[发明专利]用于数据自保护的方法和系统

说明书

提供了用于数据自保护的系统和方法。该系统和方法可以包括：在计算机系统上安装岗哨，该岗哨包括安装在该计算机系统的内核上的文件系统过滤器；提供与该岗哨通信的中央岗哨平台；对中央岗哨平台进行操作以向岗哨发送数据自保护策略，数据自保护策略被加密成使得其仅能由中央岗哨平台来修改；通过如下方式对文件系统过滤器进行操作以控制对存储在计算机系统上的加密数据的访问：针对向加密数据做出文件访问请求的每个进程，文件系统过滤器根据数据自保护策略对该文件访问请求进行接收和处理；以及，对中央岗哨平台进行操作以监视岗哨并且从岗哨接收与访问加密数据有关的信息。

相关申请

本申请要求于2019年9月9日提交的共同未决美国专利申请No.62/897,482的优先权，其全部内容通过引用并入本文。

技术领域

本文所描述的实施方式总体上涉及对数据进行保护，尤其涉及用于数据自保护的系统和方法。

背景技术

以下内容不是承认以下讨论的任何内容是现有技术的一部分或本领域技术人员的公知常识的一部分。

网络安全是数字社会的基础，且数据是基于互联网的经济的基础。网络安全的核心是复杂网络空间中的数据安全。随着世界逐渐数字化，活动越来越依赖于数据技术。关键数据(诸如核心知识产权)的破坏会危及国家和经济安全。关键数据的更改和/或丢失可能会改变业务流程，带来严重后果、关闭生产线、并对人们的生活产生负面影响。因此，随时保护数据免受破坏和任何已知/未知的攻击是许多行业的迫切需要。

发明内容

本发明内容旨在向读者介绍以下更详细的描述，而不是限制或限定任何要求保护或尚未要求保护的发明。一个或更多个发明可以存在于本文件任何部分(包括其权利要求和附图)中公开的元件或过程步骤的任何组合或子组合中。

根据本公开的一方面，提供了一种在至少一个计算机系统上启用数据自保护的方法。该方法可以包括：在所述至少一个计算机系统的计算机系统上安装岗哨(sentry)，所述岗哨包括安装在该计算机系统的内核(kernel)上的文件系统过滤器，该文件系统过滤器将强制访问控制与加密整合在一起；提供与安装在计算机系统上的岗哨电子通信的中央岗哨平台，该中央岗哨平台与计算机系统的内核分离；对中央岗哨平台进行操作以向岗哨发送数据自保护策略，该数据自保护策略被加密成使得该数据自保护策略仅能由中央岗哨平台来修改；通过如下方式对文件系统过滤器进行操作以控制对存储在计算机系统上的加密数据的访问：针对向加密数据做出文件访问请求的每个进程，文件系统过滤器根据数据自保护策略对该文件访问请求进行接收和处理以准许或拒绝该文件访问请求；以及，对中央岗哨平台进行操作以监视岗哨并且从岗哨接收与对存储在计算机系统上的加密数据的访问有关的信息。

在一些实施方式中，所述至少一个计算机系统可以包括多个计算机；安装岗哨可以包括安装多个岗哨，包括：对于所述多个计算机中的每个计算机，在该计算机上安装对应的岗哨，在该计算机上安装该对应的岗哨可以包括在该计算机的内核上安装该对应的岗哨的文件系统过滤器；提供中央岗哨平台可以包括在计算机系统上提供与多个岗哨电子通信的中央岗哨平台；对中央岗哨平台进行操作以发送数据自保护策略可以包括对中央岗哨平台进行操作以发送多个数据自保护策略，包括：针对多个岗哨中的每个岗哨，向该岗哨发送对应的数据自保护策略；对文件系统过滤器进行操作以控制对存储在计算机系统上的加密数据的访问，可以包括：针对多个计算机中的每个计算机，对安装在该计算机上的对应的岗哨的文件系统过滤器进行操作，以根据发送到对应的岗哨的对应的数据自保护策略来控制对存储在该计算机上的加密数据的访问；以及，对中央岗哨平台进行操作以监视岗哨可以包括：针对多个计算机中的每个计算机，对中央岗哨平台进行操作以监视该计算机上的对应的岗哨，从而从该岗哨接收与对存储在该计算机上的加密数据的访问有关的信息。