CN1598764A - 一种计算机文件保护方法 - Google Patents
一种计算机文件保护方法 Download PDFInfo
- Publication number
- CN1598764A CN1598764A CN 03157123 CN03157123A CN1598764A CN 1598764 A CN1598764 A CN 1598764A CN 03157123 CN03157123 CN 03157123 CN 03157123 A CN03157123 A CN 03157123A CN 1598764 A CN1598764 A CN 1598764A
- Authority
- CN
- China
- Prior art keywords
- file
- protection
- computer documents
- class
- guard method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种计算机文件的保护方法,包括如下步骤:预先对需要进行保护的计算机文件设置文件保护信息;在接收到来自计算机操作系统中文件系统的文件操作请求后,读取预先设置的文件保护信息,并根据文件保护信息对文件操作请求进行过滤处理,然后将过滤结果信息发送到底层的文件系统驱动。本发明能实现对所有计算机文件的系统级和粒度化的灵活保护,能提高保护的安全性,并且用户易于使用。
Description
技术领域
本发明涉及计算机信息安全技术,具体涉及一种计算机文件的保护方法。
背景技术
随着计算机技术的发展,人们越来越多地将重要信息通过计算机文件的形式储存于计算机硬盘、软盘或其他存储介质中,并通过计算机操作系统对其进行诸如读、写等编辑操作。相比传统的用纸张记录的方式,计算机文件保存信息的优越性不言而喻。
但是使用计算机文件保存信息时,也涉及到文件安全性的问题。例如用户的某些计算机文件内的信息非常机密,不希望被其他用户所阅读,当然更不能容许被其他用户所篡改。因此,人们越来越关注如何对重要的计算机文件进行更高级别的保护和控制。
在目前的计算机存储介质中,软盘、U盘等存储设备都具有物理数据写保护功能,从而可以有效防止数据的恶意写入或者用户的误操作给用户带来损失。但是硬盘作为保存计算机文件的最主要的存储介质,却不能通过物理方式对所存储的计算机文件进行保护。
目前对硬盘中计算机文件的保护主要有两种技术。一种是利用加密和认证技术来控制用户对文件的访问。例如利用各种密钥机制对文件加密,从而防止非法用户阅读;或者利用证书来认证用户的身份,以控制对文件的访问。另外一种方法是通过文件分区并结合计算机基本输入输出系统(BIOS),对整个逻辑分区内的所有文件进行读写限制,例如隐藏分区技术和硬盘分区保存和恢复技术等等。
但是这两种技术都存在一个非常大的缺点,那就是不能对计算机文件进行系统级和粒度化控制。例如利用加密和认证技术只能进行读写控制,不能控制对某一个文件的删除,也不能控制对文件名的修改操作。而使用文件分区结合BIOS技术只能对整个逻辑分区内的所有文件进行保护和控制,而不能对该逻辑分区内的某一个和几个具体的计算机文件进行相应的保护和控制。因此这两种技术都不能实现对计算机文件的灵活控制,不能满足用户的实际需求。
另外,这两种技术对用户而言操作复杂、透明性差,因此效率不高。
发明内容
有鉴于此,本发明的主要目的是提供一种使用更灵活的计算机文件保护方法。
本发明的上述目的是通过如下的技术方案予以解决的:
一种计算机文件的保护方法,包括如下步骤:
预先对需要进行保护的计算机文件设置文件保护信息;
在接收到来自计算机操作系统中文件系统的文件操作请求后,读取所述预先设置的文件保护信息,并根据所述文件保护信息对所述文件操作请求进行过滤处理,然后将过滤结果信息发送到底层的文件系统驱动。
在上述方法中,文件保护信息可以是是否允许读取文件的读保护、是否允许修改文件内容的写保护、是否允许删除文件的删除保护和是否允许修改文件名的改名保护中的任意一种或者它们的任意组合。
在上述方法中,根据文件保护信息对文件操作请求进行过滤处理是:如果文件保护信息设置为禁止读、禁止写、禁止删除和禁止改名中的一种或者它们的组合,则过滤相应的读文件、写文件、删除文件或改名文件的文件操作请求,否则将文件操作请求透传给底层的文件系统驱动。
在上述方法中,如果文件保护信息设置为禁止写,本发明进一步包括判断文件类别的步骤,并根据不同文件类别过滤相应的文件操作请求。
在上述方法中,判断文件类别是根据文件的后缀信息来判断的。
在上述方法中,文件类别包括Office类文件、BMP类文件和除了这两种文件之外的普通文件;对于Office类文件,过滤操作包括同时过滤写文件操作请求和删除原文件并改名临时文件的文件操作请求;对于BMP类文件,过滤操作包括同时过滤写文件操作请求和创建同名文件的文件操作请求;对于普通文件,过滤操作是仅仅过滤写文件操作请求。
在上述方法中,Office类文件包括Office系列软件、Visual Studio系列软件产生的文件和由压缩软件产生的压缩文件,BMP类文件包括图形文件和Wordpad软件产生的文件。
在上述方法中,文件操作请求是输入输出请求包IRP,并且包括文件名、进程名和操作标识等信息。
从本发明的技术方案可以看出,本发明通过由用户预先设置对需要保护的计算机文件的文件保护信息,在文件系统和底层的文件系统驱动之间增加根据文件保护信息过滤相应的文件操作请求的步骤,可以根据用户设置的对于每一个单独文件的文件保护信息进行相应的保护,因此克服了现有技术的缺点,实现了对计算机文件的灵活保护。
另外,本发明在对写操作进行处理时,将所有的文件根据操作系统的写机制分为三种不同类型,并根据不同的文件类型执行不同的写操作请求过滤,从而实现了对所有文件的写保护,进一步增加了计算机文件保存的安全性。
本发明的流程处理由系统自动执行,用户只需要对每一个文件设置相应的文件保护信息即可,因此本发明的方法对用户而言非常简单易用。
附图说明
图1是本发明的实现框架图;
图2是本发明的总体处理流程图。
具体实施方式
下面结合附图和具体实施例对本发明进行更详细的描述。
本发明利用了现有的计算机过滤驱动技术,并结合了本发明所提出的用于根据不同的保护策略过滤相应文件操作请求的文件关联模块,共同实现了对计算机文件的系统级和粒度化的灵活控制。
图1示出了本发明的实现框图。从图1可以看出,从诸如Windows操作系统的文件处理模块的文件系统到操作系统驱动层的文件系统驱动和底层驱动之间,包括一个用于实现文件监控和读写保护的文件过滤驱动程序。文件过滤驱动程序是一种可选择的特殊驱动程序,可以加载在其它驱动程序之上,用于修改或者增加原有的驱动程序所能实现的功能,而不必修改原有驱动程序,也不必修改使用该原有驱动程序的应用程序。
在本发明中,在文件过滤驱动程序中进一步集成了用于匹配保护策略并根据不同文件类型进行相应处理的文件关联模块。通过文件关联模块,用户可以对硬盘内的计算机文件设置分别具有不同安全级别的四种保护特性:读保护、写保护、删除保护和改名保护。当文件被设置为禁止读后,其他用户将不能通过Windows操作系统下的应用程序对该文件进行读、写、删除和改名等操作;当文件被设置为禁止写后,其他用户将不能通过Windows操作系统下的应用程序对该文件进行写、删除和改名等操作,但允许正常的读操作;当文件被设置为禁止删除后,其他用户将不能通过Windows操作系统下的应用程序对该文件进行删除,但允许正常的读操作、写操作和改名操作;当文件被设置为禁止改名后,其他用户将不能通过Windows操作系统下的应用程序对该文件进行改名,但允许正常的读操作、写操作和删除操作。用户可以同时设置这四种保护中的多种保护,只要能满足它们内在的逻辑关系即可。
在具体处理时,文件系统向文件过滤驱动程序提交对文件的文件操作请求,这里的文件操作请求也就是对文件进行读、写、删除和改名等输入输出请求包(IRP)操作。文件过滤驱动程序在接收到IRP后对其进行分析,根据IRP中包含的文件名、进程名和操作标识等特征,结合文件类型和不同的IRP操作请求进行过滤,从而实现对读、写、删除和改名等操作的监控,然后将过滤后的结果提交给文件系统驱动和底层驱动,由文件系统驱动和底层驱动执行用户所需的相应操作,例如改写文件中的内容等等。
在上述处理流程中,如何结合文件类型和不同的IRP操作请求进行过滤是本发明的核心所在。下面结合图2说明本发明的总体处理流程,重点在于说明本发明是如何根据具体的文件类型和IRP操作请求进行IRP的过滤操作。
如图2所示,在步骤201,文件系统向文件过滤驱动程序提交文件操作IRP。在步骤202,文件过滤驱动程序在接收到来自文件系统的文件操作IRP后,即根据IRP中相应的数据标识判断该IRP是否为写IRP请求。如果是,执行步骤203及其后续步骤,否则执行步骤207及其后续步骤。
如果步骤202的判断结果为IRP是写IRP请求,过滤驱动程序调用文件关联模块,在步骤203进一步判断文件的类别。在本发明中文件类别根据操作系统的写处理操作的不同分为三类,分别是OFFICE类文件、BMP类文件和除了这两种文件之外的其他文件,在这里称为普通文件。OFFICE类文件包括Office系列软件和Visual Studio系列软件所产生的文件,以及例如zip文件的压缩文件等。BMP类文件包括例如BMP文件的图形文件和写字板(Wordpad)文件等。而除了这两种文件之外的其他文件则是普通文件。在这一步骤中,关联模块是根据包括在IRP中的文件名的后缀信息来识别并区分不同文件的。如果判断结果表明要进行保护的文件是一个普通文件,则执行步骤204;如果要进行保护的文件是一个OFFICE类文件,则执行步骤205;如果要进行保护的文件是一个BMP类文件,则执行步骤206。
在步骤204,由于例如Windows的操作系统在处理普通文件的写操作时是直接在原文件上进行修改,因此没有其它特殊处理,这里直接根据保护策略对写IRP请求进行过滤处理。
在步骤205,由于例如Windows的操作系统在处理OFFICE类文件时不是直接对原文件进行修改,而是首先创建一个临时文件,在所创建的临时文件中进行写操作。在完成写操作后,删除原文件,将临时文件改名为原文件。因此除了写IRP请求之外,在这种情况下还有一个删除原文件和重命名临时文件的IRP请求。对于OFFICE类文件,相应地需要根据保护策略对这两种IRP请求同时进行过滤处理。
在步骤206,由于例如Windows的操作系统在处理BMP类文件时也不是直接对原文件进行修改,而是创建一个与原文件同名的文件,将原文件覆盖后,再在新文件中进行写操作。因此除了写IRP请求之外,在这种情况下还有一个创建同名文件的IRP请求。对于BMP类文件,相应地需要根据保护策略对这两种IRP请求同时进行过滤处理。
如果步骤202的判断结果为IRP不是写IRP请求,也就是读IRP请求、删除IRP请求或改名IRP请求,则执行步骤207,也就是由关联模块直接根据保护策略对相应的IRP请求进行过滤处理。
在步骤204至步骤207中提到的保护策略也就是用户设置的是否允许读、允许写、允许删除和允许改名的文件保护信息。这里的保护策略是通过上层应用来设置的,并且保存在应用程序的策略文件中。根据保护策略对相应的IRP请求进行过滤处理也就是根据是否允许进行相应操作的信息来决定是向文件系统驱动和底层驱动透传相应的IRP请求,还是过滤掉相应的IRP请求而不传送到文件系统驱动和底层驱动,从而达到灵活地保护一个具体文件的目的。例如,当用户在保护策略中对某一个文件设置为允许读,则在步骤207中过滤驱动程序会将该读IRP请求透传给文件系统驱动和底层驱动,相反,如果用户设置不允许读,则在步骤207中过滤驱动程序就会过滤掉该读IRP请求,文件系统驱动和底层驱动接收不到读IRP请求,当然就不可能执行读操作了,也就是用户的文件就不可能被其他人看到,从而保证了安全性。
在步骤204至步骤207进行了相应的过滤处理后,在步骤208将处理结果发送给文件系统驱动和底层驱动,从而完成最终的文件保护操作。这一部分和现有技术中的处理相同,因此这里不再对此进行详细说明。
应当理解,上述说明只是用于展示本发明,而不是用于限制本发明的保护范围。
Claims (10)
1.一种计算机文件的保护方法,包括如下步骤:
预先对需要进行保护的计算机文件设置文件保护信息;
在接收到来自计算机操作系统中文件系统的文件操作请求后,读取所述预先设置的文件保护信息,并根据所述文件保护信息对所述文件操作请求进行过滤处理,然后将过滤结果信息发送到底层的文件系统驱动。
2.根据权利要求1所述的计算机文件的保护方法,其特征是,所述文件保护信息是是否允许读取文件的读保护、是否允许修改文件内容的写保护、是否允许删除文件的删除保护和是否允许修改文件名的改名保护中的任意一种或者它们的任意组合。
3.根据权利要求2所述的计算机文件的保护方法,其特征是,所述根据文件保护信息对文件操作请求进行过滤处理是:如果文件保护信息设置为禁止读、禁止写、禁止删除和禁止改名中的一种或者它们的组合,则过滤相应的读文件、写文件、删除文件或改名文件的文件操作请求,否则将文件操作请求透传给底层的文件系统驱动。
4.根据权利要求3所述的计算机文件的保护方法,其特征是,如果文件保护信息设置为禁止写,本发明进一步包括判断文件类别的步骤,并根据不同文件类别过滤相应的文件操作请求。
5.根据权利要求4所述的计算机文件的保护方法,其特征是,所述判断文件类别是根据文件的后缀信息来判断的。
6.根据权利要求4所述的计算机文件的保护方法,其特征是,所述文件类别包括Office类文件、BMP类文件和除了这两种文件之外的普通文件;对于Office类文件,所述过滤操作包括同时过滤写文件操作请求和删除原文件并改名临时文件的文件操作请求;对于BMP类文件,所述过滤操作包括同时过滤写文件操作请求和创建同名文件的文件操作请求;对于普通文件,所述过滤操作是仅仅过滤写文件操作请求。
7.根据权利要求6所述的计算机文件的保护方法,其特征是,所述Office类文件包括Office系列软件、Visual Studio系列软件产生的文件和由压缩软件产生的压缩文件。
8.根据权利要求6所述的计算机文件的保护方法,其特征是,所述BMP类文件包括图形文件和Wordpad软件产生的文件。
9.根据权利要求1所述的计算机文件的保护方法,其特征是,所述文件操作请求是输入输出请求包IRP。
10.根据权利要求9所述的计算机文件的保护方法,其特征是,所述输入输出请求包IRP包括文件名、进程名和操作标识等信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031571239A CN100547543C (zh) | 2003-09-15 | 2003-09-15 | 一种计算机文件保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031571239A CN100547543C (zh) | 2003-09-15 | 2003-09-15 | 一种计算机文件保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1598764A true CN1598764A (zh) | 2005-03-23 |
| CN100547543C CN100547543C (zh) | 2009-10-07 |
Family
ID=34660204
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031571239A Expired - Fee Related CN100547543C (zh) | 2003-09-15 | 2003-09-15 | 一种计算机文件保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100547543C (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101901313A (zh) * | 2010-06-10 | 2010-12-01 | 中科方德软件有限公司 | 一种Linux文件保护系统及方法 |
| CN102254128A (zh) * | 2011-08-17 | 2011-11-23 | 重庆君盾科技有限公司 | 一种操作系统运行时自动隐藏文件的方法 |
| CN102609495A (zh) * | 2012-01-29 | 2012-07-25 | 奇智软件(北京)有限公司 | 文件删除方法及系统 |
| CN103077243A (zh) * | 2013-01-16 | 2013-05-01 | 北京数码视讯科技股份有限公司 | 文件系统访问的处理方法及系统 |
| CN103995842A (zh) * | 2012-01-29 | 2014-08-20 | 北京奇虎科技有限公司 | 文件删除方法及系统 |
| CN104090903A (zh) * | 2012-01-29 | 2014-10-08 | 北京奇虎科技有限公司 | 文件处理方法 |
| CN104252601A (zh) * | 2013-06-28 | 2014-12-31 | 苏州捷泰科信息技术有限公司 | 数据保护的方法及装置 |
| WO2017020605A1 (zh) * | 2015-07-31 | 2017-02-09 | 中兴通讯股份有限公司 | 文件保护方法、装置及移动终端 |
-
2003
- 2003-09-15 CN CNB031571239A patent/CN100547543C/zh not_active Expired - Fee Related
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101901313A (zh) * | 2010-06-10 | 2010-12-01 | 中科方德软件有限公司 | 一种Linux文件保护系统及方法 |
| CN102254128A (zh) * | 2011-08-17 | 2011-11-23 | 重庆君盾科技有限公司 | 一种操作系统运行时自动隐藏文件的方法 |
| CN104090903B (zh) * | 2012-01-29 | 2017-12-19 | 北京奇虎科技有限公司 | 文件处理方法 |
| CN102609495A (zh) * | 2012-01-29 | 2012-07-25 | 奇智软件(北京)有限公司 | 文件删除方法及系统 |
| CN103995842A (zh) * | 2012-01-29 | 2014-08-20 | 北京奇虎科技有限公司 | 文件删除方法及系统 |
| CN104090903A (zh) * | 2012-01-29 | 2014-10-08 | 北京奇虎科技有限公司 | 文件处理方法 |
| CN103995842B (zh) * | 2012-01-29 | 2020-08-28 | 北京奇虎科技有限公司 | 文件删除方法及系统 |
| CN103077243A (zh) * | 2013-01-16 | 2013-05-01 | 北京数码视讯科技股份有限公司 | 文件系统访问的处理方法及系统 |
| CN103077243B (zh) * | 2013-01-16 | 2016-03-09 | 北京数码视讯科技股份有限公司 | 文件系统访问的处理方法及系统 |
| CN104252601A (zh) * | 2013-06-28 | 2014-12-31 | 苏州捷泰科信息技术有限公司 | 数据保护的方法及装置 |
| CN104252601B (zh) * | 2013-06-28 | 2017-05-24 | 苏州捷泰科信息技术有限公司 | 数据保护的方法及装置 |
| CN106407831A (zh) * | 2015-07-31 | 2017-02-15 | 中兴通讯股份有限公司 | 文件保护方法、装置及移动终端 |
| WO2017020605A1 (zh) * | 2015-07-31 | 2017-02-09 | 中兴通讯股份有限公司 | 文件保护方法、装置及移动终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100547543C (zh) | 2009-10-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7856451B2 (en) | Selective file erasure using metadata modifications | |
| JP2603344B2 (ja) | コンピュータ・システムのファイルに対する機密的アクセスの管理方法 | |
| US7376947B2 (en) | Computer system and method for secure installation and operation of software | |
| US7146388B2 (en) | Method, system, and program for archiving files | |
| US8069317B2 (en) | Providing and utilizing high performance block storage metadata | |
| US7526621B2 (en) | Method for implementing retention policies to archive records | |
| US8321667B2 (en) | Security model for common multiplexed transactional logs | |
| US20080046997A1 (en) | Data safe box enforced by a storage device controller on a per-region basis for improved computer security | |
| US20090249464A1 (en) | Firewall for removable mass storage devices | |
| Bauer et al. | Secure data deletion for Linux file systems | |
| JP2009512968A (ja) | ハードドライブイレーサ | |
| CN1585325A (zh) | 对数据项目的基于区域的安全管理 | |
| CN100547543C (zh) | 一种计算机文件保护方法 | |
| WO2006103752A1 (ja) | 文書のコピーを制御する方法 | |
| US8107337B2 (en) | Image processing apparatus and data erasing method | |
| KR101055287B1 (ko) | 응용프로그램에서 사용되는 임시 파일의 관리 방법 | |
| JPH02181846A (ja) | フアイル保護方法 | |
| US20090055683A1 (en) | Method of restoring previous computer configuration | |
| CN100346319C (zh) | 一种基于BIOS层的Linux硬盘数据备份与还原方法 | |
| JP2004220400A (ja) | ファイル保護方法及びファイル保護プログラム | |
| CN112434285B (zh) | 文件管理方法、装置、电子设备及存储介质 | |
| CN106650497A (zh) | 对计算机文件实施密级管理的方法 | |
| Diesburg | Per-file full-data-path secure deletion for electronic storage | |
| JPH02122348A (ja) | フアイル保護方法 | |
| JPS6369072A (ja) | デイレクトリフオ−マツト |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091007 Termination date: 20200915 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |