一种基于身份认证的虚拟终端安全环境的保护方法及系统的制作方法

一种基于身份认证的虚拟终端安全环境的保护方法及系统的制作方法
【专利摘要】本发明公开了一种基于身份认证的虚拟终端安全环境的保护方法及系统，该系统包括：智能存储监控层、存储服务层、核心安全层，其中，智能存储监控层包括存储访问重定向模块；智能监控层负责监控并分析应用程序的数据访问行为，根据配置规则执行动作，所述存储访问重定向模块根据访问控制规则将I/0访问转移；存储服务层负责对文件或数据进行加密或者解密操作，记录文件映射关系；核心安全层是整个架构的基础，提供密钥管理功能，为存储服务层提供加解密支撑，根据需求调度不同算法，通过本发明，可保护核心应用数据安全，防止数据泄密，实现环境内外数据隔离，互不影响，并且对用户操作习惯无影响。
【专利说明】一种基于身份认证的虚拟终端安全环境的保护方法及系统
【技术领域】
[0001]本发明涉及数据安全领域，尤其涉及一种基于身份认证的虚拟终端安全环境的保护方法及
[0002]系统。
【背景技术】
[0003]由于手机等智能终端应用的越来越广泛，对智能终端上数据的保护也显得越来越紧迫。比如，近几年，随着移动网络的迅速发展和壮大，移动警务也有了更大的舞台，由于其职业特殊性，要求网络有更好的安全性。移动网络，对于大家来说是一个开放的环境，任何人都可以截获其他人的信息。因此，大家都着重于链路和接入安全，往往忽视本地的应用安全及数据的安全，一旦移动设备遗失或过失就会造成重大后果。目前，市场上已经出现了一些类似沙箱技术的手机应用，如下所述:
[0004]A、手机沙箱软件，可以设置不同模式和应用布局，进入不同模式，只能使用设定应用，退出后对手机真实环境无影响。
[0005]如图1所示，其展示了手机沙箱技术的数据保护流程，具体包括:
[0006]I)手机上启动沙箱环境；
[0007]2)进入沙箱后，监管系统各种I/O操作；
[0008]3)对写入存储的数据进行重定向操作，以此实现对真实数据的保护；
[0009]4)当数据处理完成后，退出沙箱环境，撤销系统1/0，监管；
[0010]5)判断是否保留沙箱中的数据；
[0011]6)如果保留，则将数据保存至存储设备，结束流程；
[0012]7)如果不保留，则清理数据，结束流程。
[0013]B、手机安全类软件的隐私保护功能，可以将有关个人数据拉入保险箱，进入保险箱的数据，在保险箱外部不可见，只能在保险箱中操作里面的数据。
[0014]如图2所示，其展示了隐私保护技术的数据保护流程，具体包括:
[0015]I)手机进入封闭安全环境；
[0016]2)将环境外的数据放入环境内自动加密并清除原始数据；
[0017]3)查看、修改、保存环境内的数据；
[0018]4)退出封闭安全环境；
[0019]5)结束流程
[0020]但上述技术都存在一些缺点:
[0021]A、针对沙箱技术，数据不能留存在环境内部，不能对数据进行保护处理，有数据泄S风险。
[0022]B、针对隐私保护技术，数据的加入都是人为操作，不提供针对实际应用程序所产生数据的保护。
【发明内容】

[0023]本发明从实际需求和应用的角度出发，构建一个基于身份认证的虚拟终端安全环境保护系统，在环境内部可以针对某些应用产生的数据进行自动加密处理，也可以手动选择某些数据进行加密处理；环境内部产生的数据只能在内部使用，在外部不可见或不可使用；环境内部可以使用环境外部数据，环境外部数据不能使用环境内部数据，相互之间互不影响。
[0024]为解决上述技术问题，本发明提出了一种基于身份认证的虚拟终端安全环境保护系统，该系统包括:智能存储监控层、存储服务层、核心安全层；所述智能存储监控层包括应用数据访问监测模块、存储访问重定向模块和应用数据访问控制模块，应用程序对存储设备的读写请求会被所述应用数据访问监测模块捕获，然后将应用程序的读写请求发送到所述应用数据访问控制模块进行分析处理，所述应用数据访问控制模块根据配置好的访问控制规则，匹配应用程序的数据访问行为，针对需要处理的数据访问，通过所述存储访问重定向模块改变原有的下发路径，发送到所述存储服务层处理；
[0025]所述存储服务层负责处理智能监控层传递下来的数据读写请求，向所述核心安全层发送文件或数据的加密或者解密操作请求，记录文件映射关系；
[0026]所述核心安全层，为存储服务层提供加解密支撑，根据需求调度不同算法，其接收所述存储服务层传递过来的数据加密或解密请求，执行对数据的加密或解密操作，并将操作结果返回给所述存储服务层。
[0027]进一步的，所述存储服务层包括虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块，当数据读写请求到达所述存储服务层时，首先分析数据访问类型，根据不同的访问类型，分别投递到所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块进行处理。
[0028]进一步的，所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块处理针对文件、数据库和内存的数据读写请求，所述三个模块对所述数据访问的具体处理为:当请求读取数据时，将调用所述核心安全层提供的服务进行解密数据操作，当请求写入数据时，调用所述核心安全层提供的服务进行数据加密操作。
[0029]进一步的，所述核心安全层包括加解密引擎模块、算法库支持模块和密钥管理模块，所述加解密引擎模块负责分析来自上层的请求，根据请求调度所述算法库支持模块和密钥管理模块，完成数据的加密或解密操作，其中，所述算法库支持模块实现数据加解密的算法，所述密钥管理模块实现不同算法的密钥管理，为所述加解密引擎模块提供支撑。
[0030]进一步的，所述应用数据访问监测模块包括:应用程序签名分析和比对模块和应用程序签名库，其中应用程序签名库存储需要控制的应用程序的签名；
[0031]所述应用数据访问控制模块包括:应用存储访问监测模块和应用访问控制模块；
[0032]该系统通过存储访问重定向技术接管应用程序的存储读写访问操作，根据设置的访问控制规则，改变存储读写访问，将存储读写访问请求定向到指定区域，避免影响系统之外的数据结构，其具体实现过程如下:
[0033]所述应用程序签名分析和比对模块提取应用程序的签名，将提取的签名与所述应用程序签名库中的数据进行匹配，如果存在匹配数据，则将应用程序的数据读写请求发送到所述应用存储访问监测模块进行处理；[0034]当所述应用存储访问监测模块接收到所述应用程序签名分析和比对模块传递下来的数据读写请求时，调用所述应用访问控制模块，分析数据读写控制策略，将需要控制的数据读写请求传递到所述存储访问重定向模块进行处理；
[0035]所述应用访问控制模块，根据应用程序的签名，分析、匹配与其对应的应用访问控制策略，并将访问控制策略返回给所述应用存储访问监测模块；
[0036]所述存储访问重定向模块，接收满足访问控制策略的数据读写请求，交由加密存储服务模块进行处理，完成数据的加密或解密处理后，将操作结果返回给上层进行处理。
[0037]进一步的，所述虚拟文件加密服务模块包括:文件透明存储加密服务模块、虚拟文件映射管理模块、虚拟文件访问模块；
[0038]所述存储服务层根据环境配置，将重定向的数据读写操作建立与原始路径的映射关系，形成虚拟文件，所述虚拟文件的路径与真实文件的路径不一样，虚拟文件的读写访问会根据设定的规则调用所述加解密引擎模块，进行加密或者解密操作，保证写到物理存储设备上的数据安全，具体步骤如下:
[0039]所述文件透明存储加密服务模块，接收所述访问存储重定向模块发送过来的数据读写请求，向所述虚拟文件映射管理模块发送数据读写请求，并将处理结果返回；
[0040]所述虚拟文件映射管理模块，将数据读写请求的原始文件，与存储设备上的真实文件建立映射关系，下发数据读写请求；
[0041]所述虚拟文件访问模块，接收数据读写请求，调用所述加解密引擎模块，将数据进行加密或解密操作，向上层返回解密数据，向下层提供加密处理后的数据；
[0042]所述加解密引擎模块，负责调度所述算法库支持模块和密钥管理模块，对数据进行加密或者解密操作，将结果返回给所述虚拟文件访问模块；
[0043]物理文件访问模块，根据数据读写请求，向存储设备写入数据，或者从存储设备读取数据并返回给所述加解密弓I擎模块。
[0044]为解决上述技术问题，本发明提出了一种基于身份认证的虚拟终端安全环境的保护方法，应用于虚拟终端安全环境保护系统中，该系统包括:智能存储监控层、存储服务层、核心安全层；所述智能存储监控层包括应用数据访问监测模块、存储访问重定向模块和应用数据访问控制模块，所述存储服务层包括虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块，所述核心安全层包括密钥管理模块、加解密引擎模块和算法库支持模块，该方法包括如下步骤:
[0045]应用程序对存储设备发起读写请求，所述应用数据访问监测模块捕获应用程序对存储设备的读写请求，然后将应用程序的读写请求发送到所述应用数据访问控制模块进行分析处理，所述应用数据访问控制模块根据配置好的访问控制规则，匹配应用程序的数据访问行为，针对需要处理的数据访问，通过所述存储访问重定向模块改变原有的下发路径，发送到所述存储服务层处理；
[0046]所述存储服务层接收智能监控层传递下来的数据读写请求，向所述核心安全层发送文件或数据的加密或者解密操作请求，记录文件映射关系；
[0047]所述核心安全层接收所述存储服务层传递过来的数据加密或解密请求，执行对数据的加密或解密操作，并将操作结果返回给所述存储服务层。
[0048]进一步的，当数据读写请求到达所述存储服务层时，首先分析数据访问类型，根据不同的访问类型，分别投递到所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块进行处理。
[0049]进一步的，所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块处理针对文件、数据库和内存的数据读写请求，所述三个模块对所述数据访问的具体处理为:当请求读取数据时，将调用所述核心安全层提供的服务进行解密数据操作，当请求写入数据时，调用所述核心安全层提供的服务进行数据加密操作。
[0050]进一步的，所述加解密引擎模块负责分析来自上层的请求，根据请求调度所述算法库支持模块和密钥管理模块，完成数据的加密或解密操作，其中，所述算法库支持模块实现数据加解密的算法，所述密钥管理模块实现不同算法的密钥管理，为所述加解密引擎模块提供支撑。
[0051]进一步的，所述应用数据访问监测模块包括:应用程序签名分析和比对模块和应用程序签名库，其中应用程序签名库存储需要控制的应用程序的签名；
[0052]所述应用数据访问控制模块包括:应用存储访问监测模块和应用访问控制模块；
[0053]该系统通过存储访问重定向技术接管应用程序的存储读写访问操作，根据设置的访问控制规则，改变存储读写访问，将存储读写访问请求定向到指定区域，避免影响系统之外的数据结构，其具体实现过程如下:
[0054]所述应用程序签名分析和比对模块提取应用程序的签名，将提取的签名与所述应用程序签名库中的数据进行匹配，如果存在匹配数据，则将应用程序的数据读写请求发送到所述应用存储访问监测模块进行处理；
[0055]当所述应用存储访问监测模块接收到所述应用程序签名分析和比对模块传递下来的数据读写请求时，调用所述应用访问控制模块，分析数据读写控制策略，将需要控制的数据读写请求传递到所述存储访问重定向模块进行处理；
[0056]所述应用访问控制模块，根据应用程序的签名，分析、匹配与其对应的应用访问控制策略，并将访问控制策略返回给所述应用存储访问监测模块；
[0057]所述存储访问重定向模块，接收满足访问控制策略的数据读写请求，交由加密存储服务模块进行处理，完成数据的加密或解密处理后，将操作结果返回给上层进行处理。
[0058]进一步的，所述虚拟文件加密服务模块包括:文件透明存储加密服务模块、虚拟文件映射管理模块和虚拟文件访问模块；
[0059]所述存储服务层根据环境配置，将重定向的数据读写操作建立与原始路径的映射关系，形成虚拟文件，所述虚拟文件的路径与真实文件的路径不一样，虚拟文件的读写访问会根据设定的规则调用所述加解密引擎模块，进行加密或者解密操作，保证写到物理存储设备上的数据安全，具体步骤如下:
[0060]所述文件透明存储加密服务模块，接收所述访问存储重定向模块发送过来的数据读写请求，向所述虚拟文件映射管理模块发送数据读写请求，并将处理结果返回；
[0061]所述虚拟文件映射管理模块，将数据读写请求的原始文件，与存储设备上的真实文件建立映射关系，下发数据读写请求；
[0062]所述虚拟文件访问模块，接收数据读写请求，调用所述加解密引擎模块，将数据进行加密或解密操作，向上层返回解密数据，向下层提供加密处理后的数据；
[0063]所述加解密引擎模块，负责调度所述算法库支持模块和密钥管理模块，对数据进行加密或者解密操作，将结果返回给所述虚拟文件访问模块；
[0064]物理文件访问模块，根据数据读写请求，向存储设备写入数据，或者从存储设备读取数据并返回给所述加解密弓I擎模块。
[0065]通过本发明提出的技术方案，可以取得以下有益的技术效果:
[0066]A、保护核心应用数据安全，防止数据泄密；
[0067]B、环境内外数据隔离，互不影响；
[0068]C、由于数据的加密和解密对用户是透明的，因而对用户操作习惯没有影响；
[0069]D、即使终端遗失，但是由于数据被加密，无法轻易被读取，保证了数据的安全。
【专利附图】

【附图说明】
[0070]图1是手机沙箱技术的数据保护流程图。
[0071]图2是隐私保护技术的数据保护流程图。
[0072]图3是本发明的总体系统框架图。
[0073]图4是本发明的数据存储重定向框架图。
[0074]图5是本发明的虚拟终端安全环境保护系统框图。
[0075]图6是本发明的公司移动办公系统使用流程。
【具体实施方式】
[0076]图3是本发明中的总体系统框架图。
[0077]本发明提出的基于身份认证的虚拟终端安全环境保护系统，总体上划分为三个层次:智能存储监控层、存储服务层、核心安全层。智能监控层负责监控并分析应用程序的数据访问行为，根据配置规则执行动作，重定向模块根据访问控制规则将I/O访问转移；存储服务层负责对文件或数据进行加密或者解密操作，记录文件映射关系；核心安全层是整个架构的基础，提供密钥管理功能，为存储服务层提供加解密支撑，根据需求调度不同算法。
[0078]智能存储监控层，位于总体架构的最上层，主要负责监控手机应用程序对存储设备的访问，分析手机应用对存储设备的读写操作，根据访问控制规则，将读写请求发送到下层服务。比如说，在虚拟终端安全环境保护系统中，一个手机应用程序写数据到存储设备中，首先将会被本层中的“应用数据访问监测”模块捕获，然后将手机应用程序的读写行为送到“应用数据访问控制”模块进行分析处理；应用数据访问控制模块根据配置好的访问控制规则，匹配分析手机应用的数据访问行为，针对需要处理的数据访问，通过“存储访问重定向模块”发送到下层服务，不需要处理的数据访问交给系统进行处理；存储重定向模块，将需要处理的数据访问，改变原有的下发路径，交由本系统提供的“系统存储服务层”处理。
[0079]存储服务层，位于整体架构的中间层，起到承上启下的作用，主要负责处理上层传递下来的数据I/O请求，对数据进行加密或者解密操作。数据I/O请求到达本层时，首先分析数据访问类型，根据不同的访问类型，分别投递到“虚拟文件加密服务”、“数据库加密服务”、“内存流加密服务”三个模块进行处理。虚拟文件加密服务模块，主要处理针对文件的数据I/O请求，当读取数据时，将调用“核心安全层”提供的服务进行解密数据，否则将进行数据加密操作。另外两个模块与“虚拟文件加密服务”类似，其处理动作不再赘述。
[0080]核心安全层，位于整体架构的最下层，是虚拟终端安全环境保护系统运行的基础，接收上层传递过来的数据加密或解密请求，执行对数据的加密或解密操作，并将操作结果返回给上层服务。“加解密引擎模块”主要负责分析上层请求，根据请求调度“算法库支持”和“密钥管理”两个模块，完成数据的加密或解密操作。“算法库支持”模块，实现数据加解密的算法，如AES、3DES、SM4等；“密钥管理”模块，实现不同算法的密钥管理，为加解密引擎模块提供支撑。
[0081]附图4展示了本发明的应用数据重定向系统框架图。
[0082]本发明采用应用数据重定向，接管存储I/O访问操作，根据设置的访问控制规则，改变I/o访问，将I/O访问请求定向到指定区域，避免影响环境之外的数据结构。
[0083]在虚拟终端安全环境保护系统中，当手机应用程序读写数据时，手机应用将会被监控，经由以下几个模块处理:
[0084]1、应用程序签名分析和比对模块，负责提取手机应用程序的签名，将提取的签名与“应用程序签名库”中的数据进行匹配，如果存在匹配数据，则将手机应用程序的数据I/0请求发送到“应用存储访问监测”模块进行处理，否则交由手机自身系统处理。
[0085]2、应用程序签名库，存储需要控制的手机应用程序的签名。
[0086]3、应用存储访问监测模块，负责数据I/O请求的访问权限控制。当应用存储访问监测模块接收到“应用程序签名分析和比对模块传递下来的“ I/O”请求时，调用“应用访问控制”模块，分析” I/o”访问控制策略，将需要控制的“ I/O”请求传递到“存储访问重定向”模块进行处理，其他的交由手机自身系统代为处理。
[0087]4、应用访问控制模块，根据手机应用程序的签名，分析、匹配与其对应的应用访问控制策略，并将访问控制策略返回给“应用存储访问监测模块”。
[0088]5、存储访问重定向模块(关键模块)，接收满足访问控制策略的数据“ I/O”请求，将本该由手机自身系统处理的请求，先交由“加密存储服务”模块进行处理，处理完成后，再交给手机自身系统进行处理，其中所述“加密存储服务”模块对应于存储服务层的虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块中的至少一个模块。
[0089]6、加密存储服务模块，负责完成数据的加密或解密处理，将操作结果返回给上层模块。
[0090]附图5展示了本发明的存储服务层的虚拟终端安全环境保护系统框架图。
[0091]根据环境配置，将重定向的I/O操作建立与原始路径的映射关系，形成虚拟文件(虚拟文件的路径与真实路径不一样)，虚拟文件的I/O访问会根据设定的规则调用加解密引擎模块，进行加密或者解密操作，保证写到物理存储设备上的数据安全。
[0092]在虚拟终端安全环境保护系统中，当手机应用程序读写数据时，手机应用将会被监控，符合监控和应用访问控制策略的数据“I/O”请求，将会被存储访问重定向模块发送到数据加密服务模块，经由以下几个步骤进行处理:
[0093]1、文件透明存储加密服务模块，负责接收“存储访问重定向模块”发送过来的数据I/o请求，向“虚拟文件映射管理”模块发送数据“ I/O”请求，并将处理结果返回给调用模块。
[0094]2、虚拟文件映射管理模块，将数据I/O请求的原始文件，与存储设备上的真实文件建立映射关系，下发数据I/O请求。
[0095]3、虚拟文件访问模块，接收数据I/O请求，调用“加解密引擎模块”，将数据进行加密或解密操作，向上层返回解密数据，向下层提供加密处理后的数据。
[0096]4、加解密引擎模块，负责调度加解密算法库和密钥管理模块，对数据进行加密或者解密操作，将结果返回给调用模块，其中加解密引擎模块可调用算法库支持模块中的国密算法库(包括SM1，SM3，SM4等)或者通用算法库(BF，DES，3DES，AES等)。
[0097]5、物理文件访问模块，主要根据数据“I/O”请求，向存储设备写入数据，或者从存储设备读取数据并返回给所述加解密引擎模块。
[0098]图6展示了某公司移动办公系统使用流程图。
[0099]A、在智能手机中登录虚拟终端安全环境保护系统，完成必要的初始化工作。
[0100]B、进入身份验证系统,通过TF卡、Usbkey、证书、口令用户、动态口令密码等方式中的一种或几种验证用户的合法身份。
[0101]C、用户身份验证失败，则记录失败信息，以便事后统计，随后退出虚拟终端安全环境保护系统的应用。
[0102]D、认证通过后，虚拟终端安全环境保护系统开始正常运作，启动监测、重定向、力口密模块，保护生效。
[0103]E、数据访问监测服务模块，根据应用程序匹配规则，分析鉴别程序对数据的访问行为是否受控。
[0104]F、数据访问流转到存储访问重定向模块，根据预设访问控制规则，进行数据重定向处理。
[0105]G、对重定向后的数据，加解密引擎模块根据配置，从加密库中调度相应算法进行处理，写入数据进行加密操作，读取数据进行解密操作。
[0106]H、操作完成后，根据需要，可以继续保持在虚拟终端安全环境保护系统内工作，也可以退出。
[0107]上述的手机应用程序可替换为各种移动智能终端应用程序，比如PDA，移动电脑，平板电脑等上的应用程序。
[0108]通过本发明提出的技术方案，可有效保护核心应用数据安全，避免数据泄密；并且由于环境内外数据隔离，因而环境内外的数据互不影响；由于所有的数据操作对用户都是透明的，因而无需改变用户的使用习惯；由于对移动终端上的数据进行了加密，即使数据遗失也能保证数据的安全。
[0109]比如在【背景技术】中提到的移动警务中采用了本发明提出的技术方案，解决了链路和接入安全，结合本发明实现了保护终端本地数据的安全，工作数据全部存储在虚拟终端安全环境保护系统中，退出环境后，看不到工作数据，即使设备遗失也不会造成泄密，助力移动警务安全。
[0110]以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换以及改进等，均应保护在本发明的保护范围之内。
【权利要求】
1.一种基于身份认证的虚拟终端安全环境的保护系统，该系统包括:智能存储监控层、存储服务层、核心安全层；所述智能存储监控层包括应用数据访问监测模块、存储访问重定向模块和应用数据访问控制模块，应用程序对存储设备的读写请求会被所述应用数据访问监测模块捕获，然后将应用程序的读写请求发送到所述应用数据访问控制模块进行分析处理，所述应用数据访问控制模块根据配置好的访问控制规则，匹配应用程序的数据访问行为，针对需要处理的数据访问，通过所述存储访问重定向模块改变原有的下发路径，发送到所述存储服务层处理； 所述存储服务层负责处理智能监控层传递下来的数据读写请求，向所述核心安全层发送文件或数据的加密或者解密操作请求，记录文件映射关系； 所述核心安全层，为存储服务层提供加解密支撑，根据需求调度不同算法，其接收所述存储服务层传递过来的数据加密或解密请求，执行对数据的加密或解密操作，并将操作结果返回给所述存储服务层。
2.根据权利要求1所述的系统，所述存储服务层包括虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块，当数据读写请求到达所述存储服务层时，首先分析数据访问类型，根据不同的访问类型，分别投递到所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块进行处理。
3.根据权利要求2所述的系统，所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块处理针对文件、数据库和内存的数据读写请求,所述三个模块对所述数据访问的具体处理为:当请求读取数据时，将调用所述核心安全层提供的服务进行解密数据操作，当请求写入数据时，调用所述核心安全层提供的服务进行数据加密操作。
4.根据权利要求1-3之一所述的系统，所述核心安全层包括加解密引擎模块、算法库支持模块和密钥管理模块，所述加解密引擎模块负责分析来自上层的请求,根据请求调度所述算法库支持模块和密钥管理模块，完成数据的加密或解密操作，其中，所述算法库支持模块实现数据加解密的算法，所述密钥管理模块实现不同算法的密钥管理，为所述加解密引擎模块提供支撑。`
5.根据权利要求1-3之一所述的系统，所述应用数据访问监测模块包括:应用程序签名分析和比对模块和应用程序签名库，其中应用程序签名库存储需要控制的应用程序的签名； 所述应用数据访问控制模块包括:应用存储访问监测模块和应用访问控制模块； 该系统通过存储访问重定向技术接管应用程序的存储读写访问操作，根据设置的访问控制规则，改变存储读写访问，将存储读写访问请求定向到指定区域，避免影响系统之外的数据结构，其具体实现过程如下:所述应用程序签名分析和比对模块提取应用程序的签名，将提取的签名与所述应用程序签名库中的数据进行匹配，如果存在匹配数据，则将应用程序的数据读写请求发送到所述应用存储访问监测模块进行处理；当所述应用存储访问监测模块接收到所述应用程序签名分析和比对模块传递下来的数据读写请求时，调用所述应用访问控制模块，分析数据读写控制策略，将需要控制的数据读写请求传递到所述存储访问重定向模块进行处理； 所述应用访问控制模块，根据应用程序的签名，分析、匹配与其对应的应用访问控制策略，并将访问控制策略返回给所述应用存储访问监测模块；所述存储访问重定向模块，接收满足访问控制策略的数据读写请求，交由加密存储服务模块进行处理，完成数据的加密或解密处理后，将操作结果返回给上层进行处理。
6.根据权利要求1-3之一所述的系统，所述虚拟文件加密服务模块包括:文件透明存储加密服务模块、虚拟文件映射管理模块和虚拟文件访问模块； 所述存储服务层根据环境配置，将重定向的数据读写操作建立与原始路径的映射关系，形成虚拟文件，所述虚拟文件的路径与真实文件的路径不一样，虚拟文件的读写访问会根据设定的规则调用所述加解密引擎模块，进行加密或者解密操作，保证写到物理存储设备上的数据安全，具体步骤如下: 所述文件透明存储加密服务模块，接收所述访问存储重定向模块发送过来的数据读写请求，向所述虚拟文件映射管理模块发送数据读写请求，并将处理结果返回； 所述虚拟文件映射管理模块，将数据读写请求的原始文件，与存储设备上的真实文件建立映射关系，下发数据读写请求； 所述虚拟文件访问模块，接收数据读写请求，调用所述加解密引擎模块，将数据进行加密或解密操作，向上层返回解密数据，向下层提供加密处理后的数据； 所述加解密引擎模块，负责调度所述算法库支持模块和密钥管理模块，对数据进行加密或者解密操作，将结果返回给所述虚拟文件访问模块； 物理文件访问模块，根据数据读写请求，向存储设备写入数据，或者从存储设备读取数据并返回给所述加解密引擎模块。
7.一种基于身份认证的虚拟终端安全环境的保护方法，应用于虚拟终端安全环境保护系统中，该系统包括:智能存储监控层、存储服务层、核心安全层；所述智能存储监控层包括应用数据访问监测模块、存储访问重定向模块和应用数据访问控制模块，所述存储服务层包括虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块，所述核心安全层包括密钥管理模块、加解密引擎模块和算法库支持模块，该方法包括如下步骤: 应用程序对存储设备发起读写请求，所述应用数据访问监测模块捕获应用程序对存储设备的读写请求，然后将应用程序的读写请求发送到所述应用数据访问控制模块进行分析处理，所述应用数据访问控制模块根据配置好的访问控制规则，匹配应用程序的数据访问行为，针对需要处理的数据访问，通过所述存储访问重定向模块改变原有的下发路径，发送到所述存储服务层处理； 所述存储服务层接收智能监控层传递下来的数据读写请求，向所述核心安全层发送文件或数据的加密或者解密操作请求，记录文件映射关系； 所述核心安全层接收所述存储服务层传递过来的数据加密或解密请求，执行对数据的加密或解密操作，并将操作结果返回给所述存储服务层。
8.根据权利要求7所述的方法，当数据读写请求到达所述存储服务层时，首先分析数据访问类型，根据不同的访问类型，分别投递到所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块进行处理。
9.根据权利要求8所述的方法，所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块处理针对文件、数据库和内存的数据读写请求,所述三个模块对所述数据访问的具体处理为:当请求读取数据时，将调用所述核心安全层提供的服务进行解密数据操作，当请求写入数据时，调用所述核心安全层提供的服务进行数据加密操作。
10.根据权利要求7-9之一所述的方法，所述加解密引擎模块负责分析来自上层的请求，根据请求调度所述算法库支持模块和密钥管理模块，完成数据的加密或解密操作，其中，所述算法库支持模块实现数据加解密的算法，所述密钥管理模块实现不同算法的密钥管理，为所述加解密引擎模块提供支撑。
11.根据权利要求7-9之一所述的方法，所述应用数据访问监测模块包括:应用程序签名分析和比对模块和应用程序签名库，其中应用程序签名库存储需要控制的应用程序的签名； 所述应用数据访问控制模块包括:应用存储访问监测模块和应用访问控制模块； 该系统通过存储访问重定向技术接管应用程序的存储读写访问操作，根据设置的访问控制规则，改变存储读写访问，将存储读写访问请求定向到指定区域，避免影响系统之外的数据结构，其具体实现过程如下:所述应用程序签名分析和比对模块提取应用程序的签名，将提取的签名与所述应用程序签名库中的数据进行匹配，如果存在匹配数据，则将应用程序的数据读写请求发送到所述应用存储访问监测模块进行处理；当所述应用存储访问监测模块接收到所述应用程序签名分析和比对模块传递下来的数据读写请求时，调用所述应用访问控制模块，分析数据读写控制策略，将需要控制的数据读写请求传递到所述存储访问重定向模块进行处理； 所述应用访问控制模块， 根据应用程序的签名，分析、匹配与其对应的应用访问控制策略，并将访问控制策略返回给所述应用存储访问监测模块； 所述存储访问重定向模块，接收满足访问控制策略的数据读写请求，交由加密存储服务模块进行处理，完成数据的加密或解密处理后，将操作结果返回给上层进行处理。
12.根据权利要求7-9之一所述的方法，所述虚拟文件加密服务模块包括:文件透明存储加密服务模块、虚拟文件映射管理模块和虚拟文件访问模块； 所述存储服务层根据环境配置，将重定向的数据读写操作建立与原始路径的映射关系，形成虚拟文件，所述虚拟文件的路径与真实文件的路径不一样，虚拟文件的读写访问会根据设定的规则调用所述加解密引擎模块，进行加密或者解密操作，保证写到物理存储设备上的数据安全，具体步骤如下: 所述文件透明存储加密服务模块，接收所述访问存储重定向模块发送过来的数据读写请求，向所述虚拟文件映射管理模块发送数据读写请求，并将处理结果返回； 所述虚拟文件映射管理模块，将数据读写请求的原始文件，与存储设备上的真实文件建立映射关系，下发数据读写请求； 所述虚拟文件访问模块，接收数据读写请求，调用所述加解密引擎模块，将数据进行加密或解密操作，向上层返回解密数据，向下层提供加密处理后的数据； 所述加解密引擎模块，负责调度所述算法库支持模块和密钥管理模块，对数据进行加密或者解密操作，将结果返回给所述虚拟文件访问模块； 物理文件访问模块，根据数据读写请求，向存储设备写入数据，或者从存储设备读取数据并返回给所述加解密引擎模块。
【文档编号】G06F21/62GK103778384SQ201410062426
【公开日】2014年5月7日 申请日期:2014年2月24日 优先权日:2014年2月24日
【发明者】王志刚, 彭洪涛, 喻波, 王志海, 何晋昊 申请人:北京明朝万达科技有限公司