一种基于虚拟隔离机制的云环境下数据防泄漏方法.pdf

上传人：e2

文档编号：4529224

上传时间：2018-10-18

格式：PDF

页数：10

大小：532.21KB

《一种基于虚拟隔离机制的云环境下数据防泄漏方法.pdf》由会员分享，可在线阅读，更多相关《一种基于虚拟隔离机制的云环境下数据防泄漏方法.pdf（10页完整版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 104268484 A (43)申请公布日 2015.01.07 CN 104268484 A (21)申请号 201410492514.3 (22)申请日 2014.09.24 G06F 21/62(2013.01) (71)申请人科云 ( 上海 ) 信息技术有限公司地址 200439 上海市宝山区长逸路 15 号 B-1088 (72)发明人陈锋虞万荣鲍爱华 (54) 发明名称一种基于虚拟隔离机制的云环境下数据防泄漏方法 (57) 摘要本发明公开了一种基于虚拟隔离机制的云环境下数据防泄漏方法，步骤如下：（1）将私有云系统的用户访问终端划分。

2、为安全云盘、虚拟隔离运行环境和I/O代理进程；（2）用户进程对安全云盘的访问都需要经过I/O代理进程， I/O代理进程根据策略对所有进程的操作进行控制；（3）将用户访问终端内的用户进程分为可信进程和非可信进程，当非可信进程或可信进程尝试访问安全云盘时，可信进程被标记为受控进程，在虚拟隔离运行环境下进行隔离运行；非可信进程则被禁止。本发明可全方位保护私有云环境下端系统用户的数据安全，保证私有云系统的用户端的安全性和可靠性；该方法对端用户资源要求不高，可以适应各种类型的客户端系统。 (51)Int.Cl. 权利要求书 1 页说明书 6 页附图。

3、2 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书1页说明书6页附图2页 (10)申请公布号 CN 104268484 A CN 104268484 A 1/1 页 2 1. 一种基于虚拟隔离机制的云环境下数据防泄漏方法，其特征在于，步骤如下：（1）将私有云系统的用户访问终端划分为安全云盘、虚拟隔离运行环境和 I/O 代理进程；（2）用户进程对安全云盘的访问都需要经过 I/O 代理进程， I/O 代理进程根据策略对所有进程的操作进行控制；（3）将用户访问终端内的用户进程分为可信进程和非可信进程，当非可信进程或可信进程尝试访问安全云。

4、盘时，可信进程被标记为受控进程，在虚拟隔离运行环境下进行隔离运行；非可信进程则被禁止。 2. 根据权利要求 1 所述的基于虚拟隔离机制的云环境下数据防泄漏方法，其特征在于，所述步骤（3）中受控进程在虚拟隔离运行环境下进行隔离运行，包括如下隔离方法： 1）受控进程运行时的内存数据被隔离保护，无法与非可信进程进行交互； 2）受控进程对云盘文件读写操作，全部由 I/O 代理进程进行安全控制； 3）受控进程以只读方式使用本地磁盘数据，对本地存储所有文件写操作都通过 I/O 代理进程以重定向方式，加密写入临时安全缓存进行隔离，读取时通过代理程序解密读取；。

5、4）受控进程只能以只读方式使用本地外部设备，写操作被禁止； 5）受控进程只能访问指定的可信网络，隔离其对风险网络的访问。 3. 根据权利要求 1 所述的基于虚拟隔离机制的云环境下数据防泄漏方法，其特征在于，所述安全云盘以网络硬盘形式展现。权利要求书 CN 104268484 A 2 1/6 页 3 一种基于虚拟隔离机制的云环境下数据防泄漏方法技术领域 0001 本发明涉及云环境下数据保护领域，具体是一种基于虚拟隔离机制的云环境下数据防泄漏方法。背景技术 0002 近年来，随着云存储技术的发展与应用，越来越多的企业希望搭建属于自己的私有云存储系统为企业提供。

6、可靠存储服务。国外典型的云存储服务产品有Dropbox、 SkyDrive 等，国内主要有金山快盘、 360 云盘、百度云盘等。这些云存储系统在终端用户以云盘的形式存在，提供文件自动双向同步功能，具有非常好的用户体验。对于企业单位来说，它能够对企业内部终端主机上的电子文件进行实时同步与共享，支持移动和协同办公，具有非常大的应用前景，但也带来了极大地安全隐患。云盘中数据文件在使用过程中存在着众多的信息泄露途径：木马病毒窃取，用户有意或无意的泄露以及通过网络和外部设备泄露等等。因此，在目前开放式网络环境下，尤其是云存储环境下，如何将数据以一种可信赖的方式存。

7、储并保证数据在使用过程中的安全性和可靠性，已经成为计算机信息安全研究中的一个重要问题。 0003 针对该问题的已有的解决方法包括，将一部分数据处理和安全控制功能集成到存储设备中以增强存储设备的安全性，如基于面向对象方法实现主动存储、以虚拟存储映射方式实现的网络智能磁盘等，这些方法主要侧重提高数据存储的安全性，而较少考虑计算机终端的应用环境和进程对数据的使用是否可信。针对终端的数据安全问题， VMware 等厂商提出了虚拟桌面架构，通过虚拟隔离改善了软件运行环境的可信性；部分研究者提出利用虚拟机监视器为用户程序提供安全保护层，隔离保护用户程序的内存空间，确保软件。

8、运行环境可靠。这些虚拟化技术的出现促进了软件运行环境可信性研究，在此基础上提出的方法包括能够为敏感数据应用环境提供可信性保障的可信虚拟域和基于可信虚拟域的安全可扩展的企业版权管理方案。这些基于硬件层虚拟机实现的解决方法，比较适合于分布式服务应用中的数据保护，而对于终端存储中的数据保护，则存在开销太大、性能不高的问题，同时无法自然的与用户原有的系统进行直接融合，需要进行环境切换。 0004 总而言之，目前在云环境下数据保护方面，已有的解决方法要么聚焦于存储本身，将相关的保护技术叠加在存储设备或者存储系统上，较少考虑访问数据的端用户，无法确保数据到达用户端后的安。

9、全；要么基于硬件层虚拟机实现用户数据和运行环境的隔离，对端用户资源要求高，性能无法满足需求，且割裂用户研究熟悉的环境和使用习惯。发明内容 0005 本发明的目的在于提供一种基于虚拟隔离机制的云环境下数据防泄漏方法，可全方位保护私有云环境下端系统用户的数据安全，确保关键数据在端用户访问和使用过程中不会泄露。 0006 为实现上述目的，本发明提供如下技术方案：说明书 CN 104268484 A 3 2/6 页 4 一种基于虚拟隔离机制的云环境下数据防泄漏方法，步骤如下：（1）将私有云系统的用户访问终端划分为安全云盘、虚拟隔离运行环境和 I/O 代理进程。

10、；（2）用户进程对安全云盘的访问都需要经过 I/O 代理进程， I/O 代理进程根据策略对所有进程的操作进行控制；（3）将用户访问终端内的用户进程分为可信进程和非可信进程，当非可信进程或可信进程尝试访问安全云盘时，可信进程被标记为受控进程，在虚拟隔离运行环境下进行隔离运行；非可信进程则被禁止。 0007 作为本发明进一步的方案：所述步骤（3）中受控进程在虚拟隔离运行环境下进行隔离运行，包括如下隔离方法： 1）受控进程运行时的内存数据被隔离保护，无法与非可信进程进行交互； 2）受控进程对云盘文件读写操作，全部由 I/O 代理进程进行安全控制；。

11、 3）受控进程以只读方式使用本地磁盘数据，对本地存储所有文件写操作都通过 I/O 代理进程以重定向方式，加密写入临时安全缓存进行隔离，读取时通过代理程序解密读取； 4）受控进程只能以只读方式使用本地外部设备，写操作被禁止； 5）受控进程只能访问指定的可信网络，隔离其对风险网络的访问。 0008 作为本发明进一步的方案：所述安全云盘以网络硬盘形式展现。 0009 与现有技术相比，本发明的有益效果是：本发明解决了私有云环境下关键数据在端用户处可能存在的信息泄露问题，通过安全云盘实现加密存储和加密双向自动同步，确保了关键数据在传输通道上的安全；通过虚拟隔离。

12、运行环境隔绝非可信进程对关键数据的访问，控制受控可信进程只能以只读方式访问本地磁盘数据和本地外设，隔离受控可信进程对非可信网络的访问；通过 I/O 代理进程，实现受控可信进程透明访问安全云盘内的关键数据，并隔绝非可信进程对安全云盘的访问，该方法可全方位保护私有云环境下端系统用户的数据安全，确保关键数据在端用户访问和使用过程中不会泄露，保证私有云系统的用户端的安全性和可靠性，同时，该方法对端用户资源要求不高，可以适应各种类型的客户端系统，对客户端系统的性能和用户的使用习惯影响较小，方便在实际中部署和使用。 0010 附图说明图 1 是基于虚拟隔离机制的云。

13、环境下数据防泄漏方法中私有云系统总体架构图；图 2 是基于虚拟隔离机制的云环境下数据防泄漏方法中安全云盘在用户访问终端的存储及同步示意图；图 3 是基于虚拟隔离机制的云环境下数据防泄漏方法中用户访问终端虚拟隔离运行环境和 I/O 代理进程的示意图；图 4 是基于虚拟隔离机制的云环境下数据防泄漏方法中虚拟隔离运行环境模型图。具体实施方式 0011 下面将结合本发明实施例及附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的。

14、所有其他实施例，都属于本发明保护的范围。说明书 CN 104268484 A 4 3/6 页 5 0012 本发明实施例中，一种基于虚拟隔离机制的云环境下数据防泄漏方法，步骤如下：（1）将私有云系统的用户访问终端划分为安全云盘、虚拟隔离运行环境和 I/O 代理进程；（2）用户进程对安全云盘的访问都需要经过 I/O 代理进程， I/O 代理进程根据策略对所有进程的操作进行控制。 0013 （3）将用户访问终端内的用户进程分为可信进程和非可信进程，当非可信进程或可信进程尝试访问安全云盘时，可信进程被标记为受控进程，在虚拟隔离运行环境下进行隔离运行；。

15、非可信进程则被禁止。 0014 在详细描述本发明的具体实施方法前，先描述本发明所针对的私有云环境系统的系统架构。请参阅图 1，本发明所涉及的私有云环境系统总体架构如下，从逻辑上包括三类对象，分别是云存储系统、管理服务器和用户访问终端。 0015 云存储系统用于加密存储整个私有云系统的数据，端用户在需要使用云存储系统中的数据时，通过其用户访问终端，根据管理服务器设置的相应控制策略，基于可信网络的加密安全信道访问并使用云存储系统中的加密数据。私有云存储系统由私有云系统的所有者自己构建，具有完全的所有权，可以确保云存储系统的数据安全性。 0016 管理服务器负责对私。

16、有云系统的用户和数据文件进行管理，通过相应的管理配置策略确定每个用户在指定的时刻可以访问和使用哪些数据文件，并将这些配置策略分发到云存储系统和用户访问终端，以实现对数据文件的控制和保护。 0017 用户访问终端是指安装 Windows 2000、 Windows 2003、 Windows XP、 Windows 7、 Windows8 等操作系统的 PC 机或者服务器，可以按照管理服务器的策略，通过可信网络的加密安全信道读写私有云存储系统中的数据，私有云系统的数据在用户访问终端断开与私有云系统的连接期间，可以暂时安全的存储在用户访问终端上并在用户访问终端重新接入私有云。

17、系统后自动完成与云存储系统的同步。 0018 请参阅图 2，安全云盘在用户访问终端上以网络硬盘的形式存在，该网络硬盘中的数据以加密的形式存储，用户访问终端的中央处理器上运行的进程在获得必要的授权后，可以像访问本地磁盘一样直接透明访问该网络硬盘中的加密数据，加解密过程对用户透明。用户访问终端上安全云盘内的数据通过可信网络信道，以加密的方式在用户访问终端和云存储系统之间传输，双向实时同步，在用户访问终端与云存储系统断开连接期间，数据以密文的形式存在用户访问终端上，在用户访问终端与云存储系统之间重新建立连接后自动同步。 0019 请参阅图 3，本发明将用户访问终端内的。

18、用户进程分为可信进程和非可信进程两类。可信进程即是在管理服务器的配置下可以访问安全云盘中的数据的用户进程，可信进程一旦访问了安全云盘或者临时安全存储区域中的数据，则说明该进程已经接触了受保护的关键数据，则将该进程标记为受控进程，并将其强制置于虚拟隔离运行环境中进行隔离运行。非可信进程在任何情况下均不允许访问安全云盘或者临时安全存储区域中的数据。 0020 虚拟运行环境提供以下五个方面的安全隔离措施： 1）内存隔离受控进程运行时的内存数据被隔离保护，无法与非可信进程进行交互；说明书 CN 104268484 A 5 4/6 页 6 2）网络隔离受控进程只能访。

19、问指定的可信网络，隔离其对其他非可信网络的访问； 3）本地外设操作单向隔离受控进程只能以只读方式访问本地外设，如 U 盘、刻录光驱和打印机等，写操作被完全禁止； 4）本地文件访问隔离受控进程只能以只读方式使用本地磁盘数据，对本地存储所有文件写操作都通过 I/O 代理进程以重定向方式，加密写入临时安全缓存进行隔离，读取时通过 I/O 代理进程解密读取； 5）安全云盘数据操作隔离受控进程对云盘文件的读写操作，全部由 I/O 代理进程进行安全控制。 0021 虚拟运行环境实现安全隔离控制的核心是有效控制进程的运行环境，本质上可以看作是将数据与进程一起划。

20、分安全域。实际上访问安全云盘的受控进程运行时，该进程同时须访问相关配置文件和临时文件（由于这些文件是进程运行必需的，本文称这些文件为进程运行文件，简称运行文件），这些文件一般在安全云盘之外，对于这种可能跨越安全域和非安全域的进程，单纯的隔离虽然可以保证数据的安全性但是会造成进程运行环境破坏导致进程运行错误。 0022 本发明所提出的数据防泄漏方法中，将可信网络、临时安全存储、安全云盘和受控进程划为一个安全域，共同构成隔离虚拟运行环境，在该环境内综合利用网络访问过滤技术、内存空间保护技术和文件过滤驱动技术，确保数据只会流动于安全域内，防止敏感数据外泄。

21、。图 4 是虚拟隔离运行环境的模块示意图，其提供的隔离功能通过如下三个模块实现，受控进程对关键数据的访问均需通过三个模块的一个或者多个进行安全隔离： 1）文件过滤模块受控进程对非云盘内文件进行写操作时，将会触发动态重定向操作：若是创建或写运行文件请求，则在临时安全缓存中拷贝产生对应的副本文件，再将该请求重定向到临时安全缓存中进行访问；如果是其它访问请求，如读请求，则将请求重定向到对应的副本文件，对该副本进行操作。通过重定向操作，可以确保受控进程可以任意读取 u 盘等外设内文件数据以及本地存储上运行文件数据，但是使用中这些数据只会流动于虚拟隔离运行环境内。

22、。为不影响上层应用程序的执行，重定向操作需要在应用层以下实现并且对上层应用透明。 0023 2）网络包过滤模块受控进程根据管理服务器下发的访问控制策略表对受控进程的网络访问进行数据包过滤，使它只能与可信网络进行安全通信，同时为了保证数据的安全性，要求可信网络内所有进程都处于隔离虚拟运行环境内执行。 0024 3）内存过滤模块利用内存钩子技术监控受控进程对剪贴板和跨进程的读写操作，禁止非可信进程访问剪贴板内敏感数据，允许可信进程访问剪贴板内敏感数据。可信进程一旦访问了剪贴板内的敏感数据，该进程就会被标注为受控进程，被强制置于虚拟隔离运行环境下进行隔离运行。同时。

23、利用钩子技术可信进程监控对注册表的访问操作操作，将其对注册表的写操作重定向到虚拟注册表内，禁止非可信进程访问虚拟注册表内敏感数据，允许可信进程访问虚拟注册表。可信进程一旦访问了虚拟注册表内的敏感数据，该进程就会被标注为受控进程，被强制置于虚拟隔离运行环境下进行隔离运行。 0025 下面，基于信息流模型对本发明所提出数据防泄漏方法所涉及的信息流进行描述和分析，将安全控制规则转换为信息流规则，进而给出该方法的数据防泄漏安全性证明。说明书 CN 104268484 A 6 5/6 页 7 0026 令 DS、 DC 和 DL 分别表示主机上安全云盘内的文件集合、临时安。

24、全缓存内文件集合和其它本地文件集合； f1, f2,fn(DSDCDL)， nN 表示主机中的文件； PC、 PT 和 PD 分别表示虚拟隔离运行环境内的受控进程、虚拟隔离运行环境外的可信进程集合和非可信进程， p1,p2,pm (PCPTPD)， mN，表示主机上系统运行的进程；表示 t 时刻的信息流请求；表示 t 时刻的实际信息流动 . 根据前述本发明所提出的进程读写文件数据的控制机制，给出如下信息流规则：规则 1 若可信进程和非可信进程请求读安全云盘内的文件和临时安全缓存内的文件，被拒绝访问，即规则 2 若虚拟隔离运行环境外的可信进程请求读安全云盘中的。

25、文件，在规则允许的情况下，将该进程放置到虚拟隔离运行环境内受控运行，该进程转变为受控进程，即规则 3 若虚拟隔离运行环境内的受控进程请求对安全云盘外的文件进行写操作，则在临时安全缓存中创建该文件的副本，并将写操作请求重定向到对该副本的操作，即规则 4 若虚拟隔离运行环境内的受控进程与虚拟隔离运行环境外的进程进行数据交互通信，在规则允许的情况下，需要将虚拟隔离运行环境外的进程放置到虚拟隔离运行环境内受控运行，该进程转变为受控进程，即基于以上规则，可得到在虚拟隔离运行环境下数据防泄漏的安全定理：定理 1 在虚拟隔离运行环境下，安全云盘内文件内容在访问和使。

26、用过程中不会泄露到安全云盘和临时安全缓存外。 0027 证明采取反证法证明。假设安全云盘内文件内容可以泄露到云盘和临时安全缓存外，即存在如下信息流：由于信息具有传递性，且信息流动主要由进程对文件的读、写以及进程间通信三种操作触发，因此有由规则 3 可知，由于受控进程禁止写文件数据到本地文件集合中 , 故，否则不存在。 0028 下面对存在的 2 种情况讨论分析： 1）若在时刻直接读取，若根据规则 1 可知，会被拒绝读取；若根据规则 2 可知，与矛盾。 0029 2）。由规则 4 可知，因说明书 CN 104268484 A 7 6/6 页。

27、8 为受控进程的状态不可能转换为非可信进程和可信进程。与类似递归分析，必然存在在时刻直接读取，且，由（1）知，也存在矛盾。 0030 综上所述，假设不合理，故结论成立。 0031 根据定理 1 可知，云盘内文件内容在访问和使用过程中将被限制于云盘和临时安全缓存内；由于云盘和临时安全缓存内的文件数据是加密存储，且只能由受控进程访问，因此对于外部威胁主体如木马、病毒进程无法解密访问，而对于内部威胁主体即企业内部成员，虽然通过受控进程可以解密访问，但是无法携带明文数据离开该主机和云盘系统（除非在信息安全管理员授权许可的情况下），造成泄密事件发生。 00。

28、32 本发明解决了私有云环境下关键数据在端用户处可能存在的信息泄露问题，通过安全云盘实现加密存储和加密双向自动同步，确保了关键数据在传输通道上的安全；通过虚拟隔离运行环境隔绝非可信进程对关键数据的访问，控制受控可信进程只能以只读方式访问本地磁盘数据和本地外设，隔离受控可信进程对非可信网络的访问；通过 I/O 代理进程，实现受控可信进程透明访问安全云盘内的关键数据，并隔绝非可信进程对安全云盘的访问，该方法可全方位保护私有云环境下端系统用户的数据安全，确保关键数据在端用户访问和使用过程中不会泄露，保证私有云系统的用户端的安全性和可靠性，同时，该方法对端用。

29、户资源要求不高，可以适应各种类型的客户端系统，对客户端系统的性能和用户的使用习惯影响较小，方便在实际中部署和使用。 0033 对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。 0034 此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。说明书 CN 104268484 A 8 1/2 页 9 图 1 图 2 说明书附图 CN 104268484 A 9 2/2 页 10 图 3 图 4 说明书附图 CN 104268484 A 10 。

摘要
申请专利号：	CN201410492514.3	申请日：	2014.09.24
公开号：	CN104268484A	公开日：	2015.01.07
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G06F 21/62申请日:20140924\|\|\|公开
IPC分类号：	G06F21/62(2013.01)I	主分类号：	G06F21/62
申请人：	科云(上海)信息技术有限公司
发明人：	陈锋; 虞万荣; 鲍爱华
地址：	200439 上海市宝山区长逸路15号B-1088
优先权：
专利代理机构：		代理人：
PDF完整版下载：	PDF下载

内容摘要

本发明公开了一种基于虚拟隔离机制的云环境下数据防泄漏方法，步骤如下：（1）将私有云系统的用户访问终端划分为安全云盘、虚拟隔离运行环境和I/O代理进程；（2）用户进程对安全云盘的访问都需要经过I/O代理进程，I/O代理进程根据策略对所有进程的操作进行控制；（3）将用户访问终端内的用户进程分为可信进程和非可信进程，当非可信进程或可信进程尝试访问安全云盘时，可信进程被标记为受控进程，在虚拟隔离运行环境下进行隔离运行；非可信进程则被禁止。本发明可全方位保护私有云环境下端系统用户的数据安全，保证私有云系统的用户端的安全性和可靠性；该方法对端用户资源要求不高，可以适应各种类型的客户端系统。

权利要求书

权利要求书
1.  一种基于虚拟隔离机制的云环境下数据防泄漏方法，其特征在于，步骤如下：
（1）将私有云系统的用户访问终端划分为安全云盘、虚拟隔离运行环境和I/O代理进程；
（2）用户进程对安全云盘的访问都需要经过I/O代理进程，I/O代理进程根据策略对所有进程的操作进行控制；
（3）将用户访问终端内的用户进程分为可信进程和非可信进程，当非可信进程或可信进程尝试访问安全云盘时，可信进程被标记为受控进程，在虚拟隔离运行环境下进行隔离运行；非可信进程则被禁止。

2.  根据权利要求1所述的基于虚拟隔离机制的云环境下数据防泄漏方法，其特征在于，所述步骤（3）中受控进程在虚拟隔离运行环境下进行隔离运行，包括如下隔离方法：
1）受控进程运行时的内存数据被隔离保护，无法与非可信进程进行交互；
2）受控进程对云盘文件读写操作，全部由I/O代理进程进行安全控制；
3）受控进程以只读方式使用本地磁盘数据，对本地存储所有文件写操作都通过I/O代理进程以重定向方式，加密写入临时安全缓存进行隔离，读取时通过代理程序解密读取；
4）受控进程只能以只读方式使用本地外部设备，写操作被禁止；
5）受控进程只能访问指定的可信网络，隔离其对风险网络的访问。

3.  根据权利要求1所述的基于虚拟隔离机制的云环境下数据防泄漏方法，其特征在于，所述安全云盘以网络硬盘形式展现。

说明书

说明书一种基于虚拟隔离机制的云环境下数据防泄漏方法
技术领域
本发明涉及云环境下数据保护领域，具体是一种基于虚拟隔离机制的云环境下数据防泄漏方法。
背景技术
近年来，随着云存储技术的发展与应用，越来越多的企业希望搭建属于自己的私有云存储系统为企业提供可靠存储服务。国外典型的云存储服务产品有Dropbox、SkyDrive等，国内主要有金山快盘、360云盘、百度云盘等。这些云存储系统在终端用户以云盘的形式存在，提供文件自动双向同步功能，具有非常好的用户体验。对于企业单位来说，它能够对企业内部终端主机上的电子文件进行实时同步与共享，支持移动和协同办公，具有非常大的应用前景，但也带来了极大地安全隐患。云盘中数据文件在使用过程中存在着众多的信息泄露途径：木马病毒窃取，用户有意或无意的泄露以及通过网络和外部设备泄露等等。因此，在目前开放式网络环境下，尤其是云存储环境下，如何将数据以一种可信赖的方式存储并保证数据在使用过程中的安全性和可靠性，已经成为计算机信息安全研究中的一个重要问题。
针对该问题的已有的解决方法包括，将一部分数据处理和安全控制功能集成到存储设备中以增强存储设备的安全性，如基于面向对象方法实现主动存储、以虚拟存储映射方式实现的网络智能磁盘等，这些方法主要侧重提高数据存储的安全性，而较少考虑计算机终端的应用环境和进程对数据的使用是否可信。针对终端的数据安全问题，VMware等厂商提出了虚拟桌面架构，通过虚拟隔离改善了软件运行环境的可信性；部分研究者提出利用虚拟机监视器为用户程序提供安全保护层，隔离保护用户程序的内存空间，确保软件运行环境可靠。这些虚拟化技术的出现促进了软件运行环境可信性研究，在此基础上提出的方法包括能够为敏感数据应用环境提供可信性保障的可信虚拟域和基于可信虚拟域的安全可扩展的企业版权管理方案。这些基于硬件层虚拟机实现的解决方法，比较适合于分布式服务应用中的数据保护，而对于终端存储中的数据保护，则存在开销太大、性能不高的问题，同时无法自然的与用户原有的系统进行直接融合，需要进行环境切换。
总而言之，目前在云环境下数据保护方面，已有的解决方法要么聚焦于存储本身，将相关的保护技术叠加在存储设备或者存储系统上，较少考虑访问数据的端用户，无法确保数据到达用户端后的安全；要么基于硬件层虚拟机实现用户数据和运行环境的隔离，对端用户资源要求高，性能无法满足需求，且割裂用户研究熟悉的环境和使用习惯。
发明内容
本发明的目的在于提供一种基于虚拟隔离机制的云环境下数据防泄漏方法，可全方位保护私有云环境下端系统用户的数据安全，确保关键数据在端用户访问和使用过程中不会泄露。
为实现上述目的，本发明提供如下技术方案：
一种基于虚拟隔离机制的云环境下数据防泄漏方法，步骤如下：
（1）将私有云系统的用户访问终端划分为安全云盘、虚拟隔离运行环境和I/O代理进程；
（2）用户进程对安全云盘的访问都需要经过I/O代理进程，I/O代理进程根据策略对所有进程的操作进行控制；
（3）将用户访问终端内的用户进程分为可信进程和非可信进程，当非可信进程或可信进程尝试访问安全云盘时，可信进程被标记为受控进程，在虚拟隔离运行环境下进行隔离运行；非可信进程则被禁止。
作为本发明进一步的方案：所述步骤（3）中受控进程在虚拟隔离运行环境下进行隔离运行，包括如下隔离方法：
1）受控进程运行时的内存数据被隔离保护，无法与非可信进程进行交互；
2）受控进程对云盘文件读写操作，全部由I/O代理进程进行安全控制；
3）受控进程以只读方式使用本地磁盘数据，对本地存储所有文件写操作都通过I/O代理进程以重定向方式，加密写入临时安全缓存进行隔离，读取时通过代理程序解密读取；
4）受控进程只能以只读方式使用本地外部设备，写操作被禁止；
5）受控进程只能访问指定的可信网络，隔离其对风险网络的访问。
作为本发明进一步的方案：所述安全云盘以网络硬盘形式展现。
与现有技术相比，本发明的有益效果是：本发明解决了私有云环境下关键数据在端用户处可能存在的信息泄露问题，通过安全云盘实现加密存储和加密双向自动同步，确保了关键数据在传输通道上的安全；通过虚拟隔离运行环境隔绝非可信进程对关键数据的访问，控制受控可信进程只能以只读方式访问本地磁盘数据和本地外设，隔离受控可信进程对非可信网络的访问；通过I/O代理进程，实现受控可信进程透明访问安全云盘内的关键数据，并隔绝非可信进程对安全云盘的访问，该方法可全方位保护私有云环境下端系统用户的数据安全，确保关键数据在端用户访问和使用过程中不会泄露，保证私有云系统的用户端的安全性和可靠性，同时，该方法对端用户资源要求不高，可以适应各种类型的客户端系统，对客户端系统的性能和用户的使用习惯影响较小，方便在实际中部署和使用。
附图说明
图1是基于虚拟隔离机制的云环境下数据防泄漏方法中私有云系统总体架构图；
图2是基于虚拟隔离机制的云环境下数据防泄漏方法中安全云盘在用户访问终端的存储及同步示意图；
图3是基于虚拟隔离机制的云环境下数据防泄漏方法中用户访问终端虚拟隔离运行环境和I/O代理进程的示意图；
图4是基于虚拟隔离机制的云环境下数据防泄漏方法中虚拟隔离运行环境模型图。
具体实施方式
下面将结合本发明实施例及附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
本发明实施例中，一种基于虚拟隔离机制的云环境下数据防泄漏方法，步骤如下：
（1）将私有云系统的用户访问终端划分为安全云盘、虚拟隔离运行环境和I/O代理进程；
（2）用户进程对安全云盘的访问都需要经过I/O代理进程，I/O代理进程根据策略对所有进程的操作进行控制。
（3）将用户访问终端内的用户进程分为可信进程和非可信进程，当非可信进程或可信进程尝试访问安全云盘时，可信进程被标记为受控进程，在虚拟隔离运行环境下进行隔离运行；非可信进程则被禁止。
在详细描述本发明的具体实施方法前，先描述本发明所针对的私有云环境系统的系统架构。请参阅图1，本发明所涉及的私有云环境系统总体架构如下，从逻辑上包括三类对象，分别是云存储系统、管理服务器和用户访问终端。
云存储系统用于加密存储整个私有云系统的数据，端用户在需要使用云存储系统中的数据时，通过其用户访问终端，根据管理服务器设置的相应控制策略，基于可信网络的加密安全信道访问并使用云存储系统中的加密数据。私有云存储系统由私有云系统的所有者自己构建，具有完全的所有权，可以确保云存储系统的数据安全性。
管理服务器负责对私有云系统的用户和数据文件进行管理，通过相应的管理配置策略确定每个用户在指定的时刻可以访问和使用哪些数据文件，并将这些配置策略分发到云存储系统和用户访问终端，以实现对数据文件的控制和保护。
用户访问终端是指安装Windows 2000、Windows 2003、Windows XP、Windows 7、Windows8等操作系统的PC机或者服务器，可以按照管理服务器的策略，通过可信网络的加密安全信道读写私有云存储系统中的数据，私有云系统的数据在用户访问终端断开与私有云系统的连接期间，可以暂时安全的存储在用户访问终端上并在用户访问终端重新接入私有云系统后自动完成与云存储系统的同步。
请参阅图2，安全云盘在用户访问终端上以网络硬盘的形式存在，该网络硬盘中的数据以加密的形式存储，用户访问终端的中央处理器上运行的进程在获得必要的授权后，可以像访问本地磁盘一样直接透明访问该网络硬盘中的加密数据，加解密过程对用户透明。用户访问终端上安全云盘内的数据通过可信网络信道，以加密的方式在用户访问终端和云存储系统之间传输，双向实时同步，在用户访问终端与云存储系统断开连接期间，数据以密文的形式存在用户访问终端上，在用户访问终端与云存储系统之间重新建立连接后自动同步。
请参阅图3，本发明将用户访问终端内的用户进程分为可信进程和非可信进程两类。可信进程即是在管理服务器的配置下可以访问安全云盘中的数据的用户进程，可信进程一旦访问了安全云盘或者临时安全存储区域中的数据，则说明该进程已经接触了受保护的关键数据，则将该进程标记为受控进程，并将其强制置于虚拟隔离运行环境中进行隔离运行。非可信进程在任何情况下均不允许访问安全云盘或者临时安全存储区域中的数据。
虚拟运行环境提供以下五个方面的安全隔离措施：
1）内存隔离  受控进程运行时的内存数据被隔离保护，无法与非可信进程进行交互；
2）网络隔离  受控进程只能访问指定的可信网络，隔离其对其他非可信网络的访问；
3）本地外设操作单向隔离  受控进程只能以只读方式访问本地外设，如U盘、刻录光驱和打印机等，写操作被完全禁止；
4）本地文件访问隔离  受控进程只能以只读方式使用本地磁盘数据，对本地存储所有文件写操作都通过I/O代理进程以重定向方式，加密写入临时安全缓存进行隔离，读取时通过I/O代理进程解密读取；
5）安全云盘数据操作隔离  受控进程对云盘文件的读写操作，全部由I/O代理进程进行安全控制。
虚拟运行环境实现安全隔离控制的核心是有效控制进程的运行环境，本质上可以看作是将数据与进程一起划分安全域。实际上访问安全云盘的受控进程运行时，该进程同时须访问相关配置文件和临时文件（由于这些文件是进程运行必需的，本文称这些文件为进程运行文件，简称运行文件），这些文件一般在安全云盘之外，对于这种可能跨越安全域和非安全域的进程，单纯的隔离虽然可以保证数据的安全性但是会造成进程运行环境破坏导致进程运行错误。
本发明所提出的数据防泄漏方法中，将可信网络、临时安全存储、安全云盘和受控进程划为一个安全域，共同构成隔离虚拟运行环境，在该环境内综合利用网络访问过滤技术、内存空间保护技术和文件过滤驱动技术，确保数据只会流动于安全域内，防止敏感数据外泄。图4是虚拟隔离运行环境的模块示意图，其提供的隔离功能通过如下三个模块实现，受控进程对关键数据的访问均需通过三个模块的一个或者多个进行安全隔离：
1）文件过滤模块  受控进程对非云盘内文件进行写操作时，将会触发动态重定向操作：若是创建或写运行文件请求，则在临时安全缓存中拷贝产生对应的副本文件，再将该请求重定向到临时安全缓存中进行访问；如果是其它访问请求，如读请求，则将请求重定向到对应的副本文件，对该副本进行操作。通过重定向操作，可以确保受控进程可以任意读取u盘等外设内文件数据以及本地存储上运行文件数据，但是使用中这些数据只会流动于虚拟隔离运行环境内。为不影响上层应用程序的执行，重定向操作需要在应用层以下实现并且对上层应用透明。
2）网络包过滤模块  受控进程根据管理服务器下发的访问控制策略表对受控进程的网络访问进行数据包过滤，使它只能与可信网络进行安全通信，同时为了保证数据的安全性，要求可信网络内所有进程都处于隔离虚拟运行环境内执行。
3）内存过滤模块  利用内存钩子技术监控受控进程对剪贴板和跨进程的读写操作，禁止非可信进程访问剪贴板内敏感数据，允许可信进程访问剪贴板内敏感数据。可信进程一旦访问了剪贴板内的敏感数据，该进程就会被标注为受控进程，被强制置于虚拟隔离运行环境下进行隔离运行。同时利用钩子技术可信进程监控对注册表的访问操作操作，将其对注册表的写操作重定向到虚拟注册表内，禁止非可信进程访问虚拟注册表内敏感数据，允许可信进程访问虚拟注册表。可信进程一旦访问了虚拟注册表内的敏感数据，该进程就会被标注为受控进程，被强制置于虚拟隔离运行环境下进行隔离运行。
下面，基于信息流模型对本发明所提出数据防泄漏方法所涉及的信息流进行描述和分析，将安全控制规则转换为信息流规则，进而给出该方法的数据防泄漏安全性证明。
令DS、DC 和DL分别表示主机上安全云盘内的文件集合、临时安全缓存内文件集合和其它本地文件集合；f1, f2,…,fn                                                (DSDCDL)，nN表示主机中的文件；PC、PT和PD分别表示虚拟隔离运行环境内的受控进程、虚拟隔离运行环境外的可信进程集合和非可信进程，p1,p2,…,pm (PCPTPD)，mN，表示主机上系统运行的进程；表示t时刻的信息流请求；表示t时刻的实际信息流动.根据前述本发明所提出的进程读写文件数据的控制机制，给出如下信息流规则：
规则1 若可信进程和非可信进程请求读安全云盘内的文件和临时安全缓存内的文件，被拒绝访问，即
规则2 若虚拟隔离运行环境外的可信进程请求读安全云盘中的文件，在规则允许的情况下，将该进程放置到虚拟隔离运行环境内受控运行，该进程转变为受控进程，即

规则3 若虚拟隔离运行环境内的受控进程请求对安全云盘外的文件进行写操作，则在临时安全缓存中创建该文件的副本，并将写操作请求重定向到对该副本的操作，即

规则4 若虚拟隔离运行环境内的受控进程与虚拟隔离运行环境外的进程进行数据交互通信，在规则允许的情况下，需要将虚拟隔离运行环境外的进程放置到虚拟隔离运行环境内受控运行，该进程转变为受控进程，即

基于以上规则，可得到在虚拟隔离运行环境下数据防泄漏的安全定理：
定理1 在虚拟隔离运行环境下，安全云盘内文件内容在访问和使用过程中不会泄露到安全云盘和临时安全缓存外。
证明  采取反证法证明。假设安全云盘内文件内容可以泄露到云盘和临时安全缓存外，即存在如下信息流：

由于信息具有传递性，且信息流动主要由进程对文件的读、写以及进程间通信三种操作触发，因此有

由规则3可知，由于受控进程禁止写文件数据到本地文件集合中,故，否则不存在。
下面对存在的2种情况讨论分析：
1）若在时刻直接读取，若根据规则1可知，会被拒绝读取；若根据规则2可知，，与矛盾。
2）。由规则4可知，，因为受控进程的状态不可能转换为非可信进程和可信进程。与类似递归分析，必然存在在时刻直接读取，且，由（1）知，也存在矛盾。
综上所述，假设不合理，故结论成立。
根据定理1可知，云盘内文件内容在访问和使用过程中将被限制于云盘和临时安全缓存内；由于云盘和临时安全缓存内的文件数据是加密存储，且只能由受控进程访问，因此对于外部威胁主体如木马、病毒进程无法解密访问，而对于内部威胁主体即企业内部成员，虽然通过受控进程可以解密访问，但是无法携带明文数据离开该主机和云盘系统（除非在信息安全管理员授权许可的情况下），造成泄密事件发生。
本发明解决了私有云环境下关键数据在端用户处可能存在的信息泄露问题，通过安全云盘实现加密存储和加密双向自动同步，确保了关键数据在传输通道上的安全；通过虚拟隔离运行环境隔绝非可信进程对关键数据的访问，控制受控可信进程只能以只读方式访问本地磁盘数据和本地外设，隔离受控可信进程对非可信网络的访问；通过I/O代理进程，实现受控可信进程透明访问安全云盘内的关键数据，并隔绝非可信进程对安全云盘的访问，该方法可全方位保护私有云环境下端系统用户的数据安全，确保关键数据在端用户访问和使用过程中不会泄露，保证私有云系统的用户端的安全性和可靠性，同时，该方法对端用户资源要求不高，可以适应各种类型的客户端系统，对客户端系统的性能和用户的使用习惯影响较小，方便在实际中部署和使用。
对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。
此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。