本发明专利技术提供一种数据安全存储方法,包括:步骤1、缓存指令运行环境;步骤2、获取栈中保存的跳转指令的地址和参数,计算下一条即将运行的指令地址,该地址为第一地址;步骤3、根据第一地址获取待调度机器指令片段;步骤4、分析待调度的机器指令片段中的每一条指令,如果其为存储指令,则修改所述存储指令中的目标地址为对应的在安全存储设备上的存储地址;步骤5、替换第一跳转指令为压栈指令,在压栈指令中记录第一跳转指令的地址和操作数;步骤6、在压栈指令之后加入第二跳转指令,生成具有第二地址的重组指令片段;所述第二跳转指令指向指令重组平台的入口地址;和步骤7、恢复所述指令运行环境,并跳转到第二地址继续执行。
【技术实现步骤摘要】
【专利摘要】本专利技术提供一种数据安全存储方法,包括:步骤1、缓存指令运行环境;步骤2、获取栈中保存的跳转指令的地址和参数,计算下一条即将运行的指令地址,该地址为第一地址;步骤3、根据第一地址获取待调度机器指令片段;步骤4、分析待调度的机器指令片段中的每一条指令,如果其为存储指令,则修改所述存储指令中的目标地址为对应的在安全存储设备上的存储地址;步骤5、替换第一跳转指令为压栈指令,在压栈指令中记录第一跳转指令的地址和操作数;步骤6、在压栈指令之后加入第二跳转指令,生成具有第二地址的重组指令片段;所述第二跳转指令指向指令重组平台的入口地址;和步骤7、恢复所述指令运行环境,并跳转到第二地址继续执行。【专利说明】数据安全存储方法及装置
本专利技术涉及计算机安全领域,尤其涉及一种数据安全存储方法及装置。
技术介绍
现有的电子信息安全领域包括系统安全、数据安全和设备安全三个子领域。在数据安全领域内,一般采用下面三种技术确保数据安全:(I)数据内容安全技术,包括数据加密解密技术和端到端数据加密技术,保障数据在存储和传输过程中内容不被非法读取;(2)数据安全转移技术,包括防止非法拷贝、打印或其它输出,保障数据在使用和转移过程中的安全;(3)网络阻断技术,包括网络物理阻断和设置网络屏障等技术。根据相关分析,目前针对计算机的所有危害总有效侦测能力最多在50%左右;由于上述技术在应对计算机内核病毒、木马、操作系统漏洞、系统后门以及人为泄密时能力不足,事实上任何计算设备(例如计算机、手持通信设备等)都可能存在恶意代码。一旦恶意代码进入终端系统,上述的加密技术、防拷贝技术以及网络阻断技术在这种情况下将失去作用。现有的黑客技术可以利用系统漏洞或系统后门穿透上述安全技术并植入恶意代码,并利用恶意代码取得用户数据。上述技术更无法防范涉密人员的主动或被动泄密,例如,内部人员可以携带存储设备,从内部网络或终端上下载所需的资料并带走存储设备,导致内部泄密;又例如,内部人员可以直接将计算设备带走。综上,防拷贝技术无法保证涉密信息在终端不被非法存储。基于网络过滤无法确保涉密信息不丢失。涉密人员可通过恶意代码或恶意工具造成泄密,还可能因涉密设备或存储介质失控造成泄密。
技术实现思路
本专利技术的目的是提供一种数据安全存储方法及装置,提高数据安全性。根据本专利技术一个方面,提供一种数据安全存储方法,包括:步骤1、缓存指令运行环境;步骤2、获取栈中保存的跳转指令的地址和参数,计算下一条即将运行的指令地址,该地址为第一地址;步骤3、根据第一地址获取待调度机器指令片段;其中,待调度机器指令片段的最后一条指令为第一跳转指令;步骤4、分析待调度的机器指令片段中的每一条指令,如果其为存储指令,则修改所述存储指令中的目标地址为对应的在安全存储设备上的存储地址;步骤5、替换第一跳转指令为压栈指令,在压栈指令中记录第一跳转指令的地址和操作数;步骤6、在压栈指令之后加入第二跳转指令,生成具有第二地址的重组指令片段;所述第二跳转指令指向指令重组平台的入口地址;和步骤7、恢复所述指令运行环境,并跳转到第二地址继续执行。可选的,所述的数据安全存储方法在步骤4之后还包括:步骤4.1、更新映射位图中所述存储指令中的目标地址对应的位;所述映射位图用于表示本地存储地址的数据是否转储到所述安全存储设备。可选的,所述的数据安全存储方法在步骤4.1之后还包括:步骤4.2、将已经更新的映射位图同步到所述安全存储设备,保存为第二映射位图。可选的,所述的数据安全存储方法在步骤4之前还包括:建立计算终端系统与所述安全存储设备的通讯;将所述安全存储设备上的第二映射位图同步到所述计算终端系统,保存为映射位图。可选的,如果所述将所述安全存储设备上的第二映射位图同步到所述计算终端系统失败,将计算终端系统中的本地存储空间映射到所述安全存储设备上,并建立映射位图和第二映射位图。可选的,所述的硬件指令为硬件端口 I/O指令。可选的,所述安全存储设备为远程存储设备,所述远程存储设备被多个计算终端系统共享。可选的,所述硬件指令来自硬件映射层。可选的,在步骤3中,根据第一地址获取待调度机器指令片段包括:从第一地址开始,获取待调度的一段机器指令,将该段机器指令进行反汇编;检查反汇编结果中是否包含跳转指令,如果不包含则继续获取后面一段待调度的机器指令,直到匹配到跳转指令为止,该跳转指令为第一跳转指令;其中,第一跳转指令以及之前的所有指令组成待调度指令片段。可选的,所述的数据安全存储方法在步骤6和步骤7之间还包括:将生成的重组后的汇编代码通过汇编器生成对应的机器码。可选的,所述的数据安全存储方法在步骤2和步骤3之间还包括:利用所述第一地址查找地址对应表;所述地址对应表用于表示待调度的机器指令片段是否具有已保存的重组指令片段;如果找到相应的记录,恢复所述指令运行环境,并跳转到纪录中的保存地址继续执行。可选的,如果在地址对应表中没有找到相应的纪录,所述的数据安全存储方法在步骤6之后还包括:利用重组指令片段的地址与所述第一地址在地址对应表中建立一条记录。根据本专利技术另一个方面,提供一种计算机可读介质,所述可读介质中存储有计算机可执行的程序代码,该程序代码用于执行上述方法的步骤。根据本专利技术再一个方面,提供一种数据安全存储装置,包括:指令运行环境缓存和恢复单元,适于缓存和恢复指令运行环境;指令获取单元,与指令运行环境缓存和恢复单元耦接,适于获取栈中保存的跳转指令的地址和参数,计算下一条即将运行的指令地址,该地址为第一地址;还适于根据第一地址获取待调度/执行的机器指令片段;其中,待调度机器指令片段的最后一条指令为第一跳转指令;指令分析单元,适于分析所述待调度机器指令片段中每一条硬件指令并判断所述硬件指令是否为存储指令;指令修改单元,适于修改所述存储指令中的目标地址为对应的在安全存储设备上的存储地址;和指令重组单元,与指令运行环境缓存和恢复单元耦接,适于替换第一跳转指令为压栈指令,在压栈指令中记录第一跳转指令的地址和操作数;还适于在压栈指令之后加入第二跳转指令,生成具有第二地址的重组指令片段;所述第二跳转指令指向运行时指令重组装置的入口地址。可选的,所述的数据安全存储装置还包括:更新单元,适于在指令修改单元修改所述存储指令之后,更新映射位图中所述存储指令中的目标地址对应的位;所述映射位图用于表示本地存储地址的数据是否转储到所述安全存储设备。可选的,所述的数据安全存储装置还包括:同步单元,适于建立计算终端系统与所述安全存储设备的通讯,并将映射位图在所述计算终端系统和所述安全存储设备之间进行同步。可选的,所述安全存储设备为远程存储设备,所述远程存储设备被多个计算终端系统共享。可选的,所述的数据安全存储装置还包括:指令检索单元,适于利用所述第一地址查找地址对应表;所述地址对应表用于表示待调度机器指令片段是否具有已保存的重组指令片段;如果找到相应的记录,指令检索单元还适于调用指令运行环境缓存和恢复单元,恢复所述指令运行环境,并跳转到纪录中的保存地址继续执行;如果没有找到相应的记录,指令检索单元还适于利用重组指令片段的地址与所述第一地址在地址对应表中建立一条记录。可选的,所述的数据安全存储装置还包括:反汇编单元,适于在指令分析单元分析所本文档来自技高网...
【技术保护点】
一种数据安全存储方法,包括:步骤1、缓存指令运行环境;步骤2、获取栈中保存的跳转指令的地址和参数,计算下一条即将运行的指令地址,该地址为第一地址;步骤3、根据第一地址获取待调度机器指令片段;其中,待调度机器指令片段的最后一条指令为第一跳转指令;步骤4、分析待调度的机器指令片段中的每一条指令,如果其为存储指令,则修改所述存储指令中的目标地址为对应的在安全存储设备上的存储地址;步骤5、替换第一跳转指令为压栈指令,在压栈指令中记录第一跳转指令的地址和操作数;步骤6、在压栈指令之后加入第二跳转指令,生成具有第二地址的重组指令片段;所述第二跳转指令指向指令重组平台的入口地址;和步骤7、恢复所述指令运行环境,并跳转到第二地址继续执行。
【技术特征摘要】
【专利技术属性】
技术研发人员:汪家祥,杨潇,
申请(专利权)人:北京中天安泰信息科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。