一种内核级文件双缓冲透明加解密方法、装置和设备与流程

本发明涉及数据安全，特别涉及一种内核级文件双缓冲透明加解密方法、装置和设备。

背景技术：

1、透明加密技术是数据泄漏防护系统解决方案中常用的一种技术，所谓透明是指在不改变用户使用习惯、计算机文件格式和应用程序的情况下，采取透明加解密技术，对指定类型的文件进行实时、强制、透明的加解密。即在正常使用时，计算机内存中的文件是以受保护的明文形式存放，但硬盘上保存的数据却是加密状态，如果没有合法的使用身份、访问权限、正确的安全通道，所有加密文件都是以密文状态保存，所有通过非法途径获得的数据，都以密文形式表现。

2、现有的透明加解密一般是把加密标签头（长度大小固定）、加密算法固定写死在内核驱动程序中。并在内核驱动程序中读解密、写加密。由于加解密等业务逻辑全部放在内核驱动里实现，增加了系统不稳定性，对应用层开发者来说不易使用和扩展，灵活性很差，使得加解密的效率较低，用户体验感不好。

技术实现思路

1、有鉴于此，本发明的目的在于提供一种内核级文件双缓冲透明加解密方法、装置、设备及计算机可读存储介质，解决了现有技术中透明加解密效率低的技术问题。

2、为解决上述技术问题，本发明提供了一种内核级文件双缓冲透明加解密方法，包括：

3、当访问文件的进程是授权进程时，确定所述访问文件的进程对应的请求数据包的i/o类别；

4、当所述访问文件的进程对应的请求数据包的i/o类别为非缓存i/o时，确定对所述访问文件的进程执行加解密，得到透明加解密数据；

5、将所述透明加解密数据回传至内核驱动。

6、可选的，在所述当访问文件的进程是授权进程时，确定所述访问文件的进程对应的请求数据包的i/o类别之前，还包括：

7、根据授权进程策略确定所述访问文件的进程是否是授权进程；其中，所述授权进程策略包括授权进程名称和授权进程类型中的至少一种策略；

8、当所述访问文件的进程为所述授权进程策略中的进程时，确定所述访问文件的进程是授权进程。

9、可选的，在所述当访问文件的进程是授权进程时，确定所述访问文件的进程对应的请求数据包的i/o类别之前，还包括：

10、判断所述访问文件的进程对应的文件控制块是否属于自建文件控制块；其中，所述自建文件控制块对应的文件为尚未进行加解密的文件；

11、当所述访问文件的进程对应的文件控制块属于所述自建文件控制块时，确定所述访问文件的进程对应的请求数据包的i/o类别。

12、可选的，所述自建文件控制块的生成过程，包括：

13、确定目标文件的文件头部数据是否具有标签；其中，所述标签为标识所述目标文件是否已被加密的标签；

14、当所述文件头部数据不具备标签，则生成标签并将标签内容和标签长度传到所述内核驱动，以使所述内核驱动根据所述标签长度将所述标签内容写入所述目标文件，创建所述自建文件控制块。

15、可选的，所述当所述访问文件的进程对应的请求数据包的i/o类别为非缓存i/o时，确定对所述访问文件的进程执行加解密，得到透明加解密数据，包括：

16、确定对所述访问文件的进程执行对称加解密中的任意一种加解密，得到所述透明加解密数据。

17、可选的，还包括：

18、当所述访问文件的进程是非授权进程时，对所述访问文件的进程的缓冲i/o进行密文缓存，对所述访问文件的进程的非缓存i/o不进行处理，得到密文文件。

19、本申请还提供了一种内核级文件双缓冲透明加解密装置，包括：

20、i/o类别确定判断模块，用于当访问文件的进程是授权进程时，确定所述访问文件的进程对应的请求数据包的i/o类别；

21、加解密模块，用于当所述访问文件的进程对应的请求数据包的i/o类别为非缓存i/o时，确定对所述访问文件的进程执行加解密，得到透明加解密数据；

22、回传模块，用于将所述透明加解密数据回传至内核驱动。

23、可选的，还包括：

24、授权进程判断模块，用于根据授权进程策略确定所述访问文件的进程是否是授权进程；其中，所述授权进程策略包括授权进程名称和授权进程类型中的至少一种策略；

25、授权进程确定模块，用于当所述访问文件的进程为所述授权进程策略中的进程时，确定所述访问文件的进程是授权进程。

26、本申请还提供了一种内核级文件双缓冲透明加解密设备，包括：

27、存储器，用于存储计算机程序；

28、处理器，用于执行所述计算机程序时实现如上述的内核级文件双缓冲透明加解密方法的步骤。

29、本申请还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述的内核级文件双缓冲透明加解密方法的步骤。

30、可见，本发明通过当访问文件的进程是授权进程时，确定所访问文件的进程对应的请求数据包的i/o类别；当访问文件的进程对应的请求数据包的i/o类别为非缓存i/o时，确定对访问文件的进程执行加解密，得到透明加解密数据；将透明加解密数据回传至内核驱动。和现有的透明加解密一般是把加密标签头（长度大小固定）、加密算法固定写死在内核驱动程序中，并在内核驱动程序中读解密、写加密，灵活性很差相比，本申请中内核驱动只负责上报行为，加解密由应用层进行处理，将加解密与内核驱动解耦，在进行加解密时加解密方式支持动态改变，提高了加解密的灵活性。

31、此外，本发明还提供了一种内核级文件双缓冲透明加解密装置、设备及计算机可读存储介质，同样具有上述有益效果。

1.一种内核级文件双缓冲透明加解密方法，其特征在于，包括：

2.根据权利要求1所述的内核级文件双缓冲透明加解密方法，其特征在于，在所述当访问文件的进程是授权进程时，确定所述访问文件的进程对应的请求数据包的i/o类别之前，还包括：

3.根据权利要求1所述的内核级文件双缓冲透明加解密方法，其特征在于，在所述当访问文件的进程是授权进程时，确定所述访问文件的进程对应的请求数据包的i/o类别之前，还包括：

4.根据权利要求3所述的内核级文件双缓冲透明加解密方法，其特征在于，所述自建文件控制块的生成过程，包括：

5.根据权利要求1所述的内核级文件双缓冲透明加解密方法，其特征在于，所述当所述访问文件的进程对应的请求数据包的i/o类别为非缓存i/o时，确定对所述访问文件的进程执行加解密，得到透明加解密数据，包括：

6.根据权利要求1至5任一项所述的内核级文件双缓冲透明加解密方法，其特征在于，还包括：

7.一种内核级文件双缓冲透明加解密装置，其特征在于，包括：

8.根据权利要求7所述的内核级文件双缓冲透明加解密装置，其特征在于，还包括：

9.一种内核级文件双缓冲透明加解密设备，其特征在于，包括：

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的内核级文件双缓冲透明加解密方法的步骤。