CN116127500A - Linux下移动存储介质的文件管控方法、系统及介质 - Google Patents
Linux下移动存储介质的文件管控方法、系统及介质 Download PDFInfo
- Publication number
- CN116127500A CN116127500A CN202211608699.0A CN202211608699A CN116127500A CN 116127500 A CN116127500 A CN 116127500A CN 202211608699 A CN202211608699 A CN 202211608699A CN 116127500 A CN116127500 A CN 116127500A
- Authority
- CN
- China
- Prior art keywords
- storage medium
- terminal
- mobile storage
- target mobile
- files
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/73—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种用于移动存储介质的文件级权限管控方法、系统及介质,本发明包括在检测到有属主的目标移动存储介质接入本终端后,判断本终端是否是目标移动存储介质的属主,若是属主则将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限;若不是属主则根据预设的文件管控策略,在目标移动存储介质中的全部文件中确定本终端的可访问文件及其访问权限,将本终端的可访问文件依据其访问权限挂载到本终端。本发明基于属主和非属主的识别能够实现移动存储介质的分类安全控制,通过文件管控策略可方便实现非属主的移动存储介质的终端、文件之间的访问权限控制,且权限管控颗粒度细化至文件级,具有安全可靠的优点。
Description
技术领域
本发明涉及计算机领域的移动存储介质安全管理技术领域,具体涉及一种用于移动存储介质的文件级权限管控方法、系统及介质。
背景技术
伴随着信息安全的形式日益严峻,参与生产经营的用户越来越关注信息保密。小到移动U盘,大到阵列存储的服务器,都存在着一定的信息安全隐患,为提升文件流转的安全性,普遍的做法是制定严格的规章制度并加强权限管理。移动存储介质是文件流转的重要组成,具备全面开放的权限特性,这种策略过于粗放,不能进行细粒度的管控,因此需要基于移动存储介质完善具有文件级的权限管控策略。
目前主流的移动存储介质的管控方法有两种:1、端口级管控,通过控制终端外设端口的权限,达到移动存储外设的管控需求。2、移动存储设备管控,通过记录存储设备的唯一标识并同时记录管控策略,当移动存储设备插入终端时,识别移动存储设备并使用对应的管控策略进行管控。上述管控方法存在着以下不足:①管控颗粒度较粗,仅能提供到移动存储设备级,更细粒度的管控策略无法满足。对于终端而言移动存储介质中的文件与系统中普通文件是一样的,默认使用终端中普通文件管控策略,也就是常用的“读”、“写”、“执行”权限,但是移动存储介质同样具备终端中普通文件不具备的特性——移动性,使用者可以随意接入移动存储介质到任意的终端上,这也是无法通过行政手段有效管控保密文件流转的主要原因。②管控策略跟随终端仅能制定本台终端对移动存储外设的管控策略,一旦将移动存储介质接入到其他终端,策略即时失效。这种情况没办法保证数据不被非法拷贝或利用,由于权限无法控制随之导致文件流转时的管控漏洞。③管控策略的出发点是在终端上,而移动存储介质的用户并不固定,导致管控策略存在混乱的现象。移动存储介质无法知晓拥有者是谁,谁能为移动存储介质的访问下发策略。
发明内容
本发明要解决的技术问题:针对现有技术的上述问题,提供一种用于移动存储介质的文件级权限管控方法、系统及介质,本发明基于属主和非属主的识别能够实现移动存储介质的分类安全控制,通过文件管控策略可方便实现非属主的移动存储介质的终端、文件之间的访问权限控制,且权限管控颗粒度细化至文件级,具有安全可靠的优点。
通过保存策略数据至移动存储介质中让管控策略跟随移动存储介质,同时预设不同的角色实现对移动存储介质下的文件管控策略进行下发和实施。
为了解决上述技术问题,本发明采用的技术方案为:
一种Linux下移动存储介质的文件管控方法,包括:在检测到有属主的目标移动存储介质接入本终端后,判断本终端是否是目标移动存储介质的属主,若是属主则将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限;若不是属主则根据预设的文件管控策略,在目标移动存储介质中的全部文件中确定本终端的可访问文件及其访问权限,将本终端的可访问文件依据其访问权限挂载到本终端。
可选地,所述将本终端的可访问文件依据其访问权限挂载到本终端后,还包括通过交互获取本终端的用户针对本终端的可访问文件中访问权限为只读的目标文件发起写申请,根据写申请生成申请项并关联到目标移动存储介质;所述将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限后,还包括在目标移动存储介质存在未处理的申请项时,通过交互获取用户对申请项的审核结果,若审核结果为允许访问目标文件,则更新文件管控策略使得该申请项对应的终端对目标文件的访问权限为可读写。
可选地,所述将本终端的可访问文件依据其访问权限挂载到本终端后,还包括在使用者往目标移动存储介质中写入新文件时,生成针对新文件的审计项并关联到目标移动存储介质;所述将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限后,还包括在目标移动存储介质存在未处理的审计项时,通过交互获取用户对审计项对应新文件的权限设置,所述权限设置包括对新文件可读写和可读的终端信息,并将权限设置追加到文件管控策略中。
可选地,所述将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限之后,还包括通过交互获取用户对目标移动存储介质中指定文件的主动权限设置,所述主动权限设置包括对指定文件可读写和可读的终端信息,并根据主动权限设置更新文件管控策略中指定文件的权限设置。
可选地,所述将本终端的可访问文件依据其访问权限挂载到本终端包括:首先将目标移动存储介质挂载到本终端的Linux系统命名空间中的隔离系统挂载点,然后使用挂载命令的共享选项将目标移动存储介质中本终端的可访问文件依据其访问权限挂载在Linux系统命名空间中的不同位置,再传播到终端本终端的Linux系统命名空间中。
可选地,所述在检测到有属主的目标移动存储介质接入本终端之前包括:在目标移动存储介质接入本终端后,检测目标移动存储介质是否有属主,若目标移动存储介质有属主则判定检测到有属主的目标移动存储介质接入本终端;若目标移动存储介质无属主,则首先通过交互判断是否需要将目标移动存储介质绑定到本终端,若需要将目标移动存储介质绑定到本终端,则执行将目标移动存储介质绑定到本终端的绑定操作;然后将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限。
可选地,所述执行将目标移动存储介质绑定到本终端的绑定操作包括:
S101,针对本终端的用户进行安全认证,若安全认证通过则跳转步骤S102;否则结束;
S102,获取本终端的硬件序列号,使用公钥将本终端的硬件序列号加密生成标识密文信息,使用私钥将标识密文信息签名标识密文信息得到签名信息;
S103,将公钥、标识密文信息、签名信息存储到目标移动存储介质中的指定位置。
可选地,所述判断本终端是否是目标移动存储介质的属主包括:
S201,使用私钥签名一段指定数据得到测试签名信息,使用目标移动存储介质上存储的公钥来验签测试签名信息,若验签失败,则判定本终端不是目标移动存储介质的属主,结束并退出;否则,跳转步骤S202;
S202,使用目标移动存储介质上存储的公钥验签标识密文信息的签名信息,若验签失败,则判定本终端不是目标移动存储介质的属主,结束并退出;否则,跳转步骤S203;
S203,使用私钥解密目标移动存储介质上存储的标识密文信息,得到属主的硬件序列号,获取本终端的硬件序列号,若属主的硬件序列号、本终端的硬件序列号两者匹配,则判定本终端是目标移动存储介质的属主,否则判定本终端不是目标移动存储介质的属主。
此外,本发明还提供一种Linux下移动存储介质的文件管控系统,包括相互连接的微处理器和存储器,所述微处理器被编程或配置以执行所述Linux下移动存储介质的文件管控方法。
此外,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序用于被微处理器编程或配置以执行所述Linux下移动存储介质的文件管控方法。
和现有技术相比,本发明主要具有下述优点:本发明Linux下移动存储介质的文件管控方法基于属主和非属主的识别能够实现移动存储介质的分类安全控制,通过文件管控策略可方便实现非属主的移动存储介质的终端、文件之间的访问权限控制,且权限管控颗粒度细化至文件级,具有安全可靠的优点。
附图说明
图1为本发明实施例一方法的基本流程示意图。
图2为本发明实施例一中绑定操作的流程示意图。
图3为本发明实施例一中属主判断的流程示意图。
图4为本发明实施例二~四的方法基本流程示意图。
具体实施方式
实施例一:
如图1所示,本实施例Linux下移动存储介质的文件管控方法包括:在检测到有属主的目标移动存储介质接入本终端后,判断本终端是否是目标移动存储介质的属主,若是属主则将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限;若不是属主则根据预设的文件管控策略,在目标移动存储介质中的全部文件中确定本终端的可访问文件及其访问权限,将本终端的可访问文件依据其访问权限挂载到本终端。本实施例中,文件管控策略中用于决定指定终端对指定文件的访问权限,每一条记录包括文件名称、文件路径、终端、权限,权限分为三种:“隐藏”、“只读”和“读写”,“只读”和“读写”为可访问文件,“隐藏”则为不可访问文件,默认策略可以根据需要进行选择,例如本实施例中默认策略为“隐藏”。
本实施例中,文件管控策略为存储在目标移动存储介质中以实现离线的文件管控,此外也可以根据需要选择存放在指定的网络位置实现在线的文件管控,或者采用网络位置+本地缓存的方式结合来实现半离线的文件管控。
本实施例中,将本终端的可访问文件依据其访问权限挂载到本终端包括:首先将目标移动存储介质挂载到本终端的Linux系统命名空间(Namespace)中的隔离系统挂载点,然后使用挂载命令(mount)的共享选项(make-shared)将目标移动存储介质中本终端的可访问文件依据其访问权限挂载在Linux系统命名空间中的不同位置,再传播到终端本终端的Linux系统命名空间中。Linux系统的命名空间(Namespace)是Linux内核系统提供的一种资源隔离机制,可隔离文件、网络等主机资源。本实施例中将目标移动存储介质挂载到本终端的Linux系统命名空间(Namespace)中的隔离系统挂载点时,包括使用clone系统调用,形成终端系统与Linux系统命名空间的数据隔离,然后读取移动存储介质中的文件管控策略数据库,使用mount的make-shared选项将移动存储介质中的文件挂载在Namespace中的其他位置,传播到终端系统Namespace中以实施文件管控策略。
如图1所示,本实施例中在检测到有属主的目标移动存储介质接入本终端之前包括:在目标移动存储介质接入本终端后,检测目标移动存储介质是否有属主,若目标移动存储介质有属主则判定检测到有属主的目标移动存储介质接入本终端;若目标移动存储介质无属主,则首先通过交互判断是否需要将目标移动存储介质绑定到本终端,若需要将目标移动存储介质绑定到本终端,则执行将目标移动存储介质绑定到本终端的绑定操作;然后将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限,通过上述方式,可可自动区分移动存储介质属性,限制区分了目标移动存储介质的管理和非管理行为。
本实施例中执行将目标移动存储介质绑定到本终端的绑定操作以及相关的安全操作都是利用一组公私密钥对实现的。如图2所示,本实施例中执行将目标移动存储介质绑定到本终端的绑定操作包括:
S101,针对本终端的用户进行安全认证,若安全认证通过则跳转步骤S102;否则结束;
S102,获取本终端的硬件序列号,使用公钥将本终端的硬件序列号加密生成标识密文信息,使用私钥将标识密文信息签名标识密文信息得到签名信息;
S103,将公钥、标识密文信息、签名信息存储到目标移动存储介质中的指定位置。
需要说明的是:其一,步骤S101中的安全认证可以根据需要采用所需的认证方式,既可以采用与操作系统绑定的认证方式,也可以采用与操作系统无关的认证方式,例如作为一种可选的实施方式,本实施例中采用了密保问题的方式,且步骤S101中为默认的密保问题,只有回答正确才是安全认证通过。其二,硬件序列号基于硬件信息生成,硬件信息可以选择CPU序列号、网卡MAC地址、硬盘序列号、主板序列号等硬件信息的部分或全部,生成的方式可以采用拼接、加密等方式,只要能够保证得到的硬件序列号唯一或者基本不发生重复即可。
如图3所示,本实施例中判断本终端是否是目标移动存储介质的属主包括:
S201,使用私钥签名一段指定数据得到测试签名信息,使用目标移动存储介质上存储的公钥来验签测试签名信息,若验签失败,则判定本终端不是目标移动存储介质的属主,结束并退出;否则,跳转步骤S202;
S202,使用目标移动存储介质上存储的公钥验签标识密文信息的签名信息,若验签失败,则判定本终端不是目标移动存储介质的属主,结束并退出;否则,跳转步骤S203;
S203,使用私钥解密目标移动存储介质上存储的标识密文信息,得到属主的硬件序列号,获取本终端的硬件序列号,若属主的硬件序列号、本终端的硬件序列号两者匹配,则判定本终端是目标移动存储介质的属主,否则判定本终端不是目标移动存储介质的属主。
此外,本实施例还提供一种Linux下移动存储介质的文件管控系统,包括相互连接的微处理器和存储器,所述微处理器被编程或配置以执行前述Linux下移动存储介质的文件管控方法。此外,本实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序用于被微处理器编程或配置以执行前述Linux下移动存储介质的文件管控方法。
实施例二:
本实施例与实施例一基本相同,其主要区别为实施例一中的文件管控策略为固定的策略,而本实施例中的文件管控策略为可更新的文件管控策略。
作为一种可选的实施方式,本实施例中包含了针对只读文件的策略更新。参见图4中的a所示,本实施例中将本终端的可访问文件依据其访问权限挂载到本终端后,还包括通过交互获取本终端的用户针对本终端的可访问文件中访问权限为只读的目标文件发起写申请,根据写申请生成申请项并关联到目标移动存储介质,本实施例中申请项的信息包括姓名、主机信息、申请文件路径以及申请原因;所述将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限后,还包括在目标移动存储介质存在未处理的申请项时,通过交互获取用户对申请项的审核结果,若审核结果为允许访问目标文件,则更新文件管控策略使得该申请项对应的终端对目标文件的访问权限为可读写。
此外,为了进一步增强文件管控策略更新的安全性,可在通过交互获取用户对申请项的审核结果之前针对本终端的用户进行安全认证,若安全认证通过才执行通过交互获取用户对申请项的审核结果;否则结束。安全认证可以根据需要采用所需的认证方式,既可以采用与操作系统绑定的认证方式,也可以采用与操作系统无关的认证方式,例如作为一种可选的实施方式,本实施例中采用了密保问题的方式,且在实施例一中步骤S103中还进一步包括设置密保问题和答案,并将答案生成哈希值并存储在目标移动存储介质中,只有密保问题的回答的哈希值与存储的哈希值匹配才是安全认证通过。
此外,本实施例还提供一种Linux下移动存储介质的文件管控系统,包括相互连接的微处理器和存储器,所述微处理器被编程或配置以执行前述Linux下移动存储介质的文件管控方法。此外,本实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序用于被微处理器编程或配置以执行前述Linux下移动存储介质的文件管控方法。
实施例三:
本实施例为对实施例二的进一步改进,本实施例中包含了针对写入新文件的策略更新触发。参见图4中的b,将本终端的可访问文件依据其访问权限挂载到本终端后,还包括在使用者往目标移动存储介质中写入新文件时,生成针对新文件的审计项并关联到目标移动存储介质;所述将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限后,还包括在目标移动存储介质存在未处理的审计项时,通过交互获取用户对审计项对应新文件的权限设置,所述权限设置包括对新文件可读写和可读的终端信息,并将权限设置追加到文件管控策略中。
此外,本实施例还提供一种Linux下移动存储介质的文件管控系统,包括相互连接的微处理器和存储器,所述微处理器被编程或配置以执行前述Linux下移动存储介质的文件管控方法。此外,本实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序用于被微处理器编程或配置以执行前述Linux下移动存储介质的文件管控方法。
实施例四:
本实施例为对实施例二的进一步改进,本实施例中的文件管控策略为可更新的文件管控策略。作为一种可选的实施方式,本实施例中包含了针对文件管控策略的主动更新。参见图4中的c所示,将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限之后,还包括通过交互获取用户对目标移动存储介质中指定文件的主动权限设置,所述主动权限设置包括对指定文件可读写和可读的终端信息,并根据主动权限设置更新文件管控策略中指定文件的权限设置。
此外,本实施例还提供一种Linux下移动存储介质的文件管控系统,包括相互连接的微处理器和存储器,所述微处理器被编程或配置以执行前述Linux下移动存储介质的文件管控方法。此外,本实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序用于被微处理器编程或配置以执行前述Linux下移动存储介质的文件管控方法。
需要说明的是,实施例二~实施例四中文件管控策略的三种更新方式方式并无依赖关系,因此可以根据需要调整顺序,或者选择部分或者全部来组合实施。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种Linux下移动存储介质的文件管控方法,其特征在于,包括:在检测到有属主的目标移动存储介质接入本终端后,判断本终端是否是目标移动存储介质的属主,若是属主则将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限;若不是属主则根据预设的文件管控策略,在目标移动存储介质中的全部文件中确定本终端的可访问文件及其访问权限,将本终端的可访问文件依据其访问权限挂载到本终端。
2.根据权利要求1所述的Linux下移动存储介质的文件管控方法,其特征在于,所述将本终端的可访问文件依据其访问权限挂载到本终端后,还包括通过交互获取本终端的用户针对本终端的可访问文件中访问权限为只读的目标文件发起写申请,根据写申请生成申请项并关联到目标移动存储介质;所述将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限后,还包括在目标移动存储介质存在未处理的申请项时,通过交互获取用户对申请项的审核结果,若审核结果为允许访问目标文件,则更新文件管控策略使得该申请项对应的终端对目标文件的访问权限为可读写。
3.根据权利要求2所述的Linux下移动存储介质的文件管控方法,其特征在于,所述将本终端的可访问文件依据其访问权限挂载到本终端后,还包括在使用者往目标移动存储介质中写入新文件时,生成针对新文件的审计项并关联到目标移动存储介质;所述将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限后,还包括在目标移动存储介质存在未处理的审计项时,通过交互获取用户对审计项对应新文件的权限设置,所述权限设置包括对新文件可读写和可读的终端信息,并将权限设置追加到文件管控策略中。
4.根据权利要求1所述的Linux下移动存储介质的文件管控方法,其特征在于,所述将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限之后,还包括通过交互获取用户对目标移动存储介质中指定文件的主动权限设置,所述主动权限设置包括对指定文件可读写和可读的终端信息,并根据主动权限设置更新文件管控策略中指定文件的权限设置。
5.根据权利要求1所述的Linux下移动存储介质的文件管控方法,其特征在于,所述将本终端的可访问文件依据其访问权限挂载到本终端包括:首先将目标移动存储介质挂载到本终端的Linux系统命名空间中的隔离系统挂载点,然后使用挂载命令的共享选项将目标移动存储介质中本终端的可访问文件依据其访问权限挂载在Linux系统命名空间中的不同位置,再传播到终端本终端的Linux系统命名空间中。
6.根据权利要求1所述的Linux下移动存储介质的文件管控方法,其特征在于,所述在检测到有属主的目标移动存储介质接入本终端之前包括:在目标移动存储介质接入本终端后,检测目标移动存储介质是否有属主,若目标移动存储介质有属主则判定检测到有属主的目标移动存储介质接入本终端;若目标移动存储介质无属主,则首先通过交互判断是否需要将目标移动存储介质绑定到本终端,若需要将目标移动存储介质绑定到本终端,则执行将目标移动存储介质绑定到本终端的绑定操作;然后将目标移动存储介质中的全部文件挂载到终端并提供完整的访问权限。
7.根据权利要求6所述的Linux下移动存储介质的文件管控方法,其特征在于,所述执行将目标移动存储介质绑定到本终端的绑定操作包括:
S101,针对本终端的用户进行安全认证,若安全认证通过则跳转步骤S102;否则结束;
S102,获取本终端的硬件序列号,使用公钥将本终端的硬件序列号加密生成标识密文信息,使用私钥将标识密文信息签名标识密文信息得到签名信息;
S103,将公钥、标识密文信息、签名信息存储到目标移动存储介质中的指定位置。
8.根据权利要求7所述的Linux下移动存储介质的文件管控方法,其特征在于,所述判断本终端是否是目标移动存储介质的属主包括:
S201,使用私钥签名一段指定数据得到测试签名信息,使用目标移动存储介质上存储的公钥来验签测试签名信息,若验签失败,则判定本终端不是目标移动存储介质的属主,结束并退出;否则,跳转步骤S202;
S202,使用目标移动存储介质上存储的公钥验签标识密文信息的签名信息,若验签失败,则判定本终端不是目标移动存储介质的属主,结束并退出;否则,跳转步骤S203;
S203,使用私钥解密目标移动存储介质上存储的标识密文信息,得到属主的硬件序列号,获取本终端的硬件序列号,若属主的硬件序列号、本终端的硬件序列号两者匹配,则判定本终端是目标移动存储介质的属主,否则判定本终端不是目标移动存储介质的属主。
9.一种Linux下移动存储介质的文件管控系统,包括相互连接的微处理器和存储器,其特征在于,所述微处理器被编程或配置以执行权利要求1~8中任意一项所述Linux下移动存储介质的文件管控方法。
10.一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其特征在于,所述计算机程序用于被微处理器编程或配置以执行权利要求1~8中任意一项所述Linux下移动存储介质的文件管控方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211608699.0A CN116127500A (zh) | 2022-12-14 | 2022-12-14 | Linux下移动存储介质的文件管控方法、系统及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211608699.0A CN116127500A (zh) | 2022-12-14 | 2022-12-14 | Linux下移动存储介质的文件管控方法、系统及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116127500A true CN116127500A (zh) | 2023-05-16 |
Family
ID=86309118
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211608699.0A Pending CN116127500A (zh) | 2022-12-14 | 2022-12-14 | Linux下移动存储介质的文件管控方法、系统及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116127500A (zh) |
-
2022
- 2022-12-14 CN CN202211608699.0A patent/CN116127500A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102279760B (zh) | 利用初始保护组件来进行设备引导 | |
KR101861401B1 (ko) | 장치 기능과 애플리케이션의 결합 | |
EP1946238B1 (en) | Operating system independent data management | |
KR101888712B1 (ko) | 운영 체제 구성 값 보호 기법 | |
US8782407B2 (en) | Information processing device, information processing method, and program | |
US20080184035A1 (en) | System and Method of Storage Device Data Encryption and Data Access | |
US20080295174A1 (en) | Method and System for Preventing Unauthorized Access and Distribution of Digital Data | |
US20030221115A1 (en) | Data protection system | |
JP6073320B2 (ja) | デジタル署名するオーソリティ依存のプラットフォームシークレット | |
JP2007034875A (ja) | ペリフェラルの使用管理方法、電子システム及びその構成装置 | |
US9311956B2 (en) | Information processing device, information processing method, and program | |
JP2015143988A (ja) | アプリケーション・プログラム用の安全なアクセス方法および安全なアクセス装置 | |
KR20090121712A (ko) | 가상화 시스템 및 그 가상화 시스템에서의 컨텐트 사용제한 방법 | |
CN100578518C (zh) | 内容使用管理系统、内容提供系统、内容使用设备及其方法 | |
US20100306485A1 (en) | Content longevity with user device domains | |
US10158623B2 (en) | Data theft deterrence | |
JP5874200B2 (ja) | 情報処理装置、および情報処理方法、並びにプログラム | |
US10020019B2 (en) | Information processing device and information processing method | |
US20090119744A1 (en) | Device component roll back protection scheme | |
US10387681B2 (en) | Methods and apparatus for controlling access to secure computing resources | |
US8321915B1 (en) | Control of access to mass storage system | |
KR20200013013A (ko) | 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템 | |
CN116127500A (zh) | Linux下移动存储介质的文件管控方法、系统及介质 | |
KR102026634B1 (ko) | 컨텐츠 재생 시스템의 인증 방법 | |
KR101469803B1 (ko) | 데이터 보안장치, 이를 구비하는 단말기 및 데이터 보안 방법과 컴퓨터로 읽을 수 있는 기록매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |