技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)安全領(lǐng)域，尤其涉及一種數(shù)據(jù)安全存儲(chǔ)方法及裝置。

背景技術(shù)

現(xiàn)有的電子信息安全領(lǐng)域包括系統(tǒng)安全、數(shù)據(jù)安全和設(shè)備安全三個(gè)子領(lǐng)域。

在數(shù)據(jù)安全領(lǐng)域內(nèi)，一般采用下面三種技術(shù)確保數(shù)據(jù)安全：(1)數(shù)據(jù)內(nèi)容安全技術(shù)，包括數(shù)據(jù)加密解密技術(shù)和端到端數(shù)據(jù)加密技術(shù)，保障數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中內(nèi)容不被非法讀取；(2)數(shù)據(jù)安全轉(zhuǎn)移技術(shù)，包括防止非法拷貝、打印或其它輸出，保障數(shù)據(jù)在使用和轉(zhuǎn)移過(guò)程中的安全；(3)網(wǎng)絡(luò)阻斷技術(shù)，包括網(wǎng)絡(luò)物理阻斷和設(shè)置網(wǎng)絡(luò)屏障等技術(shù)。

根據(jù)相關(guān)分析，目前針對(duì)計(jì)算機(jī)的所有危害總有效偵測(cè)能力最多在50％左右；由于上述技術(shù)在應(yīng)對(duì)計(jì)算機(jī)內(nèi)核病毒、木馬、操作系統(tǒng)漏洞、系統(tǒng)后門以及人為泄密時(shí)能力不足，事實(shí)上任何計(jì)算設(shè)備(例如計(jì)算機(jī)、手持通信設(shè)備等)都可能存在惡意代碼。一旦惡意代碼進(jìn)入終端系統(tǒng)，上述的加密技術(shù)、防拷貝技術(shù)以及網(wǎng)絡(luò)阻斷技術(shù)在這種情況下將失去作用。現(xiàn)有的黑客技術(shù)可以利用系統(tǒng)漏洞或系統(tǒng)后門穿透上述安全技術(shù)并植入惡意代碼，并利用惡意代碼取得用戶數(shù)據(jù)。上述技術(shù)更無(wú)法防范涉密人員的主動(dòng)或被動(dòng)泄密，例如，內(nèi)部人員可以攜帶存儲(chǔ)設(shè)備，從內(nèi)部網(wǎng)絡(luò)或終端上下載所需的資料并帶走存儲(chǔ)設(shè)備，導(dǎo)致內(nèi)部泄密；又例如，內(nèi)部人員可以直接將計(jì)算設(shè)備帶走。

綜上，防拷貝技術(shù)無(wú)法保證涉密信息在終端不被非法存儲(chǔ)。基于網(wǎng)絡(luò)過(guò)濾無(wú)法確保涉密信息不丟失。涉密人員可通過(guò)惡意代碼或惡意工具造成泄密，還可能因涉密設(shè)備或存儲(chǔ)介質(zhì)失控造成泄密。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種數(shù)據(jù)安全存儲(chǔ)方法及裝置，提高數(shù)據(jù)安全性。

根據(jù)本發(fā)明一個(gè)方面，提供一種數(shù)據(jù)安全存儲(chǔ)方法，包括：

步驟1、緩存指令運(yùn)行環(huán)境；

步驟2、獲取棧中保存的跳轉(zhuǎn)指令的地址和參數(shù)，計(jì)算下一條即將運(yùn)行的指令地址，該地址為第一地址；

步驟3、根據(jù)第一地址獲取待調(diào)度機(jī)器指令片段；其中，待調(diào)度機(jī)器指令片段的最后一條指令為第一跳轉(zhuǎn)指令；

步驟4、分析待調(diào)度的機(jī)器指令片段中的每一條指令，如果其為存儲(chǔ)指令，則修改所述存儲(chǔ)指令中的目標(biāo)地址為對(duì)應(yīng)的在安全存儲(chǔ)設(shè)備上的存儲(chǔ)地址；

步驟5、替換第一跳轉(zhuǎn)指令為壓棧指令，在壓棧指令中記錄第一跳轉(zhuǎn)指令的地址和操作數(shù)；

步驟6、在壓棧指令之后加入第二跳轉(zhuǎn)指令，生成具有第二地址的重組指令片段；所述第二跳轉(zhuǎn)指令指向指令重組平臺(tái)的入口地址；和

步驟7、恢復(fù)所述指令運(yùn)行環(huán)境，并跳轉(zhuǎn)到第二地址繼續(xù)執(zhí)行。

可選的，所述的數(shù)據(jù)安全存儲(chǔ)方法在步驟4之后還包括：

步驟4.1、更新映射位圖中所述存儲(chǔ)指令中的目標(biāo)地址對(duì)應(yīng)的位；

所述映射位圖用于表示本地存儲(chǔ)地址的數(shù)據(jù)是否轉(zhuǎn)儲(chǔ)到所述安全存儲(chǔ)設(shè)備。

可選的，所述的數(shù)據(jù)安全存儲(chǔ)方法在步驟4.1之后還包括：

步驟4.2、將已經(jīng)更新的映射位圖同步到所述安全存儲(chǔ)設(shè)備，保存為第二映射位圖。

可選的，所述的數(shù)據(jù)安全存儲(chǔ)方法在步驟4之前還包括：

建立計(jì)算終端系統(tǒng)與所述安全存儲(chǔ)設(shè)備的通訊；

將所述安全存儲(chǔ)設(shè)備上的第二映射位圖同步到所述計(jì)算終端系統(tǒng)，保存為映射位圖。

可選的，如果所述將所述安全存儲(chǔ)設(shè)備上的第二映射位圖同步到所述計(jì)算終端系統(tǒng)失敗，將計(jì)算終端系統(tǒng)中的本地存儲(chǔ)空間映射到所述安全存儲(chǔ)設(shè)備上，并建立映射位圖和第二映射位圖。

可選的，所述的硬件指令為硬件端口I/O指令。

可選的，所述安全存儲(chǔ)設(shè)備為遠(yuǎn)程存儲(chǔ)設(shè)備，所述遠(yuǎn)程存儲(chǔ)設(shè)備被多個(gè)計(jì)算終端系統(tǒng)共享。

可選的，所述硬件指令來(lái)自硬件映射層。

可選的，在步驟3中，根據(jù)第一地址獲取待調(diào)度機(jī)器指令片段包括：

從第一地址開始，獲取待調(diào)度的一段機(jī)器指令，將該段機(jī)器指令進(jìn)行反匯編；

檢查反匯編結(jié)果中是否包含跳轉(zhuǎn)指令，如果不包含則繼續(xù)獲取后面一段待調(diào)度的機(jī)器指令，直到匹配到跳轉(zhuǎn)指令為止，該跳轉(zhuǎn)指令為第一跳轉(zhuǎn)指令；其中，第一跳轉(zhuǎn)指令以及之前的所有指令組成待調(diào)度指令片段。

可選的，所述的數(shù)據(jù)安全存儲(chǔ)方法在步驟6和步驟7之間還包括：

將生成的重組后的匯編代碼通過(guò)匯編器生成對(duì)應(yīng)的機(jī)器碼。

可選的，所述的數(shù)據(jù)安全存儲(chǔ)方法在步驟2和步驟3之間還包括：

利用所述第一地址查找地址對(duì)應(yīng)表；所述地址對(duì)應(yīng)表用于表示待調(diào)度的機(jī)器指令片段是否具有已保存的重組指令片段；