基于环境多因子身份认证的全域数据安全沙箱的实现方法技术

本发明专利技术涉及一种基于环境多因子身份认证的全域数据安全沙箱的实现方法，通过集中统一的终端安全策略在终端创建终端数据安全沙箱，并采用环境多因子身份认证技术、数据加密传输通道技术，将各终端安全沙箱连成一个跨终端的全域数据安全沙箱，并通过数据受控上传下载管理，实现全域数据安全沙箱中各终端数据安全沙箱之间的数据安全分发，实现各终端数据安全沙箱之间安全有序的联通。全域数据安全沙箱还可以实现重要的业务资源的网络隐身、数据终端防泄漏、业务资源与终端的数据传输安全。本发明专利技术还涉及一种全域数据安全沙箱系统。还涉及一种全域数据安全沙箱系统。还涉及一种全域数据安全沙箱系统。

【技术实现步骤摘要】
基于环境多因子身份认证的全域数据安全沙箱的实现方法


[0001]本专利技术涉及计算机
，尤其涉及基于环境多因子身份认证的全域数据安全沙箱的实现方法。

技术介绍

[0002]随着数据安全的重要性日益凸显，政府办公、企业研发、军工办公与生产场所逐步推动终端数据防泄漏技术的应用。终端数据防泄漏技术可以大幅提高终端数据的安全性，但也同时限制了数据的协同，很大程度降低了办公与生产效率。如何实现在保障终端数据安全的同时，提升数据协同效率，成为市场的迫切需求。

技术实现思路

[0003]本专利技术所要解决的技术问题是针对现有技术的不足，提供环境多因子身份认证的全域数据安全沙箱的实现方法和全域数据安全沙箱系统。
[0004]本专利技术解决上述技术问题的技术方案如下：
[0005]第一方面，本申请提供一种基于环境多因子身份认证的全域数据安全沙箱的实现方法，所述方法包括：
[0006]设置于服务器端的沙箱安全与共享控制中心配置终端安全策略，包括终端数据安全沙箱的容量、沙箱命名、终端与用户认证与管理、终端数据安全沙箱防护策略包括剪切板控制、外发控制、文档移动控制、文档另存控制、打印控制、外设控制、终端数据安全沙箱加密策略、各终端之间文档共享审批流程设置，和终端数据安全沙箱内操作行为审计；
[0007]沙箱安全与共享控制中心将各认证终端需要执行的安全策略下发至各终端数据安全沙箱；
[0008]各终端部署由沙箱安全与共享控制中心统一下发的客户端通过驱动层和应用层重定向技术创建终端数据安全沙箱，各终端数据安全沙箱执行沙箱安全与共享中心下发的终端数据安全沙箱防护策略；
[0009]建立了终端数据安全沙箱的终端纳入全域数据安全沙箱之前，需要对该终端进行基于环境身份信息的多因子身份认证：具体方式是，设置于终端的环境感知代理采集该终端实时的环境身份信息上报安全控制中心进行终端与用户的身份认证，并生成该用户的该终端数字身份证书，经认证后保存于安全控制中心，经过上述认证的终端以下称为“认证终端”，同时对该用户的该终端进行业务资源访问授权，授予该用户的该终端访问指定的受保护业务资源的全部或部分权限，环境感知代理具体采集环境身份信息的种类和数量根据预先设定的验证策略确定，
[0010]当该用户的该终端认证授权后，安全控制中心通过安全策略下发，将受保护的业务资源的访问地址或端口信息以及对来源于该业务资源数据的终端防护策略下发到该用户终端，该终端下载或接收的来源于授权访问的受保护资源的数据与信息，只能存储与该终端的数据安全沙箱内，不能直接存于该终端的其他空间；该终端数据安全沙箱的终端安
全防护策略全面执行安全控制中心下发的终端数据安全沙箱防护策略；
[0011]终端经过认证与授权以及终端数据安全沙箱防护策略生效后，各认证终端之间需要进行数据传输时，首先采集该认证终端的实时环境身份信息，并上报执行验证的认证装置，该认证装置将接收到的实时环境身份信息与安全控制中心认证备案的该终端数字身份证书进行比对，以决定是否允许访问，或需要增加校验，或直接阻断访问；然后，从全域数据安全沙箱用户名单中选择需要传输的认证用户，认证装置为本次数据传输建立安全加密传输通道进行通信，用户只有本用户的认证终端接收该传输的数据；
[0012]通过上述架构，将各终端数据安全沙箱连接成为一个统一终端安全防护策略的全域数据安全沙箱；
[0013]所述终端数据安全沙箱是通过驱动层或应用层重定向技术在终端上创建一个与个人环境完全逻辑隔离的环境，实现对沙箱中的数据或文件操作行为进行管控所述终端数据安全沙箱安全控制组件是接收认证装置统一的终端安全防护策略；
[0014]所述环境身份信息，指该终端设备的硬件特征信息、操作系统特征信息、网络特征信息、用户身份信息等，包括但不限于硬件的主板MAC、CPU厂商和序列号、存储器件容量与序列号、操作系统名称和版本号、网络地址或端口、部署的主要应用系统如浏览器等的名称和版本，用户名称和口令以及生物特征，以下简称“环境身份信息”。
[0015]第二方面，一种全域数据安全沙箱系统，所述系统包括认证终端、认证装置、沙箱安全与共享控制中心和受保护的业务资源；
[0016]所述认证终端包括环境感知代理、终端数据安全沙箱、终端数据安全沙箱安全控制组件和终端数据安全沙箱文档上传下载控制组件，以及其所运行的设备或虚拟设备；
[0017]所述环境感知代理，用于采集与上报终端的环境身份信息；
[0018]所述环境身份信息，指该终端设备的硬件特征信息、操作系统特征信息、网络特征信息、用户身份信息等，包括硬件的主板MAC、CPU厂商和序列号、存储器件容量与序列号、操作系统名称和版本号、网络地址或端口、部署的主要应用系统如浏览器等的名称和版本，用户名称和口令以及生物特征，以下简称“环境身份信息”；
[0019]所述终端数据安全沙箱是通过驱动层或应用层重定向技术在终端上创建一个与个人环境完全逻辑隔离的环境，实现对沙箱中的数据或文件操作行为进行管控所述终端数据安全沙箱安全控制组件是接收认证装置统一的终端安全防护策略；
[0020]所述终端数据安全沙箱安全控制组件，对进入终端数据安全沙箱内的数据、落地文件进行加密，剪切板控制、外设管控、文件外发管控、行为审计等数据保护功能的程序模块或组件；
[0021]所述终端数据安全沙箱文档上传下载控制组件，负责控制各终端安全沙箱互传共享的文档只能下载在该终端数据安全沙箱内、该终端数据安全沙箱内的文档上传按沙箱安全与共享控制中心配置终端安全策略进行上传，沙箱内文档解密使用和加密存储；
[0022]所述认证装置，包括安全控制中心和访问控制组件；实现对终端发起的访问进行身份识别、权限验证，并决定是否允许访问，建立加密传输通道，以及认证终端持续访问过程中的持续验证；
[0023]所述安全控制中心，用于对所述终端进行认证和授权后，设置所述终端的访问权限，并根据所述终端的访问权限，将所述终端加入虚拟内部网络；管理认证终端与用户；管
理认证终端数字证书；设置认证终端统一的安全策略；
[0024]所述访问控制组件，用于隐藏受保护的业务资源的网络端口；接收所述环境感知代理上报的环境身份信息并转发给安全控制中心进行认证和持续验证；根据安全控制中心的决策，控制所述终端与受保护的业务资源之间的访问、数据传输；
[0025]所述沙箱安全与共享控制中心，用于配置终端安全策略，包括终端数据安全沙箱的容量、沙箱命名、终端与用户认证与管理、终端数据安全沙箱防护策略，剪切板控制、外发控制、文档移动控制、文档另存控制、打印控制、外设控制、终端数据安全沙箱加密策略、各终端之间文档共享审批流程设置，和终端数据安全沙箱内行为审计；沙箱安全与共享控制中心将各认证终端需要执行的安全策略下发至各终端数据安全沙箱；
[0026]所述受保护的业务资源包括业务系统软件、业务系统运行环境、业务系统所依托的设备和业务数据的存储组件。
[0027本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于环境多因子身份认证的全域数据安全沙箱的实现方法，其特征在于，所述方法包括：设置于服务器端的沙箱安全与共享控制中心配置终端安全策略，包括终端数据安全沙箱的容量、沙箱命名、终端与用户认证与管理、终端数据安全沙箱防护策略包括剪切板控制、外发控制、文档移动控制、文档另存控制、打印控制、外设控制、终端数据安全沙箱加密策略、各终端之间文档共享审批流程设置，和终端数据安全沙箱内操作行为审计；沙箱安全与共享控制中心将各认证终端需要执行的安全策略下发至各终端数据安全沙箱；各终端部署由沙箱安全与共享控制中心统一下发的客户端通过驱动层和应用层重定向技术创建终端数据安全沙箱，各终端数据安全沙箱执行沙箱安全与共享中心下发的终端数据安全沙箱防护策略；建立了终端数据安全沙箱的终端纳入全域数据安全沙箱之前，需要对该终端进行基于环境身份信息的多因子身份认证：具体方式是，设置于终端的环境感知代理采集该终端实时的环境身份信息上报安全控制中心进行终端与用户的身份认证，并生成该用户的该终端数字身份证书，经认证后保存于安全控制中心，经过上述认证的终端以下称为“认证终端”，同时对该用户的该终端进行业务资源访问授权，授予该用户的该终端访问指定的受保护业务资源的全部或部分权限，环境感知代理具体采集环境身份信息的种类和数量根据预先设定的验证策略确定，当该用户的该终端认证授权后，安全控制中心通过安全策略下发，将受保护的业务资源的访问地址或端口信息以及对来源于该业务资源数据的终端防护策略下发到该用户终端，该终端下载或接收的来源于授权访问的受保护资源的数据与信息，只能存储与该终端的数据安全沙箱内，不能直接存于该终端的其他空间；该终端数据安全沙箱的终端安全防护策略全面执行安全控制中心下发的终端数据安全沙箱防护策略；终端经过认证与授权以及终端数据安全沙箱防护策略生效后，各认证终端之间需要进行数据传输时，首先采集该认证终端的实时环境身份信息，并上报执行验证的认证装置，该认证装置将接收到的实时环境身份信息与安全控制中心认证备案的该终端数字身份证书进行比对，以决定是否允许访问，或需要增加校验，或直接阻断访问；然后，从全域数据安全沙箱用户名单中选择需要传输的认证用户，认证装置为本次数据传输建立安全加密传输通道进行通信，用户只有本用户的认证终端接收该传输的数据；通过上述架构，将各终端数据安全沙箱连接成为一个统一终端安全防护策略的全域数据安全沙箱；所述终端数据安全沙箱是通过驱动层或应用层重定向技术在终端上创建一个与个人环境完全逻辑隔离的环境，实现对沙箱中的数据或文件操作行为进行管控所述终端数据安全沙箱安全控制组件是接收认证装置统一的终端安全防护策略；所述环境身份信息，指该终端设备的硬件特征信息、操作系统特征信息、网络特征信息、用户身份信息等，包括但不限于硬件的主板MAC、CPU厂商和序列号、存储器件容量与序列号、操作系统名称和版本号、网络地址或端口、部署的主要应用系统如浏览器等的名称和版本，用户名称和口令以及生物特征，以下简称“环境身份信息”。2.根据权利要求1所述的基于环境多因子身份认证的全域数据安全沙箱的实现方法，
其特征在于，所述方法还包括：建立全域数据安全沙箱各数据安全沙箱之间的文档安全协同；在各认证终端部署数据协同代理，负责控制各终端安全沙箱互传共享的文档只能下载在该终端数据安全沙箱内、该终端数据安全沙箱内的文档上传按沙箱安全与共享控制中心配置终端安全策略进行上传，沙箱内文档解密使用和加密存储。3.根据权利要求1所述的基于环境多因子身份认证的全域数据安全沙箱的实现方法，其特征在于，所述方法还包括：建立全域数据安全沙箱与需要保护的业务资源的安全连接；认证终端访问受保护的业务资源时，首先采集该认证终端的实时环境身份信息，并上报执行验证的认证装置，该认证装置将接收到的实时环境身份信息与安全控制中心认...

【专利技术属性】
技术研发人员：何小林，
申请(专利权)人：何小林，
类型：发明
国别省市：