基于CryptoAPI和文件系统过滤驱动技术的数据安全存储研究

摘要

近几年来，计算机存储设备不断的更新换代，存储技术越来越高，不仅仅存储设备的存储容量在飞速的增长，设备的读写速率也得到了很大的提高。在存储技术的快速发展之下，数据存储时存在的安全问题也越来越严峻。如果无法保证存储数据的安全性，造成存储数据的盗取或者破坏，将对数据所有者造成很大的影响。因此，在此背景之下，存储的安全性成为所有计算机用户的迫切要求，目前也已开发出各种各样的数据安全存储方案。
　　 人们普遍采用的文件加密方式都是应用层的软件加密。用户通过加密软件对需要保密的文件进行加密，然后存放在磁盘上；在需要阅读或修改文件时，先对文件进行解密，处理完成后再对文件进行加密并存储。这种加解密方式实现简单、开发成本低，但是存在着安全性差、对系统性能影响大、操作繁琐、对上层应用不透明等缺陷。
　　 该课题针对以上问题进行研究，提出了一种数据安全存储方法，并且具有低成本高安全性的特点，有一定的创新性及应用价值：
　　 1)该方法采用WindowsNT驱动框架，基于文件系统过滤驱动技术实现对数据进行加解密；文件系统过滤驱动运行在内核层，在内核层进行的加解密对用户来书避免了繁琐的操作，使用时更加简单、方便。
　　 2)数据保存在虚拟磁盘中，对虚拟磁盘进行访问控制;即通过身份认证的用户，才可以打开虚拟磁盘，对保存在其中的数据进行读写操作。而对于没有获取权限的用户，虚拟磁盘只是保存在硬盘中的一个卷文件，无法对其中的数据进行访问。
　　 3)系统所需密钥、公钥证书以及数据安全运算的操作运用统一的标准接口CryptoAPI技术来实现。
　　 4)数据加解密是采用性能较高的对称密码算法来进行运算，而身份认证采用安全性较高的非对称密码算法进行。同时采用消息摘要函数来保证数据传输中的完整性。
　　 5)用户的密钥以及用书证书均存放在智能卡中，通过调用智能卡接口来读取密钥进进行加解密及身份认证等各项操作。由于用户的密钥和证书存放在智能卡里，不易被盗取，具有较高的安全性。