CN109117664A - 应用程序的访问控制方法和装置 - Google Patents
应用程序的访问控制方法和装置 Download PDFInfo
- Publication number
- CN109117664A CN109117664A CN201810798889.0A CN201810798889A CN109117664A CN 109117664 A CN109117664 A CN 109117664A CN 201810798889 A CN201810798889 A CN 201810798889A CN 109117664 A CN109117664 A CN 109117664A
- Authority
- CN
- China
- Prior art keywords
- call request
- function
- file
- default
- desktop
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种应用程序的访问控制方法和装置,该方法包括:创建虚拟桌面;将原始桌面中的至少一个应用程序添加至虚拟桌面;若检测到虚拟桌面内任意一个目标应用程序启动,则对Windows的函数库中的预设函数进行Inline Hook,预设函数包括预设网络访问函数、预设剪贴板操作函数、预设注册表处理函数;截获目标应用程序对预设函数的调用请求;根据预先配置的控制策略和调用请求中的参数,确定与参数以及预设函数对应的目标控制策略;若目标控制策略为允许,则响应于调用请求调用预设函数;若目标控制策略为拒绝,则按照预设函数的预设拒绝策略对调用请求进行拒绝;若目标控制策略为对调用请求重定向,则按照预设函数的预设重定向策略对调用请求进行重定向。
Description
技术领域
本发明涉及数据安全技术领域,特别是涉及一种应用程序的访问控制方法和装置。
背景技术
近年来,随着各种泄密事件的突发,泄密事件对国家的安全和长远发展都构成了极大威胁。对于关系到国计民生的金融行业而言,其则有更高的安全防护需求,更需要及时防止泄密事件的发生。
不论是哪个行业都需要防止发生泄密事件,那么为了避免泄密事件的发生,可以对各行业的员工电脑中的应用程序进行安全访问控制,从而避免泄密人员通过企业电脑中的应用程序来进行泄密。
因此,目前需要本领域技术人员迫切解决的一个技术问题就是:如何对终端的应用程序进行多方面的访问控制,确保终端信息的安全。
发明内容
本发明提供了一种应用程序的访问控制方法和装置,以解决相关技术无法对终端的应用程序进行多方面的访问控制的问题。
为了解决上述问题,根据本发明的一个方面,本发明公开了一种应用程序的访问控制方法,应用于终端设备,所述方法包括:
创建虚拟桌面;
将原始桌面中的至少一个应用程序添加至所述虚拟桌面;
若检测到所述虚拟桌面内任意一个目标应用程序启动,则对Windows的函数库中的预设函数进行Inline Hook,其中,所述预设函数包括预设网络访问函数、预设剪贴板操作函数、预设注册表处理函数;
截获所述目标应用程序对所述预设函数的调用请求;
根据预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设函数对应的目标控制策略;
若所述目标控制策略为对所述调用请求允许,则响应于所述调用请求调用所述预设函数;
若所述目标控制策略为对所述调用请求拒绝,则响应于所述调用请求,按照所述预设函数的预设拒绝策略对所述调用请求进行拒绝,返回拒绝结果;
若所述目标控制策略为对所述调用请求重定向,则按照所述预设函数的预设重定向策略对所述调用请求进行重定向,响应于重定向的调用请求调用所述预设函数。
可选地,当所述预设函数包括预设网络访问函数时,所述调用请求中的参数包括待访问的网络地址的目标地址段;
所述根据预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设函数对应的目标控制策略,包括:
根据针对预设网络访问函数预设配置的不同地址段与不同控制策略的对应关系,确定所述目标地址段对应的目标控制策略。
可选地,当所述预设函数包括预设剪贴板操作函数时,所述调用请求中的参数包括待粘贴文本、所述待粘贴文本对应的源文件所属的第一桌面标识、所述待粘贴文本对应的目标文件所属的第二桌面标识;
所述根据预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设函数对应的目标控制策略,包括:
判断所述第一桌面标识和所述第二桌面标识是否相同;
若相同,则根据针对预设剪贴板操作函数预设配置的控制策略,确定目标控制策略为对所述调用请求允许;
若不同,则根据针对预设剪贴板操作函数预设配置的控制策略,确定目标控制策略为对所述调用请求拒绝;
所述若所述目标控制策略为对所述调用请求拒绝,则响应于所述调用请求,按照所述预设函数的预设拒绝策略对所述调用请求进行拒绝,返回拒绝结果,包括:
若所述目标控制策略为对所述调用请求拒绝,则响应于所述调用请求,按照所述预设剪贴板操作函数的预设拒绝策略对所述调用请求中的所述待粘贴文本进行预设修改,返回修改结果,其中,所述预设修改包括字符清空或打乱字符排列顺序。
可选地,所述预设注册表处理函数包括注册表写入函数,当所述预设函数包括所述注册表写入函数时,所述调用请求中的参数包括待写入项目在原始注册表中的原始路径、所述待写入项目的目标键、所述目标键的目标值;
所述根据预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设函数对应的目标控制策略,包括:
根据针对所述预设注册表写入函数预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设注册表写入函数对应的目标控制策略为对所述调用请求重定向;
所述若所述目标控制策略为对所述调用请求重定向,则按照所述预设函数的预设重定向策略对所述调用请求进行重定向,响应于重定向的调用请求调用所述预设函数,包括:
若所述目标控制策略为对所述调用请求重定向,则按照所述原始路径在所述原始注册表的所述目标键的子键中创建重定向注册表;
将所述调用请求中的所述原始路径修改为所述待写入项目在所述重定向注册表中的重定向路径;
响应于重定向的调用请求调用所述预设注册表写入函数,将所述目标值写入至所述重定向注册表中的所述重定向路径的目标键的值。
可选地,所述将原始桌面中的至少一个应用程序添加至所述虚拟桌面之后,所述方法还包括:
若预设微过滤驱动检测到所述虚拟桌面内任意一个启动的目标应用程序的文件操作请求,则根据所述文件操作请求,判断文件操作类型;
若文件操作类型为打开文件,则确定所述文件操作请求中目标文件名称,以及目标文件在原始桌面中的原始目录;
按照所述原始目录的结构在所述虚拟桌面对应的存储空间中对所述原始目录进行重定向,得到所述目标文件的重定向目录;
将所述原始桌面的所述原始目录中的具有所述目标文件名称的目标文件复制至所述虚拟桌面的所述重定向目录处;
响应于文件操作请求,打开所述重定向目录处的具有所述目标文件名称的所述目标文件。
可选地,所述若预设微过滤驱动检测到所述虚拟桌面内任意一个启动的目标应用程序的文件操作请求,则根据所述文件操作请求,判断文件操作类型之后,所述方法还包括:
若文件操作类型为文件写操作,则确定所述文件操作请求中的目标文件名称,以及目标文件在原始桌面中的原始目录;
按照所述原始目录的结构在所述虚拟桌面对应的存储空间中对所述原始目录进行重定向,得到所述目标文件的重定向目录;
将所述原始桌面的所述原始目录中的目标文件复制至所述虚拟桌面的所述重定向目录处;
响应于文件操作请求,对所述重定向目录处的目标文件进行写操作;
按照预设加密算法对写操作之后的目标文件进行加密。
可选地,所述若预设微过滤驱动检测到所述虚拟桌面内任意一个启动的目标应用程序的文件操作请求,则根据所述文件操作请求,判断文件操作类型之后,所述方法还包括:
若文件操作类型为文件读操作,则确定所述文件操作请求中的目标文件名称,以及目标文件在原始桌面中的原始目录;
根据所述原始目录确定所述目标文件在所述虚拟桌面中的重定向目录;
按照预设解密算法对所述重定向目录处的具有所述目标文件名称的目标文件进行解密;
响应于文件操作请求,对解密之后的目标文件进行读操作,返回读取结果。
可选地,所述方法还包括:
若关闭所述虚拟桌面,则根据预先配置的数据清理策略,对所述虚拟桌面中产生的临时数据和/或重定向数据进行清除。
可选地,所述将原始桌面中的至少一个应用程序添加至所述虚拟桌面之后,所述方法还包括:
若检测到任意一个应用程序的访问请求,判断所述应用程序是否为所述虚拟桌面内的目标应用程序;
若否,则拒绝所述访问请求。
根据本发明的另一方面,本发明还公开了一种应用程序的访问控制装置,应用于终端设备,所述装置包括:
创建模块,用于创建虚拟桌面;
添加模块,用于将原始桌面中的至少一个应用程序添加至所述虚拟桌面;
钩子模块,用于若检测到所述虚拟桌面内任意一个目标应用程序启动,则对Windows的函数库中的预设函数进行Inline Hook,其中,所述预设函数包括预设网络访问函数、预设剪贴板操作函数、预设注册表处理函数;
截获模块,用于截获所述目标应用程序对所述预设函数的调用请求;
第一确定模块,用于根据预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设函数对应的目标控制策略;
第一响应模块,用于若所述目标控制策略为对所述调用请求允许,则响应于所述调用请求调用所述预设函数;
第二响应模块,用于若所述目标控制策略为对所述调用请求拒绝,则响应于所述调用请求,按照所述预设函数的预设拒绝策略对所述调用请求进行拒绝,返回拒绝结果;
第三响应模块,用于若所述目标控制策略为对所述调用请求重定向,则按照所述预设函数的预设重定向策略对所述调用请求进行重定向,响应于重定向的调用请求调用所述预设函数。
可选地,所述第一确定模块包括:
第一确定子模块,用于当所述预设函数包括预设网络访问函数时,其中,所述调用请求中的参数包括待访问的网络地址的目标地址段,根据针对预设网络访问函数预设配置的不同地址段与不同控制策略的对应关系,确定所述目标地址段对应的目标控制策略。
可选地,所述第一确定模块包括:
判断子模块,用于当所述预设函数包括预设剪贴板操作函数时,其中,所述调用请求中的参数包括待粘贴文本、所述待粘贴文本对应的源文件所属的第一桌面标识、所述待粘贴文本对应的目标文件所属的第二桌面标识,判断所述第一桌面标识和所述第二桌面标识是否相同;
第二确定子模块,用于若相同,则根据针对预设剪贴板操作函数预设配置的控制策略,确定目标控制策略为对所述调用请求允许;
第三确定子模块,用于若不同,则根据针对预设剪贴板操作函数预设配置的控制策略,确定目标控制策略为对所述调用请求拒绝;
所述第二响应模块包括:
第二响应子模块,用于若所述目标控制策略为对所述调用请求拒绝,则响应于所述调用请求,按照所述预设剪贴板操作函数的预设拒绝策略对所述调用请求中的所述待粘贴文本进行预设修改,返回修改结果,其中,所述预设修改包括字符清空或打乱字符排列顺序。
可选地,所述第一确定模块包括:
第四确定子模块,用于当所述预设注册表处理函数包括注册表写入函数,所述预设函数包括所述注册表写入函数时,所述调用请求中的参数包括待写入项目在原始注册表中的原始路径、所述待写入项目的目标键、所述目标键的目标值,根据针对所述预设注册表写入函数预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设注册表写入函数对应的目标控制策略为对所述调用请求重定向;
所述第三响应模块包括:
创建子模块,用于若所述目标控制策略为对所述调用请求重定向,则按照所述原始路径在所述原始注册表的所述目标键的子键中创建重定向注册表;
修改子模块,用于将所述调用请求中的所述原始路径修改为所述待写入项目在所述重定向注册表中的重定向路径;
第三响应子模块,用于响应于重定向的调用请求调用所述预设注册表写入函数,将所述目标值写入至所述重定向注册表中的所述重定向路径的目标键的值。
可选地,所述装置还包括:
第一判断模块,用于若预设微过滤驱动检测到所述虚拟桌面内任意一个启动的目标应用程序的文件操作请求,则根据所述文件操作请求,判断文件操作类型;
第二确定模块,用于若文件操作类型为打开文件,则确定所述文件操作请求中目标文件名称,以及目标文件在原始桌面中的原始目录;
第一重定向模块,用于按照所述原始目录的结构在所述虚拟桌面对应的存储空间中对所述原始目录进行重定向,得到所述目标文件的重定向目录;
第一复制模块,用于将所述原始桌面的所述原始目录中的具有所述目标文件名称的目标文件复制至所述虚拟桌面的所述重定向目录处;
第四响应模块,用于响应于文件操作请求,打开所述重定向目录处的具有所述目标文件名称的所述目标文件。
可选地,所述装置还包括:
第三确定模块,用于若文件操作类型为文件写操作,则确定所述文件操作请求中的目标文件名称,以及目标文件在原始桌面中的原始目录;
第二重定向模块,用于按照所述原始目录的结构在所述虚拟桌面对应的存储空间中对所述原始目录进行重定向,得到所述目标文件的重定向目录;
第二复制模块,用于将所述原始桌面的所述原始目录中的目标文件复制至所述虚拟桌面的所述重定向目录处;
第五响应模块,用于响应于文件操作请求,对所述重定向目录处的目标文件进行写操作;
加密模块,用于按照预设加密算法对写操作之后的目标文件进行加密。
可选地,所述装置还包括:
第四确定模块,用于若文件操作类型为文件读操作,则确定所述文件操作请求中的目标文件名称,以及目标文件在原始桌面中的原始目录;
第五确定模块,用于根据所述原始目录确定所述目标文件在所述虚拟桌面中的重定向目录;
解密模块,用于按照预设解密算法对所述重定向目录处的具有所述目标文件名称的目标文件进行解密;
第六响应模块,用于响应于文件操作请求,对解密之后的目标文件进行读操作,返回读取结果。
可选地,所述装置还包括:
清除模块,用于若关闭所述虚拟桌面,则根据预先配置的数据清理策略,对所述虚拟桌面中产生的临时数据和/或重定向数据进行清除。
可选地,所述装置还包括:
第二判断模块,用于若检测到任意一个应用程序的访问请求,判断所述应用程序是否为所述虚拟桌面内的目标应用程序;
拒绝模块,用于若第二判断模块确定应用程序不为所述虚拟桌面内的目标应用程序,则拒绝所述访问请求。
与现有技术相比,本发明包括以下优点:
这样,本发明实施例通过创建虚拟桌面,并将原始桌面中的一个或多个应用程序添加到该虚拟桌面,并在该虚拟桌面内的任意一个目标应用程序启动时,对预设网络访问函数、预设剪贴板操作函数、预设注册表处理函数进行Inline Hook操作,那么当该目标应用程序对上述任意一个被Inline Hook的函数进行调用时,本发明实施例就可以截获该调用请求,并根据预先配置的控制策略来对该调用请求进行访问控制(包括允许、拒绝和重定向),从而能够对虚拟桌面内的应用程序进行网络、剪贴板、注册表等多方面的访问控制,确保信息的访问安全。
附图说明
图1是本发明的一种应用程序的访问控制***实施例的***架构图;
图2是本发明的一种应用程序的访问控制方法实施例的步骤流程图;
图3是本发明的一种应用程序的访问控制***实施例的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
参照图1,示出了本发明的一种应用程序的访问控制***实施例的***架构图。
本发明实施例的应用程序的访问控制***基于windows平台,总体上划分为三个层次:分别为桌面管理层、访问控制层、文件加密层。
其中,桌面管理层,负责桌面安全环境(即虚拟桌面)管理,主要进行桌面安全环境创建、创建前的环境检查、退出桌面工作环境、退出后环境清理等。
访问控制层,用于根据桌面工作环境配置的策略,对桌面内启动的应用程序进行行为控制;
文件加密层,负责对桌面工作环境内产生的数据进行重定向及加密处理。
其中,如图1所示,桌面管理层,位于总体架构的最上层,由桌面管理模块、创建桌面工作环境模块、创建前环境检测模块、退出桌面工作环境模块及退出后环境清理模块组成。
桌面管理模块,用于给用户提供可视的桌面管理操作,如调用创建桌面工作环境模块进行桌面工作环境的创建、调用退出桌面工作环境模块来退出桌面工作环境、以及切换桌面工作环境等;
创建桌面工作环境模块,用于调用创建前环境检测模块,检查当前环境是否满足创建桌面工作环境的条件,检查通过后可以调用windows api创建桌面并启动资源管理器进入访问控制层。
退出桌面工作环境模块,负责销毁创建的桌面工作环境,并调用退出后环境清理模块,清理与桌面工作环境相关信息,具体包括例如重定向目录,以及文件、注册表等。
退出后环境清理模块,负责清理桌面工作环境关联信息。
访问控制层,位于总体架构的中间层,承上启下,负责监控桌面工作环境下(即虚拟桌面)启动的应用程序,可以根据桌面工作环境的配置策略,调用网络、剪贴板控制模块和注册表重定向模块进行防护、控制,并向文件加解密层传递桌面工作环境启动的应用信息(具体可以包括虚拟桌面启动的应用程序的PID(进程标识符)、该虚拟桌面的标识信息及该虚拟桌面的控制策略)。
访问控制层包括桌面内应用防护模块、网络剪贴板控制模块、注册表重定向模块,其中,桌面内应用防护模块用于在虚拟桌面内存在启动的应用程序的情况下,将网络剪贴板控制模块、注册表重定向模块分别载入到该应用程序的进程地址空间中。
文件加解密层,位于整体架构的最下层,是文件重定向和加密的核心所在,负责处理桌面工作环境内应用程序的文件读写操作,对应用程序的文件写入执行重定向操作,对写入文件进行加密操作,以保证数据的安全。
文件加解密层包括文件处理模块、文件重定向模块、加解密服务模块。
其中,文件处理模块用于从桌面内应用防护模块接收虚拟桌面内的应用程序的文件操作请求,并调用文件重定向模块和加解密服务模块对该文件操作请求进行响应。
其中,文件重定向模块,负责将应用程序的文件访问(包括读、写)重定向到指定位置;
加解密模块,负责将写入的文件数据使用指定算法进行加密,以及将读取的文件数据使用指定算法进行解密。
对于上述图1中三层架构中各个模块的具体功能,这里结合图2所示的本发明的一种应用程序的访问控制方法实施例的步骤流程图进行详细阐述,,该方法可以应用于终端设备,具体可以包括如下步骤:
步骤101,创建虚拟桌面;
其中,如图1所示,当用户在Windows原始桌面上选择创建虚拟桌面时,桌面管理模块可以调用创建桌面工作环境模块来创建一个虚拟桌面,创建桌面工作环境模块在创建虚拟桌面时,可选地,可以调用创建前环境检测模块,来检测Windows的环境是否满足创建虚拟桌面的条件。
其中,该条件可以是自定义的条件,例如Windows目前运行了预设软件;或者内存剩余大于内存阈值等条件。
其中,终端设备可以是具有Windows操作***的任意设备,例如PC(个人电脑)、笔记本电脑、平板电脑、手机等。
其中,原始桌面为Windows***的自带原始桌面,为已知技术,这里不再赘述。
那么当Windows的环境满足创建虚拟桌面的条件时,则创建桌面工作环境模块则可以调用windows api创建虚拟桌面,具体而言,可以使用windows***的CreateDesktop函数创建虚拟桌面,其中,虚拟桌面是一个容器。
步骤102,将原始桌面中的至少一个应用程序添加至所述虚拟桌面;
其中,创建桌面工作环境模块还可以根据用户在Windows原始桌面上为创建的虚拟桌面选择的至少一个应用程序,来将原始桌面上的至少一个应用程序添加到该创建的虚拟桌面。那么在该虚拟桌面上,就可以对这些应用程序进行访问控制。
也就是说,虚拟桌面中的应用程序都是选自原始桌面中安装的应用程序的。
步骤103,若检测到所述虚拟桌面内任意一个目标应用程序启动,则对Windows的函数库中的预设函数进行Inline Hook;
其中,所述预设函数包括预设网络访问函数、预设剪贴板操作函数、预设注册表处理函数;
其中,在虚拟桌面中有应用程序(任意一个APP,这里称作目标APP)启动时,桌面内应用防护模块可以将网络、剪贴板控制模块和注册表重定向模块注入到目标APP的进程地址空间。这样,网络、剪贴板控制模块就可以对Windows的网络函数库的关键函数,即预设网络访问函数(例如connect函数(即网络连接函数)、Sendto函数(即,向一指定目的地发送数据的函数)、recvfrom函数(用于接收数据,并捕获数据发送源的地址))、Windows的剪贴板函数库中的关键函数,即预设剪贴板操作函数(例如SetClipboardData函数(即将数据存放到剪贴板上的函数)、GetClipboardData函数(即从剪贴板取得数据的函数)、OleSetClipboard函数(即在剪贴板上放置一个IDataObject接口指针的函数)、OleGetClipboard函数(即从剪贴板上取得一个IDataObject接口指针的函数)等)进行Inline Hook操作,从而能够在应用程序调用被Inline Hook的函数时,拦截目标APP的相关网络访问操作以及剪贴板操作;另外,注册表重定向模块也可以对Windows的注册表函数库的关键函数,即预设注册表处理函数(例如ZwOpenKey函数、ZwCreateKey函数、ZwDeleteKey函数、ZwQueryKey函数、ZwEnumerateValueKey函数等)进行Inline Hook操作,从而能够在应用程序调用被Inline Hook的函数,拦截目标APP的相关注册表操作。
其中,以上注册表处理函数皆为已知函数,具体不再赘述。
其中,Hook机制允许应用程序拦截并处理Windows消息或指定事件等。
步骤104,截获所述目标应用程序对所述预设函数的调用请求;
其中,当虚拟桌面中运行的目标APP对预设网络访问函数或预设剪贴板操作函数调用时,则本发明实施例的网络、剪贴板控制模块可以截获所述目标APP对所述预设网络访问函数或预设剪贴板操作函数的调用请求;当虚拟桌面中运行的目标APP对预设注册表处理函数调用时,则本发明实施例的注册表重定向模块可以截获所述目标APP对所述预设注册表处理函数的调用请求。
步骤105,根据预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设函数对应的目标控制策略;
其中,本发明实施例的方法可以预先对运行在该虚拟桌面中的目标APP配置控制策略,例如对预设函数的什么样的调用请求进行允许(即放过)、对预设函数的什么样的调用请求进行拒绝,对预设函数的什么样的调用请求进行重定向。因此,需要根据调用请求中的参数,来确定预先配置的控制策略中与该参数以及被调用的预设函数对应的目标控制策略。
即采用该目标控制策略来对截获的对所述预设函数的调用请求进行处理。
步骤106,若所述目标控制策略为对所述调用请求允许,则响应于所述调用请求调用所述预设函数;
步骤107,若所述目标控制策略为对所述调用请求拒绝,则响应于所述调用请求,按照所述预设函数的预设拒绝策略对所述调用请求进行拒绝,返回拒绝结果;
其中,每种预设函数都预先配置有相应的拒绝策略。
步骤108,若所述目标控制策略为对所述调用请求重定向,则按照所述预设函数的预设重定向策略对所述调用请求进行重定向,响应于重定向的调用请求调用所述预设函数。
其中,上述三种预设函数中的任意一个预设函数如果预先配置有重定向的控制策略,则也会对该预设函数预先配置重定向策略,因此,这里可以按照该预设函数的预设重定向策略来对该预设函数的调用请求进行重定向,对调用请求重定向可以理解为对调用请求中的参数进行修改,从而达到重定向的效果。
这样,本发明实施例通过创建虚拟桌面,并将原始桌面中的一个或多个应用程序添加到该虚拟桌面,并在该虚拟桌面内的任意一个目标应用程序启动时,对预设网络访问函数、预设剪贴板操作函数、预设注册表处理函数进行Inline Hook操作,那么当该目标应用程序对上述任意一个被Inline Hook的函数进行调用时,本发明实施例就可以截获该调用请求,并根据预先配置的控制策略来对该调用请求进行访问控制(包括允许、拒绝和重定向),从而能够对虚拟桌面内的应用程序进行网络、剪贴板、注册表等多方面的访问控制,确保信息的访问安全。
可选地,在一个实施例中,当所述预设函数包括预设网络访问函数时,所述调用请求中的参数包括待访问的网络地址的目标地址段;
也就是说,当用户对在虚拟桌面中运行的目标APP进行网络访问的操作,例如请求访问某个链接的内容时,则步骤104可以截获到对网络访问的connect函数(预先被InlineHook)的调用请求,其中,该调用请求中的参数包括待访问的链接(即网络地址)的IP地址段。
相应的,在执行步骤105时,则可以根据针对预设网络访问函数预设配置的不同地址段与不同控制策略的对应关系,确定所述目标地址段对应的目标控制策略。
其中,由于预设网络访问函数可以包括网络访问相关的多个关键函数,本发明实施例可以预先对每个网络访问的关键函数预先配置控制策略。
对于任意一个网络范围的关键函数,由于其参数的不同,可以具有不同的控制策略。
那么以这里的connect函数为例,可以对链接的网络地址的不同IP地址段来配置不同的控制策略。例如对IP地址段1的链接,通过调用connect函数进行访问时,控制策略为允许访问;对IP地址段2的链接,通过调用connect函数进行访问时,控制策略为拒绝访问;对IP地址段3的链接,通过调用connect函数进行访问时,控制策略为重定向访问(例如将调用请求中的参数进行调整,使得重定向的调用请求只可以访问IP地址段3的网页中的一部分网页内容;或者,使得重定向的调用请求去可以访问IP地址段4的网页中的网页内容)。
这样,本发明实施例可以对虚拟桌面内运行的目标APP进行网络访问的控制。
可选地,当所述预设函数包括预设剪贴板操作函数时,所述调用请求中的参数包括待粘贴文本、所述待粘贴文本对应的源文件所属的第一桌面标识、所述待粘贴文本对应的目标文件所属的第二桌面标识;
也就是说,当用户对在虚拟桌面中运行的目标APP进行剪贴板的关键操作,例如对目标APP中的某个文本内容进行复制,想要粘贴到另一个桌面(可以是原始桌面、或者其他虚拟桌面)时,则步骤104可以截获到对剪贴板粘贴函数(预先被Inline Hook)的调用请求,其中,所述调用请求中的参数包括待粘贴文本、所述待粘贴文本对应的源文件所属的第一桌面标识、所述待粘贴文本对应的目标文件所属的第二桌面标识;
其中,在复制粘贴操作时,或者剪切粘贴操作时,被复制/剪切的待粘贴文本属于一个源文件。例如本实施例中的目标APP运行在虚拟桌面1中,用户在虚拟桌面1中对目标APP中的某个文件(即源文件)中的内容进行复制/剪切,想要粘贴到另一个虚拟桌面2或者原始桌面的另一个文件(即目标文件)中。那么***对粘贴操作的调用请求中不仅包括被剪切/复制的待粘贴文本,还包括虚拟桌面1的桌面标识和虚拟桌面2/原始桌面的桌面标识。
其中,剪贴板是***公用的,其数据也是共享的,通过对预设剪贴板操作函数进行Hook,能获取出待粘贴信息是从哪个进程拷贝至剪贴板的,从而可以知道数据来源及相关桌面控制信息,因此可以实现不同虚拟桌面间剪贴板的控制。
相应的,在执行步骤105时,则可以通过以下方式来实现:
判断所述第一桌面标识和所述第二桌面标识是否相同;
若相同,则根据针对预设剪贴板操作函数预设配置的控制策略,确定目标控制策略为对所述调用请求允许;
其中,如果相同,则说明用户在虚拟桌面1中对目标APP中的某个文件中的内容进行复制粘贴/剪切粘贴操作时,只是进行同一虚拟桌面内的剪贴板操作,即将复制或剪切的内容想要粘贴到该虚拟桌面1中的目标文件中,其中,该目标文件可以是目标APP中的,也可以是添加到虚拟桌面1中的其他APP。此外,源文件和目标文件也可以相同。
那么由于该复制/剪切粘贴操作是同一个虚拟桌面内的操作,因此,可以确定对该调用请求的控制策略为对其进行放过。那么***就可以调用该预设剪贴板操作函数进行同一虚拟桌面内的文本复制/剪切和粘贴操作。
其中,预设剪贴板操作函数可以包括多个剪贴板操作相关的关键函数。这些关键函数预先配置的控制策略是如果是同一个虚拟桌面内的剪贴板操作,则放过不处理;如果是不同虚拟桌面间的剪贴板操作,则拒绝该调用请求。
若不同,则根据针对预设剪贴板操作函数预设配置的控制策略,确定目标控制策略为对所述调用请求拒绝;
其中,如果不同,则说明用户在虚拟桌面1中对目标APP中的某个文件中的内容进行复制粘贴/剪切粘贴操作时,想要将待粘贴文本粘贴到另一个桌面(可以是原始桌面、其他虚拟桌面)中的目标文件中,其中,该目标文件可以是目标APP中的。
那么由于该复制/剪切粘贴操作是对不同桌面间的操作,因此,可以确定对该调用请求的控制策略为对其进行拒绝。
那么在执行步骤107时,若所述目标控制策略为对所述调用请求拒绝,则响应于所述调用请求,按照所述预设剪贴板操作函数的预设拒绝策略对所述调用请求中的所述待粘贴文本进行预设修改,返回修改结果,其中,所述预设修改包括字符清空或打乱字符排列顺序。
其中,在对剪贴板相关操作的关键函数的调用请求进行拒绝时,拒绝的方式则可以是对该调用请求中的待粘贴文本进行修改,例如将待粘贴文本清空或者打乱字符排列顺序等方式来对其进行修改,然后,响应于该调用请求,将修改后的待粘贴文本返回至被粘贴的位置中。这样,在另一个桌面中,被粘贴的内容是已经被修改过的内容,确保本虚拟桌面内的信息安全。
可选地,所述预设注册表处理函数包括注册表写入函数,当所述预设函数包括所述注册表写入函数时,所述调用请求中的参数包括待写入项目在原始注册表中的原始路径、所述待写入项目的目标键、所述目标键的目标值;
也就是说,当用户对在虚拟桌面中运行的目标APP进行注册表写入操作时,则步骤104可以截获到对本虚拟桌面的注册表的写入函数(预先被Inline Hook)的调用请求,其中,该调用请求中的参数包括待写入项目在原始注册表中的原始路径、所述待写入项目的目标键、所述目标键的目标值;
其中,注册表的结构为各个项目构成的树状目录,其中,每个项目具有一个或多个键,每个键可以赋予值。
那么由于在虚拟桌面内目标APP请求对注册表进行写入操作,则该调用请求中会携带本次要写入的项目在原始注册表中的原始路径,以及本次要写入该项目的哪个键(即目标键),以及对该键写入的值,即目标值。
相应的,在执行步骤105时,则可以根据针对所述预设注册表写入函数预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设注册表写入函数对应的目标控制策略为对所述调用请求重定向;
其中,为了确保不同桌面之间对注册表的操作是相互独立的,本发明实施例预先对注册表写入函数预先配置的控制策略为对该函数的调用请求进行重定向。
相应的,在执行步骤108时,则可以通过以下方式来实现:
若所述目标控制策略为对所述调用请求重定向,则按照所述原始路径在所述原始注册表的所述目标键的子键中创建重定向注册表;
以原始注册表的目录结构为树状结构为了进行说明,其中,原始注册表中各个项目为树状结构中的树干、项目的键为树干的叶子,键的值为叶子的颜色,在本次注册表写入操作中想要对树中的树干1(目标项目)的叶子1(目标键)的颜色修改为绿色(目标值),那么为了避免虚拟桌面中的APP直接对原始注册表中的目标项目的目标键的值的修改,本发明实施例可以按照该叶子1在整个树状结构中的原始路径,重新创建一棵树(当然这棵树并不具有原始注册表的全部路径,只将叶子1的原始路径勾画出来),那么该重新创建的一棵树的树根则是创建在该叶子1的子叶子(即子键)上。这里的重新创建的一棵树就是重定向注册表。这样,在重定向注册表中也具有树干1(这里称作树干1’)、叶子1(这里称作叶子1’)。
将所述调用请求中的所述原始路径修改为所述待写入项目在所述重定向注册表中的重定向路径;
例如,本次想要对root目录下的color文件夹(目标项目)中的颜色键的值进行修改,则原始路径为重定向路径为root目录下的color文件夹中的颜色键,重定向路径为原始路径中的颜色键下的root目录下的color文件夹中的颜色键。
响应于重定向的调用请求调用所述预设注册表写入函数,将所述目标值写入至所述重定向注册表中的所述重定向路径的目标键的值。
这里,即可以将目标值写入至原始路径中的颜色键下的root目录下的color文件夹中的颜色键的数值当中。
本发明实施例从实际需求和应用的角度出发,基于windows平台的多桌面安全工作环境,使用HOOK技术(控制剪贴板、网络、注册表等),能够对新建桌面工作环境内的应用程序进行全方位的访问控制。
可选地,当注册表重定向模块截获到对注册表读取操作时,如果重定向注册表中存在待读取的目标项目的键值,则直接读取该键值,如果不存在,则从原始注册表中读取该键值,并在重定向注册表中绘制该键值所在的目录。
可选地,在步骤102之后,根据本发明实施例的方法还可以包括:
若预设微过滤驱动检测到所述虚拟桌面内任意一个启动的目标应用程序的文件操作请求,则根据所述文件操作请求,判断文件操作类型;
其中,本发明实施例基于微软的微过滤框架(Minifilter),开发了本发明实施例的预设微过滤驱动,其中,预先可以向微软***注册该预设微过滤驱动。在该虚拟桌面内的任何文件操作请求都需要经过该预设微过滤驱动进行过滤后,才可以进行文件读写。
其中,该预设微过滤驱动配置在图1的文件处理模块中。
在该虚拟桌面内若用户使用启动的目标APP想要打开、读取、写入文件数据,则该文件操作请求到内核层后,由微软的文件微过滤框架驱动A接管,然后,微软微过滤框架驱动A调用向其注册的本发明实施例的微过滤驱动B来对该文件操作请求进行处理,微过滤驱动B判断该文件操作请求的文件操作类型是打开文件、读取文件,还是写入文件数据。
其中,文件操作请求中会携带表示文件操作类型的标识。微过滤驱动通过该标识来确定文件操作请求的文件操作类型。
若文件操作类型为打开文件,则确定所述文件操作请求中目标文件名称,以及目标文件在原始桌面中的原始目录;
其中,若文件操作类型为打开文件,即目标APP想要打开一个文件,则文件操作请求,即文件打开请求中会记载所要打开的文件C(目标文件)的名称,以及文件C在原始桌面中的原始目录。
按照所述原始目录的结构在所述虚拟桌面对应的存储空间中对所述原始目录进行重定向,得到所述目标文件的重定向目录;
其中,每创建一个虚拟桌面时,本发明实施例可以为该虚拟桌面分配单独的空白的存储空间,那么该虚拟桌面中操作应用程序所产生的任何文件数据都是存储在该存储空间的。
而为了确保不同桌面之间对同一文件的操作的独立性,避免相互干扰,本发明实施例可以按照文件C在原始桌面的原始目录的结构,来在存储空间中对该结构进行重新绘制,从而得到该文件C在该虚拟桌面内的重定向目录。
其中,文件C的原始目录和重定向目录的结构是完全一致的,但是它们分别位于不同的存储空间中。
将所述原始桌面的所述原始目录中的具有所述目标文件名称的目标文件复制至所述虚拟桌面的所述重定向目录处;
其中,由于上述重定向的目录中还没有具体的文件数据,这里目标APP请求打开文件C,因此,需要从原始桌面的原始目录中读取该目标文件名称的文件C,并将文件C的数据复制至该虚拟桌面的重定向目录处。
即,该存储空间的重定向目录处真实的存储了文件C的数据。
响应于文件操作请求,打开所述重定向目录处的具有所述目标文件名称的所述目标文件。
这里,即响应于文件打开请求,打开该存储空间中的重定向目录处的文件C,而并未打开原始桌面的原始目录下的文件C。
这样,本发明实施例能够在不同桌面上实现对不同应用程序的访问控制,进而可以将敏感应用程序与原始桌面分离,在不增加成本的情况下实现应用的安全访问,防止泄密发生。
可选地,所述若预设微过滤驱动检测到所述虚拟桌面内任意一个启动的目标应用程序的文件操作请求,则根据所述文件操作请求,判断文件操作类型之后,根据本发明实施例的方法还可以包括:
若文件操作类型为文件写操作,则确定所述文件操作请求中的目标文件名称,以及目标文件在原始桌面中的原始目录;
其中,若文件操作类型为文件写操作,即目标APP想要对一个文件进行写操作,那么该文件操作请求,即文件写请求中会记载所要写数据的文件C(目标文件)的名称,以及文件C在原始桌面中的原始目录。
按照所述原始目录的结构在所述虚拟桌面对应的存储空间中对所述原始目录进行重定向,得到所述目标文件的重定向目录;
其中,该步骤的具体执行类似于上个文件打开实施例的具体描述,这里不再赘述。
将所述原始桌面的所述原始目录中的目标文件复制至所述虚拟桌面的所述重定向目录处;
其中,该步骤的具体执行类似于上个文件打开实施例的具体描述,这里不再赘述。
响应于文件操作请求,对所述重定向目录处的目标文件进行写操作;
其中,可以响应于文件写请求,对该虚拟桌面的重定向目录处的目标文件进行数据写操作,其中,需要写入的数据携带在文件写请求中。
按照预设加密算法对写操作之后的目标文件进行加密。
其中,在写操作之后,文件处理模块还可以调用加解密服务模块,来按照预设加密算法对该重定向目录处的写操作之后的目标文件(即文件的全部内容)进行加密存储。
这样,本发明实施例可以将虚拟桌面内的应用程序操作产生的文件数据单独保存在特定区域,拒绝该虚拟桌面之外的其他桌面内的应用程序对该特定区域的数据访问。
可以理解的是,当本发明实施例创建了多个虚拟桌面时,各个虚拟桌面即便对同一个应用程序进行操作,但是操作所产生的各个文件数据都是单独存储在各个虚拟桌面对应的存储空间的,且该应用程序在原始桌面的原始数据不会被改变,并且,不同虚拟桌面所产生的数据只可以由各自虚拟桌面内的应用程序访问,拒绝其他桌面的应用访问,既保证了原始桌面的原始数据的不被随意修改,而且,能够在不同的虚拟桌面执行相互独立的应用程序的访问控制。
可选地,所述若预设微过滤驱动检测到所述虚拟桌面内任意一个启动的目标应用程序的文件操作请求,则根据所述文件操作请求,判断文件操作类型之后,根据本发明实施例的方法还可以包括:
若文件操作类型为文件读操作,则确定所述文件操作请求中的目标文件名称,以及目标文件在原始桌面中的原始目录;
其中,若文件操作类型为文件写操作,即目标APP想要对一个文件进行读操作,那么该文件操作请求,即文件读请求中会记载所要读取的数据所在的文件C(目标文件)的名称,以及文件C在原始桌面中的原始目录。
根据所述原始目录确定所述目标文件在所述虚拟桌面中的重定向目录;
其中,这里默认该虚拟桌面中已经对文件C的原始目录进行了重定向,因此,可以根据该原始目录直接确定重定向目录。
当然,如果在其他实施例中,如果经过对虚拟环境的存储空间的查找发现并不具备文件C,则可以按照目标文件C的写操作的实施例的方法来绘制目标文件的重定向目录,以及将目标文件C加密存储在重定向目录处;
具体阐述参照上述文件写操作实施例,这里不再赘述。
按照预设解密算法对所述重定向目录处的具有所述目标文件名称的目标文件进行解密;
其中,由于虚拟桌面内的重定向目录中的文件都是加密存储的,因此,可以由加解密服务模块来按照预设解密算法对目标文件C进行解密,得到文件C明文。
其中,解密操作可以在内存中执行,使得本次读取文件C后,重定向目录中的文件C还是加密存储的。
响应于文件操作请求,对解密之后的目标文件进行读操作,返回读取结果。
其中,可以响应于文件读请求,对解密后的目标文件进行读取,将读取的文件数据明文返回给上层目标APP。
借助于本发明实施例的技术方案,当创建了多个虚拟桌面时,各个虚拟桌面即便对同一个应用程序进行操作,但是操作所产生的各个文件数据都是单独存储在各个虚拟桌面对应的存储空间的,且该应用程序在原始桌面的原始数据不会被改变,并且,不同虚拟桌面所产生的数据只可以由各自虚拟桌面内的应用程序访问,拒绝其他桌面的应用访问,既保证了原始桌面的原始数据的不被随意修改,而且,能够在不同的虚拟桌面执行相互独立的应用程序的访问控制。
可选地,根据本发明实施例的方法还可以包括:
若关闭所述虚拟桌面,则根据预先配置的数据清理策略,对所述虚拟桌面中产生的临时数据和/或重定向数据进行清除。
其中,如果用户对该虚拟桌面进行关闭,则图1所示的退出桌面工作环境模块可以调用退出后环境清理模块来根据预先配置的数据清理策略,对所述虚拟桌面中产生的临时数据和/或重定向数据进行清除。
其中,该临时数据可以是上述文件打开、文件读取、文件写入等操作产生的任意一种或全部文件数据,而重定向数据则可以是上述实施例中的任意一种重定向数据。
具体清理哪些数据,则按照预先配置的数据清理策略来确定。其中,本发明实施例可以预先根据用户需求来制定目前所创建的虚拟桌面的数据清理策略,例如只清理重定向数据;或者只清理临时数据等等。
可选地,在步骤102之后,根据本发明实施例的方法还可以包括:
若检测到任意一个应用程序的访问请求,判断所述应用程序是否为所述虚拟桌面内的目标应用程序;
其中,在所创建的虚拟桌面内,如果检测到任意一个应用程序的访问请求,则需要首先判断该应用程序是否为该虚拟桌面内的应用程序,这里称作目标应用程序。
若否,则拒绝所述访问请求。
这样,本发明实施例能够在创建虚拟桌面后,在该虚拟桌面内只能接受本桌面内的程序访问,而拒绝其他桌面内的应用访问,从而能够达到对不同虚拟桌面内的不同应用的访问控制。
其中,上述实施例中创建的虚拟桌面可以是多个,它们的工作原理类似,这里不再赘述。
借助于本发明上述实施例的技术方案,能够基于windows平台的多桌面的安全工作环境,使用HOOK技术控制剪贴板、网络、注册表等、并对虚拟桌面内产生的文件数据进行文件重定向及加解密操作,对新建的虚拟桌面的工作环境进行全方位保护。
在进入某个虚拟桌面后,该虚拟桌面内的应用程序的剪贴板操作、注册表处理、网络操作将被保护起来,产生的文件数据将被加密存储到指定区域,并拒绝非本虚拟桌面环境内的应用访问(例如,本虚拟桌面将文件重定向的目录为C盘的位置1,则别的桌面内的程序不可以访问该位置)。
另外,各个虚拟桌面中应用程序的访问范围可单独设定,且各虚拟桌面内产生的数据相互隔离,互不可见。
在退出任意一个虚拟桌面时,可根据配置(预先配置是否保留注册表、重定向目录中的文件等等)决定是否保留该虚拟桌面内产生的数据。
本发明实施例创建的虚拟桌面,能够在不改变用户对应用程序的操作习惯的前提下,对应用程序进行剪贴板、注册表、网络、文件等全方位控制,即使,该虚拟桌面的硬盘(该虚拟桌面内的数据保存在该硬盘)脱离本机,由于该硬盘内的数据已经加密,因此也能保护桌面安全工作环境内产生的数据安全,防止非授权访问。
此外,本发明实施例的虚拟桌面可根据用户需求,实现不同桌面访问不同应用,将敏感应用与普通桌面分离,不增加成本的情况下实现应用的安全访问,防止泄密发生。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
与上述本发明实施例所提供的方法相对应,参照图3,示出了本发明一种应用程序的访问控制装置实施例的结构框图,应用于终端设备,具体可以包括如下模块:
创建模块31,用于创建虚拟桌面;
添加模块32,用于将原始桌面中的至少一个应用程序添加至所述虚拟桌面;
钩子模块33,用于若检测到所述虚拟桌面内任意一个目标应用程序启动,则对Windows的函数库中的预设函数进行Inline Hook,其中,所述预设函数包括预设网络访问函数、预设剪贴板操作函数、预设注册表处理函数;
截获模块34,用于截获所述目标应用程序对所述预设函数的调用请求;
第一确定模块35,用于根据预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设函数对应的目标控制策略;
第一响应模块36,用于若所述目标控制策略为对所述调用请求允许,则响应于所述调用请求调用所述预设函数;
第二响应模块37,用于若所述目标控制策略为对所述调用请求拒绝,则响应于所述调用请求,按照所述预设函数的预设拒绝策略对所述调用请求进行拒绝,返回拒绝结果;
第三响应模块38,用于若所述目标控制策略为对所述调用请求重定向,则按照所述预设函数的预设重定向策略对所述调用请求进行重定向,响应于重定向的调用请求调用所述预设函数。
可选地,所述第一确定模块35包括:
第一确定子模块,用于当所述预设函数包括预设网络访问函数时,其中,所述调用请求中的参数包括待访问的网络地址的目标地址段,根据针对预设网络访问函数预设配置的不同地址段与不同控制策略的对应关系,确定所述目标地址段对应的目标控制策略。
可选地,所述第一确定模块35包括:
判断子模块,用于当所述预设函数包括预设剪贴板操作函数时,其中,所述调用请求中的参数包括待粘贴文本、所述待粘贴文本对应的源文件所属的第一桌面标识、所述待粘贴文本对应的目标文件所属的第二桌面标识,判断所述第一桌面标识和所述第二桌面标识是否相同;
第二确定子模块,用于若相同,则根据针对预设剪贴板操作函数预设配置的控制策略,确定目标控制策略为对所述调用请求允许;
第三确定子模块,用于若不同,则根据针对预设剪贴板操作函数预设配置的控制策略,确定目标控制策略为对所述调用请求拒绝;
所述第二响应模块37包括:
第二响应子模块,用于若所述目标控制策略为对所述调用请求拒绝,则响应于所述调用请求,按照所述预设剪贴板操作函数的预设拒绝策略对所述调用请求中的所述待粘贴文本进行预设修改,返回修改结果,其中,所述预设修改包括字符清空或打乱字符排列顺序。
可选地,所述第一确定模块35包括:
第四确定子模块,用于当所述预设注册表处理函数包括注册表写入函数,所述预设函数包括所述注册表写入函数时,所述调用请求中的参数包括待写入项目在原始注册表中的原始路径、所述待写入项目的目标键、所述目标键的目标值,根据针对所述预设注册表写入函数预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设注册表写入函数对应的目标控制策略为对所述调用请求重定向;
所述第三响应模块38包括:
创建子模块,用于若所述目标控制策略为对所述调用请求重定向,则按照所述原始路径在所述原始注册表的所述目标键的子键中创建重定向注册表;
修改子模块,用于将所述调用请求中的所述原始路径修改为所述待写入项目在所述重定向注册表中的重定向路径;
第三响应子模块,用于响应于重定向的调用请求调用所述预设注册表写入函数,将所述目标值写入至所述重定向注册表中的所述重定向路径的目标键的值。
可选地,所述装置还包括:
第一判断模块,用于若预设微过滤驱动检测到所述虚拟桌面内任意一个启动的目标应用程序的文件操作请求,则根据所述文件操作请求,判断文件操作类型;
第二确定模块,用于若文件操作类型为打开文件,则确定所述文件操作请求中目标文件名称,以及目标文件在原始桌面中的原始目录;
第一重定向模块,用于按照所述原始目录的结构在所述虚拟桌面对应的存储空间中对所述原始目录进行重定向,得到所述目标文件的重定向目录;
第一复制模块,用于将所述原始桌面的所述原始目录中的具有所述目标文件名称的目标文件复制至所述虚拟桌面的所述重定向目录处;
第四响应模块,用于响应于文件操作请求,打开所述重定向目录处的具有所述目标文件名称的所述目标文件。
可选地,所述装置还包括:
第三确定模块,用于若文件操作类型为文件写操作,则确定所述文件操作请求中的目标文件名称,以及目标文件在原始桌面中的原始目录;
第二重定向模块,用于按照所述原始目录的结构在所述虚拟桌面对应的存储空间中对所述原始目录进行重定向,得到所述目标文件的重定向目录;
第二复制模块,用于将所述原始桌面的所述原始目录中的目标文件复制至所述虚拟桌面的所述重定向目录处;
第五响应模块,用于响应于文件操作请求,对所述重定向目录处的目标文件进行写操作;
加密模块,用于按照预设加密算法对写操作之后的目标文件进行加密。
可选地,所述装置还包括:
第四确定模块,用于若文件操作类型为文件读操作,则确定所述文件操作请求中的目标文件名称,以及目标文件在原始桌面中的原始目录;
第五确定模块,用于根据所述原始目录确定所述目标文件在所述虚拟桌面中的重定向目录;
解密模块,用于按照预设解密算法对所述重定向目录处的具有所述目标文件名称的目标文件进行解密;
第六响应模块,用于响应于文件操作请求,对解密之后的目标文件进行读操作,返回读取结果。
可选地,所述装置还包括:
清除模块,用于若关闭所述虚拟桌面,则根据预先配置的数据清理策略,对所述虚拟桌面中产生的临时数据和/或重定向数据进行清除。
可选地,所述装置还包括:
第二判断模块,用于若检测到任意一个应用程序的访问请求,判断所述应用程序是否为所述虚拟桌面内的目标应用程序;
拒绝模块,用于若第二判断模块确定应用程序不为所述虚拟桌面内的目标应用程序,则拒绝所述访问请求。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种应用程序的访问控制方法和一种应用程序的访问控制装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (14)
1.一种应用程序的访问控制方法,其特征在于,应用于终端设备,所述方法包括:
创建虚拟桌面;
将原始桌面中的至少一个应用程序添加至所述虚拟桌面;
若检测到所述虚拟桌面内任意一个目标应用程序启动,则对Windows的函数库中的预设函数进行Inline Hook,其中,所述预设函数包括预设网络访问函数、预设剪贴板操作函数、预设注册表处理函数;
截获所述目标应用程序对所述预设函数的调用请求;
根据预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设函数对应的目标控制策略;
若所述目标控制策略为对所述调用请求允许,则响应于所述调用请求调用所述预设函数;
若所述目标控制策略为对所述调用请求拒绝,则响应于所述调用请求,按照所述预设函数的预设拒绝策略对所述调用请求进行拒绝,返回拒绝结果;
若所述目标控制策略为对所述调用请求重定向,则按照所述预设函数的预设重定向策略对所述调用请求进行重定向,响应于重定向的调用请求调用所述预设函数。
2.根据权利要求1所述的方法,其特征在于,当所述预设函数包括预设网络访问函数时,所述调用请求中的参数包括待访问的网络地址的目标地址段;
所述根据预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设函数对应的目标控制策略,包括:
根据针对预设网络访问函数预设配置的不同地址段与不同控制策略的对应关系,确定所述目标地址段对应的目标控制策略。
3.根据权利要求1所述的方法,其特征在于,当所述预设函数包括预设剪贴板操作函数时,所述调用请求中的参数包括待粘贴文本、所述待粘贴文本对应的源文件所属的第一桌面标识、所述待粘贴文本对应的目标文件所属的第二桌面标识;
所述根据预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设函数对应的目标控制策略,包括:
判断所述第一桌面标识和所述第二桌面标识是否相同;
若相同,则根据针对预设剪贴板操作函数预设配置的控制策略,确定目标控制策略为对所述调用请求允许;
若不同,则根据针对预设剪贴板操作函数预设配置的控制策略,确定目标控制策略为对所述调用请求拒绝;
所述若所述目标控制策略为对所述调用请求拒绝,则响应于所述调用请求,按照所述预设函数的预设拒绝策略对所述调用请求进行拒绝,返回拒绝结果,包括:
若所述目标控制策略为对所述调用请求拒绝,则响应于所述调用请求,按照所述预设剪贴板操作函数的预设拒绝策略对所述调用请求中的所述待粘贴文本进行预设修改,返回修改结果,其中,所述预设修改包括字符清空或打乱字符排列顺序。
4.根据权利要求1所述的方法,其特征在于,所述预设注册表处理函数包括注册表写入函数,当所述预设函数包括所述注册表写入函数时,所述调用请求中的参数包括待写入项目在原始注册表中的原始路径、所述待写入项目的目标键、所述目标键的目标值;
所述根据预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设函数对应的目标控制策略,包括:
根据针对所述预设注册表写入函数预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设注册表写入函数对应的目标控制策略为对所述调用请求重定向;
所述若所述目标控制策略为对所述调用请求重定向,则按照所述预设函数的预设重定向策略对所述调用请求进行重定向,响应于重定向的调用请求调用所述预设函数,包括:
若所述目标控制策略为对所述调用请求重定向,则按照所述原始路径在所述原始注册表的所述目标键的子键中创建重定向注册表;
将所述调用请求中的所述原始路径修改为所述待写入项目在所述重定向注册表中的重定向路径;
响应于重定向的调用请求调用所述预设注册表写入函数,将所述目标值写入至所述重定向注册表中的所述重定向路径的目标键的值。
5.根据权利要求1所述的方法,其特征在于,所述将原始桌面中的至少一个应用程序添加至所述虚拟桌面之后,所述方法还包括:
若预设微过滤驱动检测到所述虚拟桌面内任意一个启动的目标应用程序的文件操作请求,则根据所述文件操作请求,判断文件操作类型;
若文件操作类型为文件写操作,则确定所述文件操作请求中的目标文件名称,以及目标文件在原始桌面中的原始目录;
按照所述原始目录的结构在所述虚拟桌面对应的存储空间中对所述原始目录进行重定向,得到所述目标文件的重定向目录;
将所述原始桌面的所述原始目录中的目标文件复制至所述虚拟桌面的所述重定向目录处;
响应于文件操作请求,对所述重定向目录处的目标文件进行写操作;
按照预设加密算法对写操作之后的目标文件进行加密。
6.根据权利要求5所述的方法,其特征在于,所述若预设微过滤驱动检测到所述虚拟桌面内任意一个启动的目标应用程序的文件操作请求,则根据所述文件操作请求,判断文件操作类型之后,所述方法还包括:
若文件操作类型为文件读操作,则确定所述文件操作请求中的目标文件名称,以及目标文件在原始桌面中的原始目录;
根据所述原始目录确定所述目标文件在所述虚拟桌面中的重定向目录;
按照预设解密算法对所述重定向目录处的具有所述目标文件名称的目标文件进行解密;
响应于文件操作请求,对解密之后的目标文件进行读操作,返回读取结果。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若关闭所述虚拟桌面,则根据预先配置的数据清理策略,对所述虚拟桌面中产生的临时数据和/或重定向数据进行清除;
所述将原始桌面中的至少一个应用程序添加至所述虚拟桌面之后,若检测到任意一个应用程序的访问请求,判断所述应用程序是否为所述虚拟桌面内的目标应用程序;
若否,则拒绝所述访问请求。
8.一种应用程序的访问控制装置,其特征在于,应用于终端设备,所述装置包括:
创建模块,用于创建虚拟桌面;
添加模块,用于将原始桌面中的至少一个应用程序添加至所述虚拟桌面;
钩子模块,用于若检测到所述虚拟桌面内任意一个目标应用程序启动,则对Windows的函数库中的预设函数进行Inline Hook,其中,所述预设函数包括预设网络访问函数、预设剪贴板操作函数、预设注册表处理函数;
截获模块,用于截获所述目标应用程序对所述预设函数的调用请求;
第一确定模块,用于根据预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设函数对应的目标控制策略;
第一响应模块,用于若所述目标控制策略为对所述调用请求允许,则响应于所述调用请求调用所述预设函数;
第二响应模块,用于若所述目标控制策略为对所述调用请求拒绝,则响应于所述调用请求,按照所述预设函数的预设拒绝策略对所述调用请求进行拒绝,返回拒绝结果;
第三响应模块,用于若所述目标控制策略为对所述调用请求重定向,则按照所述预设函数的预设重定向策略对所述调用请求进行重定向,响应于重定向的调用请求调用所述预设函数。
9.根据权利要求8所述的装置,其特征在于,所述第一确定模块包括:
第一确定子模块,用于当所述预设函数包括预设网络访问函数时,其中,所述调用请求中的参数包括待访问的网络地址的目标地址段,根据针对预设网络访问函数预设配置的不同地址段与不同控制策略的对应关系,确定所述目标地址段对应的目标控制策略。
10.根据权利要求8所述的装置,其特征在于,
所述第一确定模块包括:
判断子模块,用于当所述预设函数包括预设剪贴板操作函数时,其中,所述调用请求中的参数包括待粘贴文本、所述待粘贴文本对应的源文件所属的第一桌面标识、所述待粘贴文本对应的目标文件所属的第二桌面标识,判断所述第一桌面标识和所述第二桌面标识是否相同;
第二确定子模块,用于若相同,则根据针对预设剪贴板操作函数预设配置的控制策略,确定目标控制策略为对所述调用请求允许;
第三确定子模块,用于若不同,则根据针对预设剪贴板操作函数预设配置的控制策略,确定目标控制策略为对所述调用请求拒绝;
所述第二响应模块包括:
第二响应子模块,用于若所述目标控制策略为对所述调用请求拒绝,则响应于所述调用请求,按照所述预设剪贴板操作函数的预设拒绝策略对所述调用请求中的所述待粘贴文本进行预设修改,返回修改结果,其中,所述预设修改包括字符清空或打乱字符排列顺序。
11.根据权利要求8所述的装置,其特征在于,
所述第一确定模块包括:
第四确定子模块,用于当所述预设注册表处理函数包括注册表写入函数,所述预设函数包括所述注册表写入函数时,所述调用请求中的参数包括待写入项目在原始注册表中的原始路径、所述待写入项目的目标键、所述目标键的目标值,根据针对所述预设注册表写入函数预先配置的控制策略和所述调用请求中的参数,确定与所述参数以及所述预设注册表写入函数对应的目标控制策略为对所述调用请求重定向;
所述第三响应模块包括:
创建子模块,用于若所述目标控制策略为对所述调用请求重定向,则按照所述原始路径在所述原始注册表的所述目标键的子键中创建重定向注册表;
修改子模块,用于将所述调用请求中的所述原始路径修改为所述待写入项目在所述重定向注册表中的重定向路径;
第三响应子模块,用于响应于重定向的调用请求调用所述预设注册表写入函数,将所述目标值写入至所述重定向注册表中的所述重定向路径的目标键的值。
12.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第一判断模块,用于若预设微过滤驱动检测到所述虚拟桌面内任意一个启动的目标应用程序的文件操作请求,则根据所述文件操作请求,判断文件操作类型;
第三确定模块,用于若文件操作类型为文件写操作,则确定所述文件操作请求中的目标文件名称,以及目标文件在原始桌面中的原始目录;
第二重定向模块,用于按照所述原始目录的结构在所述虚拟桌面对应的存储空间中对所述原始目录进行重定向,得到所述目标文件的重定向目录;
第二复制模块,用于将所述原始桌面的所述原始目录中的目标文件复制至所述虚拟桌面的所述重定向目录处;
第五响应模块,用于响应于文件操作请求,对所述重定向目录处的目标文件进行写操作;
加密模块,用于按照预设加密算法对写操作之后的目标文件进行加密。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
第四确定模块,用于若文件操作类型为文件读操作,则确定所述文件操作请求中的目标文件名称,以及目标文件在原始桌面中的原始目录;
第五确定模块,用于根据所述原始目录确定所述目标文件在所述虚拟桌面中的重定向目录;
解密模块,用于按照预设解密算法对所述重定向目录处的具有所述目标文件名称的目标文件进行解密;
第六响应模块,用于响应于文件操作请求,对解密之后的目标文件进行读操作,返回读取结果。
14.根据权利要求8所述的装置,其特征在于,所述装置还包括:
清除模块,用于若关闭所述虚拟桌面,则根据预先配置的数据清理策略,对所述虚拟桌面中产生的临时数据和/或重定向数据进行清除;
第二判断模块,用于若检测到任意一个应用程序的访问请求,判断所述应用程序是否为所述虚拟桌面内的目标应用程序;
拒绝模块,用于若第二判断模块确定应用程序不为所述虚拟桌面内的目标应用程序,则拒绝所述访问请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810798889.0A CN109117664B (zh) | 2018-07-19 | 2018-07-19 | 应用程序的访问控制方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810798889.0A CN109117664B (zh) | 2018-07-19 | 2018-07-19 | 应用程序的访问控制方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109117664A true CN109117664A (zh) | 2019-01-01 |
CN109117664B CN109117664B (zh) | 2020-11-10 |
Family
ID=64863041
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810798889.0A Active CN109117664B (zh) | 2018-07-19 | 2018-07-19 | 应用程序的访问控制方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109117664B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110096856A (zh) * | 2019-04-19 | 2019-08-06 | 奇安信科技集团股份有限公司 | 一种访问控制方法、***、电子设备及介质 |
CN110457925A (zh) * | 2019-08-12 | 2019-11-15 | 深圳市网心科技有限公司 | 内外部存储中应用数据隔离方法、装置、终端及存储介质 |
CN111539010A (zh) * | 2020-06-16 | 2020-08-14 | 北京明朝万达科技股份有限公司 | 剪贴板控制方法、装置、电子设备及计算机可读存储介质 |
CN112269986A (zh) * | 2020-10-29 | 2021-01-26 | 深信服科技股份有限公司 | 进程管理方法、装置及存储介质 |
CN112685745A (zh) * | 2020-12-31 | 2021-04-20 | 北京梆梆安全科技有限公司 | 一种固件检测方法、装置、设备及存储介质 |
CN112905260A (zh) * | 2021-02-07 | 2021-06-04 | 深信服科技股份有限公司 | 一种应用启动方法、装置、电子设备及存储介质 |
CN113515389A (zh) * | 2020-04-09 | 2021-10-19 | 奇安信安全技术(珠海)有限公司 | 中间接口的调用方法及装置、***、存储介质、电子装置 |
CN115543663A (zh) * | 2022-12-01 | 2022-12-30 | 北京志翔科技股份有限公司 | 数据处理方法、装置、电子设备和存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102314373A (zh) * | 2011-07-07 | 2012-01-11 | 李鹏 | 一种基于虚拟化技术实现安全工作环境的方法 |
CN102821094A (zh) * | 2012-07-09 | 2012-12-12 | 深圳市深信服电子科技有限公司 | 虚拟桌面中的数据安全处理方法及*** |
CN103605930A (zh) * | 2013-11-27 | 2014-02-26 | 湖北民族学院 | 一种基于hook和过滤驱动的双重文件防泄密方法及*** |
CN103778384A (zh) * | 2014-02-24 | 2014-05-07 | 北京明朝万达科技有限公司 | 一种基于身份认证的虚拟终端安全环境的保护方法及*** |
CN104318179A (zh) * | 2014-10-30 | 2015-01-28 | 成都卫士通信息产业股份有限公司 | 基于文件重定向技术的虚拟化安全桌面 |
EP3118768A1 (de) * | 2015-07-17 | 2017-01-18 | Backes SRT GmbH | Verfahren zur bildung einer virtuellen umgebung in einem betriebssystem eines computers |
CN106951775A (zh) * | 2016-01-06 | 2017-07-14 | 梁洪亮 | 一种基于操作***内核虚拟化技术的安全保障*** |
-
2018
- 2018-07-19 CN CN201810798889.0A patent/CN109117664B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102314373A (zh) * | 2011-07-07 | 2012-01-11 | 李鹏 | 一种基于虚拟化技术实现安全工作环境的方法 |
CN102821094A (zh) * | 2012-07-09 | 2012-12-12 | 深圳市深信服电子科技有限公司 | 虚拟桌面中的数据安全处理方法及*** |
CN103605930A (zh) * | 2013-11-27 | 2014-02-26 | 湖北民族学院 | 一种基于hook和过滤驱动的双重文件防泄密方法及*** |
CN103778384A (zh) * | 2014-02-24 | 2014-05-07 | 北京明朝万达科技有限公司 | 一种基于身份认证的虚拟终端安全环境的保护方法及*** |
CN104318179A (zh) * | 2014-10-30 | 2015-01-28 | 成都卫士通信息产业股份有限公司 | 基于文件重定向技术的虚拟化安全桌面 |
EP3118768A1 (de) * | 2015-07-17 | 2017-01-18 | Backes SRT GmbH | Verfahren zur bildung einer virtuellen umgebung in einem betriebssystem eines computers |
CN106951775A (zh) * | 2016-01-06 | 2017-07-14 | 梁洪亮 | 一种基于操作***内核虚拟化技术的安全保障*** |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110096856A (zh) * | 2019-04-19 | 2019-08-06 | 奇安信科技集团股份有限公司 | 一种访问控制方法、***、电子设备及介质 |
CN110457925A (zh) * | 2019-08-12 | 2019-11-15 | 深圳市网心科技有限公司 | 内外部存储中应用数据隔离方法、装置、终端及存储介质 |
CN110457925B (zh) * | 2019-08-12 | 2023-05-09 | 深圳市网心科技有限公司 | 内外部存储中应用数据隔离方法、装置、终端及存储介质 |
CN113515389A (zh) * | 2020-04-09 | 2021-10-19 | 奇安信安全技术(珠海)有限公司 | 中间接口的调用方法及装置、***、存储介质、电子装置 |
CN113515389B (zh) * | 2020-04-09 | 2024-03-01 | 奇安信安全技术(珠海)有限公司 | 中间接口的调用方法及装置、***、存储介质、电子装置 |
CN111539010B (zh) * | 2020-06-16 | 2023-09-01 | 北京明朝万达科技股份有限公司 | 剪贴板控制方法、装置、电子设备及计算机可读存储介质 |
CN111539010A (zh) * | 2020-06-16 | 2020-08-14 | 北京明朝万达科技股份有限公司 | 剪贴板控制方法、装置、电子设备及计算机可读存储介质 |
CN112269986A (zh) * | 2020-10-29 | 2021-01-26 | 深信服科技股份有限公司 | 进程管理方法、装置及存储介质 |
CN112685745A (zh) * | 2020-12-31 | 2021-04-20 | 北京梆梆安全科技有限公司 | 一种固件检测方法、装置、设备及存储介质 |
CN112685745B (zh) * | 2020-12-31 | 2023-11-21 | 北京梆梆安全科技有限公司 | 一种固件检测方法、装置、设备及存储介质 |
CN112905260A (zh) * | 2021-02-07 | 2021-06-04 | 深信服科技股份有限公司 | 一种应用启动方法、装置、电子设备及存储介质 |
CN112905260B (zh) * | 2021-02-07 | 2024-02-23 | 深信服科技股份有限公司 | 一种应用启动方法、装置、电子设备及存储介质 |
CN115543663A (zh) * | 2022-12-01 | 2022-12-30 | 北京志翔科技股份有限公司 | 数据处理方法、装置、电子设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109117664B (zh) | 2020-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109117664A (zh) | 应用程序的访问控制方法和装置 | |
AU2020200073B2 (en) | Method and apparatus for multi-tenancy secrets management | |
US8656161B2 (en) | Information sharing system, information sharing method, group management program and compartment management program | |
CN103763313B (zh) | 一种文档保护方法和*** | |
CN111756621A (zh) | 团体用户的资料管理及即时通讯群组的维护方法、装置 | |
CN104268479B (zh) | 一种文本操作隔离的方法、装置及移动终端 | |
JP2008276756A (ja) | ウェブ・サービス仲介装置 | |
CN102281141B (zh) | 一种文档权限管理方法、装置及*** | |
CN105528553A (zh) | 一种数据安全共享的方法、装置和终端 | |
CN104025544A (zh) | 机密信息泄露防止***、机密信息泄露防止方法和计算机可读记录介质 | |
CN107786551B (zh) | 访问内网服务器的方法及控制访问内网服务器的装置 | |
CN105991565A (zh) | 读写分离的方法、***和数据库代理服务器 | |
CN103778379B (zh) | 管理设备上的应用执行和数据访问 | |
CN105530261A (zh) | 隐私信息的保护方法及装置 | |
CN106873958A (zh) | 一种应用编程接口的调用方法及装置 | |
CN112651039A (zh) | 一种融合业务场景的电力数据差异化脱敏方法及装置 | |
CN110807191B (zh) | 一种应用程序的安全运行方法及装置 | |
CN105049414A (zh) | 一种面向虚拟桌面的数据流控制方法及信息安全装置 | |
CN108399341B (zh) | 一种基于移动端的Windows双重文件管控*** | |
CN106257482B (zh) | 数据分析结果的管控放置 | |
CN107294930A (zh) | 文件传播的管理方法及装置 | |
CN106130968A (zh) | 一种身份认证方法、及*** | |
CN111625843A (zh) | 一种适用于大数据平台的数据透明加解密*** | |
CN113901507B (zh) | 一种多参与方的资源处理方法及隐私计算*** | |
CN105205403A (zh) | 基于文件过滤的管控局域网文件数据的方法、*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |