CN104751072A - 基于实时加解密技术的完全透明用户体验涉密控制系统 - Google Patents

基于实时加解密技术的完全透明用户体验涉密控制系统 Download PDF

Info

Publication number
CN104751072A
CN104751072A CN 201510117581 CN201510117581A CN104751072A CN 104751072 A CN104751072 A CN 104751072A CN 201510117581 CN201510117581 CN 201510117581 CN 201510117581 A CN201510117581 A CN 201510117581A CN 104751072 A CN104751072 A CN 104751072A
Authority
CN
Grant status
Application
Patent type
Prior art keywords
data
output
related
encryption
secrete
Prior art date
Application number
CN 201510117581
Other languages
English (en)
Inventor
刘振宇
杨雪莹
唐红
杜青阳
Original Assignee
山东维固信息科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date

Links

Abstract

本发明公开了一种基于实时加解密技术的完全透明用户体验涉密控制系统。该系统包括实时加解密功能模块和数据涉密控制功能模块。所述实时加解密功能模块应用实时加解密技术;所述数据涉密控制功能模块对输出数据涉密行为的控制流程如下:当应用程序输出数据时,涉密行为鉴别对所述输出数据进行判断,判断所述输出数据是否涉密;若所述输出数据不涉密,则直接输出明文;若所述输出数据涉密,则判断所述输出数据是否在主动加密的可控范围;若所述输出数据在主动加密的可控范围,则对所述输出数据主动加密后输出;若如果所述输出数据不在主动加密的可控范围,则所述输出数据由涉密访问控制处理。

Description

基于实时加解密技术的完全透明用户体验涉密控制系统

技术领域

[0001] 本发明涉及信息安全领域,具体涉及实时加解密以及数据涉密控制。

背景技术

[0002] 对保存在计算机上的机密数据进行安全保护是人们非常关心的问题,而对机密数据进行安全加密是对数据安全保护最有效的手段。但是传统加密技术加密的文件必须先解密后才能使用,按照保密规范,在查看一个加密文件时,必须经过解密成明文、查看明文、删除明文的过程。如果需要修改一个加密文件,则需要经过解密密文、修改明文、保存明文、加密明文的过程。由文件加解密而造成的额外工作,会使得计算机运行速度变慢,降低用户体验。而在应用程序的使用过程中,必然会涉及到是否涉密的问题,对涉密数据的行为控制至今没有一个比较完善的系统的解决方法。

发明内容

[0003] 本发明针对传统加密技术和涉密数据行为控制的不足,旨在基于实时加解密技术,设计一种提供完全透明用户体验的涉密控制系统。

[0004] 本发明解决以上技术问题的技术方案是设计了基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:包括实时加解密功能模块和数据涉密控制功能模块。

[0005] 所述实时加解密功能模块应用实时加解密技术。所述实时加解密技术把计算机的内存与永久存储器隔离开,保证所有进入永久存储器的数据都是密文,而进入内存的数据都是明文。所述实时加解密技术的加解密是以管道方式进行的,管道的一端是明文端,连接着应用程序,数据流向应用程序时必须是明文,管道的另一端是密文端,连接着存储器,不管数据的流向如何,管道两端的数据属性不会改变。

[0006] 所述数据涉密控制功能模块对输出数据涉密行为的控制流程如下所示:

[0007] I)当应用程序输出数据时,涉密行为鉴别对所述输出数据进行判断,判断所述输出数据是否涉密。

[0008] 2)如果所述输出数据不涉密,则直接输出明文。

[0009] 如果所述输出数据涉密,则判断所述输出数据是否在主动加密的可控范围。

[0010] 如果所述输出数据在主动加密的可控范围,则对所述输出数据主动加密后输出。

[0011] 如果所述输出数据不在主动加密的可控范围,则所述输出数据由涉密访问控制处理。

[0012] 进一步,所述涉密行为鉴别为主动加密或涉密访问控制提供依据。应用程序的输出数据经涉密行为鉴别确定其来源可能是某个机密数据时,对输出数据主动加密。所述涉密访问控制,对涉密应用程序的行为以及涉密数据的流向控制,控制实现对保密对象的分级访问权限。

[0013] 进一步,所述实时加解密技术采用文件系统驱动方式。

[0014] 进一步,所述涉密访问控制处理过程是:

[0015] A)判断所述输出数据的输出端是否在安全区域。

[0016] B)如果所述输出数据的输出端在安全区域,则正常输出数据。

[0017] 如果所述输出数据的输出端不在安全区域,则输出数据失败。

[0018] 进一步,所述安全区域是指数据放在这些区域,即使不加密也是安全的。安全区域中的数据为机密数据,加密数据进入安全区域时自动解密,数据从安全区域流出时必须落地加密,访问安全区域和访问加密文件一样必须对身份进行验证。

附图说明

[0019] 图1所示为涉密控制流程图。

具体实施方式

[0020] 下面结合实施例对本发明作进一步的详细描述,但不应该理解为本发明上述主题范围仅限于下述实施例。在不脱离本发明上述技术思想的情况下,根据本领域普通技术知识和惯用手段,做出各种替换和变更,均应包括在本发明的保护范围内。

[0021] 实施例1:

[0022] 本实施例公开一种基于实时加解密技术,提供完全透明用户体验的涉密控制系统。

[0023] 所述系统包括实时加解密功能模块和数据涉密控制功能模块。

[0024] 所述实时加解密功能模块应用实时加解密技术,用户对基于实时加解密技术的加密文件的使用与一般的明文文件感觉上没有任何区别。由于加解密工作是全自动按需进行,因此实时加解密技术在处理加密文件时也不需要用户做任何配合性的额外工作。这些特点使实时加解密技术在实现文件加密的同时几乎不降低任何人工效率。用户不需要因为使用保密系统而改变他们即有的操作方式和使用习惯,即所述系统给可以用户提供完全完全透明的用户体验。

[0025] 所述实时加解密技术把计算机的内存与永久存储器隔离开,保证所有进入永久存储器的数据都是密文,而进入内存的数据都是明文。所述实时加解密技术的加解密是以管道方式进行的,管道的一端是明文端,连接着应用程序,数据流向应用程序时必须是明文,管道的另一端是密文端,连接着存储器,不管数据的流向如何,管道两端的数据属性不会改变。

[0026] 所述数据涉密控制功能模块对输出数据涉密行为的控制流程如下所示:

[0027] 步骤1:当应用程序将数据i从位置A输出到位置B时,通过涉密行为鉴别判断数据i是否涉密。

[0028] 步骤2:如果数据i不涉密,则将数据i直接输出到位置B,数据i在位置B以明文存放。

[0029] 如果数据i涉密,则判断数据i输出位置B是否在主动加密的可控范围。

[0030] 如果输出位置B在主动加密的可控范围,则对数据i进行主动加密后输出,数据i在位置B以密文存放。

[0031] 如果数据i输出位置B不在主动加密的可控范围,则数据i交由涉密访问控制处理。

[0032] 所述涉密行为鉴别为主动加密或涉密访问控制提供依据。应用程序的输出数据经涉密行为鉴别确定其来源可能是某个机密数据时,对输出数据主动加密。所述涉密访问控制,对涉密应用程序的行为以及涉密数据的流向控制,控制实现对保密对象的分级访问权限。

[0033] 实施例2:

[0034] 本实施例的主要步骤同实施例1,进一步,所述实时加解密技术方法。所述实时加解密技术可以采用采用文件系统驱动方式。基于文件系统驱动的实时加解密技术不仅实现完全透明的用户体验,对操作系统中的任何应用,甚至包括来自内核层的请求其数据都是透明的。文件系统实时加解密技术加密文件不改变这个文件的物理存储位置,其加密的文件完全融入到原来存储器的文件系统中,因此这种技术可以嵌入现有的应用程序,加密应用程序的全部或部分数据文件甚至程序文件。因其能够支持操作系统能够识别的所有存储器,适合结合其它访问控制技术(如主动加密技术)组成适用范围广、操作透明度高的防内部泄密系统。

[0035] 实施例3:

[0036] 本实施例的主要步骤同实施例1,进一步,所述涉密访问控制处理过程可以是:

[0037] 判断所述数据i的输出端位置B是否在安全区域。

[0038] 如果数据i的输出端位置B在安全区域,则正常输出数据i到位置B,数据i在位置B以明文存放。

[0039] 如果数据i的输出端位置B不在安全区域,则阻止数据输出。

[0040] 所述安全区域是指数据放在这些区域,即使不加密也是安全的。安全区域中的数据为机密数据,加密数据进入安全区域时自动解密,数据从安全区域流出时必须落地加密,访问安全区域和访问加密文件一样必须对身份进行验证。

Claims (5)

1.基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:包括实时加解密功能模块和数据涉密控制功能模块; 所述实时加解密功能模块应用实时加解密技术;所述实时加解密技术把计算机的内存与永久存储器隔离开,保证所有进入永久存储器的数据都是密文,而进入内存的数据都是明文;所述实时加解密技术的加解密是以管道方式进行的,管道的一端是明文端,连接着应用程序,数据流向应用程序时必须是明文,管道的另一端是密文端,连接着存储器,不管数据的流向如何,管道两端的数据属性不会改变; 所述数据涉密控制功能模块对输出数据涉密行为的控制流程如下所示: 1)当应用程序输出数据时,涉密行为鉴别对所述输出数据进行判断,判断所述输出数据是否涉密; 2)如果所述输出数据不涉密,则直接输出明文; 如果所述输出数据涉密,则判断所述输出数据是否在主动加密的可控范围; 如果所述输出数据在主动加密的可控范围,则对所述输出数据主动加密后输出; 如果所述输出数据不在主动加密的可控范围,则所述输出数据由涉密访问控制处理。
2.根据权利要求1所述的基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:所述涉密行为鉴别为主动加密或涉密访问控制提供依据;应用程序的输出数据经涉密行为鉴别确定其来源可能是某个机密数据时,对输出数据主动加密;所述涉密访问控制,对涉密应用程序的行为以及涉密数据的流向控制,控制实现对保密对象的分级访问权限。
3.根据权利要求1所述的基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:所述实时加解密技术采用文件系统驱动方式。
4.根据权利要求1所述的基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:所述涉密访问控制处理过程是: A)判断所述输出数据的输出端是否在安全区域; B)如果所述输出数据的输出端在安全区域,则正常输出数据; 如果所述输出数据的输出端不在安全区域,则输出数据失败。
5.根据权利要求4所述的基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:所述安全区域是指数据放在这些区域,即使不加密也是安全的;安全区域中的数据为机密数据,加密数据进入安全区域时自动解密,数据从安全区域流出时必须落地加密,访问安全区域和访问加密文件一样必须对身份进行验证。
CN 201510117581 2015-03-17 2015-03-17 基于实时加解密技术的完全透明用户体验涉密控制系统 CN104751072A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 201510117581 CN104751072A (zh) 2015-03-17 2015-03-17 基于实时加解密技术的完全透明用户体验涉密控制系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201510117581 CN104751072A (zh) 2015-03-17 2015-03-17 基于实时加解密技术的完全透明用户体验涉密控制系统

Publications (1)

Publication Number Publication Date
CN104751072A true true CN104751072A (zh) 2015-07-01

Family

ID=53590741

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201510117581 CN104751072A (zh) 2015-03-17 2015-03-17 基于实时加解密技术的完全透明用户体验涉密控制系统

Country Status (1)

Country Link
CN (1) CN104751072A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1776563A (zh) * 2005-12-19 2006-05-24 清华紫光股份有限公司 一种基于通用串行总线接口的文件夹加密装置
CN1928881A (zh) * 2006-09-26 2007-03-14 南京擎天科技有限公司 一种计算机数据安全防护方法
CN101753539A (zh) * 2008-12-01 2010-06-23 北京大学;北大方正集团有限公司;北京方正电子政务信息科技有限公司;国家档案局档案科学技术研究所;国家档案局 一种网络数据存储方法及服务器
CN103078866A (zh) * 2013-01-14 2013-05-01 成都西可科技有限公司 移动平台透明加密方法
CN104335548A (zh) * 2012-06-07 2015-02-04 阿尔卡特朗讯公司 安全数据处理

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1776563A (zh) * 2005-12-19 2006-05-24 清华紫光股份有限公司 一种基于通用串行总线接口的文件夹加密装置
CN1928881A (zh) * 2006-09-26 2007-03-14 南京擎天科技有限公司 一种计算机数据安全防护方法
CN101753539A (zh) * 2008-12-01 2010-06-23 北京大学;北大方正集团有限公司;北京方正电子政务信息科技有限公司;国家档案局档案科学技术研究所;国家档案局 一种网络数据存储方法及服务器
CN104335548A (zh) * 2012-06-07 2015-02-04 阿尔卡特朗讯公司 安全数据处理
CN103078866A (zh) * 2013-01-14 2013-05-01 成都西可科技有限公司 移动平台透明加密方法

Similar Documents

Publication Publication Date Title
US20120102564A1 (en) Creating distinct user spaces through mountable file systems
EP1582950A2 (en) Digital rights management system and method
CN102254124A (zh) 一种移动终端信息安全防护系统和方法
CN101901313A (zh) 一种Linux文件保护系统及方法
US20120131635A1 (en) Method and system for securing data
CN1832398A (zh) 文件加密共享的方法和系统
CN103605930A (zh) 一种基于hook和过滤驱动的双重文件防泄密方法及系统
CN102004886A (zh) 一种基于操作系统虚拟化原理的数据防泄漏方法
US20140298454A1 (en) Secure computing device using different central processing resources
CN103106372A (zh) 用于Android系统的轻量级隐私数据加密方法及系统
CN102270287A (zh) 一种提供主动安全服务的可信软件基
CN103346998A (zh) 一种基于文件破碎加密的文档安全保护方法
CN101453327A (zh) 一种信息防泄密系统
JP2009181238A (ja) ファイルアクセス方法およびファイルシステム
US9342705B1 (en) Systems and methods for searching shared encrypted files on third-party storage systems
KR101078546B1 (ko) 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템
CN101710345A (zh) 一种文件的存储、读取方法、装置和存取系统
US8646050B2 (en) System and method for supporting JIT in a secure system with randomly allocated memory ranges
US20150007264A1 (en) Secure hybrid file-sharing system
CN102567688A (zh) 一种安卓操作系统上的文件保密系统及其保密方法
US20100011221A1 (en) Secured storage device with two-stage symmetric-key algorithm
CN101833621A (zh) 终端安全审计方法及系统
CN103236930A (zh) 数据加密方法和系统
CN101101622A (zh) 一种构造透明编码环境的方法
JP5060652B2 (ja) 呼び出しプログラムについての秘密の封印解除方法

Legal Events

Date Code Title Description
C06 Publication
C10 Entry into substantive examination