翟慧卿　程卫双　黄杰

摘 要： 设计并实现了一个具有文件安全保护能力的终端文档安全保护系统。在技术上主要采用内核与应用层相结合的方法来实现文档透明加、解密。在内核层实现功能上的控制，而在应用层实现相应的权限控制和策略制定。在操作系统内核对访问电子文档的进程进行审核与控制，利用文件系统过滤驱动技术过滤掉非法进程对文档的读取。对于拥有访问权限和安装该系统的客户端用户，才可以正常读取加密的电子文档，排除了电子文档泄密的可能，实现了对电子文档的安全管理。

关键词： 电子文档； 加密； 解密； 文件系统过滤驱动

中图分类号：TP309.7 文献标志码：A 文章编号：1006-8228（2014）01-21-02

0 引言

近年来，信息化技术不断深入到了人们生活中的各个领域，以电子形式存在于计算机中的文档也逐渐地替代了传统文档。当然任务事务都有着两面性，电子文档在给人们的生活带来便捷的同时，也带来了数据被非法泄露、破坏、篡改、复制、窃取与使用等隐患。

为了解决上述令人棘手的电子文档安全问题，很多企业建造了企业专网，并且配备了大量的防火墙、VPN、IPS、IDS等安全设备，但是这样做只能用来防范外来的入侵者，而不能防止企业内部人员有意无意地主动泄密，况且上述措施一般来说造价非常昂贵。

因此，开发一个运行效率高、安全可靠、操作简洁、方便使用的电子文档安全管理系统有很重要的市场价值和应用价值。对于电子文档信息的安全保护，必须从数据生命周期的源头——对文档数据进行加密存储开始。只有文档被加密存储了，以后在其生命周期的各个阶段的安全才能得到保证，企业才可以安枕无忧地在信息化浪潮中持续发展。

1 透明加密与文件过滤驱动技术

1.1 透明加密技术

数据加密技术是通过一定规则把原始数据转换成另一种无意义数据的技术，这个转换规则通常包括加密算法和加密密钥。加密算法是加密技术的一般方法，而密钥根据一定的加密算法产生出惟一的加密数据——只有知道密钥和密码算法的人才能够把密文恢复成原始数据[1-2]。密钥通常是一长串数字序列，这些序列被一些常用的身份认证机制所保护，例如口令，令牌或者是指纹等生物信息[3]。

现代密码技术[4]按照密钥的管理方式不同可分為：对称加密和非对称加密。在对称加密实现的过程中，加密过程和解密过程使用相同的密钥，因此加密数据的安全性主要依赖于密钥的安全性。其优点主要是加解密时速度快、实现简单、实现算法公开透明。但由于加密过程和解密过程采用的是同一密钥，因此缺点也很明显，那就是在大量用户的情况下密钥管理困难，使用成本较高，不便于在分布式网络系统上使用。目前常用的对称加密算法主要有DES、IDEA和AES等著名加密算法。

在非对称加密的实现过程中，加密过程和解密过程使用不同的密钥，使用公有密钥加密时需要用私有密钥解密，而使用私有密钥加密时需要用公有密钥解密。因此非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要。但其加密和解密花费时间长、速度慢，适用于对少量数据进行加密，不适合于对文件加密。目前广泛应用的不对称加密算法主要有RSA算法和美国国家标准局提出的DSA算法。

因此，可以得知对称加密算法可应用于数据加密，非对称加密算法可应用于身份认证，所以我们在进行文件透明加解密时使用对称加密算法。

在Windows操作系统中通常使用两种方法来实现文件的透明加解密，一种方法是使用HOOK API技术来截获特定进程或系统对某个API函数的调用，使得API的执行流程转向指定的代码；另外一种方法是使用文件系统过滤驱动使上述的截获在内核层进行。这两种方法都能实现文档的透明加解密，使这种加解密的动作对用户来说完全透明。

1.2 文件过滤驱动技术

Windows NT操作系统的I/O管理器支持分层的驱动程序，这些分层的驱动程序形成一种栈形结构，这样可以扩展一些执行体服务，因此这些扩展的驱动既可以位于文件系统驱动之上，也可以被插放在文件系统驱动和存储设备驱动之间。

操作系统允许通过加载驱动程序的形式来增强内核的功能，文件系统过滤驱动通过拦截应用层的I/O请求的形式来提供这种新功能，所以文件系统过滤驱动相当于增加了操作系统内核的新功能。而增加的新功能又完全不用修改底层设备驱动和用户的程序。过滤驱动可以做到增加系统功能而不用修改上层驱动和应用程序的任何代码。如果想让操作系统增加新功能而又不能修改现有的内核代码，并且对应用程序透明，那么就可以使用过滤驱动来实现[5]。

2 系统设计与实现

2.1 整体结构设计

本系统采用C/S与B/S混合模式进行设计。电子文档安全管理系统服务器主要由系统数据库、Web服务器、应用服务器组成。客户端主要由客户端程序和浏览器程序组成。用户安装完系统数据库、Web服务器、应用服务器后，系统运行正常，管理员可通过浏览器登录Web服务器进行系统的配置与管理。内网中的客户端用户通过Web服务器可下载客户端程序，进行安装与注册。用户注册程序自动采集系统的硬件设备资产信息，经过应用服务器处理后存入数据库，同时应用服务器将默认策略下发给客户端，如图2所示。

2.2 系统实现

Web服务器采用Tomcat 作为Web容器，采用Web表现层、业务处理层和数据访问层三层业务模型。Web表现层向用户提供配置策略参数的界面，业务处理层负责处理由Web操作层传递进来的参数数据，数据访问层负责数据的持久化操作。

管理员可根据需要授权用户具有手动加解密功能。在资源管理器中增加右键菜单，可选择任意文件进行手动加解密，加密后的文件属性增加了一些安全属性。

2.3 系统测试

在装有系统客户端的PC机上开启文档保护服务，并下达加密策略，使进程Notepad.exe能够对*.txt文件进行透明加解密测试。

针对本系统的稳定性测试就是看文档保护系统在运行过程中服务器是否运行稳定，是否出现死机，以及采用过滤驱动技术的客户端是否产生内存泄漏而出现蓝屏等问题。经过测试本系统运行流畅，通讯正常。

在加解密过程中，由于对原始数据做了相应的加解密处理，所以对于较大的文件的读写所花费的时间和空间资源会有所增加，文件越大，这些额外的开销也就越明显。而对于一些较小的文件，这些额外的开销几乎可以忽略不计。

另外，测试过程是在虚拟机VMWare上进行的，这对于文件的读取时间有很大的影响。但是相对时间差还是完全可以反映系统性能的好坏。

3 结束语

本文在研究基于Windows架构以及新的过滤驱动框架的基础上，采用C/S+B/S架构，设计并实现了一个终端文档安全保护系统，既实现了对终端文档在数据使用时的安全保护，又对文档进行了很好的权限策略控制，还对文档的生命期进行了有效的监控，该系统可以有效地防止终端重要信息的泄漏。同时该系统还对文件的使用权限进行了很细粒度的控制，用户能使用Web浏览器很方便地给指定客户机下达指定策略，使客户机按照指定规则来选择要加解密的文件。

但是，由于本系统中所有的加密文档是以密文的形式存储在磁盘中的，如果离开本系统的工作环境，文档将不能被正常读取。

本应用并不局限于文档加密领域，在病毒实时监控与防护，数据备份与还原，以及文件访问控制等領域同样有着广泛的应用。今后也可以结合文件系统过滤驱动技术在内核病毒防火墙等领域展开积极的研究与探索。

除此之外，要想从根本上解决信息安全问题，我们认为还必须加强信息安全保护立法，同时企业要加强自我防范意识，完善企业内网管理措施。

参考文献：

[1] 陈元，王菲菲.利用文档加密技术防止企业知识资产的外泄[J].图书

情报知识，2010：2-134

[2] 金容波.文档安全保护系统中防主动泄密关键技术研究与实现[D].四

川师范大学硕士学位论文，2008.

[3] 王玮.电子文档加密系统设计与实现[D].山东大学硕士学位论文，

2007.

[4] William Stallings著，刘玉珍，王丽娜，傅建明等译.密码编码学与网络

安全[M].电子工业出版社，2006.

[5] 王雅泉，张水平.Windows WDM过滤器驱动程序的设计与实现[J].微

电子学与计算机，2002.16（12）：28-30