[发明专利]基于微过滤驱动模型的文档安全系统

说明书

技术领域

本发明涉及一种计算机电子文档保护系统，尤其是基于微过滤驱动模型的文档安全系统，主要对微软的Office2003/2007文档提供保护。

背景技术

目前，主流的文档保护系统是基于传统的过滤驱动模型实现的，该系统的主要结构是在内核层加载一个过滤驱动程序，在应用层设计控制程序。内核层的过滤驱动程序能根据请求为数据提供透明加密和透明解密功能。用户层控制程序根据系统设置控制透明加解密内核，内核驱动程序与上层控制程序相互协作，为文档提供保护。基于传统过滤驱动的透明加密内核存在平台兼容性不好、加解密稳定性不够等问题，应用层控制程序缺少有效的安全机制对文档进行保护。

发明内容

为了克服现有的文档安全系统仅靠在内核层对文档进行加密的不足，本发明提供了一种基于微过滤驱动模型的文档保护系统。采用如下技术方案：

一种基于微过滤驱动模型的文档安全系统，包括微过滤驱动模块和管理控制模块，所述管理控制模块包括微过滤驱动控制单元、局域网共享管理单元、USB Key管理单元、移动磁盘访问控制单元；微过滤驱动控制单元和微过滤驱动模块通过端口通信机制进行通信，局域网共享管理单元、USB Key管理单元、移动磁盘访问控制单元通过所述微过滤驱动控制单元与所述微过滤驱动模块进行通信。

所述的文档安全系统，所述局域网共享管理单元，当用户更新当前的受保护数据的局域网共享方式后，局域网共享管理单元通过微过滤驱动控制单元向微过滤驱动模块发送消息一，微过滤驱动模块收到该消息一后，根据该消息的内容启用或者禁用受保护文档的局域网明文共享。

所述的文档安全系统，所述USB Key管理单元用于进行文档密钥管理，当USB Key接入到计算机以后，USB Key管理单元通过微过滤驱动控制单元向微过滤驱动模块发送消息二以获取受保护文档的文档密钥的密文，微过滤驱动模块返回经过修改的消息二将文档密钥密文回馈到USB Key管理单元，此时USB Key管理单元调用解密接口解密，解密获得MK的明文，最后再由USB Key管理单元将MK的明文发送给微过滤驱动模块，此时微过滤驱动模块开始支持文档的透明加解密。

所述的文档安全系统，还包括移动磁盘授权模块，所述移动磁盘授权模块授权方法如下：读取系统保留扇区的数据，然后选用MD5作为HMAC的哈希函数计算消息认证码H1，将H1写入到系统的缓冲区中。

所述的文档安全系统，所述USB Key管理单元用于进行文档密钥恢复，密钥恢复方法为：在USB Key接入的时候，用户设置密钥恢复密码，系统利用所述密钥恢复密码加密文档的密钥，并将密文保存到受保护的文档中；当USB Key损坏或者丢失时，用户通过输入之前设定的密钥恢复密码解密获得密钥，进而查看和编辑受保护的文档。

此系统由微过滤驱动透明加密内核和用户态的控制程序构成，内核态和用户态间以端口通信机制进行消息传递。在内核态，以微过滤驱动模型为基础，实现了透明加密驱动。在用户态，设计了与内核层相对应的驱动控制程序，该程序提供微过滤驱动运行信息配置功能、文档密钥管理功能、局域网安全共享功能、移动磁盘的访问控制功能和文档密钥的恢复功能。系统实现了密钥与数据分离存放，提高了数据的安全性，实现了文档共享方式在安全性和灵活性之间自由切换功能，还实现了对移动磁盘的访问控制，使未经授权的移动磁盘无法以明文形式拷贝敏感数据，提供了在USB Key丢失或者损坏情况下文档密钥的恢复机制。系统在内核层和应用层提供对文档的保护。

本发明的有益效果是，Office办公软件提供透明加解密，实现了密钥与数据分离存放，提高了数据的安全性，实现了敏感数据共享在安全性和共享灵活性之间自由切换机制，还实现了对移动磁盘的访问控制，使未经授权的移动磁盘无法以明文形式拷贝敏感数据，提供了USB Key丢失或者损坏情况下文档密钥的恢复机制。

附图说明

图1是发明的系统结构图。

图2是移动磁盘授权示意图。

图3是端口通信机制示意图。

具体实施方式

以下结合具体实施例，对本发明进行详细说明。