[发明专利]通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品

权利要求书

1.一种通过安装在计算机系统上的数据保护模块管理访问多个数据文件的方法，所述多个数据文件存储在所述计算机系统中的至少一个存储模块上，所述方法包括：

所述数据保护模块识别存储在所述至少一个存储模块上的所述多个数据文件中的多个受保护的数据文件，其中存储在所述至少一个存储模块上的所述多个数据文件包括所述多个受保护的数据文件和多个未受保护的数据文件，并且其中所述多个受保护的数据文件中的每个受保护的数据文件以加密格式存储在所述至少一个存储模块中；

将存储在所述至少一个存储模块上的每个受保护的数据文件关联一个受保护文件标识符；

所述数据保护模块接收来自运行在计算机系统上的请求进程实例的文件访问请求，其中文件访问请求包括与所述多个数据文件中的预定数据文件相对应的文件识别信息；

所述数据保护模块从所述文件识别信息中识别出预定数据文件；

所述数据保护模块通过识别关联的受保护文件标识符确定所述预定数据文件为受保护的数据文件之一；

所述数据保护模块根据对应进程的进程授权级别确定请求进程实例的授权级别，所述对应进程的进程授权级别由通过访问存储在所述至少一个存储模块上的定义多个进程的授权级别的配置图确定；

所述数据保护模块对请求进程实例进行认证，其中，所述对请求进程实例进行认证包括判断请求进程实例是否为与应用程序对应且未被修改的进程实例；以及

根据确定的请求进程实例的授权级别向请求进程实例提供预定数据文件的访问级别，其中对预定数据文件的访问级别仅授予经过认证的请求进程实例；

在向请求进程实例提供访问级别之前，通过以下方式验证请求进程实例：

确定与所述对应进程相关的应用程序；

确定请求进程实例包括与已知应用程序不对应的附加进程指令；以及

修改所确定的授权级别，以便向请求进程实例提供预定数据文件的访问级别包括拒绝请求进程实例访问预定数据文件。

2.根据权利要求1所述的方法，其中，所述配置图用于根据具有明文授权级别的多个进程定义第一组进程，以及用于根据具有密文授权级别的多个进程定义第二组进程。

3.根据权利要求1或2所述的方法，其中，

将预定数据文件的对应进程的进程授权级别确定为明文授权级别；以及向请求进程实例提供预定数据文件的访问级别包括：

解密预定数据文件获得已解密数据文件；

将所述已解密数据文件暂存至计算机系统的缓存中；以及

向请求进程实例提供对所述已解密数据文件的明文访问。

4.根据权利要求1或2所述的方法，其中，

将预定数据文件对应进程的进程授权级别确定为密文授权级别；以及

向请求进程实例提供预定数据文件的访问级别包括向请求进程实例提供对预定数据文件的加密格式访问。

5.根据权利要求1或2所述的方法，其中，

将预定数据文件对应进程的进程授权级别确定为既非明文授权级别也非密文授权级别；以及

向请求进程实例提供预定数据文件的访问级别包括拒绝请求进程实例访问预定数据文件。

6.根据权利要求1或2所述的方法，其中，对于至少一个受保护的数据文件中的每一个，

将受保护的数据文件关联受保护文件标识符包括将受保护的数据文件存储在所述至少一个存储模块上的预定义文件目录区的文件位置中；以及

所述受保护的数据文件的受保护文件标识符为预定义文件目录区。

7.根据权利要求1或2所述的方法，其中，对于至少一个受保护的数据文件中的每一个，

将受保护的数据文件关联受保护文件标识符包括修改与加密数据文件相关的数据以包含受保护文件标识符。