摘 要

随着计算机的普及，以及网络时代的到来，越来越多人在计算机上办公学习，通过互联网分享文件资料，提高了学习办公效率，为生活和工作带来了便利。越来越多的电子文档被储存在计算机和互联网上，随之而来的则是这些文档的安全问题，尤其是那些关系到人们的隐私或者是公司，政府机关的机密文件，它们的泄漏会带来不可估计的损失。所以，人们就信息的安全问题展开了各种研究讨论，并设计出了很多方案，比如文件加密软件，硬盘加密软件，权限管理系统等等，这些软件技术都对信息安全提供了一定的保障。

本文侧重研究分析公司企业内部常用的透明加密系统。此系统的主要特点是可以不妨碍用户平时的操作习惯对文件进行加密解密，加解密的过程中用户不会察觉到，不会妨碍用户的正常操作。因透明加密系统在windows的内核层中运行，所以本文会介绍一些关于windows操作系统内核的相关知识。本文侧重研究微软新一代的微过滤驱动模型Minifilter，最后设计出一个基于微过滤驱动Minifilter的文件透明加密系统。

关键词：透明加密解密 微过滤驱动 windows内核

ABSTRACT

With the popularity of computers, as well as the arrival of the Internet age, more and more people working and studying in the computer, through the Internet to share the file information, improving the efficiency of working and learning, for the convenience of life and work.More and more electronic documents are stored on the computer and the Internet, followed by the security of these documents, especially those related to people's privacy or corporate, government secret documents, and their leaks will Bring in undetectable losses.Therefore, people on the security of information on a variety of research and discussion, and designed a lot of programs, such as file encryption software, hard disk encryption software, and rights management system, etc., these software technologies made a great contribution to the information security protection.

This thesis researches the file transparent encryption technology which company always used.The main feature of this system is that users can not interfere with the usual operating habits of the file encryption and decryption, and encryption and decryption process will be not noticed, will not prevent the normal operation of the user.The transparent encryption system works in the Windows kernel layer, so this thesis will introduce some of the Windows operating system kernel knowledge.This thesis focuses on Microsoft's new generation of micro-filter driver model Minifilter, and ultimately designed a microfilm-driven development framework based on Minifilter file transparent encryption system.

Key words: transparent encryption and decryption, Minifilter, windows kernel

目录

摘要 I

ABSTRACT I

第一章 绪论 1

1.1 课题的研究背景 1

1.2 国内外研究现状 1

1.3 本论文的主要研究工作 2

1.4 本论文的组织结构 3

第二章 文件过滤驱动开发基础知识 4

2.1 Windows内核结构 4

2.2 文件系统过滤驱动 6

2.2.1 过滤驱动的概念 6

2.2.2 文件过滤驱动的工作原理 6

2.3 过滤驱动框架的选择 7

2.3.1 Sfilter框架 8

2.3.2 Minifilter框架 8

第三章 系统的设计与实现 9

3.1 系统设计目的 9

3.2 系统的总体设计 9

3.3 关键技术分析与解决方案 10

3.3.1 进程策略 10

3.3.2 文件缓冲处理 11

3.3.3 加密识别 13

3.4 系统加密机制 14

3.5 具体设计与实现方案 14

3.5.1 Minifilter 驱动的注册 14

3.5.2 文件的打开操作处理 16

3.5.3 文件的读操作处理 17

3.5.4 文件的写操作处理 19

第四章 系统测试 21

第五章 总 结 23

参考文献 24

致谢 25

1. 绪论

1.1 课题的研究背景

随着信息化的时代飞速发展，科技进步的同时给人们带来了全新的办公方式，越来越多的办公将在计算机上进行处理，人们利用office等办公软件代替了传统的纸笔，大量的信息与数据都存储在了计算机上，并可以通过互联网与他人分享。计算机和互联网带给人们很多便利，以及工作生活的效率，但是在信息交换的过程中，出现了很多安全问题，比如病毒的攻击，信息的泄漏等等^[1]。对于个人来说，私人隐私泄漏会给个人带来不可磨灭的影响，可能会使人们脱离原本的人际圈，丢失工作，家庭破裂等等；对于公司企业来说，机密文件的外传会带来不可挽回的经济损失，甚至直接导致破产；对于政府来说，某些重要文件更不能泄露了，事关整个国家，乃至全世界。因此，如何有效保护敏感信息已经在信息安全领域得到了重视^[2]，如何在保证计算机和互联网给人们带来的便利的同时，又能防止信息的泄露，防止个体，公司企业，以及政府的隐私、利益不会受到侵害。
透明加密技术在信息安全领域里应运而生^[3]，由于它特殊的性质，让它在公司企业、政府部门内广泛的应用起来。它的主要特点就是“透明”，即不会阻碍操作者的正常操作习惯，加密解密的过程不会引起操作者的察觉，一切都是“透明”的进行着。当用户打开文件的时候，系统自动解密该文件，关闭的时候系统也会进行自动加密，文件一旦离开了原有带有透明加密系统的环境，由于没有得到透明加密系统的服务支持，就不能解密得到原来的内容，发挥了防止泄漏的作用。而且透明加密和解密的操作是在内存里进行的，文档在硬盘上是以密文形式存在，而在内存中是明文状态，这样也能保证文档信息的安全性。

1.2 国内外研究现状

透明加密技术最早出现是在微软刚发布windows2000系统的时候。微软在推出该系统的同时，还推出了一个windows自带的加密功能EFS（Encrypting File System）,这就是透明加密系统的原型。利用EFS内核驱动级对文件实行透明的加解密的思想带给其他的相关开发人员很大的灵感。透明加密的方式主要从两个方向入手，一个是应用层，另一个是内核级，虽然它们的方式不同，但目的都是做到加解密的透明^[4]。

在应用层要实现透明加密主要是利用windows下的HOOK API技术。Hook翻译成中文的意思是“钩子”，其本质为Windows消息处理机制的一个平台。在用户层的应用程序能利用hook设定一些子程序，通过它们来达到监视目标窗口的目的。当目标窗口的消息来到时，hook就能在处理函数之前将消息处理掉。Hook的工作方式有静态加密、重定向原理两种，工作基本原理为应用程序打开文件的时候，hook进行拦截，拦截到后对其加密处理，随后把加密文件移到到一个临时目录里，通过驱动程序隐藏文件，紧接着解密文件以及将把该临时文件返回给打开文件的进程，通过以上操作后打开的看到的内容就是明文了。关闭文件时hook也将其拦截，随后把明文的临时文件加密，再复制回来替换掉原文件。重定向定义为打开文件的时候，把加密文件复制一个临时文件，把这临时文件移到隐藏的地址，随后将其解密打开，保存的时候再将临时文件加密替换掉原文件^[5]。重定向原理的加密根本上是利用临时文件来操作的，但有一缺点，为保障明文与密文是相对应的，用户存盘和系统自动存盘的时候，一定要整体加密复制文件到用户文件原来存储的位置，所以该方法的效率低下。另外，由于病毒常常利用HOOK API技术进行入侵，很多程序软件会有反HOOK设置，一旦检测到了HOOK入侵就会自动停止运行或者进行相关的报错警告。从这些方面透露出了HOOK API技术的弊端，现在国内外的透明加密开发人员也逐渐的从HOOK API转向了过滤驱动。