TW201525758A - 資料安全存取方法及其系統 - Google Patents
資料安全存取方法及其系統 Download PDFInfo
- Publication number
- TW201525758A TW201525758A TW102149019A TW102149019A TW201525758A TW 201525758 A TW201525758 A TW 201525758A TW 102149019 A TW102149019 A TW 102149019A TW 102149019 A TW102149019 A TW 102149019A TW 201525758 A TW201525758 A TW 201525758A
- Authority
- TW
- Taiwan
- Prior art keywords
- program file
- file
- authenticated
- area
- processing unit
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000002955 isolation Methods 0.000 claims abstract description 11
- 238000012545 processing Methods 0.000 claims description 56
- 230000005540 biological transmission Effects 0.000 claims description 9
- 239000000463 material Substances 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000006378 damage Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 101100226364 Arabidopsis thaliana EXT1 gene Proteins 0.000 description 1
- 101100226366 Arabidopsis thaliana EXT3 gene Proteins 0.000 description 1
- 241000282414 Homo sapiens Species 0.000 description 1
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 208000034420 multiple type III exostoses Diseases 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
一種資料安全存取方法及其系統,包含:當執行儲存於一儲存單元之信任區中的一已認證程式檔案時,則計算該已認證程式檔案之數位指紋值,以產生對應的一當前數位指紋;載入預先儲存在該儲存單元之隱藏區中對應於該已認證程式檔案之一原始數位指紋,比對該當前數位指紋是否與該原始數位指紋相符;若是,則該已認證程式檔案針對儲存於該信任區或該觀察區中的檔案資料進行存取;若否,則從該信任區中追查與該已認證程式檔案相關的存取紀錄,並將該存取紀錄中相關的程式檔案移至觀察區儲存,以進行後續的隔離動作或重新認證。
Description
本發明是有關於一種存取方法及其系統,特別是指一種資料安全存取方法及其系統。
隨著電腦運用的普及與網際網路的蓬勃發展,帶給人類急速而巨大的衝擊,也改變了人類生活模式。然而隨著資訊便利而來的則是令人擔憂的資訊安全問題;針對企業部分,企業公司組織深怕該企業所掌管的個人資料外洩而造成高額賠償或公司核心技術資料外洩而造成企業競爭力下滑,於是紛紛採取採購資安設備來對應,例如:網頁應用程式防火牆(WAF)、資料庫監控稽核(DAM)、防制資料外洩(DLP)、網路行為控管側錄等設備。但是資安設備的價格不低,從數十萬至百萬都有,其費用對一般台灣的中小企業來說是個沉重的負擔。
因此,企業在花錢購買資安設備之前,可針對企業內部的資訊系統之存取控制先加以自我檢視及深入強化安全機制,讓企業資訊安全性提高同時也不必花費太高的金額。
一般來說,在資料存取控制上,常運用到的措施有(一)資料分級、(二)檔案權限管理,以及(三)密碼的使
用與保護。
首先,在資料分級方面,其在一開始必須確認誰是資料擁有者(Data Owner,對資料的保護與使用負最終責任的人),並依據組織政策或相關規定設定資料或檔案的重要等級,設定所需的安全管控措施,例如:契約書等機密性文件,不允許非相關人員讀取;而統計數據等資料則限制相關業務人員讀取,但不允許修改;一般共同文件,如行事曆及文書處理相關書表,則可讓所有人員編輯修改。
接著,在檔案權限管理方面,則透過檔案系統來設定某個使用者或群組能夠存取檔案及資料夾,以及可以使用的權限,檔案的權限一般區分成讀取(r),寫入(w),讀取及執行(rx),讀取、寫入及執行(rwx);資料夾的權限一般區分為列表(r),修改(w),列表及進入(rx),列表修改及進入(rwx)。較為常見的作業系統檔案格式,例如微軟的NTFS及UNIX like的EXT3、EXT4等,均有提供對檔案及資料夾的權限管控。
此外,在密碼的使用與保護方面,其主要方式則遵循組織政策設定強式密碼(Strong Passwords,安全性足夠、不易被破解的密碼,如密碼最少長度及英數字、特殊字元混用等),並採取一些保護措施,例如定期更換、不使用自動登入儲存密碼及勿多個帳號使用相同密碼等,防止密碼外洩。
然而,本發明旨在提供一種之資料安全存取方
法及其系統,其可防止任何未經授權的程式檔案之隨意存取及破壞且可達到一定程度的資料安全性。
因此,本發明之目的,即在提供一種資料安全存取方法。
於是本發明資料安全存取方法,實現於一包括一主端處理單元、一從端處理單元及一儲存單元之系統,其中,該從端處理單元具有一計算模組、一比對模組及一追查模組,且該儲存單元具有可透過一作業系統辨識與讀寫的一信任區與一觀察區,及無法透過該作業系統辨識與讀寫的一隱藏區。該方法包含下列步驟。
首先,當該主端處理單元執行儲存於該儲存單元之信任區中的一已認證程式檔案,則該計算模組計算該已認證程式檔案之數位指紋值,以產生與其對應的一當前數位指紋。
繼而,該比對模組載入預先儲存在該隱藏區中對應於該已認證程式檔案之一原始數位指紋,以比對該當前數位指紋是否與該原始數位指紋相符,若是,則該已認證程式檔案繼而可針對儲存於該信任區或該觀察區中的檔案資料進行存取,若否,則該已認證程式檔案不允許被執行,且該追查模組從該信任區中追查與該已認證程式檔案相關的存取紀錄,並將該存取紀錄中相關的程式檔案移至觀察區儲存,以進行後續的隔離動作或重新認證。
此外,本發明之另一目的,即在提供一種資料
安全存取系統。
於是本發明資料安全存取系統,包含一主端處理單元、一包括一計算模組、一比對模組及一追查模組之從端處理單元,以及一電連接於該從端處理單元且包括一信任區、一觀察區及一隱藏區的儲存單元,其中,該信任區與該觀察區可藉由一作業系統辨識與讀寫其檔案資料,且該隱藏區無法透過該作業系統辨識與讀寫其檔案資料。
其中,當該主端處理單元執行儲存於該儲存單元之信任區中的一已認證程式檔案時,則該從端處理單元之計算模組用以計算該已認證程式檔案之數位指紋值,以產生與其對應的一當前數位指紋,且該比對模組用以載入預先儲存在該隱藏區中對應於該已認證程式檔案之一原始數位指紋,以比對該當前數位指紋是否與該原始數位指紋相符,若是,則該已認證程式檔案繼而可針對儲存於該信任區或該觀察區中的檔案資料進行存取,若否,則該已認證程式檔案不允許被執行,且該追查模組從該信任區中追查與該已認證程式檔案相關的存取紀錄,並將該存取紀錄中相關的程式檔案移至觀察區儲存,以進行後續的隔離動作或重新認證。
1‧‧‧電腦主機
11‧‧‧控制單元
12‧‧‧傳輸介面單元
13‧‧‧主端處理單元
2‧‧‧從端處理單元
21‧‧‧認證模組
22‧‧‧計算模組
23‧‧‧追查模組
24‧‧‧比對模組
3‧‧‧儲存單元
31‧‧‧信任區
311‧‧‧已認證程式檔案
312‧‧‧存取紀錄
32‧‧‧觀察區
321‧‧‧已隔離程式檔案
33‧‧‧隱藏區
331‧‧‧原始數位指紋
401~407‧‧‧步驟
501~507‧‧‧步驟
601~606‧‧‧步驟
本發明之其他的特徵及功效,將於參照圖式的實施方式中清楚地呈現,其中:圖1是一方塊圖,說明本發明資料安全存取系統的一較佳實施例;
圖2是一流程圖,說明本發明資料安全存取方法之較佳實施例於一認證程序所進行的步驟;圖3是一流程圖,說明在該較佳實施例中,當執行一信任區中之一已認證程式檔案所進行的步驟;以及圖4是一流程圖,說明在該較佳實施例中,當執行一觀察區中之一已隔離程式檔案所進行的步驟。
有關本發明之前述及其他技術內容、特點與功效,在以下配合參考圖式之一較佳實施例的詳細說明中,將可清楚的呈現。
請參閱圖1,本發明資料安全存取系統可以是桌上型電腦、筆記型電腦、平板電腦或智慧型手機等。在本發明資料安全存取系統的較佳實施例中,包含一包括一控制單元11、一傳輸介面單元12及一主端處理單元13之電腦主機1、一電連接於該電腦主機1之從端處理單元2,及一儲存單元3。
其中,該控制單元11用以供一使用者透過該主端處理單元13來執行或存取儲存於該儲存單元3中的檔案程式或資料。在本較佳實施例中,該主端處理單元13之實施態樣為一處理器;且該控制單元11可為鍵盤、滑鼠或觸控面板,然而,於實際應用上,也可以採用其他類型的習知控制裝置或未來發展出的相關控制裝置,因為此實作方式並非本發明改良的重點,故在此不再贅述。
其中,該傳輸介面單元12用以將從外部接收的
程式檔案及資料傳遞至該從端處理單元2。在本較佳實施例中,該傳輸介面單元12之介面類型例如可為區域網路(Local Area Network,LAN)、無線區域網路(Wireless Local Area Network,WLAN)、藍牙(Bluetooth)、IEEE 1394、通用串列匯流排(Universal Serial Bus,USB)、周邊控制器介面(Peripheral Controller Interface,PCI)、快速周邊控制器介面(Peripheral Controller Interface-express,PCI-e)、加速圖形埠(Accelerated Graphic Port,AGP)、序列先進技術附件(Serial Advanced Technology Attachment,SATA)、並列先進技術附件(Parallel Advanced Technology Attachment,PATA),或低接腳數(Low Pin Count,LPC)等。
其中,該儲存單元3安裝一作業系統(圖未示)並包括可透過該作業系統辨識與讀寫檔案資料之一信任區31與一觀察區32,及無法透過該作業系統辨識與讀寫檔案資料之一隱藏區33。在本較佳實施例中,該儲存單元3例如可為硬碟、固態硬碟(SSD)、快閃(Flash)記憶體、靜態隨機存取記憶體(SRAM)、同步動態隨機存取記憶體(SDRAM),或雙倍資料速率同步動態隨機存取記憶體(DDR SDRAM)等。
其中,該從端處理單元2之實施態樣可為一晶片或為一韌體,其包括一認證模組21、一計算模組22、一追查模組23及一比對模組24。其中,該認證模組21可用以接收由該傳輸介面單元12所傳送的一未認證程式檔案並對其進行認證;在本較佳實施例中,該認證模組21係採用
符合X.509國際標準的憑證管理機制來進行程式檔案的認證,由於前述認證相關技術係為本領域中具有通常知識者所熟知,故不在此贅述其細節。
因此,該未認證程式檔案在經由上述的認證程序後,該認證模組21進而可根據其認證結果來判定該未認證程式檔案是否成功通過認證。
若該未認證程式檔案成功通過該認證模組21之認證,則該認證模組21將已通過認證的該未認證程式檔案標示為一已認證程式檔案311,並將該已認證程式檔案311移至該儲存單元3之信任區31儲存;此外,該計算模組22用以計算該已認證程式檔案311之數位指紋值,以產生與其對應的一原始數位指紋331,進而將計算得到的該原始數位指紋331儲存於該儲存單元3之隱藏區33中。在本較佳實施例中,該計算模組22計算該數位指紋值之方式,舉例來說,可利用不可逆的雜湊摘要(Digest Hash)演算法,例如SHA1或MD5來計算。
若該未認證程式檔案未通過該認證模組21之認證,則該認證模組21將未通過認證的該未認證程式檔案標示為一已隔離程式檔案321,以將該已隔離程式檔案321儲存於該儲存單元3之觀察區32中來進行隔離動作,以使任何儲存在該觀察區32的已隔離程式檔案321無法存取儲存於該信任區31中所有的程式檔案及資料。
當該控制單元11透過該主端處理單元13執行儲存於該儲存單元3之信任區31中的該已認證程式檔案
311時,則該從端處理單元2之計算模組22用以計算該已認證程式檔案311之數位指紋值,以產生與其對應的一當前數位指紋,且該比對模組24用以載入預先儲存在該隱藏區33中對應於該已認證程式檔案311之原始數位指紋331,以比對該當前數位指紋是否與該原始數位指紋331相符。若是,則該已認證程式檔案311繼而可針對儲存於該信任區31或該觀察區32中的檔案資料進行存取。若否,則該已認證程式檔案311不允許被執行,且該追查模組23用以從該信任區31中追查與該已認證程式檔案311相關的存取紀錄312,並將該存取紀錄312中相關的程式檔案移至觀察區32儲存,以進行後續的隔離動作或進一步藉由該認證模組212來進行重新認證。
當該控制單元11透過該主端處理單元13執行儲存於該儲存單元3之觀察區32中的該已隔離程式檔案321時,該從端處理單元2還用以判定該已隔離程式檔案321是否欲存取儲存於該信任區31中的檔案資料。若是,則該從端處理單元2驅動該儲存單元3從該信任區31中複製該已隔離程式檔案321所欲存取的檔案資料至該觀察區32中,並於該觀察區32中建立一虛擬目錄結構,以將由該信任區31複製而來的檔案資料寫入對應的虛擬目錄結構中,使該已隔離程式檔案321繼而可針對該觀察區32中對應於該信任區31中的虛擬目錄結構之檔案資料進行存取。若否,則該已隔離程式檔案321進而可直接針對儲存於該觀察區32中指定的檔案資料進行存取。
由此可知,該儲存單元3之信任區31主要用於儲存已通過認證的已認證程式檔案311,且該觀察區32主要用於儲存未通過認證的已隔離程式檔案321;值得一提的是,該信任區31、該觀察區32及該隱藏區33分屬為該儲存單元3中不同儲存區塊之集合,每一集合分別對應於該儲存單元3中一塊或多塊連續或不連續的儲存區域,且該信任區31及該觀察區32可藉由分割表(partition table)資訊來直接辨識,其中,儲存在該信任區31及該觀察區32之程式檔案可允許該使用者直接利用該控制單元11對其進行動態定義及改變,然而,儲存在該隱藏區33中的檔案資料則無法透過該分割表資訊及該作業系統直接看到,並且無法被任意竄改或複寫,得須進一步藉由該從端處理單元2將執行該已認證程式檔案311後所產生的存取指令轉換成該隱藏區33所支援的特有存取指令,來針對該隱藏區33中的檔案資料來進行存取(如,取得該已認證程式檔案311之原始數位指紋331)。
請參閱圖2、圖3與圖4,對應上述資料安全存取系統,以下配合本發明資料安全存取方法的一個較佳實施例來進行說明。
如圖1與圖2所示,說明任何由外部進來的未認證程式檔案皆須經由該從端處理單元2進行一認證程序後,才能進一步儲存在該儲存單元3中,首先,如步驟401所示,該認證模組21接收由
該傳輸介面單元12所傳送的該未認證程式檔案100並對其進行認證。
接著,如步驟402所示,該認證模組21判定該未認證程式檔案100是否成功通過認證。
若該步驟402的判定結果為否,則接著如步驟403所示,則該認證模組21將未通過認證的該未認證程式檔案100標示為一已隔離程式檔案321,並將該已隔離程式檔案321儲存於該儲存單元3之觀察區32中來進行隔離動作。
或者,若該步驟402的判定結果為是,則接著執行步驟404,則該認證模組21將已通過認證的該未認證程式檔案100標示為該已認證程式檔案311,並將該已認證程式檔案311移至該儲存單元3之信任區31。
接著,如步驟405所示,該計算模組22計算該已認證程式檔案311之數位指紋值,以產生與其對應的該原始數位指紋331。
接著,如步驟406所示,該計算模組22將該已認證程式檔案311儲存於該儲存單元3之信任區31中。
繼而,如步驟407所示,該計算模組22將該已認證程式檔案311所對應的原始數位指紋331儲存於該儲存單元3之隱藏區33。
此外,本發明資料安全存取系統還根據該主端處理單元13所執行程式檔案於該儲存單元3中存放的區域不同,而有不同的處理方式;其中,將該主端處理單元13
分別在該信任區31執行已認證程式檔案311,以及在該觀察區32執行已隔離程式檔案321後所進行的處理過程分述如下。
請參閱圖1與圖3,首先,如步驟501所示,該主端處理單元13執行儲存於該儲存單元3之信任區31中的已認證程式檔案311。
接著,如步驟502所示,該計算模組22計算該已認證程式檔案311之數位指紋值,以產生與其對應的當前數位指紋。
接著,如步驟503所示,該從端處理單元2驅動該儲存單元3從該隱藏區33中複製且傳送對應於該已認證程式檔案311之原始數位指紋331至該比對模組24。
接著,如步驟504所示,該比對模組24根據該當前數位指紋與該原始數位指紋331來進行比對,進而判定兩者之數位指紋值是否相符。
若該步驟504的判定結果為否,表示為此已認證程式檔案311被執行的過程中,可能遭受到同樣在儲存在該信任區31內的程式檔案所更改或被不明程式所改變,因此,則不允許該已認證程式檔案311進一步被執行,進而接著執行下列步驟505至506:如步驟505所示,利用該追查模組23從該信任區31中追查與該已認證程式檔案311相關的存取紀錄312,並將該存取紀錄312中相關的程式檔案移至觀察區32。
如步驟506所示,利用該儲存單元3之觀察區32將上述由該信任區31轉移過來的程式檔案進行儲存,以進一步執行後續的隔離作業(如,標示為已隔離檔案)或進行重新認證(如,回到步驟401~407認證程序)。
或者,若該步驟504的判定結果為是,則接著執行步驟507,使該已認證程式檔案311繼而可針對儲存於該信任區31或該觀察區32中的檔案資料進行存取。
請參閱圖1與圖4,首先,如步驟601所示,該主端處理單元13執行儲存於該儲存單元3之觀察區32中的該已隔離程式檔案321。
接著,如步驟602所示,該從端處理單元2判定該已隔離程式檔案321是否欲存取儲存於該信任區31中的檔案資料。
若該步驟602的判定結果為是,則接著執行下列步驟603至605:如步驟603所示,該從端處理單元2驅動該儲存單元3從該信任區31中複製該已隔離程式檔案321所欲存取的檔案資料至該觀察區32中。
如步驟604所示,該從端處理單元2於該觀察區32中建立一虛擬目錄結構,並將由該信任區31複製而來的檔案資料寫入對應的虛擬目錄結構中。
如步驟605所示,該已隔離程式檔案321繼而可針對該觀察區32中對應於該信任區31中的虛擬目錄結
構之檔案資料進行存取。
舉例來說,假設該已隔離程式檔案321所欲存取該信任區31之目錄結構中主目錄為“C:”底下的檔案資料,而假設該已隔離程式檔案321在該觀察區32底下所創建的檔案系統之目錄結構中的主目錄為“X:”;因此,在該該已隔離程式檔案321被執行之後,則該從端處理單元2於該主目錄“X:”底下建立該虛擬目錄結構“~C~”以作為對應於該信任區31中的目錄結構“C:”,並進一步將該信任區31中的目錄結構“C:”底下的檔案資料複製至“~C~”中。
其中,假設該已隔離程式檔案321若打算被安裝至“C:\”時,則會被該從端處理單元23轉裝至該觀察區32中的“X:\~C~\”。
或者,假設該已隔離程式檔案321若要讀取“C:\”底下的資料時,則會被該從端處理單元23將該已隔離程式檔案321之存取指令轉換為讀取“X:\~C~\”之下相對應的目錄及檔案資料。
或者,假設該已隔離程式檔案321若要寫入“C:\”時,則會被該從端處理單元23將該已隔離程式檔案321之存取指令轉換為寫入“X:\~C~\”之下相對應的目錄及檔案資料。
或者,若該步驟602的判定結果為否,則接著執行步驟606所示,使該已隔離程式檔案321進而可直接針對儲存於該觀察區32中指定的檔案資料進行存取。
綜上所述,本發明資料安全存取方法及其系統
,當儲存在該信任區31中定義範圍內的至少一程式檔案被執行時,須經由該比對模組24比對當前數位指紋與預先儲存在該隱藏區33的原始數位指紋331兩者是否吻合,若比對結果為吻合,則允許該程式檔案以直接存取方式存取該信任區31中的檔案資料,或者藉由間接存取方式將該程式檔案轉換成隱藏區33的特有存取指令來存取該隱藏區33內的資料;若比對結果為不吻合,則將所述數位指紋比對結果不符的程式檔案從該信任區31移往其他區域(如,該觀察區32)進行觀察或重新認證,繼而利用該追查模組23追查所述數位指紋比對結果不符的程式檔案被更改的所有存取紀錄312,當發現是被該信任區31中所定義的範圍內的程式檔案所更改時,則將曾經改變所述數位指紋比對結果不符的程式檔案之所有程式移往其他區域進行觀察或重新認證,進而達到安全存取信任的資料檔案及將非信任的資料檔案進行資料隔離的效果,並可防止任何未經授權的程式檔案進行隨意存取、破壞,進而可達到一定程度的資料安全性;除此之外,當儲存於該觀察區32中程式檔案在被執行後而進一步欲存取該信任區31中的程式檔案時,則需在該觀察區32中建立該虛擬目錄結構以將該信任區31中欲存取的程式檔案映射至該觀察區32的虛擬目錄結構來進一步執行存取作業,以使該觀察區32內的檔案程式仍可順利執行,且不致影響或破壞該信任區31內容,故確實能達成本發明之目的。
惟以上所述者,僅為本發明之較佳實施例而已
,當不能以此限定本發明實施之範圍,即大凡依本發明申請專利範圍及專利說明書內容所作之簡單的等效變化與修飾,皆仍屬本發明專利涵蓋之範圍內。
501~507‧‧‧步驟
Claims (9)
- 一種資料安全存取方法,實現於一包括一主端處理單元、一從端處理單元及一儲存單元之系統,其中,該從端處理單元具有一計算模組、一比對模組及一追查模組,且該儲存單元具有可透過一作業系統辨識與讀寫其檔案資料的一信任區與一觀察區,及無法藉由該作業系統辨識與讀寫其檔案資料的一隱藏區,該方法包含下列步驟:(a)當該主端處理單元執行儲存於該儲存單元之信任區中的一已認證程式檔案時,則該計算模組計算該已認證程式檔案之數位指紋值,以產生與其對應的一當前數位指紋;(b)該比對模組載入預先儲存在該隱藏區中對應於該已認證程式檔案之一原始數位指紋,以比對該當前數位指紋是否與該原始數位指紋相符;(c)若該步驟(b)的比對結果為是,則該已認證程式檔案繼而可針對儲存於該信任區或該觀察區中的檔案資料進行存取;及(d)若該步驟(b)的比對結果為否,則該已認證程式檔案不允許被執行,且該追查模組從該信任區中追查與該已認證程式檔案相關的存取紀錄,並將該存取紀錄中相關的程式檔案移至觀察區儲存,以進行後續的隔離動作或重新認證。
- 如請求項1所述的資料安全存取方法,其中,該系統還 包括一傳輸介面單元,該從端處理單元還具有一認證模組,且該步驟(a)之前還包含一步驟(e),用以針對該未認證程式檔案進行一認證程序,其中,該步驟(e)包括下列子步驟:(e1)該認證模組接收由該傳輸介面單元所傳送的一未認證程式檔案並對其進行認證;以及(e2)該認證模組判定該未認證程式檔案是否成功通過認證,若否,則該認證模組將未通過認證的該未認證程式檔案標示為一已隔離程式檔案,並將該已隔離程式檔案儲存於該儲存單元之觀察區中來進行隔離動作。
- 如請求項2所述的資料安全存取方法,其中,該步驟(e)還包括下列子步驟:(e3)若該子步驟(e2)的判定結果為是,則該認證模組將已通過認證的該未認證程式檔案標示為該已認證程式檔案,並將該已認證程式檔案移至該儲存單元之信任區儲存;以及(e4)該計算模組計算該已認證程式檔案之數位指紋值,以產生與其對應的該原始數位指紋,進而將該已認證程式檔案所對應的原始數位指紋儲存於該儲存單元之隱藏區中。
- 如請求項2所述的資料安全存取方法,其中,該步驟(e)之後還包含一步驟(f),當該主端處理單元執行位於該儲存單元之觀察區中的該已隔離程式檔案時,則該從端處理單元針對該已隔離檔案進行一安全存取程序,其中, 該步驟(f)包括下列子步驟:(f1)該主端處理單元執行儲存於該儲存單元之觀察區中的該已隔離程式檔案;(f2)該從端處理單元判定該已隔離程式檔案是否欲存取儲存於該信任區中的檔案資料;(f3)若該步驟(f2)的判定結果為是,則該從端處理單元驅動該儲存單元從該信任區中複製該已隔離程式檔案所欲存取的檔案資料至該觀察區中;(f4)該從端處理單元於該觀察區中建立一虛擬目錄結構,並將由該信任區複製而來的檔案資料寫入對應的虛擬目錄結構中;以及(f5)該已隔離程式檔案繼而可針對該觀察區中對應於該信任區中的虛擬目錄結構之檔案資料進行存取。
- 如請求項4所述的資料安全存取方法,其中,該步驟(f)還包括一子步驟(f6),若該步驟(f2)的判定結果為否,則該已隔離程式檔案進而可直接針對儲存於該觀察區中指定的檔案資料進行存取。
- 一種資料安全存取系統,包含:一主端處理單元;一從端處理單元,包括一計算模組、一比對模組及一追查模組;以及一儲存單元,包括一信任區、一觀察區及一隱藏區,其中,該信任區與該觀察區可透過一作業系統辨識與讀寫其檔案資料,且該隱藏區無法透過該作業系統辨識 與讀寫其檔案資料;其中,當該主端處理單元執行儲存於該儲存單元之信任區中的一已認證程式檔案時,則該從端處理單元之計算模組用以計算該已認證程式檔案之數位指紋值,以產生與其對應的一當前數位指紋,且該比對模組用以載入預先儲存在該隱藏區中對應於該已認證程式檔案之一原始數位指紋,以比對該當前數位指紋是否與該原始數位指紋相符,若是,則該已認證程式檔案繼而可針對儲存於該信任區或該觀察區中的檔案資料進行存取,若否,則該已認證程式檔案不允許被執行,且該追查模組從該信任區中追查與該已認證程式檔案相關的存取紀錄,並將該存取紀錄中相關的程式檔案移至觀察區儲存,以進行後續的隔離動作或重新認證。
- 如請求項6所述的資料安全存取系統,還包含一傳輸介面單元,其中,該從端處理單元還具有一認證模組,該認證模組用以接收由該傳輸介面單元所傳送的一未認證程式檔案並對其進行認證,並進而判定該未認證程式檔案是否成功通過認證,若否,則該認證模組將未通過認證的該未認證程式檔案標示為一已隔離程式檔案,以將該已隔離程式檔案儲存於該儲存單元之觀察區中來進行隔離動作。
- 如請求項7所述的資料安全存取系統,其中,若該認證模組判定該未認證程式檔案已通過認證,則該認證模組將已通過認證的該未認證程式檔案標示為該已認證程 式檔案,並將該已認證程式檔案移至該儲存單元之信任區儲存,且該計算模組用以計算該已認證程式檔案之數位指紋值,以產生與其對應的該原始數位指紋,進而將該已認證程式檔案所對應的原始數位指紋儲存於該儲存單元之隱藏區中。
- 如請求項7所述的資料安全存取系統,其中,當該主端處理單元執行儲存於該儲存單元之觀察區中的該已隔離程式檔案時,該從端處理單元還用以判定該已隔離程式檔案是否欲存取儲存於該信任區中的檔案資料,若是,則該從端處理單元驅動該儲存單元從該信任區中複製該已隔離程式檔案所欲存取的檔案資料至該觀察區中,並於該觀察區中建立一虛擬目錄結構,以將由該信任區複製而來的檔案資料寫入對應的虛擬目錄結構中,使該已隔離程式檔案繼而可針對該觀察區中對應於該信任區中的虛擬目錄結構之檔案資料進行存取,若否,則該已隔離程式檔案進而可直接針對儲存於該觀察區中指定的檔案資料進行存取。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW102149019A TW201525758A (zh) | 2013-12-30 | 2013-12-30 | 資料安全存取方法及其系統 |
| CN201410512225.5A CN104751069B (zh) | 2013-12-30 | 2014-09-29 | 数据安全存取方法及其系统 |
| US14/584,243 US20150186640A1 (en) | 2013-12-30 | 2014-12-29 | Method and system for safe data access |
| EP14200386.2A EP2889796A3 (en) | 2013-12-30 | 2014-12-29 | Method and system for safe data access |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW102149019A TW201525758A (zh) | 2013-12-30 | 2013-12-30 | 資料安全存取方法及其系統 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201525758A true TW201525758A (zh) | 2015-07-01 |
| TWI497343B TWI497343B (zh) | 2015-08-21 |
Family
ID=52338912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW102149019A TW201525758A (zh) | 2013-12-30 | 2013-12-30 | 資料安全存取方法及其系統 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20150186640A1 (zh) |
| EP (1) | EP2889796A3 (zh) |
| CN (1) | CN104751069B (zh) |
| TW (1) | TW201525758A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI720919B (zh) * | 2020-07-13 | 2021-03-01 | 優碩資訊科技股份有限公司 | 能隱匿檔案及資料夾之資料處理系統及資料處理方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2555569B (en) * | 2016-10-03 | 2019-06-12 | Haddad Elias | Enhanced computer objects security |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0896135A (ja) * | 1994-09-29 | 1996-04-12 | Mitsubishi Electric Corp | 通行制御装置 |
| US5643086A (en) * | 1995-06-29 | 1997-07-01 | Silicon Gaming, Inc. | Electronic casino gaming apparatus with improved play capacity, authentication and security |
| TW498288B (en) * | 2000-05-25 | 2002-08-11 | Bo-Dung Wang | Global fingerprint identification method |
| US7509687B2 (en) * | 2002-03-16 | 2009-03-24 | Trustedflow Systems, Inc. | Remotely authenticated operation method |
| JP4022861B2 (ja) * | 2002-04-10 | 2007-12-19 | 日本電気株式会社 | 指紋認証システム、指紋認証方法及び指紋認証プログラム |
| TWI282940B (en) * | 2003-12-02 | 2007-06-21 | Aimgene Technology Co Ltd | Memory storage device with a fingerprint sensor and method for protecting the data therein |
| US20070113279A1 (en) * | 2005-11-14 | 2007-05-17 | Phison Electronics Corp. | [portable storage device] |
| CN101089896A (zh) * | 2006-06-14 | 2007-12-19 | 瀚群科技股份有限公司 | 光储存媒体/装置的资料的保护方法 |
| TW200818837A (en) * | 2006-10-05 | 2008-04-16 | Wison Technology Corp | Network system using fingerprint for authentication and method thereof |
| US8868929B2 (en) * | 2008-04-08 | 2014-10-21 | Microelectronica Espanola S.A.U. | Method of mass storage memory management for large capacity universal integrated circuit cards |
| CN101789058A (zh) * | 2009-01-23 | 2010-07-28 | 周宏建 | 数据隐藏保护方法及其硬件 |
| CN102034054A (zh) * | 2009-09-29 | 2011-04-27 | 华腾国际科技股份有限公司 | 信息验证系统 |
| US8850428B2 (en) * | 2009-11-12 | 2014-09-30 | Trustware International Limited | User transparent virtualization method for protecting computer programs and data from hostile code |
-
2013
- 2013-12-30 TW TW102149019A patent/TW201525758A/zh not_active IP Right Cessation
-
2014
- 2014-09-29 CN CN201410512225.5A patent/CN104751069B/zh not_active Expired - Fee Related
- 2014-12-29 EP EP14200386.2A patent/EP2889796A3/en not_active Withdrawn
- 2014-12-29 US US14/584,243 patent/US20150186640A1/en not_active Abandoned
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI720919B (zh) * | 2020-07-13 | 2021-03-01 | 優碩資訊科技股份有限公司 | 能隱匿檔案及資料夾之資料處理系統及資料處理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI497343B (zh) | 2015-08-21 |
| EP2889796A3 (en) | 2015-08-05 |
| CN104751069B (zh) | 2018-01-09 |
| US20150186640A1 (en) | 2015-07-02 |
| EP2889796A2 (en) | 2015-07-01 |
| CN104751069A (zh) | 2015-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101382222B1 (ko) | 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법 | |
| EP1946238B1 (en) | Operating system independent data management | |
| ES2730219T3 (es) | Sistema y procedimiento para una protección automática de datos en una red informática | |
| JP6932175B2 (ja) | 個人番号管理装置、個人番号管理方法、および個人番号管理プログラム | |
| US10650158B2 (en) | System and method for secure file access of derivative works | |
| US9699193B2 (en) | Enterprise-specific functionality watermarking and management | |
| US10013570B2 (en) | Data management for a mass storage device | |
| JP6072091B2 (ja) | アプリケーション・プログラム用の安全なアクセス方法および安全なアクセス装置 | |
| TWI502397B (zh) | 文件授權管理系統、終端裝置、文件授權管理辦法以及計算機可讀記錄媒體 | |
| Scarfone et al. | Guide to storage encryption technologies for end user devices | |
| US11005655B2 (en) | System and method of providing information to a device | |
| US20160087989A1 (en) | Assignment of Security Contexts to Define Access Permissions for File System Objects | |
| TW201525758A (zh) | 資料安全存取方法及其系統 | |
| US9672383B2 (en) | Functionality watermarking and management | |
| US11880482B2 (en) | Secure smart containers for controlling access to data | |
| US9552463B2 (en) | Functionality watermarking and management | |
| RU119910U1 (ru) | Встраиваемый модуль безопасности tsm | |
| JP6690453B2 (ja) | 情報処理装置及びプログラム | |
| CN105404821B (zh) | 操作系统的文件访问控制方法及装置 | |
| Mirajkar et al. | A provenance-based access control model for securely storing data in cloud | |
| TWI263432B (en) | Data security method for storage apparatus and storage media and electronic device | |
| TWI637282B (zh) | 檔案存取數量之控管與限制之系統與方法 | |
| Hannay et al. | Pocket SDV with SDGuardian: A Secure & Forensically Safe Portable Execution Environment | |
| TW202316300A (zh) | 基於檔案屬性特徵之應用程式控管方法 | |
| JP5494073B2 (ja) | ファイル持出制御システム、ファイル持出制御方法、ファイル持出制御プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |