(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210547194.1 (22)申请日 2022.05.20 (65)同一申请的已公布的文献号 申请公布号 CN 114780949 A (43)申请公布日 2022.07.22 (73)专利权人 北京数安行 科技有限公司 地址 100085 北京市海淀区上地五街信息 路12号中关村发展大厦A40 3 (72)发明人 王文宇　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 周琦 (51)Int.Cl. G06F 21/53(2013.01) G06F 21/60(2013.01)G06F 21/62(2013.01) G06F 9/455(2006.01) (56)对比文件 CN 1822014 A,20 06.08.23 CN 1997955 A,2007.07.11 CN 103077072 A,2013.0 5.01 CN 104050015 A,2014.09.17 CN 10975 3803 A,2019.0 5.14 审查员 沈小将 (54)发明名称 基于虚拟容器的轻量化数据安全保护的方 法及系统 (57)摘要 本申请实施例提供一种基于虚拟容器的轻 量化数据安全保护的方法及系统， 其中方法包 括： 基于提供方对数据文件的安全操作保护请 求， 创建用于存储数据文件的父虚拟容器； 基于 接收的使用方对 数据文件的操作 请求， 确定目标 数据文件， 以及使用方的用户身份对应的第一使 用权限； 若使用方满足存储目标数据文件的父虚 拟容器的第一访问条件以及第一使用权限满足 目标数据文件的使用权限， 则在父虚拟容器内为 每个目标数据文件创建对应的子虚拟容器。 本申 请通过双层嵌套的虚拟容器， 对 数据进行多层隔 离安全保护， 安全性强， 同时通过多层虚拟容器， 减少数据使用中对资源的占用， 以及对其他组件 的依赖性， 达 到轻量化数据的安全管控。 权利要求书3页 说明书17页 附图4页 CN 114780949 B 2022.09.16 CN 114780949 B 1.一种基于虚拟容器的轻量 化数据安全保护的方法， 其特 征在于， 包括： 基于提供方对数据文件的安全操作保护请求， 创建用于存储所述数据文件的父虚拟容 器； 所述父虚拟容器存储一个或者多个所述数据文件， 且所述父虚拟容器已配置不同用户 身份的第一访问条件； 所述数据文件已设置 权限标识； 基于接收的使用方对所述数据文件的操作请求， 确定目标数据文件， 以及所述使用方 的用户身份对应的第一使用权限； 若所述使用方满足存储所述目标数据文件的父虚拟容器的第一访问条件以及所述第 一使用权限满足所述目标数据文件的使用权限， 则 在所述父虚拟容器内为每个所述目标数 据文件创建对应的子虚拟容器， 用于为所述目标 数据文件提供安全保护； 其中， 所述目标数据文件是所述安全操作保护请求中包括的所有所述数据文件中任一 个或多个。 2.根据权利要求1所述的基于虚拟容器的轻量化数据安全保护的方法， 其特征在于， 所 述基于提供方对数据文件的安全操作保护请求， 创建用于存储所述数据文件的父虚拟容 器， 包括： 以固定单位空间大小， 创建用于存储所述数据文件的父虚拟容器， 且所述固定单位空 间大小根据所述数据文件大小动态扩展； 配置不同的用户身份对所述父虚拟容器的第 一访问条件， 和所述安全操作保护请求中 包括的所有所述数据文件的权限标识； 以父虚拟容器的标识作为密钥， 加密所述第 一访问条件和每个所述数据文件的权限标 识； 其中， 所述父虚拟容器的标识是基于虚拟容器标识确定规则确定的， 且所述虚拟容器 标识确定规则存储于所述父虚拟容器中； 所述虚拟容器标识确定规则包括： 将父虚拟容器 携带的创建所述父虚拟容器需求的提供方， 以及创建时刻， 采用国产密码算法SM3进行加 密。 3.根据权利要求2所述的基于虚拟容器的轻量化数据安全保护的方法， 其特征在于， 所 述配置不同的用户身份对所述父虚拟容器的第一访问条件， 和所述安全操作保护请求中包 括的所有所述数据文件的权限标识， 包括： 基于第一使用方标识或第 二使用方标识， 配置所述父虚拟容器的第 一访问条件中的用 户身份认证条件； 所述第一使用方标识是所述提供方基于短信认证条件生成规则确定的； 所述第二使用方 标识是所述提供方基于口令与短信相结合认证条件生成规则确定的； 基于提供方对数据文件的安全操作保护请求， 配置所述父虚拟容器的第 一访问条件中 的允许使用的时间； 基于提供方对数据文件的安全操作保护请求， 配置存储于所述父虚拟容器中的每个所 述数据文件的权限标识； 其中， 所述短信认证条件生成规则为将所述父虚拟容器的标识、 以及使用方的标识结 合， 采用国产密码算法S M4进行加密； 所述口令与短信相结合认证条件生 成规则为将所述父 虚拟容器的标识、 所述使用方的标识和所述使用方的口令结合， 采用国产密码算法S M4进行 加密； 所述权限标识用于指示 不同数据文件 对应的不同使用权限。 4.根据权利要求3所述的基于虚拟容器的轻量化数据安全保护的方法， 其特征在于， 所权　利　要　求　书 1/3 页 2 CN 114780949 B 2述权限标识对应的使用权限包括只 读、 编辑、 定位只 读和定位编辑； 所述定位只 读指示对所 述数据文件执行只 读操作时同时进行定位； 所述定位编辑指示对所述数据文件执行编辑操 作时同时进行定位。 5.根据权利要求4所述的基于虚拟容器的轻量化数据安全保护的方法， 其特征在于， 所 述基于接 收的使用方对所述数据文件的操作请求， 确定目标数据文件， 以及所述使用方 的 用户身份对应的第一使用权限， 之后包括： 确定存储所述目标 数据文件的所述父虚拟容器； 获取所述使用方按照所述虚拟容器标识确定规则生成的所述父虚拟容器的标识； 基于所述父虚拟容器的标识， 解密所述父虚拟容器的第 一访问条件和存储于其中的所 述数据文件的权限标识； 所述权限标识和所述用户身份一 一对应。 6.根据权利要求5所述的基于虚拟容器的轻量化数据安全保护的方法， 其特征在于， 所 述若所述使用方满足存储所述目标数据文件的父虚拟容器的第一访问条件以及所述第一 使用权限满足所述目标 数据文件的使用权限， 包括： 获取所述使用方基于所述短信认证条件生成规则确定的第 三使用方标识， 以及所述使 用方基于所述口令与短信相结合认证条件生成规则确定的第四使用方 标识； 若所述第三使用方标识和所述父虚拟容器中存储的第一使用方标识一致， 或， 所述第 四使用方标识和所述父虚拟容器中存储的第二使用方标识一致， 则确定所述使用方的用户 身份满足所述父虚拟容器的第一访问条件； 在满足所述父虚拟容器的第 一访问条件的情况下， 确定所述使用方的用户身份对应的 使用权限是否在所述目标数据文件的第一权限集合中， 所述第一权限集合包括所有不同用 户身份对所述目标 数据文件的权限标识对应的使用权限； 若所述使用方的用户身份对应的使用权限在所述第 一权限集合中， 则确定满足所述目 标数据文件的权限标识对应的使用权限。 7.根据权利要求6所述的基于虚拟容器的轻量化数据安全保护的方法， 其特征在于， 所 述在所述父虚拟容器内为每个所述目标数据文件创建对应的子虚拟容器， 用于为所述目标 数据文件提供安全保护， 包括： 为每个所述目标 数据文件在存 储其的所述父虚拟容器中创建对应的子虚拟容器； 获取所述目标 数据文件的权限标识对应的使用权限， 并与对应的子虚拟容器绑定； 基于所述子虚拟容器绑定的使用权限， 监控所述目标 数据文件的操作请求。 8.根据权利要求7所述的基于虚拟容器的轻量化数据安全保护的方法， 其特征在于， 所 述方法还 包括： 在所述使用权限为定位只读或定位编 辑的情况下， 确定所述父虚拟容器所在系统是否 正常连接网络； 若所述父虚拟容器所在系统正常连接网络， 则获取所述使用方的定位信息， 并通过所 述父虚拟容器记录所述定位信息， 以及通过所述目标数据文件对应的所述子虚拟容器记录 对应的只读 操作或者编辑操作。 9.根据权利要求1所述的基于虚拟容器的轻量化数据安全保护的方法， 其特征在于， 所 述方法还 包括： 若所述提供方在第 一父虚拟容器中存储第 二父虚拟容器的标识， 则在满足第 一父虚拟权　利　要　求　书 2/3 页 3 CN 114780949 B 3