[发明专利]一种文件透明加解密系统中的伪造进程的处理方法和系统

说明书

本发明公开了一种文件透明加解密系统中的伪造进程的处理方法，包括：客户端获取启动的进程，并获取该进程的进程名称；客户端在其授信数据库中查询是否存在获取的进程名称，如果存在则客户端提取进程的指纹信息，并在其授信数据库中查询是否存在该指纹信息，如果不存在则客户端将其属性信息、以及进程的属性信息和指纹信息发送到服务端，并阻断该进程的运行，服务端判断是否能在其授信数据库中查询到客户端发来的进程的指纹信息。本发明能够解决现有文件透明加解密系统广泛使用的基于进程指纹的识别方式中存在的易用性差，维护工作量大、解决问题被动、无法检测威胁、无法泄密取证的技术问题。

技术领域

本发明属于信息安全技术领域，更具体地，涉及一种文件透明加解密系统中的伪造进程的处理方法和系统。

背景技术

文件透明加解密系统目前已经得到了广泛的商用，其实现了当电子文件打开时，自动解密到内存，供应用程序正确识别；当文件保存时，自动加密到磁盘，防止电子文件泄密；即使电子文件被拷贝出去，但其仍旧处于加密状态，从而解决了企业对商业秘密保护的需求；此外，文件透明加解密系统不改变原有的文件操作流程，对用户来说无感知。

文件透明加解密系统中的一个关键技术就是如何对进程进行精准识别，防止伪造进程；目前市面上普遍使用的透明加解密系统中，对进程的识别通常是基于进程指纹(即进程的MD5值)的识别方式，其具备较强的预防伪造进程的能力。

然而，现有文件透明加解密系统中基于进程指纹的识别方式仍然具有一些不可忽略的技术问题：

1、易用性差：如果某个授信软件(例如Microsoft的WORD)更新了一个小补丁，导致文件内容(例如winword.exe)发生变化，这会导致该授信软件对应的进程无法被识别为授信进程，甚至会被误判为伪造进程，此时透明加解密系统无法及时、主动的进行自动干预，从而影响了该透明加解密系统的用户体验度。

2、维护工作量大：当授信软件出现新的版本，则需要重新采集进程指纹，然后对所有的客户进行更新，不仅工作量大，而且几乎无可操作性。

3、解决问题被动：文件透明加解密系统无法自动预知授信软件的版本更新，每次都是客户端主动提出问题，然后再被动的解决问题，严重影响用户使用体验。

4、无法检测威胁：在使用了文件透明加解密系统后，企业会一直认为其自身处于文件加解密系统的保护之中，却无法知晓每天有多少非法用户在尝试破解，因此对类似的潜在威胁无法预知。

5、无法泄密取证：当电子文件泄密后，文件透明加解密系统无法找到有力的证据，对伪造进程的用户毫无震慑力。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种文件透明加解密系统中的伪造进程的处理方法和系统，其目的在于，解决现有文件透明加解密系统广泛使用的基于进程指纹的识别方式中存在的易用性差，维护工作量大、解决问题被动、无法检测威胁、无法泄密取证的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种文件透明加解密系统中的伪造进程的处理方法，包括以下步骤：

(1)客户端获取启动的进程，并获取该进程的进程名称；

(2)客户端在其授信数据库中查询是否存在步骤(1)中获取的进程名称，如果存在则直接运行该进程，过程结束，否则进入步骤(3)；

(3)客户端提取进程的指纹信息，并在其授信数据库中查询是否存在该指纹信息，如果存在则直接运行该进程，过程结束，否则进入步骤(4)；

(4)客户端将其属性信息、以及进程的属性信息和指纹信息发送到服务端，并阻断该进程的运行；

(5)服务端判断是否能在其授信数据库中查询到客户端发来的进程的指纹信息，如果是，则进入步骤(6)，否则进入步骤(8)；