CN116127501A - 基于用户私有容器的用户私有数据保护方法、系统及介质 - Google Patents
基于用户私有容器的用户私有数据保护方法、系统及介质 Download PDFInfo
- Publication number
- CN116127501A CN116127501A CN202211620510.XA CN202211620510A CN116127501A CN 116127501 A CN116127501 A CN 116127501A CN 202211620510 A CN202211620510 A CN 202211620510A CN 116127501 A CN116127501 A CN 116127501A
- Authority
- CN
- China
- Prior art keywords
- user
- private data
- container
- private
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Abstract
本发明公开了一种基于用户私有容器的用户私有数据保护方法、系统及介质,本发明基于用户私有容器的用户私有数据保护方法包括:在用户私有容器中创建用于保存用户私有数据的子容器;使用子容器采用加密的方式加密存储用户私有数据,使得用户私有数据对于非属主用户不可见,非属主用户也没有访问权限访问用户私有数据。本发明能够同时对用户私有数据进行隐藏隔离保护和加密保护,能够实现线上线下全方位的保护用户私有数据,防止私有数据被非法访问或窃取,具有安全性高、保护全面的优点。
Description
技术领域
本发明涉及计算机领域的数据安全管理技术领域,具体涉及一种基于用户私有容器的用户私有数据保护方法、系统及介质。
背景技术
随着计算机技术和网络技术的发展,人们对计算资源的需求也会越来越大,因此出现云平台、服务器资源共享等各种不同的服务,此时就有可能出现多人共享同一个服务器资源的情况,用户的私有数据就存在被泄露和盗取的风险,因此为了用户数据的私密性和安全考虑,需要建立新的安全机制来对用户私有数据进行全方位的保护。
发明内容
本发明要解决的技术问题:针对现有技术的上述问题,提供一种基于用户私有容器的用户私有数据保护方法、系统及介质,本发明能够同时对用户私有数据进行隐藏隔离保护和加密保护,能够实现线上线下全方位的保护用户私有数据,防止私有数据被非法访问或窃取,具有安全性高、保护全面的优点。
为了解决上述技术问题,本发明采用的技术方案为:
一种基于用户私有容器的用户私有数据保护方法,包括:
S101,在用户私有容器中创建用于保存用户私有数据的子容器;
S102,使用子容器采用加密的方式加密存储用户私有数据,使得用户私有数据对于非属主用户不可见,非属主用户也没有访问权限访问用户私有数据。
可选地,步骤S101包括:
S201,接收用户创建子容器的请求;
S202,检查系统中是否存在硬件密码模块,若存在硬件密码模块,则使用硬件密码模块中支持的加密算法作为用户私有数据的加密算法;否则,使用默认的软件加密算法作为用户私有数据的加密算法。
可选地,步骤S202中还包括:若存在硬件密码模块,则将子容器的密码存储在硬件密码模块的安全存储单元中,否则,将子容器的密码加密存储在本地配置文件中。
可选地,步骤S102中使用子容器采用加密的方式加密存储用户私有数据时,包括为用户私有数据赋予安全属性,所述安全属性包括容器标识、用户信息和加解密标识,所述容器标识用于标识目录或文件是否属于用户私有数据;所述用户信息用于标识用户私有数据所属的属主,且属主只能是创建此用户私有数据的登录用户;所述加解密标识用于标识用户私有数据此时的加解密状态,在加密后会自动设置成加密标识,并且在数据解密后会自动设置成解密标识。
可选地,步骤S102中使用子容器采用加密的方式加密存储用户私有数据时,所述存储用户私有数据包括文件和目录,且文件和目录的安全属性中的容器标识、用户信息自动继承父目录的安全属性。
可选地,步骤S102之后包括响应用户私有数据访问的步骤:
S301,获取被访问的目标用户私有数据的安全属性中的容器标识;
S302,若容器标识为非容器,则根据系统默认的访问控制规则来正常处理,结束并退出;若容器标识为容器,则跳转执行步骤S303;
S303,检查当前进程的登录用户信息与私有数据安全属性中的用户信息是否一致,若不一致,则拒绝访问,并对目标用户私有数据做隐藏处理,结束并退出;若一致,则跳转执行步骤S304;
S304,检查安全属性中的加解密标识,若加解密标识为解密标识,则直接允许访问,结束并退出;若加解密标识为加密标识,则判断当前进程是否是指定的私有数据管理工具:若不是指定的私有数据管理工具,则拒绝访问,并对目标用户私有数据做隐藏处理,结束并退出,同时提示用户需要使用指定的私有数据管理工具才能访问;若是私有数据管理工具,则通过对用户进行安全认证,只有安全认证通过才进行解密操作并允许访问。
可选地,所述响应用户私有数据访问的步骤为用户登录系统时触发的针对用户私有数据的自动解密操作。
可选地,所述响应用户私有数据访问的步骤为用户针对指定的用户私有数据的手动解密操作。
此外,本发明还提供一种基于用户私有容器的用户私有数据保护系统,包括相互连接的微处理器和存储器,所述微处理器被编程或配置以执行所述基于用户私有容器的用户私有数据保护方法。
此外,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序用于被微处理器编程或配置以执行所述基于用户私有容器的用户私有数据保护方法。
和现有技术相比,本发明主要具有下述优点:本发明包括在用户私有容器中创建用于保存用户私有数据的子容器;使用子容器采用加密的方式加密存储用户私有数据,使得用户私有数据对于非属主用户不可见,非属主用户也没有访问权限访问用户私有数据,在系统在线情况下可以通过数据隐藏隔离保护来对用户私有数据进行保护,此时不允许非属主的其他任何用户包括管理员来访问用户的私有数据(从其他用户的角度来看,用户的这些私有数据是不存在的);而在线下情况下(包括将包含用户私有数据的硬盘在其他系统上进行挂载等情况)用户私有数据被加密保护,此时只能访问到用户私有数据的密文,因此本发明能够同时对用户私有数据进行隐藏隔离保护和加密保护,能够实现线上线下全方位的保护用户私有数据,防止私有数据被非法访问或窃取,具有安全性高、保护全面的优点。
附图说明
图1为本发明实施例方法的基本流程示意图。
图2为本发明实施例中创建子容器的流程示意图。
图3为本发明实施例中响应用户私有数据访问的流程示意图。
具体实施方式
如图1所示,本实施例基于用户私有容器的用户私有数据保护方法包括:
S101,在用户私有容器中创建用于保存用户私有数据的子容器;
S102,使用子容器采用加密的方式加密存储用户私有数据,使得用户私有数据对于非属主用户不可见,非属主用户也没有访问权限访问用户私有数据。
如图2所示,本实施例中步骤S101包括:
S201,接收用户创建子容器的请求;
S202,检查系统中是否存在硬件密码模块,若存在硬件密码模块,则使用硬件密码模块中支持的加密算法作为用户私有数据的加密算法;否则,使用默认的软件加密算法作为用户私有数据的加密算法。
需要说明的是,本实施例中的硬件密码模块可根据需要采用TCM或TPM等硬件模块,本实施例方法不依赖于具体的硬件密码模块。例如,本实施例中硬件密码模块具体为TCM,且硬件密码模块中支持的加密算法是指国密算法。当检测到系统中存在TCM时,默认采用TCM中的国密算法来对用户私有容器进行加解密,并利用TCM中的安全存储单元来对用户私有容器密码进行加密存储,否则加密存储在本地配置文件中。
参见图2,本实施例步骤S202中还包括:若存在硬件密码模块,则将子容器的密码存储在硬件密码模块的安全存储单元中,否则,将子容器的密码加密存储在本地配置文件中。通过为子容器的配置密码的方式,在用户私有容器中可以创建多个子容器目录,可以对不同的子容器目录分别进行加密处理,并设置不同的密码,用户的具体私有数据是放置在这些子容器目录下,从而有利于提高用户私有数据的安全性。
本实施例中,用户私有数据是放置在用户私有容器中,用户私有容器会为用户私有数据设置相应的安全属性,具体地,本实施例步骤S102中使用子容器采用加密的方式加密存储用户私有数据时,包括为用户私有数据赋予安全属性,所述安全属性包括容器标识、用户信息和加解密标识,所述容器标识用于标识目录或文件是否属于用户私有数据;所述用户信息用于标识用户私有数据所属的属主,且属主只能是创建此用户私有数据的登录用户;所述加解密标识用于标识用户私有数据此时的加解密状态,在加密后会自动设置成加密标识,并且在数据解密后会自动设置成解密标识。
对用户私有数据加解密状态下的处理方式如下:a.加密状态:加密状态下的用户私有数据会对任何用户(包括属主用户)进行隐藏,即通过系统命令在对应目录下查看不到任何数据或文件,只能属主用户通过私有数据管理工具进行查看,并通过该管理工具对相关的加密容器进行解密操作,之后才能查看解密后的具体用户私有数据;加密状态对所有用户隐藏主要是为了保护用户私有数据密文不被破坏,防止被恶意篡改导致不能正常解密的风险。b.
解密状态:解密状态下的用户私有数据仅属主用户可以查看和操作,其他任何用户包括管理员用户均没权限查看,并且会进行隐藏处理。
本实施例中,步骤S102中使用子容器采用加密的方式加密存储用户私有数据时,所述存储用户私有数据包括文件和目录,且文件和目录的安全属性中的容器标识、用户信息自动继承父目录的安全属性,加解密标识则是根据私有数据自身加解密状态自动设置故不用继承。
本实施例中子容器创建是通过私有数据管理工具来实现的,同样地,针对用户私有数据访问是通过私有数据管理工具来实现的。如图3所示,本实施例步骤S102之后包括响应用户私有数据访问的步骤:
S301,获取被访问的目标用户私有数据的安全属性中的容器标识;
S302,若容器标识为非容器,则根据系统默认的访问控制规则来正常处理,结束并退出;若容器标识为容器,则跳转执行步骤S303;
S303,检查当前进程的登录用户信息与私有数据安全属性中的用户信息是否一致,若不一致,则拒绝访问,并对目标用户私有数据做隐藏处理,结束并退出;若一致,则跳转执行步骤S304;
S304,检查安全属性中的加解密标识,若加解密标识为解密标识,则直接允许访问,结束并退出;若加解密标识为加密标识,则判断当前进程是否是指定的私有数据管理工具:若不是指定的私有数据管理工具,则拒绝访问,并对目标用户私有数据做隐藏处理,结束并退出,同时提示用户需要使用指定的私有数据管理工具才能访问;若是私有数据管理工具,则通过对用户进行安全认证(例如本实施例中采用的安全认证方式为密码认证,弹出密码输入框,需要输入密码来进行解密操作),只有安全认证通过才进行解密操作并允许访问。
作为一种可选的实施方式,响应用户私有数据访问的步骤为用户登录系统时触发的针对用户私有数据的自动解密操作。作为另一种可选的实施方式,所述响应用户私有数据访问的步骤为用户针对指定的用户私有数据的手动解密操作。总而言之,用户私有数据解密途径有两种:a.自动解密,即用户登录系统时自动将该用户的私有数据进行解密。b.手动解密,即需要用户使用私有数据管理工具对具体的加密容器进行解密。具体采用哪种解密方式,需要用户在创建加密容器时进行设置,若设置自动解密,则需要将密码设置成跟系统用户登录密码相同的密码,在用户登录时输入密码后会通过pam模块将密码以密文的方式传递给私有数据管理后台服务进行加密容器自动解密操作;否则需要在用户登录系统后,通过私有数据管理工具进行手动输入密码来进行解密。
综上所述,通过本实施例基于用户私有容器的用户私有数据保护方法通过给存放用户私有数据的容器设置安全属性,通过安全属性来对其内的私有数据进行隐藏隔离保护,同时通过对容器目录进行加密处理,使得没解密的情况下用户私有数据始终处于密文状态,可以得到安全保护;系统在线的情况下,能够防止其他用户尤其是管理员对用户私有数据的访问或窃取,而在系统关机的情况下,能够防止将包含用户私有数据的硬盘挂载到其他系统上来窃取用户私有数据,通过在这两种情况下均能对用户私有数据进行保护,能够对用户私有数据真正起到全方位的保护作用。
此外,本实施例还提供一种基于用户私有容器的用户私有数据保护系统,包括相互连接的微处理器和存储器,微处理器被编程或配置以执行所述基于用户私有容器的用户私有数据保护方法。此外,本实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,计算机程序用于被微处理器编程或配置以执行所述基于用户私有容器的用户私有数据保护方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种基于用户私有容器的用户私有数据保护方法,其特征在于,包括:
S101,在用户私有容器中创建用于保存用户私有数据的子容器;
S102,使用子容器采用加密的方式加密存储用户私有数据,使得用户私有数据对于非属主用户不可见,非属主用户也没有访问权限访问用户私有数据。
2.根据权利要求1所述的基于用户私有容器的用户私有数据保护方法,其特征在于,步骤S101包括:
S201,接收用户创建子容器的请求;
S202,检查系统中是否存在硬件密码模块,若存在硬件密码模块,则使用硬件密码模块中支持的加密算法作为用户私有数据的加密算法;否则,使用默认的软件加密算法作为用户私有数据的加密算法。
3.根据权利要求2所述的基于用户私有容器的用户私有数据保护方法,其特征在于,步骤S202中还包括:若存在硬件密码模块,则将子容器的密码存储在硬件密码模块的安全存储单元中,否则,将子容器的密码加密存储在本地配置文件中。
4.根据权利要求3所述的基于用户私有容器的用户私有数据保护方法,其特征在于,步骤S102中使用子容器采用加密的方式加密存储用户私有数据时,包括为用户私有数据赋予安全属性,所述安全属性包括容器标识、用户信息和加解密标识,所述容器标识用于标识目录或文件是否属于用户私有数据;所述用户信息用于标识用户私有数据所属的属主,且属主只能是创建此用户私有数据的登录用户;所述加解密标识用于标识用户私有数据此时的加解密状态,在加密后会自动设置成加密标识,并且在数据解密后会自动设置成解密标识。
5.根据权利要求4所述的基于用户私有容器的用户私有数据保护方法,其特征在于,步骤S102中使用子容器采用加密的方式加密存储用户私有数据时,所述存储用户私有数据包括文件和目录,且文件和目录的安全属性中的容器标识、用户信息自动继承父目录的安全属性。
6.根据权利要求5所述的基于用户私有容器的用户私有数据保护方法,其特征在于,步骤S102之后包括响应用户私有数据访问的步骤:
S301,获取被访问的目标用户私有数据的安全属性中的容器标识;
S302,若容器标识为非容器,则根据系统默认的访问控制规则来正常处理,结束并退出;若容器标识为容器,则跳转执行步骤S303;
S303,检查当前进程的登录用户信息与私有数据安全属性中的用户信息是否一致,若不一致,则拒绝访问,并对目标用户私有数据做隐藏处理,结束并退出;若一致,则跳转执行步骤S304;
S304,检查安全属性中的加解密标识,若加解密标识为解密标识,则直接允许访问,结束并退出;若加解密标识为加密标识,则判断当前进程是否是指定的私有数据管理工具:若不是指定的私有数据管理工具,则拒绝访问,并对目标用户私有数据做隐藏处理,结束并退出,同时提示用户需要使用指定的私有数据管理工具才能访问;若是私有数据管理工具,则通过对用户进行安全认证,只有安全认证通过才进行解密操作并允许访问。
7.根据权利要求6所述的基于用户私有容器的用户私有数据保护方法,其特征在于,所述响应用户私有数据访问的步骤为用户登录系统时触发的针对用户私有数据的自动解密操作。
8.根据权利要求7所述的基于用户私有容器的用户私有数据保护方法,其特征在于,所述响应用户私有数据访问的步骤为用户针对指定的用户私有数据的手动解密操作。
9.一种基于用户私有容器的用户私有数据保护系统,包括相互连接的微处理器和存储器,其特征在于,所述微处理器被编程或配置以执行权利要求1~8中任意一项所述基于用户私有容器的用户私有数据保护方法。
10.一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其特征在于,所述计算机程序用于被微处理器编程或配置以执行权利要求1~8中任意一项所述基于用户私有容器的用户私有数据保护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211620510.XA CN116127501A (zh) | 2022-12-15 | 2022-12-15 | 基于用户私有容器的用户私有数据保护方法、系统及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211620510.XA CN116127501A (zh) | 2022-12-15 | 2022-12-15 | 基于用户私有容器的用户私有数据保护方法、系统及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116127501A true CN116127501A (zh) | 2023-05-16 |
Family
ID=86303627
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211620510.XA Pending CN116127501A (zh) | 2022-12-15 | 2022-12-15 | 基于用户私有容器的用户私有数据保护方法、系统及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116127501A (zh) |
-
2022
- 2022-12-15 CN CN202211620510.XA patent/CN116127501A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113824562B (zh) | 令牌化硬件安全模块 | |
| US8261320B1 (en) | Systems and methods for securely managing access to data | |
| US8103883B2 (en) | Method and apparatus for enforcing use of danbury key management services for software applied full volume encryption | |
| CN112513857A (zh) | 可信执行环境中的个性化密码安全访问控制 | |
| US20080181406A1 (en) | System and Method of Storage Device Data Encryption and Data Access Via a Hardware Key | |
| EP1953670A2 (en) | System and method of storage device data encryption and data access | |
| US20040010701A1 (en) | Data protection program and data protection method | |
| KR20100133953A (ko) | 데이터를 안전하게 하는 시스템 및 방법 | |
| CN105718794B (zh) | 基于vtpm对虚拟机进行安全保护的方法及系统 | |
| CN102948114A (zh) | 用于访问加密数据的单次使用认证方法 | |
| JP2005310122A (ja) | ファイルロッカー、およびファイルロッカーを提供し使用するための機構 | |
| KR20110096554A (ko) | 기밀 파일을 보호하기 위한 클라이언트 컴퓨터, 및 그 서버 컴퓨터, 및 그 방법 및 컴퓨터 프로그램 | |
| CN103763313A (zh) | 一种文档保护方法和系统 | |
| SG185640A1 (en) | Method and system of secure computing environment having auditable control of data movement | |
| CN103839011A (zh) | 涉密文件的保护方法及装置 | |
| CN104333545A (zh) | 对云存储文件数据进行加密的方法 | |
| CN106992978A (zh) | 网络安全管理方法及服务器 | |
| KR102554875B1 (ko) | 원격 업무 환경 제공 장치 및 방법 | |
| CN113901507B (zh) | 一种多参与方的资源处理方法及隐私计算系统 | |
| CN113127141B (zh) | 一种容器系统管理方法、装置、终端设备及存储介质 | |
| CN116127501A (zh) | 基于用户私有容器的用户私有数据保护方法、系统及介质 | |
| CN112925645A (zh) | 一种自动构建云访问控制的方法及系统 | |
| KR20170053459A (ko) | 정보 보호를 위한 파일 암복호화 방법 | |
| KR20150074128A (ko) | 적어도 하나의 소프트웨어 구성요소를 컴퓨팅 디바이스에 다운 로딩하는 방법, 관련 컴퓨터 프로그램 제조물, 컴퓨팅 디바이스, 컴퓨터 시스템 | |
| US20230004671A1 (en) | System and method for managing transparent data encryption of database |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |