CN101404580B - 一种具有自检能力的数据隔离方法 - Google Patents

一种具有自检能力的数据隔离方法 Download PDF

Info

Publication number
CN101404580B
CN101404580B CN2008102350521A CN200810235052A CN101404580B CN 101404580 B CN101404580 B CN 101404580B CN 2008102350521 A CN2008102350521 A CN 2008102350521A CN 200810235052 A CN200810235052 A CN 200810235052A CN 101404580 B CN101404580 B CN 101404580B
Authority
CN
China
Prior art keywords
data
feature string
virtual machine
program itself
transmitted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2008102350521A
Other languages
English (en)
Other versions
CN101404580A (zh
Inventor
刘镇
陈小波
钱萍
周亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu University of Science and Technology
Nantong Power Supply Co of Jiangsu Electric Power Co Ltd
Original Assignee
Jiangsu University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu University of Science and Technology filed Critical Jiangsu University of Science and Technology
Priority to CN2008102350521A priority Critical patent/CN101404580B/zh
Publication of CN101404580A publication Critical patent/CN101404580A/zh
Application granted granted Critical
Publication of CN101404580B publication Critical patent/CN101404580B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明公布了一种具有自检能力的数据隔离方法,属通信与信息安全技术领域。本发明方法基于嵌入式系统的平台和虚拟机,通过虚拟机来实现预定的安全策略。该发明能够从固定的数据源加载数据,并确保程序本身的安全性,从而确保数据操作的安全性。

Description

一种具有自检能力的数据隔离方法
技术领域
本发明涉及通信与信息安全技术领域的一种数据隔离方法,尤其涉及一种具有自检能力的数据隔离方法。
背景技术
现有的数据隔离的实现技术是建立在三方的基础之上,即两个涉密计算机之间加上一个完全的物理硬件来实现数据的隔离,这样的现实技术有成本昂贵、灵活性差、对安全策略的修改麻烦、不容易配置的缺点。
在现有的数据加载过程中,为了保证安全,通常的办法是对数据进行加密和安全认证。但是对于现实过程中,在避免伪造数据源却考虑得很少。同时,在运用加载数据应用的时候,很少考虑了加载数据的应用的本身安全问题。所以,对于木马等威胁因素可以通过更改数据源与应用程序来造成破坏活动。
对于加载、传输、写入数据等活动的时候,如何保证进行这些活动的应用是安全的,没有被非法地修改过的也是需要考虑的问题。即我们不仅要保证数据来源的安全性,而且要保证程序本身的安全性。
发明内容
本发明要解决的技术问题是针对现有技术存在的缺陷提出一种具有自检能力的数据隔离方法。
本发明一种具有自检能力的数据隔离方法,包括数据安全加载方法和数据安全写入方法;
其中数据安全加载方法包括如下步骤:
a)固定数据源的地址;
b)采用读有用数据ReadUsefulData的方法来加载程序本身的数据以及要被传输的数据;
c)在虚拟机中开辟一个暂时存放数据的缓冲区,先将程序本身的数据存入缓冲区并对其标记,-1为这个标记,然后存入需要传输的数据;
d)检查嵌入式设备中是否已经存在与程序本身的数据相对应的特征字符串,特征字符串指通过hash校验算法生成的校验值;
e)当特征字符串不存在,则生成与程序本身的数据相对应的一个特征字符串并存入到嵌入式设备中;
f)初始化高速红外接口,传递要被传输的数据;
g)当嵌入式设备中已经存在这样一个特征字符串,则生成与程序本身的数据相对应的一个新的特征字符串,然后把这个新的特征字符串与嵌入式设备中旧的特征字符串进行比较;
h)当新的特征字符串与旧的特征字符串一样,则程序本身的数据本身是安全的,返回步骤f;
i)当新的特征字符串与旧的特征字符串不一样,则程序本身的数据被改动过,返回步骤b;
数据安全写入方法包括如下步骤:
1.)初始化无线通信端口;
2.)采用虚拟机接收要被传输的数据,并将要被传输的数据写入虚拟机的缓冲区;
3.)采用虚拟机确定写入数据的地址;
4.)将步骤2中虚拟机的缓冲区内的数据写入目标计算机。
本发明能够从固定的数据源加载数据,并确保程序本身的安全性,从而确保数据操作的安全性。
附图说明
图1:本发明整体结构图;
图2:本发明数据安全加载方法流程图;
图3:本发明数据安全写入方法流程图;
图4:本发明数据存放示意图。
具体实施方式
如图1所示。本发明方法的整体结构示意图。它的底层平台是一个嵌入式系统1,在这个嵌入式平台上有一个数据通信接口2,通过这个接口和涉密机连接,它可以是一个COM口或者是USB口。同时,它还拥有另外一个接口3,作用是在两个嵌入式系统之间来传输数据,从而实现数据的隔离。它可以是以太口、无线传输端口等,可以支持不同形式的数据传输。关键的部分是虚拟机4,用虚拟机来管理数据传输端口、保证数据和程序本身的安全。整个隔离方法的安全主要通过它来实现。在两个嵌入式系统之间的数据传输是通过5来进行的,它是无线传输信道。
在本方法的实现过程中,类ReadDate负责读取数据并存入缓冲区。类Inspection负责应用在运行时确定程序本身是安全的,即程序没有被非法地改动过。类Transport的功能是让虚拟机来管理高速红外接口。类WriteFile则负责将被传输的数据写进目标计算机中。
如图2所示,固定数据源的地址,这个地址表示要被加载的数据处于什么地方,这个值被固定以后,可以保证所加载的数据一定是处在这个位置的,保证了数据源的单一性,减低了风险。数据安全加载方法包括如下步骤:
a)固定数据源的地址;
b)采用“读有用数据”ReadUsefulData的方法来加载程序本身的数据以及要被传输的数据;
c)在虚拟机中开辟一个暂时存放数据的缓冲区,先将程序本身的数据存入缓冲区并对其标记,-1为这个标记,然后存入需要传递的数据;
d)检查嵌入式设备中是否已经存在与程序本身的数据相对应的特征字符串,特征字符串指通过hash校验算法生成的校验值;
e)当特征字符串不存在,则生成与程序本身的数据相对应的一个特征字符串并存入到嵌入式设备中;
f)初始化高速红外接口,传递要被传输的数据;
g)当嵌入式设备中已经存在这样一个特征字符串,则生成与程序本身的数据相对应的一个新的特征字符串,然后把这个新的特征字符串与嵌入式设备中旧的特征字符串进行比较;
h)当新的特征字符串与旧的特征字符串一样,则程序本身的数据本身是安全的,返回步骤f;
i)当新的特征字符串与旧的特征字符串不一样,则程序本身的数据被改动过,返回步骤b。
如图3所示,由于数据在加载的时候已经实现了数据源以及应用程序本身的安全性,故在写入数据的过程中只是简单地响应写入数据的命令,数据安全写入方法包括如下步骤:
1.)初始化无线通信端口;
2.)采用虚拟机接收要被传输的数据,并将要被传输的数据写入虚拟机的缓冲区;
3.)采用虚拟机确定写入数据的地址;
4.)将步骤2中虚拟机的缓冲区内的数据写入目标计算机。
如图4所示,表示了虚拟机加载数据的情况示意图。虚拟机和应用程序一起保证数据的安全。当应用程序从计算机中加载数据后把数据存入到虚拟机4中,在虚拟机中会开辟一个专门的区域6来存放数据,应用程序加载数据之后会把数据存入到这个专门区域的一个存储单元7中。在应用程序总是安全的前提下,程序第一次运行时,数据会被随机分配到一个存储单元中,如果在第二次运行程序时,数据会被随机地分配到另外一个存储单元中,如果程序被运行多次的话,数据被随机地分配到这些存储单元。而且,应用程序采用多线程的加载程序本身的数据,因此这些数据在存储单元中也是一个动态的。因此即使有安全威胁在监控整个程序的运行的话也不可能得到数据的信息,从而保证了数据的安全。

Claims (1)

1.一种具有自检能力的数据隔离方法,其特征在于包括数据安全加载方法和数据安全写入方法;
其中数据安全加载方法包括如下步骤:
a)固定数据源的地址;
b)采用读有用数据ReadUsefulData的方法来加载程序本身的数据以及要被传输的数据;
c)在虚拟机中开辟一个暂时存放数据的缓冲区,先将程序本身的数据存入缓冲区并对其标记,-1为这个标记,然后存入需要传输的数据;
d)检查嵌入式设备中是否已经存在与程序本身的数据相对应的特征字符串,特征字符串指通过hash校验算法生成的校验值;如果不存在执行步骤e,否则就执行步骤g;
e)当特征字符串不存在,则生成与程序本身的数据相对应的一个特征字符串并存入到嵌入式设备中;
f)初始化高速红外接口,传递要被传输的数据;
g)当嵌入式设备中已经存在这样一个特征字符串,则生成与程序本身的数据相对应的一个新的特征字符串,然后把这个新的特征字符串与嵌入式设备中旧的特征字符串进行比较;
h)当新的特征字符串与旧的特征字符串一样,则程序本身的数据本身是安全的,返回步骤f;
i)当新的特征字符串与旧的特征字符串不一样,则程序本身的数据被改动过,返回步骤b;
数据安全写入方法包括如下步骤:
1.)初始化无线通信端口;
2.)采用虚拟机接收要被传输的数据,并将要被传输的数据写入虚拟机的缓冲区;
3.)采用虚拟机确定写入数据的地址;
4.)将步骤2中虚拟机的缓冲区内的数据写入目标计算机。
CN2008102350521A 2008-11-07 2008-11-07 一种具有自检能力的数据隔离方法 Expired - Fee Related CN101404580B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2008102350521A CN101404580B (zh) 2008-11-07 2008-11-07 一种具有自检能力的数据隔离方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008102350521A CN101404580B (zh) 2008-11-07 2008-11-07 一种具有自检能力的数据隔离方法

Publications (2)

Publication Number Publication Date
CN101404580A CN101404580A (zh) 2009-04-08
CN101404580B true CN101404580B (zh) 2010-12-22

Family

ID=40538458

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008102350521A Expired - Fee Related CN101404580B (zh) 2008-11-07 2008-11-07 一种具有自检能力的数据隔离方法

Country Status (1)

Country Link
CN (1) CN101404580B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102469098B (zh) * 2010-11-11 2014-08-20 财团法人资讯工业策进会 信息安全防护主机
US9311126B2 (en) * 2011-07-27 2016-04-12 Mcafee, Inc. System and method for virtual partition monitoring

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0558945A2 (en) * 1992-03-06 1993-09-08 International Business Machines Corporation Storage isolation with subspace-group facility
CN1564142A (zh) * 2004-03-18 2005-01-12 上海交通大学 基于usb总线的数据隔离切换传输方法
CN1905477A (zh) * 2005-07-29 2007-01-31 东方惠科防伪技术有限责任公司 网络数据隔离系统和数据传输方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0558945A2 (en) * 1992-03-06 1993-09-08 International Business Machines Corporation Storage isolation with subspace-group facility
CN1564142A (zh) * 2004-03-18 2005-01-12 上海交通大学 基于usb总线的数据隔离切换传输方法
CN1905477A (zh) * 2005-07-29 2007-01-31 东方惠科防伪技术有限责任公司 网络数据隔离系统和数据传输方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
徐迎晖.一种实用的数据隔离与传输系统.《计算机安全》.2006,(01),21-22. *
杨卫国.一种数据隔离加密技术的研究及实现.中国优秀硕士学位论文全文数据库.2004,(03),1-17. *

Also Published As

Publication number Publication date
CN101404580A (zh) 2009-04-08

Similar Documents

Publication Publication Date Title
US10325108B2 (en) Method and apparatus for range based checkpoints in a storage device
CN103605930B (zh) 一种基于hook和过滤驱动的双重文件防泄密方法及系统
CN103262054B (zh) 用于自动提交存储器的装置、系统和方法
CN103049058B (zh) 使用空数据令牌指令管理存储设备中的数据的装置、系统和方法
CN104662552B (zh) 安全的盘访问控制
CN101646993B (zh) 恢复固态存储器内的存储空间的装置、系统和方法
CN106021016A (zh) 在快照之间的虚拟时间点访问
US10565130B2 (en) Technologies for a memory encryption engine for multiple processor usages
US8996933B2 (en) Memory management method, controller, and storage system
WO2006048780A3 (en) Method and system for network storage device failure protection and recovery
CN102622311A (zh) Usb移动存储设备访问控制方法、装置及系统
CN103810429A (zh) 基于桌面云虚拟化技术的电脑病毒查杀方法
CN104160407A (zh) 利用存储控制器总线接口以确保存储设备和主机之间的数据传输安全
CN102841759A (zh) 一种针对超大规模虚拟机集群的存储系统
CN101515241A (zh) 一种进程间数据通讯控制方法和系统
TW201521413A (zh) 用於自我加密驅動器之虛擬帶集中
CN104834873A (zh) 一种用于云数据信息加密解密的u盘及实现方法
CN106845261A (zh) 一种销毁ssd硬盘数据的方法及装置
CN101404580B (zh) 一种具有自检能力的数据隔离方法
CN105205416A (zh) 一种移动硬盘密码模块
CN105874429A (zh) 用于将代码注入到应用程序中的系统和方法
CN105303093A (zh) 智能密码钥匙密码验证方法
US20130262795A1 (en) Information storage device and method
CN101464934B (zh) 一种计算机平台与存储设备相互绑定、认证方法及计算机
US20170091120A1 (en) Securing Writes to Memory Modules Having Memory Controllers

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee
CP02 Change in the address of a patent holder

Address after: 212028 Zhenjiang, Dantu Metro Industrial Park Rui East Road, No. 9

Patentee after: Jiangsu University of Science and Technology

Address before: 212003 Zhenjiang,, Jiangsu, Jiangsu University of Science and Technology, No.

Patentee before: Jiangsu University of Science and Technology

EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20090408

Assignee: Cudatec Development Co., Ltd.

Assignor: Jiangsu University of Science and Technology

Contract record no.: 2011320000756

Denomination of invention: Data isolation method with self-checking ability

Granted publication date: 20101222

License type: Exclusive License

Record date: 20110527

LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model
C41 Transfer of patent application or patent right or utility model
CB03 Change of inventor or designer information

Inventor after: Liu Zhen

Inventor after: Chen Xiaobo

Inventor after: Qian Ping

Inventor after: Zhou Liang

Inventor after: Zhou Xiaoyong

Inventor after: Yu Haipeng

Inventor after: Qian Tianneng

Inventor after: Lin Yayang

Inventor after: Zhu Zhehua

Inventor before: Liu Zhen

Inventor before: Chen Xiaobo

Inventor before: Qian Ping

Inventor before: Zhou Liang

COR Change of bibliographic data
TR01 Transfer of patent right

Effective date of registration: 20160614

Address after: 212028 Zhenjiang, Dantu Metro Industrial Park Rui East Road, No. 9

Patentee after: Jiangsu University of Science and Technology

Patentee after: Nantong Power Supply Company, Jiangsu Electric Power Co., Ltd.

Address before: 212028 Zhenjiang, Dantu Metro Industrial Park Rui East Road, No. 9

Patentee before: Jiangsu University of Science and Technology

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20101222

Termination date: 20171107

CF01 Termination of patent right due to non-payment of annual fee