[发明专利]一种基于身份认证的虚拟终端安全环境的保护方法及系统

权利要求书

1.一种基于身份认证的虚拟终端安全环境的保护系统，该系统包括：智能存储监控层、存储服务层、核心安全层；所述智能存储监控层包括应用数据访问监测模块、存储访问重定向模块和应用数据访问控制模块，应用程序对存储设备的读写请求会被所述应用数据访问监测模块捕获，然后将应用程序的读写请求发送到所述应用数据访问控制模块进行分析处理，所述应用数据访问控制模块根据配置好的访问控制规则，匹配应用程序的数据访问行为，针对需要处理的数据访问，通过所述存储访问重定向模块改变原有的下发路径，发送到所述存储服务层处理；

所述存储服务层负责处理智能监控层传递下来的数据读写请求，向所述核心安全层发送文件或数据的加密或者解密操作请求，记录文件映射关系；

所述核心安全层，为存储服务层提供加解密支撑，根据需求调度不同算法，其接收所述存储服务层传递过来的数据加密或解密请求，执行对数据的加密或解密操作，并将操作结果返回给所述存储服务层。

2.根据权利要求1所述的系统，所述存储服务层包括虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块，当数据读写请求到达所述存储服务层时，首先分析数据访问类型，根据不同的访问类型，分别投递到所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块进行处理。

3.根据权利要求2所述的系统，所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块处理针对文件、数据库和内存的数据读写请求，所述三个模块对所述数据访问的具体处理为：当请求读取数据时，将调用所述核心安全层提供的服务进行解密数据操作，当请求写入数据时，调用所述核心安全层提供的服务进行数据加密操作。

4.根据权利要求1-3之一所述的系统，所述核心安全层包括加解密引擎模块、算法库支持模块和密钥管理模块，所述加解密引擎模块负责分析来自上层的请求，根据请求调度所述算法库支持模块和密钥管理模块，完成数据的加密或解密操作，其中，所述算法库支持模块实现数据加解密的算法，所述密钥管理模块实现不同算法的密钥管理，为所述加解密引擎模块提供支撑。

5.根据权利要求1-3之一所述的系统，所述应用数据访问监测模块包括：应用程序签名分析和比对模块和应用程序签名库，其中应用程序签名库存储需要控制的应用程序的签名；

所述应用数据访问控制模块包括：应用存储访问监测模块和应用访问控制模块；

该系统通过存储访问重定向技术接管应用程序的存储读写访问操作，根据设置的访问控制规则，改变存储读写访问，将存储读写访问请求定向到指定区域，避免影响系统之外的数据结构，其具体实现过程如下：所述应用程序签名分析和比对模块提取应用程序的签名，将提取的签名与所述应用程序签名库中的数据进行匹配，如果存在匹配数据，则将应用程序的数据读写请求发送到所述应用存储访问监测模块进行处理；当所述应用存储访问监测模块接收到所述应用程序签名分析和比对模块传递下来的数据读写请求时，调用所述应用访问控制模块，分析数据读写控制策略，将需要控制的数据读写请求传递到所述存储访问重定向模块进行处理；

所述应用访问控制模块，根据应用程序的签名，分析、匹配与其对应的应用访问控制策略，并将访问控制策略返回给所述应用存储访问监测模块；

所述存储访问重定向模块，接收满足访问控制策略的数据读写请求，交由加密存储服务模块进行处理，完成数据的加密或解密处理后，将操作结果返回给上层进行处理。