[发明专利]一种基于微过滤驱动的文件强制访问控制方法及其系统

权利要求书

1.一种基于微过滤驱动的文件强制访问控制方法，所述方法通过结合文件系统微过滤驱动和强制访问控制多级安全策略模型，实现文件的访问控制和安全防护，具体包括如下步骤：

1)根据强制访问控制多级安全策略模型设定文件强制访问控制的规则，作为安全策略，存入配置文件；所述设定文件强制访问控制的规则具体包括如下过程：

1.1)对用户名进行密级设置；

1.2)对选定文件的操作类型进行密级设置；

1.3)将上述用户名密级和文件的操作类型密级设置形成规则作为安全策略，存入配置文件；

2)在用户模式下，用户操作系统文件，产生I/O请求，向内核模式的I/O管理器下传I/O请求；

3)在内核模式中，I/O管理器处理I/O请求，并下传IRP消息；

4)在内核模式中，触发微过滤驱动程序进行IRP消息拦截；

5)在内核模式中，微过滤驱动程序获取到IRP消息，解析IRP消息；

6)通过轮询步骤1)中的配置文件，对IRP消息予以放行或返回拒绝消息。

2.如权利要求1所述基于微过滤驱动的文件强制访问控制方法，其特征是，步骤4)所述触发微过滤驱动程序进行IRP消息拦截具体包括：

4.1)微过滤驱动程序加载；

4.2)微过滤驱动程序对文件操作进行监控。

3.如权利要求1所述基于微过滤驱动的文件强制访问控制方法，其特征是，步骤5)所述解析IRP信息具体是：首先，判断IRP信息是否为文件操作类型的IRP；然后，对不属于文件操作类型的IRP予以通过；对属于文件操作类型的IRP，获取所述IRP对应的文件操作类型。

4.如权利要求1所述基于微过滤驱动的文件强制访问控制方法，其特征是，步骤6)中，在轮询配置文件之前，提取发起I/O操作IRP的用户名；再根据用户名通过轮询步骤1)中的配置文件。

5.如权利要求1所述基于微过滤驱动的文件强制访问控制方法，其特征是，步骤6)所述对IRP消息予以放行或返回拒绝消息具体是：如果User的密级不低于文件操作类型的密级，对所述IRP消息予以放行，允许相应的文件I/O操作；否则拒绝所述IRP消息，返回拒绝消息。

6.根据权利要求1所述基于微过滤驱动的文件强制访问控制方法实现的基于微过滤驱动的文件强制访问控制系统，包括上层管理子系统和微过滤驱动系统；所述上层管理子系统用于管理员设置系统的安全访问规则，包括系统用户密级设定模块、文件操作权限密级设定模块和驱动通信模块；所述微过滤驱动系统用于实现文件的强制访问控制，包括微过滤驱动加载模块和文件访问控制模块。

7.如权利要求6所述基于微过滤驱动的文件强制访问控制系统，其特征是，所述系统用户密级设定模块用于设定系统中用户的密级；所述文件操作权限密级设定模块用于设定文件操作密级；所述驱动通信模块用于将设定的用户密级和文件操作密级作为规则发送给所述微过滤驱动系统。

8.如权利要求6所述基于微过滤驱动的文件强制访问控制系统，其特征是，所述微过滤驱动加载模块用于加载微过滤驱动程序；所述文件访问控制模块用于截取并解析处理IRP信息。