CN103632107B - 一种移动终端信息安全防护系统和方法 - Google Patents
一种移动终端信息安全防护系统和方法 Download PDFInfo
- Publication number
- CN103632107B CN103632107B CN201210300624.6A CN201210300624A CN103632107B CN 103632107 B CN103632107 B CN 103632107B CN 201210300624 A CN201210300624 A CN 201210300624A CN 103632107 B CN103632107 B CN 103632107B
- Authority
- CN
- China
- Prior art keywords
- file
- module
- mobile terminal
- information
- decryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种移动终端信息安全防护系统和方法。该系统包括监控模块、文件加密模块、文件解密模块、信息访问控制模块、文件访问控制模块和日志记录模块。所述系统随着移动终端系统启动时自动启动。监控模块实时监控移动终端系统访问信息系统时的操作。文件加密模块将从信息系统中保存出来的文件进行加密处理。文件解密模块对指定的文件解密操作,成功解密后打开文件。信息访问控制模块实现对移动终端访问信息系统时的操作进行控制。文件访问控制模块实现对解密后的文件对象的访问操作进行权限控制。日志记录模块实现对所有操作进行日志记录。本发明所述的系统和方法,可对以文件为信息存储方式的移动终端应用提供加密防护,防护全面、可扩展性强、安全性高、系统资源占用率、用户体验好。
Description
技术领域
本发明涉及一种移动终端信息安全防护系统和方法,基于企业信息化系统在移动终端上应用时,通过使用数据加密和权限控制的技术,可实现对信息化系统中信息数据的防护,以避免通过移动终端进行信息泄露的可能。
缩略语及名词解释:
API:应用程序接口
PIN:全称Personal Identification Number,就是移动终端SIM卡的个人识别密码。
SD卡:全称Secure Digital Memory Card,中文翻译为安全数码卡,是一种基于半导体快闪记忆器的存储设备,它被广泛地于便携式装置上使用,如手机、数码相机等。
背景技术
随着企业信息化的不断发展,企业通过构建信息化系统,方便地为企业用户提供大量的信息数据,其中不乏有企业合同信息、企业客户信息等敏感的信息数据。在使用这些信息化系统时,用户通过计算机或智能移动终端(包括智能手机和平板电脑)接入信息化系统,并获取信息数据。信息化系统能够在系统内部通过用户帐户管理、用户权限管理,防范信息的泄漏;然而这些信息一旦到达用户访问终端(计算机或智能移动终端),则不再受控于信息化系统的保护,例如用户可通过屏幕复制获取显示在访问终端屏幕上的信息数据,用户可以通过合法的数据下载功能,将信息数据下载至访问终端上存储,等等。因此由于访问终端的接入所引发的信息泄露事件频频发生。对于计算机上的信息泄露防护目前已比较成熟,然而在智能移动终端上仍无有效地防护手段和方法。
现有的手机安全软件,都是基于数据存储安全实现,对于访问信息化系统所面临的信息泄露问题,存在如下严重缺失:
1、对访问信息化系统时的操作无法进行管理。智能移动终端在访问信息化系统时,信息数据通过网络传输到智能移动终端后,并不以文件方式存储,而是直接通过应用软件显示到屏幕上,此时用户可进行例如屏幕拷贝、内容的复制粘贴等手段将信息数据获取。
2、对从信息化系统中下载、或导出的数据文件仅进行加密处理,能够有效地防止因丢失造成的信息泄露。然而,因为无法配合信息系统中的权限管理,不能有效地限制下载者的使用权限,可能会造成下载者的越权使用所导致的信息泄露。
发明内容
本发明提供了一种移动终端信息安全防护系统和方法,基于企业信息化系统在移动终端上应用时,通过加解密技术和访问控制技术,可实现对信息化系统中信息数据的防护,以避免通过移动终端进行信息泄露的可能。
本发明所述的信息系统在移动终端上的安全防护系统,可从三个层面防护当智能移动终端访问信息系统时的安全。
1.对访问信息化系统时的操作进行管理和控制。防止用户进行屏幕复制、浏览的信息数据复制粘贴等操作。
2.对从信息化系统中下载、或导出的数据文件进行自动加密处理。
3.对从信息化系统中下载、或导出的数据文件,在使用时进行权限管理。继承信息系统中对用户的权限管理,防止用户滥用、越权等造成的信息泄露。
图1为本发明所述的移动终端信息安全防护系统,其中包括监控模块、文件加密模块、文件解密模块、信息访问控制模块、文件访问控制模块和日志记录模块。该系统随着移动终端系统启动时自动启动。
监控模块实时监控移动终端系统访问信息系统时的操作,并根据操作类型向下层的文件加密模块、文件解密模块或信息访问控制模块发送指令。监控模块实时监控的操作类型包括:保存文件操作、打开文件操作、复制粘贴操作、屏幕拷贝操作和打印操作。当保存文件操作发生时,监控模块将通知文件加密模块;当复制粘贴操作、屏幕拷贝操作和打印操作发生时,监控模块将通知信息访问控制模块;当访问该系统所加密的文件时,监控模块将通知文件解密模块。
文件加密模块在接收到监控模块或文件访问控制模块发送的指令后,将从信息系统中保存出来的文件进行加密处理,并通知日志记录模块将文件加密保存操作记录至日志文件中。
文件解密模块根据监控模块传送的指令,对指令中指定的文件解密操作,成功解密并打开文件后,通知文件访问控制模块,并通知日志记录模块将解密操作记录至日志文件中。
信息访问控制模块位于移动操作系统的内核层,通过接收从监控模块传送的指令,实现对移动终端访问信息系统时的操作进行控制,并将通知日志记录模块将操作记录至日志文件中。信息访问控制模块所控制的操作包括对访问到的信息数据进行屏幕复制、内容复制粘贴、内容打印操作。
文件访问控制模块位于移动操作系统的内核层,通过接收从文件解密模块传送的指令,实现对解密后的文件对象的访问操作进行权限控制,当监控到文件关闭操作时,文件访问控制模块将文件信息通知给文件加密模块,并将通知日志记录模块将文件对象的访问操作记录至日志文件中。文件访问控制模块所控制的访问操作包括对文件对象的打开、创建、删除、改名、复制、移动、保存、属性设置操作。文件访问控制模块对文件进行权限控制包括只读、隐藏、禁止删除、禁止打开、禁止拷贝、禁止非法应用程序访问一个已经被合法应用程序打开的文件。
日志记录模块根据文件加密模块、文件解密模块、文件访问控制模块和信息访问控制模块发来的指令,实现对所有操作进行日志记录。
本发明还提供一种移动终端信息安全防护方法,它采用本发明所述的移动终端信息安全防护系统,系统随着移动终端的操作系统启动而自动启动,监控模块实时监控移动终端系统访问信息系统时的保存文件操作、复制粘贴操作、屏幕拷贝操作和打印操作,当保存文件操作发生时,监控模块将通知文件加密模块对文件进行加密操作,并通知日志记录模块记录加密日志;当复制粘贴操作、屏幕拷贝操作和打印操作发生时,监控模块将通知信息访问控制模块,信息访问控制模块实现对移动终端访问信息系统时的操作进行控制,并通知日志记录模块将操作记录至日志文件中;在移动终端中,当被系统加密的文件被打开时,打开操作将会被监控模块监控到,监控模块会通知文件解密模块将加密文件解密;文件解密模块在成功解密并打开文件后,向文件访问控制模块发送指令保护被打开的文件,并通知日志记录模块记录解密日志;文件访问日志记录模块根据文件解密模块传送的指令,实时监视文件的所有操作,并进行日志记录;当文件访问控制模块监视到文件关闭操作时,将通知文件加密模块,文件加密模块对文件进行加密操作。
具体实施方式:
以Anroid智能手机为例说明本发明的应用。
Android系统分为四个层次:Applications(应用层)、Application Frameworks(应用框架层)、Libraries and Android Runtime(类库和实时运行库层)、Linux Kernel(Linux内核层)。
1、Applications(应用层)
Android将预装一组核心应用程序,包括email客户端、短信服务、日历日程、地图服务、浏览器、联系人和其他应用程序。所有应用程序都是Java编程语言编写。
2、Application Frameworks(应用框架层)
Anroid系统设计该层的初衷是:简化组件复用机制;任何应用都能发布自己的功能,这些功能又可以被任何其他应用使用(当然要受来自框架的强制安全规范的约束)。和复用机制相同,框架允许组件的更换。
3、Libraries and Android Runtime(类库和实时运行库层)
Android包含一套C/C++库,Android系统的各式组件都在使用。这些功能通过Android应用框架给开发人员。
本发明所述的监控模块、文件加密模块、文件解密模块、信息访问控制模块、文件访问控制模块和日志记录模块均位于该层。
监控模块、信息访问控制模块、文件访问控制模块和文件访问日志记录模块均采用Hook系统调用方式,通过更改操作系统工作流程,实现对文件的访问控制和日志记录。信息访问控制模块、文件访问控制模块和文件访问日志记录模块具体Hook操作系统的系统调用:Open、Read、Write、Delete和Move,文件访问控制模块通过逻辑判断是否允许文件访问操作来继续或阻断系统调用,文件访问日志记录模块则在允许文件访问操作时进行日志记录。信息访问控制模块、文件访问控制模块和文件访问日志记录模块挂钩子的方法采用成熟的kernel inline hook技术,即通过写入jmp或push ret等指令跳转到新的内核函数中,从而达到修改或过滤的功能。
文件加密模块和文件解密模块作为系统组件,以动态连接库的方式提供被调用接口,供其它模块调用。
4、Linux Kernel(Linux内核层)
Android依赖Linux 2.6版,提供核心系统服务:安全、内存管理、进程管理、网络组、驱动模型。内核部分还相当于一个介于硬件层和系统中其他软件组之间的一个抽象层次。
附图说明
图1为本发明所述的移动终端信息安全防护系统示意图。
Claims (7)
1.一种移动终端信息安全防护系统,其特征在于该系统运行在移动操作系统上,为在移动终端上访问信息系统时提供安全保护;包括监控模块、文件加密模块、文件解密模块、信息访问控制模块、文件访问控制模块和日志记录模块; 其中:
A.监控模块实时监控移动终端系统访问信息系统时的操作,并根据操作类型向下层的文件加密模块、文件解密模块或信息访问控制模块发送指令;
B.文件加密模块在接收到监控模块或文件访问控制模块发送的指令后,将从信息系统中保存出来的文件进行加密处理,并通知日志记录模块将文件加密保存操作记录至日志文件中;
C.文件解密模块根据监控模块传送的指令,对指令中指定的文件解密操作,成功解密并打开文件后,通知文件访问控制模块,并通知日志记录模块将解密操作记录至日志文件中;
D.信息访问控制模块位于移动操作系统的内核层,通过接收从监控模块传送的指令,实现对移动终端访问信息系统时的操作进行控制,并将通知日志记录模块将操作记录至日志文件中;
E.文件访问控制模块位于移动操作系统的内核层,通过接收从文件解密模块传送的指令,实现对解密后的文件对象的访问操作进行权限控制,当监控到文件关闭操作时,文件访问控制模块将文件信息通知给文件加密模块,并将通知日志记录模块将文件对象的访问操作记录至日志文件中;
F.日志记录模块根据文件加密模块、文件解密模块、文件访问控制模块和信息访问控制模块发来的指令,实现对所有操作进行日志记录。
2.如权利要求1所述的移动终端信息安全防护系统,其特征在于,该系统随着移动终端系统启动时自动启动。
3.如权利要求1所述的移动终端信息安全防护系统,其特征在于,监控模块实时监控的操作类型包括:保存文件操作、打开文件操作、复制粘贴操作、屏幕拷贝操作和打印操作;当保存文件操作发生时,监控模块将通知文件加密模块;当复制粘贴操作、屏幕拷贝操作和打印操作发生时,监控模块将通知信息访问控制模块;当访问该系统所加密的文件时,监控模块将通知文件解密模块。
4.如权利要求1所述的移动终端信息安全防护系统,其特征在于,信息访问控制模块所控制的操作包括对访问到的信息数据进行屏幕复制、内容复制粘贴、内容打印操作。
5.如权利要求1所述的移动终端信息安全防护系统,其特征在于,文件访问控制模块所控制的访问操作包括对文件对象的打开、创建、删除、改名、复制、移动、保存、属性设置操作。
6.如权利要求1所述的移动终端信息安全防护系统,其特征在于,文件访问控制模块对文件进行权限控制包括只读、隐藏、禁止删除、禁止打开、禁止拷贝、禁止非法应用程序访问一个已经被合法应用程序打开的文件。
7.一种移动终端信息安全护方法,其特征在于采用权利要求1-6任一所述之移动终端信息安全防护系统,系统随着移动终端的操作系统启动而自动启动,监控模块实时监控移动终端系统访问信息系统时的保存文件操作、复制粘贴操作、屏幕拷贝操作和打印操作,当保存文件操作发生时,监控模块将通知文件加密模块对文件进行加密操作,并通知日志记录模块记录加密日志;当复制粘贴操作、屏幕拷贝操作和打印操作发生时,监控模块将通知信息访问控制模块,信息访问控制模块实现对移动终端访问信息系统时的操作进行控制,并通知日志记录模块将操作记录至日志文件中;在移动终端中,当被系统加密的文件被打开时,打开操作将会被监控模块监控到,监控模块会通知文件解密模块将加密文件解密;文件解密模块在成功解密并打开文件后,向文件访问控制模块发送指令保护被打开的文件,并通知日志记录模块记录解密日志;文件访问日志记录模块根据文件解密模块传送的指令,实时监视文件的所有操作,并进行日志记录;当文件访问控制模块监视到文件关闭操作时,将通知文件加密模块,文件加密模块对文件进行加密操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210300624.6A CN103632107B (zh) | 2012-08-23 | 2012-08-23 | 一种移动终端信息安全防护系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210300624.6A CN103632107B (zh) | 2012-08-23 | 2012-08-23 | 一种移动终端信息安全防护系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103632107A CN103632107A (zh) | 2014-03-12 |
| CN103632107B true CN103632107B (zh) | 2017-10-13 |
Family
ID=50213141
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210300624.6A Active CN103632107B (zh) | 2012-08-23 | 2012-08-23 | 一种移动终端信息安全防护系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103632107B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105653967A (zh) * | 2014-11-12 | 2016-06-08 | 江苏威盾网络科技有限公司 | 一种信息存储防护的系统及方法 |
| CN105592027B (zh) * | 2014-11-18 | 2019-10-22 | 慧盾信息安全科技(苏州)股份有限公司 | 一种针对dns防拖库的安全防护系统和方法 |
| CN104978543A (zh) * | 2015-07-09 | 2015-10-14 | 黄凯锋 | 一种移动终端信息安全防护系统和方法 |
| CN106020999B (zh) | 2016-05-31 | 2017-10-17 | 广东欧珀移动通信有限公司 | 一种操作系统内部的通信方法及设备 |
| CN106534101A (zh) * | 2016-11-01 | 2017-03-22 | 广东浪潮大数据研究有限公司 | 一种文件防护方法、安全系统客户端及文件防护系统 |
| CN107247907A (zh) * | 2017-04-28 | 2017-10-13 | 国电南瑞科技股份有限公司 | 一种电动汽车互联互通信息安全防护系统 |
| CN109104392A (zh) * | 2017-06-21 | 2018-12-28 | 杨树桃 | 一种区块链安全钱包系统 |
| CN108111508A (zh) * | 2017-12-19 | 2018-06-01 | 浙江维融电子科技股份有限公司 | 一种印控仪安全防护系统 |
| CN114124680B (zh) * | 2021-09-24 | 2023-11-17 | 绿盟科技集团股份有限公司 | 一种文件访问控制告警日志管理方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729550A (zh) * | 2009-11-09 | 2010-06-09 | 西北大学 | 基于透明加解密的数字内容安全防护系统及加解密方法 |
| CN102254124A (zh) * | 2011-07-21 | 2011-11-23 | 周亮 | 一种移动终端信息安全防护系统和方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6023506A (en) * | 1995-10-26 | 2000-02-08 | Hitachi, Ltd. | Data encryption control apparatus and method |
| CN101005662A (zh) * | 2006-11-15 | 2007-07-25 | 深圳凯虹移动通信有限公司 | 具有远程控制功能的移动终端及其远程控制方法 |
| CN101616495A (zh) * | 2008-06-23 | 2009-12-30 | 网秦无限(北京)科技有限公司 | 保护手机中个人隐私的方法及系统 |
| CN101488952A (zh) * | 2008-12-10 | 2009-07-22 | 华中科技大学 | 一种移动存储装置及数据安全传输方法和系统 |
| MY151312A (en) * | 2010-10-20 | 2014-05-15 | Mimos Berhad | A method and system for file encryption and decryption in a server |
-
2012
- 2012-08-23 CN CN201210300624.6A patent/CN103632107B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729550A (zh) * | 2009-11-09 | 2010-06-09 | 西北大学 | 基于透明加解密的数字内容安全防护系统及加解密方法 |
| CN102254124A (zh) * | 2011-07-21 | 2011-11-23 | 周亮 | 一种移动终端信息安全防护系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103632107A (zh) | 2014-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103632107B (zh) | 一种移动终端信息安全防护系统和方法 | |
| CN102254124B (zh) | 一种移动终端信息安全防护系统和方法 | |
| US10607020B2 (en) | Securing files | |
| CN103716354B (zh) | 一种信息系统的安全防护系统和方法 | |
| US9246944B1 (en) | Systems and methods for enforcing data loss prevention policies on mobile devices | |
| CN104008330B (zh) | 基于文件集中存储及隔离技术的数据防泄漏系统及其方法 | |
| CN102043927B (zh) | 一种用于计算机系统的数据泄密防护方法 | |
| CN103763313B (zh) | 一种文档保护方法和系统 | |
| KR20140016897A (ko) | 디바이스 상의 앱들의 보안화 및 관리 | |
| CN103647784B (zh) | 一种公私隔离的方法和装置 | |
| US20140096230A1 (en) | Method and system for sharing vpn connections between applications | |
| CN105830477A (zh) | 集成操作系统的域管理 | |
| KR20140075785A (ko) | 보안 애플리케이션 생성 방법 및 시스템 | |
| CN104978543A (zh) | 一种移动终端信息安全防护系统和方法 | |
| WO2020225604A1 (en) | Method and devices for enabling data governance using policies triggered by metadata in multi-cloud environments | |
| CN105787373A (zh) | 一种移动办公系统中Android终端数据防泄漏方法 | |
| CN105912353A (zh) | 应用程序封装方法及装置 | |
| CN113486400A (zh) | 一种数据防泄漏方法、装置、电子设备及可读存储介质 | |
| CN110807191B (zh) | 一种应用程序的安全运行方法及装置 | |
| CN102708335A (zh) | 一种涉密文件的保护方法 | |
| CN105247534B (zh) | 访问控制装置及访问控制系统 | |
| CN112307528A (zh) | 电子文档的安全处理方法及装置 | |
| CN108319867A (zh) | 基于hook和窗口过滤的双重文件防泄密方法及系统 | |
| CN113553618A (zh) | 文件安全保护方法及装置 | |
| CN105631357A (zh) | 一种移动终端信息安全防护系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| DD01 | Delivery of document by public notice |
Addressee: SUZHOU SMARTSECUR INFORMATION SAFETY TECHNOLOGY CO.,LTD. Document name: the First Notification of an Office Action |
|
| CB02 | Change of applicant information |
Address after: 215123, C406, 99 benevolence Road, Suzhou Park, Jiangsu Province Applicant after: Hui shield information security technology (Suzhou) Limited by Share Ltd. Address before: 215123, C406, 99 benevolence Road, Suzhou Park, Jiangsu Province Applicant before: SUZHOU SMARTSECUR INFORMATION SAFETY TECHNOLOGY CO.,LTD. |
|
| COR | Change of bibliographic data | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A mobile terminal information security protection system and method Effective date of registration: 20220728 Granted publication date: 20171013 Pledgee: Bank of Nanjing Limited by Share Ltd. Suzhou branch Pledgor: Hui shield information security technology (Suzhou) Limited by Share Ltd. Registration number: Y2022320010431 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |