基于移动存储器的数据黑洞处理方法及移动存储器技术

本发明专利技术提供一种基于移动存储器的数据黑洞处理方法，包括：在计算设备部署数据黑洞系统，使之成为数据黑洞终端；数据黑洞系统是指将计算设备运行过程中的过程数据和运行结果存储至特定存储位置并且能够确保计算设备正常运行的系统；建立数据黑洞空间，包括在所述移动存储器上开辟的数据存储区域；为计算设备的用户与数据黑洞空间或数据黑洞空间的一部分建立对应关系；将用户在数据黑洞终端操作所产生的数据写重定向到与该用户对应的数据黑洞空间；阻止对于本地存储设备的数据持久化操作，并且阻止通过本地端口对非数据黑洞终端的数据输出。本发明专利技术还提供一种移动存储器。基于移动存储器的数据黑洞处理方法及移动存储器提高数据防泄密的数据安全性。

【技术实现步骤摘要】
基于移动存储器的数据黑洞处理方法及移动存储器
本专利技术涉及计算机安全领域，尤其涉及一种基于移动存储器的数据黑洞处理方法及移动存储器。
技术介绍
现有的电子信息安全领域包括系统安全、数据安全和设备安全三个子领域。在数据安全领域内，一般采用下面三种技术确保数据安全：(1)数据内容安全技术，包括数据加密解密技术和端到端数据加密技术，保障数据在存储和传输过程中内容不被非法读取；(2)数据安全转移技术，包括防止非法拷贝、打印或其它输出，保障数据在使用和转移过程中的安全；(3)网络阻断技术，包括网络物理阻断和设置网络屏障等技术。根据相关分析，目前针对计算机的所有危害总有效侦测能力最多在50％左右；由于上述技术在应对计算机内核病毒、木马、操作系统漏洞、系统后门以及人为泄密时能力不足，事实上任何计算设备(包括例如计算机、笔记本电脑、手持通信设备等)都可能存在恶意代码。一旦恶意代码进入终端系统，上述的加密技术、防拷贝技术以及网络阻断技术都将失去作用。现有的黑客技术可以利用系统漏洞或系统后门穿透上述安全技术并植入恶意代码，并利用恶意代码取得用户数据。上述技术更无法防范涉密人员的主动或被动泄密，例如，内部人员可以携带存储设备，从内部网络或终端上下载所需的资料并带走存储设备，导致内部泄密；又例如，内部人员可以直接将计算设备带走。综上，防拷贝技术无法保证涉密信息在终端不被非法存储。基于网络过滤无法确保涉密信息不丢失。涉密人员可通过恶意代码或恶意工具造成泄密，还可能因涉密设备或存储介质失控造成泄密。
技术实现思路
本专利技术的目的是提供一种基于移动存储器的数据黑洞处理方法及移动存储器，提高数据安全性。根据本专利技术一个方面，提供一种基于移动存储器的数据黑洞处理方法，包括：在计算设备部署数据黑洞系统，使之成为数据黑洞终端；数据黑洞系统是指将计算设备运行过程中的过程数据和运行结果存储至特定存储位置并且能够确保计算设备正常运行的系统；建立数据黑洞空间，包括在所述移动存储器上开辟的数据存储区域，其中，该数据存储区只能由数据黑洞系统访问，不能被操作系统或应用层软件访问，所述移动存储器与计算设备耦接；为计算设备的用户与数据黑洞空间或数据黑洞空间的一部分建立对应关系；将用户在数据黑洞终端操作所产生的数据写重定向到与该用户对应的数据黑洞空间；阻止对于本地存储设备的数据持久化操作，并且阻止通过本地端口对非数据黑洞终端的数据输出，从而保证进入数据黑洞终端或者数据黑洞空间的数据只在数据黑洞空间存在。根据本专利技术另一个方面，提供一种移动存储设备，包括：移动版数据安全存取单元以及安全存储空间，其中，移动存储设备本身携带操作系统，安全存储空间对于操作系统及操作系统之上的软件是不可用的，只能由移动版数据安全存取单元访问；其中，当移动存储设备与计算设备耦接时，计算设备的CPU用于执行移动存储设备本身携带的操作系统，用户通过计算设备的I/O与移动存储设备进行交互，移动版数据安全存取单元接收来自移动存储设备本身携带的操作系统的指令并将其发送给计算设备的CPU；其中，移动版数据安全存取单元包括：接收单元，适于接收硬件指令；指令分析单元，适于判断所述硬件指令是否为存储或读取指令，产生判断信号；指令修改单元，根据判断信号，适于当所述硬件指令为存储指令时，将所述存储指令中的目标地址修改为对应的在安全存储空间内的存储地址；还适于当所述硬件指令为读取指令时，查找映射位图，并根据映射位图的数据修改所述读取指令中的读取地址，其中，所述映射位图用于表示计算设备的本地存储空间的地址的数据是否转储到所述安全存储空间；发送单元，适于将修改后的读取或存储指令发送到硬件层执行。可选的，移动存储设备还包括：更新单元，适于在指令修改单元修改所述存储指令之后，更新映射位图中所述目标地址对应的位。可选的，移动存储设备还包括：加解密单元，与所述安全存储空间耦接，适于对进出安全存储空间的数据进行加解密操作。上述方法和设备提高了数据的安全性。具体的，黑洞空间与用户对应，当黑客通过漏洞、后门、木马等恶意代码取得数据权限后将可以对数据进行复制、转储、发送、截留。但所有向外部设备、端口、用户、终端转发出的数据将被重定向到数据黑洞空间(与用户对应的黑洞空间)中，并在数据黑洞空间(与用户对应的黑洞空间)内完成。因此所有的数据窃取、截留、输出等作业都被在数据黑洞空间内实现。当涉密(有数据权限)人员试图将数据私自留存、私自备份、发送、输出时，所有的数据处理作业都在数据黑洞空间(与用户对应的黑洞空间)内完成，使恶意操作无法泄密。附图说明图1是现有技术中计算设备的系统层次示意图；图2是本专利技术一个实施例中提供的运行时指令重组方法的流程图；图3是本专利技术一个实施例中提供的重组指令片段的生成过程示意图；图4是本专利技术另一个实施例中提供的图2中步骤S102的流程图；图5是本专利技术另一个实施例中提供的运行时指令重组方法的流程图，利用地址对应表保存已经重组过的指令片段；图6是本专利技术另一个实施例中提供的运行时指令重组方法的流程图，单独开辟存储位置保存第一程序转移指令的目标地址；图7是本专利技术另一个实施例中提供的运行时指令重组方法的流程图，针对非固定长度指令集进行反汇编和汇编处理；图8是本专利技术另一个实施例中提供的运行时指令重组方法的流程图，以压栈指令替代或记录第一程序转移指令；图9a是本专利技术另一个实施例中提供的运行时指令重组方法的流程图，其中的运行时指令重组方法综合之前多个实施例中的特征；图9b-9d是图9a中的运行时指令重组方法在X86体系处理器上运行时的操作过程示意图；图10是本专利技术一个实施例中提供的运行时指令重组装置结构示意图；图11是本专利技术另一个实施例中提供的运行时指令重组装置结构示意图；图12是本专利技术另一个实施例中提供的指令重组单元结构示意图；图13是本专利技术另一个实施例中提供的运行时指令重组装置结构示意图；图14是本专利技术另一个实施例中提供的运行时指令重组装置结构示意图；图15是本专利技术一个实施例中计算设备的系统层次示意图；图16是本专利技术一个实施例中提供的数据安全存取过程中的初始化过程的流程图；图17是本专利技术一个实施例中的Bitmap示意图；图18是本专利技术一个实施例中提供的数据安全存储方法的流程图；图19是本专利技术一个实施例中提供的数据安全读取方法的流程图；图20是本专利技术一个实施例中提供的数据安全存取方法的流程图；图21是本专利技术一个实施例中提供的数据安全传输方法的流程图；图22是本专利技术一个实施例中网络环境示意图；图23是本专利技术一个实施例中提供的数据安全存储装置的结构示意图；图24是本专利技术一个实施例中提供的数据安全读取装置的结构示意图；图25是本专利技术一个实施例中提供的数据安全存储和读取装置的结构示意图；图26是本专利技术另一个实施例中提供的数据安全存储和读取装置的结构示意图；图27是本专利技术另一个实施例中提供的数据黑洞空间示意图；图28是本专利技术一个实施例中提供的数据黑洞处理方法的流程图；图29a是本专利技术一个实施例中提供的计算设备的体系架构示意图，其中运行单机版的数据安全存储和读取方法；图29b是本专利技术一个实施例中提供的单机版数据安全存储和读取装置的结构示意图；图30是本专利技术一个实施例中提供的单机版数据黑洞处理方法；图31是本专利技术一个实施例中提供的使用移本文档来自技高网...

【技术保护点】
一种基于移动存储器的数据黑洞处理方法，包括：在计算设备部署数据黑洞系统，使之成为数据黑洞终端；数据黑洞系统是指将计算设备运行过程中的过程数据和运行结果存储至特定存储位置并且能够确保计算设备正常运行的系统；建立数据黑洞空间，包括在所述移动存储器上开辟的数据存储区域，其中，该数据存储区只能由数据黑洞系统访问，不能被操作系统或应用层软件访问，所述移动存储器与计算设备耦接；为计算设备的用户与数据黑洞空间或数据黑洞空间的一部分建立对应关系；将用户在数据黑洞终端操作所产生的数据写重定向到与该用户对应的数据黑洞空间；阻止对于本地存储设备的数据持久化操作，并且阻止通过本地端口对非数据黑洞终端的数据输出，从而保证进入数据黑洞终端或者数据黑洞空间的数据只在数据黑洞空间存在。

【技术特征摘要】
1.一种基于移动存储器的数据黑洞处理方法，包括：在计算设备部署数据黑洞系统，使之成为数据黑洞终端；数据黑洞系统是指将计算设备运行过程中的过程数据和运行结果存储至特定存储位置并且能够确保计算设备正常运行的系统；建立数据黑洞空间，包括在所述移动存储器上开辟的数据存储区域，其中，该数据存储区只能由数据黑洞系统访问，不能被操作系统或应用层软件访问，所述移动存储器与计算设备耦接；为计算设备的用户与数据黑洞空间或数据黑洞空间的一部分建立对应关系；将用户在数据黑洞终端操作所产生的数据写重定向到与该用户对应的数据黑洞空间；阻止对于本地存储设备的数据持久化操作，并且阻止通过本地端口对非数据黑洞终端的数据输出，从而保证进入数据黑洞终端或者数据黑洞空间的数据只在数据黑洞空间存在。2.如权利要求1所述的基于移动存储器的数据黑洞处理方法，其中，部署数据黑洞系统包括部署数据安全存储方法，将用户在数据黑洞终端操作所产生的数据写重定向到与该用户对应的数据黑洞空间通过数据安全存储方法实现，数据安全存储方法包括：接收硬件指令；如果该硬件指令是存储指令，修改存储指令中的目标地址为当前用户对应的数据黑洞空间的存储地址；和将修改后的存储指令发送到硬件层执行。3.如权利要求2所述的基于移动存储器的数据黑洞处理方法，其中，部署数据黑洞系统包括部署数据安全读取方法，数据安全读取方法包括：接收硬件指令；如果该硬件指令是读取指令并且其欲读取的数据已经被存储到数据黑洞空间，更改读取指令的源地址为当前用户对应的数据黑洞空间的存储地址；将修改后的读取指令发送到硬件层执行。4.如权利要求2所述的基于移动存储器的数据黑洞处理方法，其中，部署数据黑洞系统包括部署数据安全读取方法，数据安全读取方法包括：接收硬件指令；如果该硬件指令是读取指令并且其欲读取的数据已经被存储到数据黑洞空间，为用户提供一种选择：读取本地数据或数据黑洞空间数据，并根据用户的选择来读取本地数据或数据黑洞空间数据；将修改后的读取指令发送到硬件层执行。5.如权利要求4所述的基于移动存储器的数据黑洞处理方法，其中，读取数据黑洞空间数据包括：更改读取指令的源地址为当前用户对应的数据黑洞空间的存储地址。6.如权利要求3或4所述的基于移动存储器的数据黑洞处理方法，其中，接收硬件指令包括：接收来自硬件抽象层的硬件指令。7.如权利要求1所述的基于移动存储器的数据黑洞处理方法，其中，部署数据黑洞系统包括部署数据安全存储方法，将用户在数据黑洞终端操作所产生的数据写重定向到与该用户对应的数据黑洞空间通过数据安全存储方法实现，数据安全存储方法包括：缓存指令运行环境，包括地址寄存器，地址寄存器用于保存下一条将要运行的机器指令的地址，该地址为第一地址；获取待调度的机器指令片段，其中，待调度的机器指令片段的最后一条指令为第一程序转移指令；分析待调度的机器指令片段中的每一条指令，如果其为存储指令，则修改所述存储指令中的目标地址为对应的数据黑洞空间的存储地址；在所述第一程序转移指令前，插入第二程序转移指令，生成具有第二地址的重组指令片段，其中，第二程序转移指令指向指令重组平台的入口地址；将所述地址寄存器中的第一地址修改为第二地址；和恢复所述指令运行环境。8.如权利要求1所述的基于移动存储器的数据黑洞处理方法，其中，部署数据黑洞系统包括部署数据安全存储方法，将用户在数据黑洞终端操作所产生的数据写重定向到与该用户对应的数据黑洞空间通过数据安全存储方法实现，数据安全存储方法包括：缓存指令运行环境；从第一存储位置读取目标地址，根据目标地址获取待调度的机器指令片段；待调度的机器指令片段的最后一条指令为第一程序转移指令；在第一存储位置保存第一程序转移指令的目标地址；分析待调度的机器指令片段中的每一条指令，如果其为存储指令，则修改所述存储指令中的目标地址为对应的数据黑洞空间的存储地址；将第一程序转移指令替换为第二程序转移指令，生成具有第二地址的重组指令片段；所述第二程序转移指令指向指令重组平台的入口地址；和恢复所述指令运行环境，并跳转到第二地址继续执行。9.如权利要求1所述的基于移动存储器的数据黑洞处理方法，其中，部署数据黑洞系统包括部署数据安全存储方法，将用户在数据黑洞终端操作所产生的数据写重定...

【专利技术属性】
技术研发人员：汪家祥，
申请(专利权)人：北京中天安泰信息科技有限公司，
类型：发明
国别省市：北京;11