[发明专利]一种数据保护的方法、装置、存储介质和计算机设备

说明书

公开了一种数据保护的方法、装置、存储介质和计算机设备。该数据保护的方法包括：确定需要被保护数据，禁止对需要被保护数据直接访问；如果访问的数据为需要被保护数据，触发中断以判断访问是否异常；当访问是异常的时候，限制访问；或当访问是正常的时候，允许访问。通过本申请实施例提供的技术方案，可以有效的防止操作系统中对数据的异常访问，对数据的篡改和窃取，保护操作系统中数据的安全。

技术领域

本申请涉及计算机领域，尤其涉及一种数据保护的方法、装置、存储介质和计算机设备。

背景技术

操作系统(operating system，OS)通过利用两种执行模式来实现多任务处理的权限隔离：用户模式(如Windows的普通用户模式)和内核模式(如Windows的管理员用户模式)。在内核模式下运行的代码具有更高权限，能够访问系统内存中的内核内存区域，而用户模式下运行的代码则有许多限制，只能访问系统内存中的用户内存区域，而禁止访问内核内存区域。代码执行模式的这种区别有助于将用户代码与内核代码隔离，对内核内存区域进行了保护。然而，内核模式下的内核代码因为其更高等级的权限，往往成为黑客青睐的攻击目标。

在内核模式下运行的内核代码对操作系统的内核内存区域的任何部分都具有不受限制的读写访问权限。一般的内存保护不足以应对异常访问内核内存区域的情况。

发明内容

本申请公开了一种数据保护的方法、装置、存储介质和计算机设备，通过判断对需要被保护数据的访问是否异常，限制异常访问，可以有效的防止操作系统中对数据的篡改和窃取，保护操作系统中数据的安全。

第一方面，本申请提供了一种数据保护的方法，方法包括：确定需要被保护数据，禁止对需要被保护数据直接访问；

如果访问的数据为需要被保护数据，触发中断以判断访问是否异常；

当访问是异常的时候，限制访问。

通过判断对需要被保护数据的访问是否异常，限制异常访问，可以有效的防止操作系统中对数据的篡改和窃取，保护操作系统中数据的安全。

一种可行的实现方式中，判断访问是否异常包括：验证访问的来源和/或目的是否异常。

一种可行的实现方式中，方法还包括：将需要被保护数据和不需要被保护数据的存储区块分开，以使至少一个存储区块中只存在被保护数据或至少一个存储区块中只存在不需要被保护数据。通过该方案，避免需要被保护数据和不需要被保护数据混在一个存储区块中，从而导致需要判断处理的次数增加，可以只对存储有需要被保护数据的存储区域进行判断，中断，并处理，提高判断处理的效率。

一种可行的实现方式中，方法还包括：对每个数据的存储区块的页表条目设置标志位，以指示对应数据是否为需要被保护数据。通过简单判断标志位的值，可以迅速判断访问的对象是否为需要被保护数据，提高处理效率。

一种可行的实现方式中，方法还包括：更新需要被保护数据的列表。更新该列表，可以保证列表的实时性，确保需要被保护的数据及时被识别出来，得到及时的保护。

一种可行的实现方式中，对需要被保护数据的列表更新，包括：根据从操作系统的实时事件，更新列表。

一种可行的实现方式中，触发中断以判断访问是否异常，包括：根据中断从中断描述符表中确定所要运行的中断处理程序。

一种可行的实现方式中，方法还包括：设置看门狗以防止列表、中断描述符表、标志位中任意一个或多个的状态被篡改。看门狗可以实时保护本申请中各个组件不被攻击者篡改，从而降低被绕过该保护机制的可能性。

一种可行的实现方式中，确定需要被保护数据，包括：根据已有被攻击数据的类型和/或功能，确认需要被保护数据。