)備對象把請求包中的明文數(shù)據(jù)發(fā)往智能密鑰裝置驅(qū)動模塊15,從而使明文數(shù)據(jù)經(jīng)智能密鑰裝置16加密處理后轉(zhuǎn)換成密文�,智能密鑰裝置驅(qū)動模塊15將密文返回到文件系統(tǒng)過濾驅(qū)動模塊12,文件系統(tǒng)過濾驅(qū)動模塊12用密文數(shù)據(jù)替換原來請包中的明文數(shù)據(jù)內(nèi)容�����。
如果是IRP_MJ_READ讀請求���,則步驟309將請求提交給下層驅(qū)動模塊��,步驟310中下層驅(qū)動模塊將要讀取的數(shù)據(jù)返回給文件系統(tǒng)過濾驅(qū)動模塊12���,步驟311利用智能密鑰裝置16中的密鑰解密數(shù)據(jù)�,解密方法與加密方法類似�,就是把密文數(shù)據(jù)發(fā)往智能密鑰裝置驅(qū)動模塊15,經(jīng)智能密鑰裝置16解密成明文����,智能密鑰裝置驅(qū)動模塊15將該明文返回到文件系統(tǒng)過濾驅(qū)動模塊12,文件系統(tǒng)過濾驅(qū)動模塊12用明文數(shù)據(jù)替換原來請包中的密文數(shù)據(jù)內(nèi)容�。
如果是某些特定的請求包(根據(jù)操作者特定要求),例如創(chuàng)建�、刪除、重命名或取文件信息等特殊操作��,則步驟314根據(jù)具體文件的保護策略返回錯誤或由步驟316將請求向下發(fā)送給下層驅(qū)動模塊��。如果上述特殊操作的文件為指定特定應(yīng)用程序文件����,當發(fā)現(xiàn)IRP是IRP_MJ_CREATE類型,此時取訪問此文件的應(yīng)用程序名稱�����,根據(jù)此名稱判斷,如果應(yīng)用程序不是指定應(yīng)用程序�����,則文件系統(tǒng)過濾驅(qū)動模塊12直接返回錯誤狀態(tài)�����。
如果是其他操作���,則步驟315不對請求作任何處理���,進行步驟316將請求向下發(fā)送給下層驅(qū)動模塊。
優(yōu)選的�����,所述過濾處理還可以是通過文件系統(tǒng)過濾驅(qū)動模塊12完成對數(shù)據(jù)內(nèi)容的加密���、解密;與智能密鑰裝置16完成加解密操作的不同之處在于�,對數(shù)據(jù)內(nèi)容的加解密直接通過公知的過濾驅(qū)動技術(shù)完成,而智能密鑰裝置16在此優(yōu)選方式中只起到驗證用戶身份的作用�。
步驟205��,過濾完成后文件系統(tǒng)過濾驅(qū)動模塊返回過濾結(jié)果信息����。
通過步驟204中兩種優(yōu)選方式的其中一個完成過濾處理后��,根據(jù)請求包原來的傳遞方向把數(shù)據(jù)傳送到文件系統(tǒng)過濾驅(qū)動模塊12的上層文件系統(tǒng)�����、上層應(yīng)用模塊或者下層文件系統(tǒng)驅(qū)動模塊�����,即返回過濾結(jié)果信息�,從而實現(xiàn)本發(fā)明雙重保護文件的目的。
以上應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述���,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想��;同時�,對于本領(lǐng)域的一般技術(shù)人員�����,依據(jù)本發(fā)明的思想,在具體實施方式
及應(yīng)用范圍上均會有改變之處���,綜上所述���,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。
權(quán)利要求
1.一種文件的自動保護方法����,其特征在于,包括以下步驟101.文件系統(tǒng)過濾驅(qū)動模塊接收文件操作請求���;102.當請求操作的文件為受保護文件時����,所述文件系統(tǒng)過濾驅(qū)動模塊檢測計算機是否已連接智能密鑰裝置�����;103.當已連接智能密鑰裝置時���,驗證用戶身份;104.用戶身份驗證通過后���,根據(jù)所述文件操作請求對該請求進行過濾處理����;105.過濾完成后,所述文件系統(tǒng)過濾驅(qū)動模塊返回過濾結(jié)果信息����。
2.如權(quán)利要求1所述的方法,其特征在于����,步驟101進一步包括所述文件系統(tǒng)過濾驅(qū)動模塊判斷所述操作請求是否是對受保護文件的操作,如果是���,則執(zhí)行步驟102�,如果否�,則直接發(fā)送至下層文件系統(tǒng)驅(qū)動。
3.如權(quán)利要求1所述的方法���,其特征在于�����,步驟103進一步包括如果用戶身份已經(jīng)過驗證��,并驗證通過�����,則執(zhí)行步驟104����;否則,所述文件系統(tǒng)過濾驅(qū)動模塊通知應(yīng)用監(jiān)控模塊�����,提示用戶進行身份認證�����,如果身份認證成功�����,則執(zhí)行步驟104��,否則�,所述文件系統(tǒng)過濾驅(qū)動模塊結(jié)束所述操作請求。
4.如權(quán)利要求3所述的方法�,其特征在于,通過所述智能密鑰裝置對用戶身份進行驗證���。
5.如權(quán)利要求1至4中任意一項所述的方法�����,其特征在于����,所述過濾處理是針對寫文件操作請求��,通過所述智能密鑰裝置對數(shù)據(jù)進行加密處理���。
6.如權(quán)利要求1至4中任意一項所述的方法�,其特征在于�����,所述過濾處理是針對讀文件操作請求����,通過所述智能密鑰裝置對數(shù)據(jù)進行解密處理。
7.如權(quán)利要求5或6所述的方法,其特征在于�,所述文件系統(tǒng)過濾驅(qū)動模塊根據(jù)所述智能密鑰物理裝置驅(qū)動設(shè)備對象將數(shù)據(jù)內(nèi)容發(fā)送至智能密鑰裝置驅(qū)動模塊,進而實現(xiàn)所述智能密鑰裝置對數(shù)據(jù)的加密或解密處理����。
8.如權(quán)利要求1至4中任意一項所述的方法,其特征在于��,所述過濾處理是針對寫文件操作請求�����,通過所述文件系統(tǒng)過濾驅(qū)動模塊對數(shù)據(jù)進行加密處理����。
9.如權(quán)利要求1至4中任意一項所述的方法,其特征在于�����,所述過濾處理是針對讀文件操作請求����,通過所述文件系統(tǒng)過濾驅(qū)動模塊對數(shù)據(jù)進行解密處理。
10.如權(quán)利要求1至4中任意一項所述的方法�,其特征在于��,所述過濾處理是創(chuàng)建���、刪除��、重命名或取文件信息操作請求�,根據(jù)具體文件的保護策略返回錯誤信息或?qū)⒃撜埱蟀l(fā)送至文件系統(tǒng)驅(qū)動模塊。
11.如權(quán)利要求1至4中任意一項所述的方法�����,其特征在于�,所述過濾處理是針對指定特定應(yīng)用程序訪問的文件進行的處理。
12.如權(quán)利要求1所述的方法���,其特征在于���,步驟105中所述返回過濾結(jié)果信息為將所述過濾結(jié)果信息發(fā)送到下層文件系統(tǒng)驅(qū)動模塊或返回文件系統(tǒng)或上層應(yīng)用模塊。
13.一種文件的自動保護系統(tǒng)�����,用于實現(xiàn)權(quán)利要求1所述的文件自動保護方法�����,包括文件系統(tǒng)模塊和文件系統(tǒng)驅(qū)動模塊,其特征在于�,還包括文件系統(tǒng)過濾驅(qū)動模塊,用于接收所述文件操作請求���,觸發(fā)檢測事件���,以及對所述文件操作請求進行過濾處理,并發(fā)送過濾結(jié)果信息��;應(yīng)用監(jiān)控模塊��,用于監(jiān)控所述文件系統(tǒng)過濾驅(qū)動模塊�,等待所述文件系統(tǒng)過濾驅(qū)動模塊發(fā)送的事件并進行相應(yīng)處理;智能密鑰裝置����,用于驗證用戶身份,以及與智能密鑰裝置驅(qū)動模塊相關(guān)聯(lián)���;智能密鑰裝置驅(qū)動模塊���,用于實現(xiàn)所述智能密鑰裝置同所述文件系統(tǒng)過濾驅(qū)動模塊之間的關(guān)聯(lián)�����。
14.如權(quán)利要求13所述的系統(tǒng)�����,其特征在于,所述智能密鑰裝置對數(shù)據(jù)進行加密或解密處理�����。
15.如權(quán)利要求13所述的系統(tǒng)�,其特征在于,所述文件系統(tǒng)過濾驅(qū)動模塊對數(shù)據(jù)進行加密或解密處理�����。
16.如權(quán)利要求13所述的系統(tǒng)�����,其特征在于�����,所述智能密鑰裝置驅(qū)動模塊建立所述智能密鑰裝置同所述應(yīng)用監(jiān)控模塊之間的關(guān)聯(lián)。
全文摘要
本發(fā)明公開了一種安全性更高����、保護手段更強的電子文件自動保護方法及系統(tǒng),該方法通過文件系統(tǒng)過濾驅(qū)動模塊接收文件系統(tǒng)模塊下發(fā)的文件操作請求��,當請求操作的文件為受保護文件時���,通過智能密鑰裝置對用戶進行身份認證��,認證通過后�����,根據(jù)文件操作請求對該請求進行過濾處理�,并將過濾結(jié)果信息返回�����;該方法將智能密鑰裝置同文件系統(tǒng)過濾驅(qū)動技術(shù)相結(jié)合對文件進行保護�,進一步提高文件的安全性。
文檔編號G06F21/00GK1877594SQ200610090129
公開日2006年12月13日 申請日期2006年6月23日 優(yōu)先權(quán)日2006年6月23日
發(fā)明者陸舟, 于華章 申請人:北京飛天誠信科技有限公司