[发明专利]一种进程间数据通讯控制方法和系统

说明书

技术领域

本发明涉及电子信息领域，具体涉及一种保护电子数据的控制方法。

背景技术

数据信息的安全主要包括数据信息的静态存储安全和数据信息的动态访问安全两个方面，数据信息的安全的核心是保护重要数据的安全。

有一种数据信息的安全控制方法，通过分离重要数据和非重要数据的存储空间，建立一受控制访问数据存储区域，将重要数据加密保存在受控制访问区中，非重要数据保存在非受控制访问区。在进程级别，控制进程对受控制访问区的读、写访问，一旦进程获得访问受控制访问区的数据的权限，仅允许该进程在受控制访问区内读写数据，禁止其向其他数据存储区或者其他设备发送数据，从而达到管理重要数据不被泄漏的目的。

这一数据信息的安全控制方法，提供了一种在尽量不改变用户使用习惯的前提下，既可以授权进程读、写使用受控制访问区中的重要数据，又能够避免因授权带来的主动泄密的可能性，同时又不影响进程处理非重要数据的访问控制方法。但是，数据信息的动态访问安全除了考虑进程对数据存储区或者其他设备的访问控制外，还必须考虑访问了不同数据存储区的进程之间数据通讯带来的数据安全隐患。

多用户、多任务系统模型中同时运行着多个应用进程，每个应用进程体在内存中包含着属于自己的数据区，并且从操作系统层提供了各种各样的进程间数据通讯的方法。从数据安全的角度，进程的数据区将成为安全系统的保护域，对进程间数据通讯必须智能地、透明地加以控制，不造成数据泄漏的进程间数据通讯正常进行，造成数据泄漏的进程间数据通讯一律阳断，保障进程间通讯的数据安全。

发明内容

本发明的目的在于提出一种进程间数据通讯控制方法和系统，将承载数据的文件划分为受保护文件和非受保护文件，将系统进程划分为受监控进程和非受监控进程，访问受保护文件的进程为受监控进程，对受监控进程严格控制进程间的数据通讯，禁止受监控进程向非受监控进程发送数据，从而达到管理受保护文件重要数据的目的。

具体的，本发明的上述目标是通过以下解决方法实现的：

一种进程间数据通讯控制方法，有一系统，有若干进程，一文件存储区，有一进程访问管理器，有一文件访问管理表，文件存储区中受访问控制保护的文件目录以及文件名存储在文件访问管理表中，归属于文件访问管理表的文件为受保护文件，不归属于文件访问管理表的文件为非受保护文件，有一进程访问管理表，在进程访问管理表中的进程为受监控进程，不在进程访问管理列表中的进程为非受监控进程，进程访问管理表具有两种管理模式，模式一：进程访问管理器捕获进程发出打开文件访问请求，提取该访问请求的文件名以及路径名，如果该文件包含在文件访问管理表的文件目录或文件名中，进程访问管理器将进程标识记录到进程访问管理表中，当该进程发出关闭打开的文件访问请求，进程访问管理器捕获该访问请求，进程访问管理器将进程标识从进程访问管理表中删除，或当该进程结束时，进程访问管理器将该进程从进程访问管理表中删除；模式二：在进程访问管理表中存储预定义的受监控进程信息，进程发出打开文件访问请求，进程访问管理器捕获该访问请求，提取该访问请求的文件名以及路径名，如果该文件包含在文件访问管理表的文件目录或文件名字中，且该进程在进程访问管理表中，则进程访问管理器允许该进程执行打开文件访问请求，如果该文件包含在文件访问管理表的文件目录或文件名字中，且该进程不在进程访问管理表中，则进程访问管理器阻断该进程执行打开文件访问请求。进程访问管理器根据文件访问管理表的受保护文件和非受保护文件，进程访问管理表的受监控进程和非受监控进程，控制进程与其他进程间的数据通讯，其中进程访问管理器允许在进程访问管理表中的进程的数据流向在进程访问管理表中的其他进程；进程访问管理器允许不在进程访问管理表中的进程的数据流向在进程访问管理表中的进程；进程访问管理器允许不在进程访问管理表中的进程的数据流向其他不在进程访问管理表中的进程；进程访问管理器禁止在进程访问管理表中的进程的数据流向不在进程访问管理表中的其他进程。