WO2017024820A1

WO2017024820A1 - 一种移动应用擦除的方法、移动终端和计算机可读存储介质

Info

Publication number: WO2017024820A1
Application number: PCT/CN2016/080778
Authority: WO
Inventors: 查桂峰
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-08-10
Filing date: 2016-04-29
Publication date: 2017-02-16
Also published as: CN106454803A

Abstract

一种移动应用擦除的方法和移动终端。该方法包括：将企业移动应用的读写操作进行加密处理，生成移动安全应用；接收用户对移动安全应用的写入数据请求，如果所述用户的身份校验通过，则在移动安全应用根据特征信息写入数据后，记录写入数据的该特征信息；接收移动应用管理服务器发送的策略信息；根据策略信息对移动安全应用执行擦除指令，根据特征信息对移动安全应用的应用数据进行擦除。

Description

一种移动应用擦除的方法、移动终端和计算机可读存储介质

技术领域

本申请涉及但不限于移动通信技术领域，尤其涉及一种移动应用擦除的方法、移动终端和计算机可读存储介质。

背景技术

移动化趋势在最近几年来非常明显，设备商、软件开发商等都在关注这个市场的变化，也在挖掘企业市场应用的新机会。

目前智能终端的处理能力越来越强，完全可以满足商务需求；每个智能设备厂商不断推出处理能力更强的智能终端。无线通讯技术的发展为移动终端应用体验提供了保障。

目前，政府、企业实现移动化进程越来越快，每种开发技术和平台也日趋完善，快速化已经不成问题。目前在移动设备管理中，企业应用数据安全擦除早已作为一种基本功能以保障数据安全，但在安卓系统中，由于本身接口和权限的安全限制，并不能实现较好的擦除。主要的企业数据擦除方法主要由两种：

(1)通过恢复出厂设置，做到清除应用。

(2)通过定制接口实现应用空间的私有数据擦除。

上述两种方法，一定程度上可以保障数据安全，但还是存在很多不足之处。一般只有手机丢失、报废或回收等该个人用户暂时不再使用的情况可以使用恢复出厂设置策略。恢复出厂设置不足之处主要表现在：

(1)如果是用户离开公司或者原先岗位，一般只需要清除相应权限的应用数据即可，不应该清除用户个人应用和数据以及其它新岗位也有权限的应用和数据，用户使用体验和效率较差。

(2)如果应用存储的数据可以保存在其它非私有目录下，如存放在外置TF卡上，则该部分数据无法知晓并删除。

通过定制接口实现的数据擦除，可以实现应用自己私有数据的擦除，但一般还是解决不了如下问题：

(1)非私有目录的应用数据，如外置TF卡上的应用数据或者文档，无法知晓并删除。

(2)定制接口不统一或不开放，每个厂家的智能手机不兼容，无法做到通用。

鉴于上述问题，亟待一种针对企业应用数据安全擦除的方法。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

一种移动应用擦除的方法，包括：

将企业移动应用的读写操作进行加密处理，生成移动安全应用；

接收用户对所述移动安全应用的写入数据请求，并对发出写入数据请求的用户进行身份校验，如果所述用户的身份校验通过，则在所述移动安全应用根据特征信息写入数据后，记录所述写入数据的所述特征信息；

接收移动应用管理服务器发送的策略信息；

根据所述策略信息对所述移动安全应用执行擦除指令，根据所述特征信息对所述移动安全应用的应用数据进行擦除。

可选地，所述方法还包括：

接收用户对所述移动安全应用的读取数据请求，并对发出读取数据请求的用户进行身份校验，如果所述用户的身份校验通过，则将所述用户访问的移动安全应用的应用数据的应用信息与所述特征信息进行比较；

如果所述用户访问的所述移动安全应用的应用数据的信息与所述特征信息不一致，则将所述用户访问的所述移动安全应用的应用数据进行擦除。

可选地，

所述方法还包括：如果所述用户的身份校验未通过，则返回失败；

如果所述用户的身份校验通过，则根据所述用户和写入数据请求分配写入路径，并对所述写入路径进行安全记录；

根据密钥策略，产生加密密钥，并对所述加密密钥进行安全记录；

将安全写入所需的所述写入路径和所述加密密钥返回给所述移动安全应用。

所述移动安全应用根据所述特征信息写入数据包括：

所述移动安全应用根据所述加密密钥对所述写入数据进行加密，并根据所述写入路径和所述特征信息写入加密后的所述写入数据。

可选地，所述接收移动应用管理服务器发送的策略信息包括：

接收用户登录移动应用管理服务器后移动应用管理服务器对用户身份进行校验返回的结果；

根据所述返回的结果，在所述移动应用管理服务器检查出需要下发证书或更新证书后，接收所述移动应用管理服务器下发或更新的证书；和/或，

在所述移动应用管理服务器检查出需要更新策略信息后，接收所述移动应用管理服务器下发的新的策略信息。

可选地，所述策略信息包括：指令擦除策略、应用数据有效期策略、应用权限策略、删除移动安全应用策略、离线访问策略和密钥管理策略。

指令擦除策略包括：预先设置的擦除执行延迟时间以及执行失败的处理的指令；

应用数据有效期策略包括：预先设置的所述应用数据的安全保存有效期，以及所述安全保存有效期到达后所述应用数据的处理方式；

应用权限策略包括：预先设置的用户没有访问权限的移动安全应用的处理方式；

删除移动安全应用策略包括：预先设置的所述移动安全应用在需要删除或者更新时的处理方式；

离线访问策略包括：不能连接所述移动应用管理服务器时移动安全应用的处理方法；

密钥管理策略包括：预先设置的所述应用数据的加密密钥算法。

一种移动终端，包括：

移动应用数据安全打包器，设置为将企业移动应用的读写操作进行加密处理，生成移动安全应用；

移动应用基座容器，设置为接收用户对所述移动安全应用的写入数据请求，并在对发出写入数据请求的用户进行身份校验后，如果所述用户的身份校验通过，则在所述移动安全应用根据特征信息写入数据后，记录所述写入数据的所述特征信息；

所述移动应用基座容器，还设置为接收移动应用管理服务器发送的策略信息；并根据所述策略信息对所述移动安全应用执行擦除指令，根据特征信息对所述移动安全应用的应用数据进行擦除。

可选地，

所述移动应用管理服务器设置为：接收用户对所述移动安全应用的读取数据请求，并对发出读取数据请求的用户进行身份校验。

所述移动应用基座容器，还设置为：

如果所述用户的身份校验通过，则将所述用户访问的移动安全应用数据的应用信息与所述特征信息进行比较；

可选地，

所述移动应用数据安全打包器还设置为：如果所述用户的身份校验未通过，则返回失败；

所述移动安全应用根据所述特征信息写入数据包括：

可选地，所述移动应用基座容器接收移动应用管理服务器发送的策略信息包括：

根据所述返回的结果，在所述移动应用管理服务器检查出需要下发证书或更新证书后，接收所述移动应用管理服务器下发或更新的证书；

应用权限策略，包括：预先设置的用户没有访问权限的移动安全应用的处理方式；

所述离线访问策略包括：不能连接所述移动应用管理服务器时移动安全应用的处理方法；

一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现所述的移动应用擦除方法。

通过本发明实施例的移动应用擦除方法，可以让企业移动应用数据实现应用级安全管控，无需恢复出厂设置、无需定制终端，为企业应用的数据安全和企业应用的安全移动化推广提供了较好的技术支撑。可广泛的用于政企移动应用中，适合不同行业、领域快速安全地实现应用移动化，保障政企应用数据的安全。

附图概述

图1表示本发明实施例中移动应用擦除的方法的流程示意图；

图2表示本发明实施例中移动终端的构成示意图；

图3表示本发明实施例中移动应用基座和移动应用管理服务器的交互示意图；

图4表示本发明实施例中移动应用基座向移动安全应用下发策略信息示意图；

图5表示本发明实施例中移动应用基座控制移动安全应用写入数据示意图；

图6表示本发明实施例中移动应用基座控制移动安全应用读取数据示意图。

本发明的实施方式

下面结合附图对本发明的实施方式进行描述。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

实施例1，

参照图1所示，一种移动应用擦除的方法，包括步骤S101～S104：

S101，将企业移动应用的读写操作进行加密处理，生成移动安全应用；

S102，接收用户对移动安全应用的写入数据请求，并对发出写入数据请求的用户进行身份校验，如果所述用户的身份校验通过，则在移动安全应用根据特征信息写入数据后，记录所述写入数据的所述特征信息。

在本发明实施例中，记录移动安全应用的应用数据写入时的特征信息，是对移动安全应用的数据进行擦除的依据。特征信息包括用户标识、应用标志、路径、数据大小等，通过特征信息可以找到与之对应的移动安全应用及其有关的数据信息。

S103，接收移动应用管理服务器发送的策略信息。

S104，根据策略信息对移动安全应用执行擦除指令，根据所述特征信息对移动安全应用的应用数据进行擦除。

本发明实施例的方法中，通过将企业移动应用的读写操作进行加密处理生成移动安全应用，来保证企业移动应用的安全性。另外，当所述用户的身份校验成功，允许移动安全应用写入时，记录写入数据的特征信息。当需要擦除写入的信息时，通过接收移动应用管理服务器发送的策略信息，并根据该特征信息对移动安全应用的数据进行擦除。该方法可以让企业移动应用数据实现应用级安全管控，无需恢复出厂设置、无需定制终端，为企业应用的数据安全和企业应用的安全移动化推广提供了较好的技术支撑。

实施例2，

可选地，步骤S102之后还包括：

接收用户对移动安全应用的读取数据请求，并对发出读取数据请求的用户进行身份校验，如果所述用户的身份校验通过，则将所述用户访问的移动安全应用的应用数据的信息与所述特征信息进行比较；

如果用户访问读取时，用户访问的应用数据的信息与该特征信息不同时，证明移动安全应用的信息已经被更改或拷贝或进行其他处理，与之前特征信息的记录不符合。则根据特征信息对该移动安全应用的应用数据进行擦除。

实施例3，

可选地，该方法还包括：如果所述用户的身份校验未通过，则返回失败。

如果所述用户的身份校验通过，则完成以下步骤S2011～S2013的操作：

S2011、根据所述用户和写入数据请求分配写入路径，并对所述写入路径进行安全记录.

S2012、根据密钥策略，产生加密密钥，并对所述加密密钥进行安全记录。

S2013、将安全写入所需的所述写入路径和所述加密密钥返回给所述移动安全应用。

其中，所述移动安全应用根据所述特征信息写入数据包括：

实施例4，

可选地，接收移动应用管理服务器发送的策略信息步骤包括：

接收用户登录移动应用管理服务器后移动应用管理服务器对用户身份进行校验返回的结果；根据返回的结果，在所述移动应用管理服务器检查出需要下发证书或更新证书后，接收所述移动应用管理服务器下发或更新的证书；在所述移动应用管理服务器检查出需要更新策略信息后，接收所述移动应用管理服务器下发的新的策略信息。

其中，移动应用管理服务器下发策略信息，用户可以根据需要定义该策略信息。该策略信息中包括对移动安全应用的擦除指令。该方案的优势在于，可以实现多个移动终端的移动安全应用的擦除管理，针对不同终端的请求，移动应用管理服务器下发不同的策略信息，为企业应用的数据安全和企业应用的安全移动化推广提供了较好的技术支撑。可选地，所述策略信息包括：指令擦除策略、应用数据有效期策略、应用权限策略、删除移动安全应用策略、离线访问策略和密钥管理策略；

所述指令擦除策略包括：预先设置的擦除执行延迟时间以及执行失败的处理的指令。

所述应用数据有效期策略包括：预先设置的所述应用数据的安全保存有效期，以及所述安全保存有效期到达后所述应用数据的处理方式。

所述应用权限策略包括：预先设置的用户没有访问权限的移动安全应用的处理方式。

所述删除移动安全应用策略包括：预先设置的所述移动安全应用在需要删除或者更新时的处理方式。

所述离线访问策略包括：不能连接所述移动应用管理服务器时移动安全应用的处理方法。

所述密钥管理策略包括：预先设置的所述应用数据的加密密钥算法。

实施例5，

参照图2所示，对应上述移动应用擦除的方法，本文还提供了一种移动终端，包括：

移动应用数据安全打包器1，设置为将企业移动应用10的读写操作进行加密处理，生成移动安全应用20。

移动应用基座容器2，设置为接收用户对移动安全应用20的写入数据请求，并对发出写入数据请求的用户进行身份校验，如果所述用户的身份校验通过，则移动安全应用20根据特征信息写入数据后，记录所述写入数据的所述特征信息。

移动应用基座容器2，还设置为接收移动应用管理服务器3发送的策略信息；并根据策略信息对移动安全应用20执行擦除指令，根据特征信息对移动安全应用20的应用数据进行擦除。

该移动终端中，通过移动应用数据安全打包器2将企业移动应用的读写操作进行加密处理生成移动安全应用，来保证企业移动应用的安全性。另外，移动应用基座容器2对移动安全应用的用户校验成功，允许移动安全应用写入时，移动应用基座容器2记录写入数据的特征信息。当需要擦除写入的信息时，移动应用基座容器通过接收移动应用管理服务器3发送的策略信息，并根据特征信息对移动安全应用的数据进行擦除。该移动终端可以让企业移动应用数据实现应用级安全管控，无需恢复出厂设置、无需定制终端，为企业应用的数据安全和企业应用的安全移动化推广提供了较好的技术支撑。

实施例6，

移动应用基座容器2，还设置为：

如果所述用户的身份校验通过，则将所述用户访问的移动安全应用数据的信息与所述特征信息进行比较。

如果所述用户访问的所述移动安全应用的应用数据的信息与特征信息不一致，则将所述用户访问的移动安全应用的应用数据进行擦除。

在本发明实施例中，如果移动应用基座容器2检测到移动安全应用被恶意访问，即用户访问的应用信息与特征信息不符合，对该移动安全应用的应用数据进行擦除。从而防止移动安全应用的应用数据被更改或是靠背造成的数据泄露。

需要说明的是，参照图6所示，当读取过程中，利用特征信息进行合法检查通过，即用户访问的应用信息与特征信息一致时，并且检查密钥通过后，返回密钥。移动应用基座容器2返回移动安全应用20的读取申请，移动安全应用20此时可以进行安全读取。

实施例7，

可选地，所述移动应用数据安全打包器还设置为：如果所述用户的身份校验未通过，则返回失败；

所述移动安全应用根据所述特征信息写入数据包括：

参照图5所示，从用户发起写入数据请求，到移动应用基座容器2保存移动安全应用20写入数据的特征信息的过程包括步骤S201～S208：

S201、移动应用基座容器2接收用户对移动安全应用20发起的写入数据请求。

S202、移动应用基座容器2对用户访问的应用信息和用户进行合法检查，如果所述用户的身份校验未通过则返回失败。

S203、所述用户的身份校验通过，移动应用基座容器2则根据用户和写入数据请求分配写入路径，并安全记录。

S204、移动应用基座容器2根据密钥策略，产生加密密钥，并安全记录。

S205、移动应用基座容器2将安全写入所需的数据信息(包括写入路径和加密秘钥)返回给移动安全应用20。

S207、所述移动安全应用根据所述加密密钥对所述写入数据进行加密，并根据所述写入路径和所述特征信息写入加密后的所述写入数据。

S208、移动应用基座容器2在移动安全应用20写完数据后，记录写入数据的特征信息。

移动安全应用20在收到写入数据信息后，加密安全写入数据，不保留密钥，此时写入方法可以自定义，为了防止其他异常拷贝等安全，可以分成几个部分来写，这里不做具体限制。动安全应用写完数据后，通知基座容器，基座容器记录应用数据特征信息，该特征信息包括：用户标识、应用标志、路径、数据大小等。

实施例8，

所述移动应用基座容器接收移动应用管理服务器发送的策略信息包括：

接收用户登录移动应用管理服务器后移动应用管理服务器对用户身份进行校验返回的结果。

根据所述返回的结果，在所述移动应用管理服务器检查出需要下发证书或更新证书后，接收所述移动应用管理服务器下发或更新的证书。

在本发明实施例中，参照图3所示，移动应用基座容器2与移动应用管理服务器3的交互包括但不限于步骤S301～S303：

S301、用户访问移动应用基座容器2，并登录，登录时携带本机用户证书信息，策略更新信息等。用户登录移动应用管理服务器3后，接收移动应用管理服务器3对用户身份进行的校验返回，如果校验失败则返回失败；

S302、移动应用管理服务器3检查是否需要下发证书或更新证书，如果检查出需要下发证书或更新证书，移动应用基座容器2则接收移动应用管理服务器3下发或更新证书；

S303、移动应用管理服务器3检查是否需要更新策略信息，如果检查出需要更新策略信息，移动应用基座容器2则接收移动应用管理服务器3下发的新的策略信息。

不同移动应用基座容器2所在的移动终端接收不同的用户的访问，管理不同的移动安全应用，通过移动应用管理服务器3进行集群控制。移动应用管理服务器3根据不同的登录用户和请求选择是否对移动应用基座容器2下发证书及下发策略信息，其中针对策略信息的内容是根据用户和请求是可以定义的，方便对各个移动终端的数据进行控制。

参照图4所示，移动应用基座容器2通过策略信息21控制移动安全应用20的操作，策略信息21包括：指令擦除策略、应用数据有效期策略、应用权限策略、删除移动安全应用策略、离线访问策略和密钥管理策略。

指令擦除策略包括：预先设置的擦除执行延迟时间以及执行失败的处理的指令(如告警，暂停应用访问等)。

应用数据有效期策略包括：预先设置的所述应用数据的安全保存有效期，以及所述安全保存有效期到达后所述应用数据的处理方式(如自动删除等)；

应用权限策略预先设置的用户没有访问权限的移动安全应用的处理方式。可以设置为立刻或延迟删除该用户的应用数据，并不允许用户访问数据。一般是设置为延迟删除，以防用户权限未及时变更等问题；

离线访问策略包括：不能连接所述移动应用管理服务器时移动安全应用的处理方法。如可以定义定期连接要求策略，如果不满足则执行清理所有应用数据，并禁止启动任何企业应用

密钥管理策略包括：所述预先设置的所述应用数据的加密密钥算法。

移动应用基座容器将对移动终端的安全应用数据定时检查执行上述策略。

本发明实施例中，移动终端的移动应用基座容器和移动应用数据安全打包器可以用软件实现，以便由各种类型的处理器执行。举例来说，一个移动应用基座容器可以包括计算机指令的一个或多个物理或者逻辑块，举例来说，其可以被构建为对象、过程或函数。尽管如此，移动应用基座容器的可执行代码无需物理地位于一起，而是可以包括存储在不同位里上的不同的指令，当这些指令逻辑上结合在一起时，其构成并且实现该移动应用基座容器或移动应用数据安全打包器的规定目的。

实际上，移动应用基座容器可以是单条指令或者是许多条指令，并且甚至可以分布在多个不同的代码段上，分布在不同程序当中，以及跨越多个存储器设备分布。同样地，操作数据可以在模块内被识别，并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集，或者可以分布在不同位置上(包括在不同存储设备上)，并且至少部分地可以仅作为电子信号存在于系统或网络上。

在移动应用基座容器和移动应用数据安全打包器可以利用软件实现时，考虑到现有硬件工艺的水平，在不考虑成本的情况下，本领域技术人员都可以搭建对应的硬件电路来实现对应的功能，所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。移动应用基座容器和移动应用数据安全打包器还可以用可编程硬件设备，诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。

上述实施例中的装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

工业实用性

通过本发明实施例的方案，将企业移动应用的读写操作进行加密处理，生成移动安全应用；接收用户对移动安全应用的写入数据请求，如果所述用户的身份校验通过，则在移动安全应用根据特征信息写入数据后，记录写入数据的该特征信息；接收移动应用管理服务器发送的策略信息；根据策略信息对移动安全应用执行擦除指令，根据特征信息对移动安全应用的应用数据进行擦除。能够使得企业移动应用数据实现应用级安全管控，无需恢复出厂设置、无需定制终端，为企业应用的数据安全和企业应用的安全移动化推广提供了较好的技术支撑。

Claims

一种移动应用擦除的方法，包括：

将企业移动应用的读写操作进行加密处理，生成移动安全应用；

接收用户对所述移动安全应用的写入数据请求，并对发出写入数据请求的用户进行身份校验，如果所述用户的身份校验通过，则在所述移动安全应用根据特征信息写入数据后，记录所述写入数据的所述特征信息；

接收移动应用管理服务器发送的策略信息；

根据所述策略信息对所述移动安全应用执行擦除指令，根据所述特征信息对所述移动安全应用的应用数据进行擦除。
如权利要求1所述的移动应用擦除的方法，所述方法还包括：

接收用户对所述移动安全应用的读取数据请求，并对发出读取数据请求的用户进行身份校验，如果所述用户的身份校验通过，则将所述用户访问的移动安全应用的应用数据的信息与所述特征信息进行比较；

如果所述用户访问的所述移动安全应用的应用数据的信息与所述特征信息不一致，则将所述用户访问的所述移动安全应用的应用数据进行擦除。
如权利要求1所述的移动应用擦除的方法，所述方法还包括：如果所述用户的身份校验未通过，则返回失败；

如果所述用户的身份校验通过，则根据所述用户和写入数据请求分配写入路径，并对所述写入路径进行安全记录；

根据密钥策略，产生加密密钥，并对所述加密密钥进行安全记录；

将安全写入所需的所述写入路径和所述加密密钥返回给所述移动安全应用；

所述移动安全应用根据所述特征信息写入数据包括：

所述移动安全应用根据所述加密密钥对所述写入数据进行加密，并根据所述写入路径和所述特征信息写入加密后的所述写入数据。
如权利要求1所述的移动应用擦除的方法，其中，所述接收移动应用管理服务器发送的策略信息包括：

接收用户登录移动应用管理服务器后移动应用管理服务器对用户身份进行校验返回的结果；

根据所述返回的结果，在所述移动应用管理服务器检查出需要下发证书或更新证书后，接收所述移动应用管理服务器下发或更新的证书；和/或，

在所述移动应用管理服务器检查出需要更新策略信息后，接收所述移动应用管理服务器下发的新的策略信息。
如权利要求1所述的移动应用擦除的方法，其中，所述策略信息包括：指令擦除策略、应用数据有效期策略、应用权限策略、删除移动安全应用策略、离线访问策略和密钥管理策略；

所述指令擦除策略包括：预先设置的擦除执行延迟时间以及执行失败的处理的指令；

所述应用数据有效期策略包括：预先设置的所述应用数据的安全保存有效期，以及所述安全保存有效期到达后所述应用数据的处理方式；

所述应用权限策略包括：预先设置的用户没有访问权限的移动安全应用的处理方式；

所述删除移动安全应用策略包括：预先设置的所述移动安全应用在需要删除或者更新时的处理方式；

所述离线访问策略包括：不能连接所述移动应用管理服务器时移动安全应用的处理方法；

所述密钥管理策略包括：预先设置的所述应用数据的加密密钥算法。
一种移动终端，包括：移动应用数据安全打包器，设置为将企业移动应用的读写操作进行加密处理，生成移动安全应用；

移动应用基座容器，设置为接收用户对所述移动安全应用的写入数据请求，并在对发出写入数据请求的用户进行身份校验后，如果所述用户的身份校验通过，则在所述移动安全应用根据特征信息写入数据后，记录所述写入数据的所述特征信息；

所述移动应用基座容器，还设置为接收移动应用管理服务器发送的策略信息；并根据所述策略信息对所述移动安全应用执行擦除指令，根据特征信息对所述移动安全应用的应用数据进行擦除。
如权利要求6所述的移动终端，其中，所述移动应用管理服务器设置为：接收用户对所述移动安全应用的读取数据请求，并对发出读取数据请求的用户进行身份校验；

所述移动应用基座容器，还设置为：

如果所述用户的身份校验通过，则将所述用户访问的移动安全应用数据的应用信息与所述特征信息进行比较；

如果所述用户访问的所述移动安全应用的应用数据的信息与所述特征信息不一致，则将所述用户访问的所述移动安全应用的应用数据进行擦除。
如权利要求6所述的移动终端，

所述移动应用数据安全打包器还设置为：如果所述用户的身份校验未通过，则返回失败；

如果所述用户的身份校验通过，则根据所述用户和写入数据请求分配写入路径，并对所述写入路径进行安全记录；

根据密钥策略，产生加密密钥，并对所述加密密钥进行安全记录；

将安全写入所需的所述写入路径和所述加密密钥返回给所述移动安全应用；

所述移动安全应用根据所述特征信息写入数据包括：

所述移动安全应用根据所述加密密钥对所述写入数据进行加密，并根据所述写入路径和所述特征信息写入加密后的所述写入数据。
如权利要求6所述的移动终端，其中，所述移动应用基座容器接收移动应用管理服务器发送的策略信息包括：

接收用户登录移动应用管理服务器后移动应用管理服务器对用户身份进行校验返回的结果；根据所述返回的结果，在所述移动应用管理服务器检查出需要下发证书或更新证书后，接收所述移动应用管理服务器下发或更新的证书；

在所述移动应用管理服务器检查出需要更新策略信息后，接收所述移动应用管理服务器下发的新的策略信息。
如权利要求6所述的移动终端，其特征在于，所述策略信息包括：指令擦除策略、应用数据有效期策略、应用权限策略、删除移动安全应用策略、离线访问策略和密钥管理策略；

所述指令擦除策略包括：预先设置的擦除执行延迟时间以及执行失败的处理的指令；

所述应用数据有效期策略包括：预先设置的所述应用数据的安全保存有效期，以及所述安全保存有效期到达后所述应用数据的处理方式；

所述应用权限策略包括：预先设置的用户没有访问权限的移动安全应用的处理方式；

所述删除移动安全应用策略包括：预先设置的所述移动安全应用在需要删除或者更新时的处理方式；

所述离线访问策略包括：不能连接所述移动应用管理服务器时移动安全应用的处理方法；

所述密钥管理策略包括：预先设置的所述应用数据的加密密钥算法。
一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现如权利要求1-5任意一项所述的移动应用擦除方法。