CN106778337B - 文件保护方法、装置及终端 - Google Patents
文件保护方法、装置及终端 Download PDFInfo
- Publication number
- CN106778337B CN106778337B CN201611084192.4A CN201611084192A CN106778337B CN 106778337 B CN106778337 B CN 106778337B CN 201611084192 A CN201611084192 A CN 201611084192A CN 106778337 B CN106778337 B CN 106778337B
- Authority
- CN
- China
- Prior art keywords
- file
- private file
- memory space
- private
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 155
- 230000008569 process Effects 0.000 claims abstract description 118
- 238000012545 processing Methods 0.000 claims description 10
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 10
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 12
- 238000009434 installation Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000006854 communication Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 239000011800 void material Substances 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种文件保护方法、装置及终端。所述文件保护方法包括:根据预设区分条件将应用文件划分为隐私文件和非隐私文件,将所述隐私文件存储至第一存储存储空间,以及将所述非隐私文件存储至第二存储空间,将所述第一存储空间中的隐私文件进行隐藏,并对应生成虚拟隐私文件,当接收到应用进程调用所述隐私文件的指令时,控制所述虚拟隐私文件被调用。本发明实施例在第一存储空间中虚拟出对应的虚拟隐私文件,以供其他应用进程的调用,以防止隐私文件的泄露,保护用户的隐私文件,提高文件存储的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种文件保护方法、装置及终端。
背景技术
随着移动终端的应用越来越普及,在给用户带来方便的同时,也给用户会带来困扰。例如应用文件中的通讯录、应用账号、密码等隐私文件的泄露仍是用户担心的主要安全问题。应用程序在安装及使用过程中涉及到相关应用文件,该应用文件包括应用账号、密码、通信记录、使用信息等隐私文件,还包括临时文件、注册表等非隐私文件,上述应用文件都存储在用户空间内,一旦用户空间被恶意进程入侵,则可能会导致隐私文件的泄露,从而使得用户的隐私或重要文件失去安全保障,文件存储安全性差。故,需进一步改进。
发明内容
本发明提供一种文件保护方法、装置及终端,可以对用户空间中的隐私文件进行保护,提高文件存储的安全性。
本发明实施例提供一种文件保护方法,所述方法包括:
根据预设区分条件将应用文件划分为隐私文件和非隐私文件;
将所述隐私文件存储至第一存储存储空间,以及将所述非隐私文件存储至第二存储空间,所述第一存储空间的密级高于所述第二存储空间的密级;
将所述第一存储空间中的隐私文件进行隐藏,并对应生成虚拟隐私文件;
当接收到应用进程调用所述隐私文件的指令时,所述虚拟隐私文件被调用。
本发明实施例还提供一种文件保护装置,所述装置包括:
文件划分模块,用于根据预设区分条件将应用文件划分为隐私文件和非隐私文件;
存储模块,用于将所述隐私文件存储至第一存储存储空间,以及将所述非隐私文件存储至第二存储空间,所述第一存储空间的密级高于所述第二存储空间的密级;
隐藏模块,用于将所述第一存储空间中的隐私文件进行隐藏,并对应生成虚拟隐私文件;
调用模块,用于当接收到应用进程调用所述隐私文件的指令时,所述虚拟隐私文件被调用。
本发明实施例还提供一种终端,包括:存储器和处理器,所述处理器与所述存储器耦合,其中,所述处理器调用所述存储器中存储的所述可执行程序代码,执行本发明任一实施例所述的文件保护方法。
本发明实施例根据预设区分条件将应用文件划分为隐私文件和非隐私文件,将所述隐私文件存储至第一存储存储空间,以及将所述非隐私文件存储至第二存储空间,所述第一存储空间的密级高于所述第二存储空间的密级,将所述第一存储空间中的隐私文件进行隐藏,并对应生成虚拟隐私文件,当接收到应用进程调用所述隐私文件的指令时,所述虚拟隐私文件被调用。本发明实施例在第一存储空间中虚拟出对应的虚拟隐私文件,以供其他应用进程的调用,以防止隐私文件的泄露,保护用户的隐私文件,提高文件存储的安全性。
附图说明
下面结合附图,通过对本发明的具体实施方式详细描述,将使本发明的技术方案及其它有益效果显而易见。
图1为本发明实施例提供的一种文件保护方法的流程示意图。
图2为本发明实施例提供的一种文件保护方法的另一流程示意图。
图3为本发明实施例提供的一种文件保护方法的又一流程示意图。
图4为本发明实施例提供的一种文件保护系统结构示意图。
图5为本发明实施例提供的一种文件保护装置的结构示意图。
图6为本发明实施例提供的一种终端的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。可以理解的是,此处所描述的具体实施例仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中的术语“第一”、“第二”和“第三”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
本发明实施例提供的一种文件保护方法的执行主体,可以为本发明实施例提供的一种文件保护装置,或者集成了所述文件保护装置的终端(譬如台式电脑、笔记本、掌上电脑、平板电脑、智能手机等),所述文件保护装置可以采用硬件或者软件的方式实现。
请参阅图1,图1为本发明实施例提供的一种文件保护方法的流程示意图。所述方法包括:
步骤S101,根据预设区分条件将应用文件划分为隐私文件和非隐私文件。
可以理解的是,应用程序在安装、更新或者运行的过程中会产生应用文件,所述应用文件包括临时文件、注册表、通讯录、应用账号、密码、支付凭证等,其中有些应用文件涉及到用户的隐私信息或者重要信息,可以通过预设关键字来将所述应用文件划分为隐私文件和非隐私文件。比如预设关键字可以包括通信录、联系人、应用账号、密码、支付等关键字或者关键词,将包含有预设关键字的应用文件区分为隐私文件,其他未将包含有预设关键字的应用文件区分为非隐私文件。
一些实施方式中,当以身份验证的方式运行应用程序而生成应用文件时,将所述应用文件划分为隐私文件。
例如,当用户运行支付应用时,通过指纹验证生成用于支付的二维识别码,所述二维识别码可保存在终端中,用于离线支付,则将所述二维识别码划分为隐私文件。
步骤S102,将所述隐私文件存储至第一存储存储空间,以及将所述非隐私文件存储至第二存储空间,所述第一存储空间的密级高于所述第二存储空间的密级。
可以理解的是,终端设备中的存储系统包括内核空间和用户空间。其中,内核空间用于存储内核代码和数据,用户空间用于存储应用程序的代码和数据。内核空间和用户空间可以通过系统的调用进行通信。进一步的,将所述用户空间重新分区,划分为第一存储空间和第二存储空间,其中所述第一存储空间与所述第二存储空间进行物理空间隔离设置。其中所述第一存储空间用于存储应用文件中的隐私文件,所述第二存储空间用于存储应用文件中的非隐私文件。所述第一存储空间的密级高于所述第二存储空间的密级。
步骤S103,将所述第一存储空间中的隐私文件进行隐藏,并对应生成虚拟隐私文件。
比如,将所述第一存储空间中的包括访问联系人、通话记录、短信等隐私文件进行隐藏,并所述第一存储空间内会将所述隐私文件进行虚拟化,以生成虚拟的联系人、通话记录、短信等虚拟隐私文件,例如将真实的联系人虚拟为虚拟的张三或李四进行调用,从而保护了第一存储空间内的隐私文件。
步骤S104,当接收到应用进程调用所述隐私文件的指令时,所述虚拟隐私文件被调用。
比如,接收到某个应用进程调用存储在第一存储空间中的联系人的指令时,调用虚拟的联系人张三,以使得应用进程获取的到隐私文件是虚拟的内容,从而保护了第一存储空间内的隐私文件。
本发明实施例根据预设区分条件将应用文件划分为隐私文件和非隐私文件,将所述隐私文件存储至第一存储存储空间,以及将所述非隐私文件存储至第二存储空间,所述第一存储空间的密级高于所述第二存储空间的密级,将所述第一存储空间中的隐私文件进行隐藏,并对应生成虚拟隐私文件,当接收到应用进程调用所述隐私文件的指令时,控制所述虚拟隐私文件被调用。本发明实施例在第一存储空间中的虚拟出对应的虚拟隐私文件,以供其他应用进程的调用,以防止隐私文件的泄露,保护用户的隐私文件,提高文件存储的安全性。
请参阅图2,图2为本发明实施例提供的一种文件保护方法的另一流程示意图。所述方法包括:
步骤S201,根据预设区分条件将应用文件划分为隐私文件和非隐私文件。
可以理解的是,应用程序在安装、更新或者运行的过程中会产生应用文件,所述应用文件包括临时文件、注册表、通讯录、应用账号、密码、支付凭证等,其中有些应用文件涉及到用户的隐私信息或者重要信息,可以通过预设关键字来将所述应用文件划分为隐私文件和非隐私文件。比如预设关键字可以包括通信录、联系人、应用账号、密码、支付等关键字或者关键词,将包含有预设关键字的应用文件区分为隐私文件,其他未将包含有预设关键字的应用文件区分为非隐私文件。
一些实施方式中,当以身份验证的方式运行应用程序而生成应用文件时,将所述应用文件划分为隐私文件。
例如,当用户运行支付应用时,通过指纹验证生成用于支付的二维识别码,所述二维识别码可保存在终端中,用于离线支付,则将所述二维识别码划分为隐私文件。
步骤S202,将所述隐私文件存储至第一存储存储空间,以及将所述非隐私文件存储至第二存储空间,所述第一存储空间的密级高于所述第二存储空间的密级。
可以理解的是,终端设备中的存储系统包括内核空间和用户空间。其中,内核空间用于存储内核代码和数据,用户空间用于存储应用程序的代码和数据。内核空间和用户空间可以通过系统的调用进行通信。进一步的,将所述用户空间重新分区,划分为第一存储空间和第二存储空间,其中所述第一存储空间与所述第二存储空间进行物理空间隔离设置。其中所述第一存储空间用于存储应用文件中的隐私文件,所述第二存储空间用于存储应用文件中的非隐私文件。所述第一存储空间的密级高于所述第二存储空间的密级。
步骤S203,将所述第一存储空间中的隐私文件进行加密,并对应生成加密隐私文件。
比如,可以按照预设加密算法将所述第一存储空间中的隐私文件进行加密,比如所述预设加密算法可以为哈希运算,所述预设加密算法存储于内核空间中,进行加密后生成的加密隐私文件存储于用户安全空间中。
一些实施方式中,也可以将所述第一存储空间中的包括访问联系人、通话记录、短信等隐私文件进行隐藏之后,再按照预设加密算法将所述第一存储空间中的隐私文件进行加密,比如所述预设加密算法可以为哈希运算,所述预设加密算法存储于内核空间中,进行加密后生成的加密隐私文件存储于用户安全空间中。
步骤S204,当接收到应用进程调用所述隐私文件的指令时,且通过身份验证后,对所述加密隐私文件进行解密并将所述解密的隐私文件返回至所述应用进程。
比如,接收到某个应用进程调用存储在第一存储空间中的联系人的指令时,进行身份验证,当通过未身份验证时,调用加密隐私文件,此时应用进程获取的是加密后的隐私文件,只有当应用进程再进行解密验证以通过解密验证之后才能查看到隐私文件。或者当通过身份验证时,对所述加密隐私文件进行解密并将所述解密的隐私文件返回至所述应用进程,此时应用进程获取的是解密后的隐私文件,可以直接查看到所述隐私文件。
本发明实施例根据预设区分条件将应用文件划分为隐私文件和非隐私文件,将所述隐私文件存储至第一存储存储空间,以及将所述非隐私文件存储至第二存储空间,所述第一存储空间的密级高于所述第二存储空间的密级,将所述第一存储空间中的隐私文件进行加密,并对应生成加密隐私文件,当接收到应用进程调用所述隐私文件的指令时,且通过身份验证后,对所述加密隐私文件进行解密并将所述解密的隐私文件返回至所述应用进程。本发明实施例在第一存储空间中进行加密并生成对应的加密隐私文件,以供其他应用进程的调用,只有具备解密权限的应用进程才能查看到隐私文件,以防止隐私文件的泄露,保护用户的隐私文件,提高文件存储的安全性。
请参阅图3,图3为本发明实施例提供的一种文件保护方法的又一流程示意图。所述方法包括:
步骤S301,根据预设区分条件将应用文件划分为隐私文件和非隐私文件。
可以理解的是,应用程序在安装、更新或者运行的过程中会产生应用文件,所述应用文件包括临时文件、注册表、通讯录、应用账号、密码、支付凭证等,其中有些应用文件涉及到用户的隐私信息或者重要信息,可以通过预设关键字来将所述应用文件划分为隐私文件和非隐私文件。比如预设关键字可以包括通信录、联系人、应用账号、密码、支付等关键字或者关键词,将包含有预设关键字的应用文件区分为隐私文件,其他未将包含有预设关键字的应用文件区分为非隐私文件。
一些实施方式中,当以身份验证的方式运行应用程序而生成应用文件时,将所述应用文件划分为隐私文件。
例如,当用户运行支付应用时,通过指纹验证生成用于支付的二维识别码,所述二维识别码可保存在终端中,用于离线支付,则将所述二维识别码划分为隐私文件。
步骤S302,将所述隐私文件存储至第一存储存储空间,以及将所述非隐私文件存储至第二存储空间,所述第一存储空间的密级高于所述第二存储空间的密级。
可以理解的是,终端设备中的存储系统包括内核空间和用户空间。其中,内核空间用于存储内核代码和数据,用户空间用于存储应用程序的代码和数据。内核空间和用户空间可以通过系统的调用进行通信。进一步的,将所述用户空间重新分区,划分为第一存储空间和第二存储空间,其中所述第一存储空间与所述第二存储空间进行物理空间隔离设置。其中所述第一存储空间用于存储应用文件中的隐私文件,所述第二存储空间用于存储应用文件中的非隐私文件。所述第一存储空间的密级高于所述第二存储空间的密级。
步骤S303,将所述第一存储空间中的隐私文件进行隐藏,并对应生成虚拟隐私文件。
比如,将所述第一存储空间中的包括访问联系人、通话记录、短信等隐私文件进行隐藏,并所述第一存储空间内会将所述隐私文件进行虚拟化,以生成虚拟的联系人、通话记录、短信等虚拟隐私文件,例如将真实的联系人虚拟为虚拟的张三或李四进行调用,从而保护了第一存储空间内的隐私文件。
一些实施方式中,可以将所述第一存储空间中的隐私文件进行镜像处理,并将生成的镜像文件设置为预设虚拟文件,以供应用进程的调用。
一些实施方式中,也可以将所述第一存储空间中的隐私文件进行加密,并对应生成加密隐私文件,以供应用进程的调用。
一些实施方式中,也可以将所述第一存储空间中的隐私文件进行虚拟化,并对应生成虚拟隐私文件,同时将所述隐私文件进行加密,然在应用进程进行调用时,同时将加密的隐私文件及虚拟隐私文件进行输出。当应用进程通过密码验证之后可以查看隐私文件,当应用进程未通过密码验证时只能查看虚拟隐私文件。
一些实施方式中,可以在对隐私文件机进行处理之前,断开所述第一存储空间与网络的连接,使得隐私文件的隐藏操作以及虚拟化操作运行在离线环境中,以防止恶意进程强行窃取隐私文件并向外传送。
步骤S304,当接收到应用进程调用所述隐私文件的指令时,判断所述应用进程是否具备安全调用权限。若是,则执行步骤S305;若否,则执行步骤S306。
可以理解的是,当接收到应用进程调用所述隐私文件的指令时,可以通过判断所述应用进程是否携带有恶意程序、木马程序等黑名单程序,若是,则判定所述应用进程不具备安全调用权限,则执行步骤S306;若否,则判定所述应用进程具备安全调用权限,则执行步骤S305。也可以在应用进程调用隐私文件时进行密码验证,当通过密码验证时判定所述应用进程具备安全调用权限。
步骤S305,所述隐私文件被调用。
比如,当所述应用进程具备安全调用权限时,说明所述应用进程调用所述隐私文件的指令不存在安全隐患,可以直接调用所述隐私文件。
步骤S306,禁止所述应用进程访问所述第一存储空间。
比如,当所述应用进程不具备安全调用权限时,说明所述应用进程调用所述隐私文件的指令存在安全隐患,可以直接禁止所述应用进程访问所述第一存储空间。
一些实施方式中,也可以在禁止所述应用进程访问所述第一存储空间后,所述第一存储空间将生成的虚拟隐私文件输出至第二存储空间中,以供所述应用进程调用所述虚拟隐私文件。
比如,某个应用进程在响应调用联系人的指令时,检测到所述应用进程携带有攻击性代码,确定为不具备安全调用权限,则禁止所述应用进程访问所述第一存储空间后,所述第一存储空间将生成的虚拟隐私文件输出至第二存储空间,以使所述应用进程仅能访问及调用所述第二存储空间中的虚拟的联系人张三,以使得应用进程获取的到隐私文件是虚拟的内容,并且禁止访问第一存储空间以确保第一存储空间的运行环境安全性,从而保护了第一存储空间内的隐私文件。
本发明实施例根据预设区分条件将应用文件划分为隐私文件和非隐私文件,将所述隐私文件存储至第一存储存储空间,以及将所述非隐私文件存储至第二存储空间,所述第一存储空间的密级高于所述第二存储空间的密级,将所述第一存储空间中的隐私文件进行隐藏,并对应生成虚拟隐私文件,当接收到应用进程调用所述隐私文件的指令时,当判断所述应用进程不具备安全调用权限,禁止所述应用进程访问所述第一存储空间。本发明实施例在应用进程调用隐私文件时,当判断出应用进程不具备安全调用权限时,禁止所述应用进程访问所述第一存储空间,以确保第一存储空间的运行环境安全性,以防止隐私文件的泄露,保护用户的隐私文件,提高文件存储的安全性。
请参阅图4,图4为本发明实施例提供的一种文件保护系统结构示意图。
以Linux操作系统为例,Linux是一套免费使用和自由传播的类UNIX(尤尼斯)操作系统,是一个基于POSIX(可移植操作系统接口)和UNIX的多用户、多任务、支持多线程和多CPU(Central Processing Unit,中央处理器)的操作系统。所述文件保护系统包括内核空间和用户空间。其中,内核空间用于存储内核代码和数据,用户空间用于存储应用程序的代码和数据。内核空间和用户空间可以通过系统的调用进行通信。进一步的,将所述用户空间重新分区,划分为第一存储空间和第二存储空间。当应用程序在用户空间中产生应用文件时,将应用文件中的隐私文件产生至第一存储空间,将应用文件中的非隐私文件产生至第二存储空间。其中,所述第一存储空间与所述第二存储空间之间存在空间上的隔离,两者之间相互独立、互不干扰。
当内核空间中的应用进程进行系统调用时,应用进程发出调用隐私文件的指令,第一存储空间在接收到所述调用隐私文件的指令后,可以将隐私文件进行虚拟化,并对应生成虚拟隐私文件,使得应用进程调用虚拟隐私文件;例如,也可也将隐私文件进行加密,并对应生成加密隐私文件,使得应用进程调用加密隐私文件;从而保护了第一存储空间内的隐私文件。
本发明实施例还提供一种文件保护装置,如图5所示,图5为本发明实施例提供的一种文件保护装置的结构示意图。所述文件保护装置40包括文件划分模块41,存储模块42,隐藏模块43,加密模块44,判断模块45,调用模块46,以及禁止访问模块47。
其中,所述文件划分模块41,用于根据预设区分条件将所述应用文件划分为隐私文件和非隐私文件。
可以理解的是,应用程序在安装、更新或者运行的过程中会产生应用文件,所述应用文件包括临时文件、注册表、通讯录、应用账号、密码、支付凭证等,其中有些应用文件涉及到用户的隐私信息或者重要信息,可以通过预设关键字来将所述应用文件划分为隐私文件和非隐私文件。比如预设关键字可以包括通信录、联系人、应用账号、密码、支付等关键字或者关键词,所述文件划分模块41将包含有预设关键字的应用文件区分为隐私文件,其他未将包含有预设关键字的应用文件区分为非隐私文件。
一些实施方式中,所述文件划分模块41,还用于当以身份验证的方式运行应用程序而生成应用文件时,将所述应用文件划分为隐私文件。
例如,当用户运行支付应用时,通过指纹验证生成用于支付的二维识别码,所述二维识别码可保存在终端中,用于离线支付,则所述文件划分模块41将所述二维识别码划分为隐私文件。
所述存储模块42,用于将所述隐私文件存储至第一存储存储空间,以及将所述非隐私文件存储至第二存储空间,所述第一存储空间的密级高于所述第二存储空间的密级。
可以理解的是,终端设备中的存储系统包括内核空间和用户空间。其中,内核空间用于存储内核代码和数据,用户空间用于存储应用程序的代码和数据。内核空间和用户空间可以通过系统的调用进行通信。进一步的,将所述用户空间重新分区,划分为第一存储空间和第二存储空间,其中所述第一存储空间与所述第二存储空间进行物理空间隔离设置。其中所述第一存储空间用于存储应用文件中的隐私文件,所述第二存储空间用于存储应用文件中的非隐私文件。所述第一存储空间的密级高于所述第二存储空间的密级。
所述隐藏模块43,用于将所述第一存储空间中的隐私文件进行隐藏,并对应生成虚拟隐私文件。
比如,所述隐藏模块43将所述第一存储空间中的包括访问联系人、通话记录、短信等隐私文件进行隐藏,并所述第一存储空间内会将所述隐私文件进行虚拟化,以生成虚拟的联系人、通话记录、短信等虚拟隐私文件,例如将真实的联系人虚拟为虚拟的张三或李四进行调用,从而保护了第一存储空间内的隐私文件。
一些实施方式中,所述隐藏模块43,还用于将所述第一存储空间中的隐私文件进行隐藏及镜像处理,并将生成的镜像文件设置为预设虚拟文件。
一些实施方式中,所述隐藏模块43也可以将所述第一存储空间中的隐私文件进行加密,并对应生成加密隐私文件,以供应用进程的调用。
一些实施方式中,所述隐藏模块43也可以将所述第一存储空间中的隐私文件进行虚拟化,并对应生成虚拟隐私文件,同时将所述隐私文件进行加密,然在应用进程进行调用时,同时将加密的隐私文件及虚拟隐私文件进行输出。当应用进程通过密码验证之后可以查看隐私文件,当应用进程未通过密码验证时只能查看虚拟隐私文件。
一些实施方式中,可以在对隐私文件机进行处理之前,断开所述第一存储空间与网络的连接,使得隐私文件的隐藏操作以及虚拟化操作运行在离线环境中,以防止恶意进程强行窃取隐私文件并向外传送。
所述调用模块46,用于当接收到应用进程调用所述隐私文件的指令时,所述虚拟隐私文件被调用。
一些实施方式中,所述加密模块44,用于将所述第一存储空间中的隐私文件进行加密,并对应生成加密隐私文件。
所述调用模块46,还用于当接收到应用进程调用所述隐私文件的指令时,且通过身份验证后,对所述加密隐私文件进行解密并将所述解密的隐私文件返回至所述应用进程。
比如,所述加密模块44可以按照预设加密算法将所述第一存储空间中的隐私文件进行加密,比如所述预设加密算法可以为哈希运算,所述预设加密算法存储于内核空间中,进行加密后生成的加密隐私文件存储于用户安全空间中。
一些实施方式中,所述隐藏模块43也可以将所述第一存储空间中的包括访问联系人、通话记录、短信等隐私文件进行隐藏之后,所述加密模块44再按照预设加密算法将所述第一存储空间中的隐私文件进行加密,比如所述预设加密算法可以为哈希运算,所述预设加密算法存储于内核空间中,进行加密后生成的加密隐私文件存储于用户安全空间中。
比如,接收到某个应用进程调用存储在第一存储空间中的联系人的指令时,进行身份验证,当通过未身份验证时,所述调用模块46调用加密隐私文件,此时应用进程获取的是加密后的隐私文件,只有当应用进程再进行解密验证以通过解密验证之后才能查看到隐私文件。或者当通过身份验证时,所述调用模块47对所述加密隐私文件进行解密并将所述解密的隐私文件返回至所述应用进程,此时应用进程获取的是解密后的隐私文件,可以直接查看到所述隐私文件。
一些实施方式中,所述判断模块45,用于判断所述应用进程是否具备安全调用权限。
可以理解的是,当接收到应用进程调用所述隐私文件的指令时,所述判断模块45可以通过判断所述应用进程是否携带有恶意程序、木马程序等黑名单程序,若是,则判定所述应用进程不具备安全调用权限;若否,则判定所述应用进程具备安全调用权限。也可以在应用进程调用隐私文件时进行密码验证,当通过密码验证时所述判断模块45判定所述应用进程具备安全调用权限。
一些实施方式中,所述调用模块46,用于当所述应用进程具备安全调用权限时,调用所述隐私文件。
所述禁止访问模块47,禁止所述应用进程访问所述第一存储空间。
比如,当所述应用进程不具备安全调用权限时,说明所述应用进程调用所述隐私文件的指令存在安全隐患,所述禁止访问模块47可以直接禁止所述应用进程访问所述第一存储空间。
一些实施方式中,也可以在所述禁止访问模块47禁止所述应用进程访问所述第一存储空间后,所述第一存储空间将生成的虚拟隐私文件输出至第二存储空间中,以供所述应用进程调用所述虚拟隐私文件。
比如,某个应用进程在响应调用联系人的指令时,检测到所述应用进程携带有攻击性代码,确定为不具备安全调用权限,则所述禁止访问模块47禁止所述应用进程访问所述第一存储空间,所述第一存储空间将生成的虚拟隐私文件输出至第二存储空间,以使所述应用进程仅能访问及调用所述第二存储空间中的虚拟的联系人张三,以使得应用进程获取的到隐私文件是虚拟的内容,并且禁止访问第一存储空间以确保第一存储空间的运行环境安全性,从而保护了第一存储空间内的隐私文件。
本发明实施例还提供一种终端,如图6所示,图6为本发明实施例提供的一种终端的结构示意图。该终端500可以包括射频(RF,Radio Frequency)电路501、包括有一个或一个以上计算机可读存储介质的存储器502、输入单元503、显示单元504、传感器505、音频电路506、无线保真(WiFi,Wireless Fidelity)模块507、包括有一个或者一个以上处理核心的处理器508、以及电源509等部件。本领域技术人员可以理解,图6中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
射频电路501可用于收发信息,或通话过程中信号的接收和发送。
存储器502可用于存储应用程序和数据。存储器502存储的应用程序中包含有可执行程序代码。
输入单元503可用于接收输入的数字、字符信息或用户特征信息(比如指纹),以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
显示单元504可用于显示由用户输入的信息或提供给用户的信息以及终端的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。
终端还可包括至少一种传感器505,比如光传感器、运动传感器以及其他传感器。
音频电路506可通过扬声器、传声器提供用户与终端之间的音频接口。
无线保真(WiFi)模块507可用于短距离无线传输,可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。
处理器508是终端的控制中心,利用各种接口和线路连接整个终端的各个部分,通过运行或执行存储在存储器502内的应用程序,以及调用存储在存储器502内的数据,执行终端的各种功能和处理数据,从而对终端进行整体监控。
终端还包括给各个部件供电的电源509(比如电池)。
尽管图6中未示出,终端还可以包括摄像头、蓝牙模块等,在此不再赘述。
具体在本实施例中,终端中的处理器508会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行程序代码加载到存储器502中,并由处理器508来运行存储在存储器502中的应用程序,执行如下操作:
根据预设区分条件将应用文件划分为隐私文件和非隐私文件;
将所述隐私文件存储至第一存储存储空间,以及将所述非隐私文件存储至第二存储空间,所述第一存储空间的密级高于所述第二存储空间的密级;
将所述第一存储空间中的隐私文件进行隐藏,并对应生成虚拟隐私文件;
当接收到应用进程调用所述隐私文件的指令时,控制所述虚拟隐私文件被调用。
一些实施方式中,处理器508在用于在所述将所述第一存储空间中的隐私文件进行隐藏的同时,还包括:
将所述第一存储空间中的隐私文件进行加密,并对应生成加密隐私文件;
当接收到应用进程调用所述隐私文件的指令,且通过身份验证后,对所述加密隐私文件进行解密并将所述解密的隐私文件返回至所述应用进程。
一些实施方式中,处理器508用于所述将所述第一存储空间中的隐私文件进行隐藏,并对应生成虚拟隐私文件,包括:
将所述第一存储空间中的隐私文件进行隐藏及镜像处理,并将生成的镜像文件设置为预设虚拟文件,以对应生成虚拟隐私文件。
一些实施方式中,处理器508用于所述根据预设区分条件将应用文件划分为隐私文件和非隐私文件,还包括:
当以身份验证的方式运行应用程序而生成应用文件时,将所述应用文件划分为隐私文件。
一些实施方式中,处理器508用于在所述当接收到应用进程调用所述隐私文件的指令时,还包括:
判断所述应用进程是否具备安全调用权限;
当所述应用进程不具备安全调用权限时,禁止所述应用进程访问所述第一存储空间。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
本发明实施例中,所述文件保护装置与上文实施例中的一种文件保护方法属于同一构思,在所述文件保护装置上可以运行所述文件保护方法实施例中提供的任一方法,其具体实现过程详见所述文件保护方法实施例,此处不再赘述。
需要说明的是,对本发明所述文件保护方法而言,本领域普通测试人员可以理解实现本发明实施例所述文件保护方法的全部或部分流程,是可以通过计算机程序来控制相关的硬件来完成,所述计算机程序可存储于一计算机可读取存储介质中,如存储在终端的存储器中,并被该终端内的至少一个处理器执行,在执行过程中可包括如所述文件保护方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储器(ROM,Read OnlyMemory)、随机存取记忆体(RAM,Random Access Memory)等。
对本发明实施例的所述文件保护装置而言,其各功能模块可以集成在一个处理芯片中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中,所述存储介质譬如为只读存储器,磁盘或光盘等。
以上对本发明实施例所提供的一种文件保护方法、装置及终端进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想;本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同设置;而这些修改或者设置,并不使相应技术方案的本质脱离本发明各实施例的技术方案的范围。
Claims (12)
1.一种文件保护方法,其特征在于,所述方法包括:
根据预设区分条件将同一应用程序下应用文件划分为隐私文件和非隐私文件;
将所述隐私文件存储至第一存储空间,以及将所述非隐私文件存储至第二存储空间,所述第一存储空间的密级高于所述第二存储空间的密级;
将所述第一存储空间中的隐私文件进行隐藏,并对应生成虚拟隐私文件;
当接收到应用进程调用所述隐私文件的指令时,判断所述应用进程是否携带有黑名单程序,所述黑名单程序包括恶意程序和木马程序,若是,则判定所述应用进程不具备安全调用权限,所述虚拟隐私文件被调用。
2.根据权利要求1所述的文件保护方法,其特征在于,在所述将所述第一存储空间中的隐私文件进行隐藏的同时,还包括:
将所述第一存储空间中的隐私文件进行加密,并对应生成加密隐私文件;
当接收到应用进程调用所述隐私文件的指令,且通过身份验证后,对所述加密隐私文件进行解密并将所述解密的隐私文件返回至所述应用进程。
3.根据权利要求1所述的文件保护方法,其特征在于,所述将所述第一存储空间中的隐私文件进行隐藏,并对应生成虚拟隐私文件,包括:
将所述第一存储空间中的隐私文件进行隐藏及镜像处理,并将生成的镜像文件设置为预设虚拟文件。
4.根据权利要求1-3任一项所述的文件保护方法,其特征在于,所述根据预设区分条件将应用文件划分为隐私文件和非隐私文件,还包括:
当以身份验证的方式运行应用程序而生成应用文件时,将所述应用文件划分为隐私文件。
5.根据权利要求1-3任一项所述的文件保护方法,其特征在于,在所述当接收到应用进程调用所述隐私文件的指令时,还包括:
判断所述应用进程是否具备安全调用权限;
当所述应用进程不具备安全调用权限时,禁止所述应用进程访问所述第一存储空间。
6.一种文件保护装置,其特征在于,所述装置包括:
文件划分模块,用于根据预设区分条件将同一应用程序下应用文件划分为隐私文件和非隐私文件;
存储模块,用于将所述隐私文件存储至第一存储空间,以及将所述非隐私文件存储至第二存储空间,所述第一存储空间的密级高于所述第二存储空间的密级;
隐藏模块,用于将所述第一存储空间中的隐私文件进行隐藏,并对应生成虚拟隐私文件;
调用模块,用于当接收到应用进程调用所述隐私文件的指令时,判断所述应用进程是否携带有黑名单程序,所述黑名单程序包括恶意程序和木马程序,若是,则判定所述应用进程不具备安全调用权限,所述虚拟隐私文件被调用。
7.根据权利要求6所述的文件保护装置,其特征在于,所述装置还包括:
加密模块,用于将所述第一存储空间中的隐私文件进行加密,并对应生成加密隐私文件;
所述调用模块,还用于当接收到应用进程调用所述隐私文件的指令时,且通过身份验证后,对所述加密隐私文件进行解密并将所述解密的隐私文件返回至所述应用进程。
8.根据权利要求6所述的文件保护装置,其特征在于,所述隐藏模块还用于将所述第一存储空间中的隐私文件进行隐藏及镜像处理,并将生成的镜像文件设置为预设虚拟文件。
9.根据权利要求6-8任一项所述的文件保护装置,其特征在于,所述文件划分模块,还用于当以身份验证的方式运行应用程序而生成应用文件时,将所述应用文件划分为隐私文件。
10.根据权利要求6-8任一项所述的文件保护装置,其特征在于,所述装置还包括:
判断模块,用于判断所述应用进程是否具备安全调用权限;
禁止访问模块,用于当时所述应用进程不具备安全调用权限,禁止所述应用进程访问所述第一存储空间。
11.一种终端,其特征在于,包括:存储器和处理器,所述处理器与所述存储器耦合,其中,所述处理器调用所述存储器中存储的可执行程序代码,执行如权利要求1至5任一项所述的文件保护方法。
12.一种存储介质,存储有多条指令,其特征在于,所述指令适于由处理器加载并执行如权利要求1-5任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611084192.4A CN106778337B (zh) | 2016-11-30 | 2016-11-30 | 文件保护方法、装置及终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611084192.4A CN106778337B (zh) | 2016-11-30 | 2016-11-30 | 文件保护方法、装置及终端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106778337A CN106778337A (zh) | 2017-05-31 |
CN106778337B true CN106778337B (zh) | 2019-12-03 |
Family
ID=58915029
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611084192.4A Expired - Fee Related CN106778337B (zh) | 2016-11-30 | 2016-11-30 | 文件保护方法、装置及终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106778337B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108121913A (zh) * | 2017-09-26 | 2018-06-05 | 江苏神州信源系统工程有限公司 | 一种操作管理方法及装置 |
CN107944292B (zh) * | 2017-11-15 | 2020-06-02 | 北京邮电大学 | 一种隐私数据保护方法及系统 |
CN109274649A (zh) * | 2018-08-30 | 2019-01-25 | 努比亚技术有限公司 | 一种数据保护方法、移动终端以及计算机存储介质 |
CN109753809B (zh) * | 2018-11-27 | 2021-07-06 | 国网浙江省电力有限公司 | 一种基于云存储系统的电网数据块分割方法 |
WO2021259065A1 (en) * | 2020-06-23 | 2021-12-30 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Method and system for securing one or more messages |
CN112579107A (zh) * | 2020-12-24 | 2021-03-30 | 深圳须弥云图空间科技有限公司 | 数据的隐藏及调用方法、装置、电子设备、可读存储介质 |
CN115296883A (zh) * | 2022-08-01 | 2022-11-04 | 杭州虎符网络有限公司 | 一种数据安全访问的方法、装置及电子设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103106372A (zh) * | 2013-01-17 | 2013-05-15 | 上海交通大学 | 用于Android系统的轻量级隐私数据加密方法及系统 |
CN104134042A (zh) * | 2013-07-18 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 一种隐私文件加密方法及装置 |
CN104657674A (zh) * | 2015-01-16 | 2015-05-27 | 北京邮电大学 | 一种手机中隐私数据的隔离保护系统及方法 |
CN104732162A (zh) * | 2015-04-02 | 2015-06-24 | 努比亚技术有限公司 | 文件的加密处理方法及装置 |
CN104866783A (zh) * | 2015-06-15 | 2015-08-26 | 联想(北京)有限公司 | 一种文件存储方法及装置 |
-
2016
- 2016-11-30 CN CN201611084192.4A patent/CN106778337B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103106372A (zh) * | 2013-01-17 | 2013-05-15 | 上海交通大学 | 用于Android系统的轻量级隐私数据加密方法及系统 |
CN104134042A (zh) * | 2013-07-18 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 一种隐私文件加密方法及装置 |
CN104657674A (zh) * | 2015-01-16 | 2015-05-27 | 北京邮电大学 | 一种手机中隐私数据的隔离保护系统及方法 |
CN104732162A (zh) * | 2015-04-02 | 2015-06-24 | 努比亚技术有限公司 | 文件的加密处理方法及装置 |
CN104866783A (zh) * | 2015-06-15 | 2015-08-26 | 联想(北京)有限公司 | 一种文件存储方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN106778337A (zh) | 2017-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106778337B (zh) | 文件保护方法、装置及终端 | |
CN105391840B (zh) | 自动创建目标应用程序 | |
EP2795829B1 (en) | Cryptographic system and methodology for securing software cryptography | |
CN105493097B (zh) | 用于远程存储的数据的保护方案 | |
CN103353931B (zh) | 安全增强型计算机系统和方法 | |
US7503064B2 (en) | Framework for providing a security context and configurable firewall for computing systems | |
CN110059499A (zh) | 一种文件访问权限认证方法及电子设备 | |
US8656455B1 (en) | Managing data loss prevention policies | |
CN107038369A (zh) | 一种资源访问控制的方法及终端 | |
CN106921799A (zh) | 一种移动终端安全防护方法以及移动终端 | |
Bouazzouni et al. | Trusted mobile computing: An overview of existing solutions | |
CN107358114A (zh) | 一种防止用户数据丢失的方法及终端 | |
WO2016192453A1 (zh) | 一种安全控制方法、装置和终端 | |
JP5049185B2 (ja) | 情報セキュリティ装置、セキュリティシステム及び入力情報漏洩防止方法 | |
CN109657448A (zh) | 一种获取Root权限的方法、装置、电子设备及存储介质 | |
US20150264047A1 (en) | Method and system for providing secure communication between multiple operating systems in a communication device | |
CN104463013A (zh) | 移动终端及其数据加密方法 | |
US20170329963A1 (en) | Method for data protection using isolated environment in mobile device | |
CN109076054A (zh) | 用于管理单点登录应用程序的加密密钥的系统和方法 | |
CN110245495A (zh) | Bios校验方法、配置方法、设备及系统 | |
KR101518689B1 (ko) | 핵심 코드를 이용하여 응용 프로그램의 위변조 여부를 탐지하는 사용자 단말기 및 그것을 이용한 위변조 탐지 방법 | |
CN106685945A (zh) | 业务请求处理方法、业务办理号码的验证方法及其终端 | |
KR101566141B1 (ko) | 서명정보를 이용하여 응용 프로그램의 위변조 여부를 탐지하는 사용자 단말기 및 그것을 이용한 위변조 탐지 방법 | |
CN104955043A (zh) | 一种智能终端安全防护系统 | |
CN115544586B (zh) | 用户数据的安全存储方法、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: Changan town in Guangdong province Dongguan 523860 usha Beach Road No. 18 Applicant after: GUANGDONG OPPO MOBILE TELECOMMUNICATIONS Corp.,Ltd. Address before: Changan town in Guangdong province Dongguan 523860 usha Beach Road No. 18 Applicant before: GUANGDONG OPPO MOBILE TELECOMMUNICATIONS Corp.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20191203 |