CN104123506B - 数据访问方法、装置、数据加密、存储及访问方法、装置 - Google Patents
数据访问方法、装置、数据加密、存储及访问方法、装置 Download PDFInfo
- Publication number
- CN104123506B CN104123506B CN201310157076.0A CN201310157076A CN104123506B CN 104123506 B CN104123506 B CN 104123506B CN 201310157076 A CN201310157076 A CN 201310157076A CN 104123506 B CN104123506 B CN 104123506B
- Authority
- CN
- China
- Prior art keywords
- data
- encryption
- application
- identification information
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施方式公开了一种数据访问方法,包括接收对安卓系统的内核空间中加密目录的数据访问请求;判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配;若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致,允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。本发明实施方式还公开了一种数据访问装置;一种数据加密、存储及访问方法、装置。通过上述方式,本发明能够对数据提供较高安全性能的访问保护。
Description
技术领域
本发明涉及数据保护领域,特别是涉及数据访问方法、装置、数据加密、存储及访问方法、装置。
背景技术
随着智能手机、平板电脑等移动终端功能的不断增加,移动终端中存储有通讯录、短信、图片、视频、文档等大量的数据。由于移动终端难以从物理安全方面对其存储的数据进行有效的保护,网络方面由于wifi、3G、蓝牙等多种方式的共享上网,数据安全方面也难以得到保障,因此从数据访问的安全保护方面进行着手考虑为比较有效的数据安全保护机制。
现有技术中主要有以下两种数据安全保护设备及方法:第一,应用开发厂商开发的文件保险箱;第二,系统原厂商开发的全盘加密功能,如安卓的全盘加密功能。
本申请发明人在长期研发中发现,现有技术中第一种文件保险箱的问题在于,数据的安全保护大多是简单的文件加密,数据的访问安全性较低;第二种全盘加密使用不方便,全盘加密功能开启后只有在恢复出厂设备才行,加密数据都会被删除,且设定密码后就不能进行修改。
发明内容
本发明主要解决的技术问题是提供一种数据访问方法、装置、数据加密、存储及访问方法、装置,能够对数据提供较高安全性能的访问保护。
为解决上述技术问题,本发明的第一方面是:提供一种数据访问方法,包括:接收对安卓系统的内核空间中加密目录的数据访问请求;数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息,加密数据存储在安卓系统的内核空间的加密目录中;判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配;若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致,允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
其中,数据加密策略包括至少三项内容之间的关联关系信息,三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。
其中,数据加密策略还包括加密算法以及密码;若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致,以加密算法为解密依据利用密码对加密数据进行解密以获得加密数据的明文。
其中,应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。
为解决上述技术问题,本发明的第二方面是:提供一种数据加密、存储及访问方法,包括:在安卓系统的内核空间中对数据进行加密以获得加密数据;将加密数据存入安卓系统的内核空间的加密目录中;生成数据加密策略,数据加密策略包括至少三项内容之间的关联关系信息,三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息;接收对安卓系统的内核空间中加密目录的数据访问请求;数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息;判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配;若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致,允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
为解决上述技术问题,本发明的第三方面是:提供一种数据访问装置,包括:数据访问请求接收模块,用于接收对安卓系统的内核空间中加密目录的数据访问请求;数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息,加密数据存储在安卓系统的内核空间的加密目录中;标识信息判断模块,用于判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配;数据访问控制模块,用于若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致,允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
其中,数据加密策略包括至少三项内容之间的关联关系信息,三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。
其中,数据加密策略还包括加密算法以及密码;装置还包括数据解密模块,用于若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致,以加密算法为解密依据利用密码对加密数据进行解密以获得加密数据的明文。
其中,应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。
为解决上述技术问题,本发明的第四方面是:提供一种数据加密、存储及访问装置,包括:数据加密模块,用于在安卓系统的内核空间中对数据进行加密以获得加密数据;数据存储模块,用于将加密数据存入安卓系统的内核空间的加密目录中;策略生成模块,用于生成数据加密策略;数据加密策略包括至少三项内容之间的关联关系信息,三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息;数据访问请求接收模块,用于接收对安卓系统的内核空间中加密目录的数据访问请求;数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息;标识信息判断模块,用于判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配;数据访问控制模块,用于若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致,允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
本发明的有益效果是:区别于现有技术的情况,本发明通过接收对安卓系统的内核空间中加密目录的数据访问请求,进一步判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配,若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致,则允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文,在安卓系统的内核空间中通过数据加密策略控制数据访问,能够对数据提供较高安全性能的访问保护。
附图说明
图1是本发明数据访问方法一实施方式的流程图;
图2是本发明数据加密、存储及访问方法一实施方式的流程图;
图3是本发明数据访问装置一实施方式的原理框图;
图4是本发明数据访问装置一实施方式中用户空间与内核空间的原理框图;
图5是本发明数据加密、存储及访问装置一实施方式的原理框图。
具体实施方式
下面将结合本发明实施方式中的附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅仅是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,均属于本发明保护的范围。
本发明是针对安卓(Android)系统,安卓系统为应用于智能手机、平板电脑等移动终端上且以Linux内核为基础的半开放原始码作业系统。安卓本身是一个权限分立的操作系统,每个应用都以唯一的一个系统识别身份运行(Linux用户ID与群组ID),系统的各部分也分别使用各自独立的识别方式。安卓系统更多的安全功能通过权限机制提供,权限可以限制某个特定进程的特定操作,也可以限制每个URI权限对特定数据段的访问。安卓安全架构的核心设计思想是,在默认设置下,所有应用都没有权限对其他应用、系统或用户进行较大影响的操作。这其中包括读写用户隐私数据(联系人或电子邮件),读写其他应用文件,访问网络或阻止设备待机等。
请参阅图1,本发明数据访问方法一实施方式包括:
步骤S101:接收对安卓系统的内核空间中加密目录的数据访问请求。
接收对安卓系统的内核空间中加密目录的数据访问请求,数据访问请求包括发起数据访问请求的应用的标识信息、发起数据访问请求的应用所要访问的加密数据信息,其中,加密数据存储在安卓系统的内核空间的加密目录中,该内核空间是指安卓系统的Linux内核空间。在本实施方式中,应用的标识信息为应用对应的签名,即应用证书签名,在其他实施方式中,应用的标识信息也可为应用的包名、应用的摘要、应用的密码、应用包里的公钥等,此处不作过多限制。加密数据具体为图片、语音、视频、文档等不同类型的需要加密保护的数据,可根据用户个人需求选择性地将需要保护的加密数据存储于加密目录中以实现对需要保护的加密数据提供相应的数据访问保护。本发明中的应用为安卓系统中提供给用户使用以实现娱乐、阅读、通信等不同功能的软件,例如文档阅读器、视频播放器等安卓应用。应用所要访问的加密数据信息为加密数据的名称、类型、ID等标识加密数据的相关属性信息。
步骤S102:判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配。
在接收数据访问请求后,进一步判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配,即判断数据加密策略中可访问加密数据的应用中是否包括发起数据访问请求的应用,可访问加密数据的应用中的加密数据即为应用所要访问的加密数据信息对应的加密数据。其中,数据加密策略包括至少三项内容之间的关联关系信息,三项内容为存储加密数据的加密目录、加密数据以及可访问加密数据的应用的标识信息,三项内容之间存在着如下的关联关系:加密数据存储在加密目录中即形成加密数据与加密目录之间的存储关联关系,只有与可访问加密数据的应用的标识信息匹配一致的应用才可访问上述标识信息对应的存储在加密目录中的加密数据即形成加密数据与可访问加密数据的应用的标识信息之间的访问关联关系,可访问加密数据的应用的标识信息中的加密数据即为存储在加密目录中的加密数据。三项内容之间的关联关系信息对应可为加密目录的目录名称、加密数据信息以及可访问加密数据的应用的标识信息。在其他实施方式中,数据加密策略中可包括数量都至少为二的加密目录、加密数据以及可访问加密数据的应用的标识信息,即加密目录的数量可为多个,一个加密目录中可存储多项加密数据,一项加密数据可被多项应用访问,一项应用可访问多项加密数据。数据加密策略具有安卓系统签名,以防止不具有安卓系统签名的应用获取数据加密策略以及对其进行恶意修改。
步骤S103a:允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
若步骤S102的判断结果为发起数据访问请求的应用的标识信息与数据加密策略中可访问加密数据的应用的标识信息匹配一致,允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。其中,数据加密策略还包括加密算法以及密码,若发起数据访问请求的应用的标识信息与数据加密策略中可访问加密数据的应用的标识信息匹配一致,以数据加密策略中的加密算法为解密依据利用密码对加密数据进行解密以获得加密数据的明文。当需要修改密码时,先后输入当前密码以及新密码即可实现对当前密码的修改。在本实施方式中,加密算法为高级加密标准(Advanced Encryption Standard,AES)算法,属于对称密钥加密算法,可采用硬加密或软加密等加密方式进行加密。在其他实施方式中,加密算法也可采用DES等其他加密算法,此处不作过多限制。本实施方式可实现加密数据的密码的修改,降低加密数据被破解的可能性,提高加密数据的安全性。
步骤S103b:拒绝数据访问请求。
若步骤S102的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配,拒绝数据访问请求,即发起数据访问请求的应用无法浏览所要访问的加密数据,此时加密数据对发起数据访问请求的应用隐藏不显示。
下面对数据访问方法一实施方式进行举例说明:
安卓系统的内核空间的加密目录A中存储有加密数据B1、加密数据B2,数据加密策略中包括六项内容之间的关联关系信息,六项内容为加密目录A,加密数据B1以及可访问加密数据B1的应用C1、C2的标识信息,加密数据B2以及可访问加密数据B2的应用C1、C3的标识信息,应用C1可访问加密数据B1、B2。
接收数据访问请求D1,数据访问请求D1包括发起数据访问请求D1的应用C2的标识信息、应用C2所要访问的加密数据B1信息,判断发起数据访问请求D1的应用C2的标识信息是否与数据加密策略中可访问加密数据B1的应用的标识信息匹配,此时判断结果为发起数据访问请求D1的应用C2的标识信息与可访问加密数据B1的应用C2的标识信息匹配一致,允许发起数据访问请求D1的应用C2访问加密目录A中的相应加密数据B1的明文。
接收数据访问请求D2,数据访问请求D2包括发起数据访问请求D2的应用C4的标识信息、应用C4所要访问的加密数据B2信息,判断发起数据访问请求D2的应用C4的标识信息是否与数据加密策略中可访问加密数据B2的应用的标识信息匹配,此时判断结果为发起数据访问请求D2的应用C4的标识信息与可访问加密数据B2的应用(C1、C3)的标识信息都不匹配,拒绝数据访问请求D2,即发起数据访问请求D2的应用C4无法浏览加密数据B2,加密数据B2对发起数据访问请求D2的应用C4隐藏不显示。
可以理解,本发明数据访问方法一实施方式接收对安卓系统的内核空间中加密目录的数据访问请求,进一步判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配,若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致,则允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文,若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配,则拒绝数据访问请求,在安卓系统的内核空间中通过数据加密策略控制数据访问,对数据提供较高安全性能的访问保护。
请参阅图2,本发明数据加密、存储及访问方法一实施方式包括:
步骤S201:对数据进行加密以获得加密数据。
在安卓系统的内核空间中对需要保护的数据进行加密以获得加密数据。其中,可采用高级加密标准算法等加密算法对数据进行加密;本实施方式的数据加密可为全盘数据进行加密,也可为选择性加密即只将需要加密的数据进行加密,数据的加密更具有灵活性。数据的加密处理为在安卓系统的内核空间进行,减少内核空间的数据拷贝次数,数据加密效率更高,可对音频、视频等多种类型数据进行加密处理。
步骤S202:将加密数据存入安卓系统的内核空间的加密目录中。
将上述加密数据存入安卓系统的内核空间的加密目录中。可通过安卓移动终端上的数据管理应用将加密数据存入内核空间的加密目录中;也可将安卓移动终端与pc电脑连接,通过pc上的Linux平台数据管理工具将加密数据存入加密目录中。
步骤S203:生成数据加密策略。
生成数据加密策略,其中,数据加密策略优选包括至少三项内容之间的关联关系信息,三项内容为上述加密目录、上述加密数据以及可访问加密数据的应用的标识信息。
步骤S204:接收对安卓系统的内核空间中加密目录的数据访问请求。
接收对安卓系统的内核空间中加密目录的数据访问请求,数据访问请求包括发起数据访问请求的应用的标识信息、发起数据访问请求的应用所要访问的加密数据信息。
步骤S205:判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配。
在接收数据访问请求后,进一步判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配。
步骤S206a:允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
若步骤S205的判断结果为发起数据访问请求的应用的标识信息与数据加密策略中可访问加密数据的应用的标识信息匹配一致,允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。其中,数据加密策略还包括加密算法以及密码,若发起数据访问请求的应用的标识信息与数据加密策略中可访问加密数据的应用的标识信息匹配一致,以数据加密策略中的加密算法为解密依据利用密码对加密数据进行解密以获得加密数据的明文。
步骤S206b:拒绝数据访问请求。
若步骤S205的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配,拒绝数据访问请求,即发起数据访问请求的应用无法浏览所要访问的加密数据。
可以理解,本发明数据加密、存储及访问方法一实施方式通过对数据进行加密以获得加密数据,将加密数据存入安卓系统的内核空间的加密目录中,进一步生成数据加密策略,接收数据访问请求,判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配,若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致,则允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文,若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配,则拒绝数据访问请求,数据的加密效率高,对数据提供较高安全性能的访问保护。
请参阅图3,本发明数据访问装置一实施方式包括:
数据访问请求接收模块301,用于接收对安卓系统的内核空间中加密目录的数据访问请求,数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息,其中,加密数据存储在安卓系统的内核空间的加密目录中。
标识信息判断模块302,用于判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配,其中,数据加密策略包括至少三项内容之间的关联关系信息,三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。
数据访问控制模块303,用于若标识信息判断模块302的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致,允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
数据访问控制模块303还用于若标识信息判断模块302的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配,拒绝数据访问请求。
上述数据加密策略还包括加密算法以及密码。数据访问装置还包括数据解密模块(图未示出),用于若标识信息判断模块302的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致,以加密算法为解密依据利用密码对加密数据进行解密以获得加密数据的明文。在本实施方式中,加密算法优选为高级加密标准算法。
其中,应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。
请参阅图4,本发明数据访问装置存在于加密文件系统中,加密文件系统为一层虚拟文件系统,存在于安卓系统的内核空间中,加密文件系统采用堆叠方式以解决安卓系统必须全盘数据加密的问题。加密目录位于内核空间的文件系统中,如图4所示的文件系统1、2等。当应用1或2等位于用户空间的应用发起对内核空间中加密目录的数据访问请求时,加密文件系统中的数据访问请求接收模块301接收该数据访问请求,标识信息判断模块302对发起数据访问请求的应用的标识信息进行判断,数据访问控制模块303进一步根据标识信息判断模块302的判断结果处理该数据访问请求,具体过程如上述数据访问装置中各模块所述。
此外,在安卓系统的内核空间中设置有加密文件系统控制模块以控制上述加密文件系统的工作状态,当加密文件系统处于关闭的状态时,则任何应用可直接访问加密目录中的加密数据,此时需输入加密数据对应的密码才可访问相应加密数据的明文。当加密文件系统处于开启的状态时,若有应用想跳过加密文件系统对于该应用的标识信息的判断而直接访问加密目录中的加密数据,则该应用需拥有安卓系统的超级用户root权限,root权限的授权与否通过验证该应用的应用证书签名、应用的摘要、应用的包名、应用的密码、移动终端的设备序列号或应用的key是否属于root权限的授权范围,当验证结果为允许授予该应用root权限时,则该应用拥有root权限可访问加密数据,此时需输入加密数据对应的密码才可访问相应加密数据的明文;当验证结果为拒绝授予该应用root权限时,则该应用无法访问加密目录中的加密数据。此外,当利用SD卡等存储介质将加密数据从当前移动终端挂载到其他移动终端的安卓系统上时,应用只能访问加密数据,只有输入加密数据对应的密码才可访问相应加密数据的明文。
此外,在安卓系统的应用程序框架(Framework)层设置有Android Service以及Local Service,用于和内核空间进行通讯,执行上述加密文件系统的初始化、加载、卸载,以及应用黑白名单的控制,即当发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致时将发起数据访问请求的应用加入白名单以使得该应用能够访问加密目录中的相应加密数据的明文,当发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配时将发起数据访问请求的应用加入黑名单以使得该应用无法浏览加密数据。
可以理解,本发明数据访问装置一实施方式通过数据访问请求接收模块301接收对安卓系统的内核空间中加密目录的数据访问请求,标识信息判断模块302进一步判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配,若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致,则数据访问控制模块303允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文,若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配,则数据访问控制模块303拒绝数据访问请求,能够对数据提供较高安全性能的访问保护。
请参阅图5,本发明数据加密、存储及访问装置一实施方式包括:
数据加密模块401:位于安卓系统的内核空间中,用于在安卓系统的内核空间中对数据进行加密以获得加密数据。
数据存储模块402:用于将加密数据存入安卓系统的内核空间的加密目录中。
策略生成模块403,位于安卓系统的内核空间中,用于生成数据加密策略,数据加密策略包括至少三项内容之间的关联关系信息,三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。数据加密策略可根据需要进行修改,例如将可访问加密数据A的应用的标识信息由应用B1改为应用B2的标识信息。
数据访问请求接收模块404,用于接收对安卓系统的内核空间中加密目录的数据访问请求,数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息。
标识信息判断模块405,用于判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配。
数据访问控制模块406,用于若标识信息判断模块405的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致,允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
数据访问控制模块还用于若标识信息判断模块405的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配,拒绝数据访问请求。
可以理解,本发明数据加密、存储及访问装置一实施方式通过数据加密模块401对数据进行加密以获得加密数据,数据存储模块402将加密数据存入安卓系统的内核空间的加密目录中,策略生成模块403进一步生成数据加密策略,数据访问请求接收模块404接收数据访问请求,标识信息判断模块405判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配,若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致,数据访问控制模块406则允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文,若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配,数据访问控制模块406则拒绝数据访问请求,数据的加密效率高,对数据提供较高安全性能的访问保护。
以上所述仅为本发明的实施方式,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (4)
1.一种数据访问方法,其特征在于,包括:
接收对安卓系统的内核空间中加密目录的数据访问请求;所述数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息,所述加密数据存储在安卓系统的内核空间的加密目录中;
判断所述发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配,所述数据加密策略具有安卓系统签名,所述数据加密策略包括至少三项内容之间的关联关系信息,所述三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息;
若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致,允许所述发起数据访问请求的应用访问所述加密目录中的相应加密数据的明文,且不允许所述发起数据访问请求的应用访问所述加密目录中的不相应加密数据的明文;
其中,所述数据加密策略还包括加密算法以及密码,若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致,以所述加密算法为解密依据利用所述密码对所述加密数据进行解密以获得所述加密数据的明文;
所述应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。
2.一种数据加密、存储及访问方法,其特征在于,包括:
在安卓系统的内核空间中对数据进行加密以获得加密数据;
将所述加密数据存入所述安卓系统的内核空间的加密目录中;
生成数据加密策略,所述数据加密策略具有安卓系统签名,所述数据加密策略包括至少三项内容之间的关联关系信息,所述三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息;
接收对所述安卓系统的内核空间中加密目录的数据访问请求;所述数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息;
判断所述发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配;
若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致,允许所述发起数据访问请求的应用访问所述加密目录中的相应加密数据的明文,且不允许所述发起数据访问请求的应用访问所述加密目录中的不相应加密数据的明文;
其中,所述数据加密策略还包括加密算法以及密码,若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致,以所述加密算法为解密依据利用所述密码对所述加密数据进行解密以获得所述加密数据的明文;
所述应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。
3.一种数据访问装置,其特征在于,包括:
数据访问请求接收模块,用于接收对安卓系统的内核空间中加密目录的数据访问请求;所述数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息,所述加密数据存储在安卓系统的内核空间的加密目录中;
标识信息判断模块,用于判断所述发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配,所述数据加密策略具有安卓系统签名,所述数据加密策略包括至少三项内容之间的关联关系信息,所述三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息;
数据访问控制模块,用于若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致,允许所述发起数据访问请求的应用访问所述加密目录中的相应加密数据的明文,且不允许所述发起数据访问请求的应用访问所述加密目录中的不相应加密数据的明文;
其中,所述数据加密策略还包括加密算法以及密码,若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致,以所述加密算法为解密依据利用所述密码对所述加密数据进行解密以获得所述加密数据的明文;
所述应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。
4.一种数据加密、存储及访问装置,其特征在于,包括:
数据加密模块,用于在安卓系统的内核空间中对数据进行加密以获得加密数据;
数据存储模块,用于将所述加密数据存入所述安卓系统的内核空间的加密目录中;
策略生成模块,用于生成数据加密策略;所述数据加密策略具有安卓系统签名,所述数据加密策略包括至少三项内容之间的关联关系信息,所述三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息;
数据访问请求接收模块,用于接收对安卓系统的内核空间中加密目录的数据访问请求;所述数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息;
标识信息判断模块,用于判断所述发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配;
数据访问控制模块,用于若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致,允许所述发起数据访问请求的应用访问所述加密目录中的相应加密数据的明文,且不允许所述发起数据访问请求的应用访问所述加密目录中的不相应加密数据的明文;
其中,所述数据加密策略还包括加密算法以及密码,若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致,以所述加密算法为解密依据利用所述密码对所述加密数据进行解密以获得所述加密数据的明文;
所述应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310157076.0A CN104123506B (zh) | 2013-04-28 | 2013-04-28 | 数据访问方法、装置、数据加密、存储及访问方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310157076.0A CN104123506B (zh) | 2013-04-28 | 2013-04-28 | 数据访问方法、装置、数据加密、存储及访问方法、装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104123506A CN104123506A (zh) | 2014-10-29 |
| CN104123506B true CN104123506B (zh) | 2018-03-09 |
Family
ID=51768914
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310157076.0A Active CN104123506B (zh) | 2013-04-28 | 2013-04-28 | 数据访问方法、装置、数据加密、存储及访问方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104123506B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105205413B (zh) * | 2015-10-26 | 2018-05-18 | 青岛海信移动通信技术股份有限公司 | 一种数据的保护方法及装置 |
| CN106886715A (zh) * | 2015-12-15 | 2017-06-23 | 北京奇虎科技有限公司 | 权限请求响应方法及相应的装置 |
| CN105631293A (zh) * | 2015-12-29 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 数据访问方法、数据访问系统和终端 |
| CN106407835A (zh) * | 2016-08-29 | 2017-02-15 | 北京元心科技有限公司 | 移动终端、数据保护方法及装置 |
| CN106503580A (zh) * | 2016-10-13 | 2017-03-15 | 深圳市金立通信设备有限公司 | 一种隐私数据的保护方法及终端 |
| CN106535180B (zh) * | 2016-11-30 | 2020-01-03 | 广州宇雷信息技术有限公司 | 一种移动终端安全上网的方法及设备 |
| CN106790178B (zh) * | 2016-12-30 | 2019-10-25 | 网宿科技股份有限公司 | 防入侵认证方法、系统及装置 |
| CN110059499A (zh) * | 2019-03-22 | 2019-07-26 | 华为技术有限公司 | 一种文件访问权限认证方法及电子设备 |
| CN114039736B (zh) * | 2020-07-20 | 2023-01-06 | 广州汽车集团股份有限公司 | 一种动态加载加密引擎的方法 |
| CN113656376B (zh) * | 2021-08-19 | 2023-12-01 | 平安科技(上海)有限公司 | 一种数据处理方法、装置及计算机设备 |
| CN114580005B (zh) * | 2022-05-09 | 2023-02-28 | 深圳市航顺芯片技术研发有限公司 | 数据访问方法、计算机设备及可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102495986A (zh) * | 2011-12-15 | 2012-06-13 | 上海中标凌巧软件科技有限公司 | 计算机系统中实现避免加密数据被盗用的调用控制方法 |
| CN102664903A (zh) * | 2012-05-16 | 2012-09-12 | 李明 | 一种网络用户验证方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8799680B2 (en) * | 2005-09-15 | 2014-08-05 | Microsoft Corporation | Transactional sealed storage |
-
2013
- 2013-04-28 CN CN201310157076.0A patent/CN104123506B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102495986A (zh) * | 2011-12-15 | 2012-06-13 | 上海中标凌巧软件科技有限公司 | 计算机系统中实现避免加密数据被盗用的调用控制方法 |
| CN102664903A (zh) * | 2012-05-16 | 2012-09-12 | 李明 | 一种网络用户验证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104123506A (zh) | 2014-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104123506B (zh) | 数据访问方法、装置、数据加密、存储及访问方法、装置 | |
| CN106301774B (zh) | 安全芯片、其加密密钥生成方法和加密方法 | |
| CN101196855B (zh) | 移动加密存储设备及密文存储区数据加解密处理方法 | |
| CN100533459C (zh) | 数据安全读取方法及其安全存储装置 | |
| US20050235143A1 (en) | Mobile network authentication for protection stored content | |
| CN1889426B (zh) | 一种实现网络安全存储与访问的方法及系统 | |
| CN110417750A (zh) | 基于区块链技术的文件读取和存储的方法、终端设备和存储介质 | |
| CN103812649B (zh) | 机卡接口的安全访问控制方法与系统、手机终端 | |
| CN103502994A (zh) | 用于处理隐私数据的方法 | |
| WO2006109307A2 (en) | Method, device, and system of selectively accessing data | |
| CN102915263A (zh) | 一种数据备份方法、系统和设备 | |
| WO2013182154A1 (zh) | 一种对通讯终端上应用程序加、解密的方法、系统和终端 | |
| CN109412812A (zh) | 数据安全处理系统、方法、装置和存储介质 | |
| CN101720071A (zh) | 基于安全sim卡的短消息两阶段加密传输和安全存储方法 | |
| CN101122942A (zh) | 数据安全读取方法及其安全存储装置 | |
| CN103268456A (zh) | 一种文件安全控制方法及装置 | |
| CN104281272B (zh) | 密码输入处理方法及装置 | |
| CN109903052A (zh) | 一种区块链签名方法和移动设备 | |
| CN104333545A (zh) | 对云存储文件数据进行加密的方法 | |
| CN104463584B (zh) | 实现移动端App安全支付的方法 | |
| CN114567470A (zh) | 一种基于sdk的多系统下密钥拆分验证系统及方法 | |
| CN104333452A (zh) | 一种对文件数据多账户加密的方法 | |
| CN112507296A (zh) | 一种基于区块链的用户登录验证方法及系统 | |
| CN104994498B (zh) | 一种终端应用与手机卡应用交互的方法及系统 | |
| CN107844707A (zh) | 一种卡数据管理方法以及卡数据管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |