【技术实现步骤摘要】
本专利技术属于移动存储,尤其涉及一种面向移动存储设备的安全跨平台文件系统及方法。
技术介绍
1、移动存储设备指具有存储和传输数据能力并且可以在不同计算机或移动设备之间进行数据交换的便携式电子设备,如硬盘、闪存驱动器等。为便于存储,访问及管理移动存储设备上的数据,文件系统作为一种特定的组织和管理数据的结构被引入,通过在移动存储设备上建立起一种逻辑的层次化模式,以有效完成文件和目录组织,存储分配,元数据及访问控制等方面的任务。以明文形式存储的移动存储设备中的数据一旦遭到未经授权的访问,敏感信息的暴露极有导致个人隐私遭到泄露、商业机密被窃取、国家安全受到威胁等一系列严重后果。
2、目前,针对移动存储设备安全的解决方案主要分为硬件系统层次和文件系统层次。硬件系统层次解决方案指通过在移动存储设备的硬件层面引入安全功能和机制来保护数据的机密性和完整性,如加装加密芯片,添加防破拆盒等。文件系统层次解决方案则依赖于移动存储设备所适配的文件系统来提供安全性。此类解决方案通常包括集成加密机制、访问控制机制等。硬件系统解决方案通常需要专门设计和制造硬件组件,存在成本高,复杂性高,可扩展性和灵活性受限以及更新和漏洞修复困难等一系列劣势。相较硬件系统层次解决方案,文件系统层次解决方案具有更好的可扩展性和灵活性,更适应对新的技术和设备变化。然而,目前现有针对移动存储设备的文件系统层次解决方案仍存在如下问题。
3、现有方案与操作系统内核紧耦合,存在跨平台兼容性差的问题。基于内核态文件系统解决方案指针对特定操作系统内核所设计和实现的解决
4、现有方案文件系统元数据保护机制弱,存在元数据易遭恶意程序篡改的问题。文件系统元数据指文件系统中用于描述和管理文件和目录的关键信息,例如文件名、权限、时间戳、目录结构等,其完整性和可信性对于文件系统的正常运行和数据的安全性至关重要。在现有基于用户态文件系统解决方案中,移动存储设备对元数据的管理依赖于根据文件系统运行库的所创建的实例。由于共享地址空间的特性,恶意程序可轻易绕过实例事务,实现对元数据的非法更新,使得移动存储设备在不同操作系统之间的安全性和可靠性存在严重不足。
5、随着移动存储设备和互联网技术的普及,移动存储载体的安全成为信息系统安全的关键所在。传统基于硬件系统的安全解决方案难以满足低成本,可扩展和定制化的要求,严重限制u盘等存储设备在小型或中小型企业,教育机构等对成本和数据安全有较高要求领域的应用。为了解决这些挑战,基于文件系统的安全解决方案被引入,通过在文件系统层面实施加密,访问控制和认证等措施,在不需要引入额外硬件组件的基础上提高移动存储设备中数据的安全性。此类解决方案可以根据不同的安全需求进行配置,管理和更新,在成本低廉的同时兼具灵活性与安全性。
6、在基于文件系统的安全解决方案中,通常是通过数据加密的方式来实现对数据的安全性保障,旨在利用密码领域相关技术来保护存储在文件系统中的数据的机密性。通过对文件和目录进行加密,以防止未经授权的访问者获得敏感信息。加密可以在文件级别或存储块级别进行,确保数据在存储和传输过程中得到保护。此外,结合访问控制技术,实现基于角色或用户的访问策略,使用访问权限位来控制读取,写入及执行等操作,确保只有经过授权的用户或角色能够访问文件系统中的敏感数据。
7、目前在基于文件系统的安全解决方案中存在采用加密机制的数据安全性保障方案,但仍然存在一些问题,具体方案细节与存在问题如下所示:
8、1)现有方案与操作系统内核紧耦合,存在跨平台兼容性差的问题:微软公司推出了bitlocker,一种全磁盘加密解决方案。作为windows操作系统的一部分,该方案提供了一种可靠的方法来加密整个存储设备。bitlocker采用对称加密算法来对存储设备数据进行加密和解密操作。通过将加密密钥存储在计算机中的受信任的平台模块中,以确保即使计算机在无人参与,丢失或者被盗的情况下密钥也不会被篡改。此外,bitlocker还提供额外的安全特性,如引导认证和集中式管理。引导认证要求在启动时进行身份验证,以确保系统的完整性和安全性。集中式管理使管理员能够对bitlocker进行配置、监视和远程管理,以确保加密策略的一致性和合规性。但是,由于bitlocker集成在windows操作系统内核中,在不借助于第三方工具或者软件的情况下,无法在其他类别的操作系统中使用。filevault作为苹果公司推出的一种磁盘加密工具,通过使用xtsaes128加密算法来对存储设备中的数据进行加密。该工具在制造期间通过将用户标识和组标识融合作为密钥并编译进安全隔区芯片中,以确保没有软件或者固件可以直接读取密钥。该密钥仅供安全隔区中的仅提供加解密操作结果的aes引擎使用。但是该工具仅在具有apple t2安全芯片的mac计算机上才能使用。
9、2)现有方案元数据保护机制弱,存在元数据易遭恶意程序篡改的问题:veracrypt是一种开源的存储设备加密解决方案,支持多种加密算法对磁盘驱动器上的数据进行加密,如aes、twofish和serpent等。其采用了多层次的加密和随机化技术,并且提供多种加密模式以满足其特定的安全需求。此外,veracrypt通过将加密后的数据存放在所创建的经加密的虚拟磁盘中,使得数据在存储和传输过程中都受到保护。encfs[5]作为一种针对移动存储设备的开源加密文件系统,通过在文件系统层面对数据进行加密,旨在保持数据完整性的同时实现数据的机密性和安全性。encfs通过将明文数据存储在一个由加密数据块8所组成的虚拟文件系统中,通过挂载encfs文件系统来访问和操作加密的文件和目录。当对文件进行读取或写入操作时,encfs会自动对数据进行加密或解密,从而实现透明的加密和解密过程。encfs使用由用户提供的密钥,利用对称加密算法来对数据进行加密,同时采用文件级别的加密使得每个文件都被单独加密,以增加数据的安全性。此外,encfs还提供了一些附加的安全特性,例如隐藏文件名和文件大小信息,以增加数据的隐私性和保密性。
10、尽管针对移动存储设备的安全文件系统已经有较为成熟的方案,但仍存在一些问题。
11、(1)现有方案与操作系统内核紧耦合,存在跨平台兼容性差的问题。当前基于内核态文件系统解决方案通常针对特定操作系统内核所设计和实现。由于操作系统内核的差异,这些解决方案需要进行特定的适配和定制才能在不同操作系统上运行,导致需要额外的开发工作和资源投入,增加了实施和维护的复杂性。此外,由于紧耦合的特性,这些方案还面临与操作系统升级和更新的兼容性问题。由于操作系统内核的变化,解决方案需要进行相应的调整和更新,以适应新的内核版本,导本文档来自技高网...
【技术保护点】
1.一种面向移动存储设备的安全跨平台文件系统,其特征在于,包括:
2.如权利要求1所述面向移动存储设备的安全跨平台文件系统,其特征在于,所述基于用户态空间的文件系统架构,采用统一的用户空间文件系统接口标准,自定义打开,创建,删除文件各类操作逻辑,通过用户态运行库将文件系统部分从内核空间剥离,使得文件系统实现部分运行于用户空间中,屏蔽不同类型操作系统内核差异。
3.如权利要求1所述面向移动存储设备的安全跨平台文件系统,其特征在于,所述加解密模块2,文件系统数据加解密部分采用分组加密机制,支持AES,DES,IDEA以及SM4多种对称加密算法;通过将数据分成固定长度的数据块8进行处理,通过执行一系列轮函数实现对数据的混淆和扩散,达到加密的目的;密钥生成部分通过哈希算法处理用户输入的明文密码和随机生成的盐值,生成一个128位的密钥作为加密主密钥并进行存储。
4.如权利要求1所述面向移动存储设备的安全跨平台文件系统,其特征在于,所述元数据认证模块3,使用分布式锁服务来管理文件,目录各类文件系统对象;当需要更新元数据时,用户态运行库将更新信息同步至本地日
5.一种实施如权利要求1~4任意一项所述面向移动存储设备的安全跨平台文件系统的面向移动存储设备的安全跨平台文件方法,其特征在于,所述面向移动存储设备的安全跨平台文件方法包括:
6.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求5所述面向移动存储设备的安全跨平台文件方法的步骤。
7.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求5所述面向移动存储设备的安全跨平台文件方法的步骤。
8.一种信息数据处理终端,其特征在于,所述信息数据处理终端用于实现如权利要求1~4任意一项所述面向移动存储设备的安全跨平台文件系统。
...【技术特征摘要】
1.一种面向移动存储设备的安全跨平台文件系统,其特征在于,包括:
2.如权利要求1所述面向移动存储设备的安全跨平台文件系统,其特征在于,所述基于用户态空间的文件系统架构,采用统一的用户空间文件系统接口标准,自定义打开,创建,删除文件各类操作逻辑,通过用户态运行库将文件系统部分从内核空间剥离,使得文件系统实现部分运行于用户空间中,屏蔽不同类型操作系统内核差异。
3.如权利要求1所述面向移动存储设备的安全跨平台文件系统,其特征在于,所述加解密模块2,文件系统数据加解密部分采用分组加密机制,支持aes,des,idea以及sm4多种对称加密算法;通过将数据分成固定长度的数据块8进行处理,通过执行一系列轮函数实现对数据的混淆和扩散,达到加密的目的;密钥生成部分通过哈希算法处理用户输入的明文密码和随机生成的盐值,生成一个128位的密钥作为加密主密钥并进行存储。
4.如权利要求1所述面向移动存储设备的安全跨平台文件系统,其特征在于,所述元数据认证模块3,使用分布式锁服务来管理文件,目录各类文件系统对象;当需要更新元数据时,用户态运行库将更新信息同步至本地日志文件中,该日志文件负责定期将更新信...
【专利技术属性】
技术研发人员:张志为,韦勃豪,张自源,李涵,王建东,沈玉龙,毕冒泽,郭本新,姬建政,赵双睿,
申请(专利权)人:西安电子科技大学青岛计算技术研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。