[发明专利]基于国产操作系统的可移动存储设备权限管理方法及系统

权利要求书

1.一种基于国产操作系统的可移动存储设备权限管理系统，其特征在于，所述系统包括实时监控层和拦截处理层，所述实时监控层包括可移动存储设备监控模块、策略解析模块、可移动存储设备加载模块；

所述可移动存储设备监控模块利用国产操作系统提供的udev机制监控可移动存储设备的插入、拔出，并将所述可移动存储设备的信息传递给所述策略解析模块，同时向可移动存储设备加载模块发送通知；

所述策略解析模块，接收所述可移动存储设备监控模块发送的可移动存储设备信息，解析策略数据，转化为与驱动同步的策略数据，转化后的所述策略数据进而转化为控制数据，对所述可移动存储设备上的文件的访问权限进行控制；

所述可移动存储设备加载模块，将所述可移动存储设备挂载的目录以指定的虚拟加密文件系统格式重新挂载；

所述拦截处理层包括控制数据更新模块、文件访问拦截模块、访问控制及加密服务模块；

所述文件访问拦截模块，负责拦截应用层对可移动存储设备中文件的访问行为，调用访问控制及加密服务模块对文件访问行为进行管理；

所述访问控制及加密服务模块根据所述控制数据对可移动存储设备及其存储的文件进行权限处理；

所述控制数据更新模块，用于接收实时监控层发送过来的控制数据，并通知访问控制及加密服务模块；

所述虚拟加密文件系统是基于国产操作系统内核支持的Stackable File System机制，在VFS层和真实文件系统之间插入的一层虚拟加密文件系统；所述策略数据指示加密读写时，所述VFS层与虚拟加密文件系统之间，以明文形式进行传输，在虚拟加密文件系统与真实文件系统之间，以密文形式进行传输，在真实文件系统和物理设备之间，以密文形式进行传输；

当可移动存储设备挂载成功后，结合虚拟加密文件系统驱动和系统mount机制，再次将所述可移动存储设备以指定的虚拟加密文件系统格式进行挂载，实现对可移动存储设备的访问控制。

2.如权利要求1所述的基于国产操作系统的可移动存储设备权限管理系统，其特征在于，所述可移动存储设备的信息包括可移动存储设备的序列号、分区信息。

3.如权利要求1所述的基于国产操作系统的可移动存储设备权限管理系统，其特征在于，所述对可移动存储设备及其存储的文件进行权限处理，所述权限包括禁止访问文件、正常读写文件、只读明文、只读明文+密文、加密读写。

4.如权利要求3所述的基于国产操作系统的可移动存储设备权限管理系统，其特征在于，所述权限相互之间是互斥的，针对同一个可移动存储设备，只能有一种访问控制方式生效。

5.一种基于国产操作系统的应用程序访问可移动存储设备的方法，所述国产操作系统具有如权利要求1-4之任一项所述的可移动存储设备权限管理系统，其特征在于：由应用程序访问可移动存储设备，对可移动存储设备中的文件进行访问，执行以下步骤：

S101：对可移动存储设备上的文件进行读写，文件的I/O访问请求被传递到国产操作系统内核的VFS层进行处理，

S102：所述VFS层将所述文件的I/O访问请求传递给虚拟加密文件系统，所述虚拟加密文件系统调用文件、目录权限控制模块进行文件、目录访问权限控制，允许的I/O访问请求向下层传递；拦截处理层的访问控制及加密服务模块包括文件、目录权限控制模块、数据加密引擎、算法库以及密钥管理模块；

S103：判断是否有加/解密需求，如果有，进入S104；否则，进入S105；

S104：调用数据加密引擎使用指定算法对数据进行加/解密；

所述加密引擎负责调度加解密算法库和密钥管理模块，用于对数据进行加密或者解密操作；

S105：真实文件系统接收由所述虚拟加密文件系统传递过来的所述文件的I/O访问请求，执行对文件的指定操作，并将所述文件的I/O访问请求向物理设备传递；

S106：物理设备根据所述文件的I/O访问请求，向可移动存储设备写入数据或者读取数据，并将结果逐层返回给上层调用模块，直至返回到调用对可移动存储设备上的文件进行读写的应用程序。