CN104036197B - 一种基于文件过滤驱动的矢量地图数据保护及访问控制方法 - Google Patents

Abstract

本发明属于密码学、信息安全、地理信息***和数字图像处理领域，涉及一种对数字矢量地图进行数据保护和文件访问控制的基于文件过滤驱动的矢量地图数据保护及访问控制方法。本发明包括：判断是否为矢量地图文件；将文件放入控制列表；控制规则完整性认证；文件访问控制；文件内容加解密；文件大小和控制信息隐藏；关闭时防止数据泄露。本发明结合文件过滤驱动，在操作***底层对矢量地图数据进行透明加解密和文件访问控制，不影响用户操作习惯，保证磁盘上的矢量地图数据以密文形式存储，保护矢量地图数据安全。本发明比数据水印对矢量地图的保护更彻底，更牢靠。

Description

一种基于文件过滤驱动的矢量地图数据保护及访问控制方法

技术领域

本发明属于密码学、信息安全、地理信息***和数字图像处理领域，涉及一种对数字矢量地图进行数据保护和文件访问控制的基于文件过滤驱动的矢量地图数据保护及访问控制方法。

背景技术

随着信息处理技术与测绘技术的快速发展，空间信息应用越来越广泛，数字矢量地图具有精度高、支持高质量缩放、定位准确、操作方便、更新便捷等多种优势，已成为地理信息***、智能交通运输***、数字化城市和数字化国防建设等方面必需的保障资源。同时，数字化的信息数据始终面临着被非法复制，恶意篡改以及人为泄露的安全问题。数字矢量地图一旦发生数据泄露会严重损害地图所有者的合法利益，甚至会对国防建设产生重大负面影响，保护数字矢量地图的安全使其不被窃取是迫切需要解决的问题。

当前对数字矢量地图保护的研究主要是利用水印技术对矢量地图的版权进行保护，数字水印技术保护矢量地图数据，存在以下两点不足。第一、没能很好地保护好矢量地图的数据信息，大部分水印技术只是做了版权的嵌入使得部分数据精度受损，盗用者仍然可以将矢量地图盗走加以利用，这样的效果根本不能防止对矢量地图数据的盗用。第二、大部分水印嵌入方式属于手动嵌入，然而据有关调查显示，80％的数据信息泄露是出自于内部原因。数据水印无法防止内部员工将数据盗出，只有强制自动对数据进行透明加解密才能使得内部人员无法偷取矢量地图数据。

另外对电子文档的保护方法，有一种流行的透明加解密方式可以强制对电子文档进行加解密，这种方法主要用来对文本信息进行加解密保护，其中谭文在《寒江独钓-windows内核安全编程》一书中具体介绍了文件过滤驱动技术。有少数学者将透明加解密引用到了矢量地图中，但是存在以下三点缺陷：第一、没有考虑到将数据拷贝到已存在文件中的情况，如果在移动设备中事先建立一个矢量地图文件，然后将矢量地图数据拷贝到这个文件，传统的过滤驱动是不会对其进行处理的，从而造成了数据泄露。第二、没有考虑到矢量地图多次外发的特点，对文件打开时间，打开次数等诸多方面无法进行控制，从而无法有效保证地图的安全。第三、无法对矢量地图文件的重命名和删除等操作进行控制。

发明内容

本发明的目的在于提供一种保护文件在全生命周期中的安全的基于文件过滤驱动的矢量地图数据保护及访问控制方法。

本发明的目的是这样实现的：

(1)判断是否为矢量地图文件

操作***处理文件时，发出I/O Requeset Package读写请求包IRP，在文件打开时操作***发出IRP_MJ_CREATE，文件过滤驱动此时拦截需要打开的文件名，根据文件扩展名判断是不是矢量地图文件；

(2)将文件放入控制列表

在判断为矢量地图文件之后，从文件尾部取出加密标识和控制信息，对加密标识进行核实，如果有加密标识，则表示该文件属于已经被标记和处理过的矢量地图文件，将文件对象和文件对应的File Control Block文件控制块FCB加入涉密文件列表，如果文件尾部不存在加密标识，则说明该文件并没有被处理过，需要对其进行处理，则将文件对象和文件对应的FCB加入涉密未处理列表；

(3)控制规则完整性认证

对于包含有加密标识的矢量地图文件，核实当前进程是否在其规定的合法进程列表中，如果不在则表示当前进程没有获取正确矢量地图数据的权限，直接交付操作***，读出密文；如果当前进程是合法进程，则利用MD5算法对控制信息进行完整性认证，判断控制信息有无被篡改，如果控制信息被篡改，则访问失败，同时删除该文件，如果控制信息没有被篡改，则所有的控制规则与对应的文件FCB添加到涉密文件列表；

(4)文件访问控制

根据文件嵌入的访问控制信息，在IRP_MJ_CREATE中对文件访问次数进行核实，如果访问次数达到规定次数，则将文件删除；文件访问时间则利用Deferred Procedure Call定时器DPC，进行定时检查，如果规定时间内文件未关闭，则强制将文件缓存数据刷到磁盘，并关闭文件；当需要进行文件重命名和删除时，操作***会发出主功能号为IRP_MJ_SET_INFORMATION的IRP，对文件进行删除和重命名操作时，在IRP_MJ_SET_INFORMATION的分发函数中进行监控，从涉密文件列表中取出文件控制信息，如果允许所申请操作，则交付***处理，如果不允许，则返回失败；

(5)文件内容加解密

文件读写时，操作***发出IRP_MJ_READ和IRP_MJ_WRITE，文件读写分为缓存读写和分页读写两种，以IRP所携带的标识区分；利用文件过滤驱动，带有IRP_PAGING_IO|IRP_SYNCHRONOUS_PAGING_IO|IRP_NOCACHE标志的读写请求，利用流加密方法对数据进行加密和解密；

(6)文件大小和控制信息隐藏

将控制信息和加密标识放在文件扩展尾，利用IRP_MJ_QUERY_INFORMATION对文件大小和控制信息进行隐藏，当***获取文件大小的时候，会下发IRP_MJ_QUERY_INFORMATION的IRP请求，过滤驱动在这个IRP请求中，将文件大小设置为真实文件大小长度，达到隐藏控制信息和文件大小的目的；

(7)关闭时防止数据泄露

在一个文件关闭时，判断此文件是否在涉密未处理列表中，在这个列表中的文件，表示为计算机中原有的未经过加密处理的矢量地图文件，对该文件进行加密同时嵌入访问控制信息。

本发明的有益效果在于：

本发明提出一种矢量地图数据保护和访问控制方法，结合文件过滤驱动技术对矢量地图文件进行透明的、强制地数据加解密和访问控制。对比已有文件过滤驱动产品和矢量地图保护产品，本发明具有以下优点：

1.本发明结合文件过滤驱动，在操作***底层对矢量地图数据进行透明加解密和文件访问控制，不影响用户操作习惯，保证磁盘上的矢量地图数据以密文形式存储，保护矢量地图数据安全。本发明比数据水印对矢量地图的保护更彻底，更牢靠。

2.本发明可以透明地、强制地处理安装驱动之前计算机本身已存在的、未经过处理的矢量地图文件，较之已有的文件过滤驱动产品，可以防止文件数据通过旧文件泄露，安全性更高。

3.本发明可以实现对矢量地图文件的访问时间、访问次数、是否允许重命名、是否允许删除等进行控制，构建起一个立体的保护空间。有效规避了长时间打开文件使得文件数据长时间在内存中停留，而带来的潜在风险；同时又可以防止频繁地对文件进行访问，有效地对文件破解进行了限制，提高了保护等级。

4.本发明将加密标识和文件控制信息放在文件扩展尾，并且摒弃以往的文件过滤驱动文件大小控制只在IRP_MJ_SET_INFORMATION和IRP_MJ_QUERY_INFORMATION中对文件大小进行加减运算的方法，由驱动自身维护涉密矢量地图文件的大小，拦截缓存读写操作，确保了文件读写能够在准确的位置读取、写入准确的数据。

附图说明

图1***整体流程示意图；

图2设置控制信息软件界面；

图3访问进程控制

图4关闭时防止文件泄露

具体实施方式

下面结合附图和实例对本发明技术方案做进一步的描述：

首先对本发明工作的详细流程进行说明：操作***在对文件进行操作的时候，一次操作分几次IRP进行发放，对于文件读写操作，操作***会依次发出IRP_MJ_CREATE、IRP_MJ_QUERY_INFORMATION、IRP_MJ_READ、IRP_MJ_WRITE、IRP_MJ_SET_INFORMATION、IRP_MJ_CLEANUP、IRP_MJ_CLOSE；对于重命名和删除会依次发出IRP_MJ_CREATE、IRP_MJ_SET_INFORMATION、IRP_MJ_CLEANUP、IRP_MJ_CLOSE。根据***的操作流程，本发明形成了如图1所示的处理步骤：

(1)在文件打开之后先判断文件类型，如果不是矢量地图文件则交付操作***，如果是矢量地图文件则继续，文件读写进入(2)，文件删除和文件重命名进入(8)。

(2)如果是文件读写，则进行进程检查，进程检查的详细步骤如图3所示，判断该文件是否在加密文件表和未处理表中。如果在，则从表中取出合法进程列表，判断该进程是否合法。如果不在，则读出文件尾，判断是否有加密标志。如果有加密标志则从控制信息取出合法进程列表，判断该进程是否合法；如果没有加密标志则将该文件加入未处理列表。如果进程合法对控制信息进行完整性认证，并检查访问次数和设置DPC定时器控制访问时间。然后进入(3)。

(3)查询文件大小时***发出IRP_MJ_QUERY_INFORMATION，此时驱动拦截查询操作，返回文件真实大小，实现信息隐藏，然后进入(4)。

(4)进入文件读写，要做两件事：第一，对数据内容进行加解密；第二，对文件大小和偏移进行维护。然后进入(5)。

(5)设置文件大小时***发出IRP_MJ_SET_INFORMATION，此时驱动拦截设置操作，将文件大小设置为文件添加了文件尾的大小。然后进入(6)。

(6)文件关闭时，操作***会发出IRP_MJ_CLEANUP，此时驱动对文件进行检查，如果该文件在未处理列表中，则对文件进行透明加解密，如果在涉密文件表中则解除DPC定时器。然后进入(7)；

(7)对文件嵌入文件尾，文件尾包含控制信息、加密标志和完整性认证码。然后进入(11)；

(8)从文件尾部读出控制信息和加密标志，如果没有加密标志则交付操作***处理。如果有加密标志，那么文件删除操作进入(9)，重命名进入(10)；

(9)文件删除时操作***会发出IRP_MJ_SET_INFORMATION，在此处拦截***操作判断(8)读出的控制信息是否允许删除，如果允许则删除，如果不允许则禁止。

(10)文件重命名时操作***会发出IRP_MJ_SET_INFORMATION，在此处拦截***操作判断(8)读出的控制信息是否允许重命名，如果允许则重命名，如果不允许则禁止。

(11)文件正常关闭。

本发明可以分为三部分，1.文件控制信息的嵌入与提取；2.涉密文件信息的内部维护；3.文件访问控制。

1.文件控制信息的嵌入与提取

控制信息分为两种，一种是共有文件控制信息，针对所有地图文件在第一次被嵌入控制信息时使用；另一种是单独文件控制信息，由用户对已嵌入控制信息的单个文件进行更改。

(1)共有文件控制信息

文件控制信息主要包括合法进程列表、文件访问次数、文件访问时间、是否允许重命名，是否允许删除。将默认文件控制信息放在注册表中，支持用户自己配置默认文件控制信息。驱动在进行首次控制嵌入的时候从注册表中将默认控制信息读出，并将信息通过创建IRP的方式向底层设备发送，将控制信息写入文件尾部。

共有文件控制信息的嵌入时机在IRP_MJ_CLEANUP中，文件关闭之前，通过驱动自身维护的文件真实大小和偏移等信息，向底层设备发送自定义IRP，将加密标识、控制信息按固定的格式写入文件尾部。

(2)单独文件控制信息

单独文件控制信息，用来更改单个文件的控制信息。从而达到对特殊地图的针对性处理的目的。同样可以配置合法进程列表、文件访问次数、文件访问时间、是否允许重命名和是否允许删除这五项。通过如图2所示的应用层软件，用户可以更改文件控制信息。给出需要更改控制信息的文件绝对路径，然后根据修改需求，对控制规则进行重新嵌入。

单独对文件控制信息进行修改的时候，控制信息通过IOCTL技术进行应用层与内核层通信，过滤驱动在内核层构造IRP对文件进行打开和读取操作，然后对数据进行更改，再写回文件尾部，最后关闭文件清除缓存。

2.涉密文件信息的内部维护

涉密文件的信息维护主要分为两部分，第一部分是文件大小和偏移量的维护；第二部分是文件控制信息的维护。

(1)文件大小和偏移量的维护

根据文件读写特点，可以将读写操作分为缓存读写和分页读写两种类型。分页读写请求是从磁盘中读取数据，或者向磁盘写入数据。由于磁盘读取和写入是严格按扇区和簇对齐的，因此在分页读写过程中仅仅能够对数据进行加解密工作，而无法对文件的真实大小进行维护。

而缓存读写则不同，缓存读写请求，所发出的读写数据长度是真实的本次需要读取或者写入的数据的真实长度，因此通过对缓存读写IRP的监控从中维护文件的真实大小和偏移量，然后将信息跟新到涉密文件表中，从而保持了数据的一致性。在控制信息进行嵌入的时候就可以准确无误的从涉密文件表中得到文件的真实的大小，然后计算出准确的信息嵌入位置。

(2)文件控制信息维护

文件控制信息包括文件访问时间、文件访问次数、合法进程列表、是否允许重命名、是否允许删除这五种控制信息。这五种控制信息、文件大小以及扇区补齐长度形成如下的结构体：

利用FCB作为文件的唯一识别标志，对控制信息按文件区分开，这样就保证了控制方法和控制信息对于每一个文件都是不同的，提高了矢量地图的安全系数。

3.文件访问控制

文件访问控制分五部分进行：1、文件访问时间；2、文件访问次数；3、访问进程控制；4、重命名与删除控制；5、文件关闭防止泄露。在文件从打开到关闭整个生命周期中，利用不同的手段和方法，在不同的时机对这五部分进行分别控制，从而保证从打开到关闭矢量地图整个生命周期的安全使用和存储。

(1)文件访问时间控制

文件访问时间的控制是控制单次文件访问时间长短。在文件打开的时候从文件扩展尾读出控制信息，然后利用DPC定时器设置定时器响应函数。当文件访问时间超时的时候，进入定时器响应函数，保存当前文件，清楚文件缓存并关闭当前文件。

(2)文件访问次数控制

在文件打开的时候对文件访问次数进行核查，如果文件访问次数大于零，则允许此次访问，同时对访问次数减1操作，更新涉密文件列表中的信息。如果文件访问次数小于零，则设置关闭时删除标志位，使得在文件关闭时自动删除。

由于文件的打开操作十分频繁，有些打开操作只是问了查询文件大小，因此在需要区分读写标志位，只有当打开是为了读写的时候，才对文件打开次数进行减1操作。

(3)访问进程控制

访问进程控制在文件打开时进行控制，首先判断文件是否为矢量地图文件，如果是地图文件，则判断是否在涉密文件表和未处理文件表中，如果在则从表中取出涉密进程列表对比进程是否合法，如果不在则读出文件尾部的标识信息和控制信息，进行核实，如果没有加密标志，则将该文件加入未处理列表，如果有加密标识，则判断当前进程是否在合法进程列表中，如果在列表中，则进行完整性认证和上述(1)和(2)的控制，如果不在合法进程列表中，则对该文件进行强制刷缓存，防止文件数据泄露，然后交由操作***处理。由于地图文件数据经过了加解密，所以用一个不在合法进程表中的进程打开矢量地图，文件打开失败。图3则详细展示了在文件打开时，进程访问控制的详细流程。

(4)重命名和删除控制

文件重命名和删除都是在IRP_MJ_SET_INFORMATION中进行处理的，执行这项操作的可能是合法进程也可能是非法进程。因此对于重命名和删除这两种控制规则的控制，需要再次构造IRP读取文件扩展尾，通过读取控制位信息来选择是否允许这两项操作。如果允许则将工作交由操作***完成，如果不允许则返回失败，同时结束该IRP。

(5)文件关闭时防泄漏控制

文件关闭有两种情况，一种情况是涉密文件关闭。另一种情况加载驱动前计算机就已经存在的未经过过滤驱动处理的矢量地图的关闭。

第一种关闭情况，处理比较简单，因为在读写过滤中已经完成了文件数据加解密和访问控制的监控。第二种关闭情况，分两段处理。首先第一段是在文件打开的时候，将给文件加入未处理文件列表，并从注册表读出默认控制规则和文件的FCB一并放入未处理列表。第二段是在关闭的时候，对文件进行搜索，如果在未处理列表中有该文件，则重新对文件数据进行加密保护同时将访问控制信息和加密标识嵌入文件尾部。并且强制刷缓存，清楚FCB中的数据，防止此时有其他进程正在打开着该文件，在其保存时造成数据不一致。在cleanup中的具体流程如图4所示。

Claims (1)

1.一种基于文件过滤驱动的矢量地图数据保护及访问控制方法，其特征在于：

(1)判断是否为矢量地图文件

操作***处理文件时，发出I/O Requeset Package读写请求包IRP，在文件打开时操作***发出IRP_MJ_CREATE，文件过滤驱动此时拦截需要打开的文件名，根据文件扩展名判断是不是矢量地图文件；

(2)将文件放入控制列表

在判断为矢量地图文件之后，从文件尾部取出加密标识和控制信息，对加密标识进行核实，如果有加密标识，则表示该文件属于已经被标记和处理过的矢量地图文件，将文件对象和文件对应的File Control Block文件控制块FCB加入涉密文件列表，如果文件尾部不存在加密标识，则说明该文件并没有被处理过，需要对其进行处理，则将文件对象和文件对应的FCB加入涉密未处理列表；

(3)控制规则完整性认证

对于包含有加密标识的矢量地图文件，核实当前进程是否在其规定的合法进程列表中，如果不在则表示当前进程没有获取正确矢量地图数据的权限，直接交付操作***，读出密文；如果当前进程是合法进程，则利用MD5算法对控制信息进行完整性认证，判断控制信息有无被篡改，如果控制信息被篡改，则访问失败，同时删除该文件，如果控制信息没有被篡改，则所有的控制规则添加到涉密文件列表；

(4)文件访问控制

根据文件嵌入的访问控制信息，在IRP_MJ_CREATE中对文件访问次数进行核实，如果访问次数达到规定次数，则将文件删除；文件访问时间则利用Deferred Procedure Call定时器DPC，进行定时检查，如果规定时间内文件未关闭，则强制将文件缓存数据刷到磁盘，并关闭文件；当需要进行文件重命名和删除时，操作***会发出主功能号为IRP_MJ_SET_INFORMATION的IRP，对文件进行删除和重命名操作时，在IRP_MJ_SET_INFORMATION的分发函数中进行监控，从涉密文件列表中取出文件控制信息，如果允许所申请操作，则交付***处理，如果不允许，则返回失败；

(5)文件内容加解密

文件读写时，操作***发出IRP_MJ_READ和IRP_MJ_WRITE，文件读写分为缓存读写和分页读写两种，以IRP所携带的标识区分；利用文件过滤驱动，带有IRP_PAGING_IO|IRP_SYNCHRONOUS_PAGING_IO|IRP_NOCACHE标志的读写请求，利用流加密方法对数据进行加密和解密；

(6)文件大小和控制信息隐藏

将控制信息和加密标识放在文件扩展尾，利用IRP_MJ_QUERY_INFORMATION对文件大小和控制信息进行隐藏，当***获取文件大小的时候，会下发IRP_MJ_QUERY_INFORMATION的IRP请求，过滤驱动在这个IRP请求中，将文件大小设置为真实文件大小长度，达到隐藏控制信息和文件大小的目的；

(7)关闭时防止数据泄露

在一个文件关闭时，判断此文件是否在涉密未处理列表中，在这个列表中的文件，表示为计算机中原有的未经过加密处理的矢量地图文件，对该文件进行加密同时嵌入访问控制信息。