[发明专利]一种基于多像文件的加密文件系统

说明书

本发明涉及一种基于多像文件的加密文件系统，所述加密文件系统中的每个文件有多个文件映像：一个主像文件，多个A像文件以及一个B像文件；当一个非受信进程打开或创建一个主像文件时，文件打开或创建操作被重定向到一个对应A像文件，且不同非受信进程针对同一个主像文件重定向后的A像文件不相同；当一个受信进程打开或创建一个主像文件时，文件打开或创建操作被重定向到对应B像文件；加密文件系统将针对A像文件和B像文件的I/O操作转化为针对对应原文件的操作，并在操作过程中自动进行文件加密、解密处理；本发明不但避免了受信进程和非受信进程的缓存数据混合，而且避免非受信进程间由于数据存写操作而可能出现的明文数据泄露。

技术领域

本发明属于信息安全技术领域，特别是一种基于多像文件的加密文件系统。

背景技术

透明文件加密系统能在不改变用户使用习惯的情况下自动实现文件的加密和解密，是保证数据安全的重要技术手段。在透明文件加密中，对加密文件进行文件I/O操作的程序进程分为受信进程和非受信进程，受信进程被允许获取加密文件的明文数据，而非受信进程则不被允许。在目前的计算机文件系统中，为了提高文件I/O操作的效率，文件I/O操作大多是采用缓存方式，即文件系统在计算机内存中缓存程序进程读取和/或存写的数据，且不同程序进程对同一个文件进行文件I/O操作时它们在内存中的数据缓存是共享的。带缓存的文件I/O给透明文件加密带来了额外的问题：当受信进程和非受信进程同时对一个加密文件进行文件I/O操作时，特别是交替进行文件数据读取、存写操作时，缓存中会交替出现明文数据和密文数据，这样会带来如下问题：一是非受信进程有可能读取到明文数据，造成数据泄密，二是导致程序进程不能正确处理数据，比如受信进程读取的是密文数据而无法正常处理。为了解决这一问题，人们常用的解决方案是：在受信进程和非受信进程交替对同一个文件进行文件I/O操作时，不断地刷写(flush)、清空(clear)缓存数据。这种方案的问题是：一是要频繁的刷写、清空缓存，导致出现所谓暴力刷缓存、清缓存的问题，二是在受信进程和非受信进程交替读取、存写数据时，要正确处理缓存刷写、清空是非常困难的。

针对透明文件加密存在的以上问题，本发明的申请人在其专利申请“一种基于双像文件的加密文件系统”(专利申请号：201510690514.9)中提出了一种基于双像文件的解决方案，基于此方案，受信进程和非受信进程各自使用自己独立的缓存，从而在出现受信进程和非受信进程对同一个文件进行文件I/O操作的情况下能有效地避免频繁刷缓存、清缓存(仅在很少的情况下要进行清缓存)。但专利申请201510690514.9中的方案也存在如下问题：一个非受信进程存写的文件数据有可能是明文数据(比如，浏览器下载、保存一个未加密的Word文档)，这样在多个非受信进程对正在存写的文件进行文件I/O操作有可能出现数据泄露。对此问题的一种解决方案是：由双像加密文件系统的文件驱动或额外引入的一个文件过滤器在发现非受信进程存写的文件数据是明文数据时立即对明文数据进行加密。但这种解决方案一是太麻烦，二是不能完全解决数据泄露问题，比如，当非受信进程是以内存映射方式打开或创建文件并存写明文数据时，双像加密文件系统的文件驱动或额外引入的文件过滤器发现内存中的缓存的数据是明文数据时候可能已经晚了，缓存中的明文数据可能已被其他非受信进程读取了(虽然这种机率非常小)。

发明内容

本发明的目的是提出一种基于多像文件的加密文件系统，以克服现有技术方案的不足。

为了实现本发明的目的，本发明所提出的技术方案是：

一种基于多像文件的加密文件系统，所述系统如下：