本发明专利技术公开了一种应用程序内存文件的隔离处理方法、装置及计算设备,涉及软件安全技术领域。针对临时文件产生和被删除的时间段内,仍可以被最高权限用户查看的问题,上述方法包括:响应于应用程序内存文件的创建请求,确定创建请求对应的密文文件;获取所述应用程序对应的用户态进程的文件结构信息,并通过所述文件结构信息指示的路径获取所述密文文件;调用解密算法对所述密文文件进行解密生成对应的明文文件,并将所述明文文件保存在内存中;通过所述应用程序的用户态进程访问内存,来处理所述内存中保存的所述明文文件的数据。本发明专利技术一并公开了相应的装置和计算设备,使得只有当前用户态进程能够访问和操作对应内存的数据。的数据。的数据。
【技术实现步骤摘要】
应用程序内存文件的隔离处理方法、装置及计算设备
[0001]本专利技术涉及软件安全
,尤其是一种应用程序内存文件的隔离处理方法、装置及计算设备。
技术介绍
[0002]在软件中如果有敏感信息文件(比如内核符号表、标识文件等),不便以明文的方式发布,通常会将敏感文件通过加密工具加密成密文文件发布,用户安装软件后,会将密文文件部署在系统中。当软件需要明文文件时,会调用加密工具解密(通常加密和解密功能通常由一个工具提供),并产生一个随机命名的临时明文文件,接着软件会对明文文件使用,使用完后会删除临时明文文件。通过这种方案实现对敏感文件的隔离。
[0003]目前,软件的内存文件的创建,是建立在文件系统上的,文件的读写权限由DAC(Discretionary Access Control,自由选定存取控制),一旦用户拥有root(根)权限,可以查看所有文件。基于以上情形,如果软件或者应用程序调用解密工具,对加密文件解密后,在文件系统中产生一个临时的文件,软件或者应用程序对解密后的临时文件使用完毕后,将其删除。但在临时文件产生和被删除的时间段内,仍可以被最高权限用户(root)查看到,失去加密意义。
技术实现思路
[0004]为此,本专利技术提供了一种应用程序内存文件的隔离处理方法、装置及计算设备,以力图解决或者至少缓解上面存在的至少一个问题。
[0005]根据本专利技术的一个方面,提供了一种应用程序内存文件的隔离处理方法,包括:响应于应用程序内存文件的创建请求,确定所述创建请求对应的密文文件;获取所述应用程序对应的用户态进程的文件结构信息,并通过所述文件结构信息指示的路径获取所述密文文件;调用解密算法对所述密文文件进行解密生成对应的明文文件,并将所述明文文件保存在内存中;通过所述应用程序的用户态进程访问内存,来处理所述内存中保存的所述明文文件的数据。
[0006]可选地,获取所述应用程序对应的用户态进程的文件结构信息,并通过所述文件结构信息指示的路径获取所述密文文件包括:通过进程控制块中存放的所述应用程序对应的用户态进程的信息,获取启动所述应用程序所需的密文文件的文件信息,所述文件信息存放在文件描述符表中;通过所述文件描述符表中指向文件结构的指针,获取所述密文文件的文件结构信息;根据所述文件结构信息中存放的所述密文文件的目录入口缓存信息,确定所述密文文件存储的磁盘地址;通过所述文件结构信息中存放的所述密文文件的操作方法信息和所述密文文件的磁盘地址的配合,读取所述密文文件。
[0007]可选地,将所述明文文件保存在内存中包括:为所述明文文件分配用于保存所述明文文件的内存地址,并将所述内存地址的索引信息保存在所述文件结构信息中存放的所述密文文件的目录入口缓存信息中。
[0008]可选地,通过所述应用程序的用户态进程访问内存,来处理所述内存中保存的所述明文文件的数据包括:通过所述目录入口缓存信息,确定内存中的所述明文文件的索引信息,通过所述索引信息确定存储所述明文文件的块地址信息;通过文件操作方法信息,找到对所述明文文件进行处理的方法地址,所述处理的方法由缓存驱动实现,通过所述缓存驱动对内存中的所述块地址信息对应的内存块中存储的数据进行操作;通过所述处理的方法和所述块地址信息,处理所述内存中保存的所述明文文件的数据。
[0009]第二方面,本专利技术还提供一种应用程序内存文件的隔离处理装置,包括:响应模块,适于响应于应用程序内存文件的创建请求,确定所述创建请求对应的密文文件;获取模块,适于获取所述应用程序对应的用户态进程的文件结构信息,并通过所述文件结构信息指示的路径获取所述密文文件;存储模块,适于调用解密算法对所述密文文件进行解密生成对应的明文文件,并将所述明文文件保存在内存中;处理模块,适于通过所述应用程序的用户态进程访问内存,来处理所述内存中保存的所述明文文件的数据。
[0010]可选地,所述获取模块包括:进程控制单元,适于通过进程控制块中存放的所述应用程序对应的用户态进程的信息,获取启动所述应用程序所需的密文文件的文件信息,所述文件信息存放在文件描述符表中;文件描述单元,适于通过所述文件描述符表中指向文件结构的指针,获取所述密文文件的文件结构信息;文件结构单元,适于根据所述文件结构信息中存放的所述密文文件的目录入口缓存信息,确定所述密文文件存储的磁盘地址;文件读取单元,通过所述文件结构信息中存放的所述密文文件的操作方法信息和所述密文文件的磁盘地址的配合,读取所述密文文件。
[0011]可选地,所述存储模块适于:为所述明文文件分配用于保存所述明文文件的内存地址,并将所述内存地址的索引信息保存在所述文件结构信息中存放的所述密文文件的目录入口缓存信息中。
[0012]可选地,所述处理模块包括:目录缓存单元,适于通过所述目录入口缓存信息,确定内存中的所述明文文件的索引信息,通过所述索引信息确定存储所述明文文件的块地址信息;文件操作单元,适于通过文件操作方法信息,找到对所述明文文件进行处理的方法地址,所述处理的方法由缓存驱动实现,通过所述缓存驱动对内存中的所述块地址信息对应的内存块中存储的数据进行操作;内存处理单元,适于通过所述处理的方法和所述块地址信息,处理所述内存中保存的所述明文文件的数据。
[0013]第三方面,本专利技术提供一种计算设备,包括:至少一个处理器和存储有程序指令的存储器;当所述程序指令被所述处理器读取并执行时,使得所述计算设备执行上述的应用程序内存文件的隔离处理方法。
[0014]第四方面,本专利技术提供一种存储有程序指令的可读存储介质,当所述程序指令被计算设备读取并执行时,使得所述计算设备执行上述的应用程序内存文件的隔离处理方法。
[0015]根据本专利技术的应用程序内存文件的隔离处理方法和装置,能够实现以下有益效果:通过用户态进程内存的隔离性,可以将应用程序创建或者解密的文件与用户态进程进行绑定,只有当前用户态进程可以访问和操作对应内存的数据,实现了进程级别的资源隔离,使得明文文件与其它进程的隔离,只对调用解密工具的应用软件可见。即便用户拥有root权限,也无法查看存储在内存中的明文文件。
附图说明
[0016]为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
[0017]图1示出了根据本专利技术一个实施例的计算设备100的示意图。
[0018]图2示出了根据本专利技术一个实施例的应用程序内存文件的隔离处理方法200的流程图。
[0019]图3示出了根据本专利技术一个实施例的通过文件结构信息指示的路径获取密文文件的流程图。
[0020]图4示出了根据本专利技术一个实施例的磁盘文件结构关系示意图。
[0021]图5示出了根据本专利技术一个实施例的处理内存中保本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种应用程序内存文件的隔离处理方法,包括:响应于应用程序内存文件的创建请求,确定所述创建请求对应的密文文件;获取所述应用程序对应的用户态进程的文件结构信息,并通过所述文件结构信息指示的路径获取所述密文文件;调用解密算法对所述密文文件进行解密生成对应的明文文件,并将所述明文文件保存在内存中;通过所述应用程序的用户态进程访问内存,来处理所述内存中保存的所述明文文件的数据。2.如权利要求1所述的方法,其中,获取所述应用程序对应的用户态进程的文件结构信息,并通过所述文件结构信息指示的路径获取所述密文文件包括:通过进程控制块中存放的所述应用程序对应的用户态进程的信息,获取启动所述应用程序所需的密文文件的文件信息,所述文件信息存放在文件描述符表中;通过所述文件描述符表中指向文件结构的指针,获取所述密文文件的文件结构信息;根据所述文件结构信息中存放的所述密文文件的目录入口缓存信息,确定所述密文文件存储的磁盘地址;通过所述文件结构信息中存放的所述密文文件的操作方法信息和所述密文文件的磁盘地址的配合,读取所述密文文件。3.如权利要求2所述的方法,其中,将所述明文文件保存在内存中包括:为所述明文文件分配用于保存所述明文文件的内存地址,并将所述内存地址的索引信息保存在所述文件结构信息中存放的所述密文文件的目录入口缓存信息中。4.如权利要求3所述的方法,其中,通过所述应用程序的用户态进程访问内存,来处理所述内存中保存的所述明文文件的数据包括:通过所述目录入口缓存信息,确定内存中的所述明文文件的索引信息,通过所述索引信息确定存储所述明文文件的块地址信息;通过文件操作方法信息,找到对所述明文文件进行处理的方法地址,所述处理的方法由缓存驱动实现,通过所述缓存驱动对内存中的所述块地址信息对应的内存块中存储的数据进行操作;通过所述处理的方法和所述块地址信息,处理所述内存中保存的所述明文文件的数据。5.一种应用程序内存文件的隔离处理装置,包括:响应模块,适于响应于应用程序内存文件的创建请求,确定所述创建请求对应的密文文件;获取模块,适于获取所述应用程序对应的用户态进程的文件结构信息,并通过所述文件结构信息指示的路径获...
【专利技术属性】
技术研发人员:高冲,孟杰,贾镇源,
申请(专利权)人:统信软件技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。