技術領域

本發明屬于網絡安全技術領域，特別是一種基于虛擬化的訪問控制系統。

背景技術

隨著信息化普及程度的提高，軍隊、黨政或機關單位都組建了內

部網絡，網絡架設、信息系統建設給這些單位帶來了很多便利，如資源共享、辦公自動化以及方便的信息`傳遞等，極大地提高了工作效率。

但是隨著個人終端使用的普及，數據的生成、編輯、存儲、流轉缺乏有效的監管，導致涉密信息被非法監聽、非法訪問、非法復制等惡意攻擊時，終端使用者無法及時發現，采取有效的應對措施，導致出現重大安全事故。如何既能有效的管理這些重要數據資源，又能在不改變用戶使用習慣的基礎上，使用戶高效、便捷的完成日常工作成為網絡安全咄待解決的一個重大問題。

目前針對辦公自動化系統，還存在以下問題：

隨著網絡規模的不斷擴大，數據資源的存儲愈發分散，分散的節點增加了攻擊者的目標，各終端在數據資源處理、存儲和交換過程中很容易受到外部或內部人員的入侵和破壞；

文件在存儲、訪問、流轉過程中缺少細粒度、全過程的訪問控制措施，缺乏對數據資源安全屬性的統一管理，合理授權和動態監管的手段不足；

雖然訪問控制、主機監控等技術能夠提升辦公自動化系統中各終端的安全防護能力，但面對著層出不窮的網絡攻擊手段、多樣性的使用場景以及不完全受控的終端用戶時，惡意程序、網絡攻擊、管理環節漏洞、用戶有意或無意的錯誤操作都會造成數據的丟失、泄漏或被篡改。

發明內容

本發明的目的在于提供一種基于虛擬化技術的文檔集中管控系統，用于解決上述現有技術的問題。

本發明一種基于虛擬化的文檔集中管控系統，其中，包括：數據存儲區、服務器端以及客戶端，服務器端包括：虛擬操作系統以及安全管控服務器軟件；數據存儲區用于存儲用戶的文件；服務器端用于管控數據存儲區存儲的用戶的文件；安全管控服務器軟件用于對客戶端的用戶進行身份認證，并再身份認證通過后，建立客戶端與服務器端的安全傳輸通道，服務器端，數據存儲區的數據處理后的虛擬桌面，傳輸到客戶端上，供用戶查看。

根據本發明的基于虛擬化的文檔集中管控系統的一實施例，其中，安全管控服務器軟件包括：身份認證模塊用于通過雙向認證的方式對客戶端和服務器端進行有效身份鑒別；遠程傳輸模塊，用于為用戶提供加密的安全傳輸通道；訪問控制模塊，用于確定用戶通過虛擬操作系統能夠訪問的數據區域，對用戶的讀取文檔和存儲文檔的指令進行解析驗證；安全管理模塊，用于對用戶管理、策略權限配置和身份認證數據的存儲，并進行日志管理和審計；I/O處理模塊，用于為用戶提供透明化的驅動級文件加解密服務，并實時監控虛擬操作系統I/O處理接口，將接口操作和日志，發送給安全管理模塊。

根據本發明的基于虛擬化的文檔集中管控系統的一實施例，其中，安全管控服務器軟件使用的身份認證方式是：USBKey、用戶名、PIN碼以及CA數字證書結合的方式。

根據本發明的基于虛擬化的文檔集中管控系統的一實施例，其中，安全傳輸通道包括兩個方向的數據傳輸，第一個方向客戶端到服務器端的數據傳輸，傳輸的是鍵盤和鼠標的邏輯操作；第二個方向是服務器端到客戶端的數據傳輸，傳輸的是虛擬桌面的顯示內容，服務器端定時采集虛擬桌面的顯示內容，并將顯示內容以圖像編碼的方式，傳輸到客戶端，再通過圖像解碼，顯示在客戶端上。

根據本發明的基于虛擬化的文檔集中管控系統的一實施例，其中，身份認證和安全傳輸通道建立完成后，客戶端會使用USBKey中的私鑰對用戶ID和用戶在數據存儲區中數據存儲的物理邏輯盤符生成一個簽名值，通過安全傳輸通道將簽名值發送給服務器端，這個簽名值附加在后續所有訪問數據存儲區的指令上，訪問控制模塊收到上層應用傳過來的數據訪問指令，驗證簽名值和數據訪問指令上的用戶ID信息是否相同，若相同，就將數據訪問指令傳輸給數據存儲區，數據存儲區根據指令上的IP地址、盤符號以及文件存儲地址信息尋找數據，并將密文數據返回給虛擬操作系統。

根據本發明的基于虛擬化的文檔集中管控系統的一實施例，其中，數據訪問指令結構包括：用戶ID、指令類型、指令、操作系統IP地址、數據存儲區的爐里邏輯盤符、文件地址以及簽名值。

根據本發明的基于虛擬化的文檔集中管控系統的一實施例，其中，I/O處理模塊通過驅動級的透明加解密將收到的密文數據解密，密文數據的加解密的算法和密鑰全網統一，I/O處理模塊將解密后的數據顯示在虛擬桌面上，虛擬操作系統將虛擬桌面通過安全傳輸通道推送到客戶端。