本发明专利技术提供了一种移动终端信息安全防护系统和方法。该系统包括接口模块、安全策略设定模块、文件访问控制模块、文件访问日志记录模块和动态加解密模块。所述接口模块提供API接口以供调用。安全策略设定模块可根据接口模块传送的指令,设定相应的安全策略。文件访问控制模块实现对移动终端中的文件对象的访问操作进行控制。文件访问日志记录模块实现对文件的所有操作进行记录。动态加解密模块位于移动操作系统的内核层,根据设定的安全策略实现对文件的加解密处理。本发明专利技术所述的系统和方法,可对以文件为信息存储方式的移动终端应用提供加密防护,防护全面、可扩展性强、安全性高、系统资源占用率、用户体验好。
【技术实现步骤摘要】
本专利技术涉及,基于移动操作系统内核级的动态加解密技术,可实现对移动终端各种应用进行加密防护,以避免存储在移动终端中的信息泄露。缩略语及名词解释API:应用程序接口PIN 全称Personal Identification Number,就是移动终端SIM卡的个人识别密码。SD卡全Digital Memory Card,中文翻译为安全数码卡,是一种基于半导体快闪记忆器的存储设备,它被广泛地于便携式装置上使用,如手机、数码相机等。
技术介绍
随着智能移动终端(包括智能手机和平板电脑)的不断普及,移动终端已经从过去单纯的个人通讯工具转变为个人综合信息处理中心。移动终端中存储有大量个人机密和企业/组织机密,如短信、通讯录、通话记录、电子邮件、手机银行、手机炒股、多媒体(照片及视频)、办公文档等。同时移动终端的便携性在带来使用的便利之外,也带来丢失、失窃等巨大的风险。现有的移动终端,能够提供PIN码或者类似计算机中屏幕保护密码的功能,它能够使非法使用者无法进入智能终端。但是目前移动终端需要的存储容量越来越大,而本机提供的存储空间非常有限,大部分信息都存储在SD卡中。用户的移动终端如果丢失或者失窃,非法使用者只要取出SD卡,在其他设备上就能读取SD卡中的内容,此时,PIN码等保护手段是完全无效的。现有的手机安全软件,都是基于移动操作系统的应用层实现的。存在如下问题1、如要对一个应用进行保护,就需要开发一个单独的应用程序。目前绝大多数的手机安全软件仅实现了对短信和通话记录的泄密防护。防护的全面性远远不够。2、移动终端的应用日新月异,苹果的IPHONE手机在短短几年内已经拥有了 15万种应用。现有的模式,其扩展性远远跟不上移动终端应用的发展速度。3、基于应用层的技术,由于受限于操作系统的处理响应时间,系统中明文数据的存在时间大概0. 5s-2s0这段时间就是不安全时间,存在泄密的风险。4、基于应用层的技术,需要用户使用新的具备安全防护功能的应用程序。如需要对短信进行防护,用户就需要放弃原来习惯的短信应用,改用具备防护功能的短信应用,用户体验不好。5、基于应用层的技术,占用系统资源高。
技术实现思路
本专利技术提供了,基于移动操作系统内核级的动态加解密技术,可实现对所有移动终端的应用所操作的文件进行加密防护,以全面保护移动终端的信息安全。本专利技术所述的移动终端信息安全防护系统,可对现有的所有以文件为信息存储形式的移动终端的应用进行加密防护,而且对未来新增的应用,只需在安全策略上作适配调整,即可方便地支持新增应用,防护全面且可扩展性强;无论文件存储在移动终端本机还是扩展的SD卡,都能进行全面防护;该系统和方法部署在移动操作系统内核级,响应时间为毫秒级别,几乎没有明文存在时间的隐患;系统占用资源也只有传统应用层技术的 1/2-1/3 ;使用本专利技术所述的系统和方法所保护的应用,用户可以继续使用原有应用,不改变使用习惯,用户体验好。附图说明图1为本专利技术所述的移动终端信息安全防护系统,其中包括接口模块、安全策略设定模块、文件访问控制模块、文件访问日志记录模块和动态加解密模块。接口模块提供API接口。API接口被上层应用调用,通过接口模块将数据、指令传递给下层的安全策略设定模块。接口模块可查询安全策略设定模块、文件访问控制模块、文件访问日志记录模块和动态加解密模块的状态并上报给应用。安全策略设定模块可根据接口模块传送的指令,设定相应的安全策略,包括安全保护的对象和安全保护的形式。并根据安全策略的描述,向文件访问控制模块、文件访问日志记录模块和动态加解密模块发送指令。并查询文件访问控制模块、文件访问日志记录模块和动态加解密模块的状态并上报接口模块。文件访问控制模块通过接收安全策略设定模块发来的指令,实现对移动终端中的文件对象的访问操作进行控制。其中文件对象,可以是某个指定文件、或一组文件、或目录。 其中访问操作包括对文件对象的打开、创建、删除、改名、复制、移动、保存、属性设置操作。 文件访问控制模块对文件和目录进行权限控制包括只读、隐藏、禁止删除、禁止打开、禁止拷贝、禁止非法应用程序访问一个已经被合法应用程序打开的文件。文件访问日志记录模块通过接收安全策略设定模块发来的指令,实现对文件的所有操作进行记录。动态加解密模块位于移动操作系统的内核层,通过接收安全策略设定模块发来的指令,实现对文件的加解密处理。当合法应用程序读取被加密的数据时,动态加解密模块进行解密操作,合法应用程序则可正常使用数据;当合法应用程序对文件进行写操作时,动态加解密模块进行加密操作,合法应用程序保存的文件为加密后的文件;当非法应用程序读取被加密的数据时,动态加解密模块不进行解密操作,非法应用程序则无法正常使用数据; 当非法应用程序对文件进行写操作时,动态加解密模块不进行加解密操作。本专利技术还提供一种移动终端信息安全防护的方法,它采用本专利技术所述的移动终端信息安全防护系统,可通过调用接口模块所提供的API接口,传递安全保护的指令和数据, 接口模块会将安全保护的指令传给安全策略设定模块;安全策略设定模块根据接收到的指令和数据,设定安全策略,并根据安全策略的描述,向文件访问控制模块、文件访问日志记录模块和动态加解密模块发送指令;文件访问控制模块在接收安全策略设定模块的指令后,根据安全策略的要求,实时监视移动终端上文件对象的所有操作,并进行控制;文件访问日志记录模块在接收安全策略设定模块的指令后,根据安全策略的要求,实时监视移动终端上文件对象的所有操作,并进行日志记录;动态加解密模块在接收安全策略设定模块的指令后,根据安全策略的要求,实时监视移动终端上文件对象的读写操作,并进行加解密操作。具体实施例方式以Anroid智能手机为例说明本专利技术的应用。Android 系统分为四个层次Applications (应用层)、Application Frameworks (应用框架层)、Libraries and Android Runtime (类库禾口实时运 亍库层)、 Linux Kernel (Linux 内核层)。1、Applications (应用层)Android将预装一组核心应用程序,包括email客户端、短信服务、日历日程、地图服务、浏览器、联系人和其他应用程序。所有应用程序都是Java编程语言编写。在应用层,所有基于文件来存储信息的应用都可通过调用本专利技术所述的接口模块提供的API实现对应用所操作的文件进行动态加解密防护。2> Application Frameworks (j^Mtii^M )Anroid系统设计该层的初衷是简化组件复用机制;任何应用都能发布自己的功能,这些功能又可以被任何其他应用使用(当然要受来自框架的强制安全规范的约束)。和复用机制相同,框架允许组件的更换。本专利技术所述的接口模块位于该层,提供API供上层应用调用。3, Libraries and Android Runtime (类库和实时运行库层)Android包含一套C/C++库,Android系统的各式组件都在使用。这些功能通过 Android应用框架给开发人员。本专利技术所述的安全策略设定模块、文件访问控制模块、文件访问日志记录模块均位于该层。文件访问控制模块和文件访问日志记录模块本文档来自技高网...
【技术保护点】
1.一种移动终端信息安全防护系统,其特征在于该系统运行在移动操作系统上,包括接口模块、安全策略设定模块、文件访问控制模块、文件访问日志记录模块和动态加解密模块;其中:A、接口模块提供API接口,将数据、指令传递给下层的安全策略设定模块,接口模块用于查询安全策略设定模块、文件访问控制模块、文件访问日志记录模块和动态加解密模块的状态并上报;B、安全策略设定模块可根据接口模块传送的指令,设定安全策略;并根据安全策略的描述,向文件访问控制模块、文件访问日志记录模块和动态加解密模块发送指令;并查询文件访问控制模块、文件访问日志记录模块和动态加解密模块的状态并上报接口模块;C、文件访问控制模块通过接收安全策略设定模块发来的指令,实现对移动终端中文件对象的访问操作进行权限控制;D、文件访问日志记录模块通过接收安全策略设定模块发来的指令,实现对文件的所有操作进行记录。E、动态加解密模块位于移动操作系统的内核层,通过接收安全策略设定模块发来的指令,自动实现对文件的加解密处理。
【技术特征摘要】
1.一种移动终端信息安全防护系统,其特征在于该系统运行在移动操作系统上,包括接口模块、安全策略设定模块、文件访问控制模块、文件访问日志记录模块和动态加解密模块;其中A、接口模块提供API接口,将数据、指令传递给下层的安全策略设定模块,接口模块用于查询安全策略设定模块、文件访问控制模块、文件访问日志记录模块和动态加解密模块的状态并上报;B、安全策略设定模块可根据接口模块传送的指令,设定安全策略;并根据安全策略的描述,向文件访问控制模块、文件访问日志记录模块和动态加解密模块发送指令;并查询文件访问控制模块、文件访问日志记录模块和动态加解密模块的状态并上报接口模块;C、文件访问控制模块通过接收安全策略设定模块发来的指令,实现对移动终端中文件对象的访问操作进行权限控制;D、文件访问日志记录模块通过接收安全策略设定模块发来的指令,实现对文件的所有操作进行记录。E、动态加解密模块位于移动操作系统的内核层,通过接收安全策略设定模块发来的指令,自动实现对文件的加解密处理。2.如权利要求1所述的一种移动终端信息安全防护系统,其特征在于,安全策略设定模块设定的安全策略包括安全保护的对象和安全保护的方式。3.如权利要求1所述的一种移动终端信息安全防护系统,其特征在于,所述的文件访问控制模块所控制的文件对象,为指定文件、或一组文件、或目录。4.如权利要求1所述的一种移动终端信息安全防护系统,其特征在于,所述文件访问控制模块进行的访问操作包括对文件对象的打开、创建、删除、改名、复制、移动、保存或属性设置操作。5.如权利要求1所述的一种移动终端信...
【专利技术属性】
技术研发人员:周亮,王晓波,
申请(专利权)人:周亮,王晓波,
类型:发明
国别省市:11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。