【技术实现步骤摘要】
基于移动存储器的数据黑洞处理方法及移动存储器
本专利技术涉及计算机安全领域,尤其涉及一种基于移动存储器的数据黑洞处理方法及移动存储器。
技术介绍
现有的电子信息安全领域包括系统安全、数据安全和设备安全三个子领域。在数据安全领域内,一般采用下面三种技术确保数据安全:(1)数据内容安全技术,包括数据加密解密技术和端到端数据加密技术,保障数据在存储和传输过程中内容不被非法读取;(2)数据安全转移技术,包括防止非法拷贝、打印或其它输出,保障数据在使用和转移过程中的安全;(3)网络阻断技术,包括网络物理阻断和设置网络屏障等技术。根据相关分析,目前针对计算机的所有危害总有效侦测能力最多在50%左右;由于上述技术在应对计算机内核病毒、木马、操作系统漏洞、系统后门以及人为泄密时能力不足,事实上任何计算设备(包括例如计算机、笔记本电脑、手持通信设备等)都可能存在恶意代码。一旦恶意代码进入终端系统,上述的加密技术、防拷贝技术以及网络阻断技术都将失去作用。现有的黑客技术可以利用系统漏洞或系统后门穿透上述安全技术并植入恶意代码,并利用恶意代码取得用户数据。上述技术更无法防范涉密人员的主动或被动泄密,例如,内部人员可以携带存储设备,从内部网络或终端上下载所需的资料并带走存储设备,导致内部泄密;又例如,内部人员可以直接将计算设备带走。综上,防拷贝技术无法保证涉密信息在终端不被非法存储。基于网络过滤无法确保涉密信息不丢失。涉密人员可通过恶意代码或恶意工具造成泄密,还可能因涉密设备或存储介质失控造成泄密。
技术实现思路
本专利技术的目的是提供一种基于移动存储器的数据黑洞处理方法及移动存储器, ...
【技术保护点】
一种基于移动存储器的数据黑洞处理方法,包括:在计算设备部署数据黑洞系统,使之成为数据黑洞终端;数据黑洞系统是指将计算设备运行过程中的过程数据和运行结果存储至特定存储位置并且能够确保计算设备正常运行的系统;建立数据黑洞空间,包括在所述移动存储器上开辟的数据存储区域,其中,该数据存储区只能由数据黑洞系统访问,不能被操作系统或应用层软件访问,所述移动存储器与计算设备耦接;为计算设备的用户与数据黑洞空间或数据黑洞空间的一部分建立对应关系;将用户在数据黑洞终端操作所产生的数据写重定向到与该用户对应的数据黑洞空间;阻止对于本地存储设备的数据持久化操作,并且阻止通过本地端口对非数据黑洞终端的数据输出,从而保证进入数据黑洞终端或者数据黑洞空间的数据只在数据黑洞空间存在。
【技术特征摘要】
1.一种基于移动存储器的数据黑洞处理方法,包括:在计算设备部署数据黑洞系统,使之成为数据黑洞终端;数据黑洞系统是指将计算设备运行过程中的过程数据和运行结果存储至特定存储位置并且能够确保计算设备正常运行的系统;建立数据黑洞空间,包括在所述移动存储器上开辟的数据存储区域,其中,该数据存储区只能由数据黑洞系统访问,不能被操作系统或应用层软件访问,所述移动存储器与计算设备耦接;为计算设备的用户与数据黑洞空间或数据黑洞空间的一部分建立对应关系;将用户在数据黑洞终端操作所产生的数据写重定向到与该用户对应的数据黑洞空间;阻止对于本地存储设备的数据持久化操作,并且阻止通过本地端口对非数据黑洞终端的数据输出,从而保证进入数据黑洞终端或者数据黑洞空间的数据只在数据黑洞空间存在。2.如权利要求1所述的基于移动存储器的数据黑洞处理方法,其中,部署数据黑洞系统包括部署数据安全存储方法,将用户在数据黑洞终端操作所产生的数据写重定向到与该用户对应的数据黑洞空间通过数据安全存储方法实现,数据安全存储方法包括:接收硬件指令;如果该硬件指令是存储指令,修改存储指令中的目标地址为当前用户对应的数据黑洞空间的存储地址;和将修改后的存储指令发送到硬件层执行。3.如权利要求2所述的基于移动存储器的数据黑洞处理方法,其中,部署数据黑洞系统包括部署数据安全读取方法,数据安全读取方法包括:接收硬件指令;如果该硬件指令是读取指令并且其欲读取的数据已经被存储到数据黑洞空间,更改读取指令的源地址为当前用户对应的数据黑洞空间的存储地址;将修改后的读取指令发送到硬件层执行。4.如权利要求2所述的基于移动存储器的数据黑洞处理方法,其中,部署数据黑洞系统包括部署数据安全读取方法,数据安全读取方法包括:接收硬件指令;如果该硬件指令是读取指令并且其欲读取的数据已经被存储到数据黑洞空间,为用户提供一种选择:读取本地数据或数据黑洞空间数据,并根据用户的选择来读取本地数据或数据黑洞空间数据;将修改后的读取指令发送到硬件层执行。5.如权利要求4所述的基于移动存储器的数据黑洞处理方法,其中,读取数据黑洞空间数据包括:更改读取指令的源地址为当前用户对应的数据黑洞空间的存储地址。6.如权利要求3或4所述的基于移动存储器的数据黑洞处理方法,其中,接收硬件指令包括:接收来自硬件抽象层的硬件指令。7.如权利要求1所述的基于移动存储器的数据黑洞处理方法,其中,部署数据黑洞系统包括部署数据安全存储方法,将用户在数据黑洞终端操作所产生的数据写重定向到与该用户对应的数据黑洞空间通过数据安全存储方法实现,数据安全存储方法包括:缓存指令运行环境,包括地址寄存器,地址寄存器用于保存下一条将要运行的机器指令的地址,该地址为第一地址;获取待调度的机器指令片段,其中,待调度的机器指令片段的最后一条指令为第一程序转移指令;分析待调度的机器指令片段中的每一条指令,如果其为存储指令,则修改所述存储指令中的目标地址为对应的数据黑洞空间的存储地址;在所述第一程序转移指令前,插入第二程序转移指令,生成具有第二地址的重组指令片段,其中,第二程序转移指令指向指令重组平台的入口地址;将所述地址寄存器中的第一地址修改为第二地址;和恢复所述指令运行环境。8.如权利要求1所述的基于移动存储器的数据黑洞处理方法,其中,部署数据黑洞系统包括部署数据安全存储方法,将用户在数据黑洞终端操作所产生的数据写重定向到与该用户对应的数据黑洞空间通过数据安全存储方法实现,数据安全存储方法包括:缓存指令运行环境;从第一存储位置读取目标地址,根据目标地址获取待调度的机器指令片段;待调度的机器指令片段的最后一条指令为第一程序转移指令;在第一存储位置保存第一程序转移指令的目标地址;分析待调度的机器指令片段中的每一条指令,如果其为存储指令,则修改所述存储指令中的目标地址为对应的数据黑洞空间的存储地址;将第一程序转移指令替换为第二程序转移指令,生成具有第二地址的重组指令片段;所述第二程序转移指令指向指令重组平台的入口地址;和恢复所述指令运行环境,并跳转到第二地址继续执行。9.如权利要求1所述的基于移动存储器的数据黑洞处理方法,其中,部署数据黑洞系统包括部署数据安全存储方法,将用户在数据黑洞终端操作所产生的数据写重定...
【专利技术属性】
技术研发人员:汪家祥,
申请(专利权)人:北京中天安泰信息科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。