[发明专利]数据保密方法及装置

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种数据保密方法及装置。

背景技术

随着信息技术的运用，越来越多的业务通过信息系统来完成。某些业务数据被要求以密文存储和传输，但是业务数据在加密之前、加密过程中和解密之后是以明文的形式出现在显示器上或残留在内外部存储介质中，这将导致业务数据被人为地或意外地泄漏。

如何以技术手段保障业务数据的全生命周期安全是一个亟待解决的问题。

发明内容

本发明要解决的技术问题是，针对现有信息安全技术不能保证业务数据的全生命周期安全，提供一种数据保密方法及装置，实现业务数据的全生命周期安全。

根据本发明一个方面，提供一种数据保密方法，运行于支持虚拟化技术的CPU的VMX root operation模式下的Ring0环上，包括：对计算设备中的输入输出设备的读写请求进行监听，等待目标用户或目标程序的操作；和当监听到所述目标用户或目标程序进行I/O操作时，通过将涉密数据存放在受控内存来对所述输入输出设备进行接管；其中，受控内存是从计算机物理内存中划出的预定大小的一块内存区域，此内存区域对运行于支持虚拟化技术的CPU的VMX non-root operation模式下的Ring0环上的客户操作系统不可见并且不受其管理。

可选的，对于用户键盘输入数据，通过将涉密数据存放在受控内存来对所述输入输出设备进行接管步骤进一步包括：将目标用户输入的涉密数据直接放入受控内存中；按照第一种预设的规则对涉密数据进行加密，得到密文；将加密结果发送给目标程序，和/或根据第二种预设的规则以明文或密文的形式将涉密数据发送给显卡，继而在显示器上的显示。

可选的，对于磁盘输入/导入数据，通过将涉密数据存放在受控内存来对所述输入输出设备进行接管步骤进一步包括：将目标用户导入的数据直接放入受控内存中；按照第一种预设的规则对导入的数据进行加密；将加密结果发送给目标程序。

可选的，对于目标程序客户端或服务器端网络传送数据，通过将涉密数据存放在受控内存来对所述输入输出设备进行接管步骤进一步包括：当目标程序客户端和目标程序服务器之间有数据传输时，将待发送数据放入受控内存中；按照第一种预设的规则对待发送数据进行加密；根据网络数据包封装协议将加密结果封装并发送给网卡，继而传输到目标程序服务器或目标程序客户端。

可选的，对于目标程序输出数据到显示器，通过将涉密数据存放在受控内存来对所述输入输出设备进行接管步骤进一步包括：当目标用户要在目标程序中查询数据并显示到显示器时，将待显示的数据放入受控内存中；按照第一种预设的规则对待显示的数据进行加密，得到密文；根据第二种预设的规则以明文或密文的形式将待显示的数据发送给显卡，继而在显示器上的显示。

可选的，对于磁盘输出/导出数据，通过将涉密数据存放在受控内存来对所述输入输出设备进行接管步骤进一步包括：将目标用户要导出的数据放入受控内存中；按照第一种预设的规则对待显示的数据进行加密；将加密结果以要导出的文件格式存储到磁盘上。

可选的，对计算设备中的输入输出设备的读写请求进行监听的监听程序常驻受控内存中。

可选的，所述第一种预设的规则为对数据是否进行加解密的规则和/或如何进行加解密的规则；所述第二种预设的规则为是否需要在显示器上进行明文或密文显示的规则。

根据本发明另一个方面，提供一种数据保密装置，部署在支持虚拟化技术的CPU的VMX root operation模式下的Ring0环上，包括：

监听模块，适于对计算设备中的输入输出设备的读写请求进行监听，等待目标用户或目标程序的操作；和

接管模块，适于当监听到所述目标用户或目标程序进行I/O操作时，通过将涉密数据存放在受控内存来对所述输入输出设备进行接管；

其中，受控内存是从计算机物理内存中划出的预定大小的一块内存区域，此内存区域对运行于支持虚拟化技术的CPU的VMX non-root operation模式下的Ring0环上的客户操作系统不可见并且不受其管理。

上述方法保证了业务数据的全生命周期安全，解决了涉密信息以明文形式存在的问题。

附图说明

图1是根据本发明一个实施例提供的业务数据安全保障系统总体结构图；

图2是根据本发明一个实施例提供的业务数据安全保障系统针对各种I/O操作的执行流程总图；

图3-7是根据本发明另外多个实施例提供的业务数据安全保障系统针对不同I/O操作的执行流程分图；和