[发明专利]基于国产操作系统的文件透明加解密方法及系统

说明书

本发明提供一种基于国产操作系统的文件透明加解密方法及系统，所述系统包括：文件系统调用接口、文件重定向模块、VFS系统、堆叠式加密文件系统、真实文件系统、磁盘系统。所述文件重定向模块，部署于国产操作系统内核层，实现对所述文件的访问请求的拦截及检验，所述堆叠式加密文件系统，是在VFS系统和真实文件系统之间插入了一层文件系统驱动，用于调用真实文件系统接口实现所述文件的访问请求；所述堆叠式加密文件系统调用文件权限控制模块对文件访问权限进行控制。根据本发明的方案，防止密文在非授权的情况下造成泄密，能够保证操作的安全性。

技术领域

本发明涉及信息安全领域，尤其涉及一种基于国产操作系统的文件透明加解密方法及系统。

背景技术

目前，市场上已经有较成熟的windows操作系统下的透明的文件加解密软件，但随着信息的处理需求的变化，目前也越来越需要国产、安全、可信的操作系统及与国产操作系统匹配的软件。现有的支持国产操作系统的文件加解密软件较少。

基于LUKS磁盘加密方案的目录防护类产品，可实现对指定目录的文件的保护，只允许授信进程访问该指定目录下的文件，系统关机后，数据以密文形态保存，不会丢失泄密。基于LUKS磁盘加密方案的目录防护类产品，非可信进程不能访问受保护目录中的文件。图1说明了现有技术中基于LUKS磁盘加密方案的目录防护类产品的执行方法。但基于LUKS磁盘加密方案的目录防护类产品只能实现本机防护，当目录下的文件有交互需求时，或可信进程从受保护的目录拷贝文件到其他目录时，或可信进程将文件外发或与别人共享时，所述文件均不能受到保护，造成泄密风险。

发明内容

为解决上述技术问题，本发明提出了一种基于国产操作系统的文件透明加解密方法及系统，所述方法及系统，用以解决现有技术中受保护目录中的文件被具有访问权限的用户泄密的技术问题。

根据本发明的第一方面，提供一种基于国产操作系统的文件透明加解密系统，包括：

所述基于国产操作系统的文件透明加解密系统包括自顶向下、相互通信的文件系统调用接口、文件重定向模块、VFS系统、堆叠式加密文件系统、真实文件系统、磁盘系统，与文件重定向模块交互的密文检查模块、可信进程检查模块、文件权限控制模块、数据加解密模块；

所述文件系统调用接口，用于完成应用程序对文件的访问请求，所述应用程序提交的访问请求进入国产操作系统内核后，转化为所述文件相关的系统调用接口通过VFS系统去完成对文件的访问请求；

所述文件重定向模块，部署于国产操作系统内核层，在所述国产操作系统启动后被自动加载，实现对所述文件的访问请求的拦截；由所述密文检查模块、所述可信进程检查模块检查通过的密文访问请求，重定向到对应的挂载目录；

所述VFS系统，用于将所述文件系统调用接口的格式命令转化为对真实文件系统相应操作接口的调用；

所述堆叠式加密文件系统，是在VFS系统和真实文件系统之间插入了一层文件系统驱动，用于调用真实文件系统接口实现所述文件的访问请求；所述堆叠式加密文件系统调用文件权限控制模块对文件访问权限进行控制；

所述磁盘系统用于接收对文件的访问请求，从磁盘上读取数据或者向磁盘写入数据。

进一步地，所述密文由密文头和加密后的文件数据组成。所述密文头包括密文标识、权限控制标识字段、加密相关字段、文件信息字段。

进一步地，所述文件重定向模块对所述文件系统调用接口的接口函数进行hook操作，以实现对所述文件的访问请求的拦截。

进一步地，所述堆叠式加密文件系统在所述国产操作系统启动后，将操作系统内存在的分区目录，指定堆叠式加密文件系统为参数，重新挂载分区目录到指定的临时目录。