CN117010028A - 一种文件系统防窃取方法及装置 - Google Patents

一种文件系统防窃取方法及装置 Download PDF

Info

Publication number
CN117010028A
CN117010028A CN202311103490.3A CN202311103490A CN117010028A CN 117010028 A CN117010028 A CN 117010028A CN 202311103490 A CN202311103490 A CN 202311103490A CN 117010028 A CN117010028 A CN 117010028A
Authority
CN
China
Prior art keywords
file system
data
theft
memory
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311103490.3A
Other languages
English (en)
Inventor
李宏宏
刘宝阳
孙明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Yunhai Guochuang Cloud Computing Equipment Industry Innovation Center Co Ltd
Original Assignee
Shandong Yunhai Guochuang Cloud Computing Equipment Industry Innovation Center Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Yunhai Guochuang Cloud Computing Equipment Industry Innovation Center Co Ltd filed Critical Shandong Yunhai Guochuang Cloud Computing Equipment Industry Innovation Center Co Ltd
Priority to CN202311103490.3A priority Critical patent/CN117010028A/zh
Publication of CN117010028A publication Critical patent/CN117010028A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/40Transformation of program code
    • G06F8/41Compilation
    • G06F8/42Syntactic analysis
    • G06F8/427Parsing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种文件系统防窃取方法及装置,通过将用户的文件系统制作成Ramdisk格式并采用对称加密算法进行加密,保护敏感数据免受未经授权的访问和窃取。装置包括解密模块、加载模块、更新模块和终端屏蔽模块。解密模块在设备启动时将加密文件系统解密并加载到内存中,加载模块实现文件系统的挂载,更新模块监测配置数据变化并更新文件系统映像,终端屏蔽模块禁用终端接口。该方法和装置提升了数据安全性、防止攻击、提高系统性能以及保障数据的持久性和可靠性,适用于各种需要保护敏感数据的嵌入式系统和安全领域。

Description

一种文件系统防窃取方法及装置
技术领域
本发明涉及计算机技术领域,具体涉及一种文件系统防窃取方法及装置。
背景技术
ARM处理器广泛应用于各个行业,如在服务器领域,ARM处理器作为BMC监控和管理服务器。随着ARM处理器的广泛应用,系统的安全性要求愈发明显,对于ARM处理器运行的数据完整性和安全性的要求也有明显提升。尤其是对于用户隐私数据的保护,以及关键程序的保护。
目前大多数设备用户程序文件或者配置数据存储在Rootfs中或者独立的文件系统分区中,没有进行任何的保护,对于设备运行的安全性存在极大的风险。另外,部分设备将配置数据修改成二进制数据,在代码中进行解析,在程序中通过逐字节解析使用。以上方案存在明显的缺陷:
(1)文件系统存储在固定的物理存储中,通过回读存储设备的存储数据,识别所使用的文件系统的方法可以获取到存储在其中的用户程序,数据被获取的概率极高,无法对用户数据进行保护。
(2)数据的安全性能得到提升,但二进制数据对于开发和维护的成本大幅增加,且不利于后期功能的灵活扩展。
发明内容
有鉴于此,本发明提出了一种文件系统防窃取方法及装置,旨在保证用户镜像包文件系统中的数据无法直接被窃取或未经授权访问。该方法涉及文件系统的加密、加载和更新,以及用户终端屏蔽等步骤,从而提高文件系统数据的安全性和可靠性。
基于上述目的,第一方面,本发明提供了一种文件系统防窃取方法,用于保障用户的镜像包文件系统中的数据安全,包括以下步骤:
在文件系统制作完成后,将用户的应用程序和配置文件等数据存放到文件夹中;
将文件系统制作成Ramdisk文件系统;
使用对称加密算法对Ramdisk文件系统中的数据进行加密;
将加密后的文件系统保存在设备的物理存储中。
作为本发明的进一步方案,对称加密算法采用AES(高级加密标准)算法。
作为本发明的进一步方案,所述Ramdisk文件系统为基于内存的虚拟磁盘文件系统,或者基于内存的临时文件系统。
第二方面,本发明还提供了一种文件系统防窃取装置,用于实现上述任一所述的文件系统防窃取方法,该文件系统防窃取装置包括:
解密模块,用于解密存储在设备物理存储中的加密文件系统;
加载模块,将解密后的文件系统映像存储到内存的指定位置,并配置uboot参数传递给内核;
更新模块,监测文件系统配置数据的写操作,重新制作文件系统映像并写入设备物理存储中;
终端屏蔽模块,禁用文件系统的登录终端接口。
作为本发明的进一步方案,所述解密模块使用对称密钥对加密的文件系统数据进行解密。
作为本发明的进一步方案,所述加载模块在设备启动的uboot阶段执行,将解密后的文件系统映像加载到内存的预定位置。
作为本发明的进一步方案,更新模块监测文件系统中的配置数据写操作时,一旦检测到写操作,重新制作文件系统映像并写入设备物理存储中。
作为本发明的进一步方案,所述终端屏蔽模块通过配置文件系统设置,实现对登录终端接口的禁用;其中,终端屏蔽模块禁用了uart终端、ssh服务和scp服务等终端接口。
作为本发明的进一步方案,所述终端屏蔽模块通过配置uboot参数禁用了uart终端;所述终端屏蔽模块还通过内核配置禁用了ssh服务和scp服务等终端接口。
作为本发明的进一步方案,所述文件系统防窃取装置,还包括:
处理单元,配置为在设备启动到uboot阶段时,将加密的文件系统映像解密并加载到内存中;
监测单元,用于监测文件系统配置数据的写操作,一旦检测到写操作,重新制作文件系统映像并写入设备物理存储中;
终端屏蔽单元,用于禁用文件系统的登录终端接口。
作为本发明的进一步方案,所述处理单元配置为在uboot阶段解密文件系统映像并加载到内存中;所述终端屏蔽单元通过内核配置禁用了文件系统的登录终端接口。
本发明的又一方面,还提供了一种计算机设备,包括存储器和处理器,该存储器中存储有计算机程序,该计算机程序被处理器执行时执行上述任一项根据本发明的文件系统防窃取方法。
本发明的再一方面,还提供了一种计算机可读存储介质,存储有计算机程序指令,该计算机程序指令被执行时实现上述任一项根据本发明的文件系统防窃取方法。
与现有技术相比较而言,本发明提出的一种文件系统防窃取方法及装置,可以显著提升文件系统数据的安全性、可靠性和灵活性,带来了以下
有益效果:
1.数据安全性提升:通过对文件系统中的数据进行加密,确保敏感数据在存储和传输过程中得到保护,防止未经授权的访问和窃取。
2.防止窃取攻击:加密后的数据无法被直接解析,有效防止黑客和恶意用户窃取敏感信息,提高了数据的保密性。
3.防止回读攻击:加密数据直接保存在设备的物理存储中,使得攻击者无法通过物理手段回读存储设备来获取明文数据。
4.内存数据安全保护:解密后的文件系统数据存储在内存中,即使设备被未授权访问,也难以获取明文数据,提升了内存数据的安全性。
5.数据更新的灵活性:允许在运行时更新文件系统数据,使得用户能够根据需要随时更新配置和应用数据,提高了系统的灵活性和实时性。
6.高效的访问性能:借助Ramdisk文件系统的高速读写性能,加速了文件系统的访问速度,提升了应用的响应性能。
7.终端接口屏蔽:禁用了登录终端接口,如uart终端、ssh服务等,有效地减少了系统受到未授权访问的风险。
8.通用性和易用性:不再需要根据不同的物理存储设备类型制作不同类型的文件系统,简化了系统部署和维护的复杂性。
9.数据持久性和可靠性:通过重新制作和写入更新后的文件系统映像,保证数据在断电等异常情况下的持久性和可靠性。
10.整体系统安全性提升:通过多层安全措施的叠加,从数据加密到终端屏蔽,综合提高了整个系统的安全性和抗攻击能力。
11.改善用户体验:提高了文件系统的访问速度和数据更新灵活性,进一步改善了用户使用产品的体验。
综合而言,本发明的文件系统防窃取方法及装置通过多种技术手段综合保护文件系统数据的安全性和可靠性,同时提供了灵活的数据更新和终端接口屏蔽功能,从而为嵌入式系统和其他安全性要求较高的领域带来了显著的有益效果。
本申请的这些方面或其他方面在以下实施例的描述中会更加简明易懂。应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
在图中:
图1为本发明实施例的一种文件系统防窃取方法中加密文件系统制作过程的示意图。
图2为本发明实施例的一种文件系统防窃取方法中加密文件系统加载实施流程示意图;
图3为本发明实施例的一种文件系统防窃取方法中Ramdisk加载流程示意图。
图4为本发明实施例的一种文件系统防窃取方法中用户数据更新流程示意图。
图5为本发明实施例的一种文件系统防窃取方法中禁用文件系统访问流程的流程图。
具体实施方式
下面,结合附图以及具体实施方式,对本申请做进一步描述,需要说明的是,在不相冲突的前提下,以下描述的各实施例之间或各技术特征之间可以任意组合形成新的实施例。
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称的非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、装置、产品或设备固有的其他步骤或单元。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
附图中所示的流程图仅是示例说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解、组合或部分合并,因此实际执行的顺序有可能根据实际情况改变。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
由于文件系统存储在固定的物理存储中,通过回读存储设备的存储数据,识别所使用的文件系统的方法可以获取到存储在其中的用户程序,数据被获取的概率极高,无法对用户数据进行保护。而且,数据的安全性能得到提升,但二进制数据对于开发和维护的成本大幅增加,且不利于后期功能的灵活扩展。
有鉴于此,本发明提供了一种文件系统防窃取方法及装置,用于保证提供用户的镜像包文件系统加密后数据,无法直接进行文件系统解析,并且加密数据会直接保存在设备物理存储中,也无法通过回读存储设备来获取文件系统数据。用户数据存放在文件系统中,这部分数据不管是应用程序或是用户的配置数据等都是极为重要的。本装置是在文件系统制作镜像完成后,用户已经将需要的数据存放到对应的文件夹中,将文件系统制作成Ramdisk文件。利用mkimage工具将Ramdisk文件制作成uboot可以引导的文件系统格式。最后将该文件利用对称加密算法增加加密流程制作成镜像,以保证提供用户的镜像无法获取到用户的程序数据,并且镜像写入设备后,仍然保证保存在设备存储中的镜像仍为加密后数据。
其中,本发明的实施例提供了一种文件系统防窃取方法,该方法包括以下步骤:
在文件系统制作完成后,将用户的应用程序和配置文件等数据存放到文件夹中;
将文件系统制作成Ramdisk文件系统;
使用对称加密算法对Ramdisk文件系统中的数据进行加密;
将加密后的文件系统保存在设备的物理存储中。
其中,对称加密算法采用AES(高级加密标准)算法;所述Ramdisk文件系统为基于内存的虚拟磁盘文件系统,或者基于内存的临时文件系统。
本发明的实施例还提供了一种文件系统防窃取装置,用于实现上述任一所述的文件系统防窃取方法,该文件系统防窃取装置包括:
解密模块,用于解密存储在设备物理存储中的加密文件系统;
加载模块,将解密后的文件系统映像存储到内存的指定位置,并配置uboot参数传递给内核;
更新模块,监测文件系统配置数据的写操作,重新制作文件系统映像并写入设备物理存储中;
终端屏蔽模块,禁用文件系统的登录终端接口。
在本实施例中,所述解密模块使用对称密钥对加密的文件系统数据进行解密。
在本实施例中,所述加载模块在设备启动的uboot阶段执行,将解密后的文件系统映像加载到内存的预定位置。
其中,更新模块监测文件系统中的配置数据写操作时,一旦检测到写操作,重新制作文件系统映像并写入设备物理存储中。
其中,所述终端屏蔽模块通过配置文件系统设置,实现对登录终端接口的禁用;其中,终端屏蔽模块禁用了uart终端、ssh服务和scp服务等终端接口;所述终端屏蔽模块通过配置uboot参数禁用了uart终端;所述终端屏蔽模块还通过内核配置禁用了ssh服务和scp服务等终端接口。
在一些实施例中,所述文件系统防窃取装置,还包括:
处理单元,配置为在设备启动到uboot阶段时,将加密的文件系统映像解密并加载到内存中;
监测单元,用于监测文件系统配置数据的写操作,一旦检测到写操作,重新制作文件系统映像并写入设备物理存储中;
终端屏蔽单元,用于禁用文件系统的登录终端接口。
其中,所述处理单元配置为在uboot阶段解密文件系统映像并加载到内存中;所述终端屏蔽单元通过内核配置禁用了文件系统的登录终端接口。
综上所述,本发明提供的一种文件系统防窃取方法及装置,主要分为三个部分,分别为加密文件系统镜像生成制作,加密文件系统加载和用户运行数据更新以及用户终端屏蔽四部分。加密文件系统镜像生成制作主要用于制作文件系统镜像文件。该镜像文件主要是基于用户配置完成的文件系统制作成Ramdisk文件系统后,利用对称加密方法,保证数据为加密数据。加密文件系统加载主要是在uboot程序加载kernel启动前,由于无法识别加密后的文件系统文件,需要将加密后的文件系统文件解密后存放到内存中,然后通过内核挂载Ramdisk文件系统实现文件系统的挂载。用户数据写入存储设备主要用户用户配置数据变化后能及时写入存储设备中。在系统正常工作时,对于文件系统的配置数据的写操作会被监测,监测到有配置数据的写操作时会进行文件系统的重新制作,并且重新写入存储设备中,这样保证断电后用户的配置数据不会丢失。可以极大的保护用户数据的安全性。用户终端屏蔽是指在发布产品时,将用户文件系统的访问接口进行屏蔽,禁用可登录的终端接口。
参见图1所示,加密文件系统镜像生成制作时,加密文件系统镜像主要用于将用户使用的文件系统制作成需要Ramdisk格式文件系统。在制作镜像之前,用户将需要的应用程序和配置文件等数据按照自己的需求存放到文件系统的对应目录或者自定义的目录下,在存放好所有需要的文件后就可以进行文件系统的制作,制作文件系统时,不再按照存储类型(如EMMC,flash)进行区分制作文件系统,统一制作成Ramdisk文件系统。之后利用对称加密进行Ramdisk文件加密。之后可以将此加密后的文件写入镜像的固定存储分区中,保证提供给用户和写入存储中的数据是加密后数据。如图1所示,图1为镜像打包的流程。
参见图2和图3所示,加密文件系统加载时,加密文件系统加载主要目的是在设备开机运行到uboot阶段时,uboot完成必要的初始化后,将存储在存储设备的加密文件通过对称加密方式进行解密,获取到Ramdisk文件并将Ramdisk文件存放到内存的固定位置,并配置uboot参数传递Ramdisk文件系统参数,之后通过kernel启动后挂载该文件系统运行,实施流程示意如图2所示。
如图3所示,为设备从开机到系统启动工作的过程,Ramdisk的加载流程,其中:系统上电,uboot启动,进行基本的板级初始化,检查ROOTFS分区是否正常,若否,则停留在uboot命令行;若是,则利用对称加密算法解密ROOTFS为Ramdisk文件,然后加载Ramdisk文件到固定内存固定位置,加载kernel到固定位置,kernel运行,挂载Ramdisk文件系统,系统运行工作,可以访问文件系统数据。
参见图4所示,用户数据更新时,由于Ramdisk文件系统时运行在系统内存的一种文件系统,只能在系统运行时保存用户数据到内存中,无法实现断电保存。在本装置中将用户的文件系统通过用户配置数据有过写关闭操作后,会重新制作Ramdisk文件系统,之后将制作完成的文件系统镜像写入设备的存储中。实现了设备中可以自己完成文件系统的数据更新,提升了用户数据的读写存储的灵活性。如图4所示,用户数据保存设备存储中的流程为:
用户修改配置数据,应用层解析修改的数据,校验数据的修改合法性,若不合法则停止保存并提示异常,若合法则将修改的数据写入对应的配置文件中,制作并压缩为Ramdisk.img.gz,增加uboot识别的头部,利用对称加密方法加密,更新存储设备对应位置数据,数据保存完成。
当用户终端屏蔽时,参见图5所示,对于用户而言,一般基于ARM的产品通常会提供uart终端,ssh服务,scp服务等的服务。这个终端可以造成用户直接进行文件系统的访问。进而获取数据。对于数据的获取也存在极大的危险性。故在设备挂载文件系统启动后,通过配置禁用uart,ssh,scp等终端或者服务,保证设备无法访问到文件系统。
本发明实现了一种文件系统防窃取装置,不仅有效的提升了用户数据的安全性和可靠性,且不再需要根据不同物理存储设备类型需要制作不同类型的文件系统。同时利用了Ramdisk文件系统的读写的高效性,有效提升了文件系统的访问效率,一定程度上提升了用户的体验。
本发明给出了一种文件系统防窃取装置。虽然本发明描述的实施方式如上,但上述描述内容和定义只是为了便于理解本发明的实施方式,并非用以限定本发明,任何在不脱离本发明精神和范围前提下所做的修改与变化,特别是加密实现方式、启动加载加密数据方式的修改与变化,均在本发明的保护范围之内。
本发明实施例的第三个方面,还提供了一种计算机设备,包括存储器和处理器,该存储器中存储有计算机程序,该计算机程序被该处理器执行时实现上述任意一项实施例的方法。
在该计算机设备中包括一个处理器以及一个存储器,并还可以包括:输入装置和输出装置。处理器、存储器、输入装置和输出装置可以通过总线或者其他方式连接,输入装置可接收输入的数字或字符信息,以及产生与文件系统防窃取的迁移有关的信号输入。输出装置可包括显示屏等显示设备。
存储器作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的文件系统防窃取方法对应的程序指令/模块。存储器可以包括存储程序区和存储数据区,其中,存储程序区可存储操作装置、至少一个功能所需要的应用程序;存储数据区可存储文件系统防窃取方法的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至本地模块。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器通常用于控制计算机设备的总体操作。本实施例中,处理器用于运行存储器中存储的程序代码或者处理数据。本实施例计算机设备的多个计算机设备的处理器通过运行存储在存储器中的非易失性软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例的文件系统防窃取方法的步骤。
应当理解,在相互不冲突的情况下,以上针对根据本发明的文件系统防窃取方法阐述的所有实施方式、特征和优势同样地适用于根据本发明的文件系统防窃取和存储介质。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个装置的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
最后需要说明的是,本文的计算机可读存储介质(例如,存储器)可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的,非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦写可编程ROM(EEPROM)或快闪存储器。易失性存储器可以包括随机存取存储器(RAM),该RAM可以充当外部高速缓存存储器。作为例子而非限制性的,RAM可以以多种形式获得,比如同步RAM(DRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDRSDRAM)、增强SDRAM(ESDRAM)、同步链路DRAM(SLDRAM)、以及直接Rambus RAM(DRRAM)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。
结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里功能的下列部件来实现或执行:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器,但是可替换地,处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP和/或任何其它这种配置。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。

Claims (10)

1.一种文件系统防窃取方法,其特征在于,用于保障用户的镜像包文件系统中的数据安全,包括以下步骤:
在文件系统制作完成后,将用户的应用程序和配置文件的数据存放到文件夹中;
将文件系统制作成Ramdisk文件系统;
使用对称加密算法对Ramdisk文件系统中的数据进行加密;
将加密后的文件系统保存在设备的物理存储中。
2.根据权利要求1所述的文件系统防窃取方法,其特征在于,所述对称加密算法采用AES算法进行加密。
3.根据权利要求2所述的文件系统防窃取方法,其特征在于,所述Ramdisk文件系统为基于内存的虚拟磁盘文件系统,或者基于内存的临时文件系统。
4.一种文件系统防窃取装置,其特征在于,用于实现权利要求1-3任一项所述的文件系统防窃取方法,该文件系统防窃取装置包括:
解密模块,用于解密存储在设备物理存储中的加密文件系统;
加载模块,将解密后的文件系统映像存储到内存的指定位置,并配置uboot参数传递给内核;
更新模块,监测文件系统配置数据的写操作,重新制作文件系统映像并写入设备物理存储中;
终端屏蔽模块,禁用文件系统的登录终端接口。
5.根据权利要求4所述的文件系统防窃取装置,其特征在于,所述解密模块使用对称密钥对加密的文件系统数据进行解密。
6.根据权利要求5所述的文件系统防窃取装置,其特征在于,所述加载模块在设备用于启动的uboot阶段执行,将解密后的文件系统映像加载到内存的预定位置。
7.根据权利要求6所述的文件系统防窃取装置,其特征在于,更新模块监测文件系统中的配置数据写操作时,一旦检测到写操作,重新制作文件系统映像并写入设备物理存储中。
8.根据权利要求7所述的文件系统防窃取装置,其特征在于,所述终端屏蔽模块通过配置文件系统设置,用于对登录终端接口的禁用;其中,终端屏蔽模块禁用了uart终端、ssh服务和scp服务的终端接口;所述终端屏蔽模块通过配置uboot参数禁用uart终端;所述终端屏蔽模块通过内核配置禁用ssh服务和scp服务。
9.根据权利要求8所述的文件系统防窃取装置,其特征在于,所述文件系统防窃取装置,还包括:
处理单元,配置为在设备启动到uboot阶段时,将加密的文件系统映像解密并加载到内存中;
监测单元,用于监测文件系统配置数据的写操作,一旦检测到写操作,重新制作文件系统映像并写入设备物理存储中;
终端屏蔽单元,用于禁用文件系统的登录终端接口。
10.根据权利要求9所述的文件系统防窃取装置,其特征在于,所述处理单元配置为在uboot阶段解密文件系统映像并加载到内存中;所述终端屏蔽单元通过内核配置禁用文件系统的登录终端接口。
CN202311103490.3A 2023-08-30 2023-08-30 一种文件系统防窃取方法及装置 Pending CN117010028A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311103490.3A CN117010028A (zh) 2023-08-30 2023-08-30 一种文件系统防窃取方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311103490.3A CN117010028A (zh) 2023-08-30 2023-08-30 一种文件系统防窃取方法及装置

Publications (1)

Publication Number Publication Date
CN117010028A true CN117010028A (zh) 2023-11-07

Family

ID=88570976

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311103490.3A Pending CN117010028A (zh) 2023-08-30 2023-08-30 一种文件系统防窃取方法及装置

Country Status (1)

Country Link
CN (1) CN117010028A (zh)

Similar Documents

Publication Publication Date Title
CN112074836B (zh) 通过可信执行环境保护数据的设备和方法
EP3889766B1 (en) Secure firmware upgrade method, device, on-board system, and vehicle
US11132468B2 (en) Security processing unit of PLC and bus arbitration method thereof
CN109937419B (zh) 安全功能强化的设备的初始化方法及设备的固件更新方法
WO2017022149A1 (ja) 処理装置、車載端末装置、処理装置の起動方法、及び処理装置の起動プログラム
US10025954B2 (en) Method for operating a control unit
EP2343662B1 (en) Method of and apparatus for storing data
CA2925733A1 (en) Encryption and decryption processing method, apparatus, and device
US11469880B2 (en) Data at rest encryption (DARE) using credential vault
CN113645179B (zh) 配置虚拟实体的方法、计算机系统和存储介质
WO2022126644A1 (zh) 模型保护装置及方法、计算装置
CN109445705A (zh) 固件认证方法及固态硬盘
CN104156672A (zh) 基于linux的数据加密保护方法及系统
WO2008071222A1 (en) Protecting a programmable memory against unauthorized modification
WO2017135942A1 (en) Heartbeat signal verification
Schleiffer et al. Secure key management-a key feature for modern vehicle electronics
CN109891823B (zh) 用于凭证加密的方法、系统以及非暂态计算机可读介质
CN109889334A (zh) 嵌入式固件加密方法、装置、wifi设备及存储介质
CN110932853A (zh) 一种基于可信模块的密钥管理装置和密钥管理方法
CN117010028A (zh) 一种文件系统防窃取方法及装置
CN109643352B (zh) 跨安全引导更新保留受保护机密
CN115310136A (zh) 基于sata桥接芯片的数据安全保障方法
CN109583196B (zh) 一种密钥生成方法
Rawat et al. Decentralized firmware attestation for in-vehicle networks
US9177160B1 (en) Key management in full disk and file-level encryption

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination