专利名称:一种实现磁盘数据安全保护的方法及装置的制作方法
技术领域:
本发明涉及信息安全技术,特别涉及一种实现磁盘数据安全保护的方法及装置。
背景技术:
内部战略规划、技术秘密、商业机密这些敏感数据广泛存在于企事业单位中,这些 敏感数据通常都要求被严格限定在一定范围内使用,如果泄露到企事业单位之外,将会对 企事业单位的利益造成严重的损害,甚至是毁灭性的。企事业单位内大部分的泄密行为是 由内部工作人员造成的,这里面包含了有意和无意的行为。可通过对从企事业单位内部输 出的数据采取敏感性检测和过滤等错误,控制无意的泄密行为;但是,对于内部工作人员有 意的窃密行为,目前没有完善的解决方案。现有的防止信息泄漏的方案为将重要信息或数据以密文形式保存于存储介质上, 这样,即使存储介质被遗失或窃取,在不丢失解密所需的信息的前提下,以密文形式保存的 重要信息或数据是安全的。但是,在实际应用中,对重要信息或数据的加密不能影响用户对 重要信息或数据的正常使用,因此,加密的重要信息或数据的明文数据是可以被系统中的 程序读取的,这就可能使木马软件通过系统读取加密的重要信息或数据的明文数据,或使 得某些软件通过扫描硬盘获取加密的重要信息或数据的明文数据,给磁盘数据的安全带来 急 ^^ ο
发明内容
有鉴于此,本发明的目的在于提供一种实现磁盘数据安全保护的方法,该方法能 够对访问磁盘数据的软件进行安全监控,提高磁盘数据的安全性。本发明的目的在于提供一种实现磁盘数据安全保护的装置,该装置能够对访问磁 盘数据的软件进行安全监控,提高磁盘数据的安全性。为达到上述目的,本发明的技术方案具体是这样实现的—种实现磁盘数据安全保护的方法,该方法包括对访问磁盘的软件进行监控,判断所述软件是否具有访问权限,如果确定具有访 问权限,允许此次访问;否则,拒绝此次访问;所述磁盘为用于保存数据密文的存储介质。较佳地,所述对访问磁盘的软件进行监控之前,进一步包括根据所述磁盘保存的数据密文、及预设的每一个数据密文的访问权限,建立合法 软件列表。上述方法中,所述判断所述软件是否具有访问权限包括获取所述软件在系统中的进程信息;通过判断所述进程信息是否保存于所述合法 软件列表中来确定所述软件是否具有访问权限。较佳地,所述允许此次访问之后进一步包括确定此次访问为读取数据,根据保存的密钥对磁盘保存的数据密文进行解密,获得磁盘保存的数据密文的明文数据。较佳地,所述允许此次访问之后进一步包括确定此次访问为写入数据,根据保存的密钥对待写入的数据进行加密,将获得的 数据密文保存于所述磁盘。一种实现磁盘数据安全保护的装置,该装置包括虚拟磁盘模块,用于保存数据密文;状态监控模块,对访问虚拟磁盘模块的软件进行监控,确定所述软件具有访问权 限,则允许所述软件对所述虚拟磁盘模块的访问;确定所述软件不具有访问权限,则拒绝所 述软件对所述虚拟磁盘模块的访问。较佳地,所述状态监控模块进一步根据预设的对每一个数据密文具有访问权限的 合法软件,建立合法软件列表;所述合法软件列表记载有对所述虚拟磁盘模块中保存的数 据密文具有访问权限的合法软件的信息;所述状态监控模块进一步获取所述软件在系统中的进程信息,通过判断所述进程 信息是否保存于所述合法软件列表来确定所述软件是否具有访问权限。较佳地,所述虚拟磁盘模块进一步根据所述软件的访问指令,将所述软件读取的 数据密文解密后输出,或者将所述软件写入的数据加密后保存。上述装置中,所述状态监控模块包括列表维护单元,用于保存合法软件列表;访问拦截单元,根据预设的对每一个数据密文具有访问权限的合法软件,建立合 法软件列表,输出所述合法软件列表至所述列表维护单元;对访问所述虚拟磁盘模块的软 件进行拦截,获取所述软件在系统中的进程信息;从所述列表维护单元中读取所述合法软 件列表;判断所述软件在系统中的进程信息是否保存于所述合法软件列表中,如果是,则确 定所述软件具有访问权限,放行所述软件对所述虚拟磁盘模块的访问;否则,拒绝所述软件 对所述虚拟磁盘模块的访问。上述装置中,所述虚拟磁盘模块包括存储单元,用以保存数据密文;虚拟磁盘控制单元,根据所述软件的访问指令确定所述软件的访问操作为读取数 据,输出读数据指令至所述数据解密单元;根据所述软件的访问指令确定所述软件的访问 操作为写入数据,输出写数据指令至所述数据加密单元;所述读数据指令携带有待读取的 数据密文信息;所述写数据指令携带有待写入的数据;数据加密单元,根据写数据指令获取密钥,利用密钥对待写入的数据进行加密获 得数据密文,输出所述数据密文至所述存储单元保存;数据解密单元,根据读数据指令获取密钥,从所述存储单元获取待读取的数据密 文,利用密钥对所述待读取的数据密文进行解密获得明文数据,通过所述虚拟磁盘控制单 元输出所述明文数据。由上述的技术方案可见,本发明提供了一种实现磁盘数据安全保护的方法,该方 法中,对访问磁盘的软件进行监控,判断所述软件是否具有访问权限,如果确定具有访问权 限,允许此次访问;否则,拒绝此次访问。本发明还提供了一种实现磁盘数据安全保护的装 置,该装置中的虚拟磁盘模块用于保存数据密文;状态监控模块对访问虚拟磁盘模块的软件进行监控,确定所述软件具有访问权限,则允许所述软件对所述虚拟磁盘模块的访问,确 定所述软件不具有访问权限,则拒绝所述软件对所述虚拟磁盘模块的访问。采用本发明的 方法及装置,能够对访问磁盘数据的软件进行安全监控,在不影响对数据密文的正常使用 的情况下,提高了安全性。
图1为本发明实现磁盘数据安全保护的方法流程图。图2为本发明实现磁盘数据安全保护的装置的结构示意图。
具体实施例方式为使本发明的目的、技术方案、及优点更加清楚明白,以下参照附图并举实施例, 对本发明进一步详细说明。本发明提供的实现磁盘数据安全保护的方法及装置,对访问保存数据密文的磁盘 的软件进行监控,在确认软件为合法软件后,允许软件的访问,否则拒绝软件的访问;在允 许软件的访问后,可根据具体的读数据操作或写数据操作,将待读取的数据密文解密后提 供给软件使用,或者将待写入的数据加密后进行保存,在不影响对数据密文的正常使用的 前提下,提高了安全性。图1为本发明实现磁盘数据安全保护的方法流程图。现结合图1,对本发明实现磁 盘数据安全保护的方法进行说明,具体如下步骤101 建立合法软件列表;根据对磁盘保存的每一个数据密文设置的具有访问权限的合法软件的信息,建立 一合法软件列表。较佳地,合法软件列表中记载的合法软件的信息为合法软件在系统的进 程信息。合法软件列表中记载的合法软件可根据用户对安全性的需求进行添加或删除。磁盘为用以保存机密数据或重要数据的存储介质;磁盘上的数据都是以数据密文 的形式进行存储的;数据密文就是利用密钥对数据加密后获得的。所述密钥的明文经公钥加密后存储于磁盘所在的设备中,在磁盘所在的设备启动 运行后,密钥的明文经公钥加密后的数据经用户提供的私钥解密后,保存在内存中。步骤102 对访问磁盘的软件进行拦截,获取软件的进程信息;拦截所有试图访问磁盘的软件,获取软件在系统中的进程信息。本发明软件对磁 盘的访问可为对磁盘的读数据操作或对磁盘的写数据操作。该步骤中,可采用现有的程序拦截方法对访问磁盘的软件进行拦截,可采用现有 的信息获取方法获取软件在系统中的进程信息,在此不再赘述。步骤103 判断软件的进程信息是否保存于合法软件列表中,如果是,执行步骤 104,否则,执行步骤108 ;在确定合法软件列表中包含软件在系统中的进程信息,则执行步骤104,否则执行 步骤108。步骤104 放行软件对磁盘的访问;取消软件对磁盘的访问拦截,允许软件对磁盘的访问。步骤105 判断软件对磁盘的访问的类型,如果是读数据操作,执行步骤106,如果
6是写数据操作,执行步骤107:根据软件对磁盘的访问指令是读数据指令还是写数据指令,来确定软件对磁盘的 访问的类型是读数据操作还是写数据操作。读数据指令中携带有待读取的数据信息;写数据指令中携带有待写入的数据。步骤106 根据保存的密钥对数据密文进行解密获得明文数据,读取明文数据;之 后执行步骤109 ;根据读数据指令中携带的待读取数据的信息,从磁盘中读取数据密文;利用保存 于内存的密钥对数据密文进行解密获得明文数据;输出明文数据,以供软件的正常使用。明 文数据为加密前的数据。步骤107 根据保存的密钥对待写入的数据进行加密获得数据密文,保存数据密 文;之后执行步骤109 ;根据写数据指令中携带的待写入的数据、及保存于内存的密钥,利用密钥对待写 入的数据进行加密获得数据密文,将数据密文保存在磁盘上。步骤108 拒绝软件对磁盘的访问;保持对软件的拦截,禁止软件对磁盘上保存的数据进行读写操作。步骤109 结束。本发明的上述实施例中,对加密操作和解密操作时,可采用现有的对称加密算法 或非对称加密算法,在此不再赘述。图2为本发明实现磁盘数据安全保护的装置的结构示意图。现结合图2,对本发明 实现磁盘数据安全保护的装置进行说明,具体如下本发明实现磁盘数据安全保护的装置包括虚拟磁盘模块20和状态监控模块21。虚拟磁盘模块20用于保存数据密文;判断软件的访问是读数据操作还是写数据 操作,确定是读数据操作后,利用密钥将软件待读取的数据密文解密后输出;确定是写数据 操作后,利用密钥将软件待写入的数据加密后获得数据密文并保存。所述密钥保存于内存 中。虚拟磁盘模块20可位于一设备的存储介质中;所述设备可为进行磁盘数据安全保护的 设备。本发明的虚拟磁盘模块20可通过现有的文件过滤层驱动程序实现上述功能;该驱动 程序符合Windows操作系统的过滤层驱动规范,实现加密验证及解密的功能;本发明的虚 拟磁盘模块还可进一步包含一个与驱动程序交互的应用层程序,以协助驱动程序实现上述 功能。状态监控模块21根据预设的具有访问权限的合法软件建立合法软件列表,保存 合法软件列表。合法软件列表中记录有对虚拟磁盘模块20保存的多个数据密文中的每一 个数据密文具有访问权限的多个合法软件的信息;较佳地,合法软件的信息为合法软件在 系统中的进程信息。状态监控模块21对访问虚拟磁盘模块20的软件进行监控,获取软件在系统中的 进程信息;通过判断软件的进程信息是否保存于合法软件列表来确定软件是否具有访问权 限;在确定软件具有访问权限后,放行软件对虚拟磁盘模块20的访问;在确定软件不具有 访问权限后,拒绝软件对虚拟磁盘模块20的访问。状态监控模块21可通过现有的使用hook 技术的驱动程序、及一个与驱动程序交互的应用层程序来实现上述功能。其中,虚拟磁盘模块20包括存储单元201、虚拟磁盘控制单元202、数据加密单元203和数据解密单元204。存储单元201用于保存数据密文。虚拟磁盘控制单元202用于根据软件的访问指令确定软件的访问操作为读取数 据,输出读数据指令至数据解密单元204 ;根据软件的访问指令确定软件的访问操作为写 入数据,输出写数据指令至数据加密单元203。虚拟磁盘控制单元202将接收到的明文数据 作为响应信息反馈给所述软件。读数据指令中携带有待读取的数据密文信息;写数据指令 中携带有待写入的数据。数据加密单元203根据写数据指令从获取密钥;利用密钥对写数据指令中携带的 待写入数据进行加密获得数据密文,输出数据密文至存储单元201保存。数据加密单元203 可根据写数据指令从内存获取密钥。数据解密单元204根据读数据指令获取密钥,从存储单元201获取待读取的数据 密文;利用密钥对待读取的数据密文进行解密获得明文数据,将明文数据作为读数据指令 的响应信息输出至虚拟磁盘控制单元202。数据解密单元204根据读数据指令从内存获取 密钥。其中,状态监控模块21包括列表维护单元211和访问拦截单元212。列表维护单元211用于保存合法软件列表。访问拦截单元212根据预设的具有访问权限的合法软件建立合法软件列表,输出 合法软件列表至列表维护单元211 ;对访问虚拟磁盘模块20的软件进行拦截,获取软件在 系统中的进程信息;通过判断软件的进程信息是否保存于合法软件列表来确定软件是否具 有访问权限;在确定软件具有访问权限后,放行软件对虚拟磁盘模块20的访问;在确定软 件不具有访问权限后,拒绝软件对虚拟磁盘模块20的访问。本发明的上述较佳实施例提供了一种文件加密和实时监控相结合的数据保护方 法及装置,在上述实施例中,具有访问权限的软件可获得数据密文的明文数据,数据的加密 并不影响用户的正常使用;通过对访问磁盘的软件的拦截和访问权限的验证,防御了恶意 软件对磁盘保存的机密数据或重要信息的窃取,在当前的网络环境下,实现了对访问磁盘 数据的软件进行安全监控,提高磁盘数据的安全性。以上所述仅为本发明的较佳实施例而已,并不用于限制本发明,凡在本发明的精 神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种实现磁盘数据安全保护的方法,其特征在于,该方法包括对访问磁盘的软件进行监控,判断所述软件是否具有访问权限,如果确定具有访问权 限,允许此次访问;否则,拒绝此次访问;所述磁盘为用于保存数据密文的存储介质。
2.根据权利要求1所述的方法,其特征在于,所述对访问磁盘的软件进行监控之前,进 一步包括根据所述磁盘保存的数据密文、及预设的每一个数据密文的访问权限,建立合法软件 列表。
3.根据权利要求2所述的方法,其特征在于,所述判断所述软件是否具有访问权限包括获取所述软件在系统中的进程信息;通过判断所述进程信息是否保存于所述合法软件 列表中来确定所述软件是否具有访问权限。
4.根据权利要求1、2或3所述的方法,其特征在于,所述允许此次访问之后进一步包括确定此次访问为读取数据,根据保存的密钥对磁盘保存的数据密文进行解密,获得磁 盘保存的数据密文的明文数据。
5.根据权利要求1、2或3所述的方法,其特征在于,所述允许此次访问之后进一步包括确定此次访问为写入数据,根据保存的密钥对待写入的数据进行加密,将获得的数据 密文保存于所述磁盘。
6.一种实现磁盘数据安全保护的装置,其特征在于,该装置包括 虚拟磁盘模块,用于保存数据密文; 状态监控模块,对访问虚拟磁盘模块的软件进行监控,确定所述软件具有访问权限,则 允许所述软件对所述虚拟磁盘模块的访问;确定所述软件不具有访问权限,则拒绝所述软 件对所述虚拟磁盘模块的访问。
7.根据权利要求6所述的装置,其特征在于,所述状态监控模块进一步根据预设的对 每一个数据密文具有访问权限的合法软件,建立合法软件列表;所述合法软件列表记载有 对所述虚拟磁盘模块中保存的数据密文具有访问权限的合法软件的信息;所述状态监控模块进一步获取所述软件在系统中的进程信息,通过判断所述进程信息 是否保存于所述合法软件列表来确定所述软件是否具有访问权限。
8.根据权利要求6或7所述的装置,其特征在于,所述虚拟磁盘模块进一步根据所述软 件的访问指令,将所述软件读取的数据密文解密后输出,或者将所述软件写入的数据加密 后保存。
9.根据权利要求7所述的装置,其特征在于,所述状态监控模块包括 列表维护单元,用于保存合法软件列表;访问拦截单元,根据预设的对每一个数据密文具有访问权限的合法软件,建立合法软 件列表,输出所述合法软件列表至所述列表维护单元;对访问所述虚拟磁盘模块的软件进 行拦截,获取所述软件在系统中的进程信息;从所述列表维护单元中读取所述合法软件列 表;判断所述软件在系统中的进程信息是否保存于所述合法软件列表中,如果是,则确定所述软件具有访问权限,放行所述软件对所述虚拟磁盘模块的访问;否则,拒绝所述软件对所 述虚拟磁盘模块的访问。
10.根据权利要求8所述的装置,其特征在于,所述虚拟磁盘模块包括 存储单元,用以保存数据密文;虚拟磁盘控制单元,根据所述软件的访问指令确定所述软件的访问操作为读取数据, 输出读数据指令至所述数据解密单元;根据所述软件的访问指令确定所述软件的访问操作 为写入数据,输出写数据指令至所述数据加密单元;所述读数据指令携带有待读取的数据 密文信息;所述写数据指令携带有待写入的数据;数据加密单元,根据写数据指令获取密钥,利用密钥对待写入的数据进行加密获得数 据密文,输出所述数据密文至所述存储单元保存;数据解密单元,根据读数据指令获取密钥,从所述存储单元获取待读取的数据密文,利 用密钥对所述待读取的数据密文进行解密获得明文数据,通过所述虚拟磁盘控制单元输出 所述明文数据。
全文摘要
本发明提供了发明提供了一种实现磁盘数据安全保护的方法,该方法中,对访问磁盘的软件进行监控,判断所述软件是否具有访问权限,如果确定具有访问权限,允许此次访问;否则,拒绝此次访问。本发明还提供了一种实现磁盘数据安全保护的装置,该装置中的虚拟磁盘模块用于保存数据密文;状态监控模块对访问虚拟磁盘模块的软件进行监控,确定所述软件具有访问权限,则允许所述软件对所述虚拟磁盘模块的访问,确定所述软件不具有访问权限,则拒绝所述软件对所述虚拟磁盘模块的访问。采用本发明的方法及装置,能够对访问磁盘数据的软件进行安全监控,在不影响对数据密文的正常使用的情况下,提高了安全性。
文档编号G06F12/14GK102073598SQ20101061035
公开日2011年5月25日 申请日期2010年12月28日 优先权日2010年12月28日
发明者孙吉平, 韩勇 申请人:北京深思洛克软件技术股份有限公司