应用文件的处理方法及装置和文件的访问方法及装置制造方法及图纸

本发明专利技术提供了一种应用文件的处理方法及装置和文件的访问方法及装置，其中，该文件的访问方法包括：获取终端应用对被保护文件的访问请求，调用该终端应用的具有加解密功能的输入输出I/O操作对象检查该被保护文件的组鉴别信息，依据该组鉴别信息确定该终端应用对该被保护文件是否有访问权限，在该终端应用具有该被保护文件访问权限的情况下，允许该访问请求。采用上述技术方案，解决了BYOD环境下文件被不同应用随意访问，容易泄露信息的问题，保证了文件信息的安全性。

Method for processing application file and access method and device for device and file

The invention provides a device and a processing method, access method and device application files and documents, including the file access method: access request terminal application access to the protected file, input and output I/O object with encryption and decryption function calls the terminal application inspection group identification information of the protected file and according to the identification information to determine whether the terminal application has access to the protected file, with the terminal application of the protected file access conditions, allowing the access request. By adopting the technical scheme, the problem that the files are freely accessed by different applications and easy to leak information are solved in the BYOD environment, and the security of the document information is ensured.

【技术实现步骤摘要】
应用文件的处理方法及装置和文件的访问方法及装置
本专利技术涉及通信领域，具体而言，涉及一种应用文件的处理方法及装置和文件的访问方法及装置。
技术介绍
移动互联网的飞速发展使得智能终端的应用日益丰富，安卓Android系统作为目前最为流行的智能终端平台，仅谷歌市场GooglePlay即提供了数量超过100万的Android应用程序。智能终端应用的普及，使得自带设备办公(BringYourOwnDevice，简称为BYOD)变得日益流行。由于BYOD具有工作灵活、效率提升以及成本节约等优势，已成为研究的热点与未来企业发展的趋势。Android应用的日益流行使得越来越多的重要和敏感信息被存储在智能终端中，然而，随之而来的则是敏感和隐私信息的安全性问题。攻击者可以利用Android系统存在的漏洞，在智能终端中植入恶意代码，窃取用户隐私信息，给用户造成重大损失。相应地，BYOD技术在带来便利的同时加剧了智能终端信息的机密性问题，即企业员工的自有移动终端不可避免地会运行在外部网络环境中，容易遭受恶意攻击，导致企业敏感信息的泄漏。与此同时，若用户隐私信息未得到很好的安全保护，则可能被企业应用读取，从而造成用户隐私信息的泄露。目前，为了解决智能终端敏感信息泄露问题，较普遍的方式是采用Android文件的透明加解密技术，在操作系统的内核级实现在读写文件数据时，完成文件的透明加解密，从而在不改变用户习惯和用户未察觉的前提下，实现智能终端的信息保护。例如，专利号为“CN104252605A”的专利提出了一种基于Android底层的钩子(hook)技术实现的文件透明加解密方法，能够根据用户提供的密码短语实现对特定目录文件的加解密。又例如专利号为“CN104331644A”的专利同样利用了操作系统底层的套接字Netlink和hook技术，实现授权进程与待保护文件的访问控制与文件的透明加解密。这类透明加解密技术虽然能够实现文件的机密性保护，但需要系统root权限，既限制了Android文件加解密技术的部署范围，也无法适应BYOD的运行环境。同样地，例如专利号为“CN104951705A”的专利提出了一种基于操作系统接口重写的Android应用数据加密封装方法，通过插装应用入口处代码，实现在应用启动时对输入输出(Input/Output，简称为I/O)读写的Java本地接口(JavaNativeInterface，简称为JNI)调用指令进行hook与替换，仍属于在系统底层实现了文件的透明加解密，实现方式为底层方法的替换。上述专利均在Android系统底层实现了文件的透明加解密，然而，在上述方法中，所有的应用对于所有加密文件而言均具有相同的访问权限，无法在加解密过程中透明处理BYOD环境下基于分组的文件访问控制问题，即不同应用组对于不同文件的访问权限是不相同的。因此，为了保护BYOD环境下企业敏感信息和用户隐私信息的机密性，使之免受恶意攻击以及合法用户的非授权访问所带来的信息泄露问题，并且能够方便地进行大规模的部署，有必要提供一种应用层的Android文件实时加解密方法，在无需获得Android系统root权限的前提下，既能够增强Android终端所存储信息的机密性，又能够同时满足BYOD环境下基于分组的文件访问控制要求。针对相关技术中，BYOD环境下文件被不同应用随意访问，容易泄露信息的问题，目前还没有有效地解决方案。
技术实现思路
本专利技术提供了一种应用文件的处理方法及装置和文件的访问方法及装置，以至少解决相关技术中BYOD环境下文件被不同应用随意访问，容易泄露信息的问题。根据本专利技术的一个方面，提供了一种应用文件的处理方法，包括：反编译终端应用文件得到字节码文件；获取所述字节码文件的输入输出I/O操作对象，对所述I/O操作对象进行代码插装处理得到具有加解密功能的I/O操作对象；对包含有所述具有加解密功能的I/O操作对象的字节码文件进行回编译。进一步地，对所述I/O操作对象进行代码插装处理得到具有加解密功能的I/O操作对象包括：在所述字节码文件的I/O操作对象为顺序读写或者随机读写I/O操作对象的情况下，使用自定义安全类对象替换所述I/O操作对象；在所述字节码文件的I/O操作对象为内存映射方式的情况下，标记所述字节码文件的内存映射缓冲区对象，并对所述内存映射缓冲区对象进行代码插装处理。进一步地，在所述字节码文件的I/O操作对象为顺序读写或者随机读写I/O操作对象的情况下，使用自定义安全类对象替换所述I/O操作对象包括：创建所述I/O操作对象所对应类的自定义安全子类，使用所述自定义安全子类的对象实例替换所述I/O操作对象实例；创建所述I/O操作对象所对应类同名且处于不同命名空间下的自定义安全类，使用所述第二自定义安全类的对象实例替换所述I/O操作对象实例以及所述I/O操作对象的函数签名信息。进一步地，所述终端应用文件包括：可执行文件；终端加载运行的资源文件库。根据本专利技术的一个方面，提供了一种文件的访问方法，包括：获取终端应用对被保护文件的访问请求；调用所述终端应用的具有加解密功能的输入输出I/O操作对象检查所述被保护文件的组鉴别信息，其中，所述组鉴别信息是由创建所述被保护文件的终端应用设置的，具有加解密功能的I/O操作对象通过以下方式生成：反编译所述终端应用的应用文件得到字节码文件，获取所述字节码文件的输入输出I/O操作对象，对所述I/O操作对象进行代码插装处理得到具有加解密功能的I/O操作对象；依据所述组鉴别信息确定所述终端应用对所述被保护文件是否有访问权限，在所述终端应用具有所述被保护文件访问权限的情况下，允许所述访问请求，其中，在所述组鉴别信息通过所述具有加解密功能的输入输出I/O操作对象的检测的情况下，确定所述终端应用具有所述被保护文件访问权限。进一步地，在确定所述终端应用具有对所述被保护文件访问权限的情况下之后，所述方法还包括：所述终端应用依据组密钥信息对所述被保护文件进行解密操作，其中，所述组密钥信息是所述终端应用预先获取的。进一步地，所述组密钥信息通过以下之一方式预先获取：在所述终端应用所属的终端与密钥服务器连接的情况下，实时接收所述密钥服务器分发的组密钥信息；在所述终端应用所属的终端不与所述密钥服务器连接的情况下，使用本地存储的组密钥信息。进一步地，在允许所述访问请求的情况下，所述终端应用对所述文件的读写操作类型包括以下之一：顺序读写I/O操作，随机读写I/O操作和内存映射I/O操作。进一步地，所述顺序读写I/O操作包括以下之一：基于字节流的顺序读写I/O操作形式，基于编码数据块的顺序读写I/O操作形式，压缩文件的顺序读写I/O操作形式，基于文件管道的顺序读写I/O操作形式；所述随机读写I/O操作包括以下之一：基于字节流的随机读写I/O操作形式，基于文件管道的随机读写I/O操作形式。进一步地，所述内存映射I/O操作包括以下之一：针对所述被保护文件整体的内存映射I/O操作；针对所述被保护文件预设起始位置与预设长度的内存映射I/O操作。根据本专利技术的另一方面，提供了一种应用文件的处理装置，应用于终端，包括：反编译模块，用于反编译终端应用文件得到字节码文件；插装模块，用于获取所述字节码文件的输入输出I/O操作对象，对所述本文档来自技高网...

【技术保护点】
一种应用文件的处理方法，其特征在于，包括：反编译终端应用文件得到字节码文件；获取所述字节码文件的输入输出I/O操作对象，对所述I/O操作对象进行代码插装处理得到具有加解密功能的I/O操作对象；对包含有所述具有加解密功能的I/O操作对象的字节码文件进行回编译。

【技术特征摘要】
1.一种应用文件的处理方法，其特征在于，包括：反编译终端应用文件得到字节码文件；获取所述字节码文件的输入输出I/O操作对象，对所述I/O操作对象进行代码插装处理得到具有加解密功能的I/O操作对象；对包含有所述具有加解密功能的I/O操作对象的字节码文件进行回编译。2.根据权利要求1所述的方法，其特征在于，对所述I/O操作对象进行代码插装处理得到具有加解密功能的I/O操作对象包括：在所述字节码文件的I/O操作对象为顺序读写或者随机读写I/O操作对象的情况下，使用自定义安全类对象替换所述I/O操作对象；在所述字节码文件的I/O操作对象为内存映射方式的情况下，标记所述字节码文件的内存映射缓冲区对象，并对所述内存映射缓冲区对象进行代码插装处理。3.根据权利要求2所述的方法，其特征在于，在所述字节码文件的I/O操作对象为顺序读写或者随机读写I/O操作对象的情况下，使用自定义安全类对象替换所述I/O操作对象包括：创建所述I/O操作对象所对应类的自定义安全子类，使用所述自定义安全子类的对象实例替换所述I/O操作对象实例；创建所述I/O操作对象所对应类同名且处于不同命名空间下的自定义安全类，使用第二自定义安全类的对象实例替换所述I/O操作对象实例以及所述I/O操作对象的函数签名信息。4.根据权利要求1至3中任一项所述的方法，其特征在于，所述终端应用文件包括：可执行文件；终端加载运行的资源文件库。5.一种文件的访问方法，其特征在于，包括：获取终端应用对被保护文件的访问请求；调用所述终端应用的具有加解密功能的输入输出I/O操作对象检查所述被保护文件的组鉴别信息，其中，所述组鉴别信息是由创建所述被保护文件的终端应用设置的，具有加解密功能的I/O操作对象通过以下方式生成：反编译所述终端应用的应用文件得到字节码文件，获取所述字节码文件的输入输出I/O操作对象，对所述I/O操作对象进行代码插装处理得到具有加解密功能的I/O操作对象；依据所述组鉴别信息确定所述终端应用对所述被保护文件是否有访问权限，在所述终端应用具有所述被保护文件访问权限的情况下，允许所述访问请求，其中，在所述组鉴别信息通过所述具有加解密功能的输入输出I/O操作对象的检测的情况下，确定所述终端应用具有所述被保护文件访问权限。6.根据权利要求5所述的方法，其特征在于，在确定所述终端应用具有对所述被保护文件访问权限的情况下之后，所述方法还包括：所述终端应用依据组密钥信息对所述被保护文件进行解密操作，其中，所述组密钥信息是所述终端应用预先获取的。7.根据权利要求6所述的方法，其特征在于，所述组密钥信息通过以下之一方式预先获取：在所述终端应用所属的终端与密钥服务器连接的情况下，实时接收所述密钥服务器分发的组密钥信息；在所述终端应用所属的终端不与所述密钥服务器连接的情况下，使用本地存储的组密钥...

【专利技术属性】
技术研发人员：董振江，俞研，王蔚，吴家顺，付安民，
申请(专利权)人：中兴通讯股份有限公司，南京理工大学，
类型：发明
国别省市：广东,44