本发明专利技术涉及数据安全,具体涉及对存储器数据的安全保护,特别涉及在企业网络中对可拆卸式非易失性存储器的数据的加解密处理。公开了一种用于保护企业网络系统内计算装置的存储器数据的装置和方法,该方法包含:截获计算装置中的应用程序与存储器之间传送的数据;判定数据传送截获步骤所截获的数据是不是涉密数据;获取为涉密数据自动生成的密钥;用所获取的密钥对涉密数据进行加解密。
【技术实现步骤摘要】
本专利技术涉及数据安全,具体涉及对存储器数据的安全保护,特别涉及在企业网络中对可拆卸式非易失性存储器的数据的加解密处理。
技术介绍
可拆卸式非易失性存储器,如光盘、硬驱、移动存储器等,是计算设备中普遍使用的数据存储器。由于移动存储器传输速度快,体积小,人们越来越多地使用移动存储器。许多便携式电子设备中的辅助存储器也可以充当移动存储器用,这些电子设备例如是移动电话、数字照相机等。移动存储器的使用,方便用户在移动存储器上存储信息以便在不同的计算装置上使用。事实上,企业的用户常常将企业的敏感信息或涉密信息保存在移动存储器上,以方便在不同的场所使用或者在不同的员工之间交换,在企业内部或者在企业员工之间,这样的使用是允许的,但是,如果移动存储器丢失或被盗,企业的保密信息就可能泄漏给企业外的无权获取保密信息的人。现有技术中存在各种保护移动存储器数据的解决方案。一种方式是,操作系统提供对数据文件的加密,另一种方式是,由移动存储器的设备提供加密功能,一旦启用加密功能,存储器中的所有的数据(例如文件)都被加密,这些方式对于用户是不透明的,用户在向存储器写数据时需要设置口令,在从存储器读数据时需要提供所设置的口令。
技术实现思路
本专利技术旨在提出一种在企业网络环境中对保护移动存储器的数据的安全的改进方案。一方面,提供一种用于企业网络系统内计算装置的存储器数据保护器,包含数据传送截获装置,用于截获计算装置中的应用程序与存储器之间传送的数据;涉密数据判定装置,用于判定数据传送截获装置所截获的数据是不是涉密数据;密钥获取装置,用于获取为涉密数据自动生成的密钥;加解密装置,用于用密钥获取装置所获取的密钥,对涉密数据进行加解密。另一方面,提供一种用于保护企业网络系统内计算装置的存储器数据的方法,包含截获计算装置中的应用程序与存储器之间传送的数据;判定数据传送截获步骤所截获的数据是不是涉密数据;获取为涉密数据自动生成的密钥;用所获取的密钥对涉密数据进行加解密。本专利技术的优点在于安全、方便,适合企业网络环境。一方面,密钥是独立于网络终端和存储器而独立生成并集中保存的,在企业网络外无法获得密钥;另一方面,密钥是服务器自动生成的,无需应用程序的用户输入密钥就可以对涉密数据自动进行加解密,这种对存储器数据的自动、透明的加解密方式,尤其方便在保证企业实施数据保密规则的同时,将涉密数据或文件保存在移动存储器上,以便在不同应用程序之间的互通和在企业用户之间4的互用。 附图说明
技术实现思路
部分和所附权利要求中阐述了被认为是本专利技术的特点的创造性特征。但是,通过参照附图阅读下面对示例性实施例的详细说明可更好地理解专利技术本身以及其使用模式、另外的目标、特征以及优点,在附图中图IA是表示一个可在其中应用本专利技术各种实施例的企业网络系统的示意图;图IB是表示按照本专利技术的实施例的系统IOB的示意图;图2是表示按照本专利技术实施例的移动存储器数据保护器20的示意性方框图;图3表示按照本专利技术实施例的存储器数据安全服务器30的示意性方框图;图4是表示按照本专利技术的实施例的方法的示意性流程图。具体实施例方式下面参照附图来说明本专利技术的实施例。在下面的说明中,阐述了许多具体细节以便更全面地了解本专利技术。但是,对于本
内的技术人员很明显,本专利技术的实现可不具有这些具体细节。此外,应当理解的是,本专利技术并不限于所介绍的特定实施例。相反,可以考虑用下面的特征和元素的任意组合来实施和实践本专利技术。而无论它们是否涉及不同的实施例。因此,下面的方面、特征、实施例和优点仅作说明之用而不应被看作是所附权利要求的要素或限定,除非权利要求中明确提出。图IA示意性地表示一个可在其中应用本专利技术各种实施例的企业网络系统。如图 IA所示的企业网络系统IOA包含一个或多个计算装置20A、企业网络101、一个或多个服务器。计算装置20A通过企业网络101与服务器可通信地连接。企业网络101与外部网络是隔离的,能防止未经认证的用户的访问。系统IOA的计算装置20A可以是各种独立的计算平台,小的如个人电脑,大的如服务器;计算装置20A中配置有操作系统0S,例如微软公司的Windows操作系统、Linux操作系统、MAC操作系统等,计算装置20A中也配置有各种应用程序,例如MS WorcUExel等。计算装置20A的用户或应用程序可以向与输入/输出接口 I/O通信的可拆卸式非易失性存储器(下文也简称为“存储器”)中写数据,或者从存储器中读数据。例如,用户在运行一个应用程序(例如MS WORD)时,可以在应用程序中发出命令,通过操作系统的文件系统,将应用程序的文件写到存储器,或者存储器读取应用程序的文件。例如,应用程序 Word可以通过操作系统Windows的文件系统,将一个Word文档写到存储器,或者存储器读取一个Word文档。图IB是表示部署了按照本专利技术的实施例的系统的企业网络系统的示意图。如图 IB所示的系统10B,包含计算装置20B和存储器数据安全服务器30,计算装置20B和存储器数据安全服务器30通过企业网络101可通信地连接。图IB中,用虚线框表示存储器数据安全服务器30,表示存储器数据安全服务器30 可以是一个单独的服务器,也可以将其功能集成在其它服务器上,或者说在其它已有的服务器上实施其功能。图IB所示的企业网络101和计算装置20B,与上文所述的图IA中的企业网络1015和计算装置20A的结构和功能基本相同,例如,计算装置20B也配置有操作系统和应用程序,应用程序可以对通过I/O连接的存储器进行数据读写操作。按照本专利技术实施例,图IB所示的系统IOB的计算装置20B还包含存储器数据保护器 200。存储器数据保护器200用于截获企业网络系统IOB中的计算装置20B中应用程序与存储器之间传送的数据,并对所截获的数据中的涉密数据进行加密和解密。存储器数据保护器200的各种实现方式和功能,将在下文结合附图2,作更详细的说明。按照本专利技术,图IB所示的系统IOB的存储器数据安全服务器30,用于响应计算装置的请求,为涉密数据生成和保存密钥。存储器数据安全服务器30的各种实现方式和功能,将在下文结合附图3,作更详细的说明。图2示例性地表示按照本专利技术一个实施例的存储器数据保护器200的方框图。如图2所示,按照本专利技术的实施例的存储器数据保护器200包含数据传送截获装置201、涉密数据判定装置203、密钥获取装置205、加密装置209和解密装置207。数据传送截获装置201用于截获企业网络内计算装置20B中的应用程序与操作系统之间传送的数据。计算装置20B的用户或应用程序对存储器数据的数据请求,包括读数据请求和写数据请求。读数据请求,是要从存储器中读出数据,即读出存储器数据,例如打开存储器上的数据文件;写数据请求,是要向存储器中写入数据,即写入存储器数据,例如在存储器上存储数据文件。所属
的技术人员知道,用户在计算装置20B中的应用程序对诸如存储器等外设的数据操作,可以通过操作系统的文件系统完成。例如,用户在运行一个应用程序 (例如MS WORD)时,可以发出对存储器的写命令(例如“打开文件”)或读命令(例如“保存文件”)。操作系统的文件系统响应该写命令或读命令,将目标文件写到非易失性存储器, 或者从非易失性存储器读取目标本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:杨雨东,林海波,李严,刘弢,许继涛,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。