[发明专利]针对CD-ROM光盘介质的读写管控系统

说明书

本发明公开一种针对CD‑ROM光盘介质的读写管控系统，能够解决传统文件透明加解密系统无法管控CD‑ROM这类光盘介质的读写操作，以及专用光驱设备带来的硬件成本增加和携带不便利的问题，该系统包括应用层结构和内核层结构；所述应用层结构包括客户端与服务端，其中，所述客户端包括身份验证模块，监控过滤模块和读/写模块，所述服务端包括注册模块与追踪/审计模块，所述内核层结构包括位于CDROM.sys驱动之上的过滤驱动，该过滤驱动通过将上层应用直接以SCSI形式下发的命令以及文件系统下发的命令进行联合过滤，实现对光盘刻录内容的读写管控。

技术领域

本发明涉及信息安全领域，具体涉及一种针对CD-ROM光盘介质的读写管控系统。

背景技术

CD-ROM这种存储介质常用于涉密部门、图书馆、企业内部对重要电子文件的存储。保证CD-ROM中电子信息的安全可有效防止信息隐私的泄露。

现阶段，针对存储介质的电子信息加密与访问控制主要采取的方法是文件透明加解密系统。该系统通常由过滤驱动程序、加密子系统、密钥管理、审计等模块组成。过滤驱动程序主要实现对文件系统控制设备CDO的绑定和I/O请求包IRP的过滤，以此来获取我们要需要捕获的IRP信号，和待加密的内容。加密子系统主要是为过滤驱动程序截获下来的IRP数据提供加解密服务。对于加解密算法，安全性的关键在于密钥的安全性，为此由密钥管理模块来实现对加解密密钥的生成与管理。审计模块主要记录用户对CD-ROM文件的读写操作。

当然，通过调研发现，目前市面上针对CD-ROM这类光盘介质的读写管控产品主要类型是专用光驱。在硬件架构上，专用光驱内嵌一枚安全芯片、转接芯片、以及RAM存储器。市面上的专用光驱常用的安全芯片型号包括SSX1019，转接芯片型号多为GL827。安全芯片起到的作用多为对传输的数据加解密，转接芯片的功能是将USB接口转为SATA接口，RAM中可存储安全密钥。通过上层软件与底层硬件的协同工作，使得光盘数据的机密性与完整性得到了良好保证，同时有效防止非授权读写操作的发生，取得了不错的访问控制效果。

传统文件透明加解密系统的核心功能模块就是过滤驱动程序，该驱动位于Windows内核的I/O管理器和文件系统驱动之间，可以有效捕获针对磁盘的读写操作。但是由于光盘读写的特殊性，该过滤驱动无法捕获针对CD-ROM这类光盘的读写信号，从而无法实现对CD-ROM的电子信息安全防护。

专用光驱可以很好地解决针对CD-ROM这类光盘介质的电子信息泄露的问题。但是一个不便利的因素就是，所有需要进行加密写入光盘的内容，都必须借助专用光驱来操作。即使用单位不得不配套采购多套专用光驱供相关人员使用，这样造成了硬件成本的增加和携带的不便利。

发明内容

针对现有技术存在的不足和缺陷，本发明提供一种针对CD-ROM光盘介质的读写管控系统。

本发明实施例提出一种针对CD-ROM光盘介质的读写管控系统，包括：

应用层结构和内核层结构；

所述应用层结构包括客户端与服务端，其中，所述客户端包括身份验证模块，监控过滤模块和读/写模块，所述身份验证模块用于对用户的访问控制权限进行管理，包括面向对象的身份验证与安全控制信息写入，所述监控过滤模块，用于执行文件安全等级的识别，在文件安全等级与CD-ROM光驱安全等级不匹配时，触发警告信息并将信息写入日志文件，所述读/写模块用于将烧录SCSI命令和加密密钥发送到内核空间来完成电子文件的加密；所述服务端包括注册模块与追踪/审计模块，所述注册模块用于执行面向对象的户籍化和设备的注册与绑定，以及文件安全等级的管控，所述追踪/审计模块用于利用日志文件中的数据进行静态分析与轨迹重建；

所述内核层结构包括位于CDROM.sys驱动之上的过滤驱动，该过滤驱动通过将上层应用直接以SCSI形式下发的命令以及文件系统下发的命令进行联合过滤，实现对光盘刻录内容的读写管控。