[发明专利]一种基于用户模式文件系统的安全网络文件系统

说明书

技术领域

本发明属于信息安全技术领域，特别是一种使得程序和用户能够按通常访问和操作文件系统中的文件的方式访问和操作存放在网络文件存储系统中的文件并能防止网络文件存储系统的运行维护者（运维者）窃取文件的适合于云存储的基于用户模式文件系统的安全网络文件系统。

背景技术

文件云存储系统是一种通过网络提供文件存储和访问服务的系统。文件云存储系统通常由两部分组成：云端系统和云存储客户端，其中，云端系统用于存放文件，云存储客户端用于用户进行文件云存储操作，包括向云端系统上传文件和从云端系统下载文件。文件云存储使得用户能够在不同位置、不同计算终端上使用文件，给用户带来了极大方便，日益受到人们的欢迎。但目前的文件云存储系统普遍存在如下问题：

1）应用程序或系统程序不能直接访问

目前的云存储系统通常是通过一个专用的云存储客户端向用户提供文件存储和使用的功能。一个应用程序或系统程序要使用保存在云端系统中的文件，用户需先使用的云存储客户端将文件从云端系统下载到用户本地计算机上后再使用，应用程序或系统程序不能按通常访问和操作文件系统中的文件的方式直接访问和操作保存在云端系统中的文件（如程序通过操作系统提供的文件I/O操作API打开、读取、存写文件），这给用户带来了极大不便。

2）与用户通常使用文件的习惯不相符

云存储系统通过一个专用的云存储客户端向用户提供文件存储和使用的功能，而不同的云存储系统提供的客户端往往各不相同，用户要使用不同的云存储系统需熟悉不同的客户端，这不但给用户带来不便，也与用户熟悉的通过操作系统的文件管理器或文件系统“外壳”程序（SHELL程序，如Windows的Explorer）访问文件、操作文件的习惯不相符。

3）不能防止文件云存储系统的运维者包括云存储系统管理员对文件的非授权访问

目前的文件云存储系统通常是通过在云端系统实施访问控制来防止对文件的非授权的访问，但这种方案不能防止文件云存储系统的运维者包括云存储系统的管理员对文件的非授权访问，而这正是广大云存储用户，特别是企业用户非常担心的一个问题，也是妨碍云存储业务发展的一个重要障碍。

对于第1、2个问题，可通过网络文件系统技术将存储在网络文件存储系统上的文件映射成用户计算机文件系统的一部分（网络文件存储系统与网络文件系统是不同的，前者是个存储系统，后者是个文件系统）。常用的网络文件系统技术包括Unix、Linux和Windows系统中使用的NFS（Network File System）。但NFS只适合于内网，不适合于互联网。另一种可行的方案是采用用户模式文件系统技术加以解决（这也正是本发明所采用的技术）。用户模式文件系统（User Mode File System，FUSE）最初是在Linux的虚拟文件系统（Virtual File System，FUSE）技术基础上发展的一种文件系统技术，之后该技术被推广到其他操作系统包括Windows、Unix（不同操作系统下的FUSE在实现方案上略有差别）。用户模式文件系统的技术特点是通过一个文件系统驱动或文件系统的过滤器驱动将应用程序或系统程序针对一个（虚拟）文件盘或文件目录中的文件或文件目录的操作请求转发到一个运行在计算机系统的用户模式下的文件操作处理程序，由该用户模式下的文件操作处理程序完成针对具体文件或文件目录的操作。在用户模式文件系统中，具体的文件和文件目录可根据需要存放在任何地方，包括云存储的云端系统。

对于第3个问题，可以采用在用户端进行文件加密和解密的方案加以解决：在文件从用户端将文件上传到云端系统前先由云存储客户端对文件进行加密，在将文件从云端系统下载到用户计算机本地使用文件前，先由云存储客户端对文件进行解密（由云端系统在文件上传、下载时对文件进行加密、解密的方案不能防止云存储系统的运维者非授权访问文件，因此是不可取的）。采用在用户端对文件进行加密和解密的方案需满足如下要求：

1）不给用户使用文件带来额外的操作

即对文件的加密和解密应该是自动，换言之，对用户或使用文件的程序是“透明”的。

2）安全且适合于文件共享使用