CN108076064A - 一种基于密标的虚拟化桌面文件防泄漏方法 - Google Patents

一种基于密标的虚拟化桌面文件防泄漏方法 Download PDF

Info

Publication number
CN108076064A
CN108076064A CN201711416314.XA CN201711416314A CN108076064A CN 108076064 A CN108076064 A CN 108076064A CN 201711416314 A CN201711416314 A CN 201711416314A CN 108076064 A CN108076064 A CN 108076064A
Authority
CN
China
Prior art keywords
file
secret mark
virtualization desktop
virtualization
desktop
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711416314.XA
Other languages
English (en)
Inventor
肖利民
刘玺
李书攀
阮利
苏书宾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beihang University
Original Assignee
Beihang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beihang University filed Critical Beihang University
Priority to CN201711416314.XA priority Critical patent/CN108076064A/zh
Publication of CN108076064A publication Critical patent/CN108076064A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出一种基于密标的虚拟化桌面文件防泄漏方法。该方法首先设定密标和安全策略,然后在虚拟化桌面中文件的头部打上密标,在文件从虚拟化桌面传输到客户端之前,虚拟化桌面服务端会获取文件头部的密标并与安全策略比较,如果符合安全策略的要求,则允许文件传输到客户端,否则禁止文件传输到客户端。该方法在保证文件通道可用的情况下,防止重要文件通过虚拟化桌面协议泄露,增强虚拟化桌面系统数据防泄漏方法的易用性。

Description

一种基于密标的虚拟化桌面文件防泄漏方法
技术领域
本发明涉及虚拟化桌面的安全防护,尤其是一种基于密标的虚拟化桌面文件防泄漏方法,属于计算机科学技术领域。
背景技术
虚拟化桌面系统,主要有虚拟化桌面协议,虚拟化桌面客户端和虚拟化桌面服务端组成。因其易于部署、集中管控、降低使用成本的特性,被越来越多的企业使用。虚拟化桌面系统中也存放了很多的关键文件,一旦这些关键的文件泄露,会对企业造成巨大的损失。
虚拟化桌面系统数据防泄漏是指,防止虚拟机中的重要文件通过虚拟化桌面协议的文件通道传输到虚拟化桌面终端上。为了虚拟化桌面系统的安全,避免虚拟机中的数据泄露,现有的方法会禁用文件通道,使得任何文件都无法通过虚拟化桌面协议传输,使得虚拟化桌面系统易用性差,虚拟机与终端无法共享数据。
现有的虚拟化桌面协议通道管控主要存在的问题是:禁用虚拟化桌面协议中的文件通道,完全阻断虚拟化桌面与客户端之间的文件传输,易用性差。
发明内容
为了解决上述问题,本发明提出一种基于密标的虚拟化桌面文件防泄漏方法。该方法首先设定密标和安全策略,然后在虚拟化桌面中文件的头部打上密标,在文件从虚拟化桌面传输到客户端之前,虚拟化桌面服务端获取文件头部的密标并与安全策略比较,如果符合安全策略的要求,则允许文件传输到客户端,否则禁止文件传输到客户端。该方法在保证文件通道可用的情况下,防止重要文件通过虚拟化桌面协议泄露,增强虚拟化桌面系统的安全。
本发明提出的一种基于密标的虚拟化桌面文件防泄漏方法与现有方法区别在于:
(1)基于密标:本发明中提出的方法需要在文件头部设置密标,并通过该密标和安全策略判断文件是否能够通过虚拟化桌面协议,从虚拟化桌面传输到虚拟化桌面客户端。
(2)未禁用文件传输通道:未禁用文件的传输通道,符合安全策略的文件可以正常传输,在保证安全性的同时,增强易用性。
本发明提供的一种基于密标的虚拟化桌面文件防泄漏方法,包括9个步骤,具体如下:
步骤1:设定文件的密标种类;
步骤2:在虚拟化桌面服务端设定安全策略,确定带有哪些密标的文件可以传输到虚拟化桌面客户端;
步骤3:给虚拟化桌面中重要的文件打上相应种类的密标;
步骤4:虚拟化桌面的客户端向服务端发起连接并建立文件通道;
步骤5:用户或程序发起向虚拟化桌面客户端传输文件的指令;
步骤6:虚拟化桌面服务端获取文件的密标;
步骤7:虚拟化桌面服务端根据密标与安全策略判定是否允许文件传输。如果允许传输,则转到8;如果不允许传输,则转到9;
步骤8:传输文件;
步骤9:给出提示。
本发明的优点包括:
本发明所提出的一种基于密标的虚拟化桌面文件防泄漏方法,与现有技术相比,其主要优点是:
(1)未禁用文件传输通道:未禁用文件的传输通道,符合安全策略的文件可以正常传输,在保证安全性的同时,增强易用性。
附图说明
图1是本发明的流程图。
具体实施方式
为使本发明的目的、技术方案和优点表达得更加清楚明白,以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。在实例中,使用的桌面虚拟化协议为Spcie,客户端为virt-viewer,具体内容如下所示:
图1是本发明的流程图。
一种基于密标的虚拟化桌面文件防泄漏方法,包括以下9个步骤:
步骤1:设定文件的密标种类,设密标的集合为T[0,1,2,…,6],
步骤2:在虚拟化桌面服务端设定安全策略。T中数字越大,安全等级越高。设密标等级>2,则禁止文件传输到虚拟化桌面客户端;密标等级<=2,则可以文件传输到虚拟化桌面客户端。
步骤3:给虚拟化桌面中重要的文件打上相应种类的密标;
步骤4:虚拟化桌面的客户端向服务端发起连接并建立文件通道;
步骤5:用户或程序发起向虚拟化桌面客户端传输文件的命令,设传输两个文件,密标等级分别为2和4;
步骤6:虚拟化桌面服务端获取文件的密标;
步骤7:虚拟化桌面服务端根据密标与安全策略判定是否允许文件传输,对于密标等级为2的文件,跳转到步骤8;对于密标等级为4的文件,跳转到步骤9;
步骤8:允许文件传输并传输文件;
步骤9:禁止传输文件并提示。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (1)

1.一种基于密标的虚拟化桌面文件防泄漏方法,其特征在于,包括以下步骤:
步骤1:设定文件的密标种类;
步骤2:在虚拟化桌面服务端设定安全策略,确定带有哪些密标的文件可以传输到虚拟化桌面客户端;
步骤3:给虚拟化桌面中的文件打上相应种类的密标;
步骤4:虚拟化桌面的客户端向服务端发起连接并建立文件通道;
步骤5:用户或程序发起向虚拟化桌面客户端传输文件的指令;
步骤6:虚拟化桌面服务端获取文件的密标;
步骤7:虚拟化桌面服务端根据密标与安全策略判定是否允许文件传输。如果允许传输,则转到8;如果不允许传输,则转到9;
步骤8:传输文件;
步骤9:给出提示。
CN201711416314.XA 2017-12-25 2017-12-25 一种基于密标的虚拟化桌面文件防泄漏方法 Pending CN108076064A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711416314.XA CN108076064A (zh) 2017-12-25 2017-12-25 一种基于密标的虚拟化桌面文件防泄漏方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711416314.XA CN108076064A (zh) 2017-12-25 2017-12-25 一种基于密标的虚拟化桌面文件防泄漏方法

Publications (1)

Publication Number Publication Date
CN108076064A true CN108076064A (zh) 2018-05-25

Family

ID=62155660

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711416314.XA Pending CN108076064A (zh) 2017-12-25 2017-12-25 一种基于密标的虚拟化桌面文件防泄漏方法

Country Status (1)

Country Link
CN (1) CN108076064A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104298930A (zh) * 2014-09-16 2015-01-21 中国科学院信息工程研究所 局域网内移动介质及其电子文件流转轨迹跟踪方法及系统
CN105049414A (zh) * 2015-06-03 2015-11-11 北京朋创天地科技有限公司 一种面向虚拟桌面的数据流控制方法及信息安全装置
CN107196932A (zh) * 2017-05-18 2017-09-22 北京计算机技术及应用研究所 一种基于虚拟化的文档集中管控系统
US20170346894A1 (en) * 2016-05-26 2017-11-30 Vmware, Inc. Copy/paste files between remote agent and local machine in html5 view desktop

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104298930A (zh) * 2014-09-16 2015-01-21 中国科学院信息工程研究所 局域网内移动介质及其电子文件流转轨迹跟踪方法及系统
CN105049414A (zh) * 2015-06-03 2015-11-11 北京朋创天地科技有限公司 一种面向虚拟桌面的数据流控制方法及信息安全装置
US20170346894A1 (en) * 2016-05-26 2017-11-30 Vmware, Inc. Copy/paste files between remote agent and local machine in html5 view desktop
CN107196932A (zh) * 2017-05-18 2017-09-22 北京计算机技术及应用研究所 一种基于虚拟化的文档集中管控系统

Similar Documents

Publication Publication Date Title
CN104168557B (zh) 操作系统的升级方法和操作系统的升级装置
WO2019137245A8 (zh) 上行控制信息传输方法及装置
CN104811455A (zh) 一种云计算身份认证方法
US10489602B2 (en) Data transmission method, apparatus, and system
CN105657712B (zh) 一种WiFi热点的访问控制方法和装置
CN103905435A (zh) 一种前端页面与后端服务器通信方法
CN104778415A (zh) 一种基于计算机行为的数据防泄露系统及方法
CN101894094B (zh) 客户端管理系统
US20170214682A1 (en) Virtual communication system
CN106453309B (zh) 一种安全审计的方法和pc终端
WO2016082549A1 (zh) 一种建立设备映射的方法及装置
CN102932345B (zh) 一种信息传输方法、装置及系统
CN108076064A (zh) 一种基于密标的虚拟化桌面文件防泄漏方法
CN103795726A (zh) 一种虚拟数据安全访问的深度防护方法
CN104217171A (zh) 一种密码破解方法、装置及系统
CN104579831A (zh) 数据传输处理方法及装置
CN105491026B (zh) 一种安全策略的远程加载方法
KR20150055934A (ko) 모바일 가상화 환경에서 스마트워크 보안 프레임워크 지원을 위한 다중 채널 제공 방법 및 장치
CN104580997A (zh) 一种视频监控管理系统
CN104581006A (zh) 一种视频监控管理方法
US10552624B2 (en) Methods and a system for inoculating inter-device communication
CN104935646A (zh) 一种避免病毒传播的金融网点柜面上安全传输文件的方法
CN105827592A (zh) 一种计算机信息安全管理系统
CN104506524B (zh) 区分用户域且对网络接入服务器透明的aaa系统及方法
VELLIET To Convince and Coerce: American Interference in the Technological Exchanges Between US Allies and China

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20180525

WD01 Invention patent application deemed withdrawn after publication