计算机与移动存储设备的敏感数据交换控制模块及方法转让专利
申请号 : CN200810209753.8
文献号 : CN101430752B
文献日 : 2010-09-15
发明人 : 李琼 , 刘兆庆 , 牛夏牧 , 张慧 , 喻欣
申请人 : 哈尔滨工业大学
摘要 :
权利要求 :
1.计算机与移动存储设备的敏感数据交换控制模块,其特征在于它包括以下单元:操作监控模块(1),用于监控计算机与移动存储设备之间的数据传输操作,将传输对象发送给内容过滤模块(2),并根据内容过滤模块(2)反馈的判断结果对传输对象进行写操作的控制;
内容过滤模块(2),用于分析来自操作监控模块(1)的传输对象的各个属性:文件类型、文件格式、内容,依据敏感数据信息库判断传输对象的内容是否包含敏感信息,将判断结果发送给操作监控模块(1);
文件操作监控采用内核态文件过滤驱动,内核态文件过滤驱动用于不改变底层设备驱动或者用户程序而增加I/O设备的新功能,允许不需要重写底层驱动代码而改变这个已存在I/O设备驱动的特性,可以达到对指定文件、文件夹或者整个逻辑盘进行保护,拦截所有用户对它的读写请求;
所述内容过滤模块(2)包括以下单元:
传输对象分析模块(2-1),用于对操作监控模块(1)提供的传输对象进行分析,得到其文件类型、文件格式、及传输内容,将提取的内容发送给传输内容判别模块(2-2);
传输内容判别模块(2-2),用于判断传输内容是否为敏感内容,并将判断结果发送给操作监控模块(1);可处理内容有两大类,即文本文件内容和图像多媒体内容;
传输内容判别模块(2-2)根据敏感信息数据库对传输内容进行判断,在得到传输内容的情况下,对文本内容的判别采用基于关键字的匹配方法;对图像多媒体内容的判别,则采用基于感知摘要的识别方法;在构建敏感信息数据库时,计算并存储敏感多媒体内容的感知摘要;
它还包括以下单元:
加密过滤驱动模块(3),用于根据内容过滤模块(2)的判断结果对传输对象进行基于过滤加密驱动的实时加密或解密;
加密过滤驱动模块(3)的功能包括:①、接收操作监控模块(1)的请求并对目标敏感传输对象进行加密存储到移动存储设备上;当收到操作监控模块(1)发出的请求时,在该数据被保存到移动存储设备前加密该文件;②、拦截所有用户对加密文件的读请求并在返回给合法用户前解密。
2.根据权利要求1所述的计算机与移动存储设备的敏感数据交换控制模块,其特征在于它还包括以下单元:日志审计模块(4),用于记录文件操作监控模块(1)或加密过滤驱动模块(3)对每个传输文件的操作,并将操作记录提供给用户查询和输出。
3.基于权利要求1所述的计算机与移动存储设备的敏感数据交换控制模块的控制方法,其特征在于它包括以下步骤:步骤一,操作监控模块(1)拦截并解析来自用户的写请求,并将解析结果发送给内容过滤模块(2);
步骤二,内容过滤模块(2)根据来自操作监控模块(1)的解析结果,对传输对象的文件类型、文件格式进行分析,得到传输对象的文本内容或者图像多媒体内容;
步骤三,内容过滤模块(2),根据敏感信息数据库对分析的结果进行过滤,判断传输的内容是否为敏感信息。
步骤四,内容过滤模块(2)将判断结果反馈给操作监控模块(1);
步骤五,操作监控模块(1)根据判断结果控制传输对象的写操作或启动加密过滤驱动模块(3)对传输对象加密;同时将执行这次操作的进程、用户、文件名、时间记录到系统日志文件中。
步骤六,加密过滤驱动模块(3)将加密后的传输对象发送给下一层设备对象。
4.根据权利要求3所述的计算机与移动存储设备的敏感数据交换控制方法,其特征在于步骤五中所述的控制传输对象的写操作是指对于传输数据包含的敏感信息,根据用户的意愿或者应用场合的需要禁止写操作或者启动加密过滤驱动模块(3)进行加密。
说明书 :
技术领域
本发明涉及一种计算机与存储设备之间的数据交换控制模块及方法,属于移动存储设备安全领域,并且本方法也可应用于计算机与网络之间数据交换的控制与管理。
背景技术
现有的各种数据安全管理技术一般都着眼于某一个特定的层次考虑安全问题,例如局域网系统、整台计算机、磁盘、文件夹或者文件等,并不能针对传输内容进行过滤检查,无法从内容上解决防止敏感信息泄漏的问题,反而影响了移动存储设备实用的便利性。
现有的基于文件的安全管理系统一般都通过用户设定文件安全属性的方法来制定安全级别和允许的操作,虽然对文件交换的控制进行了改进,但依然存在两个问题:一是在用户对文件内容了解不足或者在操作失误的情况下,容易错误地设定安全属性,导致潜在的安全管理失效,降低了系统的可靠性;二是这些系统的操作控制往往局限在只读、限制打印次数、限制部分编辑功能等,缺乏灵活性和实用性。
发明内容
操作监控模块,用于监控计算机与移动存储设备之间的数据传输操作,将传输对象发送给内容过滤模块,并根据内容过滤模块反馈的判断结果对传输对象进行写操作的控制;
内容过滤模块,用于分析来自操作监控模块的传输对象的各个属性:文件类型、文件格式、内容等,依据敏感数据信息库判断传输对象的内容是否包含敏感信息,将判断结果发送给操作监控模块。
文件操作监控采用内核态文件过滤驱动,内核态文件过滤驱动用于不改变底层设备驱动或者用户程序而增加I/O设备的新功能,允许不需要重写底层驱动代码而改变这个已存在I/O设备驱动的特性,可以达到对指定文件、文件夹或者整个逻辑盘进行保护,拦截所有用户对它的读写请求;
所述内容过滤模块(2)包括以下单元:
传输对象分析模块(2-1),用于对操作监控模块(1)提供的传输对象进行分析,得到其文件类型、文件格式、及传输内容,将提取的内容发送给传输内容判别模块(2-2);
传输内容判别模块(2-2),用于判断传输内容是否为敏感内容,并将判断结果发送给操作监控模块(1)。可处理内容主要有两大类,即文本文件内容和图像多媒体内容;
传输内容判别模块(2-2)根据敏感信息数据库对传输内容进行判断,在得到传输内容的情况下,对文本内容的判别采用基于关键字的匹配方法;对图像等多媒体内容的判别,则采用基于感知摘要的识别方法;在构建敏感信息数据库时,计算并存储敏感多媒体内容的感知摘要;
它还包括以下单元:
加密过滤驱动模块(3),用于根据内容过滤模块(2)的判断结果对传输对象进行基于过滤加密驱动的实时加密或解密;
加密过滤驱动模块(3)的功能包括:①、接收操作监控模块1的请求并对目标敏感传输对象进行加密存储到移动存储设备上;当收到操作监控模块1发出的请求时,在该数据被保存到移动存储设备前加密该文件。②、拦截所有用户对加密文件的读请求并在返回给合法用户前解密。
本发明的计算机与移动存储设备的敏感数据交换控制方法包括以下步骤:
步骤一,操作监控模块拦截并解析来自用户的写请求,并将解析结果发送给内容过滤模块;
步骤二,内容过滤模块根据来自操作监控模块的解析结果,对传输对象的文件类型、文件格式进行分析,得到传输对象的文本内容或者图像等多媒体内容;
步骤三,内容过滤模块,根据敏感信息数据库对分析的结果进行过滤,判断传输的内容是否为敏感信息。
步骤四,内容过滤模块将判断结果反馈给操作监控模块;
步骤五,操作监控模块根据判断结果控制传输对象的写操作或启动加密过滤驱动模块对传输对象加密;同时将执行这次操作的进程、用户、文件名、时间等记录到系统日志文件中。
步骤六,加密过滤驱动模块将加密后的传输对象发送给下一层设备对象。
有益效果:本发明的监控粒度较小,监控粒度为传输对象,传输对象可能是“文件”或“文件的一部分”;本发明可对多种文件格式的传输对象进行监控;本发明不仅仅适用于文本文件,同时也能防止图像、音频和视频等多媒体敏感文件的泄漏,实用性较强;本发明主要在操作系统内核态和用户态进行文件监控,对用户态的应用程序是透明的;本发明不仅可以应用到计算机与移动存储设备之间,也可以应用到计算机与本地网络之间的信息交换等扩展环境中。
附图说明
具体实施方式
操作监控模块1,用于监控计算机与移动存储设备之间的数据传输操作,将传输对象(传输对象可能是文件或文件的一部分)发送给内容过滤模块2,并根据内容过滤模块2反馈的判断结果对传输对象进行写操作的控制;
内容过滤模块2,用于分析来自操作监控模块1的传输对象的各个属性:文件类型、文件格式、内容等,依据敏感数据信息库判断传输对象的内容是否包含敏感信息,将判断结果发送给操作监控模块1。
本实施方式为一种计算机与移动存储设备之间数据交换管理系统,从功能来看,主要包含监视和控制两部分。其目的在于防止包含敏感信息的数据从计算机通过移动存储设备泄漏到其它不安全的场合,用于当移动存储设备接入计算机拷贝数据时,该系统对操作进行监控,并通过对传输对象的分析判断是否可以执行往移动存储设备的写操作。本实施方式的系统组成如图2所示:本实施方式相应的软件安装在受保护的计算机中,数据在受保护的计算机和移动存储设备之间交换,因此本实施方式假定的前提是:受保护的计算机是可以信任的,移动存储设备是不可信任的。在受保护的计算机内部,本实施方式的功能分别执行在用户态和内核态,相互配合并完成不同的功能。
文件操作监控采用内核态文件过滤驱动,内核态文件过滤驱动用于不改变底层设备驱动或者用户程序而增加I/O设备的新功能,允许不需要重写底层驱动代码而改变这个已存在I/O设备驱动的特性,可以达到对指定文件、文件夹或者整个逻辑盘进行保护,拦截所有用户对它的读写请求。
具体实施方式二:参见图1,本实施方式在具体实施方式一的基础上进一步限定了所述内容过滤模块2包括以下单元:
传输对象分析模块2-1,用于对操作监控模块1提供的传输对象进行分析,得到其文件类型、文件格式、及传输内容,将提取的内容发送给传输内容判别模块2-2;
传输内容判别模块2-2,用于判断传输内容是否为敏感内容,并将判断结果发送给操作监控模块1。可处理内容主要有两大类,即文本文件内容和图像等多媒体内容。
传输内容判别模块2-2根据敏感信息数据库对传输内容进行判断,敏感信息数据库中的数据可根据具体的应用环境进行设置,如通过对已知敏感文件的训练得到,同时本发明中的文本内容关键字以密文形式存储,图像等多媒体内容以感知摘要的形式存储,保证了敏感数据的安全。
在得到传输内容的情况下,对文本内容的判别采用基于关键字的匹配方法。对图像等多媒体内容的判别,则采用基于感知摘要的识别方法。在构建敏感信息数据库时,计算并存储敏感多媒体内容的感知摘要,感知摘要具有感知鲁棒性、安全性、摘要性等特点。其中鲁棒性是指多媒体内容即使在经过内容保持操作(如,压缩、格式转换、旋转等)后,仍能利用数据库中的感知摘要判别出该内容。该特性能够很好地满足本发明的需求。
在内容判别方面,本实施方式不仅能够对传统的文本文件内容进行监控,还可以通过基于语义的文本内容(而不是传统的基于字符排列的关键词),基于多媒体感知特征的内容摘要(而不是传统二进制数据流)对文件内容的敏感性进行判决。
具体实施方式三:参见图1,本实施方式在具体实施方式一的基础上增加了以下单元:
加密过滤驱动模块3,用于根据内容过滤模块2的判断结果对传输对象进行基于过滤驱动的实时加密或解密。
加密过滤驱动是在操作系统内核中,文件系统之上的数据加密技术。它是利用开发过滤驱动来实现文件系统功能扩展的技术,属于操作系统内核程序,和文件系统紧密结合,为用户提供加/解密服务。利用过滤驱动实现文件加解密有安全保障,因为过滤驱动属于操作系统内核程序,内核机制提供了强有力的安全保证,不易受到攻击。对合法用户来说,该模块可以提供透明的文件加解密服务。综合文件系统过滤驱动加密的优点和本专利的安全需求,对移动存储设备中的指定文件进行安全可靠的加密,采用此技术是合理的。
加密过滤驱动模块3的功能包括:①、接收操作监控模块1的请求并对目标敏感传输对象进行加密存储到移动存储设备上。当收到操作监控模块1发出的请求时,在该数据被保存到移动存储设备前加密该文件。②、拦截所有用户对加密文件的读请求并在返回给合法用户前解密。本模块对被保护计算机中的敏感数据实现加密保护,写数据时对数据进行加密,读数据时对数据进行解密,加/解密对合法用户是透明的。即使非法用户窃取到移动存储设备上的加密敏感数据,也不能对其解密。
本实施方式采用基于过滤驱动的加密,可对多种文件系统下的各种文件进行加密保护,并不影响用户的正常操作;本实施方式所采用的加密过滤驱动无缝嵌入操作系统内核,对I/O数据进行高强度加密或解密,安全性高。
具体实施方式四:参见图1,本实施方式在具体实施方式一或三的基础上增加了以下单元:
日志审计模块4,用于记录操作监控模块1或加密过滤驱动模块3对每个传输文件的操作,并将操作记录提供给用户查询和输出。
用户可根据日志审计模块4提供的内容对整个系统的安全性和系统是否正常运行进行检测,并根据检测结果对系统进行调整。
具体实施方式五:参见图3,本实施方式的控制方法由以下步骤组成:
步骤一,操作监控模块1拦截并解析来自用户的写请求-IRP(IRP为I/ORequest Package的缩写,即I/O请求包,IRP是I/O管理器在内核态操作的对象),并将解析结果发送给内容过滤模块2;
步骤二,内容过滤模块2根据来自操作监控模块1的解析结果,对传输对象的文件类型、文件格式进行分析,得到传输对象的文本内容或者图像等多媒体内容;
步骤三,内容过滤模块2,根据敏感信息数据库对分析的结果进行过滤,判断传输的内容是否为敏感信息。
步骤四,内容过滤模块2将判断结果反馈给操作监控模块1;
步骤五,操作监控模块1根据判断结果控制传输对象的写操作或启动加密过滤驱动模块3对传输对象加密;同时将执行这次操作的进程、用户、文件名、时间等记录到系统日志文件中。
步骤六,加密过滤驱动模块3将加密后的传输对象发送给下一层设备对象。
本实施方式中步骤五的写操作控制是指如果传输数据包含敏感信息,则根据用户的意愿或者应用场合的需要禁止这次写操作或者启动加密过滤驱动模块;如果传输数据不包含敏感信息,则允许这次写操作完成。