本发明专利技术适用于计算机软件领域,提供了一种Linux操作系统文件安全系统及电子设备,所述系统包括:虚拟文件系统;本地文件系统;以及逻辑层单元,位于所述虚拟文件系统及本地文件系统之间,将所述本地文件系统分为用户空间和系统空间,所述系统空间用于安装操作系统的只读本地文件系统,所述用户空间用于保存对操作系统所作的任何修改的可读写本地文件系统。本发明专利技术实施例通过在虚拟文件系统和本地文件系统之间添加逻辑层单元,将操作系统限制在只读的系统空间,能够很容易地回复操作系统的原始状态。使得系统维护的工作量减少到最小,最大程度保护了系统的安全性。所述逻辑层单元,能够在不影响用户正常使用的前提下实现此安全系统。
【技术实现步骤摘要】
本专利技术属于计算机软件领域,尤其涉及一种Linux操作系统文件安全系统及电子 设备。
技术介绍
文件系统作为Linux操作系统中核心的子系统之一,负责组织和管理存储在各种 介质上的数据,是用户访问这些数据的标准接口,同时也是唯一接口,因此,其重要性不言 而喻。如何保证文件系统的安全可靠,抵御外来的恶意攻击或者用户的误操作,对于实现安 全可靠的运行环境具有重要意义。但是迄今为止,还没有能够在不影响用户正常使用的前 提下,通过维护文件系统安全性从而维护Linux操作系统的安全性的系统。
技术实现思路
本专利技术实施例的目的在于提供一种Linux操作系统文件安全系统,旨在解决通过 维护文件系统安全性从而维护Linux操作系统安全性的问题。本专利技术实施例是这样实现的,一种Linux操作系统文件安全系统,所述系统包括虚拟文件系统;本地文件系统;以及逻辑层单元,位于所述虚拟文件系统及本地文件系统之间,将所述本地文件系统 分为用户空间和系统空间,所述系统空间用于安装操作系统的只读本地文件系统,所述用 户空间用于保存对操作系统所作的任何修改的可读写本地文件系统。本专利技术实施例的另一目的在于提供一种包括所述的Linux操作系统文件安全系 统的电子设备。本专利技术实施例通过在虚拟文件系统和本地文件系统之间添加逻辑层单元,将操作 系统限制在只读的系统空间,并将系统空间与用户空间相互隔离,使得系统在出现错误甚 至崩溃时,能够很容易地回复操作系统的原始状态。使得系统维护的工作量减少到最小,最 大程度保护了系统的安全性。所述逻辑层单元,能够在不影响用户正常使用的前提下实现 此安全系统。附图说明图1是本专利技术实施例提供的文件安全系统的装置示意图;图2是本专利技术实施例提供的逻辑层单元SecureFS的结构示意图。具体实施例方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对 本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并 不用于限定本专利技术。本专利技术实施例通过在虚拟文件系统和本地文件系统之间添加一个逻辑层单元,将 操作系统限制在只读的系统空间且系统空间与用户空间相互隔离,从而维护了操作系统的 安全性。所述逻辑层单元的添加,使得此系统能够在不影响用户正常使用的前提下实现。本专利技术实施例提供了一种Linux操作系统文件安全系统所述系统包括 虚拟文件系统;本地文件系统;以及逻辑层单元,位于所述虚拟文件系统及本地文件系统之间,将所述本地文件系统 分为用户空间和系统空间,所述系统空间用于安装操作系统的只读本地文件系统,所述用 户空间用于保存对操作系统所作的任何修改的可读写本地文件系统。为了说明本专利技术所述的技术方案,下面通过具体实施例来进行说明。实施例一图1示出了本专利技术实施例提供的Linux操作系统文件安全系统的结构,为了便于 说明,仅示出了与本专利技术实施例相关的部份。该文件安全系统可以是内置于机顶盒、数字电 视等各种基于Linux操作系统的电子设备中的软件单元、硬件单元或者软硬件相结合的单 元,或者作为独立的挂件集成到这些设备或这些设备的应用系统中。其中包括虚拟文件系统11、本地文件系统13和位于虚拟文件系统11和本地文件系统13之 间的逻辑层单元SeCureFS12。其中,逻辑层单元SeCureFS12将本地文件系统13分为了系 统空间14和用户空间15。虚拟文件系统11,是本地文件系统与服务之间的一个接口层,它对Linux的每个 文件系统的所有细节进行抽象,使得不同的文件系统在Linux核心以及系统中运行的其他 进程看来,都是相同的。逻辑层单元SeCUreFS12,为虚拟文件系统及本地文件系统之间的一个逻辑层单 元。从虚拟文件系统的角度看,逻辑层单元SecureFS相当于一个本地文件系统,提供与本 地文件系统相同的接口与所述虚拟文件系统连接。从本地文件系统的角度看,逻辑层单元 SecureFS相当于一个虚拟文件系统,提供了与虚拟文件系统相同的功能,将所述本地文件 系统相互组合在一起。本地文件系统13,被逻辑层单元SecureFS分为了用户空间和系统空间。系统空间14,用于安装操作系统的只读本地文件系统。用户空间15,用于保存对操作系统所作的任何修改的可读写本地文件系统。在本专利技术实施例中,由于系统空间是只读的,而用户空间是可读写的。当操作系统 安装在系统空间时,任何时候都可以维护它的原始状态,而对于操作系统所作的任何修改 都保存到用户空间中。通过这种方法,当系统出现错误甚至崩溃时,通过删除用户空间中的 某些文件就能回复到操作系统的原始状态,将系统维护的工作量减少到最小,从而最大程 度的保护了系统的安全性与可靠性。实施例二 图2示出了本专利技术实施例提出的逻辑层单元SecureFS的内部结构。其中包括,目录树合并模块21,优先级模块22,删除模块23,原子性模块24。目录树合并模块21,在系统启动时,通过将系统空间和用户空间的文件系统目录树合并成一个完整的目录树并添加到虚拟文件系统中,从而实现了从用户的角度看,整个 系统就如同存储在文件系统类型为SecureFS的单一分区中一样。因而不会影响用户的正常使用。 优先级模块22,用于设置用户空间和系统空间的优先级。在本专利技术实施例中,由于系统空间是只读的,因此系统空间中的文件不可修改。所 以,如果修改了操作系统的文件,则该文件副本必定只能保存在用户空间中,这样在系统空 间和用户空间的同一目录位置可能存放有相同文件名但内容不相同的文件,引起文件的重 复问题。例如用户修改了系统文件中/etc/profile里面的内容,那么新文件的副本需要 保存在用户空间中,这时就在系统空间和用户空间都存在/etc/profile文件。如果在优先 级模块中设置用户空间优先级高于系统空间的优先级,则只选择用户空间中的文件版本, 就不会造成文件在系统空间和用户空间重复的问题。删除模块23,通过在用户空间中建立屏蔽文件,达到删除系统空间中的文件的目 的。在本专利技术实施例中,由于系统空间是只读的,因此无法删除系统空间中的文件。这 时,当需要删除某一个在系统空间中的文件时,则在用户空间中建立屏蔽文件屏蔽系统空 间中的所述文件,所述屏蔽文件在用户空间中的路径与在系统空间中的路径一致。例如被删除的文件为/etc/profile,该文件存在于系统空间中,那么最终将 在用户空间中创建一个屏蔽文件/etC/_rem0Ve_pr0f iel,以标识系统空间中的/etc/ profiel文件已被删除。当系统进行查找操作时遇到_rem0Ved_pr0flie文件则会忽略系统 空间中相应文件profile的查找。原子性模块24,通过正确选择操作顺序来保持该系统各种操作的原子性。在本专利技术实施例中,操作可能同时涉及到系统空间和用户空间这两个不同的本地 文件系统,所以操作结果如果出现部分成功的情况,就会出现系统处于不一致状态的问题。 这就需要通过正确选择操作顺序来保持该系统各种操作的原子性。例如在删除操作中,系统需要删除文件profile,该文件同时存在于系统空间 和用户空间中,如果删除操作先在用户空间中删除了 profile文件然后再创建屏蔽文件_ removed_profile,那么机器在创建_rem0Ved_p本文档来自技高网...
【技术保护点】
一种Linux操作系统文件安全系统,其特征在于,所述系统包括:虚拟文件系统;本地文件系统;以及逻辑层单元,位于所述虚拟文件系统及本地文件系统之间,将所述本地文件系统分为用户空间和系统空间,所述系统空间用于安装操作系统的只读本地文件系统,所述用户空间用于保存对操作系统所作的任何修改的可读写本地文件系统。
【技术特征摘要】
【专利技术属性】
技术研发人员:高怀恩,陈国源,邵彦生,丁宏,
申请(专利权)人:深圳创维RGB电子有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。