基于Minifilter框架的文件保护方法及关键技术研究

摘要

随着网络和移动存储设备的普及，极大地方便了信息在多人之间的共享，但如果不对信息传播加以限制的话，就极有可能给企业带来机密信息泄露的麻烦。尽管敏感部门常采用理论上安全的物理隔离，一定程度地降低了外部入侵导致的泄密事件发生的可能，但却无法阻止内部员工主动将机密文件外泄，这使得保护机密信息的安全成为了当前关注的焦点和研究的热点。
　　首先，分析了国内外主流文件保护产品，发现了大多数产品基于应用层开发，并没有与文件系统紧密结合，无法防范拥有权限的用户主动泄密的问题。为此，提出了一种文件透明加密保护方案，只允许合法用户在合法区域内正常使用机密文件，以此保障了机密文件的安全。
　　其次，基于Minifilter过滤驱动框架，提出了一个具有内核层、应用层、管理层的文件保护系统模型。在内核层，通过对文件访问的流程深入研究，设计了文件操作的过滤例程和区域控制规则，以达到不改变用户操作习惯，实现将机密文件以密文的形式存储在磁盘中的功能。在应用层，建立了与管理层和内核层的信息交互通道，根据管理层制定的策略，完成对内核层过滤器行为的控制。在管理层，确定了服务器应用程序-数据库-控制台的管控方案，为系统管理员统一管理企业内的机密文件提供了技术支持。
　　最后，根据此模型，实现了一个文件透明加密系统。采用了文件标识技术以区分普通文档与机密文档，并通过将文件规则信息写入文件标识的方式，实现了利用文件标识进行秘钥管理的功能。通过为卷设备附加上下文，实现了卷级别的机密文件区域控制，为机密文件在企业内安全流通提供了保障。

目录

封面

声明

中文摘要

英文摘要

目录

第1章 绪 论

1.1 课题背景、目的和意义

1.2 文档加密解密方案

1.3 国内外研究现状分析

1.4 研究内容

1.5 要解决的关键技术问题

1.6 论文组织结构

第2章 Windows系统架构分析

2.1 基于NT的Windows系统架构

2.2 文件系统的分析

2.3 文件系统的分类

2.4 文件系统过滤驱动

2.5 本章小结

第3章 基于Minifilter的文件保护模型设计

3.1 设计目标

3.2 设计方法

3.3 基于Minifilter框架的文件保护模型

3.4 模型中FilterManager与Minifilter的协同操作

3.5 应用层与内核层的交互

3.6 本章小结

第4章 基于Minifilter的文件加解密系统实现

4.1基于Minifilter的内核层模块具体实现

4.2 应用层模块具体实现

4.3基于完成端口的管理层具体实现

4.4 本章小结

第5章 透明加密系统测试

5.1 测试环境介绍

5.2 系统部署

5.3 功能测试

5.4 稳定性测试

5.5 测试结果分析

结论

参考文献

攻读硕士学位期间承担的科研任务与主要成果

致谢