基于国产操作系统的可移动存储设备权限管理方法及系统技术方案

本发明专利技术提供一种基于国产操作系统的可移动存储设备权限管理方法及系统，所述系统包括：实时监控层和拦截处理层，所述实时监控层用于监控可移动存储设备的插入，分析可移动存储设备的存储控制策略，并将与所述存储控制策略相关的控制数据发送给所述拦截处理层，同时，将可移动存储设备的挂载目录以虚拟加密文件系统的指定格式重新挂载。所述拦截处理层用于拦截应用层对所述可移动存储设备的文件访问，并根据控制数据更新模块产生的控制数据对文件访问行为进行控制。根据本发明专利技术的方案，使该系统兼容性高，客户端安全性高，部署方便、灵活。不依赖特定环境，也无需特殊处理可移动存储设备，灵活度高。能够实现可移动存储设备的权限细分管理。

The method and system of authority management of removable storage device based on domestic operating system

【技术实现步骤摘要】
基于国产操作系统的可移动存储设备权限管理方法及系统
本专利技术涉及信息安全领域，尤其涉及一种基于国产操作系统的可移动存储设备权限管理方法及系统。
技术介绍
目前，市场上已经有较成熟的针对windows操作系统的防护类软件，但随着信息的处理需求的变化，目前也越来越需要国产、安全、可信的操作系统及与国产操作系统匹配的软件。现有的支持国产操作系统的数据安全防护类软件较少，这类的防护软件普遍是对可移动存储设备的访问权限进行管控，管控的目的大多是为了保护可移动存储设备，并防范病毒。例如，能管理可移动存储设备的读写权限、执行权限、重命名权限、删除权限和变更权限，即仅注重移动存储设备的安全。如图1所示，插入可移动存储设备后，判断是否允许读、写等访问，如果允许则继续操作，如果不允许则拦截操作。现有技术中对可移动存储设备的访问权限进行管控的方案，虽然能控制对可移动存储设备的读、写等访问，但对写入可移动存储设备的数据没有任何控制，在可移动存储设备交叉使用或遗失的情况下，无法保护可移动存储设备中数据的安全。
技术实现思路
为解决上述技术问题，本专利技术提出了一种基于国产操作系统的可移动存储设备权限管理方法及系统，所述方法及系统，用以解决现有技术中没有对写入可移动存储设备的数据进行任何控制，无法保护可移动存储设备中数据的安全的技术问题。根据本专利技术的第一方面，提供一种基于国产操作系统的可移动存储设备权限管理系统，包括：实时监控层和拦截处理层，所述实时监控层包括可移动存储设备监控模块、策略解析模块、可移动存储设备加载模块；所述可移动存储设备监控模块利用国产操作系统提供的udev机制监控可移动存储设备的插入、拔出，并将所述可移动存储设备的信息传递给所述策略解析模块，同时向可移动存储设备加载模块发送通知；所述策略解析模块，接收所述可移动存储设备监控模块发送的可移动存储设备信息，解析策略数据，转化为与驱动同步的策略数据，转化后的所述策略数据进而转化为控制数据，对所述可移动存储设备上的文件的访问权限进行控制；所述可移动存储设备加载模块，将所述可移动存储设备挂载的目录以指定的虚拟加密文件系统格式重新挂载；所述拦截处理层包括控制数据更新模块、文件访问拦截模块、访问控制及加密服务模块；所述文件访问拦截模块，负责拦截应用层对可移动存储设备中文件的访问行为，调用访问控制及加密服务模块对文件访问行为进行管理；所述访问控制及加密服务模块根据所述控制数据对可移动存储设备及其存储的文件进行权限处理；所述控制数据更新模块，用于接收实时监控层发送过来的控制数据，并通知访问控制及加密服务模块。进一步地，所述可移动存储设备的信息包括可移动存储设备的序列号、分区信息。进一步地，所述对可移动存储设备及其存储的文件进行权限处理，所述权限包括禁止访问文件、正常读写文件、只读明文、只读明文+密文、加密读写。进一步地，所述权限相互之间是互斥的，针对同一个可移动存储设备，只能有一种访问控制方式生效。进一步地，所述虚拟加密文件系统是基于国产操作系统内核支持的StackableFileSystem机制，在VFS层和真实文件系统之间插入的一层虚拟加密文件系统；所述策略数据指示加密读写时，所述VFS层与虚拟加密文件系统之间，以明文形式进行传输，在虚拟加密文件系统与真实文件系统之间，以密文形式进行传输，在真实文件系统和物理设备之间，以密文形式进行传输。进一步地，当可移动存储设备挂载成功后，结合虚拟加密文件系统驱动和系统mount机制，再次将所述可移动存储设备以指定的虚拟加密文件系统格式进行挂载，实现对可移动存储设备的访问控制。根据本专利技术第二方面，提供一种基于国产操作系统的应用程序访问可移动存储设备的方法，所述国产操作系统具有如前所述的可移动存储设备权限管理系统，由应用程序访问可移动存储设备，对可移动存储设备中的文件进行访问，执行以下步骤：S101：对可移动存储设备上的文件进行读写，文件的I/O访问请求被传递到国产操作系统内核的VFS层进行处理，S102：所述VFS层将所述文件的I/O访问请求传递给虚拟加密文件系统，所述虚拟加密文件系统调用文件、目录权限控制模块进行文件、目录访问权限控制，允许的I/O访问请求向下层传递；拦截处理层的访问控制及加密服务模块包括文件、目录权限控制模块、数据加密引擎、算法库以及密钥管理模块；S103：判断是否有加/解密需求，如果有，进入S104；否则，进入S105；S104：调用数据加密引擎使用指定算法对数据进行加/解密；所述加解密引擎负责调度加解密算法库和密钥管理模块，用于对数据进行加密或者解密操作；S105：真实文件系统接收由所述虚拟加密文件系统传递过来的所述文件的I/O访问请求，执行对文件的指定操作，并将所述文件的I/O访问请求向物理设备传递；S106：物理设备根据所述文件的I/O访问请求，向可移动存储设备写入数据或者读取数据，并将结果逐层返回给上层调用模块，直至返回到调用对可移动存储设备上的文件进行读写的应用程序。根据本专利技术第三方面，提供一种基于国产操作系统的可移动存储设备权限管理方法，具有如前所述的基于国产操作系统的可移动存储设备权限管理系统，以执行如前所述的应用程序访问可移动存储设备的方法,执行以下步骤：S201：利用国产操作系统UDEV机制监控可移动存储设备；S202：监控有可移动存储设备完成加载后，指定虚拟加密文件系统，重新挂载所述可移动存储设备；S203：解析可移动存储设备存储控制策略并下发与所述控制策略相关的控制数据；S204：所述虚拟加密文件系统拦截访问文件操作；S205：检查是否拒绝访问所述可移动存储设备，若是，进入S206；否则，进入S207；S206：禁止访问所述可移动存储设备，进入S214；S207：检查是否为正常读写模式，若是，进入S208；否则，进入S209；S208：对可移动存储设备上的文件读写不做任何加/解密操作，进入S214；S209：检查是否为只读明文模式，若是，进入S210；否则，进入S211；S210：允许可移动存储设备上的明文的读操作，拒绝写入操作，进入S214；S211：检查是否为只读明文+密文模式，若是，进入S212；否则，进入S213；S212：允许可移动存储设备上的明文和已存在密文的读操作，拒绝写入操作，进入S214；S213：对所述可移动存储设备上的文件读写请求进行加/解密操作，进入S214；S214：检查是否退出国产操作系统，若是，方法结束；若否，进入S201。根据本专利技术第四方面，提供一种基于国产操作系统的可移动存储设备权限管理系统，包括：处理器，用于执行多条指令；存储器，用于存储多条指令；其中，所述多条指令，用于由所述存储器存储，并由所述处理器加载并执行如前所述的基于国产操作系统的应用程序访问可移本文档来自技高网...

【技术保护点】
1.一种基于国产操作系统的可移动存储设备权限管理系统，其特征在于，所述系统包括实时监控层和拦截处理层，所述实时监控层包括可移动存储设备监控模块、策略解析模块、可移动存储设备加载模块；/n所述可移动存储设备监控模块利用国产操作系统提供的udev机制监控可移动存储设备的插入、拔出，并将所述可移动存储设备的信息传递给所述策略解析模块，同时向可移动存储设备加载模块发送通知；/n所述策略解析模块，接收所述可移动存储设备监控模块发送的可移动存储设备信息，解析策略数据，转化为与驱动同步的策略数据，转化后的所述策略数据进而转化为控制数据，对所述可移动存储设备上的文件的访问权限进行控制；/n所述可移动存储设备加载模块，将所述可移动存储设备挂载的目录以指定的虚拟加密文件系统格式重新挂载；/n所述拦截处理层包括控制数据更新模块、文件访问拦截模块、访问控制及加密服务模块；/n所述文件访问拦截模块，负责拦截应用层对可移动存储设备中文件的访问行为，调用访问控制及加密服务模块对文件访问行为进行管理；/n所述访问控制及加密服务模块根据所述控制数据对可移动存储设备及其存储的文件进行权限处理；/n所述控制数据更新模块，用于接收实时监控层发送过来的控制数据，并通知访问控制及加密服务模块。/n...

【技术特征摘要】
1.一种基于国产操作系统的可移动存储设备权限管理系统，其特征在于，所述系统包括实时监控层和拦截处理层，所述实时监控层包括可移动存储设备监控模块、策略解析模块、可移动存储设备加载模块；
所述可移动存储设备监控模块利用国产操作系统提供的udev机制监控可移动存储设备的插入、拔出，并将所述可移动存储设备的信息传递给所述策略解析模块，同时向可移动存储设备加载模块发送通知；
所述策略解析模块，接收所述可移动存储设备监控模块发送的可移动存储设备信息，解析策略数据，转化为与驱动同步的策略数据，转化后的所述策略数据进而转化为控制数据，对所述可移动存储设备上的文件的访问权限进行控制；
所述可移动存储设备加载模块，将所述可移动存储设备挂载的目录以指定的虚拟加密文件系统格式重新挂载；
所述拦截处理层包括控制数据更新模块、文件访问拦截模块、访问控制及加密服务模块；
所述文件访问拦截模块，负责拦截应用层对可移动存储设备中文件的访问行为，调用访问控制及加密服务模块对文件访问行为进行管理；
所述访问控制及加密服务模块根据所述控制数据对可移动存储设备及其存储的文件进行权限处理；
所述控制数据更新模块，用于接收实时监控层发送过来的控制数据，并通知访问控制及加密服务模块。


2.如权利要求1所述的基于国产操作系统的可移动存储设备权限管理系统，其特征在于，所述可移动存储设备的信息包括可移动存储设备的序列号、分区信息。


3.如权利要求1所述的基于国产操作系统的可移动存储设备权限管理系统，其特征在于，所述对可移动存储设备及其存储的文件进行权限处理，所述权限包括禁止访问文件、正常读写文件、只读明文、只读明文+密文、加密读写。


4.如权利要求3所述的基于云计算的EFDC模型的应用装置，其特征在于，所述权限相互之间是互斥的，针对同一个可移动存储设备，只能有一种访问控制方式生效。


5.如权利要求1所述的基于国产操作系统的可移动存储设备权限管理系统，其特征在于，所述虚拟加密文件系统是基于国产操作系统内核支持的StackableFileSystem机制，在VFS层和真实文件系统之间插入的一层虚拟加密文件系统；所述策略数据指示加密读写时，所述VFS层与虚拟加密文件系统之间，以明文形式进行传输，在虚拟加密文件系统与真实文件系统之间，以密文形式进行传输，在真实文件系统和物理设备之间，以密文形式进行传输。


6.如权利要求5所述的基于国产操作系统的可移动存储设备权限管理系统，其特征在于，当可移动存储设备挂载成功后，结合虚拟加密文件系统驱动和系统mount机制，再次将所述可移动存储设备以指定的虚拟加密文件系统格式进行挂载，实现对可移动存储设备的访问控制。


7.一种基于国产操作系统的应用程序访问可移动存储设备的方法，所述国产操作系统具有如权利要求1-6之任一项所述的可移动存储设备权限管理系统，其特征在于：由应用程序访问可移动存储设备，对可移动存储设备中的文件进行访问，执行以下步骤：
S101：对可移动存储设备上的文件进行读写，文件的I/O访问请求被传递到国产操作系统内核的VFS层进行处理，
S102：所述VFS层将所述文件的I/O访问请求传递给虚拟加密文件系统，所述虚拟加密文件系统调用文件、目录权限控制模块进行文件、目录访问权限控制，允许的I/O访问请求向下层传递；拦截处理层的访问控制及加密服务模块包括文件、目录权限控...

【专利技术属性】
技术研发人员：王志刚，王志海，喻波，彭洪涛，
申请(专利权)人：北京明朝万达科技股份有限公司，
类型：发明
国别省市：北京;11