保护装置及保护方法

摘要

保护装置(10)在系统启动时打开保护对象文件的数据。然后，保护装置(10)利用OS具备的检测功能等，检测出至保护对象文件的链接被删除的情况。另外，保护装置(10)参照预先生成的保护对象文件的列表，根据至被删除了链接的文件的文件路径，判断文件是否是保护对象文件。当判定为文件是保护对象文件时，保护装置(10)通过请求OS重新生成至文件的链接来恢复链接。

说明书

技术领域

本发明涉及保护装置及保护方法。

背景技术

以往，已知用于保护文件系统上的文件免受非法进程(process)或用户不注意的删除的方法。例如，在Linux(注册商标)中，通过设定用户对目录或文件的写入权限，可以禁止该用户删除文件等。此外，在Linux中，通过对文件设定i(immutable，不可变的)属性作为文件的扩展属性，可以防止该文件的删除等。

另外，已知有通过将保护对象文件从OS(Operating System，操作系统)移动到不能访问的保护区域中，从而无法进行该文件的删除等的方法(例如，参照专利文献1)。

【现有技术文献】

【专利文献】

【专利文献1】日本特开2004-220400号公报

发明内容

【发明要解决的问题】

但是，在以往的方法中，存在有时难以高效地保护文件的问题。例如，关于设定权限的方法，在发生了非法的权限夺取或权限设定错误的情况下，认为无法充分保护文件。另外，对于将文件移动到保护区域的方法，必须在每次利用文件时进行移动，不仅费工夫，而且存在利用该文件的程序受到限制的问题。

【用于解决问题的手段】

为了解决上述问题并达到目的，保护装置的特征在于，具备：管理部，其取得预先决定的保护对象文件的文件路径的列表；以及操作部，其进行保护与所述列表中包含的文件路径相应的文件的数据的操作。

【发明的效果】

根据本发明，能够高效地保护文件。

附图说明

图1是表示第1实施方式的保护装置的结构的一例的图。

图2是示出第1实施方式的保护对象文件列表的一例的图。

图3是表示第1实施方式的进程白名单的一例的图。

图4是示出在第1实施方式的保护装置的系统启动时的处理流程的流程图。

图5是示出第1实施方式的保护装置在追加保护对象文件时的处理流程的流程图。

图6是示出第1实施方式的保护装置在文件删除时的处理流程的流程图。

图7是表示第1实施方式的保护装置在控制访问时的处理的流程的流程图。

图8是示出第1实施方式的保护装置的系统结束时的处理流程的流程图。

图9是示出执行保护程序的计算机的一例的图。

具体实施方式

以下，根据附图详细说明本申请所涉及的保护装置以及保护方法的实施方式。另外，本发明并不限定于以下说明的实施方式。

[第1实施方式的结构]

首先，使用图1说明第1实施方式涉及的保护装置的结构。图1是表示第1实施方式的保护装置的结构的一例的图。如图1所示，保护装置10具有输入部11、存储部12以及控制部13。

输入部11接受来自用户的数据的输入。输入部11例如是鼠标或键盘等输入装置。另外，输入部11也可以是从其他装置接受数据的输入的接口。

存储部12是诸如HDD(硬盘驱动器)、SSD(固态驱动器)或光盘等的存储设备。此外，存储部12也可以是RAM(Random Access Memory，随机存取存储器)、闪存、NVSRAM(NonVolatile Static Random Access Memory，非易失性静态随机存取存储器)等可改写数据的半导体存储器。存储部12存储由保护装置10执行的OS、各种程序。进而，存储部12存储在程序的执行中使用的各种信息。存储部12存储文件数据121、文件系统122、保护对象文件列表123、进程白名单124和密钥信息125。

存储部12将文件的实体作为文件数据121进行存储。存储部12存储文件系统122。文件系统122是用于访问包含在文件数据121中的文件的实体的信息。文件系统122包括文件数据121的各个文件的文件路径。另外，文件系统122可以被实现为OS的基本功能。

本实施方式中的链接的生成意味着成为能够经由文件系统122访问文件的状态。另外，链接的删除意味着使已生成的链接成为不可利用的状态。例如，保护装置10通过在文件系统122中追加文件的文件路径来生成链接，并且通过删除文件路径来删除链接。

保护对象文件列表123是用于识别受保护装置10保护的文件的信息。保护对象文件列表123是预先决定的保护对象文件的文件路径的列表的一例。在本实施方式中，保护对象文件列表123是保护对象文件的文件路径的一览。图2是示出第1实施方式的保护对象文件列表的一例的图。如图2所示，例如，保护对象文件列表123包括保护对象文件的文件路径“/a/b/f1”。

进程白名单124是表示每个文件的可访问的进程的信息。在本实施方式中，进程白名单124是文件的文件路径和允许访问该文件的进程的路径的组合的列表。

图3是表示第1实施方式的进程白名单的一个例子的图。如图3所示，能够访问的进程通过执行文件路径来识别。另外，如图3所示，设“/x/w”以及“/x/z”为执行文件的进程与文件路径“/c/f2”对应。这样，在进程白名单124中，可以有多个进程对应于一个文件。

密钥信息125是用于在安全的状态下管理保护对象文件列表123和进程白名单124的信息。例如，密钥信息125用于对各个列表的加密或者对各个列表的签名的添加。此外，为了进一步提高坚固性，密钥信息125也可以存储在防篡改区域中。

控制部13控制保护装置10整体。控制部13是例如CPU(Central Processing Unit，中央处理单元)、MPU(Micro Processing Unit，微处理单元)等电子电路或ASIC(Application Specific Integrated Circuit，专用集成电路)、FPGA(FieldProgrammable Gate Array，场可编程门阵列)等集成电路。另外，控制部13具有用于存储规定了各种处理过程的程序、控制数据的内部存储器，使用内部存储器执行各处理。另外，控制部13通过各种程序进行工作而作为各种处理部发挥功能。例如，控制部13包括操作部131、生成部132、管理部133、检测部134、判定部135、恢复部136和中止部137。

与文件系统122同样，操作部131和生成部132可以被实现为OS的基本功能。另一方面，检测部134、判定部135、恢复部136和中止部137能够对OS请求处理的执行、以及接受来自OS的请求而执行处理。因此，通过在安装有Linux等OS的计算机上安装管理部133、检测部134、判定部135、恢复部136和中止部137来实现本实施方式。

操作部131执行保护与包含在保护对象文件列表123中的文件路径相应的文件的数据的操作。操作部131能够在保护装置10启动的时刻进行保护的操作。此外，操作部131通过打开文件，能够保护文件的数据。此外，操作部131能够进行文件的关闭。

文件的打开是指成为能够对文件进行读取、变更、删除等各种处理的状态。另一方面，当文件被打开时，该文件的实际数据处于被保护的状态。即，对于被某个进程打开的状态的文件，即使在从其他进程进行了删除时，也仅删除链接，而不删除实际数据。另外，文件的关闭是指成为不能对文件进行各处理的状态。

此外，生成部132生成文件的链接。操作部131和生成部132能够根据来自其他处理部的请求来执行处理。

管理部133管理保护对象文件列表123和进程白名单124。管理部133能够进行向保护对象文件列表123和进程白名单124的数据的追加、删除等。

在启动保护装置10的系统时，管理部133在使用密钥信息125确认了保护对象文件列表123和进程白名单124没有被修改的基础上，将保护对象文件列表123和进程白名单124展开到存储部12的易失性区域(以下称为存储器(memory))中。此外，在保护装置10的系统结束时，通过使用密钥信息125的安全的方法，将展开的保护对象文件列表123和进程白名单124存储在存储部12的非易失性区域中。另外，安全的方法是指使用密钥的加密以及签名的添加等。

检测部134检测至文件的链接被删除的情况。例如，检测部134能够使用作为Linux的API(Application Programming Interface，应用程序编程接口)的inotify来检测删除。检测部134在检测到链接的删除的情况下，取得与被删除的链接对应的文件的文件路径。

此外，在保护装置10启动时，即使由操作部131打开的保护对象文件的链接被删除，该文件的实际数据也不被删除。因此，只要保护装置10能够恢复被删除的保护对象文件的链接，就能够使该文件恢复到删除前的状态。

检测部134还检测对文件的访问。例如，检测部134能够使用作为Linux的API的fanotify来检测访问。检测部134在检测到对文件的访问的情况下，取得访问目的地的文件路径以及访问源的进程的执行文件的文件路径的组合。

这里，访问是指文件的打开或请求打开。检测部134能够通过接收关于文件打开请求的信息来检测访问。

判定部135根据文件的文件路径，判定文件是否是保护对象文件。更具体地，当检测部134检测到链接的删除时，判定部135从检测部134接收与所删除的链接对应的文件的文件路径，并且判定在保护对象文件列表123中是否存在该文件路径。

此外，判定部135还根据文件的文件路径以及正在进行访问的进程，判定是否允许访问。更具体地，当由检测部134检测到对文件的访问时，判定部135从检测部134接收访问目的地的文件路径和访问源的进程的执行文件的文件路径的组合，根据该组合对应于以下三种情况中的哪一种来判断是否允许访问。

第1种情况是组合本身存在于进程白名单124中的情况。第2种情况是仅访问目的地的文件路径存在于进程白名单124中而执行文件的文件路径不存在于进程白名单124中的情况。第3种情况是访问目的地的文件路径不存在于进程白名单124中的情况。另外，仅执行文件的文件路径存在于进程白名单124中的情况被包括在第3种情况中。

例如，在图3的例子中，访问目的地的文件路径为“/a/b/f1”、执行文件的文件路径为“/x/y”的组合相当于第1种情况。另外，例如在图3的例中，访问目的地的文件路径是“/a/b/f1”并且执行文件的文件路径是“/x/z”的组合对应于第2种情况。另外，例如在图3的例中，访问目的地的文件路径为“/a/b/f0”的组合属于第3种情况，而与执行文件的文件路径无关。另外，这里，图3中的进程白名单124的第4行和随后的行不存在。

当所接收的组合对应于第1种情况和第3种情况中的任意一种情况时，判定部135判定为允许访问。另一方面，当所接收的组合对应于第2种情况时，判定部135判定为不允许访问。

当由判定部135判定为文件是保护对象文件时，恢复部136恢复至该文件的链接。具体地，当判定部135判定为在保护对象文件列表123中存在与被删除的链接对应的文件的文件路径时，恢复部136请求生成部132生成该链接。

当判定部135判定为不允许访问时，中止部137使访问中止。具体地，中止部137可以通过请求操作部131不进行文件的打开来使访问中止。

[第1实施方式的处理]

使用图4，对保护装置10的系统起动时的处理进行说明。图4是示出在第1实施方式的保护装置的系统启动时的处理流程的流程图。

如图4所示，当系统启动时，管理部133使用密钥信息125来确认保护对象文件列表123和进程白名单124没有被修改，并且将各个列表展开到存储器上(步骤S101)。

管理部133对操作部131传递保护对象文件列表123中包含的文件路径，并且请求打开对应的文件。然后，操作部131打开与所接收的文件路径相对应的文件(步骤S102)。

使用图5，对保护装置10的保护对象文件追加时的处理进行说明。图5是示出第1实施方式的保护装置的保护对象文件追加时的处理流程的流程图。

如图5所示，管理部133接受追加保护对象文件的请求(步骤S201)。例如，请求可以是由用户经由输入部11输入的请求，也可以是在对文件系统122新追加了文件时自动生成的请求。另外，在请求中包含有追加到保护对象文件的文件路径，或者该文件的文件路径与可访问的进程的文件路径的组合。

管理部133将请求中包含的文件路径追加到保护对象文件列表123(步骤S202)。另外，管理部133还将请求中保护的文件的文件路径和进程的文件路径的组合追加到进程白名单124中(步骤S203)。当请求中未包含进程的文件路径时，管理部133不进行向进程白名单124的追加。

管理部133对操作部131传递在各列表中追加的文件的文件路径，并且请求打开对应的文件。然后，操作部131打开与所接收的文件路径相对应的文件(步骤S204)。

使用图6说明保护装置10的文件删除时的处理。图6是示出第1实施方式涉及的保护装置在文件删除时的处理流程的流程图。

如图6所示，检测部134检测链接的删除(步骤S301)。然后，基于从检测部134接收的文件路径，判定部135判定与被检测到删除的链接对应的文件是否是保护对象文件(步骤S302)。

如果文件是保护对象文件(步骤S302：是)，则恢复部136恢复链接(步骤S303)。另一方面，如果文件不是保护对象文件(步骤S302：否)，则保护装置10不恢复链接。

使用图7说明保护装置10的控制访问的处理。图7是表示第1实施方式的保护装置的控制访问时的处理流程的流程图。

如图7所示，检测部134检测对文件的访问(步骤S401)。检测部134请求操作部131中断访问，即文件的打开。然后，操作部131根据检测部134的请求中断访问(步骤S402)。

然后，判定部135根据从检测部134接收的访问目的地文件的文件路径和访问源进程的文件路径是否存在于进程白名单124中，来判定进程对文件的访问是否被允许(步骤S403)。

如果访问被允许(在步骤S403为“是”)，则判定部135请求操作部131冲更新开始被中断的访问。然后，操作部131响应于来自判定部135的请求而重新开始访问(步骤S404)。当访问目的地文件的文件路径根本不存在于进程白名单124中时，即接收到的组合对应于上述第3种情况时，判定部135判定为访问被允许。

另一方面，如果访问不被允许(在步骤S403为“否”)，则中止部137请求操作部131中止被中断的访问。然后，操作部131根据中止部137的请求中止访问(步骤S405)。

使用图8说明保护装置10的系统结束时的处理。图8是示出在第1实施方式的保护装置的系统关闭时的处理流程的流程图。

如图8所示，管理部133更新保护对象文件列表123和进程白名单124(步骤S501)。例如，管理部133利用在存储器上展开的保护对象文件列表123和进程白名单124，覆写原始数据。此时，有时存储器上的保护对象文件列表123和进程白名单124由于保护对象文件的追加等，而与它们被展开到存储器的时刻相比发生改变。

管理部133向操作部131传递包含在保护对象文件列表123中的文件路径，并且请求操作部131关闭对应的文件。然后，操作部131关闭与所接收的文件路径相对应的文件(步骤S502)。然后，保护装置10结束系统(步骤S503)。

[第1实施方式的效果]

在第1实施方式中，保护装置10取得预先决定的保护对象文件的文件路径的列表。另外，保护装置10进行保护与列表中包含的文件路径相应的文件的数据的操作。这样，在本实施方式中，不进行权限的设定或保存区域的移动就能够保护文件。因此，根据本实施方式，能够高效地保护文件夹。

保护装置10通过打开文件来保护文件的数据。这样，在本实施方式中，能够使用OS所具备的基本功能进行文件的保护。

保护装置10能够在保护装置10启动的时刻取得列表。此时，操作部131在管理部133获取列表的时刻执行保护数据的操作。这样，通过在启动时打开保护对象文件，能够更可靠地保护该文件。

保护装置10检测至文件的链接被删除的情况。另外，保护装置10根据到文件的文件路径，判定文件是否是保护对象文件。当判定为文件是保护对象文件时，保护装置10恢复至文件的链接。这样，根据本实施方式，在保护文件不被删除时，不需要设定与删除有关的权限，或者对文件的场所或内容加以变更。

此外，在保护装置10中，检测部134能够检测出正在进行对文件的访问。此时，保护装置10中，判定部135根据文件的文件路径以及正在进行访问的进程，判定是否允许访问。当判定为不允许访问时，保护装置10中止访问。这样，根据本实施方式，能够针对每个进程控制对文件的访问，因此不仅能够保护文件不被删除也能够保护文件不被改变。

[其他的实施方式]

在上述实施方式中，说明了保护装置10的OS为Linux的情况的例子，但是保护装置10的OS不限于Linux。例如，即使在保护装置10的OS为Linux以外的OS的情况下，通过使用与inotify或fanotify同等的监视功能来检测文件的删除或对文件的访问，也能够实现上述实施方式。

[系统结构等]

另外，图示的各装置的各构成要素是功能概念性的，不一定在物理上如图示那样构成。即，各装置的分散和综合的具体方式不限于图示的方式，可以根据各种负荷和使用状况等，以任意的单位在功能上或物理上分散或综合来构成其全部或一部分。进而，在各装置中进行的各处理功能，其全部或者任意的一部分可以通过CPU以及由该CPU解析执行的程序来实现，或者作为基于有线逻辑的硬件来实现。

此外，也可以手动地进行本实施方式中说明的各处理中作为自动进行的处理而说明的处理的全部或一部分，或者也可以通过公知的方法自动地进行作为手动进行的处理而说明的处理的全部或一部分。除非另有说明，否则在说明书和附图中示出的处理过程、控制过程、具体名称以及包含各种数据和参数的信息可以任意地改变。

[程序]

作为一个实施方式，保护装置10能够通过将作为打包软件或在线软件来执行上述保护的保护程序安装到所希望的计算机中来实现。例如，通过使信息处理装置执行上述保护程序，可以使信息处理装置作为保护装置10发挥功能。这里所说的信息处理装置包括桌面型或笔记本型的个人计算机。此外，信息处理装置的范畴还包括智能手机、移动电话、PHS(Personal Handyphone System)等移动体通信终端，以及PDA(Personal DigitalAssistant)等平板终端等。

图9是示出执行保护程序的计算机的一例的图。计算机1000包括例如存储器1010和CPU 1020。此外，计算机1000还包括硬盘驱动接口1030、盘驱动接口1040、串行端口接口1050、视频适配器1060和网络接口1070。这些各部通过总线1080连接。

存储器1010包括ROM(只读存储器)1011和RAM 1012。ROM 1011存储例如BIOS(Basic Input Output System)等引导程序。硬盘驱动接口1030连接到硬盘驱动器1090。盘驱动器接口1040连接到盘驱动器1100。例如，诸如磁盘或光盘等的可拆装的存储介质被插入到盘驱动器1100中。串行端口接口1050例如连接到鼠标1110和键盘1120。视频适配器1060例如连接到显示器1130。

硬盘驱动器1090例如存储OS1091、应用程序1092、程序模块1093、程序数据1094。即，规定保护装置10的各处理的程序作为记述了可由计算机执行的代码的程序模块1093来实现。程序模块1093例如存储在硬盘驱动器1090中。例如，用于执行与保护装置10中的功能结构相同的处理的程序模块1093被存储在硬盘驱动器1090中。此外，硬盘驱动器1090也可以由SSD代替。

另外，在上述实施方式的处理中使用的设定数据作为程序数据1094，例如存储在存储器1010或硬盘驱动器1090中。然后，CPU1020根据需要将存储在存储器1010或硬盘驱动器1090中的程序模块1093或程序数据1094读出到RAM1012中，执行上述实施方式的处理。

另外，程序模块1093或程序数据1094不限于存储在硬盘驱动器1090中的情况，例如也可以存储在可装卸的存储介质中，由CPU1020经由盘驱动器1100等读出。或者，程序模块1093和程序数据1094可以存储在通过网络(LAN(局域网)、WAN(广域网)等)连接的其他计算机中。可以由CPU1020经由网络接口1070从其他计算机读出程序模块1093和程序数据1094。

附图标记

10 保护装置

11 输入部

12 存储部

13 控制部

121 文件数据

122 文件系统

123 保护对象文件列表

124 进程白名单

125 密钥信息

131 操作部

132 生成部

133 管理部

134 检测部

135 判定部

136 恢复部

137 中止部