CN110990844A - 基于内核的云数据保护方法、云服务器、*** - Google Patents
基于内核的云数据保护方法、云服务器、*** Download PDFInfo
- Publication number
- CN110990844A CN110990844A CN201911022164.3A CN201911022164A CN110990844A CN 110990844 A CN110990844 A CN 110990844A CN 201911022164 A CN201911022164 A CN 201911022164A CN 110990844 A CN110990844 A CN 110990844A
- Authority
- CN
- China
- Prior art keywords
- program
- folder
- identification number
- permission
- cloud server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种基于内核的云数据保护方法、云服务器、***、计算机设备和存储介质,所述方法包括:云服务器的内核程序获取安全策略并且接管云服务器的文件操作功能,其中,安全策略中的权限数组是进程与文件夹的权限对应关系,获取第一进程的第一进程标识号,查询权限数组,判断所述权限数组中是否存在所述第一进程标识号,若是,判断第一文件夹是否为所述第一进程标识号允许访问的文件夹,若是,所述文件操作功能允许所述第一进程对所述第一文件夹进行操作。根据上述方法,可以将文件操作权限与管理员权限剥离,只与使用者关联,增强了对云上数据的保护,提高了云上数据的安全性。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种基于内核的云数据保护方法、云服务器、***、计算机设备和存储介质。
背景技术
随着网络技术的发展,出现了云存储技术,目前已经有很多企业和个人大规模地使用云来存储数据,这些云上数据的信息安全问题就显得尤为重要,相关技术中通常利用权限控制来保护重要文件不被非法访问,另外,各种加密技术也应用于重要文件的加密,保护重要文件的明文不会被恶意获取。然而,相关技术中对于云服务器上的程序加载以及文件读写的安全保护方法主要是针对***外部的入侵进行的保护,例如,对访问者进行身份验证;对于来自云服务器***内部的恶意行为仍然会对云上数据的造成安全威胁,譬如,入侵者获得管理员权限后,可以轻松访问云服务器上的文件;云服务器的管理员也可以读写部署在云上的所有重要文件。
针对相关技术中,利用***或者设备管理员身份非法访问云上数据的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中,利用***或者设备管理员身份非法访问云上数据的问题,本发明提供了一种基于内核的云数据保护方法、云服务器、***、计算机设备以及存储介质,以至少解决上述问题。
为达到上述目的,本发明采用如下基于内核的云数据保护方法,包括以下步骤:
一种基于内核的云数据保护方法,其特征在于,所述方法包括:
云服务器上的内核程序获取安全策略,所述安全策略中包括权限数组,其中,所述权限数组指示进程与文件夹的权限对应关系;
所述内核程序接管所述云服务器的文件操作功能;
获取第一进程的第一进程标识号,查询权限数组,判断所述权限数组中是否存在所述第一进程标识号,若是,判断第一文件夹是否为所述第一进程标识号允许访问的文件夹,若是,所述文件操作功能允许所述第一进程对所述第一文件夹进行操作。
在其中一个实施例中,所述云服务器上的内核程序获取安全策略之后,所述方法包括:
所述内核程序接管所述云服务器的进程加载功能;
获取待启动的第一程序的程序信息,将所述程序信息与所述安全策略中的白名单进行对比,若所述程序信息与所述白名单中的信息匹配,所述进程加载功能允许所述第一程序启动;获取所述第一程序运行产生的第二进程标识号,根据所述程序信息和所述安全策略中的文件权限集,将所述第二进程标识号和所述第二进程标识号有权访问的文件夹放入权限数组。
在其中一个实施例中,根据所述程序信息和所述文件权限集,将所述第二进程标识号和所述第二进程标识号有权访问的文件夹放入权限数组包括:
根据所述程序信息查询所述文件权限集,获取所述第一程序允许访问的文件夹以及允许对所述文件夹执行的操作,其中,所述程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;
将第二进程标识号与所述第一程序允许访问的文件夹以及所述操作放入权限数组。
在其中一个实施例中,获取待启动的第一程序的程序信息,将所述程序信息与所述白名单进行对比,若所述程序信息与所述白名单中的信息匹配,所述进程加载功能允许所述第一程序启动包括:
获取待启动的第一程序的程序信息,其中所述程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;
将所述程序信息与所述白名单进行对比;
若所述程序信息与所述白名单中的信息匹配,所述进程加载功能允许所述第一程序启动。
根据本发明的另一个方面,还提供了一种云服务器,包括:
策略模块,用于获取安全策略,所述安全策略中包括权限数组,其中,所述权限数组指示进程与文件夹的权限对应关系;
接管模块,用于接管所述云服务器的文件操作功能;
第一权限模块,用于获取第一进程的第一进程标识号,查询权限数组,判断所述权限数组中是否存在所述第一进程标识号,若是,判断第一文件夹是否为所述第一进程标识号允许访问的文件夹,若是,所述文件操作功能允许所述第一进程对所述第一文件夹进行第一操作。
在一个实施例中,云服务器还包括:
接管模块还用于接管所述云服务器的进程加载功能;
第二权限模块,用于获取待启动的第一程序的程序信息,将所述程序信息与所述白名单进行对比,若所述程序信息与所述安全策略中的白名单中的信息匹配,所述进程加载功能允许所述第一程序启动;获取所述第一程序运行产生的第二进程标识号,根据所述程序信息和所述安全策略中的文件权限集,将所述第二进程标识号和所述第二进程标识号有权访问的文件夹放入权限数组;
在一个实施例中,第二权限模块还用于:
根据所述程序信息查询所述文件权限集,获取所述第一程序允许访问的文件夹以及允许对所述文件夹执行的操作,其中,所述程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;将第二进程标识号与所述第一程序允许访问的文件夹以及所述操作放入权限数组。
在一个实施例中,第二权限模块还用于:
获取待启动的第一程序的程序信息,其中所述程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;将所述程序信息与所述白名单进行对比;若所述程序信息与所述白名单中的信息匹配,所述进程加载功能允许所述第一程序启动。
根据本发明的另一个方面,还提供了一种基于内核的云数据保护***,该***包括管理机和云服务器:
管理机在云服务器启动后下发安全策略给所述云服务器;
云服务器上的内核程序获取安全策略,所述安全策略中包括权限数组,其中,所述权限数组指示进程与文件夹的权限对应关系;所述内核程序接管所述云服务器的文件操作功能;获取第一进程的第一进程标识号,查询权限数组,判断所述权限数组中是否存在所述第一进程标识号,若是,判断第一文件夹是否为所述第一进程标识号允许访问的文件夹,若是,所述文件操作功能允许所述第一进程对所述第一文件夹进行第一操作。
根据本发明的另一个方面,还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述基于内核的云数据保护方法。
根据本发明的另一个方面,还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述基于内核的云数据保护方法。
上述基于内核的云数据保护方法、云服务器、***、计算机设备和存储介质,通过运行在内核层上的内核程序获取安全策略并且接管云服务器的文件操作功能,其中,安全策略中的权限数组是进程与文件夹的权限对应关系,由于内核层的程序的执行路径是与执行该程序的用户相关,程序对应的进程ID与文件夹的权限对应关系也指定了执行该程序的用户与文件夹的权限对应关系;因此,根据第一进程标识号和权限数组,可以判断第一进程是否可以对第一文件夹进行操作。根据上述方法,可以将文件操作权限与管理员权限剥离,只与使用者关联,增强了对云上数据的保护,提高了云上数据的安全性。
附图说明
图1为根据本发明一个实施例的基于内核的云数据保护方法的应用场景示意图;
图2为根据本发明一个实施例的基于内核的云数据保护方法流程图一;
图3为根据本发明一个实施例的基于内核的云数据保护方法流程图二;
图4为根据本发明一个具体实施例的基于内核的云数据保护的云服务器的方法示意图;
图5为根据本发明一个具体实施例的基于内核的云数据保护的云服务器的示意图一;
图6为根据本发明一个具体实施例的基于内核的云数据保护的云服务器的示意图二。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的基于内核的云数据保护方法,图1为根据本发明一个实施例的基于内核的云数据保护方法的应用场景示意图,上述方法可以应用于如图1所示的应用环境中。其中,云服务器102与云端的管理机104通过网络进行通信。其中,云服务器102是充当虚拟计算机的程序在云端的管理机104的操作***上运行,并向用户操作***提供虚拟硬件,虚拟硬件包括CPU、内存、硬盘驱动器、网络接口和其他设备。用户操作***可以运行在主机操作***上的窗口中,就像计算机上的任何其他程序一样,可以说,从用户操作***的角度来看,云服务器102是一台真实的物理计算机,由管理机104负责管理机104上运行的所有云服务器102进行资源的调度和管理。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,图2为根据本发明一个实施例的基于内核的云数据保护方法流程图一,如图2所示,提供了一种基于内核的云数据保护方法,以该方法应用于图1中的云服务器102为例进行说明,包括以下步骤:
步骤S210,云服务器102上的内核程序获取安全策略,安全策略中包括权限数,其中,权限数组指示进程与文件夹的权限对应关系;
在本步骤S210中,云服务器102从管理端104获取安全策略,安全策略包括权限数组,该权限数组描述了与云服务器102对应的授权进程与授权访问的文件夹信息。在云服务器102启动后,部署在云服务器102上的内核程序,会从管理机104上获取策略,完成设定的保护操作。安全策略由策略生成程序产生,将进程与受保护文件夹关联。
步骤S220,内核程序接管云服务器的文件操作功能;
云服务器102上安装的内核程序会修改内核源码,接管虚机的主要文件操作功能,这些功能有sys_open(打开文件)、sys_creat(新建文件)、sys_newstat(修改文件属性)、sys_rename(重命名文件)、sys_chdir(改变当前路径)、sys_mkdir(创建文件夹)、sys_unlinkat(删除文件)、sys_rmdir(删除文件夹),便于该内核程序从内核层面完成对文件操作的管控。
步骤S230,获取第一进程的第一进程标识号,查询权限数组,判断权限数组中是否存在第一进程标识号,若是,判断第一文件夹是否为第一进程标识号允许访问的文件夹,若是,文件操作功能允许第一进程对第一文件夹进行操作。
在本步骤S230中,如果第一进程要访问受保护的第一文件夹中的文件,先查询权限数组中是否有该第一进程的进程标识号,如进程ID,如果没有,则直接拒绝;如果有,再查询第一文件夹是否在授权访问的文件夹数组中,不在则拦截,若在,则该第一进程可以访问第一文件夹中的文件并进行操作。
上述基于内核的云数据保护方法中,通过运行在内核层上的内核程序获取安全策略并且接管云服务器102的文件操作功能,其中,安全策略中的权限数组是进程与文件夹的权限对应关系;在内核层面上,不同的用户对于程序的执行会产生不同的进程标识号,该进程标识号反映了该访问是否被允许的用户所执行,因此,根据第一进程标识号和权限数组,可以判断第一进程是否可以对第一文件夹进行操作。根据上述方法,可以将文件操作权限与管理员权限剥离,只与使用者关联,增强了对云上数据的保护,提高了云上数据的安全性。
在一个实施例中,图3为根据本发明一个实施例的基于内核的云数据保护方法流程图二,如图3所示,云服务器102上的内核程序获取安全策略之后,还包括:
步骤S310:内核程序接管云服务器102的进程加载功能;
在本步骤S310中,云服务器102上安装的内核程序会修改内核源码,接管云服务器102的进程加载功能sys_execve,从而从内核层面完成对云服务器102的程序加载进行管控。
步骤S320:获取待启动的第一程序的程序信息,将程序信息与安全策略中的白名单进行对比,若程序信息与白名单中的信息匹配,进程加载功能允许第一程序启动;获取第一程序运行产生的第二进程标识号,根据程序信息和文件权限集,将第二进程标识号和第二进程标识号有权访问的文件夹放入权限数组;
在本步骤S320中,当在云服务器102是上加载第一程序时,内核程序会先获取第一程序的详细信息,并将程序信息与白名单进行对照,在第一程序不在程序白名单内的情况下,云服务器102的进程加载功能拒绝该程序启动。在第一程序在程序白名单内的情况下,云服务器102的进程加载功能允许该程序启动,再将第一程序和文件权限集进行比对,获取到第一程序允许访问的文件夹数组,并将该程序运行产生的第二进程所对应的第二进程标识号以及对应的允许访问的文件夹数组***到权限数组中,由此,权限数组包含进程标识号与其有权访问的受保护文件夹数组。
上述基于内核的云数据保护方法,通过内核程序接管云服务器102的进程加载功能,增加了利用安全策略中的白名单对程序进行过滤和拦截的过程,同时,进程与有权访问的文件夹一一对应的权限数组,简化成了程序和可访问文件夹对应的文件权限集,由于一个程序运行运行时可能产生多个进程,因此,要一一定义可以访问某个文件夹的所有进程工作量很大,本实施例中的方法将权限数组的获取分成了两个步骤,通过白名单决定程序是否启动,程序启动后则获取进程号,通过文件权限集得到该程序可以访问的文件夹数组,从而获取到权限数组,可用于之后判断进程是否有权访问受保护的文件夹。在本实施例中的第二进程与前述的第一进程可以为同一个进程,也可以是不同进程,程序的加载与文件的访问式可以独立存在的两个过程。在第一进程和第二进程为同一个进程的情况下,则第一进程可以在权限数组中找到对应的进程标识号,可以访问与第一程序对应的受保护文件夹。本实施例增加了程序启动白名单并且简化了权限数组的生成过程,进一步提高了云数据的安全性。
在一个实施例中,根据程序信息和文件权限集,将第二进程标识号和第二进程标识号有权访问的文件夹放入权限数组包括:
根据程序信息查询文件权限集,获取第一程序允许访问的文件夹以及允许对文件夹执行的操作,其中,程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;将第二进程标识号与第一程序允许访问的文件夹以及操作放入权限数组。
在本实施例中,文件权限集仅提取程序信息中的程序路径名、路径名长、文件名长和文件名的哈希值,同时增加了对文件访问权限的进一步详细限定。通过上述方法,通过提取尽可能少的程序信息就可以确定程序的访问权限,同时,增加的权限描述进一步细化了对权限的管控,根据文件的不同性质可以设定不同类型的访问权限,进一步提高了云数据的安全性。
在一个实施例中,获取待启动的第一程序的程序信息,将程序信息与安全策略中的白名单进行对比,若程序信息与白名单中的信息匹配,进程加载功能允许第一程序启动包括:
获取待启动的第一程序的程序信息,其中程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;将程序信息与白名单进行对比;若程序信息与白名单中的信息匹配,进程加载功能允许第一程序启动。
在本实施例中,白名单仅提取程序信息中的关键信息进行比对,提取尽可能少的程序信息确定程序的加载权限,增强组织可疑程序加载的效率,进一步提高了云数据的安全性。
在一个具体的实施例中,图4为根据本发明一个具体实施例的基于内核的云数据保护的云服务器102的方法示意图,如图4所示,
在云服务器102启动时,部署在云服务器102上的内核程序,会从管理机104上获取安全策略,完成设定的保护操作。该安全策略由将程序与受保护文件夹关联的脚本生成,脚本中详细描述了哪个进程可以访问某个文件夹
在安全策略中,会描述授权程序的路径名pnam、路径名长name_le、权限right、文件名长flen和哈希值hash,根据上述描述,只有路径名符合pname,名长等于name_len,程序文件长度等于flen,程序文件名的哈希是hash的,才有对受保护的文件夹有right(读或写等)权限。
在安全策略中,白名单中会描述程序的路径名pnam、路径名长name_le、文件名长flen和哈希值hash,根据上述描述,只有满足只有路径名符合pname,名长等于name_len,程序文件长度等于flen,程序文件名的哈希是hash的程序,才允许在云服务器102上运行。
云服务器102上安装的内核程序接管虚机的进程加载功能sys_execve,并且接管虚机的主要文件操作功能,这些功能有sys_open(打开文件)、sys_creat(新建文件)、sys_newstat(修改文件属性)、sys_rename(重命名文件)、sys_chdir(改变当前路径)、sys_mkdir(创建文件夹)、sys_unlinkat(删除文件)、sys_rmdir(删除文件夹)。
当加载一个程序时,内核程序会先获取其全路径名,再获取其文件长度和文件内容哈希,该程序的信息不在程序白名单内的情况下,则进程加载功能拒绝该程序启动。在该程序的信息与白名单中的信息匹配的情况下,程序启动,再将程序信息与文件权限集比对,获取到该程序有权访问的文件夹数组,将该程序产生的进程ID以及该程序有权访问的文件夹数组***到权限数组中,权限数组包含进程ID与其有权访问的受保护文件夹数组。
如果云服务器102上有程序要访问文件,首先判断该文件是否在受保护的文件夹中,若不是,则可以直接访问。在该文件在受保护文件夹中的情况下,内核程序先查询权限数组中是否有该进程ID,若没有,则直接拒绝;如果有,内核程序再查询该文件夹是否在该进程ID授权访问的文件夹数组中,若不在则拦截,若在,则该进程可以成功访问文件。
上述实施例既能保证文件能被授权的程序,通常是服务程序的访问,又能阻止其被有管理员权限的入侵者或者勒索病毒或者恶意内部人员所非法使用,从而保证公有云上重要文件的安全;程序白名单功能,既可以阻止类似勒索病毒的运行,也可以阻止可疑模块运行后杀死内核安全程序,在有必要的情况下,该内核程序还可以升级自我防护功能,增强阻止可疑模块试图卸载内核程序的行为。
在一个实施例中,图5为根据本发明一个具体实施例的基于内核的云数据保护的云服务器102的示意图一,如图5所示,该云服务器102包括:
策略模块52,用于获取安全策略,安全策略中包括权限数组,其中,权限数组指示进程与文件夹的权限对应关系;
接管模块54,用于接管云服务器102的文件操作功能;
第一权限模块56,用于获取第一进程的第一进程标识号,查询权限数组,判断权限数组中是否存在第一进程标识号,若是,判断第一文件夹是否为第一进程标识号允许访问的文件夹,若是,文件操作功能允许第一进程对第一文件夹进行第一操作。
在一个实施例中,图6为根据本发明一个具体实施例的基于内核的云数据保护的云服务器的示意图二,如图6所示,该云服务器102还包括:
接管模块56还用于接管云服务器102的进程加载功能;
云服务器102还包括第二权限模块62,用于获取待启动的第一程序的程序信息,将程序信息与白名单进行对比,若程序信息与安全策略中的白名单中的信息匹配,进程加载功能允许第一程序启动;获取第一程序运行产生的第二进程标识号,根据程序信息和安全策略中的文件权限集,将第二进程标识号和第二进程标识号有权访问的文件夹放入权限数组;
在一个实施例中,第二权限模块52还用于根据程序信息查询文件权限集,获取第一程序允许访问的文件夹以及允许对文件夹执行的操作,其中,程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;将第二进程标识号与第一程序允许访问的文件夹以及操作放入权限数组。
在一个实施例中,第二权限模块52还用于获取待启动的第一程序的程序信息,其中程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;将程序信息与白名单进行对比;若程序信息与白名单中的信息匹配,进程加载功能允许第一程序启动。
上述基于内核的云数据保护的云服务器102,通过运行在内核层上的内核程序获取安全策略并且接管云服务器102的文件操作功能,其中,安全策略中的文件权限集是程序与文件夹的权限对应关系,由于内核层的程序的执行路径是与执行该程序的用户相关,程序对应的进程标识号与文件夹的权限对应关系也指定了执行该程序的用户与文件夹的权限对应关系;因此,根据第一进程标识号和权限数组,可以判断第一进程是否可以对第一文件夹进行操作。根据上述方法,可以将文件操作权限与管理员权限剥离,只与使用者关联,增强了对云上数据的保护,提高了云上数据的安全性。
在一个实施例中,提供了一种基于内核的云数据保护***,该***包括管理机104和云服务器102:
管理机104在云服务器102启动后下发安全策略给云服务器102;
云服务器102的内核程序获取安全策略,其中,安全策略中包括权限数组,权限数组指示进程与文件夹的权限对应关系;内核程序接管云服务器102的文件操作功能;获取第一进程的第一进程标识号,查询权限数组,判断权限数组中是否存在第一进程标识号,若是,判断第一文件夹是否为第一进程标识号允许访问的文件夹,若是,文件操作功能允许第一进程对第一文件夹进行第一操作。
在其中一个实施例中,云服务器102上的内核程序获取安全策略之后,云服务器102上的内核程序接管云服务器102的进程加载功能;云服务器102获取待启动的第一程序的程序信息,将程序信息与安全策略中的白名单进行对比,若程序信息与白名单中的信息匹配,进程加载功能允许第一程序启动;获取第一程序运行产生的第二进程标识号,根据程序信息和安全策略中的文件权限集,将第二进程标识号和第二进程标识号有权访问的文件夹放入权限数组。
在其中一个实施例中,云服务器102根据程序信息查询文件权限集,获取第一程序允许访问的文件夹以及允许对文件夹执行的操作,其中,程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值并将第二进程标识号与第一程序允许访问的文件夹以及操作放入权限数组。
在其中一个实施例中,云服务器102获取待启动的第一程序的程序信息,其中程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值,并且,将程序信息与白名单进行对比,若程序信息与白名单中的信息匹配,进程加载功能允许第一程序启动。
上述基于内核的云数据保护***,可以将文件操作权限与管理员权限剥离,只与使用者关联,增强了对云上数据的保护,提高了云上数据的安全性。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
云服务器102上的内核程序获取安全策略,其中,安全策略中包括权限数组,权限数组指示进程与文件夹的权限对应关系;内核程序接管云服务器102的文件操作功能;获取第一进程的第一进程标识号,查询权限数组,判断权限数组中是否存在第一进程标识号,若是,判断第一文件夹是否为第一进程标识号允许访问的文件夹,若是,文件操作功能允许第一进程对第一文件夹进行操作。
在其中一个实施例中,处理器执行计算机程序时还实现以下步骤:
内核程序接管云服务器102的进程加载功能;获取待启动的第一程序的程序信息,将程序信息与安全策略中的白名单进行对比,若程序信息与白名单中的信息匹配,进程加载功能允许第一程序启动;获取第一程序运行产生的第二进程标识号,根据程序信息和安全策略中的文件权限集,将第二进程标识号和第二进程标识号有权访问的文件夹放入权限数组。
在其中一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据程序信息查询文件权限集,获取第一程序允许访问的文件夹以及允许对文件夹执行的操作,其中,程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;将第二进程标识号与第一程序允许访问的文件夹以及操作放入权限数组。
在其中一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取待启动的第一程序的程序信息,其中程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;将程序信息与白名单进行对比;若程序信息与白名单中的信息匹配,进程加载功能允许第一程序启动。
上述计算机设备,可以将文件操作权限与管理员权限剥离,只与使用者关联,增强了对云上数据的保护,提高了云上数据的安全性。
在一个实施例中,提供了一种可读存储介质,其上存储有可执行程序,可执行程序被处理器执行时实现以下步骤:
云服务器102上的内核程序获取安全策略,其中,安全策略中包括权限数组,权限数组指示进程与文件夹的权限对应关系;
内核程序接管云服务器102的文件操作功能;
获取第一进程的第一进程标识号,查询权限数组,判断权限数组中是否存在第一进程标识号,若是,判断第一文件夹是否为第一进程标识号允许访问的文件夹,若是,文件操作功能允许第一进程对第一文件夹进行操作。
在其中一个实施例中,可执行程序被处理器执行时还实现以下步骤:
内核程序接管云服务器102的进程加载功能;获取待启动的第一程序的程序信息,将程序信息与安全策略中的白名单进行对比,若程序信息与白名单中的信息匹配,进程加载功能允许第一程序启动;获取第一程序运行产生的第二进程标识号,根据程序信息和安全策略中的文件权限集,将第二进程标识号和第二进程标识号有权访问的文件夹放入权限数组。
在其中一个实施例中,可执行程序被处理器执行时还实现以下步骤:
根据程序信息查询文件权限集,获取第一程序允许访问的文件夹以及允许对文件夹执行的操作,其中,程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;将第二进程标识号与第一程序允许访问的文件夹以及操作放入权限数组。
在其中一个实施例中,可执行程序被处理器执行时还实现以下步骤:
获取待启动的第一程序的程序信息,其中程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;将程序信息与白名单进行对比;若程序信息与白名单中的信息匹配,进程加载功能允许第一程序启动。
上述可读存储介质,可以将文件操作权限与管理员权限剥离,只与使用者关联,增强了对云上数据的保护,提高了云上数据的安全性。
应该理解的是,虽然图3的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图3中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (11)
1.一种基于内核的云数据保护方法,其特征在于,所述方法包括:
云服务器上的内核程序获取安全策略,所述安全策略中包括权限数组,其中,所述权限数组指示进程与文件夹的权限对应关系;
所述内核程序接管所述云服务器的文件操作功能;
获取第一进程的第一进程标识号,查询权限数组,判断所述权限数组中是否存在所述第一进程标识号,若是,判断第一文件夹是否为所述第一进程标识号允许访问的文件夹,若是,所述文件操作功能允许所述第一进程对所述第一文件夹进行操作。
2.根据权利要1所述的方法,其特征在于,所述云服务器上的内核程序获取安全策略之后,所述方法包括:
所述内核程序接管所述云服务器的进程加载功能;
获取待启动的第一程序的程序信息,将所述程序信息与所述安全策略中的白名单进行对比,若所述程序信息与所述白名单中的信息匹配,所述进程加载功能允许所述第一程序启动;获取所述第一程序运行产生的第二进程标识号,根据所述程序信息和所述安全策略中的文件权限集,将所述第二进程标识号和所述第二进程标识号有权访问的文件夹放入权限数组。
3.根据权利要求2所述的方法,其特征在于,所述根据所述程序信息和所述文件权限集,将所述第二进程标识号和所述第二进程标识号有权访问的文件夹放入权限数组包括:
根据所述程序信息查询所述文件权限集,获取所述第一程序允许访问的文件夹以及允许对所述文件夹执行的操作,其中,所述程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;
将第二进程标识号与所述第一程序允许访问的文件夹以及所述操作放入权限数组。
4.根据权利要求2所述的方法,其特征在于,所述获取待启动的第一程序的程序信息,将所述程序信息与所述安全策略中的白名单进行对比,若所述程序信息与所述白名单中的信息匹配,所述进程加载功能允许所述第一程序启动包括:
获取待启动的第一程序的程序信息,其中所述程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;
将所述程序信息与所述白名单进行对比;
若所述程序信息与所述白名单中的信息匹配,所述进程加载功能允许所述第一程序启动。
5.一种云服务器,其特征在于,所述云服务器包括:
策略模块,用于获取安全策略,所述安全策略中包括权限数组,其中,所述权限数组指示进程与文件夹的权限对应关系;
接管模块,用于接管所述云服务器的文件操作功能;
第一权限模块,用于获取第一进程的第一进程标识号,查询权限数组,判断所述权限数组中是否存在所述第一进程标识号,若是,判断第一文件夹是否为所述第一进程标识号允许访问的文件夹,若是,所述文件操作功能允许所述第一进程对所述第一文件夹进行第一操作。
6.根据权利要求5所述的云服务器,其特征在于,所述云服务器还包括:
接管模块还用于接管所述云服务器的进程加载功能;
第二权限模块,用于获取待启动的第一程序的程序信息,将所述程序信息与所述白名单进行对比,若所述程序信息与所述安全策略中的白名单中的信息匹配,所述进程加载功能允许所述第一程序启动;获取所述第一程序运行产生的第二进程标识号,根据所述程序信息和所述安全策略中的文件权限集,将所述第二进程标识号和所述第二进程标识号有权访问的文件夹放入权限数组。
7.根据权利要求6所述的云服务器,其特征在于,所述第二权限模块还用于:
根据所述程序信息查询所述文件权限集,获取所述第一程序允许访问的文件夹以及允许对所述文件夹执行的操作,其中,所述程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;将第二进程标识号与所述第一程序允许访问的文件夹以及所述操作放入权限数组。
8.根据权利要求6所述的云服务器,其特征在于,所述第二权限模块还用于:
获取待启动的第一程序的程序信息,其中所述程序信息包括:程序路径名、程序路径名长、程序文件名长和程序文件名哈希值;将所述程序信息与所述白名单进行对比;若所述程序信息与所述白名单中的信息匹配,所述进程加载功能允许所述第一程序启动。
9.一种基于内核的云数据保护***,其特征在于,所述***包括管理机和云服务器:
管理机在云服务器启动后下发安全策略给所述云服务器;
云服务器上的内核程序获取安全策略,其中,所述安全策略中包括权限数组,所述权限数组指示了进程与文件夹的权限对应关系;所述内核程序接管所述云服务器的文件操作功能;获取第一进程的第一进程标识号,查询权限数组,判断所述权限数组中是否存在所述第一进程标识号,若是,判断第一文件夹是否为所述第一进程标识号允许访问的文件夹,若是,所述文件操作功能允许所述第一进程对所述第一文件夹进行第一操作。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4中任一项所述方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911022164.3A CN110990844B (zh) | 2019-10-25 | 2019-10-25 | 基于内核的云数据保护方法、云服务器、*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911022164.3A CN110990844B (zh) | 2019-10-25 | 2019-10-25 | 基于内核的云数据保护方法、云服务器、*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110990844A true CN110990844A (zh) | 2020-04-10 |
| CN110990844B CN110990844B (zh) | 2022-04-08 |
Family
ID=70082358
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911022164.3A Active CN110990844B (zh) | 2019-10-25 | 2019-10-25 | 基于内核的云数据保护方法、云服务器、*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110990844B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111859429A (zh) * | 2020-07-21 | 2020-10-30 | 北京四维益友软件有限公司 | 一种计算机数据保护的处理方法 |
| CN113918955A (zh) * | 2021-09-29 | 2022-01-11 | 杭州默安科技有限公司 | 一种linux内核漏洞权限提升检测阻断方法和*** |
| CN114116606A (zh) * | 2021-12-02 | 2022-03-01 | 北京江民新科技术有限公司 | 针对windows全***的文件保护方法及*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
| CN102034052A (zh) * | 2010-12-03 | 2011-04-27 | 北京工业大学 | 基于三权分立的操作***体系结构及实现方法 |
| JP2012252492A (ja) * | 2011-06-02 | 2012-12-20 | Ntt Data Corp | 仮想化装置、仮想化装置制御方法、仮想化装置制御プログラム |
| CN106295355A (zh) * | 2016-08-11 | 2017-01-04 | 南京航空航天大学 | 一种面向Linux服务器的主动安全保障方法 |
| CN109831420A (zh) * | 2018-05-04 | 2019-05-31 | 360企业安全技术(珠海)有限公司 | 内核进程权限的确定方法及装置 |
-
2019
- 2019-10-25 CN CN201911022164.3A patent/CN110990844B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
| CN102034052A (zh) * | 2010-12-03 | 2011-04-27 | 北京工业大学 | 基于三权分立的操作***体系结构及实现方法 |
| JP2012252492A (ja) * | 2011-06-02 | 2012-12-20 | Ntt Data Corp | 仮想化装置、仮想化装置制御方法、仮想化装置制御プログラム |
| CN106295355A (zh) * | 2016-08-11 | 2017-01-04 | 南京航空航天大学 | 一种面向Linux服务器的主动安全保障方法 |
| CN109831420A (zh) * | 2018-05-04 | 2019-05-31 | 360企业安全技术(珠海)有限公司 | 内核进程权限的确定方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111859429A (zh) * | 2020-07-21 | 2020-10-30 | 北京四维益友软件有限公司 | 一种计算机数据保护的处理方法 |
| CN113918955A (zh) * | 2021-09-29 | 2022-01-11 | 杭州默安科技有限公司 | 一种linux内核漏洞权限提升检测阻断方法和*** |
| CN114116606A (zh) * | 2021-12-02 | 2022-03-01 | 北京江民新科技术有限公司 | 针对windows全***的文件保护方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110990844B (zh) | 2022-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11611586B2 (en) | Systems and methods for detecting a suspicious process in an operating system environment using a file honeypots | |
| US11354446B2 (en) | Peer integrity checking system | |
| US11334562B2 (en) | Blockchain based data management system and method thereof | |
| CN110990844B (zh) | 基于内核的云数据保护方法、云服务器、*** | |
| US11170128B2 (en) | Information security using blockchains | |
| Gül et al. | A survey on anti-forensics techniques | |
| US11520886B2 (en) | Advanced ransomware detection | |
| CN113886835A (zh) | 容器逃逸的防护方法、装置、计算机设备和存储介质 | |
| US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| Fu et al. | Data correlation‐based analysis methods for automatic memory forensic | |
| US20200159915A1 (en) | Selective Import/Export Address Table Filtering | |
| US20210042043A1 (en) | Secure Data Processing | |
| CN111324799A (zh) | 搜索请求的处理方法及装置 | |
| US10073975B2 (en) | Application integrity verification in multi-tier architectures | |
| CN116415240A (zh) | 一种勒索病毒检测方法以及相关*** | |
| US12028376B2 (en) | Systems and methods for creation, management, and storage of honeyrecords | |
| US11750660B2 (en) | Dynamically updating rules for detecting compromised devices | |
| CN113836542B (zh) | 可信白名单匹配方法、***和装置 | |
| CN112947864B (zh) | 元数据的存储方法、装置、设备和存储介质 | |
| KR102309695B1 (ko) | 호스트 침입 탐지를 위한 파일 기반 제어방법 및 장치 | |
| CN116578968A (zh) | 对电力控制***中应用程序提供安全防护的方法及装置 | |
| US20220366035A1 (en) | Execution control system, execution control method, and program | |
| CN113468528A (zh) | 恶意设备识别方法、装置、服务器及存储介质 | |
| CN117668861A (zh) | 对象操作方法及装置、电子设备和计算机可读存储介质 | |
| CN117009969A (zh) | 病毒扫描方法及对象存储*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |