本發明專利技術提供一種數據安全讀取方法,包括:步驟1、緩存指令運行環境;步驟2、從第一存儲位置讀取目標地址,根據目標地址獲取待調度的機器指令片段;待調度的機器指令片段的最后一條指令為第一跳轉指令;步驟3、在第一存儲位置保存第一跳轉指令的目標地址;步驟4、分析待調度的機器指令片段中的每一條指令,如果其為讀取指令,獲取讀取指令中的源地址,并且查找映射位圖,并根據映射位圖的數據修改讀取指令中的讀取地址;步驟5、將第一跳轉指令替換為第二跳轉指令,生成具有第二地址的重組指令片段;所述第二跳轉指令指向指令重組平臺的入口地址;和步驟6、恢復所述指令運行環境,并跳轉到第二地址繼續執行。
【技術實現步驟摘要】
【專利摘要】本專利技術提供一種數據安全讀取方法,包括:步驟1、緩存指令運行環境;步驟2、從第一存儲位置讀取目標地址,根據目標地址獲取待調度的機器指令片段;待調度的機器指令片段的最后一條指令為第一跳轉指令;步驟3、在第一存儲位置保存第一跳轉指令的目標地址;步驟4、分析待調度的機器指令片段中的每一條指令,如果其為讀取指令,獲取讀取指令中的源地址,并且查找映射位圖,并根據映射位圖的數據修改讀取指令中的讀取地址;步驟5、將第一跳轉指令替換為第二跳轉指令,生成具有第二地址的重組指令片段;所述第二跳轉指令指向指令重組平臺的入口地址;和步驟6、恢復所述指令運行環境,并跳轉到第二地址繼續執行。【專利說明】數據安全讀取方法及裝置
本專利技術涉及計算機安全領域,尤其涉及一種數據安全讀取方法及裝置。
技術介紹
現有的電子信息安全領域包括系統安全、數據安全和設備安全三個子領域。在數據安全領域內,一般采用下面三種技術確保數據安全:(I)數據內容安全技術,包括數據加密解密技術和端到端數據加密技術,保障數據在存儲和傳輸過程中內容不被非法讀取;(2)數據安全轉移技術,包括防止非法拷貝、打印或其它輸出,保障數據在使用和轉移過程中的安全;(3)網絡阻斷技術,包括網絡物理阻斷和設置網絡屏障等技術。根據相關分析,目前針對計算機的所有危害總有效偵測能力最多在50%左右;由于上述技術在應對計算機內核病毒、木馬、操作系統漏洞、系統后門以及人為泄密時能力不足,事實上任何計算設備(例如計算機、手持通信設備等)都可能存在惡意代碼。一旦惡意代碼進入終端系統,上述的加密技術、防拷貝技術以及網絡阻斷技術在這種情況下將失去作用。現有的黑客技術可以利用系統漏洞或系統后門穿透上述安全技術并植入惡意代碼,并利用惡意代碼取得用戶數據。上述技術更無法防范涉密人員的主動或被動泄密,例如,內部人員可以攜帶存儲設備,從內部網絡或終端上下載所需的資料并帶走存儲設備,導致內部泄密;又例如,內部人員可以直接將計算設備帶走。綜上,防拷貝技術無法保證涉密信息在終端不被非法存儲。基于網絡過濾無法確保涉密信息不丟失。涉密人員可通過惡意代碼或惡意工具造成泄密,還可能因涉密設備或存儲介質失控造成泄密。
技術實現思路
本專利技術的目的是提供一種數據安全讀取方法及裝置,提高數據安全性。根據本專利技術一個方面,提供一種數據安全讀取方法,包括:步驟1、緩存指令運行環境;步驟2、從第一存儲位置讀取目標地址,根據目標地址獲取待調度的機器指令片段;待調度的機器指令片段的最后一條指令為第一跳轉指令;步驟3、在第一存儲位置保存第一跳轉指令的目標地址;步驟4、分析待調度的機器指令片段中的每一條指令,如果其為讀取指令,獲取讀取指令中的源地址,并且查找映射位圖,并根據映射位圖的數據修改讀取指令中的讀取地址;所述映射位圖用于表示本地存儲地址的數據是否轉儲到所述安全存儲設備;步驟5、將第一跳轉指令替換為第二跳轉指令,生成具有第二地址的重組指令片段;所述第二跳轉指令指向指令重組平臺的入口地址;和步驟6、恢復所述指令運行環境,并跳轉到第二地址繼續執行;其中,步驟3和步驟4的執行順序可以互換。可選的,在步驟4之前,數據安全讀取方法還包括:建立計算終端系統與所述安全存儲設備的通訊;將所述安全存儲設備上的第二映射位圖同步到所述計算終端系統,保存為映射位圖。可選的,所述的硬件指令為硬件端口 I/O指令。可選的,所述安全存儲設備為遠程存儲設備,所述遠程存儲設備被多個計算終端系統共享。可選的,所述硬件指令來自硬件映射層。可選的,步驟2中,根據目標地址獲取待調度指令片段包括:從目標地址開始,獲取待調度的一段機器指令,將該段機器指令進行反匯編;檢查反匯編結果中是否包含跳轉指令,如果不包含則繼續獲取后面一段待調度的機器指令,直到匹配到跳轉指令為止,該跳轉指令為第一跳轉指令;其中,第一跳轉指令以及之前的所有指令組成待調度指令片段。可選的,在步驟5和步驟6之間,數據安全讀取方法還包括:將生成的重組后的匯編代碼通過匯編器生成對應的機器碼。可選的,在步驟I和步驟2之間,數據安全讀取方法還包括:從第一存儲位置讀取目標地址,利用所述目標地址查找地址對應表;所述地址對應表用于表示待調度的機器指令片段是否具有已保存的重組指令片段;如果找到相應的記錄,恢復所述指令運行環境,并跳轉到紀錄中的保存地址繼續執行。可選的,如果在地址對應表中沒有找到相應的紀錄,所述數據安全讀取方法在步驟5之后還包括:利用重組指令片段的地址與所述目標地址在地址對應表中建立一條記錄。根據本專利技術另一個方面,提供一種計算機可讀介質,所述可讀介質中存儲有計算機可執行的程序代碼,所述程序代碼用于執行上述方法的步驟。根據本專利技術再一個方面,提供一種數據安全讀取裝置,包括:指令運行環境緩存和恢復單元,適于緩存和恢復指令運行環境;第一存儲位置,適于保存目標地址;指令獲取單元,與指令運行環境緩存和恢復單元耦接,適于從第一存儲位置讀取目標地址,并根據目標地址獲取待調度的機器指令片段;其中,待調度機器指令片段的最后一條指令為第一跳轉指令;指令分析單元,適于分析所述待調度機器指令片段中每一條硬件指令并判斷所述硬件指令是否為讀取指令;指令修改單元,適于查找映射位圖,并根據映射位圖的數據修改讀取指令中的讀取地址;所述映射位圖用于表示本地存儲地址的數據是否轉儲到所述安全存儲設備;和指令重組單元,與指令運行環境緩存和恢復單元耦接,適于在第一存儲位置保存第一跳轉指令的目標地址;還適于將第一跳轉指令替換為第二跳轉指令,生成具有第二地址的重組指令片段;所述第二跳轉指令指向裝置的入口地址。可選的,所述數據安全讀取裝置還包括:同步單元,適于建立計算終端系統與所述安全存儲設備的通訊,并將映射位圖在所述計算終端系統和所述安全存儲設備之間進行同步。可選的,所述安全存儲設備為遠程存儲設備,所述遠程存儲設備被多個計算終端系統共享。可選的,所述數據安全讀取裝置還包括:指令檢索單元,適于利用所述目標地址查找地址對應表;所述地址對應表用于表示待調度機器指令片段是否具有已保存的重組指令片段;如果找到相應的記錄,指令檢索單元還適于調用指令運行環境緩存和恢復單元,恢復所述指令運行環境,并跳轉到紀錄中的保存地址繼續執行;如果沒有找到相應的記錄,指令檢索單元還適于利用重組指令片段的地址與所述目標地址在地址對應表中建立一條記錄。可選的,所述數據安全讀取裝置還包括:反匯編單元,適于在指令分析單元分析所述待調度的機器指令片段之前,反匯編所述待調度的機器指令片段,生成待調度的匯編指令片段;匯編單元,適于匯編重組后的匯編指令片段,得到機器碼表示的重組指令片段。與現有技術相比,本專利技術的裝置和方法提高了數據的安全性。【專利附圖】【附圖說明】圖1是現有技術中計算設備的系統層次示意圖;圖2是本專利技術一個實施例中提供的運行時指令重組方法的流程圖;圖3是本專利技術一個實施例中提供的重組指令片段的生成過程示意圖;圖4是本專利技術另一個實施例中提供的圖2中步驟S102的流程圖;圖5是本專利技術另一個實施例中提供的運行時指令重組方法的流程圖,利用地址對應表保存已經重組過的指令片段;圖6是本專利技術另一個實施例中提供的運行時指令重組方法的流程圖,單獨開辟存儲位置保存第一跳轉指令的目標地址;圖7是本本文檔來自技高網...
【技術保護點】
一種數據安全讀取方法,包括:步驟1、緩存指令運行環境;步驟2、從第一存儲位置讀取目標地址,根據目標地址獲取待調度的機器指令片段;待調度的機器指令片段的最后一條指令為第一跳轉指令;步驟3、在第一存儲位置保存第一跳轉指令的目標地址;步驟4、分析待調度的機器指令片段中的每一條指令,如果其為讀取指令,獲取讀取指令中的源地址,并且查找映射位圖,并根據映射位圖的數據修改讀取指令中的讀取地址;所述映射位圖用于表示本地存儲地址的數據是否轉儲到所述安全存儲設備;步驟5、將第一跳轉指令替換為第二跳轉指令,生成具有第二地址的重組指令片段;所述第二跳轉指令指向指令重組平臺的入口地址;和步驟6、恢復所述指令運行環境,并跳轉到第二地址繼續執行;其中,步驟3和步驟4的執行順序可以互換。
【技術特征摘要】
【專利技術屬性】
技術研發人員:汪家祥,楊瀟,
申請(專利權)人:北京中天安泰信息科技有限公司,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。