一種基于雙像文件的加密文件系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全技術(shù)領(lǐng)域�����,特別是一種基于雙像文件的加密文件系統(tǒng)����。
【背景技術(shù)】
[0002]基于文件過濾器驅(qū)動(File Filter Driver)的透明文件加密系統(tǒng)能在不影響用戶使用習慣的情況下自動實現(xiàn)文件的加密和解密,是保證數(shù)據(jù)安全的重要技術(shù)手段��。但目前的基于文件過濾器驅(qū)動的透明文件加密技術(shù)普遍存在如下問題�。
[0003]目前的文件系統(tǒng)(如Windows文件系統(tǒng))都是帶緩存的文件系統(tǒng)��,S卩,當應(yīng)用程序讀取一個文件的數(shù)據(jù)時�,文件系統(tǒng)先看內(nèi)存中是否緩存有應(yīng)用程序要讀取的內(nèi)容,若有����,則直接將內(nèi)存中緩存的數(shù)據(jù)返回,否則�����,文件系統(tǒng)從存儲介質(zhì)中讀取一定數(shù)量文件數(shù)據(jù)(通常是幾個頁的數(shù)據(jù)�����,如通過文件的page讀操作)�,然后一方面將讀取的文件數(shù)據(jù)緩存在內(nèi)存中,另一方面將應(yīng)用程序所需數(shù)據(jù)返回給應(yīng)用程序���;當多個進程同時打開同一個文件時�����,它們共享文件緩存數(shù)據(jù)(在Windows文件系統(tǒng)中���,一個文件只有一個文件控制塊FCB�����,因此多個進程同時打開同一個文件時����,它們共享一個FCB和文件緩存)���。
[0004]在基于文件過濾器驅(qū)動的文件加密系統(tǒng)中�����,通常將程序進程分為受信進程和非受信進程����,受信進程針對特定的文件類型而設(shè)定����;一個受信進程被允許獲得對應(yīng)文件類型的加密文件的明文數(shù)據(jù),而一個非受信進程則不被允許�����,比如Word程序的程序進程是Word文檔加密文件的受信進程����,能夠獲得Word文檔加密文件中的明文數(shù)據(jù),而瀏覽器進程作為Word文檔的非受信進程則不被允許獲得Word文檔加密文件中的明文數(shù)據(jù)��。這樣����,當一個受信進程讀取一個加密文件時,內(nèi)存中緩存的應(yīng)該是明文數(shù)據(jù)��,而當一個非受信進程讀取一個加密文件時����,內(nèi)存中緩存的應(yīng)該是密文數(shù)據(jù)。當一個受信進程和一個非受信進程交替讀取一個加密文件時�����,文件加密系統(tǒng)需要不斷地清空內(nèi)存中緩存的數(shù)據(jù)�����,以確保內(nèi)存中緩存有正確的數(shù)據(jù)(明文或密文)��,這稱為暴力刷緩存或暴力清緩存問題�����,暴力刷緩存或暴力清緩存降低了文件操作的效率;進一步地���,當一個受信進程和一個非受信進程同時讀取一個加密文件時�����,文件加密系統(tǒng)就很難處理了�����,這時內(nèi)存中緩存的數(shù)據(jù)有可能同時存在明文和密文數(shù)據(jù)���,這既可能造成敏感數(shù)據(jù)泄漏,又使得受信進程無法正常工作���。
[0005]針對透明文件加密中的數(shù)據(jù)緩存問題�����,人們提出一些解決方案�����,如雙緩存方案等�,雙緩存方案設(shè)法使得受信進程和非受信進程針對同一個文件讀取不同的緩存數(shù)據(jù),方案復雜ο
[0006]實際上�,依據(jù)傳統(tǒng)的文件過濾器驅(qū)動技術(shù)解決透明文件加密中暴力刷或清緩存是非常困難���、技術(shù)難度很高的事����。對此�����,有人從文件系統(tǒng)入手來解決有關(guān)問題�����,即直接開發(fā)一個滿足安全需求的透明加密文件系統(tǒng)(一個自動實現(xiàn)文件加密�、解密的文件系統(tǒng)),而基于LayerFSD+多FCB的SEFS透明加密文件系統(tǒng)即是這樣的一個加密文件系統(tǒng)(參見基于LayerFSD技術(shù)的SEFS透明加密平臺技術(shù)白皮書)��?;贚ayerFSD+多FCB的SEFS透明加密文件系統(tǒng)讓每個進程有自己的FCB和緩存,這樣受信進程的緩存是明文����,而非受信進程的緩存是密文�。這樣一個多FCB的加密文件系統(tǒng)存在的問題是:1)多個進程同時訪問一個文件時�����,內(nèi)存利用率和文件訪問效率低�;2)改變了操作系統(tǒng)管理文件數(shù)據(jù)和文件操作的方式,比如���,操作系統(tǒng)認為同一個文件應(yīng)只有一個FCB和緩存���,而對這種文件數(shù)據(jù)管理方式的改變的可能會遇到不可預料的問題;3)存在多個FCB和緩存中的數(shù)據(jù)不一致的問題��。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的是提出一種基于雙像文件的加密文件系統(tǒng)�����,以克服現(xiàn)有技術(shù)的不足�����。
[0008]為了實現(xiàn)本發(fā)明的目的,本發(fā)明所提出的技術(shù)方案是:
[0009]—種基于雙像文件的加密文件系統(tǒng)���,具體為:
[0010]所述加密文件系統(tǒng)中的每個(真實存在的)文件都有一個對應(yīng)的虛像文件�;所述虛像文件是一種虛擬的���、不真實存在的文件�,而與虛像文件相對應(yīng)的真實存在的文件稱為實像文件�;實像文件是加密文件(經(jīng)加密的文件)�;加密文件與加密前的原有文件具有相同的文件類型(擴展名);每個虛像文件有一個文件路徑����,稱為虛擬文件路徑(非真實存在的文件路徑);虛像文件的虛擬文件路徑中包含有對應(yīng)的實像文件的文件路徑����,或者通過虛像文件的虛擬文件路徑可獲得對應(yīng)的實像文件的文件路徑;實像文件和虛像文件互為對偶文件����,即一個虛像文件是對應(yīng)實像文件的對偶文件,而一個實像文件是對應(yīng)虛像文件的對偶文件���;當一個被允許對虛像文件直接進行文件I/O操作的程序進程對虛像文件進行文件I/O操作時����,加密文件系統(tǒng)在內(nèi)部將針對虛像文件的文件I/O操作轉(zhuǎn)化為針對對應(yīng)實像文件的文件I/o操作。
[0011]在所述加密文件系統(tǒng)中��,對實像文件和虛像文件進行文件I/O操作的程序進程包括受信進程����、非受信進程和操作系統(tǒng)輔助文件I/o操作的系統(tǒng)進程(如Windows System進程);所述受信進程是被允許獲取加密文件的明文數(shù)據(jù)的程序進程�,包括被允許直接訪問實像文件獲取加密文件的明文數(shù)據(jù)或通過訪問虛像文件間接獲取加密文件的明文數(shù)據(jù)的程序進程;所述非受信進程是不被允許獲取加密文件的明文數(shù)據(jù)的程序進程�,包括不被允許直接訪問實像文件獲取加密文件的明文數(shù)據(jù)或通過訪問虛像文件間接獲取加密文件的明文數(shù)據(jù)的程序進程;受信進程和非受信進程針對文件類型而設(shè)定(如Word程序的運行進程是Word文檔的受信進程��,而Internet Explorer的運行進程則不是)�����;操作系統(tǒng)輔助文件I/O操作的系統(tǒng)進程不屬于任一種文件類型的受信進程和非受信進程����;當操作系統(tǒng)輔助文件I/O操作的系統(tǒng)進程輔助一個受信進程進行文件I/O操作時,操作系統(tǒng)輔助文件I/O操作的系統(tǒng)進程被允許獲取加密文件的明文數(shù)據(jù)���;當操作系統(tǒng)輔助文件I/O操作的系統(tǒng)進程輔助一個非受信進程進行文件I/O操作時����,操作系統(tǒng)輔助文件I/O操作的系統(tǒng)進程不被允許獲取加密文件的明文數(shù)據(jù);
[0012]針對一種文件類型所設(shè)定的受信進程和非受信進程兩類進程中的每一類進程�,被允許對對應(yīng)的文件類型的實像文件和虛像文件兩類文件中的一類文件且僅一類文件直接進行文件I/O操作(如Word文檔的受信進程,如Word程序進程����,要么僅被允許對Word文檔實像文件直接進行文件1/0操作,要么僅被允許對Word文檔虛像文件直接進行文件1/0操作���;若Word文檔的受信進程僅被允許對Word文檔實像文件直接進行文件1/0操作,則Word文檔的非受信進程����,如Internet Explorer的進程,僅被允許對Word文檔虛像文件直接進行文件1/0操作);操作系統(tǒng)輔助文件1/0操作的系統(tǒng)進程被允許對任一種文件類型的實像文件和虛像文件直接進行文件I/o操作(它既可以對實像文件直接進行文件I/O操作����,又可以對虛像文件直接進行文件I/o操作);
[0013]被允許對一種文件類型的實像文件或虛像文件直接進行文件I/O操作的程序進程被稱為對應(yīng)文件類型的實像文件或虛像文件的受許可的程序進程;針對一種文件類型所設(shè)定的受信進程或非受信進程只能是對應(yīng)文件類型的實像文件和虛像文件兩類文件中一類文件的受許可的程序進程��;操作系統(tǒng)輔助文件I/o操作的系統(tǒng)進程是任一種文件類型的實像文件和虛像文件的受許可的程序進程(它既是實像文件也是虛像文件的受許可的程序進程)��;若受許可的程序進程是受信進程,則稱為受許可的受信進程��;若受許可的程序進程是非受信進程����,則稱為受許可的非受信進程;約定受信進程和非受信進程分別被允許對一種文件類型的實像文件和虛像文件兩類文件中的哪一類文件直接進行文件I/o操作的規(guī)定稱為受信進程和非受信進程對實像文件和虛像文件直接進行文件I/o操作的許可規(guī)定(根據(jù)受信進程和非受信進程對實像文件和虛像文件直接進行文件I/o操作的許可規(guī)定����,一個受信進程或非受信進程只能是一種文件類型的實像文件和虛像文件兩類文件中一類文件的受許可的程序進程,比如��,如果根據(jù)受信進程和非受信進程對實像文件和虛像文件直接進行文件I/o操作的許可規(guī)定�����,Word文檔的受信進程只能對Word文檔實像文件直接進行I/O操作�,Word文檔的非受信進程只能對Word文檔虛像文件直接進行I/O操作,那么��,Word程序進程是Word文檔實像文件的受許可的受信進程���,而Internet Explorer程序進程是Word文檔虛像文件的受許可的非受信進程)(受信進程和非受信進程與受許可的程序進程和非受許可的程序進程是兩個不同的概念�����,前者是指一個程序進程能否直接或間接獲取一種文件類型的加密文件的明文數(shù)據(jù)��,后者是指一個程序進程能否直接對一種文件類型的實像文件或虛像文件兩類文件中的一類直接進行文件I/O操作�;一個程序進程要么能要么不能獲取一個加密文件的明文數(shù)據(jù),但一個程序進程總能直接或間接地訪問一個加密文件�����,因為它要么是實像文件(加密文件)的受許可的程序進程�,要么是虛像文件的受許可的程序進程);
[0014]當一個程序進程請求打開或創(chuàng)建一個實像文件時��,所述加密文件系統(tǒng)先判斷打開或創(chuàng)建實像文件的程序進程是受信進程還是非受信進程�����,然后根據(jù)受信進程和非受信進程對實像文件和虛像文件直接進行文件I/O操作的許可規(guī)定����,確定程序進程是否被允許對實像文件直接進行文件I/O操作(即程序進程是否是要打開或創(chuàng)建的實像文件的受許可的程序進程)��,若不被允許�,則加密文件系統(tǒng)將程序進程打開或創(chuàng)建實像文件的操作(外部)重定向到程序進程要打開或創(chuàng)建的實像文件的對應(yīng)虛像文件(若一個程序進程不是實像文件的受許可的程序進程,則一定是實像文件的對應(yīng)虛像文件的受許可的程序進程)�����,在重定向后的文件打開或創(chuàng)建操作中,程序進程要打開或創(chuàng)建的實像文件的文件路徑被轉(zhuǎn)換成對應(yīng)虛像文件的虛擬文件路徑��;若程序進程被允許對實像文件直接進行文件I/O操作�,則程序進程直接打開或創(chuàng)建實像文件;
[0015]當一個受許可的程序進程打開或創(chuàng)建一個虛像文件時�,加密文件系統(tǒng)通過要打開或創(chuàng)建的虛像文件的虛擬文件路徑獲得對應(yīng)實像文件的文件路徑,并在加密文件系統(tǒng)內(nèi)部將針對虛像文件的打開或創(chuàng)建操作轉(zhuǎn)化為針對實像文件的打開或創(chuàng)建操作�;
[0016]當一個受許可的程序進程打開或創(chuàng)建一個實像文件或虛像文件時,若加密文件系統(tǒng)發(fā)現(xiàn)打開或創(chuàng)建的實像文件�����,或者打開或