一种非公开文件访问方法、系统及电子设备和存储介质与流程

本申请涉及通信技术领域，更具体地说，涉及一种非公开文件访问方法、系统及一种电子设备和一种计算机可读存储介质。

背景技术

随着通信技术的发展，用户也将越来越多的数据存储在终端设备上，其中包括很多个人隐私信息，即非公开文件，例如私密联系人、私密照片、私密文档等，甚至会在终端设备中存储一些商业机密信息。将数据存储在终端设备上，虽然能够给人们生活和工作带来极大便利，但是也大大增加了用户信息泄露的可能性。

对于非公开文件的访问，在现有技术中一般采用过滤层拦截和设置白名单的方式，即检测到进程对非公开文件的访问请求时，获取进程信息，并判断预先在过滤层设置的白名单是否存在该进程信息，若存在，则允许该进程访问非公开文件，若不存在，则拦截该进程的访问操作。基于上述过滤方法，黑客可以从过滤层的白名单切入，将风险进程加入白名单中，即可任意访问非公开文件，造成了非公开文件的安全性不高。

因此，如何提高非公开文件的安全性是本领域技术人员需要解决的问题。

技术实现要素：

本申请的目的在于提供一种非公开文件访问方法、系统及一种电子设备和一种计算机可读存储介质，提高了非公开文件的安全性。

为实现上述目的，本申请提供了一种非公开文件访问方法，包括：

当检测到进程对非公开文件的访问请求时，获取所述进程的数字签名信息；

判断预先存储的数字签名白名单中是否包括所述进程的数字签名信息；

若否，则拦截所述进程的访问请求。

其中，获取所述进程的数字签名信息，包括：

获取所述进程的可执行文件，通过所述可执行文件获取所述进程的数字签名信息。

其中，若未获取到所述进程的数字签名信息，则拦截所述进程的访问请求。

其中，所述数字签名信息包括所述进程的请求方标识信息。

其中，拦截所述进程的访问请求之后，还包括：

根据所述进程的进程信息向用户端发送告警信息。

其中，还包括：

当检测到进程空间中存在未识别模块时，获取所述未识别模块的数字签名信息；

判断所述数字签名信息白名单中是否包括所述未识别模块的数字签名信息；

若否，则将所述未识别模块从所述进程空间中剔除。

其中，将所述未识别模块从所述进程空间中剔除之后，还包括：

根据所述未识别模块的模块信息向用户端发送告警信息。

为实现上述目的，本申请提供了一种非公开文件访问系统，包括：

第一获取模块，用于当检测到进程对非公开文件的访问请求时，获取所述进程的数字签名信息；

第一判断模块，用于判断预先存储的数字签名白名单中是否包括所述进程的数字签名信息；

拦截模块，用于当内存中的数字签名列表不存在所述数字签名信息时，拦截所述进程的访问请求。

为实现上述目的，本申请提供了一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上述非公开文件访问方法的步骤。

为实现上述目的，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述非公开文件访问方法的步骤。

通过以上方案可知，本申请提供的一种非公开文件访问方法，包括：当检测到进程对非公开文件的访问请求时，获取所述进程的数字签名信息；判断预先存储的数字签名白名单中是否包括所述进程的数字签名信息；若否，则拦截所述进程的访问请求。

本申请提供的非公开文件访问方法，要求访问非公开文件的进程具有合法的数字签名信息，当进程请求访问非公开文件时，只有该进程的数字签名信息在数字签名白名单中，才能访问非公开文件。也就是说，本申请实施例提供的非公开文件访问方法，通过设置数字签名可信白名单，黑客侵入非公开文件时必须破解数字签名，相比现有技术破解难度更大，极大的降低了黑客侵入白名单的风险，提高了非公开文件的安全性。本申请还公开了一种非公开文件访问系统及一种电子设备和一种计算机可读存储介质，同样能实现上述技术效果。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例公开的一种非公开文件访问方法的流程图；

图2为本申请实施例公开的另一种非公开文件访问方法的流程图；

图3为本申请实施例公开的一种非公开文件访问系统的结构图；

图4为本申请实施例公开的另一种非公开文件访问系统的结构图；

图5为本申请实施例公开的一种电子设备的结构图；

图6为本申请实施例公开的另一种电子设备的结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例公开了一种非公开文件访问方法，提高了非公开文件的安全性。

参见图1，本申请实施例公开的一种非公开文件访问方法的流程图，如图1所示，包括：

s101：当检测到进程对非公开文件的访问请求时，获取所述进程的数字签名信息；

优选地，本发明实施例提供的非公开文件访问方法可在过滤层执行，即在发起访问的进程所在的客户端和/或非公开文件所在的终端设置过滤层，用于拦截进程对非公开文件的访问请求，当检测到访问请求时，获取该进程的数字签名信息。

本实施例中的非公开文件可包括各种格式的办公软件文档、各种格式的媒体文件以及其他类型的文件，在此不进行具体限定。本实施例同样不限定非公开文件的选定方式，例如，用户可以设备上直接在某一文件的属性栏中将该文件设置为非公开文件，又如可以通过对某一文件执行预设操作来将该文件设置为非公开文件。

可以理解的是，本步骤默认每一允许访问非公开文件的进程都有其对应的数字签名。在具体实施中，可以通过globalsign(全球证书管理机构)为每个请求访问非公开文件的设备颁布数字签名，该数字签名即为由该设备发起的访问非公开文件的进程的数字签名。此处的设备可具体为手机、平板电脑及笔记本电脑等移动设备，也可为台式计算机等其他设备。

本实施例不对数字签名的具体形式进行限定，本领域技术人员可以根据实际情况灵活选择，作为一种优选实施方式，该数字签名可以包括进程的请求方标识信息，例如，发起该访问请求的请求方名称和签名id等。

在具体实施中，当检测到进程的访问请求时，获取该进程的数字签名并进入步骤s102。具体的，可以获取该进程的可执行文件，并通过可执行文件确定该进程的数字签名信息。可以理解的是，若获取不到进程的数字签名信息，如该进程不存在数字签名信息，可直接拦截该进程的访问请求。

s102：判断预先存储的数字签名白名单中是否包括所述进程的数字签名信息；若是，则进入s131；若否，则进入s132；

s131：允许所述进程访问所述非公开文件；

可以理解的是，本步骤默认预先存储有数字签名白名单，即拥有数字签名白名单中的数字签名的进程具有对非公开文件的访问权限。需要说明的是，该数字签名白名单可以存储在过滤层中，当过滤层拦截到进程的访问请求时，及时进行数字签名的筛选。当数字签名白名单包括进程的数字签名信息时，允许该进程的访问请求，若不存在，则进入s132。

由于数字签名列表为globalsign生成并存储在过滤层中的，安全性较高，黑客侵入非公开文件时必须破解数字签名，破解难度大，极大的降低了黑客侵入白名单的风险，提高了非公开文件的安全性。

s132：拦截所述进程的访问请求。

在具体实施中，当数字签名白名单中不存在进程的数字签名信息时，拦截进程的访问请求。作为一种优选实施方式，在拦截所述进程的访问请求之后，还包括根据所述进程的进程信息向用户端发送告警信息。此处不对告警的具体方式进行限定，本领域技术人员可以根据实际情况进行灵活选择，例如，可以通过显示该进程的进程信息的方式发出告警。

本申请实施例提供的非公开文件访问方法，要求访问非公开文件的进程具有合法的数字签名信息，当进程请求访问非公开文件时，只有该进程的数字签名信息在数字签名白名单中，才能访问非公开文件。也就是说，本申请实施例提供的非公开文件访问方法，在过滤层通过数字签名的方式设置可信白名单(如数字签名列表)，黑客侵入非公开文件时必须破解数字签名，相比现有技术破解难度更大，极大的降低了黑客侵入白名单的风险，提高了非公开文件的安全性。

需要说明的是，为进一步保证非公开文件的安全性，可以在上一实施例提供的非公开文件访问方法执行的同时，实时监测进程的各模块，具体的：

参见图2，本申请实施例提供的非公开文件访问方法还可以包括：

s201：当检测到进程空间中存在未识别模块时，获取所述未识别模块的数字签名信息；

在具体实施中，实时监测进程的各模块(例如线程，或函数等)，如果有未识别模块时，则未识别模块可能是非法模块，例如来自远程线程注入攻击，插apc(asynchronousprocedurecall，异步过程调用)注入攻击等，对于未识别模块，本步骤获取该未识别模块的数字签名信息。s202：判断所述数字签名信息白名单中是否包括所述未识别模块的数字签名信息；若是，则进入s231；若否，则进入s232；

s231：允许所述待识别模块加入所述进程空间；

在具体实施中，如微软、腾讯、百度等公司开发的软件都有其自身的官方签名信息，该官方签名信息也可以存储在数字签名信息白名单。当过滤层监测到未识别模块时时，及时对该模块的数字签名信息的筛选。当数字签名信息白名单包括未识别模块的数字签名信息时，允许该模块加入进程空间，即允许包含该模块的进程访问非公开文件，若不存在，则进入s232。

s232：将所述待识别模块从所述进程空间中剔除。

需要说明的是，本申请实施例中，可对访问非公开文件的各进程的进程空间中的各模块进行监控，当然在另一种实施方式中，也可以对系统中运行的其它进程的进程空间的各模块进行监控，在此不做限定。

在具体实施中，当数字签名信息白名单包括不未识别模块的数字签名信息时，将该未识别模块从所述进程空间中剔除。作为一种优选实施方式，在将所述未识别模块从所述进程空间中剔除之后，还包括根据所述未识别模块的模块信息向用户端发送告警信息。此处同样不对告警的具体方式进行限定，本领域技术人员可以根据实际情况进行灵活选择，例如，可以通过显示该模块的模块信息的方式发出告警。

由此可见，本申请实施例提供的非公开文件访问方法，要求进程的每一模块具有合法的数字签名信息，当进程空间中存在未识别模块时，只有拥有官方签名信息的模块才允许加入进程空间中，通过对进程空间中各模块的监控，可以防止有非法模块注入进程，进一步提高了非公开文件的安全性。

下面对本申请实施例提供的一种非公开文件访问系统进行介绍，下文描述的一种非公开文件访问系统与上文描述的一种非公开文件访问方法可以相互参照。

参见图3，本申请实施例提供的一种非公开文件访问系统的结构图，如图3所示，包括：

第一获取模块301，用于当检测到进程对非公开文件的访问请求时，获取所述进程的数字签名信息；

第一判断模块302，用于判断预先存储的数字签名白名单中是否包括所述进程的数字签名信息；

拦截模块303，用于当内存中的数字签名列表不存在所述数字签名信息时，拦截所述进程的访问请求。

本申请实施例提供的非公开文件访问系统，要求访问非公开文件的进程具有合法的数字签名信息，当进程请求访问非公开文件时，只有该进程的数字签名信息在数字签名白名单中，才能访问非公开文件。也就是说，本申请实施例提供的非公开文件访问方法，在过滤层通过数字签名的方式设置可信白名单(如数字签名列表)，黑客侵入非公开文件时必须破解数字签名，相比现有技术破解难度更大，极大的降低了黑客侵入白名单的风险，提高了非公开文件的安全性。

在上述实施例的基础上，作为一种优选实施方式，所述第一获取模块301具体为当检测到进程对非公开文件的访问请求时，获取所述进程的可执行文件，通过所述可执行文件获取所述进程的数字签名信息的模块。

在上述实施例的基础上，作为一种优选实施方式，所述数字签名信息包括所述进程的请求方标识信息。

在上述实施例的基础上，作为一种优选实施方式，还包括：

第一告警模块，用于根据所述进程的进程信息向用户端发送告警信息。

本申请实施例公开了一种非公开文件访问系统，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体的：

参见图4，本申请实施例提供的非公开文件访问系统还可以包括：

第二获取模块401，用于当检测到进程空间中存在未识别模块时，获取所述未识别模块的数字签名信息；

第二判断模块402，用于判断所述数字签名信息白名单中是否包括所述未识别模块的数字签名信息；若否，则启动剔除模块的工作流程；

所述剔除模块403，用于将所述未识别模块从所述进程空间中剔除。

在上述实施例的基础上，作为一种优选实施方式，还包括：

第二告警模块，用于根据所述未识别模块的模块信息向用户端发送告警信息。

本申请还提供了一种电子设备，参见图5，本申请实施例提供的一种电子设备的结构图，如图5所示，包括：

存储器100，用于存储计算机程序；

处理器200，用于执行所述计算机程序时可以实现上述实施例所提供的步骤。

具体的，存储器100可以包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机可读指令，该内存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。

处理器200为电子设备提供计算和控制能力，执行所述存储器100中保存的计算机程序时，可以实现如前述实施例所描述的非公开文件访问方法，例如包括以下步骤：当检测到进程对非公开文件的访问请求时，获取所述进程的数字签名信息；判断预先存储的数字签名白名单中是否包括所述进程的数字签名信息；若否，则拦截所述进程的访问请求。

本申请实施例提供的电子设备，要求访问非公开文件的进程具有合法的数字签名信息，当进程请求访问非公开文件时，只有该进程的数字签名信息在数字签名白名单中，才能访问非公开文件。也就是说，本申请实施例提供的非公开文件访问方法，在过滤层通过数字签名的方式设置可信白名单(如数字签名列表)，黑客侵入非公开文件时必须破解数字签名，相比现有技术破解难度更大，极大的降低了黑客侵入白名单的风险，提高了非公开文件的安全性。

优选的，所述处理器200执行所述存储器100中保存的计算机子程序时，可以实现以下步骤：获取所述进程的可执行文件，通过所述可执行文件获取所述进程的数字签名信息。

优选的，所述处理器200执行所述存储器100中保存的计算机子程序时，可以实现以下步骤：若未获取到所述进程的数字签名信息，则拦截所述进程的访问请求。

优选的，所述处理器200执行所述存储器100中保存的计算机子程序时，可以实现以下步骤：根据所述进程的进程信息向用户端发送告警信息。

优选的，所述处理器200执行所述存储器100中保存的计算机子程序时，可以实现以下步骤：当检测到进程空间中存在未识别模块时，获取所述未识别模块的数字签名信息；判断所述数字签名信息白名单中是否包括所述未识别模块的数字签名信息；若否，则将所述未识别模块从所述进程空间中剔除。

优选的，所述处理器200执行所述存储器100中保存的计算机子程序时，可以实现以下步骤：根据所述未识别模块的模块信息向用户端发送告警信息。

在上述实施例的基础上，作为优选实施方式，参见图6，所述电子设备还包括：

输入接口300，与处理器200相连，用于获取外部导入的计算机程序、参数和指令，经处理器200控制保存至存储器100中。该输入接口300可以与输入装置相连，接收用户手动输入的参数或指令。该输入装置可以是显示屏上覆盖的触摸层，也可以是终端外壳上设置的按键、轨迹球或触控板，也可以是键盘、触控板或鼠标等。

显示单元400，与处理器200相连，用于显示处理器200发送的数据。该显示单元400可以为pc机上的显示屏、液晶显示屏或者电子墨水显示屏等。具体的，在本实施例中，可以通过显示单元400显示异常进程信息、异常模块信息等。

网络端口500，与处理器200相连，用于与外部各终端设备进行通信连接。该通信连接所采用的通信技术可以为有线通信技术或无线通信技术，如移动高清链接技术(mhl)、通用串行总线(usb)、高清多媒体接口(hdmi)、无线保真技术(wifi)、蓝牙通信技术、低功耗蓝牙通信技术、基于ieee802.11s的通信技术等。具体的，在本实施例中，可以通过网络端口500向处理器200导入数字签名列表等。

本申请还提供了一种计算机可读存储介质，该存储介质可以包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。该存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：当检测到进程对非公开文件的访问请求时，获取所述进程的数字签名信息；判断预先存储的数字签名白名单中是否包括所述进程的数字签名信息；若否，则拦截所述进程的访问请求。

本申请实施例要求访问非公开文件的进程具有合法的数字签名信息，当进程请求访问非公开文件时，只有该进程的数字签名信息在数字签名白名单中，才能访问非公开文件。也就是说，本申请实施例提供的非公开文件访问方法，在过滤层通过数字签名的方式设置可信白名单(如数字签名列表)，黑客侵入非公开文件时必须破解数字签名，相比现有技术破解难度更大，极大的降低了黑客侵入白名单的风险，提高了非公开文件的安全性。

优选的，所述计算机可读存储介质中存储的计算机子程序被处理器执行时，具体可以实现以下步骤：获取所述进程的可执行文件，通过所述可执行文件获取所述进程的数字签名信息。

优选的，所述计算机可读存储介质中存储的计算机子程序被处理器执行时，具体可以实现以下步骤：若未获取到所述进程的数字签名信息，则拦截所述进程的访问请求。

优选的，所述计算机可读存储介质中存储的计算机子程序被处理器执行时，具体可以实现以下步骤：根据所述进程的进程信息向用户端发送告警信息。

优选的，所述计算机可读存储介质中存储的计算机子程序被处理器执行时，具体可以实现以下步骤：当检测到进程空间中存在未识别模块时，获取所述未识别模块的数字签名信息；判断所述数字签名信息白名单中是否包括所述未识别模块的数字签名信息；若否，则将所述未识别模块从所述进程空间中剔除。

优选的，所述计算机可读存储介质中存储的计算机子程序被处理器执行时，具体可以实现以下步骤：根据所述未识别模块的模块信息向用户端发送告警信息。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。