专利名称:一种存储装置及其实现自动保护的方法
技术领域:
本发明涉及计算机安全技术,特别是一种存储装置及其实现自动保护的 方法。
技术背景传统的存储装置(如硬盘、数码伴侣等)如图1所示,主要包括两部分, 分别为存储装置读写接口,用于提供与外界的连接接口和数据交换的通道;如 IDE硬盘使用的ATAPI接口 ;存储介质,用于通过存储装置读写接口实现数据的读写。 病毒或恶意程序对计算机系统的影响很大,对于上述的传统存储装置, 现有的杀毒软件已经无法保证能彻底防止系统避免病毒的入侵,特别是在用 户未及时给系统打补丁,或升级病毒库时,其主要表现为病毒入侵系统后可以接管系统API (Application Programm Intercace,应用程序接口),绕开杀毒软件,直接通过硬件访问接口把病毒存入存储装置;通过Rootkit技术防止杀毒软件发现系统存在病毒;即使被杀毒软件发现,通过系统驱动方式阻止自己被清除,或在部件模 块被清除时,自动将自己恢复。 发明内容本发明的目的在于提供一种存储装置及其实现自动保护的方法,防止病 毒或恶意程序写入到存储介质中去。为了实现上述目的,本发明提供了一种存储装置,包括存储装置读写接 口和存储介质,其中,还包括安全控制模块,分别与所述存储装置读写接口和存储介质连接,用于在 外界通过存储装置读写接口与存储介质进行文件读或写操作时,分析读或写 操作对应的文件的文件系统,根据文件系统分析结果对该文件进行不利因素控制操作,并根据不利因素控制操作的结果进行相应处理。上述的存储装置,其中,所述对该文件进行不利因素控制操作,并根据不利因素控制操作的结果进行相应处理具体为对于读操作,如果不存在不利因素,则将文件返回给存储装置读写接口,如果存在不利因素,则消除不利因素后将文件返回给存储装置读写接口;对于写操作,如果存在不利因素,则可以消除不利因素后将文件发送给 存储介质,或者拒绝存储,如果不存在不利因素,则将文件直接发送给存储 介质。上述的存储装置,其中,还包括写文件缓存模块,用于在文件写入完成前保存该文件; 所述安全控制模块在文件写入完成后,对写文件缓存模块中的文件进行不利因素控制操作。上述的存储装置,其中,所述写文件缓存模块为任意可读写存储设备。 上述的存储装置,其中,所述写文件缓存模块为存储介质未使用的部分。 为了更好的实现上述目的,本发明还提供了 一种上述的存储装置实现自动保护的方法,其中,包括步骤S31,存储装置读写接口获取外界系统发送的与存储装置进行文件交互的存储装置读写指令后判断指令类型是否为读指令,如果是进入步骤S32,否则进入步骤S34或步骤S34';步骤S32,安全控制模块通过文件系统解析存储装置读指令后获取对应 的文件后,对该文件进行不利因素排除,并对该排除不利因素后的文件进行 文件解析后根据解析结果将文件回写到存储介质;步骤S33,安全控制模块将更新后的文件根据读指令返回外界系统;步骤S34,安全控制模块将存储装置写指令涉及的文件进行不利因素排 除后写入存储介质;步骤S34',安全控制模块对存储装置写指令所涉及的文件进行不利因素 检査,如果存在不利因素则拒绝文件写入存储介质,否则写入存储介质。上述的存储装置实现自动保护的方法,其中,所述步骤S34中还包括在 文件写入完成前保存该文件的操作,安全控制模块在文件写入完成后才对写文件缓存模块中的文件进行不利因素排除操作。上述的存储装置实现自动保护的方法,其中,所述步骤S34,中还包括在文件写入完成前保存该文件的操作,安全控制模块在文件写入完成后才对写文件缓存模块中的文件进行不利因素检查操作。上述的存储装置实现自动保护的方法,其中,在文件写入完成前保存该文件的操作具体为在文件写入完成前保存该文件到缓存或在文件写入完成前保存该文件到存储介质未使用的部分。本发明的存储装置及其实现自动保护的方法具有以下优点 安全控制模块位于存储介质的上层且相邻,可以保证所有的存储介质与外界交互的文件都被检察;直接对文件进行控制,保证文件中的不利因素被彻底清除; 在写文件时将文件暂存,等文件完整后才执行不利因素的控制,可以保证文件的完整性。
图1为传统的存储装置的结构示意图;图2为本发明实施例中的存储装置的结构示意图;图3为本发明实施例中的存储装置实现自动保护的方法的流程示意图。
具体实施方式
本发明的存储装置及其实现自动保护的方法通过在传统存储装置的存储 装置读写接口和存储介质之间设置一安全控制模块,该安全控制模块直接对 写入到存储介质的文件和从存储介质提取的文件进行检査,以排除不利因素, 如病毒、恶意程序等,保证系统的安全。本发明的存储装置如图2所示,包括存储装置读写接口 ,用于提供与外界的连接接口和数据交换的通道; 存储介质,用于实现数据的存储;及安全控制模块,在外界通过存储装置读写接口与存储介质进行文件读或 写时,用于分析该文件的文件系统,根据文件系统分析结果对该文件进行不 利因素控制操作,并根据不利因素控制操作的结果进行相应处理。在此该不利因素控制操作可以是不利因素的排除,也可以是不利因素的检查,也可以是二者的结合以及其他的操作。在此,上述的根据不利因素控制操作的结果进行相应处理包括以下几种 情况对于读操作,如果不存在不利因素,则将文件返回给存储装置读写接口,如果存在不利因素,则消除不利因素后将文件返回给存储装置读写接口;对于写操作,如果存在不利因素,则可以消除不利因素后将文件发送给 存储介质,或者拒绝存储,如果不存在不利因素,则将文件直接发送给存储 介质。在此,该存储装置可以是计算机硬盘、虚拟机系统中的硬盘、数码伴侣 等一系列的存储装置。本发明的存储装置实现自动保护的方法如图3所示,包括如下步骤 步骤S31 ,存储装置读写接口获取外界系统发送的与存储装置进行文件交互的存储装置读写指令后判断指令类型是否为读指令,如果是进入步骤S32,否则进入步骤S34;步骤S32,安全控制模块通过文件系统解析存储装置读指令后获取对应的文件后,对该文件进行不利因素排除,并对该进行不利因素控制操作的文件进行文件解析后根据解析结果将文件回写到存储介质;步骤S33,安全控制模块将更新后的文件根据读指令返回外界系统; 步骤S34,安全控制模块将存储装置写指令涉及的文件进行不利因素排除后写入存储介质。该步骤S34是针对不利因素可以排除的情况而言,在排除存储装置写指令涉及的文件中的不利因素后将文件写入到存储介质,当然,基于安全的考 虑,为防止不利因素造成的不良后果,也可以采用拒绝存储的方式,因此, 该步骤S34也可以是步骤S34'(图中未示出),安全控制模块对存储装置写指令所涉及的文 件进行不利因素检查,如果存在不利因素则拒绝文件写入存储介质,如果没 有不利因素则写入存储介质。下面以硬盘为例对上述的方法进行进一步详细描述。步骤S31中,硬盘读写接口 (如IDE硬盘使用的ATAPI接口)会接收到外界系统(如计算机操作系统)发出的硬盘访问指令,此时,判断该硬盘访问 指令是否为硬盘读写指令,如果是则进一步判断是硬盘读指令还是写指令, 对于硬盘读写指令之外的其他硬盘访问指令则不执行额外的处理,按硬盘的 现有处理流程进行处理即可,由于本领域普通技术人员对硬盘如何处理硬盘 读写指令之外的其他硬盘访问指令都有充分详细的了解,在本发明的说明书 中不做详细描述。同时,在步骤S31中还需要判断该硬盘读写指令是否涉及到文件,如果 不涉及文件,也由硬盘按照现有处理流程进行处理即可,在步骤S31中仅对涉 及到文件的硬盘读写指令进行安全控制处理。步骤S32中,安全控制模块通过文件系统解析存储装置读指令后获取对 应的文件后具体通过以下方式实现安全控制模块通过文件系统解析确定读 指令对应的扇区及对应的文件。在通过安全控制模块对文件读取实现不利因素控制时,由于文件是完整 的,可以检查并清除,然而由于本发明的存储装置及其实现自动保护的方法 对于写入存储介质的文件也需要进行不利因素排除,然而不管是病毒还是恶 意程序等各种类型的不利因素,都有可能存在文件的各个部分,同时,在文件写入过程中在文件不完整时就实行检察,有可能导致文件内容的不一致性, 因此有必要等文件的所有内容都接收到后才进行不利因素的排除操作,因此, 本发明的存储装置中还包括一写文件缓存模块,用于在文件写入完成前保存该文件。在此,该写文件缓存模块可以采用RAM, FLASHROM等任何可读写存 储设备来实现,当然该存储设备应该足够大以保存写指令所涉及到文件内容; 也可以利用存储介质未使用的部分来实现,这部分在后面流程描述时进行详 细说明。而安全控制模块在文件写入完成后,对写文件缓存模块中的文件进行不 利因素控制操作。对于设置有些文件缓存模块的存储装置,在存储装置读写接口获取外界 系统发送的与存储装置进行文件交互的存储装置读写指令,并判断出指令类 型为写指令后,执行以下操作步骤S35,将写指令对应的文件暂存;步骤S36,安全控制模块对暂存完的文件进行不利因素排除后写入存储 介质。对于涉及到文件的存储装置写指令,首先需要将写指令对应的文件暂存, 本发明的实施例中可以利用以下方式来实现将文件暂存到缓存中,该缓存可以采用RAM, FLASHROM等任何可读 写存储设备来实现,当然该存储设备应该足够大以保存写指令所涉及到文件 内容;或将文件暂存到存储介质未使用的部分中,就硬盘而言,即暂存到未使用 的扇区,对于FAT和NTFS文件系统,此扇区和原文件在同一文件系统中,属 于未分配簇。步骤S35中需要判断文件是否暂存完成,如对于FAT文件系统,通过检查 目录区,判断文件项的文件打开标志是否被清除,对于NTFS文件系统,可以 通过检查文件属性中的$STANDARD—INFORMATION中DOS file permissions的文件标志判断文件当前状态,如果文件项的文件打开标志被清 除,则表明文件关闭,完成了暂存操作。本发明的方法中,安全控制模块对暂存完的文件进行不利因素排除后写 入存储介质,由于涉及到两种暂存方式,在此分别以两种暂存方式进行分别 说明。对于将文件暂存到缓存的方式,安全控制模块对暂存完的文件进行不利 因素排除后,直接将文件内容从缓存中复制到存储介质即可;对于将文件暂存到存储介质未使用的部分的方式,可以利用新文件内容 覆盖原文件,也可以直接修改文件系统的信息,将文件内容指向新写入的数 据即可实现。如就硬盘的FAT分区而言,将目录区该文件的起始簇地址指向文件第一 个扇区所在簇,及修改FAT区的该文件的链表后即可。而对于NTFS文件系统, 可以检查Bitmap中未使用的簇,将文件内容(含文件属性等信息)写入未使 用的簇中。同时,该安全控制模块在检测文件存在不利因素时通过内部或外部报警提示用户发现不利因素。同时,该安全控制模块还可设置一升级模块,用于通过网络或存储装置 读写接口实现不利因素判断数据库的升级,如病毒库等。由于该安全控制模块独立于外界系统,因此在外界系统与存储装置交互 前即可实现不利因素的控制。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普 通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润 饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1. 一种存储装置,包括存储装置读写接口和存储介质,其特征在于,还包括安全控制模块,分别与所述存储装置读写接口和存储介质连接,用于在外界通过存储装置读写接口与存储介质进行文件读或写操作时,分析读或写操作对应的文件的文件系统,根据文件系统分析结果对该文件进行不利因素控制操作,并根据不利因素控制操作的结果进行相应处理。
2. 根据权利要求1所述的存储装置,其特征在于,所述对该文件进行不 利因素控制操作,并根据不利因素控制操作的结果进行相应处理具体为-对于读操作,如果不存在不利因素,则将文件返回给存储装置读写接口, 如果存在不利因素,则消除不利因素后将文件返回给存储装置读写接口;对于写操作,如果存在不利因素,则可以消除不利因素后将文件发送给 存储介质,或者拒绝存储,如果不存在不利因素,则将文件直接发送给存储 介质。
3. 根据权利要求1或2所述的存储装置,其特征在于,还包括 写文件缓存模块,用于在文件写入完成前保存该文件; 所述安全控制模块在文件写入完成后,对写文件缓存模块中的文件进行不利因素控制操作。
4. 根据权利要求3所述的存储装置,其特征在于,所述写文件缓存模块 为任意可读写存储设备。
5. 根据权利要求3所述的存储装置,其特征在于,所述写文件缓存模块为存储介质未使用的部分。
6. 权利要求1所述的存储装置实现自动保护的方法,其特征在于,包括: 步骤S31,存储装置读写接口获取外界系统发送的与存储装置进行文件交互的存储装置读写指令后判断指令类型是否为读指令,如果是进入步骤 S32,否则进入步骤S34或步骤S34';步骤S32,安全控制模块通过文件系统解析存储装置读指令后获取对应 的文件后,对该文件进行不利因素排除,并对该排除不利因素后的文件进行文件解析后根据解析结果将文件回写到存储介质;步骤S33,安全控制模块将更新后的文件根据读指令返回外界系统; 步骤S34,安全控制模块将存储装置写指令涉及的文件进行不利因素排除后写入存储介质;步骤S34',安全控制模块对存储装置写指令所涉及的文件进行不利因素检查,如果存在不利因素则拒绝文件写入存储介质,否则写入存储介质。
7. 根据权利要求6所述的存储装置实现自动保护的方法,其特征在于, 所述步骤S34中还包括在文件写入完成前保存该文件的操作,安全控制模块 在文件写入完成后才对写文件缓存模块中的文件进行不利因素排除操作。
8. 根据权利要求6所述的存储装置实现自动保护的方法,其特征在于, 所述步骤S34,中还包括在文件写入完成前保存该文件的操作,安全控制模块 在文件写入完成后才对写文件缓存模块中的文件进行不利因素检查操作。
9. 根据权利要求7或8所述的存储装置实现自动保护的方法,其特征在于,在文件写入完成前保存该文件的操作具体为在文件写入完成前保存该文 件到缓存或在文件写入完成前保存该文件到存储介质未使用的部分。
全文摘要
本发明公开了一种存储装置及其实现自动保护的方法,其中该装置包括存储装置读写接口和存储介质,以及安全控制模块,分别与所述存储装置读写接口和存储介质连接,用于在外界通过存储装置读写接口与存储介质进行文件读或写操作时,分析读或写操作对应的文件的文件系统,根据文件系统分析结果对该文件进行不利因素控制操作,并根据不利因素控制操作的结果进行相应处理。本发明的存储装置及其实现自动保护的方法具有以下优点可保证所有存储介质与外界交互的文件都被检察;保证文件中的不利因素被彻底清除;可保证文件的完整性。
文档编号G06F21/00GK101236531SQ20071006315
公开日2008年8月6日 申请日期2007年1月29日 优先权日2007年1月29日
发明者杨文兵 申请人:联想(北京)有限公司