CN110134339A - 一种基于文件虚拟盘的数据保护方法及系统 - Google Patents
一种基于文件虚拟盘的数据保护方法及系统 Download PDFInfo
- Publication number
- CN110134339A CN110134339A CN201910431495.6A CN201910431495A CN110134339A CN 110134339 A CN110134339 A CN 110134339A CN 201910431495 A CN201910431495 A CN 201910431495A CN 110134339 A CN110134339 A CN 110134339A
- Authority
- CN
- China
- Prior art keywords
- preset data
- virtual disk
- data
- preset
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0629—Configuration or reconfiguration of storage systems
- G06F3/0635—Configuration or reconfiguration of storage systems by changing the path, e.g. traffic rerouting, path reconfiguration
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0662—Virtualisation aspects
- G06F3/0665—Virtualisation aspects at area level, e.g. provisioning of virtual or logical volumes
Abstract
本发明实施例提供了一种基于文件虚拟盘的数据保护方法及系统,该方法包括:当接收到对预设数据的访问请求,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据;接收对所述虚拟盘中的预设数据的编辑操作,并对编辑后的所述预设数据加密或解密。本发明实施例能够在接收到用户对预设数据的访问请求后,将预设数据直接映射到虚拟盘中,然后在虚拟盘中进行编辑操作,并不需要用户手动将该数据拖入至对应的保护位置中加密或解密操作,提高了用户体验,并且能够在虚拟盘中对预设数据加密或解密,其中,虚拟盘的数据并不向外部显示,因此可以保证虚拟盘中的预设数据不会泄露,提高了数据的安全性。
Description
技术领域
本发明涉及数据安全技术领域,特别是涉及一种基于文件虚拟盘的数据保护方法及系统。
背景技术
随着信息技术的发展与大数据时代的到来,数据流通成为释放数据红利与价值的主要手段和途径。
在数据流通过程中,具有价值的数据,存在“内部泄漏、外部窃取”的内在驱动力,处于容易泄漏和滥用的高风险状态。为了数据面临的威胁,需要对数据进行有效的保护。
在先技术中,使用“文件保险箱”类技术对数据加密或解密,其中,“文件保险箱”对数据的保护方式参照图1,具体为:当用户需要对数据加密或解密时,如该数据为文件数据,当用户需要对该文件数据进行读取和修改时,将该文件数据拖入到“文件保险箱”内进行读取和修改,确保文件数据只能在“文件保险箱”中被读取与修改,防止文件数据被他人窥视或利用。
上述“文件保险箱”虽然在一定程度可以保护文件数据的安全,但是需用户手动将文件数据拖入到“文件保险箱”进行操作,影响用户体验,另一方面,当用户想要窥探对应文件数据时,就可以将该文件数据拖入到对应的“文件保险箱”获取数据,可见该技术依旧存在保密性较弱的问题。
发明内容
鉴于上述问题,本发明实施例提供一种基于文件虚拟盘的数据保护方法,以解决现有的“文件保险箱”存在的用户体验差,保密性弱的问题。
相应的,本发明实施例还提供了一种数据保护系统,用以保证上述方法的实现及应用。
为了解决上述问题,本发明实施例公开了一种基于文件虚拟盘的数据保护方法,包括:当接收到对预设数据的访问请求,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据;
接收对所述虚拟盘中的预设数据的编辑操作,并对编辑后的所述预设数据加密或解密。
可选地,所述当接收到对预设数据的访问请求,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据之前,还包括:
创建所述虚拟盘,并向所述虚拟盘设置配置策略信息。
可选地,所述当接收到对预设数据的访问请求,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据,包括:
当接收到对预设数据的访问请求,根据所述配置策略信息判断所述预设数据是否为受控文件;
当所述预设数据为受控文件时,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据。
可选地,所述接收对所述虚拟盘中的预设数据的编辑操作,并对编辑后的所述预设数据加密或解密,包括:
当所述编辑操作为写操作时,通过第一预设密钥,对用户针对所述虚拟盘中的预设数据的修改数据进行加密;
当所述编辑操作为读操作时,通过第二预设密钥,对所述虚拟盘中的预设数据的数据进行解密,以供用户读取。
可选地,所述创建所述虚拟盘,向所述虚拟盘设置配置策略信息之前,还包括:
验证用户的身份信息;
当所述身份信息成功,执行创建所述虚拟盘,向所述虚拟盘设置配置策略信息。
可选地,所述配置策略信息包括:预设类型或预设数据命名;所述根据所述配置策略信息判断所述预设数据是否为受控文件,包括:
当所述预设数据的类型符合预设类型,则确定所述预设数据为所述受控文件;
或
当所述预设数据的文件夹命名符合预设数据命名,则确定所述预设数据为所述受控文件。
可选地,还包括:
将所述保护后的预设数据存储在所述虚拟盘中。
本发明实施例还公开了一种基于文件虚拟盘的数据保护系统,包括:
重定向模块,用于当接收到对预设数据的访问请求,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据;
密钥模块,用于接收对所述虚拟盘中的预设数据的编辑操作,并对编辑后的所述预设数据加密或解密。
可选地,还包括:
创建模块,用于创建所述虚拟盘,并向所述虚拟盘设置配置策略信息。
可选地,所述重定向模块,包括:
判断单元,用于当接收到对预设数据的访问请求,根据所述配置策略信息判断所述预设数据是否为受控文件;
重定向单元,用于当所述预设数据为受控文件时,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据。
可选地,所述密钥模块,包括:
加密单元,用于当所述编辑操作为写操作时,通过第一预设密钥,对用户针对所述预设数据的修改数据进行加密;
解密单元,用于当所述编辑操作为读操作时,通过第二预设密钥,对所述虚拟盘中的预设数据的数据进行解密,以供用户读取。
可选地,还包括:
验证模块,用于验证用户的身份信息;
执行模块,用于当所述身份信息成功,执行创建所述虚拟盘,向所述虚拟盘设置配置策略信息。
可选地,所述配置策略信息包括:预设类型或预设数据命名;
所述判断单元,具体用于当所述预设数据的类型符合预设类型,则确定所述预设数据为所述受控文件;
或
当所述预设数据的文件夹命名符合预设数据命名,则确定所述预设数据为所述受控文件。
可选地,还包括:
存储模块,用于将所述保护后的预设数据存储在所述虚拟盘中。
本发明实施例包括以下优点:
首先,当接收到对预设数据的访问请求,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据;接收对所述虚拟盘中的预设数据的编辑操作,并对编辑后的所述预设数据加密或解密。本发明实施例能够在接收到用户对预设数据的访问请求后,将预设数据直接映射到虚拟盘中,然后在虚拟盘中进行编辑操作,并不需要用户手动将该数据拖入至对应的保护位置中加密或解密操作,提高了用户体验,并且能够在虚拟盘中对预设数据加密或解密,其中,虚拟盘的数据并不向外部显示,因此可以保证虚拟盘中的预设数据不会泄露,提高了数据的安全性。
附图说明
图1是现有技术的一种数据保护方法的步骤流程图;
图2是本发明实施例一的一种基于文件虚拟盘的数据保护方法的步骤流程图;
图3是本发明实施例二的另一种基于文件虚拟盘的数据保护方法的步骤流程图;
图4是本发明实施例二的一种基于文件虚拟盘的数据保护方法在系统中的实施;
图5是本发明实施例二的一种基于文件虚拟盘的数据保护方法在系统执行流程;
图6是本发明的实施例三的一种基于文件虚拟盘的数据保护系统的结构框图;
图7是本发明的实施例三的另一种基于文件虚拟盘的数据保护系统的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明实施例的核心构思之一在于,将预设数据映射到虚拟盘中,同时,使用重定向技术,当对预设数据进行访问时,将访问重定向到预设数据映射到的虚拟盘上,并未虚拟盘上的预设数据在实际保存时,是通过虚拟盘中的加密模块将预设数据加密保存在与虚拟盘中。
实施例一
参照图2,示出了本发明的一种基于文件虚拟盘的数据保护方法的步骤流程图,具体可以包括如下步骤:
步骤101,当接收到对预设数据的访问请求,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据;
在本发明实施例中,当预设数据按照数据内容分类时,则预设数据包括:即时通讯数据、电子邮件数据、专业数据、应用程序数据中的一种;其中,专业数据包括:企业财务数据、分析报告和设计文件中的一种。当预设数据按照文档类型分类时,则预设数据包括:Word数据、Excel数据、PDF数据、XLS数据、PPT数据等。
在具体实现中,用户可以通过预设指令发送对预设数据的访问请求,例如用户可以通过双击鼠标,选择需要访问的预设数据。
在本发明实施例中,预设数据最初是存储在硬盘对应的分区中,该分区可以对外显示,用户可以在显示界面查看到该预设数据对应的图标,当用户对该图标进行双击时,即发送对该预设数据的访问请求,终端接收到对预设数据的访问请求后,终端将该预设数据映射到虚拟盘中,则虚拟盘中具有与预设数据相同的数据,并将访问请求重定向至虚拟盘中的预设数据,用户实际上访问的是虚拟盘中的预设数据,本发明实施例通过重定向改变了用户的访问路径,由访问硬盘可以对外显示的分区重定向至访问虚拟盘。
其中,本发明实施例所述的虚拟盘是指在硬盘上新扩展出的一个逻辑驱动器,用于存储预设数据映射后的数据,该虚拟盘并不对外进行显示。虚拟盘也可以是指内存上新扩展出的一个分区,用于存储预设数据映射后的数据。
在具体实现中,可以为每个需要保护的预设数据在硬盘上新扩展出一个逻辑驱动器用于映射预设数据,也可以在一个新扩展出的逻辑驱动器上存储多个预设数据映射的数据。
在本发明实施例中,是使用微软的微过滤框架(Minifilter),开发文件微过滤驱动,在内核层实现预设数据的映射,将预设数据映射到虚拟盘中的技术,开发出一个新的逻辑驱动器,实现将预设数据映射至逻辑驱动器,使底层数据操作实现加密存储。
其中,将预设数据映射到内存中的虚拟盘是通过“内存映射文件”技术实现;内存映射文件技术具体是由一个文件到一块内存的映射。Win32提供了允许应用程序把文件映射到一个进程的函数(CreateFileMapping)。内存映射文件与虚拟内存有些类似,通过内存映射文件可以保留一个地址空间的区域,同时将物理存储器提交给此区域,内存文件映射的物理存储器来自一个已经存在于磁盘上的文件,而且在对该文件进行操作之前必须首先对文件进行映射。使用内存映射文件处理存储于磁盘上的文件时,将不必再对文件执行I/O操作,这意味着在对文件进行处理时将不必再为文件数据申请并分配缓存,所有的文件数据的缓存操作均由系统直接管理,由于取消了将文件数据加载到内存、数据从内存到文件数据的回写以及释放内存块等步骤,使得内存映射文件在处理大数据量的文件时能起到相当重要的作用。另外,实际工程中的系统往往需要在多个进程之间共享数据,如果数据量小,处理方法是灵活多变的,如果共享数据容量巨大,那么就需要借助于内存映射文件来进行。
步骤102,接收对所述虚拟盘中的预设数据的编辑操作,并对编辑后的所述预设数据加密或解密。
在本发明实施例中,当访问请求重定向至虚拟盘中的预设数据,则用户对显示界面上预设数据的编辑操作也是重定向至虚拟盘中的预设数据进行编辑操作的。
在本发明实施例中,编辑操作具体包括:读写操作;用户可以在桌面上对虚拟盘中预设数据进行修改、读取。
在底层实现中,预设数据的编辑操作被传递到系统内核进行处理,内核处理完成后,将编辑操作下发到虚拟盘中,虚拟盘接收到编辑操作后,针对编辑操作具体的操作,调用对应的加解密单元,对预设数据进行加解密操作。具体的,当用户对预设数据进行修改操作时,针对该修改操作对修改的数据进行加密,当用户需对预设数据进行读取操作时,对预设数据进行解密以供用户读取。
在本发明实施例中,所述对编辑后的所述预设数据加密或解密包括:对编辑后的所述预设数据进行加密操作或解密操作。
在具体实现中,通过调用加解密算法库中的算法对预设数据进行加密操作或解密操作;其中,加解密算法库包括:国密算法库和通用算法库;国密算法库包括:国密SM1、国密SM2和国密SM3;通用算法库包括:暴风算法(BF算法)、深度优先搜索(DES)、三重数据加密算法(3DES)、高级加密标准(AES)。
综上所述,在本发明实施例中,当接收到对预设数据的访问请求,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据;接收对所述虚拟盘中的预设数据的编辑操作,并对编辑后的所述预设数据加密或解密。本发明实施例能够在接收到用户对预设数据的访问请求后,将预设数据直接映射到虚拟盘中,然后在虚拟盘中进行编辑操作,并不需要用户手动将该数据拖入至对应的保护位置中加密或解密操作,提高了用户体验,并且能够在虚拟盘中对预设数据加密或解密,其中,虚拟盘的数据并不向外部显示,因此可以保证虚拟盘中的预设数据不会泄露,提高了数据的安全性。
实施例二
参照图3,示出了本发明实施例二的另一种基于文件虚拟盘的数据保护方法的步骤流程图,具体可以包括如下步骤:
步骤201,验证用户的身份信息。
在本发明实施例中,用户在打开系统后,如需保护预设数据或者读取预设数据,需要登录本发明实施例的保护系统,在通过身份验证通过后,才能执行对预设数据的保护。
例如,当终端C盘中存储Word文件,用户想要对该Word文件进行编辑,但是想对编辑后的Word文件加密或解密,则用户需通过验证身份信息登录本发明的保护系统;在成功登录本发明的保护系统后,才能执行步骤202。
当用户需要对之前保护在虚拟盘的数据进行读取时,同样需要通过验证身份信息登录本发明的保护系统,在成功登录本发明的保护系统后,才能读取之前在虚拟盘保护的数据。
在具体实现中,用户可通过账号密码、手机号码或者指纹等方式进行身份信息验证,在此不加以限定。
步骤202,当所述身份信息成功,创建所述虚拟盘,并向所述虚拟盘设置配置策略信息。
在本发明实施例中,当硬盘中没有对应的虚拟盘时,则创建一新的虚拟盘,当硬盘中具有虚拟盘时,则打开对应的虚拟盘。
其中,所述配置策略信息包括:预设类型或预设数据命名;所述根据所述配置策略信息判断所述预设数据是否为受控文件,包括:当所述预设数据的类型符合预设类型,则确定所述预设数据为所述受控文件;或,当所述预设数据的文件夹命名符合预设数据命名,则确定所述预设数据为所述受控文件。
具体的,当预设数据按照数据内容分类时,则预设类型包括:即时通讯数据类型、电子邮件数据类型、专业数据类型、应用程序数据类型中的一种;其中,专业数据包括:企业财务数据、分析报告和设计文件中的一种。当预设数据按照文档类型分类时,则预设数据包括:Word数据类、Excel数据类、PDF数据类、XLS数据类、PPT数据类等。
预设数据命名包括:预设数据所在的文件的命名;如Word文件的命名、Excel文件的命名等。
在本发明实施例中,配置策略信息还可以是其他用户确定预设数据内容的信息。
在具体实现中,在硬盘中可以设置多个虚拟盘,每个虚拟盘都有自己的配置策略信息,配置策略信息用于确定该虚拟盘中允许映射的虚拟数据的类型。如,当虚拟盘A的配置策略信息为:即时通讯数据类型,则虚拟盘A中只允许映射即时通讯数据。当虚拟盘B的配置策略信息为:专业数据类型,则虚拟盘B中只允许映射专业数据类型。
在本发明实施例中,通过对虚拟盘设置配置策略信息,能够清楚的对用户需保护的预设数据进行分类,分区进行映射存储。
步骤203,当接收到对预设数据的访问请求,根据所述配置策略信息判断所述预设数据是否为受控文件。
在本发明实施例中,当预设数据的类型符合配置策略信息,则确定该预设数据为受控文件;如,当虚拟盘A的配置策略信息为即时通讯数据类型,当预设数据为即时通讯数据,则该预设数据为受控文件;当虚拟盘B的配置策略信息为:专业数据类型,当预设数据为专业数据类型,则该预设数据为受控文件。
在本发明实施例中,通过识别预设数据的文件命名识别预设数据的类型,或者通过数据预设数据的文档类型识别预设数据的类型。
步骤204,当所述预设数据为受控文件时,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据。
在本发明实施例中,当预设数据为受控文件,即为用户需要保护的数据时,将预设数据映射至对应的虚拟盘中,并将访问请求重定向至所述虚拟盘中的预设数据。
在本发明实施例中,预设数据最初是存储在硬盘对应的分区中,该分区可以对外显示,用户可以在显示界面查看到该预设数据对应的图标,当用户对该图标进行双击时,即发送对该预设数据的访问请求,终端接收到对预设数据的访问请求后,终端将该预设数据映射到虚拟盘中,则虚拟盘中具有与预设数据相同的数据,并将访问请求重定向至虚拟盘中的预设数据,用户实际上访问的是虚拟盘中的预设数据,本发明实施例通过重定向改变了用户的访问路径,由访问硬盘可以对外显示的分区重定向至访问虚拟盘。
步骤205,当所述编辑操作为写操作时,通过第一预设密钥,对用户针对所述虚拟盘中的预设数据的修改数据进行加密;当所述编辑操作为读操作时,通过第二预设密钥,对所述虚拟盘中的预设数据的数据进行解密,以供用户读取。
在具体实现中,当用户对预设数据进行写操作时,底层对用户的写操作通过第一预设密钥进行加密。
其中,写操作包括:删除操作、添加内容操作,格式修改操作等。当用户对预设数据增加数据内容时,对增加的数据内容进行加密处理,当用户对预设数据中的部分内容进行删除时,将删除的内容进行加密处理;当用户对数据的格式进行修改时,对修改的格式进行加密处理。
在具体实现中,当用户对预设数据进行读操作时,底层对预设数据通过第二预设密钥进行解密,供用户进行读取。
在本发明实施例中,第一预设密钥和第二预设密钥来自于加解密算法库;其中,加解密算法库包括:国密算法库和通用算法库。
在本发明实施例中,通过加密操作可以对用户修改的数据进行加密,实现数据的保密。
步骤206,将所述保护后的预设数据存储在所述虚拟盘中。
在本发明实施例中,用户通过本发明实施例的保护系统登录后,在本地磁盘中打开预设数据,当该预设数据为受控文件后,将该预设数据映射至虚拟盘中,在虚拟盘中对映射的预设数据进行写或读操作,在写或读操作后,将该写或读操作后预设数据保存在虚拟盘中,当用户下次需要访问该预设数据时,只能通过登录保护系统,在相应的磁盘中点击预设数据,映射到相应的虚拟盘中进行访问,用户无法通过本地磁盘读取受保护的预设数据,并且虚拟盘中受保护的数据无法在显示界面上进行显示,窃取者无法通过浏览终端的显示界面获取到预设数据,只能通过登录本发明实施例的保护系统,在对应的虚拟盘中才能获得预设数据。
例如,Word文件A原本存储在计算机中的D盘中,用户登录本发明实施例中的保护系统,经过身份验证后,用户在显示界面上双击Word文件A的标识,发送对应的访问请求,本发明实施例中的保护系统在虚拟盘中映射该Word文件A,并拦截该访问请求,将该访问请求重定向至虚拟盘中映射的Word文件A,用户在打开Word文件A后,继续在显示界面上对Word文件A进行编辑操作,该编辑操作也被重定向至虚拟盘中的Word文件A,用户实际上编辑操作的是虚拟盘中Word文件A,用户的编辑操作的数据在虚拟盘中进行了加密,最后用户在显示界面上点击保存,可以将编辑操作后的Word文件A保存至虚拟盘中。当用户下次需要读取或者再次编辑上次保存后的Word文件A时,用户需要再次在登录本发明实施例中的保护系统,然后点击D盘中的Word文件A对应的标识,再次经过重定向才能在对应的虚拟盘中对Word文件A进行解密后进行读取,如果用户不登录本发明实施例中的保护系统,只在D盘点击Word文件A,由于D盘无法对Word文件A进行解密,因此,无法读取Word文件A。
在本发明实施例中,每个虚拟盘都有自己对应的密钥,对在虚拟盘中的编辑的数据进行加密或者解密。因此,在虚拟盘中进行加密的数据,也只能在相同的虚拟盘中进行解密打开。
在本发明实施例中,在将预设数据存储在虚拟盘进行保护后,可以在硬盘中保留原来预设数据对应的图标,以供下次进行访问时映射到对应的虚拟盘中进行访问;还可以将本地磁盘中的原预设数据删除,用户可以通过登录本发明实施例的保护系统访问虚拟盘,以使其他用户无法在显示界面上获悉存在该预设数据对应的文件图标,提高了预设数据的安全性。
在本发明实施例中,将编辑后的预设数据保存至虚拟盘中,可以保证即使硬盘丢失,虚拟盘中预设数据也不会泄密,脱离本发明实施例的保护系统,是无法获得虚拟盘中存储的数据的。
参照图4,在本发明实施例中,在系统中执行基于文件虚拟盘的数据保护方法主要分为配置管理层、重定向层和核心安全层;其中,在配置管理层中包括:文件虚拟盘管理、资源管理层及软件操作、策略信息配置;文件虚拟盘管理用于管理虚拟盘,具体用于在硬盘中分区出虚拟盘,虚拟盘的命名等;策略信息配置是用于给虚拟盘进行相应的策略信息的配置;资源管理器即软件操作具有是指对预设数据的管理,包括预设数据的打开、修改、保存等操作。
在重定向层中包括:配置接收模块和文件重定向服务;其中,配置接收模块用于根据策略信息的配置,识别相应的预设数据,文件重定向服务根据配置接收模块识别的预设数据确定是否对预设数据进行映射及相应的操作的重定向。
核心安全层包括:文件虚拟盘服务、加解密引擎、密钥管理和算法库支持。其中,核心安全层用于对虚拟盘中的数据进行相应的加密和解密。
参照图5,示出了本发明实施例中的一种系统执行流程,其中,明文是指没有进行加密的数据,即在应用程序读写数据、内核数据过滤驱动框架打开文件、内核系统I/O访问数据均是可看到的;密文是指经过加密的数据,即在虚拟盘进行I/O访问数据均是通过加密的,需进行解密才能看到。
本发明实施例所述的数据包括:所述文件。
综上所述,在本发明实施例中,当接收到对预设数据的访问请求,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据;接收对所述虚拟盘中的预设数据的编辑操作,并对编辑后的所述预设数据加密或解密。本发明实施例能够在接收到用户对预设数据的访问请求后,将预设数据直接映射到虚拟盘中,然后在虚拟盘中进行编辑操作,并不需要用户手动将该数据拖入至对应的保护位置中加密或解密操作,提高了用户体验,并且能够在虚拟盘中对预设数据加密或解密,其中,虚拟盘的数据并不向外部显示,因此可以保证虚拟盘中的预设数据不会泄露,提高了数据的安全性。
实施例三
参照图6,示出了本发明实施例三的一种基于文件虚拟盘的数据保护系统的结构框图,所述基于文件虚拟盘的数据保护系统300具体可以包括:
重定向模块301,用于当接收到对预设数据的访问请求,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据。
在本发明实施例中,当预设数据按照数据内容分类时,则预设数据包括:即时通讯数据、电子邮件数据、专业数据、应用程序数据中的一种;其中,专业数据包括:企业财务数据、分析报告和设计文件中的一种。当预设数据按照文档类型分类时,则预设数据包括:Word数据、Excel数据、PDF数据、XLS数据、PPT数据等。
在具体实现中,用户可以通过预设指令发送对预设数据的访问请求,例如用户可以通过双击鼠标,选择需要访问的预设数据。
在本发明实施例中,预设数据最初是存储在硬盘对应的分区中,该分区可以对外显示,用户可以在显示界面查看到该预设数据对应的图标,当用户对该图标进行双击时,即发送对该预设数据的访问请求,终端接收到对预设数据的访问请求后,终端将该预设数据映射到虚拟盘中,则虚拟盘中具有与预设数据相同的数据,并将访问请求重定向至虚拟盘中的预设数据,用户实际上访问的是虚拟盘中的预设数据,本发明实施例通过重定向改变了用户的访问路径,由访问硬盘可以对外显示的分区重定向至访问虚拟盘。
密钥模块302,用于接收对所述虚拟盘中的预设数据的编辑操作,并对编辑后的所述预设数据加密或解密。
在本发明实施例中,编辑操作具体包括:读写操作;用户可以在桌面上对虚拟盘中预设数据进行修改、读取。
可选的,在图6的基础上,参照图7,示出了另一种基于文件虚拟盘的数据保护系统300,是图6中的基于文件虚拟盘的数据保护系统的优选实施例。所述系统包括:
创建模块303,用于创建所述虚拟盘,并向所述虚拟盘设置配置策略信息。
其中,所述配置策略信息包括:预设类型或预设数据命名;所述根据所述配置策略信息判断所述预设数据是否为受控文件,包括:当所述预设数据的类型符合预设类型,则确定所述预设数据为所述受控文件;或,当所述预设数据的文件夹命名符合预设数据命名,则确定所述预设数据为所述受控文件。
所述重定向模块301,包括:
判断单元3011,用于当接收到对预设数据的访问请求,根据所述配置策略信息判断所述预设数据是否为受控文件;
重定向单元3012,用于当所述预设数据为受控文件时,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据。
所述密钥模块302,包括:
加密单元3021,用于当所述编辑操作为写操作时,通过第一预设密钥,对用户针对所述预设数据的修改数据进行加密;
解密单元3022,用于当所述编辑操作为读操作时,通过第二预设密钥,对所述虚拟盘中的预设数据的数据进行解密,以供用户读取。
验证模块304,用于验证用户的身份信息;
执行模块305,用于当所述身份信息成功,执行创建所述虚拟盘,向所述虚拟盘设置配置策略信息。
在本发明实施例中,用户在打开系统后,如需保护预设数据或者读取预设数据,需要登录本发明实施例的保护系统,在通过身份验证通过后,才能执行对预设数据的保护。
其中,所述配置策略信息包括:预设类型或预设数据命名;
所述判断单元3011,具体用于当所述预设数据的类型符合预设类型,则确定所述预设数据为所述受控文件;
或
当所述预设数据的文件夹命名符合预设数据命名,则确定所述预设数据为所述受控文件。
还包括:
存储模块306,用于将所述保护后的预设数据存储在所述虚拟盘中。
在本发明实施例中,用户通过本发明实施例的保护系统登录后,在本地磁盘中打开预设数据,当该预设数据为受控文件后,将该预设数据映射至虚拟盘中,在虚拟盘中对映射的预设数据进行写或读操作,在写或读操作后,将该写或读操作后预设数据保存在虚拟盘中,当用户下次需要访问该预设数据时,只能通过登录保护系统进行访问,用户无法通过本地磁盘读取受保护的预设数据,并且虚拟盘中受保护的数据无法在显示界面上进行显示,窃取者无法通过浏览终端的显示界面获知文件的存在,只能通过登录本发明实施例的保护系统,在对应的虚拟盘中才能获得预设数据。
综上所述,在本发明实施例中,当接收到对预设数据的访问请求,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据;本发明实施例能够在接收到用户对预设数据的访问请求后,将预设数据直接映射到虚拟盘中,然后在虚拟盘中进行访问,并不需要用户手动将该数据拖入至对应的保护位置中,提高了用户体验。其次,本发明实施例接收对所述虚拟盘中的预设数据的编辑操作,并对编辑后的所述预设数据加密或解密;能够在虚拟盘中对预设数据加密或解密,其中,虚拟盘的数据并不向外部显示,因此可以保证虚拟盘中的预设数据不会泄露。
对于系统实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、系统、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令系统的制造品,该指令系统实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种基于文件虚拟盘的数据保护方法及系统,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (14)
1.一种基于文件虚拟盘的数据保护方法,其特征在于,所述方法包括:
当接收到对预设数据的访问请求,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据;
接收对所述虚拟盘中的预设数据的编辑操作,并对编辑后的所述预设数据加密或解密。
2.根据权利要求1所述的方法,其特征在于,所述当接收到对预设数据的访问请求,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据之前,还包括:
创建所述虚拟盘,并向所述虚拟盘设置配置策略信息。
3.根据权利要求2所述的方法,其特征在于,所述当接收到对预设数据的访问请求,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据,包括:
当接收到对预设数据的访问请求,根据所述配置策略信息判断所述预设数据是否为受控文件;
当所述预设数据为受控文件时,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据。
4.根据权利要求1所述的方法,其特征在于,所述接收对所述虚拟盘中的预设数据的编辑操作,并对编辑后的所述预设数据加密或解密,包括:
当所述编辑操作为写操作时,通过第一预设密钥,对用户针对所述虚拟盘中的预设数据的修改数据进行加密;
当所述编辑操作为读操作时,通过第二预设密钥,对所述虚拟盘中的预设数据的数据进行解密,以供用户读取。
5.根据权利要求1所述的方法,其特征在于,所述创建所述虚拟盘,向所述虚拟盘设置配置策略信息之前,还包括:
验证用户的身份信息;
当所述身份信息成功,执行创建所述虚拟盘,向所述虚拟盘设置配置策略信息。
6.根据权利要求2所述的方法,其特征在于,所述配置策略信息包括:预设类型或预设数据命名;所述根据所述配置策略信息判断所述预设数据是否为受控文件,包括:
当所述预设数据的类型符合预设类型,则确定所述预设数据为所述受控文件;
或
当所述预设数据的文件夹命名符合预设数据命名,则确定所述预设数据为所述受控文件。
7.根据权利要求1所述的方法,其特征在于,还包括:
将所述保护后的预设数据存储在所述虚拟盘中。
8.一种基于文件虚拟盘的数据保护系统,其特征在于,所述系统包括:
重定向模块,用于当接收到对预设数据的访问请求,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据;
密钥模块,用于接收对所述虚拟盘中的预设数据的编辑操作,并对编辑后的所述预设数据加密或解密。
9.根据权利要求8所述的系统,其特征在于,还包括:
创建模块,用于创建所述虚拟盘,并向所述虚拟盘设置配置策略信息。
10.根据权利要求9所述的系统,其特征在于,所述重定向模块,包括:
判断单元,用于当接收到对预设数据的访问请求,根据所述配置策略信息判断所述预设数据是否为受控文件;
重定向单元,用于当所述预设数据为受控文件时,将所述预设数据映射至虚拟盘中,并将所述访问请求重定向至所述虚拟盘中的预设数据。
11.根据权利要求8所述的系统,其特征在于,所述密钥模块,包括:
加密单元,用于当所述编辑操作为写操作时,通过第一预设密钥,对用户针对所述预设数据的修改数据进行加密;
解密单元,用于当所述编辑操作为读操作时,通过第二预设密钥,对所述虚拟盘中的预设数据的数据进行解密,以供用户读取。
12.根据权利要求8所述的系统,其特征在于,还包括:
验证模块,用于验证用户的身份信息;
执行模块,用于当所述身份信息成功,执行创建所述虚拟盘,向所述虚拟盘设置配置策略信息。
13.根据权利要求9所述的系统,其特征在于,所述配置策略信息包括:预设类型或预设数据命名;
所述判断单元,具体用于当所述预设数据的类型符合预设类型,则确定所述预设数据为所述受控文件;
或
当所述预设数据的文件夹命名符合预设数据命名,则确定所述预设数据为所述受控文件。
14.根据权利要求8所述的系统,其特征在于,还包括:
存储模块,用于将所述保护后的预设数据存储在所述虚拟盘中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910431495.6A CN110134339A (zh) | 2019-05-22 | 2019-05-22 | 一种基于文件虚拟盘的数据保护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910431495.6A CN110134339A (zh) | 2019-05-22 | 2019-05-22 | 一种基于文件虚拟盘的数据保护方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110134339A true CN110134339A (zh) | 2019-08-16 |
Family
ID=67572436
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910431495.6A Pending CN110134339A (zh) | 2019-05-22 | 2019-05-22 | 一种基于文件虚拟盘的数据保护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110134339A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110413567A (zh) * | 2019-07-07 | 2019-11-05 | 上海鸿翼软件技术股份有限公司 | 一种基于文件过滤驱动的虚拟网盘技术装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101334823A (zh) * | 2008-07-17 | 2008-12-31 | 华为技术有限公司 | 一种对文件虚拟化处理方法及装置 |
| CN102025492A (zh) * | 2009-09-10 | 2011-04-20 | 联想(北京)有限公司 | 一种web服务器及其数据保护方法 |
| CN102902914A (zh) * | 2012-09-05 | 2013-01-30 | 福建伊时代信息科技股份有限公司 | 一种实现终端无痕的方法及装置 |
| CN103778384A (zh) * | 2014-02-24 | 2014-05-07 | 北京明朝万达科技有限公司 | 一种基于身份认证的虚拟终端安全环境的保护方法及系统 |
| CN104881616A (zh) * | 2015-06-29 | 2015-09-02 | 北京金山安全软件有限公司 | 一种基于应用程序的隐私信息存储方法及装置 |
| CN107092836A (zh) * | 2017-03-29 | 2017-08-25 | 北京洋浦伟业科技发展有限公司 | 一种基于系统加密的数据保护方法与装置 |
-
2019
- 2019-05-22 CN CN201910431495.6A patent/CN110134339A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101334823A (zh) * | 2008-07-17 | 2008-12-31 | 华为技术有限公司 | 一种对文件虚拟化处理方法及装置 |
| CN102025492A (zh) * | 2009-09-10 | 2011-04-20 | 联想(北京)有限公司 | 一种web服务器及其数据保护方法 |
| CN102902914A (zh) * | 2012-09-05 | 2013-01-30 | 福建伊时代信息科技股份有限公司 | 一种实现终端无痕的方法及装置 |
| CN103778384A (zh) * | 2014-02-24 | 2014-05-07 | 北京明朝万达科技有限公司 | 一种基于身份认证的虚拟终端安全环境的保护方法及系统 |
| CN104881616A (zh) * | 2015-06-29 | 2015-09-02 | 北京金山安全软件有限公司 | 一种基于应用程序的隐私信息存储方法及装置 |
| CN107092836A (zh) * | 2017-03-29 | 2017-08-25 | 北京洋浦伟业科技发展有限公司 | 一种基于系统加密的数据保护方法与装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110413567A (zh) * | 2019-07-07 | 2019-11-05 | 上海鸿翼软件技术股份有限公司 | 一种基于文件过滤驱动的虚拟网盘技术装置 |
| CN110413567B (zh) * | 2019-07-07 | 2020-12-22 | 上海鸿翼软件技术股份有限公司 | 一种基于文件过滤驱动的虚拟网盘技术装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11528142B2 (en) | Methods, systems and computer program products for data protection by policing processes accessing encrypted data | |
| US7210043B2 (en) | Trusted computer system | |
| US20220006617A1 (en) | Method and apparatus for data storage and verification | |
| EP2106597B1 (en) | Cryptographic key containers on a usb token | |
| KR101613146B1 (ko) | 데이터베이스 암호화 방법 | |
| US20140108755A1 (en) | Mobile data loss prevention system and method using file system virtualization | |
| EP3525127B1 (en) | System for blocking phishing or ransomware attack | |
| KR20060045000A (ko) | 파일 락커 및 파일 락커를 제공하고 사용하기 위한메커니즘 | |
| WO2007008806A2 (en) | Secure clipboard function | |
| CN101853363A (zh) | 一种文件保护方法及系统 | |
| KR20080065661A (ko) | 파일 시스템으로의 접근을 제어하기 위한 방법, 파일시스템에 사용하기 위한 관련 시스템, sim 카드 및컴퓨터 프로그램 제품 | |
| JP7445358B2 (ja) | セキュア・インタフェース・コントロールのためのセキュア実行ゲスト所有者コントロール | |
| CN108509802A (zh) | 一种应用程序数据防泄密方法和装置 | |
| TW202038114A (zh) | 將安全客體之安全金鑰繫結至硬體安全模組 | |
| CN115329389B (zh) | 一种基于数据沙箱的文件保护系统及方法 | |
| CN106682521B (zh) | 基于驱动层的文件透明加解密系统及方法 | |
| WO2024045407A1 (zh) | 虚拟磁盘安全存储方法 | |
| JP3976738B2 (ja) | 機密文書管理装置、機密文書管理方法および機密文書管理プログラム | |
| US9697372B2 (en) | Methods and apparatuses for securing tethered data | |
| CN110134339A (zh) | 一种基于文件虚拟盘的数据保护方法及系统 | |
| CN104866761B (zh) | 一种高安全性安卓智能终端 | |
| KR101469803B1 (ko) | 데이터 보안장치, 이를 구비하는 단말기 및 데이터 보안 방법과 컴퓨터로 읽을 수 있는 기록매체 | |
| CN108984114A (zh) | 数据处理方法和固态硬盘 | |
| CN115470525B (zh) | 一种文件保护方法、系统、计算设备及存储介质 | |
| CN113626149A (zh) | 一种基于终端虚拟化的商业秘密保护方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190816 |