CN109033872A - 一种基于身份的安全运行环境构造方法 - Google Patents

一种基于身份的安全运行环境构造方法 Download PDF

Info

Publication number
CN109033872A
CN109033872A CN201810792883.2A CN201810792883A CN109033872A CN 109033872 A CN109033872 A CN 109033872A CN 201810792883 A CN201810792883 A CN 201810792883A CN 109033872 A CN109033872 A CN 109033872A
Authority
CN
China
Prior art keywords
identity
file
user
operating environment
secure operating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810792883.2A
Other languages
English (en)
Inventor
刘熙胖
梁松涛
廖正赟
韩金池
孙晓鹏
彭金辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinda Jiean Information Technology Co Ltd
Original Assignee
Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Xinda Jiean Information Technology Co Ltd filed Critical Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority to CN201810792883.2A priority Critical patent/CN109033872A/zh
Publication of CN109033872A publication Critical patent/CN109033872A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4406Loading of operating system

Abstract

本发明提供一种基于身份的安全运行环境构造方法,包括定义基于用户身份的策略文件并存储到数据库服务器;启动操作系统,对用户进行身份认证;获取并解析策略文件中的配置信息,加载相应的过滤驱动程序和应用软件程序。本发明根据用户的身份信息,定义相应的策略文件,进而加载相应的应用软件程序和过滤驱动程序,构造出基于用户身份的运行环境,使用户只能在自己权限范围对应的安全运行环境中进行相关操作,降低工作成本,同时满足安全性要求。

Description

一种基于身份的安全运行环境构造方法
技术领域:
本发明涉及信息安全技术领域,具体涉及一种基于身份的安全运行环境构造方法。
背景技术:
随着计算机和通信技术的发展,初期以恶作剧、显示计算机能力为目的的网络入侵,已经转变成了直接以危害商业利益或国家安全为目的的情报窃取行为,在这种目的的驱使下,入侵目标网络,获取涉密文件数据信息的安全事件占了所有安全事件的80%之多。同时,由于内部人员恶意泄漏机密文件,造成的泄密信息比重在逐年上升。
传统的计算机操作系统不会对普通用户和特殊用户(如政企机关工作人员)在登录系统时进行区分,无论用户是谁,其登录系统之后,系统给予用户的操作权限相同。在实际工作过程中,为了节省成本,可能多个用户同时使用一台计算机,由于会涉及一些企业的机密文件,对于不同的用户,需要开通不同的权限,以使机密信息不会被恶意泄露。
发明内容:
本发明针对上述问题,提供一种基于身份的安全运行环境构造方法,以根据不同用户的身份,配置相应的安全运行环境,满足企业办公的需要。
一种基于身份的安全运行环境构造方法,该方法包括以下步骤:
S1,定义基于用户身份的策略文件并存储到数据库服务器;
S2,启动操作系统,对用户进行身份认证;
S3,基于所述用户身份从所述数据库服务器中获取对应的策略文件;
S4,解析所述策略文件中的配置信息,加载相应的过滤驱动程序和应用软件程序。
所述策略文件包括用户可用的应用软件程序列表、网络的策略配置信息、文件的策略配置信息。
所述S2中,所述身份认证方法为基于数字证书的认证或通过认证服务器进行认证。
所述S4中,所述过滤驱动程序包括文件过滤驱动程序和网络过滤驱动程序;所述文件过滤驱动程序用来拦截文件操作事件,所述网络过滤驱动程序用来过滤IP数据包,实现对特定网络的访问。
所述网络的策略配置信息包括访问的目的IP地址和端口,所述的文件策略配置信息包括重定向的目录、文件数据读写和调用内核加解密算法进行加密或解密处理。
所述应用软件程序包括电子邮件客户端、Word、Excel。
本发明具有突出的实质性特点和显著的进步:本发明根据用户的身份信息,定义相应的策略文件,在启动操作系统时,对用户身份进行认证,解析对应的策略文件信息,加载相应的应用软件程序和过滤驱动程序,构造出基于用户身份的安全运行环境,在多个用户使用同一台电脑的情况下,不同用户只能在自己权限范围对应的环境进行相应操作,不仅降低工作成本,同时能够满足安全性要求。
附图说明:
图1为本发明的方法流程图。
具体实施方式:
为了使本发明能够更加清楚,下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
如图1所示,一种基于身份的安全运行环境构造方法,该方法包括以下步骤:
S1,定义基于用户身份的策略文件并存储到数据库服务器;
S2,启动操作系统,对用户进行身份认证;
S3,基于所述用户身份从所述数据库服务器中获取对应的策略文件;
S4,解析所述策略文件中的配置信息,加载相应的过滤驱动程序和应用软件程序。
所述策略文件包括用户可用的应用软件程序列表、网络的策略配置信息和文件的策略配置信息。所述应用程序包括Word,Excel,电子邮件客户端等。
所述身份认证方法为基于数字证书的认证或通过认证服务器进行认证。
用户身份认证通过后,向所述数据库服务器发送获取策略文件请求,所述数据库服务器根据用户身份,返回对应的策略文件。
所述过滤驱动程序包括文件过滤驱动程序和网络过滤驱动程序,所述文件过滤驱动程序用来拦截文件操作事件,执行策略文件中的文件策略配置信息;所述网络过滤驱动程序用来根据网络的策略配置信息过滤IP数据包,实现对特定网络的访问。
所述网络的策略配置信息包括访问的目的IP地址和端口,用来构建单一的网络传输通道,使用户仅且仅能访问特定的网络;所述的文件策略配置信息包括重定向的目录、文件数据读写和调用内核加解密算法进行加密或解密处理。当写文件的时候,所述文件过滤驱动程序调用内核的加密算法对文件数据加密后保存到重定向的目录中,读文件的时候先对文件内容解密然后提交给所述应用程序进行显示。由于不同的用户具有不同的重定向目录,保证不同用户对应不同的加密存储区,即使多个用户共用一台计算机,也无法相互查看各自存储的加密信息。
以下结合具体场景对安全运行环境的构造方法进行说明,当用户具有发送加密电子邮件的权限时,可通过策略文件对运行环境进行配置。
本发明的具体实现步骤:
S1,定义基于用户身份的策略文件并存储到数据库服务器,包括应用软件程序列表,网络和文件的策略配置信息。其中,所述应用软件程序列表包括电子邮件客户端,所述网络的策略配置信息包括电子邮件服务器的IP地址和端口,所述文件的策略配置信息包括电子邮件进行本地存储时重定向的目录、可读和加解密处理。
S2,启动操作系统,对用户进行身份认证;
S3,基于所述用户身份从所述数据库服务器中获取对应的策略文件;具体过程为,用户身份认证通过后,向所述数据库服务器发送获取策略文件请求,所述数据库服务器根据用户身份,返回对应的策略文件;
S4, 解析所述策略文件中的配置信息,加载所述电子邮件客户端、所述文件过滤驱动程序和所述网络过滤驱动程序。
当用户在电子邮件客户端编辑电子邮件内容,即电子邮件内容被写入硬盘的过程中,所述文件过滤驱动程序拦截用户密文操作事件,调用加密算法对邮件内容进行加密后存储到重定向的目录中。当用户发送电子邮件时,所述网络过滤驱动拦截电子邮件数据包并进行解析,将解析出的IP地址和端口信息与所述策略文件中的网络配置信息比较,如果一致,允许电子邮件的发送,否则,禁止电子邮件进行远程传输。由于电子邮件以密文形式进行传输,即使被第三方恶意软件获取,也无法获得明文信息。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,所属领域的普通技术人员在不脱离本发明技术方案的精神下,对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换,其均应涵盖在本发明请求保护的技术方案范围当中。

Claims (6)

1.一种基于身份的安全运行环境构造方法,其特征在于,该方法包括以下步骤:
S1,定义基于用户身份的策略文件并存储到数据库服务器;
S2,启动操作系统,对用户进行身份认证;
S3,基于所述用户身份从所述数据库服务器中获取对应的策略文件;
S4,解析所述策略文件中的配置信息,加载相应的过滤驱动程序和应用软件程序。
2.根据权利要求1所述的基于身份的安全运行环境构造方法,其特征在于:所述策略文件包括用户可用的应用软件程序列表、网络的策略配置信息、文件的策略配置信息。
3.根据权利要求1所述的基于身份的安全运行环境构造方法,其特征在于:所述S2中,所述身份认证方法为基于数字证书的认证或通过认证服务器进行认证。
4.根据权利要求1所述的基于身份的安全运行环境构造方法,其特征在于:所述S4中,所述过滤驱动程序包括文件过滤驱动程序和网络过滤驱动程序;所述文件过滤驱动程序用来拦截文件操作事件,所述网络过滤驱动程序用来过滤IP数据包,实现对特定网络的访问。
5.根据权利要求2所述的基于身份的安全运行环境构造方法,其特征在于:所述网络的策略配置信息包括访问的目的IP地址和端口,所述的文件策略配置信息包括重定向的目录、文件数据读写和调用内核加解密算法进行加密或解密处理。
6.根据权利要求1所述的基于身份的安全运行环境构造方法,其特征在于:所述应用软件程序包括电子邮件客户端、Word、Excel。
CN201810792883.2A 2018-07-18 2018-07-18 一种基于身份的安全运行环境构造方法 Pending CN109033872A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810792883.2A CN109033872A (zh) 2018-07-18 2018-07-18 一种基于身份的安全运行环境构造方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810792883.2A CN109033872A (zh) 2018-07-18 2018-07-18 一种基于身份的安全运行环境构造方法

Publications (1)

Publication Number Publication Date
CN109033872A true CN109033872A (zh) 2018-12-18

Family

ID=64644139

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810792883.2A Pending CN109033872A (zh) 2018-07-18 2018-07-18 一种基于身份的安全运行环境构造方法

Country Status (1)

Country Link
CN (1) CN109033872A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110808990A (zh) * 2019-11-08 2020-02-18 北京明朝万达科技股份有限公司 邮件传输方法、装置、电子设备及计算机可读存储介质
CN113505376A (zh) * 2021-09-09 2021-10-15 北京全息智信科技有限公司 一种应用程序运行环境的控制方法、装置及电子设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102065059A (zh) * 2009-11-16 2011-05-18 华为技术有限公司 安全访问控制方法、客户端及系统
CN102594814A (zh) * 2012-02-10 2012-07-18 福建升腾资讯有限公司 基于端末的网络访问控制系统
CN103413100A (zh) * 2013-08-30 2013-11-27 国家电网公司 文档安全防范系统
CN103605930A (zh) * 2013-11-27 2014-02-26 湖北民族学院 一种基于hook和过滤驱动的双重文件防泄密方法及系统
CN105224882A (zh) * 2015-09-23 2016-01-06 武汉理工大学 一种基于桥文件系统的文件加密系统
CN105426766A (zh) * 2015-10-27 2016-03-23 武汉理工大学 一种基于影子文件的文件加密系统
CN105760779A (zh) * 2016-02-18 2016-07-13 武汉理工大学 一种基于fuse的双向文件加密系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102065059A (zh) * 2009-11-16 2011-05-18 华为技术有限公司 安全访问控制方法、客户端及系统
CN102594814A (zh) * 2012-02-10 2012-07-18 福建升腾资讯有限公司 基于端末的网络访问控制系统
CN103413100A (zh) * 2013-08-30 2013-11-27 国家电网公司 文档安全防范系统
CN103605930A (zh) * 2013-11-27 2014-02-26 湖北民族学院 一种基于hook和过滤驱动的双重文件防泄密方法及系统
CN105224882A (zh) * 2015-09-23 2016-01-06 武汉理工大学 一种基于桥文件系统的文件加密系统
CN105426766A (zh) * 2015-10-27 2016-03-23 武汉理工大学 一种基于影子文件的文件加密系统
CN105760779A (zh) * 2016-02-18 2016-07-13 武汉理工大学 一种基于fuse的双向文件加密系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110808990A (zh) * 2019-11-08 2020-02-18 北京明朝万达科技股份有限公司 邮件传输方法、装置、电子设备及计算机可读存储介质
CN110808990B (zh) * 2019-11-08 2021-11-05 北京明朝万达科技股份有限公司 邮件传输方法、装置、电子设备及计算机可读存储介质
CN113505376A (zh) * 2021-09-09 2021-10-15 北京全息智信科技有限公司 一种应用程序运行环境的控制方法、装置及电子设备

Similar Documents

Publication Publication Date Title
US11176226B2 (en) Secure messaging service with digital rights management using blockchain technology
US11387986B1 (en) Systems and methods for encryption and provision of information security using platform services
US9825925B2 (en) Method and apparatus for securing sensitive data in a cloud storage system
US9178856B2 (en) System, method, apparatus and computer programs for securely using public services for private or enterprise purposes
US20150244684A1 (en) Data security management system
US11412385B2 (en) Methods for a secure mobile text message and object sharing application and system
US20140053252A1 (en) System and Method for Secure Document Distribution
US20200252457A1 (en) Content Management Systems And Methods
KR101387600B1 (ko) 전자 파일 전달 방법
US8805741B2 (en) Classification-based digital rights management
CN102999732A (zh) 基于信息密级标识的多级域防护方法及系统
CN101827101A (zh) 基于可信隔离运行环境的信息资产保护方法
CN103268456A (zh) 一种文件安全控制方法及装置
Jakóbik Big data security
Murala et al. Secure dynamic groups data sharing with modified revocable attribute-based encryption in cloud
CN111083135A (zh) 网关对数据的处理方法及安全网关
CN109033872A (zh) 一种基于身份的安全运行环境构造方法
CN108399341A (zh) 一种基于移动端的Windows双重文件管控系统
Raisian et al. Security issues model on cloud computing: A case of Malaysia
Alawneh et al. Defining and analyzing insiders and their threats in organizations
KR100652990B1 (ko) 전자 문서 보안을 위한 프레임워크
Renuka et al. A Survey on Cloud Data Security
JP2001312466A (ja) 携帯コンピューター情報管理システム
US11973860B1 (en) Systems and methods for encryption and provision of information security using platform services
EP3557469B1 (en) System, method and computer program for secure data exchange

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20181218

RJ01 Rejection of invention patent application after publication