随着数字化、信息化、网络化的发展和应用,计算机安全成为保证信息系统正常运行、发挥效能的不可忽视的重要因素,而其中文件存储安全成为计算机信息安全中的重要一项。文件的泄密主要发生在两个条件下:动态的传输和静态的存储。对于文件的传输安全,可对文件先加密后传输,再通过数字签名技术来保证文件的合法性和完整性;对于静态存储安全,可采用身份认证技术和加密技术相结合来实现。论文首先分析了WDM模型和文件的读写过程,并对用户层、系统调用层、驱动层和硬件层的加密方法进行了比较,确定在驱动层用一种新的软、硬件相结合的方法以解决文件静态存储的安全问题。在内核层设计并实现了一个文件加密解密引擎,它利用以WDM模型为基础的文件过滤驱动技术,创建卷设备并附着到文件系统驱动之上,从而成功拦截到发往文件系统驱动IRP,同时采用SMS4商用加密解密算法对IRP堆栈中的用户敏感数据进行透明、动态的加密与解密;在应用层,实施用户身份访问控制,采用指纹认证作为身份认证的方式来检查文件使用者身份的合法性以增强安全性。最后对系统的性能进行了优化和测试,测试结果显示系统能很好限制非法用户对敏感文件的访问,加强了重要文件机密性和完整性的保护。本系统创新之处在于:实现的文件加密解密引擎处于内核,其安全性得到内核保护,不易受攻击;采用多重措施(应用层的用户指纹身份验证、文件过滤驱动对加密文件的隔离以及SMS4算法的密码学机制)保护加密文件;加密系统的密钥存储在指纹产品的专用存储区中,进程根据协议对密钥进行访问,在硬件上保证了密钥的安全。