文件安全防护方法及装置制造方法及图纸

本发明专利技术提供一种文件安全防护方法及装置，其中该方法包括：在Linux内核中初始化内核控制器，逐一加载第一虚拟操作系统与第二虚拟操作系统；当在该第一虚拟操作系统接收到用户触发的私密文件打开指令时，通过该内核控制器将当前操作系统切换为该第二虚拟操作系统，并将第一虚拟操作系统挂起，该私密文件打开指令基于存储于第一存储空间的私密文件的描述信息被触发；在该第二虚拟操作系统中打开该描述信息关联的存储于第二存储空间的该私密文件，该第一存储空间与该第二存储空间互不可见。本发明专利技术可有效防止私密文件在查看过程中被恶意程序窃取，提高私密文件的安全性。

【技术实现步骤摘要】

本专利技术涉及移动通信
，特别涉及一种文件安全防护方法及装置。
技术介绍
随着移动通信技术的发展，手机等移动终端在人们生活中的应用越来越广泛，然而随着恶意软件和木马病毒泛滥，用户信息安全与隐私保护问题也日益凸显。用户在移动终端上的个人信息经常被恶意窃取，比如私人图片被截屏，输入的密码被键盘记录器窃取等，而随着移动支付等服务的兴起，防止密码、用户银行帐号等个人信息被恶意窃取的问题更是迫在眉睫。现有技术中，为了解决上述问题，一般采用ARMTrustZone技术，每个物理的处理器核提供两个虚拟核，一个是对应于非安全区的非安全核(Non-secure，NS)，另一个是对应于安全区的安全核(Secure，S)，非安全核只能访问非安全核的系统资源，而安全核能访问所有资源，以达到信息隔离的作用。然而，ARMTrustZone技术是利用中央处理器(CentralProcessingUnit，CPU)上的s位来管理安全区和非安全区的，安全区配置于CPU的ROM(Read-OnlyMemory，只读内存)中，由于CPU的ROM的存储空间有限，受ROM的空间限制，安全区的操作系统通常是极简化的系统，功能受限，某些较大的文件无法通过存储在CPU的ROM中得到有效保护。此外，由于是基于CPU建立的安全区，对编程语言要求较高，该安全区的编程都是利用C语言，使用起来限制很多，非常不便利，调试麻烦，不适于大规模的应用。
技术实现思路
有鉴于此，本专利技术提供一种文件安全防护方法及装置，应用于移动终端中，通过利用轻量级虚拟化技术，可便利地实现私密文件的安全防护，有效避免第一虚拟操作系统中的恶意程序窃取用户的私密文件，提高私密文件的安全性。本专利技术实施例第一方面提供一种文件安全防护方法，包括：在Linux内核中初始化内核控制器，逐一加载第一虚拟操作系统与第二虚拟操作系统；当在所述第一虚拟操作系统接收到用户触发的私密文件打开指令时，通过所述内核控制器将当前操作系统切换为所述第二虚拟操作系统，并挂起所述第一虚拟操作系统，所述私密文件打开指令基于存储于第一存储空间的私密文件的描述信息被触发；在所述第二虚拟操作系统中打开所述描述信息关联的存储于第二存储空间的所述私密文件，所述第一存储空间与所述第二存储空间互不可见。进一步的，所述在Linux内核中初始化内核控制器之前包括：在所述Linux内核之上建立彼此独立的所述第一虚拟操作系统与所述第二虚拟操作系统，分别为所述第一虚拟操作系统分配对应的所述第一存储空间，为所述第二虚拟操作系统分配对应的所述第二存储空间，所述第一存储空间用于存储所述私密文件的描述信息，所述第二存储空间用于存储所述私密文件。进一步的，所述当在所述第一虚拟操作系统接收到用户触发的私密文件打开指令时，通过所述内核控制器将当前操作系统切换为所述第二虚拟操作系统，并挂起所述第一虚拟操作系统包括：所述第一虚拟操作系统在接收到用户触发的私密文件打开指令时，向所述内核控制器发送切换请求，所述切换请求用于向所述内核控制器申请将当前操作系统切换为所述第二虚拟操作系统，并在所述第二虚拟操作系统中打开所述私密文件；所述内核控制器响应于所述切换请求，将当前操作系统切换为所述第二虚拟操作系统，并挂起所述第一虚拟操作系统；则所述在所述第二虚拟操作系统中打开所述描述信息关联的存储于第二存储空间的所述私密文件，所述第一存储空间与所述第二存储空间互不可见包括：所述内核控制器获取所述私密文件的描述信息关联的存储路径，将所述存储路径发送给所述第二虚拟操作系统；所述第二虚拟操作系统根据所述存储路径，在所述第二存储空间打开所述私密文件。进一步的，所述方法还包括：当检测到所述用户在所述第一虚拟操作系统触发新建私密文件的操作时，在所述第一虚拟操作系统中新建所述新建私密文件的操作指向的目标文件，生成所述目标文件的描述信息并存储于所述第一存储空间；通过所述内核控制器，将所述目标文件传输并存储于所述第二存储空间中，并获取目标文件存储于所述第二存储空间的存储路径，在所述第一虚拟操作系统将所述存储路径与所述描述信息进行关联，并删除所述第一存储空间中存储的所述目标文件。进一步的，所述私密文件的描述信息包括所述私密文件的名称和/或图标，所述目标文件的描述信息包括所述目标文件的名称和/或图标。本专利技术实施例第二方面提供一种文件安全防护装置，包括：初始化模块，用于在Linux内核中初始化内核控制器，逐一加载第一虚拟操作系统与第二虚拟操作系统；系统切换模块，用于当在所述第一虚拟操作系统接收到用户触发的私密文件打开指令时，通过所述内核控制器将当前操作系统切换为所述第二虚拟操作系统，并挂起所述第一虚拟操作系统，所述私密文件打开指令基于存储于第一存储空间的私密文件的描述信息被触发；打开模块，用于在所述第二虚拟操作系统中打开所述描述信息关联的存储于第二存储空间的所述私密文件，所述第一存储空间与所述第二存储空间互不可见。进一步的，所述装置还包括：建立模块，用于在所述Linux内核之上建立彼此独立的所述第一虚拟操作系统与所述第二虚拟操作系统；空间分配模块，用于分别为所述第一虚拟操作系统分配对应的所述第一存储空间，为所述第二虚拟操作系统分配对应的所述第二存储空间，所述第一存储空间用于存储所述私密文件的描述信息，所述第二存储空间用于存储所述私密文件。进一步的，所述系统切换模块，包括：申请子模块，用于通过所述第一虚拟操作系统在接收到用户触发的私密文件打开指令时，向所述内核控制器发送切换请求，所述切换请求用于向所述内核控制器申请将当前操作系统切换为所述第二虚拟操作系统，并在所述第二虚拟操作系统中打开所述私密文件；切换子模块，用于通过所述内核控制器响应于所述切换请求，将当前操作系统切换为所述第二虚拟操作系统，并挂起所述第一虚拟操作系统；所述打开模块，包括：存储路径传递子模块，用于通过所述内核控制器获取所述私密文件的描述信息关联的存储路径，将所述存储路径发送给所述第二虚拟操作系统；打开子模块，用于通过所述第二虚拟操作系统根据所述存储路径，在所述第二存储空间打开所述私密文件。进一步的，所述装置还包括：新建模块，用于当检测到所述用户在所述第一虚拟操作系统触发新建私密文件的操作时，在所述第一虚拟操作系统中新建所述新建私密文件的操作指向的目标文件，生成所述目标文件的描述信息并存储于所述第一存储空间；文件传输模块，用于通过所述内核控制器，将所述目标文件传输并存储于所述第二存储空间中，并获取目标文件存储于所述第二存储空间的存储路径，在所述第一虚拟操作系统将所述存储路径与所述描述信息进行关联；删除模块，用于删除所述第一存储空间中存储的所述目标文件。进一步的，所述私密文件的描述信息包括所述私密文件的名称和/或图标，所述目标文件的描述信息包括所述目标文件的名称和/或图标。根据上述实施例中的文件安全防护方法及装置，本专利技术通过在Linux内核之上建立两个虚拟操作系统，并将私密文件与私密文件的描述信息分别存储于不同的存储空间，当用户在第一虚拟操作系统中需要打开私密文件时，将当前操作系统切换为第二虚拟操作系统，并挂起该第一虚拟操作系统，在第二虚拟操作系统中打开存储于第二存储空间的该私本文档来自技高网...

【技术保护点】
一种文件安全防护方法，其特征在于，所述方法包括：在Linux内核中初始化内核控制器，加载第一虚拟操作系统与第二虚拟操作系统；当在所述第一虚拟操作系统接收到用户触发的私密文件打开指令时，通过所述内核控制器将当前操作系统切换为所述第二虚拟操作系统，并挂起所述第一虚拟操作系统，所述私密文件打开指令基于存储于第一存储空间的私密文件的描述信息被触发；在所述第二虚拟操作系统中打开所述描述信息关联的存储于第二存储空间的所述私密文件，所述第一存储空间与所述第二存储空间互不可见。

【技术特征摘要】
1.一种文件安全防护方法，其特征在于，所述方法包括：在Linux内核中初始化内核控制器，加载第一虚拟操作系统与第二虚拟操作系统；当在所述第一虚拟操作系统接收到用户触发的私密文件打开指令时，通过所述内核控制器将当前操作系统切换为所述第二虚拟操作系统，并挂起所述第一虚拟操作系统，所述私密文件打开指令基于存储于第一存储空间的私密文件的描述信息被触发；在所述第二虚拟操作系统中打开所述描述信息关联的存储于第二存储空间的所述私密文件，所述第一存储空间与所述第二存储空间互不可见。2.根据权利要求1所述的方法，其特征在于，所述在Linux内核中初始化内核控制器之前包括：在所述Linux内核之上建立彼此独立的所述第一虚拟操作系统与所述第二虚拟操作系统，分别为所述第一虚拟操作系统分配对应的所述第一存储空间，为所述第二虚拟操作系统分配对应的所述第二存储空间，所述第一存储空间用于存储所述私密文件的描述信息，所述第二存储空间用于存储所述私密文件。3.根据权利要求1所述的方法，其特征在于，所述当在所述第一虚拟操作系统接收到用户触发的私密文件打开指令时，通过所述内核控制器将当前操作系统切换为所述第二虚拟操作系统，并挂起所述第一虚拟操作系统包括：所述第一虚拟操作系统在接收到用户触发的私密文件打开指令时，向所述内核控制器发送切换请求，所述切换请求用于向所述内核控制器申请将当前操作系统切换为所述第二虚拟操作系统，并在所述第二虚拟操作系统中打开所述私密文件；所述内核控制器响应于所述切换请求，将当前操作系统切换为所述第
\t二虚拟操作系统，并挂起所述第一虚拟操作系统；则所述在所述第二虚拟操作系统中打开所述描述信息关联的存储于第二存储空间的所述私密文件，所述第一存储空间与所述第二存储空间互不可见包括：所述内核控制器获取所述私密文件的描述信息关联的存储路径，将所述存储路径发送给所述第二虚拟操作系统；所述第二虚拟操作系统根据所述存储路径，在所述第二存储空间打开所述私密文件。4.根据权利要求1至3任意一项所述的方法，其特征在于，所述方法还包括：当检测到所述用户在所述第一虚拟操作系统触发新建私密文件的操作时，在所述第一虚拟操作系统中新建所述新建私密文件的操作指向的目标文件，生成所述目标文件的描述信息并存储于所述第一存储空间；通过所述内核控制器，将所述目标文件传输并存储于所述第二存储空间中，并获取目标文件存储于所述第二存储空间的存储路径，在所述第一虚拟操作系统将所述存储路径与所述描述信息进行关联，并删除所述第一存储空间中存储的所述目标文件。5.根据权利要求4所述的方法，其特征在于，所述私密文件的描述信息包括所述私密文件的名称和/或图标，所述目标文件的描述信息包括...

【专利技术属性】
技术研发人员：陈家楠，朱少杰，周佳，杜国楹，
申请(专利权)人：北京壹人壹本信息科技有限公司，
类型：发明
国别省市：北京;11