专利名称:一种保护虚拟磁盘文件的系统及方法
技术领域:
本发明涉及网络安全领域,特别是涉及一种保护虚拟磁盘文件的系统及方法。
背景技术:
目前,虚拟盘技术得到了广泛的应用,例如出现了不少的虚拟光驱、虚拟磁盘等 实现工具,主要应用于快速地安装各类(如IS0、BIN等)光盘影像文件;另外,目前上也出 现了一些类似文件保险柜的实现工具或商业软件,就是以文件作为存储媒体,使用虚拟盘 技术将文件映射为一个虚拟盘,以实现用户的透明性文件操作。 参见图1所示,现有技术方案由应用层的图形用户接口 GUI((Gr即hicalUser Interface)管理程序和内核层的虚拟磁盘驱动两部分组成,其中GUI管理程序与用户进行 交互,负责对虚拟盘进行管理,包括虚拟盘实例的创建与删除、虚拟盘使用的认证、虚拟盘 影像、以及登陆帐号及权限的管理等;虚拟磁盘驱动负责把文件1/0(NTFS、FAT32、FAT16等 文件系统)转换为自身的文件系统(自身采用FAT32文件系统)并采用AES256加解密算 法对数据进行加解密处理,保证数据的保密性。 进一步参见图2所示,GUI管理程序由GUI模块、虚拟盘实例管理模块和用户管理 模块组成,其中GUI模块负责以窗体界面的形式与用户进行交互,包括登陆界面、虚拟盘实 例管理界面、用户管理界面等;用户管理模块负责用户及其权限的配置、加载和保存等;虚 拟盘实例管理模块负责对虚拟盘实例的管理,包括虚拟盘实例的增加、删除、加载和卸载等 功能,其中虚拟盘实例的加载和卸载通过IOCTRL把相关子令发给内核层虚拟盘驱动程序, 由该驱动程序完成加载和卸载。 虚拟磁盘驱动程序由驱动加载例程、驱动卸载例程、DEVICE IOCTRL事件处理例程 和文件I/O事件处理例程等组成,其中驱动加载例程负责驱动实例的创建、各种处理例程 的初始化及相关内存变量的分配等;驱动卸载例程负责相关内存的释放、驱动实例的释放 等;DEVICE IOCTRL事件处理例程负责与用户层GUI管理程序进行通信,处理GUI管理程序 的相关子令并返回处理结果;文件1/0事件处理例程作为本驱动的核心部分,负责把1/0管 理器传来的文件1/0事件(包括文件创建、文件打开、文件删除、文件数据读写、文件属性读 写等)进行处理(数据转换和数据加解密等),参见图3所示,其中对于写操作(创建文件、 写文件、设置属性等),首先把送来的原始文件数据转换成自己的文件格式(采用FAT32文 件系统格式),对转换后的数据进行加密,通过调用下层磁盘驱动程序写入数据,对于读操 作(打开文件、读文件、读属性等),自先把原始请求数据转换成自己的文件格式后调用下 层磁盘驱动程序读取数据,把读取后的数据进行解密后返回给上层。 综上,现有技术对影像为虚拟盘的原文件以及影像后的虚拟盘文件缺乏有效的保 护,容易受到病毒或木马程序的破坏、盗窃,造成资料泄密,大大降低本系统的安全性。
发明内容
本发明提供了一种保护虚拟磁盘文件的系统及方法,用以解决现有技术对影像为虚拟盘的原文件以及影像后的虚拟盘文件缺乏有效保护的问题。 本发明的一种保护虚拟磁盘文件的系统,包括进程策略管理模块,用于配置进程 管理策略;文件过滤驱动模块,用于根据配置的进程管理策略对虚拟磁盘的原影像文件及 影像后的虚拟盘文件的各种操作事件进行过滤;虚拟磁盘驱动模块,用于对滤后的操作事 件指向的文件进行文件系统的转换。
本发明的一种保护虚拟磁盘文件的方法,包括下列步骤配置进程管理策略;根 据配置的进程管理策略对虚拟磁盘的原影像文件及影像后的虚拟盘文件的各种操作事件 进行过滤;对滤后的操作事件指向的文件进行文件系统的转换。
本发明有益效果如下 通过使用文件过滤驱对虚拟磁盘的原影像文件及影像后的虚拟盘文件的访问进 程进行控制,禁止了病毒或木马程序对上述文件的破坏或盗窃,实现了访问的可控性和数 据的安全性。
图1为现有技术的系统结构图; 图2为现有技术系统的工作原理图; 图3为现有技术系统中文件I/O事件处理原理图; 图4为本发明实施例1中的系统示意图; 图5为本发明实施例2中的系统结构图; 图6为本发明实施例3中的系统工作原理图; 图7为本发明实施例4中的方法流程图; 图8为本发明实施例5中的文件过滤驱动_文件I/O事件处理原理图。
具体实施例方式
为了对影像为虚拟盘的原文件以及影像后的虚拟盘文件进行有效的保护,发明人 的主要思路是在文件过滤驱动中实现进程防火墙的功能以及把该技术应用于对影像为虚 拟盘的原文件和影像后的虚拟盘文件的保护中。以下通过若干实施例和附图详细说明。
实施例1、参见图4所示,本实施例的系统包括进程策略管理模块、文件过滤驱动 模块和虚拟磁盘驱动模块。
其中,进程策略管理模块,用于配置进程管理策略; 其中,文件过滤驱动模块用于根据配置的进程管理策略对虚拟磁盘的原影像文件 及影像后的虚拟盘文件的各种操作事件进行过滤; 其中,虚拟磁盘驱动模块用于对滤后的操作事件指向的文件进行文件系统的转 换。 实施例2、在具体实现中,上述进程策略管理模块、文件过滤驱动模块和虚拟磁盘 驱动模块分别可用应用层管理程序、文件过滤驱动程序及虚拟磁盘驱动置换。本实施例的 系统在现有系统的基础上增加了应用层的进程策略管理部分和内核层文件过滤驱动。参见 图5所示,具体系统结构主要由应用层管理程序、文件过滤驱动程序及虚拟磁盘驱动三部 分组成。
由应用层的GUI管理程序与用户进行交互,负责对虚拟盘进行管理,包括虚拟盘 实例的创建与删除、虚拟盘使用的认证、虚拟盘影像、以及登陆帐号及权限的管理等。并且 可通过GUI管理程序,由用户对进程管理策略进行配置。 之后在内核层中,I/O管理器接收到外部发来的文件I/O操作,并将该操作的操作 对象文件以及触发该操作的应用程序类型发给文件过滤驱动。 其后,文件过滤驱动负责对虚拟磁盘的原影像文件及影像后的虚拟盘文件的文件 各种操作(包括文件列表、文件数据读写、文件属性读写等)进行过滤,在过滤例程中可根 据配置的进程管理策略对访问进程进行控制,例如可配置成只有本系统的应用层管理程 序能对虚拟磁盘的原影像文件进行访问,只有桌面程序及其它文件关联的应用程序(如 OFFICE程序等)能对影像后的虚拟盘文件进行访问。 经过滤后,虚拟磁盘驱动通过磁盘驱动与磁盘交互,负责将滤后操作指向的文件 1/0(NTFS、FAT32、FAT16等文件系统)转换为自身的文件系统(自身采用FAT32文件系统) 并采用AES256加解密算法对数据进行加解密处理,保证数据的保密性。
实施例3、基于实施例2,本实施例详述本发明系统的工作原理。
参见图6所示,GUI管理程序由GUI模块、虚拟盘实例管理模块、用户管理模块和 新增的进程策略管理模块组成。其中GUI模块负责以窗体界面的形式与用户进行交互,包 括登陆界面、虚拟盘实例管理界面、用户管理界面等;用户管理模块负责用户及其权限的配 置、加载和保存等;虚拟盘实例管理模块负责对虚拟盘实例的管理,包括虚拟盘实例的增 加、删除、加载和卸载等功能,其中虚拟盘实例的加载和卸载通过IOCTRL把相关子令发给 内核层虚拟盘驱动程序,由该驱动程序完成加载和卸载;进程策略管理模块负责把用户制 定的合法策略表下发给内核层文件过滤驱动程序。 内核层文件过滤驱动程序(即文件过滤驱动模块),该驱动程序负责接收和保存
应用层管理程序下发的进程策略,同时负责过滤文件i/o管理器传来的文件操作事件,在
各种文件操作事件处理例程中首先取得当前的进程信息,根据进程策略判定该进程是否合 法,如果为合法进程则把该文件1/0调用下发给下一层虚拟盘驱动程序(即虚拟磁盘驱动 模块),如果为非法进程则立即返回,不下发该文件I/O调用,从而达到过滤非法进程的文 件操作的效果。 虚拟磁盘驱动程序由驱动加载例程、驱动卸载例程、DEVICE IOCTRL事件处理例程 和文件I/O事件处理例程等组成,其中驱动加载例程负责驱动实例的创建、各种处理例程 的初始化及相关内存变量的分配等;驱动卸载例程负责相关内存的释放、驱动实例的释放 等;DEVICE IOCTRL事件处理例程负责与用户层GUI管理程序进行通信,处理GUI管理程序 的相关子令并返回处理结果;文件1/0事件处理例程作为本驱动的核心部分,负责把1/0管 理器传来的文件1/0事件(包括文件创建、文件打开、文件删除、文件数据读写、文件属性读 写等)进行处理(数据转换和数据加解密等)。
实施例4、参见图7所示,本实施例的方法包括下列步骤
Sl、配置进程管理策略。 S2、根据配置的进程管理策略对虚拟磁盘的原影像文件及影像后的虚拟盘文件的 各种操作事件进行过滤。 S3、对滤后的操作事件指向的文件进行文件系统的转换。
5
实施例5、本实施例详述方法流程。 首先,由用户配置进程管理策略,例如可配置成只有本系统的应用层管理程序能 对虚拟磁盘的原影像文件进行访问,只有桌面程序及其它文件关联的应用程序(如OFFICE 程序等)能对影像后的虚拟盘文件进行访问。 配置后,参加图8所示,为过滤文件I/O事件处理原理图。在各种文件操作事件处 理例程中,首先挂接各种文件的操作例程,以取得当前的进程信息。之后根据进程策略判定
该进程是否合法,如果为合法进程则把该文件i/o调用下发,如果为非法进程则立即返回,
达到过滤非法进程的文件操作的效果。 最后,对滤后的合法进程指向的文件进行文件系统的转换。 综上,由于本发明在应用层增加了进程策略管理部分,并在内核层引入了文件过 滤驱动,所以使得本发明在处理针对虚拟磁盘的原影像文件及影像后的虚拟盘文件的各种 操作时,可采取根据进程策略过滤非法操作的机制,从而实现了有效保护影像为虚拟盘的 原文件以及影像后的虚拟盘文件的目的。 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含这些改动和变型在内。
权利要求
一种保护虚拟磁盘文件的系统,其特征在于,包括进程策略管理模块,用于配置进程管理策略;文件过滤驱动模块,用于根据配置的进程管理策略对虚拟磁盘的原影像文件及影像后的虚拟盘文件的各种操作事件进行过滤;虚拟磁盘驱动模块,用于对滤后的操作事件指向的文件进行文件系统的转换。
2. 如权利要求1所述保护虚拟磁盘文件的系统,其特征在于,文件过滤驱动模块的过滤逻辑为在所述各种文件操作事件处理例程中取得当前的进程信息;根据进程管理策略判断该进程是否合法,如果合法,则将该进程的文件I/O调用下发给虚拟磁盘驱动模块,如果非法,则不向虚拟磁盘驱动模块下发该文件i/o调用。
3. 如权利要求1或2所述保护虚拟磁盘文件的系统,其特征在于,进程策略管理模块配置的进程管理策略包括本系统的应用层管理程序能对虚拟磁盘的原影像文件进行访问;文件关联的应用程序能对影像后的虚拟盘文件进行访问。
4. 一种保护虚拟磁盘文件的方法,其特征在于,包括下列步骤配置进程管理策略;根据配置的进程管理策略对虚拟磁盘的原影像文件及影像后的虚拟盘文件的各种操作事件进行过滤;对滤后的操作事件指向的文件进行文件系统的转换。
5. 如权利要求4所述保护虚拟磁盘文件的方法,其特征在于,所述对各种操作事件进行过滤,包括下列步骤在所述各种文件操作事件处理例程中取得当前的进程信息;根据进程管理策略,判断该进程是否合法,如果合法,则将该进程的文件I/O调用下发;如果非法,则不下发该文件1/0调用。
6. 如权利要求4或5所述保护虚拟磁盘文件的方法,其特征在于,所述配置的进程管理策略包括本系统的应用层管理程序能对虚拟磁盘的原影像文件进行访问;文件关联的应用程序能对影像后的虚拟盘文件进行访问。
全文摘要
本发明公开了一种保护虚拟磁盘文件的系统及方法,涉及网络安全领域,用以解决现有技术对影像为虚拟盘的原文件以及影像后的虚拟盘文件缺乏有效保护的问题。系统包括进程策略管理模块,用于配置进程管理策略;文件过滤驱动模块,用于根据配置的进程管理策略对虚拟磁盘的原影像文件及影像后的虚拟盘文件的各种操作事件进行过滤;虚拟磁盘驱动模块,用于对滤后的操作事件指向的文件进行文件系统的转换。方法包括配置进程管理策略;根据配置的进程管理策略对虚拟磁盘的原影像文件及影像后的虚拟盘文件的各种操作事件进行过滤;对滤后的操作事件指向的文件进行文件系统的转换。
文档编号G06F12/14GK101763225SQ20101001958
公开日2010年6月30日 申请日期2010年1月22日 优先权日2010年1月22日
发明者柯宗庆, 柯宗贵 申请人:蓝盾信息安全技术股份有限公司