WO2014067222A1 - 一种移动数据隔离的系统及方法 - Google Patents

Abstract

本发明公开了一种移动数据隔离的系统，该系统包括系统由标签tag控制管理模块和移动数据管理模块组成。标签tag控制管理模块包括标签tag生成器、标签tag存储管理和标签tag传输控制。移动数据管理模块主要是根据标签识别用户权限和数据保密级别，对移动数据的移动应用进行操作控制，以实现移动数据细粒度的保密安全防护。移动数据管理模块分为数据处理过程的安全隔离控制、数据传输过程的安全控制和数据存储中的安全隔离控制。同时，本发明还公开了一种移动数据隔离的方法。通过本发明能有效对移动智能终端上的数据进行隔离，进行细粒度的操作控制，实现不同的保密策略，确保移动数据的保密安全性。

Description

一种移动数据隔离的系统及方法 技术领域

本发明涉及信息安全技术领域， 尤其涉及一种移动数据隔离的系统及方法。 背景技术

随着 BYOD的兴起， 政府、 企业使用移动智能终端处理事务的增加， 移动 智能终端上的数据安全保密性问题越来越受到重视。 但在同一台移动智能终端 上运行着办公应用和私人应用， 一旦移动应用未授权读取及修改政府、 企业数 据就可能造成政府或企业机密泄露， 造成安全威胁。 现在急需对在移动智能终 端上进行读取和处理数据进行有效控制， 确保其安全保密。

现有的 MDM产品中移动终端数据保护主要有明朝万达的 chinasec (安元） 移动安全管理平台， 主要通过文件加密加 VPN安全传输来实现。 所有从内部网 络发送到移动终端的数据均加密， 在移动终端通过产品的客户端输入密码认证 后， 才可对数据进行操作。

目前此技术不能对数据进行细粒度的区分隔离。 所有的数据都通过移动网 关加密后传输到移动智能终端， 所有通过移动网关推送至移动智能终端的应用 均可对这些数据进行操作。 数据保密性仅通过统一的加密和 VPN传输来保证， 不能针对不同类型的数据实行不同的保护策略， 也不能限定不同的移动应用对 不同数据的操作权限。 一旦误推送一非法授权应用， 此应用便具有权限读取所 有数据。 另外对所有通过移动网关传输到移动智能终端的数据都采用加密和 VPN的传输方式， 对资源的耗用较大。

现有的个人移动终端数据保护主要有腾讯手机管家、 360手机安全卫士等产 品， 均使用文件保密箱的方法。 用户将指定的数据放入 "保险箱"， 当移动应用 对这些数据进行访问操作时对此应用进行权限验证 (用户输入密码验证）， 判别 后授权应用对所有数据进行操作， 以实现对移动数据保密性的控制。

目前此技术只能实现对数据粗粒度的控制。 不仅每个敏感数据都需要用户 手动添加到文件保密箱内， 而且每次使用该敏感数据时都需要用户手动输入密 码。 数据的保密性级别十分单调， 只分为 "保密"、 "不保密" 这 2个级别； 数 据的保密性也不强， 一旦密码泄露或其它应用通过某一移动应用获得数据操作 确认本 权限， 则所有的数据都得不到有效保护； 此外这些敏感数据只能在移动终端上 得到保护 , 一旦取得合法权限的应用将其发送到本移动终端之外则不能再对此 敏感数据进行保护。

发明内容

本发明的目的是为了克服现有技术的缺陷， 提供一种移动数据隔离的系统 及方法， 解决移动智能终端中数据的安全隔离及完整保密性。

一种移动数据隔离的系统， 由标签 tag控制管理模块和移动数据管理模块组 成； 标签 tag控制管理模块包括标签 tag生成器、 标签 tag存储管理模块和标签 tag 传输控制模块； 标签 tag生成器包括数据标签 data-tag生成器和移动应用标签 app-tag生成器， 在数据标签 data-tag和移动应用标签 app-tag生成或变动完成后通 知标签 tag存储管理模块；标签 tag存储管理模块负责数据标签 data-tag和移动应用 标签 app-tag的存储； 标签 tag传输控制模块包括对 data-tag的传输管理和对 app-tag 的传输同步管理。

移动数据管理模块根据标签识别用户权限和数据保密级别， 对移动数据的 移动应用进行操作控制， 以实现移动数据细粒度的保密安全防护。

移动数据管理模块分为数据处理过程的安全隔离控制、 数据传输过程的安 全控制和数据存储中的安全隔离控制； 数据处理过程的安全隔离控制在移动智 能终端和移动接入网关上实现； 数据传输过程的安全控制包括数据从移动接入 网关传输到移动智能终端过程和数据从移动智能终端传输到外部过程这两种情 况进行的数据安全控制； 数据存储中的安全隔离控制对移动终端上的静止数据 进行隔离； 若收到数据访问消息通知， 立即通知数据处理过程的安全隔离控制 模块； 若收到数据传送消息通知， 立即通知数据传输过程的安全控制模块。

优选的， 标签 tag存储管理还负责对移动设备 data-tag数据库、 移动设备 app-tag数据库、 移动接入网关 app-tag数据库这三个数据库的运行维护。

优选的，数据标签 data-tag生成器负责生成移动数据的标签， 分为移动智能 终端 data-tag生成器和移动接入网关 data-tag生成器两部分； 在移动智能终端设 置 data-tag数据库， 在移动接入网关不设置 data-tag数据库。

优选的， 移动应用标签 app-tag生成器主要负责生成移动应用的标签， 分为 移动智能终端 app-tag生成器和移动接入网关 app-tag生成器两部分； 在移动智 能终端和移动接入网关均有 app-tag数据库。 优选的， 移动智能终端 data-tag生成器负责在移动智能终端对相应数据的 data-tag的创建、 修改； 移动接入网关 data-tag生成器负责在移动接入网关生成数 据相应的 data-tag后， 直接将数据以合适的方式传送给移动终端， 不保存至数据 库。

优选的， 移动应用标签 app-tag只能在接入网关处修改， 修改后加密推送给 相应的移动智能终端用户； 移动智能终端不对 app-tag进行任何修改。

优选的， data-tag传输管理负责处理与对应数据同步加密传送 data-tag; app-tag传输同步管理分为 app-tag新建传输管理和 app-tag同步传输管理， 负责 处理与对应应用同步加密 app-tag， 并传送 app-tag到该标签指定的 "app.使用 app的用户 id" 所使用的移动智能终端处； 标签 tag传输是从移动接入网关向移 动智能终端的单向传输。

优选的， 在数据处理过程中使用到的权限确认算法具体步驟如下： 输入： app-tag、 data-tag; 输出： Yes或 No

1.查看 "app.操作权限"， 读取用户使用此 app进行操作的数据保密级别；

2.查看所有的 "data-tag.数据使用权限"， 读取最高数据使用权限；

3.比较 "app.操作权限"与最高 "data-tag.数据使用权限" 的大小； 若大于等 于关系， 则返回 Yes; 若小于关系， 则返回 No。

优选的， 数据从移动接入网关传输到移动智能终端的具体步骤为： 数据从内网传送至移动接入网关的安全隔离存储区，并通知标签 tag控制管 理模块的标签 tag生成器， 等待标签 tag生成器反馈消息；

获得标签 tag生成器反馈消息后， 根据 "data-tag.保密级别" 选择合适的加 密方式和传输方式；

协同标签 tag控制管理模块， 与对应的 data-tag—起发送至移动智能终端； 数据从移动智能终端传输到外部的具体步骤为：

接到移动智能终端的数据传输申请后，通知标签 tag控制管理模块的标签 tag 存储管理模块， 从 data-tag数据库中返回数据对应的 data-tag标签；

调用数据处理过程的安全控制模块的权限确认算法， 判断该用户是否拥有 权限做此传输操作；

如有权限， 根据 "data-tag.保密级别" 选择合适的加密方式和传输方式将数 据转移出设备。 本发明还提供了一种移动数据隔离的方法， 该方法通过生成数据标签 data-tag, 从而创建数据的保密级别和使用权限， 当推出移动应用 app时生成移动 应用标签 app-tag， 移动应用 app也设置了相应的操作权限， 通过权限确认算法实 现移动应用标签 app-tag的操作权限与数据标签 data-tag相匹配， 从而实现相应保 密级别和使用权限的 data可以由相应操作权限的移动应用 app来操作， 实现数据 细粒度的安全隔离； 具体步驟为：

S1 :从内网传输过来的数据 data通过移动网关标签 tag生成器生成数据标签 data-tag,并根据移动接入网关 data-tag创建算法设定 data-tag的保密级别和用户 权限， 并通知标签 tag传输控制模块；

S2:标签 tag传输控制模块加密标签 data-tag,通知移动数据管理模块中数据 传输过程的安全控制模块， 并以安全的方式传输与对应的数据一起发送至移动 智能终端；

S3:移动智能终端接收到数据和 data-tag后，调用 tag传输控制模块解密，之 后通知标签 tag生成器；

S4: tag生成器从移动数据管理模块中数据存储中的安全隔离模块获取数据 存放地址， 调用移动智能终端 data-tag修改算法生成最终的 data-tag, 通知标签 tag存储管理模块；

S5:标签 tag存储管理模块将 data-tag存入 data-tag数据库；

S6:从内网推送出的应用 app通过移动接入网关 tag生成器生成移动应用标 签 app-tag, 根据移动接入网关 app-tag创建算法设定移动应用标签 app-tag的可 辨识标志， 用户 id， 操作权限和生成数据的保密级别， 并通知标签 tag存储管理 模块；

S7:若移动应用 app是新建的则通知标签 tag存储管理模块将生成的移动应 用标签 app-tag存入 app-tag数据库， 然后通知标签 tag传输控制模块加密标签 app-tag, 并以安全的方式将其与对应的 app—起发送至移动智能终端； 若移动 应用 app发生变化， 在移动接入网关修改对应的移动应用标签 app-tag, 通知移 动接入网关的标签 tag存储管理模块更新 app-tag数据库， 然后通知标签 tag传 输控制模块加密移动应用标签 app-tag, 并以安全的方式发送至移动智能终端；

S8: 移动智能终端接收到推送的 app和 app-tag后， 调用 tag传输控制模块 解密， 之后通知标签 tag存储管理模块； S9: 标签 tag存储管理模块将 app-tag存入 app-tag数据库；

S10: 通过权限确认算法实现 app-tag的操作权限与 data-tag相匹配，从而实 现相应保密级别和使用权限的 data可以由相应操作权限的 app来操作， 实现数 据细粒度的安全隔离。

优选的， 移动智能终端对相应数据的 data-tag的创建、修改分别通过移动智 能终端 data-tag生成器创建算法和移动智能终端 data-tag生成器修改算法实现； 移动智能终端 data-tag生成器创建算法使用情况： 生成数据， 合并数据， 复 制数据， 备份数据的情景：

生成数据、 合并数据一一根据对数据操作的应用 "app-tag.生成数据保密级 别"， 对该数据操作的应用所读取的数据的 "tag.保密级别" 以确定生成数据的 "tag.保密级别" 取最高級别； 记录新数据的位置至 "tag.数据存放地址"； "tag. 用户权限"根据该应用所使用的所有数据 "tag.用户权限" 取最小权限级别， 若 无使用数据则 "tag.用户权限" 设置为当前用户可读写权限。

复制数据、 备份数据一一创建新 data-tag, 记录新数据的位置至 "tag.数据 存放地址"； 复制原数据的 "tag.保密级别"； 复制原数据的 "tag.用户权限"。

移动智能终端 data-tag生成器修改算法：

修改算法使用情况： 从移动网关接收数据、 修改原数据、 数据在本设备内 转移的情景：

从移动网关接收数据一一填写 "tag.数据存放地址"。

修改原数据一一根据对数据操作的应用 "app-tag.生成数据保密级别"，原数 据 "tag.保密级别" 确定新数据 "tag.保密级别" （取最高级别）； 其他不变。

在本设备内转移一一修改 "tag.数据存放地址"。

本发明技术方案带来的有益效果： 本发明能有效对移动智能终端上的数据 进行隔离， 确保移动数据的保密安全性。 通过本发明能对移动智能终端上的数 据进行细粒度的操作控制， 实现不同的保密策略。 移动智能终端上的数据能根 据不同的保密级别授权给相应操作权限的移动应用进行操作， 有效保证数据隔 离性。 同时根据智能终端上数据的不同保密级别对实现有区别的加密和传输策 略， 有效利用了移动智能终端有限的计算资源。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面描述 中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付 出创造性劳动的前提下， 还可以根据这些附图获得其它的附图。

图 1是本发明的移动数据隔离的系统结构图；

图 2是本发明中标签 tag传输控制示意图；

图 3是本发明中 data-tag传输管理示意图；

图 4是本发明中 app-tag新建传输管理示意图；

图 5是本发明的移动数据隔离的方法流程图。

具体实施方式

下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行清 楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是 全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

本发明提供了一种移动数据隔离的系统， 该系统通过标签对移动数据进行 标记， 根据标签识别用户权限和数据保密级别， 对移动数据进行操作控制， 以 实现在移动智能终端上的数据隔离， 实现对移动数据细粒度的保密安全防护。

如图 1所示为该系统的结构图，该系统由标签 tag控制管理模块和移动数据 管理模块组成。 标签 tag控制管理模块包括标签 tag生成器、 标签 tag存储管理 模块和标签 tag传输控制模块。

标签的标记分为数据标签 data-tag的标记和移动应用标签 app-tag的标记， 其中数据标签 data-tag的标记内容包括：

i保密级别；

0~N, 不同级别， 用于确认是否需加 /解密， 安全传输。

ϋ数据存放地址；

iii数据使用权限。

移动应用标签 app-tag的标记内容包括：

i app id;

ii操作权限；

该 app 能操作的数据保密级别， 由此可确定数据用途， 指定可被使用的 程序 /指定所有应用均可用。 iii生成数据的保密级别；

iv使用 app的用户 id。

标签 tag生成器包括数据标签 data-tag生成器和移动应用标签 app-tag生成 器。在数据标签 data-tag和移动应用标签 app-tag生成或变动完成后通知标签 tag 存储管理模块。

数据标签 data-tag生成器主要负责生成移动数据的标签，分为移动智能终端 data-tag生成器和移动接入网关 data-tag生成器两部分。 在移动智能终端设置 data-tag数据库， 在移动接入网关不设置 data-tag数据库。

其中移动智能终端 data-tag 生成器负责在移动智能终端对相应数据的 data-tag的创建、 修改功能； 移动接入网关 data-tag生成器负责在移动接入网关 生成数据相应的 data-tag。 针对不同的标签生成情况， 有以下处理方式：

移动智能终端 data-tag生成器处理方式如表 1所示：

移动智能终端 data-tag生成器处理方式

序号 触发状态 操作

1 数据加密 /解密 data-tag不变

2 数据共享 data-tag不变

通知标签 tag 存储管理模块删除数据库中对应的

3 数据销毁

data—tag。

调用移动智能终端 data-tag 修改算法， 修改 data-tag;

4 数据修改

通知标签 tag 存储管理模块修改数据库中对应的 data-tag。

调用移动智能终端 da ta-tag 创建算法， 创建

5 数据复制 （整体复制） data-tag;

通知标签 tag存储管理模块保存该 data-tag。

调用移动智能终端 data-tag 创建算法， 创建

6 数据备份 data-tag;

通知标签 tag存储管理模块保存该 data-tag。

部分复制 （复制数据中

7 data-tag不变。 （禁止复制数据中的一部分）

的一部分）

调用移动智能终端 da ta-tag 创建算法， 创建

8 数据创建

data-tag; 通知标签 tag存储管理模块保存该 data-tag。

调用移动智能终端 da ta-tag 创建算法， 创建

9 数据合并 data-tag;

通知标签 tag存储管理模块保存该 data- ta_g。

调用移动智能终端 data-tag 修改算法， 修改 data-tag;

10 数据转移

通知标签 tag 存储管理模块修改数据库中对应的 data-tag。

移动接入网关将数据传输到移动智能终端之前， 调用移动接入网关 data-tag 生成器创建算法，创建 data-tag，通知标签 tag传输控制将此 data-tag与相应的数 据一起发送。 其中移动接入网关生成数据 data-tag后， 直接将数据以合适的方式 传送给移动终端， 不保存至数据库。

在移动智能终端 data-tag生成器处理方式中提到三个算法： 移动智能终端 data-tag生成器创建算法、 移动智能终端 data-tag生成器修改算法、 接入网关 data-tag生成器创建算法。

移动智能终端 data-tag生成器创建算法：

创建算法使用情况： 生成数据， 合并数据， 复制数据， 备份数据的情景。 生成数据、 合并数据一一根据对数据操作的应用 "app-tag.生成数据保密级 别"， 对该数据操作的应用所读取的数据的 "tag.保密级别" 以确定生成数据的 "tag.保密级别" （取最高级别）;记录新数据的位置至 "tag.数据存放地址"； "tag. 用户权限" 根据该应用所使用的所有数据 "tag.用户权限" 取最小权限级别， 若 无使用数据则 "tag.用户权限" 设置为当前用户可读写权限。

复制数据、 备份数据一一创建新 data-tag, 记录新数据的位置至 "tag.数据 存放地址"； 复制原数据的 "tag.保密级别"； 复制原数据的 "tag.用户权限"。

移动智能终端 data-tag生成器修改算法：

修改算法使用情况： 从移动网关接收数据、 修改原数据、 数据在本设备内 转移的情景。

从移动网关接收数据一一填写 "tag.数据存放地址"。

修改原数据一一根据对数据操作的应用 "app-tag.生成数据保密级别"，原数 据 "tag.保密级别" 确定新数据 "tag.保密级别" （取最高級别）； 其他不变。

在本设备内转移一一修改 "tag.数据存放地址" 移动接入网关 data-tag生成器创建算法：

1. "data-tag.数据 id" 留空 （由移动智能终端 tag Generator设定）；

2.根据该 data的来源设定 "data-tag.保密级别"；

3.根据数据接收方用户的情况设定 "data-tag.用户权限"。

移动应用标签 app-tag生成器主要负责生成移动应用的标签， 分为移动智能 终端 app-tag生成器和移动接入网关 app-tag生成器两部分。 在移动智能终端和 移动接入网关均有 app-tag数据库。 移动应用的 app-tag在移动应用放入 "企业 移动应用库" 时生成， 同移动应用一同推送给相应的移动智能终端用户。 移动 应用标签 app-tag只能在接入网关处修改， 修改后加密推送给相应的移动智能终 端用户。 移动智能终端不对 app-tag进行任何修改。 移动应用标签 app-tag生成 器主要有接入网关 app-tag创建算法。

移动接入网关 app-tag创建算法：

1.设定此 app唯一的可辨识标志， 记录到 "app-tag.id";

2.记录用户 id至 "app-tag.user-id" ;

3.根据用户 id设定应用的 "app-tag.操作权限"；

4.根据用户 id "app-tag.user-id" 和此 app生成 "app-tag.生成数据的保密级 别，，。

标签 tag存储管理模块负责数据标签 data-tag和移动应用标签 app-tag的存 储，以及移动设备 data-tag数据库、移动设备 app-tag数据库、移动接入网关 app-tag 数据库这三个数据库的运行维护。

在收到标签 tag生成器通知的新建或修改 tag通知后， 标签 tag存储管理模 块对数据库操作的情况如下：

1.在接入网关创建移动数据标签后， 同时通知标签 tag传输控制模块；

2.移动智能终端新建或接收到新的标签 data-tag时， 将其存储到 data-tag数 据库；

3.在接入网关创建移动应用标签后， 将新建的 app-tag存储到接入网关的 app-tag数据库， 同时通知标签 tag传输控制模块；

4.在接入网关修改移动应用标签后， 将新建的 app-tag存储到接入网关的 app-tag数据库， 同时通知标签 tag传输控制模块；

5.移动智能终端接收 app-tag后， 将其存储至 app-tag数据库； 6.在移动终端对数据的 data-tag修改后， 更新 data-tag数据库；

7.在数据销毁时， 删除数据库中对应的 data-tag。

如图 2所示为标签 tag传输控制图。 标签 tag传输控制模块包括对 data-tag 的传输管理和对 app-tag的传输同步管理。 data-tag传输管理负责处理与对应数 据同步加密传送 data-tag; app-tag传输同步管理分为 app-tag新建传输管理和 app-tag 同步传输管理， 负责处理与对应应用同步加密 app-tag, 并传送 app-tag 到该标签指定的 "app.使用 app的用户 id" 所使用的移动智能终端处。 标签 tag 传输是从移动接入网关向移动智能终端的单向传输。

如图 3所示为 data-tag传输管理示意图。 具体为：

1.数据需要推送到终端时， 在移动接入网关通知标签 tag 生成器生成 data-tag, 并通知标签 tag传输控制模块；

2.标签 tag传输控制模块加密标签 data-tag, 通知移动数据管理模块中的数 据传输过程的安全控制模块， 并以安全的方式传输与对应的数据一起发送至移 动智能终端；

3.移动智能终端接收到数据和 data-tag后， 调用 tag传输控制模块解密， 之 后通知标签 tag生成器；

4. tag生成器从移动数据管理模块中的数据存储中的安全隔离模块获取数据 存放地址， 生成最终的 data-tag， 通知标签 tag存储管理模块。

5.标签 tag存储管理模块将 data-tag存入 data-tag数据库。

如图 4为 app-tag传输管理示意图， 具体为：

当某一企业要建立新的应用时：

1. 当某一企业要建立新的应用推送到终端时，在移动接入网关通知标签 tag 生成器生成 app-tag, 并通知标签 tag存储管理模块；

2. 标签 tag存储管理模块将生成的 app-tag存入 app-tag数据库， 通知标签 tag传输控制模块；

3.标签 tag传输控制模块加密标签 app-tag， 并以安全的方式传输与对应的 app一起发送至移动智能终端；

4. 移动智能终端接收到推送的 app和 app-tag后， 调用 tag传输控制模块解 密， 之后通知标签 tag存储管理模块；

5. 标签 tag存储管理模块将 app-tag存入 app-tag数据库。 此外， 当企业已建立的应用标签信息要发生改变时：

1.当企业已建立的应用标签信息要发生改变时， 在移动接入网关通知标签 tag生成器修改 app-tag, 并通知标签 tag存储管理模块；

2.标签 tag存储管理模块在 app-tag数据库更新修改后的 app-tag, 通知标签 tag传输控制模块；

3.标签 tag传输控制模块加密标签 app-tag，并以安全的方式传输至移动智能 终端；

4.移动智能终端接收到修改后的 app-tag， 调用 tag传输控制模块解密，之后 通知标签 tag存储管理模块；

5.标签 tag存储管理模块在 app-tag数据库更新修改后的 app-tag。

移动数据管理模块主要是根据标签识别用户权限和数据保密级别， 对移动 数据的移动应用进行操作控制， 以实现移动数据细粒度的保密安全防护。 移动 数据管理模块分为数据处理过程的安全隔离控制、 数据传输过程的安全控制和 数据存储中的安全隔离控制。

数据处理过程的安全隔离控制在移动智能终端和移动接入网关上实现。 以 下针对数据处理的不同情况分别表述。

数据处理有以下情况：

表 2 数据处理表

序号 触发状态 操作

若数据加解密发生在移动智能终端， 调用权限确认 算法以确认该用户是否具有使用加解密移动应用

1 数据加密 /解密 对该数据进行操作的权限。 如无， 则拒绝操作； 如 有， 则根据 "app. 保密级别" 对数据进行加密或 解密以继续下一步操作。

调用权限确认算法以确认该用户是否具有对该数

2 数据共享 据进行共享的权限。 如无， 则拒绝操作； 如有， 则 继续下一步。

调用权限确认算法以确认该用户是否具有对该数 据进行销毁的权限。 如无， 则拒绝操作； 如有， 则

3 数据销毁

销毁数据并通知标签 tag存储管理模块删除对应的 data-tag。

4 数据修改 调用权限确认算法以确认该用户是否具有使用此 移动应用对该数据进行操作的权限。 如无， 则拒绝 操作； 如有， 则对数据进行修改， 通知标签 tag存 储管理模块修改对应的 da ta-tag。

调用权限确认算法以确认该用户是否具有复制该 数据复制

5 数据的权限。 如无， 则拒绝操作； 如有， 则复制数

(整体复制）

据， 通知标签 tag生成器创建 data-tag。

调用权限确认算法以确认该用户是否具有备份该

6 数据备份 数据的权限。 如无， 则拒绝操作； 如有， 则备份数 据， 通知标签 tag生成器创建 data-tag。

部分复制 （复制数据中

7 禁止移动设备复制数据中的一部分的功能。

的一部分）

8 数据创建 通知标签 tag生成器创建 data-tag。

调用权限确认算法以确认该用户是否具有使用该 移动应用对合并的数据进行操作的权限。 如无， 则

9 数据合并

拒绝操作；如有，则对数据进行合并。通知标签 tag 生成器创建 data-tag。

若数据在本移动智能终端内转移， 允许操作， 通知 标签 tag存储管理模块修改对应的 da ta- tag;

若数据从移动智能终端转移至外部， 调用权限确认

10 数据转移

算法以确认该用户是否具有对该数据做此转移操 作的权限。 如无， 则拒绝操作； 如有， 则调用数据 传输过程的安全控制模块将数据转移出设备。

其中， 在数据处理过程中使用到的权限确认算法具体步骤如下：

输入： app-tag、 data-tag; 输出： Yes或 No

1.查看 "app.操作权限"， 读取用户使用此 app进行操作的数据保密级别；

2.查看所有的 "data-tag.数据使用权限"， 读取最高数据使用权限；

3.比较 "app.操作权限"与最高 "data-tag.数据使用权限" 的大小； 若大于等 于关系， 则返回 Yes; 若小于关系， 则返回 No。

数据传输过程的安全控制包括数据从移动接入网关传输到移动智能终端过 程和数据从移动智能终端传输到外部过程这两种情况进行的数据安全控制。

数据从移动接入网关传输到移动智能终端的具体步骤为：

1.数据从内网传送至移动接入网关的安全隔离存储区， 并通知标签 tag控制 管理模块的标签 tag生成器， 等待标签 tag生成器反馈消息； 2.获得标签 tag生成器反馈消息（相应的 data-tag )后， 根据 "data-tag.保密 级别" 选择合适的加密方式和传输方式；

3.协同标签 tag控制管理模块，与对应的 data-tag—起发送至移动智能终端。 数据从移动智能终端传输到外部的具体步骤为：

1.接到移动智能终端的数据传输申请后， 通知标签 tag控制管理模块的标签 tag存储管理模块， 从 data-tag数据库中返回数据对应的 data-tag标签；

2.调用数据处理过程的安全控制模块的权限确认算法，判断该用户是否拥有 权限做此传输操作；

3.如有权限， 根据 "data-tag.保密级别" 选择合适的加密方式和传输方式将 数据转移出设备。

数据存储中的安全隔离控制对移动终端上的静止数据进行隔离。 若收到数 据访问消息通知， 立即通知数据处理过程的安全隔离控制模块； 若收到数据传 送消息通知， 立即通知数据传输过程的安全控制模块。

此外， 本发明还提供了一种移动数据隔离的方法， 如图 5 所示， 该方法通 过生成数据标签 data-tag, 从而创建数据的保密级别和使用权限， 当推出移动应 用 app时生成移动应用标签 app-tag, 移动应用 app也设置了相应的操作权限， 通过权限确认算法实现移动应用标签 app-tag的操作权限与数据标签 data-tag相 匹配， 从而实现相应保密级别和使用权限的 data可以由相应操作权限的移动应 用 app来操作， 实现数据细粒度的安全隔离。 该方法的具体步驟为：

S1：从内网传输过来的数据 data通过移动网关标签 tag生成器生成数据标签 data-tag,并根据移动接入网关 data-tag创建算法设定 data-tag的保密级别和用户 权限， 并通知标签 tag传输控制模块；

S2:标签 tag传输控制模块加密标签 data-tag,通知移动数据管理模块中数据 传输过程的安全控制模块， 并以安全的方式传输与对应的数据一起发送至移动 智能终端；

S3:移动智能终端接收到数据和 data-tag后，调用 tag传输控制模块解密，之 后通知标签 tag生成器；

S4: tag生成器从移动数据管理模块中数据存储中的安全隔离模块获取数据 存放地址， 调用移动智能终端 data-tag修改算法生成最终的 data-tag, 通知标签 tag存储管理模块； S5:标签 tag存储管理模块将 data-tag存入 data-tag数据库；

S6:从内网推送出的应用 app通过移动接入网关 tag生成器生成移动应用标 签 app-tag， 根据移动接入网关 app-tag创建算法设定移动应用标签 app-tag的可 辨识标志（id )， 用户 id ( user-id )， 操作权限和生成数据的保密级别， 并通知标 签 tag存储管理模块；

S7:若移动应用 app是新建的则通知标签 tag存储管理模块将生成的移动应 用标签 app-tag存入 app-tag数据库， 然后通知标签 tag传输控制模块加密标签 app-tag, 并以安全的方式将其与对应的 app—起发送至移动智能终端； 若移动 应用 app发生变化， 在移动接入网关修改对应的移动应用标签 app-tag， 通知移 动接入网关的标签 tag存储管理模块更新 app-tag数据库， 然后通知标签 tag传 输控制模块加密移动应用标签 app-tag, 并以安全的方式发送至移动智能终端；

S8: 移动智能终端接收到推送的 app和 app-tag后， 调用 tag传输控制模块 解密， 之后通知标签 tag存储管理模块；

S9: 标签 tag存储管理模块将 app-tag存入 app-tag数据库；

S10: 通过权限确认算法实现 app-tag的操作权限与 data-tag相匹配，从而实 现相应保密级别和使用权限的 data可以由相应操作权限的 app来操作， 实现数 据细粒度的安全隔离。

本发明实施例中的 tag是存放在 data-tag数据库和 app-tag数据库中的， 除 此之外还可以将 data-tag直接与数据绑定， app-tag与移动应用绑定， 实现移动 数据的安全隔离， 但是这样不利于 tag的集中保护和管理， 这种情况下 tag泄露 的风险较高、 仿制及修改 tag的可能性也增大； 一旦 tag不能保证安全， 数据的 安全隔离保护也得不到保证。

本发明的实施例能有效对移动智能终端上的数据进行隔离， 确保移动数据 的保密安全性。 通过本发明能对移动智能终端上的数据进行细粒度的操作控制， 实现不同的保密策略。 移动智能终端上的数据能根据不同的保密级别授权给相 应操作权限的移动应用进行操作， 有效保证数据隔离性。 同时根据智能终端上 数据的不同保密级别对实现有区别的加密和传输策略， 有效利用了移动智能终 端有限的计算资源。

Claims

权 利 要 求 书

1、 一种移动数据隔离的系统， 其特征在于， 该系统由标签 tag控制管理模块 和移动数据管理模块组成；

标签 tag控制管理模块包括标签 tag生成器、 标签 tag存储管理模块和标签 tag 传输控制模块；

标签 tag生成器包括数据标签 data-tag生成器和移动应用标签 app-tag生成器， 在数据标签 data-tag和移动应用标签 app-tag生成或变动完成后通知标签 tag存储 管理模块；

标签 tag存储管理模块负责数据标签 data-tag和移动应用标签 app-tag的存储； 标签 tag传输控制模块包括对 data-tag的传输管理和对 app-tag的传输同步管 理；

移动数据管理模块根据标签识别用户权限和数据保密级别 , 对移动数据的 移动应用进行操作控制， 以实现移动数据细粒度的保密安全防护；

移动数据管理模块分为数据处理过程的安全隔离控制、 数据传输过程的安 全控制和数据存储中的安全隔离控制；

数据处理过程的安全隔离控制在移动智能终端和移动接入网关上实现； 数据传输过程的安全控制包括数据从移动接入网关传输到移动智能终端过 程和数据从移动智能终端传输到外部过程这两种情况进行的数据安全控制； 数据存储中的安全隔离控制对移动终端上的静止数据进行隔离； 若收到数 据访问消息通知， 立即通知数据处理过程的安全隔离控制模块； 若收到数据传 送消息通知， 立即通知数据传输过程的安全控制模块。

2、 如权利要求 1所述的系统， 其特征在于， 标签 tag存储管理模块还负责 对移动设备 data-tag数据库、移动设备 app-tag数据库、移动接入网关 app-tag数 据库这三个数据库的运行维护。

3、 如权利要求 1所述的系统， 其特征在于， 数据标签 data-tag生成器负责 生成移动数据的标签，分为移动智能终端 data-tag生成器和移动接入网关 data-tag 生成器两部分； 在移动智能终端设置 data-tag数据库， 在移动接入网关不设置 data-tag数据库

移动应用标签 app-tag生成器主要负责生成移动应用的标签， 分为移动智能 终端 app-tag生成器和移动接入网关 app-tag生成器两部分； 在移动智能终端和 移动接入网关均有 app-tag数据库。

4、 如权利要求 3所述的系统， 其特征在于， 移动智能终端 data-tag生成器负 责在移动智能终端对相应数据的 data-tag的创建、 修改； 移动接入网关 data-tag生 成器负责在移动接入网关生成数据相应的 data-tag后， 直接将数据以合适的方式 传送给移动终端， 不保存至数据库。

5、 如权利要求 3所述的系统， 其特征在于， 移动应用标签 app-tag只能在 接入网关处修改， 修改后加密推送给相应的移动智能终端用户； 移动智能终端 不对 app-tag进行任何修改。

6、 如权利要求 1所述的系统， 其特征在于， data-tag传输管理负责处理与 对应数据同步加密传送 data-tag; app-tag传输同步管理分为 app-tag新建传输管 理和 app-tag 同步传输管理， 负责处理与对应应用同步加密 app-tag, 并传送 app-tag到该标签指定的 "app.使用 app的用户 id" 所使用的移动智能终端处； 标签 tag传输是从移动接入网关向移动智能终端的单向传输。

7、 如权利要求 1或 2所述的系统， 其特征在于， 在数据处理过程中使用到 的权限确认算法具体步骤如下：

输入： app-tag、 data-tag; 输出： Yes或 No

1.查看 "app.操作权限"， 读取用户使用此 app进行操作的数据保密级别；

2.查看所有的 "data-tag.数据使用权限"， 读取最高数据使用权限；

3.比较 "app.操作权限"与最高 "data-tag.数据使用权限" 的大小； 若大于等 于关系， 则返回 Yes; 若小于关系， 则返回 No。

8、 如权利要求 1或 2所述的系统， 其特征在于， 数据从移动接入网关传输 到移动智能终端的具体步骤为：

数据从内网传送至移动接入网关的安全隔离存储区，并通知标签 tag控制管 理模块的标签 tag生成器， 等待标签 tag生成器反馈消息；

获得标签 tag生成器反馈消息后， 根据 "data-tag.保密级别" 选择合适的加 密方式和传输方式；

协同标签 tag控制管理模块， 与对应的 data-tag—起发送至移动智能终端； 数据从移动智能终端传输到外部的具体步驟为：

接到移动智能终端的数据传输申请后，通知标签 tag控制管理模块的标签 tag 存储管理模块， 从 data-tag数据库中返回数据对应的 data-tag标签； 调用数据处理过程的安全控制模块的权限确认算法， 判断该用户是否拥有 权限做此传输操作；

如有权限， 根据 "data-tag.保密级别" 选择合适的加密方式和传输方式将数 据转移出设备。

9、 一种移动数据隔离的方法， 其特征在于， 该方法通过生成数据标签 data-tag, 从而创建数据的保密级别和使用权限， 当推出移动应用 app时生成移动 应用标签 app-tag， 移动应用 app也设置了相应的操作权限， 通过权限确认算法实 现移动应用标签 app-tag的操作权限与数据标签 data-tag相匹配， 从而实现相应保 密级别和使用权限的 data可以由相应操作权限的移动应用 app来操作， 实现数据 细粒度的安全隔离； 具体步骤为：

S1:从内网传输过来的数据 data通过移动网关标签 tag生成器生成数据标签 data-tag,并根据移动接入网关 data-tag创建算法设定 data-tag的保密级别和用户 权限， 并通知标签 tag传输控制模块；

S2:标签 tag传输控制模块加密标签 data-tag，通知移动数据管理模块中数据 传输过程的安全控制模块， 并以安全的方式传输与对应的数据一起发送至移动 智能终端；

S3:移动智能终端接收到数据和 data-tag后，调用 tag传输控制模块解密，之 后通知标签 tag生成器；

S4: tag生成器从移动数据管理模块中数据存储中的安全隔离模块获取数据 存放地址， 调用移动智能终端 data-tag修改算法生成最终的 data-tag, 通知标签 tag存储管理模块；

S5:标签 tag存储管理模块将 data-tag存入 data-tag数据库；

S6:从内网推送出的应用 app通过移动接入网关 tag生成器生成移动应用标 签 app-tag, 根据移动接入网关 app-tag创建算法设定移动应用标签 app-tag的可 辨识标志， 用户 id, 操作权限和生成数据的保密级别， 并通知标签 tag存储管理 模块；

S7:若移动应用 app是新建的则通知标签 tag存储管理模块将生成的移动应 用标签 app-tag存入 app-tag数据库， 然后通知标签 tag传输控制模块加密标签 app-tag, 并以安全的方式将其与对应的 app—起发送至移动智能终端； 若移动 应用 app发生变化， 在移动接入网关修改对应的移动应用标签 app-tag, 通知移 动接入网关的标签 tag存储管理模块更新 app-tag数据库， 然后通知标签 tag传 输控制模块加密移动应用标签 app-tag， 并以安全的方式发送至移动智能终端；

S8: 移动智能终端接收到推送的 app和 app-tag后， 调用 tag传输控制模块 解密， 之后通知标签 tag存储管理模块；

S9: 标签 tag存储管理模块将 app-tag存入 app-tag数据库；

S10: 通过权限确认算法实现 app-tag的操作权限与 data-tag相匹配，从而实 现相应保密级别和使用权限的 data可以由相应操作权限的 app来操作， 实现数 据细粒度的安全隔离。

10、 如权利要求 9所述的方法， 其特征在于， 权限确认算法具体步骤为： 输入： app-tag、 data-tag; 输出： Yes或 No;

查看 "app.操作权限"， 读取用户使用此 app进行操作的数据保密级别； 查看所有的 "data-tag.数据使用权限"， 读取最高数据使用权限；

比较 "app.操作权限" 与最高 "data-tag.数据使用权限" 的大小； 若大于等 于关系， 则返回 Yes; 若小于关系， 则返回 No;

移动智能终端对相应数据的 data-tag 的创建、 修改分别通过移动智能终端 data-tag生成器创建算法和移动智能终端 data-tag生成器修改算法实现；

移动智能终端 data-tag生成器创建算法使用情况： 生成数据， 合并数据, 复 制数据， 备份数据的情景：

生成数据、 合并数据一一根据对数据操作的应用 "app-tag.生成数据保密级 别"， 对该数据操作的应用所读取的数据的 "tag.保密级别" 以确定生成数据的 "tag.保密级别" 取最高级别； 记录新数据的位置至 "tag.数据存放地址"； "tag. 用户权限"根据该应用所使用的所有数据 "tag.用户权限" 取最小权限级别， 若 无使用数据则 "tag.用户权限" 设置为当前用户可读写权限；

复制数据、 备份数据一一创建新 data-tag, 记录新数据的位置至 "tag.数据 存放地址"； 复制原数据的 "tag.保密级别"； 复制原数据的 "tag.用户权限"； 移动智能终端 data-tag生成器修改算法：

修改算法使用情况： 从移动网关接收数据、 修改原数据、 数据在本设备内 转移的情景；

从移动网关接收数据一一填写 "tag.数据存放地址"； 修改原数据一一根据对数据操作的应用 "app-tag.生成数据保密级别"， 原数tag.保密级别，， 确定新数据 "tag.保密级别" （取最高级别）； 其他不变； 在本设备内转移一一修改 "tag.数据存放地址"。