CN112597534A - 一种文件保护方法、装置、存储介质及电子装置 - Google Patents

一种文件保护方法、装置、存储介质及电子装置 Download PDF

Info

Publication number
CN112597534A
CN112597534A CN202011477411.1A CN202011477411A CN112597534A CN 112597534 A CN112597534 A CN 112597534A CN 202011477411 A CN202011477411 A CN 202011477411A CN 112597534 A CN112597534 A CN 112597534A
Authority
CN
China
Prior art keywords
file
target
node value
policy
target process
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011477411.1A
Other languages
English (en)
Inventor
赵树升
邵培杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Dahua Technology Co Ltd
Original Assignee
Zhejiang Dahua Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Dahua Technology Co Ltd filed Critical Zhejiang Dahua Technology Co Ltd
Priority to CN202011477411.1A priority Critical patent/CN112597534A/zh
Publication of CN112597534A publication Critical patent/CN112597534A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例提供了一种文件保护方法、装置、存储介质及电子装置,其方法包括在确定目标进程需要对目标文件执行目标处理的情况下,获取目标文件的节点值;在目标文件的节点值满足第一条件的情况下,根据策略文件中的进程的标识ID,检测目标进程的授权状态其中,节点值用于标识目标文件;在检测到目标进程已被授权的情况下,控制目标进程对目标文件执行目标处理。通过本发明,解决了相关技术中存在的无法有效对违规操作隐私数据的用户行为进行拦截的问题,进而达到了对违规操作隐私数据的用户行为进行有效拦截,增强隐私保护能力的效果。

Description

一种文件保护方法、装置、存储介质及电子装置
技术领域
本发明实施例涉及云系统网络安全技术领域,具体而言,涉及一种文件保护方法、装置、存储介质及电子装置。
背景技术
随着用户对个人隐私的重视,许多防止个人隐私数据被泄露的隐私保护方案被提出,虽然这些方案在一定程度上保证了用户的隐私数据的安全,但是却无法在用户违规操作隐私数据时给用户提示并对用户行为进行拦截。
同时由于各国及地区出台了各种个人数据隐私保护法案,将个人隐私数据的保护力度上升到国家层面,在此前提下,如何主动有效地检测不符合法律法规的违规操作并进行阻止和反馈,做到有效保护个人隐私数据、使产品合规化,已经成为云系统供应商和用户关心的一个重点。
发明内容
本发明实施例提供了一种文件保护方法、装置、存储介质及电子装置,以至少解决相关技术中存在的无法有效对违规操作隐私数据的用户行为进行拦截的问题。
根据本发明的一个实施例,提供了一种文件保护方法,包括:
在确定目标进程需要对目标文件执行目标处理的情况下,获取所述目标文件的节点值,其中,所述节点值用于标识所述目标文件;
在所述目标文件的节点值满足第一条件的情况下,根据策略文件中的目标进程的标识ID,检测所述目标进程的授权状态,其中,所述目标进程的ID用于标识所述目标进程,所述策略文件用于确定对受保护文件进行目标处理的进程的权限;
在检测到所述目标进程已被授权的情况下,控制所述目标进程对所述目标文件执行目标处理。
在一个示例性实施例中,在获取所述目标文件的节点值之前,所述方法还包括:
创建策略脚本,其中,所述策略脚本包括所述受保护文件的节点值及已授权的进程的ID;
根据策略脚本生成所述策略文件
在一个示例性实施例中,所述获取所述目标文件的节点值之前,所述方法还包括:
读取所述策略文件中记录的与所述目标文件对应的策略信息;
在确定所述策略信息符合预定要求的情况下,将所述目标文件与用于对所述目标文件进行目标处理的处理函数相关联。
在一个示例性实施例中,在获取所述目标文件的节点值之后,所述方法还包括:
获取第一节点值,其中,所述第一节点值为所述策略文件中包括的所述目标文件的节点值;
在确定所述第一节点值不为0的情况下,将所述目标文件的节点值与所述第一节点值进行匹配;
在确定匹配的情况下,确定所述目标文件的节点值满足所述第一条件;
在确定不匹配的情况下,确定所述目标文件的节点值不满足所述第一条件。
在一个示例性实施例中,在获取第一节点值之后,所述方法还包括:
在所述第一节点值为0的情况下,读取所述目标文件的全路径;
将所述目标文件的全路径与所述策略文件中包括的所述受保护文件的全路径相匹配;
在确定匹配的情况下,将所述目标文件的节点值保存到所述策略文件中以更新所述策略文件中存储的节点值。
在一个示例性实施例中,所述根据所述目标进程的ID,检测所述目标进程的授权状态包括:
判断所述策略文件中是否包含所述目标进程的ID;
基于判断结果确定所述目标进程的授权状态,其中,在判断结果为包含的情况下,确定所述目标进程为授权进程。
在一个示例性实施例中,在判断所述策略文件中是否包含所述目标进程的ID之后,所述方法还包括:
在判断结果为不包含的情况下,获取所述目标进程的磁盘文件的文件信息,其中,所述文件信息包括文件长度及文件摘要;
将所述目标进程的磁盘文件的文件信息与所述策略文件中包括的已授权的进程的文件信息相匹配;
基于所述目标进程的磁盘文件的文件信息与所述策略文件中包括的所述已授权的进程的文件信息的匹配结果,确定所述目标进程的授权状态,其中,在所述匹配结果为匹配的情况下,确定所述目标进程为已授权的进程,在所述匹配结果为不匹配的情况下,确定所述目标进程为未授权的进程。
在一个示例性实施例中,
所述判断所述策略文件中是否包含所述目标进程的ID包括:
判断所述策略文件中的PID数组中是否包含所述目标进程的ID,其中,所述PID数组用于存储对受保护文件进行目标处理的的进程的ID;
在所述目标文件的文件信息与所述策略文件中包括的所述受保护文件的文件信息相匹配的情况下,所述方法还包括:将所述目标进程的ID插入所述PID数组中。
根据本发明的另一个实施例,提供了一种文件保护装置,包括:
节点值采集模块,用于在确定目标进程需要访问目标文件的情况下,获取所述目标文件的节点值,其中,所述节点值用于标识所述目标文件;
授权检测模块,用于在所述目标文件的节点值满足第一条件的情况下,根据策略文件中的目标进程的标识ID,检测所述目标进程的授权状态,其中,所述目标进程的ID用于标识所述目标进程,所述策略文件用于确定访问受保护文件的进程的权限;
处理模块,用于在检测到所述目标进程已被授权的情况下,控制所述目标进程对所述目标文件执行目标处理。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,由于分别对目标文件的节点值和目标进程的ID进行判断,因此,可以解决无法有效对违规操作隐私数据的用户行为进行拦截的问题,达到避免未授权的进程访问受保护文件的效果。
附图说明
图1是本发明实施例的一种文件保护方法的移动终端的硬件结构框图;
图2是根据本发明实施例的一种文件保护方法的流程图;
图3是根据本发明实施例的一种文件保护装置的结构框图;
图4是本发明实施例中表示文件保护过程的结构示意图;
图5是根据本发明中具体实施例的表示文件保护过程的流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明的实施例。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例中所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图1是本发明实施例的一种文件保护方法的移动终端的硬件结构框图。如图1所示,移动终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,其中,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种文件保护方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种文件保护方法,图2是根据本发明实施例的的流程图,如图2所示,该流程包括如下步骤:
步骤S202,在确定目标进程需要对目标文件执行目标处理的情况下,获取目标文件的节点值,其中,节点值用于标识目标文件;
在本实施例中,目标进程用于执行对目标条件进行目标处理的动作,目标进程可以是一段程序,也可以是脚本文件,还可以是进程函数,只要能够执行目标处理动作即可;目标处理可以(但不限于)包括对目标文件进行解密或加密,也可以是对目标文件进行拷贝或转移,还可以是对目标文件进行销毁等处理;节点值可以是由多位纯数字组成,也可以是由多位数字与字母的组合构成,还可以是一位数字或字母,只要能够标识目标文件即可;其中,节点值可以包含目标文件的文件信息,如全路径、文件长度、文件大小等信息,也可以是不包含目标文件的文件信息的随机数字或字母。
需要说明的是,获取目标文件的节点值可以(但不限于)是通过对节点值的识别来获得,也可以是目标文件将节点值发送至目标进程来获得,只要能够对目标文件的节点值进行采集即可。
步骤S204,在目标文件的节点值满足第一条件的情况下,根据策略文件中的目标进程的ID(Idengtity document,身份标识号码),检测目标进程的授权状态,其中,目标进程的ID用于标识目标进程,策略文件用于确定对受保护文件进行目标处理的进程的权限;
在本实施例中,目标进程的ID可以是由多位纯数字组成,也可以是由多位数字与字母的组合构成,还可以是一位数字或字母,只要能够标识目标进程即可;其中,目标进程的ID可以包含目标进程的进程信息,如进程路径、进程大小等信息,也可以是不包含目标进程的进程信息的随机数字或字母;策略文件可以(但不限于)在包含访问受保护文件的进程的权限的基础上,还包含受保护文件的节点值以及带保护文件的文件信息的等。
其中,策略文件确定访问受保护文件的进程的权限的过程可以是通过将目标进程的ID与策略文件中的进程的ID作比较来确定,例如,目标进程的ID与策略文件中的进程的ID相同,则判定目标进程为已授权的进程,否则为未授权的进程,从而拒绝执行目标处理;也可以是通过预设的算法来确定,还可以是通过其它方式进行确定,只要能够实现对目标进程的授权状态的确定即可。
步骤S206,在检测到目标进程已被授权的情况下,控制目标进程对目标文件执行目标处理。
通过上述步骤,由于分别对目标文件的节点值和目标进程的ID进行判断,因此,可以解决用户违规操作隐私数据时不能有效对用户行为进行拦截的问题,达到避免未授权的进程访问受保护文件的效果。
在一个可选的实施例中,在获取目标文件的节点值之前,该方法还包括:
步骤S2002,创建策略脚本,其中,策略脚本包括受保护文件的节点值及已授权的进程的ID;
步骤S2004,根据策略脚本生成策略文件。
在本实施例中,创建策略脚本时,填写并保存受保护文件的文件信息以及受保护文件的访问权限,其中,每个受保护文件的文件信息分别包含该文件的路径、节点值,除此之外,策略脚本还可以包括能够对该文件进行目标处理的已授权的进程的列表、每个已授权的进程的相应的执行目标处理的权限等;其中,能够对该文件进行目标处理的已授权的进程的列表至少包含已授权的进程的ID的列表,也可以包含其它信息;且每个已授权的进程的相应的执行目标处理的权限可以是一个进程执行多个目标处理的权限,也可以是一个目标处理由多个进程共同实现或单独实现的权限;例如,对目标文件进行解密处理时,可以是通过一个包含SYS_READ函数(System read,系统读函数)的进程完成,也可以是由多个包含SYS_READE函数的进程独立或共同完成。
在完成策略脚本的创建后,将策略脚本中的语言转化为能够使机器设备进行识别读取的语言,从而生成策略文件;例如,将非二进制语言转化为二进制语言,或将汉语文字转化为Java等程序语言。
需要说明的是,在完成语言转化后的策略文件中,受保护文件的数据结构至少包含文件类型、文件全路径名、文件全路径名长度、文件自身长度、文件摘要(哈希)、文件访问权限、文件节点编号和授权程序的进程号列表等;已授权的进程的数据结构中至少包含授权进程的全路径名、授权进程的全路径名长度、授权进程对受保护文件的访问权限、授权进程的进程文件长度、授权进程的文件摘要(通过哈希计算)以及插入匹配的进程ID(授权访问)等。
在一个可选的实施例中,获取目标文件的节点值之前,该方法还包括:
步骤S2006,读取策略文件中记录的与目标文件对应的策略信息;
步骤S2008,在确定策略信息符合预定要求的情况下,将目标文件与用于对目标文件进行处理的处理函数相关联。
在本实施例中,策略信息至少包括与目标文件对应的文件信息以及已授权的进程的ID;读取策略信息的方式可以是策略文件将策略信息发送至对应的读取设备,也可以是读取设备将策略信息复制获得,只要能够实现对策略信息的读取即可。
预定要求可以是读取的策略信息与预设的策略信息相比无错误,也可以是通过预设的算法确定策略信息无错误,例如判断读取的策略信息的错误概率小于0.1即判定读取的策略信息无误;还可以是其它要求,此处不再赘述。
在一个可选的实施例中,在获取目标文件的节点值之后,该方法还包括:
步骤S2022,获取第一节点值,其中,第一节点值为策略文件中包括的目标文件的节点值;
步骤S2024,在确定第一节点值不为0的情况下,将目标文件的节点值与第一节点值进行匹配;
步骤S2026,在确定匹配的情况下,确定目标文件的节点值满足第一条件;
步骤S2028,在确定不匹配的情况下,确定目标文件的节点值不满足第一条件。
在本实施例中,若获取的第一节点值不为0,则表示对应的目标文件非第一次使用,此时只需要匹配目标文件的节点值即可,节约了检测时间,提高了检测效率。
其中,目标文件的节点值与第一节点值的匹配过程可以是将目标文件的节点值依次与策略文件内的第一节点值相比较,也可以是根据目标文件的节点值搜索第一节点值,还可以是通过预设的算法匹配第一节点值,例如,预先存储第一节点值的存储位置,当需要进行匹配时,根据目标文件的节点值指示与目标文件的节点值相对应的第一节点值的存储位置,并反馈匹配结果。
需要说明的是,当目标文件的节点值与第一节点值匹配成功时,则表示对应的目标文件为受保护文件,同时反馈匹配成功信息;匹配成功信息可以是以模拟信号的方式发送,也可以是以数字信号的方式进行发送;当目标文件的节点值与第一节点值匹配不成功时,则表示对应的目标文件为非受保护文件,同时反馈匹配不成功信息,并允许执行对于对目标文件执行对应的处理动作。
在一个可选的实施例中,在获取第一节点值之后,该方法还包括:
步骤S2030,在第一节点值为0的情况下,读取目标文件的全路径;
步骤S2032,将目标文件的全路径与策略文件中包括的受保护文件的全路径相匹配;
步骤S2034,在确定匹配的情况下,将目标文件的节点值保存到策略文件中以更新策略文件中存储的节点值。
在本实施例中,若获取的第一节点值是0,说明是第一次对目标文件进行处理,则将获取的目标文件的全路径与策略文件中存储的受保护文件的全路径进行匹配。
其中,目标文件的全路径与策略文件中包括的受保护文件的全路径的匹配过程可以是将目标文件的全路径依次与策略文件中包括的受保护文件的全路径相比较,也可以是根据目标文件的全路径搜索策略文件中包括的受保护文件的全路径,还可以是通过预设的算法匹配策略文件中包括的受保护文件的全路径,例如,预先存储策略文件中包括的受保护文件的全路径的存储位置,当需要进行匹配时,根据目标文件的全路径指示与目标文件的全路径相对应的策略文件中包括的受保护文件的全路径的存储位置,并反馈匹配结果。
需要说明的是,当目标文件的全路径与策略文件中包括的受保护文件的全路径匹配成功时,则反馈匹配成功信息;匹配成功信息可以是以模拟信号的方式发送,也可以是以数字信号的方式进行发送;当目标文件的全路径与第一节点值匹配不成功时,则反馈匹配不成功信息。
随后在匹配成功的情况下,则将目标文件的节点值保存到策略文件中以更新策略文件中存储的节点值,从而使得对应的进程在下次对目标文件执行处理动作时,只需比对目标文件的节点值和策略文件中的节点值是否匹配即可,节约了文件匹配时间。
其中,由于节点值为数字或数字与字母的组合,因而将目标文件的节点值保存到策略文件中的方式可以是将节点值存储至方便进行机器识别的PID数组中,也可以是存储至存储设备中,还可以是其它存储方式,此处不再赘述。
在一个可选的实施例中,根据目标进程的ID,检测目标进程的授权状态包括:
步骤S2042,判断策略文件中是否包含目标进程的ID;
步骤S2044,基于判断结果确定目标进程的授权状态,其中,在判断结果为包含的情况下,确定目标进程为授权进程。
在本实施例中,判断策略文件中是否包含目标进程的ID的方式可以是将目标进程的ID依次与策略文件中包含的进程的ID进行比较,也可以是通过预设的算法进行判断,例如通过算法检测目标进程的ID组成是否符合预设规则,还可以是通过其它方式进行判断。
当目标进程的ID与策略文件中包含的进程ID一致时,则判断策略文件包含目标进程的ID,从而判断目标进程为授权ID,即判断目标进程为合法操作;当标进程的ID与策略文件中包含的进程ID不一致时,则判断策略文件策不包含目标进程的ID,随后判断目标进程是否为非法进程,此时需要通过其它方式对目标进程的授权情况做进一步检测;例如可以获取目标进程的其它进程信息,并将目标进程的其它进程信息与策略文件中的进程的对应的进程信息进行匹配;其中,其它进程信息可以(但不限于)包括目标进程的大小、全路径、权限、文件摘要等。
在一个可选的实施例中,在判断策略文件中是否包含目标进程的ID之后,该方法还包括:
步骤S2046,在判断结果为不包含的情况下,获取目标进程的磁盘文件的文件信息,其中,文件信息包括文件长度及文件摘要;
步骤S2048,将目标进程的磁盘文件的文件信息与策略文件中包括的已授权的进程的文件信息相匹配;
步骤S2050,基于目标进程的磁盘文件的文件信息与策略文件中包括的已授权的进程的文件信息的匹配结果,确定目标进程的授权状态,其中,在匹配结果为匹配的情况下,确定目标进程为已授权的进程,在匹配结果为不匹配的情况下,确定目标进程为未授权的进程。
在本实施例中,目标进程的磁盘文件的文件信息还可以包括文件类型、文件全路径名长度、文件自身长度、文件摘要(哈希)、文件访问权限、文件节点编号和授权程序的进程号列表等;获取目标进程的磁盘文件的文件信息的方式可以是通过读取设备进行读取获得,也可以是通过预设的算法获得;将目标进程的磁盘文件的文件信息与策略文件中包括的已授权的进程的文件信息相匹配的过程可以有与前述的信息或节点值的匹配方式相同,也可以是不同,此处不再赘述。
其中,当在匹配结果为匹配的情况下,确定目标进程为已授权的进程,随后执行与目标处理相对应的目标操作;在匹配结果为不匹配的情况下,确定目标进程为未授权的进程,即目标进程为非法操作,此时对目标进程进行拦截并进行提示,提示方式可以是通过语音进行播报,也可以是通过屏幕进行显示,还可以是语音播报与屏幕显示的结合。
例如,当在策略文件中未包含目标进程的ID时,将该进程的文件路径和进程映像的哈希值于策略文件中的已授权的进程的文件路径以及哈希值进行匹配,如果匹配到,则将该进程ID记录到策略文件中,随后当再次执行匹配操作的时候,就无需再计算进程文件哈希以及匹配进程全路径,从而提高文件匹配速度。
在一个可选的实施例中,判断策略文件中是否包含目标进程的ID包括:
步骤S2052,判断策略文件中的PID(Packet Identifier,标志码传输包)数组中是否包含目标进程的ID,其中,PID数组用于存储对受保护文件进行目标处理的进程的ID;
在目标文件的文件信息与策略文件中包括的受保护文件的文件信息相匹配的情况下,该方法还包括:
步骤S2054,将目标进程的ID插入PID数组中。
在本实施例中,PID数组可以(但不限于)用于存储数字,也可以用于存储字符串,因而可以将全路径、节点值等文件信息以及进程的ID等进程信息存储在PID数组中,当需要进行文件信息或进程信息的检测或匹配时,可以通过调用的方式进行检测或匹配,也可以通过扫描的方式进行比较或匹配;其中,为适应于进程或目标文件进行扩展,PID数组内预留有空存储区域,空存储区域用以存储扩展后的进程的进程信息或目标文件的文件信息。
在将目标进程的ID插入PID数组时,将目标进程的ID插入PID数组的空存储区域,以避免因目标进程的ID的插入造成的数据丢失或错误,在重新访问目标文件或调用对应的目标进程时,只需匹配对应的目标文件的节点值或目标进程的ID即可。
需要说明的是,PID数组可以存储在PID数据处理模块中,也可以是存储在其它数据存储设备中,此处不再赘述。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
在本实施例中还提供了一种文件保护装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是根据本发明实施例的一种文件保护装置的结构框图,如图3所示,该装置包括:
节点值采集模块32,用于在确定目标进程需要访问目标文件的情况下,获取目标文件的节点值,其中,节点值用于标识所述目标文件;
授权检测模块34,用于在目标文件的节点值满足第一条件的情况下,根据策略文件中的目标进程的标识ID,检测目标进程的授权状态,其中,目标进程的ID用于标识目标进程,策略文件用于确定访问待保护文件的进程的权限;
处理模块36,用于在检测到目标进程已被授权的情况下,控制目标进程对所述目标文件执行目标处理。
在一个可选的实施例中,该装置还包括:
脚本创建模块302,用于在获取目标文件的节点值之前创建策略脚本,其中,策略脚本包括待保护文件的节点值及已授权的进程的ID;
策略生成模块304,用于根据策略脚本生成策略文件。
在一个可选的实施例中,该装置还包括:
策略读取模块306,用于在获取目标文件的节点值之前,读取策略文件中记录的与目标文件对应的策略信息;
策略关联模块308,用于在确定策略信息符合预定要求的情况下,将目标文件与用于对目标文件进行处理的处理函数相关联。
在一个可选的实施例中,节点采集模块32包括:
第一节点采集单元322,用于在获取目标文件的节点值之后,获取第一节点值,其中,第一节点值为策略文件中包括的目标文件的节点值;
第一节点匹配单元324,用于在确定第一节点值不为0的情况下,将目标文件的节点值与第一节点值进行匹配;
第一条件判定单元326,用于在确定匹配的情况下,确定目标文件的节点值满足第一条件;
第二条件判定单元328,用于在确定不匹配的情况下,确定目标文件的节点值不满足第一条件。
在一个可选的实施例中,节点采集模块32还包括:
路径读取单元330,用于在获取第一节点值之后,且在第一节点值为0的情况下,读取目标文件的全路径;
路径匹配单元332,用于将目标文件的全路径与策略文件中包括的待保护文件的全路径相匹配;
节点更新单元324,用于在确定匹配的情况下,将目标文件的节点值保存到策略文件中以更新策略文件中存储的节点值。
在一个可选的实施例中,授权检测模块34还包括:
进程ID判断单元342,用于判断策略文件中是否包含目标进程的ID;
进程授权判断单元344,用于基于判断结果确定目标进程的授权状态,其中,在判断结果为包含的情况下,用于确定目标进程为授权进程。
在一个可选的实施例中,授权检测模块34包括:
文件信息采集单元346,用于在判断所述策略文件中是否包含所述目标进程的ID之后,且在判断结果为不包含的情况下,获取目标进程的磁盘文件的文件信息,其中,文件信息包括文件长度及文件摘要;
文件信息匹配单元348,用于将目标进程的磁盘文件的文件信息与策略文件中包括的已授权的进程的文件信息相匹配;
匹配确定单元350,用于基于目标进程的磁盘文件的文件信息与策略文件中包括的已授权的进程的文件信息的匹配结果,确定目标进程的授权状态,其中,在匹配结果为匹配的情况下,确定目标进程为已授权的进程,在匹配结果为不匹配的情况下,确定目标进程为未授权的进程。
在一个可选的实施例中,
进程ID判断单元342包括:
PID判断子单元3422,用于判断策略文件中的PID数据中是否包含目标进程的ID,其中,PID数据用于存储访问待保护文件的进程的ID;
匹配确定单元350包括:
PID更新子单元3502,用于在所述目标文件的文件信息与所述策略文件中包括的所述受保护文件的文件信息相匹配的情况下,将目标进程的ID插入PID数组中。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
下面结合具体实施例对本发明进行说明:
如图4及图5所示,内核模块ko首先会将策略文件读取至内存(对应图5步骤S501);校验策略文件无误后,会挂钩系统内核函数SYS_READ和SYS_WRITE函数(对应图5步骤S502);随后加载外部程序后,如果要读文件,ko会先将目标文件的节点值(加载后的唯一值)与保存在策略文件中的节点值比较,相同则是受保护的文件(对应图5步骤S503)。
其中,如果保护的节点值是0,说明是第一次使用该文件,则将该文件的全路径和策略文件中存储的全路径进行匹配(对应图5步骤S504)。
如果该文件的全路径和策略文件中存储的全路径能够匹配,则将文件的节点值保存到策略中的节点值中(对应图5步骤S505)。再根据当前的进程ID和策略中的文件序号,到策略进程列表中查询进程中的PID数组,是否为授权的进程(对应图5步骤S506)。
如果查不到,可能是该进程第一次读取受保护文件,则获取其全路径名(对应图5步骤S507);如果与策略文件中的文件全路径描述匹配,则再比对其文件长度和文件摘要(对应图5步骤S508)。
其中,若其文件长度和文件摘要均与策略文件中的文件长度和文件摘要相同,则是授权进程,同时将进程ID插入策略文件的PID数组中(对应图5步骤S509),然后进程完成数据加密或解密(对应图5步骤S510);否则返回0,表示拒绝读或写操作(对应图5步骤S511)。
本发明的实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述计算机可读存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
本实施例中的具体示例可以参考上述实施例及示例性实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (11)

1.一种文件保护方法,其特征在于,包括:
在确定目标进程需要对目标文件执行目标处理的情况下,获取所述目标文件的节点值,其中,所述节点值用于标识所述目标文件;
在所述目标文件的节点值满足第一条件的情况下,根据策略文件中的目标进程的标识ID,检测所述目标进程的授权状态,其中,所述目标进程的ID用于标识所述目标进程,所述策略文件用于确定对受保护文件进行目标处理的进程的权限;
在检测到所述目标进程已被授权的情况下,控制所述目标进程对所述目标文件执行目标处理。
2.根据权利要求1所述的方法,其特征在于,在获取所述目标文件的节点值之前,所述方法还包括:
创建策略脚本,其中,所述策略脚本包括所述受保护文件的节点值及已授权的进程的ID;
根据策略脚本生成所述策略文件。
3.根据权利要求1所述的方法,其特征在于,所述获取所述目标文件的节点值之前,所述方法还包括:
读取所述策略文件中记录的与所述目标文件对应的策略信息;
在确定所述策略信息符合预定要求的情况下,将所述目标文件与用于对所述目标文件进行目标处理的处理函数相关联。
4.根据权利要求1所述的方法,其特征在于,在获取所述目标文件的节点值之后,所述方法还包括:
获取第一节点值,其中,所述第一节点值为所述策略文件中包括的所述目标文件的节点值;
在确定所述第一节点值不为0的情况下,将所述目标文件的节点值与所述第一节点值进行匹配;
在确定匹配的情况下,确定所述目标文件的节点值满足所述第一条件;
在确定不匹配的情况下,确定所述目标文件的节点值不满足所述第一条件。
5.根据权利要求4所述的方法,其特征在于,在获取第一节点值之后,所述方法还包括:
在所述第一节点值为0的情况下,读取所述目标文件的全路径;
将所述目标文件的全路径与所述策略文件中包括的所述受保护文件的全路径相匹配;
在确定匹配的情况下,将所述目标文件的节点值保存到所述策略文件中以更新所述策略文件中存储的节点值。
6.根据权利要求1所述的方法,其特征在于,所述根据所述目标进程的ID,检测所述目标进程的授权状态包括:
判断所述策略文件中是否包含所述目标进程的ID;
基于判断结果确定所述目标进程的授权状态,其中,在判断结果为包含的情况下,确定所述目标进程为授权进程。
7.根据权利要求6所述的方法,其特征在于,在判断所述策略文件中是否包含所述目标进程的ID之后,所述方法还包括:
在判断结果为不包含的情况下,获取所述目标进程的磁盘文件的文件信息,其中,所述文件信息包括所述目标进程的磁盘文件的文件长度及文件摘要;
将所述目标进程的磁盘文件的文件信息与所述策略文件中包括的已授权的进程的文件信息相匹配;
基于所述目标进程的磁盘文件的文件信息与所述策略文件中包括的所述已授权的进程的文件信息的匹配结果,确定所述目标进程的授权状态,其中,在所述匹配结果为匹配的情况下,确定所述目标进程为已授权的进程,在所述匹配结果为不匹配的情况下,确定所述目标进程为未授权的进程。
8.根据权利要求7所述的方法,其特征在于,
所述判断所述策略文件中是否包含所述目标进程的ID包括:
判断所述策略文件中的PID数组中是否包含所述目标进程的ID,其中,所述PID数组用于存储对受保护文件进行目标处理的进程的ID;
在所述目标文件的文件信息与所述策略文件中包括的所述受保护文件的文件信息相匹配的情况下,所述方法还包括:将所述目标进程的ID插入所述PID数组中。
9.一种文件保护装置,其特征在于,包括:
节点值采集模块,用于在确定目标进程需要访问目标文件的情况下,获取所述目标文件的节点值,其中,所述节点值用于标识所述目标文件;
授权检测模块,用于在所述目标文件的节点值满足第一条件的情况下,根据策略文件中目标进程的标识ID,检测所述目标进程的授权状态,其中,所述目标进程的ID用于标识所述目标进程,所述策略文件用于确定访问受保护文件的进程的权限;
处理模块,用于在检测到所述目标进程已被授权的情况下,控制所述目标进程对所述目标文件执行目标处理。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至8任一项中所述的方法。
11.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求1至8任一项中所述的方法。
CN202011477411.1A 2020-12-15 2020-12-15 一种文件保护方法、装置、存储介质及电子装置 Pending CN112597534A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011477411.1A CN112597534A (zh) 2020-12-15 2020-12-15 一种文件保护方法、装置、存储介质及电子装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011477411.1A CN112597534A (zh) 2020-12-15 2020-12-15 一种文件保护方法、装置、存储介质及电子装置

Publications (1)

Publication Number Publication Date
CN112597534A true CN112597534A (zh) 2021-04-02

Family

ID=75196509

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011477411.1A Pending CN112597534A (zh) 2020-12-15 2020-12-15 一种文件保护方法、装置、存储介质及电子装置

Country Status (1)

Country Link
CN (1) CN112597534A (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101901313A (zh) * 2010-06-10 2010-12-01 中科方德软件有限公司 一种Linux文件保护系统及方法
CN106709034A (zh) * 2016-12-29 2017-05-24 广东欧珀移动通信有限公司 保护文件的方法、装置及终端
CN108549698A (zh) * 2018-04-16 2018-09-18 Oppo广东移动通信有限公司 文件处理方法、装置、移动终端及计算机可读存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101901313A (zh) * 2010-06-10 2010-12-01 中科方德软件有限公司 一种Linux文件保护系统及方法
CN106709034A (zh) * 2016-12-29 2017-05-24 广东欧珀移动通信有限公司 保护文件的方法、装置及终端
CN108549698A (zh) * 2018-04-16 2018-09-18 Oppo广东移动通信有限公司 文件处理方法、装置、移动终端及计算机可读存储介质

Similar Documents

Publication Publication Date Title
CN108647262B (zh) 一种图片管理方法、装置、计算机设备及存储介质
JP4464455B2 (ja) 情報処理装置
CN107103245B (zh) 文件的权限管理方法及装置
CN107743115B (zh) 一种终端应用的身份认证方法、装置和系统
CN112231647A (zh) 一种软件授权验证方法
CN110826092A (zh) 一种文件签名处理系统
CN112199644A (zh) 移动终端应用程序安全检测方法、系统、终端及存储介质
CN108965291B (zh) 混合应用程序的注册登录方法、系统及计算机设备
CN110034926A (zh) 物联网动态密码的生成及验证方法、系统和计算机设备
CN110826091B (zh) 一种文件签名方法、装置、电子设备及可读存储介质
CN114238874A (zh) 数字签章验证方法、装置、计算机设备和存储介质
CN106790243A (zh) 一种安全u盘的密码重置方法
KR101642267B1 (ko) 앱 위변조 방지시스템 및 그 방법
CN115795538A (zh) 脱敏文档的反脱敏方法、装置、计算机设备和存储介质
CN108256351B (zh) 文件处理方法和装置、存储介质及终端
CN109918877A (zh) 一种数据加密方法、系统、客户端及计算机可读存储介质
JP4350962B2 (ja) セキュアデバイス
US10666421B2 (en) Method of encryption, method for decrypting, devices and programs
CN109977692B (zh) 数据处理方法和装置、存储介质及电子设备
CN112231754A (zh) 一种电力边缘计算节点配置信息监控方法、系统及存储介质
CN111062030A (zh) 一种应用程序被篡改的识别方法及装置
CN112597534A (zh) 一种文件保护方法、装置、存储介质及电子装置
CN107222453A (zh) 一种文件传输方法及装置
CN109145645B (zh) 一种保护安卓手机中短信验证码的方法
CN114244620A (zh) 一种板卡入网验证方法、装置及板卡控制中心

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination