公开/公告号CN103577771A
专利类型发明专利
公开/公告日2014-02-12
原文格式PDF
申请/专利权人 中科信息安全共性技术国家工程研究中心有限公司;
申请/专利号CN201310548540.9
申请日2013-11-08
分类号G06F21/80(20130101);G06F21/60(20130101);G06F9/455(20060101);
代理机构
代理人
地址 100080 北京市海淀区中关村大街19号新中关大厦B座北翼16层
入库时间 2024-02-19 22:44:42
法律状态公告日
法律状态信息
法律状态
2016-09-07
授权
授权
2014-03-12
实质审查的生效 IPC(主分类):G06F21/80 申请日:20131108
实质审查的生效
2014-02-12
公开
公开
技术领域
本发明涉及数据安全领域,具体涉及一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术。
背景技术
随着政府和企业信息化的发展,信息化工作的重心已经逐步从基础设施建设转向业务系统的建设,人们越来越多地借助以计算机、互联网等先进技术为代表的信息手段,将机构的运营及管理流程在线实现,所有业务数据(包含一些涉密及敏感信息)经由系统处理,快速形成管理层所需的财务报表、发展规划、电子合同、设计图纸等以各种电子文档和报表形式呈现。电子数据成为机构内部信息的主要存储方式及机构内、外部之间进行信息交换的重要载体。如何确保这些信息资产的安全问题,被人们所越来越重视。
随着计算机、笔记本电脑等设备使用数量日益增加,由于这些设备丢失、维修、非授权人员非法使用而造成的泄密事件时有发生。政府机关,军工企业等用户的计算机和笔记本的硬盘中可能存储重要的国家和部门机密,这些数据一旦丢失对国家安全都会造成较大影响。另外,在企业用户的笔记本设备中也可能存有企业的重要商业秘密,如商业合同、财务报表、设计图纸等等,这些设备一旦丢失或硬盘数据被窃取对企业也会造成不可挽回的经济损失。信息本身也如同硬件等固定资产一样,成为机构内部的一项重要的资产。
虚拟桌面是现代企业中常用的一种支持企业级实现桌面系统的远程动态访问与数据中心统一托管的技术,它将所有桌面虚拟机在数据中心进行托管并统一管理,同时用户能够获得完整PC的使用体验。
如图1所示,数据中心分配给终端用户A和B各一块硬盘,通过访问控制策略控制终端用户A和终端用户B通过各自的虚拟主机访问数据中心中属于各自的硬盘数据。但是这里存在两个安全隐患:首先是数据中心的管理员不受访问控制规则限定可以直接访问磁盘数据;其次是用户B采用一些手段可以绕过访问控制策略获取到磁盘数据(A)。
近年来,由于虚拟桌面使用不善而造成的泄密事件屡有发生,从而给机构带来了社会影响和经济损失,为防止此类的数据泄露,用户期望能有一种简单、安全、方便、有效的方式来确保存储在数据中心的数据安全。
发明内容
本发明是针对现有技术的不足,提出的一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术,该系统利用磁盘加解密技术,通过读写拦截器对虚拟桌面数据进行过滤,防止磁盘数据泄露。
一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术,通过在数据库中心与宿主虚拟桌面之间增加读拦截器、写拦截器、解密器、加密器及密码容器等五个单元模块,实现宿主虚拟桌面与数据库中心的数据密文及明文交换。
所述的基于磁盘加密读写拦截器的虚拟桌面实现数据防泄漏的方法为:
当终端用户向数据库写入数据时,终端用户通过应用程序将明文传送给宿主虚拟桌面,宿主虚拟桌面将明文数据发送给写拦截器,写拦截器将明文转发给加密器,由加密器根据密码容器对明文进行加密,然后,加密器将加密的数据转发给写拦截器,由写拦截器将密文存储到数据库中心;
当终端用户向数据库读取数据时,终端用户通过写拦截器向数据库中心发其请求,数据库中心根据请求数据将相应密文数据发送给读拦截器,读拦截器密文发送给解密器,解密器根据密码容器对密文数据进行解密并将明文数据转发给读拦截器,然后读拦截器将明文经宿主虚拟卓明发送给终端用户的应用程序。
进一步的,所述的数据库中心的数据为加密数据,数据中心管理员不能对数据库中心的数据进行解密。
进一步的,所述的每个终端用户对应一个宿主虚拟桌面,所述的每个宿主虚拟桌面均分配有不同的全盘加密口令。
本发明的有益效果在于:①通过加密器对终端用户的数据进行加密后再存储到数据库中心,有效的防止了数据库管理对数据的泄密;②通过采用读拦截器和写拦截器,有效的防治了第三方通过非合法手段窃取数据库中心的数据。
附图说明
图1 传统基于虚拟桌面的数据防泄漏保护技术拓扑图;
图2 一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术的架构拓扑图;
图3一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术数据处理流程图;
图4一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术数据处理流程图。
具体实施方式
如图2所示,本发明所述的一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术,通过在数据库中心与宿主虚拟桌面之间增加读拦截器、写拦截器、解密器、加密器及密码容器等五个单元模块,实现宿主虚拟桌面与数据库中心的数据密文及明文交换。
本发明所述的一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术在实施应用前,需要配置虚拟机,如图3所示,所述虚拟机的配置方式为:数据库管理员分配带有整盘加密的虚拟机,终端用户初始化整盘加密,然后终端用户加密整个系统。
终端用户打开终端机器时,进入虚拟桌面时需要输入全盘加密口令,如输入口令,密码验证器进行验证,验证通过,正常开机,如果验证口令不通过,则重新开机。
如图4所示,终端用户从数据库中心读取数据时,用户打开终端上的应用程序,例如使用word2007打开一个文档,读数据请求经过宿主虚拟桌面发往磁盘,磁盘得到读请求后将数据发往宿主主机,读拦截器拦截到数据,访问解密器,解密器访问密码容器获得密码,解密器对读数据进行解密,解密后的数据经过宿主虚拟桌面返回用户终端应用程序,数据中心管理员读取的磁盘数据是加密的,无法使用。
终端用户向数据库中心写数据时,用户打开终端上的应用程序,例如使用word2007打开一个文档,写入数据,点击“保存”,写数据经过宿主虚拟桌面发往磁盘,写拦截器拦截到数据,访问加密器,加密器访问密码容器获得密码,加密器对读数据进行加密,加密后的数据发往磁盘。
机译: 通过从多种加密技术中选择一种来使用的信息设备将协议用于数字内容的版权保护
机译: KAFKA:一种基于蜂窝自动化/复杂斐波那契序列的技术,用于加密和解密音频,视频和文本消息
机译: 一种通过从法定货币纸币的跟踪创建通用分类帐来使用智能现金计数设备生成和保护基于网络的加密货币的方法和系统。