【技术实现步骤摘要】
本专利技术涉及用于基于秘密模式来切换要访问的文件夹的方法、程序、以及计算机系统,更具体地说,涉及一种根据安全级别的文件访问控制方案。
技术介绍
在传统的文件访问控制方法中,已经知道了一种加强对计算机中文件等的访问控制的方案。在这种方案中,预先向诸如文件之类的访问对象(客体)以及诸如用户进程之类的访问主体(主体)分别分配“秘密”和“常规”的安全级别。通过比较主体和客体的安全级别,来确定从主题对客体的可访问性。这种方案通常被称作“多级安全(MLS)”。这种MLS的概念作为强制访问控制(MAC)在实践中已经被引入了例如作为具有加强的安全功能的OS(操作系统)而受到注目的各种“安全OS”中。在这种强制访问控制之下,用户进程不能对安全级别比用户进程低的文件执行写入(这称作“NWD原则禁止下写原则”),并且相反,不能读取安全级别比用户进程高的文件(这称作“NRU原则禁止上读原则”)。以这种方式,严格防止了高安全级别的信息被传送到只有低安全级别的用户。还经常使用这样一种原则来代替NWD原则用户进程只可以在与用户进程自身相同的安全级别上执行写入。结果,可以防止对无意的安全级别...
【技术保护点】
一种在计算机中使用的用于基于秘密模式来切换要访问的文件夹的方法,所述计算机执行内核以及作为进程的应用程序,所述内核具有用于控制对盘设备的文件访问的文件系统,所述应用程序通过所述文件系统对盘设备执行文件访问,所述方法包括:在盘设备中如 下设置目录结构的步骤:秘密根目录位于常规根目录之下;至少一个常规文件夹分层次地位于所述常规根目录之下,并且被配置为存储由非秘密信息构成的常规文件;至少一个秘密文件夹分层次地位于所述秘密根目录之下,并且被配置为存储由秘 密信息构成的秘密文件;并且由所述秘密根目录之外的所述至少一个秘密文件...
【技术特征摘要】
JP 2004-10-28 2004-3140701.一种在计算机中使用的用于基于秘密模式来切换要访问的文件夹的方法,所述计算机执行内核以及作为进程的应用程序,所述内核具有用于控制对盘设备的文件访问的文件系统,所述应用程序通过所述文件系统对盘设备执行文件访问,所述方法包括在盘设备中如下设置目录结构的步骤秘密根目录位于常规根目录之下;至少一个常规文件夹分层次地位于所述常规根目录之下,并且被配置为存储由非秘密信息构成的常规文件;至少一个秘密文件夹分层次地位于所述秘密根目录之下,并且被配置为存储由秘密信息构成的秘密文件;并且由所述秘密根目录之外的所述至少一个秘密文件夹构成的目录结构与由所述常规根目录之外的所述至少一个常规文件夹构成的目录结构相同;在所述计算机启动所述应用程序时,指定功能级别的步骤,其中所述功能级别表示所述应用程序应该运行为能够处理所述秘密文件的秘密模式的进程还是不能处理所述秘密文件的常规模式的进程;当从所述应用程序接收到以指定文件路径名、对所述盘设备进行文件访问的文件访问请求时,基于所指定的功能级别,确定所述应用程序是运行为所述秘密模式的进程还是运行为所述常规模式的进程的步骤;如果所述应用程序运行为所述秘密模式的进程,则进行重写及允许步骤将所述指定文件路径名重写为与所述秘密根目录下的所述秘密文件夹相对应的文件路径名,并且允许通过所述内核对由所述文件路径名指定的所述秘密文件夹中的所述秘密文件执行文件访问;以及如果所述应用程序运行为所述常规模式的进程,则不允许对所述秘密文件夹中的所述秘密文件进行文件访问的步骤。2.根据权利要求1所述的方法,其中所述重写及允许步骤包括如果所述应用程序运行为所述秘密模式的进程,则通过向所述指定文件路径名的头部加入所述秘密根目录名,将所述指定文件路径名重写为与所述秘密根目录下的所述秘密文件夹相对应的文件路径名的步骤。3.根据权利要求1所述的方法,其中所述重写及允许步骤包括确定所述文件访问请求是否是写指令的步骤;如果所述文件访问请求是写指令,则允许通过所述内核对所述秘密文件夹中的所述秘密文件执行写入的步骤;如果所述文件访问请求不是写指令,则确定与所述文件路径名相对应的文件是否存在的步骤,其中所述文件路径名是通过向所述指定文件路径名的头部加入所述秘密根目录名写出的;如果所述文件存在,则通过向所述指定文件路径名的头部加入所述秘密根目录,将所述指定文件路径名重写为与所述秘密根目录下的所述秘密文件夹相对应的所述文件路径名,并且允许通过所述内核对由所述文件路径名指定的所述秘密文件夹中的所述秘密文件执行除了写入之外的其他文件访问的步骤;以及如果所述文件不存在,则允许通过所述内核对与所述指定文件路径名相对应的所述常规文件夹中的所述常规文件执行文件访问的步骤。4.根据权利要求1所述的方法,其中所述重写及允许步骤包括如果所述应用程序运行为所述秘密模式的进程,则为每个应用程序维护能够输出到所述常规文件夹的例外文件的列表,并且预先将所述应用程序所特有的配置文件的路径名设置为所述列表中维护的所述例外文件的步骤;以及如果所述秘密文件是所述例外文件,则基于所述列表中的所述配置文件的路径名,允许通过所述内核对与所述常规文件夹中的所述例外文件相对应的所述配置文件执行文件访问的步骤。5.一种在计算机中使用的用于基于秘密模式来切换要访问的文件夹的方法,所述计算机执行内核以及作为进程的应用程序,所述内核具有用于控制对盘设备的文件访问的文件系统,所述应用程序通过所述文件系统对盘设备执行文件访问,所述方法包括在盘设备中如下设置目录结构的步骤秘密根目录位于常规根目录之下;至少一个常规文件夹分层次地位于所述常规根目录之下,并且被配置为存储由非秘密信息构成的常规文件;至少一个秘密文件夹分层次地位于所述秘密根目录之下,并且被配置为存储由秘密信息构成的秘密文件;并且由所述秘密根目录之外的所述至少一个秘密文件夹构成的目录结构与由所述常规根目录之外的所述至少一个常规文件夹构成的目录结构相同;在所述计算机启动所述应用程序时,指定功能级别的步骤,其中所述功能级别表示所述应用程序应该运行为能够处理所述秘密文件的秘密模式的进程还是不能处理所述秘密文件的常规模式的进程;当从所述应用程序接收到以指定文件路径名、对所述盘设备进行文件访问的文件访问请求时,基于所指定的功能级别,确定所述应用程序是运行为所述秘密模式的进程还是运行为所述常规模式的进程的步骤;如果所述应用程序运行为所述秘密模式的进程并且所述指定文件路径名是与所述秘密根目录下的功能文件夹相对应的文件路径名,则进行允许步骤允许通过所述内核对所述秘密文件夹中的秘密文件执行文件访问;以及如果所述应用程序运行为所述常规模式的进程,则不允许对所述秘密文件夹中的所述秘密文件进行文件访问的步骤。6.根据权利要求5所述的方法,其中所述允许步骤包括如果所述应用程序运行为所述秘密模式的进程,则为每个应用程序维护能够输出到所述常规文件夹的例外文件的列表,并且预先将所述应用程序所特有的配置文件的路径名设置为所述列表中维护的所述例外文件的步骤;以及如果所述指定文件路径名所表示的文件对应于所述例外文件,则允许通过所述内核对与所述常规文件夹中的所述例外文件相对应的所述配置文件执行文件访问的步骤。7.一种程序,用于使计算机执行用于基于秘密模式来切换要访问的文件夹的方法,所述计算机执行内核以及作为进程的应用程序,所述内核具有用于控制对盘设备的文件访问的文件系统,所述应用程序通过所述文件系统对盘设备执行文件访问,所述方法包括在盘设备中如下设置目录结构的步骤秘密根目录位于常规根目录之下;至少一个常规文件夹分层次地位于所述常规根目录之下,并且被配置为存储由非秘密信息构成的常规文件;至少一个秘密文件夹分层次地位于所述秘密根目录之下,并且被配置为存储由秘密信息构成的秘密文件;并且由所述秘密根目录之外的所述至少一个秘密文件夹构成的目录结构与由所述常规根目录之外的所述至少一个常规文件夹构成的目录结构相同;在所述计算机启动所述应用程序时,指定功能级别的步骤,其中所述功能级别表示所述应用程序应该运行为能够处理所述秘密文件的秘密模式的进程还是不能处理所述秘密文件的常规模式的进程;当从所述应用程序接收到以指定文件路径名、对所述盘设备进行文件访问的文件访问请求时,基于所指定的功能级别,确定所述应用程序是运行为所述秘密模式的进程还是运行为所述常规模式的进程的步骤;如果所述应用程序运行为所述秘密模式的进程,则进行重写及允许步骤将所述指定文件路径名重写为与所述秘密根目录下的所述秘密文件夹相对应的文件路径名,并且允许通过所述内核对由所述文件路径名指定的所述秘密文件夹中的所述秘密文件执行文件访问;以及如果所述应用程序运行为所述常规模式的进程,则不允许对所述秘密文件夹中的所述秘密文件进行文件访问的步骤。8.根据权利要求7所述的程序,其中所述重写及允许步骤包括如果所述应用程序运行为所述秘密模式的进程,则通过向所述指定文件路径名的头部加入所述秘密根目录名,将所述指定文件路径名重写为与所述秘密根目录下的所述秘密文件夹相对应的文件路径名的步骤。9.根据权利要求7所述的程序,其中所述重写及允许步骤包括确定所述文件访问请求是否是写指令的步骤;如果所述文件访问请求是写指令,则允许通过所述内核对所述秘密文件夹中的所述秘密文件执行写入的步骤;如果所述文件访问请求不是写指令,则确定与所述文件路径名相对应的文件是否存在的步骤,其中所述文件路径名是通过向所述指定文件路径名的头部加入所述秘密根目录名写出的;如果所述文件存在,则通过向所述指定文件路径名的头部加入所述秘密根目录,将所述指定文件路径名重写为与所述秘密根目录下的所述秘密文件夹相对应的所述文件路径名,并且允许通过所述内核对由所述文件路径名指定的所述秘密文件夹中的所述秘密文件执行除了写入之外的其他文件访问的步骤;以及如果所述文件不存在,则允许通过所述...
【专利技术属性】
技术研发人员:细川正广,矢野尾一男,
申请(专利权)人:日本电气株式会社,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。