本發明公開一種文件加密中的應用程序動態授信方法，本方法使用動態授信的方式使不完全配置的策略能夠發揮完全的作用，配置簡便，且具備一定的智能特性，只要配置了主程序和主文件類型，再選擇性的配置動態授信的規則，即可實現良好效果；預后性好，由于規則的存在，基本策略外的文件訪問也能自動處理。

技術領域

本發明涉及一種文件加密中的應用程序動態授權方法，屬于信息安全技術領域。

背景技術

文件加密技術是很多用戶用來保護自己敏感數據的常用技術，一般情況下，文件在存儲介質上保持加密的狀態，這些加密文件使用時因當前的使用環境而呈現不同的效果。授信程序可以正常訪問、修改這些文件，非授信程序則無法訪問或只能訪問到加密后的數據。授信程序一般包括專用的繪圖、編程、設計等類別的程序，其他所有程序尤其是郵件客戶端、IM客戶端、壓縮工具等用于傳播、外發方面的程序都屬于非授信程序。通過這種方式，可以將所有的訪問程序劃分為兩類來區別對待，達到防泄密的效果。

由于繪圖、編程、設計等類別的程序種類繁多，有已知也有未知的，如果不能夠正確的區分的話，就會給正常的工作帶來不便，或者造成泄密事故。這就產生了動態對應用程序授信的需求。

現有的解決方案一般都是通過人為的、詳盡的對涉密程序進行配置，以期得到正常的加密效果。一般的，其工作流程如附圖1所示，傳統方式的策略配置工作量巨大，且容易出錯。針對傳統的、常用的軟件通過實踐的積累還能夠達到比較好的效果，但是遇到新軟件，就會難以配置。就算一時配置好，但是如果某一天軟件中的某個冷門功能被使用到，可能仍舊會產生問題。

發明內容

針對現有技術的缺陷，本發明提供一種文件加密中的應用程序動態授信方法，其可以對應用程序動態授信，策略配置工作量小，不易出錯。

為了解決所述技術問題，本發明采用的技術方案是：一種文件加密中的應用程序動態授信方法，包括以下步驟：S01）、探測文件訪問行為；S02）、判斷文件訪問是否應當授信，當未知進程訪問涉密類型文件時，進入動態授信，動態授信包括以下步驟：a）、判斷進程是否是涉密進程，如果是涉密進程，則授信；b）、如果進程本身不是涉密進程，那么判斷它的父進程和更上級進程是否是涉密進程，如果不是，則不授信；c）、如果進程屬于涉密進程的子孫進程，則進入安全判定環節，根據安全判定結果確認是否授信；S03）、將授信結果反饋給應用程序，進入應用程序自身邏輯。

本發明所述文件加密中的應用程序動態授信方法，安全判定環節包括聯網能力判定、出品廠家判定、數字簽名判定、進程所在位置和依賴項判定以及黑名單規定判定，當該子進程不具備聯網能力、出品廠家和數字簽名都和已授信的父進程保持一致、所在位置和父進程在相同或相近文件夾內、與父進程具備相似的庫依賴關系以及不處于黑名單之內時，動態的自動授信。

本發明所述文件加密中的應用程序動態授信方法，探測文件訪問行為時，通過在操作系統底層的文件過濾驅動做到監視文件的訪問，通過進程創建和銷毀通知得到進程的生存周期，兩者結合探測到每個進程對所有文件的訪問請求。

本發明所述文件加密中的應用程序動態授信方法，步驟2中某進程被動態授信，將該進程的資料保存起來。

本發明的有益效果：本發明使用動態授信的方式使不完全配置的策略能夠發揮完全的作用，配置簡便，且具備一定的智能特性，只要配置了主程序和主文件類型，再選擇性的配置動態授信的規則，即可實現良好效果；預后性好，由于規則的存在，基本策略外的文件訪問也能自動處理。

附圖說明

圖1為現有加密文件的工作流程圖；

圖2為本發明所述文件加密中的應用程序動態授信方法的流程圖。

具體實施方式

下面結合附圖和具體實施例對本發明作進一步的說明。