CN104077244A - 基于进程隔离加密机制的安全保密盘模型及其生成方法 - Google Patents
基于进程隔离加密机制的安全保密盘模型及其生成方法 Download PDFInfo
- Publication number
- CN104077244A CN104077244A CN201410344375.XA CN201410344375A CN104077244A CN 104077244 A CN104077244 A CN 104077244A CN 201410344375 A CN201410344375 A CN 201410344375A CN 104077244 A CN104077244 A CN 104077244A
- Authority
- CN
- China
- Prior art keywords
- safe
- isolation
- secret
- file
- dish
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于进程隔离加密机制的安全保密盘模型及其生成方法,所述安全保密盘模型包括虚拟隔离运行模块、I/O代理进程加/解密模块以及安全保密盘;虚拟隔离运行模块用于获得可信进程,并将可信进程转换为受控进程并被强制置于虚拟隔离运行环境中运行;I/O代理进程加/解密模块以透明写加密/读解密的方式对安全保密盘中的数据文件进行读写操作;安全保密盘在终端主机以普通磁盘分区的形式展现。本发明能够综合从终端涉密进程运行环境的可信、可控,到涉密文档从存储、传送、使用和销毁全生命周期的加密强制归档管理,再到终端运行的涉密程序的网络、打印、内存泄密等行为进行管控,实现了保密文件的全程监控。
Description
技术领域
本发明涉及信息安全技术领域,特别是一种计算机中与信息和数据保密相关的存储盘模型。
背景技术
随着计算机和网络技术的迅速发展,信息网络已深入社会生活的各个方面,信息网络中的各种重要数据在存储、传送、使用和销毁过程中容易遭受窃取、篡改、删除或病毒木马的侵蚀。传统的数据加密和存储方式能够保证数据在加密状态的安全性,但是在数据被解密使用的过程中,仍然存在诸多泄密风险和途径,如木马和病毒窃取、网络、打印失泄密等。一般而言,终端是接触和处理单位信息的载体和工具,因而在大多数的企业和单位中,终端存留着大量的涉密信息,如各种应用和业务系统在使用过程中产生的临时文件、过程数据及导出和生成的报表、运行结果等敏感数据;而这些数据往往散存在各个终端各自的存储环境中,没有得到有效的集中管控。
目前针对此类终端信息的防扩散方法有很多,大致可分为三大类:封堵类、文档强制加密类以及虚拟桌面隔离类,下面对目前主流的三大类终端防扩散技术分别进行阐述。
封堵类:以封堵的方式防止信息从终端扩散,即采用禁用外设端口、网络等方式封堵任何可能导致数据从终端泄密的途径。该方式极大限制了用户的行为,对用户的工作造成很大不便;另外,因文档本身并没有加密,因而也无法从根源上解决数据泄密问题。
文档强制加密类:以文档强制透明加解密的方式防止信息从终端扩散。该方式是从源头上当文件写磁盘时通过文件加解密过滤驱动,把写入磁盘的文件强制加密保存;而当终端使用这些加密文件时,必须通过文件加解密过滤驱动解密,方可透明解密使用文档。由于终端上的加密文档只能在企业内部拥有加解密授权的终端上正常打开使用,在没有授权的终端上,加密文件无法被解密和打开,从而保证涉密文件即使被非法带出也不会泄密的目的。该方式从理论上能够从源头上比较好的保障企业信息无法从终端扩散出去的目标,但该方式在长期的应用实践过程中,发现存在以下几方面的问题:1)需要加密保护的文档类型众多,涉及的应用程序类型更多,加密软件需要很好的支持和兼容各种应用系统和软件,不同应用的加密策略设定工作和测试工作量非常之大,服务压力比较大;2)因该加密方式为透明加解密,所以文档被授权进程在内存透明解密使用过程中,存在被该解密进程通过网络发出去泄密的风险;3)该加密方式在使用过程中,加密应用启动或者运行过程中必须依赖的配置文件也会一同被加密,而在某些情况下,一个配置文件可能会被多个应用所调用,如果其他调用该配置文件的应用没有解密权限,则会导致该应用运行的失败,从而导致额外的维护工作量和给用户带来新的不便;4)使用该方式,终端内的涉密文档被以加密的方式散存在各个存储磁盘中,无法对终端的涉密文档实现强制集中式管理。综上,采用文档强制透明加解密的方式防止信息从终端扩散的解决方案,在实际应用的过程中,存在推广难度大、维护工作量大、对散落在终端的大量文档也无法统一归档管理的问题,因此不适用于终端规模庞大、应用复杂的环境。
虚拟桌面隔离类:以虚拟机、虚拟安全桌面等虚拟隔离技术,把终端涉密信息隔离存储的方式来防止终端信息扩散的技术。该类型的技术从实现原理上与文档透明强制加密方式比较而言,简化了策略配置的复杂度,相对于文档透明加密技术在易用性和涉密文档处理环境的可信性等方面是一大进步。如VMware等厂商提出了虚拟桌面架构,利用虚拟机监视器为用户程序提供安全保护层,隔离保护用户程序的内存空间,确保软件运行环境可靠。但类似于安全桌面、虚拟桌面类的虚拟隔离技术来做终端涉密信息的防扩散,存在以下不足:1)利用注册表、文件重定向等机制从真实桌面上构建的虚拟隔离桌面,相对于虚拟机技术而言是一大进步,消耗的终端资源会少很多,用户体验也会好很多,但始终是一个重量级的隔离环境,大型应用软件在虚拟桌面内的使用或者真实桌面与虚拟桌面频繁的来回切换,会容易导致兼容性问题发生;2)类似于从真实桌面构建一个虚拟隔离桌面的方式来防止终端信息泄密,势必要求用户在终端处理敏感信息时必须要登录到安全虚拟桌面环境中去,这样对用户操作习惯会造成一定影响和改变;3)虚拟桌面隔离技术的核心是利用重定向技术来实现涉密文档的隔离保护,就文档本身安全加密保存方面存在不足;4)在虚拟安全桌面环境下,用户往往有通过网络对外交流和沟通的需求,如无其他辅助手段对安全桌面下的网络访问进行细粒度控制和管理,网络途径失泄密将成为虚拟安全桌面防终端信息扩散的软肋。
可见上述三种防止终端信息扩散的方法都存在一定的弊端,无法满足目前信息安全技术的要求。
发明内容
本发明针对现有技术的不足,提供一种基于进程隔离加密机制的以安全保密盘为展现形式的终端数据防扩散模型,以满足信息安全技术高速发展的要求。
为解决上述技术问题,本发明所采取的技术方案如下。
基于进程隔离加密机制的安全保密盘模型,包括虚拟隔离运行模块、I/O代理进程加/解密模块以及安全保密盘;所述虚拟隔离运行模块,用于筛选非可信网络、可信网络以及外部设备,获得可信进程,并将可信进程转换为受控进程,受控进程被强制置于虚拟隔离运行环境运行;I/O代理进程加/解密模块用于对受控进程进行透明加密/解密操作,以透明写加密/读解密的方式对安全保密盘中的数据文件进行读写操作;安全保密盘在终端主机以普通磁盘分区的形式展现。
基于进程隔离加密机制的安全保密盘模型的生成方法,包括以下步骤:
A.设置可信进程名称或可信的IP地址;
B.建立进程隔离机制,进程隔离机制分别对网络、外设以及内存空间进行可信进程的筛选,设置的可信进程触碰安全保密盘后为受控进程,或者任意进程访问可信IP地址后自动转换为受控进程,转换为受控进程的同时被强制置于虚拟隔离运行环境运行;
C.将受控进程转换为I/O代理进程,I/O代理进程以透明写加密/读解密的方式对安全保密盘中的数据文件进行读写操作。
其中步骤B所述的进程隔离机制包括网络访问过滤机制、内存空间保护机制以及文件过滤驱动机制;所述网络访问过滤机制根据访问控制列表ACL对网络访问进行数据包过滤,使受控进程只能与可信网络进行安全通信;内存空间保护机制利用API HOOK监控受控进程对剪贴板和跨进程的读写操作,禁止非可信进程访问剪贴板内敏感数据,允许可信进程访问剪贴板内敏感数据;文件过滤驱动机制用于实现受控进程对除安全保密盘以外存储空间的数据文件进行写操作时,触发动态重定向操作。
本发明所述动态重定向操作具体为:若该操作是可信进程创建或读写文件的请求,则在安全保密盘中拷贝产生对应的副本文件,再将该请求重定向到安全保密盘中进行访问;若该操作是非可信进程读取安全保密盘内文件的请求,则拒绝访问;若该操作是非可信进程创建或读写安全保密盘外文件的请求,则直接允许访问。
由于采用了以上技术方案,本发明所取得技术进步如下。
本发明能够综合从终端涉密进程运行环境的可信、可控,到涉密文档从存储、传送、使用和销毁全生命周期的加密强制归档管理,再到终端运行的涉密程序的网络、打印、内存泄密等行为进行管控,实现了保密文件的全程监控。与以虚拟安全桌面等虚拟隔离技术为防扩散方式的方案相比,该方式以进程为最小单位,在终端上构筑最为轻量级的进程运行隔离环境,进程在该隔离运行环境下结合进程透明加解密技术,产生的任何文件都将以密文形式强制存储到安全保密盘中,给普通用户的使用感受只是在终端多出了一个安全保密盘,普通用户从终端的安全保密盘中无法拷贝出任何明文数据,用户使用习惯的改变减少到最低;同时终端涉密进程的运行都会被强制放置到基于进程的虚拟隔离环境中运行,产生的数据都会被强制加密集中归档到安全保密盘中。
本发明的应用,可以很好的解决强制加密类防扩散技术的兼容性、配置复杂及内存泄密等问题,同时很好的弥补了单纯的虚拟安全桌面类技术隔离环境复杂、用户操作环境、习惯被改变、网络控制不灵活及文档本身缺乏高强度加密保护手段等问题。运用该发明,可以做到终端机器一边上网一边操作涉密敏感文件和进程,而不用担心敏感文件被木马、病毒或者工作人员通过网络、U盘、打印等方式泄密,也不需要刻意的强制用户在处理敏感信息时必须进入某种安全虚拟工作桌面环境,更不需要对终端的外设端口、进程等的使用进行严格的控制和管理。运用该发明,可以在最小程度干预用户操作行为的情况下,为终端运行的涉密程序提供一套安全、可控的超轻量级的隔离运行环境,并结合安全保密盘的概念实现涉密数据从存储、传送、使用和销毁全生命周期安全集中管控。如果安全保密盘是云存储端映射到本地的云盘,通过该发明的应用,可以很好的解决云端数据同步到本地终端后担心被泄密的问题。同理,运用该发明,可以解决任意有进程的应用系统在使用过程中临时数据、中间数据及结果数据落地后的安全保密问题。
附图说明
图1为本发明所述安全保密盘模型的结构示意图。
具体实施方式
下面将结合附图和具体实施例对本发明进行进一步详细说明。
基于进程隔离加密机制的安全保密盘模型,其结构如图1所示,包括虚拟隔离运行模块、I/O代理进程加/解密模块以及安全保密盘。
其中虚拟隔离运行模块,用于筛选非可信网络、可信网络以及外部设备,获得可信进程,可信进程一旦访问安全保密盘内的数据文件,该可信进程的状态立即转变为受控进程,受控进程被强制置于虚拟隔离运行环境运行;在该虚拟隔离运行环境下,受控进程对安全保密盘内数据文件和安全保密盘外数据文件的访问都处于安全隔离状态,保证企业内的数据文件不外泄。非可信进程禁止访问安全保密盘内的数据文件。
虚拟隔离运行模块把可信网络、临时安全存储、安全保密盘和受控进程划为一个安全域。在虚拟隔离运行环境中,利用网络访问过滤技术,受控进程只允许访问可信网络;利用内存空间保护技术,受控进程的运行内存空间被监控保护,防止非法进程跨进程读取敏感数据;利用文件过滤驱动技术,受控进程访问运行文件被单向隔离控制。通过综合运用三种技术构成虚拟隔离运行环境,使企业内数据文件只会流动于安全域内,,有效防止了敏感数据的外泄。
I/O代理进程加/解密模块,用于对受控进程进行透明加密/解密操作,以透明写加密/读解密的方式对安全保密盘中的数据文件进行读写操作。
安全保密盘在终端主机以普通磁盘分区的形式展现,安全保密盘内的数据文件通过数据强制透明读解密/写加密的方式安全存储在安全保密盘中。
受控进程在虚拟隔离运行环境下进行隔离运行,进程隔离包括以下六个方面:1)通过终端主机运行可信进程或访问设定的IP地址来触发进程隔离机制,即终端主机一旦运行可信进程或通过任意进程访问设定的IP地址时,该进程将转变为受控进程;2)受控进程只能访问指定的可信网络,隔离受控进程对非可信网络的访问;3)受控进程运行时的内存数据被隔离保护,无法与非可信进程进行交互;4)受控进程对终端主机安全保密盘内数据文件的读写操作,全部由“I/O代理进程”进行安全控制;5)受控进程以只读方式使用终端主机安全保密盘外的数据文件,对终端主机安全保密盘外数据文件的写操作都通过“I/O代理进程”以重定向方式加密写入临时安全缓存进行隔离,读取时通过“I/O代理进程”解密读取;6)受控进程只能以只读方式使用本地外设(如U盘,打印机等),写操作被禁止。
基于进程隔离加密机制的安全保密盘模型的生成方法,以Windows操作系统为例,包括以下步骤:
A.设置可信进程名称以及可信进程所在终端主机的IP地址;或者直接设置可信的IP地址;
本发明所述的安全保密盘模型用于保护企业业务系统时,只需要将企业业务系统的IP地址设定为受保护IP地址,终端主机使用任意进程(例如:浏览器、业务系统客户端工具等)访问该受保护的IP地址时,则触发进程隔离控制机制,使访问该受保护IP地址的进程转变为受控进程,受控进程所产生的所有过程数据、中间数据、结果数据均只能保存到终端主机的安全保密盘中。
在设置可信进程时,可将能够产生企业核心数据的对应进程设置为可信进程,可信进程不访问安全保密盘时,能够在终端主机安全保密盘外读取或写入数据;但是可信进程一旦访问安全保密盘或者通过策略设定为该类能够产生核心敏感数据的可信进程一旦启动即把该类进程转变为受控进程。
B.建立进程隔离机制,进程隔离机制分别对网络、外设以及内存空间进行可信进程的筛选;设置的可信进程触碰安全保密盘后为受控进程,或者任意进程访问可信IP地址后自动转换为受控进程,转换为受控进程的同时被强制置于虚拟隔离运行环境运行。
进程隔离机制包括网络访问过滤机制、内存空间保护机制以及文件过滤驱动机制。
网络访问过滤机制根据访问控制列表ACL对网络访问进行数据包过滤,使受控进程只能与可信网络进行安全通信;同时,为了保证数据的安全性,要求可信网络内所有进程都处于隔离虚拟运行环境内执行。
内存空间保护机制利用API HOOK监控受控进程对剪贴板和跨进程的读写操作,禁止非可信进程访问剪贴板内敏感数据,允许可信进程访问剪贴板内敏感数据;但是可信进程一旦访问剪贴板内的敏感数据,该可信进程就会被标注为受控进程,被强制置于虚拟隔离运行环境下进行隔离运行。
文件过滤驱动机制用于实现受控进程对除安全保密盘以外存储空间的的数据文件进行写操作时,触发动态重定向操作,动态重定向操作在应用层以下实现并且对上层应用透明,采取开源Dokan开发库来实现。当然,如为Linux操作系统可以参考FUSE实现。
开源Dokan开发库包含一个用户模式的DLL文件(dokan.dll)以及一个内核模式文件系统驱动(dokan.sys)。Dokan文件系统驱动一旦安装,就可在Windows上创建和普通文件系统一样的文件系统。使用Dokan库创建的文件系统的应用程序称为文件系统应用程序。来自用户程序的文件操作请求(例如:CreateFile,ReadFile,WriteFile等)将被发送的 Windows输入/输出子系统(运行在内核模式),请求之后将被发送到Dokan文件系统驱动程序(dokan.sys)。通过使用Dokan用户模式库文件(dokan.dll)提供的函数,文件系统应用程序能够向文件系统驱动程序注册回调函数。文件系统驱动程序在收到请求后调用注册的回调函数例程来响应请求。回调函数例程的处理结果将返回给用户程序。dokan.sys 相当于一个运行在内核态的代理为提出请求的程序和我们实现各种操作的文件系统程序的桥梁。
利用开源Dokan开发库,创建了2个文件系统应用程序:“I/O代理进程”和“Mirror进程”。“I/O代理进程”根据策略对进程操作进行控制,若该进程为可信进程,则透明的对网盘内文件进行透明读写操作,并把结果数据安全转发给访问进程;非可信进程禁止访问网盘和临时安全缓存;“Mirror进程”将受控进程对终端主机安全保密盘外文件的操作进行动态重定向,即将该数据文件转存到安全保密盘中,并在安全保密盘中保留该数据文件在安全保密盘外的完整目录,实现对企业现有的散落在各个终端主机上的数据文件进行归档管理。
动态重定向操作具体为:若该操作是可信进程创建或读写运行文件的请求,则在安全保密盘中拷贝产生对应的副本文件,再将该请求重定向到安全保密盘中进行访问;若该操作是非可信进程读取安全保密盘内文件的请求,则拒绝访问;若该操作是非可信进程创建或读写安全保密盘外文件的请求,则直接允许访问。通过重定向操作,可以确保受控进程可以任意读取u盘等外设内的数据文件以及本地存储上运行的数据文件,但是使用中这些数据只会流动于安全域内。
C.将受控进程转换为I/O代理进程,I/O代理进程以透明写加密/读解密的方式对安全保密盘中的数据文件进行读写操作。
具体应用本发明时,在企业终端主机上安装基于进程隔离加密机制的安全保密盘模型,成功安装安全保密盘模型后,将自动在终端主机上创建安全保密盘和临时安全缓存区。对使用者来说,只有安全保密盘为可见的,安全保密盘对使用者以普通磁盘分区的形式展现,临时安全缓存区用于存放受控进程所产生的运行文件,使用者不可见。
在采用本发明设计的终端信息防扩散产品中,系统只需要知道终端需要做保密的进程有哪些,该类进程即会被强制置于基于进程的虚拟隔离环境中运行,产生的数据都会以密文的方式强制归档存储到安全保密盘中。这样一来加密策略的设置将会变得非常简单,只需要做保密管理的程序运行的进程名字即可;同时不需要再关心加密进程运行时会加密配置文件的问题。
在基于进程的虚拟隔离环境中受控进程运行时,会自动从隔离环境外拷贝所有需要的配置文件到基于进程的虚拟隔离环境中,所以隔离环境外的配置文件并不会被加密,其他隔离环境外的进程一样可以在隔离环境外正常的使用此类配置文件。
本发明所述的安全保密盘能够防止企业内数据文件扩散的原理如下:
基于Denning的信息流模型,将安全控制规则转换为信息流规则对安全保密盘中的信息流进行描述和分析,并给出安全保密盘防止企业内数据文件扩散的安全定理。
设DS、DC、DL分别表示终端主机上安全保密盘内的数据文件集合、临时安全缓存内运行文件集合和其它本地存储上的数据文件集合; ,表示主机中的文件;PC、PT、PD分别表示虚拟隔离运行环境内的受控进程、虚拟隔离运行环境外的可信进程集合和非可信进程,,,表示终端主机上系统运行的进程;表示t时刻的信息流请求;表示t时刻的实际信息流动。
根据安全保密盘的进程读写数据文件的控制机制,给出如下信息流规则:
规则1 若可信进程和非可信进程请求读安全保密盘内的文件和临时安全缓存内的文件,被拒绝访问,即:
规则2 若虚拟隔离运行环境外的可信进程请求读安全保密盘中的文件,在规则允许的情况下,将该进程放置到虚拟隔离运行环境中受控运行,该可信进程转变为受控进程,即:
规则3 若虚拟隔离运行环境内的受控进程请求对安全保密盘外的数据文件进行写操作,则在临时安全缓存中创建该数据文件的副本,并将写操作请求重定向到对该数据文件副本的操作,即:
规则4 若虚拟隔离运行环境内的受控进程与虚拟隔离运行环境外的进程进行数据交互通信,在规则允许的情况下,需要将虚拟隔离运行环境外的进程放置到虚拟隔离运行环境内受控运行,该进程转变为受控进程,即:
基于以上规则,可得到在安全保密盘下防止企业内数据文件扩散的安全定理:在安全保密盘系统下,安全保密盘内的数据文件内容在访问和使用过程中不会扩散到安全保密盘和临时安全缓存区外。
下面采取反证法证明上述安全定理。
假设安全保密盘内的数据文件内容可以扩散到安全保密盘和临时安全缓存区外,即存在如下信息流:
由于信息具有传递性,且信息流动主要由进程对文件的读、写以及进程间通信三种操作触发。因此有:
由规则3可知,由于受控进程禁止写数据文件到其它本地存储上的数据文件集合中,故,否则不存在。
下面对存在的两种情况讨论分析:
1)若在时刻直接读取:根据规则1可知,会被拒绝读取;根据规则2可知,,与矛盾。
2)。由规则4可知,,因为受控进程的状态不可能转换为非可信进程和可信进程,与类似递归分析,必然存在在时刻直接读取,且,由(1)可知,也存在矛盾。
综上所述,假设不合理,故结论成立。
从上面的分析可知,安全保密盘内的数据文件内容在访问和使用过程中将被限制于安全保密盘和临时安全缓存区内。由于安全保密盘内的数据文件和临时安全缓存区内的运行文件是加密存储,且只能由受控进程访问,因此外部的威胁主体(如:木马、病毒进程等)无法解密访问安全保密盘内的数据文件和临时安全缓存区内的运行文件;而内部的威胁主体(即:企业内部成员),虽然通过受控进程可以解密访问安全保密盘内的数据文件和临时安全缓存区内的运行文件,但是无法从安全保密盘内和临时安全缓存区内携带明文数据离开该终端主机和安全保密盘(除非在企业管理者授权许可的情况下),从而彻底避免了企业内数据文件的扩散,有效防止了企业泄密事件的发生。
Claims (4)
1.基于进程隔离加密机制的安全保密盘模型,其特征在于:包括虚拟隔离运行模块、I/O代理进程加/解密模块以及安全保密盘;
所述虚拟隔离运行模块,用于筛选非可信网络、可信网络以及外部设备,获得可信进程,并将可信进程转换为受控进程,受控进程被强制置于虚拟隔离运行环境中运行;
I/O代理进程加/解密模块用于对受控进程进行透明加密/解密操作,以透明写加密/读解密的方式对安全保密盘中的数据文件进行读写操作;
安全保密盘在终端主机以普通磁盘分区的形式展现。
2.基于进程隔离加密机制的安全保密盘模型的生成方法,其特征在于包括以下步骤:
A.设置可信进程名称或可信的IP地址;
B.建立进程隔离机制,进程隔离机制分别对网络、外设以及内存空间进行可信进程的筛选,设置的可信进程触碰安全保密盘后为受控进程,或者任意进程访问可信IP地址后自动转换为受控进程,转换为受控进程的同时被强制置于虚拟隔离运行环境运行;
C.将受控进程转换为I/O代理进程,I/O代理进程以透明写加密/读解密的方式对安全保密盘中的数据文件进行读写操作。
3.根据权利要求2所述的基于进程隔离加密机制的安全保密盘模型的生成方法,其特征在于步骤B的进程隔离机制包括网络访问过滤机制、内存空间保护机制以及文件过滤驱动机制;
所述网络访问过滤机制根据访问控制列表ACL对网络访问进行数据包过滤,使受控进程只能与可信网络进行安全通信;
内存空间保护机制利用API HOOK监控受控进程对剪贴板和跨进程的读写操作,禁止非可信进程访问剪贴板内敏感数据,允许可信进程访问剪贴板内敏感数据;
文件过滤驱动机制用于实现受控进程对除安全保密盘以外存储空间的数据文件进行写操作时,触发动态重定向操作。
4.根据权利要求3所述的基于进程隔离加密机制的安全保密盘模型的生成方法,其特征在于所述动态重定向操作具体为:若该操作是可信进程创建或读写文件的请求,则在安全保密盘中拷贝产生对应的副本文件,再将该请求重定向到安全保密盘中进行访问;若该操作是非可信进程读取安全保密盘内文件的请求,则拒绝访问;若该操作是非可信进程创建或读写安全保密盘外文件的请求,则直接允许访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410344375.XA CN104077244A (zh) | 2014-07-20 | 2014-07-20 | 基于进程隔离加密机制的安全保密盘模型及其生成方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410344375.XA CN104077244A (zh) | 2014-07-20 | 2014-07-20 | 基于进程隔离加密机制的安全保密盘模型及其生成方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104077244A true CN104077244A (zh) | 2014-10-01 |
Family
ID=51598511
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410344375.XA Pending CN104077244A (zh) | 2014-07-20 | 2014-07-20 | 基于进程隔离加密机制的安全保密盘模型及其生成方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104077244A (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104320409A (zh) * | 2014-11-10 | 2015-01-28 | 成都卫士通信息产业股份有限公司 | 基于Hook技术的云盘访问控制方法 |
| CN104361291A (zh) * | 2014-10-15 | 2015-02-18 | 网神信息技术(北京)股份有限公司 | 数据处理方法和装置 |
| CN104680079A (zh) * | 2015-02-04 | 2015-06-03 | 上海信息安全工程技术研究中心 | 一种电子文档安全管理系统及方法 |
| CN104991526A (zh) * | 2015-05-04 | 2015-10-21 | 中国科学院软件研究所 | 工业控制系统安全支撑框架及其数据安全传输和存储方法 |
| CN105871928A (zh) * | 2016-06-21 | 2016-08-17 | 佛山科学技术学院 | 一种分布式网络的安全控制方法、及系统 |
| CN106934303A (zh) * | 2015-12-29 | 2017-07-07 | 大唐高鸿信安(浙江)信息科技有限公司 | 基于可信芯片的可信操作系统创建可信进程的系统及方法 |
| CN107295005A (zh) * | 2017-07-28 | 2017-10-24 | 宣以政 | 一种防数据泄漏的企业共享云盘登录器 |
| CN107392062A (zh) * | 2017-07-28 | 2017-11-24 | 宣以政 | 一种为普通移动存储设备增加数据泄漏防护功能的方法、系统和装置 |
| CN108133153A (zh) * | 2017-11-29 | 2018-06-08 | 北京京航计算通讯研究所 | 基于沙箱技术的云存储安全访问方法 |
| CN109033824A (zh) * | 2018-09-05 | 2018-12-18 | 郑州信大壹密科技有限公司 | 基于虚拟隔离机制的云盘安全访问方法 |
| CN109409098A (zh) * | 2017-10-24 | 2019-03-01 | 浙江华途信息安全技术股份有限公司 | 防止剪切板数据泄露的方法和装置 |
| CN110941825A (zh) * | 2019-12-13 | 2020-03-31 | 支付宝(杭州)信息技术有限公司 | 一种应用监控方法及装置 |
| CN111656349A (zh) * | 2017-10-25 | 2020-09-11 | 布尔服务器有限责任公司 | 通过虚拟桌面管理机密信息和数据的访问和显示服务的方法 |
| CN112384914A (zh) * | 2018-07-10 | 2021-02-19 | 微软技术许可有限责任公司 | 使用虚拟安全模式保护人工智能模型 |
| CN117749489A (zh) * | 2023-12-20 | 2024-03-22 | 北京熠智科技有限公司 | 一种分布式系统的网络传输隐私保护方法及系统 |
| CN112384914B (zh) * | 2018-07-10 | 2024-07-26 | 微软技术许可有限责任公司 | 用于保护人工智能模型的方法、设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101923678A (zh) * | 2010-07-30 | 2010-12-22 | 武汉天喻信息产业股份有限公司 | 一种企业管理软件的数据安全保护方法 |
| CN102053925A (zh) * | 2009-11-04 | 2011-05-11 | 许燕 | 硬盘数据加密实现方法 |
| CN103150270A (zh) * | 2012-02-15 | 2013-06-12 | 林善红 | 一种分发数据安全方法 |
-
2014
- 2014-07-20 CN CN201410344375.XA patent/CN104077244A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102053925A (zh) * | 2009-11-04 | 2011-05-11 | 许燕 | 硬盘数据加密实现方法 |
| CN101923678A (zh) * | 2010-07-30 | 2010-12-22 | 武汉天喻信息产业股份有限公司 | 一种企业管理软件的数据安全保护方法 |
| CN103150270A (zh) * | 2012-02-15 | 2013-06-12 | 林善红 | 一种分发数据安全方法 |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104361291A (zh) * | 2014-10-15 | 2015-02-18 | 网神信息技术(北京)股份有限公司 | 数据处理方法和装置 |
| CN104361291B (zh) * | 2014-10-15 | 2020-02-21 | 网神信息技术(北京)股份有限公司 | 数据处理方法和装置 |
| CN104320409B (zh) * | 2014-11-10 | 2018-11-02 | 成都卫士通信息产业股份有限公司 | 基于Hook技术的云盘访问控制方法 |
| CN104320409A (zh) * | 2014-11-10 | 2015-01-28 | 成都卫士通信息产业股份有限公司 | 基于Hook技术的云盘访问控制方法 |
| CN104680079A (zh) * | 2015-02-04 | 2015-06-03 | 上海信息安全工程技术研究中心 | 一种电子文档安全管理系统及方法 |
| CN104991526A (zh) * | 2015-05-04 | 2015-10-21 | 中国科学院软件研究所 | 工业控制系统安全支撑框架及其数据安全传输和存储方法 |
| CN104991526B (zh) * | 2015-05-04 | 2017-09-26 | 中国科学院软件研究所 | 工业控制系统安全支撑框架及其数据安全传输和存储方法 |
| CN106934303A (zh) * | 2015-12-29 | 2017-07-07 | 大唐高鸿信安(浙江)信息科技有限公司 | 基于可信芯片的可信操作系统创建可信进程的系统及方法 |
| CN105871928B (zh) * | 2016-06-21 | 2019-03-29 | 佛山科学技术学院 | 一种分布式网络的安全控制方法及系统 |
| CN105871928A (zh) * | 2016-06-21 | 2016-08-17 | 佛山科学技术学院 | 一种分布式网络的安全控制方法、及系统 |
| CN107295005A (zh) * | 2017-07-28 | 2017-10-24 | 宣以政 | 一种防数据泄漏的企业共享云盘登录器 |
| CN107392062A (zh) * | 2017-07-28 | 2017-11-24 | 宣以政 | 一种为普通移动存储设备增加数据泄漏防护功能的方法、系统和装置 |
| CN109409098A (zh) * | 2017-10-24 | 2019-03-01 | 浙江华途信息安全技术股份有限公司 | 防止剪切板数据泄露的方法和装置 |
| CN111656349A (zh) * | 2017-10-25 | 2020-09-11 | 布尔服务器有限责任公司 | 通过虚拟桌面管理机密信息和数据的访问和显示服务的方法 |
| CN111656349B (zh) * | 2017-10-25 | 2023-09-26 | 布尔服务器有限责任公司 | 通过虚拟桌面管理机密信息和数据的访问和显示服务的方法 |
| CN108133153A (zh) * | 2017-11-29 | 2018-06-08 | 北京京航计算通讯研究所 | 基于沙箱技术的云存储安全访问方法 |
| CN112384914A (zh) * | 2018-07-10 | 2021-02-19 | 微软技术许可有限责任公司 | 使用虚拟安全模式保护人工智能模型 |
| CN112384914B (zh) * | 2018-07-10 | 2024-07-26 | 微软技术许可有限责任公司 | 用于保护人工智能模型的方法、设备和存储介质 |
| CN109033824A (zh) * | 2018-09-05 | 2018-12-18 | 郑州信大壹密科技有限公司 | 基于虚拟隔离机制的云盘安全访问方法 |
| CN110941825A (zh) * | 2019-12-13 | 2020-03-31 | 支付宝(杭州)信息技术有限公司 | 一种应用监控方法及装置 |
| CN110941825B (zh) * | 2019-12-13 | 2022-05-27 | 支付宝(杭州)信息技术有限公司 | 一种应用监控方法及装置 |
| CN117749489A (zh) * | 2023-12-20 | 2024-03-22 | 北京熠智科技有限公司 | 一种分布式系统的网络传输隐私保护方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104077244A (zh) | 基于进程隔离加密机制的安全保密盘模型及其生成方法 | |
| AU2017201850B2 (en) | Method and system for digital privacy management | |
| US10834061B2 (en) | Perimeter enforcement of encryption rules | |
| US10708051B2 (en) | Controlled access to data in a sandboxed environment | |
| US10686827B2 (en) | Intermediate encryption for exposed content | |
| US10628597B2 (en) | Just-in-time encryption | |
| Sharma et al. | Securing big data hadoop: a review of security issues, threats and solution | |
| EP3192002B1 (en) | Preserving data protection with policy | |
| US10263966B2 (en) | Perimeter enforcement of encryption rules | |
| EP1977364B1 (en) | Securing data in a networked environment | |
| CN104268484B (zh) | 一种基于虚拟隔离机制的云环境下数据防泄漏方法 | |
| CN103763313B (zh) | 一种文档保护方法和系统 | |
| US20090319786A1 (en) | Electronic data security system and method | |
| US20070061870A1 (en) | Method and system to provide secure data connection between creation points and use points | |
| EP2873189A1 (en) | System and method for cloud key management | |
| CN103995990A (zh) | 一种电子文件防泄密的方法 | |
| Ayoade et al. | Secure data processing for IoT middleware systems | |
| Onarlioglu et al. | Privexec: Private execution as an operating system service | |
| EP3298534B1 (en) | Creating multiple workspaces in a device | |
| AU2021347175A1 (en) | Encrypted file control | |
| TWI381285B (zh) | 電子檔案權限控管系統 | |
| Tingting et al. | A decentralized information flow model for saas applications security | |
| TWI783189B (zh) | 位元鎖磁碟管理系統 | |
| Syed et al. | Notice of Violation of IEEE Publication Principles: The rise of Bring Your Own Encryption (BYOE) for secure data storage in Cloud databases | |
| Suciu et al. | Poster: Droidshield: Protecting user applications from normal world access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141001 |