[发明专利]一种文件度量和保护的方法及装置

说明书

技术领域

本发明涉及计算机安全技术领域，特别涉及一种文件度量和保护的方法及装置。

背景技术

随着计算机技术的不断发展与普及，计算机的安全问题随之突显出来，越来越受到用户的重视。一些非法用户经常通过对应用程序或文件进行删除或修改，来达到破坏系统、盗取信息的目的，一旦计算机中的应用程序或文件被恶意修改或删除，当运行这些应用程序或打开文件时，将导致计算机工作异常或信息被窃，对于一些重要的服务器，如果不能正常工作或造成信息泄露，将造成严重的后果，给用户带来巨大的损失。

目前，对于应用程序及文件的保护方法，主要是在应用程序运行之前，检查应用程序及文件的完整性，如果应用程序及文件不完整，则不能够运行该应用程序。

由此可见，现有技术针对应用程序及文件的保护方法，仅能够在应用程序运行之前对应用程序及文件进行完整性检查，属于事后处理的方法，即当检查出应用程序或文件不完整时，该应用程序或文件已经被修改了，因此，现有对应用程序及文件的保护力度较低。

发明内容

本发明提供一种文件度量和保护的方法及装置，能够提高对应用程序及文件的保护力度。

本发明实施例提供了一种文件度量和保护的方法，包括：

设置至少一个安全容器；

根据业务情况，在各个所述安全容器内存储应用程序及文件；

配置所述应用程序及文件的访问策略；

启动任意一个第一安全容器时，对第一安全容器内存储的应用程序及文件进行度量；

根据度量结果，判断第一安全容器内存储的应用程序及文件是否被篡改；

如果是，阻止对应应用程序的运行或文件的打开，如果否，则允许对应应用程序的正常运行或文件的正常打开；

当任意一个第一应用程序访问当前安全容器中的当前文件时，判断所述第一应用程序是否为当前安全容器中的应用程序；

如果否，不允许所述第一应用程序对当前文件进行访问，如果是，进一步判断所述第一应用程序的访问请求是否符合当前文件的访问策略；

如果是，允许所述第一应用程序对当前文件的访问，如果否，不允许所述第一应用程序对当前文件进行访问。

优选地，所述设置至少一个安全容器包括：在操作系统的核心层重构操作系统访问权限，通过强制访问控制机制、可信度量机制构建至少一个安全容器。

优选地，该方法进一步包括：禁止存储于当前安全容器内的应用程序访问当前安全容器以外的其他文件。

优选地，所述对第一安全容器内存储的应用程序及文件进行度量包括：当第一安全容器启动时，对第一安全容器内存储的各个应用程序及文件进行哈希计算，获得当前度量值。

优选地，所述根据度量结果，判断第一安全容器内存储的各个应用程序及文件是否被篡改包括：将第一安全容器内存储的各个应用程序或文件的当前度量值与对应的原始基线值进行比较，如果当前度量值与对应的原始基线值相同，则判断对应的应用程序或文件没有被篡改，如果当前度量值与对应 的原始基线值不相同，则判断对应的应用程序或文件已经被篡改。

本发明实施例还提供了一种文件度量和保护的装置，包括：

至少一个安全容器；

存储单元，用于根据业务情况，在所述安全容器内存储应用程序及文件；

配置单元，用于配置所述存储单元存储的应用程序及文件的访问策略；

度量单元，用于启动任意一个第一安全容器时，对第一安全容器内存储的应用程序及文件进行度量；

第一判断单元，用于根据所述度量单元的度量结果，判断第一安全容器内存储的应用程序及文件是否被篡改；

第一执行单元，用于根据所述第一判断单元的判断结果，如果是，阻止对应应用程序的运行或文件的打开，如果否，则允许对应应用程序的正常运行或文件的正常打开；

第二判断单元，用于当任意一个第一应用程序访问当前安全容器中的当前文件时，判断所述第一应用程序是否为当前安全容器中的应用程序；

第三判断单元，用于根据所述第二判断单元的判断结果，如果否，不允许所述第一应用程序对当前文件进行访问，如果是，进一步判断所述第一应用程序的访问请求是否符合当前文件的访问策略；

第二执行单元，用于根据所述第三判断单元的判断结果，如果是，允许所述第一应用程序对当前文件的访问，如果否，不允许所述第一应用程序对当前文件进行访问。

优选地，所述安全容器，采用在操作系统的核心层重构操作系统访问权限，通过强制访问控制机制、可信度量机制构建而成。