网络环境下基于安全桌面的信息防泄漏技术

admin管理员组

文章数量:1532223

2024年6月7日发(作者：)

(19)中华人民共和国国家知识产权局

(12)发明专利说明书

(21)申请号 CN2.5

(22)申请日 2007.03.23

(71)申请人 南京联创网络科技有限公司

地址 211100 江苏省南京市江宁区土山路68号

(72)发明人 顾恺 黄丽亚 杨震 刘道灿 张尊平

(74)专利代理机构 南京天翼专利代理有限责任公司

代理人 汤志武

(51)

H04L9/32

H04L12/46

G06Q10/00

(10)申请公布号 CN 101072102 A

(43)申请公布日 2007.11.14

权利要求说明书 说明书 幅图

(54)发明名称

网络环境下基于安全桌面的信息防

泄漏技术

(57)摘要

网络环境下基于安全桌面的信息防

泄漏方法，计算机通过内容控制网关与内

网服务器通信，内网服务器前端设有内容

控制网关；内网的计算机设有“安全桌面”

工作软件，计算机与内容控制网关之间采

用加密隧道，计算机本机保存文件采用加

密方式，计算机本机设有密钥，以安全桌

面工作软件为基础，使文件的本机保存和

网络传输采用加密方式的工作系统，终端

计算机试图访问内网服务器，首先必须登

录内容控制网关；内容控制网关根据终端

权限和安全桌面激活的情况确定是否执行

访问代理；如果终端未激活安全桌面，则

访问就被拒绝或者强制终端打开安全桌

面，继续访问；通过安全桌面只能访问内

容控制网关，不能访问其他网址。

法律状态

法律状态公告日

法律状态信息

未缴年费专利权终止IPC(主分

类):H04L 9/32专利

2023-03-10

号:ZL2申请

日:20070323授权公告

日:20101006

法律状态

专利权的终止

权 利 要 求 说 明 书

1、网络环境下基于安全桌面的信息防泄漏方法，计算机通过内容控制网关与内网

服务器通信，内网服务器前端设有内容控制网关；其特征在内网的计算机设有“安

全桌面”工作软件，计算机与内容控制网关之间采用加密隧道，计算机本机保存文

件采用加密方式，计算机本机设有密钥，所述密钥保存在指定服务器上、以硬件或

软件身份认证设定；以安全桌面工作软件为基础，使文件的本机保存和网络传输采

用加密方式的工作系统，具体流程是：

终端计算机试图访问内网服务器，首先必须登录内容控制网关；

内容控制网关检查计算机是否启用安全桌面，这种握手协商机制是周期性进行的；

而且在加密的通道中进行；

内容控制网关根据终端权限和安全桌面激活的情况确定是否执行访问代理；

如果终端未激活安全桌面，则访问就被拒绝或者强制终端打开安全桌面，继续访问；

通过安全桌面只能访问内容控制网关，不能访问其他网址；终端计算机完成会话过

程后，退出安全桌面，清除本机加密存储空间中的所有内容。

2、根据权利要求1所述的网络环境下基于安全桌面的信息防泄漏方法，其特征是

在内网的计算机系统盘符中创建一个文件夹，这个文件夹包含子文件夹；子文件夹

分别保存安全桌面中的桌面显示项目，快速启动栏和所有保存下来的数据；启动时

安全桌面拷贝原始桌面所有快捷方式到这个“所有桌面”文件夹，拷贝快速启动栏中

的内容到“快速启动”文件夹。

3、根据权利要求1所述的网络环境下基于安全桌面的信息防泄漏方法，其特征是

安全桌面软件修改注册表，将对系统各个盘符的访问改成加权访问；即访问因素由

原始桌面、安全桌面决定，安全桌面不能访问USB等数据通信接口，而本地磁盘

两个桌面都能访问。

4、根据权利要求1所述的网络环境下基于安全桌面的信息防泄漏方法，其特征是

内容控制网关与计算机正式数据交互前，首先进行SSL握手协商，用以建立SSL

加密隧道或通道；加密隧道的安全，网关与计算机之间会根据设置情况周期性重新

协商加密密钥；SSL安全通道用于保密的传输，依靠SSL通道传送的信息必须经

过加密；位于SSL连接两端的通信双方交互的信息都是“安全的”；SSL包括两个过

程：SSL安全通道的协商过程；应用数据的加密、解密过程；

SSL协商过程的实质就是通信双方预先确定一组密钥，该密钥对应用数据进行加密，

保证其在传输过程中的安全；

通信双方客户端计算机与服务器协商好密钥之后，两者间正常的业务交互都以该密

钥进行加密、解密的处理；应用数据的加密过程就是应用数据在传送前的处理过程；

而解密过程就是接收到密文数据后递交给应用层前的处理过程。

5、根据权利要求4所述的网络环境下基于安全桌面的信息防泄漏方法，其特征是

终端用户在安全桌面内，通过https的方式访问内容控制网关，通过认证后，通过

内容控制网关可以访问到后台的服务器；当内容控制网关检查计算机未启用安全桌

面，网关可以根据策略设置，拒绝其访问，或者强制其启动安全桌面；通过安全桌

面只能访问内容控制网关，不能访问其他网址；通信在加密的通道中进行，有效防

止回放攻击。

6、根据权利要求1所述的网络环境下基于安全桌面的信息防泄漏方法，其特征是

计算机终端在企业内或在企业网外；安全桌面与内容控制网关之间采用SSL VPN

组网模式。

7、根据权利要求1所述的网络环境下基于安全桌面的信息防泄漏方法，其特征是

终端计算机完成会话过程后，退出安全桌面时，通过设有的清除本机加密存储空间

中的所有内容；安全桌面退出时，软件调用数据清理模块，将特殊文件中所有的内

容都删除。

8、根据权利要求7所述的网络环境下基于安全桌面的信息防泄漏方法，其特征是

删除方式为：首先对这个特殊文件夹所有内容进行多次以无意义的数据重写后，再

进行删除。

9、根据权利要求1所述的网络环境下基于安全桌面的信息防泄漏方法，其特征是

安全桌面软件设有钩子函数，安全桌面软件在安全桌面中为所有的文件操作在原来

的流程基础上，添加一个Hook钩子，强行把安全桌面里的所有文件存储都存放到

指定的目录中(all_data)；并在最终存储前，通过软件对该文件进行加密。存放在本

机的文件，如果需要，可以通过安全桌面上传到指定服务器。

10、根据权利要求1所述的网络环境下基于安全桌面的信息防泄漏方法，其特征是

安全桌面软件在其中的NDIS层设有Hook钩子函数：用于将两个桌面进程的所有

网络访问都截取到网络控制模块中；网络控制模块根据配置策略，区分两个桌面的

所有网络访问，使安全桌面只能访问指定的服务器；原始桌面不能访问指定服务器，

但是可以访问其他网络资源；终端用户直接通过原始桌面的IE访问内容控制网关。

说 明 书

技术领域

本发明涉及网络安全方法，尤其是网络环境下基于安全桌面的信息防泄漏方法。

背景技术：

计算机和网络技术的发展，将很多从前只能手动处理的事务都变成了电子化过程。

编写文档、制作设计图、发布新闻、传送信息等日常工作如今都能以高度电子化的

形式进行。在电子化办公和生活越来越不可代替时，由此产生的安全因素也变得日

益严峻起来。

许多涉及高度机密的单位企业，在享受电子化办公带来的巨大利益时，也不得不采

取种种手段对付由于计算机和网络带来信息泄密的危害。在这样的需求下，市场上

产生了各式各样的终端安全解决技术。

目前市场上已使用的技术方法，基本状况如下：

(1)独立的主机技术

独立的主机设备技术只提供给用户显示器和鼠标、键盘，操作系统运行在远端的主

机设备上，两者之间通过数据线相连。所有独立的主机设备都集中存放在一起，由

管理员统一管理。

这种方案在部署的时候很复杂，尤其是在企业单位不想变更原来的环境时，部署起

来更加困难。原本个人电脑出现问题时，通常由操作者自身解决，但集中主机设备

后，这就变成了管理员的职责，而且需要维护的设备数量又是巨大的。

当个人电脑非常流行的时代，许多企业不具备采用价格昂贵而又不灵活的主机系统

的条件。

(2)基于原始桌面的保护技术

当个人机器启动完成后，呈现给用户一个工作环境，通常称为“桌面”，桌面上可以

运行各种应用程序，也可以将应用程序产生的文件保存在磁盘目录中。本发明将机

器正常启动后呈现给用户的桌面称为“原始桌面”，以便和后面本发明提到的“安全

桌面”相区分。

所谓基于原始桌面的保护技术的实现手段是对原始桌面的加固和审计。它为了实现

资料不被从PC机上带走，对USB等通信接口进行封堵，将文件进出等敏感操作

进行记录以便审计。

这种技术方案较第一种方案而言，工作在PC机上，便于部署。但这种技术属于被

动防御技术，随着技术不断演进，新的通信手段推陈出新，意味着新的漏洞就会出

现，这个方案就面临不断升级。

另外，这种方案的实质问题是，所有的资料都存放在用户本机，这样资料泄漏的可

能性是比较大的，例如将硬盘拆下。

(3)加密存储技术

针对存储安全问题，可以采用基于硬件身份(如U盘)的加解密机制，除非用特定的

标识用户身份的密钥才能解密读取硬盘中的资料。这种措施在一定程度上提高了安

全性。但是问题在于公司雇员仍然有办法将资料传送走。因为个人电脑所有者(公

司员工)他能读取属于他本机的资料。总之这种方法可以防止个人电脑所有者之外

的人读取这台电脑上的资料，但不能防止员工本人。而且这种方法无法阻止员工从

公司服务器上下载资料而可能造成的资料泄密。

发明内容

本发明目的是：提出一种网络环境下基于安全桌面的信息防泄漏方法，根据现有信

息保密技术存在的一些应用上的不足，将网络控制技术与基于安全桌面的终端安全

技术很好的融合，推出了基于安全桌面的网络环境信息防泄漏技术方案。

本发明的技术解决方案是：网络环境下基于安全桌面的信息防泄漏方法，计算机通

过内容控制网关与内网服务器通信，内网服务器前端设有内容控制网关；其特征在

内网的计算机设有“安全桌面”工作软件，计算机与内容控制网关之间采用加密隧道，

计算机本机保存文件采用加密方式，计算机本机设有密钥，所述密钥保存在指定服

务器上、以硬件或软件身份认证设定；以安全桌面工作软件为基础，使文件的本机

保存和网络传输采用加密方式的工作系统，具体流程是：

终端计算机试图访问内网服务器，首先必须登录内容控制网关；

内容控制网关检查计算机是否启用安全桌面，这种握手协商机制是周期性进行的；

而且在加密的通道中进行；

内容控制网关根据终端权限和安全桌面激活的情况确定是否执行访问代理；

如果终端未激活安全桌面，则访问就被拒绝；

通过安全桌面只能访问内容控制网关，不能访问其他网址；

终端计算机完成会话过程后，退出安全桌面，清除本机加密存储空间中的所有内容。

计算机通过内容控制网关与内网服务器通信，计算机与内容控制网关之间采用SSL

加密隧道，计算机本机保存文件采用3DES等加密方式，计算机本机设有密钥，所

述密钥保存在指定服务器上或以硬件身份认证或其它方法设定密钥。

在内网的计算机系统盘符中创建一个特殊文件夹，这个文件夹包含三个子文件夹

“所有桌面”、“快速启动”和“all_data”，这个文件原始桌面进程无法识别。其中三个

子文件夹分别保存安全桌面中的桌面显示项目，快速启动栏和所有保存下来的数据；

之后，安全桌面拷贝原始桌面所有快捷方式到这个“所有桌面”文件夹，拷贝快速启

动栏中的内容到“快速启动”文件夹；

安全桌面软件修改注册表，将对系统各个盘符的访问改成加权访问。即访问因素由

原始桌面、安全桌面决定；

控制USB等数据通信接口只有原始桌面可以访问，安全桌面不能访问；而本地磁

盘两个桌面都能访问。

内容控制网关与计算机正式数据交互前，首先进行SSL握手协商，用以建立SSL

加密隧道。为了加密隧道的安全，网关与计算机之间会根据设置情况周期性重新协

商加密密钥；

内容控制网关检查计算机是否启用安全桌面，如果计算机没有启用安全桌面，网关

可以根据策略设置，拒绝其访问，或者强制其启动安全桌面；

通过安全桌面只能访问内容控制网关，不能访问其他网址，以确保安全性；通信在

加密的通道中进行，有效防止回放攻击。终端计算机完成会话过程后，退出安全桌

面，清除本机加密存储空间中的所有内容。

SSL机制简单介绍：SSL(Secure Socket Layer)是Netscape公司设计的主要用于web

的安全传输协议。这种协议在WEB上获得了广泛的应用。

IETF将SSL作了标准化，即RFC2246，并将其称为TLS(Transport Layer Security)，

从技术上讲，TLS1.0与SSL3.0的差别非常微小。

SSL是一条安全的通道，用于保密的传输，所以依靠SSL通道传送的信息必须经

过加密，因此，位于SSL连接两端的通信双方交互的信息都是“安全的”。

SSL包括两个过程：SSL安全通道的协商过程；应用数据的加密、解密过程。

SSL协商过程的实质就是通信双方预先确定一组密钥，该密钥对应用数据进行加密，

保证其在传输过程中的安全。

通信双方(客户端与服务器)协商好密钥之后，两者间正常的业务交互都以该密钥进

行加密、解密的处理。应用数据的加密过程就是应用数据在传送前的处理过程；而

解密过程就是接收到密文数据后递交给应用层前的处理过程。安全通道协商的流程

图可以参见现有对此技术流程介绍。

本申请人联创网络科技公司根据多年的技术积累，整合已有技术，针对目前市场上

终端安全的应用要求，创造性地将网络控制技术与基于安全桌面的终端安全技术很

好的融合在一起，推出了基于安全桌面的网络环境信息防泄漏技术方案。本发明方

案解决了国内外现有信息保密技术存在的缺点。

本发明有如下优点：(1)部署方便灵活

由于安全桌面是运行在个人电脑上的，既解决了独立主机部署不灵活的缺点，也提

供了个人计算机使用的便捷性。

(2)主动防御：采取与传统原始桌面封堵技术完全不同的思路，不会随着技术发展，

微机通信手段的丰富而不断升级。通过安全桌面营造封闭的私密空间。

(3)资料不外泄

资料不外泄包含两层涵义，第一是服务器资料无法保存到本地，第二是本地产生的

资料只能存放在服务器上。

任何从服务器上下载保留在安全桌面上的资料都是临时性的，而传统加密存储是永

久性的，两者具有本质的区别。也就是安全桌面仅提供工作环境，而不提供永久的

保存环境。

传统加密文档方式在用户使用文档的时候(即解密状态)，存在很大的泄密可能，即

传统加密模式只能解决保存问题，不能彻底解决外泄问题。例如木马程序在用户浏

览文档时通过网络发走。

本方案包括安全桌面和内容控制网关两大部分，通过安全桌面与内容控制网关的协

同工作解决网络环境信息防泄漏问题，其中安全桌面是全新概念全新技术。

安全桌面：安全桌面是一个使用习惯与原始桌面完全一致，但工作环境与原始桌面

完全独立的一个系统。用户可以规定在安全桌面上运行哪些应用程序，安全桌面上

中可以保存文件，文件以加密的方式存在本机的一个特殊的加密空间中，但只要退

出安全桌面，这个空间就会被乱码覆盖。所以本机只适合保存中间结果，最终成果

必须上传到服务器上保存。

使用安全桌面访问服务器资源，可以下载到本地观看，但是只要退出安全桌面，下

载的资料就会被清除。

总之，安全桌面为用户提供了一个天然封闭的私密空间。不是在原始桌面上修修补

补，而是创造出一个与原始桌面使用习惯一样但运行环境完全独立的一个系统。

内容控制网关：安全桌面只有一个通信通道，就是和内容控制网关互通。安全桌面

要访问内网服务器，就必须通过内容控制网关代理。安全桌面与内容控制网关之间

采用SSL高强度加密机制，确保其间的通信内容不被窃听。

某些重要服务器只能被安全桌面所访问，不能被原始桌面所访问。那么就把这些重

要服务器放在内容控制网关的保护之后。

安全桌面与内容控制网关之间采用特制的鉴别机制，即内容控制网关能识别用户究

竟是在使用安全桌面还是原始桌面。部署内容控制网关对原有网络环境的修改很小。

附图说明

图1是本发明安全桌面技术实现流程图。

图2是本发明安全桌面软件修改注册表，将对系统各个盘符的访问改成加权访问示

意图

图3是安全桌面软件新建一个桌面进程，建立安全桌面示意图

图4是安全桌面软件设有钩子函数示意图

图5是安全桌面软件在其中的NDIS层加了Hook钩子函数的结构示意图

图6是安全桌面退出时，软件调用数据清理模块的流程图

图7是安全桌面主动启动安全桌面示意图

图8是安全桌面被动启动示意图

图9是本发明内容控制网关的分级控制示意图

图10是本发明构成框图

图11是本发明具体流程图

具体实施方式

1基于安全桌面的网络环境信息防泄漏技术方案结构图：

终端可以在企业内，也可以在企业网外。因为安全桌面与内容控制网关之间采用

SSL VPN组网模式，可以突破网络边界的限制，而且确保安全性。

2基于安全桌面的网络环境信息防泄漏技术方案流程图：

本方案的具体流程示意如图11所示，主要包含：

第①步：终端计算机试图访问内网服务器，首先必须登录内容控制网关。

内容控制网关检查计算机是否启用安全桌面，这种握手协商机制是周期性进行的。

而且在加密的通道中进行，有效防止回放攻击。

第②步：内容控制网关根据终端权限和安全桌面激活的情况确定是否执行访问代理。

如果终端未激活安全桌面，则访问就被拒绝。

通过安全桌面只能访问内容控制网关，不能访问其他网址，以确保安全性。

第③步：终端计算机完成会话过程后，退出安全桌面，清除本机加密存储空间中的

所有内容。

A如图1，安全桌面技术实现流程图。

安全桌面软件查询PC机的系统盘符，在系统盘符中创建一个特殊的文件夹，这个

文件夹包含两个子文件夹“所有桌面”和“快速启动”，这个文件原始桌面进程无法识

别。之后，安全桌面拷贝原始桌面所有快捷方式到这个“所有桌面”文件夹，拷贝快

速启动栏中的内容到“快速启动”文件夹。

B如图2，安全桌面软件修改注册表，将对系统各个盘符的访问改成加权访问图。

安全桌面软件修改注册表，将对系统各个盘符的访问改成加权访问。即访问因素由

原始桌面、安全桌面决定。

这样，可以控制USB等数据通信接口只有原始桌面可以访问，安全桌面不能访问；

而本地磁盘等两个桌面都能访问。

C如图3。安全桌面软件新建一个桌面进程建立安全桌面示意图

安全桌面软件新建一个桌面进程，同时，从系统盘特殊文件夹中的“所

有桌面”和“快速启动”文件夹中读出需要在安全桌面上显示的所有项。此时，安全

桌面已经与原始桌面完全一致。使用者使用安全桌面的方式与原始桌面完全一致。

此外，安全桌面软件还会在新的桌面上添加一个按钮，用以两个桌面之间的切换。

D如图4。安全桌面软件设有钩子函数示意图

安全桌面软件在安全桌面中为所有的文件操作在原来的流程基础上，添加一个

Hook钩子，强行把安全桌面里的所有文件存储都存放到指定的目录中(all_data)。

并在最终存储前，通过软件对该文件进行加密。

原始桌面由于没有Hook钩子，所有操作不受影响。

E如图5。安全桌面软件在其中的NDIS层加了Hook钩子函数的结构示意图，

根据微软网络驱动的分层，安全桌面软件在其中的NDIS层加了Hook钩子函数，

将两个桌面进程的所有网络访问都截取到网络控制模块中。网络控制模块根据配置

策略，区分两个桌面的所有网络访问，使得：安全桌面只能访问指定的服务器；原

始桌面不能访问指定服务器，但是可以访问其他网络资源。

F如图6。安全桌面退出时，软件调用数据清理模块的流程图

安全桌面退出时，软件调用数据清理模块，本模块会将特殊文件中所有的内容都删

除。为了防止磁盘数据恢复，删除方式为：首先对这个特殊文件夹所有内容进行多

次以无意义的数据重写后，再进行删除。

基于安全桌面的网络环境信息防泄漏技术方案举例：

A安全桌面主动启动(图7所示)

①终端用户预先安装安全桌面软件，连接内网前打开安全桌面程序，此时，原始桌

面会弹出一个对话框，要求输入用户名密码。用户输入自己的用户名密码后，可进

入安全桌面。

②终端用户在安全桌面内，通过https的方式访问内容控制网关，通过认证后，通

过内容控制网关可以访问到后台的服务器。

③那些没有启用安全桌面的主机，或者虽然启用了安全桌面，但是使用原始桌面访

问内容控制网关的访问都将被拒绝。

B安全桌面被动启用(图8所示)

①终端用户直接通过原始桌面的IE访问内容控制网关。

②内容控制网关根据请求，判断出该用户未使用安全桌面进行访问，可以通过控件

的方式强制用户计算机打开安全桌面。此时，用户通过安全桌面可以正常访问内容

控制网关。

C内容控制网关分级控制(图9所示)

①通过安全桌面访问内容控制网关的用户，由于安全级别较高，网关上可以设置策

略，使得用户能够访问内部较高机密性的服务器。

②通过原始桌面访问的用户，或启动安全桌面却使用原始桌面访问的用户，由于安

全级别低，根据网关策略，只能被授权访问低机密性或者公开的服务器。

优点：内容控制网关的这种工作模式，可以很好的区分不同用户的安全级别，为不

同级别的用户提供不同等级的服务，做到分级管理控制的效果，很好的提高了部署

和使用的灵活性，有机的将安全桌面与原始桌面的工作结合在了一起。

内容控制网关接收到用户的访问请求后，返回一张带有控件的WEB登录页面，控

件查询计算机上是否已经运行安全桌面软件，如果没有运行，控件将自行强制打开

安全桌面；此时，用户通过安全桌面正常访问内容控制网关；安全桌面作为一种身

份认证的因素，与登录用户的帐号、IP等共同决定用户访问级别，通过安全桌面

访问内容控制网关的用户，由于安全级别较高，访问级别也相对较高，网关通过配

置，可以为该级别用户提供较高的访问权限，使得用户能够访问内部较高机密性的

服务器；通过原始桌面访问的用户，或启动安全桌面却使用原始桌面访问的用户，

由于安全级别低，访问级别也低，根据网关配置，只能被授权访问低机密性或者公

开的服务器。

本文标签： 桌面访问控制网关