计算机虚拟化环境中的数据防泄露方法
【专利摘要】本发明公开了一种计算机虚拟化环境中的数据防泄露方法。数据防泄露方法包括:在计算机操作系统中注册文件系统模块和中间层模块,文件系统模块在计算机中创建经加密的文件存储空间;在用户启动操作系统后,运行与用户相关联的虚拟化环境,并在文件存储空间中为虚拟化环境配置目标存储文件;通过中间层模块监视用户对虚拟化环境的操作,并将相应产生的用户数据重定向至目标存储文件,以保护用户数据,防止用户数据泄露。本发明通过加密的文件存储空间来重定向虚拟化环境中的用户数据,能够对用户数据进行安全保护,防止用户数据泄露,并且对用户的操作透明,不会影响用户的操作。
【专利说明】计算机虚拟化环境中的数据防泄露方法
【技术领域】
[0001]本发明涉及计算机应用领域,尤其是涉及一种计算机虚拟化环境中的数据防泄露方法。
【背景技术】
[0002]虚拟化技术是为用户提供基于物理硬件的逻辑使用场景,包括计算机硬件虚拟化、桌面虚拟化等。硬件虚拟化是指在真实的计算机硬件基础上为用户虚拟出多个相同的虚拟化环境,每个虚拟化环境都可以在原有的计算机硬件基础上运行各自的操作系统。桌面虚拟化是以云服务为基础,为用户提供一个系统桌面,但所有的操作和数据、计算等都在云服务器上进行。
[0003]在虚拟化环境中,敏感的用户数据视为用户的隐私,需要严格保密,因此,数据防泄漏是目前信息安全领域的重要需求。在数据防泄漏方面要求对用户数据进行安全保护。但是,现有技术中的计算机直接暴漏在网络中或者管理员面前,如果网络存在安全漏洞或者管理员不可信,那么用户数据将会被泄露、被窃取。
【发明内容】
[0004]本发明所要解决的技术问题是:针对上述存在的问题,提供一种计算机虚拟化环境中的数据防泄露方法,能够对用户数据进行安全保护,防止用户数据泄露,并且对用户的操作透明,不会影响用户的操作。
[0005]本发明采用的技术方案是提供一种计算机虚拟化环境中的数据防泄露方法,所述数据防泄露方法包括:在计算机操作系统中注册文件系统模块和中间层模块,所述文件系统模块在计算机中创建经加密的文件存储空间;在用户启动所述操作系统后,运行与用户相关联的虚拟化环境,并在所述文件存储空间中为所述虚拟化环境配置目标存储文件;通过所述中间层模块监视用户对所述虚拟化环境的操作,并将相应产生的用户数据重定向至所述目标存储文件,以保护所述用户数据,防止所述用户数据泄露。
[0006]优选地,所述数据防泄露方法还包括:在用户注销或退出所述虚拟化环境时,通过所述文件系统模块销毁所述目标存储文件。
[0007]优选地,所述用户数据至少包括下面一种:文件浏览缓存数据、文件操作数据、注册表数据和虚拟化环境的系统缓存数据。
[0008]优选地,所述虚拟化环境由用户启动运行或者在所述操作系统上自行启动运行。
[0009]优选地,所述文件系统模块对所述文件存储空间的读写进行加密。
[0010]优选地,所述操作系统为Windows XP或Windows7。
[0011]综上所述,由于采用了上述技术方案,本发明的有益效果是:由文件系统模块创建经加密的文件存储空间,由中间层模块监视用户对虚拟化环境的操作,并将相应产生的用户数据重定向至目标存储文件,由于目标存储文件受加密保护,从而能够对用户数据进行安全保护,防止用户数据泄露,并且对用户的操作透明,不会影响用户的操作,对数据防泄漏技术的标准化将起到积极的促进作用。
【专利附图】
【附图说明】
[0012]本发明将通过例子并参照附图的方式说明,其中:
[0013]图1是本发明计算机虚拟化环境中的数据防泄露方法一个实施例的流程示意图。
[0014]图2是本实施例的数据泄露方法的实现原理图。
【具体实施方式】
[0015]本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
[0016]本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
[0017]如图1所示,是本发明计算机虚拟化环境中的数据防泄露方法一个实施例的流程示意图。本实施例的数据防泄露方法包括以下步骤:
[0018]Sll:在计算机操作系统中注册文件系统模块和中间层模块,文件系统模块在计算机中创建经加密的文件存储空间。
[0019]S12:在用户启动操作系统后,运行与用户相关联的虚拟化环境,并在文件存储空间中为虚拟化环境配置目标存储文件。
[0020]S13:通过中间层模块监视用户对虚拟化环境的操作,并将相应产生的用户数据重定向至目标存储文件,以保护用户数据,防止用户数据泄露。
[0021]具体地,本实施例的操作系统可以是Windows XP或Windows7等。文件存储空间可以建立在计算机的物理磁盘上。用户数据至少包括文件浏览缓存数据、文件操作数据、注册表数据和虚拟化环境的系统缓存数据中的一种,当然,还可以用户数据还可以是其它涉及用户隐私或安全的数据,例如,用户在网页上输入的账号、密码等信息。用户开机启动并进入操作系统后,虚拟化环境可以由用户启动运行或者在操作系统上自行启动运行,操作系统启动时默认加载并启动虚拟化环境。在虚拟化环境中,用户的所有操作都和操作系统隔离。
[0022]由于用户数据在目标存储文件中受到加密保护,不会被泄露。即使目标存储文件被窃取,目标存储文件也处于密文状态,从而为用户提供安全的系统运行环境。可选地,文件系统模块对文件存储空间的读写进行加密。
[0023]可选地,数据防泄露方法还包括:在用户注销或退出虚拟化环境时,通过文件系统模块销毁目标存储文件。在用户注销或退出虚拟化环境时,目标存储文件会被粉碎并销毁,并且无法恢复,所以不会泄漏用户任何的敏感信息。
[0024]本发明实施例中计算机依靠文件系统模块和中间层模块对用户数据进行保护,形成一个完整的数据保护体系。下面描述本发明实施例的技术特点:
[0025]1.在实际应用中通过HOOK (钩子)技术对文件存储空间进行加密处理。
[0026]2.修改系统缓存机制,使用系统运行时产生的缓存文件或临时文件重定向到目标存储文件。[0027]3.实现虚拟化注册表,虚拟化环境内的注册表操作被重定向到目标存储文件进行保护。
[0028]4.实现文件系统加密保护,对文件系统的操作数据进行加密保护,确保存储在文件系统中的文件是密文状态。
[0029]5.用户注销后,会自动清除和粉碎虚拟化化环境中产生的所有数据。
[0030]6.可以适应于多种常用的操作系统,包括Windows XP、Windows7等。
[0031]下面结合图2说明本发明实施例的实现原理。
[0032]计算机的操作系统上虚拟出多个虚拟化环境,包括虚拟化环境I和虚拟换环境2。每个虚拟化环境中包括虚拟文件浏览缓存目录、虚拟磁盘驱动器、虚拟注册表和虚拟系统缓存目录。虚拟文件浏览缓存目录用于记录文件浏览缓存数据,虚拟磁盘驱动器用于记录文件操作数据,虚拟注册表用于记录注册表数据,虚拟系统缓存目录用于记录虚拟化环境的系统缓存数据。
[0033]再应用本实施例的数据防泄漏方法时,需要在计算机操作系统中注册文件系统模块和中间层模块,文件系统模块在计算机中创建经加密的文件存储空间。文件存存空间是计算机物理磁盘存储空间的一部分。中间层模块分为浏览缓存重定向模块、文件操作重定向模块、注册表重定向模块、系统缓存重定向模块。浏览缓存重定向模块用于监视各虚拟化环境中的虚拟文件浏览缓存目录并将其中的文件浏览缓存数据重定向到文件存储空间中的目标存储文件。文件操作重定向模块用于监视各虚拟化环境中的虚拟磁盘驱动器并将其中的文件操作数据重定向到目标存储文件。注册表重定向模块用于监视各虚拟化环境中的虚拟注册表并将其中的注册表数据重定向到目标存储文件。系统缓存重定向模块用于监视各虚拟化环境中的虚拟系统缓存目录并将其中的系统缓存数据重定向到目标存储文件。
[0034]通过上述方式,本发明的数据防泄露方法通过注册文件系统模块和中间层模块到操作系统,文件系统模块创建经加密的文件存储空间,由中间层模块监视用户对虚拟化环境的操作,并将相应产生的用户数据重定向至目标存储文件,由于目标存储文件受加密保护,从而能够对用户数据进行安全保护,防止用户数据泄露,即使目标存储文件被窃取,目标存储文件也处于密文状态。并且对用户的操作透明,不会影响用户的操作,对数据防泄漏技术的标准化将起到积极的促进作用,
[0035]本发明并不局限于前述的【具体实施方式】。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
【权利要求】
1.一种计算机虚拟化环境中的数据防泄露方法,其特征在于,所述数据防泄露方法包括: 在计算机操作系统中注册文件系统模块和中间层模块,所述文件系统模块在计算机中创建经加密的文件存储空间; 在用户启动所述操作系统后,运行与用户相关联的虚拟化环境,并在所述文件存储空间中为所述虚拟化环境配置目标存储文件; 通过所述中间层模块监视用户对所述虚拟化环境的操作,并将相应产生的用户数据重定向至所述目标存储文件,以保护所述用户数据,防止所述用户数据泄露。
2.根据权利要求1所述的数据防泄露方法,其特征在于,所述数据防泄露方法还包括: 在用户注销或退出所述虚拟化环境时,通过所述文件系统模块销毁所述目标存储文件。
3.根据权利要求1或2所述的数据防泄露方法,其特征在于,所述用户数据至少包括下面一种: 文件浏览缓存数据、文件操作数据、注册表数据和虚拟化环境的系统缓存数据。
4.根据权利要求1所述的数据防泄露方法,其特征在于,所述虚拟化环境由用户启动运行或者在所述操作系统上自行启动运行。
5.根据权利要求1所述的数据防泄露方法,其特征在于,所述文件系统模块对所述文件存储空间的读写进行加密。
6.根据权利要求1所述的数据防泄露方法,其特征在于,所述操作系统为WindowsXP或 Windows7。
【文档编号】G06F21/62GK104021354SQ201410283457
【公开日】2014年9月3日 申请日期:2014年6月23日 优先权日:2014年6月23日
【发明者】邹雷 申请人:成都卫士通信息产业股份有限公司