本发明专利技术提供了一种基于Linux虚拟文件系统的文件保护方法,包括:S1、对设备存储介质进行分区,分出一块可写操作区;S2、在设备驱动层实现存储介质的写保护,通过可写操作区的单独配置,减小存储介质的可写范围;S3、在VFS层配置VFS安全管理模块;S4、基于步骤S1和S2,在用户层设置安全机制使能模块;如果不使能,VFS安全管控模块不做任何处理,整个文件系统等效传统Linux文件系统;如果使能安全机制,对文件系统的文件的任何操作,都会经过VFS层,做VFS安全管控模块处理。本发明专利技术所述的基于Linux虚拟文件系统的文件保护方法。
【技术实现步骤摘要】
一种基于Linux虚拟文件系统的文件保护方法
本专利技术属于Linux虚拟文件系统保护
,尤其是涉及一种基于Linux虚拟文件系统的文件保护方法。
技术介绍
操作系统的文件保护技术是信息安全领域的一项重要基础技术,在信息安全应用上发挥重要的作用。在安防监控AI应用领域,复杂的应用环境和大数据的存储及读写都对文件的安全提出了更高的技术挑战。为了保证操作系统下的文件安全,引入了不同文件保护机制。常用的保护技术有基于存储介质的保护,进而实现对文件的保护,但该方法适用只读的操作系统或者在进行大数据分析前需要进行频繁的解除保护操作;还有基于文件属性的安全机制进行文件的软保护,但该方法缺少对操作系统下文件的有效管控,容易生成中间文件而反复操作存储介质,造成存储介质,如flash的损坏,进而对文件安全产生威胁。在现有的研究基础上,提出一种基于Linux虚拟文件系统的文件保护技术,该技术通过设置可操作文件集和只读文件集,预先对文件系统内的文件作集合处理,只对写文件的小范围改动,降低文件的频繁读写和转储,通过虚拟文件系统(VFS)层对文件进行有效过滤管控,减少中间文件或非法文件对存储介质误操作,降低操作系统下文件损坏率。
技术实现思路
有鉴于此,本专利技术旨在提出一种基于Linux虚拟文件系统的文件保护方法,以解决现有的文件保护方法容易造成存储介质损坏,进而对文件安全产生威胁的问题。为达到上述目的,本专利技术的技术方案是这样实现的:一种基于Linux虚拟文件系统的文件保护方法,包括:S1、对设备存储介质进行分区,分出一块可写操作区;S2、在设备驱动层实现存储介质的写保护,通过可写操作区的单独配置,减小存储介质的可写范围;S3、在VFS层配置VFS安全管理模块;S4、基于步骤S1和S2,在用户层设置安全机制使能模块;如果不使能,VFS安全管控模块不做任何处理,整个文件系统等效传统Linux文件系统;如果使能安全机制,对文件系统的文件的任何操作,都会经过VFS层,做VFS安全管控模块处理。进一步的,所述步骤S3中的VFS安全管理模块中创建安全过滤器,所述安全过滤器用于记录允许操作的文件信息。进一步的,所述步骤S3中,操作文件系统文件时,通过VFS安全管理模块进行过滤操作,文件操作包括创建操作和打开操作,所述创建操作和打开操作都需要经过安全过滤器筛选。进一步的,进行所述创建操作的方法如下:创建时通过安全过滤器判断,如果能通过,则允许文件正常创建,文件属于合法文件,如果未能通过,则文件为非法文件,禁止非法文件的任何操作。进一步的,进行所述打开操作的过程如下:文件打开操作包括文件的读和写,如果读取文件,说明文件是文件系统下已有文件,通过过滤器直接通过,正常操作;如果是写文件或写时不存在创建文件,会通过过滤器过滤处理,通过过滤器则按照正常写操作或写时创建文件,当未通过过滤器处理,则禁止对文件的写操作。相对于现有技术,本专利技术所述的基于Linux虚拟文件系统的文件保护方法具有以下优势:本专利技术所述的基于Linux虚拟文件系统的文件保护方法能够对文件系统内的所有文件进行有效管控,不允许修改的文件不会被非法修改或破坏,安全管理配置下的文件允许修改,保证文件系统的稳定性和文件的可控性,可控的写操作减少对存储介质的频繁操作,降低文件系统的文件存储的失败概率和存储介质的损坏率。附图说明构成本专利技术的一部分的附图用来提供对本专利技术的进一步理解,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1为本专利技术实施例所述的基于Linux虚拟文件系统的文件保护方法层次结构图;图2为本专利技术实施例所述的VFS安全管控模块实现流程图。具体实施方式需要说明的是,在不冲突的情况下,本专利技术中的实施例及实施例中的特征可以相互组合。在本专利技术的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本专利技术和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本专利技术的限制。此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本专利技术的描述中,除非另有说明,“多个”的含义是两个或两个以上。在本专利技术的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以通过具体情况理解上述术语在本专利技术中的具体含义。下面将参考附图并结合实施例来详细说明本专利技术。如图1所示,本专利申请采用的方法在VFS层添加安全管理模块,且在用户层增加安全机制使能模块。用户层通过控制安全机制使能模块,主动启用是否对文件系统的文件操作增加保护机制,安全机制使能模块增加该保护技术的灵活易用性。核心功能是在VFS安全管控模块实现,VFS安全管控模块的实现流程如图2所示:VFS安全管控模块首先启动非法访问日志,非法访问日志是针对操作文件系统下的文件,对未通过安全过滤器文件的记录.非法访问日志会记录下非法文件的具体信息和非法操作的时间。在非法访问日志的辅助下,可以精准配置安全过滤器,也可以查看文件系统内文件在运行中可能受到的文件威胁。安全过滤器是VFS安全管控模块的核心实现。用户通过梳理文件系统文件,将可写或需要创建的文件放在存储介质的可写分区,并通过用户层配置安全过滤器的过滤条件,本技术主要是将需要允许操作的文件信息记录在安全过滤器里。安全过滤器的配置可能不是一次就能完成,借助非法访问日志,可以查看哪些需要过滤的文件被系统拦截下来了。直至系统正常运行,完成安全过滤器的配置。文件操作关键路径是VFS安全管控模块的关键组成。文件的操作的关键路径就是创建或者打开,文件读写等其他操作都必须有打开或者创建的操作。在VFS层的创建和打开这两个关键路径添加安全过滤器。文件创建操作过安全过滤器处理,经过滤器对文件的过滤判断,如果文件在安全过滤器的配置内,属于合法文件,文件则安全通过,允许文件正常创建;如果未能通过安全过滤器的筛查,文件就属于非法文件,则禁止非法文件的创建及后续其他文件操作。文件打开操作过安全过滤器处理,打开文件主要涉及文件的读操作和写操作,如果读文件操作而打开文件,操作的是文件系统内已存在的文件,属于合法文件,又不会引入其他非法操作,这种情况下的打开操作直接通过安全过滤器,文件正常打开,并能完成正常的读文件操作;如果写文件操作而打开文件,存在非法修改文件的危害,主要包括修改已有文件或写文件时文件不存在而非法创建等文件操作,当文件作安全过滤器的过滤处理,文件在安全过滤器配置内,则安全通过过滤器,作正常的文件打开写操作或创建操作,如果未能通过安全过滤器的筛查,文件不存在,则不允许创建,如果文件存在,则属于保护文件,本文档来自技高网...
【技术保护点】
1.一种基于Linux虚拟文件系统的文件保护方法,其特征在于,包括:S1、对设备存储介质进行分区,分出一块可写操作区;S2、在设备驱动层实现存储介质的写保护,通过可写操作区的单独配置,减小存储介质的可写范围;S3、在VFS层配置VFS安全管理模块;S4、基于步骤S1和S2,在用户层设置安全机制使能模块;如果不使能,VFS安全管控模块不做任何处理,整个文件系统等效传统Linux文件系统;如果使能安全机制,对文件系统的文件的任何操作,都会经过VFS层,做VFS安全管控模块处理。
【技术特征摘要】
1.一种基于Linux虚拟文件系统的文件保护方法,其特征在于,包括:S1、对设备存储介质进行分区,分出一块可写操作区;S2、在设备驱动层实现存储介质的写保护,通过可写操作区的单独配置,减小存储介质的可写范围;S3、在VFS层配置VFS安全管理模块;S4、基于步骤S1和S2,在用户层设置安全机制使能模块;如果不使能,VFS安全管控模块不做任何处理,整个文件系统等效传统Linux文件系统;如果使能安全机制,对文件系统的文件的任何操作,都会经过VFS层,做VFS安全管控模块处理。2.根据权利要求1所述的基于Linux虚拟文件系统的文件保护方法,其特征在于:所述步骤S3中的VFS安全管理模块中创建安全过滤器,所述安全过滤器用于记录允许操作的文件信息。3.根据权利要求1所述的基于Linux虚拟文件系统的文件保护方法,其特征在于:所述步...
【专利技术属性】
技术研发人员:朱健立,于宏志,王景彬,叶忠辉,
申请(专利权)人:天津天地伟业信息系统集成有限公司,
类型:发明
国别省市:天津,12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。