一種基于身份認證的虛擬終端安全環(huán)境的保護方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于身份認證的虛擬終端安全環(huán)境的保護方法及系統(tǒng),該系統(tǒng)包括:智能存儲監(jiān)控層�����、存儲服務(wù)層���、核心安全層��,其中����,智能存儲監(jiān)控層包括存儲訪問重定向模塊�����;智能監(jiān)控層負責(zé)監(jiān)控并分析應(yīng)用程序的數(shù)據(jù)訪問行為,根據(jù)配置規(guī)則執(zhí)行動作�����,所述存儲訪問重定向模塊根據(jù)訪問控制規(guī)則將I/0訪問轉(zhuǎn)移�;存儲服務(wù)層負責(zé)對文件或數(shù)據(jù)進行加密或者解密操作,記錄文件映射關(guān)系���;核心安全層是整個架構(gòu)的基礎(chǔ)���,提供密鑰管理功能,為存儲服務(wù)層提供加解密支撐���,根據(jù)需求調(diào)度不同算法�����,通過本發(fā)明��,可保護核心應(yīng)用數(shù)據(jù)安全��,防止數(shù)據(jù)泄密�,實現(xiàn)環(huán)境內(nèi)外數(shù)據(jù)隔離��,互不影響,并且對用戶操作習(xí)慣無影響���。
【專利說明】一種基于身份認證的虛擬終端安全環(huán)境的保護方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域,尤其涉及一種基于身份認證的虛擬終端安全環(huán)境的保護方法及
[0002]系統(tǒng)���。
【背景技術(shù)】
[0003]由于手機等智能終端應(yīng)用的越來越廣泛����,對智能終端上數(shù)據(jù)的保護也顯得越來越緊迫����。比如,近幾年��,隨著移動網(wǎng)絡(luò)的迅速發(fā)展和壯大�,移動警務(wù)也有了更大的舞臺,由于其職業(yè)特殊性���,要求網(wǎng)絡(luò)有更好的安全性���。移動網(wǎng)絡(luò),對于大家來說是一個開放的環(huán)境����,任何人都可以截獲其他人的信息����。因此����,大家都著重于鏈路和接入安全,往往忽視本地的應(yīng)用安全及數(shù)據(jù)的安全�����,一旦移動設(shè)備遺失或過失就會造成重大后果����。目前,市場上已經(jīng)出現(xiàn)了一些類似沙箱技術(shù)的手機應(yīng)用�����,如下所述:
[0004]A�����、手機沙箱軟件����,可以設(shè)置不同模式和應(yīng)用布局���,進入不同模式,只能使用設(shè)定應(yīng)用�,退出后對手機真實環(huán)境無影響����。
[0005]如圖1所示,其展示了手機沙箱技術(shù)的數(shù)據(jù)保護流程���,具體包括:
[0006]I)手機上啟動沙箱環(huán)境�;
[0007]2)進入沙箱后�����,監(jiān)管系統(tǒng)各種I/O操作�;
[0008]3)對寫入存儲的數(shù)據(jù)進行重定向操作,以此實現(xiàn)對真實數(shù)據(jù)的保護��;
[0009]4)當(dāng)數(shù)據(jù)處理完成后��,退出沙箱環(huán)境��,撤銷系統(tǒng)1/0,監(jiān)管����;
[0010]5)判斷是否保留沙箱中的數(shù)據(jù);
[0011]6)如果保留���,則將數(shù)據(jù)保存至存儲設(shè)備�����,結(jié)束流程���;
[0012]7)如果不保留,則清理數(shù)據(jù)���,結(jié)束流程�����。
[0013]B���、手機安全類軟件的隱私保護功能,可以將有關(guān)個人數(shù)據(jù)拉入保險箱���,進入保險箱的數(shù)據(jù)�����,在保險箱外部不可見��,只能在保險箱中操作里面的數(shù)據(jù)�。
[0014]如圖2所示,其展示了隱私保護技術(shù)的數(shù)據(jù)保護流程�����,具體包括:
[0015]I)手機進入封閉安全環(huán)境�����;
[0016]2)將環(huán)境外的數(shù)據(jù)放入環(huán)境內(nèi)自動加密并清除原始數(shù)據(jù)�����;
[0017]3)查看�、修改�����、保存環(huán)境內(nèi)的數(shù)據(jù);
[0018]4)退出封閉安全環(huán)境��;
[0019]5)結(jié)束流程
[0020]但上述技術(shù)都存在一些缺點:
[0021]A����、針對沙箱技術(shù),數(shù)據(jù)不能留存在環(huán)境內(nèi)部����,不能對數(shù)據(jù)進行保護處理,有數(shù)據(jù)泄S風(fēng)險��。
[0022]B��、針對隱私保護技術(shù)����,數(shù)據(jù)的加入都是人為操作,不提供針對實際應(yīng)用程序所產(chǎn)生數(shù)據(jù)的保護��。
【發(fā)明內(nèi)容】
[0023]本發(fā)明從實際需求和應(yīng)用的角度出發(fā)���,構(gòu)建一個基于身份認證的虛擬終端安全環(huán)境保護系統(tǒng)�,在環(huán)境內(nèi)部可以針對某些應(yīng)用產(chǎn)生的數(shù)據(jù)進行自動加密處理,也可以手動選擇某些數(shù)據(jù)進行加密處理��;環(huán)境內(nèi)部產(chǎn)生的數(shù)據(jù)只能在內(nèi)部使用��,在外部不可見或不可使用���;環(huán)境內(nèi)部可以使用環(huán)境外部數(shù)據(jù)����,環(huán)境外部數(shù)據(jù)不能使用環(huán)境內(nèi)部數(shù)據(jù)����,相互之間互不影響。
[0024]為解決上述技術(shù)問題�����,本發(fā)明提出了一種基于身份認證的虛擬終端安全環(huán)境保護系統(tǒng)����,該系統(tǒng)包括:智能存儲監(jiān)控層�、存儲服務(wù)層、核心安全層��;所述智能存儲監(jiān)控層包括應(yīng)用數(shù)據(jù)訪問監(jiān)測模塊、存儲訪問重定向模塊和應(yīng)用數(shù)據(jù)訪問控制模塊��,應(yīng)用程序?qū)Υ鎯υO(shè)備的讀寫請求會被所述應(yīng)用數(shù)據(jù)訪問監(jiān)測模塊捕獲���,然后將應(yīng)用程序的讀寫請求發(fā)送到所述應(yīng)用數(shù)據(jù)訪問控制模塊進行分析處理����,所述應(yīng)用數(shù)據(jù)訪問控制模塊根據(jù)配置好的訪問控制規(guī)則����,匹配應(yīng)用程序的數(shù)據(jù)訪問行為��,針對需要處理的數(shù)據(jù)訪問�����,通過所述存儲訪問重定向模塊改變原有的下發(fā)路徑,發(fā)送到所述存儲服務(wù)層處理����;
[0025]所述存儲服務(wù)層負責(zé)處理智能監(jiān)控層傳遞下來的數(shù)據(jù)讀寫請求,向所述核心安全層發(fā)送文件或數(shù)據(jù)的加密或者解密操作請求����,記錄文件映射關(guān)系����;
[0026]所述核心安全層�����,為存儲服務(wù)層提供加解密支撐�,根據(jù)需求調(diào)度不同算法,其接收所述存儲服務(wù)層傳遞過來的數(shù)據(jù)加密或解密請求�����,執(zhí)行對數(shù)據(jù)的加密或解密操作��,并將操作結(jié)果返回給所述存儲服務(wù)層�����。
[0027]進一步的��,所述存儲服務(wù)層包括虛擬文件加密服務(wù)模塊���、數(shù)據(jù)庫加密服務(wù)模塊和內(nèi)存流加密服務(wù)模塊,當(dāng)數(shù)據(jù)讀寫請求到達所述存儲服務(wù)層時����,首先分析數(shù)據(jù)訪問類型��,根據(jù)不同的訪問類型���,分別投遞到所述虛擬文件加密服務(wù)模塊、數(shù)據(jù)庫加密服務(wù)模塊和內(nèi)存流加密服務(wù)模塊進行處理��。
[0028]進一步的����,所述虛擬文件加密服務(wù)模塊、數(shù)據(jù)庫加密服務(wù)模塊和內(nèi)存流加密服務(wù)模塊處理針對文件��、數(shù)據(jù)庫和內(nèi)存的數(shù)據(jù)讀寫請求�,所述三個模塊對所述數(shù)據(jù)訪問的具體處理為:當(dāng)請求讀取數(shù)據(jù)時,將調(diào)用所述核心安全層提供的服務(wù)進行解密數(shù)據(jù)操作���,當(dāng)請求寫入數(shù)據(jù)時��,調(diào)用所述核心安全層提供的服務(wù)進行數(shù)據(jù)加密操作���。
[0029]進一步的,所述核心安全層包括加解密引擎模塊��、算法庫支持模塊和密鑰管理模塊,所述加解密引擎模塊負責(zé)分析來自上層的請求��,根據(jù)請求調(diào)度所述算法庫支持模塊和密鑰管理模塊��,完成數(shù)據(jù)的加密或解密操作�,其中,所述算法庫支持模塊實現(xiàn)數(shù)據(jù)加解密的算法���,所述密鑰管理模塊實現(xiàn)不同算法的密鑰管理�����,為所述加解密引擎模塊提供支撐����。
[0030]進一步的����,所述應(yīng)用數(shù)據(jù)訪問監(jiān)測模塊包括:應(yīng)用程序簽名分析和比對模塊和應(yīng)用程序簽名庫,其中應(yīng)用程序簽名庫存儲需要控制的應(yīng)用程序的簽名����;
[0031]所述應(yīng)用數(shù)據(jù)訪問控制模塊包括:應(yīng)用存儲訪問監(jiān)測模塊和應(yīng)用訪問控制模塊;
[0032]該系統(tǒng)通過存儲訪問重定向技術(shù)接管應(yīng)用程序的存儲讀寫訪問操作����,根據(jù)設(shè)置的訪問控制規(guī)則,改變存儲讀寫訪問����,將存儲讀寫訪問請求定向到指定區(qū)域,避免影響系統(tǒng)之外的數(shù)據(jù)結(jié)構(gòu)����,其具體實現(xiàn)過程如下:
[0033]所述應(yīng)用程序簽名分析和比對模塊提取應(yīng)用程序的簽名,將提取的簽名與所述應(yīng)用程序簽名庫中的數(shù)據(jù)進行匹配��,如果存在匹配數(shù)據(jù)�����,則將應(yīng)用程序的數(shù)據(jù)讀寫請求發(fā)送到所述應(yīng)用存儲訪問監(jiān)測模塊進行處理�;[0034]當(dāng)所述應(yīng)用存儲訪問監(jiān)測模塊接收到所述應(yīng)用程序簽名分析和比對模塊傳遞下來的數(shù)據(jù)讀寫請求時,調(diào)用所述應(yīng)用訪問控制模塊����,分析數(shù)據(jù)讀寫控制策略,將需要控制的數(shù)據(jù)讀寫請求傳遞到所述存儲訪問重定向模塊進行處理��;
[0035]所述應(yīng)用訪問控制模塊����,根據(jù)應(yīng)用程序的簽名��,分析���、匹配與其對應(yīng)的應(yīng)用訪問控制策略,并將訪問控制策略返回給所述應(yīng)用存儲訪問監(jiān)測模塊���;
[0036]所述存儲訪問重定向模塊����,接收滿足訪問控制策略的數(shù)據(jù)讀寫請求�,交由加密存儲服務(wù)模塊進行處理,完成數(shù)據(jù)的加密或解密處理后��,將操作結(jié)果返回給上層進行處理����。
[0037]進一步的,所述虛擬文件加密服務(wù)模塊包括:文件透明存儲加密服務(wù)模塊����、虛擬文件映射管理模塊、虛擬文件訪問模塊;
[0038]所述存儲服務(wù)層根據(jù)環(huán)境配置�,將重定向的數(shù)據(jù)讀寫操作建立與原始路徑的映射關(guān)系,形成虛擬文件����,所述虛擬文件的路徑與真實文件的路徑不一樣�����,虛擬文件的讀寫訪問會根據(jù)設(shè)定的規(guī)則調(diào)用所述加解密引擎模塊�����,進行加密或者解密操作�,保證寫到物理存儲設(shè)備上的數(shù)據(jù)安全,具體步驟如下:
[0039]所述文件透明存儲加密服務(wù)模塊����,接收所述訪問存儲重定向模塊發(fā)送過來的數(shù)據(jù)讀寫請求,向所述虛擬文件映射管理模塊發(fā)送數(shù)據(jù)讀寫請求��,并將處理結(jié)果返回����;
[0040]所述虛擬文件映射管理模塊,將數(shù)據(jù)讀寫請求的原始文件�����,與存儲設(shè)備上的真實文件建立映射關(guān)系,下發(fā)數(shù)據(jù)讀寫請求�;
[0041]所述虛擬文件訪問模塊,接收數(shù)據(jù)讀寫請求��,調(diào)用所述加解密引擎模塊��,將數(shù)據(jù)進行加密或解密操作�����,向上層返回解密數(shù)據(jù)����,向下層提供加密處理后的數(shù)據(jù);
[0042]所述加解密引擎模塊���,負責(zé)調(diào)度所述算法庫支持模塊和密鑰管理模塊��,對數(shù)據(jù)進行加密或者解密操作��,將結(jié)果返回給所述虛擬文件訪問模塊����;
[0043]物理文件訪問模塊,根據(jù)數(shù)據(jù)讀寫請求�����,向存儲設(shè)備寫入數(shù)據(jù)����,或者從存儲設(shè)備讀取數(shù)據(jù)并返回給所述加解密弓I擎模塊��。
[0044]為解決上述技術(shù)問題���,本發(fā)明提出了一種基于身份認證的虛擬終端安全環(huán)境的保護方法����,應(yīng)用于虛擬終端安全環(huán)境保護系統(tǒng)中��,該系統(tǒng)包括:智能存儲監(jiān)控層�、存儲服務(wù)層�、核心安全層;所述智能存儲監(jiān)控層包括應(yīng)用數(shù)據(jù)訪問監(jiān)測模塊�、存儲訪問重定向模塊和應(yīng)用數(shù)據(jù)訪問控制模塊,所述存儲服務(wù)層包括虛擬文件加密服務(wù)模塊、數(shù)據(jù)庫加密服務(wù)模塊和內(nèi)存流加密服務(wù)模塊���,所述核心安全層包括密鑰管理模塊����、加解密引擎模塊和算法庫支持模塊�,該方法包括如下步驟:
[0045]應(yīng)用程序?qū)Υ鎯υO(shè)備發(fā)起讀寫請求,所述應(yīng)用數(shù)據(jù)訪問監(jiān)測模塊捕獲應(yīng)用程序?qū)Υ鎯υO(shè)備的讀寫請求�,然后將應(yīng)用程序的讀寫請求發(fā)送到所述應(yīng)用數(shù)據(jù)訪問控制模塊進行分析處理,所述應(yīng)用數(shù)據(jù)訪問控制模塊根據(jù)配置好的訪問控制規(guī)則�,匹配應(yīng)用程序的數(shù)據(jù)訪問行為,針對需要處理的數(shù)據(jù)訪問�,通過所述存儲訪問重定向模塊改變原有的下發(fā)路徑,發(fā)送到所述存儲服務(wù)層處理�����;
[0046]所述存儲服務(wù)層接收智能監(jiān)控層傳遞下來的數(shù)據(jù)讀寫請求��,向所述核心安全層發(fā)送文件或數(shù)據(jù)的加密或者解密操作請求����,記錄文件映射關(guān)系;
[0047]所述核心安全層接收所述存儲服務(wù)層傳遞過來的數(shù)據(jù)加密或解密請求���,執(zhí)行對數(shù)據(jù)的加密或解密操作���,并將操作結(jié)果返回給所述存儲服務(wù)層���。
[0048]進一步的,當(dāng)數(shù)據(jù)讀寫請求到達所述存儲服務(wù)層時���,首先分析數(shù)據(jù)訪問類型����,根據(jù)不同的訪問類型����,分別投遞到所述虛擬文件加密服務(wù)模塊�、數(shù)據(jù)庫加密服務(wù)模塊和內(nèi)存流加密服務(wù)模塊進行處理。
[0049]進一步的�����,所述虛擬文件加密服務(wù)模塊���、數(shù)據(jù)庫加密服務(wù)模塊和內(nèi)存流加密服務(wù)模塊處理針對文件��、數(shù)據(jù)庫和內(nèi)存的數(shù)據(jù)讀寫請求��,所述三個模塊對所述數(shù)據(jù)訪問的具體處理為:當(dāng)請求讀取數(shù)據(jù)時���,將調(diào)用所述核心安全層提供的服務(wù)進行解密數(shù)據(jù)操作��,當(dāng)請求寫入數(shù)據(jù)時�,調(diào)用所述核心安全層提供的服務(wù)進行數(shù)據(jù)加密操作��。
[0050]進一步的����,所述加解密引擎模塊負責(zé)分析來自上層的請求,根據(jù)請求調(diào)度所述算法庫支持模塊和密鑰管理模塊�,完成數(shù)據(jù)的加密或解密操作,其中���,所述算法庫支持模塊實現(xiàn)數(shù)據(jù)加解密的算法�����,所述密鑰管理模塊實現(xiàn)不同算法的密鑰管理��,為所述加解密引擎模塊提供支撐���。
[0051]進一步的�,所述應(yīng)用數(shù)據(jù)訪問監(jiān)測模塊包括:應(yīng)用程序簽名分析和比對模塊和應(yīng)用程序簽名庫��,其中應(yīng)用程序簽名庫存儲需要控制的應(yīng)用程序的簽名����;
[0052]所述應(yīng)用數(shù)據(jù)訪問控制模塊包括:應(yīng)用存儲訪問監(jiān)測模塊和應(yīng)用訪問控制模塊;
[0053]該系統(tǒng)通過存儲訪問重定向技術(shù)接管應(yīng)用程序的存儲讀寫訪問操作���,根據(jù)設(shè)置的訪問控制規(guī)則�����,改變存儲讀寫訪問���,將存儲讀寫訪問請求定向到指定區(qū)域�,避免影響系統(tǒng)之外的數(shù)據(jù)結(jié)構(gòu),其具體實現(xiàn)過程如下:
[0054]所述應(yīng)用程序簽名分析和比對模塊提取應(yīng)用程序的簽名���,將提取的簽名與所述應(yīng)用程序簽名庫中的數(shù)據(jù)進行匹配��,如果存在匹配數(shù)據(jù)�,則將應(yīng)用程序的數(shù)據(jù)讀寫請求發(fā)送到所述應(yīng)用存儲訪問監(jiān)測模塊進行處理;
[0055]當(dāng)所述應(yīng)用存儲訪問監(jiān)測模塊接收到所述應(yīng)用程序簽名分析和比對模塊傳遞下來的數(shù)據(jù)讀寫請求時���,調(diào)用所述應(yīng)用訪問控制模塊�,分析數(shù)據(jù)讀寫控制策略�,將需要控制的數(shù)據(jù)讀寫請求傳遞到所述存儲訪問重定向模塊進行處理;
[0056]所述應(yīng)用訪問控制模塊����,根據(jù)應(yīng)用程序的簽名,分析���、匹配與其對應(yīng)的應(yīng)用訪問控制策略��,并將訪問控制策略返回給所述應(yīng)用存儲訪問監(jiān)測模塊���;
[0057]所述存儲訪問重定向模塊,接收滿足訪問控制策略的數(shù)據(jù)讀寫請求�,交由加密存儲服務(wù)模塊進行處理,完成數(shù)據(jù)的加密或解密處理后��,將操作結(jié)果返回給上層進行處理�。
[0058]進一步的,所述虛擬文件加密服務(wù)模塊包括:文件透明存儲加密服務(wù)模塊���、虛擬文件映射管理模塊和虛擬文件訪問模塊����;
[0059]所述存儲服務(wù)層根據(jù)環(huán)境配置,將重定向的數(shù)據(jù)讀寫操作建立與原始路徑的映射關(guān)系��,形成虛擬文件���,所述虛擬文件的路徑與真實文件的路徑不一樣��,虛擬文件的讀寫訪問會根據(jù)設(shè)定的規(guī)則調(diào)用所述加解密引擎模塊�����,進行加密或者解密操作����,保證寫到物理存儲設(shè)備上的數(shù)據(jù)安全����,具體步驟如下:
[0060]所述文件透明存儲加密服務(wù)模塊�����,接收所述訪問存儲重定向模塊發(fā)送過來的數(shù)據(jù)讀寫請求,向所述虛擬文件映射管理模塊發(fā)送數(shù)據(jù)讀寫請求�,并將處理結(jié)果返回;
[0061]所述虛擬文件映射管理模塊�����,將數(shù)據(jù)讀寫請求的原始文件����,與存儲設(shè)備上的真實文件建立映射關(guān)系,下發(fā)數(shù)據(jù)讀寫請求��;
[0062]所述虛擬文件訪問模塊�����,接收數(shù)據(jù)讀寫請求�,調(diào)用所述加解密引擎模塊,將數(shù)據(jù)進行加密或解密操作����,向上層返回解密數(shù)據(jù),向下層提供加密處理后的數(shù)據(jù)���;
[0063]所述加解密引擎模塊���,負責(zé)調(diào)度所述算法庫支持模塊和密鑰管理模塊���,對數(shù)據(jù)進行加密或者解密操作,將結(jié)果返回給所述虛擬文件訪問模塊�����;
[0064]物理文件訪問模塊����,根據(jù)數(shù)據(jù)讀寫請求,向存儲設(shè)備寫入數(shù)據(jù)�,或者從存儲設(shè)備讀取數(shù)據(jù)并返回給所述加解密弓I擎模塊。
[0065]通過本發(fā)明提出的技術(shù)方案����,可以取得以下有益的技術(shù)效果:
[0066]A、保護核心應(yīng)用數(shù)據(jù)安全�����,防止數(shù)據(jù)泄密����;
[0067]B、環(huán)境內(nèi)外數(shù)據(jù)隔離���,互不影響�����;
[0068]C�、由于數(shù)據(jù)的加密和解密對用戶是透明的�,因而對用戶操作習(xí)慣沒有影響;
[0069]D��、即使終端遺失�����,但是由于數(shù)據(jù)被加密���,無法輕易被讀取�,保證了數(shù)據(jù)的安全���。
【專利附圖】
【附圖說明】
[0070]圖1是手機沙箱技術(shù)的數(shù)據(jù)保護流程圖�。
[0071]圖2是隱私保護技術(shù)的數(shù)據(jù)保護流程圖。
[0072]圖3是本發(fā)明的總體系統(tǒng)框架圖����。
[0073]圖4是本發(fā)明的數(shù)據(jù)存儲重定向框架圖。
[0074]圖5是本發(fā)明的虛擬終端安全環(huán)境保護系統(tǒng)框圖����。
[0075]圖6是本發(fā)明的公司移動辦公系統(tǒng)使用流程。
【具體實施方式】
[0076]圖3是本發(fā)明中的總體系統(tǒng)框架圖�。
[0077]本發(fā)明提出的基于身份認證的虛擬終端安全環(huán)境保護系統(tǒng),總體上劃分為三個層次:智能存儲監(jiān)控層��、存儲服務(wù)層���、核心安全層��。智能監(jiān)控層負責(zé)監(jiān)控并分析應(yīng)用程序的數(shù)據(jù)訪問行為�����,根據(jù)配置規(guī)則執(zhí)行動作��,重定向模塊根據(jù)訪問控制規(guī)則將I/O訪問轉(zhuǎn)移�;存儲服務(wù)層負責(zé)對文件或數(shù)據(jù)進行加密或者解密操作��,記錄文件映射關(guān)系;核心安全層是整個架構(gòu)的基礎(chǔ)��,提供密鑰管理功能��,為存儲服務(wù)層提供加解密支撐���,根據(jù)需求調(diào)度不同算法。
[0078]智能存儲監(jiān)控層����,位于總體架構(gòu)的最上層,主要負責(zé)監(jiān)控手機應(yīng)用程序?qū)Υ鎯υO(shè)備的訪問���,分析手機應(yīng)用對存儲設(shè)備的讀寫操作��,根據(jù)訪問控制規(guī)則�����,將讀寫請求發(fā)送到下層服務(wù)��。比如說����,在虛擬終端安全環(huán)境保護系統(tǒng)中,一個手機應(yīng)用程序?qū)憯?shù)據(jù)到存儲設(shè)備中�,首先將會被本層中的“應(yīng)用數(shù)據(jù)訪問監(jiān)測”模塊捕獲,然后將手機應(yīng)用程序的讀寫行為送到“應(yīng)用數(shù)據(jù)訪問控制”模塊進行分析處理�����;應(yīng)用數(shù)據(jù)訪問控制模塊根據(jù)配置好的訪問控制規(guī)則����,匹配分析手機應(yīng)用的數(shù)據(jù)訪問行為,針對需要處理的數(shù)據(jù)訪問����,通過“存儲訪問重定向模塊”發(fā)送到下層服務(wù),不需要處理的數(shù)據(jù)訪問交給系統(tǒng)進行處理��;存儲重定向模塊��,將需要處理的數(shù)據(jù)訪問�����,改變原有的下發(fā)路徑��,交由本系統(tǒng)提供的“系統(tǒng)存儲服務(wù)層”處理�����。
[0079]存儲服務(wù)層,位于整體架構(gòu)的中間層�����,起到承上啟下的作用��,主要負責(zé)處理上層傳遞下來的數(shù)據(jù)I/O請求�,對數(shù)據(jù)進行加密或者解密操作����。數(shù)據(jù)I/O請求到達本層時,首先分析數(shù)據(jù)訪問類型�����,根據(jù)不同的訪問類型���,分別投遞到“虛擬文件加密服務(wù)”����、“數(shù)據(jù)庫加密服務(wù)”�����、“內(nèi)存流加密服務(wù)”三個模塊進行處理。虛擬文件加密服務(wù)模塊�,主要處理針對文件的數(shù)據(jù)I/O請求,當(dāng)讀取數(shù)據(jù)時����,將調(diào)用“核心安全層”提供的服務(wù)進行解密數(shù)據(jù),否則將進行數(shù)據(jù)加密操作�。另外兩個模塊與“虛擬文件加密服務(wù)”類似,其處理動作不再贅述�。
[0080]核心安全層,位于整體架構(gòu)的最下層�,是虛擬終端安全環(huán)境保護系統(tǒng)運行的基礎(chǔ),接收上層傳遞過來的數(shù)據(jù)加密或解密請求�����,執(zhí)行對數(shù)據(jù)的加密或解密操作�����,并將操作結(jié)果返回給上層服務(wù)�。“加解密引擎模塊”主要負責(zé)分析上層請求����,根據(jù)請求調(diào)度“算法庫支持”和“密鑰管理”兩個模塊����,完成數(shù)據(jù)的加密或解密操作�����?��!八惴◣熘С帧蹦K�,實現(xiàn)數(shù)據(jù)加解密的算法��,如AES���、3DES、SM4等��;“密鑰管理”模塊����,實現(xiàn)不同算法的密鑰管理,為加解密引擎模塊提供支撐�����。
[0081]附圖4展示了本發(fā)明的應(yīng)用數(shù)據(jù)重定向系統(tǒng)框架圖。
[0082]本發(fā)明采用應(yīng)用數(shù)據(jù)重定向���,接管存儲I/O訪問操作�����,根據(jù)設(shè)置的訪問控制規(guī)則�,改變I/o訪問�,將I/O訪問請求定向到指定區(qū)域,避免影響環(huán)境之外的數(shù)據(jù)結(jié)構(gòu)�����。
[0083]在虛擬終端安全環(huán)境保護系統(tǒng)中��,當(dāng)手機應(yīng)用程序讀寫數(shù)據(jù)時�,手機應(yīng)用將會被監(jiān)控,經(jīng)由以下幾個模塊處理:
[0084]1��、應(yīng)用程序簽名分析和比對模塊�,負責(zé)提取手機應(yīng)用程序的簽名,將提取的簽名與“應(yīng)用程序簽名庫”中的數(shù)據(jù)進行匹配,如果存在匹配數(shù)據(jù)��,則將手機應(yīng)用程序的數(shù)據(jù)I/0請求發(fā)送到“應(yīng)用存儲訪問監(jiān)測”模塊進行處理��,否則交由手機自身系統(tǒng)處理���。
[0085]2���、應(yīng)用程序簽名庫,存儲需要控制的手機應(yīng)用程序的簽名���。
[0086]3��、應(yīng)用存儲訪問監(jiān)測模塊�����,負責(zé)數(shù)據(jù)I/O請求的訪問權(quán)限控制。當(dāng)應(yīng)用存儲訪問監(jiān)測模塊接收到“應(yīng)用程序簽名分析和比對模塊傳遞下來的“ I/O”請求時��,調(diào)用“應(yīng)用訪問控制”模塊�����,分析” I/o”訪問控制策略,將需要控制的“ I/O”請求傳遞到“存儲訪問重定向”模塊進行處理����,其他的交由手機自身系統(tǒng)代為處理。
[0087]4�、應(yīng)用訪問控制模塊,根據(jù)手機應(yīng)用程序的簽名����,分析、匹配與其對應(yīng)的應(yīng)用訪問控制策略��,并將訪問控制策略返回給“應(yīng)用存儲訪問監(jiān)測模塊”�����。
[0088]5�����、存儲訪問重定向模塊(關(guān)鍵模塊)����,接收滿足訪問控制策略的數(shù)據(jù)“ I/O”請求,將本該由手機自身系統(tǒng)處理的請求��,先交由“加密存儲服務(wù)”模塊進行處理,處理完成后���,再交給手機自身系統(tǒng)進行處理�����,其中所述“加密存儲服務(wù)”模塊對應(yīng)于存儲服務(wù)層的虛擬文件加密服務(wù)模塊�、數(shù)據(jù)庫加密服務(wù)模塊和內(nèi)存流加密服務(wù)模塊中的至少一個模塊���。
[0089]6�����、加密存儲服務(wù)模塊��,負責(zé)完成數(shù)據(jù)的加密或解密處理��,將操作結(jié)果返回給上層模塊�����。
[0090]附圖5展示了本發(fā)明的存儲服務(wù)層的虛擬終端安全環(huán)境保護系統(tǒng)框架圖�����。
[0091]根據(jù)環(huán)境配置��,將重定向的I/O操作建立與原始路徑的映射關(guān)系��,形成虛擬文件(虛擬文件的路徑與真實路徑不一樣)��,虛擬文件的I/O訪問會根據(jù)設(shè)定的規(guī)則調(diào)用加解密引擎模塊��,進行加密或者解密操作�����,保證寫到物理存儲設(shè)備上的數(shù)據(jù)安全��。
[0092]在虛擬終端安全環(huán)境保護系統(tǒng)中�����,當(dāng)手機應(yīng)用程序讀寫數(shù)據(jù)時�,手機應(yīng)用將會被監(jiān)控��,符合監(jiān)控和應(yīng)用訪問控制策略的數(shù)據(jù)“I/O”請求�����,將會被存儲訪問重定向模塊發(fā)送到數(shù)據(jù)加密服務(wù)模塊,經(jīng)由以下幾個步驟進行處理:
[0093]1�����、文件透明存儲加密服務(wù)模塊����,負責(zé)接收“存儲訪問重定向模塊”發(fā)送過來的數(shù)據(jù)I/o請求,向“虛擬文件映射管理”模塊發(fā)送數(shù)據(jù)“ I/O”請求����,并將處理結(jié)果返回給調(diào)用模塊。
[0094]2�����、虛擬文件映射管理模塊���,將數(shù)據(jù)I/O請求的原始文件��,與存儲設(shè)備上的真實文件建立映射關(guān)系�����,下發(fā)數(shù)據(jù)I/O請求���。
[0095]3、虛擬文件訪問模塊�����,接收數(shù)據(jù)I/O請求���,調(diào)用“加解密引擎模塊”���,將數(shù)據(jù)進行加密或解密操作,向上層返回解密數(shù)據(jù)����,向下層提供加密處理后的數(shù)據(jù)。
[0096]4����、加解密引擎模塊,負責(zé)調(diào)度加解密算法庫和密鑰管理模塊��,對數(shù)據(jù)進行加密或者解密操作�����,將結(jié)果返回給調(diào)用模塊,其中加解密引擎模塊可調(diào)用算法庫支持模塊中的國密算法庫(包括SM1���,SM3�����,SM4等)或者通用算法庫(BF�����,DES����,3DES��,AES等)���。
[0097]5����、物理文件訪問模塊���,主要根據(jù)數(shù)據(jù)“I/O”請求��,向存儲設(shè)備寫入數(shù)據(jù)�,或者從存儲設(shè)備讀取數(shù)據(jù)并返回給所述加解密引擎模塊。
[0098]圖6展示了某公司移動辦公系統(tǒng)使用流程圖�����。
[0099]A����、在智能手機中登錄虛擬終端安全環(huán)境保護系統(tǒng)��,完成必要的初始化工作��。
[0100]B�、進入身份驗證系統(tǒng),通過TF卡、Usbkey�����、證書�、口令用戶、動態(tài)口令密碼等方式中的一種或幾種驗證用戶的合法身份���。
[0101]C����、用戶身份驗證失敗,則記錄失敗信息����,以便事后統(tǒng)計,隨后退出虛擬終端安全環(huán)境保護系統(tǒng)的應(yīng)用����。
[0102]D、認證通過后����,虛擬終端安全環(huán)境保護系統(tǒng)開始正常運作,啟動監(jiān)測�����、重定向�、力口密模塊,保護生效�。
[0103]E、數(shù)據(jù)訪問監(jiān)測服務(wù)模塊���,根據(jù)應(yīng)用程序匹配規(guī)則��,分析鑒別程序?qū)?shù)據(jù)的訪問行為是否受控�����。
[0104]F�、數(shù)據(jù)訪問流轉(zhuǎn)到存儲訪問重定向模塊,根據(jù)預(yù)設(shè)訪問控制規(guī)則����,進行數(shù)據(jù)重定向處理�����。
[0105]G����、對重定向后的數(shù)據(jù),加解密引擎模塊根據(jù)配置�,從加密庫中調(diào)度相應(yīng)算法進行處理,寫入數(shù)據(jù)進行加密操作���,讀取數(shù)據(jù)進行解密操作���。
[0106]H�����、操作完成后�����,根據(jù)需要���,可以繼續(xù)保持在虛擬終端安全環(huán)境保護系統(tǒng)內(nèi)工作,也可以退出����。
[0107]上述的手機應(yīng)用程序可替換為各種移動智能終端應(yīng)用程序,比如PDA�,移動電腦,平板電腦等上的應(yīng)用程序����。
[0108]通過本發(fā)明提出的技術(shù)方案,可有效保護核心應(yīng)用數(shù)據(jù)安全�,避免數(shù)據(jù)泄密;并且由于環(huán)境內(nèi)外數(shù)據(jù)隔離���,因而環(huán)境內(nèi)外的數(shù)據(jù)互不影響��;由于所有的數(shù)據(jù)操作對用戶都是透明的��,因而無需改變用戶的使用習(xí)慣�����;由于對移動終端上的數(shù)據(jù)進行了加密�,即使數(shù)據(jù)遺失也能保證數(shù)據(jù)的安全。
[0109]比如在【背景技術(shù)】中提到的移動警務(wù)中采用了本發(fā)明提出的技術(shù)方案���,解決了鏈路和接入安全����,結(jié)合本發(fā)明實現(xiàn)了保護終端本地數(shù)據(jù)的安全����,工作數(shù)據(jù)全部存儲在虛擬終端安全環(huán)境保護系統(tǒng)中�,退出環(huán)境后,看不到工作數(shù)據(jù)���,即使設(shè)備遺失也不會造成泄密��,助力移動警務(wù)安全�。
[0110]以上所述僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍��。凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改����、等同替換以及改進等,均應(yīng)保護在本發(fā)明的保護范圍之內(nèi)���。
【權(quán)利要求】
1.一種基于身份認證的虛擬終端安全環(huán)境的保護系統(tǒng)���,該系統(tǒng)包括:智能存儲監(jiān)控層、存儲服務(wù)層�、核心安全層;所述智能存儲監(jiān)控層包括應(yīng)用數(shù)據(jù)訪問監(jiān)測模塊��、存儲訪問重定向模塊和應(yīng)用數(shù)據(jù)訪問控制模塊�,應(yīng)用程序?qū)Υ鎯υO(shè)備的讀寫請求會被所述應(yīng)用數(shù)據(jù)訪問監(jiān)測模塊捕獲,然后將應(yīng)用程序的讀寫請求發(fā)送到所述應(yīng)用數(shù)據(jù)訪問控制模塊進行分析處理�����,所述應(yīng)用數(shù)據(jù)訪問控制模塊根據(jù)配置好的訪問控制規(guī)則,匹配應(yīng)用程序的數(shù)據(jù)訪問行為��,針對需要處理的數(shù)據(jù)訪問���,通過所述存儲訪問重定向模塊改變原有的下發(fā)路徑�,發(fā)送到所述存儲服務(wù)層處理�����; 所述存儲服務(wù)層負責(zé)處理智能監(jiān)控層傳遞下來的數(shù)據(jù)讀寫請求��,向所述核心安全層發(fā)送文件或數(shù)據(jù)的加密或者解密操作請求����,記錄文件映射關(guān)系; 所述核心安全層�,為存儲服務(wù)層提供加解密支撐�,根據(jù)需求調(diào)度不同算法,其接收所述存儲服務(wù)層傳遞過來的數(shù)據(jù)加密或解密請求��,執(zhí)行對數(shù)據(jù)的加密或解密操作�����,并將操作結(jié)果返回給所述存儲服務(wù)層。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)��,所述存儲服務(wù)層包括虛擬文件加密服務(wù)模塊�����、數(shù)據(jù)庫加密服務(wù)模塊和內(nèi)存流加密服務(wù)模塊���,當(dāng)數(shù)據(jù)讀寫請求到達所述存儲服務(wù)層時���,首先分析數(shù)據(jù)訪問類型,根據(jù)不同的訪問類型����,分別投遞到所述虛擬文件加密服務(wù)模塊、數(shù)據(jù)庫加密服務(wù)模塊和內(nèi)存流加密服務(wù)模塊進行處理���。
3.根據(jù)權(quán)利要求2所述的系統(tǒng)�,所述虛擬文件加密服務(wù)模塊����、數(shù)據(jù)庫加密服務(wù)模塊和內(nèi)存流加密服務(wù)模塊處理針對文件��、數(shù)據(jù)庫和內(nèi)存的數(shù)據(jù)讀寫請求,所述三個模塊對所述數(shù)據(jù)訪問的具體處理為:當(dāng)請求讀取數(shù)據(jù)時�,將調(diào)用所述核心安全層提供的服務(wù)進行解密數(shù)據(jù)操作�,當(dāng)請求寫入數(shù)據(jù)時,調(diào)用所述核心安全層提供的服務(wù)進行數(shù)據(jù)加密操作��。
4.根據(jù)權(quán)利要求1-3之一所述的系統(tǒng)����,所述核心安全層包括加解密引擎模塊、算法庫支持模塊和密鑰管理模塊��,所述加解密引擎模塊負責(zé)分析來自上層的請求,根據(jù)請求調(diào)度所述算法庫支持模塊和密鑰管理模塊����,完成數(shù)據(jù)的加密或解密操作,其中�����,所述算法庫支持模塊實現(xiàn)數(shù)據(jù)加解密的算法�,所述密鑰管理模塊實現(xiàn)不同算法的密鑰管理,為所述加解密引擎模塊提供支撐�。`
5.根據(jù)權(quán)利要求1-3之一所述的系統(tǒng),所述應(yīng)用數(shù)據(jù)訪問監(jiān)測模塊包括:應(yīng)用程序簽名分析和比對模塊和應(yīng)用程序簽名庫����,其中應(yīng)用程序簽名庫存儲需要控制的應(yīng)用程序的簽名; 所述應(yīng)用數(shù)據(jù)訪問控制模塊包括:應(yīng)用存儲訪問監(jiān)測模塊和應(yīng)用訪問控制模塊����; 該系統(tǒng)通過存儲訪問重定向技術(shù)接管應(yīng)用程序的存儲讀寫訪問操作,根據(jù)設(shè)置的訪問控制規(guī)則����,改變存儲讀寫訪問,將存儲讀寫訪問請求定向到指定區(qū)域�,避免影響系統(tǒng)之外的數(shù)據(jù)結(jié)構(gòu),其具體實現(xiàn)過程如下:所述應(yīng)用程序簽名分析和比對模塊提取應(yīng)用程序的簽名���,將提取的簽名與所述應(yīng)用程序簽名庫中的數(shù)據(jù)進行匹配����,如果存在匹配數(shù)據(jù)��,則將應(yīng)用程序的數(shù)據(jù)讀寫請求發(fā)送到所述應(yīng)用存儲訪問監(jiān)測模塊進行處理����;當(dāng)所述應(yīng)用存儲訪問監(jiān)測模塊接收到所述應(yīng)用程序簽名分析和比對模塊傳遞下來的數(shù)據(jù)讀寫請求時,調(diào)用所述應(yīng)用訪問控制模塊����,分析數(shù)據(jù)讀寫控制策略�,將需要控制的數(shù)據(jù)讀寫請求傳遞到所述存儲訪問重定向模塊進行處理����; 所述應(yīng)用訪問控制模塊,根據(jù)應(yīng)用程序的簽名�����,分析���、匹配與其對應(yīng)的應(yīng)用訪問控制策略�����,并將訪問控制策略返回給所述應(yīng)用存儲訪問監(jiān)測模塊�;所述存儲訪問重定向模塊�,接收滿足訪問控制策略的數(shù)據(jù)讀寫請求,交由加密存儲服務(wù)模塊進行處理�,完成數(shù)據(jù)的加密或解密處理后,將操作結(jié)果返回給上層進行處理����。
6.根據(jù)權(quán)利要求1-3之一所述的系統(tǒng)�,所述虛擬文件加密服務(wù)模塊包括:文件透明存儲加密服務(wù)模塊���、虛擬文件映射管理模塊和虛擬文件訪問模塊; 所述存儲服務(wù)層根據(jù)環(huán)境配置����,將重定向的數(shù)據(jù)讀寫操作建立與原始路徑的映射關(guān)系,形成虛擬文件�,所述虛擬文件的路徑與真實文件的路徑不一樣,虛擬文件的讀寫訪問會根據(jù)設(shè)定的規(guī)則調(diào)用所述加解密引擎模塊�����,進行加密或者解密操作���,保證寫到物理存儲設(shè)備上的數(shù)據(jù)安全��,具體步驟如下: 所述文件透明存儲加密服務(wù)模塊��,接收所述訪問存儲重定向模塊發(fā)送過來的數(shù)據(jù)讀寫請求����,向所述虛擬文件映射管理模塊發(fā)送數(shù)據(jù)讀寫請求,并將處理結(jié)果返回�����; 所述虛擬文件映射管理模塊���,將數(shù)據(jù)讀寫請求的原始文件�,與存儲設(shè)備上的真實文件建立映射關(guān)系����,下發(fā)數(shù)據(jù)讀寫請求; 所述虛擬文件訪問模塊�,接收數(shù)據(jù)讀寫請求,調(diào)用所述加解密引擎模塊�����,將數(shù)據(jù)進行加密或解密操作�,向上層返回解密數(shù)據(jù),向下層提供加密處理后的數(shù)據(jù)�����; 所述加解密引擎模塊��,負責(zé)調(diào)度所述算法庫支持模塊和密鑰管理模塊,對數(shù)據(jù)進行加密或者解密操作����,將結(jié)果返回給所述虛擬文件訪問模塊; 物理文件訪問模塊�,根據(jù)數(shù)據(jù)讀寫請求,向存儲設(shè)備寫入數(shù)據(jù)����,或者從存儲設(shè)備讀取數(shù)據(jù)并返回給所述加解密引擎模塊��。
7.一種基于身份認證的虛擬終端安全環(huán)境的保護方法�����,應(yīng)用于虛擬終端安全環(huán)境保護系統(tǒng)中��,該系統(tǒng)包括:智能存儲監(jiān)控層�、存儲服務(wù)層、核心安全層��;所述智能存儲監(jiān)控層包括應(yīng)用數(shù)據(jù)訪問監(jiān)測模塊�、存儲訪問重定向模塊和應(yīng)用數(shù)據(jù)訪問控制模塊,所述存儲服務(wù)層包括虛擬文件加密服務(wù)模塊��、數(shù)據(jù)庫加密服務(wù)模塊和內(nèi)存流加密服務(wù)模塊,所述核心安全層包括密鑰管理模塊���、加解密引擎模塊和算法庫支持模塊�����,該方法包括如下步驟: 應(yīng)用程序?qū)Υ鎯υO(shè)備發(fā)起讀寫請求��,所述應(yīng)用數(shù)據(jù)訪問監(jiān)測模塊捕獲應(yīng)用程序?qū)Υ鎯υO(shè)備的讀寫請求����,然后將應(yīng)用程序的讀寫請求發(fā)送到所述應(yīng)用數(shù)據(jù)訪問控制模塊進行分析處理��,所述應(yīng)用數(shù)據(jù)訪問控制模塊根據(jù)配置好的訪問控制規(guī)則���,匹配應(yīng)用程序的數(shù)據(jù)訪問行為���,針對需要處理的數(shù)據(jù)訪問,通過所述存儲訪問重定向模塊改變原有的下發(fā)路徑����,發(fā)送到所述存儲服務(wù)層處理; 所述存儲服務(wù)層接收智能監(jiān)控層傳遞下來的數(shù)據(jù)讀寫請求��,向所述核心安全層發(fā)送文件或數(shù)據(jù)的加密或者解密操作請求,記錄文件映射關(guān)系��; 所述核心安全層接收所述存儲服務(wù)層傳遞過來的數(shù)據(jù)加密或解密請求���,執(zhí)行對數(shù)據(jù)的加密或解密操作�����,并將操作結(jié)果返回給所述存儲服務(wù)層�����。
8.根據(jù)權(quán)利要求7所述的方法,當(dāng)數(shù)據(jù)讀寫請求到達所述存儲服務(wù)層時�����,首先分析數(shù)據(jù)訪問類型�,根據(jù)不同的訪問類型,分別投遞到所述虛擬文件加密服務(wù)模塊����、數(shù)據(jù)庫加密服務(wù)模塊和內(nèi)存流加密服務(wù)模塊進行處理。
9.根據(jù)權(quán)利要求8所述的方法�,所述虛擬文件加密服務(wù)模塊�����、數(shù)據(jù)庫加密服務(wù)模塊和內(nèi)存流加密服務(wù)模塊處理針對文件����、數(shù)據(jù)庫和內(nèi)存的數(shù)據(jù)讀寫請求,所述三個模塊對所述數(shù)據(jù)訪問的具體處理為:當(dāng)請求讀取數(shù)據(jù)時�,將調(diào)用所述核心安全層提供的服務(wù)進行解密數(shù)據(jù)操作,當(dāng)請求寫入數(shù)據(jù)時�����,調(diào)用所述核心安全層提供的服務(wù)進行數(shù)據(jù)加密操作���。
10.根據(jù)權(quán)利要求7-9之一所述的方法���,所述加解密引擎模塊負責(zé)分析來自上層的請求,根據(jù)請求調(diào)度所述算法庫支持模塊和密鑰管理模塊�,完成數(shù)據(jù)的加密或解密操作,其中����,所述算法庫支持模塊實現(xiàn)數(shù)據(jù)加解密的算法,所述密鑰管理模塊實現(xiàn)不同算法的密鑰管理���,為所述加解密引擎模塊提供支撐�。
11.根據(jù)權(quán)利要求7-9之一所述的方法,所述應(yīng)用數(shù)據(jù)訪問監(jiān)測模塊包括:應(yīng)用程序簽名分析和比對模塊和應(yīng)用程序簽名庫��,其中應(yīng)用程序簽名庫存儲需要控制的應(yīng)用程序的簽名���; 所述應(yīng)用數(shù)據(jù)訪問控制模塊包括:應(yīng)用存儲訪問監(jiān)測模塊和應(yīng)用訪問控制模塊��; 該系統(tǒng)通過存儲訪問重定向技術(shù)接管應(yīng)用程序的存儲讀寫訪問操作��,根據(jù)設(shè)置的訪問控制規(guī)則���,改變存儲讀寫訪問,將存儲讀寫訪問請求定向到指定區(qū)域�����,避免影響系統(tǒng)之外的數(shù)據(jù)結(jié)構(gòu)�����,其具體實現(xiàn)過程如下:所述應(yīng)用程序簽名分析和比對模塊提取應(yīng)用程序的簽名��,將提取的簽名與所述應(yīng)用程序簽名庫中的數(shù)據(jù)進行匹配��,如果存在匹配數(shù)據(jù)����,則將應(yīng)用程序的數(shù)據(jù)讀寫請求發(fā)送到所述應(yīng)用存儲訪問監(jiān)測模塊進行處理;當(dāng)所述應(yīng)用存儲訪問監(jiān)測模塊接收到所述應(yīng)用程序簽名分析和比對模塊傳遞下來的數(shù)據(jù)讀寫請求時�����,調(diào)用所述應(yīng)用訪問控制模塊�,分析數(shù)據(jù)讀寫控制策略,將需要控制的數(shù)據(jù)讀寫請求傳遞到所述存儲訪問重定向模塊進行處理�����; 所述應(yīng)用訪問控制模塊���, 根據(jù)應(yīng)用程序的簽名��,分析����、匹配與其對應(yīng)的應(yīng)用訪問控制策略��,并將訪問控制策略返回給所述應(yīng)用存儲訪問監(jiān)測模塊; 所述存儲訪問重定向模塊���,接收滿足訪問控制策略的數(shù)據(jù)讀寫請求���,交由加密存儲服務(wù)模塊進行處理,完成數(shù)據(jù)的加密或解密處理后���,將操作結(jié)果返回給上層進行處理�。
12.根據(jù)權(quán)利要求7-9之一所述的方法��,所述虛擬文件加密服務(wù)模塊包括:文件透明存儲加密服務(wù)模塊���、虛擬文件映射管理模塊和虛擬文件訪問模塊����; 所述存儲服務(wù)層根據(jù)環(huán)境配置�����,將重定向的數(shù)據(jù)讀寫操作建立與原始路徑的映射關(guān)系���,形成虛擬文件,所述虛擬文件的路徑與真實文件的路徑不一樣,虛擬文件的讀寫訪問會根據(jù)設(shè)定的規(guī)則調(diào)用所述加解密引擎模塊��,進行加密或者解密操作�����,保證寫到物理存儲設(shè)備上的數(shù)據(jù)安全����,具體步驟如下: 所述文件透明存儲加密服務(wù)模塊,接收所述訪問存儲重定向模塊發(fā)送過來的數(shù)據(jù)讀寫請求�,向所述虛擬文件映射管理模塊發(fā)送數(shù)據(jù)讀寫請求,并將處理結(jié)果返回����; 所述虛擬文件映射管理模塊,將數(shù)據(jù)讀寫請求的原始文件���,與存儲設(shè)備上的真實文件建立映射關(guān)系���,下發(fā)數(shù)據(jù)讀寫請求; 所述虛擬文件訪問模塊�,接收數(shù)據(jù)讀寫請求,調(diào)用所述加解密引擎模塊��,將數(shù)據(jù)進行加密或解密操作,向上層返回解密數(shù)據(jù)��,向下層提供加密處理后的數(shù)據(jù)����; 所述加解密引擎模塊,負責(zé)調(diào)度所述算法庫支持模塊和密鑰管理模塊��,對數(shù)據(jù)進行加密或者解密操作��,將結(jié)果返回給所述虛擬文件訪問模塊�; 物理文件訪問模塊,根據(jù)數(shù)據(jù)讀寫請求��,向存儲設(shè)備寫入數(shù)據(jù)�����,或者從存儲設(shè)備讀取數(shù)據(jù)并返回給所述加解密引擎模塊��。
【文檔編號】G06F21/62GK103778384SQ201410062426
【公開日】2014年5月7日 申請日期:2014年2月24日 優(yōu)先權(quán)日:2014年2月24日
【發(fā)明者】王志剛, 彭洪濤, 喻波, 王志海, 何晉昊 申請人:北京明朝萬達科技有限公司