CN104021354A - 计算机虚拟化环境中的数据防泄露方法 - Google Patents

计算机虚拟化环境中的数据防泄露方法 Download PDF

Info

Publication number
CN104021354A
CN104021354A CN201410283457.8A CN201410283457A CN104021354A CN 104021354 A CN104021354 A CN 104021354A CN 201410283457 A CN201410283457 A CN 201410283457A CN 104021354 A CN104021354 A CN 104021354A
Authority
CN
China
Prior art keywords
data
file
user
leakage
virtualized environment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201410283457.8A
Other languages
English (en)
Inventor
邹雷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Westone Information Industry Inc
Original Assignee
Chengdu Westone Information Industry Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Westone Information Industry Inc filed Critical Chengdu Westone Information Industry Inc
Priority to CN201410283457.8A priority Critical patent/CN104021354A/zh
Publication of CN104021354A publication Critical patent/CN104021354A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种计算机虚拟化环境中的数据防泄露方法。数据防泄露方法包括:在计算机操作系统中注册文件系统模块和中间层模块,文件系统模块在计算机中创建经加密的文件存储空间;在用户启动操作系统后,运行与用户相关联的虚拟化环境,并在文件存储空间中为虚拟化环境配置目标存储文件;通过中间层模块监视用户对虚拟化环境的操作,并将相应产生的用户数据重定向至目标存储文件,以保护用户数据,防止用户数据泄露。本发明通过加密的文件存储空间来重定向虚拟化环境中的用户数据,能够对用户数据进行安全保护,防止用户数据泄露,并且对用户的操作透明,不会影响用户的操作。

Description

计算机虚拟化环境中的数据防泄露方法
技术领域
本发明涉及计算机应用领域,尤其是涉及一种计算机虚拟化环境中的数据防泄露方法。
背景技术
虚拟化技术是为用户提供基于物理硬件的逻辑使用场景,包括计算机硬件虚拟化、桌面虚拟化等。硬件虚拟化是指在真实的计算机硬件基础上为用户虚拟出多个相同的虚拟化环境,每个虚拟化环境都可以在原有的计算机硬件基础上运行各自的操作系统。桌面虚拟化是以云服务为基础,为用户提供一个系统桌面,但所有的操作和数据、计算等都在云服务器上进行。
在虚拟化环境中,敏感的用户数据视为用户的隐私,需要严格保密,因此,数据防泄漏是目前信息安全领域的重要需求。在数据防泄漏方面要求对用户数据进行安全保护。但是,现有技术中的计算机直接暴漏在网络中或者管理员面前,如果网络存在安全漏洞或者管理员不可信,那么用户数据将会被泄露、被窃取。
发明内容
本发明所要解决的技术问题是:针对上述存在的问题,提供一种计算机虚拟化环境中的数据防泄露方法,能够对用户数据进行安全保护,防止用户数据泄露,并且对用户的操作透明,不会影响用户的操作。
本发明采用的技术方案是提供一种计算机虚拟化环境中的数据防泄露方法,所述数据防泄露方法包括:在计算机操作系统中注册文件系统模块和中间层模块,所述文件系统模块在计算机中创建经加密的文件存储空间;在用户启动所述操作系统后,运行与用户相关联的虚拟化环境,并在所述文件存储空间中为所述虚拟化环境配置目标存储文件;通过所述中间层模块监视用户对所述虚拟化环境的操作,并将相应产生的用户数据重定向至所述目标存储文件,以保护所述用户数据,防止所述用户数据泄露。
优选地,所述数据防泄露方法还包括:在用户注销或退出所述虚拟化环境时,通过所述文件系统模块销毁所述目标存储文件。
优选地,所述用户数据至少包括下面一种:文件浏览缓存数据、文件操作数据、注册表数据和虚拟化环境的系统缓存数据。
优选地,所述虚拟化环境由用户启动运行或者在所述操作系统上自行启动运行。
优选地,所述文件系统模块对所述文件存储空间的读写进行加密。
优选地,所述操作系统为Windows XP或Windows7。
综上所述,由于采用了上述技术方案,本发明的有益效果是:由文件系统模块创建经加密的文件存储空间,由中间层模块监视用户对虚拟化环境的操作,并将相应产生的用户数据重定向至目标存储文件,由于目标存储文件受加密保护,从而能够对用户数据进行安全保护,防止用户数据泄露,并且对用户的操作透明,不会影响用户的操作,对数据防泄漏技术的标准化将起到积极的促进作用。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是本发明计算机虚拟化环境中的数据防泄露方法一个实施例的流程示意图。
图2是本实施例的数据泄露方法的实现原理图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
如图1所示,是本发明计算机虚拟化环境中的数据防泄露方法一个实施例的流程示意图。本实施例的数据防泄露方法包括以下步骤:
S11:在计算机操作系统中注册文件系统模块和中间层模块,文件系统模块在计算机中创建经加密的文件存储空间。
S12:在用户启动操作系统后,运行与用户相关联的虚拟化环境,并在文件存储空间中为虚拟化环境配置目标存储文件。
S13:通过中间层模块监视用户对虚拟化环境的操作,并将相应产生的用户数据重定向至目标存储文件,以保护用户数据,防止用户数据泄露。
具体地,本实施例的操作系统可以是Windows XP或Windows7等。文件存储空间可以建立在计算机的物理磁盘上。用户数据至少包括文件浏览缓存数据、文件操作数据、注册表数据和虚拟化环境的系统缓存数据中的一种,当然,还可以用户数据还可以是其它涉及用户隐私或安全的数据,例如,用户在网页上输入的账号、密码等信息。用户开机启动并进入操作系统后,虚拟化环境可以由用户启动运行或者在操作系统上自行启动运行,操作系统启动时默认加载并启动虚拟化环境。在虚拟化环境中,用户的所有操作都和操作系统隔离。
由于用户数据在目标存储文件中受到加密保护,不会被泄露。即使目标存储文件被窃取,目标存储文件也处于密文状态,从而为用户提供安全的系统运行环境。可选地,文件系统模块对文件存储空间的读写进行加密。
可选地,数据防泄露方法还包括:在用户注销或退出虚拟化环境时,通过文件系统模块销毁目标存储文件。在用户注销或退出虚拟化环境时,目标存储文件会被粉碎并销毁,并且无法恢复,所以不会泄漏用户任何的敏感信息。
本发明实施例中计算机依靠文件系统模块和中间层模块对用户数据进行保护,形成一个完整的数据保护体系。下面描述本发明实施例的技术特点:
1.在实际应用中通过HOOK(钩子)技术对文件存储空间进行加密处理。
2.修改系统缓存机制,使用系统运行时产生的缓存文件或临时文件重定向到目标存储文件。
3.实现虚拟化注册表,虚拟化环境内的注册表操作被重定向到目标存储文件进行保护。
4.实现文件系统加密保护,对文件系统的操作数据进行加密保护,确保存储在文件系统中的文件是密文状态。
5.用户注销后,会自动清除和粉碎虚拟化化环境中产生的所有数据。
6.可以适应于多种常用的操作系统,包括Windows XP、Windows7等。
下面结合图2说明本发明实施例的实现原理。
计算机的操作系统上虚拟出多个虚拟化环境,包括虚拟化环境1和虚拟换环境2。每个虚拟化环境中包括虚拟文件浏览缓存目录、虚拟磁盘驱动器、虚拟注册表和虚拟系统缓存目录。虚拟文件浏览缓存目录用于记录文件浏览缓存数据,虚拟磁盘驱动器用于记录文件操作数据,虚拟注册表用于记录注册表数据,虚拟系统缓存目录用于记录虚拟化环境的系统缓存数据。
再应用本实施例的数据防泄漏方法时,需要在计算机操作系统中注册文件系统模块和中间层模块,文件系统模块在计算机中创建经加密的文件存储空间。文件存存空间是计算机物理磁盘存储空间的一部分。中间层模块分为浏览缓存重定向模块、文件操作重定向模块、注册表重定向模块、系统缓存重定向模块。浏览缓存重定向模块用于监视各虚拟化环境中的虚拟文件浏览缓存目录并将其中的文件浏览缓存数据重定向到文件存储空间中的目标存储文件。文件操作重定向模块用于监视各虚拟化环境中的虚拟磁盘驱动器并将其中的文件操作数据重定向到目标存储文件。注册表重定向模块用于监视各虚拟化环境中的虚拟注册表并将其中的注册表数据重定向到目标存储文件。系统缓存重定向模块用于监视各虚拟化环境中的虚拟系统缓存目录并将其中的系统缓存数据重定向到目标存储文件。
通过上述方式,本发明的数据防泄露方法通过注册文件系统模块和中间层模块到操作系统,文件系统模块创建经加密的文件存储空间,由中间层模块监视用户对虚拟化环境的操作,并将相应产生的用户数据重定向至目标存储文件,由于目标存储文件受加密保护,从而能够对用户数据进行安全保护,防止用户数据泄露,即使目标存储文件被窃取,目标存储文件也处于密文状态。并且对用户的操作透明,不会影响用户的操作,对数据防泄漏技术的标准化将起到积极的促进作用,
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。

Claims (6)

1.一种计算机虚拟化环境中的数据防泄露方法,其特征在于,所述数据防泄露方法包括:
在计算机操作系统中注册文件系统模块和中间层模块,所述文件系统模块在计算机中创建经加密的文件存储空间;
在用户启动所述操作系统后,运行与用户相关联的虚拟化环境,并在所述文件存储空间中为所述虚拟化环境配置目标存储文件;
通过所述中间层模块监视用户对所述虚拟化环境的操作,并将相应产生的用户数据重定向至所述目标存储文件,以保护所述用户数据,防止所述用户数据泄露。
2.根据权利要求1所述的数据防泄露方法,其特征在于,所述数据防泄露方法还包括:
在用户注销或退出所述虚拟化环境时,通过所述文件系统模块销毁所述目标存储文件。
3.根据权利要求1或2所述的数据防泄露方法,其特征在于,所述用户数据至少包括下面一种:
文件浏览缓存数据、文件操作数据、注册表数据和虚拟化环境的系统缓存数据。
4.根据权利要求1所述的数据防泄露方法,其特征在于,所述虚拟化环境由用户启动运行或者在所述操作系统上自行启动运行。
5.根据权利要求1所述的数据防泄露方法,其特征在于,所述文件系统模块对所述文件存储空间的读写进行加密。
6.根据权利要求1所述的数据防泄露方法,其特征在于,所述操作系统为Windows XP或Windows7。
CN201410283457.8A 2014-06-23 2014-06-23 计算机虚拟化环境中的数据防泄露方法 Pending CN104021354A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410283457.8A CN104021354A (zh) 2014-06-23 2014-06-23 计算机虚拟化环境中的数据防泄露方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410283457.8A CN104021354A (zh) 2014-06-23 2014-06-23 计算机虚拟化环境中的数据防泄露方法

Publications (1)

Publication Number Publication Date
CN104021354A true CN104021354A (zh) 2014-09-03

Family

ID=51438101

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410283457.8A Pending CN104021354A (zh) 2014-06-23 2014-06-23 计算机虚拟化环境中的数据防泄露方法

Country Status (1)

Country Link
CN (1) CN104021354A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104318179A (zh) * 2014-10-30 2015-01-28 成都卫士通信息产业股份有限公司 基于文件重定向技术的虚拟化安全桌面
CN105335663A (zh) * 2015-10-22 2016-02-17 武汉理工大学 一种基于双像文件的加密文件系统
CN108292350A (zh) * 2015-10-23 2018-07-17 甲骨文国际公司 支持联合搜索的对受保护字段的自动操作检测

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104318179A (zh) * 2014-10-30 2015-01-28 成都卫士通信息产业股份有限公司 基于文件重定向技术的虚拟化安全桌面
CN105335663A (zh) * 2015-10-22 2016-02-17 武汉理工大学 一种基于双像文件的加密文件系统
CN105335663B (zh) * 2015-10-22 2018-08-03 武汉理工大学 一种基于双像文件的加密文件系统
CN108292350A (zh) * 2015-10-23 2018-07-17 甲骨文国际公司 支持联合搜索的对受保护字段的自动操作检测

Similar Documents

Publication Publication Date Title
US10372919B1 (en) Protecting virtual machine data in cloud environments
Mofrad et al. A comparison study of intel SGX and AMD memory encryption technology
US9246948B2 (en) Systems and methods for providing targeted data loss prevention on unmanaged computing devices
US20200082081A1 (en) Systems and methods for threat and information protection through file classification
US10693844B2 (en) Efficient migration for encrypted virtual machines by active page copying
US9100440B1 (en) Systems and methods for applying data loss prevention policies to closed-storage portable devices
US20170140156A1 (en) Systems and methods for protecting backed-up data from ransomware attacks
US9405904B1 (en) Systems and methods for providing security for synchronized files
US10210330B1 (en) Systems and methods for detecting malicious processes that encrypt files
CN104318179A (zh) 基于文件重定向技术的虚拟化安全桌面
US9779032B2 (en) Protecting storage from unauthorized access
CN101599022A (zh) 用于虚拟机系统的可信计算基裁剪方法
EP3384653A1 (en) Systems and methods for detecting malware infections via domain name service traffic analysis
US9292691B1 (en) Systems and methods for protecting users from website security risks using templates
CN109508224A (zh) 一种基于kvm虚拟机的用户数据隔离防护系统及方法
US10534921B2 (en) Copy and decrypt support for encrypted virtual machines
Nagesh et al. A Survey on Security Aspects of Server Virtualization in Cloud Computing.
US9398042B1 (en) Systems and methods for capturing input from users to prevent data loss
CN104021354A (zh) 计算机虚拟化环境中的数据防泄露方法
US11113389B1 (en) Systems and methods for providing persistent visual warnings for application launchers
US10885226B1 (en) Systems and methods for enforcing secure shared access on computing devices by content state pinning
US9772954B2 (en) Protecting contents of storage
US11216559B1 (en) Systems and methods for automatically recovering from malware attacks
Upadhyay et al. Secure live migration of VM's in Cloud Computing: A survey
US10592662B1 (en) Systems and methods for altering time data

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20140903