CN103577771A - 一种基于磁盘加密的虚拟桌面数据防泄漏保护技术 - Google Patents
一种基于磁盘加密的虚拟桌面数据防泄漏保护技术 Download PDFInfo
- Publication number
- CN103577771A CN103577771A CN201310548540.9A CN201310548540A CN103577771A CN 103577771 A CN103577771 A CN 103577771A CN 201310548540 A CN201310548540 A CN 201310548540A CN 103577771 A CN103577771 A CN 103577771A
- Authority
- CN
- China
- Prior art keywords
- data
- virtual desktop
- blocker
- database
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术,其特征在于,通过在数据库中心与宿主虚拟桌面之间增加读拦截器、写拦截器、解密器、加密器及密码容器等五个单元模块,实现宿主虚拟桌面与数据库中心的数据密文及明文交换。本发明的有益效果在于:①通过加密器对终端用户的数据进行加密后再存储到数据库中心,有效的防止了数据库管理对数据的泄密;②通过采用读拦截器和写拦截器,有效的防治了第三方通过非合法手段窃取数据库中心的数据。
Description
技术领域
本发明涉及数据安全领域,具体涉及一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术。
背景技术
随着政府和企业信息化的发展,信息化工作的重心已经逐步从基础设施建设转向业务系统的建设,人们越来越多地借助以计算机、互联网等先进技术为代表的信息手段,将机构的运营及管理流程在线实现,所有业务数据(包含一些涉密及敏感信息)经由系统处理,快速形成管理层所需的财务报表、发展规划、电子合同、设计图纸等以各种电子文档和报表形式呈现。电子数据成为机构内部信息的主要存储方式及机构内、外部之间进行信息交换的重要载体。如何确保这些信息资产的安全问题,被人们所越来越重视。
随着计算机、笔记本电脑等设备使用数量日益增加,由于这些设备丢失、维修、非授权人员非法使用而造成的泄密事件时有发生。政府机关,军工企业等用户的计算机和笔记本的硬盘中可能存储重要的国家和部门机密,这些数据一旦丢失对国家安全都会造成较大影响。另外,在企业用户的笔记本设备中也可能存有企业的重要商业秘密,如商业合同、财务报表、设计图纸等等,这些设备一旦丢失或硬盘数据被窃取对企业也会造成不可挽回的经济损失。信息本身也如同硬件等固定资产一样,成为机构内部的一项重要的资产。
虚拟桌面是现代企业中常用的一种支持企业级实现桌面系统的远程动态访问与数据中心统一托管的技术,它将所有桌面虚拟机在数据中心进行托管并统一管理,同时用户能够获得完整PC的使用体验。
如图1所示,数据中心分配给终端用户A和B各一块硬盘,通过访问控制策略控制终端用户A和终端用户B通过各自的虚拟主机访问数据中心中属于各自的硬盘数据。但是这里存在两个安全隐患:首先是数据中心的管理员不受访问控制规则限定可以直接访问磁盘数据;其次是用户B采用一些手段可以绕过访问控制策略获取到磁盘数据(A)。
近年来,由于虚拟桌面使用不善而造成的泄密事件屡有发生,从而给机构带来了社会影响和经济损失,为防止此类的数据泄露,用户期望能有一种简单、安全、方便、有效的方式来确保存储在数据中心的数据安全。
发明内容
本发明是针对现有技术的不足,提出的一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术,该系统利用磁盘加解密技术,通过读写拦截器对虚拟桌面数据进行过滤,防止磁盘数据泄露。
一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术,通过在数据库中心与宿主虚拟桌面之间增加读拦截器、写拦截器、解密器、加密器及密码容器等五个单元模块,实现宿主虚拟桌面与数据库中心的数据密文及明文交换。
所述的基于磁盘加密读写拦截器的虚拟桌面实现数据防泄漏的方法为:
当终端用户向数据库写入数据时,终端用户通过应用程序将明文传送给宿主虚拟桌面,宿主虚拟桌面将明文数据发送给写拦截器,写拦截器将明文转发给加密器,由加密器根据密码容器对明文进行加密,然后,加密器将加密的数据转发给写拦截器,由写拦截器将密文存储到数据库中心;
当终端用户向数据库读取数据时,终端用户通过写拦截器向数据库中心发其请求,数据库中心根据请求数据将相应密文数据发送给读拦截器,读拦截器密文发送给解密器,解密器根据密码容器对密文数据进行解密并将明文数据转发给读拦截器,然后读拦截器将明文经宿主虚拟卓明发送给终端用户的应用程序。
进一步的,所述的数据库中心的数据为加密数据,数据中心管理员不能对数据库中心的数据进行解密。
进一步的,所述的每个终端用户对应一个宿主虚拟桌面,所述的每个宿主虚拟桌面均分配有不同的全盘加密口令。
本发明的有益效果在于:①通过加密器对终端用户的数据进行加密后再存储到数据库中心,有效的防止了数据库管理对数据的泄密;②通过采用读拦截器和写拦截器,有效的防治了第三方通过非合法手段窃取数据库中心的数据。
附图说明
图1 传统基于虚拟桌面的数据防泄漏保护技术拓扑图;
图2 一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术的架构拓扑图;
图3一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术数据处理流程图;
图4一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术数据处理流程图。
具体实施方式
如图2所示,本发明所述的一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术,通过在数据库中心与宿主虚拟桌面之间增加读拦截器、写拦截器、解密器、加密器及密码容器等五个单元模块,实现宿主虚拟桌面与数据库中心的数据密文及明文交换。
本发明所述的一种基于磁盘加密读写拦截器的虚拟桌面数据防泄漏保护技术在实施应用前,需要配置虚拟机,如图3所示,所述虚拟机的配置方式为:数据库管理员分配带有整盘加密的虚拟机,终端用户初始化整盘加密,然后终端用户加密整个系统。
终端用户打开终端机器时,进入虚拟桌面时需要输入全盘加密口令,如输入口令,密码验证器进行验证,验证通过,正常开机,如果验证口令不通过,则重新开机。
如图4所示,终端用户从数据库中心读取数据时,用户打开终端上的应用程序,例如使用word2007打开一个文档,读数据请求经过宿主虚拟桌面发往磁盘,磁盘得到读请求后将数据发往宿主主机,读拦截器拦截到数据,访问解密器,解密器访问密码容器获得密码,解密器对读数据进行解密,解密后的数据经过宿主虚拟桌面返回用户终端应用程序,数据中心管理员读取的磁盘数据是加密的,无法使用。
终端用户向数据库中心写数据时,用户打开终端上的应用程序,例如使用word2007打开一个文档,写入数据,点击“保存”,写数据经过宿主虚拟桌面发往磁盘,写拦截器拦截到数据,访问加密器,加密器访问密码容器获得密码,加密器对读数据进行加密,加密后的数据发往磁盘。
Claims (4)
1.一种基于磁盘加密的虚拟桌面数据防泄漏保护技术,其特征在于,通过在数据库中心与宿主虚拟桌面之间增加读拦截器、写拦截器、解密器、加密器及密码容器等五个单元模块,实现宿主虚拟桌面与数据库中心的数据密文及明文交换。
2.如权利要求1所述的一种基于磁盘加密的虚拟桌面数据防泄漏保护技术,其特征在于,所述的基于磁盘加密读写拦截器的虚拟桌面实现数据防泄漏的方法为:
当终端用户向数据库写入数据时,终端用户通过应用程序将明文传送给宿主虚拟桌面,宿主虚拟桌面将明文数据发送给写拦截器,写拦截器将明文转发给加密器,由加密器根据密码容器对明文进行加密,然后,加密器将加密的数据转发给写拦截器,由写拦截器将密文存储到数据库中心;
当终端用户向数据库读取数据时,终端用户通过写拦截器向数据库中心发其请求,数据库中心根据请求数据将相应密文数据发送给读拦截器,读拦截器密文发送给解密器,解密器根据密码容器对密文数据进行解密并将明文数据转发给读拦截器,然后读拦截器将明文经宿主虚拟卓明发送给终端用户的应用程序。
3.如权利要求1所述的一种基于磁盘加密的虚拟桌面数据防泄漏保护技术,其特征在于,所述的数据库中心的数据为加密数据,数据中心管理员不能对数据库中心的数据进行解密。
4.如权利要求1所述的一种基于磁盘加密的虚拟桌面数据防泄漏保护技术,其特征在于,所述的每个终端用户对应一个宿主虚拟桌面,所述的每个宿主虚拟桌面均分配有不同的全盘加密口令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310548540.9A CN103577771B (zh) | 2013-11-08 | 2013-11-08 | 一种基于磁盘加密的虚拟桌面数据防泄漏保护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310548540.9A CN103577771B (zh) | 2013-11-08 | 2013-11-08 | 一种基于磁盘加密的虚拟桌面数据防泄漏保护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103577771A true CN103577771A (zh) | 2014-02-12 |
CN103577771B CN103577771B (zh) | 2016-09-07 |
Family
ID=50049530
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310548540.9A Active CN103577771B (zh) | 2013-11-08 | 2013-11-08 | 一种基于磁盘加密的虚拟桌面数据防泄漏保护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103577771B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018000537A1 (zh) * | 2016-06-26 | 2018-01-04 | 杨越 | 网络环境下虚拟机安全隔离系统 |
CN108021801A (zh) * | 2017-11-20 | 2018-05-11 | 深信服科技股份有限公司 | 基于虚拟桌面的防泄密方法、服务器及存储介质 |
CN108494797A (zh) * | 2018-04-16 | 2018-09-04 | 深信服科技股份有限公司 | 基于虚拟化技术的数据监管方法、系统、设备及存储介质 |
CN111475524A (zh) * | 2020-03-05 | 2020-07-31 | 平安科技(深圳)有限公司 | 基于拦截器的数据处理方法、装置和计算机设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100269135A1 (en) * | 2009-04-16 | 2010-10-21 | Ibahn General Holdings Corporation | Virtual desktop services |
CN102609498A (zh) * | 2012-01-31 | 2012-07-25 | 深圳市深信服电子科技有限公司 | 一种安全桌面数据复用的方法及装置 |
CN102821094A (zh) * | 2012-07-09 | 2012-12-12 | 深圳市深信服电子科技有限公司 | 虚拟桌面中的数据安全处理方法及系统 |
-
2013
- 2013-11-08 CN CN201310548540.9A patent/CN103577771B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100269135A1 (en) * | 2009-04-16 | 2010-10-21 | Ibahn General Holdings Corporation | Virtual desktop services |
CN102609498A (zh) * | 2012-01-31 | 2012-07-25 | 深圳市深信服电子科技有限公司 | 一种安全桌面数据复用的方法及装置 |
CN102821094A (zh) * | 2012-07-09 | 2012-12-12 | 深圳市深信服电子科技有限公司 | 虚拟桌面中的数据安全处理方法及系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018000537A1 (zh) * | 2016-06-26 | 2018-01-04 | 杨越 | 网络环境下虚拟机安全隔离系统 |
CN108021801A (zh) * | 2017-11-20 | 2018-05-11 | 深信服科技股份有限公司 | 基于虚拟桌面的防泄密方法、服务器及存储介质 |
CN108021801B (zh) * | 2017-11-20 | 2021-07-06 | 深信服科技股份有限公司 | 基于虚拟桌面的防泄密方法、服务器及存储介质 |
CN108494797A (zh) * | 2018-04-16 | 2018-09-04 | 深信服科技股份有限公司 | 基于虚拟化技术的数据监管方法、系统、设备及存储介质 |
CN111475524A (zh) * | 2020-03-05 | 2020-07-31 | 平安科技(深圳)有限公司 | 基于拦截器的数据处理方法、装置和计算机设备 |
CN111475524B (zh) * | 2020-03-05 | 2024-05-28 | 平安科技(深圳)有限公司 | 基于拦截器的数据处理方法、装置和计算机设备 |
Also Published As
Publication number | Publication date |
---|---|
CN103577771B (zh) | 2016-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102402664B (zh) | 数据访问控制装置和数据访问控制方法 | |
EP3962019B1 (en) | Trusted data transmission methods, apparatuses, and devices | |
JP6553819B2 (ja) | 機密性を保持しつつ機密情報漏洩を検出するためのシステムおよび方法 | |
CN100464549C (zh) | 一种数据安全存储业务的实现方法 | |
CN102138300B (zh) | 消息认证码预计算在安全存储器中的应用 | |
US11790106B1 (en) | Methods for protecting data | |
CN106022154B (zh) | 数据库加密方法和数据库服务器 | |
CN106022155A (zh) | 用于数据库安全管理的方法及服务器 | |
CN109412812A (zh) | 数据安全处理系统、方法、装置和存储介质 | |
CN103618705A (zh) | 开放云平台下一种个人密码管理工具及方法 | |
CN206611427U (zh) | 一种基于可信计算装置的密钥存储管理系统 | |
CN106992851A (zh) | 基于TrustZone的数据库文件口令加解密方法、装置及终端设备 | |
CN104333545A (zh) | 对云存储文件数据进行加密的方法 | |
CN106682521B (zh) | 基于驱动层的文件透明加解密系统及方法 | |
CN108537537A (zh) | 一种安全可信的数字货币钱包系统 | |
CN101114319A (zh) | 剪切板信息保护装置和方法 | |
CN103577771A (zh) | 一种基于磁盘加密的虚拟桌面数据防泄漏保护技术 | |
CN114221927A (zh) | 基于国密算法的邮件加密服务系统及方法 | |
US20210110064A1 (en) | Executing entity-specific cryptographic code in a cryptographic coprocessor | |
US20230021749A1 (en) | Wrapped Keys with Access Control Predicates | |
US20230327855A1 (en) | System and method for protecting secret data items using multiple tiers of encryption and secure element | |
CN112287415B (zh) | Usb存储设备访问控制方法、系统、介质、设备及应用 | |
CN105376258B (zh) | 一种基于加密授权体系备份恢复云存储文件对象的方法 | |
CN104202166A (zh) | 一种erp系统数据加密方法 | |
CN112751879A (zh) | 一种拟态dns防御系统通信加密和解密方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |