CN102567670A - 文件系统过滤驱动加密实现方法 - Google Patents

Abstract

本发明是一种文件系统过滤驱动加密实现方法，该加密方法具体实现步骤如下：第一步，驱动程序启动后，首先在打开文件操作返回给应用程序时获取文件名和文件大小，第二步，随后判断打开文件的进程是否是机密进程打开，第三步，如果文件的大小大于加密标识结构体大小，先从文件头部中读取同样大小的信息与加密标识结构体信息进行比较，第四步，在读取文件时，若是已经加密的文件，首先进行解密操作，在返回给应用程序，在写操作时，首先判断该文件原先是否是加密文件，如果是，进行加密处理后存储到磁盘文件中，如果不是，则不进行加密处理，直接存储到磁盘文件上。与传统型的文件过滤驱动相比，微软的内核开发者开发出了一个新的驱动，称为过滤管理器。

Description

文件系统过滤驱动加密实现方法

技术领域

本发明提出了在驱动层实现对文件的加解密方案，主要解决了在驱动层透明加解密的过程，更加的安全。

背景技术

微过滤驱动加密技术，它基于Windows文件系统驱动技术，工作在Windows的内核层。当应用程序打开指定的进程时，该驱动会监视到程序的操作，并改变其打开，读写等操作方式，从而达到透明加解密的效果。与传统的应用层加密相比，它因为在底层会更加的安全而高效。

它与传统的过滤驱动相比，过滤管理器模型有着下面的优点：

●加载顺序更易控制，不像传统过滤驱动，一个minifilter驱动可以在任何时候被加载且因其Altitude被绑定到合适的位置。

●在系统运行期间的卸载能力。不像在系统运行期间不能被卸载的传统过滤驱动，minifilter驱动能在任意时间被卸载且必要时它能阻止它自己被卸载。过滤管理器同步所有minifilter驱动绑定体的安全移除，且它会处理minifilter驱动被卸载之后完成的操作。

●仅需处理必要操作的能力。在这个模型中可以挑选自己感兴趣的要过滤的I/O操作的类型(基于IRP的，fast I/O或FSFilter)。Minifilter驱动只接收它已经为其注册了回调例程的I/O操作。微过滤驱动可以注册一个唯一的pre-oper或post-oper callback例程，或两者都注册，它可以忽略某些类型的操作，比如分页I/O和缓存的I/O。

●内核栈的应用更加高效。过滤管理器使用“callback”模型，过滤管理器通过支持非重入过滤初始化的I/O(这仅能被栈中低层驱动看见)减少了递归I/O的冲突。

●更易于添加新操作。微过滤驱动仅为其将要处理的I/O操作注册，对新操作的支持可以在不破坏现有为过滤驱动的前提下被添加到过滤管理器中。

●允许微过滤器带有私有数据信息到一系统对象上(卷上下文，实例上下文，流上下文，流句柄上下文和文件上下文)。

●对用户模式应用程序的更好支持。过滤管理器为与为过滤驱动一起工作的用户模式服务及控制程序提供一般功能。过滤管理器用户模式库，Filterlib.dll激活了用户模式服务或控制程序同minifilter驱动之间的通信。Filterlib.dll也为管理工具提供了接口。

发明内容

技术问题：本发明的目的是提供一种文件系统过滤驱动加密实现方法，

与传统型的文件过滤驱动相比，微软的内核开发者开发出了一个新的驱动，称为过滤管理器，但这个驱动本身恰恰是一个传统型的文件系统过滤驱动。但是这个驱动提供了接口，接受一些注册过的内核模块。因此对基本IRP的操作就交给了过滤管理器。

技术方案：本发明的文件系统过滤驱动加密实现方法具体实现步骤如下：

第一步，驱动程序启动后，首先在打开文件操作返回给应用程序时获取文件名和文件大小，

第二步，随后判断打开文件的进程是否是机密进程打开，如果是机密进程，那么此时进一步判断文件的大小是否是零，若文件的大小是零，且要执行写操作，则首先写入加密标识头部，

第三步，如果文件的大小大于加密标识结构体大小，先从文件头部中读取同样大小的信息与加密标识结构体信息进行比较，相同说明是加密文件；如果文件小于加密标识结构体，则不做处理，

第四步，在读取文件时，若是已经加密的文件，首先进行解密操作，在返回给应用程序，在写操作时，首先判断该文件原先是否是加密文件，如果是，进行加密处理后存储到磁盘文件中，如果不是，则不进行加密处理，直接存储到磁盘文件上。

第三步所述的先从文件头部中读取同样大小的信息与加密标识结构体信息进行比较，具体实现方法是：

根据自定义的加密标识结构体的大小，从文件头部中读取同样大小的内容，并将它强制转换成加密标识结构体类型，然后把读取的内容与加密标识结构体信息逐个字节比较。

有益效果：这两个结构体能很好的管理文件系统微过滤驱动注册的所有信息，并能够准确及时的处理注册后的各种类型的消息。其中第一个结构体中的最有意义的是ContextRegistration，OperationRegistration，FilterUnloadCallback，其目的是InstanceSetupCallback，InstanceQueryTeardownCallback。ContextRegistration用于注册上下文信息；OperationRegistration是注册处理I/O请求时的回调函数的；FilterUnloadCallback是用于卸载驱动时需要做的操作；InstanceSetupCallback是在用于新的卷被安装时调用，其目的是为了使Minifilter驱动能监控到卷的安装和移除，从而动态的安装Minifilter驱动；InstanceQueryTeardownCallback是在用户手动移除Minifilter驱动时被调用。第二个结构体是对这个域OperationRegistration详细结构，处理指定的IRP请求。

附图说明

图1是文件请求过程图，说明文件层用户模式传递到内核模式的流程。

图2是驱动功能模块图。

图3是应用通信功能模块示意图。

图4是执行流程图。

图5是微文件系统注册过程图，其中FltRegisterFilter，FltStartMinifilter，FltCreateCommunicationPort是系统库函数。

图6是创建自定义输入输出请求包示意图，其中IoGetDeviceAttachmentBaseRef，IoAllocateIrp，IoSetCompletionRoutine，IoCallDriver是系统库函数。

具体实施方式

过滤管理器随Windows一起被安装，但它只在一个Minifilter驱动被加载时才会起作用，过滤管理器绑定到目标卷的文件系统栈上。Minifilter驱动为它要过滤的I/O操作而通过向过滤管理器注册来间接绑定到文件系统栈上。

像传统型过滤驱动一样，Minifilter驱动的绑定也按照一个特定的顺序。不过，绑定体的顺序是由一个叫Altitude的唯一标识符决定的。Minifilter驱动在特定卷上的一个特定altitude的绑定体被称为这个Minifilter驱动的一个instance。

Minifilter驱动的Altitude确保它的实例总是在相应的位置被加载，它决定过滤管理器以什么顺序来调用Minifilter驱动来处理I/O。Altitudes由微软分配和管理。

Minifilter驱动能过滤IRP-I/O操作、Fast I/O和FSFilter Callback操作。但它只会对自己感兴趣的操作进行注册，会对每一个它要过滤的I/O操作它都可以注册一个pre-oper callback例程，一个post-oper callback例程或二者都注册。当处理一个I/O操作时，过滤管理器调用每个Minifilter为此操作注册的callback例程。当该callback例程返回时，过滤管理器调用下一minifilter驱动为此操作注册的callback例程。

举个例子，假设图1中的三个Minifilter驱动都为同一I/O操作注册了callback例程，则过滤管理器会以altitude由高到低的顺序(A，B，C)调用它们的pre-oper callback例程，然后把此I/O操作转寄给下一较低级的驱动进一步处理。当过滤管理器接收到此I/O请求的完成时，它以相反的顺序即由低到高(C，B，A)调用每一个Minifilter驱动的post-oper callback例程。

系统框架

加密方案由两部分，其一是底层的过滤驱动，它的功能包括下面几个主要方面：1)机密进程的判断(需要监视的进程)；2)加解密点的判断：该进程打开的文件是否已经被加密了；3)文件名获取；4)加密标识的设置，来区分是否已经加密；5)加解密操作。

其二是应用层建立的DLL程序，包括下面主要功能：1)通信端口的连接初始化；2)传递数据，在应用程序关闭后关闭该端口。

功能结构

过滤驱动层的目的是完成机密进程的判断，获取文件名，加解密点判断，与应用层通信端口，加密标识设置，文件加解密。具体的功能结构如图2所示：

●获取文件名模块

它是在文件打开或创建时执行的，用来获取文件的绝对路径，为以后的操作做准备。

●机密进程模块

当获取文件名后，会执行这个模块，完成进程类型的判断，是否是需要特殊处理的进程(进行加解密处理)。

●加解密点模块

当是机密进程时，执行该模块时，当打开已有文件时，若是文件大小不为零，首先，读取文件头的前面一部分，大小是加密标识结构的大小，若是加密标识，则说明是加密的文件，可以进行操作；若不是，则不做任何处理，直接交给下层驱动。当文件大小是零，且要执行写操作时，则首先在文件头部首先写入加密标识数据。

●加解密标识模块

该模块用来初始化加密标识结构体的内容。

●加解密模块

在文件进行写操作时，在写预操作回调函数中自动对文件内容进行加密处理在存储到磁盘文件中；在读文件时，在读后操作回调函数中自动对该文件进行解密操作在返回给用户程序。

●通信端口模块

为了方便用户态与内核态的通信，该模块完成接收用户态传递进来的信息，并对信息处理后返回给用户。

应用层建立的DLL程序的目的是完成与驱动层的连接通信端口，传递数据。具体功能结构图如图3所示：

●连接驱动通信端口模块

该模块完成建立到底层驱动端口的连接，为下面传输数据做准备。

●通信模块

在连接成功的基础上，完成向下底层驱动传递数据信息并接受处理后的返回的数据信息。

方法流程

驱动程序启动后，首先在IRP_MJ_CREATE的后操作回调函数中，获取文件的全路径名和文件大小；随后判断打开文件的进程是否是机密进程打开，若是，如果文件的大小是零，且要执行写操作，则首先写入加密标识头部；如果文件大小大于加密标识结构体大小，先读取同样大小的文件头与加密标识头部进行比较，相同说明是加密文件；如果文件大小小于加密标识结构体大小，则不做处理。在读取文件时，若是已经加密的文件，首先进行解密操作，在返回给应用程序。在写操作时，首先进行加密处理后在存储到磁盘文件中。具体工作如图4所示：

主要数据结构

在注册为过滤器时，我们需要填写一个名为微过滤器注册结构(FLT_REGISTRATION)的数据结构，其定义如下：

第一个域的Size表示FLT_REGISTRATION结构的大小。

第二个域Version是版本号，对于此域，直接按照惯例填写FLT_REGISTRATION_VERSION。

第三个域Flags是标志位，标记是否要收到这类的操作。有两种设法：一种设法是NULL，不齐任何作用；另一种设法则设置为FLTFL_REGISTRATION_DO_NOT_SUPPORT_SERVICE_STOP，代表当停止服务时Minifilter不会影响且不会调用FilterUnloadCallback，即使FilterUnloadCallback并不是NULL。

第四个域ContextRegistration：上下文注册，注册处理上下文的函数。

第五个域是OperationRegistration：操作回调函数集注册。我们将要过滤的文件操作回调函数写在其中，可以定义所有功能代码对应的回调函数。注册时用到下面的结构体：

MajorFunction域说明要处理的I/O操作，它不能为空。

Flags是标志位。它有三种写法：第一种是些0，这个标志仅仅对读写调用有用；第二种是写FLTFL_OPERATION_REGISTRATION_SKIP_CACHED_IO，表示不过滤缓冲读写请求；第三种是FLTFL_OPERATION_REGISTRATION_SKIP_PAGING_IO，表示不过滤分页读写请求。接下来的两个域是预操作回调函数和后操作回调函数。

Reservedl是为系统使用，必须设置为NULL。

1)微文件系统过滤的注册

注册是向过滤管理器宣告过滤器的存在，注册一股是在驱动程序的入口函数DriverEntry中执行，步骤如下图5所示：

在FltRegisterFilter注册函数中设定我们需要处理的各种IRP操作，具体结构如上面的数据结构介绍。

FltCreateCommunicationPort函数原型如下：

里面有三个回调函数，用于与应用层通信，如下表1所示：

ConnectNotifyCallback	是用户态与内核态建立连接时会调用的函数
		DisconnectNotifyCallback	是用户态与内核态连接结束时会调用的函数
MessageNotifyCallback	是用户态与内核态传递数据时会调用的函数

表1微文件系统过滤注册回调函数说明表

2)文件名获取

获取文件名一般在IRP_MJ_CREATE的后操作回调函数中进行，它是在打开文件时首先执行的过程。调用FltGetFileNameInformation获取一个文件的文件名信息的结构。而在该函数中根据需求的不同可以获取三种文件名信息，函数原型中的NameOptions值如下所示：

FLT_FILE_NAME_NORMALIZED：请求路径全名，包括卷名。所有的短名被扩展成长名。任何流名组件会去掉后边的“:$DATA”。如果这是一个目录名，且不是根目录，最后的“\”，会被去掉。

FLT_FILE_NAME_OPENED：包含全路径，包括卷名。但是这个名字和打开这个对象所用的名字相同。因此可能包含一些短名。

FLT_FILE_NAME_SHORT：仅仅含有路径中最后一个元素的短名，不会包含全路径名。

这该程序中我们需要把他设置成FLT_FILE_NAME_NORMALIZED。

3)刷新进程信息列表

在MessageNotifyCallback这个回调函数中，根据应用层传递的消息码可以处理刷新进程列表，应用层通过自定义结构体的形式传递数据内容，它包括进程名，进程ID，进程是否还存在的标志，是否设为监视进程等信息，在驱动层里有一链表结构，每当收到该消息时，根据进程ID会逐个的在链表中检查每个进程信息，若该链表中不存在该进程就把该进程信息加入到链表节点中；若是有，则比较进程是否存在标志，若是FALSE说明该进程已经不存在，从链表中把该节点删除。

4)如何判断该进程是机密进程

应用程序在传递数据信息的时，每隔一段时间就会刷新进程列表，并把其信息存储在一个结构体中，并把指定的进程标志为加密进程，用一个BOOLEAN型变量来表示，在把结构体信息传到驱动程序里面。而驱动里面也有一个同样的结构体，用链表的形式把每个进程的信息表示为一个节点连接起来，存储所有进程的信息。

首先调用PsGetCurrentProcessId获取当前进程的ID号，然后在进程链表中查找该ID，找到后在根据节点中的机密进程标识符号就可以知道是否是机密进程。

5)如何判断文件加密信息

实现过滤驱动文件系统加密的一个难点就是如何判断该文件是否已经加密了。本系统采用了一种简单的方式，创建一个文件加密标识结构体，在加密文件的文件头部都填充同样内容的结构，这样首先读取文件头的部分内容和其比较就可以判断文件是否是已经加密的了，若相同说明是加密的文件，不同说明是没有加密的文件。

6)创建自己的输入输出请求包

在创建自己的输入输出请求包请求时，只有此过滤器以下的过滤器才能收到这些I/O请求，具体执行过程如下图6所示：

应用层程序打开并读取文件时，在驱动层的IRP_MJ_CREATE的后操作处理函数中应用自定义输入输出请求包读取标志信息结构体大小的数据。

Claims (2)

1.一种文件系统过滤驱动加密实现方法，其特征在于该加密方法具体实现步骤如下：

第一步，驱动程序启动后，首先在打开文件操作返回给应用程序时获取文件名和文件大小，

第二步，随后判断打开文件的进程是否是机密进程打开，如果是机密进程，那么此时进一步判断文件的大小是否是零，若文件的大小是零，且要执行写操作，则首先写入加密标识头部，

第三步，如果文件的大小大于加密标识结构体大小，先从文件头部中读取同样大小的信息与加密标识结构体信息进行比较，相同说明是加密文件；如果文件小于加密标识结构体，则不做处理，

第四步，在读取文件时，若是已经加密的文件，首先进行解密操作，在返回给应用程序，在写操作时，首先判断该文件原先是否是加密文件，如果是，进行加密处理后存储到磁盘文件中，如果不是，则不进行加密处理，直接存储到磁盘文件上。

2.根据权利要求1所述的文件系统过滤驱动加密实现方法，其特征在于第三步所述的先从文件头部中读取同样大小的信息与加密标识结构体信息进行比较，具体实现方法是：

根据自定义的加密标识结构体的大小，从文件头部中读取同样大小的内容，并将它强制转换成加密标识结构体类型，然后把读取的内容与加密标识结构体信息逐个字节比较。

Images