[发明专利]一种用户态监视加密磁盘的方法

说明书

技术领域

本发明涉及信息安全、数据审计、远程协助等技术领域，具体的说，是一种用户态监视加密磁盘的方法。

背景技术

随着网络技术逐渐普及，以及信息泄漏对生活造成的威胁。人们逐渐开始在生活和工作中使用加密存储的方式来保护自己的数据不受到非授权的访问。而由此带来的问题是，在一个权限受控的网络中，难以对加密的存储数据进行监控。敏感数据脱离监控而导致外泄的事件时有发生，而绝大部分泄漏事件难以防范和取证。

例如，机密文件A在未加密时具有某些敏感字符，在内网的传输过程中，能够被一般的内容监控系统识别和记录。但是一旦有人使用了加密工具对存储文件A的设备进行了加密，则除非其本人，其他人无从读取该存储设备，更无从识别该文件是否机密文件，或者其是否包含机密信息。

虽然存储设备加密在信息保密性上具有优势，但是在对于防泄密要求较高的环境中，存在诸多矛盾，比如审计困难，取证困难。

发明内容

本发明的目的在于提供一种用户态监视加密磁盘的方法，通过对现有审计监控系统，提供一种有效、平滑的软件实现方案，使得其可以审计、监控加密存储设备上的文件，用于实现本发明的软件能够非常方便的嵌入现有的监控、审计环境中，而不必对现有的监控、审计软件、操作系统做更改，极大的降低了部署成本；同时，本发明能够对多种加密软件做到良好的普适性、兼容性和稳定性，不会对系统稳定性造成影响，也不用频繁升级和修改。

本发明通过下述技术方案实现：一种用户态监视加密磁盘的方法，在监控、审计环境和加密存储设备之间嵌入一个软件层，在需要监控、审计时，该软件层提供一个看起来完全透明的明文存储设备，通过对用户态进程注入，截获用户态和内核态的加密、解密交互数据，而后通过解密流程重放的方式对已加密数据进行解密获取明文，实现过滤和监控，当有人使用加密软件对存储设备进行加密时，及时给予记录以供事后审计；当监控和审计进程试图访问的文件位于被加密的存储介质中时，加密存储介质可以实时加载并解密。

进一步的，为更好的实现本发明，所述“通过对用户态进程注入，截获用户态和内核态的加密、解密交互数据，而后通过解密流程重放的方式对已加密数据进行解密获取明文，实现过滤和监控”具体包括以下步骤：

1）实现一个用户态的进程监视模块，所述进程监视模块监视系统中所有进程的启动，可以根据特定的特征匹配来识别当前启动的进程是否是需要进行监视的目标进程；

2）实现一个用户态的动态链接库注入模块，所述动态链接库注入模块可以注入到指定目标进程中；

3）以动态链接库的形式，实现一个进程监控模块，在进程中搜寻到用户态与内核态交互接口，并通过热补丁的方式，将此接口的数据流重定向到进程监控模块中去；

4）在存储加密过程中，用户态进程与内核进行数据交互时，记录这些交互数据流以及文件位置信息到加密交互内容截获模块；

5）当监控、审计进程需要访问的文件位于加密的存储介质中时，软件从加密交互内容截获模块中找到解密流程使用的数据流，并使用该数据流和目标软件的驱动进行交互，重放解密流程，实现存储数据的解密。

进一步的，为更好的实现本发明，所述“用户态监视加密磁盘的方法”包括以下模块：

进程监视模块，监视系统内所有的进程启动，并根据软件特征码识别启动的进程是否是一个存储加密软件进程；

动态链接库注入模块，将加密交互内容截获模块注入到待监视进程中；

加密交互内容截获模块，记录解密信息；

加密设备重载模块，对已加密的存储数据重新加载并提供明文访问接口。

进一步的，为更好的实现本发明，所述“进程注入”，将某个动态连接库置于进程空间运行，并且使用热补丁的方式替换原进程与驱动通讯的接口函数为自身某个监视函数，以达到监视用户态进程与驱动的加密会话过程；

所述“热补丁的方式”，在进程运行过程中，不需要重新启动进程，在内存中对进程代码进行修改并且实时生效的进程代码修改方法；

所述“加密设备重载”，利用加密交互内容截获模块已记录的信息，对解密流程进行“重放”而获取明文的过程。

本发明与现有技术相比，具有以下优点及有益效果：