CN117786667A - 一种用于可控计算的进程权限管理方法、系统及存储介质 - Google Patents

Abstract

本发明实施例公开了一种用于可控计算的进程权限管理方法、系统及存储介质，实施本申请提供的方法，数据使用方只能从安全域中导出数据提供方授权的文件，保证了即使数据使用方作恶原始数据隐私也不被泄露或泄露的信息在可控范围内；分析结果文件导出后可供数据使用方进行后续使用，真正实现了数据可控使用。

Description

一种用于可控计算的进程权限管理方法、系统及存储介质

技术领域

本发明涉及计算机软件技术领域，具体涉及一种用于可控计算的进程权限管理方法、系统及存储介质。

背景技术

TPM是可信平台模块(Trusted Platform Module)的缩写，其核心是提供基于硬件的安全相关功能。TPM芯片是一种安全的加密处理器，旨在执行密码相关操作。TPM芯片包含多个物理安全机制以使其防篡改，并且恶意软件无法篡改TPM的安全功能。

TPM能生成一个秘钥，例如将该秘钥称作A秘钥，A秘钥由A公钥和A私钥组成。其中A私钥是TPM结合系统的度量值进行生成，任何人无法获取。其中度量值是系统启动时生成的一个完整性度量值，存储在TPM中。当硬件、固件以及任何功能模块被篡改，那么度量值会发生变化，进而和A秘钥不匹配，导致用A秘钥加密的文件无法解密。TPM保证了仅当本发明所依赖的各个系统组件都以正确的方式启动时，A秘钥才能被使用。同时，TPM包含将A秘钥加密的密文解密还原的功能。

全盘加密技术(LUKS)：某个磁盘分区里所有的数据都是用B秘钥加密的形式存在，B秘钥由B公钥和B私钥组成。

安全域是指使用了同一组B密钥加密的一个或多个磁盘分区。对于拥有B私钥设备的进程，安全域对于进程是完全透明的。而任何没有B私钥的进攻者即使破解了磁盘，拿到的也是加密后的数据，在没有B私钥的情况下无法解密，保证了数据安全。

LSM为Linux安全模块(Linux Security Modules)，LSM支持检查用户操作是否满足定义的安全策略的功能，包括诸如文件打开、关闭等几十种操作。如果用户操作不符合安全策略，如打开了安全域外的文件，LSM可以禁止该操作。

一种隐私计算场景：假设数据提供方拥有原始数据，数据提供方需要将原始数据发送给数据使用方进行加工、处理，获得结果文件。但是在整个过程中，原始数据不能被泄漏。

为解决该技术问题，申请号为202311241074.X的中国发明专利提供了一种数据可控使用方法，通过TPM(可信计算模块)保证了硬件、操作系统和其守护进程都是未经篡改的，称为度量启动，该方法的具体解决方案是：将数据使用方的存储/计算节点划分成数据提供方控制的安全域，隐私数据只能在安全域中被进程进行加工和处理。这保证了数据提供方的隐私数据虽然对数据使用方可见，但不能被写出安全域，即，安全域里的数据只能被进程读取但不能被写入安全域之外的文件中，从而避免了原始数据被数据使用方泄露的可能，防止了数据使用方以各种方式拷贝数据从而进行二次贩卖。

同时，此先前专利中指出，由于数据进行处理后的分析结果也只能在安全域中出现，数据使用方若想导出分析结果文件，就需要对系统的内核模块引入白名单功能，即由数据提供方授权某些可导出文件的规则。如何对安全域中的文件合理设置白名单，以满足不同场景下对结果文件的导出需求，成为亟需解决的技术问题。

发明内容

针对现有技术中的技术缺陷，本发明实施例的目的在于提供一种用于可控计算的进程权限管理方法、系统及存储介质，以对数据使用方的安全域中的文件合理设置白名单，满足不同场景下对结果文件的导出需求。

为实现上述目的，第一方面，本发明实施例提供了一种用于可控计算的进程权限管理方法，该方法运行于数据使用方的系统中，所述方法包括：

判断预设进程的当前状态；

若所述预设进程打开了预设安全域内的目标文件，响应所述预设进程以写方式打开所述预设安全域外的其它文件的请求，若所述目标文件的文件属性或其它文件的文件属性符合预设条件，则允许所述预设进程以写方式打开所述预设安全域外的所述其它文件；

若所述预设进程以写方式打开了所述预设安全域外的所述其它文件，响应所述预设进程打开所述预设安全域内的所述目标文件的请求，若所述目标文件的文件属性或其它文件的文件属性符合预设条件，则允许所述预设进程打开所述预设安全域内的所述目标文件；

其中，所述预设条件由数据提供方提供。

进一步，所述目标文件的文件属性符合预设条件，包括以下至少一种：

所述目标文件的哈希值符合预设条件；

所述目标文件的文件大小符合预设条件。

进一步，所述其它文件的文件属性符合预设条件，包括以下至少一种：

所述其它文件的文件大小符合预设条件；

所述其它文件所在的硬件符合预设条件。

进一步，所述硬件符合预设条件包括：

所述硬件的标识信息符合预设条件。

进一步，所述硬件的标识信息包括通用唯一识别码。

进一步，获取所述数据提供方提供的预设条件，包括：

接收所述数据提供方提供的用私钥对包括预设规则和预设参数的联合体的签名；

若验证所述签名合法，将所述预设规则和预设参数作为预设条件。

第二方面，本发明实施例还提供了一种用于可控计算的进程权限管理系统，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如第一方面所述的方法。

第三方面，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如第一方面所述的方法。

实施本发明实施例提供的方法，数据使用方只能从安全域中导出数据提供方授权的文件，保证了即使数据使用方作恶原始数据隐私也不被泄露或泄露的信息在可控范围内；分析结果文件导出后可供数据使用方进行后续使用，真正实现了数据可控使用。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。

图1是本发明实施例提供的实际环境中数据提供方和数据使用方之间的数据交互示意图；

图2是本发明实施例提供的数据提供方和数据使用方的结构示意图；

图3是本发明实施例提供的数据提供方向数据使用方授权的流程示意图；

图4是本发明实施例提供的一种用于可控计算的进程权限管理方法的流程图；

图5是本发明实施例提供的一种用于可控计算的进程权限管理系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。

如图1所示，本实施例中所描述的实际环境中包含数据提供方和数据使用方两方，数据提供方和数据使用方均为相应的系统终端。数据提供方提供数据，数据使用方在设置的安全域中对数据进行加工、处理，数据虽然可见，但仍不能被写出安全域，不允许将数据写入安全域之外的部分，即安全域里的数据只能被应用进程读取但不能被写入安全域之外的文件。进程是操作系统提供的一个抽象概念，使得程序在运行时看起来好像在独占的使用CPU，内存以及I/O设备。

安全域是一个逻辑上的概念，指由相应密钥和加密算法保护的存储、计算单元，可以包括使用了同一组密钥加密的一个或多个磁盘分区。安全域可以由数据使用方自行指定安全域范围，也可以由数据提供方进行指定，例如可以将某个磁盘分区或磁盘整体全部作为安全域。配置好安全域后，利用全盘加密技术(LUKS)，该安全域内的所有的数据都是用第二非对称秘钥加密的形式存在，第二非对称秘钥由数据提供方生成并导入。

在申请号为202311241074.X的中国发明专利公开的一种数据可控使用方法中，如图2所示，数据使用方包括实用程序模块、守护模块和内核模块。其中，实用程序模块是供用户进行操作、配置的工具，其提供了诸如初始化安全域、扩展安全域、删除安全域、从安全域中导出数据等操作。

守护模块是运行在系统中的守护进程，功能包括初始化系统，为实用程序模块处理相关的操作，为内核提供关于安全域的配置，以及与数据提供方通信。

内核模块是对Linux内核进行了修改后，运行在Linux内核中的LSM模块。内核模块按照守护模块给出的配置检查进程对文件的读写操作。LSM模块不会改变进程，只会对进程操作进行判断,一个读取了安全域中的数据的进程，仅能在安全域中进行写操作。

该方法的实现依赖于TPM的度量启动，数据使用方的系统初始化完成后，包括系统重启后，守护模块会将系统的度量值储存到TPM中。所述系统的度量值度量的内容包括硬件、固件以及各种功能模块。TPM根据系统的度量值生成一对第一非对称秘钥，第一非对称秘钥包括第一公钥和第一私钥，第一私钥存储在TPM中，除TPM外的任何第三方均无法获取该第一私钥。

进一步，为使数据提供方能验证第一公钥是由TPM产生且系统度量值合法，其它任何人无法伪造，TPM会根据所述系统的度量值附带生成一个第一非对称秘钥证明，所述第一非对称秘钥证明为所述TPM给出的包含所述系统的度量值的签名。

守护模块会同步将该第一非对称秘钥证明和第一公钥同步发送给数据提供方，数据提供方可以根据该第一非对称秘钥证明对第一公钥进行验证，保证第一公钥的真实性。

系统启动后，守护模块会验证系统的度量值是否合法，若非法，则返回错误。若系统硬件、操作系统和/或功能模块存在被篡改的情况，则系统的度量值会与系统初始化完成后的度量值不同。

数据提供方通过设置模块生成或导入一对第二非对称秘钥，并传给服务器模块，第二非对称秘钥包括第二公钥和第二私钥。服务器模块将第二私钥用第一公钥加密得到第一加密数据，将第一加密数据发送给守护模块。

守护模块收到第一加密数据后，调用TPM的解密功能通过第一私钥对第一加密数据进行解密获得第二私钥，并将第二私钥储存到守护进程的内存文件中。守护进程启动运行过程中，系统会为守护进程分配虚拟内存，当守护进程关闭时，虚拟内存会被系统清除掉，且数据使用方无法直接从虚拟内存中获取数据。因此，将解密获得的第二私钥存储在守护进程的内存文件中，就能防止数据使用方盗取该第二私钥，从而防止第二私钥泄密。

可选地，如果第二非对称秘钥需要在数据使用方系统重启后重复利用，可以将第一加密数据储存在文件系统中。

然后，数据使用方向实用程序模块发起请求，实用程序模块通过守护模块指定安全域范围，并将第二非对称秘钥作为该安全域的安全域秘钥。守护模块同时会将安全域信息配置到内核模块，完成安全域的初始化。

数据提供方将原始数据用第二公钥加密后的第二加密数据交付给数据使用方，其中交付的方式包括但不限于通过硬件拷贝，网络传输等，本实施例不做限制。

数据使用方接收到第二加密数据后，调用实用程序模块，它将通过守护模块将第二加密数据导入和第二非对称密钥对应的安全域中。

最后，接收进程对所述预设安全域内第二加密数据的操作请求，并响应于所述操作请求，调用所述第二私钥对所述第二加密数据进行解密获得所述原始数据，根据所述操作请求允许所述进程在所述预设安全域内对所述原始数据进行可控使用。具体的，所述操作请求为读请求或写请求。

在接收到进程发出的对所述预设安全域内第二加密数据的操作请求后，内核模块会对该进程的操作进行可控使用监管，具体的，当所述进程在所述预设安全域内对所述原始数据进行读操作或写操作时，不允许所述进程以写操作方式打开所述预设安全域外的文件。但是，如何对安全域中的文件合理设置白名单，以满足不同场景下对结果文件的导出需求，成为亟需解决的技术问题。

本申请的技术方案对守护模块增加授权验证功能，以及对内核模块增加进程权限管理功能,增加针对安全域中符合预设条件的文件数据的模块间交互，以实现经数据提供方授权的结果文件导出，其流程如图3所示。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

如图4所示，本发明实施例提供了一种用于可控计算的进程权限管理方法的流程示意图，该方法运行于数据使用方的系统中。具体的，所述方法包括以下步骤：

步骤S110：判断预设进程的当前状态。

预设进程可能存在以下三种状态：

第一种：该预设进程以读方式打开了预设安全域外的其它文件；

第二种：该预设进程以写方式打开了预设安全域外的其它文件；

第三种：该预设进程以读方式或者写方式打开了预设安全域内的目标文件；

第四种：该预设进程没有打开预设安全域外的任何其它文件也没有打开预设安全域内的任何目标文件。

对于处于上述第一种状态或者第四种状态的预设进程，内核模块允许该预设进程既可以再打开预设安全域外的任何其它文件也可以再打开预设安全域内的任何目标文件。

对于处于上述第三种状态的预设进程，内核模块允许该预设进程可以再打开预设安全域内的任何目标文件。

本技术方案主要讨论处于上述第二种状态的预设进程请求打开预设安全域内的目标文件的情形，以及处于上述第三种状态的预设进程请求以写方式打开预设安全域外的其它文件的情形。

步骤S120：若所述预设进程打开了预设安全域内的目标文件，响应所述预设进程以写方式打开所述预设安全域外的其它文件的请求，若所述目标文件的文件属性或其它文件的文件属性符合预设条件，则允许所述预设进程以写方式打开所述预设安全域外的所述其它文件。

若所述目标文件的文件属性和其它文件的文件属性均不符合预设条件，则不允许所述预设进程以写方式打开所述预设安全域外的所述其它文件。

此步骤主要面向预设进程以读方式或者写方式打开了预设安全域内的目标文件的情形。此时，内核模块接收到该预设进行发送的以写方式打开所述预设安全域外的其它文件的请求时，需要判断目标文件的文件属性或其它文件的文件属性是否符合要求，若目标文件的文件属性和其它文件的文件属性中有一个文件属性符合要求，则允许所述预设进程以写方式打开所述预设安全域外的所述其它文件。

具体的，所述目标文件的文件属性符合预设条件，包括以下至少一种：

第一种：所述目标文件的哈希值符合预设条件。

内核模块首先能够通过该目标文件的句柄读取该目标文件的全部内容，并计算该文件的哈希值。如果该哈希值符合预设条件，例如，该哈希值在白名单中，则内核模块不因此次操作对此预设进程引入监听，即仍然认为它没有读过安全域内的文件。之后该预设进程仍然可以以写方式打开安全域外的其它文件，并向其它文件写入数据。

此情况的实际场景为，数据使用方计算出分析结果文件后，需要先以某种方式向数据提供方展示该文件的哈希值，且数据提供方认可该分析结果文件没有泄露原始数据、或泄露的信息在可控范围之内以及分析结果文件的哈希值被正确计算。随后，数据提供方会对该结果文件的哈希值进行授权，将结果文件的哈希值列入白名单中。

授权阶段完成后，数据使用方可以开启一个进程，该进程先以读方式打开安全域内的分析结果文件A，然后以写方式打开安全域外的文件B，之后将文件A的内容写入文件B，这样就实现了将分析结果导出至文件B中。

第二种：所述目标文件的文件大小符合预设条件。

内核模块可以获取此目标文件的大小，例如，该目标文件的大小不超过白名单设定的文件大小，则内核模块不因此次操作对此进程引入监听，和前述第一种情况类似。

此情况的实际场景为，数据提供方认为大小不超过某个阈值的目标文件能泄露的隐私数据信息在可控范围之内。所以当一个进程读取的安全域内目标文件大小低于阈值时，可以允许该进程往安全域外写数据。特别的，如果分析结果文件大小是小于该阈值的，则数据使用方可以采用与前述第一种情况相同的方式导出分析结果文件。

具体的，所述其它文件的文件属性符合预设条件，包括以下至少一种：

第一种：所述其它文件的文件大小符合预设条件。

如果一个预设进程向内核模块请求以写方式打开安全域外的其它文件，内核模块可以通过请求信息获取此其它文件的大小，如果其大小不超过白名单设定的文件大小，则内核模块允许预设进程以写方式打开该其它文件。

此情况的实际场景同样为数据提供方认为大小不超过某个阈值的文件能泄露的隐私数据信息在可控范围之内。当一个进程以写方式打开的其它文件大小不超过这个阈值时，内核模块允许该进程往此其它文件里写任意数据。

特别的，如果分析结果文件大小是小于该阈值的，则数据使用方可以在数据分析的进程里直接打开安全域外的文件B，并将分析结果写入文件B中，这样就实现了将分析结果导出至文件B中。

第二种：所述其它文件所在的硬件符合预设条件。

如果一个进程向内核模块请求以写方式打开安全域外的其它文件，内核模块可以通过请求信息获取该其它文件的所在硬件的标识信息，例如uuid编号，即通用唯一识别码，如果此通用唯一识别码在白名单中，则内核模块允许该进程以写方式打开该其它文件。

此情况的实际场景为，数据提供方只希望数据使用方将分析结果导出至某个特定的硬件设备中，如移动硬盘，U盘等，且该硬件设备被第二非对称秘钥加载成安全域，仅拥有第二非对称秘钥的私钥的用户能查看其内容明文。当一个进程以写方式打开的其它文件来源于这个特定硬件设备，内核模块允许此打开操作，数据使用方可以将分析结果写入此其它文件。

之后数据使用方将该硬件设备寄给数据提供方，数据提供方本地解密获得分析结果明文。

步骤S130：若所述预设进程以写方式打开了所述预设安全域外的所述其它文件，响应所述预设进程打开所述预设安全域内的所述目标文件的请求，若所述目标文件的文件属性或其它文件的文件属性符合预设条件，则允许所述预设进程打开所述预设安全域内的所述目标文件。

若所述目标文件的文件属性和其它文件的文件属性均不符合预设条件，则不允许所述预设进程打开所述预设安全域内的所述目标文件。

此步骤主要面向预设进程以写方式打开了预设安全域外的其它文件的情形。此时，内核模块接收到该预设进行发送的打开预设安全域内的目标文件的请求时，需要判断目标文件的文件属性或其它文件的文件属性是否符合要求，若目标文件的文件属性和其它文件的文件属性中有一个文件属性符合要求，则允许所述预设进程打开预设安全域内的目标文件。具体判断目标文件的文件属性或其它文件的文件属性符合要求方法与步骤S120中的判断方法一致。

本实施例中，所述预设条件由数据提供方提供。具体流程如下：

1.数据提供方使用第二非对称秘钥的私钥对预设规则和预设参数的联合体进行签名，其中预设规则可以为文件哈希、文件大小和文件所在硬件的uuid编号，此三种预设规则下其预设参数分别对应文件的哈希值、文件的大小限制和文件所在硬件的uuid编号。

2.数据提供方将签名传入守护模块中，守护模块验证签名的合法性，若验证通过则将数据提供方提供的预设规则和预设参数导入内核模块中，内核模块将此预设参数添加进白名单。

因此，获取所述数据提供方提供的预设条件，包括：接收所述数据提供方提供的用私钥对包括预设规则和预设参数的联合体的签名；若验证所述签名合法，将所述预设规则和预设参数作为预设条件。

具体的，数据提供方提供的用第二非对称秘钥的私钥对包括预设规则和预设参数的联合体的签名。守护模块通过现有签名体系验证该签名是否合法。

实施本发明实施例提供的方法，数据使用方只能从安全域中导出数据提供方授权的文件，保证了即使数据使用方作恶原始数据隐私也不被泄露或泄露的信息在可控范围内；分析结果文件导出后可供数据使用方进行后续使用，真正实现了数据可控使用。

基于相同的发明构思，本发明实施例提供一种用于可控计算的进程权限管理系统。如图5所示，该系统可以包括：一个或多个处理器101、一个或多个输入设备102、一个或多个输出设备103和存储器104，上述处理器101、输入设备102、输出设备103和存储器104通过总线105相互连接。存储器104用于存储计算机程序，所述计算机程序包括程序指令，所述处理器101被配置用于调用所述程序指令执行上述用于可控计算的进程权限管理方法实施例部分的方法。

应当理解，在本发明实施例中，所称处理器101可以是中央处理单元(CentralProcessing Unit，CPU)，该处理器还可以是其它通用处理器、数字信号处理器(DigitalSignal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

输入设备102可以包括键盘等，输出设备103可以包括显示器(LCD等)、扬声器等。

该存储器104可以包括只读存储器和随机存取存储器，并向处理器101提供指令和数据。存储器104的一部分还可以包括非易失性随机存取存储器。例如，存储器104还可以存储设备类型的信息。

具体实现中，本发明实施例中所描述的处理器101、输入设备102、输出设备103可执行本发明实施例提供的用于可控计算的进程权限管理方法的实施例中所描述的实现方式，在此不再赘述。

需要说明的是，关于进程权限管理系统的具体工作流程，可参考前述方法实施例部分，在此不再赘述。

进一步地，本发明实施例还提供了一种可读存储介质，存储有计算机程序，所述计算机程序包括程序指令，所述程序指令被处理器执行时实现：上述用于可控计算的进程权限管理方法。

所述计算机可读存储介质可以是前述实施例所述的后台服务器的内部存储单元，例如系统的硬盘或内存。所述计算机可读存储介质也可以是所述系统的外部存储设备，例如所述系统上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(SecureDigital,SD)卡，闪存卡(Flash Card)等。进一步地，所述计算机可读存储介质还可以既包括所述系统的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述系统所需的其它程序和数据。所述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (8)

1.一种用于可控计算的进程权限管理方法，其特征在于，该方法运行于数据使用方的系统中，所述方法包括：

判断预设进程的当前状态；

若所述预设进程打开了预设安全域内的目标文件，响应所述预设进程以写方式打开所述预设安全域外的其它文件的请求，若所述目标文件的文件属性或其它文件的文件属性符合预设条件，则允许所述预设进程以写方式打开所述预设安全域外的所述其它文件；

若所述预设进程以写方式打开了所述预设安全域外的所述其它文件，响应所述预设进程打开所述预设安全域内的所述目标文件的请求，若所述目标文件的文件属性或其它文件的文件属性符合预设条件，则允许所述预设进程打开所述预设安全域内的所述目标文件；

其中，所述预设条件由数据提供方提供。

2.如权利要求1所述的一种用于可控计算的进程权限管理方法，其特征在于，所述目标文件的文件属性符合预设条件，包括以下至少一种：

所述目标文件的哈希值符合预设条件；

所述目标文件的文件大小符合预设条件。

3.如权利要求1所述的一种用于可控计算的进程权限管理方法，其特征在于，所述其它文件的文件属性符合预设条件，包括以下至少一种：

所述其它文件的文件大小符合预设条件；

所述其它文件所在的硬件符合预设条件。

4.如权利要求3所述的一种用于可控计算的进程权限管理方法，其特征在于，所述硬件符合预设条件包括：

所述硬件的标识信息符合预设条件。

5.如权利要求4所述的一种用于可控计算的进程权限管理方法，其特征在于，所述硬件的标识信息包括通用唯一识别码。

6.如权利要求1所述的一种用于可控计算的进程权限管理方法，其特征在于，获取所述数据提供方提供的预设条件，包括：

接收所述数据提供方提供的用私钥对包括预设规则和预设参数的联合体的签名；

若验证所述签名合法，将所述预设规则和预设参数作为预设条件。

7.一种用于可控计算的进程权限管理系统，其特征在于，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如权利要求1-6任一项所述的方法。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1-6任一项所述的方法。