CN112114922A - 一种桌面安全隔离系统及方法 - Google Patents

一种桌面安全隔离系统及方法 Download PDF

Info

Publication number
CN112114922A
CN112114922A CN202010966902.6A CN202010966902A CN112114922A CN 112114922 A CN112114922 A CN 112114922A CN 202010966902 A CN202010966902 A CN 202010966902A CN 112114922 A CN112114922 A CN 112114922A
Authority
CN
China
Prior art keywords
terminal
module
transmission file
receiving
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010966902.6A
Other languages
English (en)
Inventor
廉明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anhui Changtai Information Security Service Co ltd
Original Assignee
Anhui Changtai Information Security Service Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui Changtai Information Security Service Co ltd filed Critical Anhui Changtai Information Security Service Co ltd
Priority to CN202010966902.6A priority Critical patent/CN112114922A/zh
Publication of CN112114922A publication Critical patent/CN112114922A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/451Execution arrangements for user interfaces
    • G06F9/452Remote windowing, e.g. X-Window System, desktop virtualisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2133Verifying human interaction, e.g., Captcha

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Human Computer Interaction (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明涉及计算机云桌面管理,具体涉及一种桌面安全隔离系统及方法,包括服务器和终端,服务器与用于接收终端连接请求的连接请求接收模块相连,服务器与用于获取发送连接请求终端相关信息的数据获取模块相连,服务器与用于根据获取相关信息计算验证码的验证码计算模块相连,服务器与用于存储相关信息及对应验证码的数据存储模块相连;本发明提供的技术方案能够有效克服现有技术所存在的文件传输需要借助于第三方渠道、无法对终端与服务器之间的通信建立进行安全监管的缺陷。

Description

一种桌面安全隔离系统及方法
技术领域
本发明涉及计算机云桌面管理,具体涉及一种桌面安全隔离系统及方法。
背景技术
近年来,随着计算机软硬件的飞跃发展,云计算与大数据技术获得了极其广泛的应用,使人类的日常生活产生巨大变化。云桌面作为云计算的重要组成部分,在众多行业中获得实践应用,其较低的成本投入与使用便捷的特点大大降低了企业在计算机基础设施方面的运营成本,同时也给员工带来了极大便利,间接提高了工作效率。
作为一种可有效降低数据泄露几率的计算机软件系统,数据防泄露系统在云桌面环境的有效应用是目前DLP领域面临的重要挑战之一。其中,对文件外发操作的有效管控是数据防泄露系统的核心目标。
目前,数据防泄露系统普遍采用C/S部署模式,以终端为主、服务器端为辅的方式实现对部署环境的数据管控。服务器端仅具备终端管理、用户管理、策略管理与系统管理等普通管理功能,部署在主机上的数据防泄露终端是系统核心,包括外设管控、文件外发管控、网络流量管控、数据操作管控、进程管控等众多数据管控措施。
然而,现有的桌面安全隔离系统在终端之间的文件传输过程中,需要借助于第三方渠道,无法通过服务器直接进行传输,因而存在一定的安全隐患,并且无法对终端与服务器之间的通信建立进行有效安全监管。
发明内容
(一)解决的技术问题
针对现有技术所存在的上述缺点,本发明提供了一种桌面安全隔离系统及方法,能够有效克服现有技术所存在的文件传输需要借助于第三方渠道、无法对终端与服务器之间的通信建立进行安全监管的缺陷。
(二)技术方案
为实现以上目的,本发明通过以下技术方案予以实现:
一种桌面安全隔离系统,包括服务器和终端,所述服务器与用于接收终端连接请求的连接请求接收模块相连,所述服务器与用于获取发送连接请求终端相关信息的数据获取模块相连,所述服务器与用于根据获取相关信息计算验证码的验证码计算模块相连,所述服务器与用于存储相关信息及对应验证码的数据存储模块相连;
所述服务器与用于接收发送终端发送的传输文件、接收方标识信息以及接收终端发送的下载请求的数据接收模块相连,所述服务器与用于根据接收方标识信息向对应接收终端发送传输文件的数据发送模块相连,所述控制器与用于对数据接收模块接收的传输文件进行监控的数据监控模块相连,所述控制器与用于根据数据监控模块监控结果建立黑白名单的黑白名单建立模块相连;
所述终端与用于检测当前安全性能的安全性能检测模块相连,所述终端与用于根据安全性能检测结果创建隔离桌面的隔离桌面创建模块相连,所述终端与用于监控隔离桌面所有文件的操作行为的隔离桌面监控模块相连,所述终端与用于将存在操作行为的文件定向至源位置保存的文件定向保存模块相连,所述终端与用于创建操作行为日志的操作日志创建模块相连,所述终端与用于将存在操作行为的文件及其对应操作日志打包存储的数据打包存储模块相连。
优选地,所述数据获取模块获取到发送连接请求终端相关信息中包含验证码时,若所述连接请求接收模块从数据存储模块中存储的验证码中匹配到该验证码,且所述连接请求接收模块没有在黑名单中发匹配到该验证码时,所述连接请求接收模块直接建立服务器与该终端的通信。
优选地,所述数据获取模块获取到发送连接请求终端相关信息,包括:利用ARP协议查询到终端的MAC地址、验证码,以及终端发送连接请求时附带的地理位置信息。
优选地,所述验证码计算模块根据终端的MAC地址生成一串包含中文、英文和数字的唯一的验证码。
优选地,所述发送终端发送的传输文件中包含有传输文件访问权限等级,所述接收终端发送的下载请求中包含有终端安全等级、终端标识信息。
优选地,当所述数据发送模块完成接收方标识信息与终端标识信息的匹配,且所述数据发送模块判断终端安全等级高于传输文件访问权限等级时,所述数据发送模块将传输文件发送给匹配接收方标识信息的接收终端。
优选地,还包括与终端相连的用于通过公钥对传输文件进行加密的数据加密模块相连,以及与终端相连的用于通过私钥对加密后的传输文件进行解密的数据解密模块;
当公钥与私钥匹配时,所述接收终端通过私钥成功解密传输文件并进行访问。
优选地,所述数据监控模块对数据接收模块接收的传输文件进行监控,当发现传输文件中存在安全威胁时,所述黑白名单建立模块将发送该传输文件的发送终端拉入黑名单中。
一种桌面安全隔离方法,包括以下步骤:
S1、接收终端发送的连接请求,获取发送连接请求终端的相关信息,根据相关信息的匹配结果建立与服务器之间的通信;
S2、服务器接收发送终端发送的传输文件、接收方标识信息以及接收终端发送的下载请求,服务器将传输文件发送给匹配接收方标识信息的接收终端;
S3、对传输文件进行监控,当发现传输文件中存在安全威胁时,将发送该传输文件的发送终端拉入黑名单中;
S4、检测终端当前的安全性能,当安全性能满足要求时,在终端上创建隔离桌面;
S5、监控隔离桌面所有文件的操作行为,将存在操作行为的文件定向至源位置保存,并创建操作行为日志。
(三)有益效果
与现有技术相比,本发明所提供的一种桌面安全隔离系统及方法,能够借助数据接收模块、数据发送模块完成终端之间的文件传输,并且能够通过数据监控模块对传输文件进行监控,防止终端通过传输文件对系统进行攻击;数据获取模块获取到发送连接请求终端相关信息中包含验证码时,连接请求接收模块从数据存储模块中存储的验证码中匹配到该验证码,且连接请求接收模块没有在黑名单中发匹配到该验证码时,连接请求接收模块直接建立服务器与该终端的通信,实现对终端与服务器之间的通信建立进行安全监管。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明系统示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种桌面安全隔离系统,如图1所示,包括服务器和终端,服务器与用于接收终端连接请求的连接请求接收模块相连,服务器与用于获取发送连接请求终端相关信息的数据获取模块相连,服务器与用于根据获取相关信息计算验证码的验证码计算模块相连,服务器与用于存储相关信息及对应验证码的数据存储模块相连。
数据获取模块获取到发送连接请求终端相关信息中包含验证码时,若连接请求接收模块从数据存储模块中存储的验证码中匹配到该验证码,且连接请求接收模块没有在黑名单中发匹配到该验证码时,连接请求接收模块直接建立服务器与该终端的通信。
数据获取模块获取到发送连接请求终端相关信息,包括:利用ARP协议查询到终端的MAC地址、验证码,以及终端发送连接请求时附带的地理位置信息。
若数据获取模块没有从相关信息中获取到验证码时,说明该终端首次发出对服务器的连接请求,验证码计算模块根据终端的MAC地址生成一串包含中文、英文和数字的唯一的验证码,数据存储模块对该验证码进行存储,同时连接请求接收模块建立服务器与该终端的通信。
服务器与用于接收发送终端发送的传输文件、接收方标识信息以及接收终端发送的下载请求的数据接收模块相连,服务器与用于根据接收方标识信息向对应接收终端发送传输文件的数据发送模块相连,控制器与用于对数据接收模块接收的传输文件进行监控的数据监控模块相连,控制器与用于根据数据监控模块监控结果建立黑白名单的黑白名单建立模块相连。
发送终端发送的传输文件中包含有传输文件访问权限等级,接收终端发送的下载请求中包含有终端安全等级、终端标识信息。
当数据发送模块完成接收方标识信息与终端标识信息的匹配,且数据发送模块判断终端安全等级高于传输文件访问权限等级时,数据发送模块将传输文件发送给匹配接收方标识信息的接收终端。
还包括与终端相连的用于通过公钥对传输文件进行加密的数据加密模块相连,以及与终端相连的用于通过私钥对加密后的传输文件进行解密的数据解密模块。
当公钥与私钥匹配时,接收终端通过私钥成功解密传输文件并进行访问。防止其他终端伪装成接收终端访问传输文件,即便其他终端接收到传输文件,也无法对公钥加密后的传输文件进行解密。
数据监控模块对数据接收模块接收的传输文件进行监控,当发现传输文件中存在安全威胁时,黑白名单建立模块将发送该传输文件的发送终端拉入黑名单中。
终端与用于检测当前安全性能的安全性能检测模块相连,终端与用于根据安全性能检测结果创建隔离桌面的隔离桌面创建模块相连,终端与用于监控隔离桌面所有文件的操作行为的隔离桌面监控模块相连,终端与用于将存在操作行为的文件定向至源位置保存的文件定向保存模块相连,终端与用于创建操作行为日志的操作日志创建模块相连,终端与用于将存在操作行为的文件及其对应操作日志打包存储的数据打包存储模块相连。
一种桌面安全隔离方法,包括以下步骤:
S1、接收终端发送的连接请求,获取发送连接请求终端的相关信息,根据相关信息的匹配结果建立与服务器之间的通信;
S2、服务器接收发送终端发送的传输文件、接收方标识信息以及接收终端发送的下载请求,服务器将传输文件发送给匹配接收方标识信息的接收终端;
S3、对传输文件进行监控,当发现传输文件中存在安全威胁时,将发送该传输文件的发送终端拉入黑名单中;
S4、检测终端当前的安全性能,当安全性能满足要求时,在终端上创建隔离桌面;
S5、监控隔离桌面所有文件的操作行为,将存在操作行为的文件定向至源位置保存,并创建操作行为日志。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不会使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (9)

1.一种桌面安全隔离系统,其特征在于:包括服务器和终端,所述服务器与用于接收终端连接请求的连接请求接收模块相连,所述服务器与用于获取发送连接请求终端相关信息的数据获取模块相连,所述服务器与用于根据获取相关信息计算验证码的验证码计算模块相连,所述服务器与用于存储相关信息及对应验证码的数据存储模块相连;
所述服务器与用于接收发送终端发送的传输文件、接收方标识信息以及接收终端发送的下载请求的数据接收模块相连,所述服务器与用于根据接收方标识信息向对应接收终端发送传输文件的数据发送模块相连,所述控制器与用于对数据接收模块接收的传输文件进行监控的数据监控模块相连,所述控制器与用于根据数据监控模块监控结果建立黑白名单的黑白名单建立模块相连;
所述终端与用于检测当前安全性能的安全性能检测模块相连,所述终端与用于根据安全性能检测结果创建隔离桌面的隔离桌面创建模块相连,所述终端与用于监控隔离桌面所有文件的操作行为的隔离桌面监控模块相连,所述终端与用于将存在操作行为的文件定向至源位置保存的文件定向保存模块相连,所述终端与用于创建操作行为日志的操作日志创建模块相连,所述终端与用于将存在操作行为的文件及其对应操作日志打包存储的数据打包存储模块相连。
2.根据权利要求1所述的桌面安全隔离系统,其特征在于:所述数据获取模块获取到发送连接请求终端相关信息中包含验证码时,若所述连接请求接收模块从数据存储模块中存储的验证码中匹配到该验证码,且所述连接请求接收模块没有在黑名单中发匹配到该验证码时,所述连接请求接收模块直接建立服务器与该终端的通信。
3.根据权利要求2所述的桌面安全隔离系统,其特征在于:所述数据获取模块获取到发送连接请求终端相关信息,包括:利用ARP协议查询到终端的MAC地址、验证码,以及终端发送连接请求时附带的地理位置信息。
4.根据权利要求3所述的桌面安全隔离系统,其特征在于:所述验证码计算模块根据终端的MAC地址生成一串包含中文、英文和数字的唯一的验证码。
5.根据权利要求1所述的桌面安全隔离系统,其特征在于:所述发送终端发送的传输文件中包含有传输文件访问权限等级,所述接收终端发送的下载请求中包含有终端安全等级、终端标识信息。
6.根据权利要求5所述的桌面安全隔离系统,其特征在于:当所述数据发送模块完成接收方标识信息与终端标识信息的匹配,且所述数据发送模块判断终端安全等级高于传输文件访问权限等级时,所述数据发送模块将传输文件发送给匹配接收方标识信息的接收终端。
7.根据权利要求6所述的桌面安全隔离系统,其特征在于:还包括与终端相连的用于通过公钥对传输文件进行加密的数据加密模块相连,以及与终端相连的用于通过私钥对加密后的传输文件进行解密的数据解密模块;
当公钥与私钥匹配时,所述接收终端通过私钥成功解密传输文件并进行访问。
8.根据权利要求1所述的桌面安全隔离系统,其特征在于:所述数据监控模块对数据接收模块接收的传输文件进行监控,当发现传输文件中存在安全威胁时,所述黑白名单建立模块将发送该传输文件的发送终端拉入黑名单中。
9.一种基于权利要求1所述的桌面安全隔离系统的隔离方法,其特征在于:包括以下步骤:
S1、接收终端发送的连接请求,获取发送连接请求终端的相关信息,根据相关信息的匹配结果建立与服务器之间的通信;
S2、服务器接收发送终端发送的传输文件、接收方标识信息以及接收终端发送的下载请求,服务器将传输文件发送给匹配接收方标识信息的接收终端;
S3、对传输文件进行监控,当发现传输文件中存在安全威胁时,将发送该传输文件的发送终端拉入黑名单中;
S4、检测终端当前的安全性能,当安全性能满足要求时,在终端上创建隔离桌面;
S5、监控隔离桌面所有文件的操作行为,将存在操作行为的文件定向至源位置保存,并创建操作行为日志。
CN202010966902.6A 2020-09-15 2020-09-15 一种桌面安全隔离系统及方法 Pending CN112114922A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010966902.6A CN112114922A (zh) 2020-09-15 2020-09-15 一种桌面安全隔离系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010966902.6A CN112114922A (zh) 2020-09-15 2020-09-15 一种桌面安全隔离系统及方法

Publications (1)

Publication Number Publication Date
CN112114922A true CN112114922A (zh) 2020-12-22

Family

ID=73803093

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010966902.6A Pending CN112114922A (zh) 2020-09-15 2020-09-15 一种桌面安全隔离系统及方法

Country Status (1)

Country Link
CN (1) CN112114922A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105138920A (zh) * 2015-07-30 2015-12-09 浪潮电子信息产业股份有限公司 一种内网终端安全管理的实现方法
CN106254332A (zh) * 2016-07-29 2016-12-21 北京北信源软件股份有限公司 一种安全桌面数据流转的方法、装置及服务器
CN106778311A (zh) * 2016-12-29 2017-05-31 珠海市魅族科技有限公司 访问移动终端中文件的方法、装置及移动终端和检验设备
WO2017193950A1 (zh) * 2016-05-11 2017-11-16 中兴通讯股份有限公司 一种移动办公方法、服务端、客户端及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105138920A (zh) * 2015-07-30 2015-12-09 浪潮电子信息产业股份有限公司 一种内网终端安全管理的实现方法
WO2017193950A1 (zh) * 2016-05-11 2017-11-16 中兴通讯股份有限公司 一种移动办公方法、服务端、客户端及系统
CN106254332A (zh) * 2016-07-29 2016-12-21 北京北信源软件股份有限公司 一种安全桌面数据流转的方法、装置及服务器
CN106778311A (zh) * 2016-12-29 2017-05-31 珠海市魅族科技有限公司 访问移动终端中文件的方法、装置及移动终端和检验设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
夏演;王煜;: "基于转发隔离的文件安全传输系统", 安徽理工大学学报(自然科学版), no. 01, 15 January 2018 (2018-01-15) *

Similar Documents

Publication Publication Date Title
CN106656476B (zh) 一种密码保护方法、装置及计算机可读存储介质
US8447970B2 (en) Securing out-of-band messages
US8176543B2 (en) Enabling network communication from role based authentication
US20170061131A1 (en) Side-Channel Integrity Validation of Devices
US20060107323A1 (en) System and method for using a dynamic credential to identify a cloned device
KR101838973B1 (ko) 화이트 리스트를 이용한 에이전트 기반 보안위협 모니터링 시스템
CN109729000B (zh) 一种即时通信方法及装置
CN106656966B (zh) 一种拦截业务处理请求的方法和装置
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
Sevier et al. Analyzing the security of Bluetooth low energy
US20200213856A1 (en) Method and a device for security monitoring of a wifi network
US20160352420A1 (en) Information transmission method, information reception method and apparatus
CN112270020A (zh) 一种基于安全芯片的终端设备安全加密装置
CN115499844A (zh) 一种移动终端信息安全防护系统及方法
CN109726578B (zh) 一种动态二维码防伪解决办法
US20220358226A1 (en) Network edge storage apparatus having security feature
KR101494329B1 (ko) 악성 프로세스 검출을 위한 시스템 및 방법
CN110830479B (zh) 基于多卡的一键登录方法、装置、设备及存储介质
CN106034130A (zh) 数据访问方法及装置
US20210209218A1 (en) Secure recognition of mobile devices
CN112114922A (zh) 一种桌面安全隔离系统及方法
KR100333061B1 (ko) 네트워크를 통한 원격 컴퓨터 바이러스 방역 시스템 및 그방법
CN115603974A (zh) 一种网络安全防护方法、装置、设备及介质
WO2021164167A1 (zh) 一种密钥存取方法、装置、系统、设备和存储介质
CN111181831B (zh) 通信数据处理方法和装置、存储介质及电子装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination