The invention discloses a processing method of forgery process in a file transparent encryption and decryption system, which includes: the client obtains the started process and obtains the process name of the process; the client queries whether there is the acquired process name in its credit database; if there is, the client extracts the fingerprint information of the process and queries whether there is the fingerprint in its credit database If the information does not exist, the client will send its attribute information, as well as the attribute information and fingerprint information of the process to the server, and block the operation of the process. The server will judge whether it can query the fingerprint information of the process sent by the client in its credit database. The invention can solve the technical problems of poor usability, large maintenance workload, passive problem solving, unable to detect threats, unable to leak secrets and obtain evidence in the process fingerprint based identification mode widely used in the existing file transparent encryption and decryption system.
【技术实现步骤摘要】
一种文件透明加解密系统中的伪造进程的处理方法和系统
本专利技术属于信息安全
,更具体地,涉及一种文件透明加解密系统中的伪造进程的处理方法和系统。
技术介绍
文件透明加解密系统目前已经得到了广泛的商用,其实现了当电子文件打开时,自动解密到内存,供应用程序正确识别;当文件保存时,自动加密到磁盘,防止电子文件泄密;即使电子文件被拷贝出去,但其仍旧处于加密状态,从而解决了企业对商业秘密保护的需求;此外,文件透明加解密系统不改变原有的文件操作流程,对用户来说无感知。文件透明加解密系统中的一个关键技术就是如何对进程进行精准识别,防止伪造进程;目前市面上普遍使用的透明加解密系统中,对进程的识别通常是基于进程指纹(即进程的MD5值)的识别方式,其具备较强的预防伪造进程的能力。然而,现有文件透明加解密系统中基于进程指纹的识别方式仍然具有一些不可忽略的技术问题:1、易用性差:如果某个授信软件(例如Microsoft的WORD)更新了一个小补丁,导致文件内容(例如winword.exe)发生变化,这会导致该授信软件对应的进程无法被识别为授信进程,甚至会被误判为伪造进程,此时透明加解密系统无法及时、主动的进行自动干预,从而影响了该透明加解密系统的用户体验度。2、维护工作量大:当授信软件出现新的版本,则需要重新采集进程指纹,然后对所有的客户进行更新,不仅工作量大,而且几乎无可操作性。3、解决问题被动:文件透明加解密系统无法自动预知授信软件的版本更新,每次都是客户端主动提出问题,然后再被动的解决问题,严重影响用户使用体验。4、无法检测威胁:在使用了文件透明加解密系统后,企业会一 ...
【技术保护点】
1.一种文件透明加解密系统中的伪造进程的处理方法,其特征在于,包括以下步骤:(1)客户端获取启动的进程,并获取该进程的进程名称;(2)客户端在其授信数据库中查询是否存在步骤(1)中获取的进程名称,如果不存在则直接运行该进程,过程结束,否则进入步骤(3);(3)客户端提取进程的指纹信息,并在其授信数据库中查询是否存在该指纹信息,如果存在则直接运行该进程,过程结束,否则进入步骤(4);(4)客户端将其属性信息、以及进程的属性信息和指纹信息发送到服务端,并阻断该进程的运行;(5)服务端判断是否能在其授信数据库中查询到客户端发来的进程的指纹信息,如果是,则进入步骤(6),否则进入步骤(8);(6)服务端判断接收到该进程的属性信息的次数是否大于一预设阈值N,如果是则转入步骤(7),否则进入步骤(8);(7)服务端将该进程加入其授信数据库中,并将该进程的属性信息下发给与其连接的所有客户端,过程结束;(8)服务器将客户端的属性信息和进程的属性信息都存储在其授信数据库中,将该客户端在授信数据库中的状态设置为未授信状态;(9)服务端根据该进程的属性信息判断该进程是否是伪造进程,如果是则进入步骤(10), ...
【技术特征摘要】
1.一种文件透明加解密系统中的伪造进程的处理方法,其特征在于,包括以下步骤:(1)客户端获取启动的进程,并获取该进程的进程名称;(2)客户端在其授信数据库中查询是否存在步骤(1)中获取的进程名称,如果不存在则直接运行该进程,过程结束,否则进入步骤(3);(3)客户端提取进程的指纹信息,并在其授信数据库中查询是否存在该指纹信息,如果存在则直接运行该进程,过程结束,否则进入步骤(4);(4)客户端将其属性信息、以及进程的属性信息和指纹信息发送到服务端,并阻断该进程的运行;(5)服务端判断是否能在其授信数据库中查询到客户端发来的进程的指纹信息,如果是,则进入步骤(6),否则进入步骤(8);(6)服务端判断接收到该进程的属性信息的次数是否大于一预设阈值N,如果是则转入步骤(7),否则进入步骤(8);(7)服务端将该进程加入其授信数据库中,并将该进程的属性信息下发给与其连接的所有客户端,过程结束;(8)服务器将客户端的属性信息和进程的属性信息都存储在其授信数据库中,将该客户端在授信数据库中的状态设置为未授信状态;(9)服务端根据该进程的属性信息判断该进程是否是伪造进程,如果是则进入步骤(10),否则进入步骤(11);(10)服务端在其授信数据库中将该进程对应的字段设置为黑名单,将该进程为伪造进程的信息以广播的方式发送到与其连接的所有客户端,过程结束;(11)服务端在授信数据库中将该进程对应的字段设置为白名单,并将该进程的属性信息下发给与其连接的所有客户端。2.根据权利要求1所述的处理方法,其特征在于,步骤(1)具体为,首先使用基于SetWindowsHookEx的全局注入技术、或者基于内核驱动的回调函数来实时捕获启动的进程,然后通过Windows系统提供的应用程序接口函数(例如GetModuleFileNameAPI函数)获取该进程的进程名称。3.根据权利要求1所述的处理方法,其特征在于,客户端的属性信息包括客户端ID、客户端IP地址、客户端MAC地址、客户端硬件号、客户端操作系统版本、客户端操作系统中的计算机名称、客户端操作系统中的用户名等。4.根据权利要求1所述的处理方法,其特征在于,进程的属性信息包括但不局限于进程的所在路径、以及进程对应文件的文件名、文件大小、数字签名信息、文件说明、文件版本、产品名称、产品版本、版权信息、原始文件名等。5.根据权利要求1所述的处理方法,其特征在于,...
【专利技术属性】
技术研发人员:陈永府,方兴,郭振冬,刘俊,
申请(专利权)人:武汉天喻软件股份有限公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。