WO2012145916A1

WO2012145916A1 - 数据安全存储方法及装置

Info

Publication number: WO2012145916A1
Application number: PCT/CN2011/073493
Authority: WO
Inventors: 汪家祥
Original assignee: 北京中天安泰信息科技有限公司
Priority date: 2011-04-29
Filing date: 2011-04-29
Publication date: 2012-11-01
Also published as: JP6255336B2; CN103329141A; US20140053276A1; JP2014517376A; CN103329141B; US9330266B2

Description

数据安全存储方法及装置技术领域

本发明涉及数据安全领域，尤其涉及一种数据安全存储方法及装置。

背景技术

现有的电子信息安全领域包括系统安全、数据安全和设备安全三个子领域。

在数据安全领域内，一般采用下面三种技术确保数据安全：（1 )数据内容安全技术，包括数据加密解密技术和端到端数据加密技术，保障数据在存储和传输过程中内容不被非法读取；（2 )数据安全转移技术，包括防止非法拷贝、打印或其它输出，保障数据在使用和转移过程中的安全；（3 ) 网络阻断技术，包括网络物理阻断和设置网络屏障等技术。

由于上述技术在应对计算机内核病毒、木马、操作系统漏洞、系统后门以及人为泄密时能力不足，事实上任何计算设备上，如计算机，都有可能存在恶意代码。但根据 AV实验室分析，目前针对计算机的所有危害总有效侦测能力最多在 50%左右。由于危害检出能力的不足，事实上任何电脑上都可能存在恶意代码，一旦恶意代码进入终端系统，上述的加密技术、防拷贝技术以及网络阻断技术在这种情况下将失去作用，现有的黑客技术可以轻松地利用系统漏洞、系统后门穿透上述安全技术、植入恶意代码，并利用恶意代码取得用户数据。上述技术更无法防范涉密人员的主动或被动泄密，例如，内部人员可以携带存储设备，从内部网络或终端上下载所需的资料并带走存储设备，导致内部泄密。

如图 1所示为现有技术中的计算机终端系统示意图，包括：用户界面层 101 , 应用层 102, 操作系统内核层 103, 硬件映射层 104以及硬件层 105。终端得到图形化或非图形化反馈。以保存数据操作为例：

( 1 )用户通过某应用程序提供的用户界面，选择 "保存" 功能；

( 2 )应用层 102调用对应代码，将保存指令转化为一个或多个的操作系统提供的接口函数，即保存操作成为对一系列操作系统提供的接口函数的调用； ( 3 )操作系统内核层 103接收到上述的操作系统的接口函数调用，将每一个操作系统接口函数转化为一个或多个硬件映射层 104提供的接口函数；即保存操作成为对一系列硬件映射层 104提供的接口函数的调用；

( 4 )上述每一个硬件映射层 104提供的接口函数在硬件映射层 104中转化为一个或多个硬件指令调用，例如设备操作指令；

( 5 )处于硬件层 105的硬件，例如 CPU,接收上述硬件指令调用并执行硬件指令。

上述计算机终端中，当其被恶意代码侵入后，恶意代码可以从计算机系统中取得数据，恶意代码在窃取数据后。恶意代码的行为模式为：（1 )存储行为：将目标数据内容保存到某个存储位置；（2 )传输行为：将窃取的数据直接通过网络传输到指定的目标地址。另外，使用上述计算设备或信息设备的人员进行内部泄密的行为模式包括：（1 )主动泄密：涉密人员通过主动拷贝、通过恶意工具穿透安全系统、置入木马等手段直接取得涉密数据，并进行泄密； ( 2 ) 将涉密装备直接接入 Internet造成的泄密。

应用上述数据安全方法在该计算机终端系统中，仍然无法解决： 1.基于设备过滤的防拷贝技术无法保证涉密信息在终端不被非法存储； 2.基于网络过滤无法确保涉密信息不失控； 3. 涉密人员可通过恶意代码或恶意工具造成泄密； 4. 涉密人员因涉密设备或存储介质失控造成泄密。

综上所述，现有技术仍缺乏一种在终端系统遭到恶意代码侵入后仍然能够保证数据安全的方法。

发明内容

本发明解决的问题是提供一种在终端系统遭到恶意代码侵入后仍然能够保证数据安全的方法，提高数据安全性。

为了解决上述问题，本发明的实施例中提供了一种数据安全存储方法，包括：接收硬件指令；分析所述硬件指令；如果所述硬件指令是存储指令，修改所述存储指令中的目标地址为对应的在安全存储设备上的存储地址；将修改后的存储指令发送到硬件层。

可选的，修改所述存储指令中的目标地址为对应的在安全存储设备上的存储地址之后，还包括：更新映射位图中所述目标地址对应的位；所述映射位图用于表示本地存储地址的数据是否转储到所述安全存储设备。可选的，更新映射位图之后，还包括：将已经更新的映射位图同步到所述安全存储设备，保存为第二映射位图。

可选的，接收硬件指令之前，还包括：建立计算终端系统与所述安全存储设备的通讯；将所述安全存储设备上的第二映射位图同步到所述计算终端系统，保存为映射位图。

可选的，如果所述将所述安全存储设备上的第二映射位图同步到所述计算终端系统失败，将计算终端系统中的本地存储空间映射到所述安全存储设备上，并建立映射位图和第二映射位图。

可选的，所述的硬件指令为硬件端口 I/O指令。

可选的，所述安全存储设备为远程存储设备，所述远程存储设备被多个计算终端系统共享。

可选的，所述硬件指令来自硬件映射层。

进一步的，本发明的实施例中提供了一种数据安全存储装置，包括：接收单元，适于接收硬件指令；指令分析单元，适于分析所述硬件指令并判断所述硬件指令是否为存储指令；指令修改单元，适于修改所述存储指令中的目标地址为对应的在安全存储设备上的存储地址；发送单元，适于将修改后的存储指令发送到硬件层。

可选的，还包括：更新单元，与指令修改单元耦接，适于在指令修改单元修改所述存储指令之后，更新映射位图中所述目标地址对应的位；所述映射位图用于表示本地存储地址的数据是否转储到所述安全存储设备。

可选的，还包括同步单元，与所述更新单元耦接，适于建立计算终端系统与所述安全存储设备的通讯，并将映射位图在所述计算终端系统和所述安全存储设备之间进行同步。

可选的，所述硬件指令来自硬件映射层。

进一步的，本发明的实施例中提供了一种计算机程序产品，包括计算机可读介质，所述可读介质中存储有计算机可执行的程序代码，所述程序代码用于上述数据安全存储方法的步骤。

与现有技术相比，本发明具有以下优点：

1、数据安全存储方法实现了指令级数据转储即数据全转储，以此为基础，实现了计算终端系统全运行周期的数据安全存储方法，一方面，使木马或恶意工具即使取得了涉密信息也无法保存所取得的信息，使数据始终存在于可控的安全范围内；另一方面，本地不再保存涉密数据，因此防止了涉密人员的主动泄密和被动泄密；

2、接收来自硬件映射层的硬件指令可以 100%的筛查所有指令，进一步提高数据安全性。

附图说明

图 1是现有技术中计算机终端系统包含软件和硬件的分层示意图；图 2是本发明的第一个实施例中提供的运行时指令重组方法的流程图；图 3是本发明的第一个实施例中指令重组过程和重组指令片段的示意图；图 4是本发明的第二个实施例中提供的运行时指令重组方法的流程图；图 5是本发明的第三个实施例中提供的重组指令的生成方法流程图；图 6是本发明的第七个实施例中提供的运行时指令重组装置的框图；图 7是本发明的第八个实施例中提供的运行时指令重组装置的框图；图 8是本发明的第九个实施例中提供的运行时指令重组装置的指令重组单元的框图；

图 9是本发明的第十个实施例中提供的计算机终端系统的层次结构框图；图 10是本发明的第十个实施例中提供的数据转储过程整体流程图；图 11是图 10中初始化过程 S1000的流程图；

图 12是本发明的第十个实施例中提供的 Bitmap示意图；

图 13是本发明的第十个实施例中提供的数据安全存储方法的流程图；图 14是本发明的第十个实施例中提供的数据安全读取方法的流程图；图 15是本发明的第十一个实施例中提供的数据安全传输方法的流程图；图 16是本发明的第十一个实施例中提供的网络结构示意图；

图 17是本发明第十二个实施例中提供的数据安全存储装置的结构框图；图 18是本发明第十三个实施例中提供的数据安全读取装置的结构框图。具体实施方式

为使本发明的上述目的、特征和优点能够更为明显易懂，下面结合附图对本发明的具体实施方式做详细的说明。

在以下描述中阐述了具体细节以便于充分理解本发明。但是本发明能够以多种不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广。因此本发明不受下面公开的具体实施方式的限制。

计算机运行过程中， CPU地址寄存器保存下一条将要运行的机器指令的地址；为了实现运行时机器指令监控，本发明一些实施例中将获取该寄存器中的数据，并按照该数据指向的地址，读取下一条、多条将要运行的机器指令；并且，修改所述一条、多条机器指令所组成的待调度的指令片段，从而在每一条机器指令运行前获得控制权，不断的进行后续指令的分析。进一步的，本发明的一些实施例中，在获取到待调度的机器指令片段后，还包括对其中的目标指令进行处理的步骤，从而不仅对运行时指令进行了重组以监控运行时指令，还完成对所述目标指令的修改和更新。

本发明的第一个实施例中提供了一种运行时指令重组方法。如图 2所示，该方法包括：

5101 , 緩存指令运行环境；

5102, 获取待调度的机器指令片段；在所述获取的机器指令片段的最后一条指令前，插入第二跳转指令，所述第二跳转指令指向指令重组平台的入口地址，生成具有地址 A"的重组指令片段；将所述緩存的指令运行环境中的地址寄存器的值 A修改为地址 A";

5103, 恢复所述指令运行环境。

具体的，在步骤 S101执行之前，本方法获取 CPU执行权或控制权。 CPU 执行本方法的步骤时，首先緩存指令运行环境（即步骤 S101 ), 即緩存刚刚执行的被监控指令的结果。所述 CPU在本实施例中为 X86架构中央处理器；在本发明的其他实施例中，也可以是 MIPS处理器或基于 ARM架构的处理器，而且本领域普通技术人员可以了解，所述 CPU也可以是任何其他类型的计算设备中的指令处理单元。

在步骤 S101中，所述緩存指令运行环境包括：向緩存栈中压入指令运行相关的寄存器数据。在本发明的其他实施例中，緩存或保存指令运行环境也可以在指定的、默认的其他緩存数据结构、地址中进行。

在步骤 S102中，获取待调度的机器指令片段包括：

S1021 , 从 CPU地址寄存器读取待调度的机器指令地址；

S1022, 以跳转指令为检索目标，检索所述机器指令地址对应的机器指令，直到发现第一个跳转指令；所述跳转指令包括 Jump指令和 Call指令； S1023, 将所述第一个跳转指令及其之前的所有机器指令作为一个待调度的机器指令片段；将该机器指令片段保存在指令重组平台中，或其他指令重组平台能够读取的存储位置。

在本发明的其他实施例中，获取待调度的机器指令片段也可以以非跳转指令，例如写入指令、读取指令等，为检索目标，切分机器指令片段；这时，需要保证其中的跳转指令执行后，指令重组平台仍能够获取 CPU控制权，所以跳转指令需要作为补充检索目标或者第二检索目标，即得到粒度更小的机器指令片段。

仍然在步骤 S102中，在插入第二跳转指令 JP2之前，本实施例提供的方法还可以包括：

51025, 解析所述机器指令片段，利用指令集匹配所述机器指令片段，得到待处理的目标机器指令；所述指令集包括 X86, MIPS和 ARM指令集；

51026, 按照预定的方式，修改所述目标机器指令。

利用上述步骤，不仅可以完成运行时指令监控，还可以进行其他处理过程，将在下面的实施例中进一步展开描述。

由于本实施例只是为了可以实现运行时指令的重组，所以步骤 S1025~ S1026没有在本实施例中执行，直接执行步骤：在所述机器指令片段的最后一条指令（即跳转指令 JP1 )前，插入第二跳转指令 JP2, 所述 JP2指向指令重组平台的入口地址，生成具有地址 A"的重组指令片段；将所述緩存的指令运行环境中的地址寄存器的值 A修改为地址 A"。其中的指令重组平台就是本实施例中提供的指令重组方法的执行平台。

插入 JP2是为了在 CPU运行所述待调度的机器指令片段时，在 JP1运行前，重新开始运行所述指令重组平台，指令重组平台将继续分析下一段待调度的机器指令片段，重复本方法中的步骤进而完成对所有运行指令的重组。更具体的描述见下面对步骤 S103的分析。

在步骤 S103中，恢复所述指令运行环境包括：从緩存栈中弹出指令运行相关的寄存器数据；其中地址寄存器保存的跳转指令的目标地址已经修改为以 A"为入口地址的新的机器指令片段。恢复所述指令运行环境后，指令重组平台完成运行， CPU继续执行上一个机器指令片段的最后一条指令即跳转指令，其目标地址如上所述成为 A" , CPU将执行 A"为入口地址的新的机器指令片段。所述以 A"为入口地址的指令片段执行到倒数第二跳指令（即第二跳转指令 JP2 ) 后，所述指令重组平台重新得到 CPU控制权；所述指令重组平台重新开始执行步骤 S101〜步骤 S103。

为了进一步说明指令重组过程和重组指令片段的生成，请参考图 3; 其中包括：待调度的机器指令集合 401 , 其中的第一个跳转指令为 4012, 也称为第一跳转指令 4012;假设第一跳转指令 4012指向机器指令 4013,在指令 4012之前的指令运行结束之前，如果指令 4012的目标地址为变量，则其指向地址是不可知的，所以这里假设第一跳转指令 4012指向机器指令 4013; 从第一跳转指令 4012以前的包括第一跳转指令 4012的所有机器指令构成了机器指令片段 4011。

继续参考图 3, 当指令重组平台 411运行后，首先緩存指令运行环境；然后获取机器指令片段 4011;指令重组平台在第一跳转指令 4012前插入了第二跳转指令 4113 , 第二跳转指令 4113指向指令重组平台 411本身，从而生成了重组指令片段 4111 ,重组指令片段的地址为 A";将所述緩存的指令运行环境中的地址寄存器的值 A修改为地址 A"; 最后恢复所述指令运行环境。

指令重组平台 411结束运行后， CPU继续执行上一个重组指令片段的最后一条跳转指令，其中的地址寄存器的值已经改为 A"。以 A"为地址的重组指令片段运行后，当执行到第二跳转指令 4113时，指令重组平台 411会重新获得 CPU 控制权，并继续分析后续的待调度的机器指令，从而完成了运行时指令重组的方法。

进一步的，由于程序运行过程中所生成的机器指令具有很高的重复性，为了提高指令重组效率，节省计算设备的计算资源（CPU资源），如图 4所示，本发明第二实施例中提供了一种运行时指令重组方法。具体过程包括：

5201 , 緩存指令运行环境；

5202,利用所述緩存的指令运行环境中的地址寄存器的值 A查找地址对应表；所述地址对应表用于表示地址 A对应的待重组的机器指令片段是否具有已保存的重组过的指令片段，所述已保存的重组过的指令片段具有地址 A，；

5203, 如果找到相应的记录，将所述地址寄存器的值 A修改为记录中的值 A' , 恢复所述指令运行环境；

5204, 如果没有找到相应的记录，获取待调度的机器指令片段；在所述获取的机器指令片段的最后一条指令前，插入第二跳转指令，所述第二跳转指令指向指令重组平台的入口地址，生成具有地址 A"的重组指令片段；将所述緩存的指令运行环境中的地址寄存器的值 A修改为地址 A"； S205 , 恢复所述指令运行环境。

进一步的，步骤 S204还包括：所述利用地址 A"与地址 A在所述地址对应表中建立一条记录。具有地址 A"重组指令片段被保存在重组指令平台中，以供重用。

本方法利用地址对应表，极大的节省了计算资源，提高了运行时指令重组的效率。

上述实施例中直接操作机器指令，即二进制机器码，在本发明的其他实施例中，由于还有进一步的指令处理、指令修改的操作，所述的待调度的机器指令片段可以经过反汇编生成汇编代码片段，以供后续操作使用，然后在恢复所述指令运行环境之前汇编所述的汇编代码片段，再得到二进制机器码。

本发明第三实施例中提供了一种运行时指令重组方法。具体过程包括：

5301 , 緩存当前指令运行环境；

5302,利用所述緩存的指令运行环境中的地址寄存器的值 A查找地址对应表；

S303 , 如果找到相应的记录，将所述地址寄存器的值 A修改为记录中的值

A' , 恢复所述指令运行环境；

5304,如果没有找到相应的记录，如图 5所示，重组指令的生成方法包括：

53041 , 获取待调度的机器指令片段；

53042, 反汇编所述机器指令片段，得到汇编指令片段；

S3043 , 解析所述汇编指令片段，利用指令集匹配所述汇编指令片段，得到待处理的目标汇编指令；

53044, 在所述汇编指令片段的最后一条指令前，插入第二跳转指令 JP2, 所述 JP2指向指令重组平台的入口地址，生成具有地址 A"的重组指令片段；

53045 , 汇编修改过的汇编指令片段，得到重组后的机器指令片段； S3046, 利用地址 A"与地址 A在所述地址对应表中建立一条记录；

S3047,将所述緩存的指令运行环境中的地址寄存器的值 A修改为地址 A";

5305 , 恢复所述指令运行环境。

步骤 S3042与 S3045为相对应的反汇编与汇编步骤。利用反汇编技术将机器指令片段转换成为汇编指令片段之后，易于做其他匹配、分析及修改的后续步骤。其余步骤的具体内容与上述实施例中的内容相同或基本相同，这里不再赘述。上述的运行时指令重组方法为进一步的应用提供了基础。下面的实施例中提供了各种针对不同机器指令进行处理的运行时指令重组方法，其中包括存储 /读取指令， I/O指令，以及网络传输指令。

针对存储 /读取指令，本发明第四实施例中提供了一种运行时指令重组方法。具体过程包括：

5401 , 緩存当前指令运行环境；

5402,利用所述緩存的指令运行环境中的地址寄存器的值 A查找地址对应表；

5403, 如果找到相应的记录，将所述地址寄存器的值 A修改为记录中的值 A' , 恢复所述指令运行环境；

5404, 如果没有找到相应的记录，重组指令的生成方法包括：

54041 , 获取待调度的机器指令片段；

54042, 反汇编所述机器指令片段，得到汇编指令片段；

54043, 解析所述汇编指令片段，利用指令集匹配所述汇编指令片段，得到待处理的目标汇编指令；所述目标指令为存储 /读取指令；

54044, 如果所述汇编指令包括存储 /读取指令，修改其中的存储和读取地址为安全存储设备上的地址；

54045, 在所述汇编指令片段的最后一条指令前，插入第二跳转指令 JP2, 所述 JP2指向指令重组平台的入口地址，生成具有地址 A"的重组指令片段； S4046, 汇编修改过的汇编指令片段，得到重组后的机器指令片段；

54047, 利用地址 A"与地址 A在所述地址对应表中建立一条记录；

54048,将所述緩存的指令运行环境中的地址寄存器的值 A修改为地址 A";

5405, 恢复所述指令运行环境。

本实施例是在反汇编步骤之后进行指令处理的；在其他实施例中，也可以省略反汇编和对应的汇编步骤，直接处理机器指令。

在步骤 S4044中，针对存储和读取指令进行操作，修改其中的目标和源地址，以实现转移存储；并且通过转移存储到安全存储设备上，实现数据安全。针对 I/O指令，本发明第五实施例中提供了一种运行时指令重组方法。具体过程包括：

S501 , 緩存当前指令运行环境； 5502,利用所述緩存的指令运行环境中的地址寄存器的值 A查找地址对应表；

5503, 如果找到相应的记录，将所述地址寄存器的值 A修改为记录中的值 A' , 恢复所述指令运行环境；

S504, 如果没有找到相应的记录，重组指令的生成方法包括：

55041 , 获取待调度的机器指令片段；

55042, 反汇编所述机器指令片段，得到汇编指令片段；

55043, 解析所述汇编指令片段，利用指令集匹配所述汇编指令片段，得到待处理的目标汇编指令；目标指令为 I/O指令；

S5044, 如果所述汇编指令包括 I/O指令，将所述 I/O指令中的输入指令全部阻止；

55045, 在所述汇编指令片段的最后一条指令前，插入第二跳转指令 JP2, 所述 JP2指向指令重组平台的入口地址，生成具有地址 A"的重组指令片段；

55046, 汇编修改过的汇编指令片段，得到重组后的机器指令片段； S5047, 利用地址 A"与地址 A在所述地址对应表中建立一条记录；

S5048,将所述緩存的指令运行环境中的地址寄存器的值 A修改为地址 A"; S505, 恢复所述指令运行环境。

在步骤 S5044中，针对 I/O指令进行操作，将所述 I/O指令中的输入指令全部阻止，以实现彻底阻断对本地硬件设备的写操作；结合上一个实施例中的存储指令处理过程，还可以实现对除存储指令之外的输入指令的阻止，可以提高计算设备中的数据安全性。

针对网络传输指令，本发明第六实施例中提供了一种运行时指令重组方法。具体过程包括：

5601 , 緩存当前指令运行环境；

5602,利用所述緩存的指令运行环境中的地址寄存器的值 A查找地址对应表；

5603, 如果找到相应的记录，将所述地址寄存器的值 A修改为记录中的值 A，，恢复所述指令运行环境；

5604, 如果没有找到相应的记录，重组指令的生成方法包括： 56041 , 获取待调度的机器指令片段；

56042, 反汇编所述机器指令片段，得到汇编指令片段；

56043, 解析所述汇编指令片段，利用指令集匹配所述汇编指令片段，得到待处理的目标汇编指令；目标指令为网络传输指令；

S6044, 如果所述汇编指令包括网络传输指令，检验所述网络传输指令中的目标地址对应的远端计算设备是否为安全地址；如果不是，阻止所述网络传输指令；

S6045, 在所述汇编指令片段的最后一条指令前，插入第二跳转指令 JP2, 所述 JP2指向指令重组平台的入口地址，生成具有地址 A"的重组指令片段； S6046, 汇编修改过的汇编指令片段，得到重组后的机器指令片段；

56047, 利用地址 A"与地址 A在所述地址对应表中建立一条记录；

56048,将所述緩存的指令运行环境中的地址寄存器的值 A修改为地址 A"; S605, 恢复所述指令运行环境。

在步骤 S6044中，针对网络传输指令进行操作，检验所述网络传输指令中的目标地址对应的远端计算设备是否为安全地址；如果不是，阻止所述网络传输指令，以实现数据安全传输。

上述多个实施例中的地址对应表是由指令重组平台建立并维护的，可以是固定长度的数组结构，也可以是可变长度的链表结构，还可以是其他存储二位数据的适当的数据结构。优选的，其长度可调节，并且其占用空间可释放。释放地址对应表的操作可以随机进行，也可以周期进行。在一些实施例中，所述的地址对应表还可以包括记录建立时间字段，用于在释放空间删除记录时，按照建立时间的长短删除记录。在一些实施例中，所述的地址对应表还可以包括记录使用次数字段，在查找地址对应表步骤中，如果找到，将改变该字段的值；所述记录使用次数字段也用于在释放空间删除记录时，按照使用次数的多少删除记录。

进一步的，为了从系统启动后即执行运行时的指令监控，实现计算设备运行阶段的运行时指令全监控，本发明另一个实施例中，修改计算机启动时的 load指令，在 load指令执行前调用本发明提供的指令重组平台，执行上述运行时指令重组方法，由于 load指令跳转地址为已知的固定地址，指令重组平台可以事先建立好地址对应表及该第一条记录，并建立好第一个重组指令片段。进一步的，本发明还提供一种计算机可读介质，其中，所述可读介质中存储有计算机可执行的程序代码，所述程序代码用于执行上述实施例中提供的运行时指令重组方法的步骤。

另一个方面，与上述运行时指令重组方法相对应，本发明的第七个实施例中提供了一种运行时指令重组装置。

如图 6所示，指令重组装置 500包括：

指令运行环境緩存 /恢复单元 501 , 适于緩存和恢复指令运行环境；指令获取单元 502,适于在指令运行环境緩存 /释放单元緩存指令运行环境后，获取待调度的机器指令片段；

指令重组单元 503 , 适于解析、修改所述待调度的机器指令片段，以生成具有地址 A"的重组指令片段；和

指令替换单元 504, 适于将所述緩存的指令运行环境中的地址寄存器的值修改为重组指令片段的地址。

所述指令运行环境緩存 /恢复单元 501分别与指令获取单元 502以及指令替换单元 504耦接，所述指令获取单元 502,指令重组单元 503和指令替换单元 504 依次耦接。

指令重组装置 500的执行运行时指令重组时：

首先，指令运行环境緩存 /恢复单元 501緩存指令运行环境，即向緩存栈中压入指令运行相关的寄存器数据；

然后，所述指令获取单元 502从 CPU地址寄存器读取待调度的机器指令地址，并从所述机器指令地址读取机器指令片段，所述机器指令片段最后一条指令为跳转指令。具体的，指令获取单元 502从 CPU地址寄存器 511读取待调度的机器指令地址；以跳转指令为检索目标，检索所述机器指令地址对应的机器指令，直到发现第一个跳转指令；所述跳转指令包括 Jump指令和 Call指令；将所述第一个跳转指令及其之前的所有机器指令作为一个待调度的机器指令片段；将该机器指令片段保存在指令重组装置 500中，或其他指令重组装置 500能够读取的存储位置；

然后，指令重组单元 503在所述获取的机器指令片段的最后一条指令前，插入第二跳转指令，所述第二跳转指令指向指令重组装置的入口地址，生成具有地址 A"的重组指令片段；然后，指令替换单元 504将所述緩存的指令运行环境中的地址寄存器的值 Α爹改为地址 Α";

最后，指令运行环境緩存 /恢复单元 501恢复所述指令运行环境，即从緩存栈中弹出指令运行相关的寄存器数据。

进一步的，在本发明的第八个实施例中提供了一种运行时指令重组装置，充分利用运行时指令重复性，提高重组效率，节省计算装置的计算资源。

如图 7所示，指令重组装置 600包括：

指令运行环境緩存 /恢复单元 601 , 适于緩存和恢复指令运行环境；指令获取单元 602,适于在指令运行环境緩存 /释放单元緩存指令运行环境后，获取待调度的机器指令片段；

指令重组单元 603 , 适于解析、修改所述待调度的机器指令片段，以生成具有地址 Α"的重组指令片段；

指令替换单元 604, 适于将所述緩存的指令运行环境中的地址寄存器的值修改为重组指令片段的地址；和

指令检索单元 605 , 适于利用所述緩存的指令运行环境中的地址寄存器的值 Α查找地址对应表；所述地址对应表用于表示地址 A对应的待重组的机器指令片段是否具有已保存的重组过的指令片段，所述已保存的重组过的指令片段具有地址 A，；如果找到相应的记录，指令检索单元适于调用指令替换单元，将所述地址寄存器的值 A修改为记录中的值 A，；如果没有找到相应的记录，指令检索单元适于利用地址 A"与地址 A在所述地址对应表中建立一条记录。

所述指令运行环境緩存 /恢复单元 601分别与指令检索单元 605以及指令替换单元 604耦接，所述指令检索单元 605分别与指令获取单元 602, 指令重组单元 603和指令替换单元 604耦接，所述指令获取单元 602,指令重组单元 603和指令替换单元 604依次耦接。

指令重组装置 600的执行运行时指令重组时：

首先，指令运行环境緩存 /恢复单元 601緩存指令运行环境，即向緩存栈中压入指令运行相关的寄存器数据；

然后，指令检索单元 605利用所述緩存的指令运行环境中的地址寄存器的值 A查找地址对应表；

如果找到相应的记录，指令检索单元 605调用指令替换单元 604, 指令替换单元 604将所述地址寄存器的值 A修改为记录中的值 A，；指令替换单元 604 调用指令运行环境緩存 /恢复单元 602, 以恢复所述指令运行环境，即从緩存栈中弹出指令运行相关的寄存器数据，重组结束；

如果没有找到相应的记录，所述指令获取单元 602从 CPU地址寄存器读取待调度的机器指令地址，并从所述机器指令地址读取机器指令片段，所述机器指令片段最后一条指令为跳转指令。具体的，指令获取单元 602从 CPU地址寄存器 611读取待调度的机器指令地址；以跳转指令为检索目标，检索所述机器指令地址对应的机器指令，直到发现第一个跳转指令；所述跳转指令包括 Jump 指令和 Call指令；将所述第一个跳转指令及其之前的所有机器指令作为一个待调度的机器指令片段；将该机器指令片段保存在指令重组装置 600中，或其他指令重组装置 600能够读取的存储位置；

然后，指令重组单元 603在所述获取的机器指令片段的最后一条指令前，插入第二跳转指令，所述第二跳转指令指向指令重组装置的入口地址，生成具有地址 A"的重组指令片段；

然后，指令重组单元 603将地址 A"发送给指令检索单元 605 , 指令检索单元 605利用地址 A"与地址 A在其中的地址对应表中建立一条记录；以备后续指令重用；

然后，指令替换单元 604将所述緩存的指令运行环境中的地址寄存器的值 A爹改为地址 A";

本实施例中，指令重组单元 603还包括：

指令解析单元 6031 , 适于利用指令集匹配所述机器指令片段，得到待处理的目标机器指令；所述指令集包括 X86, MIPS和 ARM指令集；

指令修改单元 6032, 适于按照预定的方式，修改所述目标机器指令。如果所述目标指令为存储 /读取指令，所述指令解析单元 6031将负责获取待调度的机器指令片段中的存储 /读取指令，所述指令修改单元 6032修改其中的存储和读取地址为安全存储设备上的地址。其作用和效果与上述对应的方法实施例相同，这里不再赘述。

如果所述目标指令为 I/O指令，所述指令解析单元 6031将负责获取待调度的机器指令片段中的 I/O指令，所述指令修改单元 6032将所述 I/O指令中的输入指令全部阻止。其作用和效果与上述对应的方法实施例相同，这里不再赘述。如果所述目标指令为网络传输指令，所述指令解析单元 6031将负责获取待调度的机器指令片段中的网络传输指令，所述指令修改单元 6032检验所述网络传输指令中的目标地址对应的远端计算设备是否为安全地址；如果不是，所述指令修改单元适于阻止所述网络传输指令。其作用和效果与上述对应的方法实施例相同，这里不再赘述。

在本发明的第九个实施例中，如图 8所示，指令重组单元 703还可以包括反汇编单元 7031和汇编单元 7034。反汇编单元 7031 , 指令解析单元 7032, 指令修改单元 7033和汇编单元 7034依次耦接。本实施的其他单元与上述的第八实施例相同，这里不再赘述。

其中，反汇编单元 7031适于在解析、修改所述待调度的机器指令片段之前，反汇编所述待调度的机器指令片段，生成待调度的汇编指令片段；发送给指令解析单元 7032。

汇编单元 7034适于在解析、修改所述待调度的机器指令片段之后，汇编重组后的汇编指令片段，得到机器码表示的重组指令片段；发送给指令替换单元。

在该实施例中，所述指令解析单元 7032和指令修改单元 7033将操作待调度的汇编指令片段，其过程与上述对应的方法实施例相同。

上面详细的介绍了本发明的实施例中提供的运行时指令重组方法和装置，与现有技术相比，具有以下优点：

( 1 )通过指令重组方法，在指令运行状态下监控计算设备的指令；

( 2 )利用地址对应表，提高了指令重组效率，节省了计算资源； ( 3 )针对存储和读取指令进行操作，修改其中的目标和源地址，以实现转移存储；并且通过转移存储到安全存储设备上，实现数据安全；

( 4 )针对 I/O指令进行操作，将所述 I/O指令中的输入指令全部阻止，以实现彻底阻断对本地硬件设备的写操作；还可以实现对除存储指令之外的输入指令的阻止，可以提高计算设备中的数据安全性；

( 5 )针对网络传输指令进行操作，检验所述网络传输指令中的目标地址对应的远端计算设备是否为安全地址；如果不是，阻止所述网络传输指令，以实现数据安全传输。

针对目标指令为存储 /读取指令的情况，上面给出了一个对存储和读取机器指令的处理的实施例，下面将给出更多的实施例；并在这些实施例中，提供了数据安全存储和读取方法，以及数据安全存储和读取装置。

当背景技术中的计算机终端系统，被恶意代码侵入后，恶意代码可以从计算机系统中取得数据，恶意代码在窃取数据后。恶意代码的行为模式为： ( 1 ) 存储行为：将目标数据内容保存到某个存储位置；（2 )传输行为：将窃取的数据直接通过网络传输到指定的目标地址。另夕卜，使用上述计算设备或信息设备的人员进行内部泄密的行为模式包括：（1 )主动泄密：涉密人员通过主动拷贝、通过恶意工具穿透安全系统、置入木马等手段直接取得涉密数据，并进行泄密；例如将涉密装备直接接入 Internet造成的泄密。

为了解决上述问题，下面结合附图对本发明的具体实施方式做详细的说明。图 9是本发明第十个实施例中计算机终端系统层次结构示意图。其中，计算机终端系统 200包括用户界面层 201 , 应用层 202, 操作系统内核层 203, 硬件映射层 204, 安全层 205 , 硬件层 206; 计算机终端系统 200与存储设备 100 (安全存储设备）耦接。硬件层 206包括 CPU2061 , 硬盘 2062 (即本地存储设备）以及网卡 2063。本实施例中，存储设备 100为远程磁盘阵列，通过网络连接硬件层 206的网卡 2063, 与计算机终端系统 200交换数据；在本发明的其他实施例中，存储设备 100也可以是其他已知或未知类型的存储设备。

结合上述层次结构，参考图 10, 本实施例提供的数据转储过程为：

S1000, 初始化；

S2000, 数据写入；

S3000, 数据读取。

在其他实施例中，上述的数据写入、读取过程以及初始化过程不需全部执行，执行所需的过程或步骤即可。

进一步的，参考图 11 , 上述的初始化过程 S1000包括：

S1010, 建立计算机终端系统 200与存储设备 100的通讯；

S1020, 从存储设备 100上同步映射位图（Bitmap ) 至当前计算机终端系统 200,保存在计算机终端系统 200的内存中；所述映射位图用于表示本地存储地址的数据是否转储到所述安全存储设备。中，除非另有说明，将计算机终端系统 200上的 Bitmap称为映射位图或第一映射位图，将存储设备 100上的 Bitmap称为第二映射位图。如果从存储设备 100上同步第二映射位图至当前计算机终端系统 200的操作失败，说明存储设备 100与计算机终端系统 200之间是第一次连接，或者上次连接时计算机终端系统 200没有进行存储操作。初始化过程 S1000还包括：

S 1030 , 在存储设备 100与计算机终端系统 200上建立 Bitmap。

具体的，首先将计算机终端系统中的本地存储空间映射到存储设备 100 上，具体的映射关系为：以 1扇区（或其他存储的基本单位）为单位的一一映射，同时建立映射位图（ Bitmap )。在本发明的其他实施例中，也可以使用其他基本容量为单位建立本地存储空间到存储设备 100上的 Bitmap。

图 12为本实施例中 Bitmap示意图；图中包括本地存储设备 (即硬盘 2062 ) 上的存储介质 3000, 与本地存储设备网络连接的存储设备 100上的存储介质 4000。对存储介质 3000,在存储介质 4000上建立与其大小相同的存储空间 4010, 作为——映射空间。这时存储空间 4010中只保存一张 Bitmap 4020。 Bitmap 4020 为一张位图，其中 1位代表 1扇区，每一位的数据（0或 1 ) 标识存储介质 3000 上对应的扇区是否转储在存储介质 4000上的存储空间 4010中。本实施例 Bitmap 4020中，转储的扇区标记为 1 , 非转储的扇区标记为 0。 Bitmap 4020建立完成之后同步到计算机终端系统 200中。当应用程序或操作系统保存一个数据，例如文件时，操作系统内部的文件系统将在本地存储设备的存储介质 3000上开辟一定量的存储空间，例如扇区 3040和扇区 3050, 并分配给该文件使用，并改写本地的文件分配表。该文件转储时， Bitmap 4020中记载相应的扇区 3040和扇区 3050对应的位数据将改写为 1。在存储介质 4000上相同的位置，分配扇区 4040 和 4050用于保存转储数据。

本实施例的初始化过程结束之后，所述计算机终端系统 200和存储设备 100上将分别保存内容一致的 Bitmap数据。

进一步的，上述的数据写入过程 S2000包括：

S2010 , 应用层 202通过操作系统内核层 203的文件系统发出写文件操作请求或操作系统内核层 203直接发出写文件操作请求；或应用层 202直接向硬件映射层 204发出写数据操作请求；或操作系统内核层 203直接向硬件映射层 204发出写数据操作请求；

S2020, 操作系统内核层 203将写文件请求解析成硬件端口指令（即硬件指令），下发至硬件映射层 204, 其中端口指令包含需要写存储设备的位置（即扇区）；如果是直接向硬件映射层 204发出写数据操作请求，则该请求已经为硬件端口指令；

S2030, 安全层 205将端口指令中的写入位置（即扇区）改写为在存储设备 100上的存储地址，更新第一映射位图，将所述扇区对应的位数据修改为 1 , 表示该扇区已经转储；安全层 205将修改后的端口指令发送给硬件层 206。

完成上述操作后，写入过程 S2000还可以包括：

S2040, 将第一映射位图同步到存储设备 100上，保存为第二映射位图，以确保计算机终端系统 200上的第一映射位图与存储设备上的第二映射位图一致。在本发明的其他实施例中，该同步操作也可以在最后进行，即本地的计算机终端系统 200关机前进行。

写入过程执行完成之后，计算机终端系统 200并没有存储写入的数据，相应的数据已经转存在存储设备 100上。

进一步的，上述的数据读取过程 S3000包括：

S3010, 将存储设备 100上的第二映射位图同步到计算机终端系统 200上，保存为第一映射位图；

S3020 , 应用层 202通过操作系统内核层 203的文件系统发出读文件操作请求，或操作系统内核层 203直接发出读文件操作请求；或应用层 202直接向硬件映射层 204发出读数据操作请求；或操作系统内核层 203直接向硬件映射层 204 发出读数据操作请求；

S3030, 安全层 205接收来自硬件映射层 204的数据读取指令，获取其中的读取地址（源地址），如果该地址不是存储设备 100上的地址，查找第一映射位图，如果第一映射位图中的位数据表示所述读取地址为转储地址，安全层 205 修改端口指令的读取地址为存储设备 100上的读取地址；安全层 205将修改后的端口指令发送给硬件层 206。

在步骤 S3010中，从存储设备 100同步第二映射位图到本地的过程是为了在计算机终端系统 200重新启动了以后，保持本地数据与安全存储设备上的数据的一致性。

上述读取过程没有影响用户既有的操作模式，并且实现了对于安全存储设备，即存储设备 100上已经转储的数据的读取。

进一步的，基于上述数据写入过程，参考图 13 , 本实施例提供的数据安全存储方法包括如下步骤：

S4010, 接收硬件指令； S4020, 分析所述硬件指令；

S4030, 判断该硬件指令是否为存储指令；

S4040, 如果该硬件指令是存储指令，修改存储指令中的目标地址为对应的存储设备 100 (即安全存储设备）上的存储地址；

S4050, 将修改后的存储指令发送到硬件层。

具体的，本实施例中，计算机终端系统运行的是 Windows操作系统， Windows系统中的硬件抽象层 HAL为硬件映射层。在其他实施例中，计算机终端也可以运行其他操作系统，例如 Linux, Unix或嵌入式操作系统等，硬件映射层为 Linux或 Unix或嵌入式操作系统对应的硬件映射层。

在步骤 S4010中，所述硬件指令是来自硬件映射层的硬件指令。接收来自硬件映射层的硬件指令可以 100%的筛查所有发送到 CPU等处理器的硬件指令

(接口指令），进一步提高数据安全性。在本发明的其他实施中，所述硬件指令也可以来自操作系统内核层或其他计算机层次对应的单元。

另外，结合上述运行时指令重组的方法，接收硬件指令的过程可以包括：采用运行时指令重组的方法获取硬件指令。

这步骤 S4020中，安全层 205中内置了多种指令分析机制，包括对 X86指令、 ARM指令、 MIPS指令等指令集的分析机制，以处理不同类型的 CPU指令。

在步骤 S4040中，修改存储指令中的目标地址为对应的存储设备 100中的存储地址之后，还包括：更新第一映射位图，将目标地址（扇区）在第一映射位图中对应的 "位" 设置为 1。

进一步的，步骤 S4040中，还可以包括将已经更新的映射位图同步到所述安全存储设备，保存为第二映射位图。

在步骤 S4050中，安全层 205转发已经修改过的，或者没有修改过的硬件指令到硬件层 206。本实施例中，安全层 205的转储工作对于上层应用以及用户完全透明，不影响现有计算机操作、应用系统的工作流程。

本实施例提供的上述方法不仅可以在计算机终端系统中使用，还可以应用在任何包含应用层、操作系统内核层、硬件层的计算设备和智能终端上，在硬件层执行指令前，实现指令级转移存储（即基于硬件存储指令的转移存储）。

根据上述数据读取过程，参考图 14, 本实施例中提供了一种数据安全读取方法。该方法包括：

S5010, 接收硬件指令； S5020, 分析所述硬件指令；

S5030, 判断该硬件指令是否为读取指令；

S5040, 如果是读取指令，获取读取指令中的源地址，判断所述源地址是否为存储设备 100上的地址；

S5050, 如果所述源地址不是存储设备 100上的地址，查找第一映射位图，并根据映射位图的数据修改读取指令中的读取地址；

S5060, 将修改后的硬件指令发送到硬件层。

步骤 S5010之前，该方法还可以包括 S5000: 将存储设备 100上的第二映射位图同步到计算机终端系统 200上，保存为第一映射位图。步骤 S5010中，本实施例中，所述的硬件指令来自硬件映射层。

步骤 S5030中，如果该硬件指令不是读取指令，则安全层 205直接将硬件指令发送给硬件层去执行。

步骤 S5040中，如果该读取指令的源地址已经为存储设备 100上的地址，则安全层 205不用再次查找第一映射位图中的数据，直接将硬件指令发送给硬件层去执行。

进一步的，为了节约网络资源，在本发明的一些实施例中，存储设备 100 可以作为多个终端系统的共享资源。

进一步的，基于上述的数据安全存储和数据安全读取方法，本发明第十一个实施例中提供了一种数据安全传输方法，如图 15所示，包括如下步骤： S7010, 接收来自硬件映射层的硬件指令；

S7020, 分析所述硬件指令；

S7030, 判断该硬件指令是否为网络传输指令；

S7040, 如果该硬件指令是传输指令，读取目标地址；

S7050, 判断目标地址是否为安全地址；

S7060,如果是安全地址，将硬件指令发送到硬件层；如果不是安全地址，结束；

S7070, 硬件层发送传输指令和数据到目标地址的终端系统；

S7080, 目标地址的终端系统接收并利用数据安全存储方法保存数据。步骤 S7060中，如果判断目标地址不是安全地址，即目标地址的计算终端没有应用本发明中提供的数据安全存储和数据安全读取方法，那么不允许其作为目标地址进行网络传输操作。

步骤 S7050中，判断目标地址是否为安全地址，本实施例中采用如下方法。如图 16所示，安全月良务器 820通过网络与终端系统 800、 810连接，终端系统 800、 810在部署本发明上述实施例中提供的数据安全传输方法时，都自动向安全服务器 820进行了注册操作，安全服务器 820内部维护一个安全地址表，记录了已经注册的所有终端系统。当安全地址表有更改的时候，安全服务器 820自动将更新的安全地址表发送给各个终端，终端系统 800的架构包括应用层 801 ,操作系统内核层 802,安全层 803以及硬件层 804,安全层 803负责维护该安全地址表。安全层 803将根据目标地址是否在安全地址表中，判断目标地址是否为安全地址。即在步骤 S7050中，如果目标地址列入了安全地址表，则目标地址为安全地址。

上述安全传输方法的实施，使木马或恶意工具即使取得了涉密信息也无法传输所取得的信息。

虽然本发明上述实施例中以计算机终端系统作为应用本发明提供的方法的主体，但是，任何手持设备、智能终端等能够提供文件或数据编辑、保存或传输的电子设备，统称为计算终端系统，都可以成为应用本发明提供的数据安全保存及传输方法的终端系统。

另外，本领域的技术人员可以知道上述的数据安全存储方法、读取方法及传输方法也可使用软件或硬件的方法实现，如果以软件实现，则上述方法对应的步骤以计算机代码的形式存储在计算机可读介质上，成为软件产品。

与上述的数据安全存储方法相对应，本发明第十二个实施例中，提供一种数据安全存储装置。参考图 17, 数据安全存储装置 7100包括接收单元 7110, 指令分析单元 7120, 指令修改单元 7130和发送单元 7140。其中，接收单元 7110 与指令分析单元 7120耦接，指令分析单元 7120分别与指令修改单元 7130以及发送单元 7140耦接，发送单元 7140分别与指令修改单元 7130以及硬件层 7200耦接。

接收单元 7110适于接收硬件指令，本实施例中，所述硬件指令来自硬件映射层；指令分析单元 7120适于分析所述硬件指令并判断所述硬件指令是否为存储指令；如果是存储指令，指令修改单元 7130修改所述存储指令中的目标地址为对应的在安全存储设备上的存储地址，然后将修改后的存储指令发送给发送单元 7140; 如果不是存储指令，指令分析单元 7120直接将硬件指令发送给发送单元 7140; 发送单元 7150适于将接收到的指令发送给硬件层 7200。

进一步的，该数据安全存储装置还可以包括更新单元 7150和同步单元 7160。其中，更新单元 7150与指令修改单元 7130耦接；同步单元 7160与更新单元 7150耦接。

所述更新单元 7150适于在指令修改单元 7130修改所述存储指令之后，更新映射位图中所述目标地址对应的位。本实施例中，将存储指令目标地址包含的扇区，在第一映射位图中对应的 "位" 数据置 "Γ , 表示已经转储。

所述同步单元 7160适于建立计算终端系统与所述安全存储设备的通讯，并将映射位图在所述计算终端系统和所述安全存储设备之间进行同步。具体的，在计算终端系统启动时，同步单元 7160建立计算终端系统与所述安全存储设备的通讯，并将所述安全存储设备上的第二映射位图同步到所述计算终端系统，保存为第一映射位图。

如果将所述安全存储设备上的第二映射位图同步到所述计算终端系统失败，表示计算终端系统与安全存储设备是第一次通讯，同步单元 7160将计算机终端系统中的本地存储空间映射到所述安全存储设备上，并建立映射位图和第二映射位图。本实施例中，先在安全存储装置上建立第二映射位图，然后同步到本地，成为第一映射位图。

当更新单元 7150更新了第一映射位图（即映射位图）中所述目标地址对应的位，同步单元 7160将把更新后的第一映射位图发送给安全存储设备，并在安全存储设备上保存为第二映射位图。

本实施例中，所述安全存储设备为远程存储设备，所述远程存储设备被多个计算终端系统共享。所述硬件指令为硬件端口 I/O指令。

进一步的，与上述的数据安全读取方法相对应，本发明的第十三个实施例中提供了一种数据安全读取装置。参考图 18, 数据安全读取装置 8100包括：接收单元 8110, 指令分析单元 8120, 指令修改单元 8130以及发送单元 8140。其中，接收单元 8110与指令分析单元 8120耦接，指令分析单元 8120分别与指令修改单元 8130以及发送单元 8140耦接，指令修改单元 8130还与发送单元 8140耦接。发送单元 8140与硬件层 8200耦接。

所述接收单元 8110适于接收硬件指令，本实施例中，所述硬件指令来自硬件映射层。所述指令分析单元 8120适于分析所述硬件指令并判断所述硬件指令是否为读取指令，如果所述硬件指令是读取指令，获取读取指令的源地址并判断所述源地址是否为安全存储设备上的地址。如果所述硬件指令不是读取指令，或者所述源地址是安全存储设备上的地址，指令分析单元 8120将所述硬件指令发送到发送单元 8140。如果所述源地址不是安全存储设备上的地址，指令修改单元 8130查找映射位图，并根据映射位图的数据修改所述读取指令中的读取地址。与上述映射位图相同，本实施例中所述映射位图用于表示本地存储地址的数据是否转储到所述安全存储设备。具体的，指令修改单元 8130查找源地址包含的扇区在第一映射位图中对应的位。如果 "位" 数据显示为 1 , 表示已经发生转储，如果 "位" 数据显示为 0, 表示没有发生转储。如果已经发生转储，指令修改单元 8130将所述源地址（读取地址）改为对应的转储地址，并将修改后的硬件指令发送给发送单元 8140。

进一步的，所述数据安全读取装置还可以包括同步单元 8150。所述同步单元 8150与指令修改单元 8130耦接。所述同步单元 8150适于建立计算终端系统与所述安全存储设备的通讯，并将映射位图在所述计算终端系统和所述安全存储设备之间进行同步。具体的，同步单元 8150在计算终端系统启动时，建立计算终端系统与所述安全存储设备的通讯，并将所述安全存储设备上的第二映射位图同步到所述计算终端系统，保存为第一映射位图，提供指令修改单元 8130 使用。

本实施例中，所述安全存储设备为远程存储设备，所述远程存储设备被多个计算终端系统共享。在本发明的其他实施例中，所述的安全存储设备也可以为本地存储设备。

本领域技术人员可以知道，安全层的实现方法也可以在操作系统内核层至硬件层中的各个层内完成。具体功能的实现位置并不脱萬本发明的精神和范围。

上述实施例中详细的介绍了本发明提供的安全存储方法和装置，与现有技术相比，具有如下优点： 1、数据安全存储方法实现了指令级数据转储即数据全转储，以此为基础，实现了计算终端系统全运行周期的数据安全存储方法，一方面，使木马或恶意工具即使取得了涉密信息也无法保存所取得的信息，使数据始终存在于可控的安全范围内；另一方面，本地将不再保存在涉密状态下的任何数据，因此防止了涉密人员的主动泄密和被动泄密； 2、接收来自硬件映射层的硬件指令可以 100%的筛查所有指令，进一步提高数据安全性。上述实施例中还详细的介绍了本发明提供的安全读取方法和装置，，与现有技术相比，具有如下优点： 1、数据安全读取方法配合数据安全存储方法使数据始终存在于可控的安全范围内，并且保证在安全存储数据（转储）之后，可以将转储数据读出；由于本地将不再保存在涉密状态下的任何数据，因此防止了涉密人员的主动泄密和被动泄密； 2、安全存储设备为远程存储设备时，可以为多个终端共享，提高安全存储设备的空间使用效率。

在本发明的其他实施例中，安全层的实现方法也可以在操作系统内部的最底层至硬件层的最上层中的各个层内完成。本领域技术人员可以知道，具体功能的实现位置并不脱离本发明的精神和范围。

本发明虽然已以较佳实施例公开如上，但其并不是用来限定本发明，任何本领域技术人员在不脱离本发明的精神和范围内，都可以利用上述揭示的方法和技术内容对本发明技术方案做出可能的变动和修改，因此，凡是未脱离本改、等同变化及修饰，均属于本发明技术案的保护围。 '

Claims

权利要求

1. 一种数据安全存储方法，其特征在于，包括：

接收硬件指令；

分析所述硬件指令；

如果所述硬件指令是存储指令，修改所述存储指令中的目标地址为对应的在安全存储设备上的存储地址；

将修改后的存储指令发送到硬件层。

2. 如权利要求 1所述的数据安全存储方法，其特征在于，修改所述存储指令中的目标地址为对应的在安全存储设备上的存储地址之后，还包括：

更新映射位图中所述目标地址对应的位；

所述映射位图用于表示本地存储地址的数据是否转储到所述安全存储设备。

3. 如权利要求 2所述的数据安全存储方法，其特征在于，更新映射位图之后，还包括：

将已经更新的映射位图同步到所述安全存储设备，保存为第二映射位图。

4. 如权利要求 3所述的数据安全存储方法，其特征在于，接收硬件指令之前，还包括：

建立计算终端系统与所述安全存储设备的通讯；

将所述安全存储设备上的第二映射位图同步到所述计算终端系统，保存为映射位图。

5. 如权利要求 4所述的数据安全存储方法，其特征在于，如果所述将所述安全存储设备上的第二映射位图同步到所述计算终端系统失败，将计算终端系统中的本地存储空间映射到所述安全存储设备上，并建立映射位图和第二映射位图。

6. 如权利要求 1所述的数据安全存储方法，其特征在于，所述的硬件指令为硬件端口 I/O指令。

7. 如权利要求 1所述的数据安全存储方法，其特征在于，所述安全存储设备为远程存储设备，所述远程存储设备被多个计算终端系统共享。

8. 如权利要求 1所述的数据安全存储方法，其特征在于，所述硬件指令来自硬件映射层。

9. 一种数据安全存储装置，其特征在于，包括：接收单元，适于接收硬件指令；

指令分析单元，适于分析所述硬件指令并判断所述硬件指令是否为存储指令；

指令修改单元，适于修改所述存储指令中的目标地址为对应的在安全存储设备上的存储地址；

发送单元，适于将修改后的存储指令发送到硬件层。

10. 如权利要求 9所述的数据安全存储装置，其特征在于，还包括：更新单元，与指令修改单元耦接，适于在指令修改单元修改所述存储指令之后，更新映射位图中所述目标地址对应的位；

11. 如权利要求 10所述的数据安全存储装置，其特征在于，还包括同步单元，与所述更新单元耦接，适于建立计算终端系统与所述安全存储设备的通讯，并将映射位图在所述计算终端系统和所述安全存储设备之间进行同步。

12. 如权利要求 9所述的数据安全存储装置，其特征在于，所述硬件指令来自硬件映射层。

13. 如权利要求 9所述的数据安全存储装置，其特征在于，所述安全存储设备为远程存储设备，所述远程存储设备被多个计算终端系统共享。

14. 一种计算机程序产品，包括计算机可读介质，其特征在于，所述可读介质中存储有计算机可执行的程序代码，所述程序代码用于执行权利要求 1-8 任一所述方法的步骤。