存儲檢測裝置����、系統(tǒng)及存儲檢測方法
【專利摘要】本發(fā)明實施例所提供的存儲檢測裝置,設(shè)置于操作系統(tǒng)內(nèi)核態(tài)中�,通過截獲文件信息,對文件內(nèi)容的安全級別進(jìn)行判斷后,將安全級別高的文件內(nèi)容重定向到存儲安全性高的存儲區(qū)域�,對文件內(nèi)容本身進(jìn)行安全級別的判定并進(jìn)行存儲而對用戶透明,實現(xiàn)了對同一應(yīng)用所產(chǎn)生的不同的文檔進(jìn)行安全等級的劃分�����。
【專利說明】存儲檢測裝置���、系統(tǒng)及存儲檢測方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明實施例涉及存儲技術(shù)��,尤其涉及一種存儲檢測裝置和系統(tǒng)及方法����。
【背景技術(shù)】
[0002]在信息安全要求較高的領(lǐng)域�,要求數(shù)據(jù)按照安全級別的不同而存儲在安全性能不同的存儲區(qū)域中,也就是說按照安全等級做分級存儲�����。
[0003]現(xiàn)有技術(shù)中����,對需要存儲的數(shù)據(jù)進(jìn)行安全級別的識別,有的通過應(yīng)用的不同來識另IJ���。例如���,按照來自不同的服務(wù)器的IP地址來識別�����,這種識別方式通常適用于不同應(yīng)用對應(yīng)不同的安全級別,并且���,不同應(yīng)用存儲在不同的服務(wù)器上�,這樣可以采用服務(wù)器的IP地址來將需要存儲的數(shù)據(jù)做安全級別劃分���;對于多種應(yīng)用在同一服務(wù)器上���,不同業(yè)務(wù)采用防火墻或交換機通過TCP或UDP端口實現(xiàn)業(yè)務(wù)流的導(dǎo)向控制,通?��?梢杂型ㄟ^不同應(yīng)用對應(yīng)的端口號來區(qū)別不同安全等級的應(yīng)用�����,例如�,預(yù)先設(shè)置從某個端口接收到的應(yīng)用為高安全級別,而從某個端口接收到的應(yīng)用為低安全級別��。
[0004]發(fā)明人發(fā)現(xiàn)�,現(xiàn)有技術(shù)對數(shù)據(jù)安全級別的辨認(rèn)相對比較粗,對不同業(yè)務(wù)數(shù)據(jù)由同一應(yīng)用產(chǎn)生時無能為力�����,例如對同一種應(yīng)用中多種等級的文檔����,目前沒有一個有效識別出文檔等級的方案。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實施例提供一種存儲檢測裝置�����、系統(tǒng)和方法����,實現(xiàn)對文件的安全級別進(jìn)行識別。
[0006]第一方面�,本發(fā)明實施例提供一種存儲檢測裝置,設(shè)置于操作系統(tǒng)內(nèi)核態(tài)中����,包括:
[0007]截獲單元�����,用于截獲文件信息�����,其中�,所截獲的文件信息包括文件屬性信息和文件內(nèi)容�����;所述文件屬性信息包括:文件安全信息��;
[0008]安全級別獲得單元��,用于按照設(shè)置的安全策略根據(jù)所述文件安全信息獲得所述文件內(nèi)容的安全級別�;
[0009]重定向單元����,用于若所述獲得的安全級別達(dá)到預(yù)設(shè)的重要級別,則將所述文件內(nèi)容重定向至第一存儲區(qū)域存儲�;若所述獲得的安全級別沒有達(dá)到預(yù)設(shè)的重要級別,則將所述文件內(nèi)容重定向至第二存儲區(qū)域存儲�,所述第二存儲區(qū)域的數(shù)據(jù)存儲安全性低于所述第一存儲區(qū)域的數(shù)據(jù)存儲安全性�����。
[0010]結(jié)合第一方面��,本發(fā)明實施例提供第一種可能方式�,所述裝置設(shè)置于操作系統(tǒng)內(nèi)核態(tài)中��,分別于操作系統(tǒng)中的外部接口驅(qū)動���、文件驅(qū)動和卷目錄管理系統(tǒng)通信��。
[0011 ] 結(jié)合第一方面的第一種可能方式��,本發(fā)明實施例提供第二種可能方式���,所述文件屬性信息還包括文件的目錄信息、文件名����;所述裝置還包括:
[0012]存儲單元,用于調(diào)用所述操作系統(tǒng)的文件驅(qū)動���,利用所述文件驅(qū)動從所述獲取的文件信息中提取出文件名和文件目錄信息���,調(diào)用所述操作系統(tǒng)中的卷目錄管理系統(tǒng)�,利用所述卷目錄管理系統(tǒng)將文件名和所述文件目錄信息存儲到所述文件目錄信息中指定的存儲位置�����。
[0013]第二方面����,本發(fā)明實施例提供了一種存儲檢測系統(tǒng),包括:存儲檢測裝置和安全策略輸入裝置���;所述存儲檢測裝置��,用于截獲文件信息���,其中���,所截獲的文件信息包括文件屬性信息和文件內(nèi)容�����;所述文件屬性信息包括:文件安全信息�����;接收所述安全策略�,按照所述的安全策略根據(jù)所述文件安全信息獲得所述文件內(nèi)容的安全級別;若所述獲得的安全級別達(dá)到預(yù)設(shè)的重要級別����,則將所述文件內(nèi)容重定向至第一存儲區(qū)域存儲;若所述獲得的安全級別沒有達(dá)到預(yù)設(shè)的重要級別�,則將所述文件內(nèi)容重定向至第二存儲區(qū)域存儲,所述第二存儲區(qū)域的數(shù)據(jù)存儲安全性低于所述第一存儲區(qū)域的數(shù)據(jù)存儲安全性����;
[0014]所述安全策略輸入裝置,用于通過向用戶提供可視化應(yīng)用窗口�,接收用戶輸入的安全策略,并將所接收的安全策略發(fā)送至所述存儲檢測裝置���。
[0015]結(jié)合第二方面����,在第一種可能的實現(xiàn)方式中����,還包括:鑒權(quán)裝置�����,用于在安全策略輸入裝置接收用戶輸入的安全策略之前��,對用戶的權(quán)限進(jìn)行認(rèn)證����,認(rèn)證通過后�,則啟動安全策略輸入裝置;如果認(rèn)證未通過�,則不啟動安全策略輸入裝置。
[0016]第三方面����,本發(fā)明實施例提供一種存儲檢測方法,應(yīng)用于操作系統(tǒng)內(nèi)核態(tài)中�,包括:
[0017]截獲文件信息,其中��,所截獲的文件信息包括文件屬性信息和文件內(nèi)容�����;所述文件屬性信息包括:文件安全信息���;
[0018]按照設(shè)置的安全策略根據(jù)所述文件安全信息獲得所述文件內(nèi)容的安全級別��;
[0019]若所述獲得的安全級別達(dá)到預(yù)設(shè)的重要級別���,則將所述文件內(nèi)容重定向至第一存儲區(qū)域存儲;若所述獲得的安全級別沒有達(dá)到預(yù)設(shè)的重要級別��,則將所述文件內(nèi)容重定向至第二存儲區(qū)域存儲����,所述第二存儲區(qū)域的數(shù)據(jù)存儲安全性低于所述第一存儲區(qū)域的數(shù)據(jù)存儲安全性。
[0020]結(jié)合第三方面�����,在第一種可能的實現(xiàn)方式中����,所述截獲文件信息包括:調(diào)用所述操作系統(tǒng)中外部接口驅(qū)動,通過所述外部接口驅(qū)動截獲文件信息����。
[0021]結(jié)合第三方面����,在第二種可能的實現(xiàn)方式中��,所述文件屬性信息還包括文件的目錄信息���、文件名���;所述方法還包括:
[0022]調(diào)用所述操作系統(tǒng)的文件驅(qū)動,利用所述文件驅(qū)動從所述獲取的文件信息中提取出文件名和文件目錄信息�,調(diào)用所述操作系統(tǒng)中的卷目錄管理系統(tǒng),利用所述卷目錄管理系統(tǒng)將文件名和所述文件目錄信息存儲到所述文件目錄信息中指定的存儲位置�����。
[0023]結(jié)合第三方面或第三方面的第一種方式����,或第三方面的第二種方式,在第三種可能方式中�����,還包括:
[0024]接收所述安全策略����,所接收的安全策略用以判斷所述文件內(nèi)容的安全級別。
[0025]本發(fā)明實施例所提供的存儲檢測裝置����,設(shè)置于操作系統(tǒng)內(nèi)核態(tài)中,通過截獲文件信息��,對文件內(nèi)容的安全級別進(jìn)行判斷后�,將安全級別高的文件內(nèi)容重定向到存儲安全性高的存儲區(qū)域,對文件內(nèi)容本身進(jìn)行安全級別的判定并進(jìn)行存儲而對用戶透明�,實現(xiàn)了對同一應(yīng)用所產(chǎn)生的不同的文檔進(jìn)行安全等級的劃分。
【專利附圖】
【附圖說明】[0026]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹,顯而易見地���,下面描述中的附圖是本發(fā)明的一些實施例���,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖。
[0027]圖1為本發(fā)明實施例提供的一種存儲檢測裝置的結(jié)構(gòu)示意圖���;
[0028]圖2為本發(fā)明實施例提供的在Windows操作系統(tǒng)下存儲檢測裝置應(yīng)用場景圖�;
[0029]圖3為本發(fā)明實施例提供的一種存儲檢測系統(tǒng)的結(jié)構(gòu)示意圖��;
[0030]圖4為本發(fā)明實施例提供的一種存儲檢測方法流程圖��;
[0031]圖5為本發(fā)明實施例提供的一種存儲檢測裝置結(jié)構(gòu)示意圖����。
【具體實施方式】
[0032]為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚�,下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚���、完整地描述�,顯然�����,所描述的實施例是本發(fā)明一部分實施例����,而不是全部的實施例����?�;诒景l(fā)明中的實施例���,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護(hù)的范圍����。
[0033]本發(fā)明實施例所提供的一種存儲檢測裝置,設(shè)置于操作系統(tǒng)內(nèi)核態(tài)中��,例如���,可以是在操作系統(tǒng)內(nèi)核態(tài)中���,分別與操作系統(tǒng)中的的外部接口驅(qū)動、文件驅(qū)動和卷目錄管理系統(tǒng)通信�,并與本地存儲單元連接;在實際應(yīng)用中�,本發(fā)明實施例提供的存儲檢測裝置實現(xiàn)對不同安全級別的文檔存儲到不同存儲區(qū)域中,不同的存儲區(qū)域的數(shù)據(jù)存儲安全性不同���,通常稱為歸級存儲�����,存儲區(qū)域的存儲安全性的高低表明了數(shù)據(jù)存儲在該存儲區(qū)域的可靠性和容錯性的性能的高低���,性能越高數(shù)據(jù)越安全����;本發(fā)明實施例所提供的存儲檢測裝置具體可以是一個設(shè)置于操作系統(tǒng)內(nèi)核態(tài)中的中間件��。本發(fā)明實施例所提供的存儲檢測裝置����,可以隨操作系統(tǒng)設(shè)置在網(wǎng)關(guān)上,也可以設(shè)置在服務(wù)器上等需要進(jìn)行歸級存儲的設(shè)備中���。
[0034]參見圖1���,本發(fā)明實施例提供的一種存儲檢測裝置,包括:
[0035]截獲單元101����,用于截獲需要存儲的文件信息�,其中�,所截獲的文件信息包括文件屬性信息和文件內(nèi)容;所述的文件屬性信息包括:文件安全信息等�;
[0036]其中,截獲單元101通過所述外部接口驅(qū)動截獲文件信息�;
[0037]其中,文件安全信息為用于進(jìn)行文件安全級別判斷的信息�,什么樣的信息會作為用于文件安全級別判斷的文件信息�����,和用戶預(yù)先設(shè)置的安全策略相對應(yīng)��;例如����,當(dāng)用戶預(yù)先設(shè)置的安全策略是通過文檔中設(shè)置的水印作為判斷文件安全級別的依據(jù),那么���,文件安全信息就包括設(shè)置文件水印的函數(shù)信息����;當(dāng)用戶預(yù)先設(shè)置的安全策略是通過文檔中的敏感字信息來作為判斷文件安全級別的依據(jù)���,那么��,文件安全信息就包括文件中的敏感字信息����。在具體實現(xiàn)中,安全策略靈活機動�,由用戶根據(jù)實際情況來配置,因此���,文件安全信息也不宜被解釋為某一種或二種信息���,本領(lǐng)域技術(shù)人員可以根據(jù)實際情況靈活界定。
[0038]安全級別獲得單元102��,用于按照設(shè)置的安全策略根據(jù)所述文件安全信息獲得所述文件內(nèi)容的安全級別�;
[0039]如前面提到的,安全策略為用戶設(shè)定的判斷文件安全級別的具體策略��,例如���,安全策略為根據(jù)文檔中是否有水印來判斷文檔是否達(dá)到重要級別�����,或者����,安全策略為根據(jù)文件中包含的敏感字信息來判斷文件是否達(dá)到重要級別?����?傊?����,具體安全策略用戶可以根據(jù)實際情況靈活設(shè)定�����,本發(fā)明實施例不做具體限定�,其中����,若用戶設(shè)定的安全策略為根據(jù)文件中包含的敏感字信息來判斷文件的重要級別的情況,敏感詞由用戶預(yù)先設(shè)定��。
[0040]重定向單元103,若所述獲得的安全級別達(dá)到預(yù)設(shè)的重要級別���,則將所述文件內(nèi)容重定向至第一存儲區(qū)域存儲�����;若所述獲得的安全級別沒有達(dá)到預(yù)設(shè)的重要級別���,則將所述文件內(nèi)容重定向至第二存儲區(qū)域存儲,所述第二存儲區(qū)域的數(shù)據(jù)存儲安全性低于所述第一存儲區(qū)域�����;
[0041]在本發(fā)明實施例中����,用戶可以對文檔預(yù)先設(shè)置不同的安全級別,相應(yīng)的按照存儲區(qū)域的數(shù)據(jù)存儲安全性將整個存儲區(qū)域也進(jìn)行劃分�����,數(shù)據(jù)所在的存儲區(qū)域的數(shù)據(jù)存儲安全性越高����,說明數(shù)據(jù)存儲越安全��,不同安全級別的文檔存放到不同的存儲區(qū)域���,例如,經(jīng)過安全加固的作為第一存儲區(qū)域��,相對其他存儲區(qū)域第一存儲區(qū)域的數(shù)據(jù)存儲安全性較高��,而將數(shù)據(jù)存儲安全性低于第一存儲區(qū)域的存儲區(qū)域稱為第二存儲區(qū)域�����。在實際應(yīng)用中��,按照數(shù)據(jù)存儲安全性的不同�,也可以將存儲區(qū)域劃分為多個級別,每個級別對應(yīng)的存儲區(qū)域的數(shù)據(jù)存儲安全性遞減���,本發(fā)明實施例僅僅是以第一存儲區(qū)域和第二存儲區(qū)域舉例說明。
[0042]本發(fā)明實施例所提供的存儲檢測裝置在截獲文件信息后�,通過對文件的安全信息進(jìn)行判斷后,對文件內(nèi)容進(jìn)行重定向存儲����,為了不改變用戶的操作習(xí)慣����,重定向的工作不會讓用戶感知��,因此�����,對文件信息中的文件名目錄信息等需要按照用戶指定的位置進(jìn)行存儲���。其中���,文件屬性信息中還包括:文件的目錄信息,文件名���,因此�����,本發(fā)明實施例所提供的存儲檢測裝置還包括:
[0043]存儲單元104�,用于調(diào)用所述操作系統(tǒng)中文件驅(qū)動��,利用所述文件驅(qū)動從所述獲取的文件信息中提取出文件名和文件的目錄信息��,調(diào)用所述操作系統(tǒng)中的卷目錄管理系統(tǒng),利用卷目錄管理系統(tǒng)將文件名和所述文件目錄信息存儲到所述文件目錄信息中指定的存儲位置�。
[0044]本發(fā)明實施例中所提供的存儲裝置利用文件驅(qū)動技術(shù),利用文件驅(qū)動將文件名和文件目錄通過文件讀寫協(xié)議提取出來�����,然后通過卷目錄管理系統(tǒng)將文件名和文件目錄信息保存在指定的磁盤目錄下�。其中,所保存的磁盤目錄是文件目錄信息中用戶指定的地址��,因此��,對用戶而言����,文件沒有被重定向,仍然保存在用戶指定的磁盤目錄下���。
[0045]可選的����,本發(fā)明實施例所提供的存儲檢測裝置�,對安全策略的預(yù)設(shè)可以是設(shè)置于歸級存儲內(nèi)默認(rèn)的安全策略����,也可以是由用戶根據(jù)實際需要而靈活設(shè)置���,因此,為配合本發(fā)明實施例所提供的存儲檢測裝置的存儲工作����,還可以提供一些應(yīng)用程序用于向用戶提供一個可視化應(yīng)用窗口,通過可視化應(yīng)用窗口接收用戶輸入的預(yù)設(shè)的安全策略����,并將所接收的安全策略發(fā)送給存儲檢測裝置,因此���,本發(fā)明實施例所提供的存儲檢測裝置����,還可以包括:
[0046]安全策略接收單元105���,用于接收用戶輸入的安全策略����,所接收的安全策略提供給安全級別獲得單元102用以判斷所述文件內(nèi)容的安全級別����。
[0047]參見圖2��,以Windows操作系統(tǒng)舉例說明本發(fā)明實施例所提供的存儲檢測裝置的
工作原理�����。
[0048]本發(fā)明實施例所提供的存儲檢測裝置在實現(xiàn)形態(tài)可以是安裝在操作系統(tǒng)的內(nèi)核態(tài)中的一個中間件�����,安裝在操作系統(tǒng)中的外部接口驅(qū)動程序和文件驅(qū)動程序之間�����,在Windows系統(tǒng)中��,就可以安裝在內(nèi)核態(tài)中的Ntdll.dll和FS NTFS驅(qū)動程序之間����,中間件分別與windows操作系統(tǒng)的外部接口驅(qū)動Ntdl1.dll�、文件驅(qū)動FS NTFS以及卷目錄管理系統(tǒng)VolMg通信。假設(shè)由同一應(yīng)用Appl產(chǎn)生的a.txt文件��,b.txt文件,c.txt文件,用戶指定的存儲位置為磁盤的D盤下i目錄�����。
[0049]中間件通過調(diào)用Ntdll.dll驅(qū)動程序截獲文件信息�,安全級別獲得單元按照中間件中設(shè)置的安全策略判斷所截獲的文件信息的安全級別�;
[0050]當(dāng)所述獲得安全級別達(dá)到預(yù)設(shè)的重要級別,則將文件信息中的文件內(nèi)容的存儲位置重定向至經(jīng)過安全加固的第一存儲區(qū)域�,可以是圖中所示的經(jīng)過安全加固的云存儲I ;當(dāng)所述獲得的安全級別沒有達(dá)到預(yù)設(shè)的重要級別,則將所述文件內(nèi)容存儲到圖中所示的一般安全加固的云存儲2中����。
[0051]如果用戶指定的文件存儲的位置是磁盤的D盤下的i目錄,對于中間件截獲的文件名和文件目錄信息等文件的屬性信息�����,可以通過調(diào)用文件系統(tǒng)NTFS接口�����,利用文件系統(tǒng)NTFS接口從文件信息中提取文件名和文件目錄信息���,然后����,調(diào)用卷目錄管理系統(tǒng)(VolumeManagement, VolMg),利用VolMg將文件名和所述文件目錄信息存儲到用戶指定的位置。
[0052]中間件的安全策略接收單元和安全策略配置控制單元通信����,接收由安全策略控制單元發(fā)送的安全策略。安全策略配置控制單元通過給用戶提供一個可視化應(yīng)用窗口�,接收用戶設(shè)置的安全策略。
[0053]另外����,安全策略配置控制單元與存儲認(rèn)證鑒權(quán)窗口通信,當(dāng)用戶通過安全策略配置控制單元配置安全策略之前����,可以通過存儲認(rèn)證鑒權(quán)窗口對用戶的權(quán)限進(jìn)行認(rèn)證,當(dāng)認(rèn)證通過之后才允許用戶通過安全策略配置控制單元所提供的可視化窗口進(jìn)行安全策略的配置�����。
[0054]本發(fā)明實施例所提供的存儲檢測裝置�,設(shè)置于操作系統(tǒng)內(nèi)核態(tài)中,通過截獲文件信息�����,對文件內(nèi)容的安全級別進(jìn)行判斷后,將安全級別高的文件內(nèi)容重定向到數(shù)據(jù)存儲安全性高的存儲區(qū)域�,而文件目錄等信息仍然按照用戶指定的位置進(jìn)行存儲,從而實現(xiàn)了對文件內(nèi)容本身進(jìn)行安全級別的判定并進(jìn)行存儲而對用戶透明���,實現(xiàn)了對同一應(yīng)用所產(chǎn)生的不同的文檔進(jìn)行安全等級的劃分���。
[0055]參見圖3�����,本發(fā)明實施例還提供一種存儲檢測系統(tǒng)��,包括前述實施例所描述的存儲檢測裝置301��,安全策略輸入裝置302 �;
[0056]其中,所述存儲檢測裝置301的功能和前面描述的存儲檢測裝置相同��;
[0057]安全策略輸入裝置302�����,用于通過向用戶提供可視化應(yīng)用窗口�,接收用戶輸入的安全策略,并將所接收的安全策略發(fā)送至存儲檢測裝置301 ;
[0058]參見附圖3�,安全策略輸入裝置302發(fā)送的安全策略會被存儲檢測裝置的安全策略接收單元所接收;
[0059]為了保證輸入安全策略的用戶有安全策略設(shè)置的權(quán)限�,所述存儲檢測系統(tǒng)還可以包括:
[0060]鑒權(quán)裝置303,用于在安全策略輸入裝置302接收用戶輸入的安全策略之前�����,對用戶的權(quán)限進(jìn)行認(rèn)證��,認(rèn)證通過后��,則啟動安全策略輸入裝置302�����。
[0061]如果認(rèn)證未通過����,則不啟動安全策略輸入裝置302。
[0062]本發(fā)明實施例提供的存儲檢測系統(tǒng)�����,在實現(xiàn)對文檔按照安全性進(jìn)行分開存儲的同時�����,為用戶提供安全策略應(yīng)用可視化窗口,使用戶能夠靈活得設(shè)置歸級存儲的安全策略�����,并且在用戶進(jìn)行安全策略設(shè)置之前對用戶進(jìn)行鑒權(quán)��,保證輸入的合法性����。[0063]參見圖4���,對應(yīng)于本發(fā)明實施例所提供的裝置�����,本發(fā)明實施例提供一種存儲檢測方法��,應(yīng)用于操作系統(tǒng)內(nèi)核態(tài)中����,本發(fā)明實施例所提供的方法���,其詳細(xì)的工作原理和前述裝置實施例相同�����,在這里僅對方法流程做描述����,詳細(xì)描述可參考前述裝置實施例中的描述。
[0064]本發(fā)明實施例提供的一種存儲檢測方法����,應(yīng)用于操作系統(tǒng)內(nèi)核態(tài)中,包括:
[0065]步驟401�,截獲文件信息,其中����,所截獲的文件信息包括文件屬性信息和文件內(nèi)容;所述文件屬性信息包括:文件安全信息�����;
[0066]可選的����,通過調(diào)用操作系統(tǒng)中的外部接口驅(qū)動���,通過外部接口驅(qū)動截獲文件信息;
[0067]步驟402����,按照設(shè)置的安全策略根據(jù)所述文件安全信息獲得所述文件內(nèi)容的安全級別;
[0068]步驟403�,若所述獲得的安全級別達(dá)到預(yù)設(shè)的重要級別,則將所述文件內(nèi)容重定向至第一存儲區(qū)域存儲����;若所述獲得的安全級別沒有達(dá)到預(yù)設(shè)的重要級別,則將所述文件內(nèi)容重定向至第二存儲區(qū)域存儲����,所述第二存儲區(qū)域的數(shù)據(jù)存儲安全性低于所述第一存儲區(qū)域的數(shù)據(jù)存儲安全性��。
[0069]可選的���,本發(fā)明實施例所提供的存儲檢測裝置存儲檢測方法在截獲文件信息后�,通過對文件的安全信息進(jìn)行判斷后��,對文件內(nèi)容進(jìn)行重定向存儲����,為了不改變用戶的操作習(xí)慣����,重定向的工作不會讓用戶感知��,因此����,對文件信息中的文件名目錄信息等需要按照用戶指定的位置進(jìn)行存儲。其中�����,文件屬性信息中還包括:文件的目錄信息����,文件名,因此��,本發(fā)明實施例所提供的存儲檢測裝置存儲檢測方法還包括:
[0070]步驟404��,用于調(diào)用所述操作系統(tǒng)中文件驅(qū)動��,利用所述文件驅(qū)動從所述獲取的文件信息中提取出文件名和文件的目錄信息��,調(diào)用所述操作系統(tǒng)中的卷目錄管理系統(tǒng),利用卷目錄管理系統(tǒng)將文件名和所述文件目錄信息存儲到所述文件目錄信息中指定的存儲位置��。
[0071]可選的���,本發(fā)明實施例所提供的存儲檢測裝置存儲檢測方法�����,對安全策略的預(yù)設(shè)可以是設(shè)置于歸級存儲內(nèi)默認(rèn)的安全策略����,也可以是由用戶根據(jù)實際需要而靈活設(shè)置�����,因此���,為配合本發(fā)明實施例所提供的存儲檢測裝置存儲檢測方法的存儲工作,還可以提供一些應(yīng)用程序用于向用戶提供一個可視化應(yīng)用窗口���,通過可視化應(yīng)用窗口接收用戶輸入的預(yù)設(shè)的安全策略�,并將所接收的安全策略發(fā)送給存儲檢測裝置����,因此����,本發(fā)明實施例所提供的存儲檢測裝置存儲檢測方法����,還可以包括:
[0072]步驟405,接收用戶輸入的安全策略����,利用所接收的安全策略判斷所述文件內(nèi)容的安全級別。
[0073]本發(fā)明實施例所提供的存儲檢測方法��,應(yīng)用于操作系統(tǒng)內(nèi)核態(tài)中���,通過截獲文件信息��,對文件內(nèi)容的安全級別進(jìn)行判斷后����,將安全級別高的文件內(nèi)容重定向到存儲安全性高的存儲區(qū)域�����,實現(xiàn)了對文件內(nèi)容本身進(jìn)行安全級別的判定并進(jìn)行存儲而對用戶透明,實現(xiàn)了對同一應(yīng)用所產(chǎn)生的不同的文檔進(jìn)行安全等級的劃分����。
[0074]參見圖5,本發(fā)明實施例還提供一種存儲檢測裝置500�,該裝置設(shè)置于操作系統(tǒng)的內(nèi)核態(tài)中,包括:處理器51����,存儲器53,通信接口 52����,總線54 ;
[0075]處理器51�,通信接口 52,存儲器53通過總線54完成相互的通信�。
[0076]所述通信接口 52,用于與操作系統(tǒng)中的外部接口驅(qū)動�、文件驅(qū)動和卷目錄管理系統(tǒng)通信;
[0077]所述處理器用于執(zhí)行程序531 ��;
[0078]程序531可以包括程序代碼�,所述程序代碼包括計算機操作指令;
[0079]存儲器53����,用于存放程序531 ;
[0080]程序531獲得執(zhí)行指令后執(zhí)行前面方法實施例中所述的方法��,具體實現(xiàn)可參見方法實施例��;程序531的程序單元可以包括:
[0081]截獲單元101����,用于截獲文件信息,其中�,所截獲的文件信息包括文件屬性信息和文件內(nèi)容;所述文件屬性信息包括:文件安全信息���;
[0082]安全級別獲得單元102用于按照設(shè)置的安全策略根據(jù)所述文件安全信息獲得所述文件內(nèi)容的安全級別���;
[0083]重定向單元103,用于若所述獲得的安全級別達(dá)到預(yù)設(shè)的重要級別�,則將所述文件內(nèi)容重定向至第一存儲區(qū)域存儲;若所述獲得的安全級別沒有達(dá)到預(yù)設(shè)的重要級別����,則將所述文件內(nèi)容重定向至第二存儲區(qū)域存儲,所述第二存儲區(qū)域的數(shù)據(jù)存儲安全性低于所述第一存儲區(qū)域的數(shù)據(jù)存儲安全性;
[0084]程序531還可以包括:存儲單元104�����,用于調(diào)用所述操作系統(tǒng)的文件驅(qū)動��,利用所述文件驅(qū)動從所述獲取的文件信息中提取出文件名和文件目錄信息�,調(diào)用所述操作系統(tǒng)中的卷目錄管理系統(tǒng),利用所述卷目錄管理系統(tǒng)將文件名和所述文件目錄信息存儲到所述文件目錄信息中指定的存儲位置��。
[0085]所述程序531還可以包括:安全策略接收單元105���,用于接收所述安全策略���,所接收的安全策略提供給所述安全級別獲得單元用以判斷所述文件內(nèi)容的安全級別。
[0086]程序531中各單元的具體實現(xiàn)參見圖1所示實施例中的相應(yīng)單元���,在此不重復(fù)�����。
[0087]本發(fā)明實施例所提供的存儲檢測裝置500�,設(shè)置于操作系統(tǒng)內(nèi)核態(tài)中�,通過截獲文件信息���,對文件內(nèi)容的安全級別進(jìn)行判斷后,將安全級別高的文件內(nèi)容重定向到數(shù)據(jù)存儲安全性高的存儲區(qū)域�����,而文件目錄等信息仍然按照用戶指定的位置進(jìn)行存儲���,從而實現(xiàn)了對文件內(nèi)容本身進(jìn)行安全級別的判定并進(jìn)行存儲而對用戶透明,實現(xiàn)了對同一應(yīng)用所產(chǎn)生的不同的文檔進(jìn)行安全等級的劃分���。
[0088]在本申請所提供的幾個實施例中��,應(yīng)該理解到�����,所揭露的系統(tǒng)����、裝置和方法���,可以通過其它的方式實現(xiàn)�����。例如�����,以上所描述的裝置實施例僅僅是示意性的�����,例如��,所述單元的劃分��,僅僅為一種邏輯功能劃分���,實際實現(xiàn)時可以有另外的劃分方式���,例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng),或一些特征可以忽略����,或不執(zhí)行。另一點���,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些通信接口�,裝置或單元的間接耦合或通信連接,可以是電性��,機械或其它的形式���。
[0089]所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元����,即可以位于一個地方,或者也可以分布到多個網(wǎng)絡(luò)單元上��?��?梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的����。
[0090]另外��,在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中�����,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中�。
[0091]所述功能如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時,可以存儲在一個計算機可讀取存儲介質(zhì)中����。基于這樣的理解�����,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�,該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中,包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機�,服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟���。而前述的存儲介質(zhì)包括:U盤��、移動硬盤�����、只讀存儲器(ROM���,Read-Only Memory)����、隨機存取存儲器(RAM, Random Access Memory)��、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)�����。
[0092]以上所述�,僅為本發(fā)明的【具體實施方式】,但本發(fā)明的保護(hù)范圍并不局限于此��,任何熟悉本【技術(shù)領(lǐng)域】的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)����,可輕易想到變化或替換����,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此�����,本發(fā)明的保護(hù)范圍應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)���。
【權(quán)利要求】
1.一種存儲檢測裝置�,其特征在于,設(shè)置于操作系統(tǒng)內(nèi)核態(tài)中�����,包括: 截獲單元�,用于截獲文件信息,其中�����,所截獲的文件信息包括文件屬性信息和文件內(nèi)容����,所述文件屬性信息包括文件安全信息; 安全級別獲得單元�����,用于按照設(shè)置的安全策略根據(jù)所述文件安全信息獲得所述文件內(nèi)容的安全級別����; 重定向單元,用于若所述獲得的安全級別達(dá)到預(yù)設(shè)的重要級別,則將所述文件內(nèi)容重定向到第一存儲區(qū)域進(jìn)行存儲��;若所述獲得的安全級別沒有達(dá)到所述預(yù)設(shè)的重要級別�,則將所述文件內(nèi)容重定向到第二存儲區(qū)域進(jìn)行存儲,所述第二存儲區(qū)域的數(shù)據(jù)存儲安全性低于所述第一存儲區(qū)域的數(shù)據(jù)存儲安全性���。
2.根據(jù)權(quán)利要求1所述的裝置��,其特征在于�,所述裝置設(shè)置于操作系統(tǒng)內(nèi)核態(tài)中�,分別與操作系統(tǒng)中的外部接口驅(qū)動、文件驅(qū)動和卷目錄管理系統(tǒng)通信�。
3.根據(jù)權(quán)利要求2所述的裝置,其特征在于��,所述截獲單元具體用于調(diào)用所述外部接口驅(qū)動���,通過所述外部接口驅(qū)動截獲所述文件信息。
4.根據(jù)權(quán)利要求2所述的裝置���,其特征在于����,所述文件屬性信息還包括文件名和文件目錄信息;所述裝置還包括: 存儲單元�����,用于調(diào)用所述操作系統(tǒng)中的文件驅(qū)動���,利用所述文件驅(qū)動從所述文件屬性信息中提取所述文件名和所述文件目錄信息���,用于調(diào)用所述操作系統(tǒng)中的卷目錄管理系統(tǒng),利用所述卷目錄管理系統(tǒng)將所述文件名和所述文件目錄信息存儲到所述文件目錄信息指定的存儲位置���。
5.根據(jù)權(quán)利要求4所述的裝置�,其特征在于���,所述操作系統(tǒng)為Windows操作系統(tǒng)���,所述存儲單元具體用于: 調(diào)用文件系統(tǒng)NTFS接口,利用所述文件系統(tǒng)NTFS接口從所述文件屬性信息中提取文件名和目錄信息�,調(diào)用卷目錄管理系統(tǒng)(Volume Management, VolMg)接口,利用VolMg接口將所提取的文件名和文件目錄信息存儲到所述文件目錄信息中指定的位置��。
6.根據(jù)權(quán)利要求1或3或4所述的裝置��,其特征在于,還包括: 安全策略接收單元���,用于接收所述安全策略���,所接收的安全策略提供給所述安全級別獲得單元用以獲得所述文件內(nèi)容的安全級別。
7.一種存儲檢測系統(tǒng)���,其特征在于�����,包括安全策略輸入裝置���,存儲檢測裝置; 所述存儲檢測裝置���,用于截獲文件信息���,其中���,所截獲的文件信息包括文件屬性信息和文件內(nèi)容�;所述文件屬性信息包括:文件安全信息;接收所述安全策略���,按照所述的安全策略根據(jù)所述文件安全信息獲得所述文件內(nèi)容的安全級別���;若所述獲得的安全級別達(dá)到預(yù)設(shè)的重要級別,則將所述文件內(nèi)容重定向至第一存儲區(qū)域存儲����;若所述獲得的安全級別沒有達(dá)到預(yù)設(shè)的重要級別,則將所述文件內(nèi)容重定向至第二存儲區(qū)域存儲��,所述第二存儲區(qū)域的數(shù)據(jù)存儲安全性低于所述第一存儲區(qū)域的數(shù)據(jù)存儲安全性�����; 所述安全策略輸入裝置�����,用于接收用戶輸入的安全策略�,并將所接收的安全策略發(fā)送至所述存儲檢測裝置。
8.根據(jù)權(quán)利要求7所述的存儲檢測系統(tǒng)��,其特征在于�����,所述存儲檢測系統(tǒng)還包括:鑒權(quán)裝置,用于在安全策略輸入裝置接收用戶輸入的安全策略之前�,對用戶的權(quán)限進(jìn)行認(rèn)證,認(rèn)證通過后�����,則啟動安全策略輸入裝置��;如果認(rèn)證未通過�����,則不啟動安全策略輸入裝置�����。
9.一種存儲檢測方法�,其特征在于,應(yīng)用于操作系統(tǒng)內(nèi)核態(tài)中�,包括: 截獲文件信息,其中��,所截獲的文件信息包括文件屬性信息和文件內(nèi)容����,所述文件屬性信息包括:文件安全信息; 按照設(shè)置的安全策略根據(jù)所述文件安全信息獲得所述文件內(nèi)容的安全級別���; 若所述獲得的安全級別達(dá)到預(yù)設(shè)的重要級別�,則將所述文件內(nèi)容重定向至第一存儲區(qū)域進(jìn)行存儲��;若所述獲得的安全級別沒有達(dá)到預(yù)設(shè)的重要級別��,則將所述文件內(nèi)容重定向至第二存儲區(qū)域進(jìn)行存儲�,所述第二存儲區(qū)域的數(shù)據(jù)存儲安全性低于所述第一存儲區(qū)域的數(shù)據(jù)存儲安全性。
10.根據(jù)權(quán)利要求9所述的方法�,其特征在于,所述截獲文件信息包括:調(diào)用所述操作系統(tǒng)中外部接口驅(qū)動���,通過所述外部接口驅(qū)動截獲文件信息����。
11.根據(jù)權(quán)利要求9所述的方法���,其特征在于�,所述文件屬性信息還包括文件名和文件的目錄信息�����;所述方法還包括: 調(diào)用所述操作系統(tǒng)中的文件驅(qū)動,利用所述文件驅(qū)動從所述獲取的文件信屬性息中提取出所述文件名和所述文件目錄信息��,調(diào)用所述操作系統(tǒng)中的卷目錄管理系統(tǒng)�����,利用所述卷目錄管理系統(tǒng)將所述文件名和所述文件目錄信息存儲到所述文件目錄信息中指定的存儲位置�。
12.根據(jù)權(quán)利要求9所述的方法,其特征在于�����,所述文件屬性信息還包括文件的目錄信息���、文件名�,所述操作系統(tǒng)為Windows操作系統(tǒng),所述方法還包括: 調(diào)用文件系統(tǒng)NTFS接口��,利用所述文件系統(tǒng)NTFS接口從所述文件屬性信息中提取文件名和目錄信息����,調(diào)用卷目錄管理系統(tǒng)(Volume Management, VolMg)接口,利用VolMg接口將所提取的文件名和文件目錄信息存儲到所述文件目錄信息中指定的位置。
13.根據(jù)權(quán)利要求9-12任一所述的方法�����,其特征在于�����,還包括: 接收所述安全策略����,所接收的安全策略用以判斷所述文件內(nèi)容的安全級別��。
14.一種存儲檢測裝置�,其特征在于,包括處理器����,存儲器,通信接口���,總線����; 所述處理器、通信接口�����、存儲器通過所述總線相互的通信�;所述通信接口,用于與操作系統(tǒng)中的外部接口驅(qū)動��、文件驅(qū)動和卷目錄管理系統(tǒng)通信�; 所述存儲器用于存儲程序; 所述處理器用于執(zhí)行所述存儲器中的所述程序��,執(zhí)行如權(quán)利要求9-13任一所述的方法���。
【文檔編號】G06F17/30GK103620606SQ201380001004
【公開日】2014年3月5日 申請日期:2013年6月20日 優(yōu)先權(quán)日:2013年6月20日
【發(fā)明者】吳鴻鐘, 金添福 申請人:華為技術(shù)有限公司