一种具有自检能力的数据隔离方法技术

本发明专利技术公布了一种具有自检能力的数据隔离方法，属通信与信息安全技术领域。本发明专利技术方法基于嵌入式系统的平台和虚拟机，通过虚拟机来实现预定的安全策略。该发明专利技术能够从固定的数据源加载数据，并确保程序本身的安全性，从而确保数据操作的安全性。

【技术实现步骤摘要】

本专利技术涉及通信与信息安全
的一种数据隔离方法，尤其涉及一种 具有自检能力的数据隔离方法。
技术介绍
现有的数据隔离的实现技术是建立在三方的基础之上，即两个涉密计算机 之间加上一个完全的物理硬件来实现数据的隔离，这样的现实技术有成本昂 贵、灵活性差、对安全策略的修改麻烦、不容易配置的缺点。在现有的数据加载过程中，为了保证安全，通常的办法是对数据进行加密 和安全认证。但是对于现实过程中，在避免伪造数据源却考虑得很少。同时， 在运用加载数据应用的时候，很少考虑了加载数据的应用的本身安全问题。所 以，对于木马等威胁因素可以通过更改数据源与应用程序来造成破坏活动。对于加载、传输、写入数据等活动的时候，如何保证进行这些活动的应用 是安全的，没有被非法地修改过的也是需要考虑的问题。即我们不仅要保证数 据来源的安全性，而且要保证程序本身的安全性。
技术实现思路
本专利技术要解决的技术问题是针对现有技术存在的缺陷提出一种具有自检 能力的数据隔离方法。本专利技术，包括数据安全加载方法和数据 安全写入方法；其中数据安全加载方法包括如下步骤-a) 固定数据源的地址；b) 采用读有用数据ReadUsefUlDate的方法来加载程序本身的数据以及要 被传输的数据；c) 在虚拟机中开辟一个暂时存放数据的缓冲区，先将程序本身的数据存入缓 冲区并对其标记，-l为这个标记，然后存入需要传递的数据；d) 检查嵌入式设备中是否己经存在与程序本身的数据相对应的特征字符串， 特征字符串指通过hash校验算法生成的校验值；e) 当特征字符串不存在，则生成与程序本身的数据相对应的一个特征字符串 并存入到嵌入式设备中；f) 初始化高速红外接口，传递要被传输的数据；g) 当嵌入式设备中已经存在这样一个特征字符串，则生成与程序本身的数据 相对应的一个新的特征字符串，然后把这个新的特征字符串与其嵌入式设 备中旧的特征字符串进行比较；h) 当新的特征字符串与旧的特征字符串一样，则程序本身的数据本身是安全， 返回步骤f;i) 当新的特征字符串与旧的特征字符串不一样，则程序本身的数据被改动过， 返回步骤b;数据安全写入方法包括如下步骤1. )初始化无线通信端口；2. )采用虚拟机接收要被传输的数据，并将要被传输的数据写入虚拟机的缓冲 区；3. )采用虚拟机确定写入数据的地址；4. )将步骤2中虚拟机的缓冲区内的数据写入目标计算机。本专利技术该专利技术能够从固定的数据源加载数据，并确保程序本身的安全性， 从而确保数据操作的安全性。附图说明图1:本专利技术整体结构图； 图2:本专利技术数据安全加载方法流程图； 图3:本专利技术数据安全写入方法流程图； 图4:本专利技术数据存放示意图。具体实施方式如图1所示。本专利技术方法的整体结构示意图。它的底层平台是一个嵌入式系统1，在这个嵌入式平台上有一个数据通信接口 2，通过这个接口和涉密机 连接，它可以是一个COM 口或者是USB 口。同时，它还拥有另外一个接口 3， 作用是在两个嵌入式系统之间来传输数据，从而实现数据的隔离。它可以是以 太口、无线传输端口等，可以支持不同形式的数据传输。关键的部分是虚拟机 4，用虚拟机来管理数据传输端口、保证数据和程序本身的安全。整个隔离方 法的安全主要通过它来实现。在两个嵌入式系统之间的数据传输是通过5来进行的，它是无线传输信道。在本方法的实现过程中，类ReadDate负责读取数据并存入缓冲区。类 Inspection负责应用在运行时确定程序本身是安全的，即程序没有被非法地改 动过。类Transport的功能是让虚拟机来管理高速红外接口 。类WriteFile则负 责将被传输的数据写进目标计算机中。如图2所示，固定数据源的地址，这个地址表示要被加载的数据处于什么 地方，这个值被固定以后，可以保证所加载的数据一定是处在这个位置的，保 证了数据源的单一性，减低了风险。数据安全加载方法包括如下步骤a) 固定数据源的地址；b) 采用读有用数据ReadUsefblDate的方法来加载程序本身的数据以及要 被传输的数据；c) 在虚拟机中开辟一个暂时存放数据的缓冲区，先将程序本身的数据存入缓 冲区并对其标记，-1为这个标记，然后存入需要传递的数据；d) 检査嵌入式设备中是否己经存在与程序本身的数据相对应的特征字符串， 特征字符串指通过hash校验算法生成的校验值；e) 当特征字符串不存在，则生成与程序本身的数据相对应的一个特征字符串 并存入到嵌入式设备中；f) 初始化高速红外接口，传递要被传输的数据；g) 当嵌入式设备中已经存在这样一个特征字符串，则生成与程序本身的数据 相对应的一个新的特征字符串，然后把这个新的特征字符串与其嵌入式设 备中旧的特征字符串进行比较；h) 当新的特征字符串与旧的特征字符串一样，则程序本身的数据本身是安全， 返回步骤f;i) 当新的特征字符串与旧的特征字符串不一样，则程序本身的数据被改动过， 返回步骤b。如图3所示，由于数据在加载的时候已经实现了数据源以及应用程序本身 的安全性，故在写入数据的过程中只是简单地响应写入数据的命令，数据安全 写入方法包括如下步骤1. )初始化无线通信端口；2. )采用虚拟机接收要被传输的数据，并将要被传输的数据写入虚拟机的缓冲 区；3. )采用虚拟机确定写入数据的地址；4.)将步骤2中虚拟机的缓冲区内的数据写入目标计算机。如图4所示，表示了虚拟机加载数据的情况示意图。虚拟机和应用程序一 起保证数据的安全。当应用程序从计算机中加载数据后把数据存入到虚拟机4 中，在虚拟机中会开辟一个专门的区域6来存放数据，应用程序加载数据之后 会把数据存入到这个专门区域的一个存储单元7中。在应用程序总是安全的前 提下，程序第一次运行时，数据会被随机分配到一个存储单元中，如果在第二 次运行程序时，数据会被随机地分配到另外一个存储单元中，如果程序被运行 多次的话，数据被随机地分配到这些存储单元。而且，应用程序采用多线程的 加载程序本身的数据，因此这些数据在存储单元中也是一个动态的。因此即使 有安全威胁在监控整个程序的运行的话也不可能得到数据的信息，从而保证了 数据的安全。本文档来自技高网...

【技术保护点】
一种具有自检能力的数据隔离方法，其特征在于包括数据安全加载方法和数据安全写入方法；　其中数据安全加载方法包括如下步骤：　ａ）固定数据源的地址；　ｂ）采用“读有用数据”ＲｅａｄＵｓｅｆｕｌＤａｔｅ的方法来加载程序本身的数据以及要被传输的数据；　ｃ）在虚拟机中开辟一个暂时存放数据的缓冲区，先将程序本身的数据存入缓冲区并对其标记，－１为这个标记，然后存入需要传递的数据；　ｄ）检查嵌入式设备中是否已经存在与程序本身的数据相对应的特征字符串，特征字符串指通过ｈａｓｈ校验算法生成的校验值；　ｅ）当特征字符串不存在，则生成与程序本身的数据相对应的一个特征字符串并存入到嵌入式设备中；　ｆ）初始化高速红外接口，传递要被传输的数据；　ｇ）当嵌入式设备中已经存在这样一个特征字符串，则生成与程序本身的数据相对应的一个新的特征字符串，然后把这个新的特征字符串与其嵌入式设备中旧的特征字符串进行比较；　ｈ）当新的特征字符串与旧的特征字符串一样，则程序本身的数据本身是安全，返回步骤ｆ；　ｉ）当新的特征字符串与旧的特征字符串不一样，则程序本身的数据被改动过，返回步骤ｂ；　数据安全写入方法包括如下步骤：　１．）初始化无线通信端口；　２．）采用虚拟机接收要被传输的数据，并将要被传输的数据写入虚拟机的缓冲区；　３．）采用虚拟机确定写入数据的地址；　４．）将步骤２中虚拟机的缓冲区内的数据写入目标计算机。...

【技术特征摘要】
1.一种具有自检能力的数据隔离方法，其特征在于包括数据安全加载方法和数据安全写入方法；其中数据安全加载方法包括如下步骤a)固定数据源的地址；b)采用“读有用数据”ReadUsefulDate的方法来加载程序本身的数据以及要被传输的数据；c)在虚拟机中开辟一个暂时存放数据的缓冲区，先将程序本身的数据存入缓冲区并对其标记，-1为这个标记，然后存入需要传递的数据；d)检查嵌入式设备中是否已经存在与程序本身的数据相对应的特征字符串，特征字符串指通过hash校验算法生成的校验值；e)当特征字符串不存在，则生成与程序本身的数据相对应的一个特征字符串并存入到嵌入式设备中；f)初始化高速红外接口，传递要被传输的数据；g)当嵌入式设备中已经存在这样一个特征字符串，则生成...

【专利技术属性】
技术研发人员：刘镇，陈小波，钱萍，周亮，
申请(专利权)人：江苏科技大学，
类型：发明
国别省市：32[中国|江苏]