(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210871523.8 (22)申请日 2022.07.22 (71)申请人 安徽工程大学 地址 241000 安徽省芜湖市鸠江区北京中 路 (72)发明人 包象琳　徐晓峰　吴忠辉　 (74)专利代理 机构 北京风雅颂专利代理有限公 司 11403 专利代理师 方昊 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) (54)发明名称 一种面向Windows系统的文件保护系统及方 法 (57)摘要 本发明涉及文件保护技术领域， 尤其涉及一 种面向Windows系统的文件保护系统及方法， 在 用户打开文件时， 文件 过滤驱动会拦截用户的操 作请求， 获取相应文件的数据， 对文件进行加密 解密。 本驱动也会与应用层程序进行通信， 获取 机密软件的信息。 本系统针对目前传统加密系统 存在繁琐流程及其带来的不足， 以过滤驱动技术 为基础， 分析Windows绑定文件系统、 对IRP的处 理、 加密标识的处理等关键问题， 设计并实现了 透明加密文件系统。 测试表明， 本文所描述系统 的加密效率更高， 各项功能都具有很高的稳定 性， 在安全性上达到了预期目标。 同时， 通过与传 统的基于过滤驱动的文件保护系统比较， 系统在 安全性上有很大的提高。 权利要求书2页 说明书9页 附图4页 CN 115329351 A 2022.11.11 CN 115329351 A 1.一种面向Windows系统的文件保护系统， 其特征在于， 包括文件微过滤驱动和应用管 理程序， 文件微过滤驱动位于内核层， 应用管理程序位于应用层， 应用管理程序通过Win32   Api DeviceIoControl和文件微过 滤驱动通信； 所述文件微过滤驱动包括过滤管理器和I/O管理器， 所述I/O管理器用于在应用管理程 序和过滤管理器之间下发和返回读写请求； 所述过滤管理器用于在接收到读请求时， 调用第一预处理回调函数， 对是否满足解密 条件进行验证， 若满足， 则调用第一后处理回调函数， 对文件进行解密， 并上发读请求至应 用管理程序； 所述过滤管理器还用于在接收到写请求时， 调用第二预处理回调函数， 对是否满足加 密条件进行验证， 若满足， 则对文件加密， 并下发写请求， 文件加密后调用第二后处理回调 函数， 对缓存进行刷新。 2.根据权利要求1所述的面向Windows系 统的文件保护系 统， 其特征在于， 所述文件微 过滤驱动还包括身份认证模块和条件判断模块， 所述身份认证模块用于在第一预 处理回调 函数或第二预处理回调函数执行时， 对登录系统的用户身份进行验证， 若用户身份验证成 功， 则允许文件微过滤驱动对文件实施加解密操作， 若验证失败， 则文件微过滤驱动拒绝对 加密文件进行解密操作； 所述条件判断模块用于在第 一预处理回调函数或第 二预处理回调函数执行时， 判断打 开文件的进程是否为机密进程， 若为机密进程， 判断机密进程打开的文件是否具有加密标 识， 若具有， 则允许文件微过 滤驱动对文件实施加解密操作。 3.根据权利要求1所述的面向Windows系 统的文件保护系 统， 其特征在于， 所述系 统还 包括分级权限管理模块， 所述分级权限管理模块用于对不同组别的文件采用不同的加密策 略， 还用于分配管理员角色和员工角色， 并为管理员角色赋予授权给员工进行权限分配的 权限。 4.根据权利要求1所述的面向Windows系 统的文件保护系 统， 其特征在于， 所述系 统还 包括注册表监控模块， 所述注册表监控模块在Register .sys驱动中实现， 通过 CmRegisterCallback函数注册一个注册表回调， 用一个内核链表结构实现注册表操作信息 的保存， 函数的第一个参数为回调函数， 第二个参数是用户自定义的一个数据结构 体， 第三 个参数为一个返回参数， 当成功注册后， Cookie会保存注册的信息， 在移除注册表回调时需 要提供这个Co okie。 5.根据权利要求1所述的面向Windows系 统的文件保护系 统， 其特征在于， 所述系 统还 包括反调试模块， 所述反调试模块采用Windows内核挂钩技术来抵御动态反调试， 通过 Hook.sys驱动实现对NtOpenProcess的Inline  Hook， 从来限制调试器附加到进程， 无法调 试本进程。 6.根据权利要求1所述的面向W indows系统的文件保护系统， 其特 征在于， 所述第二预处 理回调函数还 包括： 在对文件加密之前， 分配新的缓冲区， 拷贝数据到新的缓冲区， 生成上下文， 分配新的 缓冲区； 所述第二后处 理回调函数还 包括： 释放上下文， 释放分配的缓冲区， 恢复原来的缓冲区。权　利　要　求　书 1/2 页 2 CN 115329351 A 27.根据权利要求1所述的面向Windows系 统的文件保护系 统， 其特征在于， 所述系 统采 用对称加密算法对文件进行加密。 8.一种面向W indows系统的文件保护方法， 其特 征在于， 包括： A.在初始化和动态加载文件微过 滤驱动完成后， 监控文件操作， 拦截读写请求； B.将应用程序下发的写请求经I/O管理器后下发至过 滤管理器； C.执行预处理回调函数； D.判断当前文件是否为加密文件， 若否， 将写请求下发至下层磁 盘驱动； E.若是， 判断当前进程是否为机密进程， 若否， 将写请求下发至下层磁 盘驱动； F.若是， 生成上 下文信息， 加密文件数据， 将写请求下发至下层磁 盘驱动； G.接收下层磁 盘驱动上 方的读请求结果， 执 行后处理回调函数， 清理缓存数据； H.释放上 下文信息； I.将读请求结果经I/O管理器后上发至应用程序； J.将应用程序下 方的读请求经I/O管理器后下发至过 滤管理器； K.执行预处理回调函数； L.判断文件是否符合解密条件， 若不符合， 则下发读请求至下层磁盘驱动， 并接收下层 磁盘驱动返回的读 请求结果和文件数据； M.将读请求结果和文件数据经I/O管理器后返回至应用程序； N.若文件符合 解密条件， 则在步骤L后， 继续执 行： O.判断读 请求返回结果是否成功， 若否， 直接执 行M； P.若是， 判断读取 数据的长度是否为非0， 若否， 直接执 行M； Q.若是， 获取缓冲区， 判断当前进程是否为机密进程， 若否， 直接执 行M； R.若是， 解密文件数据， 执 行M。 9.根据权利要求8所述的面向Windows系统的文件保护方法， 其特征在于， 在步骤D前， 所述方法还 包括： 新分配缓冲区用于防止 重复加密现象； 在步骤F前， 所述方法还 包括： 判断是否获取缓冲区MDL， 若否， 直接将写请求下发至下层磁 盘驱动； 若是， 则分配新缓冲区， 拷贝数据到新缓冲区， 并在加密文件数据前分配新缓冲区； 在步骤H后， 所述方法还 包括： 释放分配的缓冲区； 恢复原来的缓冲区。权　利　要　求　书 2/2 页 3 CN 115329351 A 3