[发明专利]一种文件保护系统及其实现方法

说明书

技术领域

本发明涉及数据安全领域，特别是指一种文件保护系统及其实现方法。

背景技术

随着社会的发展，计算机已成为人们生活工作中不可或缺的一部分。同时随着信息技术的不断发展，各种安全的问题也越发凸显出来。而在这些存在的安全问题中，人们往往更加重视网络的安全问题，各种软件硬件的防火墙，各种系统防护层出不穷。但人们往往忽视文件安全性问题，恶意拷贝，机密文件泄漏往往也会给各种用户带非常严重的损失。

信息安全在中国不是一个新问题。“七五”与“八五”期间，我国在信息加密、解密、密钥芯片、密钥管理等方面有所研究。随着1993年以后因特网在全球的迅猛发展和1994年中国接入因特网，近两年来，人们对信息安全有了较多的认识。使中国人对信息化带来的实际危险有了切实的认识。我们现在使用较多的还是传统加密软件，也就是对需要的文件进行加密。加密的时候设定密码，需要使用该文件的时候输入同样的密码进行解密，而且一旦解密文件没有清除，则可以对该文件进行任意拷贝或密码被恶意监听、盗取则这些机密文件资料的泄密风险陡增。忽视往往就会带来不可挽回的损失。由于加解密操作繁琐，也不利于提高工作效率。

透明驱动加密技术是近年来针对企业和个人文件保密需求应运而生的一种文件加密技术。所谓透明，是指对使用者来说是未知的。当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。在不影响用户使用习惯的情况下文件在硬盘上始终是密文存在，一旦离开使用环境，由于文件无法解密，从而起到保护文件内容的效果(目前也有企业在做类似产品)，但即便这样，也存在加密密钥必须存在于透明驱动中(或解密时密钥从介质中读取到透明驱动中使用)这样整个系统因为这里的短板导致了整个系统的安全性变得非常脆弱，机制上已经决定这个弱点无法避免，易受攻击。找到一个可靠、便捷、高效、实用的文件保护机制，在适应用户日常操作习惯的前提下让被保护了的文件真正得到安全，加了密并不意味着安全，使用者以为加了密，而真正情况是机密资料实际还毫无门槛地暴露在风险之中，这就更加危险。安全是指中间没有任何一个短板环节的加密机制，这是解决的问题方向。

发明内容

本发明提出一种由独立加密硬件进行加解密的文件透明加/解密方法及其实施系统，解决了现有驱动层透明加密方法中密钥会被调入驱动，系统性导致文件安全降低的问题。

本发明的技术方案是这样实现的：

一种由独立加密硬件完成透明加解密的文件保护系统，包括：

上层用户界面应用程序，其被构造用以实现加密策略设置及其他人机交互；

I/O管理器，其被构造用以接收来自所述上层用户界面应用程序的请求消息，并以请求包形式分发数据；

文件过滤驱动，其被构造用以拦截来自I/O管理器的请求包，并对其中的数据进行判断，然后将符合条件的待处理数据进行转发；

其特殊之处在于，还包括：

独立加密硬件，所述独立加密硬件内部存储有加/解密算法和密钥，并作用于文件过滤驱动，其被构造用以接收来自所述文件过滤驱动的待处理数据并进行处理。

上述系统中，所述独立加密硬件可以构造为本身具有存储模块，可以用于储存处理后数据。

上述系统中，所述独立加密硬件也可以构造为具有将处理后数据发送给文件过滤驱动的功能，并由文件过滤驱动将处理后数据转发给相应存储设备进行存储。

当采用上述独立加密硬件具有将处理后数据发送给文件过滤驱动功能的技术方案时，本系统还包括：

文件驱动，所述文件驱动接收并处理来自文件过滤驱动的数据，并将其转发；

存储设备驱动，其被构造用以接收来自文件驱动的数据，并将其转发；

物理存储设备，其被构造用以接收来自存储设备驱动的数据并进行相应的存储。

所述物理存储设备可以是计算机硬盘，也可以是其他移动存储设备，如移动硬盘、U盘等。

本发明文件保护系统所述独立加密硬件为计算机外设硬件设备，至少包括存储介质和读卡、算法运算模块、传输装置；可以优选设置为加密硬盘或U盘形式。

上述系统中所述待处理数据为：明文数据或者密文数据，即所述独立加密硬件执行实际的加密或者解密功能。

上述系统中，所述符合条件的待处理数据具体为：

将文件控制块的后缀名与对应进程名进行比较判断，若结果为真，则符合条件，为待处理数据；

若结果为假，则释放数据。

一种由独立加密硬件完成透明加解密的方法，包括以下步骤：

S1)上层用户界面应用程序发送请求消息给I/O管理器；