基于驱动层的文件透明加解密系统及方法技术方案

本发明专利技术公开了一种基于驱动层的文件透明加解密方法，其中，包括：加密过程包括：从应用层产生明文文档；将明文文档和其属性信息下发至内核层，内核层设备驱动将明文数据和属性信息组成结构体，结构体包括：标签头、标签体、明文数据以及校验；将结构体放入外部的加密卡进行加密，加密卡产生随机数，通过全网统一的加密密钥，对标签体进行加密，按照标签头、加密后的标签体、密文数据以及校验组成标签文档；解密过程包括:从内核层读取标签文档，并发送给加密卡，加密卡根据设定的格式，从标签头读取到标签体，调用全网统一密钥解密标签体，调用随机数解密密文数据，计算校验是否正确，如正确，将解密后的明文文档发送到驱动层。

File transparent encryption and decryption system and method based on drive layer

The invention discloses a driver layer based on transparent file encryption method, which includes: the encryption process includes generating a plaintext document from the application layer; and the attribute information will clear the document issued to the kernel layer, kernel layer device driver will clear the data and attribute information structure, the structure includes: label head label, body, plaintext data and check; the structure into the external encryption card encryption, encryption card to generate random numbers, through a unified network encryption key to encrypt the label body, according to the label head, encrypted label, encrypted data and check which label document decryption process includes: reading; label the document from the kernel layer, and sent to the encryption card encryption card, according to the set format, read from the head to the body of the tag label, called the unified encryption tag body, Call the random number to decrypt the ciphertext data, calculate whether the verification is correct, or, if correct, send the decrypted plaintext document to the drive layer.

【技术实现步骤摘要】
基于驱动层的文件透明加解密系统及方法
本专利技术属于文件透明加解密
，特别是一种基于驱动层的文件透明加解密系统及方法。
技术介绍
透明加密技术是数据泄漏防护系统解决方案中常用的一种技术，所谓透明是指在不改变用户使用习惯、计算机文件格式和应用程序的情况下,采取透明加解密技术,对指定类型的文件进行实时、强制、透明的加解密。即在正常使用时,计算机内存中的文件是以受保护的明文形式存放,但硬盘上保存的数据却是加密状态，如果没有合法的使用身份、访问权限、正确的安全通道,所有加密文件都是以密文状态保存，所有通过非法途径获得的数据,都以密文形式表现。透明加密系统不但能够支持加解密,而且还支持透明化功能,所谓透明化功能指的是,当用户使用加密文件时,可以不进行解密,而让系统透明化地自动支持它。透明化功能是在后台自动执行的,但使用透明化功能时也要进行密码的核对或加密硬件的连接，透明化功能的具体实现过程都是在内存中进行的,而不是在磁盘上进行,这一点保证了文件的安全性，使用透明化功能时,尽管加密文件没有被解密,但是操作系统和所有的应用程序都以文件的原始内容为标准,这个过程对于操作系统和应用程序是透明的,所以叫做透明化加密系统传统的实现文件加解密功能的技术方法通常有三种：(1)通过硬件加解密引擎实现文件的加解密，即CPU将数据发送给硬件加密引擎，这样就可以完成加密工作。这种技术的优点是速度快，安全性高，但是实现成本高，交互性差。(2)专用文件加解密系统。它是以特制文件系统来实现加密功能，常以单独的磁盘分区形式存在，而需要被加密的文件存储在该单独的磁盘分区内，对文件加解密的限制要求较多。(3)基于用户模式的加解密软件实现的，基于用户模式的加解密软件实现起来比较容易，但是由于它是用户空间的程序，各种用户进程和内核进程都可以访问它的中间处理数据，或在系统缓存中留下的明文文件。因此，明文信息容易被其它进程拦截，安全性不高。
技术实现思路
本专利技术的目的在于提供一种基于驱动层的文件透明加解密方法，用于解决上述现有技术的问题。本专利技术一种基于驱动层的文件透明加解密方法，其中，包括：加密过程包括：从应用层产生明文文档；将明文文档和其属性信息下发至内核层，内核层设备驱动将明文数据和属性信息组成结构体，结构体包括：标签头、标签体、明文数据以及校验；将结构体放入外部的加密卡进行加密，加密卡产生随机数，通过全网统一的加密密钥，对标签体进行加密，按照标签头、加密后的标签体、密文数据以及校验组成标签文档；解密过程包括:从内核层读取标签文档，并发送给加密卡，加密卡根据设定的格式，从标签头读取到标签体，调用全网统一密钥解密标签体，调用随机数解密密文数据，计算校验是否正确，如正确，将解密后的明文文档发送到驱动层。根据本专利技术的基于驱动层的文件透明加解密方法的一实施例，其中，随机数为32字节随机数。根据本专利技术的基于驱动层的文件透明加解密方法的一实施例，其中，外部的加密卡为USB加密设备。根据本专利技术的基于驱动层的文件透明加解密方法的一实施例，其中，标签体内存储有属性信息。根据本专利技术的基于驱动层的文件透明加解密方法的一实施例，其中，全网统一密钥为局域网内统一密钥。根据本专利技术的基于驱动层的文件透明加解密方法的一实施例，其中，将标签文档重新传回内核层后，调用磁盘存储接口进行标签文档存储。本专利技术的一种基于驱动层的文件透明加解密系统，其中，包括：应用层，用于产生明文文档；内核层，用于将明文文档和其属性信息组成结构体，结构体包括：标签头、标签体、明文数据以及校验；加密卡，用于将结构体进行加密，加密卡产生随机数，通过全网统一的加密密钥，对标签体进行加密，按照标签头、加密后的标签体、密文数据以及校验组成标签文档；根据设定的格式，从标签头读取到标签体，调用全网统一密钥解密标签体，调用随机数解密密文数据，计算校验是否正确，如正确，将解密后的明文文档发送到驱动层。根据本专利技术的基于驱动层的文件透明加解密系统的一实施例，其中，随机数为32字节随机数。根据本专利技术的基于驱动层的文件透明加解密系统的一实施例，其中，外部的加密卡为USB加密设备。根据本专利技术的基于驱动层的文件透明加解密系统的一实施例，其中，标签体内存储有属性信息。本专利技术基于驱动层的文件透明加解密系统及方法，在外设的加密卡中进行文档的加密和解密，并且设计了一种新型的加密文档结构，能够有效的提高文档加密的安全性。附图说明图1所示为基于驱动层的文件透明加解密系统的模块图；图2所示为本专利技术基于标签的内核层文件透明加解密系统架构图；图3所示为加密后的文档数据的结构图；图4所示为基于标签的内核层文件透明加解密系统应用场景示意图。具体实施方式为使本专利技术的目的、内容、和优点更加清楚，下面结合附图和实施例，对本专利技术的具体实施方式作进一步详细描述。图1所示为基于驱动层的文件透明加解密系统的模块图，如图1所示，本专利技术的基于标签的内核层文件透明加解密系统是基于系统内核模式的方式实现的。文件透明加解密模块以内核模块的形式完成文件的过滤审查、文件的权限划分和文件的加解密等功能。涉密文件是以密文的形式存储在硬盘上，文件的密级、权限限制、流转路径、密钥等信息以数字标签的形式存储在涉密文件的头部，透明加解密系统驱动层完成文件标签的过滤、解析和验证。如图1所示，本专利技术基于标签的内核层文件透明加解密系统模型从上到下依次分为五个部分：1、应用软件模块，该模块是文件透明加解密系统的人机交互界面，主要包括两个部分，服务器端和客户端，完成应用软件的基本功能。2、操作系统内核模块，该模块主要完成文件I/O系统接口函数的调用，主要是对于文档的增、删、改、除等基本功能的调用。3、设备驱动模块，该模块是整个文件透明加解密系统的核心部分，主要完成各个模块的安全管控、资源调度、数据加载、文件的标签生成、标签的解析验证、与加密卡的数据交互等功能。4、数据加解密模块，该模块与设备驱动层直接通信，主要完成涉密文件的加密和解密工作，设备形态为USB密码卡。5、数据存储介质，数据存储介质主要完成对经过文件透明加解密系统的密文数据的存储。图2所示为本专利技术基于标签的内核层文件透明加解密系统架构图，如图2所示，基于标签的内核层文件透明加解密系统架构分为三层：应用层、内核层、设备层。应用层，包括文件透明加解密系统的客户端程序、上层操作系统、NativeAPI接口。首客户端程序主要完成用户的身份认证，对接后台服务器程序，显示、上传文件透明加解密系统的操作日志和审计日证等相关信息。上层操作系统通过NativeAPI接口与操作系统底层I/O接口连接，实时监控用户有关文件的各种操作，并将操作指令下发给内核层的驱动程序。内核层，包括操作系统底层I/O接口函数、设备驱动程序、操作系统内核。操作系统I/O接口函数监测到上层应用程序的有关文件操作的指令，就将指令传递给文件透明加解密的驱动程序；驱动程序的主要功能可以分为两类，系统功能和业务功能。系统功能主要包括I/O管理、对象管理、进程管理、内存管理、配置管理等；业务功能主要包括给文件标签的添加、文件标签的删除、涉密文件的标签体的解析验证、向加密卡发送和接收数据、记录和更新审计、操作日志。操作系统内核则主要完成具体的底层操作。设备层，包括数据存储介质和USB密码卡。数本文档来自技高网...

【技术保护点】
一种基于驱动层的文件透明加解密方法，其特征在于，包括：加密过程包括：从应用层产生明文文档；将明文文档和其属性信息下发至内核层，内核层设备驱动将明文数据和属性信息组成结构体，结构体包括：标签头、标签体、明文数据以及校验；将结构体放入外部的加密卡进行加密，加密卡产生随机数，通过全网统一的加密密钥，对标签体进行加密，按照标签头、加密后的标签体、密文数据以及校验组成标签文档；解密过程包括：从内核层读取标签文档，并发送给加密卡，加密卡根据设定的格式，从标签头读取到标签体，调用全网统一密钥解密标签体，调用随机数解密密文数据，计算校验是否正确，如正确，将解密后的明文文档发送到驱动层。

【技术特征摘要】
1.一种基于驱动层的文件透明加解密方法，其特征在于，包括：加密过程包括：从应用层产生明文文档；将明文文档和其属性信息下发至内核层，内核层设备驱动将明文数据和属性信息组成结构体，结构体包括：标签头、标签体、明文数据以及校验；将结构体放入外部的加密卡进行加密，加密卡产生随机数，通过全网统一的加密密钥，对标签体进行加密，按照标签头、加密后的标签体、密文数据以及校验组成标签文档；解密过程包括：从内核层读取标签文档，并发送给加密卡，加密卡根据设定的格式，从标签头读取到标签体，调用全网统一密钥解密标签体，调用随机数解密密文数据，计算校验是否正确，如正确，将解密后的明文文档发送到驱动层。2.如权利要求1所述的基于驱动层的文件透明加解密方法，其特征在于，随机数为32字节随机数。3.如权利要求1所述的基于驱动层的文件透明加解密方法，其特征在于，外部的加密卡为USB加密设备。4.如权利要求1所述的基于驱动层的文件透明加解密方法，其特征在于，标签体内存储有属性信息。5.如权利要求1所述的基于驱动层的文件透明加解密方法，其特征...

【专利技术属性】
技术研发人员：曾淑娟，周鑫，姚金利，孟宪哲，李红，
申请(专利权)人：北京计算机技术及应用研究所，
类型：发明
国别省市：北京,11