本发明专利技术公开了一种基于白名单防护的敏感文件访问控制方法。为了克服现有技术保护范围受到限制,无法有效支持文件保护的扩展的问题。本发明专利技术采用包括以下步骤:S1:得到敏感文件和敏感程序的唯一特征值;S2:使用关联配置软件将对应的敏感文件和敏感程序的唯一特征值对应配置;S3:应用层发出访问文件命令;S4:驱动管理层捕捉文件和程序的特征值;S5:驱动管理层判断文件与程序是否相互关联配置。同时保护了PE文件和非PE文件,增加了保护范围且保护文件扩展简单,保证了敏感文件范文的安全性和隐私性。
A sensitive file access control method based on white list protection
【技术实现步骤摘要】
一种基于白名单防护的敏感文件访问控制方法
本专利技术涉及一种工控安全
,尤其涉及一种基于白名单防护的敏感文件访问控制方法。
技术介绍
白名单防护所针对的是可执行性程序的防护,而对于部分组态文件无法起到保护控制的作用。目前,对软件产品的保护一般采用保护可执行程序以及对一些文本文件进行加密的方法。该方法是指在对软件产品测试过程中一般只选择对想保护的文件进行开发保护,对某一对象实现特殊保护方式,单独的一对一模式。该方法不能对所有文件类型进行有效的保护,大多是只保护数据库或者某个配置文件,现场人员想要查看还需要对应的解密工具。并且无法添加配置后续想要保护的文件,保护限制太窄,无法有效支持多文件保护的扩展。例如,一种在中国专利文献上公开的“一种敏感文件安全存储办法”,其公告号“CN105975877B”,包括以下步骤:S1、对文件进行数据分割;S2、分割后数据块的随机离散;S3、分割后数据块依据离散地址进行安全存储;S4、用户访问文件申请鉴权。该方法对保护对象实现特殊保护方式,采用固定保护模式,无法添加配置后续想要保护的文件,保护限制太窄,无法有效支持多文件保护的扩展。
技术实现思路
本专利技术主要解决现有技术保护范围受到限制,无法有效支持文件保护的扩展的问题;提供一种基于白名单防护的敏感文件访问控制方法,在基于PE防护的基础上通过配置敏感文件及敏感程序来保护非PE文件的安全访问,增加保护范围,文件保护扩展简单,保护敏感文件的安全访问和隐私性。本专利技术的上述技术问题主要是通过下述技术方案得以解决的:本专利技术包括以下步骤:S1:得到敏感文件和敏感程序的唯一特征值;S2:使用关联配置软件将对应的敏感文件和敏感程序的唯一特征值对应配置;S3:应用层发出访问文件命令;S4:驱动管理层捕捉文件和程序的特征值;S5:驱动管理层判断文件与程序是否相互关联配置。本专利技术包括配置方法和访问方法,步骤S1和步骤S2为配置方法,步骤S3、步骤S4和步骤S5为访问方法。在基于原有的白名单防护的基础上保护敏感文件,白名单防护只保护可执行文件,敏感文件防护保护非可执行文件,增加了保护范围。在配置方法中,得到文件和程序的特征值,使用关联配置软件将对应的敏感文件和敏感程序的特征值一一对应。关联配置软件为自主研发的主机安全卫士软件。在需要为敏感文件添加对应的敏感程序或者需要为敏感程序添加对应的敏感文件时,只需要在关联配置软件中添加对应关系的配置即可,文件保护扩展简单。通过敏感文件的访问方法,敏感文件只能通过对应配置的敏感程序访问,控制敏感文件的安全访问,增加了敏感文件访问的可控性,也增加了敏感文件访问的隐私性。作为优选,所述的文件的特征值为文件的路径,程序的特征值为HASH值;通过文件过滤模型捕捉文件路径,通过HASH算法得到程序的HASH值。使用文件的路径作为文件的特征值,方便使用文件过滤模型捕捉。文件过滤模型为Minifilter。使用程序的HASH值作为程序的唯一特征值,HASH算法将任意长度的二进制值映射为固定长度的较小二进制值,方便储存,特征值唯一。使用HASH值能够有效避免其它可执行性程序因修改成同名或者同路径而访问该敏感文件。作为优选,所述的配置的关系包括敏感文件和敏感程序的一对一配置、一对多配置、多对一配置、多对多配置。在关联配置软件中,能够选择敏感文件和敏感程序的配置关系,配置的关系包括一对一配置,一个敏感文件关联一个敏感程序,该敏感文件只能通过关联的敏感程序访问;一对多配置,一个敏感文件关联多个敏感程序,敏感程序的数量不限,该敏感文件能够用关联的多个敏感程序访问;多对一配置,多个敏感文件关联一个敏感程序,敏感文件的数量不限,该多个敏感文件仅能通过关联的敏感程序访问;多对多配置,多个敏感文件配置多个敏感程序,敏感文件和敏感程序的数量不限,该多个敏感文件均能使用关联的多个敏感程序访问。配置关系多样、灵活,方便添加关联文件和程序,方便文件保护的拓展。作为优选,所述的敏感文件的路径、敏感程序的HASH值和配置关系储存数据库中,驱动管理层通过读取数据库中的数据写入内存表中。将敏感文件的路径和敏感程序的HASH值写入驱动管理层的内存表中,之后访问敏感文件时,只需要在内存表中查找是否存在该文件的路径和访问该文件的程序的HASH值以及配置关系即可。方便控制敏感程序对敏感文件的安全访问,查找方式简单。作为优选,所述的骤S2包括以下步骤:S21:关联配置软件通过PE检测判断文件是否为可执行文件,若是,则为白名单文件,不能进行配置,若否,则为敏感文件,进入步骤S22;S22:关联配置软件将敏感文件和对应的敏感程序相互关联配置。在关联配置时区分关联的文件是可执行文件或是非可执行文件,若是可执行文件,则为白名单文件,在原有的白名单防护的保护范围内,若为非可执行文件,则为敏感文件,可以进行敏感文件的配置。保证对敏感文件的防护不干扰白名单的防护,在对可执行文件防护的基础上再对非可执行文件进行防护,扩大了文件保护的范围。作为优选,所述的步骤B1包括以下步骤:S31:应用层发出访问文件命令;S32:驱动管理层判断文件类型,是否是PE文件,若是,则为白名单文件,进入步骤B13,若否,则为敏感文件,进入步骤B2;S33:执行白名单防护方案。白名单保护方案是现有技术,现有就存在对可执行文件的防护。在访问一个文件时,先判断该文件是可执行文件或是非可执行文件,若是可执行文件,则为白名单文件,进行报名单防护;若是非可执行文件,则为敏感文件,进行敏感文件的防护。白名单防护和敏感文件防护互补,且互不干扰,扩大了文件保护的范围。作为优选,所述的步骤S5包括以下步骤:S51:驱动管理层在内存表中查找是否存在捕捉到的文件路径,若是,则进入步骤S52,若否,则访问失败;S52:驱动管理层在内存表中查找是否存在关联所述文件的程序的HASH值,若是,则访问成功,若否,则访问失败。在内存表中查找捕获的文件路径,在对应的配置关系中查找调用该文件的HASH值,匹配方式简单,流程便捷、精确。HASH值的选取有效避免其它可执行性程序因修改成同名或者同路径而访问该敏感文件,保证了敏感文件的安全访问和确保了敏感文件的隐私性。作为优选,所述的白名单访问失败和敏感文件访问失败时,弹出的对话框内容不同。白名单访问和敏感文件访问失败时弹出的对话框内容不同,能区分是白名单拦截或是敏感文件拦截,方便用户区分和纠错更改配置,提高用户使用体验,本专利技术的有益效果是:1.在基于原有的白名单防护可执行文件的基础上配置敏感文件防护,保护了非可执行文件,增加了保护范围。2.使用关联配置软件将对应的敏感文件的路径和敏感程序的HASH值对应关联匹配,保护文件拓展简单。3.关联配置的关系包括一对一、多对一、一对多和多多对,配置关系多样灵活,方便保护文件的拓展。4.敏感文件只能通过配置的敏感程序访问,保证了敏感文件访问的安全本文档来自技高网...
【技术保护点】
1.一种基于白名单防护的敏感文件访问控制方法,其特征在于,包括以下步骤:/nS1:得到敏感文件和敏感程序的唯一特征值;/nS2:使用关联配置软件将对应的敏感文件和敏感程序的唯一特征值对应配置;/nS3:应用层发出访问文件命令;/nS4:驱动管理层捕捉文件和程序的特征值;/nS5:驱动管理层判断文件与程序是否相互关联配置。/n
【技术特征摘要】
1.一种基于白名单防护的敏感文件访问控制方法,其特征在于,包括以下步骤:
S1:得到敏感文件和敏感程序的唯一特征值;
S2:使用关联配置软件将对应的敏感文件和敏感程序的唯一特征值对应配置;
S3:应用层发出访问文件命令;
S4:驱动管理层捕捉文件和程序的特征值;
S5:驱动管理层判断文件与程序是否相互关联配置。
2.根据权利要求1所述的一种基于白名单防护的敏感文件访问控制方法,其特征在于,所述的文件的特征值为文件的路径,程序的特征值为HASH值;通过文件过滤模型捕捉文件路径,通过HASH算法得到程序的HASH值。
3.根据权利要求2所述的一种基于白名单防护的敏感文件访问控制方法,其特征在于,配置的关系包括敏感文件和敏感程序的一对一配置、一对多配置、多对一配置、多对多配置。
4.根据权利要求2或3所述的一种基于白名单防护的敏感文件访问控制方法,其特征在于,所述的敏感文件的路径、敏感程序的HASH值和配置关系储存数据库中,驱动管理层通过读取数据库中的数据写入内存表中。
5.根据权利要求4所述的一种基于白名单防护的敏感文件访问控制方法,其特征在于,所述步...
【专利技术属性】
技术研发人员:章维,邵腾飞,沈利斌,郭正飞,朱希成,
申请(专利权)人:浙江中控技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。