本发明专利技术公开了一种基于微过滤驱动模型的文档安全系统,包括微过滤驱动模块和管理控制模块,所述管理控制模块包括微过滤驱动控制单元、局域网共享管理单元、USB?Key管理单元、移动磁盘访问控制单元;微过滤驱动控制单元和微过滤驱动模块通过端口通信机制进行通信,局域网共享管理单元、USB?Key管理单元、移动磁盘访问控制单元通过所述微过滤驱动控制单元与所述微过滤驱动模块进行通信,该系统在WindowsNT平台上为微软Office办公软件提供文档保护,防止文档泄密。
【技术实现步骤摘要】
本专利技术涉及一种计算机电子文档保护系统,尤其是基于微过滤驱动模型的文档安全系统,主要对微软的0ffiCe2003/2007文档提供保护。
技术介绍
目前,主流的文档保护系统是基于传统的过滤驱动模型实现的,该系统的主要结构是在内核层加载一个过滤驱动程序,在应用层设计控制程序。内核层的过滤驱动程序能根据请求为数据提供透明加密和透明解密功能 。用户层控制程序根据系统设置控制透明加解密内核,内核驱动程序与上层控制程序相互协作,为文档提供保护。基于传统过滤驱动的透明加密内核存在平台兼容性不好、加解密稳定性不够等问题,应用层控制程序缺少有效的安全机制对文档进行保护。
技术实现思路
为了克服现有的文档安全系统仅靠在内核层对文档进行加密的不足,本专利技术提供了一种基于微过滤驱动模型的文档保护系统。采用如下技术方案一种基于微过滤驱动模型的文档安全系统,包括微过滤驱动模块和管理控制模块,所述管理控制模块包括微过滤驱动控制单元、局域网共享管理单元、USB Key管理单元、 移动磁盘访问控制单元;微过滤驱动控制单元和微过滤驱动模块通过端口通信机制进行通信,局域网共享管理单元、USB Key管理单元、移动磁盘访问控制单元通过所述微过滤驱动控制单元与所述微过滤驱动模块进行通信。所述的文档安全系统,所述局域网共享管理单元,当用户更新当前的受保护数据的局域网共享方式后,局域网共享管理单元通过微过滤驱动控制单元向微过滤驱动模块发送消息一,微过滤驱动模块收到该消息一后,根据该消息的内容启用或者禁用受保护文档的局域网明文共享。所述的文档安全系统,所述USB Key管理单元用于进行文档密钥管理,当USB Key 接入到计算机以后,USB Key管理单元通过微过滤驱动控制单元向微过滤驱动模块发送消息二以获取受保护文档的文档密钥的密文,微过滤驱动模块返回经过修改的消息二将文档密钥密文回馈到USB Key管理单元,此时USB Key管理单元调用解密接口解密,解密获得MK 的明文,最后再由USB Key管理单元将MK的明文发送给微过滤驱动模块,此时微过滤驱动模块开始支持文档的透明加解密。所述的文档安全系统,还包括移动磁盘授权模块,所述移动磁盘授权模块授权方法如下读取系统保留扇区的数据,然后选用MD5作为HMAC的哈希函数计算消息认证码 HlJfHl写入到系统的缓冲区中。所述的文档安全系统,所述USB Key管理单元用于进行文档密钥恢复,密钥恢复方法为在USB Key接入的时候,用户设置密钥恢复密码,系统利用所述密钥恢复密码加密文档的密钥,并将密文保存到受保护的文档中;当USB Key损坏或者丢失时,用户通过输入之前设定的密钥恢复密码解密获得密钥,进而查看和编辑受保护的文档。此系统 由微过滤驱动透明加密内核和用户态的控制程序构成,内核态和用户态间以端口通信机制进行消息传递。在内核态,以微过滤驱动模型为基础,实现了透明加密驱动。在用户态,设计了与内核层相对应的驱动控制程序,该程序提供微过滤驱动运行信息配置功能、文档密钥管理功能、局域网安全共享功能、移动磁盘的访问控制功能和文档密钥的恢复功能。系统实现了密钥与数据分离存放,提高了数据的安全性,实现了文档共享方式在安全性和灵活性之间自由切换功能,还实现了对移动磁盘的访问控制,使未经授权的移动磁盘无法以明文形式拷贝敏感数据,提供了在USB Key丢失或者损坏情况下文档密钥的恢复机制。系统在内核层和应用层提供对文档的保护。本专利技术的有益效果是,Office办公软件提供透明加解密,实现了密钥与数据分离存放,提高了数据的安全性,实现了敏感数据共享在安全性和共享灵活性之间自由切换机制,还实现了对移动磁盘的访问控制,使未经授权的移动磁盘无法以明文形式拷贝敏感数据,提供了 USB Key丢失或者损坏情况下文档密钥的恢复机制。附图说明图1是专利技术的系统结构图。图2是移动磁盘授权示意图。图3是端口通信机制示意图。具体实施例方式以下结合具体实施例,对本专利技术进行详细说明。如图1所示,本专利技术基于微过滤驱动模型的文档安全系统结构示意图,包括微过滤驱动模块(透明加密内核)和管理控制模块。管理控制模块为所述微过滤驱动模块配置运行信息、进行文档密钥管理、局域网共享管理和移动磁盘访问控制,管理控制模块包括微过滤驱动控制单元、局域网共享管理单元、USB Key管理单元、移动磁盘访问控制单元。微过滤驱动控制单元和微过滤驱动模块通过端口通信机制进行通信,局域网共享管理单元、USB Key管理单元、移动磁盘访问控制单元通过所述微过滤驱动控制单元与所述微过滤驱动模块进行通信。当用户更新当前的受保护数据的局域网共享方式后,局域网共享管理单元通过微过滤驱动控制单元向微过滤驱动模块发送消息一,微过滤驱动模块收到该消息一后,根据该消息的内容启用或者禁用受保护文档的局域网明文共享。局域网共享切换机制设计如下当启用明文共享时,对系统进程提供透明加解密支持;当禁用明文共享时,停止对系统进程提供透明加解密支持。当USB Key接入到计算机以后,USB Key管理单元通过微过滤驱动控制单元向微过滤驱动模块发送消息二以获取受保护文档的密钥的密文,微过滤驱动模块返回经过修改的消息二将文档密钥密文回馈到USB Key管理单元,此时USB Key管理单元调用解密接口解密,解密获得MK的明文,最后再由USB Key管理单元将MK的明文发送给微过滤驱动模块, 此时微过滤驱动模块开始支持文档的透明加解密。移动磁盘访问控制单元在认证的过程中不需要与微过滤驱动模块进行通信,仅在文档安全系统被关闭时,移动磁盘访问控制单元将调用驱动控制函数停止微过滤驱动模块的工作,防止入侵者跳过移动磁盘认证阶段直接拷贝受保护文档的明文。在微过滤驱动模块中,微软提供了全新的通信机制_端口通信机制,端口通信机制如图3所示。左侧是内核态的通信服务端口,右侧是用户态的控制程序,控制程序主动发起端口连接请求进行消息传递,在传递完毕以后控制程序请求断开连接,结束通信。微过滤驱动控制单元和微过滤驱动模块通过端口通信机制来传输消息,具体的消息格式如下消息一进程属性设置消息进程属性设置消息用来初始化或者更新驱动的进程监控状态,消息格式如表1所示。进程初始化消息一共五个字段,各个字段的信息如表1所示。局域网共享管理单元通过微过滤驱动控制单元向微过滤驱动模块发送消息一,灵活切换受保护文档的共享方式, 当启用明文共享时字段uStatus取值为True,当禁用明文共享时该字段为False。 表1进程属性设置消息字段Γ^Ι大小(Byte) 意义uMessageTypeunsigned int 4消息类型szProcessNameunsigned char 16受监视的进程的名称uStatusunsigned int 4进禾呈状态uSizeunsigned int 4进程可执行文件大小szHashCodeunsigned char 16进程可执行文件的散列函数值消息二 文档密钥MK (Master Key,简称MK)设置与获取消息该消息用来获取设置或者获取MK的内容,消息格式如表2所示。表2文档密钥MK设置与获取消息格式消息类型 MK标志~~Γ~ΜΚMK摘要~在用户启用无USB Key密钥恢复功能时,需要使用对称加密算法将文档密钥加本文档来自技高网...
【技术保护点】
1.一种基于微过滤驱动模型的文档安全系统,其特征在于,包括微过滤驱动模块和管理控制模块,所述管理控制模块包括微过滤驱动控制单元、局域网共享管理单元、USB Key管理单元、移动磁盘访问控制单元;微过滤驱动控制单元和微过滤驱动模块通过端口通信机制进行通信,局域网共享管理单元、USB Key管理单元、移动磁盘访问控制单元通过所述微过滤驱动控制单元与所述微过滤驱动模块进行通信。
【技术特征摘要】
1.一种基于微过滤驱动模型的文档安全系统,其特征在于,包括微过滤驱动模块和管理控制模块,所述管理控制模块包括微过滤驱动控制单元、局域网共享管理单元、USB Key 管理单元、移动磁盘访问控制单元;微过滤驱动控制单元和微过滤驱动模块通过端口通信机制进行通信,局域网共享管理单元、USB Key管理单元、移动磁盘访问控制单元通过所述微过滤驱动控制单元与所述微过滤驱动模块进行通信。2.根据权利要求1所述的文档安全系统,其特征在于,所述局域网共享管理单元,当用户更新当前的受保护数据的局域网共享方式后,局域网共享管理单元通过微过滤驱动控制单元向微过滤驱动模块发送消息一,微过滤驱动模块收到该消息一后,根据该消息的内容启用或者禁用受保护文档的局域网明文共享。3.根据权利要求1所述的文档安全系统,其特征在于,所述USBKey管理单元用于进行文档密钥管理,当USB Key接入到计算机以后,USB Key管理单元通过微过滤驱动控制单元向微过滤驱动模块...
【专利技术属性】
技术研发人员:权义宁,韩炼,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:87
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。