CN103218573B - 一种基于虚拟磁盘保护的无痕访问控制方法及装置 - Google Patents
一种基于虚拟磁盘保护的无痕访问控制方法及装置 Download PDFInfo
- Publication number
- CN103218573B CN103218573B CN201310163195.7A CN201310163195A CN103218573B CN 103218573 B CN103218573 B CN 103218573B CN 201310163195 A CN201310163195 A CN 201310163195A CN 103218573 B CN103218573 B CN 103218573B
- Authority
- CN
- China
- Prior art keywords
- virtual disk
- user
- safety
- virtual
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 6
- 238000000638 solvent extraction Methods 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000002452 interceptive effect Effects 0.000 description 4
- 238000000151 deposition Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种基于虚拟磁盘保护的无痕访问控制方法及装置,包括在用户端系统中通过usbkey创建虚拟磁盘;在用户端与web服务器之间设有带安全插件的安全网关设备;通过usbkey对用户身份进行认证,认证通过访问涉密web系统;安全插件挂载虚拟磁盘建立虚拟访问空间;对虚拟访问空间中的文件进行重定向到虚拟磁盘中。本发明保证只有用户可以访问虚拟磁盘内的文件,禁止系统内其它进程访问虚拟磁盘内的用户文件,从而保证文件在传输过程中的安全性,并保护用户本地文件的安全。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及客户端无痕访问控制方法及装置。
背景技术
用户在通过浏览器访问web系统时,浏览器不仅会将浏览历史记录保存在本地,同时还会把临时文件、输入网址记录等数据保存在本地临时目录中。即使用户在退出浏览器时,清除了所有的缓存文件和访问历史记录,但非法用户依然可以通过各种数据恢复工具恢复出被清除的文件和记录。同时非法用户也可以通过木马等工具窃取用户的缓存文件,造成泄密的安全隐患。
用户在通过浏览器访问涉密系统时,数据包在网络传输过程中是以明文方式加密的。用户在下载、上传文件时,存在被非法用户窃听、窃取的风险。
另外,在计算机中进行文档操作时也都会留有记录。以OFFICE系列为例,每个文档生成编辑和使用时,会产生临时文件,也存在存储介质上。在对文档进行常规删除时,会将此文档原封不动地拷到回收站的恢复空间下。非法用户通过一定的方法,可以恢复关于文档的详细信息。
发明内容
为了解决上述实际应用中存在的安全隐患问题,本发明的目的是提供一种基于虚拟磁盘保护的无痕访问控制方法及装置,保证只有用户可以访问虚拟磁盘内的文件,禁止系统内其它进程访问虚拟磁盘内的用户文件,从而保证文件在传输过程中的安全性,并保护用户本地文件的安全。
本发明的目的可以通过以下技术方案来实现:
一种基于虚拟磁盘保护的无痕访问控制方法,包括以下步骤:
(1)在用户端系统中通过usbkey创建虚拟磁盘;
(2)在用户端与web服务器之间设有带安全插件的安全网关设备;
(3)安全网关设备通过usbkey对用户身份进行认证,认证通过访问涉密web系统;
(4)安全插件挂载(1)中虚拟磁盘建立的虚拟访问空间;
(5)安全防护模块对虚拟访问空间中的文件进行重定向到虚拟磁盘中。
所述安全插件检测到退出事件,安全防护模块停止运行,并卸载虚拟磁盘。
为了保护虚拟磁盘的安全性,所述步骤(1)中usbkey在虚拟磁盘上设加密通道。
本发明中安全网关设备,用于隔离用户端与web服务器并实现数据加密传输。实现了端到端的加密传输,保证数据传输系统的安全性。安全网关设备在用户登录时,根据用户身份和登录使用的认证方式,以及制定的访问策略,确定用户的访问权限,防止用户非法访问和修改应用系统和数据。另外,安全网关提供详细的日志功能,详细记录用户的各种访问日志以及管理员的各种管理操作,为以后的安全审查和追踪提供依据。
安全防护模块,用于对所述虚拟磁盘上的文件、应用程序进行保护、监控,并将浏览器的缓存目录强制重定向到所述虚拟磁盘模块中,同时禁用除虚拟磁盘外的其它所有磁盘,包括光驱和移动盘。用户在下载文件时,只能将文件下载到虚拟磁盘中,不能将文件保存到除虚拟磁盘外的其它地方。
在安全网关设备上安装有安全插件,用户在第一次访问涉密web系统时,会自动下载安全插件并安装。该安全插件用来监控用户对涉网络的访问情况。当用户通过身份认证登录到安全网关设备后,如果用户通过浏览器访问涉密web系统,则安全插件会启动,自动挂载虚拟磁盘并启动安全防护功能;当用户退出涉密web系统时,安全插件会自动停止安全防护服务并卸载虚拟磁盘。
本发明还提供了一种基于虚拟磁盘保护的无痕访问装置,包括用户端与web服务器,所述用户端与web服务器通过安全网关设备进行交互式连接;所述用户端设有USB接口,所述USB接口插接有usbkey。
所述usbkey包括单片机,所述单片机分别交互式连接有存储器模块、安全防护模块,所述单片机与安全网关设备进行交互式连接。
所述安全防护模块包括阻止通过usbkey访问的应用程序或进程的另存、拷贝操作的文件过滤驱动模块与将其缓存目录强制重定向到存储器模块中的定向模块;所述文件过滤驱动模块与定向模块分别与所述单片机交互式连接。
其中存储器模块,用于存储浏览涉密web系统时的缓存文件、访问记录和下载文件。
usbkey是一种USB接口的硬件设备,其内部单片机中设有登录证书和加密证书,安全网关设备利用登录证书来校验用户的身份,用户端利用加密证书对创建的虚拟磁盘进行加密保护。usbkey采用虚拟磁盘技术,在用户端建立虚拟访问空间,作为工作文件和浏览器临时文件的缓存空间,供浏览器和用户使用,使用户只能把文件存储到虚拟磁盘上,防止涉密数据的泄漏。用户在访问涉密web系统时,安全插件会自动挂载虚拟磁盘;当用户退出涉密系统时,安全插件会自动卸载虚拟磁盘。采用文件过滤驱动对虚拟磁盘上的文件进行保护和对应用程序进行监控。文件过滤驱动从内核监控应用程序(进程)对虚拟磁盘中文件的所有IO读写请求,阻止应用程序(进程)非法另存和拷贝操作;当应用程序读\写虚拟磁盘中的文件时,文件过滤驱动取得当前读\写虚拟磁盘中文件的进程号(PID),标记此应用程序(进程)为受保护的进程,通过跟踪与写操作(Write)相关的IRP和 FastIO请求,除允许此应用程序(进程)向虚拟磁盘中写操作(Write)外,禁止此应用程序(进程)向其他盘空间进行写操作,防止由于另存(Save
as)或拷贝(Copy)方式而造成的文件泄密。
定向模块对浏览器特定的目录进行重定向操作,防止由于浏览器在操作过程中产生的临时文件而造成的泄密。
自动挂载与卸载虚拟磁盘主要工作流程是:
用户端先连接上usbkey,再通过安全网关设备的身份认证登录到安全系统并访问涉密web系统后,如果是第一次访问,浏览器会自动下载安全插件并安装。安全插件启动后,会自动加载用户本地的虚拟磁盘建立虚拟访问空间,同时启动安全防护服务。用户能访问虚拟访问空间,在里面浏览、创建或者下载文件。用户只能在虚拟访问空间内对文件进行编辑、删除等操作,但无法将文件保存至安全的虚拟访问空间外的地方。同时启动安全防护服务,则会自动禁止用户和其它应用程序访问系统内其它分区,包括光驱和移动磁盘。同时也会禁止除浏览器进程之外的其它进程访问安全的虚拟访问空间,避免因安全的虚拟访问空间文件被其它进程访问所造成的安全隐患。
当用户退出涉密web系统时,安全插件会检测到退出事件,安全防护模块停止运行,并卸载虚拟磁盘。此时之前创建的安全的虚拟访问空间消失,但保存在安全的存储器模块的虚拟磁盘工作区内的文件还存在,系统内的其它分区均可正常访问。
所以,本发明的有益效果有:
1、用户端与web服务器通过安全网关设备进行通讯,隔离了用户端与web服务器并实现数据加密传输,有效保护了用户浏览web系统及操作文件的安全性,通过对用户访问的权限进行控制,防止非法用户访问内部网络;
2、通过安全网关设备对传输通道进行加密,避免了文件在传输过程中被窃取的安全隐患。
3、采用usbkey在用户端创建虚拟磁盘,usbkey中的存储器模块作为工作文件和浏览器临时文件的缓存空间,供浏览器和用户使用。用户在访问涉密web系统时,安全插件会挂载虚拟磁盘建立虚拟访问空间;当用户退出涉密系统时,安全插件会卸载虚拟磁盘。通过对用户保存在虚拟磁盘内的文件进行保护,防止了系统内其它进程对文件进行操作;
4、安全防护模块自动禁止用户和其它应用程序访问用户端系统内其它分区,包括光驱和移动磁盘。同时也会禁止除浏览器进程之外的其它进程访问虚拟磁盘工作区,避免因虚拟磁盘工作内文件被其它进程访问所造成的安全隐患。
5、定向模块将浏览器的缓存目录强制重定向到虚拟磁盘,防止了因浏览器本身的运行机制导致的安全风险。
附图说明
图1是本发明装置的结构示意图;
图2是本发明中的usbkey电路原理框图;
图3是挂载虚拟磁盘流程图;
图4是卸载虚拟磁盘流程图。
具体实施方式
如图1、图2所示,一种基于虚拟磁盘保护的无痕访问装置,包括用户端1与web服务器4,所述用户端1与web服务器4通过安全网关设备3进行交互式连接;所述用户端1设有USB接口,所述USB接口插接有usbkey 2。所述usbkey 2包括单片机2-1,所述单片机2-1分别交互式连接有存储器模块2-2、安全防护模块,所述单片机2-1与安全网关设备3进行交互式连接。安全防护模块包括阻止通过usbkey访问的应用程序或进程的另存、拷贝操作的文件过滤驱动模块2-3与将其缓存目录强制重定向到存储器模块2-2中的定向模块2-4;所述文件过滤驱动模块2-3与定向模块2-4分别与单片机2-1交互式连接。
如图3、图4所示,一种基于虚拟磁盘保护的无痕访问控制方法,包括以下步骤:
一种基于虚拟磁盘保护的无痕访问控制方法,包括以下步骤:
(1)在用户端系统中通过usbkey创建虚拟磁盘,并在虚拟磁盘上设加密通道;
(2)在用户端与web服务器之间设有带安全插件的安全网关设备;
(3)安全网关设备通过usbkey对用户身份进行认证,认证通过访问涉密web系统;
(4)安全插件挂载(1)中虚拟磁盘建立虚拟访问空间;
(5)usbkey启动安全防护模块对虚拟访问空间中的文件进行重定向到虚拟磁盘中,并阻止应用程序的相关操作;
(6)所述安全插件检测到退出事件,安全防护模块停止运行,并卸载虚拟磁盘。
以上实施例并非仅限于本发明的保护范围,所有基于本发明的基本思想而进行修改或变动的都属于本发明的保护范围。
Claims (2)
1.一种基于虚拟磁盘保护的无痕访问控制方法,其特征在于:包括以下步骤:
(1)在用户端系统中通过usbkey创建虚拟磁盘,并在虚拟磁盘上设加密通道;
(2)在用户端与web服务器之间设有带安全插件的安全网关设备;
(3)安全网关设备通过usbkey对用户身份进行认证,认证通过访问涉密web系统;
(4)安全插件挂载(1)中虚拟磁盘建立的虚拟访问空间;
(5)安全防护模块对虚拟访问空间中的文件进行重定向到(1)中的虚拟磁盘中,并自动禁止用户和其它应用程序访问除虚拟访问空间以外的其它系统分区,同时禁止除浏览器进程之外的其它进程访问安全的虚拟访问空间。
2.根据权利要求1所述的方法,其特征在于:所述安全插件检测到退出事件,安全防护模块停止运行,并同时卸载虚拟磁盘。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310163195.7A CN103218573B (zh) | 2013-05-07 | 2013-05-07 | 一种基于虚拟磁盘保护的无痕访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310163195.7A CN103218573B (zh) | 2013-05-07 | 2013-05-07 | 一种基于虚拟磁盘保护的无痕访问控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103218573A CN103218573A (zh) | 2013-07-24 |
| CN103218573B true CN103218573B (zh) | 2016-12-28 |
Family
ID=48816345
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310163195.7A Expired - Fee Related CN103218573B (zh) | 2013-05-07 | 2013-05-07 | 一种基于虚拟磁盘保护的无痕访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103218573B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468461A (zh) * | 2013-09-12 | 2015-03-25 | 上海宝信软件股份有限公司 | 基于云存储技术的非结构化数据保护方法 |
| CN104361291B (zh) * | 2014-10-15 | 2020-02-21 | 网神信息技术(北京)股份有限公司 | 数据处理方法和装置 |
| CN106203106A (zh) * | 2016-06-28 | 2016-12-07 | 安徽润谷网络科技有限公司 | 一种防火墙应用架构 |
| TWI646425B (zh) * | 2017-04-11 | 2019-01-01 | 精品科技股份有限公司 | 虛擬磁碟之防護系統 |
| WO2019101050A1 (zh) | 2017-11-27 | 2019-05-31 | 华为技术有限公司 | 多终端协同安全工作的方法和装置 |
| CN108287988B (zh) * | 2017-12-25 | 2022-04-05 | 武汉华工安鼎信息技术有限责任公司 | 用于移动终端文件的安全管理系统及方法 |
| CN112202710B (zh) * | 2020-08-25 | 2023-08-04 | 奇安信科技集团股份有限公司 | 一种防止数据泄露的方法、装置、电子设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102053925A (zh) * | 2009-11-04 | 2011-05-11 | 许燕 | 硬盘数据加密实现方法 |
| CN102622547A (zh) * | 2012-03-13 | 2012-08-01 | 上海华御信息技术有限公司 | 一种基于key的服务器数据读取方法 |
| CN102708326A (zh) * | 2012-05-22 | 2012-10-03 | 南京赛孚科技有限公司 | 一种涉密文件的保护方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008073618A2 (en) * | 2006-11-06 | 2008-06-19 | Devicevm, Inc. | Instant on platform |
-
2013
- 2013-05-07 CN CN201310163195.7A patent/CN103218573B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102053925A (zh) * | 2009-11-04 | 2011-05-11 | 许燕 | 硬盘数据加密实现方法 |
| CN102622547A (zh) * | 2012-03-13 | 2012-08-01 | 上海华御信息技术有限公司 | 一种基于key的服务器数据读取方法 |
| CN102708326A (zh) * | 2012-05-22 | 2012-10-03 | 南京赛孚科技有限公司 | 一种涉密文件的保护方法 |
Non-Patent Citations (1)
| Title |
|---|
| 安全网关身份认证系统的设计与实现;纪昆;《中国优秀硕士学位论文全文数据库-信息科技辑》;20121015(第10期);第5-24页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103218573A (zh) | 2013-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103218573B (zh) | 一种基于虚拟磁盘保护的无痕访问控制方法及装置 | |
| US7793110B2 (en) | Posture-based data protection | |
| US10645091B2 (en) | Methods and systems for a portable data locker | |
| Hasan et al. | Toward a threat model for storage systems | |
| WO2014121713A1 (zh) | 一种网址拦截处理的方法、装置和系统 | |
| US20090046858A1 (en) | System and Method of Data Encryption and Data Access of a Set of Storage Devices via a Hardware Key | |
| RU2559728C2 (ru) | Система и способ копирования файлов с зашифрованного диска | |
| CN102053925A (zh) | 硬盘数据加密实现方法 | |
| JP2008522279A (ja) | アクセスが制御される仮想ディスク間のオンラインによるデータのセキュリティ伝送システムおよび、これを通じたセキュリティ伝送方法 | |
| CN104834835A (zh) | 一种Windows平台下的通用数字版权保护方法 | |
| CN103634482A (zh) | 一种手持智能设备应用软件安全保护方法 | |
| Tetmeyer et al. | Security threats and mitigating risk for USB devices | |
| US11469880B2 (en) | Data at rest encryption (DARE) using credential vault | |
| EP1953668A2 (en) | System and method of data encryption and data access of a set of storage devices via a hardware key | |
| CN104318176A (zh) | 用于终端的数据管理方法、数据管理装置和终端 | |
| EP1962214A1 (en) | A digital works downloading method based on automatically banding removable device | |
| CN102333072A (zh) | 一种基于智能终端的网络银行可信交易系统与方法 | |
| CN105303074A (zh) | 一种保护Web应用程序安全的方法 | |
| CN101719209A (zh) | 一种windows平台上的通用数字版权保护方法 | |
| CN110569650B (zh) | 基于国产操作系统的可移动存储设备权限管理方法及系统 | |
| CN102663313B (zh) | 一种实现计算机系统信息安全的方法 | |
| CN111539042B (zh) | 一种基于核心数据文件可信存储的安全操作方法 | |
| CN101382919A (zh) | 一种基于身份的存储数据隔离方法 | |
| CN101150459B (zh) | 提高信息安全装置安全性的方法及系统 | |
| KR101859823B1 (ko) | 키 백업을 사용한 랜섬웨어 방지 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 230088 room 11, floor 1104, science and technology enterprise accelerator, National University Science Park, Hefei hi tech Zone, Anhui, Applicant after: Anhui Haijia Technology Services Co.,Ltd. Address before: 230088, 6 floor, A4 building, animation base, 800 Wangjiang West Road, hi tech Zone, Anhui, Hefei Applicant before: ANHUI HAIJIA NETWORK TECHNOLOGY CO.,LTD. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170804 Address after: 201821, room 1223, B District, 1011 Fu Hai Road, 3, Shanghai, Jiading District Patentee after: HIGHGUARD NETWORKS Inc. Address before: 230088 room 11, floor 1104, science and technology enterprise accelerator, National University Science Park, Hefei hi tech Zone, Anhui, Patentee before: Anhui Haijia Technology Services Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20161228 |