一种文件保护方法、装置、设备及存储介质与流程

1.本发明涉及信息安全技术领域，特别涉及一种文件保护方法、装置、设备及存储介质。


背景技术：

2.电脑系统上存在各式各样电子文件要防止被窃取，例如机密文档、个人隐私文件，一些文件要防止病毒的入侵感染，如系统文件和一些软件运行的必要文件。在现有技术中，通过动态移动被保护的文档内容来达到保护的目的：对文件内容设置保护模式，设置一个替代性内容；未授权访问时，将替代性内容放置在文件中提供给访问者；已授权访问时，将原内容放置在文件中提供给访问者。通过对文件加解密的方式来保护文件：对文件进行加密处理并存储在磁盘上；未授权访问时，看到文件是密文形式或无法打开该文件；已授权访问时，看到文件是明文形式。通过采用沙盒技术保护文件：将被保护的文件放入沙盒运行，所有操作将被重定向到一个影子系统中，不会更改和破坏系统上的实际文件。通过文件授权访问控制技术保护文件：在文件被访问时，检测访问主体授权；未授权访问时，拒绝所有访问操作；已授权访问，允许所有访问操作。
3.这些方法分别存在如下缺点：移动文件内容，或对文件本身的任何操作容易被第三方监测工具发现，当被保护的文档内容超大时，对于系统性能会造成很大的影响，只能保护文档类型，无法保护其他非文档文件，比如音频，视频，图片，进程文件等等，无法防止病毒文件对该文件的恶意破坏，被保护的文件在磁盘上未加密，安全性较低；保护方式单一，无法阻止病毒的恶意破坏，容易造成重要文件的损坏，当攻击者看到密文文件，或访问文件失败时，会明确告诉攻击者这个文件是重要的被保护的文件，反而明确了攻击目标，促使攻击者进一步破解行为的发生；沙盒虽然可以防止文件被不信任程序破坏，但是并不能保证文档内容不泄密，攻击者在访问文件时，虽然被重定向到了影子系统中，但是首次访问文件时依然可以看到文件的原内容，被保护的文件在磁盘上未加密，安全性较低，沙盒技术更倾向于防御未知进程所带来的系统威胁，并不是保护文件的访问安全；访问控制技术往往会直接拒绝攻击者的访问操作，很容易暴露敏感文件的详细位置，会促使攻击者进一步实施破解行为，若攻击者尝试访问被保护文件失败后放弃继续攻击，很难留下攻击的痕迹，可能无法被察觉文件被攻击过的事实，无法及时发现潜在的威胁。


技术实现要素：

4.有鉴于此，本发明的目的在于提供一种文件保护方法、装置、设备和存储介质，能够防止文件被窃取、被篡改，提高文件的安全性。其具体方案如下：
5.第一方面，本技术公开了一种文件保护方法，包括：
6.接收目标文件访问请求，利用预设身份认证算法判断所述目标文件访问请求是否被授权访问目标文件；
7.若未被授权访问所述目标文件，则将所述目标文件访问请求重定向至与所述目标
文件对应的影子文件；
8.若已授权访问所述目标文件，则直接获取所述目标文件。
9.可选的，所述接收目标文件访问请求之前，还包括：
10.接收所述目标文件；
11.对所述目标文件进行第一文件过滤驱动，以便利用透明加解密方法将所述目标文件进行加密，以得到加密后文件；
12.将所述加密后文件存储在磁盘中，以便当直接对所述磁盘进行读取操作时无法获取所述目标文件的内容。
13.可选的，所述接收目标文件访问请求之前，还包括：
14.创建影子文件，并将所述影子文件与所述目标文件建立对应关系；其中，所述影子文件的类型与所述目标文件的类型相同，所述目标文件的类型包含文档类型、图片类型、视频类型、音频类型以及可执行程序类型。
15.可选的，所述将所述影子文件与所述目标文件建立对应关系之后，还包括：
16.对用于存储全部所述影子文件的目录进行第二文件过滤驱动，以对所述目录进行隐藏。
17.可选的，所述利用预设身份认证算法判断所述目标文件访问请求是否被授权访问目标文件，包括：
18.利用预设身份认证算法验证进程程序和/或当前用户身份；
19.当验证通过则判定所述目标文件访问请求已被授权访问目标文件；
20.当验证失败则判定所述目标文件访问请求未被授权访问目标文件。
21.可选的，所述若未被授权访问所述目标文件，则将所述目标文件访问请求重定向至与所述目标文件对应的影子文件之后，还包括：
22.将每次未授权访问所述影子文件的信息记录在日志中；
23.若所述影子文件中的内容被篡改，则将所述篡改信息记录在所述日志中，以便基于所述影子文件与所述日志对所述未授权访问进行溯源操作。
24.可选的，所述将所述目标文件访问请求重定向至与所述目标文件对应的影子文件之后，还包括：
25.生成预警信息，并将所述预警信息发送至系统用户；所述预警信息包含弹窗、报警。
26.第二方面，本技术公开了一种文件保护装置，包括：
27.请求接收模块，用于接收目标文件访问请求；
28.判断模块，用于利用预设身份认证算法判断所述目标文件访问请求是否被授权访问目标文件；
29.重定向模块，用于若未被授权访问所述目标文件，则将所述目标文件访问请求重定向至与所述目标文件对应的影子文件；
30.文件获取模块，用于若已授权访问所述目标文件，则直接获取所述目标文件。
31.第三方面，本技术公开了一种电子设备，包括：
32.存储器，用于保存计算机程序；
33.处理器，用于执行所述计算机程序，以实现如前述公开的文件保护方法的步骤。
34.第四方面，本技术公开了一种计算机可读存储介质，用于存储计算机程序；其中，所述计算机程序被处理器执行时实现如前述公开的文件保护方法。
35.可见，本技术提供了一种文件保护方法，包括：接收目标文件访问请求，利用预设身份认证算法判断所述目标文件访问请求是否被授权访问目标文件；若未被授权访问所述目标文件，则将所述目标文件访问请求重定向至与所述目标文件对应的影子文件；若已授权访问所述目标文件，则直接获取所述目标文件。由此可见，本技术在接收到目标文件访问请求时，先对当前请求进行身份认证，只有当身份认证通过时才可以访问到正确的文件，若身份认证失败，则所述目标文件访问请求会被重定向至与所述目标文件对应的影子文件，获取到预设的影子文件内容，从而保护目标文件，防止文件被窃取、被篡改，提高了文件的安全性。
附图说明
36.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
37.图1为本技术公开的一种文件保护方法流程图；
38.图2为本技术公开的一种具体的文件保护方法示意图；
39.图3为本技术公开的一种具体的文件保护方法流程图；
40.图4为本技术提供的文件保护装置结构示意图；
41.图5为本技术提供的一种电子设备结构图。
具体实施方式
42.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
43.目前，电脑系统上存在各式各样电子文件要防止被窃取，例如机密文档、个人隐私文件，一些文件要防止病毒的入侵感染，如系统文件和一些软件运行的必要文件。为此，本技术提供了一种文件保护方法，能够防止文件被窃取、被篡改，提高文件的安全性。
44.本发明实施例公开了一种文件保护方法，参见图1所示，该方法包括：
45.步骤s11：接收目标文件访问请求，利用预设身份认证算法判断所述目标文件访问请求是否被授权访问目标文件。
46.本实施例中，接收到目标文件访问请求，先利用预设身份认证算法判断所述目标文件访问请求是否被授权访问目标文件。可以理解的是，利用预设身份认证算法判断所述目标文件访问请求是否被授权访问目标文件，可以结合任意认证模块。只有被授权访问时，才可以访问到目标文件实际位置，若没有被授权将会访问到影子文件，并且从用户体验看没有任何异样。需要指出的是，预设身份认证算法可以是rsa(rivest-shamir-adleman，一种加密算法)证书、国密算法sm2(椭圆曲线公钥密码算法)、或其他身份认证加密算法。
47.在接收目标文件访问请求之前，接收所述目标文件，并对所述目标文件进行第一文件过滤驱动，以便利用透明加解密方法将所述目标文件进行加密，以得到加密后文件，然后将所述加密后文件存储在磁盘中，以便当直接对所述磁盘进行读取操作时无法获取所述目标文件的内容。具体的，目标文件在写入磁盘时，会经过第一文件过滤驱动，通过透明加解密将目标文件的文件进行加密，得到加密后文件，再将所述加密后文件存储在所述磁盘。若攻击者在不进入系统直接对磁盘进行读取的话，可以保证机密文档不泄密，进一步加强了文件的保密性。可以理解的是，上述加密过程对通过预设身份认证算法验证的用户不显示，即上述加密过程对上层用户不可见。若当前用户通过验证，则直接读取到目标文件的明文，而不是加密后文件，当验证通过时磁盘会自动解密所述加密后文件，并将所述目标文件的明文直接显示给当前用户。
48.可以理解的是，身份认证的方法包括：通过密码方式进行验证，多用于网站，软件账号登录等；采用非对称加密算法中证书方式，或公私密钥验证签名方式来验证身份；身份验证的主体可以是用户，也可以是一个进程。通过文件访问控制技术判断授权，具体的，通过判断授权决定是否允许或阻止一个文件被访问的行为，该技术被广泛应用在计算机各种领域中。文件过滤驱动技术为一种针对文件访问行为过滤的内核代码框架技术。
49.步骤s12：若未被授权访问所述目标文件，则将所述目标文件访问请求重定向至与所述目标文件对应的影子文件。
50.本实施例中，利用预设身份认证算法判断所述目标文件访问请求是否被授权访问目标文件，若未被授权访问所述目标文件，则将所述目标文件访问请求重定向至与所述目标文件对应的影子文件。可以理解的是，若未被授权则会被重定向至影子文件，并且从用户体验看没有任何异样。上述操作是无感且透明的，文件没有被移动、拷贝，因此不易被第三方监测工具发现。通过影子文件诱导访问的方式来欺骗攻击者，从而保护目标文件。
51.可以理解的是，文件访问重定向技术即为将文件的访问操作重定向到另外一个地方，从而保护原文件，一般应用在沙盒和容器中。
52.步骤s13：若已授权访问所述目标文件，则直接获取所述目标文件。
53.本实施例中，利用预设身份认证算法判断所述目标文件访问请求是否被授权访问目标文件，若已授权访问所述目标文件，则直接获取所述目标文件。可以理解的是，只有被授权访问时才可以访问到目标文件的实际位置。
54.如图2所示，被保护的目标文件为文件a，影子文件为文件b，接收目标文件访问请求并利用预设身份认证算法判断所述目标文件访问请求是否被授权访问目标文件之后，若是未授权访问，则将所述目标文件访问请求重定向至与所述目标文件对应的影子文件，即实际访问的是文件b的内容，但在系统中显示为访问文件a；若是已授权访问，则直接访问文件a。其中，文件a会通过无感的透明加解密技术存储在磁盘上。可以理解的是，无论身份认证是否通过，在系统中均显示访问目标文件，但根据身份验证的结果显示对应的文件内容。文件加解密为对文件存储进行加密，读取文件时进行解密；文件透明解密技术为在文件加解密的基础上，将加解密的过程隐藏透明化，让用户使用时感觉不到加解密的存在，在使用上更便捷。
55.可见，本技术提供了一种文件保护方法，包括：接收目标文件访问请求，利用预设身份认证算法判断所述目标文件访问请求是否被授权访问目标文件；若未被授权访问所述
目标文件，则将所述目标文件访问请求重定向至与所述目标文件对应的影子文件；若已授权访问所述目标文件，则直接获取所述目标文件。由此可见，本技术在接收到目标文件访问请求时，先对当前请求进行身份认证，只有当身份认证通过时才可以访问到正确的文件，若身份认证失败，则所述目标文件访问请求会被重定向至与所述目标文件对应的影子文件，获取到预设的影子文件内容，从而保护目标文件，防止文件被窃取、被篡改，提高了文件的安全性。
56.参见图3所示，本发明实施例公开了一种文件保护方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。
57.步骤s21：创建影子文件，并将所述影子文件与所述目标文件建立对应关系。
58.本实施例中，将目标文件存储在磁盘后，创建影子文件，并将所述影子文件与所述目标文件建立对应关系。可以理解的是，对目标文件或目标文件夹创造一个影子文件(或影子文件夹)，所述目标文件的类型包含文档类型、图片类型、视频类型、音频类型以及可执行程序类型，然后将所述影子文件与所述目标文件建立对应关系，以便获取其中一项时可以根据上述对应关系确定另外一项。
59.步骤s22：对用于存储全部所述影子文件的目录进行第二文件过滤驱动，以对所述目录进行隐藏。
60.本实施例中，将所述影子文件与所述目标文件建立对应关系之后，对用于存储全部所述影子文件的目录进行第二文件过滤驱动，以对所述目录进行隐藏。可以理解的是，在创建所述影子文件时，直接将全部所述影子文件集中创建在一个隐藏目录中(类似沙盒原理)，然后通过第二文件过滤驱动对上述目录做隐藏处理。
61.步骤s23：接收目标文件访问请求。
62.步骤s24：利用预设身份认证算法验证进程程序和/或当前用户身份。
63.本实施例中，接收目标文件访问请求之后，利用预设身份认证算法验证进程程序和/或当前用户身份。可以理解的是，授权的主体可以是进程程序，也可以是一个用户，或是两种结合的方式。例如，采用进程和用户双重身份验证时，当用户用已授权进程浏览操作目标文件时，被第三方病毒程序入侵，在该病毒在试图感染文件时，用户的正常浏览操作不会受到任何影响，但是病毒程序的攻击行为已被诱导，将该病毒程序的攻击重定向至影子文件，从而保护目标文件。当验证通过则判定所述目标文件访问请求已被授权访问目标文件，直接获取所述目标文件。
64.步骤s25：将所述目标文件访问请求重定向至与所述目标文件对应的影子文件。
65.本实施例中，当验证失败则判定所述目标文件访问请求未被授权访问目标文件，然后将所述目标文件访问请求重定向至与所述目标文件对应的影子文件。通过本方案，攻击者无法获取被保护文件的实际位置，并且无法发现该文件为被保护文件，降低了机密文档被泄密的风险，保障了文件不被损坏、提高了文件的安全性。
66.步骤s26：将每次未授权访问所述影子文件的信息记录在日志中。
67.本实施例中，将所述目标文件访问请求重定向至与所述目标文件对应的影子文件之后，若所述影子文件中的内容被篡改，则将所述篡改信息记录在所述日志中，以便基于所述影子文件与所述日志对所述未授权访问进行溯源操作。即所有未授权的影子文件的访问行为与攻击行为(例如篡改信息)都会记录在日志中。可以理解的是，当影子文件被访问或
篡改时，系统会记录日志并留底，在追查攻击来源时，日志既可以为溯源提供有力的数据，并且保证了文件的安全，同时不会影响正在运行的已授权进程和用户的使用体验。
68.例如，一款软件在用户未授权时扫描了本地磁盘被保护的照片文件并偷偷上传，该软件不会有任何报错，会使的当前未授权的用户认为扫描成功，但实际上当前未授权的用户扫描的是影子文件，并且他的所有未授权访问行为都会及时通知系统用户。
69.步骤s27：生成预警信息，并将所述预警信息发送至系统用户。
70.本实施例中，将每次未授权访问所述影子文件的信息记录在日志中之后，生成预警信息，并将所述预警信息发送至系统用户。可以理解的是，所有对该文件的攻击行为都会产生预警和记录，所述预警信息包含弹窗、报警。无论是访问目标文件还是影子文件，都不需要任何的文件拷贝移动等操作，因此系统性能开销较小，不易被第三方监测程序发现。
71.关于上述步骤s23的具体内容可以参考前述实施例中公开的相应内容，在此不再进行赘述。
72.可见，创建影子文件，并将所述影子文件与所述目标文件建立对应关系；对用于存储全部所述影子文件的目录进行第二文件过滤驱动，以对所述目录进行隐藏；接收目标文件访问请求；利用预设身份认证算法验证进程程序和/或当前用户身份；将所述目标文件访问请求重定向至与所述目标文件对应的影子文件；将每次未授权访问所述影子文件的信息记录在日志中；生成预警信息，并将所述预警信息发送至系统用户。本方案通过多种文件保护技术手段相结合(重定向、身份验证、加解密)，让文件保护方式更安全、隐蔽、透明，防止文件被窃取、被篡改，提高了文件的安全性。
73.参见图4所示，本技术实施例还相应公开了一种文件保护装置，包括：
74.请求接收模块11，用于接收目标文件访问请求；
75.判断模块12，用于利用预设身份认证算法判断所述目标文件访问请求是否被授权访问目标文件；
76.重定向模块13，用于若未被授权访问所述目标文件，则将所述目标文件访问请求重定向至与所述目标文件对应的影子文件；
77.文件获取模块14，用于若已授权访问所述目标文件，则直接获取所述目标文件。
78.可见，本技术包括：接收目标文件访问请求，利用预设身份认证算法判断所述目标文件访问请求是否被授权访问目标文件；若未被授权访问所述目标文件，则将所述目标文件访问请求重定向至与所述目标文件对应的影子文件；若已授权访问所述目标文件，则直接获取所述目标文件。由此可见，本技术在接收到目标文件访问请求时，先对当前请求进行身份认证，只有当身份认证通过时才可以访问到正确的文件，若身份认证失败，则所述目标文件访问请求会被重定向至与所述目标文件对应的影子文件，获取到预设的影子文件内容，从而保护目标文件，防止文件被窃取、被篡改，提高了文件的安全性。
79.在一些具体实施例中，所述请求接收模块11，具体包括：
80.目标文件接收单元，用于接收所述目标文件；
81.目标文件加密单元，用于对所述目标文件进行第一文件过滤驱动，以便利用透明加解密方法将所述目标文件进行加密，以得到加密后文件；
82.加密后文件存储单元，用于将所述加密后文件存储在磁盘中，以便当直接对所述磁盘进行读取操作时无法获取所述目标文件的内容；
83.影子文件创建单元，用于创建影子文件；
84.对应关系建立单元，用于将所述影子文件与所述目标文件建立对应关系；其中，所述影子文件的类型与所述目标文件的类型相同，所述目标文件的类型包含文档类型、图片类型、视频类型、音频类型以及可执行程序类型；
85.目录隐藏单元，用于对用于存储全部所述影子文件的目录进行第二文件过滤驱动，以对所述目录进行隐藏；
86.请求接收单元，用于接收目标文件访问请求。
87.在一些具体实施例中，所述判断模块12，具体包括：
88.身份认证单元，用于利用预设身份认证算法验证进程程序和/或当前用户身份；
89.验证通过单元，用于当验证通过则判定所述目标文件访问请求已被授权访问目标文件；
90.验证失败单元，用于当验证失败则判定所述目标文件访问请求未被授权访问目标文件。
91.在一些具体实施例中，所述重定向模块13，具体包括：
92.重定向单元，用于若未被授权访问所述目标文件，则将所述目标文件访问请求重定向至与所述目标文件对应的影子文件；
93.信息记录单元，用于将每次未授权访问所述影子文件的信息记录在日志中；
94.溯源单元，用于若所述影子文件中的内容被篡改，则将所述篡改信息记录在所述日志中，以便基于所述影子文件与所述日志对所述未授权访问进行溯源操作；
95.预警信息生成单元，用于生成预警信息，并将所述预警信息发送至系统用户；所述预警信息包含弹窗、报警。
96.在一些具体实施例中，所述文件获取模块14，具体包括：
97.目标文件获取单元，用于若已授权访问所述目标文件，则直接获取所述目标文件。
98.进一步的，本技术实施例还提供了一种电子设备。图5是根据一示例性实施例示出的电子设备20结构图，图中的内容不能认为是对本技术的使用范围的任何限制。
99.图5为本技术实施例提供的一种电子设备20的结构示意图。该电子设备20，具体可以包括：至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中，所述存储器22用于存储计算机程序，所述计算机程序由所述处理器21加载并执行，以实现前述任一实施例公开的文件保护方法中的相关步骤。另外，本实施例中的电子设备20具体可以为电子计算机。
100.本实施例中，电源23用于为电子设备20上的各硬件设备提供工作电压；通信接口24能够为电子设备20创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本技术技术方案的任意通信协议，在此不对其进行具体限定；输入输出接口25，用于获取外界输入数据或向外界输出数据，其具体的接口类型可以根据具体应用需要进行选取，在此不进行具体限定。
101.另外，存储器22作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，其上所存储的资源可以包括操作系统221、计算机程序222等，存储方式可以是短暂存储或者永久存储。
102.其中，操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序
222，其可以是windows server、netware、unix、linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的文件保护方法的计算机程序之外，还可以进一步包括能够用于完成其他特定工作的计算机程序。
103.进一步的，本技术实施例还公开了一种存储介质，所述存储介质中存储有计算机程序，所述计算机程序被处理器加载并执行时，实现前述任一实施例公开的文件保护方法步骤。
104.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
105.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
106.以上对本发明所提供的一种文件保护方法、装置、设备及存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。