高效可信進(jìn)程認(rèn)證方案的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域。主要應(yīng)用于文檔透明加解密系統(tǒng)中機(jī)密進(jìn)程的認(rèn)證����,是一種基于MD5 (Message Digest Algorithm)算法可靠性與進(jìn)程PID (ProcessIdentifier)唯一性的認(rèn)證方案,在保證認(rèn)證安全的前提下���,以提高系統(tǒng)的運(yùn)行效率���。
【背景技術(shù)】
[0002]電子政務(wù)、商務(wù)��、社會(huì)公共服務(wù)活動(dòng)的電子化是不可逆轉(zhuǎn)的趨勢(shì)���,這些業(yè)務(wù)活動(dòng)中涉及到大量涉密文檔���,基于過濾驅(qū)動(dòng)技術(shù)的防泄密系統(tǒng)可以完成對(duì)涉密文檔的高強(qiáng)度保護(hù),但是如何高效識(shí)別和認(rèn)證涉密進(jìn)程��,并對(duì)進(jìn)程所操作的文檔進(jìn)行加密保護(hù)����,成為目前需要解決的關(guān)鍵問題。針對(duì)該問題,MD5算法作為一種進(jìn)程完整性的校驗(yàn)方案�,被廣泛應(yīng)用于各種防泄密系統(tǒng)的可信進(jìn)程認(rèn)證,但在實(shí)際認(rèn)證過程中�,該方法效率不高,因此��,本發(fā)明設(shè)計(jì)的方案結(jié)合了 MD5算法與進(jìn)程PID�����,實(shí)現(xiàn)了可信進(jìn)程認(rèn)證的可靠性�����,并提高了認(rèn)證效率�。
【發(fā)明內(nèi)容】
[0003]本發(fā)明通過計(jì)算對(duì)比進(jìn)程MD5值與進(jìn)程關(guān)聯(lián)的PID���,以完成可信進(jìn)程認(rèn)證��,既保證系統(tǒng)的安全性����,也提高了系統(tǒng)運(yùn)行效率����。為達(dá)到上述目的��,本發(fā)明方法步驟如下:
系統(tǒng)運(yùn)維的管理人員在防泄密系統(tǒng)服務(wù)器后臺(tái)中設(shè)置可信進(jìn)程的MD5值����,系統(tǒng)將MD5值保存于服務(wù)器的數(shù)據(jù)庫(kù)(即是策略庫(kù))中�����。
[0004]加解密系統(tǒng)客戶端啟動(dòng)時(shí)�,通過網(wǎng)絡(luò)連接服務(wù)器,將策略庫(kù)中數(shù)據(jù)傳遞到客戶端并保存于的內(nèi)存空間中����,形成一張策略鏈表。
[0005]當(dāng)客戶端操作系統(tǒng)中有進(jìn)程啟動(dòng)時(shí)�,在驅(qū)動(dòng)(即系統(tǒng)操作系統(tǒng)內(nèi)核)中攔截此操作,計(jì)算該進(jìn)程的MD5值�����,并在策略鏈表查找此MD5值�����。
[0006]查找成功后將進(jìn)程對(duì)應(yīng)的PID保存在內(nèi)存中的一張可信進(jìn)程PID鏈表中;查找失敗則放棄后續(xù)所有操作���。
[0007]進(jìn)程讀寫時(shí)�,獲取進(jìn)程的PID��,在可信進(jìn)程PID鏈表中查找是否存在此PID��,查找成功則為可信進(jìn)程����,失敗則為非可信進(jìn)程,放棄后續(xù)所有操作��。
[0008]進(jìn)程關(guān)閉時(shí)��,獲取進(jìn)程的PID��,并在可信進(jìn)程PID鏈表中查找此PID�,查找成功����,則刪除該P(yáng)ID節(jié)點(diǎn)。
[0009]對(duì)于本系統(tǒng)的實(shí)施例而言�����,客戶端主要指?jìng)€(gè)人電腦,服務(wù)器主要控制進(jìn)程策略�,為了進(jìn)一步描述本實(shí)施例的技術(shù)方案,下面結(jié)合附圖1和附圖2對(duì)系統(tǒng)的工作方法和流程進(jìn)行說明:
如附圖1所示�,需要服務(wù)器10,服務(wù)器10中包含策略庫(kù)模塊101��,模塊101是具有數(shù)據(jù)存儲(chǔ)能力的數(shù)據(jù)庫(kù)系統(tǒng)���。系統(tǒng)運(yùn)維管理員在服務(wù)器端設(shè)置可信進(jìn)程的MD5值�,并存儲(chǔ)于101模塊中��。
[0010]模塊20是客戶端����,與服務(wù)器10交互并與內(nèi)核驅(qū)動(dòng)30通信,其中201模塊用于登錄服務(wù)器�����,取回服務(wù)器中的策略庫(kù)�,且將策略庫(kù)傳遞到內(nèi)核驅(qū)動(dòng)模塊中。
[0011]模塊30是一個(gè)內(nèi)核驅(qū)動(dòng)程序���,其中的模塊301保存從模塊201傳遞來的策略庫(kù)��,用于驗(yàn)證啟動(dòng)的進(jìn)程是否為可信進(jìn)程���。模塊302保存通過301驗(yàn)證的進(jìn)程PID���,用于加解密系統(tǒng)中進(jìn)程讀寫時(shí)可信進(jìn)程驗(yàn)證。模塊303是可信進(jìn)程認(rèn)證的算法模塊��。
[0012]為進(jìn)一步描述本實(shí)施例的技術(shù)方案����,下面結(jié)合圖2對(duì)系統(tǒng)的工作方法和流程進(jìn)行說明:
步驟S101、最初由管理員指定可信進(jìn)程��,以后該可信進(jìn)程便具有了對(duì)文檔加密與解密的權(quán)限����。
[0013]步驟S102、用MD5算法計(jì)算管理員指定的可信進(jìn)程�����,該計(jì)算得到的值作為以后判定是否為可信進(jìn)程的一個(gè)標(biāo)準(zhǔn)����,同時(shí)將該值存放于服務(wù)器的策略庫(kù)中。
[0014]步驟S103��、當(dāng)計(jì)算機(jī)中的進(jìn)程啟動(dòng)時(shí)���,在驅(qū)動(dòng)程序中計(jì)算該進(jìn)程映像文件MD5值���,并與服務(wù)器策略庫(kù)中保存的MD5值逐一比對(duì),以此判斷該進(jìn)程是否為可信進(jìn)程��。對(duì)比成功則為可信進(jìn)程�。否則為不可信進(jìn)程。
[0015]步驟S104����、步驟3中進(jìn)程為可信進(jìn)程,則獲取該進(jìn)程對(duì)應(yīng)的PID (ProcessIdentifier),同時(shí)將PID保存于可信進(jìn)程PID鏈表中�。
[0016]步驟S105、當(dāng)計(jì)算機(jī)中的進(jìn)程讀寫文件時(shí)���,獲取此進(jìn)程的PID值����。
[0017]步驟S106、將步驟S105獲取的PID值與可信進(jìn)程PID鏈表對(duì)比���,以確定此進(jìn)程的PID是否位于該鏈表中���,如果查找成功則該進(jìn)程為可信進(jìn)程。
[0018]步驟S107���、通過步驟S106驗(yàn)證后��,可信進(jìn)程便可以正常加解密數(shù)據(jù)���。
[0019]步驟S108、當(dāng)計(jì)算機(jī)中有進(jìn)程關(guān)閉時(shí)��,再次獲取即將關(guān)閉進(jìn)程的PID��,同時(shí)在可信進(jìn)程PID鏈表中查詢是否存在此PID�����,若查找成功�����,則刪除該P(yáng)ID。
【附圖說明】
圖1是本發(fā)明系統(tǒng)工作架構(gòu)圖圖2是本發(fā)明系統(tǒng)工作流程圖�����。
【主權(quán)項(xiàng)】
1.一種可信進(jìn)程認(rèn)證方案�����,其特征在于�,包括策略制定與保存的策略庫(kù)模塊���、可信進(jìn)程PID鏈表維護(hù)模塊和可信進(jìn)程判定模塊�����。2.其中����,所述策略庫(kù)模塊����,用于制定和保存指定可信進(jìn)程的名稱與MD5值,并為客戶端提供查詢功能。3.所述可信進(jìn)程PID鏈表維護(hù)模塊�,用于保存通過可信進(jìn)程認(rèn)證的進(jìn)程PID,供文件讀寫時(shí)的可信進(jìn)程判定查詢��。4.所述可信進(jìn)程判定模塊�����,用于進(jìn)程讀寫文件時(shí)的可信進(jìn)程認(rèn)證����。5.根據(jù)權(quán)利要求1所述的策略庫(kù)模塊,其具體包括:策略制定單元:用于制定策略工作�����,完成可信進(jìn)程的MD5值計(jì)算��,可信進(jìn)程名稱的錄入����。6.策略存儲(chǔ)單元:用于保存制定的可信進(jìn)程MD5值,可信進(jìn)程名稱等��,為客戶端查詢功倉(cāng)泛����。
【專利摘要】本發(fā)明設(shè)計(jì)了高效可信進(jìn)程認(rèn)證方法�����,利用本方法可安全且有效的提高可信進(jìn)程認(rèn)證效率���。本發(fā)明通過下述技術(shù)方案予以實(shí)現(xiàn):在內(nèi)核驅(qū)動(dòng)中攔截啟動(dòng)的進(jìn)程并計(jì)算此進(jìn)程對(duì)應(yīng)可執(zhí)行文件的MD5值�����,并與服務(wù)器中管理員所指定的可信進(jìn)程MD5值做比較�,對(duì)比成功后把該進(jìn)程的PID存儲(chǔ)于可信進(jìn)程鏈表中。此后在進(jìn)程的讀寫過程中���,查詢進(jìn)程的PID是否位于可信進(jìn)程鏈表中��,以判斷是否為可信進(jìn)程���。
【IPC分類】G06F21/51
【公開號(hào)】CN105631310
【申請(qǐng)?zhí)枴緾N201410595808
【發(fā)明人】黃曉芳, 朱剛, 宋魯華
【申請(qǐng)人】黃曉芳
【公開日】2016年6月1日
【申請(qǐng)日】2014年10月30日