Windows下文件過濾驅動技術

徐國棟，朱亮

Windows下文件過濾驅動技術

徐國棟，朱亮

Windows文件過濾驅動在不改變復雜的文件系統基礎上，可方便地擴展I/O子系統的功能。在深入研究了文件過濾驅動技術基礎上，結合安全加密技術與權限控制技術，實現了一個安全、易用、管理方便的安全文件系統。

文件過濾驅動；I/O請求包；基于角色的訪問控制

0 引言

隨著企事業單位的快速發展，電子文檔為企事業單位承載了越來越多的重要信息。而由于電子文檔的容易散播性，導致企事業單位的重要資料很容易被非法獲取、篡改、乃至無序傳播等，這使得企事業單位所做的大量工作付之東流，嚴重危害了自身的利益。特別是棱鏡門事件后，文檔安全的重要性也日益受到重視。文件安全管理就是為了提高電子文檔數據的安全性和保密性、防止秘密數據被意外、或非法獲取所采用的技術手段。

密碼學是信息系統安全的核心，它是研究密碼系統和通信安全的一門學科[1]。密碼學的基本功能是提供保密性，使非授權者無法獲悉消息的內容。

1 文件過濾驅動

Windows的I/O管理器是一個可擴展的結構，通過開發過濾驅動程序可以擴展I/O子系統的功能。 I/O管理器支持分層驅動程序模型，每個I/O請求包（IRP，I/O request package）的處理分別經過各層驅動程序，直到某層驅動程序完成這個請求[2]。

1.1 過濾驅動程序

過濾驅動工作在系統驅動層和應用層之間，透明地截取發往低級驅動程序設備對象的請求，低級驅動程序的用戶完全不知道它們的請求被過濾器驅動程序預處理和截取了。使用過濾器驅動程序可以實現以下幾種主要功能：

允許修改已有驅動程序在某些方面的行為，而不必重寫整個驅動程序。

可以更加容易地隱藏低級驅動程序的限制。

允許把諸如壓縮、加密等新特征添加到設備上，而不必修改基本的設備驅動程序或者使用設備的程序。

1.2 文件系統過濾驅動

文件系統是負責為用戶建立、存入、讀出、修改、轉儲文件，控制文件的存取與撤銷。文件系統過濾驅動工作模式如圖1所示：

圖1 文件過濾驅動工作模型

作為一種內核態中間層驅動，只需對下層的文件系統驅動作相應的功能擴展，加密粒度靈活、可靠性強、效率高、易于擴展。

2 文件安全保護

借助于Windows的可安裝文件系統IFS，Installable File System設備驅動程序開發工具DDK，Device Development Kit），即可以對Windows I/O 的子系統進行方便的擴展，實現一個文件加密過濾驅動程序。此程序有如下特點：

不改變現有Windows的操作習慣。

攔截所有用戶寫請求：在加密文檔寫入磁盤前加密數據，保證存儲在磁盤的都是加密數據。

攔截所有用戶讀請求：在加密文檔數據返回給用戶前解密數據，保證應用程序看到的是明文數據。

2.1 Create例程中判斷是否需要加解密

Windows文件系統通過Create（IRP_MJ_CREATE）例程來創建或打開文件。文件創建/打開時，Windows系統會創建一個FILE_OBJECT對象來表示此文件，根據此FILE_OBJECT來獲取文件相關的信息并判斷是否需要加密。

所有需要加/解密的文件都通過一個加密集合來維護[3]，當前打開的文件如果已在集合中，則肯定需要對其加/解密；否則：

新建的文件（打開標記為FILE_CREATED、FILE_OVERWRITTEN或FILE_SUPERSEDED者，都認定為新建），則根據設定的規則判斷是否需要對其加/解密。

打開的文件，則先獲取其加/解密標志（與文件關聯的加/解密相關信息）；如果有，則對其加/解密。

2.2 Write例程中加密

Windows的寫操作在Write（IRP_MJ_WRITE）例程中捕獲。當寫請求（IRP）到達時，先獲取FILE_OBJECT對象，來判斷是否為加密文件。非加密文件直接放行（Pass Through）即可；即使是加密文件，也不是所有的寫操作都需要加密，只有在真實數據要寫入到磁盤時（標記位為IRP_NOCACHE，且數據長度大于零）才需要加密。

對于要加密數據的寫請求，在IRP傳遞到下一層前以及完成后，都需要進行處理：

在IRP傳遞到下層前，需要對數據進行加密：

申請非分頁內存（設為緩沖區N），用于存放加密后的數據。

用緩沖區N來替換IRP中原來的UserBuff（設為緩沖區O）。

在IRP完成后，要做清理：

把IRP中的UserBuff設回為緩沖區O。

釋放前面申請的緩沖區N。

加密數據一定要存放在新申請的緩沖區中去，不能對原有緩沖區中的內容進行修改。

2.3 Read例程中解密

Windows的讀操作可在Read（IRP_MJ_READ）例程中捕獲。當寫讀請求（IRP）到達時，先獲取FILE_OBJECT對象，來判斷是否為加密文件。非加密文件直接放行（Pass Through）即可；即使是加密文件，也不是所有的讀操作都需要解密，只有在真實從磁盤中讀取數據時（標記位為IRP_NOCACHE，且數據長度大于零）才需要解密。

對于要解密數據的讀請求，在IRP傳遞到下一層前以及完成后，都需要進行處理：

在IRP傳遞到下層前，需要重設緩沖區：

申請非分頁內存（設為緩沖區N），用于存放讀取到的加密數據。

用緩沖區N來替換IRP中原來的UserBuff（設為緩沖區O）。

在IRP完成后，對數據進行解密：

把讀取到的加密數據解密到緩沖區O中。

把IRP中的UserBuff設回為緩沖區O。

釋放前面申請的緩沖區N。

2.4 其他例程操作

除了上面與加解密直接相關的例程外，還有其他一些例程需要處理，本文就不詳述了：

在Close例程（IRP_MJ_CLOSE）處理與文件關閉相關操作。

在SetInformation例程（IRP_MJ_SET_INFORMA -TION）處理重命名、刪除等相關操作。

在QueryInformation例程（IRP_MJ_QUERY_IN -FORMATION）中處理各種與獲取文件信息相關的操作

2.5 文件密鑰管理

為保證安全并方便管理，筆者使用對稱算法來加密文件內容，使用非對稱算法來保護對稱算法的密鑰[4]，此方案有如下優勢：

使用對稱加密算法對文件內容進行加密，來提高效率與安全性。

每個文件使用獨立的密鑰，進一步提升其安全性。

使用非對稱算法對文件密鑰進行加密保護，在保證安全的同時簡化了密鑰管理。

3 文件權限管理

企業電子文檔數量巨大且有不同程度的信息敏感度每個用戶有不同的訪問需求，使得其安全管理非常復雜。

基于角色的訪問控制將權限與角色聯系起來，在系統中根據應用的需要為不同的工作崗位創建相應的角色同時根據用戶職責指派合適的角色，用戶通過所指派的角色獲得相應的權限[5]，實現對文件的訪問如圖2所示：

圖2 訪問控制模型

這樣，整個訪問控制過程就分成兩個部分，即訪問權限與角色相關聯，角色再與用戶關聯，從而實現了用戶與訪問權限的邏輯分離。

角色/權限之間的變化比角色/用戶關系之間的變化相對要少的多，但是也復雜的多。所以：分配權限到角色對技術要求較高，由專門的技術管理人員（文件安全管理人員）來承擔。

委派用戶到角色不需要很多技術，由行政管理人員來執行。

通過用戶與訪問權限的邏輯分離，基于角色的訪問控制極大的方便了權限管理，實現最少權限原則和職責分離的原則。

4 總結

筆者應用此方案已成功實現了多個系統，并取得了良好的效果。要構建一個完善的安全系統，除了透明文件加密、權限管理外，還需要終端外設管理[6]、網絡安全管理等各種技術。只有融合多種技術才能實現一個安全、易用的安全系統，來保護我們的數據。

[1] William Stallings著，王張宜, 楊敏, 杜瑞穎,等譯. 密碼編碼學與網絡安全——原理與實踐[M]. 電子工業出版社，2012.

[2] Rajeev Nagar. Windows NT File System Internals. O’REILLY. 1997.

[3] 徐國棟, 白英彩. 加密文件系統在Windows下的實現[J]. 微型電腦應用, 2006, 22(5):56-58.

[4] Bruce Schneier著，吳世忠, 祝世雄, 張文政,等譯. 應用密碼學——協議、算法與C源程序[M]. 機械工業出版社，2014.

[5] Xuan H L, Doll T, Barbosu M, et al. An enhancement of the Role-Based Access Control model to facilitate information access management in context of team collaboration and workflow. Journal of Biomedical Informatics, 2012, 45(6):1084-1107.

[6] Beckley K, Sikora P, Allos B. File transfer system and method for monitoring and management of remote devices, US8880653[P]. 2014.

File Filter Diver On Windows

Xu Guodong, Zhu Liang
(Shaanxi Defence Vocational and Technical College, Xi’An 710300, China)

Via file filter driver, the I/O subsystem can be extended easily without changing the complex file system. Combined with cryptography and access control technology, a security file system is realized.

File Filter Driver; I/O request package; Role-Based Access Control.

TP183

A

1007-757X(2016)07-0074-02

2016.01.20）

徐國棟（1981-），男，上海其祥電腦系統工程有限公司，工程師，碩士，研究方向：信息安全與網絡通訊，上海 200237

朱 亮（1983-），男，北京科瑞科技發展股份有限公司，碩士，研究方向：信息安全與系統應用，上海，100097