CN115048681A - 数据安全保护方法、装置、目标设备及存储介质 - Google Patents
数据安全保护方法、装置、目标设备及存储介质 Download PDFInfo
- Publication number
- CN115048681A CN115048681A CN202210781724.9A CN202210781724A CN115048681A CN 115048681 A CN115048681 A CN 115048681A CN 202210781724 A CN202210781724 A CN 202210781724A CN 115048681 A CN115048681 A CN 115048681A
- Authority
- CN
- China
- Prior art keywords
- target
- data
- storage device
- file
- read
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 117
- 230000003993 interaction Effects 0.000 claims abstract description 204
- 238000004891 communication Methods 0.000 claims description 64
- 230000004044 response Effects 0.000 claims description 36
- 230000006855 networking Effects 0.000 claims description 30
- 238000012795 verification Methods 0.000 claims description 19
- 238000012790 confirmation Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 14
- 238000013507 mapping Methods 0.000 claims description 11
- 230000002159 abnormal effect Effects 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 7
- 238000012216 screening Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 8
- 241000700605 Viruses Species 0.000 description 7
- 230000005611 electricity Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 241000699666 Mus <mouse, genus> Species 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 241000699670 Mus sp. Species 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012905 input function Methods 0.000 description 1
- 238000011900 installation process Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007935 neutral effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请适用于信息安全领域,提供了一种数据安全保护方法、装置、目标设备及存储介质,通过在目标设备设置保护模块,以控制计算机设备在存储设备上的读写权限,从而保障存储设备之间的通信安全,避免恶意存储设备接入计算机设备而造成计算机安全风险,以及避免计算机设备恶意访问存储设备的数据而造成存储设备的数据泄露。同时,本申请根据目标设备的当前保护模式,对计算机设备发送的数据交互指令进行权限控制,若数据交互指令满足当前保护模式对应的权限要求,对数据交互指令作出响应,以保证计算机设备在目标设备的当前保护模式下访问存储设备,避免对存储设备造成数据破坏和数据泄露,提高存储设备的数据安全性。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及一种数据安全保护方法、装置、目标设备及存储介质。
背景技术
移动存储设备在日常工作生活中的应用十分广泛,但在使用移动存储设备接入计算机进行数据拷贝等数据处理操作时,容易产生数据风险问题。移动存储设备与计算机之间可能对彼此的数据安全产生威胁。
发明内容
本申请实施例提供了一种数据安全保护方法、装置、保护设备及存储介质,可以保护存储设备与计算机设备的数据安全。
第一方面,本申请提供了一种数据安全保护方法,应用于目标设备,目标设备设有保护模块,保护模块包含多种保护模式,保护模式用于控制计算机设备在存储设备上的读写权限,方法包括:
根据目标设备的当前保护模式,对计算机设备发送的数据交互指令进行权限控制,数据交互指令用于计算机设备与存储设备进行数据交互;
若数据交互指令满足当前保护模式对应的权限要求,对数据交互指令作出响应。
在第一方面的一些实现方式中,若目标设备为具有保护模块的中间设备,中间设备设有用于连接存储设备的第一接口,和用于连接计算机设备的第二接口,方法还包括:
当第一接口接入存储设备,且第二接口接入计算机设备时,检测计算机设备与存储设备之间的通信连接请求;
若检测到计算机设备与存储设备之间的通信连接请求,则识别存储设备的设备类型;
若设备类型为预设允许通信类型,则建立计算机设备与存储设备之间的通信连接。
在第一方面的一些实现方式中,识别存储设备的设备类型之后,还包括:
若设备类型为预设禁止通信类型,则中断通信连接请求。
在第一方面的一些实现方式中,建立计算机设备与存储设备之间的通信连接,包括:
将存储设备的目标硬件特征参数发送至计算机设备,目标硬件特征参数用于建立计算机设备与存储设备之间的通信连接。
在第一方面的一些实现方式中,将存储设备的目标硬件特征参数发送至计算机设备,包括:
根据存储设备的设备类型,从预设的参数模板中,获取与设备类型对应的目标硬件特征参数。
将目标硬件特征参数发送至计算机设备。
在第一方面的一些实现方式中,将存储设备的目标硬件特征参数发送至计算机设备,包括:
获取存储设备的硬件特征参数;
根据预设的参数类型,对硬件特征参数进行筛选,以确定与参数类型对应的目标硬件特征参数;
将目标硬件特征参数发送至计算机设备。
在第一方面的一些实现方式中,根据目标设备的当前保护模式,对计算机设备发送的数据交互指令进行权限控制,包括:
识别数据交互指令的指令类型;
若指令类型为权限要求对应的预设指令类型,则判定述交互指令满足当前保护模式对应的权限要求。
在第一方面的一些实现方式中,对数据交互指令作出响应,包括:
响应于数据交互指令,对存储设备中的目标文件进行读写操作,读写操作包括读操作和写操作中的至少一种。
在第一方面的一些实现方式中,若保护模式为特定文件读写模式,响应于数据交互指令,对存储设备中的目标文件进行读写操作,包括:
响应于数据交互指令,将目标文件的扇区地址映射至目标地址,目标文件为显示于计算机设备的文件;
基于目标地址,对目标文件进行读写操作。
在第一方面的一些实现方式中,目标文件包括存储设备已有的特定文件或预设文件,或者在计算机设备与存储设备建立通信连接前自动生成的文件。
在第一方面的一些实现方式中,若保护模式为限位读写模式,响应于数据交互指令,对存储设备中的目标文件进行读写操作,包括:
响应于数据交互指令,基于预设扇区地址区间,对数据交互指令对应的目标扇区地址进行验证,目标扇区地址为存储设备基于数据交互指令执行读写操作时的扇区地址;
若目标扇区地址在预设扇区地址区间内,则在存储设备的目标扇区地址进行读写操作。
在第一方面的一些实现方式中,在保护模式为文件限制读写模式时,响应于数据交互指令,对存储设备中的目标文件进行读写操作,包括:
响应于数据交互指令,基于预设文件特征,对数据交互指令对应的目标文件特征进行验证,目标文件特征为存储设备基于数据交互指令执行读写操作时对应的文件特征;
若目标文件特征符合预设文件特征,则对存储设备中的目标文件进行读写操作。
在第一方面的一些实现方式中,对数据交互指令对应的目标文件特征进行验证之后,还包括:
若目标文件特征不符合预设文件特征,则对目标文件进行隐藏。
在第一方面的一些实现方式中,若保护模式为加密写入模式,响应于数据交互指令,对存储设备中的目标文件进行读写操作,包括:
响应于数据交互指令,对数据交互指令携带的待写入数据进行加密处理,得到第一目标数据;
向存储设备中的目标文件写入第一目标数据。
在第一方面的一些实现方式中,若保护模式为解密读取模式,响应于数据交互指令,对存储设备中的目标文件进行读写操作,包括:
响应于数据交互指令,向计算机设备反馈第二目标数据,第二目标数据为对存储设备响应于数据交互指令返回的数据进行解密后的数据。
在第一方面的一些实现方式中,若保护模式为人工确认模式,响应于数据交互指令,对存储设备中的目标文件进行读写操作,包括:
响应于数据交互指令,提示用户是否确认执行数据交互指令;
若接收到数据交互指令的确认执行指令,则对存储设备中的目标文件进行读写操作。
在第一方面的一些实现方式中,方法还包括:
基于预设读写规则,对读写操作进行异常验证;
若读写操作不符合预设读写规则,则判定读写操作异常。
在第一方面的一些实现方式中,保护模式为只读模式,方法还包括:
响应于计算机设备发送的参数读取请求,将只读参数返回至计算机设备,只读参数用于使计算机设备将存储设备识别为只读设备。
在第一方面的一些实现方式中,若数据交互指令满足当前保护模式对应的权限要求,对数据交互指令作出响应之前,还包括:
将目标扇区区间作为存储数据源接入到计算机设备,目标扇区区间通过切割存储设备的存储空间得到。
在第一方面的一些实现方式中,将目标扇区区间作为存储数据源接入到计算机设备之前,还包括:
读取存储设备的扇区信息;
基于扇区信息,切割存储设备的存储空间,得到存储设备对应的多个扇区区间,目标扇区区间为多个扇区区间中的至少一个。
在第一方面的一些实现方式中,若数据交互指令满足当前保护模式对应的权限要求,对数据交互指令作出响应之前,还包括:
将镜像文件作为存储数据源接入到计算机设备,镜像文件基于预设镜像策略生成得到。
在第一方面的一些实现方式中,存储设备为联网存储设备,联网存储设备与服务端连接,服务端包含多个联网镜像文件,若数据交互指令满足当前保护模式对应的权限要求,对数据交互指令作出响应之前,还包括:
将目标联网镜像文件作为存储数据源接入到计算机设备,目标联网镜像文件为多个联网镜像文件中的至少一个。
在第一方面的一些实现方式中,方法还包括:
响应于用户输入的验证指令,将与验证指令的指令类型对应的目标存储数据源接入到计算机设备,目标存储数据源为扇区区间、镜像文件和联网镜像文件中的至少一种。
在第一方面的一些实现方式中,方法还包括:
读取存储设备的用电需求信息;
根据用电需求信息,配置存储设备的电路保护策略,电路保护策略用于控制存储设备的用电状态。
在第一方面的一些实现方式中,方法还包括:
生成交互日志,日志用于记录对于计算机发送的数据交互指令的处理记录。
第二方面,本申请还提供一种数据安全保护装置,应用于目标设备,目标设备设有保护模块,保护模块包含多种保护模式,保护模式用于控制计算机设备在存储设备上的读写权限,装置包括:
控制单元,用于根据目标设备的当前保护模式,对计算机设备发送的数据交互指令进行权限控制,数据交互指令用于计算机设备与存储设备进行数据交互;
响应单元,用于若数据交互指令满足当前保护模式对应的权限要求,对数据交互指令作出响应。
第三方面,本申请还提供一种目标设备,设有保护模块和用于连接存储设备的第一接口,以及用于连接计算机的第二接口,所述保护模块包含多种保护模式,所述保护模式用于配置计算机设备在存储设备上的读写权限;
所述目标设备包括一个或多个处理器,以及存储器;
所述存储器用于存储计算机程序,所述计算机程序被所述处理器执行时实现如第一方面所述的数据安全保护方法的步骤。
第四方面,本申请还提供一种目标设备,设有集成于处理器的保护模块,所述保护模块包含多种保护模式,所述保护模式用于配置计算机设备在存储设备上的读取权限;
所述目标设备包括一个或多个处理器,以及存储器;
所述存储器用于存储计算机程序,所述计算机程序被所述处理器执行时实现如第一方面所述的数据安全保护方法的步骤。
第五方面,本申请还提供一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的数据安全保护方法的步骤。
第六方面,本申请还提供一种计算机程序产品,当计算机程序产品在计算机设备上运行时,使得计算机设备执行时实现第一方面的数据安全保护方法的步骤。
与现有技术相比,本申请具备以下有益效果:
本申请通过在目标设备设置保护模块,以控制计算机设备在存储设备上的读写权限,从而保障存储设备之间的通信安全,避免恶意存储设备接入计算机设备而造成计算机数据安全风险,以及避免计算机设备恶意访问存储设备的隐私数据而造成存储设备的数据泄露。同时,本申请根据目标设备的当前保护模式,对计算机设备发送的数据交互指令进行权限控制,若数据交互指令满足当前保护模式对应的权限要求,对数据交互指令作出响应,以保证计算机设备在目标设备的当前保护模式下访问存储设备,避免计算机设备上的病毒对存储设备造成数据破坏,也避免存储设备因被直接访问而造成数据泄露,从而提高存储设备的数据安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例示出的数据安全保护方法的流程示意图;
图2为本申请实施例示出的中间设备的结构示意图;
图3为本申请第二实施例示出的数据安全保护方法的流程示意图;
图4为本申请实施例示出的步骤S101的具体流程示意图;
图5为本申请第三实施例示出的数据安全保护方法的流程示意图;
图6为本申请实施例示出的步骤S102的具体流程示意图;
图7为本申请第四实施例示出的数据安全保护方法的流程示意图;
图8为本申请第五实施例示出的数据安全保护方法的流程示意图;
图9为本申请第六实施例示出的数据安全保护方法的流程示意图;
图10为本申请第七实施例示出的数据安全保护方法的流程示意图;
图11为本申请第八实施例示出的数据安全保护方法的流程示意图;
图12为本申请另一实施例示出的中间设备的结构示意图;
图13为本申请实施例示出的数据安全保护装置的结构示意图;
图14为本申请实施例示出的目标设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如相关技术记载,当前存储设备与计算机设备之间可能对彼此的数据安全产生威胁。对于计算机设备:1.存储设备可能存在恶意代码,导致计算机设备误拷贝并运行木马、病毒等恶意程序;2.存储设备可能伪装成键盘和鼠标等输入设备,导致计算机设备拷贝并运行恶意代码、或者进行其他恶意输入操作。对于存储设备:1.计算机设备能够篡改或删除存储设备的数据,或者向存储设备写入木马或病毒等恶意程序;2.一些隐私文件数据能够被计算机设备读取和拷贝,导致存储设备数据泄露。
对于以上问题,当前相关技术主要是在计算机设备安装特定安全软件对存储设备进行扫描和控制。但是,通过安装特定安全软件的方式也存在以下几点问题:一.安装软件的成本较高,需要一直占用计算机资源;二.由于操作系统的开放性,安全软件可能在一些技术较为先进的病毒木马操控下失效,而无法真正实现对计算机设备的完全控制;三.安全软件的安装过程可能存在安装预先被捆绑病毒木马的情况,从而形成新的安全风险点;四.安全软件控制难以判断接入设备是存储设备还是键鼠设备,设备类型需要由接入设备自行上报,形成安全防范的空挡区域。
此外,当前相关技术主要偏向保护计算机设备,而很少针对存储设备进行保护。目前,已有的针对存储设备进行保护的方式是将存储设备配置只读功能或者加密功能,其中只读功能只能数据无法被篡改,而依旧存在隐私数据被读取导致数据泄露的情况,加密功能容易被逆向技术分析破解,依旧存储数据安全风险。
为此,本申请提供一种数据安全保护方法,通过在目标设备设置保护模块,以配置计算机设备在存储设备上的读写权限,从而保障存储设备之间的通信安全,避免恶意存储设备接入计算机设备而造成计算机数据安全风险,以及避免计算机设备恶意访问存储设备的隐私数据而造成存储设备的数据泄露,并且无需计算机设备安装安全软件,有效规避安装安全软件所存在的安全风险。同时,本申请根据目标设备的当前保护模式,对计算机设备发送的数据交互指令进行权限控制,若数据交互指令满足当前保护模式对应的权限要求,对数据交互指令作出响应,以保证计算机设备在目标设备的当前保护模式下访问存储设备,避免计算机设备上的病毒对存储设备造成数据破坏,也避免存储设备因被直接访问而造成数据泄露,以及保护模块设于目标设备,能够有效规避恶意程序从计算机操作系统层面破解保护模块的保护模式,进一步提高存储设备的数据安全性。
请参照图1,图1为本申请实施例提供的一种数据安全保护方法的流程示意图。本申请实施例的数据安全保护方法可应用于目标设备,所述目标设备设有保护模块,所述保护模块包含多种保护模式,所述保护模式用于控制计算机设备在存储设备上的读写权限。
可选地,目标设备为具有保护模块的中间设备,以作为存储设备与计算机设备建立通信连接时的中间连接节点。可以理解的是,通信连接包括有线连接和无线连接。示例性地,在一种有线连接场景下,如图2示出的一种中间设备的结构示意图,中间设备200设有第一接口201和第二接口202,第一接口201用于连接存储设备,第二接口202用于连接计算机设备。在将存储设备与计算机设备需要建立通信连接时,将存储设备与中间设备的第一接口201连接,并将中间设备200的第二接口202与计算机设备连接。需要说明的是,第一接口的数量可以为多个,以使中间设备能够同时接入多个存储设备;第一接口和第二接口可以为通用串行总线(Universal Serial Bus,USB)接口;第一接口还可以包括eMMC(EmbeddedMulti Media Card)接口,以直接接入SD卡和TF卡,以及可以包括SATA(Serial AdvancedTechnology Attachment)接口,以直接接入硬盘等)。应理解,图2所示中间设备的结构仅用作示例而非限定,在其他实施例中可以包含更多或更少的部件,在此不再赘述。
可选地,目标设备为具有保护模块的存储设备,保护模块可集成于存储设备的芯片(处理器)、集成电路或硬件内部中,以使存储设备具备本申请实施例的数据安全保护方法的功能。可以理解的是,对于目标设备为中间设备时,由中间设备将计算机设备(或存储设备)发送的数据转发至存储设备(或计算机设备),对于目标设备为具有保护模块的存储设备时,则由计算机设备(或存储设备)直接向存储设备(或计算机设备)发送数据,但需要由存储设备中的保护模块对接收到(或待发送)的数据进行权限控制等处理。对此,后续不再赘述。需要说明的是,当目标设备为具有保护模块的中间设备时,存储设备可以为不具有保护模块的存储设备。
可选地,存储设备包括但不限于U盘(USB闪存盘)、移动硬盘、硬盘、读卡器(SD卡、TF卡)外置光驱等,存储设备还可以具备联网功能;计算机设备包括但不限于笔记本电脑、桌上型计算机、嵌入式设备、物联网设备和工业控制设备等。
如图1所示,本申请实施例的数据安全保护方法包括步骤S101至步骤S102,详述如下:
步骤S101,根据所述目标设备的当前保护模式,对所述计算机设备发送的数据交互指令进行权限控制,所述数据交互指令用于所述计算机设备与所述存储设备进行数据交互。
在本步骤中,保护模式包括但不限于全盘只读模式、特定文件读写模式、限位读写模式、文件限制读写模式、解密读取模式、加密写入模式和逻辑分盘模式。全盘只读模式表示允许读取存储设备中的所有文件,特定文件读写模式表示允许读写存储设备中的特定文件,限位读写模式表示允许读写存储设备中目标扇区地址对应的文件,文件限制读写模式表示允许读写存储设备中具有目标文件特征的文件,解密读取模式表示对读取过程的数据进行解密,加密写入模式表示对写入过程的数据进行加密,逻辑分盘模式表示对存储设备进行分盘并接入到计算机的模式。
可选地,当前保护模式可以预先设置,也可以实时设置。具体地,其可以通过拨动开关、远程遥控、计算机配置的方式进行设置。示例性地,在一种可能实施的方式中,目标设备设置有用于选中保护模式的物理开关,通过拨动物理开关以选中当前保护模式。在另一种可能实施的方式中,目标设备设置有如蓝牙、红外线或超宽带的通信单元,以用于与远程遥控设备进行连接,从而通过远程遥控设备选中当前保护模式。在又一种可能实施的方式中,目标设备与具有全局权限的计算机设备通信连接,通过该计算机设备选中当前保护模式。需要说明的是,对于计算机配置方式,其应当在存储设备与计算机设备进行数据交互前进行设置。
权限控制为基于当前保护模式对应的读写范围,对计算机设备与存储设备之间的数据交互进行控制的过程。其应理解为广义上的权限控制,即只要能达到对数据交互进行控制的目的,则属于本申请实施例定义的权限控制。
可选地,读写权限包括只读权限、只写权限和可读可写权限,在不同保护模式下,读写权限可以是针对不同对象的只读权限、只写权限或可读可写权限。例如,对于全盘只读模式,其读写权限为针对存储设备的所有文件的只读权限;对于特定文件读写模式,其读写权限为针对特定文件的只读权限、只写权限和可读可写权限中的至少一种。可以理解的是,其他模式的读写权限可以基于上述举例思想得出,在此不再赘述。
步骤S102,若所述数据交互指令满足所述当前保护模式对应的权限要求,对所述数据交互指令作出响应。
在本步骤中,数据交互指令包括计算机设备发送的用于读取存储设备中的数据的数据读取指令,和用于向存储设备中写入数据的数据写入指令。可以理解的是,当读写权限为读取权限时,可支持数据读取指令;当读写权限为写入权限时,可支持数据写入指令;当读写权限为可读可写权限时,可支持数据读取指令和数据写入指令。
在一种可能实施的方式中,若目标设备为具有保护模块的中间设备,中间设备接收计算机设备发送的数据交互指令,并基于当前保护模式对该数据交互指令进行权限控制,若数据交互指令符合权限要求,则将该数据交互指令转发至存储设备,以使存储设备执行该数据交互指令对应的读写操作。在另一种可能实施的方式中,若目标设备为具有保护模块的存储设备,该存储设备接收计算机设备发送的数据交互指令,并通过保护模块的当前保护模式对该数据交互指令进行权限控制,若数据交互指令符合权限要求,则存储设备执行该数据交互指令对应的读写操作。
需要说明的是,本申请通过多种保护模式对计算机设备和存储设备进行保护,能够满足用户在不同保护场景的应用需求;同时通过目标设备的保护模型进行权限控制,提高计算机设备和存储设备的安全性。
在一些实施例中,在图1所示实施例的基础上,图3示出了第二实施例的数据安全保护方法的流程示意图。与图1相同的步骤在此不再赘。图3所示,所述方法还包括:
步骤S301,若检测到所述计算机设备与所述存储设备之间的通信连接请求,则识别所述存储设备的设备类型;
步骤S302,若所述设备类型为预设允许通信类型,则建立所述计算机设备与所述存储设备之间的通信连接。
在本实施例中,预设允许通信类型包括但不限于大容量类型或其他安全类型。可选地,存储设备的设备类型可以通过读取到的描述符参数进行确定。可以理解的是,对于目标设备为具有保护模块的中间设备,通过中间设备的第一接口向存储设备读取存储设备的描述符参数。对于目标设备为具有保护模块的存储设备,则该存储设备可以调取其预先存储的描述符参数。
在一些实施例中,若所述目标设备为具有保护模块的中间设备,所述中间设备设有用于连接存储设备的第一接口,和用于连接计算机设备的第二接口;所述步骤S301之前,还包括:
当所述第一接口接入所述存储设备,且所述第二接口接入所述计算机设备时,检测所述计算机设备与所述存储设备之间的通信连接请求。
在本实施例中,当中间设备分别接入存储设备和计算机设备时,中间设备上电,此时计算机设备为了获取存储设备中的文件信息,则需要建立计算机设备与存储设备之间的通信连接,所以计算机设备向存储设备发送通信连接请求,中间设备拦截该通信连接请求。
在一些实施例中,若所述目标设备为具有保护模块的存储设备,所述步骤S301之前,还包括:
在所述存储设备接入所述计算机设备时,检测与所述计算机设备之间的通信连接请求。
在本实施例中,当存储设备与计算机设备进行物理连接后,为了实现两者间的数据交互,则计算机设备向存储设备发送通信连接请求,或者存储设备向计算机设备发送通信连接请求,并通过该存储设备上的保护模块监听该通信连接请求。
需要说明的是,由于存储设备可能因某些原因被其他方式植入了木马病毒等恶意程序,而存储设备自身在未上电状态时并未发现该恶意程序,所以在存储设备与计算机设备进行物理连接,使得存储设备上电后,为保证计算机设备的安全性,监听计算机设备与存储设备之间的通信连接请求,以便于后续识别存储设备。
在一些实施例中,所述步骤S301之后,还包括:
若所述设备类型为预设禁止通信类型,则中断所述通信连接请求。
在本实施例中,预设禁止通信类型包括但不限于带有键鼠(键盘、鼠标等)输入功能或其他功能的复合型设备类型。可选地,若所述设备类型为预设禁止通信类型,还反馈拦截信息,该拦截信息用于提示存储设备为禁止通信设备。
可选地,拦截信息用于指示计算机设备通过盘符字符串进行提示,例如,计算机设备上显示接入的设备名为“非法设备”。目标设备上设有指示灯,拦截信息可以通过指示灯进行展示,例如指示灯闪烁(或者亮红灯等方式)表示当前接入的存储设备为禁止接入设备。
需要说明的是,本实施例通过验证存储设备的设备类型能够避免非法设备伪装成键鼠设备等接入到计算机设备,以避免非法设备对计算机设备造成安全风险,提高计算机设备的安全性。
在一些实施例中,所述步骤S302,包括:
将所述存储设备的目标硬件特征参数发送至所述计算机设备,所述目标硬件特征参数用于建立所述计算机设备与所述存储设备之间的通信连接。
在本实施例中,对于目标设备为中间设备时,获取存储设备的目标硬件特征参数,并将该目标硬件特征参数转发至计算机设备;对于目标设备为具有保护模块的存储设备时,将其预存的目标硬件特征参数发送至计算机设备。
可选地,硬件特征参数是用于表征存储设备特征的参数,其包括但不限于设备厂商与产品ID、设备属性、接口使用的类(例如大容量存储设备)、端点属性(例如批量传输)、字符串、传输速率、用电需求等。在设备接入时需要对硬件特征参数进行验证,当判定硬件特征参数符合建立通信连接的要求时,计算机设备根据硬件特征参数与存储设备建立通信连接。
在一实施例中,目标硬件特征参数可以为从存储设备直接获取的硬件特征参数;在另一实施例中,目标硬件特征参数可以为对存储设备直接获取的硬件特征参数进行筛选后的特征参数;在又一实施例中,目标硬件特征参数可以为与存储设备直接获取的硬件特征参数匹配的预设硬件特征参数。
在一些实施例中,所述将所述存储设备的目标硬件特征参数发送至所述计算机设备,包括:
根据所述存储设备的设备类型,从预设的参数模板中,获取与所述设备类型对应的目标硬件特征参数。
将所述目标硬件特征参数发送至所述计算机设备。
在本实施例中,根据存储设备的设备类型从预设的参数模板中,获取对应于该设备类型的预设硬件特征参数,将该预设硬件特征参数替代从存储设备获取的硬件特征参数,以作为目标硬件特征参数。可选地,预设的参数模板包括有对应于不同设备类型的能够被计算机读取并允许建立通信的预设硬件特征参数。
需要说明的是,本实施例根据对应于设备类型的硬件特征参数,对存储设备的硬件特征参数进行替换修改,以在接入计算机设备进行枚举时,可以保护存储设备的硬件特征参数不被采集,从而实现安全接入的同时,保护存储设备的隐私性。
在另一些实施例中,所述将所述存储设备的目标硬件特征参数发送至所述计算机设备,包括:
获取所述存储设备的硬件特征参数;
根据预设的参数类型,对所述硬件特征参数进行筛选,以确定与所述参数类型对应的目标硬件特征参数;
将所述目标硬件特征参数发送至所述计算机。
在本实施例中,通过对硬件特征参数进行筛选,以保留预设参数类型对应的目标硬件特征参数,并将筛选出的符合预设参数类型的目标硬件特征参数发送至计算机设备,其他参数作为未知参数不予发送至计算机设备,以避免将存储设备的非法参数发送至计算机设备,从而保证计算机设备的数据安全性。
在一些实施例中,在图1所示实施例的基础上,图4示出了步骤S101的具体流程示意图。如图4所示,步骤S101包括:
步骤S401,识别所述数据交互指令的指令类型;
步骤S402,若所述指令类型为所述权限要求对应的预设指令类型,则判定所述数据交互指令满足所述当前保护模式对应的权限要求。
在本实施例中,指令类型包括计算机设备发送的用于读取存储设备中的数据的数据读取指令,或者用于向存储设备中的目标位置写入数据的数据写入指令。可选地,通过保护模块基于预设解析规则,对数据交互指令进行解析,以识别出数据交互指令的实际交互功能,并根据实际交互功能确定指令类型,从而能够以指令类型为识别依据,直接有效的针对计算机设备发送的数据交互指令进行权限控制,避免数据交互指令通过伪装等方式对存储设备进行非法读写,从而提高存储设备的安全性。
示例性地,当前保护模式是针对文件A的只读模式,只读模式对应的指令类型应当为数据读取指令,所以若指令类型为针对文件A的数据写入指令,则该指令类型无法满足当前保护模式的权限要求;若指令类型为针对文件A的数据读取指令,则该指令类型满足当前保护模式的权限要求。
在一些实施例中,在图1所示实施例的基础上,所述保护模式为只读模式,图5示出了第三实施例的数据安全保护方法的流程示意图。与图1相同的步骤不再赘述。如图5所示,所述方法还包括:
步骤S501,响应于所述计算机设备发送的参数读取请求,将只读参数返回至所述计算机设备,所述只读参数用于使所述计算机设备将所述存储设备识别为只读设备。
在本实施例中,只读参数用于使计算机设备将存储设备识别为只读设备。示例性地,当计算机设备与存储设备建立通信连接后,向存储设备读取设备的读写状态时,在只读模式下,目标设备向计算机设备反馈只读参数,以表示存储设备为只读设备,从而使计算机设备识别为只读设备,并使得计算机设备在正常情况下仅会向存储设备发送数据读取指令,而减少发送除数据读取指令之外的其他无效指令。
可选地,上述只读模式可以兼容其他读写模式,例如全盘只读模式,特定文件读写模式下的只读模式,限位读写模式下的只读模式,以及文件限制读写模式下的只读模式中的任意一种。
在一些实施例中,在图1所示实施例的基础上,图6示出步骤S102的具体步骤示意图。如图6所示,所述步骤S102,包括:
步骤S601,响应于所述数据交互指令,对所述存储设备中的目标文件进行读写操作,所述读写操作包括读操作和写操作中的至少一种。
在本实施例中,读操作包括读取目标文件中的文件数据,并向计算机设备返回该文件数据;写操作包括将数据交互指令中携带的数据写入到目标文件中。目标文件为显示于计算机设备且允许计算机设备读写的文件,其包括但不限于基于扇区映射的特定文件、预设扇区地址对应的文件和具有预设文件特征的文件等。
可选地,对于目标设备为中间设备时,若数据交互指令为数据读取指令,则中间设备将满足权限要求的数据读取指令转发至存储设备,以在存储设备中的目标文件进行读操作。对于目标设备为具有保护模块的存储设备时,若数据交互指令为数据读取指令,则存储设备根据该数据读取指令在其目标文件中执行读操作。
需要说明的是,本实施例将目标文件作为读写操作的对象,以将计算机设备的读写限制在当前保护模式下的读写范围内,从而实现读写操作的有效控制,提高计算机设备与存储设备的安全性。
在一些实施例中,若所述保护模式为特定文件读写模式,所述步骤S601,包括:
响应于所述数据交互指令,将所述目标文件的扇区地址映射至目标地址,所述目标文件为显示于所述计算机设备的文件;
基于所述目标地址,对所述目标文件进行读写操作。
在本步骤中,目标文件为特定文件,特定文件为用户预先选定的允许计算机设备读写的文件,其能够在计算机设备上展示给用户。将特定文件映射至目标地址是指将存储设备中的特定文件的扇区地址映射到目标地址。
可选地,目标地址可以是目标设备中的某个扇区地址,也可以是存储设备中与特定文件不同的某扇区地址,或是与目标设备连接的其他存储设备的某个扇区地址,以使计算机设备仅能识别到特定文件的存在(即在计算机设备上仅将特定文件显示给用户),从而只能对特定文件进行读写。可以理解的是,特定文件应做扩大解释,特定文件可以是一个最小层级的文件(例如一个test.txt文本文件),特定文件也可以是一个文件夹。
可选地,特定文件可以预先选定,例如用户可以通过具有全局权限的计算机设备对文件进行选定,特定文件也可以是由目标设备自动创建;在一些实施例中,可以在将存储设备通过目标设备接入至具有全局权限的计算机设备时,将特定文件放入至目标设备创建的临时扇区区域中以完成文件选定,使得特定文件能够与存储设备建立映射。
特定文件读写模式包括针对特定文件的只读模式、只写模式和可读可写模式中的至少一种。示例性地,若特定文件读写模式为针对特定文件的只读模式,则目标设备对计算机设备发送的数据交互指令的指令类型进行筛选,仅执行数据读取指令,对于数据交互指令中包括读取指令以外的其他类型指令,则不执行该其他类型指令,并向计算机设备反馈已执行完毕的信息。若特定文件读写模式为针对特定文件的可读可写模式,则目标设备对计算机设备发送的数据交互指令中的读取指令和写入指令均予以响应。
示例地,在特定文件读写模式下,目标设备预先读取存储设备的根目录扇区地址区间(包含扇区首地址至尾地址,地址位置的排序可以非连续)和特定文件的数据扇区地址区间。当接收到数据交互指令时,若保护模块分析出该数据交互指令所要读写的扇区地址在根目录地址区间内,则在特定文件对应的地址区间内进行读写,而原根目录的数据无法被访问。
可选地,特定文件的读写可通过读写限位实现:目标设备通过建立读写限位区域,对于非特定文件的数据区域禁止读取和写入,对于特定文件以外,只允许在空白数据区域写入。
需要说明的是,本实施例通过选定特定文件并映射于目标设备中,以使计算机设备仅能够识别到特定文件的存在,避免计算机设备直接对存储设备中的非特定文件的数据进行读取或写入,从而保护存储设备的数据安全性。
在一些实施例中,所述目标文件包括所述存储设备已有的特定文件或预设文件,或者在所述计算机设备与所述存储设备建立通信连接前自动生成的文件。
在本实施例中,已有的特征文件为固定存在于存储设备的文件,预设文件可以为空白文件,即预设文件中不会显示存储设备中的任何现存数据;预设文件也可以为包含非重要数据的预设文件。预设文件可以在存储设备在接入计算机设备前自动创建,也可以是存储设备原有的空白文件夹,也可以是目标设备生成的临时文件夹。
在一种可能实施的方式中,对于预设文件为空白文件,其不存在可读数据,所以读取不到相应数据。在接收到写入指令时,根据写入指令在空白文件(即对应的扇区地址)写入数据,对于计算机设备在本次数据交互中成功写入到空白文件的数据,其可被计算机设备识别和读取。本实施例通过创建空白文件与目标设备之间的映射,使计算机设备无法读取到存储设备中的原有数据区的文件数据,而对空白文件进行读取与写入,从而限制计算机设备的读写权限,保护存储设备的数据安全性。
可选地,在向预设文件中写入数据时,计算机设备显示所写入的数据,也可以不显示写入的数据。
在一些实施例中,若所述保护模式为限位读写模式,所述步骤S601,包括:
响应于所述数据交互指令,基于预设扇区地址区间,对所述数据交互指令对应的目标扇区地址进行验证,所述目标扇区地址为所述存储设备基于所述数据交互指令执行读写操作时的扇区地址;
若所述目标扇区地址在所述预设扇区地址区间内,则在所述存储设备的目标扇区地址进行读写操作。
在本实施例中,限位读写模式包括针对预设扇区地址区间内的文件的只读模块、只写模式和可读可写模式。预设扇区地址区间包括允许计算机设备读写的所有扇区地址,其可以预先设置得到。
可选地,目标设备对数据交互指令中所要执行读写操作的目标扇区地址进行识别,并在该目标扇区地址在预设扇区地址区间内时,执行读写操作,从而控制计算机设备可以读写数据的扇区地址,以保护存储设备的数据安全性。例如,数据交互指令所要读写的文件的目标扇区地址为存储设备的第0至499扇区,若当前限位读写模式仅允许读写存储设备的第501至999扇区,则目标扇区地址不在预设扇区地址区间内,若当前限位读写模式允许读写存储设备第0至500扇区,则目标扇区地址在预设扇区地址区间内。
需要说明的是,本实施例通过限位读写模式,能够将存储设备允许的读写范围限制在预设扇区地址区间内,以满足在某些需要限位读写的场景。
在一些实施例中,在所述保护模式为文件限制读写模式时,所述步骤S601,包括:
响应于所述数据交互指令,基于预设文件特征,对所述数据交互指令对应的目标文件特征进行验证,所述目标文件特征为所述存储设备基于所述数据交互指令执行读写操作时对应的文件特征;
若所述目标文件特征符合所述预设文件特征,则对所述存储设备中的所述目标文件进行读写操作。
在本实施例中,文件限制读写模式包括针对具有预设文件特征的文件的只读模块、只写模式和可读可写模式。预设文件特征是指预先配置的允许计算机设备进行读写的文件所具有的特征参数,其包括但不限于文件名称、文件后缀、文件类型、文件大小、文件内容数据中预设扇区数据对应的哈希值、文件中预设扇区数据中特定位置对应预设的字节值(类似关键字比对命中的,比如判断第5页第10个字是否为0x88,相当于:判断第5扇区第10个字节为0x88)等文件特征。可选地,通过预设黑名单文件特征或白名单特征,禁止或允许对应文件的读写。例如,若文件限制读写模式具体为针对PDF文件类型的只读模式,则在执行读操作时,只读取存储设备中的PDF文件,其他文件类型无法被读取。
示例性地,当存储设备与计算机设备建立通信时,目标设备按照对应文件系统的预设规则,自动爬取存储设备内允许被计算机设备访问的所有文件的属性(如文件名、起始扇区地址等),并建立文件唯一标识和起始扇区地址的对应关系。对于读操作:当计算机设备读取扇区地址为某个文件的起始地址时,则认为要读写该文件,则查询该文件是否具备预设文件特征。对于读操作:当计算机设备写入某个文件时,先将该文件的属性(文件名、起始扇区地址等)更新写入至对应的文件夹数据,通过写入的文件夹数据进行比对,判断出所要写入的文件的属性,再判断该文件是否具备预设文件特征。
需要说明的是,本实施例通过文件限制读写模式,以满足用户希望计算机设备只能读取具有预设文件特征的文件的场景需求,从而提高存储设备的数据安全性。
在一些实施例中,所述预设文件特征包括文件中预设扇区数据对应的第一哈希值;所述基于预设文件特征,对所述数据交互指令对应的目标文件特征进行验证,包括:
计算所述目标文件中预设扇区数据的第二哈希值;
若所述第二哈希值与所述第一哈希值一致,则判定所述目标文件特征符合所述预设文件特征;
若所述第二哈希值与所述第一哈希值不一致,则判定所述目标文件特征不符合所述预设文件特征。
在本实施例中,预设扇区数据为预先选定的扇区中的数据,例如预设扇区为第一扇区,则计算计算机设备所要读写的目标文件所在的第一扇区部分数据的第二哈希值。在第二哈希值与第一哈希值一致时,则判定所述目标文件特征符合所述预设文件特征。示例性地,文件A中预设扇区数据B的第一哈希值为533c3057ec5801aa39e9257066890928,当需要读写文件A中的预设扇区数据B时,计算读写到的文件A中的扇区数据的第二哈希值,并判断第二哈希值是否为533c3057ec5801aa39e9257066890928,若是,则说明读写的是文件A中的预设扇区数据B,符合预设文件特征,若否,则说明读写的不是文件A中的预设扇区数据B,不符合预设文件特征。本实施例通过哈希值对比方式验证文件特征,能够更加精准的对某些文件数据进行读取控制。
在一些实施例中,所述对所述数据交互指令对应的目标文件特征进行验证之后,还包括:若所述目标文件特征不符合所述预设文件特征,则对所述目标文件进行隐藏。
在本实施例中,隐藏文件是指使计算机设备识别到文件。隐藏目标文件的方式可以是可以通过修改目标文件的真实扇区地址和文件大小,以使计算机设备将其识别为文件大小为0字节的空文件,而无法直接读取到目标文件的内容数据;也可以通过空白数据等非真实数据替代目标文件中的内容数据;还可以将目标文件修改为删除状态,以使计算机设备将其识别为文件已删除,而不显示该文件。可以理解的是,本实施例的替代或修改仅为伪装,并非对数据进行真实修改,而仅仅是对展示给计算机设备的数据进行替代或修改。
需要说明的是,在计算机设备与存储设备建立通信后,计算机设备需要读取存储设备的文件数据,以在计算设备上展示,则本实施例在计算机设备展示前,通过识别文件的预设文件特征,以对文件进行隐藏,其能够兼容本申请的所有保护模式,即在所有保护模式均可以隐藏文件,以使所有保护模式在隐藏文件后的存储设备进行权限配置,从而只对存储设备中未隐藏的文件进行读写,进而保护存储设备的隐私数据的安全性。
在一些实施例中,若保护模式为加密写入模式,所述步骤S601,包括:
响应于所述数据交互指令,对所述数据交互指令携带的待写入数据进行加密处理,得到第一目标数据;
向所述存储设备中的所述目标文件写入所述第一目标数据。
在本实施例中,保护模块存储有用于数据加密的密钥。对于计算机设备需要在存储设备写入数据的场景,计算机设备发送携带有待写入数据的写入指令,通过保护模块对待写入数据进行加密处理,得到第二目标数据,再向存储设备写入该第二目标数据。
可选地,对于目标设备为中间设备时,中间设备响应于写入指令,并通过保护模块对待写入数据进行加密,得到第二目标数据,再将第二目标数据和写入指令转发至存储设备,由存储设备根据写入指令写入该第二目标数据。对于目标设备为具有保护模块的存储设备时,保护模块在数据写入前验证用户身份(应理解,在其他实施例中也可以不用验证),如用户输入保护模块的解锁密码,以使保护模块能够在写操作时调用其预存的加密密钥,当存储设备接收到写入指令时,存储设备响应于写入指令,并通过保护模块对待写入数据进行加密,得到第二目标数据,对第二目标数据进行写操作。
需要说明的是,本实施例通过保护模块对待写入数据进行加密,以能够独立保护存储设备的数据安全,同时将加密密钥存储于保护模块,以实现密钥和数据分离保管。即使在存储设备丢失后,数据难以被破解,进一步提高数据安全性。
在一些实施例中,若保护模式为解密读取模式,所述响应于所述数据交互指令,对所述存储设备进行读操作和/或写操作,包括:
响应于所述数据交互指令,向所述计算机设备反馈第二目标数据,所述第二目标数据为对所述存储设备响应于所述数据交互指令返回的数据进行解密后的数据。
在本实施例中,保护模块存储有用于数据解密的密钥。对于计算机设备需要读取存储设备中的数据的场景,计算机设备发送读取指令,根据该读取指令获取存储设备中的目标数据,并通过保护模块对该目标数据进行解密处理,得到第三目标数据。
可选地,对于目标设备为中间设备时,计算机设备发送读取指令,中间设备将读取指令转发至存储设备,存储设备根据该读取指令获取目标数据,并转发至中间设备,中间设备的保护模块对该目标数据进行解密,得到第三目标数据,并将第三目标数据转发至计算机设备。对于目标设备为具有保护模块的存储设备时,保护模块在数据读取前验证用户身份(应理解,在其他实施例中也可以不用验证),如用户输入保护模块的解锁密码,以使保护模块能够在读操作时调用其预存的解密密钥;在计算机设备发送读取指令后,存储设备根据该读取指令获取目标数据,并通过保护模块对该目标数据进行解密处理,得到第三目标数据,再将第三目标数据返回至计算机设备。
需要说明的是,本实施例通过保护模块对存储设备获取到的数据进行解密,以能够独立保护存储设备的数据安全,同时将解密密钥存储于保护模块,以实现密钥和数据分离保管。即使在存储设备丢失后,数据难以被破解,进一步提高数据安全性。
可以理解的是,解密读取模式和加密写入模式能够兼容其他保护模式,例如当前保护模式可以同时为特定文件读写模式、解密读取模式和加密写入模式。
在一些实施例中,若所述保护模式为人工确认模式,所述步骤S601,包括:
响应于所述数据交互指令,提示用户是否确认执行所述数据交互指令;
若接收到所述数据交互指令的确认执行指令,则继续对所述存储设备中的目标文件进行读写操作。
在本实施例中,人工确认模式为在数据交互过程需要用户参与确认的模式。即针对计算机设备发送的数据交互指令,需要人工方式在中间设备或者带有保护模块的存储设备上进行确认。例如,对于exe可执行程序,计算机设备需要读写存储设备中的abc.exe文件时,保护模块监听到该读写操作时,通过亮灯或者屏幕显示等方式,提示用户对此该读写操作进行确认。经过人工确认后,再执行对应的读写操作。可以理解的是,人工确认模式能够与其他保护模式兼容。
示例性地,目标设备以中间设备为例,如图12所示的中间设备的示意图,当计算机设备需要向存储设备中的abc.exe文件写入数据时,中间设备显示对应操作信息,当用户点击确认选项时,表示触发确认执行指令,则允许计算机设备向存储设备中的abc.exe文件写入数据,当点击取消选项时,则中断该操作。
需要说明的是,本实施例通过人工确认模式能够对一些场景下的非法行为进行监控,以避免计算机设备在用户不知情时非法读写存储设备而造成数据泄露或者安全隐患,从而提高存储设备和计算机设备的安全性。
在一些实施例中,若所述保护模式为全盘只读模式,所述步骤S601,包括:
响应于所述数据交互指令,向所述计算机设备反馈第三目标数据,所述数据交互指令为读取指令,所述第一目标数据为所述存储设备响应于所述读取指令返回的数据。
在本实施例中,全盘只读模式为允许计算机设备读取存储设备中的所有文件数据的模式。计算机设备在希望与存储设备进行数据交互时会发送数据交互指令,但在全盘只读模式下,只有读取指令满足权限要求,目标设备也只会响应读取指令,并向计算机设备反馈第一目标数据,第一目标数据为从存储设备中读取到的数据。
示例性地,目标设备对数据交互指令的指令类型进行识别,并根据读写权限进行验证,在全盘只读模式下,当数据交互指令为读取指令时,目标设备根据读取指令调取存储设备中的第一目标数据,并将第一目标数据发送至计算机设备。当数据交互指令不为读取指令时,例如写入指令或其他类型的指令时,则该数据交互指令不会转发至目标设备。可选地,对于数据交互指令不为读取指令的情况,保护设备不转发数据交互指令,并且会向计算机发送已执行完毕的反馈信息,实现对计算机读写权限的限制。
本实施例通过全盘只读模式对存储设备与计算机设备之间的数据交互进行控制,以避免计算机设备对存储设备的数据进行修改或删除,从而保护存储设备的数据安全性。
在一些实施例中,在一些实施例中,在图1所示实施例的基础上,图7示出了第四实施例提供的数据安全保护方法的流程示意图。与图1相同的步骤不再赘述,如图7所示,针对读写操作的执行过程,所述方法还包括:
步骤S701,基于预设读写规则,对所述读写操作进行异常验证;
步骤S702,若所述读写操作不符合所述预设读写规则,则判定所述读写操作异常。
在本实施例中,预设读写规则包括但不限于扇区地址的通用读写规则和文件读写数量等。示例性地,对于扇区地址的通用读写规则,通常从0扇区开始读写,若当前读写操作未从文件的首扇区地址(0扇区)开始读写,而是在其他扇区开始读写,如在数据区的第100扇区连续读写至9999扇区,则认为读写操作异常行为。对于文件读写数量,由于爬虫式读取是对存储设备的所有文件进行扫描并批量读取,所以通过设置文件的读取数量,例如10个,若超过10个则认为读写操作异常。
可选地,读写操作异常时可以结合人工确认模式进行人工确认。
在一些实施例中,在图1所示实施例的基础上,图8示出了第五实施例提供的数据安全保护方法的流程示意图。与图1相同的步骤不再赘述,如图8所示,所述方法还包括:
步骤S801,将目标扇区区间作为存储数据源接入到所述计算机设备,所述目标扇区区间通过切割所述存储设备的存储空间得到,所述存储数据源包含所述目标文件。
在本实施例中,保护模式为逻辑分盘模式时,对存储设备进行逻辑分盘,逻辑分盘为基于存储设备的扇区地址对存储设备进行存储空间切割的过程,其区别于当前仅在计算机设备上显示多个分区而实际上文件存储于同一个扇区区间的系统分盘。例如,将硬盘1的扇区地址区间为0-999,对硬盘1进行系统分盘,以在计算机设备上显示盘1和盘2,但盘1和盘2的数据实际上还是存储于硬盘1中0-999扇区地址区间。而本实施例的逻辑分盘模式是将硬盘1的扇区地址区间分为0-499和500-999两个扇区地址区间,并分别对应A盘和B盘,则A盘的数据存储于0-499的扇区地址区间,B盘的数据存储于500-999的扇区地址区间,从而使A盘数据和B盘数据在底层逻辑上也互不影响,例如可以分别格式化为不同的文件系统。可选地,对于切割后的多个扇区区间,可以独立分盘形式接入到计算机设备,也可以文件形式接入到计算机设备。
需要说明的是,本实施例的扇区应理解为广义上的扇区,即为对存储设备的存储空间进行划分的区域,扇区信息包括但不限于扇区总数(扇区地址区间)和各扇区字节数等。逻辑分盘模式能够兼容所有保护模式,即其他保护模式针对的是在逻辑分盘后接入到计算机设备的目标分盘,对于未接入到计算机设备的其他分盘,计算机设备无法识别到其他分盘,所以计算机设备所发送的数据交互指令只能面向目标分盘。
可选地,目标分盘的接入方式可以为通过拨动开关、远程遥控、计算机配置的方式进行设置。示例性地,在一种可能实施的方式种,目标设备设置有用于选中分盘的物理开关,通过拨动物理开关以选中目标分盘。在另一种可能实施的方式中,目标设备设置有如无线局域网、蓝牙、红外线或超宽带的通信单元,以用于与远程遥控设备进行连接,从而通过远程遥控设备选中目标分盘。在又一种可能实施的方式中,通过计算机设备通信连接,以通过该计算机设备选中目标分盘。
可选地,计算机设备读取存储设备的总扇区数时,向计算机设备返回选中分盘的扇区总数;计算机设备发送读写扇区的数据交互指令时,按照分盘扇区的真实扇区位置进行映射。
在一些实施例中,在图8所示实施例的基础上,步骤S801之前还包括:
读取所述存储设备的扇区信息;
基于所述扇区信息,切割所述存储设备的存储空间,得到所述存储设备对应的多个扇区区间,所述目标扇区区间为多个所述扇区区间中的至少一个。
在本实施例中,基于预设分盘数量,对所述存储设备的扇区地址区间进行切割,得到每个存储空间的扇区地址区间。预设分盘数量可以为预设值,也可以在逻辑分盘前用户实时选择的数量。区间划分方式可以为基于预设区间大小对存储设备进行扇区地址划分的方式,也可以为基于用户实时选择的区间大小对存储设备进行扇区地址划分的方式。
可选地,若预设分配数量为预设值,当计算机设备与存储设备通信连接后,当目标设备在逻辑分盘模式下,按照默认值对存储设备的扇区信息进行区间划分,以实现即插即用。
示例性地,若预设分配数量为实时选择的数量,当计算机设备与存储设备通信连接后,当目标设备在逻辑分盘模式下,在计算机设备上显示用于提供给用户选择分盘数量和各个分盘大小的选项,基于用户实时选择的分盘数量和分盘大小,对存储设备进行逻辑分盘。例如,存储设备的扇区地址区间为0-1999,在计算机设备上显示分盘数量选项和分盘大小选项,如用户选择分盘数量为2,每个分盘大小相同,则得到扇区地址区间0-999对应的分盘,以及扇区地址区间1000-1999对应的分盘。
可以理解的是,对于目标设备为中间设备时,中间设备同时接入多个存储设备,可以对多个存储设备进行逻辑分盘,也可以基于每个存储设备进行物理分盘,得到与存储设备数量相同的分盘数量。
在一些实施例中,在图1所示实施例的基础上,图9示出了第六实施例提供的数据安全保护方法的流程示意图。与图1相同的步骤不再赘述,如图9所示,所述方法还包括:
步骤S901,将镜像文件作为所述存储数据源接入到所述计算机设备,所述镜像文件基于预设镜像策略生成得到。
在本实施例中,预设镜像策略可以通过创建空白镜像文件的方式得到;也可以复制已有镜像文件的方式得到,还可以通过对所述存储设备的数据区间进行镜像的方式得到。
示例性地,对于创建空白镜像文件的方式:在存储设备上生成一个预设存储镜像文件(可以是16G大小的空白文件“分盘1.dd”),得到镜像文件。对于复制已有镜像文件的方式:将另一存储设备A硬盘的所有扇区区间的数据保存为“A硬盘镜像文件.dd”的存储文件,则“A硬盘镜像文件.dd”称为A硬盘的镜像文件,再将“A硬盘镜像文件.dd”拷贝到具备存储空间能力的存储设备中。通过保护模块,可以将上述“分盘1.dd”或者“A硬盘镜像文件.dd”作为数据源接入计算机主机。
可选地,对于对所述存储设备的数据区间进行镜像的方式,数据区间的大小可以通过文件占位的方式进行预先设置,例如生成16G大小的空白“分盘1.dd”文件,则数据区间的大小为16G;也可以在有读写需要时,通过文件数据追加的方式写入,则数据区间的大小为数据区间已有数据的大小加上存储设备的总剩余空间(或称空白数据区域),从而能够充分利用存储设备的数据空间。
示例地,计算机设备对以文件形式的存储数据源进行读写:数据区间对应的文件路径为U盘中的“E:\我的文件夹\分盘1.dd”,当读写该分盘1时,目标设备实际读写“分盘1.dd”的文件数据进行映射。计算机设备读取第0数据块时,则返回“分盘1.dd”文件的首地址的0至后面的512个字节数据(单扇区大小为512字节),即返回文件数据块0的数据,以计算机设备操作的(扇区地址×512)为偏移量等方式,对文件数据进行读写。如果计算机能够直接读写文件对应的扇区数据,则直接读写对应的文件扇区。
需要说明的是,对于本实施例的文件分盘和下述实施例的联网分盘,扇区地址应扩大解释为“文件数据块”,即一个文件数据块对应一个扇区。例如:在单扇区大小为512个字节的情况下,读入扇区0,则对应文件数据块0,即读取文件的首地址至后面511字节的共512个字节数据;写入扇区1,则对应文件数据块1,等于从文件偏移量的512字节开始至后面的511个字节写入共512个字节数据。后续步骤不再赘述。
在一些实施例中,在图1所示实施例的基础上,图10示出了第七实施例提供的数据安全保护方法的流程示意图。与图1相同的步骤不再赘述,所述存储设备为联网存储设备,所述联网存储设备与服务端连接,所述服务端包含多个联网镜像文件,如图10所示,所述方法还包括:
步骤S1001,将目标联网镜像文件作为存储数据源接入到所述计算机设备,所述目标联网镜像文件为多个所述联网镜像文件中的至少一个,所述存储数据源包含所述目标文件。
在本实施例中,所述存储设备为联网存储设备,联网存储设备可以不存储数据,也可以存储数据,其通过有线方式或无线方式与服务端通信连接,所述服务端包含多个联网镜像文件。可选地,在基于分布式存储技术、优化存储和CDN网络加速的情况下,联网镜像文件可以为数据库的数据,或者多个文件的组合、拼凑和映射等。
可选地,联网存储设备连接服务端,并向服务端发送标识号,服务端根据联网存储设备的标识号关联对应的联网镜像文件,在计算机设备发送数据交互指令时,向服务端转发数据交互指令的读写要求(例如读或写操作,操作开始的扇区地址,连续读取扇区的长度),服务端接收到联网存储设备发送的读写要求后,返回联网镜像文件对应的扇区文件数据块地址,以实现联网存储设备的数据空间扩展。
可选地,根据联网存储设备的标识号,在服务端切换控制联网存储设备对应的目标联网镜像文件,以将目标联网镜像文件接入到计算机设备。例如根据联网存储设备的标识号(或者用户的标识号(通过账号登录绑定))绑定“分盘1.dd”、“分盘2.dd”和“分盘3.dd”3个联网镜像文件,以在该3个联网镜像文件中切换接入到计算机设备的数据源。
示例性地,目标设备连接服务端,将服务端存储的“分盘1.dd”的联网镜像文件接入到计算机设备,计算机设备以单扇区大小为512字节的方式发送数据交互指令,若该数据交互指令用于读取第0扇区地址的数据、向第1扇区地址写入数据,则保护模块向服务端发送请求,服务端将第0扇区转换为“分盘1.dd”的首地址,将第1扇区转换为“分盘1.dd”的第512个字节偏移量地址。服务端根据转换后的地址,返回镜像文件“分盘1.dd”首地址的0至后面的511个字节数据。向“分盘1.dd”的第512个字节为偏移量地址至后面的511个字节数据写入数据,联网存储设备再将服务端返回的结果返回至计算机设备。
本实施例的联网存储设备能够在计算机设备无需安装软件工具的情况下随意切换不同的存储数据源,数据源的真实地址对计算机来说不可见,数据源保存在云端,当联网存储设备丢失时可以远程取消数据源,提高数据存储设备的数据安全性。同时,本实施例直接读写取服务器端关联文件的特定偏移地址数据(或者文件对应的扇区地址数据,并以转发方式将数据直接转发至服务端或计算机设备,从而不受存储设备本身存储空间的限制,提高效率和增大适用场景。
在一些实施例中,采用描述符集合(及相关配置文件)区别以独立分盘形式、文件形式和联网形式等不同形式的数据源,从而使让计算机设备能够区分不同的存储设备。“描述符集合”可以存储在数据源的隐藏位置,例如最后一个扇区并不能被计算机当作存储设备数据访问,也可以存储于服务端,还可以是存储于保护设备内置存储的某个扇区或者文件。
在一些实施例中,在图8至图10任一实施例的基础上,所述方法还包括:
响应于用户输入的验证指令,将与所述验证指令的指令类型对应的目标存储数据源接入到所述计算机设备,所述目标存储数据源为扇区区间、镜像文件和联网镜像文件中的至少一种。
在本实施例中,验证指令为确定选中的目标存储数据源接入到计算机设备的指令,其可以携带有目标存储数据源对应密码信息。例如,目标存储数据源以分盘形式接入计算机设备为例,分盘1对应密码A,分盘2对应密码B,同时接入所有分盘的密码为C,当验证指令携带密码A时,确认将分盘1接入到计算机设备;当验证指令携带密码B时,确认将分盘2接入到计算机设备;当验证指令携带密码C时,确认将分盘1和分盘2同时接入到计算机设备。本实施例通过在接入目标扇区区间时可以通过密码验证用户身份,以确定接入选中的目标存储数据源,从而提高存储数据源的安全性。
在一些实施例中,在图1所示实施例的基础上,图11示出了第八实施例提供的数据安全保护方法的流程示意图。与图1相同的步骤不再赘述,如图11所示,所述方法还包括:
步骤S1101,读取所述存储设备的用电需求信息;
步骤S1102,根据所述用电需求信息,配置所述存储设备的电路限流保护策略,所述电路保护策略用于控制所述存储设备的用电状态。
在本实施例中,用电需求信息包括但不限于用电电流、用电电压和电路状态等,电路保护策略包括针对存储设备的保护策略和针对计算机设备的保护策略。
可选地,为了防止计算机设备输入大电流导致存储设备烧坏,所以根据存储设备的用电电流,配置保护策略,例如,中间设备连接计算机设备的第二接口与连接存储设备的第一接口之间的通路电流不超过用电电流,或不超过用电需求的预设允许上限(如10%),又或者不超过预设固定值(如500毫安)。为了防止存储设备属于短路电路而导致计算机设备烧坏,所以根据存储设备的电路状态,配置保护策略,例如存储设备的电路状态为短路或者存在瞬时大电流时,中间设备断开与存储设备连接的第一接口的连接通路,或者增大与第一接口的电阻。
在一些实施例中,所述方法还包括:
生成交互日志,所述日志用于记录对于所述计算机发送的数据交互指令的处理记录。
在本实施例中,将计算机设备发送的数据交互指令的处理记录(例如记录转发情况、执行情况的相关数据)存储到交互日志中,以便于事后审计。可选地,交互日志读出时可以配置为只读模式,使其无法被篡改,保证交互日志存储记录的可靠性。
为了执行上述方法实施例对应的数据安全保护方法,以实现相应的功能和技术效果。参见图13,图13示出了本申请实施例提供的一种数据安全保护装置的结构框图。为了便于说明,仅示出了与本实施例相关的部分,本申请实施例提供的数据安全保护装置,应用于目标设备,所述目标设备设有保护模块,所述保护模块包含多种保护模式,所述保护模式用于控制计算机设备在存储设备上的读写权限,所述装置包括:
控制单元1301,用于根据所述目标设备的当前保护模式,对所述计算机设备发送的数据交互指令进行权限控制,所述数据交互指令用于所述计算机设备与所述存储设备进行数据交互;
响应单元1302,用于若所述数据交互指令满足所述当前保护模式对应的权限要求,对所述数据交互指令作出响应。
在一些实施例中,所述装置还包括:
识别单元,用于若检测到所述计算机设备与所述存储设备之间的通信连接请求,则识别所述存储设备的设备类型;
建立单元,用于若所述设备类型为预设允许通信类型,则建立所述计算机设备与所述存储设备之间的通信连接。
在一些实施例中,若所述目标设备为具有保护模块的中间设备,所述中间设备设有用于连接存储设备的第一接口,和用于连接计算机设备的第二接口;所述装置,还包括:
第一检测单元,用于当所述第一接口接入所述存储设备,且所述第二接口接入所述计算机设备时,检测所述计算机设备与所述存储设备之间的通信连接请求。
在一些实施例中,所述装置,还包括:
中断单元,用于若所述设备类型为预设禁止通信类型,则中断所述通信连接请求。
在一些实施例中,所述建立单元,包括:
发送子单元,用于将所述存储设备的目标硬件特征参数发送至所述计算机设备,所述目标硬件特征参数用于建立所述计算机设备与所述存储设备之间的通信连接。
在一些实施例中,所述发送子单元,具体用于:
根据所述存储设备的设备类型,从预设的参数模板中,获取与所述设备类型对应的目标硬件特征参数。
将所述目标硬件特征参数发送至所述计算机设备。
在一些实施例中,所述发送子单元,具体还用于:
获取所述存储设备的硬件特征参数;
根据预设的参数类型,对所述硬件特征参数进行筛选,以确定与所述参数类型对应的目标硬件特征参数;
将所述目标硬件特征参数发送至所述计算机。
在一些实施例中,所述控制单元1301,包括:
识别子单元,用于识别所述数据交互指令的指令类型;
判定子单元,用于若所述指令类型为所述权限要求对应的预设指令类型,则判定所述数据交互指令满足所述当前保护模式对应的权限要求。
在一些实施例中,所述保护模式为只读模式,所述装置还包括:
返回单元,用于响应于所述计算机设备发送的参数读取请求,将只读参数返回至所述计算机设备,所述只读参数用于使所述计算机设备将所述存储设备识别为只读设备。
在一些实施例中,所述响应单元1302,包括:
响应子单元,用于响应于所述数据交互指令,对所述存储设备中的目标文件进行读写操作,所述读写操作包括读操作和写操作中的至少一种。
在一些实施例中,若所述保护模式为全盘只读模式,所述响应子单元,具体用于:
响应于所述数据交互指令,向所述计算机设备反馈第三目标数据,所述数据交互指令为读取指令,所述第三目标数据为所述存储设备响应于所述读取指令返回的数据。
在一些实施例中,若所述保护模式为特定文件读写模式,所述响应子单元,具体用于:
响应于所述数据交互指令,将所述目标文件的扇区地址映射至目标地址,所述目标文件为显示于所述计算机设备的文件;
基于所述目标地址,对所述目标文件进行读写操作。
在一些实施例中,所述目标文件包括所述存储设备已有的特定文件或预设文件,或者在所述计算机设备与所述存储设备建立通信连接前自动生成的文件。
在一些实施例中,若所述保护模式为限位读写模式,所述响应子单元,具体用于:
响应于所述数据交互指令,基于预设扇区地址区间,对所述数据交互指令对应的目标扇区地址进行验证,所述目标扇区地址为所述存储设备基于所述数据交互指令执行读写操作时的扇区地址;
若所述目标扇区地址在所述预设扇区地址区间内,则在所述存储设备的目标扇区地址进行读写操作。
在一些实施例中,在所述保护模式为文件限制读写模式时,所述响应子单元,具体用于:
响应于所述数据交互指令,基于预设文件特征,对所述数据交互指令对应的目标文件特征进行验证,所述目标文件特征为所述存储设备基于所述数据交互指令执行读写操作时对应的文件特征;
若所述目标文件特征符合所述预设文件特征,则对所述存储设备中的所述目标文件进行读写操作。
在一些实施例中,所述响应子单元,具体还用于:
若所述目标文件特征不符合所述预设文件特征,则对所述目标文件进行隐藏。
在一些实施例中,所述预设文件特征包括文件中预设扇区数据对应的第一哈希值;响应子单元,具体还用于:
计算所述目标文件中预设扇区数据的第二哈希值;
若所述第二哈希值与所述第一哈希值一致,则判定所述目标文件特征符合所述预设文件特征;
若所述第二哈希值与所述第一哈希值不一致,则判定所述目标文件特征不符合所述预设文件特征。
在一些实施例中,若保护模式为加密写入模式,所述响应子单元,具体用于:
响应于所述数据交互指令,对所述数据交互指令携带的待写入数据进行加密处理,得到第一目标数据;
向所述存储设备中的所述目标文件写入所述第一目标数据。
在一些实施例中,若保护模式为解密读取模式,所述响应子单元,具体用于:
响应于所述数据交互指令,向所述计算机设备反馈第二目标数据,所述第二目标数据为对所述存储设备响应于所述数据交互指令返回的数据进行解密后的数据。
在一些实施例中,若所述保护模式为人工确认模式,所述响应子单元,具体用于:
响应于所述数据交互指令,提示用户是否确认执行所述数据交互指令;
若接收到所述数据交互指令的确认执行指令,则对所述存储设备中的目标文件进行读写操作。
在一些实施例中,所述响应子单元,具体还用于:
基于预设读写规则,对所述读写操作进行异常验证;
若所述读写操作不符合所述预设读写规则,则判定所述读写操作异常。
在一些实施例中,所述装置还包括:
第一接入单元,用于将目标扇区区间作为存储数据源接入到所述计算机设备,所述目标扇区区间通过切割所述存储设备的存储空间得到,所述存储数据源包含所述目标文件。
在一些实施例中,所述装置还包括:
第一读取单元,用于读取所述存储设备的扇区信息;
切割单元,用于基于所述扇区信息,切割所述存储设备的存储空间,得到所述存储设备对应的多个扇区区间,所述目标扇区区间为多个所述扇区区间中的至少一个。
在一些实施例中,所述装置还包括:
第二接入单元,用于将镜像文件作为所述存储数据源接入到所述计算机设备,所述镜像文件基于预设镜像策略生成得到。
在一些实施例中,所述存储设备为联网存储设备,所述联网存储设备与服务端连接,所述服务端包含多个联网镜像文件,所述装置还包括:
第三接入单元,用于将目标联网镜像文件作为存储数据源接入到所述计算机设备,所述目标联网镜像文件为多个所述联网镜像文件中的至少一个,所述存储数据源包含所述目标文件。
所述装置还包括:
验证单元,用于响应于用户输入的验证指令,将与所述验证指令的指令类型对应的目标存储数据源接入到所述计算机设备,所述目标存储数据源为扇区区间、镜像文件和联网镜像文件中的至少一种。
在一些实施例中,所述装置还包括:
第二读取单元,用于读取所述存储设备的用电需求信息;
配置单元,用于根据所述用电需求信息,配置所述存储设备的电路保护策略,所述电路保护策略用于控制所述存储设备的用电状态。
在一些实施例中,所述装置还包括:
生成单元,用于生成交互日志,所述日志用于记录对于所述计算机发送的数据交互指令的处理记录。
上述的数据安全保护装置可实施上述方法实施例的数据安全保护方法。上述方法实施例中的可选项也适用于本实施例,这里不再详述。本申请实施例的其余内容可参照上述方法实施例的内容,在本实施例中,不再进行赘述。
图14为本申请一实施例提供的目标设备的结构示意图。如图14所示,该实施例的目标设备14包括:至少一个处理器140(图14中仅示出一个)处理器、存储器141以及存储在所述存储器141中并可在所述至少一个处理器140上运行的计算机程序142,所述处理器140执行所述计算机程序142时实现上述任意方法实施例中的步骤。
所述目标设备14可以是具有保护模块的中间设备或存储设备。该目标设备可包括但不仅限于处理器140、存储器141。本领域技术人员可以理解,图14仅仅是目标设备14的举例,并不构成对目标设备14的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入输出设备、网络接入设备等。
所称处理器140可以是中央处理单元(Central Processing Unit,CPU),该处理器140还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器141在一些实施例中可以是所述目标设备14的内部存储单元,例如目标设备14的硬盘或内存。所述存储器141在另一些实施例中也可以是所述目标设备14的外部存储设备,例如所述目标设备14上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器141还可以既包括所述目标设备14的内部存储单元也包括外部存储设备。所述存储器141用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如所述计算机程序的程序代码等。所述存储器141还可以用于暂时地存储已经输出或者将要输出的数据。
另外,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述任意方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在目标设备上运行时,使得目标设备执行时实现上述各个方法实施例中的步骤。
在本申请所提供的几个实施例中,可以理解的是,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意的是,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台目标设备执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、(硬盘、SD卡、TF卡、)磁碟或者光盘等各种可以存储程序代码的介质。
以上所述的具体实施例,对本申请的目的、技术方案和有益效果进行了进一步的详细说明,应当理解,以上所述仅为本申请的具体实施例而已,并不用于限定本申请的保护范围。特别指出,对于本领域技术人员来说,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (29)
1.一种数据安全保护方法,其特征在于,应用于目标设备,所述目标设备设有保护模块,所述保护模块包含多种保护模式,所述保护模式用于控制计算机设备在存储设备上的读写权限,所述方法包括:
根据所述目标设备的当前保护模式,对所述计算机设备发送的数据交互指令进行权限控制,所述数据交互指令用于所述计算机设备与所述存储设备进行数据交互;
若所述数据交互指令满足所述当前保护模式对应的权限要求,对所述数据交互指令作出响应。
2.根据权利要求1所述的数据安全保护方法,其特征在于,若所述目标设备为具有保护模块的中间设备,所述中间设备设有用于连接存储设备的第一接口,和用于连接计算机设备的第二接口,所述方法还包括:
当所述第一接口接入所述存储设备,且所述第二接口接入所述计算机设备时,检测所述计算机设备与所述存储设备之间的通信连接请求;
若检测到所述计算机设备与所述存储设备之间的通信连接请求,则识别所述存储设备的设备类型;
若所述设备类型为预设允许通信类型,则建立所述计算机设备与所述存储设备之间的通信连接。
3.根据权利要求2所述的数据安全保护方法,其特征在于,所述识别所述存储设备的设备类型之后,还包括:
若所述设备类型为预设禁止通信类型,则中断所述通信连接请求。
4.根据权利要求2所述的数据安全保护方法,其特征在于,所述建立所述计算机设备与所述存储设备之间的通信连接,包括:
将所述存储设备的目标硬件特征参数发送至所述计算机设备,所述目标硬件特征参数用于建立所述计算机设备与所述存储设备之间的通信连接。
5.根据权利要求4所述的数据安全保护方法,其特征在于,所述将所述存储设备的目标硬件特征参数发送至所述计算机设备,包括:
根据所述存储设备的设备类型,从预设的参数模板中,获取与所述设备类型对应的目标硬件特征参数。
将所述目标硬件特征参数发送至所述计算机设备。
6.根据权利要求4所述的数据安全保护方法,其特征在于,所述将所述存储设备的目标硬件特征参数发送至所述计算机设备,包括:
获取所述存储设备的硬件特征参数;
根据预设的参数类型,对所述硬件特征参数进行筛选,以确定与所述参数类型对应的目标硬件特征参数;
将所述目标硬件特征参数发送至所述计算机设备。
7.根据权利要求1所述的数据安全保护方法,其特征在于,所述根据所述目标设备的当前保护模式,对所述计算机设备发送的数据交互指令进行权限控制,包括:
识别所述数据交互指令的指令类型;
若所述指令类型为所述权限要求对应的预设指令类型,则判定所述数据交互指令满足所述当前保护模式对应的权限要求。
8.根据权利要求1所述的数据安全保护方法,其特征在于,所述对所述数据交互指令作出响应,包括:
响应于所述数据交互指令,对所述存储设备中的目标文件进行读写操作,所述读写操作包括读操作和写操作中的至少一种。
9.根据权利要求8所述的数据安全保护方法,其特征在于,若所述保护模式为特定文件读写模式,所述响应于所述数据交互指令,对所述存储设备中的目标文件进行读写操作,包括:
响应于所述数据交互指令,将所述目标文件的扇区地址映射至目标地址,所述目标文件为显示于所述计算机设备的文件;
基于所述目标地址,对所述目标文件进行读写操作。
10.根据权利要求9所述的数据安全保护方法,其特征在于,所述目标文件包括所述存储设备已有的特定文件或预设文件,或者在所述计算机设备与所述存储设备建立通信连接前自动生成的文件。
11.根据权利要求8所述的数据安全保护方法,其特征在于,若所述保护模式为限位读写模式,所述响应于所述数据交互指令,对所述存储设备中的目标文件进行读写操作,包括:
响应于所述数据交互指令,基于预设扇区地址区间,对所述数据交互指令对应的目标扇区地址进行验证,所述目标扇区地址为所述存储设备基于所述数据交互指令执行读写操作时的扇区地址;
若所述目标扇区地址在所述预设扇区地址区间内,则在所述存储设备的目标扇区地址进行读写操作。
12.根据权利要求8所述的数据安全保护方法,其特征在于,在所述保护模式为文件限制读写模式时,所述响应于所述数据交互指令,对所述存储设备中的目标文件进行读写操作,包括:
响应于所述数据交互指令,基于预设文件特征,对所述数据交互指令对应的目标文件特征进行验证,所述目标文件特征为所述存储设备基于所述数据交互指令执行读写操作时对应的文件特征;
若所述目标文件特征符合所述预设文件特征,则对所述存储设备中的所述目标文件进行读写操作。
13.根据权利要求12所述的数据安全保护方法,其特征在于,所述对所述数据交互指令对应的目标文件特征进行验证之后,还包括:
若所述目标文件特征不符合所述预设文件特征,则对所述目标文件进行隐藏。
14.根据权利要求8所述的数据安全保护方法,其特征在于,若保护模式为加密写入模式,所述响应于所述数据交互指令,对所述存储设备中的目标文件进行读写操作,包括:
响应于所述数据交互指令,对所述数据交互指令携带的待写入数据进行加密处理,得到第一目标数据;
向所述存储设备中的所述目标文件写入所述第一目标数据。
15.根据权利要求8所述的数据安全保护方法,其特征在于,若保护模式为解密读取模式,所述响应于所述数据交互指令,对所述存储设备中的目标文件进行读写操作,包括:
响应于所述数据交互指令,向所述计算机设备反馈第二目标数据,所述第二目标数据为对所述存储设备响应于所述数据交互指令返回的数据进行解密后的数据。
16.根据权利要求8所述的数据安全保护方法,其特征在于,若所述保护模式为人工确认模式,所述响应于所述数据交互指令,对所述存储设备中的目标文件进行读写操作,包括:
响应于所述数据交互指令,提示用户是否确认执行所述数据交互指令;
若接收到所述数据交互指令的确认执行指令,则继续对所述存储设备中的目标文件进行读写操作。
17.根据权利要求8至16任一项所述的数据安全保护方法,其特征在于,所述方法还包括:
基于预设读写规则,对所述读写操作进行异常验证;
若所述读写操作不符合所述预设读写规则,则判定所述读写操作异常。
18.根据权利要求1所述的数据安全保护方法,其特征在于,所述保护模式为只读模式,所述方法还包括:
响应于所述计算机设备发送的参数读取请求,将只读参数返回至所述计算机设备,所述只读参数用于使所述计算机设备将所述存储设备识别为只读设备。
19.根据权利要求1所述的数据安全保护方法,其特征在于,所述若所述数据交互指令满足所述当前保护模式对应的权限要求,对所述数据交互指令作出响应之前,还包括:
将目标扇区区间作为存储数据源接入到所述计算机设备,所述目标扇区区间通过切割所述存储设备的存储空间得到。
20.根据权利要求19所述的数据安全保护方法,其特征在于,所述将目标扇区区间作为存储数据源接入到所述计算机设备之前,还包括:
读取所述存储设备的扇区信息;
基于所述扇区信息,切割所述存储设备的存储空间,得到所述存储设备对应的多个扇区区间,所述目标扇区区间为多个所述扇区区间中的至少一个。
21.根据权利要求1所述的数据安全保护方法,其特征在于,所述若所述数据交互指令满足所述当前保护模式对应的权限要求,对所述数据交互指令作出响应之前,还包括:
将镜像文件作为所述存储数据源接入到所述计算机设备,所述镜像文件基于预设镜像策略生成得到。
22.根据权利要求1所述的数据安全保护方法,其特征在于,所述存储设备为联网存储设备,所述联网存储设备与服务端连接,所述服务端包含多个联网镜像文件,所述若所述数据交互指令满足所述当前保护模式对应的权限要求,对所述数据交互指令作出响应之前,还包括:
将目标联网镜像文件作为存储数据源接入到所述计算机设备,所述目标联网镜像文件为多个所述联网镜像文件中的至少一个。
23.根据权利要求19至22任一项所述的数据安全保护方法,其特征在于,所述方法还包括:
响应于用户输入的验证指令,将与所述验证指令的指令类型对应的目标存储数据源接入到所述计算机设备,所述目标存储数据源为扇区区间、镜像文件和联网镜像文件中的至少一种。
24.根据权利要求1所述的数据安全保护方法,其特征在于,所述方法还包括:
读取所述存储设备的用电需求信息;
根据所述用电需求信息,配置所述存储设备的电路保护策略,所述电路保护策略用于控制所述存储设备的用电状态。
25.根据权利要求1所述的数据安全保护方法,其特征在于,所述方法还包括:
生成交互日志,所述日志用于记录对于所述计算机发送的数据交互指令的处理记录。
26.一种数据安全保护装置,其特征在于,应用于目标设备,所述目标设备设有保护模块,所述保护模块包含多种保护模式,所述保护模式用于控制计算机设备在存储设备上的读写权限,所述装置包括:
控制单元,用于根据所述目标设备的当前保护模式,对所述计算机设备发送的数据交互指令进行权限控制,所述数据交互指令用于所述计算机设备与所述存储设备进行数据交互;
响应单元,用于若所述数据交互指令满足所述当前保护模式对应的权限要求,对所述数据交互指令作出响应。
27.一种目标设备,其特征在于,设有保护模块和用于连接存储设备的第一接口,以及用于连接计算机的第二接口,所述保护模块包含多种保护模式,所述保护模式用于配置计算机设备在存储设备上的读写权限;
所述目标设备包括一个或多个处理器,以及存储器;
所述存储器用于存储计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至25中任一项所述数据安全保护方法的步骤。
28.一种目标设备,其特征在于,设有集成于处理器的保护模块,所述保护模块包含多种保护模式,所述保护模式用于配置计算机设备在存储设备上的读取权限;
所述目标设备包括一个或多个处理器,以及存储器;
所述存储器用于存储计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至25中任一项所述数据安全保护方法的步骤。
29.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至25中任一项所述数据安全保护方法的步骤。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202380010563.6A CN117396872A (zh) | 2022-05-10 | 2023-05-09 | 数据安全保护方法、设备、系统、安全控制框架及存储介质 |
| PCT/CN2023/093113 WO2023143646A2 (zh) | 2022-05-10 | 2023-05-09 | 数据安全保护方法、设备、系统、安全控制框架及存储介质 |
| TW112117416A TW202345023A (zh) | 2022-05-10 | 2023-05-10 | 數據安全保護方法、設備、系統、安全控制框架及儲存媒介 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2022105043328 | 2022-05-10 | ||
| CN202210504332 | 2022-05-10 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115048681A true CN115048681A (zh) | 2022-09-13 |
| CN115048681B CN115048681B (zh) | 2024-02-20 |
Family
ID=83165603
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210781724.9A Active CN115048681B (zh) | 2022-05-10 | 2022-07-04 | 数据安全保护方法、装置、目标设备及存储介质 |
| CN202380010563.6A Pending CN117396872A (zh) | 2022-05-10 | 2023-05-09 | 数据安全保护方法、设备、系统、安全控制框架及存储介质 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202380010563.6A Pending CN117396872A (zh) | 2022-05-10 | 2023-05-09 | 数据安全保护方法、设备、系统、安全控制框架及存储介质 |
Country Status (3)
| Country | Link |
|---|---|
| CN (2) | CN115048681B (zh) |
| TW (1) | TW202345023A (zh) |
| WO (1) | WO2023143646A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023143646A3 (zh) * | 2022-05-10 | 2023-10-05 | 黄建邦 | 数据安全保护方法、设备、系统、安全控制框架及存储介质 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117040945B (zh) * | 2023-10-10 | 2024-02-02 | 深圳安天网络安全技术有限公司 | 一种电子设备防护策略的确定方法、装置、介质及设备 |
| CN117272392B (zh) * | 2023-11-21 | 2024-03-15 | 国网四川省电力公司信息通信公司 | 用于终端的数据安全保护与备份控制方法和系统 |
| CN117828573A (zh) * | 2024-03-04 | 2024-04-05 | 深圳市领德创科技有限公司 | 一种基于指纹技术的智能加密u盘 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1661572A (zh) * | 2004-02-23 | 2005-08-31 | 深圳市朗科科技有限公司 | 用于管理存储装置与主机设备间数据访问的方法 |
| CN104700027A (zh) * | 2013-12-27 | 2015-06-10 | 卡巴斯基实验室封闭式股份公司 | 使用资源管理器隔离资源的系统和方法 |
| CN105787392A (zh) * | 2016-02-29 | 2016-07-20 | 珠海市魅族科技有限公司 | 一种数据读写控制方法及控制装置 |
| CN206479991U (zh) * | 2017-02-13 | 2017-09-08 | 荣健睿 | 移动硬盘 |
| CN107341415A (zh) * | 2017-07-27 | 2017-11-10 | 张家港市九华科技有限公司 | 一种具有硬件写保护功能的固态硬盘 |
| CN109542808A (zh) * | 2018-10-19 | 2019-03-29 | 华为技术有限公司 | 控制硬盘接入的方法和装置 |
| CN112083879A (zh) * | 2020-08-13 | 2020-12-15 | 杭州电子科技大学 | 一种固态硬盘存储空间物理分区隔离与隐藏方法 |
| CN112231678A (zh) * | 2020-09-02 | 2021-01-15 | 网神信息技术(北京)股份有限公司 | 存储设备的权限处理方法、装置、电子设备及存储介质 |
| CN112507319A (zh) * | 2020-11-23 | 2021-03-16 | 济南华芯算古信息科技有限公司 | 一种NVMe-oF存储系统的数据安全保护方法及装置 |
| CN113849138A (zh) * | 2021-12-01 | 2021-12-28 | 浙江齐安信息科技有限公司 | 安全管控装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9361243B2 (en) * | 1998-07-31 | 2016-06-07 | Kom Networks Inc. | Method and system for providing restricted access to a storage medium |
| CN100464314C (zh) * | 2006-03-23 | 2009-02-25 | 联想(北京)有限公司 | 一种数据透明保护的安全写系统和方法 |
| CN101403993B (zh) * | 2008-07-28 | 2012-10-17 | 清华大学深圳研究生院 | 数据安全保管设备和数据安全保管方法 |
| CN115048681B (zh) * | 2022-05-10 | 2024-02-20 | 黄建邦 | 数据安全保护方法、装置、目标设备及存储介质 |
-
2022
- 2022-07-04 CN CN202210781724.9A patent/CN115048681B/zh active Active
-
2023
- 2023-05-09 CN CN202380010563.6A patent/CN117396872A/zh active Pending
- 2023-05-09 WO PCT/CN2023/093113 patent/WO2023143646A2/zh active Application Filing
- 2023-05-10 TW TW112117416A patent/TW202345023A/zh unknown
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1661572A (zh) * | 2004-02-23 | 2005-08-31 | 深圳市朗科科技有限公司 | 用于管理存储装置与主机设备间数据访问的方法 |
| CN104700027A (zh) * | 2013-12-27 | 2015-06-10 | 卡巴斯基实验室封闭式股份公司 | 使用资源管理器隔离资源的系统和方法 |
| CN105787392A (zh) * | 2016-02-29 | 2016-07-20 | 珠海市魅族科技有限公司 | 一种数据读写控制方法及控制装置 |
| CN206479991U (zh) * | 2017-02-13 | 2017-09-08 | 荣健睿 | 移动硬盘 |
| CN107341415A (zh) * | 2017-07-27 | 2017-11-10 | 张家港市九华科技有限公司 | 一种具有硬件写保护功能的固态硬盘 |
| CN109542808A (zh) * | 2018-10-19 | 2019-03-29 | 华为技术有限公司 | 控制硬盘接入的方法和装置 |
| CN112083879A (zh) * | 2020-08-13 | 2020-12-15 | 杭州电子科技大学 | 一种固态硬盘存储空间物理分区隔离与隐藏方法 |
| CN112231678A (zh) * | 2020-09-02 | 2021-01-15 | 网神信息技术(北京)股份有限公司 | 存储设备的权限处理方法、装置、电子设备及存储介质 |
| CN112507319A (zh) * | 2020-11-23 | 2021-03-16 | 济南华芯算古信息科技有限公司 | 一种NVMe-oF存储系统的数据安全保护方法及装置 |
| CN113849138A (zh) * | 2021-12-01 | 2021-12-28 | 浙江齐安信息科技有限公司 | 安全管控装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023143646A3 (zh) * | 2022-05-10 | 2023-10-05 | 黄建邦 | 数据安全保护方法、设备、系统、安全控制框架及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115048681B (zh) | 2024-02-20 |
| WO2023143646A2 (zh) | 2023-08-03 |
| CN117396872A (zh) | 2024-01-12 |
| WO2023143646A3 (zh) | 2023-10-05 |
| TW202345023A (zh) | 2023-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115048681B (zh) | 数据安全保护方法、装置、目标设备及存储介质 | |
| US8522346B1 (en) | Protection against unintentional file changing | |
| US9529735B2 (en) | Secure data encryption in shared storage using namespaces | |
| CN103620612B (zh) | 包括端口和来宾域的计算设备 | |
| US10289860B2 (en) | Method and apparatus for access control of application program for secure storage area | |
| WO2009107330A1 (ja) | 情報処理装置及びその制御方法 | |
| US10979450B2 (en) | Method and system for blocking phishing or ransomware attack | |
| JP2011086026A (ja) | 情報記憶装置、情報記憶プログラム、そのプログラムを記録した記録媒体及び情報記憶方法 | |
| US20070271472A1 (en) | Secure Portable File Storage Device | |
| CN103617398A (zh) | 一种数据文件的保护方法及装置 | |
| CN114270346A (zh) | 具有可变计算机文件系统的数据存储装置 | |
| KR20200013013A (ko) | 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템 | |
| WO2018155593A1 (ja) | プログラム管理装置、プログラム管理方法、及びコンピュータ読み取り可能な記録媒体 | |
| JP7087932B2 (ja) | ストレージ装置、データ共有システム及びデータ共有方法 | |
| US9442667B2 (en) | Apparatus and method for protection of stored data | |
| KR101349807B1 (ko) | 이동식 저장매체 보안시스템 및 그 방법 | |
| KR101042218B1 (ko) | 컴퓨터용 데이터 보안시스템의 데이터 보안방법 | |
| KR102239902B1 (ko) | 보조기억장치에서의 파일시스템 보호장치 및 방법 | |
| JP7043842B2 (ja) | データ共有システム及びデータ共有方法 | |
| CN118113218A (zh) | 数据安全保护方法、设备、系统、安全控制框架及介质 | |
| JP2004220400A (ja) | ファイル保護方法及びファイル保護プログラム | |
| JP2023516517A (ja) | データ保護システム | |
| JPWO2005010761A1 (ja) | 書込制御方法及びコンピュータシステム | |
| JP2021033706A (ja) | データ共有方法、データ共有システム及び端末装置 | |
| KR20140026315A (ko) | 이동식 저장매체 보안시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40075978 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |