[发明专利]安全防护方法、系统、计算机设备和计算机可读存储介质

说明书

本发明提供了一种安全防护方法、系统、计算机设备和计算机可读存储介质。该方法包括：接收安全内核模块发送的待启动进程的进程信息；读取安全芯片中的配置文件信息，其中，当安全配置文件被修改时，配置文件信息发生变化；根据配置文件信息获取并验证安全配置文件；当安全配置文件验证通过时，将进程标识与进程名单进行匹配，将进程文件所对应的进程与文件信息表进行匹配；若进程标识与进程名单和/或进程文件与文件信息表不匹配时，向安全内核模块发送阻隔待启动进程的阻隔指令，其中，安全内核模块用于在接收到阻隔指令时，阻隔待启动进程。通过本发明，能够提升安全防护系统自身安全性能。

技术领域

本发明涉及安全防护技术领域，尤其涉及一种安全防护方法、系统、计算机设备和计算机可读存储介质。

背景技术

随着计算机和网络技术的不断发展，人们对网络的依赖程度越来越高，然而，随着网络应用的扩展，网络安全的形势也越来越严峻，如何保障网络中终端设备的安全成为一个重要的问题。当前各类安全产品，如身份认证平台，防火墙等，大多基于软件实现，由于冯诺依曼架构先天不足，理论上基于软件实现的系统都可以被破解，因此，这类型的安全产品在提供安全能力时，往往自身系统存在安全问题。

因此，提供一种安全防护方法、系统、计算机设备和计算机可读存储介质，通过提升安全防护系统自身安全性能，来提升安全访问性能，成为本领域亟需解决的技术问题。

发明内容

本发明的目的是提供一种安全防护方法、系统、计算机设备和计算机可读存储介质，用于解决现有技术中的上述技术问题。

一方面，为实现上述目的，本发明提供了一种安全防护方法。

该安全防护方法包括：接收安全内核模块发送的待启动进程的进程信息，其中，安全内核模块用于在进程启动前获取进程信息，进程信息包括进程标识；读取安全芯片中的配置文件信息，其中，当安全配置文件被修改时，配置文件信息发生变化；根据配置文件信息获取并验证安全配置文件，其中，安全配置文件包括进程名单和文件信息表；当安全配置文件验证通过时，将进程标识与进程名单进行匹配，将进程标识所对应的进程文件与文件信息表进行匹配；若进程标识与进程名单和/或进程文件与文件信息表不匹配时，向安全内核模块发送阻隔待启动进程的阻隔指令，其中，安全内核模块用于在接收到阻隔指令时，阻隔待启动进程。

进一步地，将进程文件与文件信息表进行匹配的步骤包括：判断进程标识是否在进程名单中；若进程标识在进程名单中时，获取进程标识所对应的进程文件；计算进程文件的文件信息；判断文件信息是否在文件信息表中。

进一步地，进程信息还包括进程所处理文件的文件标识，当安全配置文件验证通过时，安全防护方法还包括：将文件标识所表征的文件与文件信息表进行匹配；若文件标识与文件信息表不匹配时，向安全内核模块发送阻隔指令。

进一步地，安全防护方法还包括：在满足预设条件时，获取待验证文件；将待验证文件与文件信息表匹配；以及当待验证文件与文件信息表不匹配时，输出指示待验证文件存在安全风险的告警信息。

进一步地，安全防护方法还包括：接收安全配置文件的更新数据，其中，更新数据包括待更新配置文件和待更新配置文件对应的签名文件；采用预设的签名算法对待更新配置文件进行签名计算，以得到待验证签名文件；当待验证签名文件与签名文件匹配时，计算待更新配置文件的配置文件信息；利用待更新配置文件的配置文件信息更新安全芯片。

进一步地，根据待更新配置文件、预设私钥和签名工具计算签名文件，采用预设的签名算法对待更新配置文件进行签名计算，以得到待验证签名文件的步骤包括：根据待更新配置文件、与私钥对应的公钥和签名工具进行计算，以得到待验证签名文件。

进一步地，在采用预设的签名算法对待更新配置文件进行签名计算，以得到待验证签名文件的步骤之前，安全防护方法还包括：验证待更新配置文件对应的签名文件是否合法，其中，当待更新配置文件对应的签名文件合法时，执行采用预设的签名算法对待更新配置文件进行签名计算的步骤。