專利名稱:基于信息密級標(biāo)識的多級域防護(hù)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域�����,尤其是指一種基于信息密級標(biāo)識的多級域防護(hù)方法及系統(tǒng)�����。
背景技術(shù):
社會的信息化���,給大家?guī)肀憬莸耐瑫r���,也帶來了眾多安全威脅。出于安全考慮��,涉密網(wǎng)絡(luò)通常按照不同的密級進(jìn)行安全域劃分,按照國家要求�,必須采取可靠技術(shù),嚴(yán)禁高密級信息流向低密級域����。而在企業(yè)內(nèi)網(wǎng)中所涉及的眾多商業(yè)機(jī)密,也需要控制在最小的知悉范圍����,防止信息泄露?���;诿芗墭?biāo)識的安全域管理和信息流向控制是解決該問題的方向與關(guān)鍵。目前在多級安全域領(lǐng)域����,尚無完善的技術(shù)可以完美解決該問題��,但在可信計(jì)算機(jī)數(shù)據(jù)安全以及文件加密等相關(guān)領(lǐng)域獲采用了文件系統(tǒng)過濾驅(qū)動技術(shù)來保障數(shù)據(jù)安全�����。例如��,一申請?zhí)枮?00610096441. 1,名稱為“一種計(jì)算機(jī)數(shù)據(jù)安全防護(hù)方法”的中國發(fā)明專利就公開了一種利用微軟內(nèi)核操作系統(tǒng)的驅(qū)動框架�,采用改進(jìn)型文件系統(tǒng)過濾驅(qū)動技術(shù),將文件過濾驅(qū)動模塊嵌入到I/o管理器和文件系統(tǒng)驅(qū)動層模塊之間����,通過電子鑰匙中的密鑰和用戶登錄密碼來確認(rèn)登錄用戶的合法性,然后I/o管理器將數(shù)據(jù)包傳輸?shù)轿募^濾驅(qū)動模塊���,進(jìn)行加解密認(rèn)證處理����,再轉(zhuǎn)交到文件系統(tǒng)驅(qū)動層模塊����,從而實(shí)現(xiàn)對于合法用戶完全透明的計(jì)算機(jī)數(shù)據(jù)安全防護(hù)。缺點(diǎn)1:該發(fā)明單純的應(yīng)用于計(jì)算機(jī)數(shù)據(jù)安全保護(hù)��,無法實(shí)現(xiàn)細(xì)粒度控制����,沒有實(shí)現(xiàn)對不同密級的信息分級保護(hù),造成只要有電子鑰匙的用戶均能訪問各種級別的涉密信
肩��、O缺點(diǎn)2 :沒有實(shí)現(xiàn)對信息在多級安全域流通過程中的信息監(jiān)控���、攔截�����,更沒有提供實(shí)時監(jiān)控報(bào)警裝置�,來防止信息泄露。缺點(diǎn)3 :沒有實(shí)現(xiàn)用戶行為的審計(jì)��,對于信息泄露事故���,將無法進(jìn)行審計(jì)�����,從而無法實(shí)現(xiàn)責(zé)任制����。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服了上述缺陷����,提供一種基于信息密級標(biāo)識的多級域防護(hù)方法及系統(tǒng)��。本發(fā)明的目的是這樣實(shí)現(xiàn)的本發(fā)明的有益效果在于基于包括創(chuàng)建者標(biāo)識���、文件標(biāo)識及域安全級別標(biāo)識的密級標(biāo)識實(shí)現(xiàn)對涉密文件的動態(tài)加密/解密���,從而實(shí)現(xiàn)合法用戶的細(xì)粒度訪問�����,解決不同密級的信息從生成-訪問-流通-銷毀這一系列過程中所存在的信息泄露威脅�����。
下面結(jié)合附圖詳述本發(fā)明的具體結(jié)構(gòu)圖1為本發(fā)明的體系框架以及組成模塊���;
圖2為本發(fā)明的通過認(rèn)證用戶創(chuàng)建密文的具體流程示意圖;圖3為本發(fā)明的用戶訪問密文的具體流程示意圖����;圖4為本發(fā)明的密文流通控制的具體流程示意圖。
具體實(shí)施例方式為詳細(xì)說明本發(fā)明的技術(shù)內(nèi)容�、構(gòu)造特征、所實(shí)現(xiàn)目的及效果���,以下結(jié)合實(shí)施方式并配合附圖詳予說明���。本發(fā)明提供了一種基于信息密級標(biāo)識的多級域防護(hù)方法��,通過在內(nèi)核操作系統(tǒng)的驅(qū)動框架的I/o管理器與文件驅(qū)動系統(tǒng)層之間嵌入文件系統(tǒng)過濾層以執(zhí)行包括���,通過認(rèn)證用戶創(chuàng)建密文包括在收到寫的I/O請求包的請求后,向文件系統(tǒng)驅(qū)動層發(fā)送寫的I/O請求包(IRP-1/0 Request Pcaket)的請求�,從而在待加密文件的中(例如通常最方便的是在文件頭)加入密級標(biāo)識(最佳的是一個擁有固定長度的密級標(biāo)識)再通過加密算法加密后將其以密文形式保存在物理磁盤上的步驟,本步驟實(shí)現(xiàn)了動態(tài)透明加密���。上述加密算法包括在密級標(biāo)識中�����,密級標(biāo)識還應(yīng)當(dāng)至少包括有創(chuàng)建者標(biāo)識��、文件標(biāo)識及域安全級別標(biāo)識���,所述域安全級別標(biāo)識與創(chuàng)建用戶自身所在域相對應(yīng),所述創(chuàng)建者標(biāo)識與創(chuàng)建用戶自身的權(quán)限級別相對應(yīng)��。上述創(chuàng)建者標(biāo)識以創(chuàng)建時間命名��,如此的好處是使得創(chuàng)建者標(biāo)識在作為文件標(biāo)識的同時也明確了文件的創(chuàng)建時間����。 最佳的,密級標(biāo)識包括文件標(biāo)識(ID標(biāo)識)、創(chuàng)建者標(biāo)識���、修改者標(biāo)識�����、最后讀取者標(biāo)識����,權(quán)限信息標(biāo)識����、域安全級別標(biāo)識、加密算法��、文件長度(L)����。對應(yīng)的,若用戶成功訪問涉密文件��,在訪問后用戶端會對密級標(biāo)識中的最后讀取者標(biāo)識進(jìn)行更新��,更新為當(dāng)前訪問的用戶�����,以便后續(xù)用戶行為審計(jì)時監(jiān)控。用戶訪問密文用戶要訪問密文時����,文件系統(tǒng)過濾層主動提取待訪問密文的密級標(biāo)識與訪問用戶的權(quán)限比較,從而判斷用戶是否具有瀏覽該文件的權(quán)限���,以便決定是否往文件系統(tǒng)驅(qū)動層發(fā)送IRP來完成涉密信息的讀取與解密�,當(dāng)且僅當(dāng)密級標(biāo)識與訪問用戶的權(quán)限匹配時向數(shù)據(jù)文件系統(tǒng)驅(qū)動層發(fā)送讀的I/O請求包的請求讀取密文然后解密的步驟��。最佳的��,上述加密算法采用密鑰加密�����,所述創(chuàng)建密文與訪問密文中的加密���、解密的密鑰由服務(wù)端分發(fā)��。如上所述����,本發(fā)明利用微軟內(nèi)核操作系統(tǒng)的驅(qū)動框架,嵌入文件系統(tǒng)過濾層����,設(shè)置在服務(wù)端的密鑰管理�����,結(jié)合訪問控制策略���,構(gòu)造成一個信息控制引擎����,實(shí)現(xiàn)涉密信息的動態(tài)透明加解密與細(xì)粒度訪問控制�����,并保證了涉密信息一旦離開該平臺����,將因缺失密鑰管理模塊而無法被明文打開?�?梢?���,信息控制引擎是整個防護(hù)系統(tǒng)的基礎(chǔ)��。密文流通控制�����,包括多級域信息流向控制��,當(dāng)密文在多級域中流通時����,通過劫持密文然后根據(jù)訪問策略比較密文的密級標(biāo)識中的域安全級別標(biāo)識是否高于當(dāng)前流通域����,高于則對密文執(zhí)行攔截,否則對密文執(zhí)行轉(zhuǎn)發(fā)/放行的步驟�;同級域信息流向控制,當(dāng)密文在同一級域中流通時�����,通過劫持密文然后根據(jù)訪問策略比較密文的密級標(biāo)識中的創(chuàng)建者標(biāo)識是否高于接收用戶�����,高于則對密文執(zhí)行攔截,否則對密文執(zhí)行放行/轉(zhuǎn)發(fā)的步驟���。最佳的����,密文流通控制在安全網(wǎng)關(guān)的截獲下實(shí)現(xiàn)控制��。由此����,若是使用者通過U盤等外部接口��,移走密文�����,如果是在離開該系統(tǒng)的機(jī)子上運(yùn)行����,將由于沒由服務(wù)端分發(fā)的密鑰而無法打開。如果是拷到別的域或者是拷到同一個域的機(jī)子�����,由于在解密過程中,會對域級別與信息密級標(biāo)識進(jìn)行判斷��,從而造成不符合要求的人打開失敗����。用戶行為審計(jì),包括根據(jù)密文的密級標(biāo)識中文件標(biāo)識為身份標(biāo)識進(jìn)行用戶行為的日志審計(jì)與危險(xiǎn)操作下發(fā)出報(bào)警的步驟����,做到責(zé)任可追查及實(shí)時監(jiān)控。在整個過程中���,用戶行為審計(jì)會通過關(guān)聯(lián)文件標(biāo)識(ID標(biāo)識)進(jìn)行跟蹤���,當(dāng)用戶發(fā)
生讀、寫����、修改、流通等操作時候�,寫入服務(wù)端審計(jì)數(shù)據(jù)庫,對會產(chǎn)生信息泄露的操作進(jìn)行報(bào)
m
目O如圖1為上述方法得以執(zhí)行的一種系統(tǒng)實(shí)體架構(gòu)示意圖���,本發(fā)明適用于C/S架構(gòu)����,通過SSL安全通道連接用戶端與服務(wù)端,實(shí)現(xiàn)涉密文件的細(xì)粒度訪問以及安全域管理與信息流向控制��,各模塊功能如下利用自檢掃描系統(tǒng)�,在域管理模塊進(jìn)行計(jì)算機(jī)、設(shè)備的識別����,綁定IP/MAC�,界面化展示整個區(qū)域網(wǎng)絡(luò)架構(gòu)、PC����、服務(wù)器及相關(guān)設(shè)備,是整個域管理的基礎(chǔ)���,將劃分不同安全級別的域給予形象的展示�。用戶認(rèn)證模塊�����,在用戶注冊時,管理員根據(jù)最小化原則�����,賦予某一級別權(quán)限����,包括絕密、機(jī)密����、秘密、敏感����、公開;在用戶登錄時��,通過頁面重定向�,強(qiáng)制用戶通過SSL安全機(jī)制實(shí)現(xiàn)握手認(rèn)證,建立通信安全通道�。在已認(rèn)證用戶讀取涉密信息時,就可以根據(jù)該用戶權(quán)限���,實(shí)現(xiàn)細(xì)粒度訪問�。信息控制引擎,利用Windows內(nèi)核的驅(qū)動框架����,采用改進(jìn)型文件系統(tǒng)過濾驅(qū)動技術(shù),在I/O管理器與文件驅(qū)動系統(tǒng)層之間嵌入文件系統(tǒng)過濾層���,通過文件系統(tǒng)過濾層將密級標(biāo)識附加于信息頭部�����,并對讀寫過程中的驅(qū)動層之間傳遞的IRP數(shù)據(jù)包進(jìn)行截獲與過濾等相應(yīng)操作�,結(jié)合服務(wù)端的密鑰管理模塊�,實(shí)現(xiàn)動態(tài)透明加解密。用戶創(chuàng)建文件或被確認(rèn)對該文件有讀權(quán)限時����,系統(tǒng)在內(nèi)核層創(chuàng)建信息密級標(biāo)識鏈表用來關(guān)聯(lián)權(quán)限��,提高讀取效率��。日志審計(jì)模塊�,密級標(biāo)識中的文件標(biāo)識(ID)作為涉密信息的唯一身份標(biāo)識,系統(tǒng)通過關(guān)聯(lián)ID�,實(shí)現(xiàn)對信息從生成-訪問-流通-銷毀這一系列過程進(jìn)行跟蹤��,形成日志記錄����,并對用戶的違規(guī)操作進(jìn)行彈框報(bào)警�����,達(dá)到實(shí)時監(jiān)控與責(zé)任追求的目的����。密鑰管理模塊內(nèi)核是通過多個IRP讀寫命令來完成對文件的讀寫,由于每次讀寫信息的加解密操作都不可以改變信息長度�,因此需要采用對稱加密算法,而加\解密所需要的密鑰就是通過服務(wù)端的密鑰管理模塊來獲取��。該系統(tǒng)可以支持多種加密算法�,用戶可以根據(jù)自己的需要,在策略配置時��,選擇相應(yīng)的加密算法���。實(shí)施例上述通過認(rèn)證用戶創(chuàng)建密文,參見圖2,在一個實(shí)施例中可具體包括步驟Al)�����、通過頁面重定向(是一種普通的強(qiáng)制認(rèn)證的方式)��,強(qiáng)制用戶通過SSL安全機(jī)制實(shí)現(xiàn)握手認(rèn)證�����,建立通信安全通道�,連接服務(wù)端;
A2)�、用戶端應(yīng)用程序(用戶用于打開涉密信息的應(yīng)用軟件,例如word)調(diào)用操作系統(tǒng)讀寫信息函數(shù)(如CreateFile函數(shù)����,即是windows框架里的讀寫信息時候要調(diào)用到的函數(shù))向I/O管理器發(fā)送IRP_MJ_WRITE寫請求;A3)�、I/0管理器提取進(jìn)程名稱、存儲路徑��、開始地址�、數(shù)據(jù)長度���、待存儲數(shù)據(jù)等構(gòu)造寫請求對應(yīng)的I/O請求包(IRP)�����,并將該IRP發(fā)送到文件系統(tǒng)過濾層��;A4)�����、文件系統(tǒng)過濾驅(qū)動層收到數(shù)據(jù)包后��,主動向文件系統(tǒng)驅(qū)動層發(fā)送一次IRP寫請求���,請求在待加密文件的文件頭加入密級標(biāo)識�,同時在本地對應(yīng)用戶創(chuàng)建密級標(biāo)識鏈表用于保存上述密級標(biāo)識����,并其更新至服務(wù)端,根據(jù)密級標(biāo)識中的加密算法完成加密��;本步驟中����,由于要將正常的寫過程先掛起,再由文件系統(tǒng)過濾驅(qū)動層完成添加密級標(biāo)識的過程�,所以文件系統(tǒng)過濾驅(qū)動層收到數(shù)據(jù)包后,需要主動的向文件系統(tǒng)驅(qū)動層發(fā)送一次IRP寫請求�����。A5)、文件系統(tǒng)過濾驅(qū)動層將添加了密級標(biāo)識��,并聯(lián)合服務(wù)端完成的加密后的IRP數(shù)據(jù)包發(fā)送給文件驅(qū)動系統(tǒng)�,并最終該帶有密級標(biāo)識的涉密信息以密文形式保存(例如寫入物理磁盤保存)。而用戶訪問密文的實(shí)施例則參見圖3�����,具體包括步驟BI)�、通過頁面重定向,強(qiáng)制用戶通過SSL安全機(jī)制實(shí)現(xiàn)握手認(rèn)證����,建立通信安全通道,連接服務(wù)端����;B2)、用戶端應(yīng)用程序調(diào)用系統(tǒng)內(nèi)核組建提供的函數(shù)接口向I/O管理器發(fā)送RP_MJ_READ讀請求�����;B3)���、I/O管理器提取進(jìn)程名稱��、存儲路徑�、開始地址�����、數(shù)據(jù)長度等構(gòu)造讀請求對應(yīng)的IRP�����,并將該IRP發(fā)送到文件系統(tǒng)過濾層���,等待讀取返回的密文�;B4)����、過濾驅(qū)動層向文件系統(tǒng)驅(qū)動層發(fā)送密級標(biāo)識讀取指令(IRP_QUERY_INF0),獲取本次訪問密文的密級標(biāo)識;B5)�、將密級標(biāo)識中的文件標(biāo)識與用戶的密級標(biāo)識鏈表對比,若密級標(biāo)識鏈表中已有��,則繼續(xù)步驟,若無��,則進(jìn)行權(quán)限的對比����,若創(chuàng)建者標(biāo)識高于接收用戶權(quán)限則返回錯誤,否則將此密文更新到密級標(biāo)識鏈表并同步到服務(wù)端然后繼續(xù)步驟���;B6)��、文件系統(tǒng)過濾驅(qū)動層將IRP發(fā)送給文件系統(tǒng)過濾層����;B7)��、文件系統(tǒng)驅(qū)動層接收到數(shù)據(jù)后將本次訪問密文讀出并返回給文件系統(tǒng)過濾層���;B8 )���、文件系統(tǒng)過濾層接收到返回的密文后,按照密級標(biāo)識中的加密算法解密��,并將解密后的數(shù)據(jù)傳給I/o管理器�����;B9)、I/O管理器將該數(shù)據(jù)傳給用戶端應(yīng)用程序接口��,完成讀請求�����。涉密機(jī)構(gòu)或企業(yè)內(nèi)網(wǎng)�����,出于保密需求���,都會根據(jù)自身需要劃分不同級別的安全域,并根據(jù)最小化原則����,賦予用戶不同的角色以及對應(yīng)的權(quán)限。因此�,參見圖4,對于密文流通控制中����,特別是多級域信息流向控制的訪問策略可以進(jìn)一步包括步驟Cl)����、比較密文的密級標(biāo)識中的域安全級別標(biāo)識與當(dāng)前流通域的安全級別高低��,高則執(zhí)行攔截����,否則繼續(xù)步驟;C2)�����、判斷接收用戶是否是擁有訪問該密文的權(quán)限�,是則繼續(xù)步驟,否則返回錯
C3 )����、對密文執(zhí)行放行/轉(zhuǎn)發(fā)。通過對創(chuàng)建者級別���、域安全級別���、信息秘密級別(文件標(biāo)識)進(jìn)行細(xì)分,輔以如上所述的訪問控制策略�����,通過信息控制引擎與服務(wù)端,實(shí)現(xiàn)對涉密信息的細(xì)粒度訪問���,杜絕涉密信息由高密級域流向低密級域�。本發(fā)明還提供了一種基于信息密級標(biāo)識的多級域防護(hù)的系統(tǒng)����,通過在內(nèi)核操作系統(tǒng)的驅(qū)動框架的I/o管理器與文件驅(qū)動系統(tǒng)層之間嵌入文件系統(tǒng)過濾層��,文件系統(tǒng)過濾層包括通過認(rèn)證用戶創(chuàng)建密文模塊��,用于在收到寫的I/O請求包請求后�����,向文件系統(tǒng)驅(qū)動層發(fā)送寫的I/o請求包請求�����,從而在待加密文件中加入密級標(biāo)識再通過加密算法加密后將其以密文形式保存����;上述加密算法包括在密級標(biāo)識中����,密級標(biāo)識還包括有創(chuàng)建者標(biāo)識�、文件標(biāo)識及域安全級別標(biāo)識,所述域安全級別標(biāo)識與創(chuàng)建用戶自身所在域相對應(yīng)���,所述創(chuàng)建者標(biāo)識與創(chuàng)建用戶自身的權(quán)限級別相對應(yīng)����;用戶訪問密文模塊���,包括主動提取待訪問密文的密級標(biāo)識與訪問用戶的權(quán)限比較�����,僅當(dāng)密級標(biāo)識與訪問用戶的權(quán)限匹配時向數(shù)據(jù)文件系統(tǒng)驅(qū)動層發(fā)送讀的I/o請求包請求讀取密文然后解密����;密文流通控制模塊���,包括���,多級域信息流向控制單元�����,用于當(dāng)密文在多級域中流通時�,通過劫持密文然后根據(jù)訪問策略中的比較密文的密級標(biāo)識中的域安全級別標(biāo)識是否高于當(dāng)前流通域��,高于則對密文執(zhí)行攔截�����,否則對密文執(zhí)行放行/轉(zhuǎn)發(fā)�����;同級域信息流向控制單元��,用于當(dāng)密文在同一級域中流通時����,通過劫持密文然后根據(jù)訪問策略比較密文的密級標(biāo)識中的創(chuàng)建者標(biāo)識是否高于接收用戶�,是則對密文執(zhí)行攔截,否則對密文執(zhí)行放行/轉(zhuǎn)發(fā)����;用戶行為審計(jì)模塊��,用于根據(jù)密文的密級標(biāo)識中文件標(biāo)識為身份標(biāo)識進(jìn)行用戶行為的日志審計(jì)與危險(xiǎn)操作下發(fā)出報(bào)警��。較佳的���,上述通過認(rèn)證用戶創(chuàng)建密文模塊具體包括通信連接單元,用于通過頁面重定向��,強(qiáng)制用戶通過SSL安全機(jī)制實(shí)現(xiàn)握手認(rèn)證�����,建立通信安全通道����,連接服務(wù)端然后轉(zhuǎn)到寫請求單元;寫請求單元����,用于當(dāng)用戶端應(yīng)用程序調(diào)用操作系統(tǒng)讀寫信息函數(shù)向I/O管理器發(fā)送寫請求;寫請求反饋單元���,用于當(dāng)收到寫請求單元的寫請求后�,I/O管理器提取進(jìn)程名稱、存儲路徑���、開始地址���、數(shù)據(jù)長度、待存儲數(shù)據(jù)等構(gòu)造寫請求對應(yīng)的I/O請求包���,并將該I/O請求包發(fā)送到文件系統(tǒng)過濾層��;密文創(chuàng)建單元�,用于文件系統(tǒng)過濾驅(qū)動層收到數(shù)據(jù)包后��,主動向文件系統(tǒng)驅(qū)動層發(fā)送一次I/o請求包的寫請求����,請求在待加密文件的文件頭加入密級標(biāo)識��,同時對應(yīng)用戶創(chuàng)建密級標(biāo)識鏈表用于保存上述密級標(biāo)識�����,并其更新至服務(wù)端���,根據(jù)密級標(biāo)識中的加密算法完成加密���;密文處理單元�����,用于當(dāng)密文創(chuàng)建單元完成加密后���,文件系統(tǒng)過濾驅(qū)動層將加密后的IRP數(shù)據(jù)包發(fā)送給文件驅(qū)動系統(tǒng),并最終該帶有密級標(biāo)識的涉密信息以密文形式保存��。
較佳的�����,上述用戶訪問密文模塊具體包括通信連接單元�,用于通過頁面重定向,強(qiáng)制用戶通過SSL安全機(jī)制實(shí)現(xiàn)握手認(rèn)證�,建立通信安全通道,連接服務(wù)端然后轉(zhuǎn)到讀請求單元�;讀請求單元,用于當(dāng)用戶端應(yīng)用程序調(diào)用系統(tǒng)內(nèi)核組建提供的函數(shù)接口向I/O管理器發(fā)送讀請求�;讀反饋單元,用于當(dāng)收到讀請求單元的讀請求后嗎�����,I/O管理器提取進(jìn)程名稱、存儲路徑��、開始地址���、數(shù)據(jù)長度等構(gòu)造讀請求對應(yīng)的I/O請求包����,并將該I/O請求包發(fā)送到文件系統(tǒng)過濾層����,等待讀取返回的密文然后轉(zhuǎn)至密級標(biāo)識獲取單元;密級標(biāo)識獲取單元��,用于過濾驅(qū)動層向文件系統(tǒng)驅(qū)動層發(fā)送密級標(biāo)識讀取指令�����,獲取本次訪問密文的密級標(biāo)識����;密級識別單元���,用于在密級標(biāo)識獲取單元獲取密文的密級標(biāo)識后�,將密級標(biāo)識中的文件標(biāo)識與用戶的密級標(biāo)識鏈表對比,若密級標(biāo)識鏈表中已有����,則繼續(xù)步驟,若無��,則進(jìn)行權(quán)限的對比����,若創(chuàng)建者標(biāo)識高于接收用戶權(quán)限則返回錯誤,否則將此密文更新到密級標(biāo)識鏈表并同步到服務(wù)端然后轉(zhuǎn)到文件系統(tǒng)過濾層請求單元�����;文件系統(tǒng)過濾層請求單元��,用于文件系統(tǒng)過濾驅(qū)動層將I/O請求包發(fā)送給文件系統(tǒng)過濾層���;文件系統(tǒng)過濾層響應(yīng)單元��,用于在收到文件系統(tǒng)過濾層請求單元的I/O請求包后���,文件系統(tǒng)驅(qū)動層將本次訪問密文讀出并返回給文件系統(tǒng)過濾層�;I/O管理器請求單元����,用于在文件系統(tǒng)過濾層反饋單元返回密文后,文件系統(tǒng)過濾層接收到返回的密文�����,按照密級標(biāo)識中的加密算法解密����,并將解密后的數(shù)據(jù)傳給I/o管理器;I/O管理器響應(yīng)單元��,用于在I/O管理器請求單元解密密文后�,由I/O管理器將該數(shù)據(jù)傳給用戶端應(yīng)用程序接口,完成讀請求����。最佳的,上述系統(tǒng)中各模塊�、單元之間鎖采用的加密算法采用密鑰加密,所述創(chuàng)建密文與訪問密文中的加密��、解密的密鑰由服務(wù)端分發(fā)��。綜上所述�����,對應(yīng)背景技術(shù)所述的現(xiàn)有技術(shù)的3項(xiàng)不足��,本發(fā)明的有益效果在于1��、針對第一個缺陷�����,本發(fā)明采用的技術(shù)是文件系統(tǒng)過濾驅(qū)動層收到數(shù)據(jù)包后�,主動向文件系統(tǒng)驅(qū)動層發(fā)送一次IRP寫請求,請求在文件頭加入固定長度的密級標(biāo)識���,由于密級標(biāo)識中包含有秘密級別��,根據(jù)創(chuàng)建用戶的級別默認(rèn)自動賦予對應(yīng)的信息密級����,從而實(shí)現(xiàn)了信息密級細(xì)粒度劃分����,再根據(jù)之前描述的讀與流通流程����,就可以實(shí)現(xiàn)細(xì)粒度訪問�,克服背景技術(shù)里不能實(shí)現(xiàn)細(xì)粒度劃分與細(xì)粒度訪問的缺陷。2���、針對第二個缺陷���,如前所述,由于密級標(biāo)識至少中包含有三個標(biāo)識�����,分別是密級標(biāo)識���、域安全級別�����、創(chuàng)建者標(biāo)識����。在服務(wù)端�����,管理員根據(jù)工作需要結(jié)合最小化原則賦予用戶權(quán)限,產(chǎn)生創(chuàng)建者標(biāo)識以及其所在域�;企業(yè)或涉密機(jī)構(gòu)根據(jù)安全級別不同進(jìn)行網(wǎng)絡(luò)區(qū)域劃分并��,在域管理模塊中通過自掃描系統(tǒng)實(shí)現(xiàn)形象化展示并用二進(jìn)制標(biāo)識域的安全級別����;密級標(biāo)識是通過文件系統(tǒng)過濾驅(qū)動層添加進(jìn)去,里面包含文件標(biāo)識�����、創(chuàng)建者標(biāo)識���、修改者標(biāo)識�、最后讀取者標(biāo)識����,權(quán)限信息標(biāo)識、域安全級別標(biāo)識��、加密算法�、文件長度���。當(dāng)對文件信息進(jìn)行操作,包括創(chuàng)建�、讀取、修改����、流通,都會導(dǎo)致密級標(biāo)識的更新(主要指的是密級標(biāo)識中最后讀取者標(biāo)識)����,將這更新的內(nèi)容同步到服務(wù)端審計(jì)數(shù)據(jù)庫,就能達(dá)到信息跟蹤的目的����。對比密級標(biāo)識、域安全級別����、創(chuàng)建者標(biāo)識,當(dāng)出現(xiàn)可能造成信息泄露的操作發(fā)生時候���,既進(jìn)行了無權(quán)限操作�����,將該操作通過密集標(biāo)識更新到審計(jì)數(shù)據(jù)庫��,同時彈出報(bào)警警告��。3�����、針對第三個缺陷���,由于本發(fā)明實(shí)現(xiàn)了信息從生成-訪問-流通-銷毀這一系列過程的全過程跟蹤標(biāo)識,并記錄到審計(jì)數(shù)據(jù)庫中�����,因此在出現(xiàn)安全事故時候���,可以導(dǎo)出審查���,做到責(zé)任追究。以上所述僅為本發(fā)明的實(shí)施例��,并非因此限制本發(fā)明的專利范圍,凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換����,或直接或間接運(yùn)用在其他相關(guān)的技術(shù)領(lǐng)域,均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)�����。
權(quán)利要求
1.一種基于信息密級標(biāo)識的多級域防護(hù)方法����,其特征在于通過在內(nèi)核操作系統(tǒng)的驅(qū)動框架的I/o管理器與文件驅(qū)動系統(tǒng)層之間嵌入文件系統(tǒng)過濾層以執(zhí)行包括, 通過認(rèn)證用戶創(chuàng)建密文��, 包括在收到寫的I/o請求包請求后�,向文件系統(tǒng)驅(qū)動層發(fā)送寫的I/O請求包請求,從而在待加密文件中加入密級標(biāo)識再通過加密算法加密后將其以密文形式保存的步驟�;其中,所述密級標(biāo)識包括有創(chuàng)建者標(biāo)識����、文件標(biāo)識及域安全級別標(biāo)識,所述域安全級別標(biāo)識與創(chuàng)建用戶所在域相對應(yīng)�����,所述創(chuàng)建者標(biāo)識與創(chuàng)建用戶的權(quán)限級別相對應(yīng); 用戶訪問密文���,包括����, 主動提取待訪問密文的密級標(biāo)識與訪問用戶的權(quán)限比較��,僅當(dāng)密級標(biāo)識與訪問用戶的權(quán)限匹配時向數(shù)據(jù)文件系統(tǒng)驅(qū)動層發(fā)送讀的I/o請求包請求讀取密文然后解密的步驟��;密文流通控制����,包括, 多級域信息流向控制�,當(dāng)密文在多級域中流通時��,通過劫持密文然后根據(jù)訪問策略比較密文的密級標(biāo)識中的域安全級別標(biāo)識是否高于當(dāng)前流通域��,高于則對密文執(zhí)行攔截�,否則對密文執(zhí)行放行/轉(zhuǎn)發(fā)的步驟; 同級域信息流向控制�����,當(dāng)密文在同一級域中流通時,通過劫持密文然后根據(jù)訪問策略比較密文的密級標(biāo)識中的創(chuàng)建者標(biāo)識是否高于接收用戶���,是則對密文執(zhí)行攔截�,否則對密文執(zhí)行放行/轉(zhuǎn)發(fā)的步驟�����; 用戶行為審計(jì)�����,包括�, 根據(jù)密文的密級標(biāo)識中文件標(biāo)識為身份標(biāo)識進(jìn)行用戶行為的日志審計(jì)與危險(xiǎn)操作下發(fā)出報(bào)警的步驟。
2.如權(quán)利要求1所述的基于信息密級標(biāo)識的多級域防護(hù)方法�,其特征在于所述通過認(rèn)證用戶創(chuàng)建密文具體包括步驟, Al)����、通過頁面重定向,強(qiáng)制用戶通過SSL安全機(jī)制實(shí)現(xiàn)握手認(rèn)證�,建立通信安全通道,連接服務(wù)端��; A2)����、用戶端調(diào)用操作系統(tǒng)讀寫信息函數(shù)向I/O管理器發(fā)送寫請求����; A3)�����、I/0管理器提取進(jìn)程名稱����、存儲路徑、開始地址���、數(shù)據(jù)長度����、待存儲數(shù)據(jù)等構(gòu)造寫請求對應(yīng)的I/O請求包�,并將該I/O請求包發(fā)送到文件系統(tǒng)過濾層�����; A4)���、文件系統(tǒng)過濾驅(qū)動層收到數(shù)據(jù)包后���,主動向文件系統(tǒng)驅(qū)動層發(fā)送一次I/O請求包的寫請求�����,請求在待加密文件的文件頭加入密級標(biāo)識�,同時對應(yīng)用戶創(chuàng)建密級標(biāo)識鏈表用于保存上述密級標(biāo)識�����,并將密級標(biāo)識鏈表更新至服務(wù)端�����,根據(jù)密級標(biāo)識中的加密算法完成加密����; A5)、文件系統(tǒng)過濾驅(qū)動層將加密后的IRP數(shù)據(jù)包發(fā)送給文件驅(qū)動系統(tǒng)�����,并最終該帶有密級標(biāo)識的涉密信息以密文形式保存�����。
3.如權(quán)利要求2所述的基于信息密級標(biāo)識的多級域防護(hù)方法,其特征在于所述用戶訪問密文具體包括步驟�����, BI)��、通過頁面重定向��,強(qiáng)制用戶通過SSL安全機(jī)制實(shí)現(xiàn)握手認(rèn)證�,建立通信安全通道,連接服務(wù)端���; B2)�、用戶端應(yīng)用程序調(diào)用系統(tǒng)內(nèi)核組建提供的函數(shù)接口向I/O管理器發(fā)送讀請求��; B3)��、I/O管理器提取進(jìn)程名稱�����、存儲路徑�、開始地址、數(shù)據(jù)長度等構(gòu)造讀請求對應(yīng)的I/O請求包�����,并將該I/O請求包發(fā)送到文件系統(tǒng)過濾層��,等待讀取返回的密文����; B4)、過濾驅(qū)動層向文件系統(tǒng)驅(qū)動層發(fā)送密級標(biāo)識讀取指令���,獲取本次訪問密文的密級標(biāo)識�����; B5)����、將密級標(biāo)識中的文件標(biāo)識與用戶的密級標(biāo)識鏈表對比�����,若密級標(biāo)識鏈表中已有����,則繼續(xù)步驟�,若無��,則進(jìn)行權(quán)限的對比��,若創(chuàng)建者標(biāo)識高于接收用戶權(quán)限則返回錯誤�,否則將此密文更新到密級標(biāo)識鏈表并同步到服務(wù)端然后繼續(xù)步驟; B6)��、文件系統(tǒng)過濾驅(qū)動層將I/O請求包發(fā)送給文件系統(tǒng)過濾層�; B7 )、文件系統(tǒng)驅(qū)動層接收到數(shù)據(jù)后將本次訪問密文讀出并返回給文件系統(tǒng)過濾層�����; B8)�����、文件系統(tǒng)過濾層接收到返回的密文后��,按照密級標(biāo)識中的加密算法解密�,并將解密后的數(shù)據(jù)傳給I/O管理器; B9)、I/O管理器將解密后的數(shù)據(jù)傳給用戶端應(yīng)用程序接口��,完成讀請求����。
4.如權(quán)利要求1所述的基于信息密級標(biāo)識的多級域防護(hù)方法���,其特征在于所述密文流通控制中多級域信息流向控制進(jìn)一步包括步驟�, Cl)�、比較密文的密級標(biāo)識中的域安全級別標(biāo)識與當(dāng)前流通域的安全級別高低,高則執(zhí)行攔截��,否則繼續(xù)步驟���; C2)��、判斷接收用戶是否是擁有訪問該密文的權(quán)限�,是則繼續(xù)步驟��,否則返回錯誤��; C3)�、對密文執(zhí)行放行/轉(zhuǎn)發(fā)。
5.如權(quán)利要求1-4任意一項(xiàng)所述的基于信息密級標(biāo)識的多級域防護(hù)方法,其特征在于所述加密算法采用密鑰加密�,所述創(chuàng)建密文與訪問密文中的加密、解密的密鑰由服務(wù)端分發(fā)���。
6.一種基于信息密級標(biāo)識的多級域防護(hù)的系統(tǒng)�,其特征在于通過在內(nèi)核操作系統(tǒng)的驅(qū)動框架的I/O管理器與文件驅(qū)動系統(tǒng)層之間嵌入文件系統(tǒng)過濾層�,文件系統(tǒng)過濾層包括 通過認(rèn)證用戶創(chuàng)建密文模塊,用于在收到寫的I/o請求包請求后�����,向文件系統(tǒng)驅(qū)動層發(fā)送寫的I/o請求包請求����,從而在待加密文件中加入密級標(biāo)識再通過加密算法加密后將其以密文形式保存; 上述加密算法包括在密級標(biāo)識中���,密級標(biāo)識還包括有創(chuàng)建者標(biāo)識��、文件標(biāo)識及域安全級別標(biāo)識�����,所述域安全級別標(biāo)識與創(chuàng)建用戶所在域相對應(yīng)�,所述創(chuàng)建者標(biāo)識與創(chuàng)建用戶的權(quán)限級別相對應(yīng); 用戶訪問密文模塊����,包括主動提取待訪問密文的密級標(biāo)識與訪問用戶的權(quán)限比較,僅當(dāng)密級標(biāo)識與訪問用戶的權(quán)限匹配時向數(shù)據(jù)文件系統(tǒng)驅(qū)動層發(fā)送讀的I/o請求包請求讀取密文然后解密��; 密文流通控制模塊���,包括, 多級域信息流向控制單元�����,用于當(dāng)密文在多級域中流通時�����,通過劫持密文然后根據(jù)訪問策略中的比較密文的密級標(biāo)識中的域安全級別標(biāo)識是否高于當(dāng)前流通域�,高于則對密文執(zhí)行攔截,否則對密文執(zhí)行放行/轉(zhuǎn)發(fā)�; 同級域信息流向控制單元,用于當(dāng)密文在同一級域中流通時�,通過劫持密文然后根據(jù)訪問策略比較密文的密級標(biāo)識中的創(chuàng)建者標(biāo)識是否高于接收用戶,是則對密文執(zhí)行攔截�,否則對密文執(zhí)行放行/轉(zhuǎn)發(fā);用戶行為審計(jì)模塊,用于根據(jù)密文的密級標(biāo)識中文件標(biāo)識為身份標(biāo)識進(jìn)行用戶行為的日志審計(jì)與危險(xiǎn)操作下發(fā)出報(bào)警����。
7.如權(quán)利要求6所述的基于信息密級標(biāo)識的多級域防護(hù)的系統(tǒng),其特征在于所述通過認(rèn)證用戶創(chuàng)建密文模塊具體包括��, 通信連接單元���,用于通過頁面重定向�,強(qiáng)制用戶通過SSL安全機(jī)制實(shí)現(xiàn)握手認(rèn)證���,建立通信安全通道�����,連接服務(wù)端然后轉(zhuǎn)到寫請求單元���; 寫請求單元,用于當(dāng)用戶端調(diào)用操作系統(tǒng)讀寫信息函數(shù)向I/O管理器發(fā)送寫請求����; 寫請求反饋單元,用于當(dāng)收到寫請求單元的寫請求后�,I/O管理器提取進(jìn)程名稱���、存儲路徑、開始地址���、數(shù)據(jù)長度�����、待存儲數(shù)據(jù)等構(gòu)造寫請求對應(yīng)的I/O請求包�����,并將該I/O請求包發(fā)送到文件系統(tǒng)過濾層; 密文創(chuàng)建單元��,用于文件系統(tǒng)過濾驅(qū)動層收到數(shù)據(jù)包后��,主動向文件系統(tǒng)驅(qū)動層發(fā)送一次I/o請求包的寫請求���,請求在待加密文件的文件頭加入密級標(biāo)識����,同時對應(yīng)用戶創(chuàng)建密級標(biāo)識鏈表用于保存上述密級標(biāo)識���,并將密級標(biāo)識鏈表更新至服務(wù)端��,根據(jù)密級標(biāo)識中的加密算法完成加密�; 密文處理單元,用于當(dāng)密文創(chuàng)建單元完成加密后����,文件系統(tǒng)過濾驅(qū)動層將加密后的IRP數(shù)據(jù)包發(fā)送給文件驅(qū)動系統(tǒng),并最終該帶有密級標(biāo)識的涉密信息以密文形式保存�����。
8.如權(quán)利要求6所述的基于信息密級標(biāo)識的多級域防護(hù)的系統(tǒng)���,其特征在于所述用戶訪問密文模塊具體包括���, 通信連接單元,用于通過頁面重定向����,強(qiáng)制用戶通過SSL安全機(jī)制實(shí)現(xiàn)握手認(rèn)證,建立通信安全通道���,連接服務(wù)端然后轉(zhuǎn)到讀請求單元��; 讀請求單元�����,用于當(dāng)用戶端應(yīng)用程序調(diào)用系統(tǒng)內(nèi)核組建提供的函數(shù)接口向I/O管理器發(fā)送讀請求�; 讀反饋單元,用于當(dāng)收到讀請求單元的讀請求后嗎����,I/O管理器提取進(jìn)程名稱、存儲路徑�����、開始地址��、數(shù)據(jù)長度等構(gòu)造讀請求對應(yīng)的I/O請求包���,并將該I/O請求包發(fā)送到文件系統(tǒng)過濾層,等待讀取返回的密文然后轉(zhuǎn)至密級標(biāo)識獲取單元����; 密級標(biāo)識獲取單元,用于過濾驅(qū)動層向文件系統(tǒng)驅(qū)動層發(fā)送密級標(biāo)識讀取指令���,獲取本次訪問密文的密級標(biāo)識�����; 密級識別單元�����,用于在密級標(biāo)識獲取單元獲取密文的密級標(biāo)識后���,將密級標(biāo)識中的文件標(biāo)識與用戶的密級標(biāo)識鏈表對比����,若密級標(biāo)識鏈表中已有��,則繼續(xù)步驟�,若無,則進(jìn)行權(quán)限的對比��,若創(chuàng)建者標(biāo)識高于接收用戶權(quán)限則返回錯誤��,否則將此密文更新到密級標(biāo)識鏈表并同步到服務(wù)端然后轉(zhuǎn)到文件系統(tǒng)過濾層請求單元��; 文件系統(tǒng)過濾層請求單元�����,用于文件系統(tǒng)過濾驅(qū)動層將I/o請求包發(fā)送給文件系統(tǒng)過濾層; 文件系統(tǒng)過濾層響應(yīng)單元��,用于在收到文件系統(tǒng)過濾層請求單元的I/o請求包后�,文件系統(tǒng)驅(qū)動層將本次訪問密文讀出并返回給文件系統(tǒng)過濾層; I/o管理器請求單元�,用于在文件系統(tǒng)過濾層反饋單元返回密文后,文件系統(tǒng)過濾層接收到返回的密文�����,按照密級標(biāo)識中的加密算法解密��,并將解密后的數(shù)據(jù)傳給I/o管理器���;I/O管理器響應(yīng)單元���,用于在I/O管理器請求單元解密密文后����,由I/O管理器將解密后的數(shù)據(jù)傳給用戶端應(yīng)用程序接口,完成讀請求�����。
9.如權(quán)利要求6-8任意一項(xiàng)所述的基于信息密級標(biāo)識的多級域防護(hù)的系統(tǒng),其特征在于所述加密算法采用密鑰加密�,所述創(chuàng)建密文與訪問密文中的加密、解密的密鑰由服務(wù)端分發(fā)�����。
全文摘要
本發(fā)明提供了一種基于信息密級標(biāo)識的多級域防護(hù)方法及系統(tǒng)��,通過基于包括創(chuàng)建者標(biāo)識�����、文件標(biāo)識及域安全級別標(biāo)識的密級標(biāo)識實(shí)現(xiàn)對涉密文件的動態(tài)加密/解密�����,從而實(shí)現(xiàn)合法用戶的細(xì)粒度訪問�����,解決不同密級的信息從生成-訪問-流通-銷毀這一系列過程中所存在的信息泄露威脅���。
文檔編號G06F21/62GK102999732SQ20121048307
公開日2013年3月27日 申請日期2012年11月23日 優(yōu)先權(quán)日2012年11月23日
發(fā)明者林文美, 繆品章, 翁鯤鵬, 王美, 方演 申請人:富春通信股份有限公司