WO2016065636A1 - 用于终端的数据管理方法、数据管理装置和终端 - Google Patents

Abstract

一种用于终端的数据管理方法、一种用于终端的数据管理装置和一种终端。所述终端的操作平台包括第一系统和第二系统。其中，所述数据管理方法包括：在所述操作平台的内核区域创建用于存储隐私数据的存储空间（102）；禁止所述第一系统内的应用程序读取所述存储空间中的数据，并授予所述第二系统内的应用程序具有读取所述存储空间中的数据的权限（104）。本技术方案可以将用户的隐私数据存放在终端操作平台的内核区域，并且授予不同系统以不同的数据读/写权限，有效的增强了隐私数据的安全性。

Description

用于终端的数据管理方法、数据管理装置和终端 技术领域

本发明涉及终端技术领域，具体而言，涉及一种用于终端的数据管理方法、一种用于终端的数据管理装置和一种终端。

背景技术

目前，终端的系统架构往往分为多层，并分别设置有与每层相对应的安全架构，每层安全架构往往设置不同的安全机制，以保证每层数据的安全。例如：Android系统架构可分为四层，分别是：Linux(一种操作系统)Kernel(操作系统内核)、Android类库与运行时系统层、应用程序框架层和应用程序层。在安全方面，与Android系统架构相对应，Android对其安全架构也分为四层，分别为系统级安全、虚拟机安全、应用框架安全和应用程序安全。每层安全架构所用到的安全机制分别为：文件访问控制、安全沙箱、数字证书、代码安全及接入权限。

在Android内核，系统在安全方面的工作主要表现在安全访问控制上。访问策略位于Linux内核的存储空间，Android手机启动时从存储器中读取策略文件来调置访问策略。

具体地，Android在文件的权限管理上应用了Linux的ACL(Access Control list，访问控制列表)权限机制。系统将访问策略文件存放在Android存储器中，该文件列出了Android手机的文件访问策略，由Android手机用户根据自己的需要加以定制，如允许ADB daemon(Android Debug Bridge，Android调试桥)读文件程序，禁止写程序文件。

分区层面，在系统运行时，Android系统架构最外层的安全防护是由Linux系统提供的，其中system.img所在的分区是只读的，不允许用户写入，而data.img所在的分区是可读写的，用于存放用户数据。

但是，当前大多数智能终端(如智能手机)对于用户的隐私数据的保护只是对文件夹的访问加了一个密码，使用密钥才能打开文件夹并查看里面的保密文件。这种方式并不能从根本上保护用户的数据安全，如在通过数据线将手机连接至电脑上时，可以在电脑上查看到手机中存储的隐私数据，如视频，图片等，严重影响了用户隐私数据的安全性。

因此，如何能够有效地对终端中的隐私数据进行保护成为亟待解决的技术问题。

发明内容

本发明正是基于上述技术问题至少之一，提出了一种新的用于终端的数据管理方案，可以将用户的隐私数据存放到终端操作平台的内核区域，并且授予不同系统以不同的数据读/写权限，有效地增强了隐私数据的安全性。

有鉴于此，本发明提出了一种用于终端的数据管理方法，所述终端的操作平台包括第一系统和第二系统，所述数据管理方法，包括：在所述操作平台的内核区域创建用于存储隐私数据的存储空间；禁止所述第一系统内的应用程序读取所述存储空间中的数据，并授予所述第二系统内的应用程序具有读取所述存储空间中的数据的权限。

在该技术方案中，由于操作平台的内核区域设置有与之对应的系统级别安全架构对其进行保护，因此通过在操作平台的内核区域创建用于存储隐私数据的存储空间，能够确保隐私数据享有系统级别的安全权限，有效地保护了隐私数据的安全性，即便是通过数据线将终端与电脑进行连接，也无法在电脑上查看到终端中的隐私数据。而通过禁止第一系统内的应用程序读取存储空间中的数据，且授予第二系统中的应用程序具有读取存储空间中数据的权限，使得能够进一步防止第一系统中的应用程序获取到用户的隐私数据，从而增强了隐私数据的安全性。

上述方案有多种应用场景，如用户可以将授权的应用程序安装在第二系统内，将未授权的应用程序安装在第一系统内，这样既避免了未授权的应用程序恶意获取用户的隐私数据，也能够避免授权应用在每次读取隐私 数据时都需要向用户提示而影响用户的操作体验。

在上述技术方案中，优选地，还包括：授予所述第一系统内的应用程序和所述第二系统内的应用程序具有向所述存储空间中存储数据的权限，并授予所述第二系统内的应用程序具有对所述存储空间中的数据进行编辑的权限。

在该技术方案中，通过授予第一系统和第二系统中的应用程序向存储空间存储数据的权限，同时授予第二系统内的应用程序对存储空间中的数据的编辑的权限，使得能够在保证两个系统中的应用程序向存储空间中存储数据的功能的前提下，防止第一系统中的应用程序对存储空间中的数据进行修改、删除等操作，从而保护了存储空间中隐私数据的安全。

在上述技术方案中，优选地，还包括：在接收到所述第一系统内的任一应用程序向所述存储空间中存储数据的请求时，对所述任一应用程序进行鉴权，并在鉴权通过时，允许所述任一应用程序向所述存储空间中存储数据。

在该技术方案中，通过在第一系统中的任一应用程序向所述存储空间中存储数据的请求时，对上述任一应用程序进行鉴权，使得第一系统中的应用程序为授权应用程序时才能够将数据存储到存储空间中，避免所有的应用程序都具有向上述存储空间中存储数据的权限而造成上述存储空间中的数据混乱而影响第二系统中的应用程序对上述存储空间中的数据进行访问。

在上述技术方案中，优选地，通过安全芯片对所述任一应用程序进行鉴权。

在该技术方案中，由于安全芯片是可信任平台模块(Trusted Platform Module，TPM)，是一种能够独立进行密钥生成、加解密功能的装置，安全芯片内部拥有独立的处理器和存储单元，可以存储密钥和特征数据，能够为终端提供加密和安全认证服务。使用安全芯片对应用程序进行鉴权，即对数据进行加密，密钥会被存储在硬件中，被窃取的数据无法破解，从而进一步保护了用户数据的安全。针对本发明的技术方案来说，第一系统内的应用程序在需要向上述的存储空间内存储数据时，该应用程序需要从 安全芯片内获取由安全芯片生成的用于向上述存储空间存储数据的密钥，进而通过判断该应用程序获取到的密钥是否是用于向上述存储空间存储数据的密钥实现对该应用程序的鉴权。由于安全芯片生成的密钥存储在安全芯片内，无法进行修改，因此可以有效地避免恶意程序对密钥进行修改而导致获得非法权限。

在上述技术方案中，优选地，所述第二系统的存储区域包括所述存储空间。

在该技术方案中，具体来说，上述存储隐私数据的存储空间可以与第二系统的存储区域置于同一个分区和相同的安全级别下，以保证隐私数据具有内核级的安全性。同时，若存储隐私数据的存储空间无限扩大，则可以将第二系统的所有存储区域均作为存储隐私数据的存储空间。

根据本发明的第二方面，还提出了一种用于终端的数据管理装置，所述终端的操作平台包括第一系统和第二系统，所述数据管理装置，包括：创建单元，用于在所述操作平台的内核区域创建用于存储隐私数据的存储空间；处理单元，用于禁止所述第一系统内的应用程序读取所述存储空间中的数据，并授予所述第二系统内的应用程序具有读取所述存储空间中的数据的权限。

在该技术方案中，由于操作平台的内核区域设置有与之对应的系统级别安全架构对其进行保护，因此通过在操作平台的内核区域创建用于存储隐私数据的存储空间，能够确保隐私数据享有系统级别的安全权限，有效地保护了隐私数据的安全性，即便是通过数据线将终端与电脑进行连接，也无法在电脑上查看到终端中的隐私数据。而通过禁止第一系统内的应用程序读取存储空间中的数据，且授予第二系统中的应用程序具有读取存储空间中数据的权限，使得能够进一步防止第一系统中的应用程序获取到用户的隐私数据，从而增强了隐私数据的安全性。

上述方案有多种应用场景，如用户可以将授权的应用程序安装在第二系统内，将未授权的应用程序安装在第一系统内，这样既避免了未授权的应用程序恶意获取用户的隐私数据，也能够避免授权应用在每次读取隐私数据时都需要向用户提示而影响用户的操作体验。

在上述技术方案中，优选地，所述处理单元还用于：授予所述第一系统内的应用程序和所述第二系统内的应用程序具有向所述存储空间中存储数据的权限，并授予所述第二系统内的应用程序具有对所述存储空间中的数据进行编辑的权限。

在该技术方案中，通过授予第一系统和第二系统中的应用程序向存储空间存储数据的权限，同时授予第二系统内的应用程序对存储空间中的数据的编辑的权限，使得能够在保证两个系统中的应用程序向存储空间中存储数据的功能的前提下，防止第一系统中的应用程序对存储空间中的数据进行修改、删除等操作，从而保护了存储空间中隐私数据的安全。

在上述技术方案中，优选地，还包括：鉴权单元，用于在接收到所述第一系统内的任一应用程序向所述存储空间中存储数据的请求时，对所述任一应用程序进行鉴权，并在鉴权通过时，允许所述任一应用程序向所述存储空间中存储数据。

在该技术方案中，通过在第一系统中的任一应用程序向所述存储空间中存储数据的请求时，对上述任一应用程序进行鉴权，使得第一系统中的应用程序为授权应用程序时才能够将数据存储到存储空间中，避免所有的应用程序都具有向上述存储空间中存储数据的权限而造成上述存储空间中的数据混乱而影响第二系统中的应用程序对上述存储空间中的数据进行访问。

在上述技术方案中，优选地，所述鉴权单元具体用于：通过安全芯片对所述任一应用程序进行鉴权。

在该技术方案中，由于安全芯片是可信任平台模块(Trusted Platform Module，TPM)，是一种能够独立进行密钥生成、加解密功能的装置，安全芯片内部拥有独立的处理器和存储单元，可以存储密钥和特征数据，能够为终端提供加密和安全认证服务。使用安全芯片对应用程序进行鉴权，即对数据进行加密，密钥会被存储在硬件中，被窃取的数据无法破解，从而进一步保护了用户数据的安全。针对本发明的技术方案来说，第一系统内的应用程序在需要向上述的存储空间内存储数据时，该应用程序需要从安全芯片内获取由安全芯片生成的用于向上述存储空间存储数据的密钥， 进而通过判断该应用程序获取到的密钥是否是用于向上述存储空间存储数据的密钥实现对该应用程序的鉴权。由于安全芯片生成的密钥存储在安全芯片内，无法进行修改，因此可以有效地避免恶意程序对密钥进行修改而导致获得非法权限。

根据本发明的第三方面，还提出了一种终端，包括：如上述任一项技术方案中所述的用于终端的数据管理装置。

通过以上技术方案，可以将用户的隐私数据存放到终端操作平台的内核区域，并且授予不同系统以不同的数据读/写权限，有效地增强了隐私数据的安全性。

附图说明

图1示出了根据本发明的一个实施例的用于终端的数据管理方法的示意流程图；

图2示出了根据本发明的一个实施例的用于终端的数据管理装置的示意框图；

图3示出了根据本发明的一个实施例的终端的内部架构示意图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。

图1示出了根据本发明的一个实施例的用于终端的数据管理方法的示意流程图。

其中，本发明所述的终端的操作平台包括第一系统和第二系统。如图1所示，根据本发明的一个实施例的用于终端的数据管理方法，包括：步骤102，在所述操作平台的内核区域创建用于存储隐私数据的存储空间； 步骤104，禁止所述第一系统内的应用程序读取所述存储空间中的数据，并授予所述第二系统内的应用程序具有读取所述存储空间中的数据的权限。

在该技术方案中，由于操作平台的内核区域设置有与之对应的系统级别安全架构对其进行保护，因此通过在操作平台的内核区域创建用于存储隐私数据的存储空间，能够确保隐私数据享有系统级别的安全权限，有效地保护了隐私数据的安全性，即便是通过数据线将终端与电脑进行连接，也无法在电脑上查看到终端中的隐私数据。而通过禁止第一系统内的应用程序读取存储空间中的数据，且授予第二系统中的应用程序具有读取存储空间中数据的权限，使得能够进一步防止第一系统中的应用程序获取到用户的隐私数据，从而增强了隐私数据的安全性。

上述方案有多种应用场景，如用户可以将授权的应用程序安装在第二系统内，将未授权的应用程序安装在第一系统内，这样既避免了未授权的应用程序恶意获取用户的隐私数据，也能够避免授权应用在每次读取隐私数据时都需要向用户提示而影响用户的操作体验。

在上述技术方案中，优选地，还包括：授予所述第一系统内的应用程序和所述第二系统内的应用程序具有向所述存储空间中存储数据的权限，并授予所述第二系统内的应用程序具有对所述存储空间中的数据进行编辑的权限。

在该技术方案中，通过授予第一系统和第二系统中的应用程序向存储空间存储数据的权限，同时授予第二系统内的应用程序对存储空间中的数据的编辑的权限，使得能够在保证两个系统中的应用程序向存储空间中存储数据的功能的前提下，防止第一系统中的应用程序对存储空间中的数据进行修改、删除等操作，从而保护了存储空间中隐私数据的安全。

在上述技术方案中，优选地，还包括：在接收到所述第一系统内的任一应用程序向所述存储空间中存储数据的请求时，对所述任一应用程序进行鉴权，并在鉴权通过时，允许所述任一应用程序向所述存储空间中存储数据。

在该技术方案中，通过在第一系统中的任一应用程序向所述存储空间 中存储数据的请求时，对上述任一应用程序进行鉴权，使得第一系统中的应用程序为授权应用程序时才能够将数据存储到存储空间中，避免所有的应用程序都具有向上述存储空间中存储数据的权限而造成上述存储空间中的数据混乱而影响第二系统中的应用程序对上述存储空间中的数据进行访问。

在上述技术方案中，优选地，通过安全芯片对所述任一应用程序进行鉴权。

在该技术方案中，由于安全芯片是可信任平台模块(Trusted Platform Module，TPM)，是一种能够独立进行密钥生成、加解密功能的装置，安全芯片内部拥有独立的处理器和存储单元，可以存储密钥和特征数据，能够为终端提供加密和安全认证服务。使用安全芯片对应用程序进行鉴权，即对数据进行加密，密钥会被存储在硬件中，被窃取的数据无法破解，从而进一步保护了用户数据的安全。针对本发明的技术方案来说，第一系统内的应用程序在需要向上述的存储空间内存储数据时，该应用程序需要从安全芯片内获取由安全芯片生成的用于向上述存储空间存储数据的密钥，进而通过判断该应用程序获取到的密钥是否是用于向上述存储空间存储数据的密钥实现对该应用程序的鉴权。由于安全芯片生成的密钥存储在安全芯片内，无法进行修改，因此可以有效地避免恶意程序对密钥进行修改而导致获得非法权限。

在上述技术方案中，优选地，所述第二系统的存储区域包括所述存储空间。

在该技术方案中，具体来说，上述存储隐私数据的存储空间可以与第二系统的存储区域置于同一个分区和相同的安全级别下，以保证隐私数据具有内核级的安全性。同时，若存储隐私数据的存储空间无限扩大，则可以将第二系统的所有存储区域均作为存储隐私数据的存储空间。

图2示出了根据本发明的一个实施例的用于终端的数据管理装置的示意框图。

其中，所述终端的操作平台包括第一系统和第二系统，所述数据管理装置如图2所示，根据本发明的一个实施例的用于终端的数据管理装置 200，包括：创建单元202，用于在所述操作平台的内核区域创建用于存储隐私数据的存储空间；处理单元204，用于禁止所述第一系统内的应用程序读取所述存储空间中的数据，并授予所述第二系统内的应用程序具有读取所述存储空间中的数据的权限。

在该技术方案中，由于操作平台的内核区域设置有与之对应的系统级别安全架构对其进行保护，因此通过在操作平台的内核区域创建用于存储隐私数据的存储空间，能够确保隐私数据享有系统级别的安全权限，有效地保护了隐私数据的安全性，即便是通过数据线将终端与电脑进行连接，也无法在电脑上查看到终端中的隐私数据。而通过禁止第一系统内的应用程序读取存储空间中的数据，且授予第二系统中的应用程序具有读取存储空间中数据的权限，使得能够进一步防止第一系统中的应用程序获取到用户的隐私数据，从而增强了隐私数据的安全性。

上述方案有多种应用场景，如用户可以将授权的应用程序安装在第二系统内，将未授权的应用程序安装在第一系统内，这样既避免了未授权的应用程序恶意获取用户的隐私数据，也能够避免授权应用在每次读取隐私数据时都需要向用户提示而影响用户的操作体验。

在上述技术方案中，优选地，所述处理单元204还用于：授予所述第一系统内的应用程序和所述第二系统内的应用程序具有向所述存储空间中存储数据的权限，并授予所述第二系统内的应用程序具有对所述存储空间中的数据进行编辑的权限。

在该技术方案中，通过授予第一系统和第二系统中的应用程序向存储空间存储数据的权限，同时授予第二系统内的应用程序对存储空间中的数据的编辑的权限，使得能够在保证两个系统中的应用程序向存储空间中存储数据的功能的前提下，防止第一系统中的应用程序对存储空间中的数据进行修改、删除等操作，从而保护了存储空间中隐私数据的安全。

在上述技术方案中，优选地，还包括：鉴权单元206，用于在接收到所述第一系统内的任一应用程序向所述存储空间中存储数据的请求时，对所述任一应用程序进行鉴权，并在鉴权通过时，允许所述任一应用程序向所述存储空间中存储数据。

在该技术方案中，通过在第一系统中的任一应用程序向所述存储空间中存储数据的请求时，对上述任一应用程序进行鉴权，使得第一系统中的应用程序为授权应用程序时才能够将数据存储到存储空间中，避免所有的应用程序都具有向上述存储空间中存储数据的权限而造成上述存储空间中的数据混乱而影响第二系统中的应用程序对上述存储空间中的数据进行访问。

在上述技术方案中，优选地，所述鉴权单元206具体用于：通过安全芯片对所述任一应用程序进行鉴权。

在该技术方案中，由于安全芯片是可信任平台模块(Trusted Platform Module，TPM)，是一种能够独立进行密钥生成、加解密功能的装置，安全芯片内部拥有独立的处理器和存储单元，可以存储密钥和特征数据，能够为终端提供加密和安全认证服务。使用安全芯片对应用程序进行鉴权，即对数据进行加密，密钥会被存储在硬件中，被窃取的数据无法破解，从而进一步保护了用户数据的安全。针对本发明的技术方案来说，第一系统内的应用程序在需要向上述的存储空间内存储数据时，该应用程序需要从安全芯片内获取由安全芯片生成的用于向上述存储空间存储数据的密钥，进而通过判断该应用程序获取到的密钥是否是用于向上述存储空间存储数据的密钥实现对该应用程序的鉴权。由于安全芯片生成的密钥存储在安全芯片内，无法进行修改，因此可以有效地避免恶意程序对密钥进行修改而导致获得非法权限。

本发明还提出了一种终端(图中未示出)，包括如图2所示的用于终端的数据管理装置200。

以下以安全箱作为存储隐私数据的存储空间，并以Android系统为终端的操作平台，以普通系统作为第一系统，安全系统作为第二系统详细阐述本发明的一个实施例的技术方案。

图3示出了根据本发明的一个实施例的终端的内部架构示意图。

如图3所示，终端包括普通系统和安全系统，终端中的安全箱放在Android的内核层加密保护起来，享受系统级的权限安全，安全箱在内存中的分区可以供普通系统和安全系统两个系统共同访问，但作为内核层的 分区，在普通系统下的应用程序302只能写入数据，并且需先从安全芯片(如图3所示，安装在普通系统内，当然也可以安装在安全系统内)获取密钥才能有往安全箱写入数据。而在安全系统下应用程序304可以直接访问安全箱中的数据，不需要再申请密钥，同时还可以读数据、修改数据和删除数据。安全系统已经将对于隐私数据的保护扩大到对用户行为和数据的保护，安全系统本身就是一个更大范围的安全箱。

以上结合附图详细说明了本发明的技术方案，考虑到当前大多数智能终端(如智能手机)对于用户的隐私数据的保护只是对文件夹的访问加了一个密码，使用密钥才能打开文件夹并查看里面的保密文件。这种方式并不能从根本上保护用户的数据安全，如在通过数据线将手机连接至电脑上时，可以在电脑上查看到手机中存储的隐私数据，如视频，图片等，严重影响了用户隐私数据的安全性。因此，本发明提出了一种新的用于终端的数据管理方案，可以将用户的隐私数据存放到终端操作平台的内核区域，并且授予不同系统以不同的数据读/写权限，有效地增强了隐私数据的安全性。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1. 一种用于终端的数据管理方法，所述终端的操作平台包括第一系统和第二系统，其特征在于，所述数据管理方法，包括：

   在所述操作平台的内核区域创建用于存储隐私数据的存储空间；

   禁止所述第一系统内的应用程序读取所述存储空间中的数据，并授予所述第二系统内的应用程序具有读取所述存储空间中的数据的权限。
2. 根据权利要求1所述的用于终端的数据管理方法，其特征在于，还包括：

   授予所述第一系统内的应用程序和所述第二系统内的应用程序具有向所述存储空间中存储数据的权限，并授予所述第二系统内的应用程序具有对所述存储空间中的数据进行编辑的权限。
3. 根据权利要求2所述的用于终端的数据管理方法，其特征在于，还包括：

   在接收到所述第一系统内的任一应用程序向所述存储空间中存储数据的请求时，对所述任一应用程序进行鉴权，并在鉴权通过时，允许所述任一应用程序向所述存储空间中存储数据。
4. 根据权利要求3所述的用于终端的数据管理方法，其特征在于，通过安全芯片对所述任一应用程序进行鉴权。
5. 根据权利要求1至4中任一项所述的用于终端的数据管理方法，其特征在于，所述第二系统的存储区域包括所述存储空间。
6. 一种用于终端的数据管理装置，所述终端的操作平台包括第一系统和第二系统，其特征在于，所述数据管理装置，包括：

   创建单元，用于在所述操作平台的内核区域创建用于存储隐私数据的存储空间；

   处理单元，用于禁止所述第一系统内的应用程序读取所述存储空间中的数据，并授予所述第二系统内的应用程序具有读取所述存储空间中的数据的权限。
7. 根据权利要求6所述的用于终端的数据管理装置，其特征在于， 所述处理单元还用于：

   授予所述第一系统内的应用程序和所述第二系统内的应用程序具有向所述存储空间中存储数据的权限，并授予所述第二系统内的应用程序具有对所述存储空间中的数据进行编辑的权限。
8. 根据权利要求7所述的用于终端的数据管理装置，其特征在于，还包括：

   鉴权单元，用于在接收到所述第一系统内的任一应用程序向所述存储空间中存储数据的请求时，对所述任一应用程序进行鉴权，并在鉴权通过时，允许所述任一应用程序向所述存储空间中存储数据。
9. 根据权利要求8所述的用于终端的数据管理装置，其特征在于，所述鉴权单元具体用于：通过安全芯片对所述任一应用程序进行鉴权。
10. 一种终端，其特征在于，包括：如权利要求6至9中任一项所述的用于终端的数据管理装置。

Images