CN108664816A - 基于移动存储介质的数据安全读取方法及装置 - Google Patents
基于移动存储介质的数据安全读取方法及装置 Download PDFInfo
- Publication number
- CN108664816A CN108664816A CN201710214427.5A CN201710214427A CN108664816A CN 108664816 A CN108664816 A CN 108664816A CN 201710214427 A CN201710214427 A CN 201710214427A CN 108664816 A CN108664816 A CN 108664816A
- Authority
- CN
- China
- Prior art keywords
- memory medium
- mobile memory
- computing device
- data
- reading
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0622—Securing storage systems in relation to access
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0673—Single storage device
- G06F3/0674—Disk device
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Human Computer Interaction (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出了一种基于移动存储介质的数据安全读取方法及装置。方法用于接入有移动存储介质的计算设备,包括:构建所述移动存储介质的存储设备栈;所述存储设备栈中至少包括:该计算设备驱动层的文件系统、磁盘系统、以及与所述移动存储介质所对应的存储控制器;由所述文件系统、磁盘系统、存储控制器所构建的所述存储设备栈的运行逻辑中至少包括:将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。本发明通过在离网情况下实现终端本地无数据化,保证了终端离网情况下的数据安全。另一点,本发明是通过对驱动程序进行的改造,没有破坏计算设备的常规体系结构,对计算设备的运行稳定性的影响大大降低,使计算设备的运行得到了有力的保障。
Description
技术领域
本发明属于计算机安全领域,尤其涉及一种基于移动存储介质的数据安全读取方法及装置。
背景技术
随着计算机与网络技术的快速发展,一方面使人们日常生活工作更加便利,但另一方面也使人们的个人数据、企业数据、乃至涉密数据面临着更为严重的泄密风险,尤其是政府机要、军队、工业、金融、医疗等重点领域。
现有的计算机安全领域中提出了一种新型的数据安全措施,是通过修改指令的目标地址将本地数据存储到远程的服务器当中,将服务器中的部分磁盘阵列映射为本地终端的硬盘使用,实现终端本地无数据化,攻击者即使攻破了本地终端,或者说内鬼通过拆卸本地硬盘窃取数据也由于本地无数据化,使得攻击者得不到任何有价值的信息数据;并且服务器与本地终端相比其安全性更加可靠,因此上述方法措施在数据安全上起到了很大的作用。
但是上述方法措施只能应用于本地终端与后台服务器存在连接/连接畅通的情况下,必须保证有网络或本地终端与服务器之间网络畅通,在无网络后网络不畅通的情况下,则无法使用上述措施。
发明内容
有鉴于此,本发明的一个目的是提出一种基于移动存储介质的数据安全读取方法,以解决现有技术中终端设备离网情况下的数据安全问题。
在一些说明性实施例中,所述基于移动存储介质的数据安全读取方法,用于接入有移动存储介质的计算设备,包括:构建所述移动存储介质的存储设备栈;所述存储设备栈中至少包括:该计算设备驱动层的文件系统、磁盘系统、以及与所述移动存储介质所对应的存储控制器;由所述文件系统、磁盘系统、存储控制器所构建的所述存储设备栈的运行逻辑中至少包括:将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
在一些优选地实施例中,所述运行逻辑中还包括:判断所述移动存储介质上是否存有所述读取指令所需要的数据;若是,则执行所述将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
在一些优选地实施例中,所述判断所述移动存储介质上是否存有所述读取指令所需要的数据的过程中,还包括:若判断结果为所述移动存储介质上未存有所述读取指令所需要的数据时,则不对该读取指令进行修改。
在一些优选地实施例中,在所述构建移动存储介质的存储设备栈之前,还包括:重构该计算设备驱动层的文件系统;和/或,重构该计算设备驱动层的磁盘系统;和/或,重构该计算设备驱动层的存储控制器;使该计算设备的所述存储设备栈具备所述运行逻辑。
在一些优选地实施例中,由所述存储设备栈中的文件系统执行所述运行逻辑:将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
在一些优选地实施例中,由所述存储设备栈中的磁盘系统执行所述运行逻辑:将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
在一些优选地实施例中,由所述存储设备栈中的存储控制器执行所述运行逻辑:将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
在一些优选地实施例中,在所述由存储设备栈中的存储控制器执行所述运行逻辑之后,还包括:由所述磁盘系统对与所述读取指令相关联的操作数进行预处理。
在一些优选地实施例中,所述预处理至少包括:解密处理。
本发明的另一个目的在于提供一种基于移动存储介质的数据安全读取装置。
在一些说明性实施例中,所述基于移动存储介质的数据安全读取装置,包括:初始化模块,用于构建所述移动存储介质的存储设备栈;所述存储设备栈中至少包括:该计算设备驱动层的文件系统、磁盘系统、以及与所述移动存储介质所对应的存储控制器;读重定向模块,用于控制所述存储设备栈执行以下运行逻辑:将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
与现有技术相比,本发明具有以下优点:
本发明通过在离网情况下实现终端本地无数据化,保证了终端离网情况下的数据安全。另一点,本发明是通过对驱动程序进行的改造,没有破坏计算设备的常规体系结构,对计算设备的运行稳定性的影响大大降低,使计算设备的运行得到了有力的保障。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是现有中计算机体系结构示意图;
图2是本发明实施例中的计算机体系结构示意图;
图3是本发明的说明性实施例中数据安全存储方法的流程图;
图4是本发明的说明性实施例中数据安全存储方法的流程图;
图5是本发明的说明性实施例中数据安全存储方法的流程图;
图6是本发明的说明性实施例中数据安全存储方法的流程图;
图7是本发明的说明性实施例中数据安全读取方法的流程图;
图8是本发明的说明性实施例中数据安全读取方法的流程图;
图9是本发明的说明性实施例中数据安全读取方法的流程图;
图10是本发明的说明性实施例中数据安全读取方法的流程图;
图11是本发明的说明性实施例中数据安全读取方法的流程图;
图12是本发明的说明性实施例中数据安全存储装置的结构框图;
图13是本发明的说明性实施例中数据安全读取装置的结构框图。
具体实施方式
以下描述和附图充分地示出本发明的具体实施方案,以使本领域的技术人员能够实践它们。其他实施方案可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求,否则单独的部件和功能是可选地,并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本发明的实施方案的范围包括权利要求书的整个范围,以及权利要求书的所有可获得的等同物。在本文中,本发明的这些实施方案可以被单独地或总地用术语“发明”来表示,这仅仅是为了方便,并且如果事实上公开了超过一个的发明,不是要自动地限制该应用的范围为任何单个发明或发明构思。
在以下详细描述中,会提出大量特定细节,以便于提供对本发明的透彻理解。但是,本领域的技术人员会理解,即使没有这些特定细节也可实施本发明。在其它情况下,没有详细描述众所周知的方法、过程、组件和电路,以免影响对本发明的理解。
如图1,专利CN201180064966.6公开了一种数据安全存储方法,建立了包含有用户界面层201、应用层202、操作系统内核层203、硬件映射层204(驱动层)、安全层205(该方法新设置的逻辑层)、硬件层206(CPU2061、硬盘2062、网卡2063)的计算机体系200,与远程的存储设备100进行通信。
该专利技术主体如下:
本地终端首先与远程的安全存储设备通过网络(网卡)建立通信通道,两设备间交互关于存储空间的基本信息(例如数据位置、空间大小、标识信息等),之后通过位于驱动层与硬件层之间的新设置的安全层将“存储指令”或“读取指令”转换为“转储指令”,在将转储指令及相关操作数加上远程安全存储设备的I P地址等位置信息封装成网络指令传递给安全存储设备所在的终端或服务器解析最终实现在后台的安全存储设备上的存储。
该方法是通过将远程的存储设备作为本地终端的存储空间使用,实现了本地终端的无数据化,但是该方法在实际应用过程中,同样也存在着各种问题,例如在本地终端离网情况下,就无法使用上述方法实现终端本地无数据化,保障终端数据的安全。
另外一点,该专利技术是通过在驱动层与硬件层之间新设置一逻辑层(安全层),其对计算设备的内核改动较大,容易引起内核冲突等问题,降低计算设备运行稳定性。
本发明针对上述问题提出了一种基于移动存储介质的数据安全存储方法,以解决本地终端在离网情况下依然保障终端本地的数据安全的问题。
如图2,本发明的主要思想是通过改造常规计算设备的驱动程序,使计算设备具备将移动存储介质作为该计算设备的存储空间,实现在离网情况下对保护数据安全,防止数据泄密的作用,体系结构200主要由应用层202、操作系统内核层203、驱动层204、硬件层206(CPU、硬盘、即插即用接口)构成,即插即用接口连接到移动存储介质300。
其中,执行本发明实施例的运行逻辑的逻辑单元主要为驱动层的文件系统、磁盘系统和存储控制器,存储控制器若无特指,则移动存储介质对应计算设备的即插即用接口关联的存储控制器。
如图3,图3示出了本发明中将移动存储介质作为本地终端的存储空间使用的数据安全存储方法的流程图,如该流程图所示,公开了一种基于移动存储介质的数据安全存储方法,用于接入有移动存储介质的计算设备,包括:
步骤S11.构建所述移动存储介质的存储设备栈;
其中,所述存储设备栈是指与持久化数据的读取或存储相关的计算设备逻辑单元或计算设备物理单元;
与持久化数据的读取或存储相关的计算设备逻辑单元,可以包含:位于最上层的用户界面层、以及依次往下的内核层(操作系统层)、驱动层;又可以具体化为:文件系统、磁盘系统、以及存储管理器;
在一些优选地实施例中,所述存储设备栈中至少包含有与持久化数据读写相关的文件系统、磁盘系统和存储控制器;
进一步的,存储控制器是指移动存储介质所对应的存储控制器,即插即用端口的存储控制器。
步骤S12.所述存储设备栈所执行的运行逻辑中至少包括:将指向本地硬盘的存储指令的目标地址修改为所述移动存储介质上的地址。
在一些可选地实施例中,本发明中所阐述的移动存储介质为可进行持久化操作的U盘、移动硬盘等具有即插即用接口的移动存储设备。
本发明通过上述技术方法,在本地终端离网情况下,将移动存储介质作为终端本地的存储空间,实现了本地终端在离网运行过程中的本地无数据化,保证了本地终端的数据安全。另一点,本发明是通过对驱动程序进行的改造,没有破坏计算设备的常规体系结构,对计算设备的运行稳定性的影响大大降低,使计算设备的运行得到了有力的保障。
在一些优选地的实施例中,移动存储介质的使用需要进行加密、认证等处理,例如在接入计算设备后,计算设备对移动存储介质中反馈的某些信息进行认证,又可以是对移动存储介质的部分空间进行加密处理,以该加密处理的存储空间配合计算设备使用,又或者是对计算设备在将数据写到移动存储介质当中时,对所“写”的数据进行加密处理;同理,在计算设备从移动存储介质当中读取数据时,对数据进行解密处理。
通过上述技术手段实现移动存储介质的设备可信安全、空间安全、以及数据安全,在保证终端本地无数据化安全的情况下,移动存储介质的安全使得终端的数据安全得到了妥善的保护。
在一些说明性实施例中,移动存储介质中的存储空间中可以只存储计算设备的过程数据及结果数据,例如:用户编辑office办公软件,在用户选择文档保存时,常规计算机是触发写操作请求,从上层至下层最终将该文档存储在本地硬盘中,通过本发明的数据安全存储方法,在请求由上层向下层传递转换的过程中,将写操作的目标地址改为了移动存储介质,本地硬盘中则没有存储该文档。在上述的过程中,移动存储介质只需要存储用户编辑后保存的文档,而不需要存储计算设备上的office应用。
另一方面,例如:操作系统的运行过程中所产生的“中间文件”数据同样存储在移动存储介质中,而不需要将整个操作系统存储在移动存储介质中,后文会对该过程进行详细阐述。
在一些说明性实施例中,某些计算设备的存储设备栈不具备对指向本地硬盘的存储指令改造成目标地址为移动存储介质上的地址的能力,因此本方法在构建移动存储介质的存储设备栈之前,还需要对该计算设备进行配置,将计算设备的存储设备栈具有上述改造能力。
在一些可选地实施例中,对于计算设备的配置可以采用重构该计算设备的文件系统,由计算设备重构的文件系统执行上述对存储指令的“改造”处理;其处理流程如图4所示,包括:
步骤S21.文件系统接收来自应用层或系统内核层发送的存储请求;
步骤S22.文件系统根据接收到的存储请求,对其进行改造并生成转储指令下发至磁盘系统;
步骤S23.磁盘系统对转储指令进行处理后,将处理后的转储指令再次下发至移动存储介质的存储控制器;
步骤S24.该移动存储介质的存储控制器根据接收到的转储指令生成硬件指令发送给移动存储介质执行数据写操作。
在一些可选地实施例中,步骤S23中的磁盘系统对转储指令的处理可以为常规磁盘系统的常规处理,也可以额外新设处理,例如:对转储指令所需要存储的数据进行加密处理;
在一些可选地实施例中,步骤S22中也可以由文件系统将生成的转储指令直接下发至移动存储介质的存储控制器;由存储控制器生成硬件指令发送给移动存储介质执行数据写操作。
在一些可选地实施例中,对于计算设备的配置可以采用重构该计算设备的磁盘系统,由计算设备重构的磁盘系统执行上述对存储指令的“改造”处理;其处理流程如图5所示,包括:
步骤S31.文件系统接收来自应用层或系统内核层发送的存储请求;
步骤S32.文件系统根据接收到的存储请求,生成存储指令并下发至磁盘系统;
步骤S33.磁盘系统对存储指令进行改造,生成转储指令再次下发至移动存储介质的存储控制器;
步骤S34.该移动存储介质的存储控制器根据接收到的转储指令生成硬件指令发送给移动存储介质执行数据写操作。
在一些可选地实施例中,对于计算设备的配置可以采用重构该计算设备的移动存储介质的存储控制器,由计算设备重构的存储控制器执行上述对存储指令的“改造”处理;其处理流程如图6所示,包括:
步骤S41.文件系统接收来自应用层或系统内核层发送的存储请求;
步骤S42.文件系统根据接收到的存储请求,生成存储指令并下发至磁盘系统;
步骤S43.磁盘系统对存储指令进行处理后,将处理后的存储指令再次下发至移动存储介质的存储控制器;
步骤S44.该移动存储介质的存储控制器对接收到的存储指令进行改造,生成转储指令,并根据该转储指令生成硬件指令发送给移动存储介质执行数据写操作。
在一些可选地实施例中,所述由存储设备栈中的存储控制器执行所述运行逻辑之前,还包括:由所述磁盘系统对与所述存储指令相关联的操作数进行预处理。其中,所述预处理至少包括:加密处理。
针对于数据安全存储方法,本发明的另一个目的在于提出一种基于移动存储介质的数据安全读取方法,以解决在离网情况下使用移动存储介质作为计算设备的存储空间时的读取问题。另一点,本发明是通过对驱动程序进行的改造,没有破坏计算设备的常规体系结构,对计算设备的运行稳定性的影响大大降低,使计算设备的运行得到了有力的保障。
如图7,图7示出了本发明中将移动存储介质作为本地终端的存储空间使用的数据安全读取方法的流程图,如该流程图所示,公开了一种基于移动存储介质的数据安全读取方法,用于接入有移动存储介质的计算设备,包括:
步骤S51.构建所述移动存储介质的存储设备栈;
其中,所述存储设备栈是指与持久化数据的读取或存储相关的计算设备逻辑单元或计算设备物理单元;
与持久化数据的读取或存储相关的计算设备逻辑单元,可以包含:位于最上层的用户界面层、以及依次往下的内核层(操作系统层)、驱动层;又可以具体化为:文件系统、磁盘系统、以及存储管理器;
在一些优选地实施例中,所述存储设备栈中至少包含有与持久化数据读写相关的文件系统、磁盘系统和存储控制器;
进一步的,存储控制器是指移动存储介质所对应的存储控制器,即插即用端口的存储控制器。
步骤S52.所述存储设备栈所执行的运行逻辑中至少包括:将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
在一些可选地实施例中,本发明中所阐述的移动存储介质为可进行持久化操作的U盘、移动硬盘等具有即插即用接口的移动存储设备。
本发明通过上述技术方法,在本地终端离网情况下,将移动存储介质作为终端本地的存储空间,实现了本地终端在离网运行过程中的本地无数据化,保证了本地终端的数据安全。
在一些说明性实施例中,移动存储介质的使用需要进行加密、认证等处理,例如在接入计算设备后,计算设备对移动存储介质中反馈的某些信息进行认证,又可以是对移动存储介质的部分空间进行加密处理,以该加密处理的存储空间配合计算设备使用,又或者是对计算设备在将数据写到移动存储介质当中时,对所“写”的数据进行加密处理;同理,在计算设备从移动存储介质当中读取数据时,对数据进行解密处理。
本发明的目标在于防止计算设备的数据发生泄密,只有计算设备所产生的过程数据和结果数据是具有“秘密”含义的,而产生这种的过程数据和结果数据的操作系统本身或应用程序本身并无“秘密”含义的,因此本发明的思想是将计算设备的过程数据和结果数据存储在移动存储介质中保证数据安全。
如图8,基于上述说明,本发明的计算设备的存储设备栈所执行的运行逻辑中,还可以包括:
步骤S61.判断所述移动存储介质上是否存有所述读取指令所需要的数据;
步骤S62.在判断结果为是的情况下,执行所述将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址;
步骤S63.在判断结果为否的情况下,不对该读取指令进行修改。
例如:计算设备在运行过程中需要读取操作系统的某项文件,判断的结果为移动存储介质上没有该项文件,则不对指令进行改造,执行该指令从本地硬盘中获取该项文件。
通过上述实施例,可以保证计算设备的正常运行,并且不会发生数据泄密的问题,提高了系统稳定性和数据安全性。
在一些说明性实施例中,某些计算设备的存储设备栈不具备对指向本地硬盘的读取指令改造成源地址为移动存储介质上的地址的能力,因此本方法在构建移动存储介质的存储设备栈之前,还需要对该计算设备进行配置,将计算设备的存储设备栈具有上述改造能力。
在一些可选地实施例中,对于计算设备的配置可以采用重构该计算设备的文件系统,由计算设备重构的文件系统执行上述对存储指令的“改造”处理;其处理流程如图9所示,包括:
步骤S71.文件系统接收来自应用层或系统内核层发送的读取请求;
步骤S72.文件系统根据接收到的读取请求,对其进行改造并生成源地址为移动存储介质上的地址的读取指令下发至磁盘系统;
步骤S73.磁盘系统对该读取指令进行处理后,将处理后的读取指令再次下发至移动存储介质的存储控制器;
步骤S74.该移动存储介质的存储控制器根据接收到的读取指令生成硬件指令发送给移动存储介质执行数据读操作。
在一些可选地实施例中,步骤S73中的磁盘系统对读取指令的处理可以为常规磁盘系统的常规处理,也可以额外新设处理;
在一些说明性实施例中,磁盘系统在接收到读取指令的所读取到的数据时,对该数据进行解密处理;该解密处理与上述数据安全存储方法中的加密处理对应。
在一些可选地实施例中,步骤S72中也可以由文件系统将生成的读取指令直接下发至移动存储介质的存储控制器;由存储控制器生成硬件指令发送给移动存储介质执行数据读操作。
在一些可选地实施例中,对于计算设备的配置可以采用重构该计算设备的磁盘系统,由计算设备重构的磁盘系统执行上述对读取指令的“改造”处理;其处理流程如图10所示,包括:
步骤S81.文件系统接收来自应用层或系统内核层发送的读取请求;
步骤S82.文件系统根据接收到的读取请求,生成读取指令并下发至磁盘系统;
步骤S83.磁盘系统对存储指令进行改造,生成源地址为移动存储介质上的地址的读取指令再次下发至移动存储介质的存储控制器;
步骤S84.该移动存储介质的存储控制器根据接收到的读取指令生成硬件指令发送给移动存储介质执行数据读操作。
在一些可选地实施例中,对于计算设备的配置可以采用重构该计算设备的移动存储介质的存储控制器,由计算设备重构的存储控制器执行上述对读取指令的“改造”处理;其处理流程如图11所示,包括:
步骤S91.文件系统接收来自应用层或系统内核层发送的读取请求;
步骤S92.文件系统根据接收到的读取请求,生成读取指令并下发至磁盘系统;
步骤S93.磁盘系统对读取指令进行处理后,将处理后的读取指令再次下发至移动存储介质的存储控制器;
步骤S94.该移动存储介质的存储控制器对接收到的读取指令进行改造,生成源地址为移动存储介质的地址的读取指令,并根据该读取指令生成硬件指令发送给移动存储介质执行数据读操作。
在一些可选地实施例中,所述由存储设备栈中的存储控制器执行所述运行逻辑之后,还包括:由所述磁盘系统对与所述读取指令相关联的操作数进行预处理。其中,所述预处理至少包括:解密处理。
本发明中的存储和读取实施例中,可以采用如专利CN201180064966.6中所提出的第一映射位图和第二映射位图的对应方法,在存储或读取过程中,确定并找到相应的数据的位置。
如图12,图12示出了本发明中的基于移动存储介质的数据安全存储装置的结构框图,如该结构框图所示,公开了一种基于移动存储介质的数据安全存储装置400,包括:构建所述移动存储介质的存储设备栈的第一初始化模块401;所述存储设备栈中至少包括:该计算设备驱动层的文件系统、磁盘系统、以及与所述移动存储介质所对应的存储控制器;控制所述存储设备栈的执行以下运行逻辑:将指向本地硬盘的存储指令的目标地址修改为所述移动存储介质上的地址的写重定向模块402。
在一些说明性实施例中,所述数据安全存储装置400,还包括:重构该计算设备驱动层的文件系统;和/或,重构该计算设备驱动层的磁盘系统;和/或,重构该计算设备驱动层的存储控制器;使该计算设备的所述存储设备栈具备所述运行逻辑的第一配置模块403。
在一些可选地实施例中,由所述存储设备栈中的文件系统执行所述运行逻辑:将指向本地硬盘的存储指令的目标地址修改为所述移动存储介质上的地址。
在一些可选地实施例中,由所述存储设备栈中的磁盘系统执行所述运行逻辑:将指向本地硬盘的存储指令的目标地址修改为所述移动存储介质上的地址。
在一些可选地实施例中,由所述存储设备栈中的存储控制器执行所述运行逻辑:将指向本地硬盘的存储指令的目标地址修改为所述移动存储介质上的地址。
在一些可选地实施例中,所述数据安全存储装置,还包括:由所述磁盘系统对与所述存储指令相关联的操作数进行预处理的第一预处理模块404。
在一些可选地实施例中,所述第一预处理模块404至少执行加密处理。
如图13,图13示出了本发明中的基于移动存储介质的数据安全读取装置的结构框图,如该结构框图所示,公开了一种基于移动存储介质的数据安全读取装置500,包括:建所述移动存储介质的存储设备栈的第二初始化模块501;所述存储设备栈中至少包括:该计算设备驱动层的文件系统、磁盘系统、以及与所述移动存储介质所对应的存储控制器;控制所述存储设备栈执行以下运行逻辑:将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址的读重定向模块502。
在一些说明性实施例中,所述数据安全读取装置500,还包括:判断所述移动存储介质上是否存有所述读取指令所需要的数据的判断模块503;在判断结果为是的情况下,将读取指令发送至所述读重定向模块的第一判断子模块5031;在判断结果为否的情况下,跳过所述读重定向模块执行的第二判断子模块5032。
在一些说明性实施例中,所述数据安全读取装置,还包括:重构该计算设备驱动层的文件系统;和/或,重构该计算设备驱动层的磁盘系统;和/或,重构该计算设备驱动层的存储控制器;使该计算设备的所述存储设备栈具备所述运行逻辑的第二配置模块504。
在一些可选地实施例中,由所述存储设备栈中的文件系统执行所述运行逻辑:将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
在一些可选地实施例中,由所述存储设备栈中的磁盘系统执行所述运行逻辑:将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
在一些可选地实施例中,由所述存储设备栈中的存储控制器执行所述运行逻辑:将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
在一些可选地实施例中,所述数据安全读取装置,还包括:由所述磁盘系统对与所述读取指令相关联的操作数进行预处理的第二预处理模块505。
在一些可选地实施例中,所述第二预处理模块505至少执行解密处理。
众所周知的是数据存储和数据读取在计算设备运行过程中是伴随进行的,本领域技术人员应该可以理解的是本发明的实施例中的数据安全存储方法与数据安全读取方法,以及数据安全存储装置与数据安全读取装置是可以相互组合的,即得到数据安全管理方法,数据安全管理装置,同时具备数据安全存储方法及数据安全读取方法的能力。
本发明中的实施例中所使用的第一、第二、第三、……,只用于区分两个或两个以上的相同名称的模块、部件或设备。
本领域技术人员应当理解,本发明中各实施例可以相互组合,例如将本发明中配置方法与计算设备运行方法相结合,又或者将本发明中计算设备运行方法与数据处理方法相结合。
本领域技术人员还应当理解,结合本文的实施例描述的各种说明性的逻辑框、模块、电路和算法步骤均可以实现成电子硬件、计算机软件或其组合。为了清楚地说明硬件和软件之间的可交换性,上面对各种说明性的部件、框、模块、电路和步骤均围绕其功能进行了一般地描述。至于这种功能是实现成硬件还是实现成软件,取决于特定的应用和对整个系统所施加的设计约束条件。熟练的技术人员可以针对每个特定应用,以变通的方式实现所描述的功能,但是,这种实现决策不应解释为背离本公开的保护范围。
以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种基于移动存储介质的数据安全读取方法,其特征在于,用于接入有移动存储介质的计算设备,包括:
构建所述移动存储介质的存储设备栈;所述存储设备栈中至少包括:该计算设备驱动层的文件系统、磁盘系统、以及与所述移动存储介质所对应的存储控制器;
由所述文件系统、磁盘系统、存储控制器所构建的所述存储设备栈的运行逻辑中至少包括:将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
2.根据权利要求1所述的数据安全读取方法,其特征在于,所述运行逻辑中还包括:
判断所述移动存储介质上是否存有所述读取指令所需要的数据;
若是,则执行所述将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
3.根据权利要求2所述的数据安全读取方法,其特征在于,所述判断所述移动存储介质上是否存有所述读取指令所需要的数据的过程中,还包括:
若判断结果为所述移动存储介质上未存有所述读取指令所需要的数据时,则不对该读取指令进行修改。
4.根据权利要求1所述的数据安全读取方法,其特征在于,在所述构建移动存储介质的存储设备栈之前,还包括:
重构该计算设备驱动层的文件系统;和/或,重构该计算设备驱动层的磁盘系统;和/或,重构该计算设备驱动层的存储控制器;
使该计算设备的所述存储设备栈具备所述运行逻辑。
5.根据权利要求1所述的数据安全读取方法,其特征在于,由所述存储设备栈中的文件系统执行所述运行逻辑:
将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
6.根据权利要求1所述的数据安全读取方法,其特征在于,由所述存储设备栈中的磁盘系统执行所述运行逻辑:
将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
7.根据权利要求1所述的数据安全读取方法,其特征在于,由所述存储设备栈中的存储控制器执行所述运行逻辑:
将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
8.根据权利要求7所述的数据安全读取方法,其特征在于,在所述由存储设备栈中的存储控制器执行所述运行逻辑之后,还包括:
由所述磁盘系统对与所述读取指令相关联的操作数进行预处理。
9.根据权利要求8所述的数据安全读取方法,其特征在于,所述预处理至少包括:解密处理。
10.一种基于移动存储介质的数据安全读取装置,其特征在于,包括:
初始化模块,用于构建所述移动存储介质的存储设备栈;所述存储设备栈中至少包括:该计算设备驱动层的文件系统、磁盘系统、以及与所述移动存储介质所对应的存储控制器;
读重定向模块,用于控制所述存储设备栈执行以下运行逻辑:将指向本地硬盘的读取指令的源地址修改为所述移动存储介质上的地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710214427.5A CN108664816A (zh) | 2017-04-01 | 2017-04-01 | 基于移动存储介质的数据安全读取方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710214427.5A CN108664816A (zh) | 2017-04-01 | 2017-04-01 | 基于移动存储介质的数据安全读取方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108664816A true CN108664816A (zh) | 2018-10-16 |
Family
ID=63783778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710214427.5A Pending CN108664816A (zh) | 2017-04-01 | 2017-04-01 | 基于移动存储介质的数据安全读取方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108664816A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111125796A (zh) * | 2019-12-26 | 2020-05-08 | 深信服科技股份有限公司 | 对移动存储设备进行保护的方法及装置、设备、存储介质 |
-
2017
- 2017-04-01 CN CN201710214427.5A patent/CN108664816A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111125796A (zh) * | 2019-12-26 | 2020-05-08 | 深信服科技股份有限公司 | 对移动存储设备进行保护的方法及装置、设备、存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10061928B2 (en) | Security-enhanced computer systems and methods | |
| US8352751B2 (en) | Encryption program operation management system and program | |
| KR102176612B1 (ko) | 보안 서브시스템 | |
| US8387109B2 (en) | Access control state determination based on security policy and secondary access control state | |
| JP7388803B2 (ja) | セキュア・ゲストのセキュア鍵をハードウェア・セキュリティ・モジュールに結びつけること | |
| JP4850830B2 (ja) | コンピュータシステム及びプログラム生成装置 | |
| JP6955619B2 (ja) | セキュリティ・モジュールを備えた、コンピュータ・システム・ソフトウェア/ファームウェアおよび処理装置 | |
| CN103617404A (zh) | 一种安全分区的存储装置 | |
| CN102821094B (zh) | 虚拟桌面中的数据安全处理方法及系统 | |
| AU2014321545A1 (en) | Virtual machine manager facilitated selective code integrity enforcement | |
| US8074283B2 (en) | Method and system for securely protecting data during software application usage | |
| CN101877246A (zh) | 加密u盘实现方法 | |
| WO2023273647A1 (zh) | 虚拟化可信平台模块实现方法、安全处理器及存储介质 | |
| CN110262908A (zh) | 一种剪切板数据的处理方法及装置 | |
| CN102289625A (zh) | 具有加密功能的存储芯片和防盗版方法 | |
| CN108664816A (zh) | 基于移动存储介质的数据安全读取方法及装置 | |
| CN108664800A (zh) | 基于移动存储介质的数据安全存储方法及装置 | |
| CN114238938B (zh) | 一种pcie密码卡虚拟化配置管理方法 | |
| US10331453B2 (en) | System management mode trust establishment for OS level drivers | |
| US20240004802A1 (en) | Data security for memory and computing systems | |
| US20220326975A1 (en) | Transparent data reduction in private/public cloud environments for host encrypted data | |
| CN205354035U (zh) | 数据保护卡 | |
| JP5978260B2 (ja) | 自己暗号化ドライブ用の仮想バンド集信 | |
| CN115017557A (zh) | 一种基于磁盘分区加密的数据防泄漏方法和系统 | |
| CN108229191A (zh) | 一种虚拟机的文件保护方法与装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20181016 |