一種使用過濾驅(qū)動實現(xiàn)單硬盤雙操作系統(tǒng)分區(qū)隔離的方法
【技術(shù)領域】
[0001]本發(fā)明涉及一種使用文件系統(tǒng)過濾驅(qū)動實現(xiàn)單硬盤雙操作系統(tǒng)分區(qū)隔離的方法�����。為了兩個分區(qū)間的數(shù)據(jù)的獨立性��,使用過濾驅(qū)動在文件系統(tǒng)層對兩個操作系統(tǒng)的分區(qū)進行隔離�。
【背景技術(shù)】
[0002]目前用戶終端設備應用廣泛���,如用戶上網(wǎng)瀏覽���,日常辦公,一般都安裝windows操作系統(tǒng)�,這些操作系統(tǒng)支持用戶自行安裝和卸載任何軟件,給系統(tǒng)的安全帶來了很大的隱患����,容易遭受隱藏在自行安裝軟件中的病毒或木馬等攻擊,辦公系統(tǒng)屬于單位的業(yè)務系統(tǒng)�,涉及的數(shù)據(jù)是單位敏感數(shù)據(jù),數(shù)據(jù)的泄露會帶來安全威脅����。怎樣讓用戶在自己使用的終端設備上可以隨意地安裝軟件�����,又可以確保用戶在使用辦公系統(tǒng)時的安全是一個亟待解決的冋題����。
[0003]公開號為CN 2869997Y的中國專利公開了一種采用硬盤隔離卡對單硬盤的分區(qū)進行隔離的方法�。硬盤分區(qū)隔離卡對硬盤指令進行譯碼,判斷出計算機要對硬盤進行何種操作�,放過當前允許的指令,阻止當前不允許的指令���。該方法雖然能夠?qū)崿F(xiàn)雙操作系統(tǒng)之間的隔離問題,但是采用硬件的方式實施極其不方便�����,需要對終端進行改造���,而且成本很高���,不容易普及。
[0004]本方法只需要在目前的終端設備硬盤上安裝兩個windows操作系統(tǒng),其中一個操作系統(tǒng)定義為工作區(qū)����,該系統(tǒng)中的網(wǎng)絡資源和軟件資源受到后端白名單機制的控制,用戶的文件都執(zhí)行加密后放在硬盤上���,另一個操作系統(tǒng)定義為用戶區(qū)����,用戶可以自由的上網(wǎng)和使用軟件����。在兩個系統(tǒng)中分別安裝一個過濾驅(qū)動,使得工作區(qū)不能訪問自由區(qū)的數(shù)據(jù)��,以防病毒文件趁虛而入�,自由區(qū)也同樣不能訪問工作區(qū)的數(shù)據(jù),以防工作數(shù)據(jù)被惡意竊取��。
[0005]本方法與現(xiàn)有的采用硬件隔離的方式相比����,大大節(jié)約了隔離的成本,并降低了技術(shù)的復雜度��,適合在企事業(yè)單位中進行大規(guī)模部署,便于使用和維護��,在移動辦公領域有著良好的應用��。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的是提供一種通過過濾驅(qū)動實現(xiàn)終端設備單硬盤雙操作系統(tǒng)的分區(qū)隔離的方法����。其特征在于,這是一種在用戶終端設備中能確保用戶在使用辦公系統(tǒng)時防止病毒入侵的安全防護方法�����,依次含有以下步驟:
[0007]步驟(I)對所述用戶終端設備內(nèi)的一個硬盤按以下步驟初始化:
[0008]步驟(1.1)把一個所述的硬盤分為四個順次連接的分區(qū)�,表示為:第一分區(qū)(C),第二分區(qū)(D)��,作為工作區(qū)數(shù)據(jù)分區(qū)的第三分區(qū)(E)和作為自由區(qū)數(shù)據(jù)分區(qū)的第四分區(qū)(F)���,其中,
[0009]所述的第一分區(qū)(C)和第三分區(qū)(E)定義為工作區(qū)�,是指存有企業(yè)和個人敏感數(shù)據(jù)的分區(qū),
[0010]所述的第二分區(qū)⑶和第四分區(qū)(F)��,是指供用戶自由使用的自由區(qū)���,
[0011]步驟(1.2)在作為工作區(qū)的所述第一分區(qū)(C)內(nèi)安裝一個工作區(qū)操作系統(tǒng)�����,在作為用戶區(qū)的所述第二分區(qū)(D)內(nèi)安裝一個自由區(qū)操作系統(tǒng)����,
[0012]步驟(1.3)在所述的第一分區(qū)(C)內(nèi)加載一個工作區(qū)文件系統(tǒng)微過濾驅(qū)動Minifilter模塊,通過此模塊將需要過濾的自由區(qū)I/O的操作���,包括基于中斷過濾IRP的I/O請求�、I/O操作的Fast I/O協(xié)議以及文件系統(tǒng)過濾回調(diào)操作注冊到所述的工作區(qū)文件系統(tǒng)過濾管理器FltMgr中����,
[0013]步驟(1.4)在作為自由區(qū)的第二分區(qū)(D)內(nèi)加載一個自由區(qū)文件系統(tǒng)微過濾驅(qū)動Minifilter模塊,通過此模塊將需要過濾的工作區(qū)I/O的操作���,包括基于中斷過濾IRP的I/O請求����、I/O操作的Fast I/O協(xié)議以及文件系統(tǒng)過濾回調(diào)操作注冊到所述的自由區(qū)文件系統(tǒng)過濾管理器FltMgr中�;
[0014]步驟(2)按以下步驟執(zhí)行所述工作區(qū)的隔離操作:
[0015]步驟(2.1)開機讀取I/O請求,
[0016]步驟(2.2)啟動I/O請求過濾�,
[0017]步驟(2.3)判斷所述I/O請求中的請求分區(qū)是否為所述的第二分區(qū)⑶或第四分區(qū)(F):
[0018]若是�����,則阻斷I/O請求和I/O操作�����,執(zhí)行步驟(2.4)�,
[0019]若不是�,則放行所述I/O請求和I/O操作,執(zhí)行步驟(2.4)��,
[0020]步驟(2.4)返回步驟(2.2)���;
[0021]步驟(3)按以下步驟執(zhí)行所述自由區(qū)的隔離操作:
[0022]步驟(3.1)開機讀取I/O請求���,
[0023]步驟(3.2)啟動I/O請求過濾,
[0024]步驟(3.3)判斷所述I/O請求中的請求分區(qū)是否為所述的第一分區(qū)(C)或第三分區(qū)(E):
[0025]若是��,則阻斷I/O請求和I/O操作����,執(zhí)行步驟(3.4)��,
[0026]若不是,則放行所述I/O請求和I/O操作���,執(zhí)行步驟(3.4)���,
[0027]步驟(3.4)返回步驟(3.2)。
[0028]本發(fā)明有以下幾個優(yōu)點:不需要額外的硬件設備���,使得成本大大降低��;實施過程中不需要硬件廠商的技術(shù)支持�,簡單易用����;容易維護。
【附圖說明】
[0029]圖1硬盤分區(qū)結(jié)構(gòu)圖����。
[0030]圖2工作區(qū)隔離流程圖。
[0031]圖3自由區(qū)隔離流程圖�����。
[0032]圖4本發(fā)明的流程框圖���。
【具體實施方式】
[0033]Windows的fltMgr.sys提供了一個I/O過濾框架���,它允許一種被稱為文件系統(tǒng)微過濾驅(qū)動(MiniFilter)的驅(qū)動被加載到系統(tǒng)中���,并向FltMgr注冊它要過濾的I/O操作。FltMgr是文件系統(tǒng)過濾管理器�,它提供了一個管理框架,以方便開發(fā)人員編寫文件驅(qū)動過濾程序����。可過濾的I/O操作包括:基于IRP的I/O請求��,F(xiàn)ast I/O協(xié)議����,以及文件系統(tǒng)過濾回調(diào)操作。
[0034]在本發(fā)明中�����,Minifilter驅(qū)動加載時會讀取要隔離的分區(qū)����,并在InstanceSetupCalIback例程中將Minifilter驅(qū)動掛載到需要隔離的分區(qū)上,并為通過該分區(qū)的I/O請求注冊一個pre-oper callback例程�,在該例程中,將所有的操作進行阻斷并返回�����。當進行I/O過濾時�����,InstanceSetupCallback例程中會判斷分區(qū)是否是需要隔離的分區(qū)�����,然后將MiniFilter驅(qū)動掛載到該分區(qū)上����,后續(xù)的I/O請求均會進入Minifilter為其注冊的pre-oper callback例程,而進入該例程的I/O請求都會被阻斷從而實現(xiàn)了單硬盤中兩個操作系統(tǒng)之間不能互相訪問數(shù)據(jù)的目地��。
[0035]為使本發(fā)明的上述目的���、特征和優(yōu)點能更加明顯易懂����,下面將結(jié)合本發(fā)明的附圖,對本發(fā)明實施例中的技術(shù)方案進行完整�、詳細的描述。以下描述的實施例只是本發(fā)明的部分實施例���,并不是全部的實施例�����?���;诒景l(fā)明的實施例�����,本領域中的普通技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下獲得的所有其他實施例�,均在本發(fā)明的保護范圍中。
[0036]步驟I將一臺終端的一個硬盤分為C��、D�����、E、F四個連續(xù)的分區(qū)���,如圖1所示�。將C��、E定義為工作區(qū)����,工作區(qū)是指用戶的辦公區(qū)��,該區(qū)內(nèi)有企業(yè)和個人的敏感數(shù)據(jù)���,在C分區(qū)安裝工作區(qū)操作系統(tǒng)�;
[0037]將D�、F定義為用戶區(qū),用戶區(qū)是指用戶的自由使用區(qū)�,該區(qū)內(nèi)用戶可以不受限制的訪問網(wǎng)絡資源和使用軟件,在D分區(qū)安裝自由區(qū)操作系統(tǒng)����。
[0038]步驟2進入工作區(qū)操作系統(tǒng),將D����、F兩個自由區(qū)的分區(qū)寫入到注冊表�。
[0039]步驟3在工作區(qū)安裝文件系統(tǒng)過濾驅(qū)動����,過濾驅(qū)動會讀取需要隔離的自由區(qū)分區(qū)D、F���,當有I/O請求是讀寫D�、F分區(qū)時���,將其阻斷���,具體流程如圖2所示。
[0040]步驟4進入自由區(qū)操作系統(tǒng)��,將C�、E兩個工作區(qū)的分區(qū)寫入到注冊表。
[0041]步驟5在自由區(qū)安裝文件系統(tǒng)過濾驅(qū)動��,過濾驅(qū)動會讀取需要隔離的工作區(qū)分區(qū)C�����、E,當有I/O請求是讀寫C���、E分區(qū)時��,將其阻斷����,具體流程如圖3所示�����。
【主權(quán)項】
1.一種使用過濾驅(qū)動實現(xiàn)單硬盤雙操作系統(tǒng)分區(qū)隔離的方法���,其特征在于,這是一種在用戶終端設備中能確保用戶在使用辦公系統(tǒng)時防止病毒入侵的安全防護方法�����,依次含有以下步驟: 步驟(I)對所述用戶終端設備內(nèi)的一個硬盤按以下步驟初始化: 步驟(1.1)把一個所述的硬盤分為四個順次連接的分區(qū)�����,表示為:第一分區(qū)(C)�����,第二分區(qū)(D),作為工作區(qū)數(shù)據(jù)分區(qū)的第三分區(qū)(E)和作為自由區(qū)數(shù)據(jù)分區(qū)的第四分區(qū)(F)��,其中����, 所述的第一分區(qū)(C)和第三分區(qū)(E)定義為工作區(qū),是指存有企 業(yè)和個人敏感數(shù)據(jù)的分區(qū)�����,所述的第二分區(qū)(D)和第四分區(qū)(F)�, 是指供用戶自由使用的自由區(qū), 步驟(1.2)在作為工作區(qū)的所述第一分區(qū)(C)內(nèi)安裝一個工作區(qū)操作系統(tǒng)��,在作為用戶區(qū)的所述第二分區(qū)(D)內(nèi)安裝一個自由區(qū)操作系統(tǒng)��, 步驟(1.3)在所述的第一分區(qū)(C)內(nèi)加載一個工作區(qū)文件系統(tǒng)微過濾驅(qū)動Minifilter模塊�,通過此模塊將需要過濾的自由區(qū)I/O的操作,包括基于中斷過濾IRP的I/O請求����、I/O操作的Fast I/O協(xié)議以及文件系統(tǒng)過濾回調(diào)操作注冊到所述的工作區(qū)文件系統(tǒng)過濾管理器 FltMgr 中, 步驟(1.4)在作為自由區(qū)的第二分區(qū)(D)內(nèi)加載一個自由區(qū)文件系統(tǒng)微過濾驅(qū)動Minifilter模塊��,通過此模塊將需要過濾的工作區(qū)I/O的操作,包括基于中斷過濾IRP的I/O請求�����、I/O操作的Fast I/O協(xié)議以及文件系統(tǒng)過濾回調(diào)操作注冊到所述的自由區(qū)文件系統(tǒng)過濾管理器FltMgr中�; 步驟(2)按以下步驟執(zhí)行所述工作區(qū)的隔離操作: 步驟(2.1)開機讀取I/O請求, 步驟(2.2)啟動I/O請求過濾����, 步驟(2.3)判斷所述I/O請求中的請求分區(qū)是否為所述的第二分區(qū)(D)或第四分區(qū)(F): 若是,則阻斷I/O請求和I/O操作���,執(zhí)行步驟(2.4), 若不是���,則放行所述I/O請求和I/O操作�����,執(zhí)行步驟(2.4)���, 步驟(2.4)返回步驟(2.2); 步驟(3)按以下步驟執(zhí)行所述自由區(qū)的隔離操作: 步驟(3.1)開機讀取I/O請求, 步驟(3.2)啟動I/O請求過濾����, 步驟(3.3)判斷所述I/O請求中的請求分區(qū)是否為所述的第一分區(qū)(C)或第三分區(qū)(E): 若是�����,則阻斷I/O請求和I/O操作�����,執(zhí)行步驟(3.4)�, 若不是��,則放行所述I/O請求和I/O操作��,執(zhí)行步驟(3.4)�����, 步驟(3.4)返回步驟(3.2) ο
【專利摘要】一種使用過濾驅(qū)動實現(xiàn)單硬盤雙操作系統(tǒng)分區(qū)隔離的方法屬于用戶終端設備辦公數(shù)據(jù)安全保護技術(shù)領域�,其特征在于把用戶終端設備中的一個硬盤順次分為用戶工作區(qū)操作系統(tǒng)分區(qū)、用戶自由區(qū)操作系統(tǒng)分區(qū)���、用戶工作區(qū)數(shù)據(jù)分區(qū)和用戶自由區(qū)數(shù)據(jù)分區(qū)����,在用戶工作區(qū)操作系統(tǒng)分區(qū)和用戶自由區(qū)操作系統(tǒng)分區(qū)內(nèi)分別安裝兩個不同的對應于各自的文件系統(tǒng)的微過濾驅(qū)動Minifilter模塊,將各自要過濾的分區(qū)地址及對應的I/O操作注冊到各自的文件系統(tǒng)過濾驅(qū)動管理器FltMgr���,用于過濾非本分區(qū)的I/O請求�����,阻斷對應的I/O操作���。與采用硬盤隔離卡對單硬盤的分區(qū)進行隔離的方法相比,本發(fā)明有無需對用戶終端設備進行改造���、易于普及的優(yōu)點�����。
【IPC分類】G06F21-53
【公開號】CN104573505
【申請?zhí)枴緾N201410850432
【發(fā)明人】張建標, 李振, 閻林, 公備, 林莉
【申請人】北京工業(yè)大學
【公開日】2015年4月29日
【申請日】2014年12月30日