計算機虛擬化環(huán)境中的數(shù)據(jù)防泄露方法
【專利摘要】本發(fā)明公開了一種計算機虛擬化環(huán)境中的數(shù)據(jù)防泄露方法。數(shù)據(jù)防泄露方法包括:在計算機操作系統(tǒng)中注冊文件系統(tǒng)模塊和中間層模塊,文件系統(tǒng)模塊在計算機中創(chuàng)建經(jīng)加密的文件存儲空間;在用戶啟動操作系統(tǒng)后,運行與用戶相關(guān)聯(lián)的虛擬化環(huán)境,并在文件存儲空間中為虛擬化環(huán)境配置目標存儲文件;通過中間層模塊監(jiān)視用戶對虛擬化環(huán)境的操作,并將相應(yīng)產(chǎn)生的用戶數(shù)據(jù)重定向至目標存儲文件,以保護用戶數(shù)據(jù),防止用戶數(shù)據(jù)泄露。本發(fā)明通過加密的文件存儲空間來重定向虛擬化環(huán)境中的用戶數(shù)據(jù),能夠?qū)τ脩魯?shù)據(jù)進行安全保護,防止用戶數(shù)據(jù)泄露,并且對用戶的操作透明,不會影響用戶的操作。
【專利說明】計算機虛擬化環(huán)境中的數(shù)據(jù)防泄露方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機應(yīng)用領(lǐng)域,尤其是涉及一種計算機虛擬化環(huán)境中的數(shù)據(jù)防泄露方法。
【背景技術(shù)】
[0002]虛擬化技術(shù)是為用戶提供基于物理硬件的邏輯使用場景,包括計算機硬件虛擬化、桌面虛擬化等。硬件虛擬化是指在真實的計算機硬件基礎(chǔ)上為用戶虛擬出多個相同的虛擬化環(huán)境,每個虛擬化環(huán)境都可以在原有的計算機硬件基礎(chǔ)上運行各自的操作系統(tǒng)。桌面虛擬化是以云服務(wù)為基礎(chǔ),為用戶提供一個系統(tǒng)桌面,但所有的操作和數(shù)據(jù)、計算等都在云服務(wù)器上進行。
[0003]在虛擬化環(huán)境中,敏感的用戶數(shù)據(jù)視為用戶的隱私,需要嚴格保密,因此,數(shù)據(jù)防泄漏是目前信息安全領(lǐng)域的重要需求。在數(shù)據(jù)防泄漏方面要求對用戶數(shù)據(jù)進行安全保護。但是,現(xiàn)有技術(shù)中的計算機直接暴漏在網(wǎng)絡(luò)中或者管理員面前,如果網(wǎng)絡(luò)存在安全漏洞或者管理員不可信,那么用戶數(shù)據(jù)將會被泄露、被竊取。
【發(fā)明內(nèi)容】
[0004]本發(fā)明所要解決的技術(shù)問題是:針對上述存在的問題,提供一種計算機虛擬化環(huán)境中的數(shù)據(jù)防泄露方法,能夠?qū)τ脩魯?shù)據(jù)進行安全保護,防止用戶數(shù)據(jù)泄露,并且對用戶的操作透明,不會影響用戶的操作。
[0005]本發(fā)明采用的技術(shù)方案是提供一種計算機虛擬化環(huán)境中的數(shù)據(jù)防泄露方法,所述數(shù)據(jù)防泄露方法包括:在計算機操作系統(tǒng)中注冊文件系統(tǒng)模塊和中間層模塊,所述文件系統(tǒng)模塊在計算機中創(chuàng)建經(jīng)加密的文件存儲空間;在用戶啟動所述操作系統(tǒng)后,運行與用戶相關(guān)聯(lián)的虛擬化環(huán)境,并在所述文件存儲空間中為所述虛擬化環(huán)境配置目標存儲文件;通過所述中間層模塊監(jiān)視用戶對所述虛擬化環(huán)境的操作,并將相應(yīng)產(chǎn)生的用戶數(shù)據(jù)重定向至所述目標存儲文件,以保護所述用戶數(shù)據(jù),防止所述用戶數(shù)據(jù)泄露。
[0006]優(yōu)選地,所述數(shù)據(jù)防泄露方法還包括:在用戶注銷或退出所述虛擬化環(huán)境時,通過所述文件系統(tǒng)模塊銷毀所述目標存儲文件。
[0007]優(yōu)選地,所述用戶數(shù)據(jù)至少包括下面一種:文件瀏覽緩存數(shù)據(jù)、文件操作數(shù)據(jù)、注冊表數(shù)據(jù)和虛擬化環(huán)境的系統(tǒng)緩存數(shù)據(jù)。
[0008]優(yōu)選地,所述虛擬化環(huán)境由用戶啟動運行或者在所述操作系統(tǒng)上自行啟動運行。
[0009]優(yōu)選地,所述文件系統(tǒng)模塊對所述文件存儲空間的讀寫進行加密。
[0010]優(yōu)選地,所述操作系統(tǒng)為Windows XP或Windows7。
[0011]綜上所述,由于采用了上述技術(shù)方案,本發(fā)明的有益效果是:由文件系統(tǒng)模塊創(chuàng)建經(jīng)加密的文件存儲空間,由中間層模塊監(jiān)視用戶對虛擬化環(huán)境的操作,并將相應(yīng)產(chǎn)生的用戶數(shù)據(jù)重定向至目標存儲文件,由于目標存儲文件受加密保護,從而能夠?qū)τ脩魯?shù)據(jù)進行安全保護,防止用戶數(shù)據(jù)泄露,并且對用戶的操作透明,不會影響用戶的操作,對數(shù)據(jù)防泄漏技術(shù)的標準化將起到積極的促進作用。
【專利附圖】
【附圖說明】
[0012]本發(fā)明將通過例子并參照附圖的方式說明,其中:
[0013]圖1是本發(fā)明計算機虛擬化環(huán)境中的數(shù)據(jù)防泄露方法一個實施例的流程示意圖。
[0014]圖2是本實施例的數(shù)據(jù)泄露方法的實現(xiàn)原理圖。
【具體實施方式】
[0015]本說明書中公開的所有特征,或公開的所有方法或過程中的步驟,除了互相排斥的特征和/或步驟以外,均可以以任何方式組合。
[0016]本說明書中公開的任一特征,除非特別敘述,均可被其他等效或具有類似目的的替代特征加以替換。即,除非特別敘述,每個特征只是一系列等效或類似特征中的一個例子而已。
[0017]如圖1所示,是本發(fā)明計算機虛擬化環(huán)境中的數(shù)據(jù)防泄露方法一個實施例的流程示意圖。本實施例的數(shù)據(jù)防泄露方法包括以下步驟:
[0018]Sll:在計算機操作系統(tǒng)中注冊文件系統(tǒng)模塊和中間層模塊,文件系統(tǒng)模塊在計算機中創(chuàng)建經(jīng)加密的文件存儲空間。
[0019]S12:在用戶啟動操作系統(tǒng)后,運行與用戶相關(guān)聯(lián)的虛擬化環(huán)境,并在文件存儲空間中為虛擬化環(huán)境配置目標存儲文件。
[0020]S13:通過中間層模塊監(jiān)視用戶對虛擬化環(huán)境的操作,并將相應(yīng)產(chǎn)生的用戶數(shù)據(jù)重定向至目標存儲文件,以保護用戶數(shù)據(jù),防止用戶數(shù)據(jù)泄露。
[0021]具體地,本實施例的操作系統(tǒng)可以是Windows XP或Windows7等。文件存儲空間可以建立在計算機的物理磁盤上。用戶數(shù)據(jù)至少包括文件瀏覽緩存數(shù)據(jù)、文件操作數(shù)據(jù)、注冊表數(shù)據(jù)和虛擬化環(huán)境的系統(tǒng)緩存數(shù)據(jù)中的一種,當(dāng)然,還可以用戶數(shù)據(jù)還可以是其它涉及用戶隱私或安全的數(shù)據(jù),例如,用戶在網(wǎng)頁上輸入的賬號、密碼等信息。用戶開機啟動并進入操作系統(tǒng)后,虛擬化環(huán)境可以由用戶啟動運行或者在操作系統(tǒng)上自行啟動運行,操作系統(tǒng)啟動時默認加載并啟動虛擬化環(huán)境。在虛擬化環(huán)境中,用戶的所有操作都和操作系統(tǒng)隔離。
[0022]由于用戶數(shù)據(jù)在目標存儲文件中受到加密保護,不會被泄露。即使目標存儲文件被竊取,目標存儲文件也處于密文狀態(tài),從而為用戶提供安全的系統(tǒng)運行環(huán)境??蛇x地,文件系統(tǒng)模塊對文件存儲空間的讀寫進行加密。
[0023]可選地,數(shù)據(jù)防泄露方法還包括:在用戶注銷或退出虛擬化環(huán)境時,通過文件系統(tǒng)模塊銷毀目標存儲文件。在用戶注銷或退出虛擬化環(huán)境時,目標存儲文件會被粉碎并銷毀,并且無法恢復(fù),所以不會泄漏用戶任何的敏感信息。
[0024]本發(fā)明實施例中計算機依靠文件系統(tǒng)模塊和中間層模塊對用戶數(shù)據(jù)進行保護,形成一個完整的數(shù)據(jù)保護體系。下面描述本發(fā)明實施例的技術(shù)特點:
[0025]1.在實際應(yīng)用中通過HOOK (鉤子)技術(shù)對文件存儲空間進行加密處理。
[0026]2.修改系統(tǒng)緩存機制,使用系統(tǒng)運行時產(chǎn)生的緩存文件或臨時文件重定向到目標存儲文件。[0027]3.實現(xiàn)虛擬化注冊表,虛擬化環(huán)境內(nèi)的注冊表操作被重定向到目標存儲文件進行保護。
[0028]4.實現(xiàn)文件系統(tǒng)加密保護,對文件系統(tǒng)的操作數(shù)據(jù)進行加密保護,確保存儲在文件系統(tǒng)中的文件是密文狀態(tài)。
[0029]5.用戶注銷后,會自動清除和粉碎虛擬化化環(huán)境中產(chǎn)生的所有數(shù)據(jù)。
[0030]6.可以適應(yīng)于多種常用的操作系統(tǒng),包括Windows XP、Windows7等。
[0031]下面結(jié)合圖2說明本發(fā)明實施例的實現(xiàn)原理。
[0032]計算機的操作系統(tǒng)上虛擬出多個虛擬化環(huán)境,包括虛擬化環(huán)境I和虛擬換環(huán)境2。每個虛擬化環(huán)境中包括虛擬文件瀏覽緩存目錄、虛擬磁盤驅(qū)動器、虛擬注冊表和虛擬系統(tǒng)緩存目錄。虛擬文件瀏覽緩存目錄用于記錄文件瀏覽緩存數(shù)據(jù),虛擬磁盤驅(qū)動器用于記錄文件操作數(shù)據(jù),虛擬注冊表用于記錄注冊表數(shù)據(jù),虛擬系統(tǒng)緩存目錄用于記錄虛擬化環(huán)境的系統(tǒng)緩存數(shù)據(jù)。
[0033]再應(yīng)用本實施例的數(shù)據(jù)防泄漏方法時,需要在計算機操作系統(tǒng)中注冊文件系統(tǒng)模塊和中間層模塊,文件系統(tǒng)模塊在計算機中創(chuàng)建經(jīng)加密的文件存儲空間。文件存存空間是計算機物理磁盤存儲空間的一部分。中間層模塊分為瀏覽緩存重定向模塊、文件操作重定向模塊、注冊表重定向模塊、系統(tǒng)緩存重定向模塊。瀏覽緩存重定向模塊用于監(jiān)視各虛擬化環(huán)境中的虛擬文件瀏覽緩存目錄并將其中的文件瀏覽緩存數(shù)據(jù)重定向到文件存儲空間中的目標存儲文件。文件操作重定向模塊用于監(jiān)視各虛擬化環(huán)境中的虛擬磁盤驅(qū)動器并將其中的文件操作數(shù)據(jù)重定向到目標存儲文件。注冊表重定向模塊用于監(jiān)視各虛擬化環(huán)境中的虛擬注冊表并將其中的注冊表數(shù)據(jù)重定向到目標存儲文件。系統(tǒng)緩存重定向模塊用于監(jiān)視各虛擬化環(huán)境中的虛擬系統(tǒng)緩存目錄并將其中的系統(tǒng)緩存數(shù)據(jù)重定向到目標存儲文件。
[0034]通過上述方式,本發(fā)明的數(shù)據(jù)防泄露方法通過注冊文件系統(tǒng)模塊和中間層模塊到操作系統(tǒng),文件系統(tǒng)模塊創(chuàng)建經(jīng)加密的文件存儲空間,由中間層模塊監(jiān)視用戶對虛擬化環(huán)境的操作,并將相應(yīng)產(chǎn)生的用戶數(shù)據(jù)重定向至目標存儲文件,由于目標存儲文件受加密保護,從而能夠?qū)τ脩魯?shù)據(jù)進行安全保護,防止用戶數(shù)據(jù)泄露,即使目標存儲文件被竊取,目標存儲文件也處于密文狀態(tài)。并且對用戶的操作透明,不會影響用戶的操作,對數(shù)據(jù)防泄漏技術(shù)的標準化將起到積極的促進作用,
[0035]本發(fā)明并不局限于前述的【具體實施方式】。本發(fā)明擴展到任何在本說明書中披露的新特征或任何新的組合,以及披露的任一新的方法或過程的步驟或任何新的組合。
【權(quán)利要求】
1.一種計算機虛擬化環(huán)境中的數(shù)據(jù)防泄露方法,其特征在于,所述數(shù)據(jù)防泄露方法包括: 在計算機操作系統(tǒng)中注冊文件系統(tǒng)模塊和中間層模塊,所述文件系統(tǒng)模塊在計算機中創(chuàng)建經(jīng)加密的文件存儲空間; 在用戶啟動所述操作系統(tǒng)后,運行與用戶相關(guān)聯(lián)的虛擬化環(huán)境,并在所述文件存儲空間中為所述虛擬化環(huán)境配置目標存儲文件; 通過所述中間層模塊監(jiān)視用戶對所述虛擬化環(huán)境的操作,并將相應(yīng)產(chǎn)生的用戶數(shù)據(jù)重定向至所述目標存儲文件,以保護所述用戶數(shù)據(jù),防止所述用戶數(shù)據(jù)泄露。
2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)防泄露方法,其特征在于,所述數(shù)據(jù)防泄露方法還包括: 在用戶注銷或退出所述虛擬化環(huán)境時,通過所述文件系統(tǒng)模塊銷毀所述目標存儲文件。
3.根據(jù)權(quán)利要求1或2所述的數(shù)據(jù)防泄露方法,其特征在于,所述用戶數(shù)據(jù)至少包括下面一種: 文件瀏覽緩存數(shù)據(jù)、文件操作數(shù)據(jù)、注冊表數(shù)據(jù)和虛擬化環(huán)境的系統(tǒng)緩存數(shù)據(jù)。
4.根據(jù)權(quán)利要求1所述的數(shù)據(jù)防泄露方法,其特征在于,所述虛擬化環(huán)境由用戶啟動運行或者在所述操作系統(tǒng)上自行啟動運行。
5.根據(jù)權(quán)利要求1所述的數(shù)據(jù)防泄露方法,其特征在于,所述文件系統(tǒng)模塊對所述文件存儲空間的讀寫進行加密。
6.根據(jù)權(quán)利要求1所述的數(shù)據(jù)防泄露方法,其特征在于,所述操作系統(tǒng)為WindowsXP或 Windows7。
【文檔編號】G06F21/62GK104021354SQ201410283457
【公開日】2014年9月3日 申請日期:2014年6月23日 優(yōu)先權(quán)日:2014年6月23日
【發(fā)明者】鄒雷 申請人:成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司