本发明专利技术涉及应用于辅助存储装置(20)的文件系统保护技术,涉及对文件系统的访问或文件系统的更改进行事前阻止或警告,并在需要时以确认用户的许可的方式保护文件系统的装置和方法。控制装置(60)与主机接口(30)、数据存储装置(40)和用户输入装置(50)连接以控制辅助存储装置的操作模式或根据用户命令管理和保护受保护的文件系统对象。当辅助存储装置的操作模式为管理模式时,用户可以指定自己要保护的文件系统对象并设置其保护方法,用户设置的信息存储在受保护对象DB(70)中。在正常模式下,当主机的访问目标是上传到受保护对象DB的文件系统对象时,参照受保护对象DB的保护方法进行保护操作。在正常模式下,主机无法访问用户在设置模式下设置的受保护对象DB(70),因此可防止恶意代码更改或破坏受保护对象DB(70)。可防止恶意代码更改或破坏受保护对象DB(70)。可防止恶意代码更改或破坏受保护对象DB(70)。
【技术实现步骤摘要】
【国外来华专利技术】保护辅助存储装置中文件系统的装置和方法
[0001]本专利技术涉及在电子计算装置、计算机等中使用的辅助存储装置(auxiliary storage device),更具体地,涉及保护存储在辅助存储设备中的文件系统的装置和方法。
技术介绍
[0002]在包括个人计算机在内的所有计算机中,操作系统(OS)都记录在由非易失性存储器或机械存储装置等构成的辅助存储装置中,基本输入输出系统(BIOS)在启动时从辅助存储装置中读取OS并启动。此外,用户文件和应用程序应存储在辅助存储装置中。因此,辅助存储装置的使用对驱动计算机是必不可少的。因此,应做到除了合法用户之外都无法更改OS和用户文件等的形状。
[0003]但是,在通过由ID和密码构成的安全后,现有计算机系统中没有区分合法用户的特别方法。例如,在Windows OS的情况下,应用了对用户进行分类来限制访问文件夹或文件的安全策略,但授予顶级管理员无限权限,因此如果恶意程序渗透并充当顶级管理员,或者如果恶意第三方暂时作为管理员获得访问权限损害系统或窃取计算机中包含的信息,则无进行应对。
[0004]因此,勒索软件等恶意代码加密用户文件,甚至删除包含系统恢复信息的分区或文件夹的情况不断发生,但没有解决办法。此外,未经授权的第三方通过秘密复制包含公司机密信息的文件来窃取信息的情况也频繁发生。
[0005]在这些问题中,本申请人申请了用于修复这些问题中系统损坏的若干专利技术(韩国申请号10
‑
2017
‑
0057998,授权专利10
‑
1920866和10
‑
1920867)。这些在先申请专利技术涉及一种辅助存储装置,包括原始辅助存储装置和备份辅助存储装置。原始辅助存储装置始终可被主机访问。而备份辅助存储装置受到限制,使得用户只能在特定条件(例如,恢复模式的条件)下进行访问。因此,使用这些在先申请专利技术的情况下可进行安全备份和恢复。
[0006]然而,这些现有的专利技术都存在一个弱点,因为只能进行文件系统的备份和恢复,所以只能在事后进行应对。当然,因为事后可以完全恢复,因此没有大问题,但是如果能够从一开始就阻止恶意尝试,则可以消除或大大减少恢复系统损坏所需的时间和费用,因此将具有重要意义。
[0007]一方面,在现有计算机的情况下,恶意代码监控程序主要通过将部分代码与恶意代码数据库进行比较的方式来进行监控。但是,如果代码被更改或代码不在恶意代码数据库中,则监控不到,因此不可避免地会被破坏。此外,即使在现有计算机的情况下使用监视特定程序操作的方法时,恶意代码也可能使程序失效,造成进一步的损害。因此,如果有一种有效的方法来阻止恶意代码或未经授权的第三方试图访问文件系统并改变其形状或试图复制文件中包含的信息,将对文件系统的保护具有重要意义。
技术实现思路
[0008]技术问题
[0009]因此,本专利技术人开发了不仅适用于本专利技术人先前申请的包括原始辅助存储装置和备份辅助存储装置的辅助存储装置,也可以适用于仅使用原始辅助存储装置的现有辅助存储装置的文件系统保护装置和方法。因此,本专利技术提出一种对文件系统的访问或文件系统的形状更改进行事前阻止或警告,并在需要时以确认用户许可的方式保护文件系统的装置和方法。
[0010]解决问题的手段
[0011]为了解决上述问题,本专利技术对访问辅助存储装置的主机信息进行分析,确定构成文件系统的文件系统对象,并且如果该文件系统对象是受保护对象,则以选择性地拒绝访问或获得用户的进一步许可后允许访问的方式保护文件系统。
[0012]通常,辅助存储装置使用从主机接收到的访问信息来执行诸如读取或写入之类的操作。此时,主机主要通过非文件名或非文件夹名的CHS寻址方式(Cylinder Head Sector Addressing,柱面磁头扇区寻址)或LBA方式(Logical Block Addressing,逻辑块寻址)指定需要访问的数据区的地址,对辅助存储装置进行访问。
[0013]结果,无论哪种方式,都使用直接或间接指定存储空间特定区域(簇号、磁头号、扇区号等)的地址,因为主机的文件系统是由主机管理的,而不是辅助存储装置管理。当然,有些辅助存储装置可以使用单独的协议来发送和接收文件级信息,但一般来说,广泛用于台式机PC或笔记本电脑的HDD和SSD产品通过直接提供地址的方式来访问辅助存储装置。
[0014]但是,由于此时传输的访问信息实际上不包含文件名或文件路径等信息,因此若想确认是否对诸如文件、目录或MBR(Master Boot Record,主引导记录)之类的文件系统对象进行访问,应在辅助存储装置侧分析访问信息。然而,在一般的辅助存储装置中,此操作是不必要的,如果进行此操作,则辅助存储装置的处理速度会变慢且没有任何益处。
[0015]相比之下,由于根据本专利技术的辅助存储装置执行此操作,因而处理速度稍微变慢,但是可以防止对文件系统进行随意更改,从而可以保护文件系统免受诸如恶意病毒或勒索软件之类的恶意代码的攻击。此外,由于不使用恶意代码数据库,因此具有能够避免数据库更新延迟或因新的恶意代码出现导致应对延迟的优点。此外,当恶意代码或未经授权的第三方访问文件系统时,通过对其进行拦截或在确认用户许可后对其进行处理,可以大大提高文件系统的安全性。
[0016]为解决上述问题,体现上述概念的根据本专利技术第一方面的辅助存储装置包括:用于与主机通信的主机接口;存储数据的数据存储装置;用户输入装置,用于从用户接收关于辅助存储装置的操作模式,即正常模式和管理模式的输入和相关信息;以及,与上述主机接口、数据存储装置和用户输入装置连接的控制装置,用于控制辅助存储装置的操作模式,根据用户命令管理和保护受保护的文件系统对象。
[0017]作为一个实施例,上述控制装置根据从用户输入装置接收的信息将辅助存储装置的操作控制为管理模式和正常模式。当控制装置控制的辅助存储装置的操作模式为管理模式时,用户可以指定其自己保护的文件系统对象并设置其保护方法,用户设置的信息存储在受保护对象DB中。当辅助存储装置的操作模式为正常模式时,当主机的访问目标是上传到受保护对象DB的文件系统对象时,参照受保护对象DB的保护方法进行保护操作。在正常模式下,主机无法访问存储有用户设置的信息的受保护对象DB。因此可防止恶意代码更改或破坏受保护对象DB。
[0018]上述控制装置可以用控制辅助存储装置的CPU和相关软件及硬件来实现,用户输入装置可以通过由用户操作的电开关来实现。另一方面,用户输入装置可以由通信模块组成并且可以以基于有线或无线接收的信息确认单个或多个用户输入或数据的方式来实现。在这种情况下,外部终端的输入装置实质上可以替代用户输入装置。
[0019]此外,作为另一实施例,控制装置还可以包括受保护对象DB管理模块和文件系统保护模块。
[0020]其中,当辅助存储装置处于管理模式时,受保护对象DB管理模块通过接收用户输入来执行创建或更改受保护对象DB的功能。此本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种保护辅助存储装置中文件系统的装置,所述辅助存储装置具有用于与主机通信的主机接口和存储数据的数据存储装置,其特征在于,所述保护辅助存储装置中文件系统的装置包括:用户输入装置,用于从用户接收用于选择辅助存储装置的操作模式的信息和相关信息;和控制装置,用于控制辅助存储装置的操作模式,管理和保护受保护的文件系统对象;被所述控制装置控制的辅助存储装置的操作模式包括:当主机访问辅助存储装置时,如果访问目标是受保护的文件系统对象,则进行保护操作的正常模式;和使得用户能够将自己要保护的文件系统对象指定为受保护对象并设置其保护方法的管理模式。2.根据权利要求1所述的保护辅助存储装置中文件系统的装置,还包括:受保护对象DB,用于存储用户在所述管理模式下指定的受保护对象和用户设置的保护方法;在所述正常模式下,当主机的访问目标是上传到受保护对象DB的文件系统对象时,参照受保护对象DB的保护方法进行保护操作。3.根据权利要求1所述的保护辅助存储装置中文件系统的装置,所述控制装置包括文件系统保护模块,所述文件系统保护模块包括:访问信息分析单元,用于对主机提供的访问信息进行分析;文件系统对象确认单元,用于确认正在使用所述访问信息中包括的访问地址的存储空间的文件系统对象;和对象保护单元,用于当确认的文件系统对象是用户指定的受保护对象时,根据用户指定的保护方法选择性地处理对所述访问地址的访问。4.根据权利要求3所述的保护辅助存储装置中文件系统的装置,所述控制装置的文件系统保护模块还包括:访问日志单元,用于创建和存储包括访问时间、地址和命令类型的日志信息。5.根据权利要求1所述的保护辅助存储装置中文件系统的装置,还包括:显示装置,用于显示所述控制装置的处理状态。6.根据权利要求5所述的保护辅助存储装置中文件系统的装置,其特征在于,所述用户输入装置和所述显示装置被配置为集成输入输出装置。7.根据权利要求5所述的保护辅助存储装置中文件系统的装置,所述控制装置包括文件系统保护模块,所述文件系统保护模块包括:访问信息分析单元,用于对主机提供的访问信息进行分析;文件系统对象确认单元,用于确认正在使用所述访问信息中包括的访问地址的存储空间的文件系统对象;对象保护单元,用于当确认的文件系统对象是用户指定的受保护对象时,根据用户指定的保护方法选择性地处理对所述访问地址的访问;和保护状态显示单元,用于使显示装置驱动模块向所述显示装置输出所述文件系统对象的类型和访问处理结果。
8.根据权利要求7所述的保护辅助存储装置中文件系统的装置,其特征在于,所述文件系统保护模块的保护状态显示单元向通信连接的外部终端装置发送信息。9.根据权利要求1或5所述的保护辅助存储装置中文件系统的装置,其特征在于,所述受保护对象的保护方法为选自以下中的至少一个:警告,用于通知有对特定文件系统对象的访问;确认许可,用于仅在获得用户的许可时允许访问;拒绝访问,用于无条件拒绝访问;以及确认许可后保存恢复信息,用于允许获得用户许可后访问,并且保存所述文件系统对象的恢复信息。10.根据权利要求9所述的保护辅助存储装置中文件系统的装置,当所述对特定文件系统对象的访问是读访问时,所述受保护对象的保护方法包括所述警告和确认许可中的至少一种。11.根据权利要求10所述的保护辅助存储装置中文件系统的装置,其特征在于,所述确认许可所需的用户的许可由从用户移动电话...
【专利技术属性】
技术研发人员:金德祐,
申请(专利权)人:金德祐,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。