[发明专利]一种基于微过滤驱动的文件强制访问控制方法及其系统

说明书

技术领域

本发明提供一种基于微过滤驱动的文件强制访问控制方法及其系统，涉及计算机技术领域，具体涉及一种结合强制访问控制多级安全策略模型(MLS)的基于Windows系统微过滤驱动的文件强制访问控制方法及其系统。

背景技术

随着电子办公技术的逐渐普及，电子文档资料的安全性显得越来越重要。Windows系统作为当今最主流的C2级商务操作系统，其针对文件的访问控制仍停留在自主访问控制阶段(DAC)，显然无法满足军工部门甚至是航天部门对文档资料处理的高机密性搞完整性要求。

强制访问控制是实现操作系统安全的一个重要的方法，是对操作系统的各种客体(如文件、socket、系统FIFO、IPC等)进行细粒度的访问，即当用户或用户程序访问系统的某个客体时，强制访问控制机制对这种访问的安全性进行检查。与自主访问控制机制不同，强制访问控制对用户及用户程序的行为进行限制，从而达到更高的安全级别。

为了判定访问行为是安全的，引入安全策略的概念。安全策略是一组检查条件，它为每次访问的主体(用户或用户程序)和被访问的客体(如文件等)定义一个安全标记，再根据主体和客体的安全标记来决定这次访问是否安全。目前已经开发出多种安全策略，其中多级安全策略MLS用得最多。它的基本思想是定义一些安全级，如从低到高分普通、机密、绝密等安全级，要求高安全级别的信息不能泄露给低安全级别的用户，这样就要求低安全级的主体不能读高安全级的客体，同时高安全级的主体不能写低安全级的客体。

当前业内针对Windows平台文件的访问控制技术主要有两种：系统默认的自主访问控制(DAC)技术和HOOK(钩子)技术；其中：

自主访问控制技术，允许具有管理员权限的用户决定系统上的资源可以被哪些用户或进程访问，这种滥用信任基础的操作不仅难以防止那些以某个用户的身份运行恶意程序的访问，也明显违背了信息安全基本原则：最小权限化原则和一切未知事物不可信原则。

HOOK技术是通过对Windows系统提供的文件操作函数及文件操作所触发的系统消息进行钩子过滤，经过有针对性的处理来实现文件访问控制的效果，但该技术最大的缺点是在Windows 7及更高系统上稳定性和兼容性都非常差。

综上所述，现有的技术难以实现具有强大的安全防护的满足安全好用需要的文件访问控制方法。

发明内容

为了克服上述现有技术的不足，本发明提供一种基于微过滤驱动的文件强制访问控制方法及其系统，通过基于微过滤驱动的文件过滤驱动框架和强制访问控制多级安全策略模型MLS，实现对本地磁盘文件的打开、写入、删除、重命名、删除等操作的控制功能，并提供基于微过滤驱动的文件强制访问控制系统，适用于具有办公保密特殊需求的军工等部门。

本文中，“MLS”(Multilevel security)表示强制访问控制多级安全策略模型；“IRP”(I/O request packets)表示输入/输出请求包；“Minifilter”表示微过滤驱动；“sfilter”表示过滤驱动。

本发明的原理是：通过文件系统微过滤驱动技术，在文件系统驱动上加载过滤驱动而对系统操作产生的IRP进行针对性过滤拦截，从而提供更细粒度级别的文件访问控制。I/O管理器在发送文件操作请求到目标设备之前，会检查是否有附加设备挂载在目标设备之上，若有，则把该IRP先发送给附加设备，经附加设备所属驱动程序处理之后，再发送给目标设备完成操作请求。本发明基于微过滤驱动文件强制访问控制方法，包括用户模式(应用层)和内核模式两个层面，采用微过滤驱动Minifilter通信端口进行通信，为了支持实时处理，驱动程序根据用户程序的需求，选择将过滤管理器传递的IRP消息直接在内核模式下做判断处理；核心就是在IRP请求下发的过程中，通过文件系统微过滤驱动程序构造附加设备对象挂载在文件系统的存储目标设备对象之上，在微过滤驱动程序中对发送到目标设备的操作请求进行处理，具体是：在用户模式下，应用程序向微过滤驱动程序传送控制命令；在内核模式下，微过滤驱动程序根据用户应用程序下发的控制命令解析用户应用程序触发的IRP请求，截取类型是文件操作的IRP，再具体细节化文件操作类型(包括打开、写入、删除、重命名等操作类型)，并记录触发IRP请求的用户，依据事先配置的表示安全策略的安全标签库进行文件强制访问控制操作，安全标签库的安全策略可以为：如果触发IRP请求的用户的密级不低于文件操作的密级，则允许IRP消息通过；否则返回拒绝消息；不属于文件操作的IRP允许通过；进而达到控制文件访问、保护文件的安全性。