本发明专利技术提供了一种计算机文件保护方法,包括以下步骤:接收来自进程的对计算机文件进行访问的请求;读取进程的第一标识和计算机文件的第二标识,其中,第一标识的状态用于表示进程的访问权限,第二标识的状态用于表示计算机文件允许访问的方式;根据第一标识和第二标识批准或拒绝请求。本发明专利技术还提供了一种计算机文件保护装置。本发明专利技术解决了非法用户盗取合法用户权限访问计算机文件的问题。
【技术实现步骤摘要】
本专利技术涉及计算机信息安全4支术领域,具体来说,涉及一种计 算机文件保护方法和装置。
技术介绍
计算机中常常会储存大量的敏感文件,其中可能包含个人隐 私、企业商业秘、密,或者政府才几关的内部文档等等。这些4文感文件 具有重大的价值,因此,需要采取文件保护措施,使得敏感文件只 能被合法使用者打开和使用,不能被他人或者各种恶意程序打开、 阅读、^修改或《皮坏。目前一种常用的文件保护方法是用户身份认证方法。用户身份认证方法,就是通过口令、指紋、专用设备等等手段 来识别用户身份,以确定当前用户是否为合法用户,对于合法用户 则4受予相应的文件访问4又限,如文件打开、读取和^修改的4又力等等。例如,WindowsTM操作系统的"用户帐户"管理就是一种基于 用户身份认证的保护方法。通过Windows系统管理员可以设置多个 用户巾艮户,每个用户拥有不同的口令。在系统启动时,用户l叙入正 确的口令才能进入系统,并获得相应的文件访问权限。在Windows , UnixTM、 LinuxTM等操作系统中,任何用户对 文件的访问都是通过进程来实现的,合法用户也是通过特定的进程来访问文件的。在这些系统中, 一个进程就是可扭J亍程序的一个运 行实例。虽然表面看起来只有使用者一个人在计算机面前操作,但 是,实际上在系统内部每个进程都在操作计算机, 一个进程就像是 一个用户。4吏用者一4殳不知道在系统中有哪些进程在活动,更不知 道这些进程在做什么。这些进程一般是支持系统运行的后台程序, 但也可能是病毒、木马等恶意程序。在实现本专利技术过程中,专利技术人发现现有4支术中至少存在如下问题在上述的操作系统中釆取用户身份认证的保护方法时,当合法 用户通过身份iU正并获得了相应的文件访问权限的同时,不仅合法 用户所使用的进程获得了这个权限,在系统内的其他进程也获得了 相同的权限,而这些进程可能并不是由合法用户所使用的。在此时, 黑客或者病毒等等就可以通过自己启动的进程而获得合法用户的 权限,进而威胁到需要保护的文件的安全。
技术实现思路
本专利技术实施例旨在提供一种计算机文件保护方法和装置,用于 解决非法用户盗耳又合法用户4又限访问计算才几文件的问题。本专利技术的一个实施例纟是供了 一种计算4几文件保护方法,包括以 下步骤接收来自进程的对计算才几文件进行访问的请求;读耳又进程 的第一标识和计算才几文件的第二标识,其中,第一标识的状态用于 表示进程的访问权限,第二标识的状态用于表示计算4几文件允许访 问的方式;根据第一标识和第二标识批准或拒绝请求。在上述的计算才几文件保护方法中,还包括以下步骤由产生进 程的程序的第三标识的状态确定第一标识的状态,其中,第三标识 的状态用于表示程序的访问4又限。在上述的计算4几文件保护方法中,还包括以下步-骤 -睑i正用户 身份,允许通过了身份验证的用户设置第三标识的状态。在上述的计算才几文fH呆护方法中,才艮据第一标识和第二标识水匕 准或拒绝请求具体包4舌以下步骤如果请求满足第一标识的状态所 表示的访问权限,且满足第二标识的状态所允许访问的方式,则将 :清求传递绍4喿作系统底层的文件系统驱动;如果^"求不满足第 一标 识的状态所表示的访问纟又限,或者不满足第二标识的状态所允i午访 问的方式,则拒绝i青求。在上述的计算才几文^H呆护方法中,才艮氺居第一标识和第二标识糸匕 准或拒绝请求具体包括以下步骤如果计算才几文件不具备第二标 识,则将请求传递给操作系统底层的文件系统驱动;如果进程不具 备第一标识,且计算冲几文件具备第二标识,则拒绝^"求。本专利技术的另 一实施例提供了 一种计算机文件保护装置,包括 接收模块,用于接收来自进程的对计算机文件进行访问的请求;读 取才莫块,用于读取进程的第一标识和计算4几文件的第二标识,其中, 第一标识的状态用于表示进程的访问权限,第二标识的状态用于表 示计算机文件允许访问的方式;批准模块,用于根据第一标识和第 二标识4比准或拒绝"i青求。在上述的计算机文件保护装置中,还包括第一标识模块,用 于由产生进程的程序的第三标识的状态确定第 一 标识的状态,其 中,第三标识的状态用于表示程序的访问权限。在上述的计算机文件保护装置中,还包括第三标识模块,用 于验证用户身份,允许通过了身份验证的用户设置第三标识的状态。在上述的计算机文件保护装置中,批准模块包括批准单元, 用于如果"^青求满足第一标识的状态所表示的访问;f又限,且满足第二 标识的状态所允许访问的方式,则将请求传递给才喿作系统底层的文 件系统驱动;拒绝单元,用于如果请求不满足第一标识的状态所表 示的访问片又限,或者不满足第二标识的状态所允许访问的方式,则 拒绝请求。在上述的计算机文件保护装置中,批准模块包括批准单元, 用于如果计算才几文件不具备第二标识,则将^"求传递乡会:操作系统底 层的文件系统驱动;拒绝单元,用于如果进程不具备第一标识,且 计算冲几文件具备第二标识,则拒绝i青求。上述技术方案通过结合考虑进程权限和被访问计算机文件所 允许的权限,从而解决了非法用户盗取合法用户权限访问计算机文 件的问题。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申 请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中图1示出了才艮据本专利技术实施例的计算才几文件保护方法的流程图;图2示出了根据本专利技术实施例的计算机文件保护装置的方框图。具体实施方式下面将参考附图并结合实施例,来详细说明本专利技术。图1示出了4艮据本专利技术实施例的计算才几文件保护方法的流程图,包括以下步骤步骤SIO,接收来自进程的对计算冲几文件进行访问的请求;步骤S20,读取进程的第一标识和计算机文件的第二标识,其 中,第一标识的状态用于表示进程的访问^J艮,第二标识的状态用 于表示计算才几文件允许访问的方式;步骤S30,根据第一标识和第二标识批准或拒绝请求。上述实施例中通过乂于进禾呈和净皮访问计算才几文件老卩预先i殳置了 标识,结合考虑了被访问计算机文件所允许的权限,从而非法用户 (例如病毒、木马等恶意程序)即使盗取了合法用户权限,由于其不知道计算机上实施了本专利技术实施例的标识监控方案,没有正确设 置第 一标识和第二标i只,所以非法用户仍然无法_沐问该计算才几文 件。乂人该4支术方案可以看出,这种保护方法可以限定一个或多个进 程来访问受保护的文件,其他进程则不能访问这些文件,并且可以 限定进程对受保护文件的访问方式。上述第二标识可以通过以下方式获得可以预先对一些需要进 4亍保护的文件进4于标识,可以将特定文件或特定类型的文件进4亍标 识,也可以^4壬意》兹盘或目录上的所有文件进4于标识。可以由产生进程的程序的第三标识的状态确定第 一 标识的状 态,其中,第三标识的状态用于表示所述程序的访问^J艮。上述实施例中可以通过监一见进程启动,实现利用程序的第三标 识的状态来设置其产生的进程的访问权限,这个权限包括但不限于对文件的读、写、改变名称、删除等#:作。进一步地,可以先验证用户身份,只允许通过了身份验证的合 法用户设置第三标识的状态,乂人而确定只有经过身〗分确认的合法用 户才可以明确设定对哪些程序可以授予什么样的访问权限。事实 上,通常恶意程序例如病毒本文档来自技高网...
【技术保护点】
一种计算机文件保护方法,其特征在于,包括以下步骤:接收来自进程的对计算机文件进行访问的请求;读取所述进程的第一标识和所述计算机文件的第二标识,其中,所述第一标识的状态用于表示所述进程的访问权限,所述第二标识的状态用于表示所述计算机文件允许访问的方式;根据所述第一标识和所述第二标识批准或拒绝所述请求。
【技术特征摘要】
【专利技术属性】
技术研发人员:杨湘渝,李先志,张杰,
申请(专利权)人:杨湘渝,李先志,张杰,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。