论文部分内容阅读
摘要: 以计算机网络安全为视角就传统EFS加密系统的安全隐患与不足探讨一种新型的计算机网络安全加密文件系统,从选择实现技术、设计系统结构进行深入探析,对科学加密网络系统文件,确保计算机网络可靠、安全、持续、健康的运行有积极有效的促进作用。
关键词: 网络安全;加密;系统
中图分类号:TP393.08文献0 前言
基于公钥策略的windows加密文件系统具有较高的安全性能,且操作便利,能够与计算机网络系统实现紧密结合,并面向用户操作公开透明,在保障计算机网络安全层面发挥了重要的辅助作用。同时通过实践应用研究我们也发现了该加密系同样存在一些不足之处。即其仅能够在NTFS文件格式系统中应用,具有一定的局限性,兼容性不强。同时该加密文件系统是针对要求指定文件夹或文件实施的加密,而非总体对某一类型系统文件实施加密,体现了安全灵活性的有限与不足。另外windows加密文件系统应用固定的算法,无法依据网络安全不同需求实施更改变化,因而令计算机系统、网络平台包含一定安全隐患。由此可见研究一类新型计算机网络安全加密文件系统迫在眉睫,为有效克服以上加密文件系统不足,合理为网络用户供给一个可靠、安全、广泛应用的网络系统、灵活加密策略、算法,提升加密强度,我们应明晰相关系统设计目标,即令其提供灵活、多元化配置策略功能,不仅可对网络系统指定文件夹、文件进行加密,还可保护某种类型的系统存储与网络传输的文件安全,全面支持多重格式类型文件系统加密,通过综合采用非对称与对称加密算法实现透明化的数据文件解密、加密操作。
1 科学选择系统实现技术
任何一类加密系统技术方式均可被抽象为钩子模式,即数据由用户态请求直至存储磁盘这一通路中的某一地方,进行自身安装的处理过程。当输送写请求时便实施数据加密,而当读取请求时则对数据进行解密。当前较为常用的加密拦截方式包含三类,位于处理文件的三个不同层次。第一类方式为windows用户层API加密技术,在windows系统中动态链接库或可执行文件均以PE格式构建,该类方式形成的文件包含多个组成块,也可称为节。.idata节之中涵盖一类导入地址表,其存储着同可执行代码所有引用函数名称相应偏移地址。一旦当模块对导入函数进行了调用,则先由IAT表寻找该函数入口地址,而后跳转至该地址进行函数代码执行。而模块修改IAT表中一旦拦截的函数入口发生偏移并指向自身拦截函数,便可获取控制权进而实现拦截目标。该类技术方式具有一定的安全性,然而应用机理较为复杂,且包含一定局限性,因而容易出现拦截有误或错失拦截等现象。第二类方式为系统调用层的拦截技术,该技术优势在于可以位于系统内核层进行拦截,由于足够接近内核层,因而具有较好的拦截效果。然而其同样存在弊端问题,即系统较多针对读写文件的原生API,倘若忽略了其中任何一个,便会引发遗漏截获信息现象。同时现行较多应用软件可对该类拦截直接予以清除,进而令基于该技术研发的安全产品失去应用效果。第三类加密技术通过对文件系统加载实现过滤驱动,其附着于文件系统上下驱动中。基于该技术系统调用均会最终转变为I/O管理器进而发送IRP于文件系统,体现了该技术的更底层拦截性,通过对文件系统驱动过滤的开发进而有效实现对各类文件操作的有效拦截,令其与网络系统内核更接近,有效提升拦截效率,令网络系统安全性实现全面提升。
通过上述拦截加密技术的全面分析不难发现,基于用户层的挂钩技术与基于系统调用层的加密拦截技术均包含一定局限性,而应用文件系统驱动过滤技术则具有较高的拦截效率,虽然应用难度较大,但具有高度安全性,可有效创设优质、可靠的计算机网络系统环境,因此我们采用文件驱动过滤技术创设新型的加密文件系统。
2 网络安全加密文件系统结构设计
依据设计系统目标我们采用驱动过滤文件加密技术实施综合设计,将系统结构分为内核驱动层与应用层两部分。应用层主要涵盖同用户交互并对其策略进行接收进而生成相应文件的配置策略模块、同内核驱动实现通信连接的模块、生成当前用户密钥并展开管理的密钥模块等。而内核驱动层则由初始化驱动模块、预处理模块、读操作、写操作模块、匹配策略模块、实现加密算法模块、保护系统模块、后处理模块、快速操作I/O模块等组成。
2.1 配置策略模块与管理密钥模块设计。其中配置策略模块将配置好的系统用户策略生成相应的文件并存储于系统目录之中,该类驱动在应用过程中可实现直接的读取策略文件目标,无需启动应用层程序,配置策略文件可依据自定义格式生成。管理密钥模块主体应用windows操作系统相应API函数生成用户公钥与私钥对,进而对相关用户密钥事务进行全面管理。该模块主要完成的功能应包含,在第一次配置用户策略层面,生成相应策略文件阶段时,通知相应管理密钥模块面向当前用户生成公钥与私钥对,存储公钥于系统安装目录及与用户名相同的目录之中,使用私钥用户完成SID加密后,一同与用户名存储于策略文件相应指定位置。同时初始化驱动程序阶段,获取的策略文件之中通过加密的私钥数据则由密钥模块管理。我们应首先获取当前用户SID并对私钥进行解密,令其通过通信模块有效传输给驱动。在驱动进行写文件过程中需要进行加密时,我们可通过管理密钥模块令会话密钥生成进而对文件进行加密获取用户的相应公钥,并利用其对会话密钥进行加密而后交由驱动,令其作为解密数据内容并存储至标记加密文件之中。
2.2 系统预处理模块与读、写操作模块设计。系统预处理模块我们采用匹配策略及他类处理明晰文件是否应进行保护加密,在读取阶段是否应进行解密以及在写阶段是否应对信息进行加密,并令相关信息存储于为该文件创设的结构之中,进而在后续处理实践中我们便可通过该结构值直接明确相应处理程序步骤。设计该加密文件系统的重要核心便在于实施对网络系统数据文件的加密与解密操作,在驱动过滤实现了IRP拦截后,我们应科学明确对何类IRP展开处理,数据处理在什么地址中存储,进而优化系统设计,令其发挥优势加密功能。读操作模块在完成了对原IRP缓冲区数据替换及完成例程设置后便将其传递给下一层次的驱动进行读取数据,当下层将密文返回后,则进行解密操作,并在此令完成解密的相应数据于原IRP缓冲区存储而后进一步返回至上一层次调用者。就上层的应用程序来讲,该类过程就好比对明文直接进行了读取,而没有实施解密操作,进而达到了完全透明的解密读操作效果。
写操作模块类似于读操作,但也包含一定区别,即解密读操作于完成例程实现,而加密写操作则在分发例程进行,IRP涵盖了需要写入的信息数据,在数据加密阶段我们无需在IRP完成之后进行,只需在其传递至下层驱动以前完成加密即可,进而确保写入至存储介质中的信息数据经过了
加密处理。再者为全面保障位于上层的调用者完成写操作过程后继续能正常应用并对这些数据进行保存,我们应位于写操作完成例程之中将加密前保存的明文数据恢复,倘若不实施该环节,则上层想再作他类应用操作时便会得到完成加密的文件。
2.3 保护系统模块设计。保护系统模块主体功能在于对我们实施加密的策略文件与标记文件相应访问请求进行过滤,进而确保仅在内核态我们自身的驱动过滤程序才能够对这些文件进行访问。另外当用户对目录信息进行查看时我们应将该类信息文件进行隐藏,进而全面提升整体网络系统综合安全性能,创建良好的加密保护效果。
3 结语
总之,基于文件驱动过滤技术的优势功能,我们应科学设计新型网络安全加密文件系统,明确模块结构功能及设计策略,才能有效提升网络系统综合安全性能,令其为文件、数据的存储与传输营造可靠、有序、透明的应用环境,进而创设显著应用效益。
参考文献:
[1]姬耀,文件数据的安全存储[J].信息安全与通信保密,2008(1).
[2]刘楠,文件过滤驱动的数据安全系统实现[J].微电子学与计算机,2010(3)标识码:A文章编号:1671-7597(2012)0110038-01
关键词: 网络安全;加密;系统
中图分类号:TP393.08文献0 前言
基于公钥策略的windows加密文件系统具有较高的安全性能,且操作便利,能够与计算机网络系统实现紧密结合,并面向用户操作公开透明,在保障计算机网络安全层面发挥了重要的辅助作用。同时通过实践应用研究我们也发现了该加密系同样存在一些不足之处。即其仅能够在NTFS文件格式系统中应用,具有一定的局限性,兼容性不强。同时该加密文件系统是针对要求指定文件夹或文件实施的加密,而非总体对某一类型系统文件实施加密,体现了安全灵活性的有限与不足。另外windows加密文件系统应用固定的算法,无法依据网络安全不同需求实施更改变化,因而令计算机系统、网络平台包含一定安全隐患。由此可见研究一类新型计算机网络安全加密文件系统迫在眉睫,为有效克服以上加密文件系统不足,合理为网络用户供给一个可靠、安全、广泛应用的网络系统、灵活加密策略、算法,提升加密强度,我们应明晰相关系统设计目标,即令其提供灵活、多元化配置策略功能,不仅可对网络系统指定文件夹、文件进行加密,还可保护某种类型的系统存储与网络传输的文件安全,全面支持多重格式类型文件系统加密,通过综合采用非对称与对称加密算法实现透明化的数据文件解密、加密操作。
1 科学选择系统实现技术
任何一类加密系统技术方式均可被抽象为钩子模式,即数据由用户态请求直至存储磁盘这一通路中的某一地方,进行自身安装的处理过程。当输送写请求时便实施数据加密,而当读取请求时则对数据进行解密。当前较为常用的加密拦截方式包含三类,位于处理文件的三个不同层次。第一类方式为windows用户层API加密技术,在windows系统中动态链接库或可执行文件均以PE格式构建,该类方式形成的文件包含多个组成块,也可称为节。.idata节之中涵盖一类导入地址表,其存储着同可执行代码所有引用函数名称相应偏移地址。一旦当模块对导入函数进行了调用,则先由IAT表寻找该函数入口地址,而后跳转至该地址进行函数代码执行。而模块修改IAT表中一旦拦截的函数入口发生偏移并指向自身拦截函数,便可获取控制权进而实现拦截目标。该类技术方式具有一定的安全性,然而应用机理较为复杂,且包含一定局限性,因而容易出现拦截有误或错失拦截等现象。第二类方式为系统调用层的拦截技术,该技术优势在于可以位于系统内核层进行拦截,由于足够接近内核层,因而具有较好的拦截效果。然而其同样存在弊端问题,即系统较多针对读写文件的原生API,倘若忽略了其中任何一个,便会引发遗漏截获信息现象。同时现行较多应用软件可对该类拦截直接予以清除,进而令基于该技术研发的安全产品失去应用效果。第三类加密技术通过对文件系统加载实现过滤驱动,其附着于文件系统上下驱动中。基于该技术系统调用均会最终转变为I/O管理器进而发送IRP于文件系统,体现了该技术的更底层拦截性,通过对文件系统驱动过滤的开发进而有效实现对各类文件操作的有效拦截,令其与网络系统内核更接近,有效提升拦截效率,令网络系统安全性实现全面提升。
通过上述拦截加密技术的全面分析不难发现,基于用户层的挂钩技术与基于系统调用层的加密拦截技术均包含一定局限性,而应用文件系统驱动过滤技术则具有较高的拦截效率,虽然应用难度较大,但具有高度安全性,可有效创设优质、可靠的计算机网络系统环境,因此我们采用文件驱动过滤技术创设新型的加密文件系统。
2 网络安全加密文件系统结构设计
依据设计系统目标我们采用驱动过滤文件加密技术实施综合设计,将系统结构分为内核驱动层与应用层两部分。应用层主要涵盖同用户交互并对其策略进行接收进而生成相应文件的配置策略模块、同内核驱动实现通信连接的模块、生成当前用户密钥并展开管理的密钥模块等。而内核驱动层则由初始化驱动模块、预处理模块、读操作、写操作模块、匹配策略模块、实现加密算法模块、保护系统模块、后处理模块、快速操作I/O模块等组成。
2.1 配置策略模块与管理密钥模块设计。其中配置策略模块将配置好的系统用户策略生成相应的文件并存储于系统目录之中,该类驱动在应用过程中可实现直接的读取策略文件目标,无需启动应用层程序,配置策略文件可依据自定义格式生成。管理密钥模块主体应用windows操作系统相应API函数生成用户公钥与私钥对,进而对相关用户密钥事务进行全面管理。该模块主要完成的功能应包含,在第一次配置用户策略层面,生成相应策略文件阶段时,通知相应管理密钥模块面向当前用户生成公钥与私钥对,存储公钥于系统安装目录及与用户名相同的目录之中,使用私钥用户完成SID加密后,一同与用户名存储于策略文件相应指定位置。同时初始化驱动程序阶段,获取的策略文件之中通过加密的私钥数据则由密钥模块管理。我们应首先获取当前用户SID并对私钥进行解密,令其通过通信模块有效传输给驱动。在驱动进行写文件过程中需要进行加密时,我们可通过管理密钥模块令会话密钥生成进而对文件进行加密获取用户的相应公钥,并利用其对会话密钥进行加密而后交由驱动,令其作为解密数据内容并存储至标记加密文件之中。
2.2 系统预处理模块与读、写操作模块设计。系统预处理模块我们采用匹配策略及他类处理明晰文件是否应进行保护加密,在读取阶段是否应进行解密以及在写阶段是否应对信息进行加密,并令相关信息存储于为该文件创设的结构之中,进而在后续处理实践中我们便可通过该结构值直接明确相应处理程序步骤。设计该加密文件系统的重要核心便在于实施对网络系统数据文件的加密与解密操作,在驱动过滤实现了IRP拦截后,我们应科学明确对何类IRP展开处理,数据处理在什么地址中存储,进而优化系统设计,令其发挥优势加密功能。读操作模块在完成了对原IRP缓冲区数据替换及完成例程设置后便将其传递给下一层次的驱动进行读取数据,当下层将密文返回后,则进行解密操作,并在此令完成解密的相应数据于原IRP缓冲区存储而后进一步返回至上一层次调用者。就上层的应用程序来讲,该类过程就好比对明文直接进行了读取,而没有实施解密操作,进而达到了完全透明的解密读操作效果。
写操作模块类似于读操作,但也包含一定区别,即解密读操作于完成例程实现,而加密写操作则在分发例程进行,IRP涵盖了需要写入的信息数据,在数据加密阶段我们无需在IRP完成之后进行,只需在其传递至下层驱动以前完成加密即可,进而确保写入至存储介质中的信息数据经过了
加密处理。再者为全面保障位于上层的调用者完成写操作过程后继续能正常应用并对这些数据进行保存,我们应位于写操作完成例程之中将加密前保存的明文数据恢复,倘若不实施该环节,则上层想再作他类应用操作时便会得到完成加密的文件。
2.3 保护系统模块设计。保护系统模块主体功能在于对我们实施加密的策略文件与标记文件相应访问请求进行过滤,进而确保仅在内核态我们自身的驱动过滤程序才能够对这些文件进行访问。另外当用户对目录信息进行查看时我们应将该类信息文件进行隐藏,进而全面提升整体网络系统综合安全性能,创建良好的加密保护效果。
3 结语
总之,基于文件驱动过滤技术的优势功能,我们应科学设计新型网络安全加密文件系统,明确模块结构功能及设计策略,才能有效提升网络系统综合安全性能,令其为文件、数据的存储与传输营造可靠、有序、透明的应用环境,进而创设显著应用效益。
参考文献:
[1]姬耀,文件数据的安全存储[J].信息安全与通信保密,2008(1).
[2]刘楠,文件过滤驱动的数据安全系统实现[J].微电子学与计算机,2010(3)标识码:A文章编号:1671-7597(2012)0110038-01