[发明专利]基于文件重定向技术的虚拟化安全桌面

说明书

技术领域

本发明属于信息安全领域中的主机安全，其涉及基于文件重定向技术的虚拟化技术、通信加密技术、主机登陆控制技术等，实现对虚拟桌面登陆控制、虚拟桌面内系统文件、用户文件、注册表文件等数据操作重定向，来防止内部数据的泄露，以达到桌面环境安全。

背景技术

在微软宣布将于2014年4月8日正式停止对window XP的技术支持，系统和补丁更新以来，根据市场调查公司Net Applicationd报告显示，在2013年7月全球14亿window个人电脑中(微软数据)37.2％的个人电脑仍在使用window XP操作系统，而其中，中国高居其72.1％。由此可见，国内的行内用户和个人用户对window XP依赖性特别高。在微软完全停止对该操作系统的服务支持后，中国PC和信息系统将面临巨大的安全、整体IT架构升级、信息系统迁移、企业内应用兼容和设备驱动等难题。

另一方面，从微软安全报告中发布的数据了解到，window XP中内置的安全缓解功能已经不能减弱当前存在的诸多现代攻击。据有关window操作系统的恶意软件感染率数据表明，window XP的感染率远高于目前其他操作系统的感染率。而微软可信计算部门主管蒂姆.雷恩斯所引用的微软统计数据表明：在window XP Service Pack2服务支持停止2年后，其恶意软件感染率高达66％。

对于这样的情况，通常采用的策略是直接升级到其他系统，然而像大、中型企业、军队、机关等这种基于对软件基础架构依赖高，操作系统升级复杂、不确定性以及投资回报率的考虑，实施大面积的升级换代在时间上一般会延迟大概5年左右，而这期间电脑中的数据将面临多重安全隐患。

目前，虽然国内外很多信息安全相关企业已经在主机数据安全方面做了深入的研究，并发布了各种安全防护系统，但这种防护系统主要是以进程为单位，功能为导向对各种特定操作行为(比如打印、刻录)进行限制，能够一定程度的减缓这些隐患，但不能从根本解决主机所面临的数据泄漏隐患(比如最近几年出现的泄密事件、艳照门事件)。因此急需一套系统来解决过渡时期所面临的主机数据防泄漏问题。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种基于文件重定向技术的虚拟化安全桌面系统。

本发明解决其技术问题所采用的技术方案是：一种基于文件重定向技术的虚拟化安全桌面，包括如下三大部分：

一、通过登陆控制模块确保使用该安全桌面用户的合法性：

安全桌面系统的启动与主机登录控制模块进行紧耦合，采取USBKEY+PIN双重认证控制机制登录；

二、通过加密虚拟存储文件系统对用户的操作行为结果进行可靠性保护：

通过加密模块对写入该储存系统的文件、注册表进行加密，以密文的形式储存；用户读取安全桌面内数据时对其进行解密以明文呈现；通过安全管理工具模块对储存的文件进行备份、销毁和与安全桌面系统绑定等进行管理；

三、通过用户操作中间层将虚拟安全桌面内用户的操作结果在“内部”重定向到加密虚拟存储文件系统并在通信加密模块和黑白名单控制模块下对整个重定向过程进行加密和监控。

与现有技术相比，本发明的积极效果是：本发明基于文件重定向技术实现在一个操作系统上虚拟成一个(或者多个)新的安全桌面环境。该桌面系统与原桌面(也可以终止)“完全隔离”，彼此间不能进行文件的粘贴、拷贝、挪动等操作；原桌面系统上的文件均被映射到虚拟桌面上相同目录下；而虚拟桌面内用户的所有操作产生的结果(文件、注册表、临时缓存等)均会加密后进行重定向处理，从而保证虚拟桌面内的所有操作安全可靠、可控。在用户操作界面和使用习惯上保持了与原桌面相同的使用环境。

在如今高度依赖互联网的时代，数据安全成了信息安全领域新型的安全应用市场需求。将虚拟化安全桌面应用于主机安全防护中，能很好地预防企业内部操作中有意或无意的泄密事件发生。

本发明的积极效果具体表现如下：

1、基于文件重定向，将用户在安全桌面内所做的操作产生的文件重定向到指定存储设备下。主要通过对驱动和应用层的API接口进行HOOK重写，保证了重定向过程的可控性；

2、在安全桌面内部所有进程间的通信采用了独立于系统RPC的专用通道，保证通信过程的可靠性。

3、重定向路径的自定义，可以根据实际需求重定向到本机、云盘或云服务器上。