本发明专利技术公开了一种虚拟桌面中的数据安全处理方法及系统,方法包括步骤:创建虚拟磁盘;在应用层将文件操作重定向到虚拟磁盘上;在内核层判断文件操作是否由虚拟桌面的进程发起,如果是,则允许文件操作访问并执行第一数据安全处理;在内核层将文件操作转换成虚拟磁盘的操作;以及在内核层执行虚拟磁盘的操作,以完成文件操作。由于在内核层执行第一数据安全处理,因此,对于虚拟桌面的进程,不管是应用层发起的文件操作还是系统调用发起的文件操作,数据都会进行安全处理。
【技术实现步骤摘要】
本专利技术涉及数据处理方法及系统,尤其涉及一种虚拟桌面中的数据安全处理方法及系统。
技术介绍
现有的虚拟桌面的数据安全处理系统包括位于应用层的重定向模块和位于操作系统的内核层的文件系统驱动。图I示出了现有技术中示例的虚拟桌面的数据安全处理系统的逻辑框图,如图I所示,首先由虚拟桌面进程发起一个文件操作(例如D:\win7.dmp),重定向模块强行将该文件操作重定向到虚拟桌面的一个指定的专用路径上,例如采用hook钩子将文件操作重定向到C:\all_data\win7. dmp,其中,针对虚拟桌面的所有文件均存储在指定目录C: \al l_data下。与此同时,应用层的钩子模块也对文件操作进行安全处理,例 如,如果是写操作,则对待写入数据执行加密处理;如果是读操作,则对待读取数据执行解密处理。从以上可以看出,虚拟桌面现有的数据的加解密处理是在应用层实现,这样可提高安全性,同时也比较稳定,即使加解密的数据出了问题,也只会影响当前的进程,不会影响整个系统。但由于数据是在应用层进行加解密的,对于应用层来说,这个加解密的过程不是透明的,具体来说,会存在以下问题A、当在系统调用过程中访问虚拟桌面数据的时候,数据没有进行解密处理,导致读取到的数据都是密文。比如在创建进程、加载动态链接库的时候,就会遇到这个问题。为了规避这个问题,不得不把这些可执行文件都生成一份解密的文件,之后还要对解密后的可执行文件的导入表做相当麻烦的修正处理。这些解密后的文件,不管是在默认桌面还是虚拟桌面,看到的都是明文,这对于数据安全来说,是一个致命的漏洞。B、当应用程序通过文件映射读文件的时候,在系统调用中无法对数据进行解密处理,导致呈现给应用程序的数据是加密的。这样的数据,应用程序是无法使用的。为了规避这个问题,只能创建一份内存数据拷贝,把数据解密之后再返回给应用程序。由于多了一份数据拷贝,会消耗不少系统资源。同时这里只是一个模拟的行为,离真实的文件映射操作还有诸多的不同。当遇到文件映射操作模拟不了的时候,会导致文件读写失败。C、当应用程序使用异步方式读写文件的时候,为了对数据进行加解密处理,我们把所有的异步读写都改成了同步读写。这样不但影响应用程序的性能,在某些情况下,异步读写是无法转换成同步的。若做强制转换,可能导致数据不同步。D、一些安全性比较高的加密算法都是基于数据块的,即加解密前数据需要做8字节、16字节、32字节…的对齐处理。当使用这些加密算法对文件加解密处理时,如果应用程序读写数据的大小和偏移不是8字节、16字节、32字节对齐的话,数据加解密模块需要做边界修正,把不是边界对齐的读写操作转换成边界对齐的读写操作。应用程序读写数据的方式多种多样,导致每个地方都要进行边界对齐,不但工作量大,同时容易出问题,导致数据不同步。
技术实现思路
本专利技术要解决的技术问题在于针对现有技术中虚拟桌面无法对系统调用发起的读写操作进行安全处理的缺陷,提供一种虚拟桌面中的数据安全处理方法及系统。本专利技术解决其技术问题所采用的技术方案是提供了一种虚拟桌面中的数据安全处理方法,包括步骤S100、创建虚拟磁盘;S200、在应用层将文件操作重定向到所述虚拟磁盘上;S300、在内核层判断所述文件操作是否由虚拟桌面的进程发起,如果否,则拒绝所述文件操作;如果是,则允许所述文件操作并执行第一数据安全处理;S400、在内核层将所述文件操作转换成所述虚拟磁盘的操作;以及 S500、在内核层执行所述虚拟磁盘的操作,以完成所述文件操作。在依据本专利技术实施例的虚拟桌面中的数据安全处理方法中,所述步骤S300中,所述第一数据安全处理包括如果所述文件操作是写操作,则对待写入的数据进行加密处理;以及如果所述文件操作是读操作,则对待读取的数据进行解密处理。在依据本专利技术实施例的虚拟桌面中的数据安全处理方法中,所述步骤S500包括S510、将所述虚拟磁盘的操作转换成真实路径下的文件操作并执行第二数据安全处理;S520、将所述真实文件操作转换成对应的真实磁盘的操作;以及S530、执行所述真实磁盘的操作。在依据本专利技术实施例的虚拟桌面中的数据安全处理方法中,所述第二数据安全处理包括如果所述真实文件操作是写操作,则对待写入的数据进行加密处理;以及如果所述真实文件操作是读操作,则对待读取的数据进行解密处理。在依据本专利技术实施例的虚拟桌面中的数据安全处理方法中,基于AES算法执行所述第二数据安全处理。依据本专利技术的另一方面,还提供一种虚拟桌面中的数据安全处理系统,包括虚拟磁盘创建模块,用于创建虚拟磁盘;位于应用层的重定向模块,用于将文件操作重定向到所述虚拟磁盘上;位于内核层的文件系统过滤驱动,用于判断所述文件操作是否由虚拟桌面的进程发起,如果否,则拒绝所述文件操;如果是,则允许所述文件操作,并执行第一数据安全处理;位于内核层的文件系统驱动,用于将所述文件操作转换成所述虚拟磁盘的操作;以及位于内核层的虚拟磁盘操作模块,用于执行所述虚拟磁盘操作并执行第二数据安全处理,以完成所述文件操作。在依据本专利技术实施例的虚拟桌面中的数据安全处理系统中,在所述文件系统过滤驱动执行所述第一数据安全处理中如果所述文件操作是写操作,则对待写入的数据进行加密处理;以及如果所述文件操作是读操作,则对待读取的数据进行解密处理。在依据本专利技术实施例的虚拟桌面中的数据安全处理系统中,所述虚拟磁盘操作模块进一步包括虚拟磁盘驱动,用于将所述虚拟磁盘操作转换成真实路径下的文件操作并执行第二数据安全处理;文件系统驱动单元,用于将所述真实文件操作转换成对应的真实磁盘的操作。在依据本专利技术实施例的虚拟桌面中的数据安全处理系统中,在所述真虚拟磁盘驱动执行所述第二数据安全处理中 如果所述真实文件操作是写操作,则对待写入的数据进行加密处理;以及如果所述真实文件操作是读操作,则对待读取的数据进行解密处理。在依据本专利技术实施例的虚拟桌面中的数据安全处理系统中,所述虚拟磁盘驱动基于AES算法执行所述第二数据安全处理。本专利技术产生的有益效果是由于在内核层执行第一数据安全处理,因此,对于虚拟桌面的进程,不管是应用层发起的文件操作(数据读写操作)还是系统调用发起的文件操作(数据读写操作),数据都会进行安全处理(加解密处理)。附图说明下面将结合附图及实施例对本专利技术作进一步说明,附图中图I示出了现有技术中示例的虚拟桌面的数据安全处理系统的逻辑框图;图2示出了依据本专利技术实施例的虚拟桌面的数据安全处理系统的逻辑框图;图3示出了系统中各个磁盘的结构示意图;图4示出了依据本专利技术实施例的虚拟桌面中的数据安全处理方法的流程图。具体实施例方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。图2示出了依据本专利技术实施例的虚拟桌面的数据安全处理系统的逻辑框图,如图2所示,该数据安全处理系统包括虚拟磁盘创建模块(图中未示出)、重定向模块100、文件系统过滤驱动200、文件系统驱动300以及虚拟磁盘操作模块400。其中,重定向模块100位于应用层中,文件系统过滤驱动200、文件系统驱动300以及虚拟磁盘操作模块400位于操作系统(简称系统)的内核层中。首先,虚拟磁盘创建模块采用现有本文档来自技高网...
【技术保护点】
一种虚拟桌面中的数据安全处理方法,其特征在于,包括步骤:S100、创建虚拟磁盘;S200、在应用层将文件操作重定向到所述虚拟磁盘上;S300、在内核层判断所述文件操作是否由虚拟桌面的进程发起,如果否,则拒绝所述文件操作;如果是,则允许所述文件操作并执行第一数据安全处理;S400、在内核层将所述文件操作转换成所述虚拟磁盘的操作;以及S500、在内核层执行所述虚拟磁盘的操作,以完成所述文件操作。
【技术特征摘要】
【专利技术属性】
技术研发人员:程方全,陈铭霖,
申请(专利权)人:深圳市深信服电子科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。