一种基于内核过滤驱动的数据安全隔离方法.pdf

摘要
申请专利号：	CN201410272385.7	申请日：	2014.06.19
公开号：	CN104102885A	公开日：	2014.10.15
当前法律状态：	撤回	有效性：	无权
法律详情：	发明专利申请公布后的视为撤回IPC(主分类):G06F 21/62申请公布日:20141015\|\|\|实质审查的生效IPC(主分类):G06F 21/62申请日:20140619\|\|\|公开
IPC分类号：	G06F21/62(2013.01)I	主分类号：	G06F21/62
申请人：	肖龙旭; 北京凯锐立德科技有限公司
发明人：	肖龙旭; 张凯; 丁凯; 陈炫; 岳翔
地址：	100094 北京市海淀区北清路109号
优先权：
专利代理机构：	中国人民解放军第二炮兵专利服务中心 11040	代理人：	肖进
PDF下载：	PDF下载

内容摘要

本发明属于计算机信息安全技术领域，特别涉及电子文档加解密方法。一种基于内核过滤驱动的数据安全隔离方法，并执行以下步骤：当用户打开文件时，操作系统内核驱动程序及应用层程序对用户打开文件所使用的进程进行安全校验，如果不是安全进程，则拒绝打开文件；否则进一步判断用户要打开的文件是否为受加密保护的文件；如果不是则打开该文件，读取该文件数据；如果是受加密保护的文件，则进一步判断该进程是否具有使用文件数据的权限，确定打开该文件，读取该文件数据；或仅允许该进程打开文件，而不读取文件数据。本发明使非授权用户进程无法接触到受保护加密电子文档，从而克服了现有加解密方法的不足，提高了加密电子文档的安全性。

权利要求书

1. 一种基于内核过滤驱动的数据安全隔离方法，它使用包括操作系统内核驱动程序、应用层程序的客户端程序，以及一个策略服务器，并执行以下步骤：
A、当用户打开文件时，所述操作系统内核驱动程序获得用户打开文件的请求及所使用的进程，将该进程信息发送给所述应用层程序；
B、所述应用层程序从所述策略服务器获取安全进程列表，对用户打开文件所使用的进程进行安全校验，并将校验结果返回给所述操作系统内核驱动程序；
C、如果所述校验结果表明用户打开文件所使用的进程不是安全进程，则所述操作系统内核驱动程序拒绝该进程打开文件；否则执行D步骤；
D、所述操作系统内核驱动程序进一步判断用户要打开的文件是否为受加密保护的文件；如果不是受加密保护的文件，则打开该文件，读取该文件数据，提供给用户；如果是受加密保护的文件，则执行E步骤；
E、所述操作系统内核驱动程序将该信息返回给所述应用层程序，所述应用层程序通过所述策略服务器获取进程的权限列表，判断该进程是否具有使用文件数据的权限，并将判断结果返回给所述操作系统内核驱动程序；
F、如果所述判断结果表明该进程具有使用文件数据的权限，则所述操作系统内核驱动程序将文件索引和文件数据进行映射，打开该文件，读取该文件数据，提供给用户；否则允许该进程打开文件，而不读取文件数据，仅向用户提供不包含任何文件数据的空白文件。

说明书

一种基于内核过滤驱动的数据安全隔离方法
技术领域
本发明属于计算机信息安全技术领域，特别涉及电子文档加解密方法。
背景技术
常用的电子文档加解密方法虽然对电子文档采取了一系列的保护措施，但加密的电子文档从文件创建开始到彻底删除，始终保存在当前终端计算机上。只要获得这些加密数据文件，虽然是密文乱码，但由于其中包含了原电子文档的全部内容，所以理论上总有技术手段可以将其恢复成明文的原电子文档。
发明内容
本发明的目的是：提供一种更安全的加密电子文档保护方法，有效保证加密电子文档安全。
本发明的技术方案是：一种基于内核过滤驱动的数据安全隔离方法，它使用包括操作系统内核驱动程序、应用层程序的客户端程序，以及一个策略服务器，并执行以下步骤：
A、当用户打开文件时，所述操作系统内核驱动程序获得用户打开文件的请求及所使用的进程，将该进程信息发送给所述应用层程序；
B、所述应用层程序从所述策略服务器获取安全进程列表，对用户打开文件所使用的进程进行安全校验，并将校验结果返回给所述操作系统内核驱动程序；
C、如果所述校验结果表明用户打开文件所使用的进程不是安全进程，则所述操作系统内核驱动程序拒绝该进程打开文件；否则执行D步骤；
D、所述操作系统内核驱动程序进一步判断用户要打开的文件是否为受加密保护的文件；如果不是受加密保护的文件，则打开该文件，读取该文件数据，提供给用户；如果是受加密保护的文件，则执行E步骤；
E、所述操作系统内核驱动程序将该信息返回给所述应用层程序，所述应用层程序通过所述策略服务器获取进程的权限列表，判断该进程是否具有使用文件数据的权限，并将判断结果返回给所述操作系统内核驱动程序；
F、如果所述判断结果表明该进程具有使用文件数据的权限，则所述操作系统内核驱动程序将文件索引和文件数据进行映射，打开该文件，读取该文件数据，提供给用户；否则允许该进程打开文件，而不读取文件数据，仅向用户提供不包含任何文件数据的空白文件。
本发明使非授权用户进程无法接触到受保护加密电子文档，从而克服了现有加解密方法的不足，提高了加密电子文档的安全性。
附图说明
附图1为本发明流程图。
具体实施方式
参见附图1，一种基于内核过滤驱动的数据安全隔离方法，它使用包括操作系统内核驱动程序、应用层程序的客户端程序，以及一个策略服务器，并执行以下步骤：
A、当用户打开文件时，所述操作系统内核驱动程序获得用户打开文件的请求及所使用的进程，将该进程信息发送给所述应用层程序；
B、所述应用层程序从所述策略服务器获取安全进程列表，对用户打开文件所使用的进程进行安全校验，并将校验结果返回给所述操作系统内核驱动程序；
C、如果所述校验结果表明用户打开文件所使用的进程不是安全进程，则所述操作系统内核驱动程序拒绝该进程打开文件；否则执行D步骤；
D、所述操作系统内核驱动程序进一步判断用户要打开的文件是否为受加密保护的文件；如果不是受加密保护的文件，则打开该文件，读取该文件数据，提供给用户；如果是受加密保护的文件，则执行E步骤；
E、所述操作系统内核驱动程序将该信息返回给所述应用层程序，所述应用层程序通过所述策略服务器获取进程的权限列表，判断该进程是否具有使用文件数据的权限，并将判断结果返回给所述操作系统内核驱动程序；
F、如果所述判断结果表明该进程具有使用文件数据的权限，则所述操作系统内核驱动程序将文件索引和文件数据进行映射，打开该文件，读取该文件数据，提供给用户；否则允许该进程打开文件，而不读取文件数据，仅向用户提供不包含任何文件数据的空白文件。

资源描述

《一种基于内核过滤驱动的数据安全隔离方法.pdf》由会员分享，可在线阅读，更多相关《一种基于内核过滤驱动的数据安全隔离方法.pdf（5页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104102885A43申请公布日20141015CN104102885A21申请号201410272385722申请日20140619G06F21/6220130171申请人肖龙旭地址100094北京市海淀区北清路109号申请人北京凯锐立德科技有限公司72发明人肖龙旭张凯丁凯陈炫岳翔74专利代理机构中国人民解放军第二炮兵专利服务中心11040代理人肖进54发明名称一种基于内核过滤驱动的数据安全隔离方法57摘要本发明属于计算机信息安全技术领域，特别涉及电子文档加解密方法。一种基于内核过滤驱动的数据安全隔离方法，并执行以下步骤当用户打开文件时，操作系统内核驱动程序及应用层程序对。

2、用户打开文件所使用的进程进行安全校验，如果不是安全进程，则拒绝打开文件；否则进一步判断用户要打开的文件是否为受加密保护的文件；如果不是则打开该文件，读取该文件数据；如果是受加密保护的文件，则进一步判断该进程是否具有使用文件数据的权限，确定打开该文件，读取该文件数据；或仅允许该进程打开文件，而不读取文件数据。本发明使非授权用户进程无法接触到受保护加密电子文档，从而克服了现有加解密方法的不足，提高了加密电子文档的安全性。51INTCL权利要求书1页说明书2页附图1页19中华人民共和国国家知识产权局12发明专利申请权利要求书1页说明书2页附图1页10申请公布号CN104102885ACN104102。

3、885A1/1页21一种基于内核过滤驱动的数据安全隔离方法，它使用包括操作系统内核驱动程序、应用层程序的客户端程序，以及一个策略服务器，并执行以下步骤A、当用户打开文件时，所述操作系统内核驱动程序获得用户打开文件的请求及所使用的进程，将该进程信息发送给所述应用层程序；B、所述应用层程序从所述策略服务器获取安全进程列表，对用户打开文件所使用的进程进行安全校验，并将校验结果返回给所述操作系统内核驱动程序；C、如果所述校验结果表明用户打开文件所使用的进程不是安全进程，则所述操作系统内核驱动程序拒绝该进程打开文件；否则执行D步骤；D、所述操作系统内核驱动程序进一步判断用户要打开的文件是否为受加密保护的。

4、文件；如果不是受加密保护的文件，则打开该文件，读取该文件数据，提供给用户；如果是受加密保护的文件，则执行E步骤；E、所述操作系统内核驱动程序将该信息返回给所述应用层程序，所述应用层程序通过所述策略服务器获取进程的权限列表，判断该进程是否具有使用文件数据的权限，并将判断结果返回给所述操作系统内核驱动程序；F、如果所述判断结果表明该进程具有使用文件数据的权限，则所述操作系统内核驱动程序将文件索引和文件数据进行映射，打开该文件，读取该文件数据，提供给用户；否则允许该进程打开文件，而不读取文件数据，仅向用户提供不包含任何文件数据的空白文件。权利要求书CN104102885A1/2页3一种基于内核过滤驱。

5、动的数据安全隔离方法技术领域0001本发明属于计算机信息安全技术领域，特别涉及电子文档加解密方法。背景技术0002常用的电子文档加解密方法虽然对电子文档采取了一系列的保护措施，但加密的电子文档从文件创建开始到彻底删除，始终保存在当前终端计算机上。只要获得这些加密数据文件，虽然是密文乱码，但由于其中包含了原电子文档的全部内容，所以理论上总有技术手段可以将其恢复成明文的原电子文档。发明内容0003本发明的目的是提供一种更安全的加密电子文档保护方法，有效保证加密电子文档安全。0004本发明的技术方案是一种基于内核过滤驱动的数据安全隔离方法，它使用包括操作系统内核驱动程序、应用层程序的客户端程序，以及。

6、一个策略服务器，并执行以下步骤0005A、当用户打开文件时，所述操作系统内核驱动程序获得用户打开文件的请求及所使用的进程，将该进程信息发送给所述应用层程序；0006B、所述应用层程序从所述策略服务器获取安全进程列表，对用户打开文件所使用的进程进行安全校验，并将校验结果返回给所述操作系统内核驱动程序；0007C、如果所述校验结果表明用户打开文件所使用的进程不是安全进程，则所述操作系统内核驱动程序拒绝该进程打开文件；否则执行D步骤；0008D、所述操作系统内核驱动程序进一步判断用户要打开的文件是否为受加密保护的文件；如果不是受加密保护的文件，则打开该文件，读取该文件数据，提供给用户；如果是受加密保。

7、护的文件，则执行E步骤；0009E、所述操作系统内核驱动程序将该信息返回给所述应用层程序，所述应用层程序通过所述策略服务器获取进程的权限列表，判断该进程是否具有使用文件数据的权限，并将判断结果返回给所述操作系统内核驱动程序；0010F、如果所述判断结果表明该进程具有使用文件数据的权限，则所述操作系统内核驱动程序将文件索引和文件数据进行映射，打开该文件，读取该文件数据，提供给用户；否则允许该进程打开文件，而不读取文件数据，仅向用户提供不包含任何文件数据的空白文件。0011本发明使非授权用户进程无法接触到受保护加密电子文档，从而克服了现有加解密方法的不足，提高了加密电子文档的安全性。附图说明001。

8、2附图1为本发明流程图。说明书CN104102885A2/2页4具体实施方式0013参见附图1，一种基于内核过滤驱动的数据安全隔离方法，它使用包括操作系统内核驱动程序、应用层程序的客户端程序，以及一个策略服务器，并执行以下步骤0014A、当用户打开文件时，所述操作系统内核驱动程序获得用户打开文件的请求及所使用的进程，将该进程信息发送给所述应用层程序；0015B、所述应用层程序从所述策略服务器获取安全进程列表，对用户打开文件所使用的进程进行安全校验，并将校验结果返回给所述操作系统内核驱动程序；0016C、如果所述校验结果表明用户打开文件所使用的进程不是安全进程，则所述操作系统内核驱动程序拒绝该进。

9、程打开文件；否则执行D步骤；0017D、所述操作系统内核驱动程序进一步判断用户要打开的文件是否为受加密保护的文件；如果不是受加密保护的文件，则打开该文件，读取该文件数据，提供给用户；如果是受加密保护的文件，则执行E步骤；0018E、所述操作系统内核驱动程序将该信息返回给所述应用层程序，所述应用层程序通过所述策略服务器获取进程的权限列表，判断该进程是否具有使用文件数据的权限，并将判断结果返回给所述操作系统内核驱动程序；0019F、如果所述判断结果表明该进程具有使用文件数据的权限，则所述操作系统内核驱动程序将文件索引和文件数据进行映射，打开该文件，读取该文件数据，提供给用户；否则允许该进程打开文件，而不读取文件数据，仅向用户提供不包含任何文件数据的空白文件。说明书CN104102885A1/1页5图1说明书附图CN104102885A。

展开阅读全文