具有hook機(jī)制的過濾驅(qū)動(dòng)加解密模型

蔡 強(qiáng) 薛子育 毛典輝 李海生 曹 健

(北京工商大學(xué)，計(jì)算機(jī)與信息工程學(xué)院，食品安全大數(shù)據(jù)技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室 北京 100048)

?

具有hook機(jī)制的過濾驅(qū)動(dòng)加解密模型

蔡 強(qiáng)②薛子育 毛典輝 李海生 曹 健

(北京工商大學(xué)，計(jì)算機(jī)與信息工程學(xué)院，食品安全大數(shù)據(jù)技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室 北京 100048)

研究了文件保護(hù)的加解密技術(shù)。針對(duì)文件采用過濾驅(qū)動(dòng)模型進(jìn)行加解密導(dǎo)致

文件系統(tǒng)，信息安全，透明加密，過濾驅(qū)動(dòng)，hook，加解密

本文可利用hook獲取文件操作，在文件加解密前后檢查文件標(biāo)識(shí)，保證文件具有相同文件標(biāo)識(shí)，即使利用時(shí)間差從內(nèi)存將文件導(dǎo)出，也可以保證導(dǎo)出的文件與加密文件是同一文件。hook機(jī)制可以在應(yīng)用層獲取復(fù)制、另存為等文件操作，增強(qiáng)模型的安全性。

具有hook機(jī)制的過濾驅(qū)動(dòng)透明文件加解密模型有兩個(gè)處理過程：

(1)寫入前加密過程：調(diào)用hook機(jī)制對(duì)現(xiàn)有文件標(biāo)識(shí)進(jìn)行記錄，然后在派遣例程中對(duì)請(qǐng)求包攜帶數(shù)據(jù)進(jìn)行加密并寫入磁盤，hook機(jī)制對(duì)文件標(biāo)識(shí)進(jìn)行統(tǒng)一更改。

(2)讀出前解密過程：調(diào)用hook機(jī)制對(duì)現(xiàn)有文件標(biāo)識(shí)進(jìn)行記錄，在派遣例程中對(duì)請(qǐng)求包攜帶數(shù)據(jù)解密，hook機(jī)制對(duì)文件標(biāo)識(shí)進(jìn)行統(tǒng)一更改。

本文所提出的方法主要由驗(yàn)證模塊、進(jìn)程控制模塊、安全保證模塊、應(yīng)用層hook機(jī)制構(gòu)成，執(zhí)行流程示意圖見圖1。

圖1 模型流程圖

其中，驗(yàn)證模型是利用USB Key硬件設(shè)備作為加解密啟動(dòng)條件，安全保證模塊通過文件系統(tǒng)驅(qū)動(dòng)進(jìn)行安全性檢測(cè)。

2 模型實(shí)現(xiàn)

過濾驅(qū)動(dòng)是一種中間層驅(qū)動(dòng)，它位于其他的驅(qū)動(dòng)程序?qū)哟沃g，可監(jiān)視、攔截、修改系統(tǒng)發(fā)往下層驅(qū)動(dòng)的I/O請(qǐng)求包(I/O Request Packet, IRP)流。本文模型將在此基礎(chǔ)上，在應(yīng)用層增加hook機(jī)制，通過判斷文件狀態(tài)，對(duì)加解密前后文件權(quán)限進(jìn)行統(tǒng)一化。本文利用過濾驅(qū)動(dòng)模型，加入hook機(jī)制，選取適當(dāng)捕獲位置，構(gòu)建一種全新的加解密模型。

2.1 過濾驅(qū)動(dòng)原始模型

在Windows新技術(shù)內(nèi)核模式中，采用分層結(jié)構(gòu)的驅(qū)動(dòng)設(shè)計(jì)方式。該內(nèi)核模式的分層方式為文件系統(tǒng)、中間層和設(shè)備三級(jí)驅(qū)動(dòng)結(jié)構(gòu)[6]，文件過濾驅(qū)動(dòng)原理如圖2所示。

在入口函數(shù)完成對(duì)驅(qū)動(dòng)對(duì)象初始化設(shè)置、卸載設(shè)置、對(duì)驅(qū)動(dòng)程序功能的派遣函數(shù)設(shè)置等操作之后，操作系統(tǒng)會(huì)為每個(gè)設(shè)備創(chuàng)建設(shè)備對(duì)象，并完成相對(duì)應(yīng)的過濾工作[7]。

圖2 文件過濾驅(qū)動(dòng)原理圖

在驅(qū)動(dòng)對(duì)象初始化完畢之后，本模型的過濾驅(qū)動(dòng)主要通過以下三個(gè)內(nèi)容實(shí)現(xiàn)：制定訪問策略、組織非法文件操作、可信進(jìn)程驗(yàn)證。其中，可信進(jìn)程驗(yàn)證是為了防止軟件攻擊，在文件層次上使用MD5算法進(jìn)行校驗(yàn)的方法，該方法可以有效保護(hù)可信進(jìn)程，標(biāo)識(shí)惡意進(jìn)程。

控制策略主要包括保護(hù)的文件夾和對(duì)應(yīng)的訪問進(jìn)程。由于內(nèi)核模式的命名空間和用戶態(tài)不同，所以應(yīng)用層的文件夾路徑需要轉(zhuǎn)化為內(nèi)核模式的命名規(guī)范。

本文模型需要將過濾驅(qū)動(dòng)從用戶態(tài)傳送策略到內(nèi)核層，使用端口通信機(jī)制。首先創(chuàng)建通信端口，連接過濾驅(qū)動(dòng)創(chuàng)建的通信端口，向過濾驅(qū)動(dòng)發(fā)送消息，策略庫可以更替和刪除。文件操作中，過濾管理器

將會(huì)調(diào)用過濾驅(qū)動(dòng)中的回調(diào)函數(shù)，返回正確位置。所有的文件操作，I/O管理都會(huì)創(chuàng)建對(duì)應(yīng)的操作，并將操作發(fā)送給過濾文件驅(qū)動(dòng)。模型的過濾驅(qū)動(dòng)通過捕獲該消息，查詢策略集合予以阻止或者放行。模型首先得到文件的操作路徑和對(duì)應(yīng)的操作進(jìn)程，然后查詢對(duì)應(yīng)的進(jìn)程訪問策略庫，若查詢成功，則允許進(jìn)程訪問，查詢失敗，則返回阻止操作[8]。

2.2 hook機(jī)制引入

由于文件復(fù)制操作在內(nèi)核模式的結(jié)果不能獲取目標(biāo)文件與源文件的關(guān)系，為保證源文件和目標(biāo)文件具有相同權(quán)限，需要應(yīng)用層予以輔助支持。

在認(rèn)證通過之后，應(yīng)用層hook機(jī)制對(duì)加解密文件標(biāo)識(shí)統(tǒng)一性進(jìn)行判斷，對(duì)用戶行為進(jìn)行監(jiān)控。在增強(qiáng)文件安全性的同時(shí)，保證復(fù)制以后的文件與源文件的權(quán)限一致，確保文件的統(tǒng)一性[9]。

模型在應(yīng)用層hook機(jī)制獲得文件的復(fù)制或另存為操作，將復(fù)制的文件發(fā)送給驅(qū)動(dòng)層，驅(qū)動(dòng)層將這些信息緩存。當(dāng)驅(qū)動(dòng)例程判斷為創(chuàng)建文件之后，將判斷創(chuàng)建文件是否是復(fù)制的目標(biāo)文件，是則將寫入的文件權(quán)限與源文件權(quán)限設(shè)置為相同，否則寫入新的權(quán)限。如圖3所示。

圖3 文件加解密系統(tǒng)框架圖

安全保證模塊實(shí)現(xiàn)了對(duì)文件加解密標(biāo)識(shí)的判斷，以此調(diào)用加解密模塊。其中緩沖維護(hù)主要是針對(duì)緩存泄密問題設(shè)立的防線。由于進(jìn)程對(duì)內(nèi)容的訪問無法被過濾驅(qū)動(dòng)攔截到，因此解密后的文件可以在內(nèi)存中獲取到，需要在每次有新進(jìn)程進(jìn)行輸入輸出操作之前，對(duì)系統(tǒng)緩存進(jìn)行刷新。實(shí)現(xiàn)過程如下：

獲取上下文FsContext;

獲取對(duì)象中成員ResourcePagingbResource;

if (資源未被占用)

{

加鎖操作;

緩存刷新(CcFlushCacheMmFlushmageSectionCcPurgeCacheSection);

釋放資源;

}

通過hook機(jī)制，可以捕捉到文件的操作。如圖4所示，模型利用并行處理方式，在過濾驅(qū)動(dòng)加解密的同時(shí)，完成文件一致性標(biāo)記操作。hook機(jī)制將在捕獲到打開和關(guān)閉文件命令的同時(shí)，記錄文件標(biāo)識(shí)，并在文件存儲(chǔ)之前，對(duì)標(biāo)識(shí)進(jìn)行更改[10]。

圖4 hook機(jī)制過濾驅(qū)動(dòng)模型

3 實(shí)驗(yàn)與分析

本模型的實(shí)驗(yàn)環(huán)境如下：操作系統(tǒng)為Windows 7，計(jì)算機(jī)配置為CPU四核，主頻為1.90GHz，內(nèi)存為4GB。

模型需要設(shè)定文件路徑。根據(jù)保護(hù)路徑，模型利用單項(xiàng)散列函數(shù)計(jì)算密鑰，同時(shí)寫入U(xiǎn)SB Key，并對(duì)路徑下的明文文件進(jìn)行加密。應(yīng)用層控制模塊實(shí)時(shí)監(jiān)視進(jìn)程狀態(tài)。加密后的文件以密文形式存儲(chǔ)，模型開啟USB Key身份認(rèn)證機(jī)制，hook機(jī)制將對(duì)文件的統(tǒng)一性進(jìn)行比較。圖5為保護(hù)程序啟動(dòng)后檢測(cè)到保護(hù)進(jìn)程的示意圖。

當(dāng)用戶關(guān)閉載體進(jìn)程或保密文件，模型對(duì)保護(hù)路徑下的文件進(jìn)行遍歷加密。保護(hù)文件以密文形式存儲(chǔ)，隨后對(duì)內(nèi)存進(jìn)行刷新，防止內(nèi)存中發(fā)生明文泄露。加解密完成以后，模型會(huì)根據(jù)應(yīng)用層hook機(jī)制的支持信息，對(duì)源文件與目標(biāo)文件的權(quán)限一致性進(jìn)行比較。

圖5 保護(hù)程序啟動(dòng)后檢測(cè)到保護(hù)進(jìn)程示意圖

3.1 引入hook機(jī)制實(shí)驗(yàn)分析

hook機(jī)制通過對(duì)事件的捕捉，獲得對(duì)應(yīng)文件操作，保證文件的統(tǒng)一性，通過觸發(fā)內(nèi)存刷新模塊，增強(qiáng)文件的安全性。

3.1.1 實(shí)驗(yàn)結(jié)果

基于應(yīng)用層hook機(jī)制的文件復(fù)制機(jī)制保證了復(fù)制的源文件和目標(biāo)文件具有權(quán)限一致性。本文模型處理機(jī)制通過比較文件標(biāo)識(shí)進(jìn)行判斷。具有不同標(biāo)識(shí)屬性的文件，即使有相同的文件名和相同的內(nèi)容，仍然認(rèn)為是兩個(gè)不同的文件，從而保證文件的安全性。

本文在未加入應(yīng)用層hook機(jī)制的前提下進(jìn)行實(shí)驗(yàn)，文件標(biāo)識(shí)實(shí)驗(yàn)結(jié)果如圖6(a)所示，其中上圖為加密前的文件標(biāo)識(shí)，下圖為加密后的文件標(biāo)識(shí)，實(shí)驗(yàn)前后的文件標(biāo)識(shí)有了改變。在加入應(yīng)用層hook機(jī)制之后，加解密前后文件具有相同的標(biāo)識(shí)，如圖6(b)所示。

圖6 文件標(biāo)識(shí)對(duì)比圖

不加入hook機(jī)制的模型保存臨時(shí)文件的過程當(dāng)中，需要對(duì)原文件的覆蓋進(jìn)行處理，文件保存前后文件標(biāo)識(shí)發(fā)生了變化。此時(shí)，如果內(nèi)存沒有及時(shí)進(jìn)行刷新，可以通過文件標(biāo)識(shí)對(duì)解密文件進(jìn)行拷貝，導(dǎo)致解密文件泄露，安全性不能得到保證。

加入應(yīng)用層hook機(jī)制，文件在加解密前后具有相同的文件標(biāo)識(shí)，被操作系統(tǒng)認(rèn)為是同一個(gè)文件，這將保證文件的統(tǒng)一性。

本文在內(nèi)存維護(hù)之前，通過內(nèi)存還原的方式，對(duì)圖6中的文件進(jìn)行恢復(fù)。通過文件標(biāo)識(shí)獲取到圖7中的兩個(gè)解密文件，圖7(a)是對(duì)圖6(a)上圖進(jìn)行內(nèi)存還原的結(jié)果，圖7(b)是對(duì)圖6(b)上圖進(jìn)行內(nèi)存還原的結(jié)果。

圖7(a)中，沒有加入hook機(jī)制，在內(nèi)存維護(hù)之前，文件以明文方式存儲(chǔ)在內(nèi)存當(dāng)中，這將極大影響到文件的安全性；圖7(b)中，由于受到hook機(jī)制的監(jiān)測(cè)，還原結(jié)果和加密原文保持一致，同時(shí)為密文呈現(xiàn)，提高了文件的統(tǒng)一性和安全性。

圖7 文件內(nèi)容對(duì)比圖

3.1.2 效率分析

應(yīng)用層hook機(jī)制與驅(qū)動(dòng)模塊層次不同，對(duì)驅(qū)動(dòng)模塊效率沒有影響。本模型在進(jìn)程檢測(cè)的同時(shí)啟動(dòng)應(yīng)用層hook機(jī)制，程序?qū)蓚€(gè)模塊進(jìn)行并行處理，保證模型效率。本文選取4M、8M、16M、32M文件進(jìn)行測(cè)試，實(shí)驗(yàn)方法為：測(cè)試直接方式、過濾驅(qū)動(dòng)方式和加入應(yīng)用層hook機(jī)制的微過濾驅(qū)動(dòng)方式加密過程所需時(shí)間，采用多次測(cè)試取平均的方式，測(cè)量次數(shù)為100次，結(jié)果如表1所示。

表1 模型效率對(duì)比表(加密算法采用ECB模式)

其中，過濾驅(qū)動(dòng)方式的效率明顯優(yōu)于直接方式，并且隨著文件的增大，直接加解密方式在模型整體執(zhí)行過程中占比不斷增大，而過濾驅(qū)動(dòng)方式的效率

會(huì)明顯優(yōu)于直接方式。在本文模型當(dāng)中，應(yīng)用層hook機(jī)制的加入并沒有對(duì)效率產(chǎn)生影響。

3.2 具有hook機(jī)制的過濾驅(qū)動(dòng)加解密模型實(shí)驗(yàn)分析

本模型根據(jù)用戶選擇的加密級(jí)別和文件大小，選擇出合適的加密模式進(jìn)行加解密處理。本文模型采用文件對(duì)應(yīng)密鑰的方式，利用混合加密方法——對(duì)稱加密方法處理需要加密的文件數(shù)據(jù)，非對(duì)稱的加密方法處理密鑰，在保證文件加密的速度的同時(shí)，保證了密鑰的安全性。

目前有很多加密模式用于處理不同塊，本文選取以下三種代表性較強(qiáng)的算法進(jìn)行選擇和比較：電碼本(Electronic Codebook，ECB)模式；密碼分組鏈接模式(Cipher Block Chaining， CBC)和計(jì)數(shù)(Counter，CTR)模式。其中，CBC模式安全性較高但是效率較低。過程如下式所示：

Ci=Ek(Pi⊕Ci-1)C0

(1)

其中C表示密文塊，P表示明文塊，Ek是加密算法。ECB模式效率較高但安全性較低，過程如下式所示：

C=Ek(m1m2m3…mn) =Ek(m1), Ek(m2), Ek(m3)…Ek(mn)

(2)

其中，Ek(m1)是第一個(gè)明文組，C是密文組。ECB模式如圖8(a)所示。

CTR模式利用與明文分組長(zhǎng)度相同的計(jì)數(shù)器，利用不同的計(jì)數(shù)器值加密不同的明文分組。該模式的加密公式如下式所示：

Cj=Pj⊕Ek(Tj)

(3)

其中，Cj是密文，Pj是明文，Ek(Tj)是被分割的第j條文段用的加密算法。CTR如圖8(b)所示。

本文實(shí)驗(yàn)方法為：利用搭載不同加密算法的模型處理文件，本文將相同模型試驗(yàn)兩次，分別按照加入hook機(jī)制和不加入hook機(jī)制計(jì)算密文在內(nèi)存刷新之前完全破解率和效率分析。

本文采用多次測(cè)試取平均的方式，測(cè)量次數(shù)為100次，表2是文件大小和完全破解率之間的關(guān)系圖，表3是不同加解密模式下的hook機(jī)制模型和原模型效率比較。

圖8 加密模式圖

文件大小完全破解率2M4M8M16M32M原模型9%7%6%2%3%hook機(jī)制5%5%3%1%0%

表3 不同加解密模式下的性能測(cè)試結(jié)果

結(jié)合表1和表3獲得以下結(jié)論：透明加解密驅(qū)動(dòng)本身帶來影響是比較小的，加密算法會(huì)導(dǎo)致一定的延遲。本模型將根據(jù)用戶要求和文件大小選擇合適的模式，保證模型的透明性和安全性。

本文在hook機(jī)制的過濾驅(qū)動(dòng)模型上搭載了三種加密算法進(jìn)行測(cè)試，并根據(jù)算法效率、文件大小等因素，方框位置是本文建議選擇的算法，如圖9所示。

圖9 加密算法選擇模型影響因素圖

本文的解密過程是：首先由文件系統(tǒng)驅(qū)動(dòng)對(duì)文件數(shù)據(jù)進(jìn)行讀取，過濾驅(qū)動(dòng)從文件尾部獲得加密標(biāo)識(shí)，進(jìn)行相對(duì)應(yīng)的解密操作，實(shí)現(xiàn)過程如下：

if (進(jìn)程存在)

{

對(duì)部分加密文件做解密操作;

進(jìn)程掛起;

if (捕獲IRP-MJ-READ操作)

{

喚醒掛起進(jìn)程繼續(xù)解密;

} else

Rollback;

}

4 結(jié) 論

文件加密保護(hù)是操作系統(tǒng)用戶級(jí)信息安全領(lǐng)域的重要研究?jī)?nèi)容，本研究設(shè)計(jì)并實(shí)現(xiàn)了一套新的文件透明加密保護(hù)模型，該模型可以在不改變用戶原有文件操作習(xí)慣下，完成對(duì)文件的保護(hù)。

本文通過在過濾驅(qū)動(dòng)模型上引入了應(yīng)用層hook機(jī)制，實(shí)現(xiàn)文件加解密之后的標(biāo)識(shí)檢測(cè)，解決過濾驅(qū)動(dòng)模型加解密處理后文件的統(tǒng)一性問題，通過避免內(nèi)存還原等方式，提升透明加解密模型的安全性。

模型利用USB Key進(jìn)行用戶身份檢查，根據(jù)加解密標(biāo)識(shí)調(diào)用過濾驅(qū)動(dòng)模塊對(duì)文件進(jìn)行加解密。本文結(jié)合ECB模式、CBC模式、CTR模式在模型下的適應(yīng)性進(jìn)行比較，可根據(jù)用戶選擇和文件大小獲得合適的加密方法。

模型通過hook機(jī)制的引入，有效提升了系統(tǒng)的安全性和統(tǒng)一性，對(duì)內(nèi)存內(nèi)明文文件的導(dǎo)出獲得有效的處理。加密算法可根據(jù)文件大小和用戶選擇進(jìn)行調(diào)整，提升了模型的效率和透明性，具有較好的用戶體驗(yàn)。但是hook機(jī)制對(duì)文件操作的捕捉難以把握，如果時(shí)機(jī)恰當(dāng)，在文件標(biāo)識(shí)轉(zhuǎn)換之前，還是可以將明文進(jìn)行換出。下一步我們將研究一套加解密同時(shí)更改文件標(biāo)識(shí)的方法，保證文件一直處于同一標(biāo)識(shí)當(dāng)中，進(jìn)一步對(duì)模型做提升。

[ 1] Li Y, Shi L. Design and Implementation of Encryption Filter Driver for USB Storage Devices.FourthInternationalSymposiumon, 2011, (12): 54-56

[ 2] 周道明, 錢魯鋒, 王路路. 透明加密技術(shù)研究. 信息網(wǎng)絡(luò)安全, 2011, 12: 54-56

[ 3] 陳忠貴. 微過濾驅(qū)動(dòng)模型下的加解密文件系統(tǒng)研究：[碩士學(xué)位論文]. 南昌：南昌航空大學(xué)信息工程學(xué)院, 2011. 11-13

[ 4] 陶珉. 基于文件過濾驅(qū)動(dòng)的透明加密系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)：[碩士學(xué)位論文]. 成都：電子科技大學(xué)通信與信息工程學(xué)院, 2012

[ 5] Katz I, Ideses I, Porat R, et al. Reversion of system objects affected by a malware. US patent: 20150058988. 2015

[ 6] Mashevsky Y V, Namestnikov Y V, Denishchenko N V, et al. Method and system for detection of previously unknown malware. US patent: 8572740, 2013

[ 7] Zhang X Y, Wang S P, Yun X C. Bidirectional active learning: a two-way exploration into unlabeled and labeled dataset.IEEETransactionsonNeuralNetworksandLearningSystems(TNNLS), 2015, 26(12):3034-3044

[ 8] 趙杰,陳靖,袁峰等. 基于動(dòng)態(tài)加解密的內(nèi)網(wǎng)信息管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn). 信息網(wǎng)絡(luò)安全, 2012, 11: 74-77

[ 9] Zhang X Y, Wang S P, Zhu X B, et al. Update vs. upgrade: modeling with indeterminate multi-class active learning.Neurocomputing, 2015,162: 163-170

[10] Mcdougal M D, Ford B T, Smelser W P, et al. Detecting addition of a file to a computer system and initiating remote analysis of the file for malware. US patent: 8627404, 2014

A filter driver encryption and decryption model with hook mechanism

Cai Qiang, Xue Ziyu, Mao Dianhui, Li Haisheng, Cao Jian

(Beijing Key Laboratory of Big Data Technology for Food Safety, School of Computer and Information Engineering, Beijing Technology and Business University, Beijing 100048)

The encryption and decryption for file protection were studied. To solve the problems of un-unified file identification and increasement of memory’s file leakage risk in information security caused by the file’s use of a filter driver model to perform encryption and decryption, a new encryption and decryption model combining the hook mechanism and the filtering driver model was designed. The model uses the filter driver model to encrypt the file, and at the same time, the hook mechanism is introduced to capture the file operation behavior in memory to make the file has the same identity around the encryption and decryption. Thus under the circum stances of keeping the original operating habits of the file, a reduction on the risk of the file’s recovery is achieved. The theoretical analysis and experiments demonstrate that the model proposed in the study can be used to fast encrypt and decrypt different files under three encryption modes, and its disintegration rate can be decreased over 3 per cent compared with the filter driver model.

file system, information security, transparent encryption, filter driver, hook, encryption and decryption

①國(guó)家自然科學(xué)基金(QNJJ2014-23)，北京市自然科學(xué)基金(4162019)和北京市教委科研計(jì)劃(SQKM201610011010)資助項(xiàng)目。

②男，1969年生，博士，教授；研究方向：計(jì)算機(jī)圖形學(xué)，計(jì)算幾何，科學(xué)可視化，智能信息處理；聯(lián)系人，E-mail: caiq@th.btbu.edu.cn

2016-02-28)

0 引 言

1 模型思想

加密方式相比其他加密方式，具有速度快、捕獲時(shí)機(jī)準(zhǔn)確等優(yōu)點(diǎn)。但是該處理方法文件標(biāo)識(shí)不統(tǒng)一，可在內(nèi)存刷新之前對(duì)明文進(jìn)行恢復(fù)，明文具有泄露的風(fēng)險(xiǎn)。

10.3772/j.issn.1002-0470.2016.07.009

不統(tǒng)一與內(nèi)存明文泄露風(fēng)險(xiǎn)增加等安全問題，設(shè)計(jì)了一種hook機(jī)制和過濾驅(qū)動(dòng)方法相結(jié)合的加解密模型。該模型采用過濾驅(qū)動(dòng)方法對(duì)文件進(jìn)行加解密，同時(shí)引入hook機(jī)制對(duì)內(nèi)存中文件操作行為進(jìn)行捕獲，使得加解密前后的文件具有相同標(biāo)識(shí)，在保證用戶原有文件操作習(xí)慣的同時(shí)，實(shí)現(xiàn)了文件內(nèi)存明文恢復(fù)風(fēng)險(xiǎn)的降低。理論分析和試驗(yàn)結(jié)果表明，該模型在三種加密模式下，可以針對(duì)不同文件進(jìn)行快速加解密，同時(shí)較過濾驅(qū)動(dòng)加解密模型，其恢復(fù)風(fēng)險(xiǎn)下降3%以上。

文件保護(hù)是操作系統(tǒng)保證用戶級(jí)信息安全的重要機(jī)制。文件保護(hù)在實(shí)現(xiàn)方法上可分為以下四類：用戶層文件加密方式、系統(tǒng)調(diào)用層文件加密方式、硬件加密方式和文件系統(tǒng)過濾驅(qū)動(dòng)加密方式。用戶層文件加密方式過程繁瑣，安全級(jí)別低，用戶操作量較大，研究?jī)r(jià)值較低；系統(tǒng)調(diào)用層文件加密方式滿足透明加密過程，該方法時(shí)刻捕獲文件的打開和關(guān)閉操作，可靠性較差，運(yùn)行效率較低。相比以上兩種早期的文件加解密方法，硬件加密方式速度較快、穩(wěn)定性較好，但是成本較高、靈活性較差。在硬件加密方式中，密鑰一經(jīng)制定就無法修改，局限了該方法的發(fā)展。隨著存儲(chǔ)設(shè)備的進(jìn)步、文件體積的增大、用戶體驗(yàn)要求的增強(qiáng)，對(duì)加密算法的安全性、穩(wěn)定性、透明性的要求也在不斷提升。文件系統(tǒng)過濾驅(qū)動(dòng)加密方式因其較強(qiáng)的透明性和安全性，逐漸成為了研究熱點(diǎn)。該方式透明性較強(qiáng)，主要在操作系統(tǒng)內(nèi)核層進(jìn)行文件處理，具有較高的安全性、穩(wěn)定性和平臺(tái)兼容性，適用性廣泛。國(guó)內(nèi)外的研究人員提出了一些解決方案，很多文件保護(hù)系統(tǒng)也逐漸成熟起來。一些文件保護(hù)系統(tǒng)，如美國(guó)的Symantec公司研發(fā)的PGP加密產(chǎn)品系列、邁克菲公司研制的防數(shù)據(jù)丟失(DLP)產(chǎn)品、易安信公司研制的Source One for File Systems系列產(chǎn)品以及RSA公司研制的數(shù)據(jù)保護(hù)管理(DPM)產(chǎn)品等[1]，都應(yīng)用了文件透明加密，通過過濾驅(qū)動(dòng)加密方式獲得了較好的用戶體驗(yàn)。這類系統(tǒng)雖然功能齊全，但是龐大繁雜，面向大型企業(yè)，由于其固有的整體性和高昂的成本導(dǎo)致其對(duì)中小企業(yè)以及個(gè)人用戶的信息安全問題貢獻(xiàn)不大。與國(guó)外的主要文件透明加密系統(tǒng)相比，國(guó)內(nèi)的文件透明加密產(chǎn)品發(fā)展時(shí)間較短，附加功能較少，但發(fā)展勢(shì)頭較為強(qiáng)勁[2]。億賽通科技發(fā)展有限責(zé)任公司開發(fā)的SmartSec系統(tǒng)、虹安信息技術(shù)有限公司開發(fā)的DLP平臺(tái)發(fā)展較快。目前文件透明加解密系統(tǒng)都存在著不夠獨(dú)立、功能較為冗雜、用戶體驗(yàn)易受到文件大小影響等問題。加解密模型是加解密產(chǎn)品當(dāng)中的核心模塊，DLP、DPM等國(guó)外主流研究模型具有一定的加密時(shí)間，保密文件有一部分時(shí)間以明文形式存于內(nèi)存當(dāng)中，文件具有安全性風(fēng)險(xiǎn)。陳忠貴[3]、陶珉[4]等國(guó)內(nèi)學(xué)者研究的加解密模型在算法效率、密碼安全性等方面貢獻(xiàn)很大，但在算法本身安全性方面提升較小。加解密模型[5]在加密模型的功能實(shí)現(xiàn)上較為全面，但是同樣沒有關(guān)注到文件本身的安全性問題，導(dǎo)致模型的加解密結(jié)果不甚理想。以上透明加解密模型，都在過濾驅(qū)動(dòng)模型的基礎(chǔ)上做出了很多提升。在負(fù)載、算法、效率等問題上提升較多，但是對(duì)需要保護(hù)的文件本身并沒有過多限制。這將導(dǎo)致加解密前后文件標(biāo)識(shí)有所變化，內(nèi)存明文可能發(fā)生泄露等問題。基于此問題，本文設(shè)計(jì)并實(shí)現(xiàn)了一種具有hook機(jī)制的過濾驅(qū)動(dòng)的文件透明加解密模型。該模型首先通過USB Key進(jìn)行密鑰存儲(chǔ)以及身份認(rèn)證保證用戶的合法性。通過hook機(jī)制實(shí)時(shí)獲取文件操作，在加解密前后記錄文件標(biāo)識(shí)、對(duì)比文件標(biāo)識(shí)、統(tǒng)一文件標(biāo)識(shí)，避免文件標(biāo)識(shí)不同造成的內(nèi)存內(nèi)明文泄露等問題。