CN106789900A - 一种基于隔离区进行安全保护的系统及方法 - Google Patents

一种基于隔离区进行安全保护的系统及方法 Download PDF

Info

Publication number
CN106789900A
CN106789900A CN201611036937.XA CN201611036937A CN106789900A CN 106789900 A CN106789900 A CN 106789900A CN 201611036937 A CN201611036937 A CN 201611036937A CN 106789900 A CN106789900 A CN 106789900A
Authority
CN
China
Prior art keywords
destination object
isolated area
requesting party
application
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201611036937.XA
Other languages
English (en)
Inventor
王海腾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Anyun Century Technology Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201611036937.XA priority Critical patent/CN106789900A/zh
Publication of CN106789900A publication Critical patent/CN106789900A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Abstract

本发明公开了一种基于隔离区进行安全保护的系统,所述系统包括:监听单元,用于监听请求方针对存储器中的目标对象进行交互的请求。控制单元,用于在所述目标对象位于存储器中的隔离区内时,促使认证单元对请求方进行认证。认证单元,用于对请求方进行身份认证并且在请求方通过身份认证后允许所述请求方与目标对象进行交互。存储管理单元,用于根据隔离区中目标对象的数量设置存储子区域,将请求方与目标对象进行交互所产生的数据存储到与所述目标对象相对应的存储子区域中,其中隔离区中的任意一个目标对象均无法访问隔离区中其他目标对象的存储子区域。本发明还涉及一种用于执行或包括基于隔离区进行安全保护的系统的移动终端。

Description

一种基于隔离区进行安全保护的系统及方法
技术领域
本发明涉及信息安全领域,并且更具体地,涉及一种基于隔离区进行安全保护的系统、方法以及移动终端。
背景技术
目前,移动终端作为一种便携式的通信设备,如手机、平板电脑和PDA(PersonalDigital Assistant,个人数字助理)等移动终端设备已经被人们广泛应用在学习、娱乐、工作等方面,提高了现代人的生活质量。但是由于各式的个人资料、网络信息及应用皆可通过移动终端进行存取或使用,移动终端中具有大量高度价值且应被保密的资料。同时,由于移动终端应用的增加,各种应用如微信、QQ、相机及支付平台在移动终端使用频率的增加,相应产生的隐私信息如通讯录信息、工作文档信息、个人图片信息、个人账户信息也会大量增加。然而,由于移动终端的便利及可移植性,使得移动终端内的数据及应用也曝露在容易被他人取得的危险下。若用户对移动终端未进行任何隐私保护,那么一旦移动终端落入他人手中等同于用户个人隐私完全被他人窃知,造成个人隐私外泄,安全性十分差。
现有方式通过对移动终端进行加密,以获得移动终端内应用及信息的安全。但是由于移动终端密码很容易被破解,通过对移动终端进行加密以获得终端内隐私信息的安全可靠性极低。同时,由于用户对于移动设备的依赖性使得用户不愿意将存储个人隐私信息和重要资料文档无法转移到其他地方进行管理,而是在移动终端设备上管理。
为此,现有技术存在对移动终端的数据进行安全保护的需求。
发明内容
本发明提供了一种基于隔离区进行安全保护的系统及方法,以解决对隐私信息进行安全保护的问题。
为了解决上述问题,本发明提供了一种基于隔离区进行安全保护的系统,所述系统包括:
监听单元,用于监听请求方针对存储器中的目标对象进行交互的请求;
控制单元,用于在所述目标对象位于存储器中的隔离区内时,促使认证单元对请求方进行认证;
认证单元,用于对请求方进行身份认证并且在请求方通过身份认证后允许所述请求方与目标对象进行交互;以及
存储管理单元,用于根据隔离区中目标对象的数量设置存储子区域,将请求方与目标对象进行交互所产生的数据存储到与所述目标对象相对应的存储子区域中,其中隔离区中的任意一个目标对象均无法访问隔离区中其他目标对象的存储子区域。
优选地,所述系统还包括目标对象管理单元,用于将目标对象移入或移出隔离区。
优选地,其中目标对象管理单元将目标对象移入或移出隔离区包括:
按照目标对象的图标移入或移出特定区域的方式,将目标对象移入或移出隔离区;或者
按照将目标对象标注为移入隔离区或移出隔离区的方式,将目标对象移入或移出隔离区。
优选地,所述目标对象为应用,所述应用为:微信应用、通讯录应用、浏览器应用、拨号应用或相机应用。
优选地,还包括在所述目标对象不位于存储器中的隔离区内时,控制单元允许所述请求方与目标对象进行交互。
优选地,还包括在所述目标对象不位于存储器中的隔离区内时,存储管理单元不允许目标对象访问隔离区中的数据。
优选地,其中认证单元对请求方进行身份认证包括:认证单元获取请求方的静态认证信息,并且根据所述静态认证信息是否通过认证来确定所述请求方是否为信任方,所述静态认证信息包括用户名和密码。
优选地,其中认证单元根据所述静态认证信息是否通过认证来确定所述请求方是否为信任方包括:认证单元从存储器获取预先存储的所述请求方的用户名和密码,并且与静态认证信息中的用户名和密码进行比较,从而确定所述请求方是否为信任方。
优选地,其中认证单元对请求方进行身份认证包括:认证单元获取请求方的动态认证信息,并且根据所述动态认证信息是否通过认证来确定所述请求方是否为信任方,所述动态认证信息包括基于时间同步的动态密码和请求方标识符。
优选地,其中认证单元根据所述动态认证信息是否通过认证来确定所述请求方是否为信任方包括:认证单元根据请求方标识符确定种子密钥,根据种子密钥和当前时间计算请求方的基于时间同步的动态密码,通过比较所计算的动态密码和所述动态认证信息中的动态密码来确定所述请求方是否为信任方。
根据本发明的另一方面,提供一种移动终端,包括或用于执行如上所述的基于隔离区进行安全保护的系统。
基于本发明的另一方面,本发明提供一种基于隔离区进行安全保护的方法,所述方法包括:
监听请求方针对存储器中的目标对象进行交互的请求;
在所述目标对象位于存储器中的隔离区内时,对请求方进行身份认证;
在请求方通过身份认证后允许所述请求方与目标对象进行交互;以及
根据隔离区中目标对象的数量设置存储子区域,将请求方与目标对象进行交互所产生的数据存储到与所述目标对象相对应的存储子区域中,其中隔离区中的任意一个目标对象均无法访问隔离区中其他目标对象的存储子区域。
优选地,所述方法还包括将目标对象移入或移出隔离区。
优选地,其中将目标对象移入或移出隔离区包括:
按照目标对象的图标移入或移出特定区域的方式,将目标对象移入或移出隔离区;或者
按照将目标对象标注为移入隔离区或移出隔离区的方式,将目标对象移入或移出隔离区。
优选地,所述目标对象为应用,所述应用为:微信应用、通讯录应用、浏览器应用、拨号应用或相机应用。
优选地,还包括在所述目标对象不位于存储器中的隔离区内时,允许所述请求方与目标对象进行交互。
优选地,还包括在所述目标对象不位于存储器中的隔离区内时,不允许目标对象访问隔离区中的数据。
优选地,其中对请求方进行身份认证包括:获取请求方的静态认证信息,并且根据所述静态认证信息是否通过认证来确定所述请求方是否为信任方,所述静态认证信息包括用户名和密码。
优选地,其中根据所述静态认证信息是否通过认证来确定所述请求方是否为信任方包括:从存储器获取预先存储的所述请求方的用户名和密码,并且与静态认证信息中的用户名和密码进行比较,从而确定所述请求方是否为信任方。
优选地,其中对请求方进行身份认证包括:获取请求方的动态认证信息,并且根据所述动态认证信息是否通过认证来确定所述请求方是否为信任方,所述动态认证信息包括基于时间同步的动态密码和请求方标识符。
优选地,其中根据所述动态认证信息是否通过认证来确定所述请求方是否为信任方包括:根据请求方标识符确定种子密钥,根据种子密钥和当前时间计算请求方的基于时间同步的动态密码,通过比较所计算的动态密码和所述动态认证信息中的动态密码来确定所述请求方是否为信任方。
本发明的一种基于隔离区进行安全保护的系统及方法,通过将隐私信息存储在隔离区及对隔离区内目标对象的访问请求方进行身份认证,以实现隐私数据的安全保护。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明优选实施方式的安全保护系统的结构示意图;以及
图2为根据本发明优选实施方式的安全保护方法的流程图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明优选实施方式的安全保护系统100的结构示意图。如图1所示,安全保护系统100包括监听单元101、控制单元102、认证单元103、存储管理单元104,安全保护系统100用于通过将隐私信息存储在隔离区及对隔离区内目标对象的访问请求方进行身份认证,以实现隐私数据的安全保护。
优选地,监听单元101,用于监听请求方针对存储器中的目标对象进行交互的请求。监听单元101监听请求方针对存储器中的目标对象进行交互的请求,本发明实施方式中,目标对象为应用,包括:微信应用、通讯录应用、浏览器应用、拨号应用或相机应用。即当请求方访问移动终端中的微信应用或浏览器应用时,监听单元101能够监听到该交互请求。其中,本发明中的移动终端可以是任意类型的移动设备或便携式终端,包括移动手机、站、单元、设备、多媒体计算机、多媒体平板、因特网节点、通信器、膝上型计算机、个人数字助理(PDA)、或其任意组合。
优选地,控制单元102,用于在目标对象位于存储器中的隔离区内时,促使认证单元对请求方进行认证。本发明实施方式中,当请求方访问移动终端中的微信应用时,当微信应用位于移动终端的隔离区内时,控制单元102促使认证单元103对请求方的身份进行认证,以保证对微信应用的交互请求是安全的。
优选地,当目标对象不位于存储器中的隔离区内时,控制单元102允许请求方与目标对象进行交互。本发明实施方式中,当请求方访问移动终端中的微信应用时,当微信应用不位于移动终端的隔离区内时,控制单元102允许请求方直接访问微信应用。
优选地,当目标对象不位于存储器中的隔离区内时,存储管理单元104不允许目标对象访问隔离区中的数据。本发明实施方式中,当微信应用不位于存储器中的隔离区内时,存储管理单元104不允许微信应用访问隔离区中存储的数据,例如访问图片、文本信息等,以保证隔离区内数据的安全。
优选地,认证单元103,用于对请求方进行身份认证并且在请求方通过身份认证后允许请求方与目标对象进行交互。
可替换地,认证单元103对请求方进行身份认证包括:认证单元103获取请求方的静态认证信息,并且根据静态认证信息是否通过认证来确定请求方是否为信任方,静态认证信息包括用户名和密码。认证单元103从存储器获取预先存储的请求方的用户名和密码,并且与静态认证信息中的用户名和密码进行比较,从而确定请求方是否为信任方。优选地,安全保护系统100可将请求方的用户名和密码保存在移动终端中,以供认证单元103使用。认证单元103对请求方进行身份认证时,可以将请求方发送的静态认证信息与事先存储的静态认证信息进行比较,并且在请求方所发送的认证信息与事先存储的静态认证信息相同时,将其标识为信任方,允许请求方与目标对象进行交互。本发明实施方式中静态认证信息以用户名和密码作为实例进行说明,但是本发明的静态认证信息并不限于用户名和密码。
可替换地,认证单元103对请求方进行身份认证包括:认证单元103获取请求方的动态认证信息,并且根据动态认证信息是否通过认证来确定请求方是否为信任方,动态认证信息包括基于时间同步的动态密码和请求方标识符。优选地,认证单元103根据请求方标识符确定种子密钥,根据种子密钥和当前时间计算请求方的基于时间同步的动态密码,通过比较所计算的动态密码和动态认证信息中的动态密码来确定请求方是否为信任方。
优选地,在动态认证方法中,认证单元103和请求方均进行动态密码的计算。其中,动态密码的计算包括根据种子密钥和当前时间计算基于时间同步的动态密码。例如,将种子密钥和当前时间组成字符串并且根据预先设置的哈希算法计算所述字符串的哈希值。将计算得到的哈希值作为基于时间同步的动态密码。优选地,安全保护系统100预先在移动终端内存储请求方标识符和种子密钥的对应关系。一方面,请求方根据种子密钥和当前时间,并且根据预先设定的哈希算法来计算基于时间同步的动态密码。另一方面,认证单元103根据请求方标识符确定种子密钥,并且根据种子密钥和当前时间,并且根据预先设定的哈希算法来计算基于时间同步的动态密码。所属领域技术人员应当了解的是,在认证单元103确定当前时间时,会考虑传输延迟时间。例如,将当前时间减去传输延迟时间以作为用于计算的当前时间。
优选地,存储管理单元104,用于根据隔离区中目标对象的数量设置存储子区域,将请求方与目标对象进行交互所产生的数据存储到与目标对象相对应的存储子区域中,其中隔离区中的任意一个目标对象均无法访问隔离区中其他目标对象的存储子区域。本发明的实施方式中,存储管理单元104根据目标对象的数量设备存储子区域,对不同的目标对象及交互产生的数据分开存储,即隔离区内的目标对象只能访问自己对应的存储子区域中的数据,其中隔离区中的任意一个目标对象均无法访问隔离区中其他目标对象的存储子区域,隔离区内的存储子区域,只对通过请求访问该目标对象并获得身份证证的请求者允许访问请求。例如,存储管理单元104将微信应用及微信应用产生的数据存储在第一存储子区域中,微信产生的数据指即时信息数据,通过微信应用接收的文件、图片以及视频数据等,存储在其他存储子区域中的目标对象,例如QQ无法访问微信应用所在第一存储子区域。
优选地,目标对象管理单元105,用于将目标对象移入或移出隔离区。可替换地,目标对象管理单元105按照目标对象的图标移入或移出特定区域的方式,将目标对象移入或移出隔离区。移入隔离区的目标对象将获得安全保护,移出隔离区的目标对象不再获得隔离区的安全保护。
可替换地,目标对象管理单元105按照将目标对象标注为移入隔离区或移出隔离区的方式,将目标对象移入或移出隔离区。移入隔离区的目标对象将获得安全保护,移出隔离区的目标对象不再获得隔离区的安全保护。
在一个实施方式中,隔离区可以是沙箱并且通过沙箱应用的方式来提供应用、数据以及网络的安全保护。沙箱应用会在用户终端内建立隔离区并且对隔离区内的应用、数据以及网络进行安全保护。其中对隔离区内的应用、数据以及网络进行安全保护的主要方式为:
1.针对应用进行安全保护:针对API组件的调用进行隔离。针对Andriod系统的四个主要组件Activity,Service,Content Provider以及BroadcastReceiver的调用进行保护。当隔离区内的应用调用隔离区外部应用的上述组件或与上述组件进行数据交互时,安全保护系统接收隔离区内的应用针对非隔离区内组件的访问请求并且将所述访问请求发送给访问控制器。随后,访问控制器根据访问控制策略确定所述访问请求是否被允许,在根据所述访问控制策略确定所述访问请求被允许的情况下,允许隔离区内的应用对非隔离区内项目进行访问。
此外,当非隔离区内的应用调用隔离区内应用的上述组件或与上述组件进行数据交互时,安全保护系统接收非隔离区内的应用针对隔离区内项目的访问请求并且将所述访问请求发送给访问控制器。随后,访问控制器根据访问控制策略确定所述访问请求是否被允许,在根据所述访问控制策略确定所述访问请求被允许的情况下,允许非隔离区内的应用对隔离区内项目进行访问。
2.数据隔离:通过命名空间Namespace将数据存储在不同分区,例如,将处于非隔离区中过的普通应用所生成的数据存储到分区NamespaceA中,而将处于隔离区中的沙箱应用所生成的数据存储到分区NamespaceB中。这种方式使得普通应用和沙箱应用之间的数据存储是独立的,并且因此不会造成沙箱应用的数据被非法读取、修改或删除。
此外,当隔离区内的应用希望获取(包括修改、删除、读取等)隔离区外部数据时,安全保护系统接收隔离区内的应用针对非隔离区内数据的获取请求并且将所述获取请求发送给访问控制器。随后,访问控制器根据访问控制策略确定所述获取请求是否被允许,在根据所述访问控制策略确定所述获取请求被允许的情况下,允许隔离区内的应用对非隔离区内的数据进行获取。
此外,当非隔离区内的应用希望获取(包括修改、删除、读取等)隔离区内的数据时,安全保护系统接收非隔离区内的应用针对隔离区内数据的获取请求并且将所述获取请求发送给访问控制器。随后,访问控制器根据访问控制策略确定所述获取请求是否被允许,在根据所述访问控制策略确定所述获取请求被允许的情况下,允许非隔离区内的应用对隔离区内数据进行获取。
3.网络隔离:将网络访问引导至安全服务器,由安全服务器实现隔离区内部应用与外部应用的交互。通常,当沙箱内部的应用想要访问外部网络时,安全保护系统在这个应用和安全服务器建立VPN连接,从而使得安全服务器替代外部网络中的服务器。这种方式能够保证沙箱内部应用的网络访问是安全的。
通常地,沙箱可以针对内部应用进行全部三种安全保护,或者针对内部应用进行三种安全保护中的任意一种或两种。
优选地,根据本发明的优选实施方式,如上所述的系统100可以被包括在移动终端中,或由移动终端来执行。
图2为根据本发明优选实施方式的安全保护方法200的流程图。如图2所示,安全保护方法200用于通过将隐私信息存储在隔离区及对隔离区内目标对象的访问请求方进行身份认证,以实现隐私数据的安全保护。
如图2所示,安全保护方法200从步骤201开始。优选地,在步骤201,监听请求方针对存储器中的目标对象进行交互的请求。监听请求方针对存储器中的目标对象进行交互的请求,本发明实施方式中,目标对象为应用,包括:微信应用、通讯录应用、浏览器应用、拨号应用或相机应用。即当请求方访问移动终端中的微信应用或浏览器应用时,能够监听到该交互请求。其中,本发明中的移动终端可以是任意类型的移动设备或便携式终端,包括移动手机、站、单元、设备、多媒体计算机、多媒体平板、因特网节点、通信器、膝上型计算机、个人数字助理(PDA)、或其任意组合。
优选法,在步骤202,在目标对象位于存储器中的隔离区内时,对请求方进行身份认证。本发明实施方式中,当请求方访问移动终端中的微信应用时,当微信应用位于移动终端的隔离区内时,对请求方的身份进行认证,以保证对微信应用的交互请求是安全的。
优选地,当目标对象不位于存储器中的隔离区内时,允许请求方与目标对象进行交互。本发明实施方式中,当请求方访问移动终端中的微信应用时,当微信应用不位于移动终端的隔离区内时,允许请求方直接访问微信应用。
优选地,当目标对象不位于存储器中的隔离区内时,不允许目标对象访问隔离区中的数据。本发明实施方式中,当微信应用不位于存储器中的隔离区内时,不允许微信应用访问隔离区中存储的数据,例如访问图片、文本信息等,以保证隔离区内数据的安全。
优选法,在步骤203,在请求方通过身份认证后允许请求方与目标对象进行交互。
可替换地,对请求方进行身份认证包括:获取请求方的静态认证信息,并且根据静态认证信息是否通过认证来确定请求方是否为信任方,静态认证信息包括用户名和密码。从存储器获取预先存储的请求方的用户名和密码,并且与静态认证信息中的用户名和密码进行比较,从而确定请求方是否为信任方。优选地,安全保护方法200可将请求方的用户名和密码保存在移动终端中,以供身份认证使用。对请求方进行身份认证时,可以将请求方发送的静态认证信息与事先存储的静态认证信息进行比较,并且在请求方所发送的认证信息与事先存储的静态认证信息相同时,将其标识为信任方,允许请求方与目标对象进行交互。本发明实施方式中静态认证信息以用户名和密码作为实例进行说明,但是本发明的静态认证信息并不限于用户名和密码。
可替换地,对请求方进行身份认证包括:获取请求方的动态认证信息,并且根据动态认证信息是否通过认证来确定请求方是否为信任方,动态认证信息包括基于时间同步的动态密码和请求方标识符。优选地,根据请求方标识符确定种子密钥,根据种子密钥和当前时间计算请求方的基于时间同步的动态密码,通过比较所计算的动态密码和动态认证信息中的动态密码来确定请求方是否为信任方。
优选地,在动态认证方法中,移动终端和请求方均进行动态密码的计算。其中,动态密码的计算包括根据种子密钥和当前时间计算基于时间同步的动态密码。例如,将种子密钥和当前时间组成字符串并且根据预先设置的哈希算法计算所述字符串的哈希值。将计算得到的哈希值作为基于时间同步的动态密码。优选地,安全保护方法200预先在移动终端内存储请求方标识符和种子密钥的对应关系。一方面,请求方根据种子密钥和当前时间,并且根据预先设定的哈希算法来计算基于时间同步的动态密码。另一方面,移动终端根据请求方标识符确定种子密钥,并且根据种子密钥和当前时间,并且根据预先设定的哈希算法来计算基于时间同步的动态密码。所属领域技术人员应当了解的是,在移动终端确定当前时间时,会考虑传输延迟时间。例如,将当前时间减去传输延迟时间以作为用于计算的当前时间。
优选法,在步骤204,根据隔离区中目标对象的数量设置存储子区域,将请求方与目标对象进行交互所产生的数据存储到与目标对象相对应的存储子区域中,其中隔离区中的任意一个目标对象均无法访问隔离区中其他目标对象的存储子区域。本发明的实施方式中,根据目标对象的数量设备存储子区域,对不同的目标对象及交互产生的数据分开存储,即隔离区内的目标对象只能访问自己对应的存储子区域中的数据,其中隔离区中的任意一个目标对象均无法访问隔离区中其他目标对象的存储子区域,隔离区内的存储子区域,只对通过请求访问该目标对象并获得身份证证的请求者允许访问请求。例如,将微信应用及微信应用产生的数据存储在第一存储子区域中,微信产生的数据指即时信息数据,通过微信应用接收的文件、图片以及视频数据等,存储在其他存储子区域中的目标对象,例如QQ无法访问微信应用所在第一存储子区域。
优选地,将目标对象移入或移出隔离区。可替换地,按照目标对象的图标移入或移出特定区域的方式,将目标对象移入或移出隔离区。移入隔离区的目标对象将获得安全保护,移出隔离区的目标对象不再获得隔离区的安全保护。
可替换地,按照将目标对象标注为移入隔离区或移出隔离区的方式,将目标对象移入或移出隔离区。移入隔离区的目标对象将获得安全保护,移出隔离区的目标对象不再获得隔离区的安全保护。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。

Claims (10)

1.一种基于隔离区进行安全保护的系统,所述系统包括:
监听单元,用于监听请求方针对存储器中的目标对象进行交互的请求;
控制单元,用于在所述目标对象位于存储器中的隔离区内时,促使认证单元对请求方进行认证;
认证单元,用于对请求方进行身份认证并且在请求方通过身份认证后允许所述请求方与目标对象进行交互;以及
存储管理单元,用于根据隔离区中目标对象的数量设置存储子区域,将请求方与目标对象进行交互所产生的数据存储到与所述目标对象相对应的存储子区域中,其中隔离区中的任意一个目标对象均无法访问隔离区中其他目标对象的存储子区域。
2.根据权利要求1所述的系统,所述系统还包括目标对象管理单元,用于将目标对象移入或移出隔离区。
3.根据权利要求2所述的系统,其中目标对象管理单元将目标对象移入或移出隔离区包括:
按照目标对象的图标移入或移出特定区域的方式,将目标对象移入或移出隔离区;或者
按照将目标对象标注为移入隔离区或移出隔离区的方式,将目标对象移入或移出隔离区。
4.根据权利要求1-3中任意一项所述的系统,所述目标对象为应用,所述应用为:微信应用、通讯录应用、浏览器应用、拨号应用或相机应用。
5.一种移动终端,包括或用于执行如权利要求1-4中任意一项所述的系统。
6.一种基于隔离区进行安全保护的方法,所述方法包括:
监听请求方针对存储器中的目标对象进行交互的请求;
在所述目标对象位于存储器中的隔离区内时,对请求方进行身份认证;
在请求方通过身份认证后允许所述请求方与目标对象进行交互;以及
根据隔离区中目标对象的数量设置存储子区域,将请求方与目标对象进行交互所产生的数据存储到与所述目标对象相对应的存储子区域中,其中隔离区中的任意一个目标对象均无法访问隔离区中其他目标对象的存储子区域。
7.根据权利要求6所述的方法,所述方法还包括将目标对象移入或移出隔离区。
8.根据权利要求7所述的方法,其中将目标对象移入或移出隔离区包括:
按照目标对象的图标移入或移出特定区域的方式,将目标对象移入或移出隔离区;或者
按照将目标对象标注为移入隔离区或移出隔离区的方式,将目标对象移入或移出隔离区。
9.根据权利要求6-8中任意一项所述的方法,所述目标对象为应用,所述应用为:微信应用、通讯录应用、浏览器应用、拨号应用或相机应用。
10.根据权利要求8所述的方法,还包括在所述目标对象不位于存储器中的隔离区内时,允许所述请求方与目标对象进行交互。
CN201611036937.XA 2016-11-22 2016-11-22 一种基于隔离区进行安全保护的系统及方法 Pending CN106789900A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611036937.XA CN106789900A (zh) 2016-11-22 2016-11-22 一种基于隔离区进行安全保护的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611036937.XA CN106789900A (zh) 2016-11-22 2016-11-22 一种基于隔离区进行安全保护的系统及方法

Publications (1)

Publication Number Publication Date
CN106789900A true CN106789900A (zh) 2017-05-31

Family

ID=58971139

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611036937.XA Pending CN106789900A (zh) 2016-11-22 2016-11-22 一种基于隔离区进行安全保护的系统及方法

Country Status (1)

Country Link
CN (1) CN106789900A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109120612A (zh) * 2018-08-06 2019-01-01 浙江衣拿智能科技有限公司 一种数据包过滤方法、系统及应用程序
CN109522744A (zh) * 2018-11-06 2019-03-26 北京指掌易科技有限公司 一种Android系统文件数据隔离保护方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8863232B1 (en) * 2011-02-04 2014-10-14 hopTo Inc. System for and methods of controlling user access to applications and/or programs of a computer
CN104657674A (zh) * 2015-01-16 2015-05-27 北京邮电大学 一种手机中隐私数据的隔离保护系统及方法
CN104683336A (zh) * 2015-02-12 2015-06-03 中国科学院信息工程研究所 一种基于安全域的安卓隐私数据保护方法及系统
CN104850768A (zh) * 2015-02-10 2015-08-19 数据通信科学技术研究所 一种基于应用安全等级的访问控制方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8863232B1 (en) * 2011-02-04 2014-10-14 hopTo Inc. System for and methods of controlling user access to applications and/or programs of a computer
CN104657674A (zh) * 2015-01-16 2015-05-27 北京邮电大学 一种手机中隐私数据的隔离保护系统及方法
CN104850768A (zh) * 2015-02-10 2015-08-19 数据通信科学技术研究所 一种基于应用安全等级的访问控制方法及装置
CN104683336A (zh) * 2015-02-12 2015-06-03 中国科学院信息工程研究所 一种基于安全域的安卓隐私数据保护方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王津 等: "《网络组建与管理》", 31 August 2010 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109120612A (zh) * 2018-08-06 2019-01-01 浙江衣拿智能科技有限公司 一种数据包过滤方法、系统及应用程序
CN109120612B (zh) * 2018-08-06 2021-04-30 浙江衣拿智能科技股份有限公司 一种数据包过滤方法、系统及应用程序
CN109522744A (zh) * 2018-11-06 2019-03-26 北京指掌易科技有限公司 一种Android系统文件数据隔离保护方法

Similar Documents

Publication Publication Date Title
Ma et al. Security flaws in two improved remote user authentication schemes using smart cards
Wei et al. Mobishare: Flexible privacy-preserving location sharing in mobile online social networks
CN103916244B (zh) 验证方法及装置
US20220207164A1 (en) Method for accessing application and apparatus, electronic device, and storage medium
CN105681470B (zh) 基于超文本传输协议的通信方法、服务器、终端
Lim et al. Security issues and future challenges of cloud service authentication
US20140053252A1 (en) System and Method for Secure Document Distribution
US11606201B2 (en) Cryptographic systems and methods using distributed ledgers
US20130067217A1 (en) System and method for protecting access to authentication systems
Agarkhed et al. An efficient auditing scheme for data storage security in cloud
Tirfe et al. A survey on trends of two-factor authentication
Klevjer et al. Extended HTTP digest access authentication
KR101319586B1 (ko) 클라우드 컴퓨팅 시스템 및 클라이언트 인증방법
CN106789900A (zh) 一种基于隔离区进行安全保护的系统及方法
CN106453398B (zh) 一种数据加密系统及方法
Ferdous et al. Threat taxonomy for Cloud of Things
Binu et al. A mobile based remote user authentication scheme without verifier table for cloud based services
CN109802927B (zh) 一种安全服务提供方法及装置
KR20210039190A (ko) 블록체인을 이용한 개인정보 관리 방법 및 그 방법이 적용된 블록체인 네트워크 관리자
US10798077B1 (en) Securely authenticating untrusted operating environments
Thapa et al. Security analysis of user authentication and methods
WO2014011027A1 (en) A system and method for authentication using non-reusable random generated mobile sms key
Graham Maximising protection in an era of remote working
CN109905346A (zh) 一种互联网敏感信息加密技术
US20230291549A1 (en) Securely sharing secret information through an unsecure channel

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20170807

Address after: 100102, 18 floor, building 2, Wangjing street, Beijing, Chaoyang District, 1801

Applicant after: BEIJING ANYUN SHIJI SCIENCE AND TECHNOLOGY CO., LTD.

Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park)

Applicant before: Beijing Qihu Technology Co., Ltd.

TA01 Transfer of patent application right
RJ01 Rejection of invention patent application after publication

Application publication date: 20170531

RJ01 Rejection of invention patent application after publication