透明加密系统设计及实现-透明加密的关键技术

在第一章已经详细地介绍了透明解密系统的主要发展状况，目前市面上的透明加密系统，大多存在兼容性差和移植麻烦的情况。最为主要的是目前的透明加密系统，缺乏有效的身份认证机制，导致透明加密系统的安全性受到了极大的影响。本章结合Minifilter和LayerBSD设计思想，详细地分析了透明加密系统的基本结构和原理，给出了有效的关键信息标识的方法。研究了内核模式与用户模式便捷的通信模型，详细给出了多种透明加密系统核心部分的结构并分析它们之间的优缺点，最后综合透明加密系统的整个架构，给出了一套高度可信的身份验证机制。

1 文件透明加密系统的基本原理

文件透明加密是指用户在操作的时候，虽然后台在自动的进行加解密，但是用户根本不知道加密及解密的存在，就像中间的隔了一层屏幕辐射过滤膜一样，用户感觉到不到它的存在。如图1，在布置了透明加密的系统中，在进行文件I/O操作时，文件透明加密系统进行透明加解密，上层的已经授权的进程能够获取到文件的明文，非授权的进程仍然无法获取到文件的明文，故而防止了通过其它的进程获取文件明文并将其通过网络将文件传递到系统之外。在文件I/O过程中，文件透明加密及解密驱动会进行文件I/O进行过滤，拦截满足策略的I/O 进行文件的加密及解密等相关的操作。

               图1 透明加密系统的工作原理图

透明加密不会影响到用户的使用习惯，也不需要改变已有的应用程序，就能够达到透明加密的效果。透明加密是一种被动的加密方式，文件的是否加密不以用户的意愿控制，而是自动根据透明加密系统的配置策略进行文件进行加密和解密。故而文件透明加密在企业，特别是机密机构和核心部门，已经成为了文件保护的最后的最坚固的防护盾。

2 透明加密系统的结构的研究

文件透明加密系统的核心部件工作在内核模式下，第二章我们详细地给出了文件过滤驱动程序及文件小过滤驱动的在操作系统的位置结构，文件透明加密系统中透明加密模块其实是文件过滤驱动或者是文件小过滤驱动程序，在驱动设备栈中位于文件系统驱动程序之上，主要负责文件访问的控制、进程及文件关系的控制、用户识别和控制以及核心的透明加密。但仅仅有透明加密驱动程序是无法满足需求的，因为透明加密大量的策略信息具有很大的灵活性，不同的用户对透明加密的需求存在存在着差异，因此，必须要一个灵活多变且功能强大的透明加密的策略配置端，保证用户的身份的可靠性并进行透明加密的策略配置。

在透明加密系统的总体结构设计时，出于性能、安全、灵活性及实用等多方面的考虑，将透明加密系统分为两个重要部分，分别位于操作系统的的内核模式和用户模式。具体的结构如图 2 所示。

图 2 透明加密系统的总体结构 

透明加密系统被分为两个组成部分，一个是位于内核模式的透明加密驱动，由于其承当着透明加密等核心的功能，由于其除了完成透明加解密的功能外，还负责其它的许多文件控制的功能，将其命名为文件控制器。另一个是位于用户模式的客户配置端，客户端以应用程序的形式存在于系统中，承担着用户身份认证及文件保护策略配置的任务，作为文件控制器的辅助，提高了整个系统的灵活性和实用性。由于在系统设计中的两个主要组成部分分别位于不同的操作系统模式下，各个模块都必须提供相应的通信模块以提供信息的交换的桥梁。

采用用户模式及内核模式双模块组成的设计模式，减轻了内核模式模块的开发难度，提高了系统的稳定性，将配置策略端放置在客户端，提高系统的灵活性，但是对用户身份的认证以及系统的完整保护提出了新的要求，简单的基于用户模式的验证是无法达到系统的要求的，需要设计更加严格的身份验证机制，保证系统的完整性和用户身份验证的可靠性。

3 关键对象的有效标识的研究

在进行相关的文件I/O的控制时，进行关键信息的有效标识是透明加密系统可靠性的保障。在内核模式获取相关的信息要比用户模式下要复杂得多，因为工作在内核模式下的驱动进程无法直接访问当前用户会话空间的有效的信息。而且工作于内核模式下的驱动程序，特别是文件系统驱动程序，将会处理成百上千的进程发起的I/O请求，怎样对这些I/O进行有效的标示以完成I/O的控制是一个值得思考的问题。在透明加密及文件访问的控制中，相关的主要的信息包括进程的有效标识，发起I/O的用户的有效标识，加密文件的有效标识以及磁盘卷的有效标识，下面分别讨论以上信息在文件透明加密系统的标