Search Images Maps Play YouTube News Gmail Drive More »
Sign in
Screen reader users: click this link for accessible mode. Accessible mode has the same essential features but works better with your reader.

Patents

  1. Advanced Patent Search
Publication numberCN104751072 A
Publication typeApplication
Application numberCN 201510117581
Publication dateJul 1, 2015
Filing dateMar 17, 2015
Priority dateMar 17, 2015
Publication number201510117581.1, CN 104751072 A, CN 104751072A, CN 201510117581, CN-A-104751072, CN104751072 A, CN104751072A, CN201510117581, CN201510117581.1
Inventors刘振宇, 杨雪莹, 唐红, 杜青阳
Applicant山东维固信息科技股份有限公司
Export CitationBiBTeX, EndNote, RefMan
External Links: SIPO, Espacenet
基于实时加解密技术的完全透明用户体验涉密控制系统
CN 104751072 A
Abstract
本发明公开了一种基于实时加解密技术的完全透明用户体验涉密控制系统。该系统包括实时加解密功能模块和数据涉密控制功能模块。所述实时加解密功能模块应用实时加解密技术;所述数据涉密控制功能模块对输出数据涉密行为的控制流程如下:当应用程序输出数据时,涉密行为鉴别对所述输出数据进行判断,判断所述输出数据是否涉密;若所述输出数据不涉密,则直接输出明文;若所述输出数据涉密,则判断所述输出数据是否在主动加密的可控范围;若所述输出数据在主动加密的可控范围,则对所述输出数据主动加密后输出;若如果所述输出数据不在主动加密的可控范围,则所述输出数据由涉密访问控制处理。
Claims(5)
1.基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:包括实时加解密功能模块和数据涉密控制功能模块; 所述实时加解密功能模块应用实时加解密技术;所述实时加解密技术把计算机的内存与永久存储器隔离开,保证所有进入永久存储器的数据都是密文,而进入内存的数据都是明文;所述实时加解密技术的加解密是以管道方式进行的,管道的一端是明文端,连接着应用程序,数据流向应用程序时必须是明文,管道的另一端是密文端,连接着存储器,不管数据的流向如何,管道两端的数据属性不会改变; 所述数据涉密控制功能模块对输出数据涉密行为的控制流程如下所示: 1)当应用程序输出数据时,涉密行为鉴别对所述输出数据进行判断,判断所述输出数据是否涉密; 2)如果所述输出数据不涉密,则直接输出明文; 如果所述输出数据涉密,则判断所述输出数据是否在主动加密的可控范围; 如果所述输出数据在主动加密的可控范围,则对所述输出数据主动加密后输出; 如果所述输出数据不在主动加密的可控范围,则所述输出数据由涉密访问控制处理。
2.根据权利要求1所述的基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:所述涉密行为鉴别为主动加密或涉密访问控制提供依据;应用程序的输出数据经涉密行为鉴别确定其来源可能是某个机密数据时,对输出数据主动加密;所述涉密访问控制,对涉密应用程序的行为以及涉密数据的流向控制,控制实现对保密对象的分级访问权限。
3.根据权利要求1所述的基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:所述实时加解密技术采用文件系统驱动方式。
4.根据权利要求1所述的基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:所述涉密访问控制处理过程是: A)判断所述输出数据的输出端是否在安全区域; B)如果所述输出数据的输出端在安全区域,则正常输出数据; 如果所述输出数据的输出端不在安全区域,则输出数据失败。
5.根据权利要求4所述的基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:所述安全区域是指数据放在这些区域,即使不加密也是安全的;安全区域中的数据为机密数据,加密数据进入安全区域时自动解密,数据从安全区域流出时必须落地加密,访问安全区域和访问加密文件一样必须对身份进行验证。
Description
基于实时加解密技术的完全透明用户体验涉密控制系统

技术领域

[0001] 本发明涉及信息安全领域,具体涉及实时加解密以及数据涉密控制。

背景技术

[0002] 对保存在计算机上的机密数据进行安全保护是人们非常关心的问题,而对机密数据进行安全加密是对数据安全保护最有效的手段。但是传统加密技术加密的文件必须先解密后才能使用,按照保密规范,在查看一个加密文件时,必须经过解密成明文、查看明文、删除明文的过程。如果需要修改一个加密文件,则需要经过解密密文、修改明文、保存明文、加密明文的过程。由文件加解密而造成的额外工作,会使得计算机运行速度变慢,降低用户体验。而在应用程序的使用过程中,必然会涉及到是否涉密的问题,对涉密数据的行为控制至今没有一个比较完善的系统的解决方法。

发明内容

[0003] 本发明针对传统加密技术和涉密数据行为控制的不足,旨在基于实时加解密技术,设计一种提供完全透明用户体验的涉密控制系统。

[0004] 本发明解决以上技术问题的技术方案是设计了基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:包括实时加解密功能模块和数据涉密控制功能模块。

[0005] 所述实时加解密功能模块应用实时加解密技术。所述实时加解密技术把计算机的内存与永久存储器隔离开,保证所有进入永久存储器的数据都是密文,而进入内存的数据都是明文。所述实时加解密技术的加解密是以管道方式进行的,管道的一端是明文端,连接着应用程序,数据流向应用程序时必须是明文,管道的另一端是密文端,连接着存储器,不管数据的流向如何,管道两端的数据属性不会改变。

[0006] 所述数据涉密控制功能模块对输出数据涉密行为的控制流程如下所示:

[0007] I)当应用程序输出数据时,涉密行为鉴别对所述输出数据进行判断,判断所述输出数据是否涉密。

[0008] 2)如果所述输出数据不涉密,则直接输出明文。

[0009] 如果所述输出数据涉密,则判断所述输出数据是否在主动加密的可控范围。

[0010] 如果所述输出数据在主动加密的可控范围,则对所述输出数据主动加密后输出。

[0011] 如果所述输出数据不在主动加密的可控范围,则所述输出数据由涉密访问控制处理。

[0012] 进一步,所述涉密行为鉴别为主动加密或涉密访问控制提供依据。应用程序的输出数据经涉密行为鉴别确定其来源可能是某个机密数据时,对输出数据主动加密。所述涉密访问控制,对涉密应用程序的行为以及涉密数据的流向控制,控制实现对保密对象的分级访问权限。

[0013] 进一步,所述实时加解密技术采用文件系统驱动方式。

[0014] 进一步,所述涉密访问控制处理过程是:

[0015] A)判断所述输出数据的输出端是否在安全区域。

[0016] B)如果所述输出数据的输出端在安全区域,则正常输出数据。

[0017] 如果所述输出数据的输出端不在安全区域,则输出数据失败。

[0018] 进一步,所述安全区域是指数据放在这些区域,即使不加密也是安全的。安全区域中的数据为机密数据,加密数据进入安全区域时自动解密,数据从安全区域流出时必须落地加密,访问安全区域和访问加密文件一样必须对身份进行验证。

附图说明

[0019] 图1所示为涉密控制流程图。

具体实施方式

[0020] 下面结合实施例对本发明作进一步的详细描述,但不应该理解为本发明上述主题范围仅限于下述实施例。在不脱离本发明上述技术思想的情况下,根据本领域普通技术知识和惯用手段,做出各种替换和变更,均应包括在本发明的保护范围内。

[0021] 实施例1:

[0022] 本实施例公开一种基于实时加解密技术,提供完全透明用户体验的涉密控制系统。

[0023] 所述系统包括实时加解密功能模块和数据涉密控制功能模块。

[0024] 所述实时加解密功能模块应用实时加解密技术,用户对基于实时加解密技术的加密文件的使用与一般的明文文件感觉上没有任何区别。由于加解密工作是全自动按需进行,因此实时加解密技术在处理加密文件时也不需要用户做任何配合性的额外工作。这些特点使实时加解密技术在实现文件加密的同时几乎不降低任何人工效率。用户不需要因为使用保密系统而改变他们即有的操作方式和使用习惯,即所述系统给可以用户提供完全完全透明的用户体验。

[0025] 所述实时加解密技术把计算机的内存与永久存储器隔离开,保证所有进入永久存储器的数据都是密文,而进入内存的数据都是明文。所述实时加解密技术的加解密是以管道方式进行的,管道的一端是明文端,连接着应用程序,数据流向应用程序时必须是明文,管道的另一端是密文端,连接着存储器,不管数据的流向如何,管道两端的数据属性不会改变。

[0026] 所述数据涉密控制功能模块对输出数据涉密行为的控制流程如下所示:

[0027] 步骤1:当应用程序将数据i从位置A输出到位置B时,通过涉密行为鉴别判断数据i是否涉密。

[0028] 步骤2:如果数据i不涉密,则将数据i直接输出到位置B,数据i在位置B以明文存放。

[0029] 如果数据i涉密,则判断数据i输出位置B是否在主动加密的可控范围。

[0030] 如果输出位置B在主动加密的可控范围,则对数据i进行主动加密后输出,数据i在位置B以密文存放。

[0031] 如果数据i输出位置B不在主动加密的可控范围,则数据i交由涉密访问控制处理。

[0032] 所述涉密行为鉴别为主动加密或涉密访问控制提供依据。应用程序的输出数据经涉密行为鉴别确定其来源可能是某个机密数据时,对输出数据主动加密。所述涉密访问控制,对涉密应用程序的行为以及涉密数据的流向控制,控制实现对保密对象的分级访问权限。

[0033] 实施例2:

[0034] 本实施例的主要步骤同实施例1,进一步,所述实时加解密技术方法。所述实时加解密技术可以采用采用文件系统驱动方式。基于文件系统驱动的实时加解密技术不仅实现完全透明的用户体验,对操作系统中的任何应用,甚至包括来自内核层的请求其数据都是透明的。文件系统实时加解密技术加密文件不改变这个文件的物理存储位置,其加密的文件完全融入到原来存储器的文件系统中,因此这种技术可以嵌入现有的应用程序,加密应用程序的全部或部分数据文件甚至程序文件。因其能够支持操作系统能够识别的所有存储器,适合结合其它访问控制技术(如主动加密技术)组成适用范围广、操作透明度高的防内部泄密系统。

[0035] 实施例3:

[0036] 本实施例的主要步骤同实施例1,进一步,所述涉密访问控制处理过程可以是:

[0037] 判断所述数据i的输出端位置B是否在安全区域。

[0038] 如果数据i的输出端位置B在安全区域,则正常输出数据i到位置B,数据i在位置B以明文存放。

[0039] 如果数据i的输出端位置B不在安全区域,则阻止数据输出。

[0040] 所述安全区域是指数据放在这些区域,即使不加密也是安全的。安全区域中的数据为机密数据,加密数据进入安全区域时自动解密,数据从安全区域流出时必须落地加密,访问安全区域和访问加密文件一样必须对身份进行验证。

Patent Citations
Cited PatentFiling datePublication dateApplicantTitle
CN1776563A *Dec 19, 2005May 24, 2006清华紫光股份有限公司一种基于通用串行总线接口的文件夹加密装置
CN1928881A *Sep 26, 2006Mar 14, 2007南京擎天科技有限公司一种计算机数据安全防护方法
CN101753539A *Dec 1, 2008Jun 23, 2010北京大学;北大方正集团有限公司;北京方正电子政务信息科技有限公司;国家档案局档案科学技术研究所;国家档案局一种网络数据存储方法及服务器
CN103078866A *Jan 14, 2013May 1, 2013成都西可科技有限公司移动平台透明加密方法
CN104335548A *May 31, 2013Feb 4, 2015阿尔卡特朗讯公司安全数据处理
Classifications
International ClassificationG06F21/62
Legal Events
DateCodeEventDescription
Jul 1, 2015C06Publication
Jul 29, 2015C10Entry into substantive examination