CN101763225A - 一种保护虚拟磁盘文件的系统及方法 - Google Patents
一种保护虚拟磁盘文件的系统及方法 Download PDFInfo
- Publication number
- CN101763225A CN101763225A CN201010019585A CN201010019585A CN101763225A CN 101763225 A CN101763225 A CN 101763225A CN 201010019585 A CN201010019585 A CN 201010019585A CN 201010019585 A CN201010019585 A CN 201010019585A CN 101763225 A CN101763225 A CN 101763225A
- Authority
- CN
- China
- Prior art keywords
- virtual disk
- file
- management
- files
- image
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种保护虚拟磁盘文件的系统及方法,涉及网络安全领域,用以解决现有技术对影像为虚拟盘的原文件以及影像后的虚拟盘文件缺乏有效保护的问题。系统包括:进程策略管理模块,用于配置进程管理策略;文件过滤驱动模块,用于根据配置的进程管理策略对虚拟磁盘的原影像文件及影像后的虚拟盘文件的各种操作事件进行过滤;虚拟磁盘驱动模块,用于对滤后的操作事件指向的文件进行文件系统的转换。方法包括:配置进程管理策略;根据配置的进程管理策略对虚拟磁盘的原影像文件及影像后的虚拟盘文件的各种操作事件进行过滤;对滤后的操作事件指向的文件进行文件系统的转换。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种保护虚拟磁盘文件的系统及方法。
背景技术
目前,虚拟盘技术得到了广泛的应用,例如:出现了不少的虚拟光驱、虚拟磁盘等实现工具,主要应用于快速地安装各类(如ISO、BIN等)光盘影像文件;另外,目前上也出现了一些类似文件保险柜的实现工具或商业软件,就是以文件作为存储媒体,使用虚拟盘技术将文件映射为一个虚拟盘,以实现用户的透明性文件操作。
参见图1所示,现有技术方案由应用层的图形用户接口GUI((GraphicalUser Interface)管理程序和内核层的虚拟磁盘驱动两部分组成,其中GUI管理程序与用户进行交互,负责对虚拟盘进行管理,包括虚拟盘实例的创建与删除、虚拟盘使用的认证、虚拟盘影像、以及登陆帐号及权限的管理等;虚拟磁盘驱动负责把文件I/O(NTFS、FAT32、FAT16等文件系统)转换为自身的文件系统(自身采用FAT32文件系统)并采用AES256加解密算法对数据进行加解密处理,保证数据的保密性。
进一步参见图2所示,GUI管理程序由GUI模块、虚拟盘实例管理模块和用户管理模块组成,其中GUI模块负责以窗体界面的形式与用户进行交互,包括登陆界面、虚拟盘实例管理界面、用户管理界面等;用户管理模块负责用户及其权限的配置、加载和保存等;虚拟盘实例管理模块负责对虚拟盘实例的管理,包括虚拟盘实例的增加、删除、加载和卸载等功能,其中虚拟盘实例的加载和卸载通过IOCTRL把相关子令发给内核层虚拟盘驱动程序,由该驱动程序完成加载和卸载。
虚拟磁盘驱动程序由驱动加载例程、驱动卸载例程、DEVICE IOCTRL事件处理例程和文件I/O事件处理例程等组成,其中驱动加载例程负责驱动实例的创建、各种处理例程的初始化及相关内存变量的分配等;驱动卸载例程负责相关内存的释放、驱动实例的释放等;DEVICE IOCTRL事件处理例程负责与用户层GUI管理程序进行通信,处理GUI管理程序的相关子令并返回处理结果;文件I/O事件处理例程作为本驱动的核心部分,负责把I/O管理器传来的文件I/O事件(包括文件创建、文件打开、文件删除、文件数据读写、文件属性读写等)进行处理(数据转换和数据加解密等),参见图3所示,其中对于写操作(创建文件、写文件、设置属性等),首先把送来的原始文件数据转换成自己的文件格式(采用FAT32文件系统格式),对转换后的数据进行加密,通过调用下层磁盘驱动程序写入数据,对于读操作(打开文件、读文件、读属性等),自先把原始请求数据转换成自己的文件格式后调用下层磁盘驱动程序读取数据,把读取后的数据进行解密后返回给上层。
综上,现有技术对影像为虚拟盘的原文件以及影像后的虚拟盘文件缺乏有效的保护,容易受到病毒或木马程序的破坏、盗窃,造成资料泄密,大大降低本系统的安全性。
发明内容
本发明提供了一种保护虚拟磁盘文件的系统及方法,用以解决现有技术对影像为虚拟盘的原文件以及影像后的虚拟盘文件缺乏有效保护的问题。
本发明的一种保护虚拟磁盘文件的系统,包括:进程策略管理模块,用于配置进程管理策略;文件过滤驱动模块,用于根据配置的进程管理策略对虚拟磁盘的原影像文件及影像后的虚拟盘文件的各种操作事件进行过滤;虚拟磁盘驱动模块,用于对滤后的操作事件指向的文件进行文件系统的转换。
本发明的一种保护虚拟磁盘文件的方法,包括下列步骤:配置进程管理策略;根据配置的进程管理策略对虚拟磁盘的原影像文件及影像后的虚拟盘文件的各种操作事件进行过滤;对滤后的操作事件指向的文件进行文件系统的转换。
本发明有益效果如下:
通过使用文件过滤驱对虚拟磁盘的原影像文件及影像后的虚拟盘文件的访问进程进行控制,禁止了病毒或木马程序对上述文件的破坏或盗窃,实现了访问的可控性和数据的安全性。
附图说明
图1为现有技术的系统结构图;
图2为现有技术系统的工作原理图;
图3为现有技术系统中文件I/O事件处理原理图;
图4为本发明实施例1中的系统示意图;
图5为本发明实施例2中的系统结构图;
图6为本发明实施例3中的系统工作原理图;
图7为本发明实施例4中的方法流程图;
图8为本发明实施例5中的文件过滤驱动-文件I/O事件处理原理图。
具体实施方式
为了对影像为虚拟盘的原文件以及影像后的虚拟盘文件进行有效的保护,发明人的主要思路是在文件过滤驱动中实现进程防火墙的功能以及把该技术应用于对影像为虚拟盘的原文件和影像后的虚拟盘文件的保护中。以下通过若干实施例和附图详细说明。
实施例1、参见图4所示,本实施例的系统包括:进程策略管理模块、文件过滤驱动模块和虚拟磁盘驱动模块。
其中,进程策略管理模块,用于配置进程管理策略;
其中,文件过滤驱动模块用于根据配置的进程管理策略对虚拟磁盘的原影像文件及影像后的虚拟盘文件的各种操作事件进行过滤;
其中,虚拟磁盘驱动模块用于对滤后的操作事件指向的文件进行文件系统的转换。
实施例2、在具体实现中,上述进程策略管理模块、文件过滤驱动模块和虚拟磁盘驱动模块分别可用应用层管理程序、文件过滤驱动程序及虚拟磁盘驱动置换。本实施例的系统在现有系统的基础上增加了应用层的进程策略管理部分和内核层文件过滤驱动。参见图5所示,具体系统结构主要由应用层管理程序、文件过滤驱动程序及虚拟磁盘驱动三部分组成。
由应用层的GUI管理程序与用户进行交互,负责对虚拟盘进行管理,包括虚拟盘实例的创建与删除、虚拟盘使用的认证、虚拟盘影像、以及登陆帐号及权限的管理等。并且可通过GUI管理程序,由用户对进程管理策略进行配置。
之后在内核层中,I/O管理器接收到外部发来的文件I/O操作,并将该操作的操作对象文件以及触发该操作的应用程序类型发给文件过滤驱动。
其后,文件过滤驱动负责对虚拟磁盘的原影像文件及影像后的虚拟盘文件的文件各种操作(包括文件列表、文件数据读写、文件属性读写等)进行过滤,在过滤例程中可根据配置的进程管理策略对访问进程进行控制,例如可配置成只有本系统的应用层管理程序能对虚拟磁盘的原影像文件进行访问,只有桌面程序及其它文件关联的应用程序(如OFFICE程序等)能对影像后的虚拟盘文件进行访问。
经过滤后,虚拟磁盘驱动通过磁盘驱动与磁盘交互,负责将滤后操作指向的文件I/O(NTFS、FAT32、FAT16等文件系统)转换为自身的文件系统(自身采用FAT32文件系统)并采用AES256加解密算法对数据进行加解密处理,保证数据的保密性。
实施例3、基于实施例2,本实施例详述本发明系统的工作原理。
参见图6所示,GUI管理程序由GUI模块、虚拟盘实例管理模块、用户管理模块和新增的进程策略管理模块组成。其中GUI模块负责以窗体界面的形式与用户进行交互,包括登陆界面、虚拟盘实例管理界面、用户管理界面等;用户管理模块负责用户及其权限的配置、加载和保存等;虚拟盘实例管理模块负责对虚拟盘实例的管理,包括虚拟盘实例的增加、删除、加载和卸载等功能,其中虚拟盘实例的加载和卸载通过IOCTRL把相关子令发给内核层虚拟盘驱动程序,由该驱动程序完成加载和卸载;进程策略管理模块负责把用户制定的合法策略表下发给内核层文件过滤驱动程序。
内核层文件过滤驱动程序(即文件过滤驱动模块),该驱动程序负责接收和保存应用层管理程序下发的进程策略,同时负责过滤文件I/O管理器传来的文件操作事件,在各种文件操作事件处理例程中首先取得当前的进程信息,根据进程策略判定该进程是否合法,如果为合法进程则把该文件I/O调用下发给下一层虚拟盘驱动程序(即虚拟磁盘驱动模块),如果为非法进程则立即返回,不下发该文件I/O调用,从而达到过滤非法进程的文件操作的效果。
虚拟磁盘驱动程序由驱动加载例程、驱动卸载例程、DEVICE IOCTRL事件处理例程和文件I/O事件处理例程等组成,其中驱动加载例程负责驱动实例的创建、各种处理例程的初始化及相关内存变量的分配等;驱动卸载例程负责相关内存的释放、驱动实例的释放等;DEVICE IOCTRL事件处理例程负责与用户层GUI管理程序进行通信,处理GUI管理程序的相关子令并返回处理结果;文件I/O事件处理例程作为本驱动的核心部分,负责把I/O管理器传来的文件I/O事件(包括文件创建、文件打开、文件删除、文件数据读写、文件属性读写等)进行处理(数据转换和数据加解密等)。
实施例4、参见图7所示,本实施例的方法包括下列步骤:
S1、配置进程管理策略。
S2、根据配置的进程管理策略对虚拟磁盘的原影像文件及影像后的虚拟盘文件的各种操作事件进行过滤。
S3、对滤后的操作事件指向的文件进行文件系统的转换。
实施例5、本实施例详述方法流程。
首先,由用户配置进程管理策略,例如:可配置成只有本系统的应用层管理程序能对虚拟磁盘的原影像文件进行访问,只有桌面程序及其它文件关联的应用程序(如OFFICE程序等)能对影像后的虚拟盘文件进行访问。
配置后,参加图8所示,为过滤文件I/O事件处理原理图。在各种文件操作事件处理例程中,首先挂接各种文件的操作例程,以取得当前的进程信息。之后根据进程策略判定该进程是否合法,如果为合法进程则把该文件I/O调用下发,如果为非法进程则立即返回,达到过滤非法进程的文件操作的效果。
最后,对滤后的合法进程指向的文件进行文件系统的转换。
综上,由于本发明在应用层增加了进程策略管理部分,并在内核层引入了文件过滤驱动,所以使得本发明在处理针对虚拟磁盘的原影像文件及影像后的虚拟盘文件的各种操作时,可采取根据进程策略过滤非法操作的机制,从而实现了有效保护影像为虚拟盘的原文件以及影像后的虚拟盘文件的目的。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (6)
1.一种保护虚拟磁盘文件的系统,其特征在于,包括:
进程策略管理模块,用于配置进程管理策略;
文件过滤驱动模块,用于根据配置的进程管理策略对虚拟磁盘的原影像文件及影像后的虚拟盘文件的各种操作事件进行过滤;
虚拟磁盘驱动模块,用于对滤后的操作事件指向的文件进行文件系统的转换。
2.如权利要求1所述保护虚拟磁盘文件的系统,其特征在于,文件过滤驱动模块的过滤逻辑为在所述各种文件操作事件处理例程中取得当前的进程信息;根据进程管理策略判断该进程是否合法,如果合法,则将该进程的文件I/O调用下发给虚拟磁盘驱动模块,如果非法,则不向虚拟磁盘驱动模块下发该文件I/O调用。
3.如权利要求1或2所述保护虚拟磁盘文件的系统,其特征在于,进程策略管理模块配置的进程管理策略包括:
本系统的应用层管理程序能对虚拟磁盘的原影像文件进行访问;
文件关联的应用程序能对影像后的虚拟盘文件进行访问。
4.一种保护虚拟磁盘文件的方法,其特征在于,包括下列步骤:
配置进程管理策略;
根据配置的进程管理策略对虚拟磁盘的原影像文件及影像后的虚拟盘文件的各种操作事件进行过滤;
对滤后的操作事件指向的文件进行文件系统的转换。
5.如权利要求4所述保护虚拟磁盘文件的方法,其特征在于,所述对各种操作事件进行过滤,包括下列步骤:
在所述各种文件操作事件处理例程中取得当前的进程信息;
根据进程管理策略,判断该进程是否合法,如果合法,则将该进程的文件I/O调用下发;如果非法,则不下发该文件I/O调用。
6.如权利要求4或5所述保护虚拟磁盘文件的方法,其特征在于,所述配置的进程管理策略包括:
本系统的应用层管理程序能对虚拟磁盘的原影像文件进行访问;
文件关联的应用程序能对影像后的虚拟盘文件进行访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010019585A CN101763225A (zh) | 2010-01-22 | 2010-01-22 | 一种保护虚拟磁盘文件的系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010019585A CN101763225A (zh) | 2010-01-22 | 2010-01-22 | 一种保护虚拟磁盘文件的系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101763225A true CN101763225A (zh) | 2010-06-30 |
Family
ID=42494408
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010019585A Pending CN101763225A (zh) | 2010-01-22 | 2010-01-22 | 一种保护虚拟磁盘文件的系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101763225A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102821094A (zh) * | 2012-07-09 | 2012-12-12 | 深圳市深信服电子科技有限公司 | 虚拟桌面中的数据安全处理方法及系统 |
| CN103198102A (zh) * | 2013-03-20 | 2013-07-10 | 广东欧珀移动通信有限公司 | 一种Android设备内置硬盘文件系统的转换方法和装置 |
| CN103235905A (zh) * | 2013-04-27 | 2013-08-07 | 成都菲普迪斯科技有限公司 | Dudp实时数据保护方法 |
| WO2013189008A1 (en) * | 2012-06-18 | 2013-12-27 | Honeywell International Inc. | Design pattern for secure store |
| CN103870761A (zh) * | 2012-12-11 | 2014-06-18 | 深圳市深信服电子科技有限公司 | 基于本地虚拟环境的防泄密方法及装置 |
| CN105550582A (zh) * | 2015-12-11 | 2016-05-04 | 福建联迪商用设备有限公司 | 访问虚拟磁盘的方法及系统 |
| CN105590067A (zh) * | 2015-12-17 | 2016-05-18 | 武汉理工大学 | 一种基于用户空间文件系统的文件加密系统 |
| CN109857332A (zh) * | 2017-11-30 | 2019-06-07 | 北京京穗蓝盾信息安全技术有限公司 | 一种虚拟机磁盘文件保密检查的方法及装置 |
| CN110413567A (zh) * | 2019-07-07 | 2019-11-05 | 上海鸿翼软件技术股份有限公司 | 一种基于文件过滤驱动的虚拟网盘技术装置 |
-
2010
- 2010-01-22 CN CN201010019585A patent/CN101763225A/zh active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9659183B2 (en) | 2012-06-18 | 2017-05-23 | Honeywell International Inc. | Pattern for secure store |
| WO2013189008A1 (en) * | 2012-06-18 | 2013-12-27 | Honeywell International Inc. | Design pattern for secure store |
| US10019594B2 (en) | 2012-06-18 | 2018-07-10 | Honeywell International, Inc. | Pattern for secure store |
| CN102821094B (zh) * | 2012-07-09 | 2016-05-04 | 深圳市深信服电子科技有限公司 | 虚拟桌面中的数据安全处理方法及系统 |
| CN102821094A (zh) * | 2012-07-09 | 2012-12-12 | 深圳市深信服电子科技有限公司 | 虚拟桌面中的数据安全处理方法及系统 |
| CN103870761A (zh) * | 2012-12-11 | 2014-06-18 | 深圳市深信服电子科技有限公司 | 基于本地虚拟环境的防泄密方法及装置 |
| CN103198102A (zh) * | 2013-03-20 | 2013-07-10 | 广东欧珀移动通信有限公司 | 一种Android设备内置硬盘文件系统的转换方法和装置 |
| CN103235905A (zh) * | 2013-04-27 | 2013-08-07 | 成都菲普迪斯科技有限公司 | Dudp实时数据保护方法 |
| CN105550582A (zh) * | 2015-12-11 | 2016-05-04 | 福建联迪商用设备有限公司 | 访问虚拟磁盘的方法及系统 |
| CN105550582B (zh) * | 2015-12-11 | 2018-08-14 | 福建联迪商用设备有限公司 | 访问虚拟磁盘的方法及系统 |
| CN105590067B (zh) * | 2015-12-17 | 2018-06-19 | 武汉理工大学 | 一种基于用户空间文件系统的文件加密系统 |
| CN105590067A (zh) * | 2015-12-17 | 2016-05-18 | 武汉理工大学 | 一种基于用户空间文件系统的文件加密系统 |
| CN109857332A (zh) * | 2017-11-30 | 2019-06-07 | 北京京穗蓝盾信息安全技术有限公司 | 一种虚拟机磁盘文件保密检查的方法及装置 |
| CN110413567A (zh) * | 2019-07-07 | 2019-11-05 | 上海鸿翼软件技术股份有限公司 | 一种基于文件过滤驱动的虚拟网盘技术装置 |
| CN110413567B (zh) * | 2019-07-07 | 2020-12-22 | 上海鸿翼软件技术股份有限公司 | 一种基于文件过滤驱动的虚拟网盘技术装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101763225A (zh) | 一种保护虚拟磁盘文件的系统及方法 | |
| CN101853363B (zh) | 一种文件保护方法及系统 | |
| CN102043927B (zh) | 一种用于计算机系统的数据泄密防护方法 | |
| KR100926631B1 (ko) | 데이터 보안장치 | |
| CN102254117B (zh) | 一种基于虚拟化技术的数据防泄密系统 | |
| CN100592313C (zh) | 一种电子文档防泄密系统及实现方法 | |
| CN101923678A (zh) | 一种企业管理软件的数据安全保护方法 | |
| CN102722671A (zh) | 一种windows操作系统下的数据防护系统 | |
| US20080240441A1 (en) | Storage controller comprising encryption function, data encryption method, and storage system | |
| JP2006510958A (ja) | 暗号化オペレーティングシステム | |
| CN104680079A (zh) | 一种电子文档安全管理系统及方法 | |
| CN201682524U (zh) | 一种基于文件过滤驱动的文件流转权限控制系统 | |
| CN102948114A (zh) | 用于访问加密数据的单次使用认证方法 | |
| CN102138131A (zh) | 通用串行总线的硬件防火墙转接器 | |
| CA2886511A1 (en) | Assembling of isolated remote data | |
| CN103218575A (zh) | 一种主机文件安全监控方法 | |
| CN102609667A (zh) | 基于过滤驱动程序的文件自动加解密系统和方法 | |
| CN103955654A (zh) | 基于虚拟文件系统的u盘安全存储方法 | |
| CN101403993B (zh) | 数据安全保管设备和数据安全保管方法 | |
| CN104573536A (zh) | 文件保护方法及文件保护装置 | |
| CN109684866B (zh) | 一种支持多用户数据保护的安全优盘系统 | |
| CN102129540A (zh) | 文件动态透明加密解密方法 | |
| US9195398B2 (en) | Information storage device and method | |
| CN101751536A (zh) | 增加文件头的文件透明加密方法 | |
| CN106203130A (zh) | 一种基于智能动态驱动层的透明加解密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Preliminary Examination of the Application for Invention |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Publication and of Entering the Substantive Examination Stage of the Application for Invention |
|
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Examination on Formalities |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20100630 |