WO2018133583A1

WO2018133583A1 - 设备上安全空间的管理方法、装置及系统

Info

Publication number: WO2018133583A1
Application number: PCT/CN2017/115678
Authority: WO
Inventors: 沙爽
Original assignee: 中兴通讯股份有限公司
Priority date: 2017-01-18
Filing date: 2017-12-12
Publication date: 2018-07-26
Also published as: CN108322910A

Abstract

提供了一种设备上安全空间的管理方法、装置及系统，其中该方法包括：用户终端UE验证接入设备的第一身份信息；当第一身份信息为合法信息时，UE为接入设备分配允许访问UE的安全空间的权限，并与接入设备建立连接。

Description

设备上安全空间的管理方法、装置及系统

技术领域

本公开涉及通信领域，具体而言，涉及一种设备上安全空间的管理方法、装置及系统。

背景技术

随着用户终端(User Equipment，简称为UE)设备的功能越来越丰富，越来越多的涉及用户隐私的信息和办公文件会保存在UE(如手机)上，但是由于UE上的系统的开放性，很难控制所有应用程序的访问权限，用户的隐私存在被泄露的风险。基于上述问题，目前提出的方案是在UE的内部划分出普通空间与安全空间，其中，普通空间用于保存个人生活数据，而安全空间用于保存与移动办公或者个人隐私相关的需要保密的数据。系统通过强制访问控制等安全机制来确保普通空间与安全空间之间相互隔离，即，普通空间应用无法访问安全空间数据，普通空间的应用无法调用安全空间的应用。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本公开实施例提供了一种设备上安全空间的管理方法、装置及系统。

根据本公开的一个实施例，提供了一种设备上安全空间的管理方法，包括：UE验证接入设备的第一身份信息；当所述第一身份信息为合法信息时，所述UE为所述接入设备分配允许访问所述UE的安全空间的权限，并与所述接入设备建立连接。

在示例性实施例中，UE验证接入设备的第一身份信息，包括：所述UE比较所述第一身份信息与预先配置的第二身份信息是否一致，其中，所述第二身份信息为所述UE的可信设备的身份信息；所述UE依据比较结果确定所述第一身份信息是否合法，其中，在所述比较结果指示所述第一身份信息与所述第二身份信息一致时，确定所述第一身份信息合法。

在示例性实施例中，所述安全空间的权限包括至少以下之一：浏览所述安全空间的数据；读写所述安全空间的数据；对所述安全空间中的数据进行加密；对所述安全空间中的加密数据进行解密。

在示例性实施例中，所述安全空间为所述UE在文件系统的逻辑卷管理层面划分的用于存储保密数据的物理卷。

在示例性实施例中，所述第一身份信息包括至少以下之一：主板ID号、硬盘序列号，CUP序列号、串口设备ID号。

根据本公开的另一个实施例，提供了一种设备上安全空间的管理方法，包括：接入设备发送第一身份信息到UE；所述接入设备接收所述UE对所述第一身份信息的验证结果，并当所述验证结果为所述第一身份信息为合法信息时，所述接入设备与所述UE建立连接；所述接入设备按照所述UE分配的允许访问的安全空间的权限对所述安全空间的数据进行管理。

根据本公开的另一个实施例，提供了一种设备上安全空间的管理装置，应用于UE，包括：验证模块，配置为验证接入设备的第一身份信息；分配模块，配置为当所述第一身份信息为合法信息时，为所述接入设备分配允许访问所述UE的安全空间的权限；建立模块，配置为与所述接入设备建立连接。

在示例性实施例中，所述验证模块还配置为比较所述第一身份信息与预先配置的第二身份信息是否一致，其中，所述第二身份信息为所述UE的可信设备的身份信息；以及依据比较结果确定所述第一身份信息是否合法，其中，在所述比较结果指示所述第一身份信息与所述第二身份信息一致时，确定所述第一身份信息合法。

根据本公开的另一个实施例，提供了一种设备上安全空间的管理装置，应用于接入设备，包括：发送模块，配置为发送第一身份信息到用户终端UE；接收模块，配置为接收所述UE对所述第一身份信息发送的验证结果；建立模块，配置为当所述验证结果为所述第一身份信息为合法信息时与所述UE建立连接；管理模块，配置为按照所述UE分配的允许访问的安全空间的权限对所述安全空间的数据进行管理。

根据本公开的另一个实施例，提供了一种设备上安全空间的管理系统，包括：UE和接入设备，其中，所述UE配置为验证所述接入设备的第一身份信息；以及当所述第一身份信息为合法信息时，为所述接入设备分配允许访问所述UE的安全空间的权限，并与所述接入设备建立连接；所述接入设备配置为发送第一身份信息到所述UE；接收所述UE发送的验证结果，并当验证结果为所述第一身份信息为合法信息时与所述UE建立连接；按照所述UE分配的允许访问的安全空间的权限对所述安全空间的数据进行管理。

根据本公开的另一个实施例，还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码：用户终端UE验证接入设备的第一身份信息；当所述第一身份信息为合法信息时，所述UE为所述接入设备分配允许访问所述UE的安全空间的权限，并与所述接入设备建立连接。

在示例性实施例中，存储介质还设置为存储用于执行以下步骤的程序代码：所述UE比较所述第一身份信息与预先配置的第二身份信息是否一致，其中，所述第二身份信息为所述UE的可信设备的身份信息；所述UE依据比较结果确定所述第一身份信息是否合法，其中，在所述比较结果指示所述第一身份信息与所述第二身份信息一致时，确定所述第一身份信息合法。

通过本公开，由于UE通过设备的身份信息对于接入设备进行验证，当确定接入设备的身份信息为合法信息时，为该接入设备分配访问UE的安全空间的权限并与接入设备建立连接，实现了接入设备对于UE上安全空间的数据的管理，因此，本公开的方案解决了UE上安全空间的数据无法外部管理，安全空间的数据无法释放且缺乏可信的控制设备的问题，达到用户通过接入设备管理UE上安全空间的数据，使得安全空间上的数据可以通过外界设备导出，防止UE的存储空间被大量占用，实现了对于UE上安全空间的数据的便捷管理的效果。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图说明

图1是独立的双操作系统的结构示意图；

图2是虚拟双操作系统的结构示意图；

图3是共享内核但不共享应用运行环境的双操作系统的结构示意图；

图4是本公开实施例的一种设备上安全空间的管理方法的UE的硬件结构框图；

图5是根据本公开实施例的设备上安全空间的管理方法的流程图(一)；

图6是根据本公开实施例的对于物理卷进行存储划分的示意图；

图7是根据本公开实施例的UE与可信设备进行数据交互的示意图；

图8是根据本公开示例性实施例的设备上安全空间的管理方法的流程图；

图9是根据本公开实施例的设备上安全空间的管理方法的流程图(二)；

图10是根据本公开实施例的设备上安全空间的管理装置的结构框图(一)；

图11是根据本公开实施例的设备上安全空间的管理装置的结构框图(二)；

图12是根据本公开实施例的设备上安全空间的管理系统的结构框图。

具体实施方式

常用的安全空间隔离技术，主要包括以下几种方案：

1、独立的双操作系统。如图1所示，UE上安装有两套操作系统，该两套操作系统直接安装在系统的不同的分区上且相互独立，两个操作系统不共享系统内核或没有共同的内核，两个系统不能同时运行，只有重启才能切换到另一个操作系统，如手机上的Android+Windows Phone，或Android+Firefox OS。

2、虚拟双操作系统。如图2所示，直接在硬件上做虚拟系统，由于硬件上搭载两个操作系统，该两个操作系统不共享内核且完全隔离，因此，两个系统可以同时运行并且采用软切换模式进行切换，切换时不用重启。

3、共享内核但不共享应用运行环境的双操作系统。如图3所示，两个操作系统共享同一内核，但是该两个操作系统采用不同的应用运行环境，使用时无需重启手机，可一键实现两个系统的无缝切换。

但是上述安全空间隔离技术存在如下缺陷:1、无法管理安全空间的数据。由于目前，在UE的安全模式下，UE是不允许连接因特网和蓝牙的，以及在通过U盘模式连接接入设备(如电脑)时，不允许接入设备上显示安全空间的数据。用户无法通过接入设备来管理安全空间的数据。2、UE的存储空间被安全空间的数据大量占用。由于安全空间的数据没有途径导出，导致UE的存储空间被大量占用，最终导致安全空间无法正常使用。3、缺乏可信的控制设备。UE无法选择信任的控制设备，导致无法在UE以外的设备上对于安全空间上的数据进行处理。

下文中将参考附图并结合实施例来详细说明本公开。

本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

为便于理解本公开实施例，以下对本公开实施例中所涉及的技术术语解释如下：

接入设备：UE通过无线或有线的形式所接入的设备。

示例1

本公开示例1所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在UE上为例，图4是本公开实施例的一种设备上安全空间的管理方法的UE的硬件结构框图。如图4所示，UE 40可以包括一个或多个(图中仅示出一个)处理器402(处理器402可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器404、以及用于通信功能的传输装置406。本领域普通技术人员可以理解，图4所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，UE 40还可包括比图4中所示更多或者更少的组件，或者具有与图4所示不同的配置。

存储器404可用于存储应用软件的软件程序以及模块，如本公开实施例中的设备上安全空间的管理方法对应的程序指令/模块，处理器402通过运行存储在存储器404内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器404可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器404可还包括相对于处理器402远程设置的存储器，这些远程存储器可以通过网络连接至UE 40。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置406用于经由一个网络接收或者发送数据。上述的网络实例可包括UE 40的通信供应商提供的无线网络。在一个实例中，传输装置406包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置406可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

在本示例中提供了一种运行于图4所示的UE的设备上安全空间的管理方法，图5是根据本公开实施例的设备上安全空间的管理方法的流程图(一)，如图5所示，该流程包括如下步骤：

步骤S502，UE验证接入设备的第一身份信息；

步骤S504，当第一身份信息为合法信息时，UE为接入设备分配允许访问UE的安全空间的权限，并与接入设备建立连接。

在本示例中，上述UE可以为包括手机在内的移动终端，接入设备可以包括电脑在内的数据处理设备，但是并不限于此。

通过上述步骤，由于UE通过设备的身份信息对于接入设备进行验证，当确定接入设备的身份信息为合法信息时，为该接入设备分配访问UE的安全空间的权限并与接入设备建立连接，实现了接入设备对于UE上安全空间的数据的管理，因此，本公开的方案解决了UE上安全空间的数据无法外部管理，安全空间的数据无法释放且缺乏可信的控制设备的问题，达到用户通过接入设备管理UE上安全空间的数据，使得安全空间上的数据可以通过外界设备导出，防止UE的存储空间被大量占用，实现了对于UE上安全空间的数据的便捷管理的效果。

在一个示例性的实施例中，上述步骤S502可以通过如下方式实现：UE比较第一身份信息与预先配置的第二身份信息是否一致，其中，第二身份信息为UE的可信设备的身份信息；UE依据比较结果确定第一身份信息是否合法，其中，在比较结果指示第一身份信息与第二身份信息一致时，确定第一身份信息合法。

在本示例中，上述第二身份信息为预先在UE上配置的可信设备的身份信息，其中，可信设备可以为UE通过认证或者鉴权等方式确定的可进行安全访问的设备，但是并不限于此。在UE比较第一身份信息与第二身份信息是否一致之前，要验证UE上是否存储有第二身份信息，当判断UE没有预先配置第二身份信息时，要对于第二身份信息进行配置，即，直接获取当前连接的接入设备的身份信息并在接收到用户确认该接入设备为可信设备时将上述接入设备的身份信息作为第二身份信息进行存储。UE通过比较第一身份信息与预先配置的第二身份信息是否一致的方法确定第一身份信息是否合法，能够使得UE快速地确定可信设备，为UE与可信的接入设备建立连接提供了保证。

在一个示例性的实施例中，上述安全空间的权限包括至少以下之一：浏览安全空间的数据；读写安全空间的数据；对安全空间中的数据进行加密；对安全空间中的加密数据进行解密。

在一个示例性的实施例中，上述安全空间为UE在文件系统的逻辑卷管理层面划分的用于存储保密数据的物理卷。

在本示例中，如图6所示，可以从文件系统的逻辑卷管理层面对物理卷进行普通空间和安全空间的存储划分，这样可以实现当不具备合法身份信息的接入设备与UE连接时，自动屏蔽安全空间对应的逻辑卷；当具有合法身份信息的接入设备与UE连接是，则显示安全空间对应的逻辑卷。

在一个示例性的实施例中，上述第一身份信息包括至少以下之一信息：主板ID号、硬盘序列号，CUP序列号、串口设备ID号。

在一个示例性的实施例中，在UE与接入设备建立连接以后，会通过数据传输管道进行数据的传输，UE的安全空间和接入设备上均会安装有进行身份验证的认证模块且分别安装有认证程序。当接入设备与UE的安全空间通过数据线连接时，接入设备的认证程序会将其设备硬件信息发给UE，包括：主板ID号、硬盘序列号、CPU序列号、串口设备ID号等，由UE上的认证程序负责检验和匹配可信设备，并进行绑定，将绑定后的上述信息保存下来，作为后续判断所连接的接入设备是否为可信设备的依据。当UE确定接入设备的身份信息为合法信息时，即，接入设备为可信设备，允许该接入设备访问安全空间的数据，当UE确定接入设备的身份信息为非法信息时，即，接入设备不是可信设备，则自动屏蔽安全空间的数据。

当接入设备为可信设备时，图7是根据本公开实施例的UE与可信设备进行数据交互的示意图，如图7所示，UE的安全空间上安装有可信设备认证装置72，其中，上述可信设备认证装置72包括可信设备身份验证模块74、可信设备信息显示模块76、可信设备设置模块78和数据管道控制模块710；可信设备上安装有可信设备认证装置712，其中，上述可信设备认证装置712包括可信设备身份验证模块714。各个模块具体功能如下：

可信设备身份验证模块74配置为与可信设备认证模块714之间进行接入设备的身份验证，在验证成功后确定该接入设备为可信设备，与可信设备建立一对一的匹配关系；

可信设备信息显示模块76配置为在UE上显示允许访问安全空间的可信设备的信息；

可信设备设置模块78配置为编辑可信设备的名称或者删除该可信设备；

数据管道控制模块710配置为根据可信设备身份验证模块74对于接入设备的身份信息的验证结果通知数据传输管道716允许或不允许该接入设备访问UE上安全空间的数据，其中，上述数据传输管道716配置为与可信设备上的数据传输管道718之间建立数据连接，并在建立连接后在UE和可信设备之间传输数据，包括对数据的加密和解密。

图8是根据本公开示例性实施例的设备上安全空间的管理方法的流程图，如图8所示，UE为手机，接入设备为电脑且结合图7所示的装置，该方法流程如下：

步骤S802，手机和电脑通过数据线连接；

步骤S804，手机检测安全空间是否已经预先配置有可信设备的身份信息，当安全空间没有预先配置可信设备的身份信息时，执行步骤S806，当安全空间预先配置有可信设备的身份信息时，执行步骤S812；

步骤S806，可信设备身份验证模块74获取上述电脑发送的设备信息；

步骤S808，可信设备信息显示模块76将电脑的设备信息在手机屏幕上进行显示并判断用户是否选择设置可信设备，当用户选择设置可信设备时，执行步骤S810，当用户选择不设置可信设备时，执行步骤S824；

步骤S810，可信设备设置模块78保存电脑的设备信息，执行步骤S818；

步骤S812，可信设备身份验证模块74读取预先配置的可信设备的身份信息并获取电脑发送的设备信息；

步骤S814，可信设备身份验证模块74比较电脑发送的设备信息与可信设备的身份信息是否一致，当信息不一致时，执行步骤S816，当信息一致时，执行步骤S818；

步骤S816，数据管道控制模块710通知数据传输管道716不允许该电脑访问手机上安全空间的数据；手机屏蔽安全空间数据，对电脑不可见，执行步骤S824；

步骤S818，数据管道控制模块710通知数据传输管道716允许该电脑访问手机上安全空间的数据；手机放开安全空间的数据并对电脑可见；

步骤S820，数据传输管道716与电脑上的数据传输管道718之间建立数据连接；

步骤S822，手机接收电脑经由数据传输管道718发送的加密数据并在安全空间上对于加密数据进行解密以及显示；和/或手机接收到电脑发送的数据访问的请求后，经由数据传输管道716发送加密数据，电脑接收该加密数据并进行解密以及显示；

步骤S824，结束流程。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是通常采用的实施方式。基于这样的理解，本公开的方案本质上可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本公开各个实施例所述的方法。

示例2

在本示例中提供了一种设备上安全空间的管理方法，图9是根据本公开实施例的设备上安全空间的管理方法的流程图(二)，如图9所示，该流程包括如下步骤：

步骤S902，接入设备发送第一身份信息到UE；

步骤S904，接入设备接收UE对第一身份信息的验证结果，并当验证结果为第一身份信息为合法信息时，接入设备与UE建立连接；

步骤S906，接入设备按照UE分配的允许访问的安全空间的权限对安全空间的数据进行管理。

通过上述步骤，实现了接入设备对于UE上安全空间的数据的管理，因此，本公开的方案解决了UE上安全空间的数据无法外部管理，安全空间的数据无法释放且缺乏可信的控制设备的问题，达到用户通过接入设备管理UE上安全空间的数据，使得安全空间上的数据可以通过外界设备导出，防止UE的存储空间被大量占用，实现了对于UE上安全空间的数据的便捷管理的效果。

在一个示例性的实施例中，上述安全空间的权限包括至少以下之一：浏览安全空间的数据；读写安全空间的数据；对安全空间中的数据进行加密；对安全空间中的加密数据进行解密.

示例3

在本示例中还提供了一种设备上安全空间的管理装置，该装置用于实现之前示例及示例性实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置通常以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图10是根据本公开实施例的设备上安全空间的管理装置的结构框图(一)，如图10所示，该装置包括验证模块102，配置为验证接入设备的第一身份信息；分配模块104，配置为当所述第一身份信息为合法信息时，为所述接入设备分配允许访问所述UE的安全空间的权限；建立模块106，配置为与所述接入设备建立连接。

在一个示例性的实施例中，上述验证模块102还配置为比较所述第一身份信息与预先配置的第二身份信息是否一致，其中，所述第二身份信息为所述UE的可信设备的身份信息；以及依据比较结果确定所述第一身份信息是否合法，其中，在所述比较结果指示所述第一身份信息与所述第二身份信息一致时，确定所述第一身份信息合法。

本示例在模块的划分上与示例1存在不同，在本示例中的验证模块102与示例1中的可信设备身份验证模块74类似，但增加了一些新的功能特征；分配模块104与示例1中的数据管道控制模块710类似，但增加了一些新的功能特征；建立模块106与数据传输管道716类似，但增加了一些新的功能特征。

上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中。

示例4

图11是根据本公开实施例的设备上安全空间的管理装置的结构框图(二)，如图11所示，该装置包括发送模块112，配置为发送第一身份信息到用户终端UE；接收模块114，配置为接收所述UE对所述第一身份信息发送的验证结果；建立模块116，配置为当所述验证结果为所述第一身份信息为合法信息时与所述UE建立连接；管理模块118，配置为按照所述UE分配的允许访问的安全空间的权限对所述安全空间的数据进行管理。

示例5

在本示例中还提供了一种设备上安全空间的管理系统，该系统用于实现之前示例及示例性实施方式，已经进行过说明的不再赘述。

图12是根据本公开实施例的设备上安全空间的管理系统的结构框图，如图12所示，上述设备上安全空间的管理系统包括UE122和接入设备124。所述UE122配置为验证所述接入设备的第一身份信息；以及当所述第一身份信息为合法信息时，为所述接入设备分配允许访问所述UE的安全空间的权限，并与所述接入设备建立连接；所述接入设备124配置为发送第一身份信息到所述UE；接收所述UE发送的验证结果，并当验证结果为所述第一身份信息为合法信息时与所述UE建立连接；按照所述UE分配的允许访问的安全空间的权限对所述安全空间的数据进行管理。

示例6

本公开的实施例还提供了一种存储介质。在本示例中，上述存储介质可以被设置为存储用于执行以下步骤的程序代码：S11，用户终端UE验证接入设备的第一身份信息；S12，当所述第一身份信息为合法信息时，所述UE为所述接入设备分配允许访问所述UE的安全空间的权限，并与所述接入设备建立连接。

在本示例中，存储介质还可以被设置为存储用于执行以下步骤的程序代码：S21，所述UE比较所述第一身份信息与预先配置的第二身份信息是否一致，其中，所述第二身份信息为所述UE的可信设备的身份信息；S22，所述UE依据比较结果确定所述第一身份信息是否合法，其中，在所述比较结果指示所述第一身份信息与所述第二身份信息一致时，确定所述第一身份信息合法

本公开的实施例还提供了一种存储介质。在本示例中，上述存储介质可以被设置为存储用于执行以下步骤的程序代码：S31，接入设备发送第一身份信息到用户终端UE；S32，所述接入设备接收所述UE对所述第一身份信息的验证结果，并当所述验证结果为所述第一身份信息为合法信息时，所述接入设备与所述UE建立连接；S33，所述接入设备按照所述UE分配的允许访问的安全空间的权限对所述安全空间的数据进行管理。

在本示例中，上述存储介质可以包括但不限于：U盘、只读存储器(Read-Only Memory，简称为ROM)、随机存取存储器(Random Access Memory，简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

本示例中的具体实施方式可以参考之前示例及示例性实施方式，在此不再赘述。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

以上所述仅为本公开的示例性实施例而已，并不用于限制本公开，对于本领域的技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。

工业实用性

通过本公开，由于UE通过设备的身份信息对于接入设备进行验证，当确定接入设备的身份信息为合法信息时，为该接入设备分配访问UE的安全空间的权限并与接入设备建立连接，实现了接入设备对于UE上安全空间的数据的管理，因此，本公开的方案解决了UE上安全空间的数据无法外部管理，安全空间的数据无法释放且缺乏可信的控制设备的问题，达到用户通过接入设备管理UE上安全空间的数据，使得安全空间上的数据可以通过外界设备导出，防止UE的存储空间被大量占用，实现了对于UE上安全空间的数据的便捷管理的效果。因此本公开具有工业实用性。

Claims

一种设备上安全空间的管理方法，包括：

用户终端UE验证接入设备的第一身份信息；

当所述第一身份信息为合法信息时，所述UE为所述接入设备分配允许访问所述UE的安全空间的权限，并与所述接入设备建立连接。
根据权利要求1所述的方法，其中，UE验证接入设备的第一身份信息，包括：

所述UE比较所述第一身份信息与预先配置的第二身份信息是否一致，其中，所述第二身份信息为所述UE的可信设备的身份信息；

所述UE依据比较结果确定所述第一身份信息是否合法，其中，在所述比较结果指示所述第一身份信息与所述第二身份信息一致时，确定所述第一身份信息合法。
根据权利要求1所述的方法，其中，所述安全空间的权限包括至少以下之一：

浏览所述安全空间的数据；

读写所述安全空间的数据；

对所述安全空间中的数据进行加密；

对所述安全空间中的加密数据进行解密。
根据权利要求1所述的方法，其中，所述安全空间为所述UE在文件系统的逻辑卷管理层面划分的用于存储保密数据的物理卷。
根据权利要求1至4中任一项所述的方法，其中，所述第一身份信息包括至少以下之一：主板ID号、硬盘序列号，CUP序列号、串口设备ID号。
一种设备上安全空间的管理方法，包括：

接入设备发送第一身份信息到用户终端UE；

所述接入设备接收所述UE对所述第一身份信息的验证结果，并当所述验证结果为所述第一身份信息为合法信息时，所述接入设备与所述UE建立连接；

所述接入设备按照所述UE分配的允许访问的安全空间的权限对所述安全空间的数据进行管理。
根据权利要求6所述的方法，其中，所述安全空间的权限包括至少以下之一：

浏览所述安全空间的数据；

读写所述安全空间的数据；

对所述安全空间中的数据进行加密；

对所述安全空间中的加密数据进行解密。
一种设备上安全空间的管理装置，应用于用户设备UE，所述管理装置包括：

验证模块(102)，配置为验证接入设备的第一身份信息；

分配模块(104)，配置为当所述第一身份信息为合法信息时，为所述接入设备分配允许访问所述UE的安全空间的权限；

建立模块(106)，配置为与所述接入设备建立连接。
根据权利要求8所述的装置，其中，所述验证模块(102)还配置为比较所述第一身份信息与预先配置的第二身份信息是否一致，其中，所述第二身份信息为所述UE的可信设备的身份信息；以及依据比较结果确定所述第一身份信息是否合法，其中，在所述比较结果指示所述第一身份信息与所述第二身份信息一致时，确定所述第一身份信息合法。
一种设备上安全空间的管理装置，应用于接入设备，所述管理装置包括：

发送模块(112)，配置为发送第一身份信息到用户终端UE；

接收模块(114)，配置为接收所述UE对所述第一身份信息发送的验证结果；

建立模块(116)，配置为当所述验证结果为所述第一身份信息为合法信息时与所述UE建立连接；

管理模块(118)，配置为按照所述UE分配的允许访问的安全空间的权限对所述安全空间的数据进行管理。
一种设备上安全空间的管理系统，包括：用户终端UE(122)和接入设备(124)，其中，

所述UE(122)配置为验证所述接入设备的第一身份信息；以及当所述第一身份信息为合法信息时，为所述接入设备分配允许访问所述UE的安全空间的权限，并与所述接入设备建立连接；

所述接入设备(124)配置为发送第一身份信息到所述UE；接收所述UE发送的验证结果，并当验证结果为所述第一身份信息为合法信息时与所述UE建立连接；按照所述UE分配的允许访问的安全空间的权限对所述安全空间的数据进行管理。
一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现权利要求1-5中任一项所述的方法。
一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现权利要求6-7中任一项所述的方法。