Windows平台下基于虚拟设备的访问控制模型研究

"这篇文章是工程技术类的论文，由黄凌翔和顾明撰写，发表于2011年，探讨了一种基于虚拟设备的访问控制模型，主要应用于Windows操作系统的I/O模型。该模型旨在提高访问控制系统的便携性和易用性，通过使用加密文件作为容器的虚拟设备，在用户态和内核态实现授权判断、透明加解密以及访问重定向功能。" 在当前的网络安全环境中，访问控制是确保数据安全的关键组件。传统的访问控制机制往往存在移植性差、用户交互复杂等问题。黄凌翔和顾明提出的模型创新性地将虚拟设备与加密文件相结合，以解决这些问题。这个模型的核心在于创建一个虚拟设备，它实际上是一个包含加密数据的容器，能够对用户的读写操作进行实时处理。 首先，模型在用户态执行授权判定，这意味着在用户尝试访问数据之前，系统会检查其权限，只有当用户被授权时，才能继续进行后续操作。这一过程提高了访问控制的效率和安全性。 其次，透明加解密技术使得用户在使用数据时无需关心加密状态，数据在读取时自动解密，写入时自动加密，提升了用户体验。这种透明处理方式降低了用户的学习成本，同时也保障了数据在存储和传输过程中的安全性。 再者，访问重定向功能允许系统根据访问控制策略，将数据请求导向不同的位置，例如，可以将未授权用户的读取请求重定向到无权限的区域，或者将合法用户的请求导向加密的文件。 为了实现这一模型，作者使用了API钩子技术来监控和拦截系统调用，确保所有的文件访问都经过访问控制。虚拟设备驱动则负责模拟实际硬件设备，处理来自上层应用程序的数据请求。同时，过滤驱动被用于在数据流经操作系统I/O层时执行特定的处理，如加解密。 在论文中，作者还对模型进行了性能测试，验证了其在实际环境中的效果，并展示了两种可能的应用扩展，这表明该模型具有良好的可扩展性和实用性。通过这种方式，可以构建出适应不同需求的定制化访问控制系统。 这篇论文为访问控制领域提供了一个新的视角，即利用虚拟设备和加密技术来增强系统的便携性和易用性。这种方法不仅提高了数据保护的能力，而且降低了用户与安全机制之间的交互复杂度，对实际的系统安全设计和实施具有重要的参考价值。