专利名称:基于安全桌面的数据存储方法及装置的制作方法
技术领域:
本发明涉及数据安全处理技术领域,尤其涉及一种基于安全桌面的数据存储方法及装置。
背景技术:
安全桌面技术目前主要应用在“病毒隔离”和“防数据泄露”两个主要需求领域;在“防数据泄露”解决方案中,对数据加密和存储有严格的要求,其中数据如何存储来保证其安全性是其中的一个重要问题。安全桌面虚拟化环境在文件存储上有本地存储和服务端存储两种方式;将虚拟桌面内的文件数据保存在本地,这种方式充分利用了本地资源,但由于实体文件保存在本地,除了需要使用高强度的加密算法影响系统的性能外,还会因为实体文件保存在本地而存在数据泄密的风险;虚拟桌面内的文件数据实时保存到远程远程服务器上,这种方式又严重依赖网络带宽,对网络通讯质量要求很高,且对于外网接入的方式,系统运行的稳定性和流畅性也很难保证。
发明内容
本发明的主要目的是提供一种基于安全桌面的数据存储方法及装置,旨在解决安全桌面虚拟化环境中的数据存储问题,防止数据泄露。本发明公开了一种基于安全桌面的数据存储方法,包括以下步骤根据预置块长度,将需存储的文件按照字节数进行分块,得到数据块;在对所述文件进行重定向时,按照预置策略规则确定每个所述数据块的存储位置,并将所述数据块分别存储在本地终端和远程服务器上。优选地,所述按照预置策略规则确定每个所述数据块的存储位置包括若所述预置策略规则为限制网络带宽或数据安全性要求低,则将所述数据块存储在本地终端的比存储在远程服务器的多;若所述预置策略规则为不限制网络带宽或数据安全性要求高,则将所述数据块存储在远程服务器的比存储在本地终端的多。 优选地,所述根据预置块长度,将需存储的文件按照字节数进行分块包括根据所述预置块长度及所述文件存储时的偏移地址和字节数,利用钩子函数,对所述文件进行分块。优选地,所述根据预置块长度,将需存储的文件按照字节数进行分块包括根据所述预置块长度及字节数,通过进行文件过滤对所述文件分块。本发明还公开一种基于安全桌面的数据存储装置,包括数据块获取模块,用于根据预置块长度,将需存储的文件按照字节数进行分块,得到数据块;数据块存储模块,用于根据预置块长度,将需存储的文件按照字节数进行分块,得到数据块;优选地,所述数据块存储模块还用于在所述预置策略规则为限制网络带宽或数据安全性要求低时,将所述数据块存储在本地终端的比存储在远程服务器的多;在所述预置策略规则为不限制网络带宽或数据安全性要求高时,将所述数据块存储在远程服务器的比存储在本地终端的多。优选地,所述数据块获取模块还用于根据所述预置块长度及所述文件存储时的偏移地址和字节数,利用钩子函数,对所述文件进行分块。优选地,所述数据块获取模块还用于根据所述预置块长度及字节数,通过进行文件过滤对所述文件分块。本发明通过根据预置块长度,将需存储的文件按照字节数进行分块,得到数据块;在对文件进行重定向时,按照预置策略规则确定每个数据块的存储位置,并将数据块分别存储在本地终端和远程服务器上的方法,具有在满足带宽要求的情况下兼顾数据安全的有益效果,有效地防止了数据泄露,提高了数据的安全性。
图1是本发明基于安全桌面的数据存储方法一种具体应用场景结构示意图;图2是本发明基于安全桌面的数据存储方法一实施例流程示意图;图3是本发明基于安全桌面的数据存储方法中对文件进行分块一实施例结构示意图;图4是本发明基于安全桌面的数据存储方法中基于图3所述的分块规则进行数据块存储一实施例结构不意图;图5是本发明基于安全桌面的数据存储装置一实施例结构示意图。本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施例方式以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。参照图1,图1是本发明基于安全桌面的数据存储方法一种具体应用场景结构示意图;如图1所示,在安全桌面虚拟化环境中,网络部署与安全桌面部署保持一致,主要由安全网关、业务系统远程服务器、文件系统远程服务器及终端构成。安全桌面虚拟环境是指利用“沙盒技术”在终端上实现的一个虚拟化环境,在该环境中,终端用户对数据文件进行访问,主要包括注册、文件的创建和修改等,这些数据文件都会被加密并进行重定向处理;另外,在该环境中还可以对应用程序行为进行管控,禁止各种对计算机系统可能造成破坏的行为,比如病毒或木马等。所述的沙盒技术,也称为“沙箱技术”,它是一种虚拟化技术,通过数据重定向处理,把程序生成和修改的文件,重定向到自身文件夹中;这些变更的数据包括文件数据和注册表数据,通过此种方法实现隔离和保护系统的功能,也实现虚拟环境与真实环境之间以及虚拟环境与虚拟环境之间的隔离。
基于图1所述的安全桌面虚拟化环境,请参照图2 ;图2是本发明基于安全桌面的数据存储方法一实施例流程示意图;如图2所示,本发明基于安全桌面的数据存储方法包括以下步骤步骤S01、根据预置块长度,将需存储的文件按照字节数进行分块,得到数据块;将需要存储的文件按照字节数进行分块,分块的块长度可根据需要自由配置;t匕如,预置块长度为8字节,需要存储的文件为A ;参照图3,图3是本发明基于安全桌面的数据存储方法中对文件进行分块一实施例结构示意图;对文件A按照8个字节的块长度进行分块,分块后的文件A如图3所示,将文件A分块后得到的数据块用阿拉伯数字进行分块编号,便于后续对该数据块的存储位置进行描述。在一优选的实施例中,对存储的文件进行分块根据该存储文件所在的不同层而采用不同的方式进行;比如,对应用层的文件可以通过编写钩子函数进行分块,在写文件钩子的过程中,根据写文件偏移及写入的字节数,进行计算并分块;对驱动层的文件,可以采用文件过滤的方法对需要存储的文件进行分块;对底层的文件,可以采用其他方式对需要存储的文件进行分块。本领域的技术人员可以理解,本发明基于安全桌面的数据存储方法对需存储的文件按照字节数进行分块的方式,可以根据文件的类型及文件所处的应用环境进行具体操作,本实施例对需存储的文件进行分块的具体分块方式不作限定。步骤S02、在对所述文件进行重定向时,按照预置策略规则确定每个所述数据块的存储位置,并将所述数据块分别存储在本地终端和远程服务器上。在对文件进行重定向时,按照预先设定的策略规则确定每个数据块的存储位置。t匕如,在限制网络带宽或数据安全性要求低的情况下,可以将大部分的数据块保存在本地终端,用以缓解换网络带宽的压力;在网络质量好、带宽充裕且对数据安全性要求高的情况下,可以将大部分的数据块保存在远程服务器上,从而保证数据的高安全性,防止数据信息泄露;也可以根据实际情况,设定策略规则,比如将文件中的某些特定数据块存储在远程服务器,而将另外一部分数据块存储在本地终端。对文件划分后的数据块进行分离式存储的具体实施方式
的描述请一并参照图3和图4,图4是本发明基于安全桌面的数据存储方法中基于图3所述的分块规则进行数据块存储一实施例结构示意图;如图3所示,对文件A进行分块后,得到的数据块为数据块1、数据2等;假如预先设置的策略规则为将编号为奇数的数据块存储在本地终端,将编号为偶数的数据块存储在远程服务器上,则根据该预置策略规则,将对应的数据块分别存储在本地终端和远程服务器,最终的实现效果图即如图4所示。本领域的技术人员可以理解,预置策略规则可以根据具体应用场景进行设定;也可以根据当前网络质量、当前网络带宽、文件的机密程度等具体应用场景进行设定。另外,将需存储在远程服务器上的数据块存储至远程服务器上的存储方式可以通过系统自身提供的文件共享读写方式实现,也可以通过其他方式实现,本发明基于安全桌面的数据存储方法对需存储文件的分块方式、策略规则的设定方式及数据块存储至远程服务器的存储方式不作限定。本实施例通过根据预置块长度,将需存储的文件按照字节数进行分块,得到数据块;在对文件进行重定向时,按照预置策略规则确定每个数据块的存储位置,并将数据块分别存储在本地终端和远程服务器上的方法,具有在满足带宽要求的情况下兼顾数据安全的有益效果,有效地防止了数据泄露,提高了数据的安全性。参照图5,图5是本发明基于安全桌面的数据存储装置一实施例结构示意图。如图5所示,本发明基于安全桌面的数据存储装置包括数据块获取模块01和数据块存储模块02。数据块获取模块01,用于根据预置块长度,将需存储的文件按照字节数进行分块,得到数据块。数据块获取模块01将需要存储的文件按照字节数进行分块,分块的块长度可根据需要自由配置;比如,预置块长度为8字节,需要存储的文件为A ;参照图3,图3是本发明基于安全桌面的数据存储方法中对文件进行分块一实施例结构示意图;数据块获取模块01对文件A按照8个字节的块长度进行分块,分块后的文件A如图3所示,将文件A分块后得到的数据块用阿拉伯数字进行分块编号,便于后续对该数据块的存储位置进行描述。在一优选的实施例中,数据块获取模块01对存储的文件进行分块根据该存储文件所在的不同层而采用不同的方式进行;比如,数据块获取模块01对应用层的文件可以通过编写钩子函数进行分块,在写文件钩子的过程中,根据写文件偏移及写入的字节数,进行计算并分块;数据块获取模块01对驱动层的文件,可以采用文件过滤的方法对需要存储的文件进行分块;数据块获取模块01对底层的文件,可以采用其他方式对需要存储的文件进行分块。本领域的技术人员可以理解,本发明基于安全桌面的数据存储装置中,数据块获取模块01对需存储的文件按照字节数进行分块的方式,可以根据文件的类型及文件所处的应用环境进行具体操作,本实施例对需存储的文件进行分块的具体分块方式不作限定。数据块存储模块02,用于根据预置块长度,将需存储的文件按照字节数进行分块,得到数据块。数据块存储模块02在对文件进行重定向时,按照预先设定的策略规则确定每个数据块的存储位置。比如,在限制网络带宽或数据安全性要求低的情况下,数据块存储模块02可以将大部分的数据块保存在本地终端,用以缓解换网络带宽的压力;在网络质量好、带宽充裕且对数据安全性要求高的情况下,数据块存储模块02可以将大部分的数据块保存在远程服务器上,从而保证数据的高安全性,防止数据信息泄露;数据块存储模块02也可以根据实际情况,设定策略规则,比如将文件中的某些特定数据块存储在远程服务器,而将另外一部分数据块存储在本地终端。对文件划分后的数据块进行分离式存储的具体实施方式
的描述请一并参照图3和图4,图4是本发明基于安全桌面的数据存储方法中基于图3所述的分块规则进行数据块存储一实施例结构示意图;如图3所示,数据块获取模块01对文件A进行分块后,得到的数据块为数据块1、数据2等;假如预先设置的策略规则为将编号为奇数的数据块存储在本地终端,将编号为偶数的数据块存储在远程服务器上,则数据块存储模块02根据该预置策略规则,将对应的数据块分别存储在本地终端和远程服务器,最终的实现效果图即如图4所示。本领域的技术人员可以理解,预置策略规则可以根据具体应用场景进行设定;也可以根据当前网络质量、当前网络带宽、文件的机密程度等具体应用场景进行设定。另外,数据块存储模块02将需存储在远程服务器上的数据块存储至远程服务器上的存储方式可以通过系统自身提供的文件共享读写方式实现,也可以通过其他方式实现,本发明基于安全桌面的数据存储装置中数据块获取模块01对需存储文件的分块方式、数据块存储模块02对策略规则的设定方式及数据块存储至远程服务器的存储方式不作限定。本实施例通过根据预置块长度,将需存储的文件按照字节数进行分块,得到数据块;在对文件进行重定向时,按照预置策略规则确定每个数据块的存储位置,并将数据块分别存储在本地终端和远程服务器上,具有在满足带宽要求的情况下兼顾数据安全的有益效果,有效地防止了数据泄露,提高了数据的安全性。本领域的技术人员可以理解,基于安全桌面的数据存储方法及装置也可以运用在其他需要对数据进行存储的应用程序中,并不仅仅局限于安全桌面的虚拟化环境。以上所述仅为本发明的优选实施例,并非因此限制其专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
权利要求
1.一种基于安全桌面的数据存储方法,其特征在于,包括以下步骤根据预置块长度,将需存储的文件按照字节数进行分块,得到数据块;在对所述文件进行重定向时,按照预置策略规则确定每个所述数据块的存储位置,并将所述数据块分别存储在本地终端和远程服务器上。
2.如权利要求1所述的方法,其特征在于,所述按照预置策略规则确定每个所述数据块的存储位置包括若所述预置策略规则为限制网络带宽或数据安全性要求低,则将所述数据块存储在本地终端的比存储在远程服务器的多;若所述预置策略规则为不限制网络带宽或数据安全性要求高,则将所述数据块存储在远程服务器的比存储在本地终端的多。
3.如权利要求1所述的方法,其特征在于,所述根据预置块长度,将需存储的文件按照字节数进行分块包括根据所述预置块长度及所述文件存储时的偏移地址和字节数,利用钩子函数,对所述文件进行分块。
4.如权利要求1或3所述的方法,其特征在于,所述根据预置块长度,将需存储的文件按照字节数进行分块包括根据所述预置块长度及字节数,通过进行文件过滤对所述文件分块。
5.一种基于安全桌面的数据存储装置,其特征在于,包括数据块获取模块,用于根据预置块长度,将需存储的文件按照字节数进行分块,得到数据块;数据块存储模块,用于根据预置块长度,将需存储的文件按照字节数进行分块,得到数据块。
6.如权利要求5所述的装置,其特征在于,所述数据块存储模块还用于在所述预置策略规则为限制网络带宽或数据安全性要求低时,将所述数据块存储在本地终端的比存储在远程服务器的多;在所述预置策略规则为不限制网络带宽或数据安全性要求高时,将所述数据块存储在远程服务器的比存储在本地终端的多。
7.如权利要求5所述的装置,其特征在于,所述数据块获取模块还用于根据所述预置块长度及所述文件存储时的偏移地址和字节数,利用钩子函数,对所述文件进行分块。
8.如权利要求5或7所述的装置,其特征在于,所述数据块获取模块还用于根据所述预置块长度及字节数,通过进行文件过滤对所述文件分块。
全文摘要
本发明公开一种基于安全桌面的数据存储方法及装置,该方法包括根据预置块长度,将需存储的文件按照字节数进行分块,得到数据块;在对所述文件进行重定向时,按照预置策略规则确定每个所述数据块的存储位置,并将所述数据块分别存储在本地终端和远程服务器上。本发明通过根据预置块长度,将需存储的文件按照字节数进行分块,得到数据块;在对文件进行重定向时,按照预置策略规则确定每个数据块的存储位置,并将数据块分别存储在本地终端和远程服务器上的方法,具有在满足带宽要求的情况下兼顾数据安全的有益效果,有效地防止了数据泄露,提高了数据的安全性。
文档编号G06F21/60GK102999728SQ20121049053
公开日2013年3月27日 申请日期2012年11月27日 优先权日2012年11月27日
发明者陈楚明, 胡斌, 林彦 申请人:深圳市深信服电子科技有限公司