[发明专利]基于内核层技术实现对WIN平台文件读写操作访问控制方法

摘要

本发明提供一种基于内核层技术实现对WIN平台文件读写操作访问控制方法该方法是在Windows内核执行体中放置一组“钩子”(Hooks)函数来控制对内核文件的访问权限。这样用户进程执行系统调用时，采用线程钩子函数拦截和监控用户线程对系统敏感文件的访问，进行强制访问控制检查，确定是否允许或禁止其访问。实现了对操作系统超级用户权限合理的分散与制约。从而大大的降低了万一出现的超级用户“大权旁落”时，非法人员对文件更改和泄密的威胁风险。

主权项

1、基于内核层技术实现对WIN平台文件读写操作访问控制方法，其特征在于步骤如下：1)在操作系统内核层实现对win平台下文件读写操作进行权限分配和访问控制，当用户程序对某一敏感文件读写发起调用，子系统DLL将转化为内部windows文件读写系统服务调用，内核创建相应的文件读写系统线程，系统线程通过正常的系统调用或通过陷阱分发机制中断或异常把相关参数传到系统服务分发器，系统服务分发器利用传递进来的文件读写参数，找到系统服务分发表中的文件读写系统服务信息，系统服务分发表中的每个表项都包含了一个指向某个系统服务的指针，系统服务函数地址被保存在内核中的系统服务分发表中；2)使用钩子驱动程序实现对文件读写强制访问控制，首先将系统服务分发表中的文件读写地址保存起来，编写钩子函数，用该钩子函数的地址来替换该表项，替换对应的文件读写系统服务调用地址，当文件读写线程调用系统服务分发表时，文件读写相应调用参数会通过钩子函数传递给策略比对程序；3)策略程序根据文件读写相应调用参数与预先定义的访问控制策略将该文件读写系统服务调用相关信息遍历策略数据库与相应安全策略相比对，符合安全要求的调用内核模式对应接口执行该文件读写系统服务调用，不符合安全要求转入GUI，显示给管理员，所有的windows文件读写线程都会调用系统服务分发器进行文件读写系统服务分发，用户对内核层的所有文件读写操作都会被系统监控，从而实现win平台下文件读写操作内核级访问控制的目的。