本發明涉及一種基于多像文件的加密文件系統，所述加密文件系統中的每個文件有多個文件映像：一個主像文件，多個A像文件以及一個B像文件；當一個非受信進程打開或創建一個主像文件時，文件打開或創建操作被重定向到一個對應A像文件，且不同非受信進程針對同一個主像文件重定向后的A像文件不相同；當一個受信進程打開或創建一個主像文件時，文件打開或創建操作被重定向到對應B像文件；加密文件系統將針對A像文件和B像文件的I/O操作轉化為針對對應原文件的操作，并在操作過程中自動進行文件加密、解密處理；本發明不但避免了受信進程和非受信進程的緩存數據混合，而且避免非受信進程間由于數據存寫操作而可能出現的明文數據泄露。

技術領域

本發明屬于信息安全技術領域，特別是一種基于多像文件的加密文件系統。

背景技術

透明文件加密系統能在不改變用戶使用習慣的情況下自動實現文件的加密和解密，是保證數據安全的重要技術手段。在透明文件加密中，對加密文件進行文件I/O操作的程序進程分為受信進程和非受信進程，受信進程被允許獲取加密文件的明文數據，而非受信進程則不被允許。在目前的計算機文件系統中，為了提高文件I/O操作的效率，文件I/O操作大多是采用緩存方式，即文件系統在計算機內存中緩存程序進程讀取和/或存寫的數據，且不同程序進程對同一個文件進行文件I/O操作時它們在內存中的數據緩存是共享的。帶緩存的文件I/O給透明文件加密帶來了額外的問題：當受信進程和非受信進程同時對一個加密文件進行文件I/O操作時，特別是交替進行文件數據讀取、存寫操作時，緩存中會交替出現明文數據和密文數據，這樣會帶來如下問題：一是非受信進程有可能讀取到明文數據，造成數據泄密，二是導致程序進程不能正確處理數據，比如受信進程讀取的是密文數據而無法正常處理。為了解決這一問題，人們常用的解決方案是：在受信進程和非受信進程交替對同一個文件進行文件I/O操作時，不斷地刷寫(flush)、清空(clear)緩存數據。這種方案的問題是：一是要頻繁的刷寫、清空緩存，導致出現所謂暴力刷緩存、清緩存的問題，二是在受信進程和非受信進程交替讀取、存寫數據時，要正確處理緩存刷寫、清空是非常困難的。

針對透明文件加密存在的以上問題，本發明的申請人在其專利申請“一種基于雙像文件的加密文件系統”(專利申請號：201510690514.9)中提出了一種基于雙像文件的解決方案，基于此方案，受信進程和非受信進程各自使用自己獨立的緩存，從而在出現受信進程和非受信進程對同一個文件進行文件I/O操作的情況下能有效地避免頻繁刷緩存、清緩存(僅在很少的情況下要進行清緩存)。但專利申請201510690514.9中的方案也存在如下問題：一個非受信進程存寫的文件數據有可能是明文數據(比如，瀏覽器下載、保存一個未加密的Word文檔)，這樣在多個非受信進程對正在存寫的文件進行文件I/O操作有可能出現數據泄露。對此問題的一種解決方案是：由雙像加密文件系統的文件驅動或額外引入的一個文件過濾器在發現非受信進程存寫的文件數據是明文數據時立即對明文數據進行加密。但這種解決方案一是太麻煩，二是不能完全解決數據泄露問題，比如，當非受信進程是以內存映射方式打開或創建文件并存寫明文數據時，雙像加密文件系統的文件驅動或額外引入的文件過濾器發現內存中的緩存的數據是明文數據時候可能已經晚了，緩存中的明文數據可能已被其他非受信進程讀取了(雖然這種機率非常小)。

發明內容

本發明的目的是提出一種基于多像文件的加密文件系統，以克服現有技術方案的不足。

為了實現本發明的目的，本發明所提出的技術方案是：

一種基于多像文件的加密文件系統，所述系統如下：