本发明专利技术提供了一种基于安全策略来防止本地文件泄漏的移动终端和方法。该方法包括:(a)在检测到要发生使得所述本地文件离开所述移动终端的操作时,暂停所述操作并确定所述本地文件是否是加密文件;(b)如果确定所述本地文件是加密文件,则根据与所述本地文件的文件类型相对应的安全策略来判断是否允许所述操作;以及(c)如果判断不允许所述操作,则阻止所述操作。
【技术实现步骤摘要】
本专利技术总体上涉及数据安全领域,更具体地涉及。
技术介绍
移动终端已经逐渐成为人们在工作、学习和生活中必不可少的一部分。针对这种现状,通过非法、隐秘或强制等手段对移动终端上存储的数据进行盗取的安全事件也频繁发生。目前基于移动终端的病毒、恶意代码等的非法应用、程序或服务会采用在后台采集终端机密、隐私等重要数据,然后将这些收集到的信息,通过加密及相关变换格式的方式,形成加密、加压缩、加变换格式的文件,以逃避安全软件的检测,并达到将这些信息可以通过对外通信通道进行非法盗取的目的。 然而现有的安全检测机制,在遇到这种通过加密处理方式的文件的对外发送行为时,为了避免过多的计算开销和任务,往往采取的控制行为就是允许其发送行为,不加过多控制动作。这种情况带来的直接后果就是:基于终端的木马、恶意代码等非法应用、服务、模块就会利用这种机制上的欠缺,将一些关键、机密和敏感数据,通过加密方式对需要发送的文件进行处理,直接避开应有的安全检测,而将文件发送给恶意第三方。
技术实现思路
为了解决上述问题,提供了根据本专利技术的。 根据本专利技术的第一方面,提供了一种在移动终端处基于安全策略来防止本地文件泄漏的方法。该方法包括:(a)在检测到要发生使得所述本地文件离开所述移动终端的操作时,暂停所述操作并确定所述本地文件是否是加密文件;(b)如果确定所述本地文件是加密文件,则根据与所述本地文件的文件类型相对应的安全策略来判断是否允许所述操作;以及(c)如果判断不允许所述操作,则阻止所述操作。 在一些实施例中,步骤(a)中的检测是针对以下数据通道中至少一项的:蓝牙数据通道、红外数据通道、WiFi数据通道、符合2G标准的数据通道、符合3G标准的数据通道、符合4G标准的数据通道和USB数据通道。 在一些实施例中,针对每种文件类型,存在一条对应的安全策略。 在一些实施例中,所述安全策略至少包括以下各项:指示相应文件类型的第一字段、指示是否直接禁止对具有相应文件类型的数据进行传输的第二字段、以及指示是否向用户询问允许或禁止对具有相应文件类型的数据进行传输的第三字段。 在一些实施例中,步骤(a)是由后台运行的服务来执行的。 在一些实施例中,步骤(b)还包括:(bl)如果相应安全策略的第二字段指示应当直接禁止对具有相应文件类型的数据进行传输,则判断不允许所述操作。 在一些实施例中,步骤(b)还包括:(b2)如果相应安全策略的第二字段指示不应当直接禁止对具有相应文件类型的数据进行传输,则判断相应安全策略的第三字段是否指示应当向用户询问允许或禁止对具有相应文件类型的数据进行传输;以及(b3)如果所述第三字段指示不应当向用户询问,则判断允许所述操作。 在一些实施例中,步骤(b3)还包括:(b31)如果所述第三字段指示应当向用户询问,则向用户呈现可供用户查看的与所述本地文件相关的信息和/或与要发送所述本地文件的本地应用相关的信息,以及还向用户呈现可供用户选择是否禁止传输所述本地文件的选项;以及(b32)根据所述用户的选择来判断是否允许所述操作。 在一些实施例中,与所述本地文件相关的信息包括以下至少一项:所述本地文件的名称、位置、大小和加密类型。 在一些实施例中,与要发送所述本地文件的本地应用相关的信息包括以下至少一项:所述本地应用的名称、安装位置、软件发行商、拥有的权限和数字签名。 在一些实施例中,将与是否允许执行传输相关的决定和与所述本地文件、所述本地应用相关的信息记录在所述移动终端上的日志文件中。 在一些实施例中,所述安全策略是能够被实时更新的。 在一些实施例中,所述安全策略是从远程服务器获取到的。 根据本专利技术的第二方面,提供了一种基于安全策略来防止本地文件泄漏的移动终端。该移动终端包括:文件传输检测单元,用于在检测到要发生使得所述本地文件离开所述移动终端的操作时,暂停所述操作并确定所述本地文件是否是加密文件;安全策略判断单元,用于如果确定所述本地文件是加密文件,则根据与所述本地文件的文件类型相对应的安全策略来判断是否允许所述操作;以及操作阻止单元,用于如果判断不允许所述操作,则阻止所述操作。 在一些实施例中,各单元之间的通信是通过本地套接字来实现的。 在一些实施例中,所述文件传输检测单元中的检测是针对以下数据通道中至少一项的:蓝牙数据通道、红外数据通道、WiFi数据通道、符合2G标准的数据通道、符合3G标准的数据通道、符合4G标准的数据通道和USB数据通道。 在一些实施例中,针对每种文件类型,存在一条对应的安全策略。 在一些实施例中,所述安全策略至少包括以下各项:指示相应文件类型的第一字段、指示是否直接禁止对具有相应文件类型的数据进行传输的第二字段、以及指示是否向用户询问允许或禁止对具有相应文件类型的数据进行传输的第三字段。 在一些实施例中,文件传输检测单元是以后台运行的服务的形式来实现的。 在一些实施例中,所述安全策略判断单元还用于:如果相应安全策略的第二字段指示应当直接禁止对具有相应文件类型的数据进行传输,则判断不允许所述操作。 在一些实施例中,所述安全策略判断单元还用于:如果相应安全策略的第二字段指示不应当直接禁止对具有相应文件类型的数据进行传输,则判断相应安全策略的第三字段是否指示应当向用户询问允许或禁止对具有相应文件类型的数据进行传输;以及如果所述第三字段指示不应当向用户询问,则判断允许所述操作。 在一些实施例中,所述安全策略判断单元还用于:如果所述第三字段指示应当向用户询问,则向用户呈现可供用户查看的与所述本地文件相关的信息和/或与要发送所述本地文件的本地应用相关的信息,以及还向用户呈现可供用户选择是否禁止传输所述本地文件的选项;以及根据所述用户的选择来判断是否允许所述操作。 在一些实施例中,与所述本地文件相关的信息包括以下至少一项:所述本地文件的名称、位置、大小和加密类型。 在一些实施例中,与要发送所述本地文件的本地应用相关的信息包括以下至少一项:所述本地应用的名称、安装位置、软件发行商、拥有的权限和数字签名。 在一些实施例中,将与是否允许执行传输相关的决定和与所述本地文件、所述本地应用相关的信息记录在所述移动终端上的日志文件中。 在一些实施例中,所述安全策略是能够被实时更新的。 [0031 ] 在一些实施例中,所述安全策略是从远程服务器获取到的。 通过使用本专利技术实施例的方法和/或移动终端,可以方便地监控加密文件的发送,防止数据泄漏,进而保护用户隐私。 【附图说明】 通过下面结合【附图说明】本专利技术的优选实施例,将使本专利技术的上述及其它目的、特征和优点更加清楚,其中: 图1是示出了根据本专利技术的基于安全策略来防止数据文件泄漏的系统的示例应用场景的不意图。 图2是示出了根据本专利技术的用于基于安全策略来防止数据文件泄漏的示例流程图。 图3是示出了根据本专利技术实施例的在移动终端处执行的基于安全策略来防止数据文件泄漏的示例方法的流程图。 图4是示出了根据本专利技术实施例的用于执行图3所示方法的示例移动终端的功能框图。 【具体实施方式】 下面参照附图对本专利技术的优选实施例进行详细说明,在描述过程中省略了对于本专利技术来说是不必要的细节和功能,以防止对本发本文档来自技高网...
【技术保护点】
一种在移动终端处基于安全策略来防止本地文件泄漏的方法,包括:(a)在检测到要发生使得所述本地文件离开所述移动终端的操作时,暂停所述操作并确定所述本地文件是否是加密文件;(b)如果确定所述本地文件是加密文件,则根据与所述本地文件的文件类型相对应的安全策略来判断是否允许所述操作;以及(c)如果判断不允许所述操作,则阻止所述操作。
【技术特征摘要】
1.一种在移动终端处基于安全策略来防止本地文件泄漏的方法,包括: (幻在检测到要发生使得所述本地文件离开所述移动终端的操作时,暂停所述操作并确定所述本地文件是否是加密文件; (^)如果确定所述本地文件是加密文件,则根据与所述本地文件的文件类型相对应的安全策略来判断是否允许所述操作;以及 (0)如果判断不允许所述操作,则阻止所述操作。2.根据权利要求1所述的方法,其中,步骤仏)中的检测是针对以下数据通道中至少一项的:蓝牙数据通道、红外数据通道、数据通道、符合2(}标准的数据通道、符合3(}标准的数据通道、符合%标准的数据通道和旧8数据通道。3.根据权利要求1所述的方法,其中,针对每种文件类型,存在一条对应的安全策略。4.根据权利要求1所述的方法,其中,所述安全策略至少包括以下各项:指示相应文件类型的第一字段、指示是否直接禁止对具有相应文件类型的数据进行传输的第二字段、以及指示是否向用户询问允许或禁止对具有相应文件类型的数据进行传输的第三字段。5.根据权利要求1所述的方法,其中,步骤仏)是由后台运行的服务来执行的。6.根据权利要求4所述的方法,其中,步骤(幻还包括: (131)如果相应安全策略的第二字段指示应当直接禁止对具有相应文件类型的数据进行传输,则判断不允许所述操作。7.根据权利要求4所述的方法,其中,步骤(幻还包括: (^)如果相应安全策略的第二字段指示不应当直接禁止对具有相应文件类型的数据进行传输,则判断相应安全策略的第三字段是否指示应当向用户询问允许或禁止对具有相应文件类型的数据进行传输;以及 (1^3)如果所述第三字段指示不应当向用户询问,则判断允许所述操作。8.根据权利要求7所述的方法,其中,步骤(…)还包括: (1^31)如果所述第三字段指示应当向用户询问,则向用户呈现可供用户查看的与所述本地文件相关的信息和/或与要发送所述本地文件的本地应用相关的信息,以及还向用户呈现可供用户选择是否禁止传输所述本地文件的选项;以及 (1^32)根据所述用户的选择来判断是否允许所述操作。9.根据权利要求8所述的方法,其中,与所述本地文件相关的信息包括以下至少一项:所述本地文件的名称、位置、大小和加密类型。10.根据权利要求8所述的方法,其中,与要发送所...
【专利技术属性】
技术研发人员:陈继,
申请(专利权)人:北京网秦天下科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。