[发明专利]用于数据自保护的方法和系统

权利要求书

1.一种在至少一个计算机系统上启用数据自保护的方法，所述方法包括：

在所述至少一个计算机系统中的计算机系统上安装岗哨，其中，所述岗哨包括安装在所述计算机系统的内核上的文件系统过滤器，所述文件系统过滤器将强制访问控制与加密整合在一起；

提供与安装在所述计算机系统上的所述岗哨电子通信的中央岗哨平台，所述中央岗哨平台与所述计算机系统的所述内核分离；

对所述中央岗哨平台进行操作以向所述岗哨发送数据自保护策略，所述数据自保护策略被加密成使得所述数据自保护策略仅能由所述中央岗哨平台来修改；

通过如下方式对所述文件系统过滤器进行操作以控制对存储在所述计算机系统上的加密数据的访问：针对向所述加密数据做出文件访问请求的每个进程，所述文件系统过滤器根据所述数据自保护策略对所述文件访问请求进行接收和处理，以准许或拒绝所述文件访问请求；以及

对所述中央岗哨平台进行操作以监视所述岗哨并且从所述岗哨接收信息，所述信息与对存储在所述计算机系统上的所述加密数据的访问有关。

2.根据权利要求1所述的方法，其中，

所述至少一个计算机系统包括多个计算机；

安装所述岗哨包括安装多个岗哨，安装所述多个岗哨包括：针对所述多个计算机中的每个计算机，在所述计算机上安装对应的岗哨，其中，在所述计算机上安装所述对应的岗哨包括：在所述计算机的所述内核上安装所述对应的岗哨的所述文件系统过滤器；

提供所述中央岗哨平台包括：在一个计算机系统上提供与所述多个岗哨电子通信的所述中央岗哨平台；

对所述中央岗哨平台进行操作以发送所述数据自保护策略包括对所述中央岗哨平台进行操作以发送多个数据自保护策略，发送所述多个数据自保护策略包括：针对所述多个岗哨中的每个岗哨，向所述岗哨发送对应的数据自保护策略；

对所述文件系统过滤器进行操作以控制对存储在所述计算机系统上的加密数据的访问包括：针对所述多个计算机中的每个计算机，对安装在所述计算机上的所述对应的岗哨的所述文件系统过滤器进行操作，以根据发送到所述对应的岗哨的所述对应的数据自保护策略来控制对存储在所述计算机上的所述加密数据的访问；以及

对所述中央岗哨平台进行操作以监视所述岗哨包括：针对所述多个计算机中的每个计算机，对所述中央岗哨平台进行操作以监视所述计算机上的所述对应的岗哨，从而从所述岗哨接收与对存储在所述计算机上的所述加密数据的访问有关的信息。

3.根据权利要求2所述的方法，其中，

针对所述多个计算机中的每个计算机，对安装在所述计算机上的所述对应的岗哨的所述文件系统过滤器进行操作还包括：对所述文件系统过滤器进行操作，以根据发送到所述岗哨的对应的数据自保护策略来检查由每个进程做出的对存储在所述计算机上的所述加密数据进行访问的每个访问请求，所述检查通过如下方式进行：

如果所述对应的数据自保护策略允许明文访问，则准许所述访问请求并且对所述加密数据进行解密，

如果所述对应的数据自保护策略允许密文访问，则准许所述访问请求而不对所述加密数据进行解密，或

如果所述对应的数据自保护策略既不允许明文访问也不允许密文访问，则拒绝所述访问请求；以及

对所述中央岗哨平台进行操作以监视所述多个岗哨中的每个岗哨从而从所述岗哨接收信息还包括：监视每个岗哨以从所述岗哨接收关于所有经检查的访问请求的信息。

4.根据权利要求3所述的方法，其中，

针对由所述多个计算机中的每个计算机上的每个进程做出的每个访问请求，关于所有经检查的访问请求的信息包括：所述计算机的信息；所述进程的信息，所述进程的信息包括所述进程的应用程序；所述加密数据的文件信息；与所述访问请求相关联的访问尝试的时间；以及由所述计算机上的所述对应的岗哨做出的检查结果。