(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211269058.7 (22)申请日 2022.10.17 (71)申请人 中安网脉 （北京） 技 术股份有限公司 地址 100071 北京市丰台区五圈南路3 0号 院1号楼B座8-10层 (72)发明人 刘歆　余维伟　 (74)专利代理 机构 北京君有知识产权代理事务 所(普通合伙) 11630 专利代理师 焦丽雅 (51)Int.Cl. G06F 21/62(2013.01) G06F 21/53(2013.01) (54)发明名称 一种基于数据沙箱的文 件保护系统及方法 (57)摘要 本发明公开了一种基于数据沙箱的文件保 护系统及方法。 所述方法包括： S1、 检测目标应用 程序， 建立安全传输通道， 提交注册请求； S2、 服 务端注册终端应用， 生成数据保护密钥， 返回注 册结果； S3、 沙箱创建文件存储区， 绑定 数据保护 密钥； S4、 沙箱开启监控， 将注册 应用程序对文件 的操作限制在沙箱内部文件存储区中； 步骤S5、 沙箱采用加密方式保护文件存储区数据。 本发明 采用度量校验机制拦截非法应用程序访问沙箱 存储区文件， 采用文件映射及转向机制阻止沙箱 存储区文件导出到沙箱外部， 结合加密方式对文 件实施多重保护， 提升终端应用文件的安全保 障。 权利要求书2页 说明书6页 附图4页 CN 115329389 A 2022.11.11 CN 115329389 A 1.一种基于数据沙箱的文件保护系统， 其特征在于， 所述基于数据沙箱的文件保护系 统包括数据沙箱、 服 务端； 所述数据沙箱包括： 配置管理模块、 进程检测模块、 文件监控 模块、 数据处 理模块； 所述数据沙箱部署运行在终端设备 上； 所述服务端包括终端应用管理模块、 策略管理模块； 所述服务端部署运行在独立物理或虚拟环境中。 2.根据权利要求1所述的一种基于数据沙箱的文件保护系统， 其特征在于， 所述配置管 理模块用于管理注 册应用和沙箱存 储区文件， 以及实时更新 服务端配置的访问控制策略； 所述进程检测模块用于计算并校验应用程序 度量值； 所述文件监控模块用于保护 沙箱存储区文件进出， 通过文件目录映射与转向机制实现 文件隔离； 所述数据处理模块处于文件监控模块下层， 用于通过加密方式保护注册应用程序对应 存储区中的数据。 3.根据权利要求1所述的一种基于数据沙箱的文件保护系统， 其特征在于， 所述终端应 用管理模块用于注册、 查看、 注销终端应用； 所述策略管理模块用于配置终端应用文件的访 问控制策略。 4.一种基于数据沙箱 的文件保护方法， 用于如权利要求1 ‑3任一项所述的基于数据沙 箱的文件保护系统， 其特 征在于， 所述基于数据沙箱的文件保护方法包括下列步骤： S1、 检测目标应用程序， 建立 安全传输通道， 提交注 册请求； S2、 服务端注册终端应用， 生成数据保护密钥， 返回注 册结果； S3、 沙箱创建文件 存储区， 绑定数据保护密钥； S4、 沙箱开启监控， 将注 册应用程序对文件的操作限制在沙箱内部文件 存储区中； 步骤S5、 沙箱采用加密方式保护文件 存储区数据。 5.根据权利要求4所述的一种基于数据沙箱的文件保护方法， 其特征在于， 所述步骤S1 包括： S11、 通过沙箱配置管理模块提供的管理配置界面选定沙箱应用程序， 调用进程检测模 块计算应用程序 度量值； S12、 设置 沙箱应用管理密码， 用于将应用涉及的文件导出沙箱存 储区； S13、 与服 务端建立 安全传输通道， 采用S SL加密通信方式， 提交注 册请求数据。 6.根据权利要求4所述的一种基于数据沙箱的文件保护方法， 其特征在于， 所述步骤S2 包括： S21、 依据终端沙箱 注册请求， 创建终端应用管理节点； S22、 服务端采用对称算法创建16字节对称密钥作为应用存储区数据加解密的保护密 钥， 并使用终端提交的非对称密钥对 对称密钥数据进行加密保护； S23、 配置访问控制策略， 包括设置文件导出权限、 设置非保护的目录、 非保护的指定格 式文件； S24、 反馈注册结果给终端沙箱， 其中所述注册结果包括被非对称密钥加密的对称密钥 数据、 访问控制策略、 文件 存储区标识、 应用程序 度量值。 7.根据权利要求4所述的一种基于数据沙箱的文件保护方法， 其特征在于， 所述步骤S3权　利　要　求　书 1/2 页 2 CN 115329389 A 2包括： S31、 解析服务端反馈的注册结果， 根据文件存储区标识创建对应的文件存储区， 各文 件存储区之间是相互隔离、 不可 见的， 且沙箱内部所有 文件存储区对终端系统不可 见； S32、 解析服务端反馈的注册结果， 将数据保护密钥与文件存储区进行关联， 其中数据 保护密钥存 储在文件 存储区内， 对外不可 见。 8.根据权利要求4所述的一种基于数据沙箱的文件保护方法， 其特征在于， 所述步骤S4 包括： S41、 在文件存储区中构建与终端系统目录的映射关系， 使得终端系统目录与文件存储 区目录相关联； S42、 对应用程序进程进行监控， 计算校对应用程序度量值， 将注册应用程序与对应存 储区进行关联记录； S43、 根据 步骤S41中所述的目录映射关系以及步骤S42中所述的关联记录， 沙箱向注册 应用程序返回文件存储区中已存在的对应文件位置， 使得注册应用程序直接操作沙箱文件 存储区中的文件。 9.根据权利要求8所述的一种基于数据沙箱的文件保护方法， 其特征在于， 所述步骤 S43包括： S431、 注册应用程序枚举文件， 将沙箱文件存储区中的文件条目与终端系统中的文件 条目合并返回给注 册应用程序； S432、 注册应用程序创建文件， 沙箱向注册应用程序返回文件存储区中的文件位置， 使 得注册应用程序直接操作沙箱文件 存储区中的文件； S433、 注册应用程序读写文件时， 如果文件属于非保护的文件或者属于非保护目录下， 则不返回沙箱存 储区中的文件路径给注 册应用程序； S434、 注册应用程序写入文件时， 如果沙箱存储区中不存在对应文件， 则在沙箱文件存 储区中创建对应目录及文件， 将外部文件已有数据拷贝进沙箱文件存储区中的文件， 将数 据只写入到 沙箱存储中的文件中； S435、 如果沙箱文件存储区中存在对应的文件， 则注册应用程序对文件删除、 更名操作 时， 将终端系统同时存在的文件删除， 并向注册应用程序返回文件存储区中对应的文件位 置， 使得注 册应用程序直接操作沙箱文件 存储区中的文件。 10.根据权利要求4所述的一种基于数据沙箱 的文件保护方法， 其特征在于， 所述步骤 S5包括： 步骤S51、 注册应用往存储区写入文件时， 数据处理单元使用SM4对称密钥对写入存储 区的数据进行加密， 加密操作对于所述操作步骤S4透明， 对于注 册应用程序透明； 步骤S52、 注册应用读取存储区中文件数据 时， 数据处理单元使用SM4对称密钥对存储 区的数据进行解密， 将解密后的数据返回给注册应用程序， 解密操作对于所述操作步骤S4 透明， 对于注 册应用程序透明。权　利　要　求　书 2/2 页 3 CN 115329389 A 3