本发明专利技术公开了一种基于文件重定向技术的虚拟化安全桌面,通过登陆控制模块确保使用该安全桌面用户的合法性;通过加密虚拟存储文件系统对用户的操作行为结果进行可靠性保护;通过用户操作中间层将虚拟安全桌面内用户的操作结果在“内部”重定向到加密虚拟存储文件系统并在通信加密模块和黑白名单控制模块下对整个重定向过程进行加密和监控。虚拟安全桌面系统与原桌面“完全隔离”,彼此间不能进行文件的粘贴、拷贝、挪动等操作;原桌面系统上的文件均被映射到虚拟桌面上相同目录下;而虚拟桌面内用户的所有操作产生的结果(文件、注册表、临时缓存等)均会加密后进行重定向处理,从而保证虚拟桌面内的所有操作安全可靠、可控。
【技术实现步骤摘要】
基于文件重定向技术的虚拟化安全桌面
本专利技术属于信息安全领域中的主机安全,其涉及基于文件重定向技术的虚拟化技术、通信加密技术、主机登陆控制技术等,实现对虚拟桌面登陆控制、虚拟桌面内系统文件、用户文件、注册表文件等数据操作重定向,来防止内部数据的泄露,以达到桌面环境安全。
技术介绍
在微软宣布将于2014年4月8日正式停止对window XP的技术支持,系统和补丁更新以来,根据市场调查公司Net Applicat1nd报告显示,在2013年7月全球14亿window个人电脑中(微软数据)37.2%的个人电脑仍在使用window XP操作系统,而其中,中国高居其72.1%。由此可见,国内的行内用户和个人用户对window XP依赖性特别高。在微软完全停止对该操作系统的服务支持后,中国PC和信息系统将面临巨大的安全、整体IT架构升级、信息系统迁移、企业内应用兼容和设备驱动等难题。 另一方面,从微软安全报告中发布的数据了解到,window XP中内置的安全缓解功能已经不能减弱当前存在的诸多现代攻击。据有关window操作系统的恶意软件感染率数据表明,window XP的感染率远高于目前其他操作系统的感染率。而微软可信计算部门主管蒂姆.雷恩斯所引用的微软统计数据表明:在window XP Service Pack2服务支持停止2年后,其恶意软件感染率高达66 %。 对于这样的情况,通常采用的策略是直接升级到其他系统,然而像大、中型企业、军队、机关等这种基于对软件基础架构依赖高,操作系统升级复杂、不确定性以及投资回报率的考虑,实施大面积的升级换代在时间上一般会延迟大概5年左右,而这期间电脑中的数据将面临多重安全隐患。 目前,虽然国内外很多信息安全相关企业已经在主机数据安全方面做了深入的研究,并发布了各种安全防护系统,但这种防护系统主要是以进程为单位,功能为导向对各种特定操作行为(比如打印、刻录)进行限制,能够一定程度的减缓这些隐患,但不能从根本解决主机所面临的数据泄漏隐患(比如最近几年出现的泄密事件、艳照门事件)。因此急需一套系统来解决过渡时期所面临的主机数据防泄漏问题。
技术实现思路
为了克服现有技术的上述缺点,本专利技术提供了一种基于文件重定向技术的虚拟化安全桌面系统。 本专利技术解决其技术问题所采用的技术方案是:一种基于文件重定向技术的虚拟化安全桌面,包括如下三大部分: 一、通过登陆控制模块确保使用该安全桌面用户的合法性: 安全桌面系统的启动与主机登录控制模块进行紧耦合,采取USBKEY+PIN双重认证控制机制登录; 二、通过加密虚拟存储文件系统对用户的操作行为结果进行可靠性保护: 通过加密模块对写入该储存系统的文件、注册表进行加密,以密文的形式储存;用户读取安全桌面内数据时对其进行解密以明文呈现;通过安全管理工具模块对储存的文件进行备份、销毁和与安全桌面系统绑定等进行管理; 三、通过用户操作中间层将虚拟安全桌面内用户的操作结果在“内部”重定向到加密虚拟存储文件系统并在通信加密模块和黑白名单控制模块下对整个重定向过程进行加密和监控。 与现有技术相比,本专利技术的积极效果是:本专利技术基于文件重定向技术实现在一个操作系统上虚拟成一个(或者多个)新的安全桌面环境。该桌面系统与原桌面(也可以终止)“完全隔离”,彼此间不能进行文件的粘贴、拷贝、挪动等操作;原桌面系统上的文件均被映射到虚拟桌面上相同目录下;而虚拟桌面内用户的所有操作产生的结果(文件、注册表、临时缓存等)均会加密后进行重定向处理,从而保证虚拟桌面内的所有操作安全可靠、可控。在用户操作界面和使用习惯上保持了与原桌面相同的使用环境。 在如今高度依赖互联网的时代,数据安全成了信息安全领域新型的安全应用市场需求。将虚拟化安全桌面应用于主机安全防护中,能很好地预防企业内部操作中有意或无意的泄密事件发生。 本专利技术的积极效果具体表现如下: 1、基于文件重定向,将用户在安全桌面内所做的操作产生的文件重定向到指定存储设备下。主要通过对驱动和应用层的API接口进行HOOK重写,保证了重定向过程的可控性; 2、在安全桌面内部所有进程间的通信采用了独立于系统RPC的专用通道,保证通信过程的可靠性。 3、重定向路径的自定义,可以根据实际需求重定向到本机、云盘或云服务器上。 4、实现虚拟化注册表,安全桌面内对注册表的操作同样会被重定向到指定路径的目录下保存(如果存在,则每次登陆后会将该文件初始化到当前注册表下); 5、对安全桌面内所启动的所有应用以进程为单位进行控制,实现安全桌面运行的稳定和可靠; 6、实现文件系统加密保护,对文件系统指定文件或目录的读写进行加密保护,确保存储在文件系统中的文件是密文状态; 7、本专利技术可适应多种常用的操作系统,包括Windows XP> Windows 7等; 8、在整个虚拟安全桌面使用过程中并不对系统文件进行重定向,只在需要的时候只是进行动态加载,因此可以极大地降低整个系统的运行负载以达到轻量级桌面系统的目的。 【附图说明】 本专利技术将通过例子并参照附图的方式说明,其中: 图1是本专利技术的原理图。 【具体实施方式】 基于文件重定向技术的虚拟化安全桌面,如图1所示,包括三大部分: —、通过登陆控制模块确保使用该安全桌面用户的合法性: 安全桌面系统的启动与主机登录控制模块进行紧耦合,采取USBKEY+PIN双重认证控制机制登录;只有在合法机构进行注册并授权的用户才能登录并启动虚拟安全桌面,从而保证登录到虚拟桌面的用户是合法用户。基本实现原理如下: 在主机登录阶段,安全桌面系统会提取用户登录时输入的PIN码,然后对USBKey设备中的授权证书进行合法性验证,只有正确输入PIN码和真正得到合法授权的用户才被允许登录到虚拟安全桌面系统。因此,在安全桌面系统内进行各种操作的用户均是合法用户。 二、通过加密虚拟存储文件系统对用户的操作行为结果进行可靠性保护: 加密虚拟储存文件系统是一个独立的文件储存系统,该系统可以是具有加密功能的云盘、网盘、文件保险箱或者本地磁盘等。 在软件实现方面主要由加密模块、安全管理工具模块等构成;加密模块主要对写入该储存系统的文件、注册表进行加密,以密文的形式储存;用户需读取安全桌面内数据时对其进行解密以明文呈现。管理工具主要对储存其中的文件进行备份、销毁和与安全桌面系统绑定等进行管理。用户在虚拟桌面内的所有操作结果都将储存于该虚拟储存系统中,对用户体验完全透明。 该虚拟储存系统的存在使得安全桌面内操作结果的储存位置可控,并且其储存的内容均以密文的形式存在,保证了敏感信息的安全性。 三、通过用户操作中间层将虚拟安全桌面内用户的操作结果在“内部”重定向到加密虚拟存储文件系统并在通信加密模块和黑白名单控制模块下对整个重定向过程进行加密和监控: 用户操作中间层是整个重定向技术的核心;主要包括通信加密模块、重定向处理模块、黑白名单控制模块,其中: 重定向模块完成虚拟桌面内用户操作的重定向处理功能:其内部实现按照注册表、文件、令牌(TOKEN)、ALPC、进程、服务等进行应用层或底层驱动API接口 HOOK重写,以此实现虚拟桌面环境、虚拟桌面内用本文档来自技高网...
【技术保护点】
一种基于文件重定向技术的虚拟化安全桌面,其特征在于:包括如下三大部分:一、通过登陆控制模块确保使用该安全桌面用户的合法性:安全桌面系统的启动与主机登录控制模块进行紧耦合,采取USBKEY+PIN双重认证控制机制登录;二、通过加密虚拟存储文件系统对用户的操作行为结果进行可靠性保护:通过加密模块对写入该储存系统的文件、注册表进行加密,以密文的形式储存;用户读取安全桌面内数据时对其进行解密以明文呈现;通过安全管理工具模块对储存的文件进行备份、销毁和与安全桌面系统绑定等进行管理;三、通过用户操作中间层将虚拟安全桌面内用户的操作结果在“内部”重定向到加密虚拟存储文件系统并在通信加密模块和黑白名单控制模块下对整个重定向过程进行加密和监控。
【技术特征摘要】
1.一种基于文件重定向技术的虚拟化安全桌面,其特征在于:包括如下三大部分: 一、通过登陆控制模块确保使用该安全桌面用户的合法性: 安全桌面系统的启动与主机登录控制模块进行紧耦合,采取USBKEY+PIN双重认证控制机制登录; 二、通过加密虚拟存储文件系统对用户的操作行为结果进行可靠性保护: 通过加密模块对写入该储存系统的文件、注册表进行加密,以密文的形式储存;用户读取安全桌面内数据时对其进行解密以明文呈现;通过安全管理工具模块对储存的文件进行备份、销毁和与安全桌面系统绑定等进行管理; 三、通过用户操作中间层将虚拟安全桌面内用户的操作结果在“内部”重定向到加密虚拟存储文件系统并在通信加密模块和黑白名单控制模块下对整个重定向过程进行加密和监控。2.根据权利要求1所述的基于文件重定向技术的虚拟化安全桌面,其特征在于:在主机登录阶段,安...
【专利技术属性】
技术研发人员:陈光礼,
申请(专利权)人:成都卫士通信息产业股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。