CN103778384B - 一种基于身份认证的虚拟终端安全环境的保护方法及*** - Google Patents
一种基于身份认证的虚拟终端安全环境的保护方法及*** Download PDFInfo
- Publication number
- CN103778384B CN103778384B CN201410062426.XA CN201410062426A CN103778384B CN 103778384 B CN103778384 B CN 103778384B CN 201410062426 A CN201410062426 A CN 201410062426A CN 103778384 B CN103778384 B CN 103778384B
- Authority
- CN
- China
- Prior art keywords
- data
- module
- storage
- access
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/188—Virtual file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于身份认证的虚拟终端安全环境的保护方法及***,该***包括:智能存储监控层、存储服务层、核心安全层,其中,智能存储监控层包括存储访问重定向模块;智能监控层负责监控并分析应用程序的数据访问行为,根据配置规则执行动作,所述存储访问重定向模块根据访问控制规则将I/0访问转移;存储服务层负责对文件或数据进行加密或者解密操作,记录文件映射关系;核心安全层是整个架构的基础,提供密钥管理功能,为存储服务层提供加解密支撑,根据需求调度不同算法,通过本发明,可保护核心应用数据安全,防止数据泄密,实现环境内外数据隔离,互不影响,并且对用户操作习惯无影响。
Description
技术领域
本发明涉及数据安全领域,尤其涉及一种基于身份认证的虚拟终端安全环境的保护方法及
***。
背景技术
由于手机等智能终端应用的越来越广泛,对智能终端上数据的保护也显得越来越紧迫。比如,近几年,随着移动网络的迅速发展和壮大,移动警务也有了更大的舞台,由于其职业特殊性,要求网络有更好的安全性。移动网络,对于大家来说是一个开放的环境,任何人都可以截获其他人的信息。因此,大家都着重于链路和接入安全,往往忽视本地的应用安全及数据的安全,一旦移动设备遗失或过失就会造成重大后果。目前,市场上已经出现了一些类似沙箱技术的手机应用,如下所述:
A、手机沙箱软件,可以设置不同模式和应用布局,进入不同模式,只能使用设定应用,退出后对手机真实环境无影响。
如图1所示,其展示了手机沙箱技术的数据保护流程,具体包括:
1)手机上启动沙箱环境;
2)进入沙箱后,监管***各种I/O操作;
3)对写入存储的数据进行重定向操作,以此实现对真实数据的保护;
4)当数据处理完成后,退出沙箱环境,撤销***I/O,监管;
5)判断是否保留沙箱中的数据;
6)如果保留,则将数据保存至存储设备,结束流程;
7)如果不保留,则清理数据,结束流程。
B、手机安全类软件的隐私保护功能,可以将有关个人数据拉入保险箱,进入保险箱的数据,在保险箱外部不可见,只能在保险箱中操作里面的数据。
如图2所示,其展示了隐私保护技术的数据保护流程,具体包括:
1)手机进入封闭安全环境;
2)将环境外的数据放入环境内自动加密并清除原始数据;
3)查看、修改、保存环境内的数据;
4)退出封闭安全环境;
5)结束流程
但上述技术都存在一些缺点:
A、针对沙箱技术,数据不能留存在环境内部,不能对数据进行保护处理,有数据泄密风险。
B、针对隐私保护技术,数据的加入都是人为操作,不提供针对实际应用程序所产生数据的保护。
发明内容
本发明从实际需求和应用的角度出发,构建一个基于身份认证的虚拟终端安全环境保护***,在环境内部可以针对某些应用产生的数据进行自动加密处理,也可以手动选择某些数据进行加密处理;环境内部产生的数据只能在内部使用,在外部不可见或不可使用;环境内部可以使用环境外部数据,环境外部数据不能使用环境内部数据,相互之间互不影响。
为解决上述技术问题,本发明提出了一种基于身份认证的虚拟终端安全环境保护***,该***包括:智能存储监控层、存储服务层、核心安全层;所述智能存储监控层包括应用数据访问监测模块、存储访问重定向模块和应用数据访问控制模块,应用程序对存储设备的读写请求会被所述应用数据访问监测模块捕获,然后将应用程序的读写请求发送到所述应用数据访问控制模块进行分析处理,所述应用数据访问控制模块根据配置好的访问控制规则,匹配应用程序的数据访问行为,针对需要处理的数据访问,通过所述存储访问重定向模块改变原有的下发路径,发送到所述存储服务层处理;
所述存储服务层负责处理智能监控层传递下来的数据读写请求,向所述核心安全层发送文件或数据的加密或者解密操作请求,记录文件映射关系;
所述核心安全层,为存储服务层提供加解密支撑,根据需求调度不同算法,其接收所述存储服务层传递过来的数据加密或解密请求,执行对数据的加密或解密操作,并将操作结果返回给所述存储服务层。
进一步的,所述存储服务层包括虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块,当数据读写请求到达所述存储服务层时,首先分析数据访问类型,根据不同的访问类型,分别投递到所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块进行处理。
进一步的,所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块处理针对文件、数据库和内存的数据读写请求,所述三个模块对所述数据访问的具体处理为:当请求读取数据时,将调用所述核心安全层提供的服务进行解密数据操作,当请求写入数据时,调用所述核心安全层提供的服务进行数据加密操作。
进一步的,所述核心安全层包括加解密引擎模块、算法库支持模块和密钥管理模块,所述加解密引擎模块负责分析来自上层的请求,根据请求调度所述算法库支持模块和密钥管理模块,完成数据的加密或解密操作,其中,所述算法库支持模块实现数据加解密的算法,所述密钥管理模块实现不同算法的密钥管理,为所述加解密引擎模块提供支撑。
进一步的,所述应用数据访问监测模块包括:应用程序签名分析和比对模块和应用程序签名库,其中应用程序签名库存储需要控制的应用程序的签名;
所述应用数据访问控制模块包括:应用存储访问监测模块和应用访问控制模块;
该***通过存储访问重定向技术接管应用程序的存储读写访问操作,根据设置的访问控制规则,改变存储读写访问,将存储读写访问请求定向到指定区域,避免影响***之外的数据结构,其具体实现过程如下:
所述应用程序签名分析和比对模块提取应用程序的签名,将提取的签名与所述应用程序签名库中的数据进行匹配,如果存在匹配数据,则将应用程序的数据读写请求发送到所述应用存储访问监测模块进行处理;
当所述应用存储访问监测模块接收到所述应用程序签名分析和比对模块传递下来的数据读写请求时,调用所述应用访问控制模块,分析数据读写控制策略,将需要控制的数据读写请求传递到所述存储访问重定向模块进行处理;
所述应用访问控制模块,根据应用程序的签名,分析、匹配与其对应的应用访问控制策略,并将访问控制策略返回给所述应用存储访问监测模块;
所述存储访问重定向模块,接收满足访问控制策略的数据读写请求,交由加密存储服务模块进行处理,完成数据的加密或解密处理后,将操作结果返回给上层进行处理。
进一步的,所述虚拟文件加密服务模块包括:文件透明存储加密服务模块、虚拟文件映射管理模块、虚拟文件访问模块;
所述存储服务层根据环境配置,将重定向的数据读写操作建立与原始路径的映射关系,形成虚拟文件,所述虚拟文件的路径与真实文件的路径不一样,虚拟文件的读写访问会根据设定的规则调用所述加解密引擎模块,进行加密或者解密操作,保证写到物理存储设备上的数据安全,具体步骤如下:
所述文件透明存储加密服务模块,接收所述访问存储重定向模块发送过来的数据读写请求,向所述虚拟文件映射管理模块发送数据读写请求,并将处理结果返回;
所述虚拟文件映射管理模块,将数据读写请求的原始文件,与存储设备上的真实文件建立映射关系,下发数据读写请求;
所述虚拟文件访问模块,接收数据读写请求,调用所述加解密引擎模块,将数据进行加密或解密操作,向上层返回解密数据,向下层提供加密处理后的数据;
所述加解密引擎模块,负责调度所述算法库支持模块和密钥管理模块,对数据进行加密或者解密操作,将结果返回给所述虚拟文件访问模块;
物理文件访问模块,根据数据读写请求,向存储设备写入数据,或者从存储设备读取数据并返回给所述加解密引擎模块。
为解决上述技术问题,本发明提出了一种基于身份认证的虚拟终端安全环境的保护方法,应用于虚拟终端安全环境保护***中,该***包括:智能存储监控层、存储服务层、核心安全层;所述智能存储监控层包括应用数据访问监测模块、存储访问重定向模块和应用数据访问控制模块,所述存储服务层包括虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块,所述核心安全层包括密钥管理模块、加解密引擎模块和算法库支持模块,该方法包括如下步骤:
应用程序对存储设备发起读写请求,所述应用数据访问监测模块捕获应用程序对存储设备的读写请求,然后将应用程序的读写请求发送到所述应用数据访问控制模块进行分析处理,所述应用数据访问控制模块根据配置好的访问控制规则,匹配应用程序的数据访问行为,针对需要处理的数据访问,通过所述存储访问重定向模块改变原有的下发路径,发送到所述存储服务层处理;
所述存储服务层接收智能监控层传递下来的数据读写请求,向所述核心安全层发送文件或数据的加密或者解密操作请求,记录文件映射关系;
所述核心安全层接收所述存储服务层传递过来的数据加密或解密请求,执行对数据的加密或解密操作,并将操作结果返回给所述存储服务层。
进一步的,当数据读写请求到达所述存储服务层时,首先分析数据访问类型,根据不同的访问类型,分别投递到所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块进行处理。
进一步的,所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块处理针对文件、数据库和内存的数据读写请求,所述三个模块对所述数据访问的具体处理为:当请求读取数据时,将调用所述核心安全层提供的服务进行解密数据操作,当请求写入数据时,调用所述核心安全层提供的服务进行数据加密操作。
进一步的,所述加解密引擎模块负责分析来自上层的请求,根据请求调度所述算法库支持模块和密钥管理模块,完成数据的加密或解密操作,其中,所述算法库支持模块实现数据加解密的算法,所述密钥管理模块实现不同算法的密钥管理,为所述加解密引擎模块提供支撑。
进一步的,所述应用数据访问监测模块包括:应用程序签名分析和比对模块和应用程序签名库,其中应用程序签名库存储需要控制的应用程序的签名;
所述应用数据访问控制模块包括:应用存储访问监测模块和应用访问控制模块;
该***通过存储访问重定向技术接管应用程序的存储读写访问操作,根据设置的访问控制规则,改变存储读写访问,将存储读写访问请求定向到指定区域,避免影响***之外的数据结构,其具体实现过程如下:
所述应用程序签名分析和比对模块提取应用程序的签名,将提取的签名与所述应用程序签名库中的数据进行匹配,如果存在匹配数据,则将应用程序的数据读写请求发送到所述应用存储访问监测模块进行处理;
当所述应用存储访问监测模块接收到所述应用程序签名分析和比对模块传递下来的数据读写请求时,调用所述应用访问控制模块,分析数据读写控制策略,将需要控制的数据读写请求传递到所述存储访问重定向模块进行处理;
所述应用访问控制模块,根据应用程序的签名,分析、匹配与其对应的应用访问控制策略,并将访问控制策略返回给所述应用存储访问监测模块;
所述存储访问重定向模块,接收满足访问控制策略的数据读写请求,交由加密存储服务模块进行处理,完成数据的加密或解密处理后,将操作结果返回给上层进行处理。
进一步的,所述虚拟文件加密服务模块包括:文件透明存储加密服务模块、虚拟文件映射管理模块和虚拟文件访问模块;
所述存储服务层根据环境配置,将重定向的数据读写操作建立与原始路径的映射关系,形成虚拟文件,所述虚拟文件的路径与真实文件的路径不一样,虚拟文件的读写访问会根据设定的规则调用所述加解密引擎模块,进行加密或者解密操作,保证写到物理存储设备上的数据安全,具体步骤如下:
所述文件透明存储加密服务模块,接收所述访问存储重定向模块发送过来的数据读写请求,向所述虚拟文件映射管理模块发送数据读写请求,并将处理结果返回;
所述虚拟文件映射管理模块,将数据读写请求的原始文件,与存储设备上的真实文件建立映射关系,下发数据读写请求;
所述虚拟文件访问模块,接收数据读写请求,调用所述加解密引擎模块,将数据进行加密或解密操作,向上层返回解密数据,向下层提供加密处理后的数据;
所述加解密引擎模块,负责调度所述算法库支持模块和密钥管理模块,对数据进行加密或者解密操作,将结果返回给所述虚拟文件访问模块;
物理文件访问模块,根据数据读写请求,向存储设备写入数据,或者从存储设备读取数据并返回给所述加解密引擎模块。
通过本发明提出的技术方案,可以取得以下有益的技术效果:
A、保护核心应用数据安全,防止数据泄密;
B、环境内外数据隔离,互不影响;
C、由于数据的加密和解密对用户是透明的,因而对用户操作习惯没有影响;
D、即使终端遗失,但是由于数据被加密,无法轻易被读取,保证了数据的安全。
附图说明
图1是手机沙箱技术的数据保护流程图。
图2是隐私保护技术的数据保护流程图。
图3是本发明的总体***框架图。
图4是本发明的数据存储重定向框架图。
图5是本发明的虚拟终端安全环境保护***框图。
图6是本发明的公司移动办公***使用流程。
具体实施方式
图3是本发明中的总体***框架图。
本发明提出的基于身份认证的虚拟终端安全环境保护***,总体上划分为三个层次:智能存储监控层、存储服务层、核心安全层。智能监控层负责监控并分析应用程序的数据访问行为,根据配置规则执行动作,重定向模块根据访问控制规则将I/0访问转移;存储服务层负责对文件或数据进行加密或者解密操作,记录文件映射关系;核心安全层是整个架构的基础,提供密钥管理功能,为存储服务层提供加解密支撑,根据需求调度不同算法。
智能存储监控层,位于总体架构的最上层,主要负责监控手机应用程序对存储设备的访问,分析手机应用对存储设备的读写操作,根据访问控制规则,将读写请求发送到下层服务。比如说,在虚拟终端安全环境保护***中,一个手机应用程序写数据到存储设备中,首先将会被本层中的“应用数据访问监测”模块捕获,然后将手机应用程序的读写行为送到“应用数据访问控制”模块进行分析处理;应用数据访问控制模块根据配置好的访问控制规则,匹配分析手机应用的数据访问行为,针对需要处理的数据访问,通过“存储访问重定向模块”发送到下层服务,不需要处理的数据访问交给***进行处理;存储重定向模块,将需要处理的数据访问,改变原有的下发路径,交由本***提供的“***存储服务层”处理。
存储服务层,位于整体架构的中间层,起到承上启下的作用,主要负责处理上层传递下来的数据I/O请求,对数据进行加密或者解密操作。数据I/O请求到达本层时,首先分析数据访问类型,根据不同的访问类型,分别投递到“虚拟文件加密服务”、“数据库加密服务”、“内存流加密服务”三个模块进行处理。虚拟文件加密服务模块,主要处理针对文件的数据I/O请求,当读取数据时,将调用“核心安全层”提供的服务进行解密数据,否则将进行数据加密操作。另外两个模块与“虚拟文件加密服务”类似,其处理动作不再赘述。
核心安全层,位于整体架构的最下层,是虚拟终端安全环境保护***运行的基础,接收上层传递过来的数据加密或解密请求,执行对数据的加密或解密操作,并将操作结果返回给上层服务。“加解密引擎模块”主要负责分析上层请求,根据请求调度“算法库支持”和“密钥管理”两个模块,完成数据的加密或解密操作。“算法库支持”模块,实现数据加解密的算法,如AES、3DES、SM4等;“密钥管理”模块,实现不同算法的密钥管理,为加解密引擎模块提供支撑。
附图4展示了本发明的应用数据重定向***框架图。
本发明采用应用数据重定向,接管存储I/O访问操作,根据设置的访问控制规则,改变I/O访问,将I/O访问请求定向到指定区域,避免影响环境之外的数据结构。
在虚拟终端安全环境保护***中,当手机应用程序读写数据时,手机应用将会被监控,经由以下几个模块处理:
1、应用程序签名分析和比对模块,负责提取手机应用程序的签名,将提取的签名与“应用程序签名库”中的数据进行匹配,如果存在匹配数据,则将手机应用程序的数据I/O请求发送到“应用存储访问监测”模块进行处理,否则交由手机自身***处理。
2、应用程序签名库,存储需要控制的手机应用程序的签名。
3、应用存储访问监测模块,负责数据I/O请求的访问权限控制。当应用存储访问监测模块接收到“应用程序签名分析和比对模块传递下来的“I/O”请求时,调用“应用访问控制”模块,分析”I/O”访问控制策略,将需要控制的“I/O”请求传递到“存储访问重定向”模块进行处理,其他的交由手机自身***代为处理。
4、应用访问控制模块,根据手机应用程序的签名,分析、匹配与其对应的应用访问控制策略,并将访问控制策略返回给“应用存储访问监测模块”。
5、存储访问重定向模块(关键模块),接收满足访问控制策略的数据“I/O”请求,将本该由手机自身***处理的请求,先交由“加密存储服务”模块进行处理,处理完成后,再交给手机自身***进行处理,其中所述“加密存储服务”模块对应于存储服务层的虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块中的至少一个模块。
6、加密存储服务模块,负责完成数据的加密或解密处理,将操作结果返回给上层模块。
附图5展示了本发明的存储服务层的虚拟终端安全环境保护***框架图。
根据环境配置,将重定向的I/O操作建立与原始路径的映射关系,形成虚拟文件(虚拟文件的路径与真实路径不一样),虚拟文件的I/O访问会根据设定的规则调用加解密引擎模块,进行加密或者解密操作,保证写到物理存储设备上的数据安全。
在虚拟终端安全环境保护***中,当手机应用程序读写数据时,手机应用将会被监控,符合监控和应用访问控制策略的数据“I/O”请求,将会被存储访问重定向模块发送到数据加密服务模块,经由以下几个步骤进行处理:
1、文件透明存储加密服务模块,负责接收“存储访问重定向模块”发送过来的数据I/O请求,向“虚拟文件映射管理”模块发送数据“I/O”请求,并将处理结果返回给调用模块。
2、虚拟文件映射管理模块,将数据I/O请求的原始文件,与存储设备上的真实文件建立映射关系,下发数据I/O请求。
3、虚拟文件访问模块,接收数据I/O请求,调用“加解密引擎模块”,将数据进行加密或解密操作,向上层返回解密数据,向下层提供加密处理后的数据。
4、加解密引擎模块,负责调度加解密算法库和密钥管理模块,对数据进行加密或者解密操作,将结果返回给调用模块,其中加解密引擎模块可调用算法库支持模块中的国密算法库(包括SM1,SM3,SM4等)或者通用算法库(BF,DES,3DES,AES等)。
5、物理文件访问模块,主要根据数据“I/O”请求,向存储设备写入数据,或者从存储设备读取数据并返回给所述加解密引擎模块。
图6展示了某公司移动办公***使用流程图。
A、在智能手机中登录虚拟终端安全环境保护***,完成必要的初始化工作。
B、进入身份验证***,通过TF卡、Usbkey、证书、口令用户、动态口令密码等方式中的一种或几种验证用户的合法身份。
C、用户身份验证失败,则记录失败信息,以便事后统计,随后退出虚拟终端安全环境保护***的应用。
D、认证通过后,虚拟终端安全环境保护***开始正常运作,启动监测、重定向、加密模块,保护生效。
E、数据访问监测服务模块,根据应用程序匹配规则,分析鉴别程序对数据的访问行为是否受控。
F、数据访问流转到存储访问重定向模块,根据预设访问控制规则,进行数据重定向处理。
G、对重定向后的数据,加解密引擎模块根据配置,从加密库中调度相应算法进行处理,写入数据进行加密操作,读取数据进行解密操作。
H、操作完成后,根据需要,可以继续保持在虚拟终端安全环境保护***内工作,也可以退出。
上述的手机应用程序可替换为各种移动智能终端应用程序,比如PDA,移动电脑,平板电脑等上的应用程序。
通过本发明提出的技术方案,可有效保护核心应用数据安全,避免数据泄密;并且由于环境内外数据隔离,因而环境内外的数据互不影响;由于所有的数据操作对用户都是透明的,因而无需改变用户的使用习惯;由于对移动终端上的数据进行了加密,即使数据遗失也能保证数据的安全。
比如在背景技术中提到的移动警务中采用了本发明提出的技术方案,解决了链路和接入安全,结合本发明实现了保护终端本地数据的安全,工作数据全部存储在虚拟终端安全环境保护***中,退出环境后,看不到工作数据,即使设备遗失也不会造成泄密,助力移动警务安全。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应保护在本发明的保护范围之内。
Claims (12)
1.一种基于身份认证的虚拟终端安全环境的保护***,该***包括:智能存储监控层、存储服务层、核心安全层;所述智能存储监控层包括应用数据访问监测模块、存储访问重定向模块和应用数据访问控制模块,应用程序对存储设备的读写请求会被所述应用数据访问监测模块捕获,然后将应用程序的读写请求发送到所述应用数据访问控制模块进行分析处理,所述应用数据访问控制模块根据配置好的访问控制规则,匹配应用程序的数据访问行为,针对需要处理的数据访问,通过所述存储访问重定向模块改变原有的下发路径,发送到所述存储服务层处理;
所述存储服务层负责处理智能存储监控层传递下来的数据读写请求,向所述核心安全层发送文件或数据的加密或者解密操作请求,记录文件映射关系;
所述核心安全层,为存储服务层提供加解密支撑,根据需求调度不同算法,其接收所述存储服务层传递过来的数据加密或解密请求,执行对数据的加密或解密操作,并将操作结果返回给所述存储服务层。
2.根据权利要求1所述的***,所述存储服务层包括虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块,当数据读写请求到达所述存储服务层时,首先分析数据访问类型,根据不同的访问类型,分别投递到所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块进行处理。
3.根据权利要求2所述的***,所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块处理针对文件、数据库和内存的数据读写请求,所述处理针对文件、数据库和内存的数据读写请求具体为:当请求读取数据时,将调用所述核心安全层提供的服务进行解密数据操作,当请求写入数据时,调用所述核心安全层提供的服务进行数据加密操作。
4.根据权利要求2-3之一所述的***,所述核心安全层包括加解密引擎模块、算法库支持模块和密钥管理模块,所述加解密引擎模块负责分析来自上层的请求,根据请求调度所述算法库支持模块和密钥管理模块,完成数据的加密或解密操作,其中,所述算法库支持模块实现数据加解密的算法,所述密钥管理模块实现不同算法的密钥管理,为所述加解密引擎模块提供支撑。
5.根据权利要求1-3之一所述的***,所述应用数据访问监测模块包括:应用程序签名分析和比对模块和应用程序签名库,其中应用程序签名库存储需要控制的应用程序的签名;
所述应用数据访问控制模块包括:应用存储访问监测模块和应用访问控制模块;
该***通过存储访问重定向技术接管应用程序的存储读写访问操作,根据设置的访问控制规则,改变存储读写访问,将存储读写访问请求定向到指定区域,避免影响***之外的数据结构,其具体实现过程如下:所述应用程序签名分析和比对模块提取应用程序的签名,将提取的签名与所述应用程序签名库中的数据进行匹配,如果存在匹配数据,则将应用程序的数据读写请求发送到所述应用存储访问监测模块进行处理;当所述应用存储访问监测模块接收到所述应用程序签名分析和比对模块传递下来的数据读写请求时,调用所述应用访问控制模块,分析数据读写控制策略,将需要控制的数据读写请求传递到所述存储访问重定向模块进行处理;
所述应用访问控制模块,根据应用程序的签名,分析、匹配与其对应的应用访问控制策略,并将访问控制策略返回给所述应用存储访问监测模块;
所述存储访问重定向模块,接收满足访问控制策略的数据读写请求,交由加密存储服务模块进行处理,完成数据的加密或解密处理后,将操作结果返回给上层进行处理。
6.根据权利要求4所述的***,所述虚拟文件加密服务模块包括:文件透明存储加密服务模块、虚拟文件映射管理模块和虚拟文件访问模块;
所述存储服务层根据环境配置,将重定向的数据读写操作建立与原始路径的映射关系,形成虚拟文件,所述虚拟文件的路径与真实文件的路径不一样,虚拟文件的读写访问会根据设定的规则调用所述加解密引擎模块,进行加密或者解密操作,保证写到物理存储设备上的数据安全,具体步骤如下:
所述文件透明存储加密服务模块,接收所述存储访问重定向模块发送过来的数据读写请求,向所述虚拟文件映射管理模块发送数据读写请求,并将处理结果返回;
所述虚拟文件映射管理模块,将数据读写请求的原始文件,与存储设备上的真实文件建立映射关系,下发数据读写请求;
所述虚拟文件访问模块,接收数据读写请求,调用所述加解密引擎模块,将数据进行加密或解密操作,向上层返回解密数据,向下层提供加密处理后的数据;
所述加解密引擎模块,负责调度所述算法库支持模块和密钥管理模块,对数据进行加密或者解密操作,将结果返回给所述虚拟文件访问模块;
物理文件访问模块,根据数据读写请求,向存储设备写入数据,或者从存储设备读取数据并返回给所述加解密引擎模块。
7.一种基于身份认证的虚拟终端安全环境的保护方法,应用于虚拟终端安全环境保护***中,该***包括:智能存储监控层、存储服务层、核心安全层;所述智能存储监控层包括应用数据访问监测模块、存储访问重定向模块和应用数据访问控制模块,所述存储服务层包括虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块,所述核心安全层包括密钥管理模块、加解密引擎模块和算法库支持模块,该方法包括如下步骤:
应用程序对存储设备发起读写请求,所述应用数据访问监测模块捕获应用程序对存储设备的读写请求,然后将应用程序的读写请求发送到所述应用数据访问控制模块进行分析处理,所述应用数据访问控制模块根据配置好的访问控制规则,匹配应用程序的数据访问行为,针对需要处理的数据访问,通过所述存储访问重定向模块改变原有的下发路径,发送到所述存储服务层处理;
所述存储服务层接收智能存储监控层传递下来的数据读写请求,向所述核心安全层发送文件或数据的加密或者解密操作请求,记录文件映射关系;
所述核心安全层接收所述存储服务层传递过来的数据加密或解密请求,执行对数据的加密或解密操作,并将操作结果返回给所述存储服务层。
8.根据权利要求7所述的方法,当数据读写请求到达所述存储服务层时,首先分析数据访问类型,根据不同的访问类型,分别投递到所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块进行处理。
9.根据权利要求8所述的方法,所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块处理针对文件、数据库和内存的数据读写请求,所述处理针对文件、数据库和内存的数据读写请求具体为:当请求读取数据时,将调用所述核心安全层提供的服务进行解密数据操作,当请求写入数据时,调用所述核心安全层提供的服务进行数据加密操作。
10.根据权利要求7-9之一所述的方法,所述加解密引擎模块负责分析来自上层的请求,根据请求调度所述算法库支持模块和密钥管理模块,完成数据的加密或解密操作,其中,所述算法库支持模块实现数据加解密的算法,所述密钥管理模块实现不同算法的密钥管理,为所述加解密引擎模块提供支撑。
11.根据权利要求7-9之一所述的方法,所述应用数据访问监测模块包括:应用程序签名分析和比对模块和应用程序签名库,其中应用程序签名库存储需要控制的应用程序的签名;
所述应用数据访问控制模块包括:应用存储访问监测模块和应用访问控制模块;
该***通过存储访问重定向技术接管应用程序的存储读写访问操作,根据设置的访问控制规则,改变存储读写访问,将存储读写访问请求定向到指定区域,避免影响***之外的数据结构,其具体实现过程如下:所述应用程序签名分析和比对模块提取应用程序的签名,将提取的签名与所述应用程序签名库中的数据进行匹配,如果存在匹配数据,则将应用程序的数据读写请求发送到所述应用存储访问监测模块进行处理;当所述应用存储访问监测模块接收到所述应用程序签名分析和比对模块传递下来的数据读写请求时,调用所述应用访问控制模块,分析数据读写控制策略,将需要控制的数据读写请求传递到所述存储访问重定向模块进行处理;
所述应用访问控制模块,根据应用程序的签名,分析、匹配与其对应的应用访问控制策略,并将访问控制策略返回给所述应用存储访问监测模块;
所述存储访问重定向模块,接收满足访问控制策略的数据读写请求,交由加密存储服务模块进行处理,完成数据的加密或解密处理后,将操作结果返回给上层进行处理。
12.根据权利要求7-9之一所述的方法,所述虚拟文件加密服务模块包括:文件透明存储加密服务模块、虚拟文件映射管理模块和虚拟文件访问模块;
所述存储服务层根据环境配置,将重定向的数据读写操作建立与原始路径的映射关系,形成虚拟文件,所述虚拟文件的路径与真实文件的路径不一样,虚拟文件的读写访问会根据设定的规则调用所述加解密引擎模块,进行加密或者解密操作,保证写到物理存储设备上的数据安全,具体步骤如下:
所述文件透明存储加密服务模块,接收所述存储访问重定向模块发送过来的数据读写请求,向所述虚拟文件映射管理模块发送数据读写请求,并将处理结果返回;
所述虚拟文件映射管理模块,将数据读写请求的原始文件,与存储设备上的真实文件建立映射关系,下发数据读写请求;
所述虚拟文件访问模块,接收数据读写请求,调用所述加解密引擎模块,将数据进行加密或解密操作,向上层返回解密数据,向下层提供加密处理后的数据;
所述加解密引擎模块,负责调度所述算法库支持模块和密钥管理模块,对数据进行加密或者解密操作,将结果返回给所述虚拟文件访问模块;
物理文件访问模块,根据数据读写请求,向存储设备写入数据,或者从存储设备读取数据并返回给所述加解密引擎模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410062426.XA CN103778384B (zh) | 2014-02-24 | 2014-02-24 | 一种基于身份认证的虚拟终端安全环境的保护方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410062426.XA CN103778384B (zh) | 2014-02-24 | 2014-02-24 | 一种基于身份认证的虚拟终端安全环境的保护方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103778384A CN103778384A (zh) | 2014-05-07 |
| CN103778384B true CN103778384B (zh) | 2016-09-28 |
Family
ID=50570605
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410062426.XA Active CN103778384B (zh) | 2014-02-24 | 2014-02-24 | 一种基于身份认证的虚拟终端安全环境的保护方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103778384B (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105335663B (zh) * | 2015-10-22 | 2018-08-03 | 武汉理工大学 | 一种基于双像文件的加密文件*** |
| CN106874731A (zh) * | 2017-04-14 | 2017-06-20 | 深信服科技股份有限公司 | 一种基于终端的应用层多用户方法及装置 |
| CN107330324A (zh) * | 2017-05-18 | 2017-11-07 | 深信服科技股份有限公司 | 一种应用程序数据的擦除方法及擦除装置 |
| CN107256362B (zh) * | 2017-06-13 | 2020-11-27 | 深信服科技股份有限公司 | 一种应用级文件***隔离方法及装置 |
| CN109145631A (zh) * | 2017-06-15 | 2019-01-04 | 上海长城计算机网络工程有限公司 | 一种数据库信息安全*** |
| CN107197075B (zh) * | 2017-07-03 | 2019-11-05 | 深圳市海邻科信息技术有限公司 | 安全启动防护方法、装置及计算机可读存储介质 |
| CN108376055B (zh) * | 2018-03-16 | 2021-08-17 | 何小林 | 通过可信通道技术保护磁盘阵列数据安全的方法和*** |
| CN108427895A (zh) * | 2018-03-16 | 2018-08-21 | 何小林 | 磁盘阵列数据保护***和方法 |
| US11023601B2 (en) * | 2018-04-20 | 2021-06-01 | Rohde & Schwarz Gmbh & Co. Kg | System and method for secure data handling |
| CN109117664B (zh) * | 2018-07-19 | 2020-11-10 | 北京明朝万达科技股份有限公司 | 应用程序的访问控制方法和装置 |
| CN109829324B (zh) * | 2019-02-21 | 2023-02-17 | 青岛海信电子设备股份有限公司 | 一种数据安全存储和快速调用的方法及移动终端 |
| CN110134339A (zh) * | 2019-05-22 | 2019-08-16 | 北京明朝万达科技股份有限公司 | 一种基于文件虚拟盘的数据保护方法及*** |
| CN110889133B (zh) * | 2019-11-07 | 2022-03-15 | 中国科学院信息工程研究所 | 一种基于身份行为混淆的抗网络追踪隐私保护方法及*** |
| CN112016130A (zh) * | 2020-08-20 | 2020-12-01 | 杭州银核存储区块链有限公司 | 一种终端数据泄漏防护方法 |
| CN112131555B (zh) * | 2020-09-28 | 2024-05-14 | 数据通信科学技术研究所 | 一种5g移动终端本地数据门卫式安全管理装置及方法 |
| CN114861207A (zh) * | 2022-05-12 | 2022-08-05 | 北京百度网讯科技有限公司 | 数据处理方法、装置、电子设备和计算机可读存储介质 |
| CN114979272A (zh) * | 2022-06-17 | 2022-08-30 | 贵州东彩供应链科技有限公司 | 一种基于生态牧业平台文件存储*** |
| CN115378659B (zh) * | 2022-07-28 | 2024-04-16 | 中国电子科技集团公司第三十研究所 | 基于用户身份的高可靠文件加密和细粒度访问控制方法 |
| CN115361229A (zh) * | 2022-10-17 | 2022-11-18 | 太极计算机股份有限公司 | 一种政府公共数据的安全分享方法以及*** |
| CN115329389B (zh) * | 2022-10-17 | 2023-01-24 | 中安网脉(北京)技术股份有限公司 | 一种基于数据沙箱的文件保护***及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102184372A (zh) * | 2011-05-27 | 2011-09-14 | 北京洋浦伟业科技发展有限公司 | 一种基于逆向沙箱的手机支付保护方法 |
| CN102542187A (zh) * | 2010-12-23 | 2012-07-04 | 盛趣信息技术(上海)有限公司 | 基于安全沙盒提高计算机安全性能的方法 |
| CN103107994A (zh) * | 2013-02-06 | 2013-05-15 | 中电长城网际***应用有限公司 | 一种虚拟化环境数据安全隔离方法和*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2403820A (en) * | 2003-03-28 | 2005-01-12 | Hewlett Packard Development Co | Security policy in trusted computing systems |
-
2014
- 2014-02-24 CN CN201410062426.XA patent/CN103778384B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102542187A (zh) * | 2010-12-23 | 2012-07-04 | 盛趣信息技术(上海)有限公司 | 基于安全沙盒提高计算机安全性能的方法 |
| CN102184372A (zh) * | 2011-05-27 | 2011-09-14 | 北京洋浦伟业科技发展有限公司 | 一种基于逆向沙箱的手机支付保护方法 |
| CN103107994A (zh) * | 2013-02-06 | 2013-05-15 | 中电长城网际***应用有限公司 | 一种虚拟化环境数据安全隔离方法和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103778384A (zh) | 2014-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103778384B (zh) | 一种基于身份认证的虚拟终端安全环境的保护方法及*** | |
| CN103457733B (zh) | 一种云计算环境数据共享方法和*** | |
| CN1881924B (zh) | 群组通信安全分配媒体记录及取回之方法及装置 | |
| US10250613B2 (en) | Data access method based on cloud computing platform, and user terminal | |
| CN108055133A (zh) | 一种基于区块链技术的密钥安全签名方法 | |
| CN103597489A (zh) | 数据保管者和监管*** | |
| CN104123506B (zh) | 数据访问方法、装置、数据加密、存储及访问方法、装置 | |
| CN103959302A (zh) | 用于安全分布式存储的***与方法 | |
| CN106997439A (zh) | 基于TrustZone的数据加解密方法、装置及终端设备 | |
| CN102170424A (zh) | 基于三级安全体系架构的移动介质安全防护*** | |
| CN101414913A (zh) | 基于虚拟化技术的计算机网络认证***和方法 | |
| CN106992851A (zh) | 基于TrustZone的数据库文件口令加解密方法、装置及终端设备 | |
| CN109076054A (zh) | 用于管理单点登录应用程序的加密密钥的***和方法 | |
| CN101741826A (zh) | 在虚拟化平台上实现加密卸载的***和方法 | |
| CN104955043B (zh) | 一种智能终端安全防护*** | |
| CN101923610A (zh) | 一种数据保护方法及*** | |
| CN104125223A (zh) | 一种移动设备隐私数据的安全防护*** | |
| CN108399341B (zh) | 一种基于移动端的Windows双重文件管控*** | |
| CN110363025A (zh) | 一种用户数据隐私管理方法、装置和电子设备 | |
| RU2311676C2 (ru) | Способ обеспечения доступа к объектам корпоративной сети | |
| CN101820593A (zh) | 一种智能sim卡及通过该卡实现数据短消息传输和处理的方法 | |
| CN106296926B (zh) | 一种基于限时授权的智能门禁控制***和方法 | |
| KR20160038273A (ko) | 온라인 시크릿 데이터 관리시스템 및 그 방법 | |
| US8320570B2 (en) | Apparatus and method for generating secret key | |
| CN101159542B (zh) | 在终端网络设备上保存和获取鉴权参数的方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100097 Beijing city Haidian District landianchang Road No. 25 North International Building Jiayou two layer Applicant after: Beijing Mingchaowanda Technology Co., Ltd. Address before: 100088 Beijing city Haidian District Zhichun Road Tai Yue Park 3 Building 6 layer Applicant before: Beijing Wonder-soft Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CB03 | Change of inventor or designer information |
Inventor after: Wang Zhihua Inventor after: Peng Hongtao Inventor after: Wang Zhigang Inventor after: Yu Bo Inventor after: Wang Zhihai Inventor after: He Jinhao Inventor before: Wang Zhigang Inventor before: Peng Hongtao Inventor before: Yu Bo Inventor before: Wang Zhihai Inventor before: He Jinhao |
|
| CB03 | Change of inventor or designer information |