一種基于虛擬隔離機(jī)制的云環(huán)境下數(shù)據(jù)防泄漏方法
【專利摘要】本發(fā)明公開了一種基于虛擬隔離機(jī)制的云環(huán)境下數(shù)據(jù)防泄漏方法,步驟如下:(1)將私有云系統(tǒng)的用戶訪問終端劃分為安全云盤、虛擬隔離運(yùn)行環(huán)境和I/O代理進(jìn)程;(2)用戶進(jìn)程對(duì)安全云盤的訪問都需要經(jīng)過I/O代理進(jìn)程,I/O代理進(jìn)程根據(jù)策略對(duì)所有進(jìn)程的操作進(jìn)行控制;(3)將用戶訪問終端內(nèi)的用戶進(jìn)程分為可信進(jìn)程和非可信進(jìn)程,當(dāng)非可信進(jìn)程或可信進(jìn)程嘗試訪問安全云盤時(shí),可信進(jìn)程被標(biāo)記為受控進(jìn)程,在虛擬隔離運(yùn)行環(huán)境下進(jìn)行隔離運(yùn)行;非可信進(jìn)程則被禁止。本發(fā)明可全方位保護(hù)私有云環(huán)境下端系統(tǒng)用戶的數(shù)據(jù)安全,保證私有云系統(tǒng)的用戶端的安全性和可靠性;該方法對(duì)端用戶資源要求不高,可以適應(yīng)各種類型的客戶端系統(tǒng)。
【專利說明】一種基于虛擬隔離機(jī)制的云環(huán)境下數(shù)據(jù)防泄漏方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云環(huán)境下數(shù)據(jù)保護(hù)領(lǐng)域,具體是一種基于虛擬隔離機(jī)制的云環(huán)境下數(shù) 據(jù)防泄漏方法。
【背景技術(shù)】
[0002]近年來,隨著云存儲(chǔ)技術(shù)的發(fā)展與應(yīng)用,越來越多的企業(yè)希望搭建屬于自己的私 有云存儲(chǔ)系統(tǒng)為企業(yè)提供可靠存儲(chǔ)服務(wù)。國外典型的云存儲(chǔ)服務(wù)產(chǎn)品有Dropbox、Sky Drive 等,國內(nèi)主要有金山快盤、360云盤、百度云盤等。這些云存儲(chǔ)系統(tǒng)在終端用戶以云盤的形 式存在,提供文件自動(dòng)雙向同步功能,具有非常好的用戶體驗(yàn)。對(duì)于企業(yè)單位來說,它能夠 對(duì)企業(yè)內(nèi)部終端主機(jī)上的電子文件進(jìn)行實(shí)時(shí)同步與共享,支持移動(dòng)和協(xié)同辦公,具有非常 大的應(yīng)用前景,但也帶來了極大地安全隱患。云盤中數(shù)據(jù)文件在使用過程中存在著眾多的 信息泄露途徑:木馬病毒竊取,用戶有意或無意的泄露以及通過網(wǎng)絡(luò)和外部設(shè)備泄露等等。 因此,在目前開放式網(wǎng)絡(luò)環(huán)境下,尤其是云存儲(chǔ)環(huán)境下,如何將數(shù)據(jù)以一種可信賴的方式存 儲(chǔ)并保證數(shù)據(jù)在使用過程中的安全性和可靠性,已經(jīng)成為計(jì)算機(jī)信息安全研究中的一個(gè)重 要問題。
[0003]針對(duì)該問題的已有的解決方法包括,將一部分?jǐn)?shù)據(jù)處理和安全控制功能集成到存 儲(chǔ)設(shè)備中以增強(qiáng)存儲(chǔ)設(shè)備的安全性,如基于面向?qū)ο蠓椒▽?shí)現(xiàn)主動(dòng)存儲(chǔ)、以虛擬存儲(chǔ)映射 方式實(shí)現(xiàn)的網(wǎng)絡(luò)智能磁盤等,這些方法主要側(cè)重提高數(shù)據(jù)存儲(chǔ)的安全性,而較少考慮計(jì)算 機(jī)終端的應(yīng)用環(huán)境和進(jìn)程對(duì)數(shù)據(jù)的使用是否可信。針對(duì)終端的數(shù)據(jù)安全問題,v Mware等廠 商提出了虛擬桌面架構(gòu),通過虛擬隔離改善了軟件運(yùn)行環(huán)境的可信性;部分研究者提出利 用虛擬機(jī)監(jiān)視器為用戶程序提供安全保護(hù)層,隔離保護(hù)用戶程序的內(nèi)存空間,確保軟件運(yùn) 行環(huán)境可靠。這些虛擬化技術(shù)的出現(xiàn)促進(jìn)了軟件運(yùn)行環(huán)境可信性研究,在此基礎(chǔ)上提出的 方法包括能夠?yàn)槊舾袛?shù)據(jù)應(yīng)用環(huán)境提供可信性保障的可信虛擬域和基于可信虛擬域的安 全可擴(kuò)展的企業(yè)版權(quán)管理方案。這些基于硬件層虛擬機(jī)實(shí)現(xiàn)的解決方法,比較適合于分布 式服務(wù)應(yīng)用中的數(shù)據(jù)保護(hù),而對(duì)于終端存儲(chǔ)中的數(shù)據(jù)保護(hù),則存在開銷太大、性能不高的問 題,同時(shí)無法自然的與用戶原有的系統(tǒng)進(jìn)行直接融合,需要進(jìn)行環(huán)境切換。
[0004]總而言之,目前在云環(huán)境下數(shù)據(jù)保護(hù)方面,已有的解決方法要么聚焦于存儲(chǔ)本身, 將相關(guān)的保護(hù)技術(shù)疊加在存儲(chǔ)設(shè)備或者存儲(chǔ)系統(tǒng)上,較少考慮訪問數(shù)據(jù)的端用戶,無法確 保數(shù)據(jù)到達(dá)用戶端后的安全;要么基于硬件層虛擬機(jī)實(shí)現(xiàn)用戶數(shù)據(jù)和運(yùn)行環(huán)境的隔離,對(duì) 端用戶資源要求高,性能無法滿足需求,且割裂用戶研究熟悉的環(huán)境和使用習(xí)慣。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的在于提供一種基于虛擬隔離機(jī)制的云環(huán)境下數(shù)據(jù)防泄漏方法,可全 方位保護(hù)私有云環(huán)境下端系統(tǒng)用戶的數(shù)據(jù)安全,確保關(guān)鍵數(shù)據(jù)在端用戶訪問和使用過程中 不會(huì)泄露。
[0006] 為實(shí)現(xiàn)上述目的,本發(fā)明提供如下技術(shù)方案: 一種基于虛擬隔離機(jī)制的云環(huán)境下數(shù)據(jù)防泄漏方法,步驟如下: (1) 將私有云系統(tǒng)的用戶訪問終端劃分為安全云盤、虛擬隔離運(yùn)行環(huán)境和I/O代理進(jìn) 程; (2) 用戶進(jìn)程對(duì)安全云盤的訪問都需要經(jīng)過I/O代理進(jìn)程,I/O代理進(jìn)程根據(jù)策略對(duì)所 有進(jìn)程的操作進(jìn)行控制; (3) 將用戶訪問終端內(nèi)的用戶進(jìn)程分為可信進(jìn)程和非可信進(jìn)程,當(dāng)非可信進(jìn)程或可信 進(jìn)程嘗試訪問安全云盤時(shí),可信進(jìn)程被標(biāo)記為受控進(jìn)程,在虛擬隔離運(yùn)行環(huán)境下進(jìn)行隔離 運(yùn)行;非可信進(jìn)程則被禁止。
[0007]作為本發(fā)明進(jìn)一步的方案:所述步驟(3)中受控進(jìn)程在虛擬隔離運(yùn)行環(huán)境下進(jìn)行 隔離運(yùn)行,包括如下隔離方法: 1) ^控進(jìn)程運(yùn)行時(shí)的內(nèi)存數(shù)據(jù)被隔離保護(hù),無法與非可信進(jìn)程進(jìn)行交互; 2) 受控進(jìn)程對(duì)云盤文件讀寫操作,全部由I/O代理進(jìn)程進(jìn)行安全控制; 3) 受控進(jìn)程以只讀方式使用本地磁盤數(shù)據(jù),對(duì)本地存儲(chǔ)所有文件寫操作都通過1/0代 理進(jìn)程以重定向方式,加密寫入臨時(shí)安全緩存進(jìn)行隔離,讀取時(shí)通過代理程序解密讀?。?4) 受控進(jìn)程只能以只讀方式使用本地外部設(shè)備,寫操作被禁止; 5) 受控進(jìn)程只能訪問指定的可信網(wǎng)絡(luò),隔離其對(duì)風(fēng)險(xiǎn)網(wǎng)絡(luò)的訪問。
[000S]作為本發(fā)明進(jìn)一步的方案:所述安全云盤以網(wǎng)絡(luò)硬盤形式展現(xiàn)。
[0009]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:本發(fā)明解決了私有云環(huán)境下關(guān)鍵數(shù)據(jù)在 端用戶處可能存在的信息泄露問題,通過安全云盤實(shí)現(xiàn)加密存儲(chǔ)和加密雙向自動(dòng)同步,確 保了關(guān)鍵數(shù)據(jù)在傳輸通道上的安全;通過虛擬隔離運(yùn)行環(huán)境隔絕非可信進(jìn)程對(duì)關(guān)鍵數(shù)據(jù)的 訪問,控制^控可信進(jìn)程只能以只讀方式訪問本地磁盤數(shù)據(jù)和本地外設(shè),隔離受控可信進(jìn) 程對(duì)非可信網(wǎng)絡(luò)的訪問;通過I/O代理進(jìn)程,實(shí)現(xiàn)受控可信進(jìn)程透明訪問安全云盤內(nèi)的關(guān) 鍵數(shù)據(jù),并隔絕非可信進(jìn)程對(duì)安全云盤的訪問,該方法可全方位保護(hù)私有云環(huán)境下端系統(tǒng) 用戶的數(shù)據(jù)安全,確保關(guān)鍵數(shù)據(jù)在端用戶訪問和使用過程中不會(huì)泄露,保證私有云系統(tǒng)的 用戶端的安全性和可靠性,同時(shí),該方法對(duì)端用戶資源要求不高,可以適應(yīng)各種類型的客戶 端系統(tǒng),對(duì)客戶端系統(tǒng)的性能和用戶的使用習(xí)慣影響較小,方便在實(shí)際中部署和使用。
[0010]
【專利附圖】
【附圖說明】 圖1是基于虛擬隔1機(jī)_云職下麵防翻施巾私転纖祕(mì)架構(gòu)圖; 圖2是基于虛_離機(jī)_云3?下數(shù)嫌麵施巾安全云盤棚戶側(cè)終端的 存儲(chǔ)及同步示意圖; 圖3是基于虛擬關(guān)機(jī)_云環(huán)±1下數(shù)插觀施巾用戶訪隨馳擬隔離運(yùn)行 環(huán)境和I/O代理進(jìn)程的示意圖; 圖4是基于虛?編離棚的云環(huán)境下麵麵漏施中趣隔離運(yùn)行環(huán)灘型圖。
【具體實(shí)施方式】
[0011 ]下面將結(jié)合本發(fā)明實(shí)施例及附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整 地鍵,顯然,所鍵的實(shí)肺I]僅僅是本發(fā)明一部分實(shí)翻,而不是全部的實(shí)酬?;诒?發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí) 施例,都屬于本發(fā)明保護(hù)的范圍。
[0012]本發(fā)明實(shí)施例中,一種基于虛擬隔離機(jī)制的云環(huán)境下數(shù)據(jù)防泄漏方法,步驟如 下: (1) 將私有z?系統(tǒng)的用戶訪問終端劃分為安全云盤、虛擬隔離運(yùn)行環(huán)境和IZO代理進(jìn) 程; (2) 用戶進(jìn)程對(duì)安全云盤的訪問都需要經(jīng)過〗/〇代理進(jìn)程,;[/0代理進(jìn)程根據(jù)策略對(duì)所 有進(jìn)程的操作進(jìn)行控制。
[0013] (3)將用戶訪問終端內(nèi)的用戶進(jìn)程分為可信進(jìn)程和非可信進(jìn)程,當(dāng)非可信進(jìn)程或 可信進(jìn)程嘗試訪問安全云盤時(shí),可信進(jìn)程被標(biāo)記為受控進(jìn)程,在虛擬隔離運(yùn)行環(huán)境下進(jìn)行 隔離運(yùn)行;非可信進(jìn)程則被禁止。
[0014]在詳細(xì)描述本發(fā)明的具體實(shí)施方法前,先描述本發(fā)明所針對(duì)的私有云環(huán)境系統(tǒng)的 系統(tǒng)架構(gòu)。請(qǐng)參閱圖1,本發(fā)明所涉及的私有云環(huán)境系統(tǒng)總體架構(gòu)如下,從邏輯上包括三類 對(duì)象,分別是云存儲(chǔ)系統(tǒng)、管理服務(wù)器和用戶訪問終端。
[0015]云存儲(chǔ)系統(tǒng)用于加密存儲(chǔ)整個(gè)私有云系統(tǒng)的數(shù)據(jù),端用戶在需要使用云存儲(chǔ)系統(tǒng) 中的數(shù)據(jù)時(shí),通過其用戶訪問終端,根據(jù)管理服務(wù)器設(shè)置的相應(yīng)控制策略,基于可信網(wǎng)絡(luò)的 加密安全信道訪問并使用云存儲(chǔ)系統(tǒng)中的加密數(shù)據(jù)。私有云存儲(chǔ)系統(tǒng)由私有云系統(tǒng)的所有 者自己構(gòu)建,具有完全的所有權(quán),可以確保云存儲(chǔ)系統(tǒng)的數(shù)據(jù)安全性。
[0016]管理服務(wù)器負(fù)責(zé)對(duì)私有云系統(tǒng)的用戶和數(shù)據(jù)文件進(jìn)行管理,通過相應(yīng)的管理配置 ,略確定每個(gè)用戶在指定的時(shí)刻可以訪問和使用哪些數(shù)據(jù)文件,并將這些配置策略分發(fā)到 云存儲(chǔ)系統(tǒng)和用戶訪問終端,以實(shí)現(xiàn)對(duì)數(shù)據(jù)文件的控制和保護(hù)。
[0017]用戶訪問終端是指安裝 Windows 2000、Windows 2003、Windows XP、Windows 7、 Windows8等操作系統(tǒng)的PC機(jī)或者服務(wù)器,可以按照管理服務(wù)器的策略,通過可信網(wǎng)絡(luò)的加 密安全信道讀寫私有云存儲(chǔ)系統(tǒng)中的數(shù)據(jù),私有云系統(tǒng)的數(shù)據(jù)在用戶訪問終端斷開與私有 云系統(tǒng)的連接期間,可以暫時(shí)安全的存儲(chǔ)在用戶訪問終端上并在用戶訪問終端重新接入私 有云系統(tǒng)后自動(dòng)完成與云存儲(chǔ)系統(tǒng)的同步。
[0018]請(qǐng)參閱圖2,安全云盤在用戶訪問終端上以網(wǎng)絡(luò)硬盤的形式存在,該網(wǎng)絡(luò)硬盤中的 數(shù)據(jù)以加密的形式存儲(chǔ),用戶訪問終端的中央處理器上運(yùn)行的進(jìn)程在獲得必要的授權(quán)后, 可以像訪問本地磁盤一樣直接透明訪問該網(wǎng)絡(luò)硬盤中的加密數(shù)據(jù),加解密過程對(duì)用戶透 明用戶訪問終端上安全云盤內(nèi)的數(shù)據(jù)通過可信網(wǎng)絡(luò)信道,以加密的方式在用戶訪問終端 和云存儲(chǔ)系統(tǒng)之間傳輸,雙向?qū)崟r(shí)同步,在用戶訪問終端與云存儲(chǔ)系統(tǒng)斷開連接期間,數(shù)據(jù) 以密文的形式存在用戶訪問終端上,在用戶訪問終端與云存儲(chǔ)系統(tǒng)之間重新建立連接后自 動(dòng)同步。
[0019]請(qǐng)參閱圖3,本發(fā)明將用戶訪問終端內(nèi)的用戶進(jìn)程分為可信進(jìn)程和非可信進(jìn)程兩 類??尚胚M(jìn)程即是在管理服務(wù)器的配置下可以訪問安全云盤中的數(shù)據(jù)的用戶進(jìn)程,可信進(jìn) 程了旦訪問了安全云盤或者臨時(shí)安全存儲(chǔ)區(qū)域中的數(shù)據(jù),則說明該進(jìn)程己經(jīng)接觸了受保護(hù) 白勺關(guān)鍵數(shù)據(jù),則將該進(jìn)程標(biāo)記為受控進(jìn)程,并將其強(qiáng)制置于虛擬隔離運(yùn)行環(huán)境中進(jìn)行隔離 運(yùn)行。非可信進(jìn)程在任何情況下均不允許訪問安全云盤或者臨時(shí)安全存儲(chǔ)區(qū)域中的數(shù)據(jù)。 [00 20]虛擬運(yùn)行環(huán)境提供以下五個(gè)方面的安全隔離措施: 1)內(nèi)存隔離受控進(jìn)程運(yùn)行時(shí)的內(nèi)存數(shù)據(jù)被隔離保護(hù),無法與非可信進(jìn)程進(jìn)行交 互; 2) 網(wǎng)絡(luò)隔尚受控進(jìn)程只能訪問指定的可信網(wǎng)絡(luò),隔尚其對(duì)其他非可?目網(wǎng)絡(luò)的訪 問; 3) 本地外設(shè)操作單向隔離受控進(jìn)程只能以只讀方式訪問本地外設(shè),如U盤、刻錄光 驅(qū)和打印機(jī)等,寫操作被完全禁止; 4) 本地文件訪問隔離受控進(jìn)程只能以只讀方式使用本地磁盤數(shù)據(jù),對(duì)本地存儲(chǔ)所 有文件寫操作都通過I/O代理進(jìn)程以重定向方式,加密寫入臨時(shí)安全緩存進(jìn)行隔離,讀取 時(shí)通過I/O代理進(jìn)程解密讀取; 5) 安全云盤數(shù)據(jù)操作隔離受控進(jìn)程對(duì)云盤文件的讀寫操作,全部由I/O代理進(jìn)程 進(jìn)行安全控制。
[0021] 虛擬運(yùn)行環(huán)境實(shí)現(xiàn)安全隔離控制的核心是有效控制進(jìn)程的運(yùn)行環(huán)境,本質(zhì)上可以 看作是將數(shù)據(jù)與進(jìn)程一起劃分安全域。實(shí)際上訪問安全云盤的受控進(jìn)程運(yùn)行時(shí),該進(jìn)程同 時(shí)須訪問相關(guān)配置文件和臨時(shí)文件(由于這些文件是進(jìn)程運(yùn)行必需的,本文稱這些文件為 進(jìn)程運(yùn)行文件,簡稱運(yùn)行文件),這些文件一般在安全云盤之外,對(duì)于這種可能跨越安全域 和非安全域的進(jìn)程,單純的隔離雖然可以保證數(shù)據(jù)的安全性但是會(huì)造成進(jìn)程運(yùn)行環(huán)境破壞 導(dǎo)致進(jìn)程運(yùn)行錯(cuò)誤。
[0022] 本發(fā)明所提出的數(shù)據(jù)防泄漏方法中,將可信網(wǎng)絡(luò)、臨時(shí)安全存儲(chǔ)、安全云盤和受控 進(jìn)程劃為一個(gè)安全域,共同構(gòu)成隔離虛擬運(yùn)行環(huán)境,在該環(huán)境內(nèi)綜合利用網(wǎng)絡(luò)訪問過濾技 術(shù)、內(nèi)存空間保護(hù)技術(shù)和文件過濾驅(qū)動(dòng)技術(shù),確保數(shù)據(jù)只會(huì)流動(dòng)于安全域內(nèi),防止敏感數(shù)據(jù) 外泄。圖4是虛擬隔離運(yùn)行環(huán)境的模塊示意圖,其提供的隔離功能通過如下三個(gè)模塊實(shí)現(xiàn), 受控進(jìn)程對(duì)關(guān)鍵數(shù)據(jù)的訪問均需通過三個(gè)模塊的一個(gè)或者多個(gè)進(jìn)行安全隔離: 1)文件過濾模塊受控進(jìn)程對(duì)非云盤內(nèi)文件進(jìn)行寫操作時(shí),將會(huì)觸發(fā)動(dòng)態(tài)重定向操 作:若是創(chuàng)建或?qū)戇\(yùn)行文件請(qǐng)求,則在臨時(shí)安全緩存中拷貝產(chǎn)生對(duì)應(yīng)的副本文件,再將該請(qǐng) 求重定向到臨時(shí)安全緩存中進(jìn)行訪問;如果是其它訪問請(qǐng)求,如讀請(qǐng)求,則將請(qǐng)求重定向到 對(duì)應(yīng)的副本文件,對(duì)該副本進(jìn)行操作。通過重定向操作,可以確保受控進(jìn)程可以任意讀取u 盤等外設(shè)內(nèi)文件數(shù)據(jù)以及本地存儲(chǔ)上運(yùn)行文件數(shù)據(jù),但是使用中這些數(shù)據(jù)只會(huì)流動(dòng)于虛擬 隔離運(yùn)行環(huán)境內(nèi)。為不影響上層應(yīng)用程序的執(zhí)行,重定向操作需要在應(yīng)用層以下實(shí)現(xiàn)并且 對(duì)上層應(yīng)用透明。
[0023] 2)網(wǎng)絡(luò)包過濾模塊受控進(jìn)程根據(jù)管理服務(wù)器下發(fā)的訪問控制策略表對(duì)受控進(jìn) 程的網(wǎng)絡(luò)訪問進(jìn)行數(shù)據(jù)包過濾,使它只能與可信網(wǎng)絡(luò)進(jìn)行安全通信,同時(shí)為了保證數(shù)據(jù)的 安全性,要求可信網(wǎng)絡(luò)內(nèi)所有進(jìn)程都處于隔離虛擬運(yùn)行環(huán)境內(nèi)執(zhí)行。
[0024] 3)內(nèi)存過濾模塊利用內(nèi)存鉤子技術(shù)監(jiān)控受控進(jìn)程對(duì)剪貼板和跨進(jìn)程的讀寫操 作,禁止非可信進(jìn)程訪問剪貼板內(nèi)敏感數(shù)據(jù),允許可信進(jìn)程訪問剪貼板內(nèi)敏感數(shù)據(jù)??尚?進(jìn)程=旦訪問了剪貼板內(nèi)的敏感數(shù)據(jù),該進(jìn)程就會(huì)被標(biāo)注為受控進(jìn)程,被強(qiáng)制置于虛擬隔 離運(yùn)行環(huán)境下進(jìn)行隔離運(yùn)行。同時(shí)利用鉤子技術(shù)可信進(jìn)程監(jiān)控對(duì)注冊(cè)表的訪問操作操作, 將其對(duì)注冊(cè)表的寫操作重定向到虛擬注冊(cè)表內(nèi),禁止非可信進(jìn)程訪問虛擬注冊(cè)表內(nèi)敏感數(shù) 據(jù),允許可信進(jìn)程訪問虛擬注冊(cè)表??尚胚M(jìn)程一旦訪問了虛擬注冊(cè)表內(nèi)的敏感數(shù)據(jù),該進(jìn)程 就會(huì)被標(biāo)注為受控進(jìn)程,被強(qiáng)制置于虛擬隔離運(yùn)行環(huán)境下進(jìn)行隔離運(yùn)行。
[0025]下面,基于信息流模型對(duì)本發(fā)明所提出數(shù)據(jù)防泄漏方法所涉及的信息流進(jìn)行描述 和分析,將安全控制規(guī)則轉(zhuǎn)換為信息流規(guī)則,進(jìn)而給出該方法的數(shù)據(jù)防泄漏安全性證明。
[0026] 令DS、DC和DL分別表示主機(jī)上安全云盤內(nèi)的文件集合、臨時(shí)安全緩存內(nèi)文件集 合和其它本地文件集合;f 1,f2,…,fn p (DS _ DC談DL),n e N表示主機(jī)中的文件;PC、 PT和ro分別表示虛擬隔離運(yùn)行環(huán)境內(nèi)的受控進(jìn)程、虛擬隔離運(yùn)行環(huán)境外的可信進(jìn)程集合 和非可信進(jìn)程,pl,p2, ...,pm e (PC? PT u ro),me N,表示主機(jī)上系統(tǒng)運(yùn)行的進(jìn)程;,表 示t時(shí)刻的信息流請(qǐng)求;4表示t時(shí)刻的實(shí)際信息流動(dòng)·根據(jù)前述本發(fā)明所提出的進(jìn)程讀 寫文件數(shù)據(jù)的控制機(jī)制,給出如下信息流規(guī)則: 規(guī)則1若可信進(jìn)程和非可信進(jìn)程請(qǐng)求讀安全云盤內(nèi)的文件和臨時(shí)安全緩存內(nèi)的文件, 被拒絕訪問即牌戶々貨>%,/今辟1^抑 規(guī)則2若虛擬隔離運(yùn)行環(huán)境外的可信進(jìn)程請(qǐng)求讀安全云盤中的文件,在規(guī)則允許的情 況下,將該進(jìn)程放置到虛擬隔離運(yùn)行環(huán)境內(nèi)受控運(yùn)行,該進(jìn)程轉(zhuǎn)變?yōu)槭芸剡M(jìn)程,即 規(guī)則3若虛擬隔離運(yùn)行環(huán)境內(nèi)的受控進(jìn)程請(qǐng)求對(duì)安全云盤外的文件進(jìn)行寫操作,則在 臨時(shí)安全緩存中創(chuàng)建該文件的副本,并將寫操作請(qǐng)求重定向到對(duì)該副本的操作,即 Vf ?&,ρ^ PC,p.-^ f^CpBeOBAndCkif^iJ,/)^ (ji-f Λ # > 17CT) 規(guī)則4若虛擬隔離運(yùn)行環(huán)境內(nèi)的受控進(jìn)程與虛擬隔離運(yùn)行環(huán)境外的進(jìn)程進(jìn)行數(shù)據(jù)交 互通信,在規(guī)則允許的情況下,需要將虛擬隔離運(yùn)行環(huán)境外的進(jìn)程放置到虛擬隔離運(yùn)行環(huán) 境內(nèi)受控運(yùn)行,該進(jìn)程轉(zhuǎn)變?yōu)槭芸剡M(jìn)程,即 VP% FTkjFD^p FC.p:^ p Λ Vi ^ PC 基于以上規(guī)則,可得到在虛擬隔離運(yùn)行環(huán)境下數(shù)據(jù)防泄漏的安全定理: 定理1在虛擬隔離運(yùn)行環(huán)境下,安全云盤內(nèi)文件內(nèi)容在訪問和使用過程中不會(huì)泄露到 安全云盤和臨時(shí)安全緩存外。
[0027] 證明采取反證法證明。假設(shè)安全云盤內(nèi)文件內(nèi)容可以泄露到云盤和臨時(shí)安全緩 存外,即存在如下信息流: 3/ei〇 ZJS,3i >i^f f 由于信息具有傳遞性,且信息流動(dòng)主要由進(jìn)程對(duì)文件的讀、寫以及進(jìn)程間通信三種操 作觸發(fā),因此有 iJPCkjPTi.jMi^i <t <t <t,f f 由規(guī)則3可知,由于受控進(jìn)程禁止寫文件數(shù)據(jù)到本地文件集合中,故,否 則不存在p-vi。
[0028] 下面對(duì)聲-?v /_存在的2種情況討論分析: 1)若身在/時(shí)刻直接讀取f/,若根據(jù)規(guī)則1可知,F(xiàn)會(huì)被拒絕讀??;若根據(jù)規(guī)則2可 知,巧·界,與6抓艱矛盾。
[0029] f。由規(guī)則 4 可知,,因 為受控進(jìn)程的狀態(tài)不可能轉(zhuǎn)換為非可信進(jìn)程和可信進(jìn)程。與類似遞歸分析聲、/, 必然存在./在%時(shí)刻直接讀取3:::::,且;由(1)知,也存在矛盾。
[0030]綜上所述,假設(shè)ir%取丑雜/勺風(fēng)不合理,故結(jié)論成立。
[0031]根據(jù)定理1可知,云盤內(nèi)文件內(nèi)容在訪問和使用過程中將被限制于云盤和臨時(shí)安 全緩存內(nèi);由于云盤和臨時(shí)安全緩存內(nèi)的文件數(shù)據(jù)是加密存儲(chǔ),且只能由受控進(jìn)程訪問,因 此對(duì)于外部威脅主體如木馬、病毒進(jìn)程無法解密訪問,而對(duì)于內(nèi)部威脅主體即企業(yè)內(nèi)部成 員,雖然通過受控進(jìn)程可以解密訪問,但是無法攜帶明文數(shù)據(jù)離開該主機(jī)和云盤系統(tǒng)(除非 在信息安全管理員授權(quán)許可的情況下),造成泄密事件發(fā)生。
[0032^本發(fā)明解決了私有云環(huán)境下關(guān)鍵數(shù)據(jù)在端用戶處可能存在的信息泄露問題,通過 安全云^實(shí)現(xiàn)加密存儲(chǔ)和加密雙向自動(dòng)同步,確保了關(guān)鍵數(shù)據(jù)在傳輸通道上的安全;通過 虛擬隔離運(yùn)行環(huán)境隔絕非可信進(jìn)程對(duì)關(guān)鍵數(shù)據(jù)的訪問,控制受控可信進(jìn)程只能以只讀方式 訪問本地磁盤數(shù)據(jù)和本地外設(shè),隔離受控可信進(jìn)程對(duì)非可信網(wǎng)絡(luò)的訪問;通過I/O代理進(jìn) 程,實(shí)現(xiàn)受控可信進(jìn)程透明訪問安全云盤內(nèi)的關(guān)鍵數(shù)據(jù),并隔絕非可信進(jìn)程對(duì)安全云盤的 訪問,該方法可全方位保護(hù)私有云環(huán)境下端系統(tǒng)用戶的數(shù)據(jù)安全,確保關(guān)鍵數(shù)據(jù)在端用戶 訪問和使用過程中不會(huì)泄露,保證私有云系統(tǒng)的用戶端的安全性和可靠性,同時(shí),該方法對(duì) 端用戶資源要求不高,可以適應(yīng)各種類型的客戶端系統(tǒng),對(duì)客戶端系統(tǒng)的性能和用戶的使 用習(xí)慣影響較小,方便在實(shí)際中部署和使用。
[00331對(duì)于本領(lǐng)域技術(shù)人員而言,顯然本發(fā)明不限于上述示范性實(shí)施例的細(xì)節(jié),而且在 不背離本發(fā)明的精神或基本特征的情況下,能夠以其他的具體形式實(shí)現(xiàn)本發(fā)明。因此,無論 從哪一點(diǎn)來看,均應(yīng)將實(shí)施例看作是示范性的,而且是非限制性的,本發(fā)明的范圍由所附權(quán) 利要求而不是上述說明限定,因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有 變化囊括在本發(fā)明內(nèi)。
[0034]此外,應(yīng)當(dāng)理解,雖然本說明書按照實(shí)施方式加以描述,但并非每個(gè)實(shí)施方式僅包 含一個(gè)獨(dú)立的技術(shù)方案,說明書的這種敘述方式僅僅是為清楚起見,本領(lǐng)域技術(shù)人員應(yīng)當(dāng) 將說明書作為一個(gè)整體,各實(shí)施例中的技術(shù)方案也可以經(jīng)適當(dāng)組合,形成本領(lǐng)域技術(shù)人員 可以理解的其他實(shí)施方式。
【權(quán)利要求】
1. 一種基于虛擬隔離機(jī)制的云環(huán)境下數(shù)據(jù)防泄漏方法,其特征在于,步驟如下: (1) 將私有云系統(tǒng)的用戶訪問終端劃分為安全云盤、虛擬隔離運(yùn)行環(huán)境和I/O代理進(jìn) 程; (2) 用戶進(jìn)程對(duì)安全云盤的訪問都需要經(jīng)過I/O代理進(jìn)程,I/O代理進(jìn)程根據(jù)策略對(duì)所 有進(jìn)程的操作進(jìn)行控制; (3) 將用戶訪問終端內(nèi)的用戶進(jìn)程分為可信進(jìn)程和非可信進(jìn)程,當(dāng)非可信進(jìn)程或可信 進(jìn)程嘗試訪問安全云盤時(shí),可信進(jìn)程被標(biāo)記為受控進(jìn)程,在虛擬隔離運(yùn)行環(huán)境下進(jìn)行隔離 運(yùn)行;非可信進(jìn)程則被禁止。
2. 根據(jù)權(quán)利要求1所述的基于虛擬隔離機(jī)制的云環(huán)境下數(shù)據(jù)防泄漏方法,其特征在 于,所述步驟(3)中受控進(jìn)程在虛擬隔離運(yùn)行環(huán)境下進(jìn)行隔離運(yùn)行,包括如下隔離方法 : 1) 受控進(jìn)程運(yùn)行時(shí)的內(nèi)存數(shù)據(jù)被隔離保護(hù),無法與非可信進(jìn)程進(jìn)行交互; 2) 受控進(jìn)程對(duì)云盤文件讀寫操作,全部由I/O代理進(jìn)程進(jìn)行安全控制; 3) 受控進(jìn)程以只讀方式使用本地磁盤數(shù)據(jù),對(duì)本地存儲(chǔ)所有文件寫操作都通過I/O代 理進(jìn)程以重定向方式,加密寫入臨時(shí)安全緩存進(jìn)行隔離,讀取時(shí)通過代理程序解密讀取; 4) 受控進(jìn)程只能以只讀方式使用本地外部設(shè)備,寫操作被禁止; 5) 受控進(jìn)程只能訪問指定的可信網(wǎng)絡(luò),隔離其對(duì)風(fēng)險(xiǎn)網(wǎng)絡(luò)的訪問。
3. 根據(jù)權(quán)利要求1所述的基于虛擬隔離機(jī)制的云環(huán)境下數(shù)據(jù)防泄漏方法,其特征在 于,所述安全云盤以網(wǎng)絡(luò)硬盤形式展現(xiàn)。
【文檔編號(hào)】G06F21/62GK104268484SQ201410492514
【公開日】2015年1月7日 申請(qǐng)日期:2014年9月24日 優(yōu)先權(quán)日:2014年9月24日
【發(fā)明者】陳鋒, 虞萬榮, 鮑愛華 申請(qǐng)人:科云(上海)信息技術(shù)有限公司