SFS访问控制方法及系统、SFS及终端设备技术方案
SFS access control method and system, SFS and terminal equipment
The invention discloses a SFS access control method and system, and terminal equipment SFS; the SFS access control method, is applied to a terminal equipment, the terminal equipment is running on SFS and one or more applications, including the SFS SFS module and SFS module of customer service, the method comprises: receiving application SFS service request message SFS client module, and a SFS service request message to the SFS service module; SFS service module according to the first access credentials SFS service request message carries on the application of authentication; in determining the application of authentication is successful, the execution of the application access to the requested SFS service and SFS service access the result of the operation is returned to the client application through the SFS module. In this way, the security of SFS access is improved.
【技术实现步骤摘要】
SFS访问控制方法及系统、SFS及终端设备
本专利技术涉及通信
,尤其涉及一种安全文件系统(SFS,SecureFileSystem)访问控制方法及系统、SFS及终端设备。
技术介绍
目前,Linux系统中可以通过UID(UserID,用户标识号)或GID(GroupID,组标识号)来限制用户或应用对系统敏感资源的访问控制。另外,目前的部分智能芯片支持信任区(Trustzone),Trustzone有两个运行环境,一个是安全运行环境,另一个是普通环境,只有可信赖的应用才能运行在安全运行环境,普通应用无法访问安全运行环境中的重要数据;如此,智能终端可以使用Trustzone来对安全应用和普通应用进行安全隔离。以车载信息处理器(T-Box,TelematicsBOX)为例,车载T-Box项目要求支持基于SFS(SecureFileSystem,安全文件系统)的数据安全存储功能。由于SFS中保存的是用户重要数据,需要对应用做访问限制,仅允许某些授权的应用访问SFS,并且只能访问和操作自己的数据。然而,车载T-Box的AP(ApplicationProcessor,...
【技术保护点】
一种安全文件系统SFS访问控制方法,其特征在于,应用于一终端设备,所述终端设备上运行有SFS以及一个或多个应用,所述SFS包括SFS客户模块以及SFS服务模块;所述方法包括:所述SFS客户模块接收所述应用的SFS服务请求消息,并将所述SFS服务请求消息发送给所述SFS服务模块;所述SFS服务模块根据所述SFS服务请求消息携带的第一访问凭证对所述应用进行鉴权;在确定所述应用鉴权成功后,执行所述应用所请求的SFS服务访问操作,并将所述SFS服务访问操作的结果通过所述SFS客户模块返回给所述应用。
【技术特征摘要】
1.一种安全文件系统SFS访问控制方法,其特征在于,应用于一终端设备,所述终端设备上运行有SFS以及一个或多个应用,所述SFS包括SFS客户模块以及SFS服务模块;所述方法包括:所述SFS客户模块接收所述应用的SFS服务请求消息,并将所述SFS服务请求消息发送给所述SFS服务模块;所述SFS服务模块根据所述SFS服务请求消息携带的第一访问凭证对所述应用进行鉴权;在确定所述应用鉴权成功后,执行所述应用所请求的SFS服务访问操作,并将所述SFS服务访问操作的结果通过所述SFS客户模块返回给所述应用。2.根据权利要求1所述的方法,其特征在于,所述SFS服务模块根据所述SFS服务请求消息携带的第一访问凭证对所述应用进行鉴权,包括:所述SFS服务模块比较所述应用的SFS服务请求消息携带的第一访问凭证和所述SFS服务模块在所述应用启动时为所述应用分配的第二访问凭证,若两者一致,则确定所述应用鉴权成功,若两者不一致,则确定所述应用鉴权失败。3.根据权利要求2所述的方法,其特征在于,所述SFS服务模块存储应用白名单;所述方法还包括:所述SFS服务模块在所述应用启动时根据所述应用白名单为所述应用生成所述第二访问凭证。4.根据权利要求3所述的方法,其特征在于,所述应用白名单至少包括:应用名称或标识、应用的启动路径、应用的第一指纹信息;所述第二访问凭证至少包括随机密码;所述SFS服务模块在所述应用启动时根据所述应用白名单为所述应用生成所述第二访问凭证,包括:根据所述应用的应用名称或标识,在所述应用白名单查找所述应用的启动路径和第一指纹信息;在根据所述应用的启动路径找到所述应用后,计算所述应用的第二指纹信息;比较所述应用白名单中所述应用的第一指纹信息和计算得到的第二指纹信息,若两者一致,则为所述应用生成一个随机密码,传递所述随机密码给所述应用并启动所述应用,若两者不一致,则拒绝给所述应用分配一个随机密码。5.根据权利要求3或4所述的方法,其特征在于,所述应用白名单还包括:应用许可的访问路径;所述在比较得到所述SFS服务请求消息携带的第一访问凭证和所述SFS服务模块在所述应用启动时为所述应用分配的第二访问凭证一致之后,所述方法还包括:所述SFS服务模块根据所述应用的SFS服务请求消息携带的访问路径和所述应用白名单中所述应用许可的访问路径的比较结果,控制所述应用所请求的SFS服务访问操作。6.根据权利要求5所述的方法,其特征在于,所述SFS服务模块根据所述应用的SFS服务请求消息携带的访问路径和所述应用白名单中所述应用许可的访问路径的比较结果,控制所述应用所请求的SFS服务访问操作,包括:若所述SFS服务请求消息携带的访问路径包含在应用白名单中所述应用许可的访问路径中,则确定所述应用鉴权成功,并按照所述SFS服务请求消息携带的访问路径执行所述应用所请求的SFS服务访问操作;若所述SFS服务请求消息携带的访问路径没有包含在应用白名单中所述应用许可的访问路径中,则确定所述应用鉴权失败。7.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述SFS服务模块确定所述应用鉴权失败后,通过所述SFS客户模块向所述应用返回访问操作拒绝消息。8.根据权利要求1所述的方法,其特征在于,所述SFS服务模块包括:SFS鉴权单元以及SFS操作单元;其中,所述SFS服务模块根据所述SFS服务请求消息携带的第一访问凭证对所述应用进行鉴权;在确定所述应用鉴权成功后,执行所述应用所请求的SFS服务访问操作,并将所述SFS服务访问操作的结果通过所述SFS客户模块返回给所述应用,包括:所述SFS鉴权单元根据所述SFS服务请求消息携带的第一访问凭证对所述应用进行鉴权;在确定所述应用鉴权成功后,通知所述SFS操作单元执行所述应用所请求的SFS服务访问操作;所述SFS操作单元根据所述SFS鉴权单元的通知,执行所述应用所请求的SFS服务访问操作,并将所述SFS服务访问操作的结果返回给所述SFS鉴权单元;所述SFS鉴权单元将所述SFS服务访问操作的结果通过所述SFS客户模块返回给所述应用。9.根据权利要求1所述的方法,其特征在于,所述终端设备包括以下至少之一:车载远程信息处理器T-Box、客户终端设备CPE、移动热点MiFi、数据卡、物...
【专利技术属性】
技术研发人员:温海龙,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。