CN101382919A - 一种基于身份的存储数据隔离方法 - Google Patents
一种基于身份的存储数据隔离方法 Download PDFInfo
- Publication number
- CN101382919A CN101382919A CNA2007101213749A CN200710121374A CN101382919A CN 101382919 A CN101382919 A CN 101382919A CN A2007101213749 A CNA2007101213749 A CN A2007101213749A CN 200710121374 A CN200710121374 A CN 200710121374A CN 101382919 A CN101382919 A CN 101382919A
- Authority
- CN
- China
- Prior art keywords
- data
- user
- identity
- storage data
- storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims 12
- 238000013500 data storage Methods 0.000 claims abstract 2
- 238000002955 isolation Methods 0.000 claims abstract 2
- 230000002155 anti-virotic effect Effects 0.000 claims 2
- 241000700605 Viruses Species 0.000 claims 1
- 238000012797 qualification Methods 0.000 claims 1
- 238000007726 management method Methods 0.000 abstract 1
- 230000004224 protection Effects 0.000 abstract 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种基于身份的存储数据隔离方法有效实现了企业内部计算机既需要连接外网(Internet),又需要防止核心数据泄密的目标,通过提供工作模式或普通模式来改变客户端计算机的网络连接状态,为内网构造了一个安全的数据使用环境。DMS系统的模块控制本地存储,实现对本地客户端的可信数据区域进行访问控制。在特定的工作模式下实施控制本地存储,对本地客户机上指定的可信数据区域进行访问控制,可信数据区的工作成果只有在工作模式下可见,构造了一个数据存储空间相互隔离的环境。在身份认证控制上采用统一的用户管理模式,用户可以是简单的令牌/口令用户,也可以跟Chinasec可信网络认证系统相结合,使用统一的令牌用户。基于以上两层保护,一旦某用户提供了正确的PIN码和对应的证书令牌,即确信该用户即是合法用户。
Description
技术领域
本发明的目的在于通过用户身份识别,结合加密控制技术和磁盘数据隐藏技术,实现不同的用户数据存储空间相互隔离和保密。主要用于计算机信息安全领域。
背景技术
在信息系统中数据存储的安全性已经成为一个关注的焦点,也是企事业单位进行数字知识产权保护需要采取的必要手段。现在保障存储设备的安全性必须要做到的是:保护机密的数据;保证数据的完整性;防止数据被破坏或丢失。本发明在保证存储数据安全性的基础上,同时实现不同的用户数据存储空间相互隔离和保密,采取的保护数据安全的方法是身份认证。
数据资源共享和数据安全问题之间的矛盾日益突出。基于身份的存储数据隔离方法从单位管理者的角度出发,要防止单位内部相关人员任意接触到涉密数据,使有意或者无意泄密数据行为的发生,从而实现对单位数字知识产权的保护和保密。
现有的安全存储数据控制技术,大都仅单一采用了服务器访问控制技术措施,难以实现全面的存储数据控制和存储空间隔离保密的功能。典型的包括从自身安全角度考虑,把内部网络与互联网物理断开,但是对内部网络的访问办法控制,而且与互联网上所有服务器断开不利于正常数据的控制;还有通过网络协议内容过滤的方式防止存储数据泄密,但是如果数据经过加密/压缩等简单处理,则无法防止;再有就是对本地文件采用全盘加密措施,忽略了加密区域是应该有针对性的。
专利发明内容
本发明所描述的基于身份认证的存储数据隔离方法基于数据分类的基础,通过用户身份识别,结合加密控制技术和磁盘数据隐藏技术,实现不同用户数据存储空间相互隔离和保密。使攻击者不可能在没有通过身份验证的情况下越权访问存储空间。
本发明采用综合的控制技术,以策略的形式表现。管理员根据不同用户的不同安全级别定义存储数据的磁盘空间。用户只能访问自己(或者相同安全级别)的存储区域,不能访问其他用户(或者不同安全级别)的存储区域。这个过程是通过磁盘数据隐藏技术,以及文件访问控制技术实现的。整个过程非常灵活,控制了存储数据磁盘之间的隔离和保密程度。
磁盘数据隐藏技术的核心是磁盘驱动技术。系统将磁盘分成若干分区,管理员运用磁盘驱动技术将其中的一个或若干个分区做成工作盘,并自动划分一个固定的区域作为缓存区。客户端在使用的过程中将数据写入工作盘,其他用户无法访问到工作盘的内容,也无法对工作盘做写入、修改等操作。工作盘的用户在对非工作盘操作时,数据表象上写入了非工作盘,但低层上是写入了事先划分好的缓存区,缓存区不存储数据,故重启系统再进入系统时写在非工作区的数据被删除丢失,根本原因是缓存区不保存数据而造成的,这样用户就无法在非工作盘工作。
通过磁盘驱动技术,使磁盘数据隐藏有效实现,工作盘用户只能在工作盘工作,在非工作盘的工作成果将被删除,实现了工作区数据的保密不可外泄。非工作盘用户对工作盘的内容是不可见更不可操作的,这就保证磁盘数据无法外泄的同时也不可破坏。
本发明存储空间隔离技术的核心是文件驱动技术。系统把磁盘分区划分成多个工作盘,管理员运用文件驱动技术使这些工作盘针对不同用户,即每个用户只能在分配好的工作盘上工作,而其他的工作盘是被隐藏的,使工作盘在物理上实现隔离效果。
通过文件驱动技术,使用户在特定的权限下使用特定的工作区,在工作区对文件进行各种操作,其中管理员设置用户访问工作区的权限等级,实现了存储空间的隔离,这种隔离是有针对性的,也是极有实际意义的,存储空间在实现物理地址上的隔离的同时实现了针对用户的特定隔离,使访问磁盘时有了针对性的保密措施。
本发明存储数据隔离控制是管理员对磁盘空间划分特定的存储空间,实现不同用户数据针对客户端的特定数据区工作。
存储数据隔离控制功能描述如下:
1)执行存储数据隔离控制,将用户身份与存储空间绑定,再加上相关的保密技术实现数据的保密;
2)执行存储数据隔离控制,用户只对客户机上指定的工作区域进行访问控制,防止特定用户的工作区被其他用户随意访问导致工作区数据泄密;
3)执行存储数据隔离控制,用户可在其他非特定数据区(无用户指定的存储区即公共磁盘区域)写入数据,在退出系统后写入的数据被自动删除,防止特定用户数据区域的数据被复制到非特定的数据区而造成泄密;
4)可进行访问控制的数据区域由管理员事先设定,实现了存储数据区的隔离。
存储数据访问控制的流程描述如下:
1)在客户机上设置针对特定用户的工作区域;
2)用户对特定的工作区域进行访问控制;
3)实现数据存储隔离退出系统。
附图说明
图1A为本发明中使用磁盘数据隐藏的原理图;
图1B为本发明中存储空间隔离的原理图;
图2为本地存储数据隔离控制的流程示意图;
具体实施方式
1.安装服务器和控制台
请参看《用户手册-可信系统基础平台》相关章节,安装服务器和控制台。
2.授权令牌和增加口令用户
根据用户数量,将厂家提供的令牌进行授权操作(添加到系统中),也可以添加口令用户。可根据用户的特点,如组织机构等,将用户划分成不同的用户组。
3.安装客户端代理
在需要安装的计算机上安装客户端代理软件,安装时注意:
1)请先确认安装认证代理的计算机可以访问认证服务器;
2)同一计算机不同的操作系统将认为是不同的认证代理;
3)若以前安装过认证代理,卸载后再次安装时,若服务器上有上次安装的客户端信息,将直接使用上次安装的客户端信息,不再自动添加新客户端。
4.分组管理计算机
在所有计算机安装完毕后,可以新建计算机组对所有计算机进行分组管理。
5.实施控制本地存储策略
在客户端实施控制本地存储,注意设置客户端上的个人工作区,各工作区之间背靠背保密,高效实现磁盘数据隐藏技术。
Claims (7)
1、一种基于身份的存储数据隔离方法,其特征在于:其功能实现以数据分类为基础,在信息系统中将数据存储空间隔离,且隔离区彼此之间不互通。
2、如权利要求1所述的基于身份的存储数据隔离方法,其特征在于:通过用户身份识别,管理员根据不同用户的不同安全级别定义存储数据的磁盘空间。
3、如权利要求1或2所述的基于身份的存储数据隔离方法,其特征在于:结合加密控制技术和磁盘数据隐藏技术,实现不同的用户数据存储空间相互隔离和保密。
4、利用权利要求3所述的基于身份的存储数据隔离方法,其特征在于:管理员根据不同用户的不同安全级别定义存储数据的磁盘空间。用户只能访问自己(或者相同安全级别)的存储区域,不能访问其他用户(或者不同安全级别)的存储区域。这个过程是通过磁盘数据隐藏技术,以及文件访问控制技术实现的。整个过程非常灵活,控制了存储数据磁盘之间的隔离和保密程度。
5、如权利要求4所述的基于身份的存储数据隔离方法,其特征在于:所述方法同时可实现操作系统写保护,防病毒和木马。
6、如权利要求5所述的基于身份的存储数据隔离方法,其特征在于:所述的方法在本地存储隔离时支持Windows补丁升级和Norton等杀毒软件的病毒库升级。
7、如权利要求6所述的基于身份的存储数据隔离方法,其特征在于:实现个人工作目录的一机多用,把计算机分成工作模式和非工作模式,实现了既能访问外网又能保密工作区数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101213749A CN101382919A (zh) | 2007-09-05 | 2007-09-05 | 一种基于身份的存储数据隔离方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101213749A CN101382919A (zh) | 2007-09-05 | 2007-09-05 | 一种基于身份的存储数据隔离方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101382919A true CN101382919A (zh) | 2009-03-11 |
Family
ID=40462765
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101213749A Pending CN101382919A (zh) | 2007-09-05 | 2007-09-05 | 一种基于身份的存储数据隔离方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101382919A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594360B (zh) * | 2009-07-07 | 2012-07-25 | 清华大学 | 局域网系统和维护局域网信息安全的方法 |
| CN102789367A (zh) * | 2011-02-14 | 2012-11-21 | 希捷科技有限公司 | 动态存储区 |
| WO2013131362A1 (zh) * | 2012-03-09 | 2013-09-12 | Shao Tong | 一种安全隐藏存储器的装置及方法 |
| CN104363229A (zh) * | 2014-11-14 | 2015-02-18 | 浪潮(北京)电子信息产业有限公司 | 一种数据中心及其访问方法 |
| CN104933374A (zh) * | 2015-07-07 | 2015-09-23 | 山东中孚信息产业股份有限公司 | 一种存储介质隔离方法 |
| CN106888224A (zh) * | 2017-04-27 | 2017-06-23 | 中国人民解放军信息工程大学 | 网络安全防护架构、方法及系统 |
-
2007
- 2007-09-05 CN CNA2007101213749A patent/CN101382919A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594360B (zh) * | 2009-07-07 | 2012-07-25 | 清华大学 | 局域网系统和维护局域网信息安全的方法 |
| CN102789367A (zh) * | 2011-02-14 | 2012-11-21 | 希捷科技有限公司 | 动态存储区 |
| WO2013131362A1 (zh) * | 2012-03-09 | 2013-09-12 | Shao Tong | 一种安全隐藏存储器的装置及方法 |
| CN104169893A (zh) * | 2012-03-09 | 2014-11-26 | 邵通 | 一种安全隐藏存储器的装置及方法 |
| CN104363229A (zh) * | 2014-11-14 | 2015-02-18 | 浪潮(北京)电子信息产业有限公司 | 一种数据中心及其访问方法 |
| CN104933374A (zh) * | 2015-07-07 | 2015-09-23 | 山东中孚信息产业股份有限公司 | 一种存储介质隔离方法 |
| CN106888224A (zh) * | 2017-04-27 | 2017-06-23 | 中国人民解放军信息工程大学 | 网络安全防护架构、方法及系统 |
| CN106888224B (zh) * | 2017-04-27 | 2020-05-19 | 中国人民解放军信息工程大学 | 网络安全防护架构、方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101572660B (zh) | 一种防止数据泄密的综合控制方法 | |
| KR102068580B1 (ko) | 컴퓨팅 장치를 보안화하는 방법 | |
| CN102948114B (zh) | 用于访问加密数据的单次使用认证方法及系统 | |
| Hasan et al. | Toward a threat model for storage systems | |
| CN101827101A (zh) | 基于可信隔离运行环境的信息资产保护方法 | |
| KR101373542B1 (ko) | 가상화 기반 논리적 망 분리 기법을 이용한 개인정보 보호 시스템 | |
| CN104246698A (zh) | 弹性操作系统电脑 | |
| US8200964B2 (en) | Method and apparatus for accessing an encrypted file system using non-local keys | |
| US20100071030A1 (en) | Method and system for securely identifying computer storage devices | |
| CN106022154A (zh) | 数据库加密方法和数据库服务器 | |
| US11469880B2 (en) | Data at rest encryption (DARE) using credential vault | |
| Doshi et al. | A review paper on security concerns in cloud computing and proposed security models | |
| CN101382919A (zh) | 一种基于身份的存储数据隔离方法 | |
| Munir | Security model for cloud database as a service (DBaaS) | |
| Alrasheed et al. | Cloud computing security and challenges: issues, threats, and solutions | |
| CN101324913B (zh) | 计算机文件保护方法和装置 | |
| Madnick | Why data breaches spiked in 2023 | |
| US20190251269A1 (en) | Methods and systems for a redundantly secure data store using independent networks | |
| CN116992500A (zh) | 一种数据双层存储的数据防勒索方法及系统 | |
| Alawneh et al. | Defining and analyzing insiders and their threats in organizations | |
| Raisian et al. | Security issues model on cloud computing: A case of Malaysia | |
| CN107437037A (zh) | 一种基于安全软件实现信息防泄露的方法 | |
| Jouini et al. | Security problems in cloud computing environments: A deep analysis and a secure framework | |
| CN105653990A (zh) | 一种u盘数据安全切换方法 | |
| Landwehr | Engineered controls for dealing with big data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| DD01 | Delivery of document by public notice |
Addressee: Duan Dan Document name: Notification that Application Deemed to be Withdrawn |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090311 |