基于可安装文件系统的过滤加密技术的研究与应用

摘要

计算机及信息系统的普及使得越来越多的信息以数据的形式存储在计算机硬盘以及其他大容量存储介质上，其中不乏敏感数据甚至机密数据。但是，由于病毒泛滥，企业或政府信息系统遭受入侵的事情层出不穷，内部人员有意或无意泄密的事件也时有发生。电子信息在存储和使用过程中面临严重的安全问题。而现有的加解密软件由于操作复杂，不符合用户使用习惯等原因，不能从根本上解决电子信息的存储安全问题。本文的研究目的在于解决电子信息在存储和使用过程中存在的安全问题，完成用户身份鉴别，实现数据对合法使用者的透明加解密。围绕这一任务，本文首先归纳了已有的加密系统所采用的技术，指出其中存在的问题，并分析了透明加密系统的安全需求。然后结合PKI和访问控制技术等设计了基于可安装文件系统的透明加密系统，并对相关技术进行了介绍。接着从系统的设计和实现两方面重点阐述了改进系统的构成。最后对系统的安全性和功能扩展进行了讨论。本文的创造性工作主要体现在将基于USB Key的访问控制技术、PKI技术和文件系统过滤驱动加密技术相结合，根据角色访问控制的约束模型结构和角色层次结构理论，给出了透明加密系统的角色划分和权限划分，通过职权的合理分配达到管理上的安全。基于IFS实现了可以针对特定文件加密的透明加密系统。本文采用模块化设计，并尝试定义规范化的接口。因此，本文搭建了对计算机数据在存储和使用过程中进行安全保护的基础平台，对于开发实用化的、商业的内网数据安全管理系统具有重要的借鉴意义。

目录

摘要

Abstract

第1章 绪论

1.1 课题背景及研究意义

1.2 安全需求分析

1.2.1 电子信息使用过程中的安全问题

1.2.2 电子信息存储中的安全问题

1.3 国内外相关技术发展现状

1.4 本文主要研究内容及组织结构

第2章 文件系统过滤驱动加密技术

2.1 引言

2.2 ISO定义的安全服务

2.3 文件系统过滤驱动相关概念和技术

2.3.1 Windows 2000/XP的体系结构

2.3.2 存储管理的基本原理

2.3.3 Windows 2000/XP的文件系统模型

2.3.4 I/O系统

2.3.5 文件系统驱动

2.3.6 文件系统过滤驱动

2.3.7 文件系统过滤驱动加密的可行性

2.4 密码学技术

2.4.1 对称与非对称密码技术

2.5 公钥基础设施

2.5.1 安全基础设施的概念

2.5.2 PKI的基本组成

2.6 基于角色的访问控制

2.7 本章小结

第3章 电子信息透明加密系统设计

3.1 引言

3.1.1 角色划分与权限分配

3.1.2 系统总体框架

3.2 模块设计

3.2.1 文件系统过滤驱动生成与绑定模块

3.2.2 系统过滤与访问控制模块

3.2.3 加解密模块

3.2.4 管理员程序与文件系统过滤驱动交互模块

3.2.5 证书信任层次结构设计

3.3 数据结构设计

3.3.1 驱动对象

3.3.2 设备对象扩展

3.3.3 文件对象

3.3.4 读写完成上下文

3.4 本章小结

第4章 电子信息透明加密系统实现

4.1 引言

4.2 构建PKI环境

4.2.1 证书颁发机构的配置

4.2.2 用户证书的申请

4.3 系统开发工具和技术

4.4 内核加解密控件实现

4.5 文件系统过滤驱动及其绑定

4.6 IRP（I/O Request Packet）处理

4.7 过滤驱动程序安装

4.8 驱动程序与管理员程序的通信

4.8.1 I/O控制代码（I/O CTL）

4.8.2 DeviceIoControl函数

4.9 加解密关键技术实现

4.9.1 加密文件识别

4.9.2 系统过滤

4.9.3 加密策略及密钥管理

4.10 本章小结

第5章 系统安全性分析

5.1 引言

5.2 系统安全性测试与分析

5.2.1 系统实现界面

5.2.2 穿透性测试与脆弱性分析

5.3 系统扩展与改进

5.4 本章小结

结论

参考文献

附录

攻读硕士学位期间发表的学术论文

致谢