[发明专利]一种数据防篡改的方法及装置

权利要求书

1.一种数据防篡改的方法，其特征在于，包括：

linux操作系统内核接收第一应用程序发送的修改数据的修改请求；并

根据所述修改请求，确定所述第一应用程序所要修改的数据；

所述linux操作系统内核根据预先保存的安全策略，判断所述第一应用程序对确定的所述数据的修改操作是否为合法操作；以及

当判断为合法操作时，所述linux操作系统内核进行所述修改操作对应的系统调用，以实现所述第一应用程序对所述数据的修改操作；

否则，拒绝所述第一应用程序对所述数据的修改操作。

2.如权利要求1所述的方法，其特征在于，linux操作系统内核接收第一应用程序发送的修改数据的修改请求之前，所述方法还包括：

所述linux操作系统内核对修改操作对应的每个系统调用进行hook操作，使所述linux操作系统内核在根据接收到的第一应用程序发送的修改数据的修改请求，进行相应的系统调用之前，先进行根据所述修改请求，确定所述第一应用程序所要修改的数据，并根据预先保存的安全策略，判断所述第一应用程序对确定的所述数据的修改操作是否为合法操作的步骤。

3.如权利要求1所述的方法，其特征在于，所述linux操作系统内核保存安全策略，具体包括：

所述linux操作系统内核接收第二应用程序通过netlink方式下发的安全策略并保存。

4.如权利要求1所述的方法，其特征在于，所述安全策略具体包括：

受保护数据的存储路径、受保护数据的数据类型、可信任的应用程序的标识信息；

所述linux操作系统内核根据预先保存的安全策略，判断所述第一应用程序对确定的所述数据的修改操作是否为合法操作，具体包括：

当所述linux操作系统内核判断所述数据为所述安全策略中包含的受保护数据的存储路径下的数据，且，判断所述数据的数据类型为所述安全策略中包含的受保护数据的数据类型，且，判断所述第一应用程序的标识信息为所述安全策略中包含的可信任的应用程序的标识信息时，判断所述第一应用程序对确定的所述数据的修改操作为合法操作；以及

当所述linux操作系统内核判断所述数据不是所述安全策略中包含的受保护数据的存储路径下的数据，或者，判断所述数据的数据类型不是所述安全策略中包含的受保护数据的数据类型时，判断所述第一应用程序对确定的所述数据的修改操作为合法操作；以及

当所述linux操作系统内核判断所述数据为所述安全策略中包含的受保护数据的存储路径下的数据，且，判断所述数据的数据类型为所述安全策略中包含的受保护数据的数据类型，且，判断所述第一应用程序的标识信息不是所述安全策略中包含的可信任的应用程序的标识信息时，判断所述第一应用程序对确定的所述数据的修改操作为非法操作。

5.如权利要求4所述的方法，其特征在于，当所述linux操作系统内核判断所述数据为所述安全策略中包含的受保护数据的存储路径下的数据，且，判断所述数据的数据类型为所述安全策略中包含的受保护数据的数据类型，且，判断所述第一应用程序的标识信息为所述安全策略中包含的可信任的应用程序的标识信息时，所述linux操作系统内核进行所述修改操作对应的系统调用之后，所述方法还包括：

产生告警信息，并将产生的所述告警信息通过netlink方式返回第二应用程序。

6.一种数据防篡改的装置，其特征在于，包括：

接收模块，用于接收第一应用程序发送的修改数据的修改请求；

确定模块，用于根据所述修改请求，确定所述第一应用程序所要修改的数据；

判断模块，用于根据预先保存的安全策略，判断所述第一应用程序对确定的所述数据的修改操作是否为合法操作；

处理模块，用于当判断为合法操作时，进行所述修改操作对应的系统调用，以实现所述第一应用程序对所述数据的修改操作，否则，拒绝所述第一应用程序对所述数据的修改操作。

7.如权利要求6所述的装置，其特征在于，所述装置还包括：

插入模块，用于对修改操作对应的每个系统调用进行hook操作，使所述处理模块在根据接收到的第一应用程序发送的修改数据的修改请求，进行相应的系统调用之前，确定模块根据所述修改请求，确定所述第一应用程序所要修改的数据，并且判断模块根据预先保存的安全策略，判断所述第一应用程序对确定的所述数据的修改操作是否为合法操作。