基于實時加解密技術的完全透明用戶體驗涉密控制系統的制作方法

基于實時加解密技術的完全透明用戶體驗涉密控制系統的制作方法
【技術領域】
[0001]本發明涉及信息安全領域，具體涉及實時加解密以及數據涉密控制。
【背景技術】
[0002]對保存在計算機上的機密數據進行安全保護是人們非常關心的問題，而對機密數據進行安全加密是對數據安全保護最有效的手段。但是傳統加密技術加密的文件必須先解密后才能使用，按照保密規范，在查看一個加密文件時，必須經過解密成明文、查看明文、刪除明文的過程。如果需要修改一個加密文件，則需要經過解密密文、修改明文、保存明文、加密明文的過程。由文件加解密而造成的額外工作，會使得計算機運行速度變慢，降低用戶體驗。而在應用程序的使用過程中，必然會涉及到是否涉密的問題，對涉密數據的行為控制至今沒有一個比較完善的系統的解決方法。

【發明內容】

[0003]本發明針對傳統加密技術和涉密數據行為控制的不足，旨在基于實時加解密技術，設計一種提供完全透明用戶體驗的涉密控制系統。
[0004]本發明解決以上技術問題的技術方案是設計了基于實時加解密技術的完全透明用戶體驗涉密控制系統，其特征在于:包括實時加解密功能模塊和數據涉密控制功能模塊。
[0005]所述實時加解密功能模塊應用實時加解密技術。所述實時加解密技術把計算機的內存與永久存儲器隔離開，保證所有進入永久存儲器的數據都是密文，而進入內存的數據都是明文。所述實時加解密技術的加解密是以管道方式進行的，管道的一端是明文端，連接著應用程序，數據流向應用程序時必須是明文，管道的另一端是密文端，連接著存儲器，不管數據的流向如何，管道兩端的數據屬性不會改變。
[0006]所述數據涉密控制功能模塊對輸出數據涉密行為的控制流程如下所示:
[0007]I)當應用程序輸出數據時，涉密行為鑒別對所述輸出數據進行判斷，判斷所述輸出數據是否涉密。
[0008]2)如果所述輸出數據不涉密，則直接輸出明文。
[0009]如果所述輸出數據涉密，則判斷所述輸出數據是否在主動加密的可控范圍。
[0010]如果所述輸出數據在主動加密的可控范圍，則對所述輸出數據主動加密后輸出。
[0011]如果所述輸出數據不在主動加密的可控范圍，則所述輸出數據由涉密訪問控制處理。
[0012]進一步，所述涉密行為鑒別為主動加密或涉密訪問控制提供依據。應用程序的輸出數據經涉密行為鑒別確定其來源可能是某個機密數據時，對輸出數據主動加密。所述涉密訪問控制，對涉密應用程序的行為以及涉密數據的流向控制，控制實現對保密對象的分級訪問權限。
[0013]進一步，所述實時加解密技術采用文件系統驅動方式。
[0014]進一步，所述涉密訪問控制處理過程是:
[0015]A)判斷所述輸出數據的輸出端是否在安全區域。
[0016]B)如果所述輸出數據的輸出端在安全區域，則正常輸出數據。
[0017]如果所述輸出數據的輸出端不在安全區域，則輸出數據失敗。
[0018]進一步，所述安全區域是指數據放在這些區域，即使不加密也是安全的。安全區域中的數據為機密數據，加密數據進入安全區域時自動解密，數據從安全區域流出時必須落地加密，訪問安全區域和訪問加密文件一樣必須對身份進行驗證。
【附圖說明】
[0019]圖1所示為涉密控制流程圖。
【具體實施方式】
[0020]下面結合實施例對本發明作進一步的詳細描述，但不應該理解為本發明上述主題范圍僅限于下述實施例。在不脫離本發明上述技術思想的情況下，根據本領域普通技術知識和慣用手段，做出各種替換和變更，均應包括在本發明的保護范圍內。
[0021]實施例1:
[0022]本實施例公開一種基于實時加解密技術，提供完全透明用戶體驗的涉密控制系統。
[0023]所述系統包括實時加解密功能模塊和數據涉密控制功能模塊。
[0024]所述實時加解密功能模塊應用實時加解密技術，用戶對基于實時加解密技術的加密文件的使用與一般的明文文件感覺上沒有任何區別。由于加解密工作是全自動按需進行，因此實時加解密技術在處理加密文件時也不需要用戶做任何配合性的額外工作。這些特點使實時加解密技術在實現文件加密的同時幾乎不降低任何人工效率。用戶不需要因為使用保密系統而改變他們即有的操作方式和使用習慣，即所述系統給可以用戶提供完全完全透明的用戶體驗。
[0025]所述實時加解密技術把計算機的內存與永久存儲器隔離開，保證所有進入永久存儲器的數據都是密文，而進入內存的數據都是明文。所述實時加解密技術的加解密是以管道方式進行的，管道的一端是明文端，連接著應用程序，數據流向應用程序時必須是明文，管道的另一端是密文端，連接著存儲器，不管數據的流向如何，管道兩端的數據屬性不會改變。
[0026]所述數據涉密控制功能模塊對輸出數據涉密行為的控制流程如下所示:
[0027]步驟1:當應用程序將數據i從位置A輸出到位置B時，通過涉密行為鑒別判斷數據i是否涉密。
[0028]步驟2:如果數據i不涉密，則將數據i直接輸出到位置B，數據i在位置B以明文存放。
[0029]如果數據i涉密，則判斷數據i輸出位置B是否在主動加密的可控范圍。
[0030]如果輸出位置B在主動加密的可控范圍，則對數據i進行主動加密后輸出，數據i在位置B以密文存放。
[0031]如果數據i輸出位置B不在主動加密的可控范圍，則數據i交由涉密訪問控制處理。
[0032]所述涉密行為鑒別為主動加密或涉密訪問控制提供依據。應用程序的輸出數據經涉密行為鑒別確定其來源可能是某個機密數據時，對輸出數據主動加密。所述涉密訪問控制，對涉密應用程序的行為以及涉密數據的流向控制，控制實現對保密對象的分級訪問權限。
[0033]實施例2:
[0034]本實施例的主要步驟同實施例1，進一步，所述實時加解密技術方法。所述實時加解密技術可以采用采用文件系統驅動方式。基于文件系統驅動的實時加解密技術不僅實現完全透明的用戶體驗，對操作系統中的任何應用，甚至包括來自內核層的請求其數據都是透明的。文件系統實時加解密技術加密文件不改變這個文件的物理存儲位置，其加密的文件完全融入到原來存儲器的文件系統中，因此這種技術可以嵌入現有的應用程序，加密應用程序的全部或部分數據文件甚至程序文件。因其能夠支持操作系統能夠識別的所有存儲器，適合結合其它訪問控制技術(如主動加密技術)組成適用范圍廣、操作透明度高的防內部泄密系統。
[0035]實施例3:
[0036]本實施例的主要步驟同實施例1，進一步，所述涉密訪問控制處理過程可以是:
[0037]判斷所述數據i的輸出端位置B是否在安全區域。
[0038]如果數據i的輸出端位置B在安全區域，則正常輸出數據i到位置B，數據i在位置B以明文存放。
[0039]如果數據i的輸出端位置B不在安全區域，則阻止數據輸出。
[0040]所述安全區域是指數據放在這些區域，即使不加密也是安全的。安全區域中的數據為機密數據，加密數據進入安全區域時自動解密，數據從安全區域流出時必須落地加密，訪問安全區域和訪問加密文件一樣必須對身份進行驗證。
【主權項】
1.基于實時加解密技術的完全透明用戶體驗涉密控制系統，其特征在于:包括實時加解密功能模塊和數據涉密控制功能模塊； 所述實時加解密功能模塊應用實時加解密技術；所述實時加解密技術把計算機的內存與永久存儲器隔離開，保證所有進入永久存儲器的數據都是密文，而進入內存的數據都是明文；所述實時加解密技術的加解密是以管道方式進行的，管道的一端是明文端，連接著應用程序，數據流向應用程序時必須是明文，管道的另一端是密文端，連接著存儲器，不管數據的流向如何，管道兩端的數據屬性不會改變； 所述數據涉密控制功能模塊對輸出數據涉密行為的控制流程如下所示: 1)當應用程序輸出數據時，涉密行為鑒別對所述輸出數據進行判斷，判斷所述輸出數據是否涉密； 2)如果所述輸出數據不涉密，則直接輸出明文； 如果所述輸出數據涉密，則判斷所述輸出數據是否在主動加密的可控范圍； 如果所述輸出數據在主動加密的可控范圍，則對所述輸出數據主動加密后輸出； 如果所述輸出數據不在主動加密的可控范圍，則所述輸出數據由涉密訪問控制處理。
2.根據權利要求1所述的基于實時加解密技術的完全透明用戶體驗涉密控制系統，其特征在于:所述涉密行為鑒別為主動加密或涉密訪問控制提供依據；應用程序的輸出數據經涉密行為鑒別確定其來源可能是某個機密數據時，對輸出數據主動加密；所述涉密訪問控制，對涉密應用程序的行為以及涉密數據的流向控制，控制實現對保密對象的分級訪問權限。
3.根據權利要求1所述的基于實時加解密技術的完全透明用戶體驗涉密控制系統，其特征在于:所述實時加解密技術采用文件系統驅動方式。
4.根據權利要求1所述的基于實時加解密技術的完全透明用戶體驗涉密控制系統，其特征在于:所述涉密訪問控制處理過程是: A)判斷所述輸出數據的輸出端是否在安全區域； B)如果所述輸出數據的輸出端在安全區域，則正常輸出數據； 如果所述輸出數據的輸出端不在安全區域，則輸出數據失敗。
5.根據權利要求4所述的基于實時加解密技術的完全透明用戶體驗涉密控制系統，其特征在于:所述安全區域是指數據放在這些區域，即使不加密也是安全的；安全區域中的數據為機密數據，加密數據進入安全區域時自動解密，數據從安全區域流出時必須落地加密，訪問安全區域和訪問加密文件一樣必須對身份進行驗證。
【專利摘要】本發明公開了一種基于實時加解密技術的完全透明用戶體驗涉密控制系統。該系統包括實時加解密功能模塊和數據涉密控制功能模塊。所述實時加解密功能模塊應用實時加解密技術；所述數據涉密控制功能模塊對輸出數據涉密行為的控制流程如下：當應用程序輸出數據時，涉密行為鑒別對所述輸出數據進行判斷，判斷所述輸出數據是否涉密；若所述輸出數據不涉密，則直接輸出明文；若所述輸出數據涉密，則判斷所述輸出數據是否在主動加密的可控范圍；若所述輸出數據在主動加密的可控范圍，則對所述輸出數據主動加密后輸出；若如果所述輸出數據不在主動加密的可控范圍，則所述輸出數據由涉密訪問控制處理。
【IPC分類】G06F21-62
【公開號】CN104751072
【申請號】CN201510117581
【發明人】劉振宇, 楊雪瑩, 唐紅, 杜青陽
【申請人】山東維固信息科技股份有限公司
【公開日】2015年7月1日
【申請日】2015年3月17日