[发明专利]一种基于Linux内核的文档安全访问控制方法和装置

权利要求书

1.一种基于Linux内核的文档安全访问控制方法，其特征在于，Linux系统包含一个预处理模块，所述预处理模块的注册信息被写入启动脚本，所述方法包括：

Linux系统启动时，Linux内核读取所述启动脚本注册信息，向Linux内核注册所述预处理模块；读取启动程序信息，并启动策略加载模块；其中，所述预处理模块，运行在Linux内核态；

所述预处理模块启动后向虚拟文件系统VFS注册安全文件系统，然后注册监听端口；

策略加载模块从本地读取一个安全策略文件，创建安全策略，发送给预处理模块监听端口；

预处理模块接收所述安全策略，在内存创建安全策略供安全文件系统使用；

在文件被应用程序进程访问时，安全文件系统根据所述安全策略调用本地文件系统完成文件数据的操作。

2.如权利要求1所述的方法，其特征在于，所述安全策略包括：

安全文件系统需挂载的目录路径，授权应用程序进程名称和安全处理措施。

3.如权利要求2所述的方法，其特征在于，所述预处理模块接收所述安全策略，在内存创建安全策略供安全文件系统使用；在文件被应用程序进程访问时，安全文件系统根据所述安全策略调用本地文件系统完成文件数据的操作，具体包括：

预处理模块接收所述安全策略，将安全文件系统挂载至安全策略指定的目录路径，在内存创建安全策略供安全文件系统使用；

安全文件系统在其挂载的目录路径下的文件被应用程序进程访问时，根据所述安全策略调用本地文件系统完成文件数据的操作。

4.如权利要求1-3任一所述的方法，其特征在于，所述安全处理措施具体为：进行文件数据的加密处理。

5.如权利要求1-4任一所述的方法，其特征在于，所述访问具体包括：

文件的创建、文件的读取或文件的改写。

6.如权利要求1-5任一所述的方法，其特征在于，所述根据所述安全策略调用本地文件系统完成文件数据的操作，具体包括：

当所述操作为写文件时，所述安全文件系统按照安全策略处理待写入的数据，然后调用本地文件系统写入处理过的数据。

7.如权利要求1-6任一所述的方法，其特征在于，所述根据所述安全策略调用本地文件系统完成文件数据的操作，具体包括：

当所述操作为读文件时，所述安全文件系统调用本地文件系统读出数据，按照安全策略处理所述读出的数据，然后返回给发起所述读文件操作的应用程序。

8.如权利要求1-7任一所述的方法，其特征在于，所述方法还包括：

若安全策略不允许应用程序进程访问本地文件系统的文件数据时，则返回权限错误。

9.如权利要求1-8任一所述的方法，其特征在于，所述启动策略加载模块的启动程序信息，由操作人员以管理员权限事先添加到所述启动脚本中。

10.一种基于Linux内核的文档安全访问控制装置，其特征在于，包括存储器、输入输出接口、处理器和显示设备，具体的：

所述存储器，用于存储在所述处理器中执行的程序代码，包括所述Linux内核的代码、所述预处理加载模块代码、所述策略加载模块代码和所述安全系统代码；

所述处理器，用于运行所述存储器中存储的程序代码，并完成如权利要求1-9任一所述的方法；

所述输入输出接口，用于提供操作人员与所述Linux系统交互的接口；

所述显示设备，用于将运行结果显示给所述操作人员。