CN110569650B - 基于国产操作系统的可移动存储设备权限管理方法及系统 - Google Patents
基于国产操作系统的可移动存储设备权限管理方法及系统 Download PDFInfo
- Publication number
- CN110569650B CN110569650B CN201910788093.1A CN201910788093A CN110569650B CN 110569650 B CN110569650 B CN 110569650B CN 201910788093 A CN201910788093 A CN 201910788093A CN 110569650 B CN110569650 B CN 110569650B
- Authority
- CN
- China
- Prior art keywords
- storage device
- file
- removable storage
- access
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种基于国产操作系统的可移动存储设备权限管理方法及系统,所述系统包括:实时监控层和拦截处理层,所述实时监控层用于监控可移动存储设备的插入,分析可移动存储设备的存储控制策略,并将与所述存储控制策略相关的控制数据发送给所述拦截处理层,同时,将可移动存储设备的挂载目录以虚拟加密文件系统的指定格式重新挂载。所述拦截处理层用于拦截应用层对所述可移动存储设备的文件访问,并根据控制数据更新模块产生的控制数据对文件访问行为进行控制。根据本发明的方案,使该系统兼容性高,客户端安全性高,部署方便、灵活。不依赖特定环境,也无需特殊处理可移动存储设备,灵活度高。能够实现可移动存储设备的权限细分管理。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种基于国产操作系统的可移动存储设备权限管理方法及系统。
背景技术
目前,市场上已经有较成熟的针对windows操作系统的防护类软件,但随着信息的处理需求的变化,目前也越来越需要国产、安全、可信的操作系统及与国产操作系统匹配的软件。现有的支持国产操作系统的数据安全防护类软件较少,这类的防护软件普遍是对可移动存储设备的访问权限进行管控,管控的目的大多是为了保护可移动存储设备,并防范病毒。例如,能管理可移动存储设备的读写权限、执行权限、重命名权限、删除权限和变更权限,即仅注重移动存储设备的安全。如图1所示,插入可移动存储设备后,判断是否允许读、写等访问,如果允许则继续操作,如果不允许则拦截操作。
现有技术中对可移动存储设备的访问权限进行管控的方案,虽然能控制对可移动存储设备的读、写等访问,但对写入可移动存储设备的数据没有任何控制,在可移动存储设备交叉使用或遗失的情况下,无法保护可移动存储设备中数据的安全。
发明内容
为解决上述技术问题,本发明提出了一种基于国产操作系统的可移动存储设备权限管理方法及系统,所述方法及系统,用以解决现有技术中没有对写入可移动存储设备的数据进行任何控制,无法保护可移动存储设备中数据的安全的技术问题。
根据本发明的第一方面,提供一种基于国产操作系统的可移动存储设备权限管理系统,包括:
实时监控层和拦截处理层,所述实时监控层包括可移动存储设备监控模块、策略解析模块、可移动存储设备加载模块;
所述可移动存储设备监控模块利用国产操作系统提供的udev机制监控可移动存储设备的插入、拔出,并将所述可移动存储设备的信息传递给所述策略解析模块,同时向可移动存储设备加载模块发送通知;
所述策略解析模块,接收所述可移动存储设备监控模块发送的可移动存储设备信息,解析策略数据,转化为与驱动同步的策略数据,转化后的所述策略数据进而转化为控制数据,对所述可移动存储设备上的文件的访问权限进行控制;
所述可移动存储设备加载模块,将所述可移动存储设备挂载的目录以指定的虚拟加密文件系统格式重新挂载;
所述拦截处理层包括控制数据更新模块、文件访问拦截模块、访问控制及加密服务模块;
所述文件访问拦截模块,负责拦截应用层对可移动存储设备中文件的访问行为,调用访问控制及加密服务模块对文件访问行为进行管理;
所述访问控制及加密服务模块根据所述控制数据对可移动存储设备及其存储的文件进行权限处理;
所述控制数据更新模块,用于接收实时监控层发送过来的控制数据,并通知访问控制及加密服务模块。
进一步地,所述可移动存储设备的信息包括可移动存储设备的序列号、分区信息。
进一步地,所述对可移动存储设备及其存储的文件进行权限处理,所述权限包括禁止访问文件、正常读写文件、只读明文、只读明文+密文、加密读写。
进一步地,所述权限相互之间是互斥的,针对同一个可移动存储设备,只能有一种访问控制方式生效。
进一步地,所述虚拟加密文件系统是基于国产操作系统内核支持的StackableFile System机制,在VFS层和真实文件系统之间插入的一层虚拟加密文件系统;所述策略数据指示加密读写时,所述VFS层与虚拟加密文件系统之间,以明文形式进行传输,在虚拟加密文件系统与真实文件系统之间,以密文形式进行传输,在真实文件系统和物理设备之间,以密文形式进行传输。
进一步地,当可移动存储设备挂载成功后,结合虚拟加密文件系统驱动和系统mount机制,再次将所述可移动存储设备以指定的虚拟加密文件系统格式进行挂载,实现对可移动存储设备的访问控制。
根据本发明第二方面,提供一种基于国产操作系统的应用程序访问可移动存储设备的方法,所述国产操作系统具有如前所述的可移动存储设备权限管理系统,由应用程序访问可移动存储设备,对可移动存储设备中的文件进行访问,执行以下步骤:
S101:对可移动存储设备上的文件进行读写,文件的I/O访问请求被传递到国产操作系统内核的VFS层进行处理;
S102:所述VFS层将所述文件的I/O访问请求传递给虚拟加密文件系统,所述虚拟加密文件系统调用文件、目录权限控制模块进行文件、目录访问权限控制,允许的I/O访问请求向下层传递;拦截处理层的访问控制及加密服务模块包括文件、目录权限控制模块、数据加密引擎、算法库以及密钥管理模块;
S103:判断是否有加/解密需求,如果有,进入S104;否则,进入S105;
S104:调用数据加密引擎使用指定算法对数据进行加/解密;
所述加解密引擎负责调度加解密算法库和密钥管理模块,用于对数据进行加密或者解密操作;
S105:真实文件系统接收由所述虚拟加密文件系统传递过来的所述文件的I/O访问请求,执行对文件的指定操作,并将所述文件的I/O访问请求向物理设备传递;
S106:物理设备根据所述文件的I/O访问请求,向可移动存储设备写入数据或者读取数据,并将结果逐层返回给上层调用模块,直至返回到调用对可移动存储设备上的文件进行读写的应用程序。
根据本发明第三方面,提供一种基于国产操作系统的可移动存储设备权限管理方法,具有如前所述的基于国产操作系统的可移动存储设备权限管理系统,以执行如前所述的应用程序访问可移动存储设备的方法,执行以下步骤:
S201:利用国产操作系统UDEV机制监控可移动存储设备;
S202:监控有可移动存储设备完成加载后,指定虚拟加密文件系统,重新挂载所述可移动存储设备;
S203:解析可移动存储设备存储控制策略并下发与所述控制策略相关的控制数据;
S204:所述虚拟加密文件系统拦截访问文件操作;
S205:检查是否拒绝访问所述可移动存储设备,若是,进入S206;否则,进入S207;
S206:禁止访问所述可移动存储设备,进入S214;
S207:检查是否为正常读写模式,若是,进入S208;否则,进入S209;
S208:对可移动存储设备上的文件读写不做任何加/解密操作,进入S214;
S209:检查是否为只读明文模式,若是,进入S210;否则,进入S211;
S210:允许可移动存储设备上的明文的读操作,拒绝写入操作,进入S214;
S211:检查是否为只读明文+密文模式,若是,进入S212;否则,进入S213;
S212:允许可移动存储设备上的明文和已存在密文的读操作,拒绝写入操作,进入S214;
S213:对所述可移动存储设备上的文件读写请求进行加/解密操作,进入S214;
S214:检查是否退出国产操作系统,若是,方法结束;若否,进入S201。
根据本发明第四方面,提供一种基于国产操作系统的可移动存储设备权限管理系统,包括:
处理器,用于执行多条指令;
存储器,用于存储多条指令;
其中,所述多条指令,用于由所述存储器存储,并由所述处理器加载并执行如前所述的基于国产操作系统的应用程序访问可移动存储设备的方法。
根据本发明第五方面,提供一种计算机可读存储介质,所述存储介质中存储有多条指令;所述多条指令,用于由处理器加载并执行如前所述的基于国产操作系统的应用程序访问可移动存储设备的方法。
根据本发明第六方面,提供一种基于国产操作系统的可移动存储设备权限管理系统,包括:
处理器,用于执行多条指令;
存储器,用于存储多条指令;
其中,所述多条指令,用于由所述存储器存储,并由所述处理器加载并执行如前所述的基于国产操作系统的可移动存储设备权限管理方法。
根据本发明第七方面,提供一种计算机可读存储介质,所述存储介质中存储有多条指令;所述多条指令,用于由处理器加载并执行如前所述的基于国产操作系统的可移动存储设备权限管理方法。
根据本发明的上述方案,通过在VFS层和真实文件系统之间插入了一层虚拟加密文件系统,对可移动存储设备重新挂载并进行控制,完善了国产操作系统的技术空白,完善了国产操作系统的自主性、可靠性,该系统兼容性高,客户端安全性高,部署方便、灵活。不依赖特定环境,也无需特殊处理可移动存储设备,灵活度高。无需采购特殊的可移动存储设备,没有额外的硬件成本负担。能够实现可移动存储设备的权限细分管理。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,并可依照说明书的内容予以实施,以下以本发明的较佳实施例并配合附图详细说明如后。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明提供如下附图进行说明。在附图中:
图1为现有技术可移动存储设备的权限管理方法流程图;
图2为本发明一个实施方式的实现权限管理方法的系统总体架构图;
图3为本发明一个实施方式的文件访问控制图;
图4为本发明提出的基于国产操作系统的可移动存储设备权限管理方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明具体实施例及相应的附图对本发明技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
定义:
VFS:Virtual File Systm,是一个抽象层,其向上提供了统一的文件访问接口,而向下则兼容了各种不同的文件系统。不仅包括Ext2、Ext4、XFS和Btrfs等常规意义上的文件系统,还包括伪文件系统和设备等等内容。
国产操作系统:多为以Linux为基础二次开发的操作系统。如中标麒麟、深度Linux、中兴新支点操作系统、湖南麒麟等。
Stackable File System:可堆叠式文件系统,是在VFS和具体文件系统之间插入一层,用来简化文件系统的移植,也可以用来为文件系统添加其它功能,如加密、压缩等。
首先结合图2说明本发明的实现基于国产操作系统的可移动存储设备权限管理方法的系统的总体架构,图2示出了根据本发明的一个实施方式的权限管理方案的系统总体架构图。如图2所示:
基于国产操作系统的可移动存储设备权限管理方法的系统,划分为两个层次,分别是实时监控层和拦截处理层。
所述实时监控层包括可移动存储设备监控模块、策略解析模块、可移动存储设备加载模块。所述实时监控层用于监控可移动存储设备的插入,分析可移动存储设备的存储控制策略,并将与所述存储控制策略相关的控制数据发送给所述拦截处理层,同时,将可移动存储设备的挂载目录以虚拟加密文件系统的指定格式重新挂载。所述可移动存储设备监控模块利用国产操作系统提供的udev机制监控可移动存储设备的插入、拔出,并将所述可移动存储设备的序列号、分区信息传递给所述策略解析模块,同时向可移动存储设备加载模块发送通知。所述策略解析模块,接收所述可移动存储设备监控模块发送的可移动存储设备信息,解析策略数据,转化为与驱动同步的策略数据,转化后的所述策略数据进而转化为控制数据,对所述可移动存储设备上的文件进行控制,例如对文件的访问权限进行控制,权限包括但不限于:禁止访问、正常读写、加密读写、只读访问等。所述可移动存储设备加载模块,将所述可移动存储设备挂载的目录以指定的虚拟加密文件系统格式重新挂载。
所述拦截处理层包括控制数据更新模块、文件访问拦截模块、访问控制及加密服务模块。所述拦截处理层用于拦截应用层对所述可移动存储设备的文件访问,并根据控制数据更新模块产生的控制数据对文件访问行为进行控制,例如禁止访问文件、正常读写文件、只读文件或加密读写文件等。所述文件访问拦截模块,负责拦截应用层对可移动存储设备中文件的访问行为,调用访问控制及加密服务模块对文件访问行为进行管理。所述访问控制及加密服务模块根据所述控制数据对可移动存储设备及其存储的文件进行权限处理,例如,可以拒绝访问可移动存储设备,可以允许正常读写可移动存储设备,可以对可移动存储设备上的文件进行只读控制,也可以对可移动存储设备上的文件进行读写加密操作。所述控制数据更新模块,用于接收实时监控层发送过来的控制数据,并通知访问控制及加密服务模块。
以下结合图3说明本发明的文件访问控制方法,图3示出了根据本发明的一个实施方式的文件访问控制图。如图3所示:
本实施例基于国产操作系统内核支持的Stackable File System机制,开发了虚拟加密文件系统,在VFS层和真实文件系统之间插入了一层虚拟加密文件系统,所述VFS层、虚拟加密文件系统、真实文件系统、物理设备之间,进行数据的传输。所述数据的传输的形式与控制策略相关。例如,如果是加密读写策略,所述VFS层与虚拟加密文件系统之间,以明文形式进行传输,在虚拟加密文件系统与真实文件系统之间,以密文形式进行传输,在真实文件系统和物理设备之间,以密文形式进行传输。如果是正常的读写策略,所述VFS层、虚拟加密文件系统、真实文件系统、物理设备之间,以明文形式进行传输。
在国产操作系统内核层实现可移动存储设备上的文件的访问控制和加密。利用国产操作系统目录可以被多次挂载的机制,当可移动存储设备挂载成功后,结合虚拟加密文件系统驱动和系统mount机制,再次将所述可移动存储设备以指定的虚拟加密文件系统格式进行挂载,实现对可移动存储设备的访问控制。可以实现以下几种访问控制:拒绝访问、只读明文、只读明文和密文、加密读写、正常读写。以上几种访问控制方式,相互之间是互斥的,针对同一个可移动存储设备,只能有一种访问控制方式生效。所述明文是指在可移动存储设备上以明文形式存在的文件,所述密文是指经过虚拟加密文件系统加密后的文件;加密写是指在可移动存储设备上被改变的文件将被加密写入;正常读写控制方式是指可移动存储设备上存在的明文形式的文件,经过虚拟加密文件系统驱动加密的文件不被解密,直接进行读写。
应用程序访问可移动存储设备,对可移动存储设备中的文件进行访问时,执行以下步骤:
S101:对可移动存储设备上的文件进行读写,文件的I/O访问请求将被传递到国产操作系统内核的VFS层进行处理;
S102:所述VFS层将所述文件的I/O访问请求传递给虚拟加密文件系统,所述虚拟加密文件系统调用文件、目录权限控制模块进行文件、目录访问权限控制,允许的I/O访问请求向下层传递;拦截处理层的访问控制及加密服务模块包括文件、目录权限控制模块、数据加密引擎、算法库以及密钥管理模块;
S103:判断是否有加/解密需求,如果有,进入S104;否则,进入S105;
S104:调用数据加密引擎使用指定算法对数据进行加/解密;
所述加解密引擎负责调度加解密算法库和密钥管理模块,用于对数据进行加密或者解密操作;
S105:真实文件系统接收由所述虚拟加密文件系统传递过来的所述文件的I/O访问请求,执行对文件的指定操作,并将所述文件的I/O访问请求向物理设备传递;
S106:物理设备根据所述文件的I/O访问请求,向可移动存储设备写入数据或者读取数据,并将结果逐层返回给上层调用模块,直至返回到调用对可移动存储设备上的文件进行读写的应用程序。
以下结合图4说明本发明的基于国产操作系统的可移动存储设备权限管理方法,图4示出了根据本发明的基于国产操作系统的可移动存储设备权限管理方法流程图。如图4所示:
S201:利用国产操作系统UDEV机制监控可移动存储设备;
S202:监控有可移动存储设备完成加载后,指定虚拟加密文件系统,重新挂载所述可移动存储设备;
S203:解析可移动存储设备存储控制策略并下发与所述控制策略相关的控制数据;
S204:所述虚拟加密文件系统拦截访问文件操作;
S205:检查是否拒绝访问所述可移动存储设备,若是,进入S206;否则,进入S207;
S206:禁止访问所述可移动存储设备,进入S214;
S207:检查是否为正常读写模式,若是,进入S208;否则,进入S209;
S208:对可移动存储设备上的文件读写不做任何加/解密操作,进入S214;
S209:检查是否为只读明文模式,若是,进入S210;否则,进入S211;
S210:允许可移动存储设备上的明文的读操作,拒绝写入操作,进入S214;
S211:检查是否为只读明文+密文模式,若是,进入S212;否则,进入S213;
S212:允许可移动存储设备上的明文和已存在密文的读操作,拒绝写入操作,进入S214;
S213:对所述可移动存储设备上的文件读写请求进行加/解密操作,进入S214;
S214:检查是否退出国产操作系统,若是,方法结束;若否,进入S201。
以下实施例说明基于国产操作系统的可移动存储设备权限管理方法的应用场景及操作方式。
采用如上所述的基于国产操作系统的可移动存储设备权限管理方法的系统V3,使用国产操作系统客户端,例如中标麒麟桌面操作系统。
S301:进入中标麒麟桌面操作系统后,登录V3账号系统,验证通过后进入S302;
S302:同步可移动存储设备控制策略;
S303:插入可移动存储设备;
S304:检查是否允许插入可移动存储设备,若是,进入S305;若否,进入S306;
S305:按照所述控制策略进行控制访问及读/写所述可移动存储设备中的数据,进入S307;
S306:拒绝访问所述可移动存储设备;
S307:检查是否退出系统,若是,方法结束;若否,进入S302。
采用如上所述的基于国产操作系统的可移动存储设备权限管理方法的系统执行银行数据防泄露测试项目。
S401:进入系统后,登录账号系统,验证通过后进入S402;
S402:同步可移动存储设备控制策略;
S403:插入可移动存储设备;
S404:检查是否允许插入可移动存储设备,若是,进入S405;若否,进入S406;
S405:按照所述控制策略进行控制访问及读/写所述可移动存储设备中的数据,进入S407;
S406:拒绝访问所述可移动存储设备;
S407:检查是否退出系统,若是,方法结束;若否,进入S402。
本发明实施例进一步给出一种基于国产操作系统的可移动存储设备权限管理系统,包括:
处理器,用于执行多条指令;
存储器,用于存储多条指令;
其中,所述多条指令,用于由所述存储器存储,并由所述处理器加载并执行如前所述的基于国产操作系统的应用程序访问可移动存储设备的方法。
本发明实施例进一步给出一种计算机可读存储介质,所述存储介质中存储有多条指令;所述多条指令,用于由处理器加载并执行如前所述的基于国产操作系统的应用程序访问可移动存储设备的方法。
本发明实施例进一步给出一种基于国产操作系统的可移动存储设备权限管理系统,包括:
处理器,用于执行多条指令;
存储器,用于存储多条指令;
其中,所述多条指令,用于由所述存储器存储,并由所述处理器加载并执行如前所述的基于国产操作系统的可移动存储设备权限管理方法。
本发明实施例进一步给出一种计算机可读存储介质,所述存储介质中存储有多条指令;所述多条指令,用于由处理器加载并执行如前所述的基于国产操作系统的可移动存储设备权限管理方法。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,实体机服务器,或者网络云服务器等,需安装Windows或者Windows Server操作系统)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (10)
1.一种基于国产操作系统的可移动存储设备权限管理系统,其特征在于,所述系统包括实时监控层和拦截处理层,所述实时监控层包括可移动存储设备监控模块、策略解析模块、可移动存储设备加载模块;
所述可移动存储设备监控模块利用国产操作系统提供的udev机制监控可移动存储设备的插入、拔出,并将所述可移动存储设备的信息传递给所述策略解析模块,同时向可移动存储设备加载模块发送通知;
所述策略解析模块,接收所述可移动存储设备监控模块发送的可移动存储设备信息,解析策略数据,转化为与驱动同步的策略数据,转化后的所述策略数据进而转化为控制数据,对所述可移动存储设备上的文件的访问权限进行控制;
所述可移动存储设备加载模块,将所述可移动存储设备挂载的目录以指定的虚拟加密文件系统格式重新挂载;
所述拦截处理层包括控制数据更新模块、文件访问拦截模块、访问控制及加密服务模块;
所述文件访问拦截模块,负责拦截应用层对可移动存储设备中文件的访问行为,调用访问控制及加密服务模块对文件访问行为进行管理;
所述访问控制及加密服务模块根据所述控制数据对可移动存储设备及其存储的文件进行权限处理;
所述控制数据更新模块,用于接收实时监控层发送过来的控制数据,并通知访问控制及加密服务模块;
所述虚拟加密文件系统是基于国产操作系统内核支持的Stackable File System机制,在VFS层和真实文件系统之间插入的一层虚拟加密文件系统;所述策略数据指示加密读写时,所述VFS层与虚拟加密文件系统之间,以明文形式进行传输,在虚拟加密文件系统与真实文件系统之间,以密文形式进行传输,在真实文件系统和物理设备之间,以密文形式进行传输;
当可移动存储设备挂载成功后,结合虚拟加密文件系统驱动和系统mount机制,再次将所述可移动存储设备以指定的虚拟加密文件系统格式进行挂载,实现对可移动存储设备的访问控制。
2.如权利要求1所述的基于国产操作系统的可移动存储设备权限管理系统,其特征在于,所述可移动存储设备的信息包括可移动存储设备的序列号、分区信息。
3.如权利要求1所述的基于国产操作系统的可移动存储设备权限管理系统,其特征在于,所述对可移动存储设备及其存储的文件进行权限处理,所述权限包括禁止访问文件、正常读写文件、只读明文、只读明文+密文、加密读写。
4.如权利要求3所述的基于国产操作系统的可移动存储设备权限管理系统,其特征在于,所述权限相互之间是互斥的,针对同一个可移动存储设备,只能有一种访问控制方式生效。
5.一种基于国产操作系统的应用程序访问可移动存储设备的方法,所述国产操作系统具有如权利要求1-4之任一项所述的可移动存储设备权限管理系统,其特征在于:由应用程序访问可移动存储设备,对可移动存储设备中的文件进行访问,执行以下步骤:
S101:对可移动存储设备上的文件进行读写,文件的I/O访问请求被传递到国产操作系统内核的VFS层进行处理,
S102:所述VFS层将所述文件的I/O访问请求传递给虚拟加密文件系统,所述虚拟加密文件系统调用文件、目录权限控制模块进行文件、目录访问权限控制,允许的I/O访问请求向下层传递;拦截处理层的访问控制及加密服务模块包括文件、目录权限控制模块、数据加密引擎、算法库以及密钥管理模块;
S103:判断是否有加/解密需求,如果有,进入S104;否则,进入S105;
S104:调用数据加密引擎使用指定算法对数据进行加/解密;
所述加密引擎负责调度加解密算法库和密钥管理模块,用于对数据进行加密或者解密操作;
S105:真实文件系统接收由所述虚拟加密文件系统传递过来的所述文件的I/O访问请求,执行对文件的指定操作,并将所述文件的I/O访问请求向物理设备传递;
S106:物理设备根据所述文件的I/O访问请求,向可移动存储设备写入数据或者读取数据,并将结果逐层返回给上层调用模块,直至返回到调用对可移动存储设备上的文件进行读写的应用程序。
6.一种基于国产操作系统的可移动存储设备权限管理方法,所述国产操作系统具有如权利要求1-4任一项所述的可移动存储设备权限管理系统,其特征在于,所述方法还包括:
S201:利用国产操作系统UDEV机制监控可移动存储设备;
S202:监控有可移动存储设备完成加载后,指定虚拟加密文件系统,重新挂载所述可移动存储设备;
S203:解析可移动存储设备存储控制策略并下发与所述控制策略相关的控制数据;
S204:所述虚拟加密文件系统拦截访问文件操作;
S205:检查是否拒绝访问所述可移动存储设备,若是,进入S206;否则,进入S207;
S206:禁止访问所述可移动存储设备,进入S214;
S207:检查是否为正常读写模式,若是,进入S208;否则,进入S209;
S208:对可移动存储设备上的文件读写不做任何加/解密操作,进入S214;
S209:检查是否为只读明文模式,若是,进入S210;否则,进入S211;
S210:允许可移动存储设备上的明文的读操作,拒绝写入操作,进入S214;
S211:检查是否为只读明文+密文模式,若是,进入S212;否则,进入S213;
S212:允许可移动存储设备上的明文和已存在密文的读操作,拒绝写入操作,进入S214;
S213:对所述可移动存储设备上的文件读写请求进行加/解密操作,进入S214;
S214:检查是否退出国产操作系统,若是,方法结束;若否,进入S201。
7.一种基于国产操作系统的可移动存储设备权限管理系统,其特征在于,包括:
处理器,用于执行多条指令;
存储器,用于存储多条指令;
其中,所述多条指令,用于由所述存储器存储,并由所述处理器加载并执行如权利要求5所述的基于国产操作系统的应用程序访问可移动存储设备的方法。
8.一种计算机可读存储介质,其特征在于,所述存储介质中存储有多条指令;所述多条指令,用于由处理器加载并执行如权利要求5所述的基于国产操作系统的应用程序访问可移动存储设备的方法。
9.一种基于国产操作系统的可移动存储设备权限管理系统,其特征在于,包括:
处理器,用于执行多条指令;
存储器,用于存储多条指令;
其中,所述多条指令,用于由所述存储器存储,并由所述处理器加载并执行如权利要求6所述的基于国产操作系统的可移动存储设备权限管理方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有多条指令;所述多条指令,用于由处理器加载并执行如权利要求6所述的基于国产操作系统的可移动存储设备权限管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910788093.1A CN110569650B (zh) | 2019-08-26 | 2019-08-26 | 基于国产操作系统的可移动存储设备权限管理方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910788093.1A CN110569650B (zh) | 2019-08-26 | 2019-08-26 | 基于国产操作系统的可移动存储设备权限管理方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110569650A CN110569650A (zh) | 2019-12-13 |
CN110569650B true CN110569650B (zh) | 2021-08-03 |
Family
ID=68776066
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910788093.1A Active CN110569650B (zh) | 2019-08-26 | 2019-08-26 | 基于国产操作系统的可移动存储设备权限管理方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110569650B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111796972B (zh) * | 2020-06-30 | 2022-11-04 | 苏州三六零智能安全科技有限公司 | 文件热修复方法、装置、设备及存储介质 |
CN112131555B (zh) * | 2020-09-28 | 2024-05-14 | 数据通信科学技术研究所 | 一种5g移动终端本地数据门卫式安全管理装置及方法 |
CN113268450A (zh) * | 2021-04-06 | 2021-08-17 | 北京鲸鲮信息系统技术有限公司 | 文件访问方法及装置、电子设备、存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101542498A (zh) * | 2007-07-30 | 2009-09-23 | 日立软件工程株式会社 | 信息处理装置及方法、计算机可读取的记录介质及外部存储介质 |
-
2019
- 2019-08-26 CN CN201910788093.1A patent/CN110569650B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101542498A (zh) * | 2007-07-30 | 2009-09-23 | 日立软件工程株式会社 | 信息处理装置及方法、计算机可读取的记录介质及外部存储介质 |
Non-Patent Citations (1)
Title |
---|
闫刚.具有操作监控的加密移动存储设备软件设计与实现.《中国优秀硕士学位论文全文数据库》.2013,(第7期),第7-60页. * |
Also Published As
Publication number | Publication date |
---|---|
CN110569650A (zh) | 2019-12-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110569650B (zh) | 基于国产操作系统的可移动存储设备权限管理方法及系统 | |
CN103353931B (zh) | 安全增强型计算机系统和方法 | |
US8856521B2 (en) | Methods and systems for performing secure operations on an encrypted file | |
US8302178B2 (en) | System and method for a dynamic policies enforced file system for a data storage device | |
US7840750B2 (en) | Electrical transmission system in secret environment between virtual disks and electrical transmission method thereof | |
US20120102564A1 (en) | Creating distinct user spaces through mountable file systems | |
WO2021164166A1 (zh) | 一种业务数据保护方法、装置、设备及可读存储介质 | |
JP6785967B2 (ja) | フィッシング又はランサムウェア攻撃を遮断する方法及びシステム | |
CN104318176B (zh) | 用于终端的数据管理方法、数据管理装置和终端 | |
CN103617404A (zh) | 一种安全分区的存储装置 | |
EP1365306A2 (en) | Data protection system | |
US8750519B2 (en) | Data protection system, data protection method, and memory card | |
CN103516728A (zh) | 一种防止云平台虚拟机非法启动的镜像加解密方法 | |
CN102053925A (zh) | 硬盘数据加密实现方法 | |
CN104361291B (zh) | 数据处理方法和装置 | |
CN103763313A (zh) | 一种文档保护方法和系统 | |
CN109086620B (zh) | 基于移动存储介质的物理隔离双系统构建方法 | |
CN110569651A (zh) | 基于国产操作系统的文件透明加解密方法及系统 | |
CN105612715A (zh) | 具有可配置访问控制的安全处理单元 | |
US20170329963A1 (en) | Method for data protection using isolated environment in mobile device | |
CN103632107A (zh) | 一种移动终端信息安全防护系统和方法 | |
CN108491724A (zh) | 一种基于硬件的计算机接口加密装置及方法 | |
CN111177773B (zh) | 一种基于网卡rom的全盘加解密方法及系统 | |
ES2964339T3 (es) | Dispositivo para permitir el programa, dispositivo de transacción del programa y procedimiento para permitir el programa del mismo | |
KR20130079004A (ko) | 스마트폰에서 파일 시스템 가상화를 이용한 모바일 정보 보호 시스템 및 가상 보안 환경 제공 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |