[发明专利]一种计算机数据安全防护方法

摘要

本发明涉及一种计算机数据安全防护方法，属于计算机安全技术领域。该方法在具有Windows操作平台支持的文件系统驱动结构的计算机中，将文件过滤驱动模块嵌入I/O管理器和文件系统驱动模块之间，存储以及读取数据时，当确认合法用户后，I/O管理器将数据包传输到文件过滤驱动模块，文件过滤驱动模块进行加、解密认证处理，再转交到文件系统驱动模块。文件存储过程中内存数据以明文形式存在，而物理存储器上的文件内数据以密文形式存在。对于合法用户而言，感觉不到计算机的底层运行情况，整个加/解密完全是透明的，不影响正常操作，并无需额外的操作，十分方便。对于非法用户而言，存储数据完全隐蔽，因此可以确保数据安全。

主权项

1.一种计算机数据安全防护方法，在具有Windows操作平台支持的文件系统驱动结构的计算机中，所述文件系统驱动结构由用户态的应用程序接口和加解密认证模块、核心态的I/O管理器和文件系统驱动模块以及存储设备驱动模块、物理态的存储器构成，所述计算机的对应接口插接存储密钥的电子钥匙，其特征在于：还含有嵌于I/O管理器和文件系统驱动模块之间的文件过滤驱动模块，所述计算机按照以下步骤进行数据存储：1)、加解密认证模块根据电子钥匙中的密钥和用户登陆密码认证用户的合法性；2)应用程序接口接受合法用户数据及存储指令后，调用Windows内部对应应用程序，将存储操作传输给内核中的I/O管理器；3)I/O管理器提取应用程序的进程名称、数据开始地址、数据长度、数据存储路径，将待存储数据转换为数据包，传输到文件过滤驱动模块；4)文件过滤驱动模块接收到数据包后，拷贝出副本，并将副本提交到用户态的加解密认证模块进行加密；5)文件过滤驱动模块接收到返回的加密数据后，将数据包转交到文件系统驱动模块；6)文件系统驱动模块按正常操作将数据包转交到存储设备驱动模块；7)存储设备驱动模块根据数据包将待保存的数据写入物理存储器中；所述计算机按照以下步骤进行数据读取：1’)加解密认证模块根据电子钥匙中的密码和用户登陆信息认证用户的合法性；2’)应用程序接口接受合法用户数据读取指令后，调用Windows内部对应应用程序，将读取操作传输给内核中的I/O管理器；3’)I/O管理器提取应用程序的进程名称、数据开始地址、数据长度、数据存储路径，将待读取数据转换为数据包，传输到文件过滤驱动模块，并等待返回数据；4’)文件过滤驱动模块接收到数据包后，直接将其转交文件系统驱动模块；5’)文件系统驱动模块接收到数据包后，按正常操作通过存储设备驱动模块将物理存储器中的待读取文件读出，返回到文件过滤驱动模块；6’)文件过滤驱动模块接收到返回的数据后被唤醒，将读取到的数据提交到用户态的加解密认证模块进行解密，传输到I/O管理器；7’)I/O管理器将解密后的数据提供给用户态的应用程序接口。