(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211128021.2 (22)申请日 2022.09.16 (71)申请人 兴业银行股份有限公司 地址 350014 福建省福州市台江区江滨中 大道398号兴业银行 大厦 申请人 兴业数字金融服 务(上海)股份有限 公司 (72)发明人 熊帅　张金龙　全彬元　胡飞　 陈倩　王俊华　 (74)专利代理 机构 上海段和段律师事务所 31334 专利代理师 韩成玲 (51)Int.Cl. G06F 21/62(2013.01) G06F 21/60(2013.01)G06F 3/06(2006.01) (54)发明名称 基于虚拟磁 盘的数据安全管控方法及系统 (57)摘要 本发明提供了一种基于虚拟磁盘的数据安 全管控方法及系统， 包括： 步骤S1： 第三方应用程 序加载动态库， 调用动态库提供的方法安装虚拟 磁盘驱动并启动服务； 步骤S2： 第三方应用程序 调用动态库提供的方法检查磁盘信息并挂载虚 拟文件磁盘； 步骤S3： 第三方应用程序调用动态 库提供的方法与内核文件 过滤设备建立通信， 并 设置权限； 步骤S4： 文件过滤设备拦截磁盘读写 请求， 进行身份验证； 步骤S5： 文件过滤设备对第 三方应用程序进行文件重定向； 步骤S6： 虚拟磁 盘设备密钥对磁盘数据进行透明加解密。 本发明 通过虚拟磁盘、 文件过滤、 文件重定向等技术， 实 现了一套易嵌入第三方应用程序的数据安全管 控系统。 权利要求书3页 说明书6页 附图1页 CN 115495782 A 2022.12.20 CN 115495782 A 1.一种基于虚拟磁 盘的数据安全管控方法， 其特 征在于， 包括： 步骤S1： 第三方应用程序加载动态库， 调用动态库提供的方法安装虚拟磁盘驱动并启 动服务； 步骤S2： 第三方应用程序调用动态库提供的方法检查磁 盘信息并挂载虚拟文件磁 盘； 步骤S3： 第三方应用程序调用动态库提供的方法与内核文件过滤设备建立通信， 并设 置权限； 步骤S4： 文件过 滤设备拦截磁 盘读写请求， 进行身份验证； 步骤S5： 文件过 滤设备对第三方应用程序进行文件重 定向； 步骤S6： 虚拟磁 盘设备密钥对磁 盘数据进行透明加解密。 2.根据权利要求1所述的基于虚拟磁 盘的数据安全管控方法， 其特 征在于： 在所述步骤S1中： 步骤S1.1： 检查驱动文件是否存在， 不存在则直接报送 异常； 步骤S1.2： 以管理员权限打开 服务管理器， 创建驱动服 务； 步骤S1.3： 启动驱动服 务， 并查询该服 务是否正常启动。 在所述步骤S2中： 步骤S2.1： 检查默认创建磁盘文件是否存在， 若存在则输入参数， 包括文件磁盘密钥及 挂载分区， 执 行虚拟磁 盘挂载操作； 步骤S2.2： 虚拟磁盘设备接收到第三方应用程序发起的IRP操作后， 判定密钥是否正 确； 若不正确则向第三方应用程序返回错 误码， 若正确则打开虚拟磁 盘文件； 步骤S2.3： 若虚拟磁盘文件不存在， 则提示设置参数， 包括磁盘大小、 密钥， 执行虚拟磁 盘挂载操作， 自动将新建的虚拟磁 盘按照系统默认的文件系统格式化 为空磁盘。 3.根据权利要求1所述的基于虚拟磁盘的数据安全管控方法， 其特征在于， 在所述步骤 S3中： 步骤S3.1： 第三方应用程序根据通信端口与内核驱动文件过 滤设备建立连接； 步骤S3.2： 第三方应用程序向内核驱动文件过滤设备发送文件过滤信息， 包括设备应 用程序路径、 名称、 应用程序特 征码、 访问权限； 步骤S3.3： 文件过 滤设备接收到信息后存 储到访问权限控制模块； 步骤S3.4： 第三方应用程序与内核驱动文件过 滤设备断开 通信连接 。 4.根据权利要求1所述的基于虚拟磁盘的数据安全管控方法， 其特征在于， 在所述步骤 S4中： 步骤S4.1： 文件过 滤设备拦截应用程序读写请求； 步骤S4.2： 读取应用程序信息， 调用访问权限控制模块判定是否为目标程序； 步骤S4.3： 若是目标程序则调用文件重 定向模块执 行文件重 定向功能； 步骤S4.4： 若非目标程序， 如果访问的是虚拟磁盘， 则拒绝该访问并向上层应用返回拒 绝访问错 误码。 5.根据权利要求1所述的基于虚拟磁 盘的数据安全管控方法， 其特 征在于： 所述步骤S5包括如下步骤： 步骤S5.1： 若目标应用程序发起文件创建请求， 文件重定向模块执行查询操作， 查询虚 拟磁盘目录是否存在； 若不存在则创建目录， 执行成功后， 将文件创建IRP路径重定向为虚权　利　要　求　书 1/3 页 2 CN 115495782 A 2拟磁盘目录， 完成文件创建； 步骤S5.2： 若目标应用程序发起文件读写请求， 则文件重定向模块拦截该IRP， 首先查 找虚拟磁盘内核文件 是否存在； 若不存在则直接放过该文件读写请求， 若存在， 则直接重定 向该IRP； 步骤S5.3： 若目标应用程序发起目录查询操作， 则文件重定向模块拦截该IRP， 向下执 行两次查询， 首先查询虚拟磁盘,再查询路径所在磁盘， 综合两次查询结果向上层应用返 回； 所述步骤S6包括如下步骤： 步骤S6.1： 目标应用程序发起文件读写请求； 步骤S6.2： 经文件过 滤设备处 理后， 虚拟磁 盘设备接收到读写请求； 步骤S6.3： 根据密钥对数据进行AES加密， 执 行读写文件磁盘并自动加解密； 步骤S6.4： 将执 行结果返回上层应用程序。 6.一种基于虚拟磁 盘的数据安全管控系统， 其特 征在于， 包括： 模块M1： 第三方应用程序加载动态库， 调用动态库提供的方法安装虚拟磁盘驱动并启 动服务； 模块M2： 第三方应用程序调用动态库提供的方法检查磁 盘信息并挂载虚拟文件磁 盘； 模块M3： 第三方应用程序调用动态库提供的方法与内核文件过滤设备建立通信， 并设 置权限； 模块M4： 文件过 滤设备拦截磁 盘读写请求， 进行身份验证； 模块M5： 文件过 滤设备对第三方应用程序进行文件重 定向； 模块M6： 虚拟磁 盘设备密钥对磁 盘数据进行透明加解密。 7.根据权利要求6所述的基于虚拟磁 盘的数据安全管控系统， 其特 征在于： 在所述模块M1中： 模块M1.1： 检查驱动文件是否存在， 不存在则直接报送 异常； 模块M1.2： 以管理员权限打开 服务管理器， 创建驱动服 务； 模块M1.3： 启动驱动服 务， 并查询该服 务是否正常启动。 在所述模块M2中： 模块M2.1： 检查默认创建磁盘文件是否存在， 若存在则输入参数， 包括文件磁盘密钥及 挂载分区， 执 行虚拟磁 盘挂载操作； 模块M2.2： 虚拟磁盘设备接收到第三方应用程序发起的IRP操作后， 判定密钥是否正 确； 若不正确则向第三方应用程序返回错 误码， 若正确则打开虚拟磁 盘文件； 模块M2.3： 若虚拟磁盘文件不存在， 则提示设置参数， 包括磁盘大小、 密钥， 执行虚拟磁 盘挂载操作， 自动将新建的虚拟磁 盘按照系统默认的文件系统格式化 为空磁盘。 8.根据权利要求6所述的基于虚拟磁盘的数据安全管控系统， 其特征在于， 在所述模块 M3中： 模块M3.1： 第三方应用程序根据通信端口与内核驱动文件过 滤设备建立连接； 模块M3.2： 第三方应用程序向内核驱动文件过滤设备发送文件过滤信息， 包括设备应 用程序路径、 名称、 应用程序特 征码、 访问权限； 模块M3.3： 文件过 滤设备接收到信息后存 储到访问权限控制模块；权　利　要　求　书 2/3 页 3 CN 115495782 A 3