一种与具体业务系统结合的敏感数据的保护方法及系统与流程

本发明涉及一种敏感数据访问技术，尤其是涉及一种与具体业务系统结合的敏感数据的保护方法及保护系统。

背景技术：

最近几年来，保护敏感数据不被泄漏成为人们关注的热点问题。入侵者除了直接盗取物理存储设备，还可以通过网络攻击来窃夺文件数据；而且，由于共享的需求，敏感数据会由多人访问，这也增大了泄漏的可能性。对数据或文件进行加密已经成为一种公认的比较成功的保护方法。事实上，人们早已开发了许多优秀的加密算法，如des、aes、rsa等，并且有一些应用程序如crypt使用这些加密算法，用户通过这些工具手工地完成加密、解密的工作。由于这些应用程序操作麻烦、没有和整个系统紧密地结合而且容易受到攻击，因此一般用户并不愿意使用。

加密文件系统基本上可以分为两大类，两类的实现方式和目标都有比较大的区别。一类是面向网络存储服务的，通常是基于nfs(networkfilesystem，网络文件系统)客户/服务器模型，通常称为网络加密文件系统。在网络加密文件系统中，数据以密文的方式保存在网络文件系统中，用户通过客户机服务进程与网络文件服务器交互，网络文件服务器负责将用户请求的密文传递到客户机服务进程，由客户机服务进程进行解密再交给应用程序。在这个模型中，只要求客户机操作系统是可信的，而网络服务器由于不接触明文数据，不要求其可信。另一类是本地加密文件系统，密文数据直接存放在本地物理介质上(硬盘，u盘等)，由操作系统或服务进程完成数据的读取、加密/解密工作。本地加密文件系统的目标是应对存储介质失窃的威胁，安全模型同样把加密文件系统所在的操作系统视为可信的。

本地加密文件系统又可以细分为两种，一种是在原有的普通文件系统上直接加入加密功能，如reiser4，但是现有的ext2，ext3等常用文件系统并不支持加密功能，因此用户不得不转换整个文件系统；另一种被称为堆叠式加密文件系统(stackablecryptographicfilesystem)。这种加密文件系统可以看成一个加密/解密的转换层，而并不是一个真实的全功能文件系统。堆叠式加密文件系统没有相应的磁盘布局，也不实现数据在物理介质上存取的功能。它必须架构在别的普通文件系统之上，读加密文件时先通过下层普通文件系统将文件的密文读入内存，解密后再将明文返回到上层的用户进程；写加密文件时先将内存中的明文加密，然后传给下层普通文件系统，由它们真正地写入物理介质。堆叠式加密文件的优势在于实现相对容易(因为功能相对简单)且用户可以任意选择下层的普通文件系统来存放加密文件。

cfs和tcfs通过nfs客户/服务器模型来提供加密服务，只使用了des算法来加密文件内容。这两种文件系统主要的缺点在于：难于使用、共享加密文件非常困难、用户不能选择加密算法、交换区或临时文件可能会泄漏明文以及性能较差等等。

waycryptic是一个堆叠式加密文件系统，通过修改linux内核的虚拟文件系统层(vfs)来提供加密及解密的功能。waycryptic使用两种算法来加密文件：加密文件内容使用对称密钥算法，如aes，密钥随机产生；同时使用一种公开密钥算法，如rsa，加密刚才提及的密钥。这种综合两种加密算法的方式既保证了加密/解密的速度，又极大地提高了安全性。同时waycryptic允许加密文件方便安全地在多个用户间共享；为了应对密钥的丢失，waycryptic允许用户指定别的帐号来恢复文件。但是waycryptic主要是一个研究项目，比较适合个人单机使用，无法满足企业或需要更高安全级别的用户的需求。

windowsefs(encryptingfilesystem)是对ntfs文件系统的功能扩充，可以方便地加密ntfs卷上的文件或目录。windowsefs简单易用，功能强大，不足之处在于只能在windows操作系统的ntfs卷上才能使用，文件内容使用的加密算法比较单一。此外，如果事先没有备份证书的话，一旦重装系统就无法再访问加密文件。

ecryptfs实现的安全性完全依赖于操作系统自身的安全。如果linuxkernel被攻陷，那么黑客可以轻而易举地获得文件的明文，fek等重要信息。

技术实现要素：

本发明的目的在于克服现有技术ecryptfs企业级文件加密系统的安全性完全依赖于操作系统自身安全的缺陷，提供一种与具体业务系统结合的敏感数据的保护方法及系统，以防止系统被侵入后被非法用户获取敏感数据。

为实现上述目的，本发明提出如下技术方案：一种与具体业务系统结合的敏感数据的保护方法，包括：将敏感数据以主动保护方法与被动保护方法相结合进行保护，所述主动保护方法包括：确定具体业务逻辑后，最小范围的授权可访问敏感数据的访问进程；所述被动保护方法包括：限定登陆用户的权限及隐藏root用户。

优选地，所述主动保护方法具体包括以下步骤：

s1，业务系统启动后，完成初始化，确定所述授权访问进程；

s2，当所述授权访问进程访问敏感数据时，获取进程的相关信息；

s3，使用字符串比较算法比较判断当前进程是否可以访问敏感数据，若是，则允许进程访问敏感数据，其中，所述字符串比较算法可为kmp字符串比较算法。

优选地，步骤s2中，由业务系统中的文件加密系统回调函数获取进程的信息。

优选地，所述文件加密系统回调函数为文件读操作回调函数。

优选地，步骤s3中，若否，则向业务系统内核返回拒绝访问错误，终止进程继续访问敏感数据。

优选地，所述被动保护方法具体包括：

a1，通过linux系统中的lshell模块限定登陆用户的权限；

a2，修改系统中passwd系统配置文件来隐藏root用户。

优选地，步骤a1中，所述隐藏root用户过程包括：

a11，禁止root用户通过ssh协议访问系统；

a12，修改root用户的登陆属性，所述登陆属性包括用户名称和登陆口令；

a13，创建限定用户，所述用户用于lshell模块下；

a14，生成lshell配置文件，用于限制步骤a13中创建的用户权限。

优选地，所述方法兼容linux系统。

本发明还揭示了另外一种技术方案：一种与具体业务系统结合的敏感数据的保护系统，包括：主动保护装置和被动保护装置，其中，

所述主动保护装置，用于在确定具体业务逻辑后，最小范围的授权可访问敏感数据的访问进程，以主动保护方法对敏感数据进行保护；

所述被动保护装置，用于限定登陆用户的权限及隐藏root用户，以被动保护方法对敏感数据进行保护。

优选地，所述主动保护装置包括：

初始化单元，用于在业务系统启动后，完成初始化，确定所述授权访问进程；

获取进程信息单元，用于当所述授权访问进程访问敏感数据时，获取进程的相关信息；

访问比较单元，用于使用校验算法比较判断当前进程是否可以访问敏感数据，若是，则允许进程访问敏感数据。

优选地，所述被动保护装置包括：

权限限定单元，用于通过linux系统中的lshell模块限定登陆用户的权限；

root用户隐藏单元，用于修改系统中passwd系统配置文件来隐藏root用户。

优选地，所述root用户隐藏单元包括：

root用户禁止单元，用于禁止root用户通过ssh协议访问系统；

登陆属性修改单元，用于修改root用户的登陆属性，所述登陆属性包括用户名称和登陆口令；

限定用户创建单元，用于创建用于lshell模块下的限定用户；

lshell配置文件生成单元，用于生成lshell配置文件，来限制所述限定用户创建单元中创建的用户权限。

与现有技术相比，本发明的有益效果是：

1、本发明ecryptfs企业级文件加密系统通过针对可信任进程授权访问，同时对登录用户进行权限限制进行系统级别的保护，从而防止系统被侵入后被非法用户获取敏感数据，弥补了原ecryptfs企业级文件加密系统的安全性完全依赖于操作系统自身安全的不足。同时，兼容标准linux操作系统，无需在部署、管理上增加成本。

2、主动保护仅通过读取操作进行限制非法进程访问，不会影响系统写入操作性能。

附图说明

图1和图2均是本发明主动保护方式的流程示意图；

图3是本发明被动保护方式的流程示意图；

图4是图3中隐藏root用户的流程示意图。

具体实施方式

下面将结合本发明的附图，对本发明实施例的技术方案进行清楚、完整的描述。

本发明所揭示的一种与具体业务系统结合的敏感数据的保护方法及系统，基于linux系统现有模块功能，以主动保护方式和被动保护方式相结合的方式，达到对敏感数据保护。

其中，主动保护方式包括：确定具体业务逻辑后，最小范围内的授权特定进程可以访问敏感数据，而非授权进程无法访问数据。

具体地，本发明基于linux系统的ecryptfs企业级文件加密系统中的文件读操作回调函数实现对敏感数据的主动保护，同时，与现有系统业务系统的具体业务逻辑紧密结合，结合图1和图2所示，具体包括以下步骤：

步骤s1、业务系统启动后，完成初始化，即最小范围的授权确定可访问敏感数据的访问进程。

步骤s2、当所述授权访问进程访问敏感数据时，文件加密系统中的文件读操作回调函数此时可获取进程相关信息。

步骤s3、使用字符串比较算法比较当前授权访问进程是否可以访问敏感数据，如果可以，则允许进程访问敏感数据；否则向系统内核返回拒绝访问错误，终止进程继续访问敏感数据。其中，字符串比较算法可为kmp字符串比较算法。

优选地，本发明主动保护仅通过读取操作进行限制非法进程访问，不会影响系统写入操作性能。

被动保护是基于linux系统的lshell模块，通过lshell模块限制合法用户权限，以及修改系统passwd系统配置文件来隐藏root用户，以防止非法用户、非法进程侵入系统，达到被动保护敏感数据，加固了系统安全。如图3所示，即被动保护方法主要包括以下步骤：

a1，通过linux系统中的lshell模块限定登陆用户的权限；

a2，修改系统中passwd系统配置文件来隐藏root用户。

这里，lshell(壳层)模块是指操作系统中，提供访问内核所提供之服务的程序。

root存在于linux系统、unix系统和类unix系统中，是系统中唯一的超级用户，相当于windows系统中的administrator用户。其具有系统中所有的权限，如启动或停止一个进程，删除或增加用户，增加或者禁用硬件等等。

passwd命令用于设置用户的认证信息，包括用户密码、密码过期时间等，系统管理者则能用它管理系统用户的密码。

其中，如图4所示，对于步骤a2中，隐藏root用户方法包括以下步骤：

步骤a11、禁止root用户通过ssh(secureshell，安全外壳协议)协议访问系统。

步骤a12、修改root用户的登陆属性，所述登陆属性包括用户名称及登录口令。

需要说明的是，改用户授权给系统管理员在特殊情况下使用。

步骤a13、创建限制用户，该用户用于lshell模块下。

步骤a14、生成lshell配置文件，限制步骤a13中创建的用户权限。

另外，需要说明的是，本发明兼容标准linux操作系统，无需在部署、管理上增加成本。

本发明所揭示的一种与具体业务系统结合的敏感数据的保护系统，包括主动保护装置和被动保护装置，本发明将这两个装置配合对敏感数据进行保护。

其中，主动保护装置，用于在确定具体业务逻辑后，最小范围的授权可访问敏感数据的访问进程，以主动保护方法对敏感数据进行保护。主动保护装置具体包括：

初始化单元，用于在业务系统启动后，完成初始化，确定所述授权访问进程；

获取进程信息单元，用于当所述授权访问进程访问敏感数据时，获取进程的相关信息；

访问比较单元，用于使用字符串比较算法比较判断当前进程是否可以访问敏感数据，若是，则允许进程访问敏感数据。

被动保护装置，用于限定登陆用户的权限及隐藏root用户，以被动保护方法对敏感数据进行保护。被动保护装置具体包括：

权限限定单元，用于通过linux系统中的lshell模块限定登陆用户的权限；

root用户隐藏单元，用于修改系统中passwd系统配置文件来隐藏root用户。

其中，root用户隐藏单元具体包括：

root用户禁止单元，用于禁止root用户通过ssh协议访问系统；

登陆属性修改单元，用于修改root用户的登陆属性，所述登陆属性包括用户名称和登陆口令；

限定用户创建单元，用于创建用于lshell模块下的限定用户；

lshell配置文件生成单元，用于生成lshell配置文件，来限制所述限定用户创建单元中创建的用户权限。

本发明的技术内容及技术特征已揭示如上，然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰，因此，本发明保护范围应不限于实施例所揭示的内容，而应包括各种不背离本发明的替换及修饰，并为本专利申请权利要求所涵盖。