专利名称:网络环境下基于安全桌面的信息防泄漏技术的制作方法
技术领域:
本发明涉及网络安全方法,尤其是网络环境下基于安全桌面的信息防泄漏方法。
背景技术:
计算机和网络技术的发展,将很多从前只能手动处理的事务都变成了电子化过程。编写文档、制作设计图、发布新闻、传送信息等日常工作如今都能以高度电子化的形式进行。在电子化办公和生活越来越不可代替时,由此产生的安全因素也变得日益严峻起来。
许多涉及高度机密的单位企业,在享受电子化办公带来的巨大利益时,也不得不采取种种手段对付由于计算机和网络带来信息泄密的危害。在这样的需求下,市场上产生了各式各样的终端安全解决技术。
目前市场上已使用的技术方法,基本状况如下(1)独立的主机技术独立的主机设备技术只提供给用户显示器和鼠标、键盘,操作系统运行在远端的主机设备上,两者之间通过数据线相连。所有独立的主机设备都集中存放在一起,由管理员统一管理。
这种方案在部署的时候很复杂,尤其是在企业单位不想变更原来的环境时,部署起来更加困难。原本个人电脑出现问题时,通常由操作者自身解决,但集中主机设备后,这就变成了管理员的职责,而且需要维护的设备数量又是巨大的。
当个人电脑非常流行的时代,许多企业不具备采用价格昂贵而又不灵活的主机系统的条件。
(2)基于原始桌面的保护技术当个人机器启动完成后,呈现给用户一个工作环境,通常称为“桌面”,桌面上可以运行各种应用程序,也可以将应用程序产生的文件保存在磁盘目录中。本发明将机器正常启动后呈现给用户的桌面称为“原始桌面”,以便和后面本发明提到的“安全桌面”相区分。
所谓基于原始桌面的保护技术的实现手段是对原始桌面的加固和审计。它为了实现资料不被从PC机上带走,对USB等通信接口进行封堵,将文件进出等敏感操作进行记录以便审计。
这种技术方案较第一种方案而言,工作在PC机上,便于部署。但这种技术属于被动防御技术,随着技术不断演进,新的通信手段推陈出新,意味着新的漏洞就会出现,这个方案就面临不断升级。
另外,这种方案的实质问题是,所有的资料都存放在用户本机,这样资料泄漏的可能性是比较大的,例如将硬盘拆下。
(3)加密存储技术针对存储安全问题,可以采用基于硬件身份(如U盘)的加解密机制,除非用特定的标识用户身份的密钥才能解密读取硬盘中的资料。这种措施在一定程度上提高了安全性。但是问题在于公司雇员仍然有办法将资料传送走。因为个人电脑所有者(公司员工)他能读取属于他本机的资料。总之这种方法可以防止个人电脑所有者之外的人读取这台电脑上的资料,但不能防止员工本人。而且这种方法无法阻止员工从公司服务器上下载资料而可能造成的资料泄密。
发明内容
本发明目的是提出一种网络环境下基于安全桌面的信息防泄漏方法,根据现有信息保密技术存在的一些应用上的不足,将网络控制技术与基于安全桌面的终端安全技术很好的融合,推出了基于安全桌面的网络环境信息防泄漏技术方案。
本发明的技术解决方案是网络环境下基于安全桌面的信息防泄漏方法,计算机通过内容控制网关与内网服务器通信,内网服务器前端设有内容控制网关;其特征在内网的计算机设有“安全桌面”工作软件,计算机与内容控制网关之间采用加密隧道,计算机本机保存文件采用加密方式,计算机本机设有密钥,所述密钥保存在指定服务器上、以硬件或软件身份认证设定;以安全桌面工作软件为基础,使文件的本机保存和网络传输采用加密方式的工作系统,具体流程是终端计算机试图访问内网服务器,首先必须登录内容控制网关;内容控制网关检查计算机是否启用安全桌面,这种握手协商机制是周期性进行的;而且在加密的通道中进行;内容控制网关根据终端权限和安全桌面激活的情况确定是否执行访问代理;如果终端未激活安全桌面,则访问就被拒绝;通过安全桌面只能访问内容控制网关,不能访问其他网址;终端计算机完成会话过程后,退出安全桌面,清除本机加密存储空间中的所有内容。计算机通过内容控制网关与内网服务器通信,计算机与内容控制网关之间采用SSL加密隧道,计算机本机保存文件采用3DES等加密方式,计算机本机设有密钥,所述密钥保存在指定服务器上或以硬件身份认证或其它方法设定密钥。
在内网的计算机系统盘符中创建一个特殊文件夹,这个文件夹包含三个子文件夹“所有桌面”、“快速启动”和“all_data”,这个文件原始桌面进程无法识别。其中三个子文件夹分别保存安全桌面中的桌面显示项目,快速启动栏和所有保存下来的数据;之后,安全桌面拷贝原始桌面所有快捷方式到这个“所有桌面”文件夹,拷贝快速启动栏中的内容到“快速启动”文件夹;安全桌面软件修改注册表,将对系统各个盘符的访问改成加权访问。即访问因素由原始桌面、安全桌面决定;控制USB等数据通信接口只有原始桌面可以访问,安全桌面不能访问;而本地磁盘两个桌面都能访问。
内容控制网关与计算机正式数据交互前,首先进行SSL握手协商,用以建立SSL加密隧道。为了加密隧道的安全,网关与计算机之间会根据设置情况周期性重新协商加密密钥;内容控制网关检查计算机是否启用安全桌面,如果计算机没有启用安全桌面,网关可以根据策略设置,拒绝其访问,或者强制其启动安全桌面;通过安全桌面只能访问内容控制网关,不能访问其他网址,以确保安全性;通信在加密的通道中进行,有效防止回放攻击。终端计算机完成会话过程后,退出安全桌面,清除本机加密存储空间中的所有内容。
SSL机制简单介绍SSL(Secure Socket Layer)是Netscape公司设计的主要用于web的安全传输协议。这种协议在WEB上获得了广泛的应用。
IETF将SSL作了标准化,即RFC2246,并将其称为TLS(Transport Layer Security),从技术上讲,TLS1.0与SSL3.0的差别非常微小。
SSL是一条安全的通道,用于保密的传输,所以依靠SSL通道传送的信息必须经过加密,因此,位于SSL连接两端的通信双方交互的信息都是“安全的”。
SSL包括两个过程SSL安全通道的协商过程;应用数据的加密、解密过程。
SSL协商过程的实质就是通信双方预先确定一组密钥,该密钥对应用数据进行加密,保证其在传输过程中的安全。
通信双方(客户端与服务器)协商好密钥之后,两者间正常的业务交互都以该密钥进行加密、解密的处理。应用数据的加密过程就是应用数据在传送前的处理过程;而解密过程就是接收到密文数据后递交给应用层前的处理过程。安全通道协商的流程图可以参见现有对此技术流程介绍。
本申请人联创网络科技公司根据多年的技术积累,整合已有技术,针对目前市场上终端安全的应用要求,创造性地将网络控制技术与基于安全桌面的终端安全技术很好的融合在一起,推出了基于安全桌面的网络环境信息防泄漏技术方案。本发明方案解决了国内外现有信息保密技术存在的缺点。
本发明有如下优点(1)部署方便灵活由于安全桌面是运行在个人电脑上的,既解决了独立主机部署不灵活的缺点,也提供了个人计算机使用的便捷性。
(2)主动防御采取与传统原始桌面封堵技术完全不同的思路,不会随着技术发展,微机通信手段的丰富而不断升级。通过安全桌面营造封闭的私密空间。
(3)资料不外泄资料不外泄包含两层涵义,第一是服务器资料无法保存到本地,第二是本地产生的资料只能存放在服务器上。
任何从服务器上下载保留在安全桌面上的资料都是临时性的,而传统加密存储是永久性的,两者具有本质的区别。也就是安全桌面仅提供工作环境,而不提供永久的保存环境。
传统加密文档方式在用户使用文档的时候(即解密状态),存在很大的泄密可能,即传统加密模式只能解决保存问题,不能彻底解决外泄问题。例如木马程序在用户浏览文档时通过网络发走。
本方案包括安全桌面和内容控制网关两大部分,通过安全桌面与内容控制网关的协同工作解决网络环境信息防泄漏问题,其中安全桌面是全新概念全新技术。
安全桌面安全桌面是一个使用习惯与原始桌面完全一致,但工作环境与原始桌面完全独立的一个系统。用户可以规定在安全桌面上运行哪些应用程序,安全桌面上中可以保存文件,文件以加密的方式存在本机的一个特殊的加密空间中,但只要退出安全桌面,这个空间就会被乱码覆盖。所以本机只适合保存中间结果,最终成果必须上传到服务器上保存。
使用安全桌面访问服务器资源,可以下载到本地观看,但是只要退出安全桌面,下载的资料就会被清除。
总之,安全桌面为用户提供了一个天然封闭的私密空间。不是在原始桌面上修修补补,而是创造出一个与原始桌面使用习惯一样但运行环境完全独立的一个系统。
内容控制网关安全桌面只有一个通信通道,就是和内容控制网关互通。安全桌面要访问内网服务器,就必须通过内容控制网关代理。安全桌面与内容控制网关之间采用SSL高强度加密机制,确保其间的通信内容不被窃听。
某些重要服务器只能被安全桌面所访问,不能被原始桌面所访问。那么就把这些重要服务器放在内容控制网关的保护之后。
安全桌面与内容控制网关之间采用特制的鉴别机制,即内容控制网关能识别用户究竟是在使用安全桌面还是原始桌面。部署内容控制网关对原有网络环境的修改很小。
图1是本发明安全桌面技术实现流程图。
图2是本发明安全桌面软件修改注册表,将对系统各个盘符的访问改成加权访问示意3是安全桌面软件新建一个桌面进程explorer.exe,建立安全桌面示意4是安全桌面软件设有钩子函数示意5是安全桌面软件在其中的NDIS层加了Hook钩子函数的结构示意6是安全桌面退出时,软件调用数据清理模块的流程7是安全桌面主动启动安全桌面示意8是安全桌面被动启动示意9是本发明内容控制网关的分级控制示意10是本发明构成框11是本发明具体流程图具体实施方式
1基于安全桌面的网络环境信息防泄漏技术方案结构图
终端可以在企业内,也可以在企业网外。因为安全桌面与内容控制网关之间采用SSL VPN组网模式,可以突破网络边界的限制,而且确保安全性。
2基于安全桌面的网络环境信息防泄漏技术方案流程图本方案的具体流程示意如图11所示,主要包含第①步终端计算机试图访问内网服务器,首先必须登录内容控制网关。
内容控制网关检查计算机是否启用安全桌面,这种握手协商机制是周期性进行的。而且在加密的通道中进行,有效防止回放攻击。
第②步内容控制网关根据终端权限和安全桌面激活的情况确定是否执行访问代理。如果终端未激活安全桌面,则访问就被拒绝。
通过安全桌面只能访问内容控制网关,不能访问其他网址,以确保安全性。
第③步终端计算机完成会话过程后,退出安全桌面,清除本机加密存储空间中的所有内容。
A如图1,安全桌面技术实现流程图。
安全桌面软件查询PC机的系统盘符,在系统盘符中创建一个特殊的文件夹,这个文件夹包含两个子文件夹“所有桌面”和“快速启动”,这个文件原始桌面进程无法识别。之后,安全桌面拷贝原始桌面所有快捷方式到这个“所有桌面”文件夹,拷贝快速启动栏中的内容到“快速启动”文件夹。
B如图2,安全桌面软件修改注册表,将对系统各个盘符的访问改成加权访问图。
安全桌面软件修改注册表,将对系统各个盘符的访问改成加权访问。即访问因素由原始桌面、安全桌面决定。
这样,可以控制USB等数据通信接口只有原始桌面可以访问,安全桌面不能访问;而本地磁盘等两个桌面都能访问。
C如图3。安全桌面软件新建一个桌面进程explorer.exe建立安全桌面示意图安全桌面软件新建一个桌面进程explorer.exe,同时,从系统盘特殊文件夹中的“所有桌面”和“快速启动”文件夹中读出需要在安全桌面上显示的所有项。此时,安全桌面已经与原始桌面完全一致。使用者使用安全桌面的方式与原始桌面完全一致。
此外,安全桌面软件还会在新的桌面上添加一个按钮,用以两个桌面之间的切换。
D如图4。安全桌面软件设有钩子函数示意图安全桌面软件在安全桌面中为所有的文件操作在原来的流程基础上,添加一个Hook钩子,强行把安全桌面里的所有文件存储都存放到指定的目录中(all_data)。并在最终存储前,通过软件对该文件进行加密。
原始桌面由于没有Hook钩子,所有操作不受影响。
E如图5。安全桌面软件在其中的NDIS层加了Hook钩子函数的结构示意图,根据微软网络驱动的分层,安全桌面软件在其中的NDIS层加了Hook钩子函数,将两个桌面进程的所有网络访问都截取到网络控制模块中。网络控制模块根据配置策略,区分两个桌面的所有网络访问,使得安全桌面只能访问指定的服务器;原始桌面不能访问指定服务器,但是可以访问其他网络资源。
F如图6。安全桌面退出时,软件调用数据清理模块的流程图安全桌面退出时,软件调用数据清理模块,本模块会将特殊文件中所有的内容都删除。为了防止磁盘数据恢复,删除方式为首先对这个特殊文件夹所有内容进行多次以无意义的数据重写后,再进行删除。
基于安全桌面的网络环境信息防泄漏技术方案举例A安全桌面主动启动(图7所示)①终端用户预先安装安全桌面软件,连接内网前打开安全桌面程序,此时,原始桌面会弹出一个对话框,要求输入用户名密码。用户输入自己的用户名密码后,可进入安全桌面。
②终端用户在安全桌面内,通过https的方式访问内容控制网关,通过认证后,通过内容控制网关可以访问到后台的服务器。
③那些没有启用安全桌面的主机,或者虽然启用了安全桌面,但是使用原始桌面访问内容控制网关的访问都将被拒绝。
B安全桌面被动启用(图8所示)①终端用户直接通过原始桌面的IE访问内容控制网关。
②内容控制网关根据请求,判断出该用户未使用安全桌面进行访问,可以通过控件的方式强制用户计算机打开安全桌面。此时,用户通过安全桌面可以正常访问内容控制网关。
C内容控制网关分级控制(图9所示)①通过安全桌面访问内容控制网关的用户,由于安全级别较高,网关上可以设置策略,使得用户能够访问内部较高机密性的服务器。
②通过原始桌面访问的用户,或启动安全桌面却使用原始桌面访问的用户,由于安全级别低,根据网关策略,只能被授权访问低机密性或者公开的服务器。
优点内容控制网关的这种工作模式,可以很好的区分不同用户的安全级别,为不同级别的用户提供不同等级的服务,做到分级管理控制的效果,很好的提高了部署和使用的灵活性,有机的将安全桌面与原始桌面的工作结合在了一起。
内容控制网关接收到用户的访问请求后,返回一张带有控件的WEB登录页面,控件查询计算机上是否已经运行安全桌面软件,如果没有运行,控件将自行强制打开安全桌面;此时,用户通过安全桌面正常访问内容控制网关;安全桌面作为一种身份认证的因素,与登录用户的帐号、IP等共同决定用户访问级别,通过安全桌面访问内容控制网关的用户,由于安全级别较高,访问级别也相对较高,网关通过配置,可以为该级别用户提供较高的访问权限,使得用户能够访问内部较高机密性的服务器;通过原始桌面访问的用户,或启动安全桌面却使用原始桌面访问的用户,由于安全级别低,访问级别也低,根据网关配置,只能被授权访问低机密性或者公开的服务器。
权利要求
1.网络环境下基于安全桌面的信息防泄漏方法,计算机通过内容控制网关与内网服务器通信,内网服务器前端设有内容控制网关;其特征在内网的计算机设有“安全桌面”工作软件,计算机与内容控制网关之间采用加密隧道,计算机本机保存文件采用加密方式,计算机本机设有密钥,所述密钥保存在指定服务器上、以硬件或软件身份认证设定;以安全桌面工作软件为基础,使文件的本机保存和网络传输采用加密方式的工作系统,具体流程是终端计算机试图访问内网服务器,首先必须登录内容控制网关;内容控制网关检查计算机是否启用安全桌面,这种握手协商机制是周期性进行的;而且在加密的通道中进行;内容控制网关根据终端权限和安全桌面激活的情况确定是否执行访问代理;如果终端未激活安全桌面,则访问就被拒绝或者强制终端打开安全桌面,继续访问;通过安全桌面只能访问内容控制网关,不能访问其他网址;终端计算机完成会话过程后,退出安全桌面,清除本机加密存储空间中的所有内容。
2.根据权利要求1所述的网络环境下基于安全桌面的信息防泄漏方法,其特征是在内网的计算机系统盘符中创建一个文件夹,这个文件夹包含子文件夹;子文件夹分别保存安全桌面中的桌面显示项目,快速启动栏和所有保存下来的数据;启动时安全桌面拷贝原始桌面所有快捷方式到这个“所有桌面”文件夹,拷贝快速启动栏中的内容到“快速启动”文件夹。
3.根据权利要求1所述的网络环境下基于安全桌面的信息防泄漏方法,其特征是安全桌面软件修改注册表,将对系统各个盘符的访问改成加权访问;即访问因素由原始桌面、安全桌面决定,安全桌面不能访问USB等数据通信接口,而本地磁盘两个桌面都能访问。
4.根据权利要求1所述的网络环境下基于安全桌面的信息防泄漏方法,其特征是内容控制网关与计算机正式数据交互前,首先进行SSL握手协商,用以建立SSL加密隧道或通道;加密隧道的安全,网关与计算机之间会根据设置情况周期性重新协商加密密钥;SSL安全通道用于保密的传输,依靠SSL通道传送的信息必须经过加密;位于SSL连接两端的通信双方交互的信息都是“安全的”;SSL包括两个过程SSL安全通道的协商过程;应用数据的加密、解密过程;SSL协商过程的实质就是通信双方预先确定一组密钥,该密钥对应用数据进行加密,保证其在传输过程中的安全;通信双方客户端计算机与服务器协商好密钥之后,两者间正常的业务交互都以该密钥进行加密、解密的处理;应用数据的加密过程就是应用数据在传送前的处理过程;而解密过程就是接收到密文数据后递交给应用层前的处理过程。
5.根据权利要求4所述的网络环境下基于安全桌面的信息防泄漏方法,其特征是终端用户在安全桌面内,通过https的方式访问内容控制网关,通过认证后,通过内容控制网关可以访问到后台的服务器;当内容控制网关检查计算机未启用安全桌面,网关可以根据策略设置,拒绝其访问,或者强制其启动安全桌面;通过安全桌面只能访问内容控制网关,不能访问其他网址;通信在加密的通道中进行,有效防止回放攻击。
6.根据权利要求1所述的网络环境下基于安全桌面的信息防泄漏方法,其特征是计算机终端在企业内或在企业网外;安全桌面与内容控制网关之间采用SSL VPN组网模式。
7.根据权利要求1所述的网络环境下基于安全桌面的信息防泄漏方法,其特征是终端计算机完成会话过程后,退出安全桌面时,通过设有的清除本机加密存储空间中的所有内容;安全桌面退出时,软件调用数据清理模块,将特殊文件中所有的内容都删除。
8.根据权利要求7所述的网络环境下基于安全桌面的信息防泄漏方法,其特征是删除方式为首先对这个特殊文件夹所有内容进行多次以无意义的数据重写后,再进行删除。
9.根据权利要求1所述的网络环境下基于安全桌面的信息防泄漏方法,其特征是安全桌面软件设有钩子函数,安全桌面软件在安全桌面中为所有的文件操作在原来的流程基础上,添加一个Hook钩子,强行把安全桌面里的所有文件存储都存放到指定的目录中(all_data);并在最终存储前,通过软件对该文件进行加密。存放在本机的文件,如果需要,可以通过安全桌面上传到指定服务器。
10.根据权利要求1所述的网络环境下基于安全桌面的信息防泄漏方法,其特征是安全桌面软件在其中的NDIS层设有Hook钩子函数用于将两个桌面进程的所有网络访问都截取到网络控制模块中;网络控制模块根据配置策略,区分两个桌面的所有网络访问,使安全桌面只能访问指定的服务器;原始桌面不能访问指定服务器,但是可以访问其他网络资源;终端用户直接通过原始桌面的IE访问内容控制网关。
全文摘要
网络环境下基于安全桌面的信息防泄漏方法,计算机通过内容控制网关与内网服务器通信,内网服务器前端设有内容控制网关;内网的计算机设有“安全桌面”工作软件,计算机与内容控制网关之间采用加密隧道,计算机本机保存文件采用加密方式,计算机本机设有密钥,以安全桌面工作软件为基础,使文件的本机保存和网络传输采用加密方式的工作系统,终端计算机试图访问内网服务器,首先必须登录内容控制网关;内容控制网关根据终端权限和安全桌面激活的情况确定是否执行访问代理;如果终端未激活安全桌面,则访问就被拒绝或者强制终端打开安全桌面,继续访问;通过安全桌面只能访问内容控制网关,不能访问其他网址。
文档编号G06Q10/00GK101072102SQ20071002106
公开日2007年11月14日 申请日期2007年3月23日 优先权日2007年3月23日
发明者顾恺, 黄丽亚, 杨震, 刘道灿, 张尊平 申请人:南京联创网络科技有限公司