[发明专利]一种文件度量和保护的方法及装置

权利要求书

1.一种文件度量和保护的方法，其特征在于，包括：

设置至少一个安全容器；

根据业务情况，在各个所述安全容器内存储应用程序及文件；

配置所述应用程序及文件的访问策略；

启动任意一个第一安全容器时，对第一安全容器内存储的应用程序及文件进行度量；

根据度量结果，判断第一安全容器内存储的应用程序及文件是否被篡改；

如果是，阻止对应应用程序的运行或文件的打开，如果否，则允许对应应用程序的正常运行或文件的正常打开；

当任意一个第一应用程序访问当前安全容器中的当前文件时，判断所述第一应用程序是否为当前安全容器中的应用程序；

如果否，不允许所述第一应用程序对当前文件进行访问，如果是，进一步判断所述第一应用程序的访问请求是否符合当前文件的访问策略；

如果是，允许所述第一应用程序对当前文件的访问，如果否，不允许所述第一应用程序对当前文件进行访问。

2.根据权利要求1所述的方法，其特征在于，所述设置至少一个安全容器包括：在操作系统的核心层重构操作系统访问权限，通过强制访问控制机制、可信度量机制构建至少一个安全容器。

3.根据权利要求2所述的方法，其特征在于，进一步包括：

禁止存储于当前安全容器内的应用程序访问当前安全容器以外的其他文件。

4.根据权利要求1所述的方法，其特征在于，所述对第一安全容器内存储的应用程序及文件进行度量包括：当第一安全容器启动时，对第一安全容器内存储的各个应用程序及文件进行哈希计算，获得当前度量值。

5.根据权利要求4所述的方法，其特征在于，所述根据度量结果，判断第一安全容器内存储的各个应用程序及文件是否被篡改包括：将第一安全容器内存储的各个应用程序或文件的当前度量值与对应的原始基线值进行比较，如果当前度量值与对应的原始基线值相同，则判断对应的应用程序或文件没有被篡改，如果当前度量值与对应的原始基线值不相同，则判断对应的应用程序或文件已经被篡改。

6.一种文件度量和保护的装置，其特征在于，包括：

至少一个安全容器；

存储单元，用于根据业务情况，在所述安全容器内存储应用程序及文件；

配置单元，用于配置所述存储单元存储的应用程序及文件的访问策略；

度量单元，用于启动任意一个第一安全容器时，对第一安全容器内存储的应用程序及文件进行度量；

第一判断单元，用于根据所述度量单元的度量结果，判断第一安全容器内存储的应用程序及文件是否被篡改；

第一执行单元，用于根据所述第一判断单元的判断结果，如果是，阻止对应应用程序的运行或文件的打开，如果否，则允许对应应用程序的正常运行或文件的正常打开；

第二判断单元，用于当任意一个第一应用程序访问当前安全容器中的当前文件时，判断所述第一应用程序是否为当前安全容器中的应用程序；

第三判断单元，用于根据所述第二判断单元的判断结果，如果否，不允许所述第一应用程序对当前文件进行访问，如果是，进一步判断所述第一应用程序的访问请求是否符合当前文件的访问策略；

第二执行单元，用于根据所述第三判断单元的判断结果，如果是，允许所述第一应用程序对当前文件的访问，如果否，不允许所述第一应用程序对当前文件进行访问。

7.根据权利要求6所述的装置，其特征在于，

所述安全容器，采用在操作系统的核心层重构操作系统访问权限，通过强制访问控制机制、可信度量机制构建而成。

8.根据权利要求6所述的装置，其特征在于，

所述安全容器，用于禁止存储于当前安全容器内的应用程序访问当前安全容器以外的其他文件。

9.根据权利要求6所述的装置，其特征在于，

所述度量单元，用于当第一安全容器启动时，对第一安全容器内存储的各个应用程序及文件进行哈希计算，获得当前度量值。

10.根据权利要求9所述的装置，其特征在于，

所述第一判断单元，用于将第一安全容器内存储的各个应用程序或文件的当前度量值与对应的原始基线值进行比较，如果当前度量值与对应的原始基线值相同，则判断对应的应用程序或文件没有被篡改，如果当前度量值与对应的原始基线值不相同，则判断对应的应用程序或文件已经被篡改。