一种安全计算机的用户数据保护方法
【专利摘要】本发明公开了一种安全计算机的用户数据保护方法,包括以下步骤:根据应用程序策略库中的应用程序分类方法将计算机中已安装的应用程序分类成至少一个应用程序集;根据应用程序策略库中的文件访问权限设置方法对所述至少一个应用程序集设置访问用户隐私文件的文件访问权限;检测应用程序的文件访问操作,并根据所述应用程序对应的文件访问权限对所述应用程序的文件访问操作进行访问控制。本发明将计算机中的应用程序分类成若干个应用程序集,然后对各个应用程序集设置相应的文件访问权限,并监控应用程序的文件访问操作,从而控制应用程序对用户隐私文件的访问,可以有效防止用户隐私数据外泄,且具有较强的实用性。
【专利说明】
一种安全计算机的用户数据保护方法
技术领域
[0001]本发明涉及一种数据保护方法,具体是一种安全计算机的用户数据保护方法。
【背景技术】
[0002]随着互联网技术的发展和个人计算机的普及,用户越来越注重隐私保护。大量互联网软件通过后台收集用户数据。在利益驱动下,大量以盗取用户隐私数据为目的的木马和恶意程序爆发。个人计算机平台没有移动平台所具有的对应用程序的精确控制能力,因此应用程序可以任意访问个人计算机平台中未加密数据和其他应用程序数据。
[0003]现有对个人计算机平台的用户隐私保护主要有两种方式:一是通过沙盘软件保护用户隐私,二是通过对数据加密的方式保护用户隐私。沙盘软件会完全隔离应用程序,并通过内核三环注入动态库的方式模拟系统API调用,可能会导致被隔离应用程序数据丢失,或因不兼容问题而导致应用程序崩溃。而通过加密数据来保护隐私数据的方式操作复杂,且很难针对不同应用程序采用不同的策略。
【发明内容】
[0004]本发明的目的在于提供一种安全计算机的用户数据保护方法,以解决上述【背景技术】中提出的问题。
[0005]为实现上述目的,本发明提供如下技术方案:
[0006]—种安全计算机的用户数据保护方法,包括以下步骤:根据应用程序策略库中的应用程序分类方法将计算机中已安装的应用程序分类成至少一个应用程序集;根据应用程序策略库中的文件访问权限设置方法对所述至少一个应用程序集设置访问用户隐私文件的文件访问权限;检测应用程序的文件访问操作,并根据所述应用程序对应的文件访问权限对所述应用程序的文件访问操作进行访问控制:若所述应用程序的文件访问操作与所述应用程序对应的文件访问权限相匹配,则允许所述应用程序的文件访问操作;否则,对所述应用程序的文件访问操作进行拦截;其中,所述用户隐私文件包括系统默认存放用户资料的文件、所述应用程序集对应的可执行文件和所述应用程序集对应的数据文件中的至少一种;设置程序负责监控计算机内的程序策略库,并完成程序策略库内部的排名,包括对计算机内的用户数据按照时间顺序进行排名,所述应用程序策略库放置在计算机硬盘中的一个加密区;根据加密命令来在程序配对连接后驱动识别参数获取模块获取识别参数,并以第一识别参数作为密钥来对待加密数据进行加密作业以得到密文数据;程序配对连接成功后驱动第一识别参数获取模块来获取第一识别参数,以利用第一识别参数作为密钥来对所述密文数据进行解密。
[0007]作为本发明再进一步的方案:所述应用程序策略库还包括多组一一对应的路径和数字签名,每组一一对应的路径和数字签名对应一个应用程序集;所述应用程序分类方法包括第一分类方法和第二分类方法:所述第一分类方法为:将应用程序的路径与所述应用程序集对应的路径进行匹配,并将所述应用程序分类到与所述应用程序的路径相匹配的路径对应的应用程序集中;所述第二分类方法为:检测所述应用程序的数字签名,将数字签名中包含公司信息的应用程序分类到公司信息与所述应用程序的数字签名中的公司信息相匹配的数字签名对应的应用程序集中,将数字签名中不包含公司信息的应用程序分类到不包含公司信息的数字签名对应的应用程序集中,将不包含数字签名的应用程序分类到无数字签名对应的应用程序集中;其中,对已安装的应用程序分类,先采用所述第一分类方法,若应用程序的路径与所述应用程序集对应的路径均不匹配,则采用所述第二分类方法,或先采用所述第二分类方法,若应用程序的数字签名与所述应用程序集对应的数字签名均不匹配,则采用所述第一分类方法。
[0008]与现有技术相比,本发明的有益效果是:本发明将计算机中的应用程序分类成若干个应用程序集,然后对各个应用程序集设置相应的文件访问权限,并监控应用程序的文件访问操作,从而控制应用程序对用户隐私文件的访问,可以有效防止用户隐私数据外泄,且具有较强的实用性。
【具体实施方式】
[0009]下面对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0010]本发明实施例中,一种安全计算机的用户数据保护方法,包括以下步骤:根据应用程序策略库中的应用程序分类方法将计算机中已安装的应用程序分类成至少一个应用程序集;根据应用程序策略库中的文件访问权限设置方法对所述至少一个应用程序集设置访问用户隐私文件的文件访问权限;检测应用程序的文件访问操作,并根据所述应用程序对应的文件访问权限对所述应用程序的文件访问操作进行访问控制:若所述应用程序的文件访问操作与所述应用程序对应的文件访问权限相匹配,则允许所述应用程序的文件访问操作;否则,对所述应用程序的文件访问操作进行拦截;其中,所述用户隐私文件包括系统默认存放用户资料的文件、所述应用程序集对应的可执行文件和所述应用程序集对应的数据文件中的至少一种;设置程序负责监控计算机内的程序策略库,并完成程序策略库内部的排名,包括对计算机内的用户数据按照时间顺序进行排名,所述应用程序策略库放置在计算机硬盘中的一个加密区;根据加密命令来在程序配对连接后驱动识别参数获取模块获取识别参数,并以第一识别参数作为密钥来对待加密数据进行加密作业以得到密文数据;程序配对连接成功后驱动第一识别参数获取模块来获取第一识别参数,以利用第一识别参数作为密钥来对所述密文数据进行解密。所述应用程序策略库还包括多组一一对应的路径和数字签名,每组一一对应的路径和数字签名对应一个应用程序集;所述应用程序分类方法包括第一分类方法和第二分类方法:所述第一分类方法为:将应用程序的路径与所述应用程序集对应的路径进行匹配,并将所述应用程序分类到与所述应用程序的路径相匹配的路径对应的应用程序集中;所述第二分类方法为:检测所述应用程序的数字签名,将数字签名中包含公司信息的应用程序分类到公司信息与所述应用程序的数字签名中的公司信息相匹配的数字签名对应的应用程序集中,将数字签名中不包含公司信息的应用程序分类到不包含公司信息的数字签名对应的应用程序集中,将不包含数字签名的应用程序分类到无数字签名对应的应用程序集中;其中,对已安装的应用程序分类,先采用所述第一分类方法,若应用程序的路径与所述应用程序集对应的路径均不匹配,则采用所述第二分类方法,或先采用所述第二分类方法,若应用程序的数字签名与所述应用程序集对应的数字签名均不匹配,则采用所述第一分类方法。
[0011]所述应用程序分类方法可以包括第一分类方法和第二分类方法。所述第一分类方法为:将应用程序的路径与所述应用程序集对应的路径进行匹配,并将所述应用程序分类到与所述应用程序的路径相匹配的路径对应的应用程序集中。其中,应用程序策略库还包括多个路径,每个路径对应一个应用程序集。而计算机中每个已安装的应用程序均对应一个路径。因此,可以通过将应用程序的路径与应用程序策略库中的应用程序集对应的路径进行匹配的方式,从而将应用程序分类到一个应用程序集中。所述应用程序的路径具体为应用程序的exe文件路径。所述第二分类方法为:检测所述应用程序的数字签名,将数字签名中包含公司信息的应用程序分类到公司信息与所述应用程序的数字签名中的公司信息相匹配的数字签名对应的应用程序集中,将数字签名中不包含公司信息的应用程序分类到不包含公司信息的数字签名对应的应用程序集中,将不包含数字签名的应用程序分类到无数字签名对应的应用程序集中。其中,应用程序策略库还包括多个与所述应用程序策略库中包括的路径——对应的数字签名,每组——对应的路径和数字签名对应一个应用程序集。因此,可以通过检测应用程序的数字签名对应用程序进行分类。按数字签名分类,应用程序大致可以分为三类:有数字签名且数字签名中包含公司信息的应用程序、有数字签名但数字签名中无公司信息的应用程序和无数字签名的应用程序。因此,可以将有数字签名且数字签名中包含相同的公司信息的应用程序分类到一个应用程序集中,将有数字签名但数字签名中无公司信息的应用程序分类到一个应用程序集中,将无数字签名的应用程序分类到一个应用程序集中。可以理解的,对已安装的应用程序分类,可以先采用所述第一分类方法,若应用程序的路径与所述应用程序集对应的路径均不匹配,则采用所述第二分类方法。对已安装的应用程序分类,还可以先采用所述第二分类方法,若应用程序的数字签名与所述应用程序集对应的数字签名均不匹配,则再采用所述第一分类方法。本实施例中,应用程序集为具有共享数据的同类应用程序的集合。可以理解的,在其他的实施例中,还可以通过检测应用程序的版本信息对应用程序进行分类进一步地,对由第一应用程序启动的第二应用程序进行应用程序集分类,若所述第二应用程序匹配到应用程序集,则将所述第二应用程序归类到所匹配到的应用程序集;否则,将所述第二应用程序归类到所述第一应用程序对应的应用程序集。其中,对第二应用程序匹配应用程序集可通过匹配路径或数字签名来完成。具体的,在计算机中可能存在第一应用程序带动启动第二应用程序的情况。这种情况下,可以通过第一分类方法或第二分类方法,对第二应用程序进行分类。若第二应用程序匹配到应用程序集,则将第二应用程序集归类为所匹配到的应用程序集,并设置相应的文件访问权限。若第二应用程序未匹配到应用程序集,则将第二应用程序归类为第一应用程序对应的应用程序集,并设置相应的文件访问权限。
[0012]对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。
[0013]此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
【主权项】
1.一种安全计算机的用户数据保护方法,其特征在于,包括以下步骤:根据应用程序策略库中的应用程序分类方法将计算机中已安装的应用程序分类成至少一个应用程序集;根据应用程序策略库中的文件访问权限设置方法对所述至少一个应用程序集设置访问用户隐私文件的文件访问权限;检测应用程序的文件访问操作,并根据所述应用程序对应的文件访问权限对所述应用程序的文件访问操作进行访问控制:若所述应用程序的文件访问操作与所述应用程序对应的文件访问权限相匹配,则允许所述应用程序的文件访问操作;否贝1J,对所述应用程序的文件访问操作进行拦截;其中,所述用户隐私文件包括系统默认存放用户资料的文件、所述应用程序集对应的可执行文件和所述应用程序集对应的数据文件中的至少一种;设置程序负责监控计算机内的程序策略库,并完成程序策略库内部的排名,包括对计算机内的用户数据按照时间顺序进行排名,所述应用程序策略库放置在计算机硬盘中的一个加密区;根据加密命令来在程序配对连接后驱动识别参数获取模块获取识别参数,并以第一识别参数作为密钥来对待加密数据进行加密作业以得到密文数据;程序配对连接成功后驱动第一识别参数获取模块来获取第一识别参数,以利用第一识别参数作为密钥来对所述密文数据进行解密。2.根据权利要求1所述的安全计算机的用户数据保护方法,其特征在于,所述应用程序策略库还包括多组——对应的路径和数字签名,每组——对应的路径和数字签名对应一个应用程序集;所述应用程序分类方法包括第一分类方法和第二分类方法:所述第一分类方法为:将应用程序的路径与所述应用程序集对应的路径进行匹配,并将所述应用程序分类到与所述应用程序的路径相匹配的路径对应的应用程序集中;所述第二分类方法为:检测所述应用程序的数字签名,将数字签名中包含公司信息的应用程序分类到公司信息与所述应用程序的数字签名中的公司信息相匹配的数字签名对应的应用程序集中,将数字签名中不包含公司信息的应用程序分类到不包含公司信息的数字签名对应的应用程序集中,将不包含数字签名的应用程序分类到无数字签名对应的应用程序集中;其中,对已安装的应用程序分类,先采用所述第一分类方法,若应用程序的路径与所述应用程序集对应的路径均不匹配,则采用所述第二分类方法,或先采用所述第二分类方法,若应用程序的数字签名与所述应用程序集对应的数字签名均不匹配,则采用所述第一分类方法。
【文档编号】G06F21/62GK106096433SQ201610364941
【公开日】2016年11月9日
【申请日】2016年5月21日
【发明人】李军伟
【申请人】新乡学院