CN101106567A - 数据处理系统和文件系统防火墙方法 - Google Patents
数据处理系统和文件系统防火墙方法 Download PDFInfo
- Publication number
- CN101106567A CN101106567A CN 200710101170 CN200710101170A CN101106567A CN 101106567 A CN101106567 A CN 101106567A CN 200710101170 CN200710101170 CN 200710101170 CN 200710101170 A CN200710101170 A CN 200710101170A CN 101106567 A CN101106567 A CN 101106567A
- Authority
- CN
- China
- Prior art keywords
- file
- rule
- keyword
- file system
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明的实施例解决了有关文件系统存取的领域中的缺陷,并且提供了一种用于文件系统防火墙的方法、系统和装置。在本发明的一个实施例中,能提供一种被配置用于文件系统存取的数据处理系统。该数据处理系统包括文件系统、操作系统、存取规则集、以及位于文件系统和操作系统间的文件系统防火墙,其中每一规则具有相关联的规则关键字。该文件系统防火墙包括被启用用于根据存取规则集中的与从文件系统请求中的基于应用的属性形成的规则关键字相关联的存取规则,允许或拒绝该文件系统请求的程序代码。
Description
技术领域
本发明涉及计算安全领域,并且更具体地说涉及文件系统安全。
背景技术
计算安全已经日益变为参与可本地和全球存取的计算机网络的信息技术人员的关注焦点。特别地,通过甚至在小企业内利用网络计算的可用性和可承受能力,许多计算机和小型计算机网络不断地为大量终端用户提供存取。尽管获得了效率,但是网络计算不是没有其代价的。具体地说,迄今仍然保持脱离互联网的安全风险的那些计算机和计算机网络现在已经变为恶意互联网黑客、解密高手(cracker)和脚本小子(script kiddies)(他们被统称为“恶意黑客”)的主要目标。
计算网络包含网关交换机以便将信息的入口和出口调节成网络的不同段。与网关交换机相关联地部署防火墙技术,以便阻止恶意黑客入侵计算网络。通常,防火墙检查到来的数据包,以便检测已知与恶意黑客的活动相关联的信息模式。通过参考已知的模式表静态地、或者根据包的状态检测动态地检测这些模式。
对网络存取进行管理,仅仅部分地解决了对于计算网络的网络安全的需求。还必须管理文件存取以便仅仅允许经授权的用户存取和操作文件系统内的文件。然而,在网络存取中,流向网络和从网络流出的信息内容形成了用于文件系统文件存取、那一天所拥有的用户权限和存取控制策略的安全管理的基础。具体地说,用户存取文件系统内的文件的能力主要取决于指定给该用户的权限和与该文件相关联的许可。
尽管从试图存取文件的用户的标识的观点来看解决文件系统安全仍然是明智的问题,但是,专门这样做忽略了应用代码能够与心存恶意的终端用户同样有效地恶意阻止计算环境的操作的现实情况。然而,最糟的是,应用代码能对文件系统造成损害,而与启动执行应用代码的终端用户的技巧和知识无关。然而,对文件系统的存取控制专门依赖于终端用户的相关许可。因此,文件系统存取仍然是计算企业的弱点。
发明内容
本发明的实施例解决了有关文件系统存取的领域中的缺陷,并且提供了一种用于文件系统防火墙的新颖且非显而易见的方法、系统和装置。在本发明的一个实施例中,能够提供一种被配置用于文件系统存取的数据处理系统。该数据处理系统能包括文件系统、操作系统、存取规则集、以及位于文件系统和操作系统间的文件系统防火墙,其中每一存取规则具有相关联的规则关键字。该文件系统防火墙能包括被启用用于根据存取规则集中的、与从文件系统请求中的基于应用的属性形成的规则关键字相关联的存取规则,允许或拒绝该文件系统请求的程序代码。
在本实施例的一个方面中,能从提出请求的应用的应用标识符形成相关联的规则关键字。在本实施例的另一方面中,能从提出请求的应用的应用标识符和该提出请求的应用的用户标识符形成相关联的规则关键字。在本实施例的另一方面中,能从应用标识符和请求类型形成相关联的规则关键字。在后一情况下,请求类型能包括从由文件打开请求类型、文件读取请求类型、文件写入请求类型和文件删除请求类型组成的组中选择的请求类型。
在本发明的另一实施例中,能提供一种文件系统防火墙方法。该方法能够包括:接收对于文件系统中的文件的文件系统存取请求;从该请求中识别至少一个基于应用的属性;从该至少一个基于应用的属性形成规则关键字;利用规则关键字定位存取规则;以及,仅当存取规则允许时,才允许存取文件系统中的文件,否则拒绝存取该文件。该方法能进一步包括:未能利用规则关键字定位存取规则;向终端用户提示允许或拒绝存取该文件的选择;以及,仅当终端用户允许时,才允许存取文件系统中的文件。该方法还能够包括:提示终端用户将该选择坚持作为规则;以及,仅当终端用户已经选择了将该选择坚持作为规则时,才创建用于该选择的规则,将该规则与规则关键字相关联,并且存储该规则,以便用于后续定位。
本发明的另外方面将在下述的说明书中部分地加以阐述,并且将部分地从该说明书中得知,或可以通过实施本发明获悉。借助于在所附权利要求中具体指出的元件和组合,能实现和获得本发明的这些方面。应当理解,上述概述和下述的详细描述仅仅是示例性和说明性的,并不是对所请求保护的发明构成限制。
附图说明
包含在本说明书中并构成其一部分的附图示例说明了本发明的实施例,并且它们连同说明书文字部分一起用来解释本发明的原理。在此所示的实施例是目前优选的,然而,应当理解,本发明不局限于所示的精确配置和手段,其中:
图1是配置具有文件系统防火墙的数据处理系统的示意例图;
图2是配置具有文件系统防火墙的数据处理系统的框图;以及
图3是示例说明了在文件系统防火墙中对存取文件系统中的文件进行管理的处理的流程图。
具体实施方式
本发明的实施例提供了一种用于文件系统防火墙的方法、系统和计算机程序产品。根据本发明的实施例,能在计算环境中将文件系统防火墙耦合到文件系统。文件系统防火墙能截取文件存取请求,并且能从该请求中提取请求属性,诸如提出请求的应用和应用用户。对于每一请求,可以从这些属性中所选的某些属性形成关键字,并将其应用于存取规则集上以便定位用于该请求的特定规则。此后,仅当所定位的规则允许时,才允许该请求。否则,能拒绝该请求。用这种方式,能将基于应用的安全性应用于文件系统中的文件之上。
在另一例图中,图1是配置具有文件系统防火墙的数据处理系统的示意例图。如图1所示,数据处理系统能包括在网络环境130中耦合到主机计算平台120的一个或多个客户机计算设备110。客户机计算设备110能托管试图存取由主机计算平台120管理的文件系统140中的文件的应用(未示出)的操作。存取文件系统140中的文件通常能包括请求打开、读取、写入和删除文件系统140中的文件的请求。
文件系统防火墙逻辑300能耦合到主机计算平台120。文件系统防火墙逻辑300能包括被启用用于向由在客户机计算设备110中执行的应用发布的请求存取文件系统140中的文件的请求应用存取规则150的程序代码。具体地说,能启用文件系统防火墙300的程序代码,以基于在文件系统存取请求中提供的一个或多个属性160,诸如应用标识符和用户标识符,定位用于该文件系统存取请求的可应用规则。在不存在用于特定请求的规则的情况下,能提示提出请求的终端用户建立规则或者允许一次决定是允许还是拒绝该请求。
在更具体的例图中,图2是配置具有文件系统防火墙的数据处理系统的框图。数据处理系统能包括主机计算平台210,其包括足够的处理硬件以便启用对文件系统220的操作。操作系统250能耦合到文件系统220,并且能支持一个或多个应用260的执行。操作系统250能进一步通过将请求传送到文件系统220而减缓来自应用260的文件系统存取请求。
文件系统防火墙230能设置在操作系统250和文件系统220之间,并且能基于与文件系统防火墙相关联的存取规则240对存取文件系统220中的文件进行限制。具体来说,文件系统防火墙230能基于任何给定文件系统请求中可识别的属性,定位存取规则240中的一个或多个可应用规则。可应用规则能特别涉及应用本身的标识,以便将基于应用的规则应用于文件系统请求。可应用规则能进一步涉及存在所请求的文件的文件系统目录。
在另一例图中,图3是示例说明了用于在文件系统防火墙中管理对文件系统的文件的存取的处理的流程图。在块305中开始,能在文件系统防火墙中接收文件系统请求。在块310中,能识别请求属性,其中包括提出请求的应用标识、终端用户标识、所请求文件的文件系统目录以及请求类型,诸如文件打开请求类型、文件读取请求类型、文件写入请求类型以及文件删除请求类型,以便仅命名几个请求类型。在块315中,基于一个或多个请求属性,构造规则关键字。值得注意的是,在本发明的一个方面中,用于文件系统请求的可应用规则能够包含用于所请求文件的文件系统目录属性,以便使写入存取仅限于用于所请求文件的安装目录和子目录内的那些文件,或者仅允许对包括那些包含系统库的目录在内的剩余目录的读取存取。
此后,在块320,使用规则关键字作为关键字,对存取规则集执行查找。在判定块325,如果定位了一个规则,则在判定块330,能确定是允许还是拒绝该存取请求。在拒绝的情况下,处理过程能通过块335继续。否则,处理过程能通过块340继续。在判定块325,如果对于给定的规则关键字不能定位规则,则在块345,能提示终端用户指示是否允许该存取请求。该提示另外还能够包括用于指示是否将终端用户的选择坚持作为规则的用户界面元素。在判定块350,如果终端用户确定将所述选择坚持作为规则,则在块355,能够利用规则关键字将该选择写入规则集中。在任一情况下,在判定块330中,如果终端用户选择拒绝文件系统请求,则在块335,能拒绝该请求。否则,在块340,能允许该请求。
本发明的实施例能够采用完全硬件的实施例、完全软件的实施例、或包含硬件和软件元素这两者的实施例的形式。在优选实施例中,本发明用软件实现,其中包括但不局限于固件、驻留软件、微代码等。此外,本发明能够采用可从提供用于由计算机或任何指令执行系统使用或结合其使用的程序代码的计算机可用或计算机可读介质中存取的计算机程序产品的形式。
为了本说明书的目的,计算机可用或计算机可读介质能够是任何能包含、存储、通信、传播或传输用于由指令执行系统、装置或设备使用或结合其使用的程序的装置。介质能够是电、磁、光、电磁、红外或半导体系统(或装置或设备),或传播介质。计算机可读介质的例子包括半导体或固态存储器、磁带、可移动计算机盘、随机存取存储器(RAM)、只读存储器(ROM)、刚性磁盘和光盘。光盘的当前例子包括紧密盘-只读存储器(CD-ROM)、紧密盘-读/写(CD-R/W)和DVD。
适合于存储和/或执行程序代码的数据处理系统将包括通过系统总线直接或间接耦合到存储器元件的至少一个处理器。存储器元件能包括在实际执行程序代码期间采用的本地存储器、大容量存储设备、以及提供至少一些程序代码的临时存储以便降低在执行期间必须从大容量存储设备中取得代码的次数的高速缓存存储器。输入/输出或I/O设备(包括但不局限于键盘、显示器、指示设备等)能直接地或通过介于其间的I/O控制器耦合到系统。也可以将网络适配器耦合到系统,以便允许数据处理系统通过介于其间的专用或公用网络耦合到其他数据处理系统或远程打印机或存储设备。调制解调器、电缆调制解调器和以太网卡仅是一些当前可用类型的网络适配器。
Claims (13)
1.一种被配置用于文件系统存取的数据处理系统,该数据处理系统包括:
文件系统;
操作系统;
存取规则集,每一存取规则具有相关联的规则关键字;以及
位于文件系统和操作系统间的文件系统防火墙,该文件系统防火墙包括被启用用于根据存取规则集中的与从文件系统请求中的基于应用的属性形成的规则关键字相关联的存取规则,允许或拒绝该文件系统请求的程序代码。
2.如权利要求1所述的系统,其中,从提出请求的应用的应用标识符形成相关联的规则关键字。
3.如权利要求1所述的系统,其中,从提出请求的应用的应用标识符和该提出请求的应用的用户标识符形成相关联的规则关键字。
4.如权利要求1所述的系统,其中,从应用标识符和请求类型形成相关联的规则关键字。
5.如权利要求1所述的系统,其中,从应用标识符和所请求文件的文件系统目录形成相关联的规则关键字。
6.如权利要求4所述的系统,其中,请求类型包括从由文件打开请求类型、文件读取请求类型、文件写入请求类型和文件删除请求类型组成的组中选择的请求类型。
7.一种文件系统防火墙方法,包括:
接收对于文件系统中的文件的文件系统存取请求;
从该请求中识别至少一个基于应用的属性;
从该至少一个基于应用的属性形成规则关键字;
利用规则关键字定位存取规则;以及
仅当存取规则允许时,才允许存取文件系统中的文件,否则拒绝存取该文件。
8.如权利要求7所述的方法,进一步包括:
未能利用规则关键字定位存取规则;
向终端用户提示允许或拒绝存取该文件的选择;以及
仅当终端用户允许时,才允许存取文件系统中的文件。
9.如权利要求8所述的方法,进一步包括:
提示终端用户将该选择坚持作为规则;以及
仅当终端用户已经选择了将该选择坚持作为规则时,才创建用于该选择的规则,将该规则与规则关键字相关联,并且存储该规则,以便用于后续定位。
10.如权利要求7所述的方法,其中,从至少一个基于应用的属性形成规则关键字的步骤包括:从应用标识符和相关联的终端用户的标识符形成规则关键字。
11.如权利要求7所述的方法,其中,从至少一个基于应用的属性形成规则关键字的步骤包括:从应用标识符和文件系统请求的类型形成规则关键字。
12.如权利要求7所述的方法,其中,从至少一个基于应用的属性形成规则关键字的步骤包括:从应用标识符和所请求文件的文件系统目录形成规则关键字。
13.如权利要求7所述的方法,其中,从至少一个基于应用的属性形成规则关键字的步骤包括:从应用标识符、相关联的终端用户的标识符和文件系统请求的类型形成规则关键字。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/457,378 | 2006-07-13 | ||
| US11/457,378 US8909799B2 (en) | 2006-07-13 | 2006-07-13 | File system firewall |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101106567A true CN101106567A (zh) | 2008-01-16 |
Family
ID=38950550
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710101170 Pending CN101106567A (zh) | 2006-07-13 | 2007-05-09 | 数据处理系统和文件系统防火墙方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8909799B2 (zh) |
| CN (1) | CN101106567A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102722500A (zh) * | 2011-03-31 | 2012-10-10 | 中国电信股份有限公司 | 一种虚拟文件系统及其实现方法 |
| CN106027609A (zh) * | 2016-05-05 | 2016-10-12 | 深圳前海大数点科技有限公司 | 一种物联网服务系统 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9270766B2 (en) * | 2011-12-30 | 2016-02-23 | F5 Networks, Inc. | Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof |
| US10074360B2 (en) * | 2014-09-30 | 2018-09-11 | Apple Inc. | Providing an indication of the suitability of speech recognition |
| CA3170704A1 (en) * | 2020-03-03 | 2021-09-10 | Neil Brown | System and method for securing cloud based services |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4864616A (en) | 1987-10-15 | 1989-09-05 | Micronyx, Inc. | Cryptographic labeling of electronically stored data |
| US4884616A (en) * | 1988-09-23 | 1989-12-05 | Home Fashions, Inc. | Vertical blind louver having transparent grooved side edges |
| JPH06138969A (ja) | 1992-10-27 | 1994-05-20 | Hitachi Ltd | 機密保護方式 |
| US7035850B2 (en) * | 2000-03-22 | 2006-04-25 | Hitachi, Ltd. | Access control system |
| AU2002344272A1 (en) | 2001-05-29 | 2002-12-09 | International Business Machines Corporation | Method and system in an office application for providing content dependent help information |
| US7110982B2 (en) * | 2001-08-27 | 2006-09-19 | Dphi Acquisitions, Inc. | Secure access method and system |
| JP2003140994A (ja) * | 2001-11-01 | 2003-05-16 | Hitachi Ltd | ファイアウォール計算機システム |
| US7188127B2 (en) | 2003-10-07 | 2007-03-06 | International Business Machines Corporation | Method, system, and program for processing a file request |
| JP4097623B2 (ja) | 2004-04-26 | 2008-06-11 | システムニーズ株式会社 | 本人認証インフラストラクチャシステム |
| JP4491273B2 (ja) * | 2004-05-10 | 2010-06-30 | 株式会社日立製作所 | ストレージシステム、ファイルアクセス制御プログラム及びファイルアクセス制御方法 |
| US7966643B2 (en) * | 2005-01-19 | 2011-06-21 | Microsoft Corporation | Method and system for securing a remote file system |
| US20060218165A1 (en) * | 2005-03-23 | 2006-09-28 | Vries Jeffrey De | Explicit overlay integration rules |
-
2006
- 2006-07-13 US US11/457,378 patent/US8909799B2/en active Active
-
2007
- 2007-05-09 CN CN 200710101170 patent/CN101106567A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102722500A (zh) * | 2011-03-31 | 2012-10-10 | 中国电信股份有限公司 | 一种虚拟文件系统及其实现方法 |
| CN102722500B (zh) * | 2011-03-31 | 2017-03-15 | 中国电信股份有限公司 | 一种虚拟文件系统及其实现方法 |
| CN106027609A (zh) * | 2016-05-05 | 2016-10-12 | 深圳前海大数点科技有限公司 | 一种物联网服务系统 |
| CN106027609B (zh) * | 2016-05-05 | 2019-04-02 | 深圳大数点科技有限公司 | 一种物联网服务系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8909799B2 (en) | 2014-12-09 |
| US20080016212A1 (en) | 2008-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8776196B1 (en) | Systems and methods for automatically detecting and preventing phishing attacks | |
| CN105453102B (zh) | 用于识别已泄漏的私有密钥的系统和方法 | |
| CN106133743B (zh) | 用于优化预安装应用程序的扫描的系统和方法 | |
| US8627469B1 (en) | Systems and methods for using acquisitional contexts to prevent false-positive malware classifications | |
| US9100426B1 (en) | Systems and methods for warning mobile device users about potentially malicious near field communication tags | |
| US9038158B1 (en) | Systems and methods for enforcing geolocation-based policies | |
| CN1992596A (zh) | 用户验证设备和用户验证方法 | |
| US20140137254A1 (en) | Malicious website identifying method and system | |
| EP3014515B1 (en) | Systems and methods for directing application updates | |
| CN101894225A (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
| US9888035B2 (en) | Systems and methods for detecting man-in-the-middle attacks | |
| US9973525B1 (en) | Systems and methods for determining the risk of information leaks from cloud-based services | |
| CN104769598A (zh) | 用于检测非法应用程序的系统和方法 | |
| CN108293044A (zh) | 用于经由域名服务流量分析来检测恶意软件感染的系统和方法 | |
| US8321940B1 (en) | Systems and methods for detecting data-stealing malware | |
| WO2014075537A1 (en) | Malicious website identifying method and system | |
| CN101106567A (zh) | 数据处理系统和文件系统防火墙方法 | |
| CN106547791A (zh) | 一种数据访问方法及系统 | |
| US8108935B1 (en) | Methods and systems for protecting active copies of data | |
| CN104318153A (zh) | 一种在线监测移动设备下载移动应用的系统 | |
| KR101586048B1 (ko) | 불법 어플리케이션 차단 시스템 및 서버, 이를 위한 통신 단말기 및 불법 어플리케이션 차단 방법과 기록매체 | |
| CN114244568B (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
| US9245132B1 (en) | Systems and methods for data loss prevention | |
| US10089469B1 (en) | Systems and methods for whitelisting file clusters in connection with trusted software packages | |
| US9146950B1 (en) | Systems and methods for determining file identities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080116 |