本發明專利技術公開了一種控制Windows文件系統訪問權限的方法,包括對不同I/O請求包對于不同權限返回狀態進行劃分、權限配置、I/O請求包攔截分析和I/O請求包處理步驟,對不同I/O請求包對于不同權限返回狀態進行劃分的步驟首先制定I/O請求包對應權限返回狀態表;根據不同的主函數碼確定其在不同訪問權限下的返回狀態;根據得到的一系列I/O請求包的成功及失敗組合構成宏觀上的訪問權限。本發明專利技術不影響磁盤目錄結構,權限的限制針對程序而言,滿足對程序訪問權限進行控制的需求;在內核層過濾攔截IRP,不影響其余任何模塊或者內容;在內核驅動層攔截IRP,通過高效的分析判斷算法來判定當前IRP的訪問權限返回值,以此進一步實現宏觀的權限控制,權限控制效率高且可靠性高。
【技術實現步驟摘要】
本專利技術涉及。
技術介紹
在存儲領域,數據安全一直是一個很重要的技術環節。文件/文件夾訪問權限的限制對于防止數據被惡意修改或刪除、阻止某些進程修改或刪除重要文件/文件夾、保證存儲數據的安全起著很大作用。目前,市面上存在著一些可為文件/文件夾加密的軟件,這些軟件都采用“偽加密”、“偽隱藏”的文件/文件夾加密方法,即在加密時轉移文件/文件夾到另外的目錄,實現對文件/文件夾的“隱藏”;解密時再將文件/文件夾轉移回源目錄。這種“偽加密”的方法更改了磁盤中原有的目錄結構,一旦完成加密,使用源文件/文件夾路徑對文件/文件夾進行操作時,返回的錯誤并不是拒絕訪問,而是找不到文件/文件夾,這并不是真正的限制訪問權限的方法。另外,Windows操作系統也有自帶的針對用戶而言的權限機制,這種機制用于限制操作系統不同賬戶對于文件/文件夾、注冊表等的訪問權限,強調的是系統賬戶的訪問權限。如果某個文件/文件夾對于用戶A來說不能訪問,那么A用戶啟動的所有程序都對這個文件/文件夾沒有訪問權限(除非是這些進程能獲取到具有訪問權限賬戶的賬戶名和密碼,然后以這個賬戶的身份來啟動)。然而,在某些領域,諸如廣播電視行業,在計算機環境部署的時候,設計者只希望本公司的程序能訪問指定磁盤,并且計算機上每個賬戶開啟的本公司的程序都能訪問該指定磁盤卷,拒絕其他非本公司的程序對磁盤卷的訪問。這種情況下,Windows操作系統自帶的權限管理就無法滿足需求了。
技術實現思路
本專利技術的目的在于克服現有技術的不足,提供一種基于Windows內核級驅動,通過控制I/o請求包狀態值和返回方式來實現的高效、實用的控制Windows文件系統訪問權限的方法,克服現有文件/文件夾訪問權限限制方法的不足,在保證磁盤中所有的文件目錄結構不變動的前提下,針對所有用戶而言,對磁盤文件/文件夾進行訪問權限白名單設置,配置具有對某個磁盤文件/文件夾有訪問權限的進程信息,在內核驅動級對磁盤文件/文件夾訪問請求IRP (即1/0請求包)進行過濾攔截,采用高效的分析判斷算法來實現對文件/文件夾單次訪問請求IRP是否繼續下發以及狀態值進行控制,最終由一系列的IRP成功或者失敗的結果構成宏觀的幾種訪問權限。本專利技術的目的是通過以下技術方案來實現的,它包括一個對不同I/o請求包對于不同權限返回狀態進行劃分的步驟、一個權限配置的步驟、一個I/o請求包攔截分析的步驟和一個1/0請求包處理的步驟所述的對不同I/o請求包對于不同權限返回狀態進行劃分的步驟包括以下子步驟SlOl:劃分訪問權限的種類,訪問權限包括但不限于全權限、零權限、只讀權限、寫入權限、修改權限和執行權限; 5102:列出Windows系統所有I/O請求包的主函數碼(Major Function Code)種類,1/0請求包的主函數碼種類包括IRP_MJ_CREATE、IRP_MJ_CREATE_NAME_PIPE, IRP_MJ_CL0SE、IRP_MJ_READ,IRP_MJ_WRITE,IRP_MJ_QUERY_INFORMAITON,IRP_MJ_SET_INF0RMAIT0N,IRP_MJ_QUERY_EA、 IRP_MJ_SET_EA、 IRP_MJ_FLUSH_BUFFERS、 IRP_MJ_QUERY_V0LUME_INFORMAITON, IRP_MJ_SET_V0LUME_INFORMAITON, IRP_MJ_DIRECT0RY_C0NTR0L, IRP_MJ_FILE_SYSTEM_C0NTR0L, IRP_MJ_DEVICE_C0NTR0L, I RP_MJ_INTERNAL_DEVICE_C0NTR0L,IRP_MJ_SCSI, IRP_MJ_SHUTDOWN, IRP_MJ_L0CK_C0NTR0L, IRP_MJ_CLEANUP, IRP_MJ_CREATE_MAILSLOT、IRP_MJ_QUERY_SECURITY、IRP_MJ_SET_SECURITY、IRP_MJ_P0WER, IRP_MJ_SYSTEM_C0NTR0L、I RP_MJ_DEV I CE_CHANGE, IRP_MJ_QUERY_QUOTA, IRP_MJ_SET_QUOTA, IRP_MJ_PNP、I RP_M J_MAX I MUM_FUNCT I ON,總計 30 個; 5103:根據步驟S101、S102,制定1/0請求包對應權限返回狀態表; S104:根據不同的主函數碼確定其在不同訪問權限下的返回狀態,或不作任何處理,默認保持1/0請求包的原有狀態,繼續往驅動棧中的下一級驅動投遞該1/0請求包;以IRP_MJ_CREATE為例,它表示當IRP的主函數碼為IRP_MJ_CREATE時,在只讀權限下返回狀態為成功,在全權限下返回狀態為成功,在零權限下返回狀態為失敗; 其中,只讀權限下,返回狀態必須為成功的1/0請求包包括IRP_MJ_CREATE、IRP_MJ_CL0SE、 IRP_MJ_READ、 IRP_MJ_QUERY_INF0RMAIT0N、 IRP_MJ_QUERY_EA、 IRP_MJ_QUERY_V0LUME_INF0RMAIT0N、 IRP_MJ_DIRECT0RY_C0NTR0L,IRP_MJ_CLEANUP、和 IRP_MJ_QUERY_SECURITY,返回狀態必須為失敗的1/0請求包包括IRP_MJ_WRITE、IRP_MJ_SET_INF0RMAIT0N、 IRP_MJ_SET_EA、 IRP_MJ_FLUSH_BUFFERS、 IRP_MJ_SET_V0LUME_INF0RMAIT0N和IRP_MJ_SET_SE⑶RITY,其余1/0請求包默認以其原有狀態繼續往驅動棧中的下一級驅動投遞; 所述的權限配置的步驟包括以下子步驟 5201:設定磁盤文件及文件夾的訪問權限白名單,白名單中配置進程信息及其對應的訪問權限,白名單中的訪問權限類型包括除零權限以外的所有權限; 5202:未加入白名單中的進程的訪問權限默認為零權限; 5203:未配置白名單的磁盤不受控,對所有進程均開放其訪問權限; 所述的1/0請求包攔截分析的步驟包括以下子步驟 S301 :在內核驅動棧中過濾攔截1/0請求包; S302:獲取當前1/0請求包的目標盤符,判斷該目標盤符是否為配置中受控的卷,如果不是受控的卷則保持此次1/0請求包的原有狀態,繼續投遞1/0請求包到驅動棧中的下級驅動,保持此I/o請求包的正常運轉; S303:如果該目標盤符是受控的卷,則獲取當前1/0請求包所屬的進程信息; S304:查詢權限配置步驟所完成的配置信息,獲得當前進程對于目標磁盤的訪問權限; 所述的1/0請求包處理的步驟包括以下子步驟 S401:根據步驟S304獲得的訪問權限值查詢步驟S103制定的1/0請求包對應權限返回狀態表,獲取當前1/0請求包對應步驟S304獲得的訪問權限值應該返回的結果,返回結果為成功,則跳轉至步驟S402,返回結果為失敗,則跳轉至步驟S403 ; 5402:當返回結果為成功時,繼續投遞I/O請求包到驅動棧中的下一級驅動,保持當前I/O請求包的正常流程,此次訪問繼續; 5403:當返回結果為失敗本文檔來自技高網...
【技術保護點】
一種控制Windows文件系統訪問權限的方法,其特征在于:?它包括一個對不同I/O請求包對于不同權限返回狀態進行劃分的步驟、一個權限配置的步驟、一個I/O請求包攔截分析的步驟和一個I/O請求包處理的步驟:所述的對不同I/O請求包對于不同權限返回狀態進行劃分的步驟包括以下子步驟:S101:劃分訪問權限的種類;S102:列出Windows系統所有I/O請求包的主函數碼種類;S103:根據步驟S101、S102,制定I/O請求包對應權限返回狀態表;S104:根據不同的主函數碼確定其在不同訪問權限下的返回狀態,或不作任何處理,默認保持I/O請求包的原有狀態,繼續往驅動棧中的下一級驅動投遞該I/O請求包;所述的權限配置的步驟包括以下子步驟:S201:設定磁盤文件及文件夾的訪問權限白名單,白名單中配置進程信息及其對應的訪問權限,白名單中的訪問權限類型包括除零權限以外的所有權限;S202:未加入白名單中的進程的訪問權限默認為零權限;S203:未配置白名單的磁盤不受控,對所有進程均開放其訪問權限;所述的I/O請求包攔截分析的步驟包括以下子步驟:S301:在內核驅動棧中過濾攔截I/O請求包;S302:獲取當前I/O請求包的目標盤符,判斷該目標盤符是否為配置中受控的卷,如果不是受控的卷則保持此次I/O請求包的原有狀態,繼續投遞I/O請求包到驅動棧中的下級驅動,保持此I/O請求包的正常運轉;S303:如果該目標盤符是受控的卷,則獲取當前I/O請求包所屬的進程信息;S304:查詢權限配置步驟所完成的配置信息,獲得當前進程對于目標磁盤的訪問權限;所述的I/O請求包處理的步驟包括以下子步驟:S401:根據步驟S304獲得的訪問權限值查詢步驟S103制定的I/O請求包對應權限返回狀態表,獲取當前I/O請求包對應步驟S304獲得的訪問權限值應該返回的結果,返回結果為成功,則跳轉至步驟S402,返回結果為失敗,則跳轉至步驟S403;S402:當返回結果為成功時,繼續投遞I/O請求包到驅動棧中的下一級驅動,保持當前I/O請求包的正常流程,此次訪問繼續;S403:當返回結果為失敗時,修改當前I/O請求包的狀態值為STATUS_ACCESS_DENIED,直接往驅動棧中的上一級驅動返回該I/O請求包,此次訪問被終止,狀態為拒絕;S404:根據得到的一系列I/O請求包的成功及失敗組合構成宏觀上的訪問權限。...
【技術特征摘要】
1.一種控制Windows文件系統訪問權限的方法,其特征在于: 它包括一個對不同I/O請求包對于不同權限返回狀態進行劃分的步驟、一個權限配置的步驟、一個I/O請求包攔截分析的步驟和一個I/O請求包處理的步驟: 所述的對不同I/O請求包對于不同權限返回狀態進行劃分的步驟包括以下子步驟: 5101:劃分訪問權限的種類; 5102:列出Windows系統所有I/O請求包的主函數碼種類; 5103:根據步驟S101、S102,制定I/O請求包對應權限返回狀態表; S104:根據不同的主函數 碼確定其在不同訪問權限下的返回狀態,或不作任何處理,默認保持I/O請求包的原有狀態,繼續往驅動棧中的下一級驅動投遞該I/O請求包; 所述的權限配置的步驟包括以下子步驟: 5201:設定磁盤文件及文件夾的訪問權限白名單,白名單中配置進程信息及其對應的訪問權限,白名單中的訪問權限類型包括除零權限以外的所有權限; 5202:未加入白名單中的進程的訪問權限默認為零權限; 5203:未配置白名單的磁盤不受控,對所有進程均開放其訪問權限; 所述的I/O請求包攔截分析的步驟包括以下子步驟: 5301:在內核驅動棧中過濾攔截I/O請求包; 5302:獲取當前I/O請求包的目標盤符,判斷該目標盤符是否為配置中受控的卷,如果不是受控的卷則保持此次I/o請求包的原有狀態,繼續投遞I/O請求包到驅動棧中的下級驅動,保持此I/o請求包的正常運轉; 5303:如果該目標盤符是受控的卷,則獲取當前I/O請求包所屬的進程信息; 5304:查詢權限配置步驟所完成的配置信息,獲得當前進程對于目標磁盤的訪問權限; 所述的I/O請求包處理的步驟包括以下子步驟: 5401:根據步驟S304獲得的訪問權限值查詢步驟S103制定的I/O請求包對應權限返回狀態表,獲取當前I/O請求包對應步驟S304獲得的訪問權限值應該返回的結果,返回結果為成功,則跳轉至步驟S402,返回結果為失敗,則跳轉至步驟S403 ; 5402:當返回結果為成功時,繼續投遞I/O請求包到驅動棧中的下一級驅動,保持當前I/O請求包的正常流程,此次訪問繼續; 5403:當返回結果為失敗時,修改當前I/O請求包的狀態值為STATUS_ACCESS_DENIED,直接往驅動棧中的上一級驅動返回該I/O請求包,此次訪問被終止,狀態為拒絕; 5404:根據得到的一系列I/O請求包的成功及失敗組合構成宏觀上的訪問權限。2.根據權利要求1所述的一種控制Windows文件系統訪問權限的方法,其特征在于:所述的Windows系統所有I/O請求包的主函數碼種類包括:IRP_M...
【專利技術屬性】
技術研發人員:李科,黃俊松,
申請(專利權)人:成都索貝數碼科技股份有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。