一种移动办公系统中Android终端数据防泄漏方法技术方案

本发明专利技术公开了一种移动办公系统中Android终端数据防泄漏方法，移动办公系统采用客户端和服务器两层体系架构，客户端用于供用户进行文件操作，并与服务器进行交互，同时实现安全功能；服务器承担着如终端屏幕内容检测、黑名单匹配以及发送指令到客户端；本发明专利技术采用动态监控截屏方法、实时监测拷贝数据方法、动态URL监测方法和恶意进程查杀方法，集成了文件安全操作、数据安全及数据自毁功能，充分保证了移动办公系统中终端数据的安全。

【技术实现步骤摘要】

本专利技术属于计算机信息安全领域，具体涉及一种移动办公系统中Android终端数据防泄漏方法，尤其是防止用户随意拷屏，操纵剪贴板，访问恶意网址以及遭受恶意进程破坏。
技术介绍
随着智能终端的迅速发展和4G技术的成熟及广泛推广，移动终端的功能已经从传统的通信和娱乐延伸到了移动办公。移动办公代表了个性化、移动化、智能化的融合，人们可以在任何时间，任何地点处理任何与业务相关的任何事情。全新的办公模式相比于传统办公模式具有很多优势：方便实用，高效快捷，功能强大，灵活方便，数据安全等。安全移动办公的前提是移动办公环境的安全，即保证企业应用在一个安全可信的环境下运行，而要想实现这一目标可以从安全接入、安全存储、安全隔离等方面着手。现有的安全接入技术主要是VPN，它是通过在公用通信网络上建立逻辑隧道，对网络层进行加密以及采用口令保护、身份验证等措施来实现的。但VPN仅仅是做了网络传输方面的安全保护，没有考虑到移动终端的安全问题。同时移动办公系统还需要考虑到移动终端数据的安全问题。安全存储需要使用数据加密和认证授权管理技术。对敏感数据进行加密，以密文形式存储在移动终端上，并使用认证授权管理技术设置访问权限限制访问，在一定程度上可以有效保证数据的安全性。而安全隔离主要负责个人与企业事务的分离，防止数据泄露。与此同时，安全接入、存储与隔离也需要可信模块的支持，因此移动设备本身系统的安全性是非常重要的。作为应用最广的Android操作系统，无疑成为移动办公安全的重点研究对象。而在Android平台上不光要营造运行环境的安全，还要考虑来自于第三方恶意软件对系统的危害。在信任操作系统自身安全性的基础上可以通过数据监测、漏洞分析、权限检测、MAC策略等方式来识别和阻止第三方应用的恶意行为。移动办公的迅速发展，对于企业和个人来说都是一把双刃剑，在享受移动办公带来便捷、高效的同时，其安全性也值得深思。由于移动设备无处不在，一旦使用了不受信的网络，企业文件中的机密数据很容易被窃取或泄露。因此制定真正全面安全的移动策略成为移动办公的头等大事，务必解决Android平台上可能的安全隐患来避免机密数据的泄露。为了充分提高移动设备的安全性，进而提高工作效率。目前主要有以下几种相关的解决方案，但是都或多或少地存在一些缺陷。1.APPERIAN公司提出了自己独特的策略：解决移动办公的关键不在于如何管理用户的硬件设备，而在于最前端的服务应用，其安全方案真要针对企业身份认证，应用瘫痪、越狱以及隐蔽地址等问题。APPERIAN公司的解决方案在应用层面上满足了企业用户移动办公的安全需求。但是其脱离了硬件的保证同样也是这一解决方案存在的缺陷，很多用户无法被纯粹的应用解决方案的安全性说服。2.三星KNOX是一套完整的安全服务解决方案，其提供一个安全而且完全独立的环境来保证企业应用和个人应用安全地隔离。在系统层面，三星KNOX为企业信息安全提供了一套定制化服务，包括安全启动、可信任启动、基于可信任区的完整性测量结构体系(TIMA)以及安全增强的安卓系统。但是三星KNOX方案只允许自己的员工在智能终端上安装移动安全应用，这就造成了KNOX方案只能为一部分企业员工服务，另外要求一家企业的所有员工都使用三星的设备也是不太现实的。3.VMware公司致力于通过虚拟化为客户进行数据中心以及终端用户计算的变革。VMwareHorizonSuite平台把VMware桌面虚拟化解决方案和技术融入单个解决方案，包含新的虚拟工作空间，易于使用和管理的VDI以及更好的物理桌面，VMwareHorizonSuite解决方案的主要在于将任何设备上的应用、数据和桌面都整合到了一体化的虚拟工作空间中，将会大大简化企业管理并且相应提高其安全性。但实用性较差，需要对Android中间件进行复制，耗费较多资源。同时，虚拟化技术降低了资源使用者和资源具体实现的耦合程度，其可行性有待于进一步评估。随着移动设备智能化程度和普及程度的不断提高，安全高效地在移动设备上进行办公已经成为了许多企业的迫切需求。移动办公意味着，从最基本的收发邮件到访问公司数据，个人移动设备都要兼顾个人应用和企业应用双重功能。对于用户而言，个人文件和企业内部数据在个人设备上的使用需要有足够的安全性保障，同时，企业数据的使用及互联网的浏览需要符合企业政策。在Android平台上，由于其固有的安全缺陷，国内外已有的方案无论从硬件还是软件方面都没有很好的防止企业机密信息泄露的安全机制。与此同时，有些方案并没有很好地考虑到外来恶意应用对移动办公的安全隐患。企业缺少针对应用的管理手段，员工在设备上任意下载和安装消费类应用，会降低系统的可靠性，引入安全风险，造成企业数据丢失或设备功能失效，同时这些设备通过网页浏览、下载应用、收发邮件等方式访问公司信息时，完全处于无保护状态。移动设备智能化，集成电脑的特性和功能，可使同样的应用程序，更容易遭受恶意攻击，带来的安全威胁变得更加复杂与严重。专利技术內容为了解决上述的技术问题，本专利技术提出了一种综合运用多种安全防护技术以保障Android终端数据数据安全的防泄漏方法。本专利技术所采用的技术方案是：一种移动办公系统中Android终端数据防泄漏方法，所述移动办公系统采用客户端和服务器两层体系架构，所述客户端用于供用户进行文件操作，并与服务器进行交互，同时实现安全功能；所述服务器承担着如终端屏幕内容检测、黑名单匹配以及发送指令到客户端；其特征在于：采用动态监控截屏方法、实时监测拷贝数据方法、动态URL监测方法和恶意进程查杀方法，集成了文件安全操作、数据安全及数据自毁功能，充分保证了移动办公系统中终端数据的安全。作为优选，所述动态监控截屏方法，是客户端利用屏幕内容同步方法、实时地将屏幕内容通过流的形式传输给服务器，服务器根据机密信息的数据库来判断当前屏幕的内容是否属于机密信息，如果是，则发送禁止截屏指令到客户端，客户端执行该指令后，用户无法进行截屏操作；如果非机密内容，则保持现有状态，用户可以正常操作文件。作为优选，所述屏幕内容同步方法，其具体实现包括以下子步骤：步骤A1：获取Android屏幕图像，保存屏幕截图；步骤A2：捕捉屏幕图像热点；步骤A3：编码屏幕图像；步骤A4：采用TCP协议进行屏幕图像传输。作为优选，步骤A1中所述获取屏幕图像包括以下子步骤；步骤1.1：通过android.os.Buil本文档来自技高网...

【技术保护点】
一种移动办公系统中Android终端数据防泄漏方法，所述移动办公系统采用客户端和服务器两层体系架构，所述客户端用于供用户进行文件操作，并与服务器进行交互，同时实现安全功能；所述服务器承担着如终端屏幕内容检测、黑名单匹配以及发送指令到客户端；其特征在于：采用动态监控截屏方法、实时监测拷贝数据方法、动态URL监测方法和恶意进程查杀方法，集成了文件安全操作、数据安全及数据自毁功能，充分保证了移动办公系统中终端数据的安全。

【技术特征摘要】
1.一种移动办公系统中Android终端数据防泄漏方法，所述移动办公系统采
用客户端和服务器两层体系架构，所述客户端用于供用户进行文件操作，并与服
务器进行交互，同时实现安全功能；所述服务器承担着如终端屏幕内容检测、黑
名单匹配以及发送指令到客户端；其特征在于：采用动态监控截屏方法、实时监
测拷贝数据方法、动态URL监测方法和恶意进程查杀方法，集成了文件安全操
作、数据安全及数据自毁功能，充分保证了移动办公系统中终端数据的安全。
2.根据权利要求1所述的移动办公系统中Android终端数据防泄漏方法，其
特征在于：所述动态监控截屏方法，是客户端利用屏幕内容同步方法、实时地将
屏幕内容通过流的形式传输给服务器，服务器根据机密信息的数据库来判断当前
屏幕的内容是否属于机密信息，如果是，则发送禁止截屏指令到客户端，客户端
执行该指令后，用户无法进行截屏操作；如果非机密内容，则保持现有状态，用
户可以正常操作文件。
3.根据权利要求2所述的移动办公系统中Android终端数据防泄漏方法，其
特征在于：所述屏幕内容同步方法，其具体实现包括以下子步骤：
步骤A1：获取Android屏幕图像，保存屏幕截图；
步骤A2：捕捉屏幕图像热点；
步骤A3：编码屏幕图像；
步骤A4：采用TCP协议进行屏幕图像传输。
4.根据权利要求3所述的动办公系统中Android终端数据防泄漏方法，其特
征在于：步骤A1中所述获取屏幕图像包括以下子步骤；
步骤1.1：通过android.os.Build.VERSION.RELEASE获取Android系统版本
号，并判断Android系统版本号是否小于2.3；
若是，则执行下述步骤1.2；
若否，则执行下述步骤1.3；
步骤1.2：读取Android显示缓存来获取屏幕图像；
读取fb0文件，获取framebuffer中RGB数据；根据framebuffer相关数据结
构信息，将framebuffer包含的RGB数据转换为图像；
步骤1.3：调用系统服务获取屏幕图像；
通过服务名跨进程获取SurfaceFlinger服务客户端代理对象SurfaceComposer

\t对象；调用此对象captureScreen方法获取数据首指针；利用IPC将获取数据发
送给屏幕共享应用。
5.根据权利要求3所述的动办公系统中Android终端数据防泄漏方法，其特
征在于：步骤A2中所述捕捉屏幕图像热点，是用哨兵随机化检测法判断屏幕图
像有无变化方式；若无变化不执行任何操作，等待下一帧图像；若检测发生变化，
则进一步判断其变化类型，根据屏幕图像的变化方式，来选取不同的热点捕捉方
式，去捕捉屏幕更新区域。
6.根据权利要求3所述的动办公系统中Android终端数据防泄漏方法，其特
征在于：步骤A3中所述编码屏幕图像，是采用JPEG编码标准，其底层实现采
用AndroidSKIA库；编码时在Java层调用Bitmap对象的compress方法；编码
格式选取JPEG，对于编码质量采用0.6；Java层的Bitmap.java通过JNI...

【专利技术属性】
技术研发人员：陈晶，杜瑞颖，刘亚国，何琨，
申请(专利权)人：武汉大学，
类型：发明
国别省市：湖北;42