文件资源是计算系统最主要的资源之一，现有Windows操作系统对文件资源的使用都是以用户为主体，访问控制大都采用自主访问控制的方式，对文件的加密只支持NTFS文件系统，这样的设计一方面用户可以随意更改文件资源的访问权限，控制力度不够，另一方面，对于FAT等其它文件系统不能提供加密支持，机密文件被U盘拷走、恶意分发、复制的可能性很大，存在较大的安全隐患。　　 本课题设计了一个基于角色的访问控制和过滤驱动加密的文件保护方案，在Windows NT平台上增加了角色，用户登录之时给它分配角色，由角色来关联操作，这样文件访问的主体就变成了角色，细化了访问控制的粒度的同时又增加了管理的灵活度。设计的关键是角色的授权，角色主体相对于用户不稳定，角色定义和授权可以由系统管理员统一分配，对文件的访问权限在文件创建之初由创建者设定。整个访问控制的实现层次位于windows应用层，为了防止文件非法盗走，系统进一步在内核层引入了加密功能，在文件系统驱动的上层加载过滤驱动，依据应用层的访问控制策略，在写文件完成之后对文件进行加密，在读文件之前对文件进行解密，这样能保证数据在硬盘上始终以密文形式存在，即使被盗走也无法正常使用，加密的过程对用户而言是透明的，不影响用户的使用习惯。　　 本保护方案主要采用了基于角色的访问控制和过滤驱动加密两种技术，两个功能模块相对独立，用户可以在不改变内核加密模块的基础上改换其它访问控制方式，扩展性很好，所采用的技术和方案在安全领域具有非常重要的研究和推广价值。