[发明专利]通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品

说明书

本文提供的实施方式涉及数据保护的方法、系统和计算机程序产品。基于加密数据文件管理、进程认证及授权，针对已授权进程的木马检测、加密密钥生成和缓存以及加密文件缓存管理方法而提出了基于进程的加密数据访问监管系统。所述基于进程的加密数据访问监管系统可以实现为一种内核级别文件系统过滤器和一种用户模式过滤配套应用，它监管着服务器系统或者终端计算机中的加密数据的读/写，并保护数据免受数据泄露和已知或未知攻击，包括勒索软件和/或网络钓鱼攻击。

技术领域

本发明涉及数据访问管理技术领域，尤其涉及一种用于管理运行在计算机系统上的进程对数据访问的系统、方法和计算机程序产品。

背景技术

随着社会变得更加数字化，敏感信息的存储和传输也越来越电子化。因此，在当今数字社会，网络安全的重要性也日益变得十分重要。

为了解决网络安全问题，人们已经提出了许多计算机安全技术。这些计算机安全技术其中包括防火墙、基于角色的访问控制、数据备份服务以及数据加密等。上述这些技术通常采用不同的方式来保护用户数据。例如，防火墙技术主要用于防止恶意软(malicioussoftware恶意软件)件获得计算机的访问权限。基于角色的访问控制根据分配给各种用户的角色和特权来限制已授权用户的系统访问权限。数据备份根据预定的时间表来存档数据以防止数据丢失。加密编码是将一份明文文件转换成为一份格式无法识别的文件，除非使用对应的解密密钥来解码。

虽然上述技术为用户数据提供了一些保护措施，但是这些技术都容易受到复杂的攻击，并有证据表明越来越多的大型机构遭遇数据泄露和/或被勒索赎金。随着计算机-物理-人类网络和系统之间的相互关联变得越来越紧密，整个系统的强壮性更趋向于体现在最薄弱环节和时刻。

发明内容

下面将更加详细地介绍本文要讨论的内容。该介绍并非旨在限制或者限定任何已经申请或尚未申请的发明。包括权利要求和附图在内的本文的任何部分所披露的元素或过程步骤的任何组合或者子组合中均可能包括一项或多项发明。

本文描述的实施方式可以包括用于管理计算机系统中的数据访问的方法和系统。这里描述的实施方式，可以用于防止数据泄露和防止已知的和未知的攻击，包括，例如勒索软件和网络钓鱼攻击。本文描述的系统和方法的实施方式可以基于进程验证和授权方法，监管那些尝试访问加密数据文件的进程。可以拒绝未经授权的进程，例如恶意软件进程，访问加密数据。

本文描述的方法和系统的实施方式提供可以被称为内核级别文件系统过滤器的数据保护模块。该数据保护模块可以实现用于进程认证和/或进程授权的方法，以便于监管(即，以管理数据访问)尝试访问计算机系统上的数据(加密数据和/或未加密数据)的进程。

从广义上来说，本文提供了一种安装在计算机系统上的数据保护模块管理访问多个数据文件的方法，多个数据文件存储在计算机系统中的至少一个数据模块上，所述方法包括：所述数据保护模块识别存储在所述至少一个数据模块上的所述多个数据文件中的多个受保护的数据文件，其中存储在所述至少一个数据模块上的所述多个数据文件包括所述多个受保护的数据文件和多个未受保护的数据文件，并且其中所述多个受保护的数据文件中的每个受保护的数据文件以加密格式存储在所述至少一个存储模块中；将存储在所述至少一个存储模块上的每个受保护的数据文件关联一个受保护文件标识符；所述数据保护模块接收来自运行在计算机系统上的请求进程实例的文件访问请求，其中文件访问请求包括与所述多个数据文件中的特定数据文件相对应的文件识别信息；所述数据保护模块从所述文件识别信息中识别出特定数据文件；所述数据保护模块通过识别关联的受保护文件标识符确定所述特定数据文件为受保护的数据文件之一；所述数据保护模块根据对应进程的进程授权级别确定请求进程实例的授权级别，所述对应进程的进程授权级别由通过访问存储在所述至少一个存储模块上的定义多个进程的授权级别的配置图确定；以及根据确定的请求进程实例的授权级别向请求进程实例提供特定数据文件的访问级别。

在一些实施方式中，所述配置图用于根据具有明文授权级别的多个进程定义第一组进程，以及用于根据具有密文授权级别的多个进程定义第二组进程。