CN104751072A - 基于实时加解密技术的完全透明用户体验涉密控制系统 - Google Patents
基于实时加解密技术的完全透明用户体验涉密控制系统 Download PDFInfo
- Publication number
- CN104751072A CN104751072A CN201510117581.1A CN201510117581A CN104751072A CN 104751072 A CN104751072 A CN 104751072A CN 201510117581 A CN201510117581 A CN 201510117581A CN 104751072 A CN104751072 A CN 104751072A
- Authority
- CN
- China
- Prior art keywords
- data
- encryption
- concerning security
- security matters
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开了一种基于实时加解密技术的完全透明用户体验涉密控制系统。该系统包括实时加解密功能模块和数据涉密控制功能模块。所述实时加解密功能模块应用实时加解密技术;所述数据涉密控制功能模块对输出数据涉密行为的控制流程如下:当应用程序输出数据时,涉密行为鉴别对所述输出数据进行判断,判断所述输出数据是否涉密;若所述输出数据不涉密,则直接输出明文;若所述输出数据涉密,则判断所述输出数据是否在主动加密的可控范围;若所述输出数据在主动加密的可控范围,则对所述输出数据主动加密后输出;若如果所述输出数据不在主动加密的可控范围,则所述输出数据由涉密访问控制处理。
Description
技术领域
本发明涉及信息安全领域,具体涉及实时加解密以及数据涉密控制。
背景技术
对保存在计算机上的机密数据进行安全保护是人们非常关心的问题,而对机密数据进行安全加密是对数据安全保护最有效的手段。但是传统加密技术加密的文件必须先解密后才能使用,按照保密规范,在查看一个加密文件时,必须经过解密成明文、查看明文、删除明文的过程。如果需要修改一个加密文件,则需要经过解密密文、修改明文、保存明文、加密明文的过程。由文件加解密而造成的额外工作,会使得计算机运行速度变慢,降低用户体验。而在应用程序的使用过程中,必然会涉及到是否涉密的问题,对涉密数据的行为控制至今没有一个比较完善的系统的解决方法。
发明内容
本发明针对传统加密技术和涉密数据行为控制的不足,旨在基于实时加解密技术,设计一种提供完全透明用户体验的涉密控制系统。
本发明解决以上技术问题的技术方案是设计了基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:包括实时加解密功能模块和数据涉密控制功能模块。
所述实时加解密功能模块应用实时加解密技术。所述实时加解密技术把计算机的内存与永久存储器隔离开,保证所有进入永久存储器的数据都是密文,而进入内存的数据都是明文。所述实时加解密技术的加解密是以管道方式进行的,管道的一端是明文端,连接着应用程序,数据流向应用程序时必须是明文,管道的另一端是密文端,连接着存储器,不管数据的流向如何,管道两端的数据属性不会改变。
所述数据涉密控制功能模块对输出数据涉密行为的控制流程如下所示:
1)当应用程序输出数据时,涉密行为鉴别对所述输出数据进行判断,判断所述输出数据是否涉密。
2)如果所述输出数据不涉密,则直接输出明文。
如果所述输出数据涉密,则判断所述输出数据是否在主动加密的可控范围。
如果所述输出数据在主动加密的可控范围,则对所述输出数据主动加密后输出。
如果所述输出数据不在主动加密的可控范围,则所述输出数据由涉密访问控制处理。
进一步,所述涉密行为鉴别为主动加密或涉密访问控制提供依据。应用程序的输出数据经涉密行为鉴别确定其来源可能是某个机密数据时,对输出数据主动加密。所述涉密访问控制,对涉密应用程序的行为以及涉密数据的流向控制,控制实现对保密对象的分级访问权限。
进一步,所述实时加解密技术采用文件系统驱动方式。
进一步,所述涉密访问控制处理过程是:
A)判断所述输出数据的输出端是否在安全区域。
B)如果所述输出数据的输出端在安全区域,则正常输出数据。
如果所述输出数据的输出端不在安全区域,则输出数据失败。
进一步,所述安全区域是指数据放在这些区域,即使不加密也是安全的。安全区域中的数据为机密数据,加密数据进入安全区域时自动解密,数据从安全区域流出时必须落地加密,访问安全区域和访问加密文件一样必须对身份进行验证。
附图说明
图1所示为涉密控制流程图。
具体实施方式
下面结合实施例对本发明作进一步的详细描述,但不应该理解为本发明上述主题范围仅限于下述实施例。在不脱离本发明上述技术思想的情况下,根据本领域普通技术知识和惯用手段,做出各种替换和变更,均应包括在本发明的保护范围内。
实施例1:
本实施例公开一种基于实时加解密技术,提供完全透明用户体验的涉密控制系统。
所述系统包括实时加解密功能模块和数据涉密控制功能模块。
所述实时加解密功能模块应用实时加解密技术,用户对基于实时加解密技术的加密文件的使用与一般的明文文件感觉上没有任何区别。由于加解密工作是全自动按需进行,因此实时加解密技术在处理加密文件时也不需要用户做任何配合性的额外工作。这些特点使实时加解密技术在实现文件加密的同时几乎不降低任何人工效率。用户不需要因为使用保密系统而改变他们即有的操作方式和使用习惯,即所述系统给可以用户提供完全完全透明的用户体验。
所述实时加解密技术把计算机的内存与永久存储器隔离开,保证所有进入永久存储器的数据都是密文,而进入内存的数据都是明文。所述实时加解密技术的加解密是以管道方式进行的,管道的一端是明文端,连接着应用程序,数据流向应用程序时必须是明文,管道的另一端是密文端,连接着存储器,不管数据的流向如何,管道两端的数据属性不会改变。
所述数据涉密控制功能模块对输出数据涉密行为的控制流程如下所示:
步骤1:当应用程序将数据i从位置A输出到位置B时,通过涉密行为鉴别判断数据i是否涉密。
步骤2:如果数据i不涉密,则将数据i直接输出到位置B,数据i在位置B以明文存放。
如果数据i涉密,则判断数据i输出位置B是否在主动加密的可控范围。
如果输出位置B在主动加密的可控范围,则对数据i进行主动加密后输出,数据i在位置B以密文存放。
如果数据i输出位置B不在主动加密的可控范围,则数据i交由涉密访问控制处理。
所述涉密行为鉴别为主动加密或涉密访问控制提供依据。应用程序的输出数据经涉密行为鉴别确定其来源可能是某个机密数据时,对输出数据主动加密。所述涉密访问控制,对涉密应用程序的行为以及涉密数据的流向控制,控制实现对保密对象的分级访问权限。
实施例2:
本实施例的主要步骤同实施例1,进一步,所述实时加解密技术方法。所述实时加解密技术可以采用采用文件系统驱动方式。基于文件系统驱动的实时加解密技术不仅实现完全透明的用户体验,对操作系统中的任何应用,甚至包括来自内核层的请求其数据都是透明的。文件系统实时加解密技术加密文件不改变这个文件的物理存储位置,其加密的文件完全融入到原来存储器的文件系统中,因此这种技术可以嵌入现有的应用程序,加密应用程序的全部或部分数据文件甚至程序文件。因其能够支持操作系统能够识别的所有存储器,适合结合其它访问控制技术(如主动加密技术)组成适用范围广、操作透明度高的防内部泄密系统。
实施例3:
本实施例的主要步骤同实施例1,进一步,所述涉密访问控制处理过程可以是:
判断所述数据i的输出端位置B是否在安全区域。
如果数据i的输出端位置B在安全区域,则正常输出数据i到位置B,数据i在位置B以明文存放。
如果数据i的输出端位置B不在安全区域,则阻止数据输出。
所述安全区域是指数据放在这些区域,即使不加密也是安全的。安全区域中的数据为机密数据,加密数据进入安全区域时自动解密,数据从安全区域流出时必须落地加密,访问安全区域和访问加密文件一样必须对身份进行验证。
Claims (5)
1.基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:包括实时加解密功能模块和数据涉密控制功能模块;
所述实时加解密功能模块应用实时加解密技术;所述实时加解密技术把计算机的内存与永久存储器隔离开,保证所有进入永久存储器的数据都是密文,而进入内存的数据都是明文;所述实时加解密技术的加解密是以管道方式进行的,管道的一端是明文端,连接着应用程序,数据流向应用程序时必须是明文,管道的另一端是密文端,连接着存储器,不管数据的流向如何,管道两端的数据属性不会改变;
所述数据涉密控制功能模块对输出数据涉密行为的控制流程如下所示:
1)当应用程序输出数据时,涉密行为鉴别对所述输出数据进行判断,判断所述输出数据是否涉密;
2)如果所述输出数据不涉密,则直接输出明文;
如果所述输出数据涉密,则判断所述输出数据是否在主动加密的可控范围;
如果所述输出数据在主动加密的可控范围,则对所述输出数据主动加密后输出;
如果所述输出数据不在主动加密的可控范围,则所述输出数据由涉密访问控制处理。
2.根据权利要求1所述的基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:所述涉密行为鉴别为主动加密或涉密访问控制提供依据;应用程序的输出数据经涉密行为鉴别确定其来源可能是某个机密数据时,对输出数据主动加密;所述涉密访问控制,对涉密应用程序的行为以及涉密数据的流向控制,控制实现对保密对象的分级访问权限。
3.根据权利要求1所述的基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:所述实时加解密技术采用文件系统驱动方式。
4.根据权利要求1所述的基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:所述涉密访问控制处理过程是:
A)判断所述输出数据的输出端是否在安全区域;
B)如果所述输出数据的输出端在安全区域,则正常输出数据;
如果所述输出数据的输出端不在安全区域,则输出数据失败。
5.根据权利要求4所述的基于实时加解密技术的完全透明用户体验涉密控制系统,其特征在于:所述安全区域是指数据放在这些区域,即使不加密也是安全的;安全区域中的数据为机密数据,加密数据进入安全区域时自动解密,数据从安全区域流出时必须落地加密,访问安全区域和访问加密文件一样必须对身份进行验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510117581.1A CN104751072A (zh) | 2015-03-17 | 2015-03-17 | 基于实时加解密技术的完全透明用户体验涉密控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510117581.1A CN104751072A (zh) | 2015-03-17 | 2015-03-17 | 基于实时加解密技术的完全透明用户体验涉密控制系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104751072A true CN104751072A (zh) | 2015-07-01 |
Family
ID=53590741
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510117581.1A Pending CN104751072A (zh) | 2015-03-17 | 2015-03-17 | 基于实时加解密技术的完全透明用户体验涉密控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104751072A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1776563A (zh) * | 2005-12-19 | 2006-05-24 | 清华紫光股份有限公司 | 一种基于通用串行总线接口的文件夹加密装置 |
| CN1928881A (zh) * | 2006-09-26 | 2007-03-14 | 南京擎天科技有限公司 | 一种计算机数据安全防护方法 |
| CN101753539A (zh) * | 2008-12-01 | 2010-06-23 | 北京大学 | 一种网络数据存储方法及服务器 |
| CN103078866A (zh) * | 2013-01-14 | 2013-05-01 | 成都西可科技有限公司 | 移动平台透明加密方法 |
| CN104335548A (zh) * | 2012-06-07 | 2015-02-04 | 阿尔卡特朗讯公司 | 安全数据处理 |
-
2015
- 2015-03-17 CN CN201510117581.1A patent/CN104751072A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1776563A (zh) * | 2005-12-19 | 2006-05-24 | 清华紫光股份有限公司 | 一种基于通用串行总线接口的文件夹加密装置 |
| CN1928881A (zh) * | 2006-09-26 | 2007-03-14 | 南京擎天科技有限公司 | 一种计算机数据安全防护方法 |
| CN101753539A (zh) * | 2008-12-01 | 2010-06-23 | 北京大学 | 一种网络数据存储方法及服务器 |
| CN104335548A (zh) * | 2012-06-07 | 2015-02-04 | 阿尔卡特朗讯公司 | 安全数据处理 |
| CN103078866A (zh) * | 2013-01-14 | 2013-05-01 | 成都西可科技有限公司 | 移动平台透明加密方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103530570A (zh) | 一种电子文档安全管理系统及方法 | |
| WO2020192285A1 (zh) | 一种密钥管理方法、安全芯片、业务服务器及信息系统 | |
| CN101465727B (zh) | 一种保证通信安全的方法、网络设备、装置和通信系统 | |
| CN101098224B (zh) | 对数据文件动态加解密的方法 | |
| CN104063334A (zh) | 一种基于数据属性的加密方法和系统 | |
| CN102609667A (zh) | 基于过滤驱动程序的文件自动加解密系统和方法 | |
| CN104994068A (zh) | 一种云环境下多媒体内容保护和安全分发方法 | |
| CN102236756A (zh) | 一种基于TCM可信密码模块和USBKey的文件加密方法 | |
| CN104618096A (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
| CN102456116A (zh) | 文件加密方法、解密方法及装置 | |
| CN105373744A (zh) | 基于Linux的扩展文件系统加密方法 | |
| CN103440462A (zh) | 一种提高安全微处理器安全保密性能的嵌入式控制方法 | |
| CN104901810A (zh) | 一种基于国产密码算法的数据加密存储的方法 | |
| CN107453880A (zh) | 一种云数据安全存储方法和系统 | |
| CN104660590A (zh) | 一种文件加密安全云存储方案 | |
| CN205584238U (zh) | 一种网络数据加密器 | |
| CN109510702A (zh) | 一种基于计算机特征码的密钥存储及使用的方法 | |
| CN104376270A (zh) | 一种文件保护方法及系统 | |
| CN103607273B (zh) | 一种基于时间期限控制的数据文件加解密方法 | |
| CN104866738A (zh) | 一种程序代码保护方法及装置 | |
| CN106257859A (zh) | 一种密码使用方法 | |
| CN104636662A (zh) | 一种数据处理方法和终端设备 | |
| CN102694645A (zh) | 一种地理空间数据安全保障方法及装置 | |
| CN110391898A (zh) | 一种基于生物密钥的数据管理方法及系统 | |
| CN111343421B (zh) | 一种基于白盒加密的视频共享方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150701 |