[发明专利]一种基于身份认证的虚拟终端安全环境的保护方法及系统

说明书

技术领域

本发明涉及数据安全领域，尤其涉及一种基于身份认证的虚拟终端安全环境的保护方法及

系统。

背景技术

由于手机等智能终端应用的越来越广泛，对智能终端上数据的保护也显得越来越紧迫。比如，近几年，随着移动网络的迅速发展和壮大，移动警务也有了更大的舞台，由于其职业特殊性，要求网络有更好的安全性。移动网络，对于大家来说是一个开放的环境，任何人都可以截获其他人的信息。因此，大家都着重于链路和接入安全，往往忽视本地的应用安全及数据的安全，一旦移动设备遗失或过失就会造成重大后果。目前，市场上已经出现了一些类似沙箱技术的手机应用，如下所述：

A、手机沙箱软件，可以设置不同模式和应用布局，进入不同模式，只能使用设定应用，退出后对手机真实环境无影响。

如图1所示，其展示了手机沙箱技术的数据保护流程，具体包括：

1）手机上启动沙箱环境；

2）进入沙箱后，监管系统各种I/O操作；

3）对写入存储的数据进行重定向操作，以此实现对真实数据的保护；

4）当数据处理完成后，退出沙箱环境，撤销系统I/O，监管；

5）判断是否保留沙箱中的数据；

6）如果保留，则将数据保存至存储设备，结束流程；

7）如果不保留，则清理数据，结束流程。

B、手机安全类软件的隐私保护功能，可以将有关个人数据拉入保险箱，进入保险箱的数据，在保险箱外部不可见，只能在保险箱中操作里面的数据。

如图2所示，其展示了隐私保护技术的数据保护流程，具体包括：

1）手机进入封闭安全环境；

2）将环境外的数据放入环境内自动加密并清除原始数据；

3）查看、修改、保存环境内的数据；

4）退出封闭安全环境；

5）结束流程

但上述技术都存在一些缺点：

A、针对沙箱技术，数据不能留存在环境内部，不能对数据进行保护处理，有数据泄密风险。

B、针对隐私保护技术，数据的加入都是人为操作，不提供针对实际应用程序所产生数据的保护。

发明内容

本发明从实际需求和应用的角度出发，构建一个基于身份认证的虚拟终端安全环境保护系统，在环境内部可以针对某些应用产生的数据进行自动加密处理，也可以手动选择某些数据进行加密处理；环境内部产生的数据只能在内部使用，在外部不可见或不可使用；环境内部可以使用环境外部数据，环境外部数据不能使用环境内部数据，相互之间互不影响。

为解决上述技术问题，本发明提出了一种基于身份认证的虚拟终端安全环境保护系统，该系统包括：智能存储监控层、存储服务层、核心安全层；所述智能存储监控层包括应用数据访问监测模块、存储访问重定向模块和应用数据访问控制模块，应用程序对存储设备的读写请求会被所述应用数据访问监测模块捕获，然后将应用程序的读写请求发送到所述应用数据访问控制模块进行分析处理，所述应用数据访问控制模块根据配置好的访问控制规则，匹配应用程序的数据访问行为，针对需要处理的数据访问，通过所述存储访问重定向模块改变原有的下发路径，发送到所述存储服务层处理；

所述存储服务层负责处理智能监控层传递下来的数据读写请求，向所述核心安全层发送文件或数据的加密或者解密操作请求，记录文件映射关系；

所述核心安全层，为存储服务层提供加解密支撑，根据需求调度不同算法，其接收所述存储服务层传递过来的数据加密或解密请求，执行对数据的加密或解密操作，并将操作结果返回给所述存储服务层。

进一步的，所述存储服务层包括虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块，当数据读写请求到达所述存储服务层时，首先分析数据访问类型，根据不同的访问类型，分别投递到所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块进行处理。

进一步的，所述虚拟文件加密服务模块、数据库加密服务模块和内存流加密服务模块处理针对文件、数据库和内存的数据读写请求，所述三个模块对所述数据访问的具体处理为：当请求读取数据时，将调用所述核心安全层提供的服务进行解密数据操作，当请求写入数据时，调用所述核心安全层提供的服务进行数据加密操作。