專利名稱:一種存儲裝置及其實現(xiàn)自動保護的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機安全技術(shù)�,特別是一種存儲裝置及其實現(xiàn)自動保護的 方法。
技術(shù)背景傳統(tǒng)的存儲裝置(如硬盤�、數(shù)碼伴侶等)如圖1所示,主要包括兩部分�����, 分別為存儲裝置讀寫接口�����,用于提供與外界的連接接口和數(shù)據(jù)交換的通道�����;如 IDE硬盤使用的ATAPI接口 ��;存儲介質(zhì)�,用于通過存儲裝置讀寫接口實現(xiàn)數(shù)據(jù)的讀寫。 病毒或惡意程序?qū)τ嬎銠C系統(tǒng)的影響很大����,對于上述的傳統(tǒng)存儲裝置�����, 現(xiàn)有的殺毒軟件已經(jīng)無法保證能徹底防止系統(tǒng)避免病毒的入侵�����,特別是在用 戶未及時給系統(tǒng)打補丁�,或升級病毒庫時��,其主要表現(xiàn)為病毒入侵系統(tǒng)后可以接管系統(tǒng)API (Application Programm Intercace����,應用程序接口),繞開殺毒軟件�����,直接通過硬件訪問接口把病毒存入存儲裝置��;通過Rootkit技術(shù)防止殺毒軟件發(fā)現(xiàn)系統(tǒng)存在病毒��;即使被殺毒軟件發(fā)現(xiàn)��,通過系統(tǒng)驅(qū)動方式阻止自己被清除,或在部件模 塊被清除時�����,自動將自己恢復�����。 發(fā)明內(nèi)容本發(fā)明的目的在于提供一種存儲裝置及其實現(xiàn)自動保護的方法�,防止病 毒或惡意程序?qū)懭氲酱鎯橘|(zhì)中去�。為了實現(xiàn)上述目的,本發(fā)明提供了一種存儲裝置�����,包括存儲裝置讀寫接 口和存儲介質(zhì)�����,其中�����,還包括安全控制模塊����,分別與所述存儲裝置讀寫接口和存儲介質(zhì)連接�����,用于在 外界通過存儲裝置讀寫接口與存儲介質(zhì)進行文件讀或?qū)懖僮鲿r����,分析讀或?qū)?操作對應的文件的文件系統(tǒng)����,根據(jù)文件系統(tǒng)分析結(jié)果對該文件進行不利因素控制操作,并根據(jù)不利因素控制操作的結(jié)果進行相應處理�。上述的存儲裝置,其中���,所述對該文件進行不利因素控制操作����,并根據(jù)不利因素控制操作的結(jié)果進行相應處理具體為對于讀操作����,如果不存在不利因素,則將文件返回給存儲裝置讀寫接口�,如果存在不利因素����,則消除不利因素后將文件返回給存儲裝置讀寫接口�;對于寫操作,如果存在不利因素���,則可以消除不利因素后將文件發(fā)送給 存儲介質(zhì),或者拒絕存儲����,如果不存在不利因素,則將文件直接發(fā)送給存儲 介質(zhì)�。上述的存儲裝置,其中��,還包括寫文件緩存模塊��,用于在文件寫入完成前保存該文件����; 所述安全控制模塊在文件寫入完成后,對寫文件緩存模塊中的文件進行不利因素控制操作�。上述的存儲裝置,其中�,所述寫文件緩存模塊為任意可讀寫存儲設備�。 上述的存儲裝置�,其中,所述寫文件緩存模塊為存儲介質(zhì)未使用的部分��。 為了更好的實現(xiàn)上述目的�����,本發(fā)明還提供了 一種上述的存儲裝置實現(xiàn)自動保護的方法���,其中��,包括步驟S31,存儲裝置讀寫接口獲取外界系統(tǒng)發(fā)送的與存儲裝置進行文件交互的存儲裝置讀寫指令后判斷指令類型是否為讀指令�����,如果是進入步驟S32���,否則進入步驟S34或步驟S34';步驟S32,安全控制模塊通過文件系統(tǒng)解析存儲裝置讀指令后獲取對應 的文件后,對該文件進行不利因素排除���,并對該排除不利因素后的文件進行 文件解析后根據(jù)解析結(jié)果將文件回寫到存儲介質(zhì)�����;步驟S33,安全控制模塊將更新后的文件根據(jù)讀指令返回外界系統(tǒng)�����;步驟S34��,安全控制模塊將存儲裝置寫指令涉及的文件進行不利因素排 除后寫入存儲介質(zhì)��;步驟S34',安全控制模塊對存儲裝置寫指令所涉及的文件進行不利因素 檢査��,如果存在不利因素則拒絕文件寫入存儲介質(zhì)����,否則寫入存儲介質(zhì)��。上述的存儲裝置實現(xiàn)自動保護的方法�����,其中���,所述步驟S34中還包括在 文件寫入完成前保存該文件的操作�����,安全控制模塊在文件寫入完成后才對寫文件緩存模塊中的文件進行不利因素排除操作��。上述的存儲裝置實現(xiàn)自動保護的方法����,其中,所述步驟S34��,中還包括在文件寫入完成前保存該文件的操作���,安全控制模塊在文件寫入完成后才對寫文件緩存模塊中的文件進行不利因素檢查操作�����。上述的存儲裝置實現(xiàn)自動保護的方法����,其中�����,在文件寫入完成前保存該文件的操作具體為在文件寫入完成前保存該文件到緩存或在文件寫入完成前保存該文件到存儲介質(zhì)未使用的部分�����。本發(fā)明的存儲裝置及其實現(xiàn)自動保護的方法具有以下優(yōu)點 安全控制模塊位于存儲介質(zhì)的上層且相鄰,可以保證所有的存儲介質(zhì)與外界交互的文件都被檢察��;直接對文件進行控制�,保證文件中的不利因素被徹底清除; 在寫文件時將文件暫存���,等文件完整后才執(zhí)行不利因素的控制�,可以保證文件的完整性�。
圖1為傳統(tǒng)的存儲裝置的結(jié)構(gòu)示意圖;圖2為本發(fā)明實施例中的存儲裝置的結(jié)構(gòu)示意圖�;圖3為本發(fā)明實施例中的存儲裝置實現(xiàn)自動保護的方法的流程示意圖。
具體實施方式
本發(fā)明的存儲裝置及其實現(xiàn)自動保護的方法通過在傳統(tǒng)存儲裝置的存儲 裝置讀寫接口和存儲介質(zhì)之間設置一安全控制模塊����,該安全控制模塊直接對 寫入到存儲介質(zhì)的文件和從存儲介質(zhì)提取的文件進行檢査����,以排除不利因素, 如病毒����、惡意程序等,保證系統(tǒng)的安全。本發(fā)明的存儲裝置如圖2所示�����,包括存儲裝置讀寫接口 �,用于提供與外界的連接接口和數(shù)據(jù)交換的通道; 存儲介質(zhì)���,用于實現(xiàn)數(shù)據(jù)的存儲�����;及安全控制模塊�,在外界通過存儲裝置讀寫接口與存儲介質(zhì)進行文件讀或 寫時���,用于分析該文件的文件系統(tǒng)���,根據(jù)文件系統(tǒng)分析結(jié)果對該文件進行不 利因素控制操作,并根據(jù)不利因素控制操作的結(jié)果進行相應處理�。在此該不利因素控制操作可以是不利因素的排除,也可以是不利因素的檢查��,也可以是二者的結(jié)合以及其他的操作�。在此���,上述的根據(jù)不利因素控制操作的結(jié)果進行相應處理包括以下幾種 情況對于讀操作,如果不存在不利因素����,則將文件返回給存儲裝置讀寫接口,如果存在不利因素��,則消除不利因素后將文件返回給存儲裝置讀寫接口���;對于寫操作�����,如果存在不利因素���,則可以消除不利因素后將文件發(fā)送給 存儲介質(zhì),或者拒絕存儲�,如果不存在不利因素,則將文件直接發(fā)送給存儲 介質(zhì)��。在此�����,該存儲裝置可以是計算機硬盤��、虛擬機系統(tǒng)中的硬盤����、數(shù)碼伴侶 等一系列的存儲裝置。本發(fā)明的存儲裝置實現(xiàn)自動保護的方法如圖3所示����,包括如下步驟 步驟S31 ,存儲裝置讀寫接口獲取外界系統(tǒng)發(fā)送的與存儲裝置進行文件交互的存儲裝置讀寫指令后判斷指令類型是否為讀指令���,如果是進入步驟S32����,否則進入步驟S34;步驟S32�,安全控制模塊通過文件系統(tǒng)解析存儲裝置讀指令后獲取對應的文件后,對該文件進行不利因素排除���,并對該進行不利因素控制操作的文件進行文件解析后根據(jù)解析結(jié)果將文件回寫到存儲介質(zhì)�����;步驟S33����,安全控制模塊將更新后的文件根據(jù)讀指令返回外界系統(tǒng); 步驟S34�,安全控制模塊將存儲裝置寫指令涉及的文件進行不利因素排除后寫入存儲介質(zhì)。該步驟S34是針對不利因素可以排除的情況而言�����,在排除存儲裝置寫指令涉及的文件中的不利因素后將文件寫入到存儲介質(zhì)����,當然,基于安全的考 慮��,為防止不利因素造成的不良后果����,也可以采用拒絕存儲的方式,因此����, 該步驟S34也可以是步驟S34'(圖中未示出),安全控制模塊對存儲裝置寫指令所涉及的文 件進行不利因素檢查�����,如果存在不利因素則拒絕文件寫入存儲介質(zhì)�����,如果沒 有不利因素則寫入存儲介質(zhì)�。下面以硬盤為例對上述的方法進行進一步詳細描述。步驟S31中�����,硬盤讀寫接口 (如IDE硬盤使用的ATAPI接口)會接收到外界系統(tǒng)(如計算機操作系統(tǒng))發(fā)出的硬盤訪問指令��,此時���,判斷該硬盤訪問 指令是否為硬盤讀寫指令��,如果是則進一步判斷是硬盤讀指令還是寫指令��, 對于硬盤讀寫指令之外的其他硬盤訪問指令則不執(zhí)行額外的處理�����,按硬盤的 現(xiàn)有處理流程進行處理即可���,由于本領(lǐng)域普通技術(shù)人員對硬盤如何處理硬盤 讀寫指令之外的其他硬盤訪問指令都有充分詳細的了解����,在本發(fā)明的說明書 中不做詳細描述��。同時����,在步驟S31中還需要判斷該硬盤讀寫指令是否涉及到文件,如果 不涉及文件���,也由硬盤按照現(xiàn)有處理流程進行處理即可���,在步驟S31中僅對涉 及到文件的硬盤讀寫指令進行安全控制處理。步驟S32中��,安全控制模塊通過文件系統(tǒng)解析存儲裝置讀指令后獲取對 應的文件后具體通過以下方式實現(xiàn)安全控制模塊通過文件系統(tǒng)解析確定讀 指令對應的扇區(qū)及對應的文件����。在通過安全控制模塊對文件讀取實現(xiàn)不利因素控制時,由于文件是完整 的����,可以檢查并清除,然而由于本發(fā)明的存儲裝置及其實現(xiàn)自動保護的方法 對于寫入存儲介質(zhì)的文件也需要進行不利因素排除,然而不管是病毒還是惡 意程序等各種類型的不利因素��,都有可能存在文件的各個部分�,同時,在文件寫入過程中在文件不完整時就實行檢察���,有可能導致文件內(nèi)容的不一致性, 因此有必要等文件的所有內(nèi)容都接收到后才進行不利因素的排除操作���,因此���, 本發(fā)明的存儲裝置中還包括一寫文件緩存模塊,用于在文件寫入完成前保存該文件����。在此,該寫文件緩存模塊可以采用RAM��, FLASHROM等任何可讀寫存 儲設備來實現(xiàn)�,當然該存儲設備應該足夠大以保存寫指令所涉及到文件內(nèi)容; 也可以利用存儲介質(zhì)未使用的部分來實現(xiàn),這部分在后面流程描述時進行詳 細說明����。而安全控制模塊在文件寫入完成后,對寫文件緩存模塊中的文件進行不 利因素控制操作。對于設置有些文件緩存模塊的存儲裝置��,在存儲裝置讀寫接口獲取外界 系統(tǒng)發(fā)送的與存儲裝置進行文件交互的存儲裝置讀寫指令�����,并判斷出指令類 型為寫指令后����,執(zhí)行以下操作步驟S35,將寫指令對應的文件暫存���;步驟S36���,安全控制模塊對暫存完的文件進行不利因素排除后寫入存儲 介質(zhì)。對于涉及到文件的存儲裝置寫指令����,首先需要將寫指令對應的文件暫存, 本發(fā)明的實施例中可以利用以下方式來實現(xiàn)將文件暫存到緩存中���,該緩存可以采用RAM, FLASHROM等任何可讀 寫存儲設備來實現(xiàn)���,當然該存儲設備應該足夠大以保存寫指令所涉及到文件 內(nèi)容;或?qū)⑽募捍娴酱鎯橘|(zhì)未使用的部分中,就硬盤而言���,即暫存到未使用 的扇區(qū)����,對于FAT和NTFS文件系統(tǒng)�����,此扇區(qū)和原文件在同一文件系統(tǒng)中��,屬 于未分配簇���。步驟S35中需要判斷文件是否暫存完成,如對于FAT文件系統(tǒng)�����,通過檢查 目錄區(qū)����,判斷文件項的文件打開標志是否被清除,對于NTFS文件系統(tǒng)�,可以 通過檢查文件屬性中的$STANDARD—INFORMATION中DOS file permissions的文件標志判斷文件當前狀態(tài),如果文件項的文件打開標志被清 除,則表明文件關(guān)閉����,完成了暫存操作。本發(fā)明的方法中���,安全控制模塊對暫存完的文件進行不利因素排除后寫 入存儲介質(zhì)�����,由于涉及到兩種暫存方式��,在此分別以兩種暫存方式進行分別 說明�。對于將文件暫存到緩存的方式���,安全控制模塊對暫存完的文件進行不利 因素排除后�,直接將文件內(nèi)容從緩存中復制到存儲介質(zhì)即可�;對于將文件暫存到存儲介質(zhì)未使用的部分的方式,可以利用新文件內(nèi)容 覆蓋原文件����,也可以直接修改文件系統(tǒng)的信息,將文件內(nèi)容指向新寫入的數(shù) 據(jù)即可實現(xiàn)����。如就硬盤的FAT分區(qū)而言�����,將目錄區(qū)該文件的起始簇地址指向文件第一 個扇區(qū)所在簇�,及修改FAT區(qū)的該文件的鏈表后即可�。而對于NTFS文件系統(tǒng), 可以檢查Bitmap中未使用的簇�����,將文件內(nèi)容(含文件屬性等信息)寫入未使 用的簇中�����。同時�,該安全控制模塊在檢測文件存在不利因素時通過內(nèi)部或外部報警提示用戶發(fā)現(xiàn)不利因素�。同時,該安全控制模塊還可設置一升級模塊���,用于通過網(wǎng)絡或存儲裝置 讀寫接口實現(xiàn)不利因素判斷數(shù)據(jù)庫的升級����,如病毒庫等。由于該安全控制模塊獨立于外界系統(tǒng)����,因此在外界系統(tǒng)與存儲裝置交互 前即可實現(xiàn)不利因素的控制。以上所述僅是本發(fā)明的優(yōu)選實施方式���,應當指出����,對于本技術(shù)領(lǐng)域的普 通技術(shù)人員來說����,在不脫離本發(fā)明原理的前提下,還可以作出若干改進和潤 飾��,這些改進和潤飾也應視為本發(fā)明的保護范圍��。
權(quán)利要求
1. 一種存儲裝置���,包括存儲裝置讀寫接口和存儲介質(zhì)�,其特征在于�,還包括安全控制模塊�����,分別與所述存儲裝置讀寫接口和存儲介質(zhì)連接,用于在外界通過存儲裝置讀寫接口與存儲介質(zhì)進行文件讀或?qū)懖僮鲿r��,分析讀或?qū)懖僮鲗奈募奈募到y(tǒng)�,根據(jù)文件系統(tǒng)分析結(jié)果對該文件進行不利因素控制操作,并根據(jù)不利因素控制操作的結(jié)果進行相應處理���。
2. 根據(jù)權(quán)利要求1所述的存儲裝置�,其特征在于��,所述對該文件進行不 利因素控制操作��,并根據(jù)不利因素控制操作的結(jié)果進行相應處理具體為-對于讀操作��,如果不存在不利因素�����,則將文件返回給存儲裝置讀寫接口��, 如果存在不利因素���,則消除不利因素后將文件返回給存儲裝置讀寫接口�����;對于寫操作�����,如果存在不利因素����,則可以消除不利因素后將文件發(fā)送給 存儲介質(zhì)����,或者拒絕存儲,如果不存在不利因素���,則將文件直接發(fā)送給存儲 介質(zhì)���。
3. 根據(jù)權(quán)利要求1或2所述的存儲裝置,其特征在于���,還包括 寫文件緩存模塊���,用于在文件寫入完成前保存該文件�����; 所述安全控制模塊在文件寫入完成后����,對寫文件緩存模塊中的文件進行不利因素控制操作����。
4. 根據(jù)權(quán)利要求3所述的存儲裝置,其特征在于���,所述寫文件緩存模塊 為任意可讀寫存儲設備�����。
5. 根據(jù)權(quán)利要求3所述的存儲裝置�����,其特征在于,所述寫文件緩存模塊為存儲介質(zhì)未使用的部分�。
6. 權(quán)利要求1所述的存儲裝置實現(xiàn)自動保護的方法,其特征在于�,包括: 步驟S31,存儲裝置讀寫接口獲取外界系統(tǒng)發(fā)送的與存儲裝置進行文件交互的存儲裝置讀寫指令后判斷指令類型是否為讀指令�,如果是進入步驟 S32�,否則進入步驟S34或步驟S34';步驟S32,安全控制模塊通過文件系統(tǒng)解析存儲裝置讀指令后獲取對應 的文件后,對該文件進行不利因素排除���,并對該排除不利因素后的文件進行文件解析后根據(jù)解析結(jié)果將文件回寫到存儲介質(zhì)�����;步驟S33���,安全控制模塊將更新后的文件根據(jù)讀指令返回外界系統(tǒng); 步驟S34�����,安全控制模塊將存儲裝置寫指令涉及的文件進行不利因素排除后寫入存儲介質(zhì)�����;步驟S34'��,安全控制模塊對存儲裝置寫指令所涉及的文件進行不利因素檢查����,如果存在不利因素則拒絕文件寫入存儲介質(zhì)��,否則寫入存儲介質(zhì)����。
7. 根據(jù)權(quán)利要求6所述的存儲裝置實現(xiàn)自動保護的方法��,其特征在于��, 所述步驟S34中還包括在文件寫入完成前保存該文件的操作��,安全控制模塊 在文件寫入完成后才對寫文件緩存模塊中的文件進行不利因素排除操作�。
8. 根據(jù)權(quán)利要求6所述的存儲裝置實現(xiàn)自動保護的方法,其特征在于�, 所述步驟S34,中還包括在文件寫入完成前保存該文件的操作�����,安全控制模塊 在文件寫入完成后才對寫文件緩存模塊中的文件進行不利因素檢查操作�。
9. 根據(jù)權(quán)利要求7或8所述的存儲裝置實現(xiàn)自動保護的方法,其特征在于����,在文件寫入完成前保存該文件的操作具體為在文件寫入完成前保存該文 件到緩存或在文件寫入完成前保存該文件到存儲介質(zhì)未使用的部分��。
全文摘要
本發(fā)明公開了一種存儲裝置及其實現(xiàn)自動保護的方法,其中該裝置包括存儲裝置讀寫接口和存儲介質(zhì)�����,以及安全控制模塊�����,分別與所述存儲裝置讀寫接口和存儲介質(zhì)連接�����,用于在外界通過存儲裝置讀寫接口與存儲介質(zhì)進行文件讀或?qū)懖僮鲿r��,分析讀或?qū)懖僮鲗奈募奈募到y(tǒng)�,根據(jù)文件系統(tǒng)分析結(jié)果對該文件進行不利因素控制操作,并根據(jù)不利因素控制操作的結(jié)果進行相應處理��。本發(fā)明的存儲裝置及其實現(xiàn)自動保護的方法具有以下優(yōu)點可保證所有存儲介質(zhì)與外界交互的文件都被檢察��;保證文件中的不利因素被徹底清除����;可保證文件的完整性。
文檔編號G06F21/00GK101236531SQ20071006315
公開日2008年8月6日 申請日期2007年1月29日 優(yōu)先權(quán)日2007年1月29日
發(fā)明者楊文兵 申請人:聯(lián)想(北京)有限公司