一种应用级文件系统隔离方法及装置与流程
本发明涉及终端技术领域,特别是涉及一种应用级文件系统隔离方法及装置。
背景技术:
随着终端技术和移动互联网技术的快速发展,越来越多的企业倾向于将办公业务迁移至终端,尤其是移动终端。用户利用终端中安装的企业应用可以进行相应业务的处理,使得用户办公更加方便、快捷。但与此同时,终端的数据安全问题也逐渐凸显出来。在终端丢失或者被盗的情况下,企业数据容易被窃取,而且,终端中其他应用或者病毒也容易窃取企业数据。
在现有技术中,多是通过在终端中配置双系统解决企业数据安全性问题,通过定制rom实现双域,即实现个人域和安全域两个双系统,将企业应用安装运行到安全域,实现将个人文件数据与安全域中企业应用数据隔离的目的。
应用这种方法需要定制rom,终端适应范围较小,很难支持市面上通用的终端,而且,通过重量级的双域实现,用户在使用终端时需要在多域间切换,使用效率较低,对终端体验较差。
技术实现要素:
本发明的目的是提供一种应用级文件系统隔离方法及装置,以通过轻量级方式实现文件系统隔离,扩大终端适应范围,提高用户对终端的使用效率,提升用户对终端的使用体验。
为解决上述技术问题,本发明提供如下技术方案:
一种应用级文件系统隔离方法,包括:
接收用户对目标应用的访问请求;
确定所述目标应用是否为终端中安装的集成有隔离加密组件的应用;
如果是,则通过所述隔离加密组件将所述访问请求重定向到所述终端的隔离安全加密区;
如果否,则直接在所述终端的非隔离安全加密区响应所述访问请求。
在本发明的一种具体实施方式中,所述访问请求为数据写入请求,所述数据写入请求中携带待写入数据,所述通过所述隔离加密组件将所述访问请求重定向到所述终端的隔离安全加密区,包括:
通过所述隔离加密组件利用预先生成的加密密钥对所述待写入数据进行加密处理;
将加密处理后的所述待写入数据存储到所述终端的隔离安全加密区。
在本发明的一种具体实施方式中,所述加密密钥为基于所述终端的硬件特征信息预先生成的。
在本发明的一种具体实施方式中,所述访问请求为数据读取请求,所述数据读取请求中携带待读取数据,所述通过所述隔离加密组件将所述访问请求重定向到所述终端的隔离安全加密区,包括:
通过所述隔离加密组件对所述终端的隔离安全加密区中的所述待读取数据进行解密处理;
将解密处理后的所述待读取数据返回给所述用户。
在本发明的一种具体实施方式中,所述通过所述隔离加密组件将所述访问请求重定向到所述终端的隔离安全加密区,包括:
通过所述隔离加密组件挂钩文件系统调用接口将所述访问请求重定向到所述终端的隔离安全加密区。
一种应用级文件系统隔离装置,包括:
访问请求接收模块,用于接收用户对目标应用的访问请求;
目标应用确定模块,用于确定所述目标应用是否为终端中安装的集成有隔离加密组件的应用,如果是,则触发第一响应模块,如果否,则触发第二响应模块;
所述第一响应模块,用于通过所述隔离加密组件将所述访问请求重定向到所述终端的隔离安全加密区;
所述第二响应模块,用于直接在所述终端的非隔离安全加密区响应所述访问请求。
在本发明的一种具体实施方式中,所述访问请求为数据写入请求,所述数据写入请求中携带待写入数据,所述第一响应模块,具体用于:
通过所述隔离加密组件利用预先生成的加密密钥对所述待写入数据进行加密处理;
将加密处理后的所述待写入数据存储到所述终端的隔离安全加密区。
在本发明的一种具体实施方式中,所述加密密钥为基于所述终端的硬件特征信息预先生成的。
在本发明的一种具体实施方式中,所述访问请求为数据读取请求,所述数据读取请求中携带待读取数据,所述第一响应模块,具体用于:
通过所述隔离加密组件对所述终端的隔离安全加密区中的所述待读取数据进行解密处理;
将解密处理后的所述待读取数据返回给所述用户。
在本发明的一种具体实施方式中,所述第一响应模块,具体用于:
通过所述隔离加密组件挂钩文件系统调用接口将所述访问请求重定向到所述终端的隔离安全加密区。
应用本发明实施例所提供的技术方案,在接收到用户对目标应用的访问请求时,确定目标应用是否为终端中安装的集成有隔离加密组件的应用,如果是,则可以通过隔离加密组件将访问请求重定向到终端的隔离安全加密区,如果否,则可以直接在终端的非隔离安全加密区响应访问请求,通过轻量级方式实现文件系统隔离,扩大了终端的适应范围,避免了用户在使用终端时在多域间切换的繁琐操作,提高了用户对终端的使用效率,提升了用户对终端的使用体验。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种应用级文件系统隔离方法的实施流程图;
图2为本发明实施例中应用级文件隔离示意图;
图3为本发明实施例中应用级文件系统隔离原理示意图;
图4为本发明实施例中一种应用级文件系统隔离装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1所示,为本发明实施例所提供的一种应用级文件系统隔离方法的实施流程图,该方法可以包括以下步骤:
s110:接收用户对目标应用的访问请求。
在实际应用中,用户可以根据实际需要,在终端中安装各种应用,如个人应用或者企业应用等,并在有访问需求时,向终端发送针对目标应用的访问请求。
在接收到用户针对目标应用的访问请求时,可以继续执行步骤s120的操作。
s120:确定目标应用是否为终端中安装的集成有隔离加密组件的应用。
终端中安装的不同应用的安全需求可能不同。在本发明实施例中,对有安全需求的应用可以集成隔离加密组件。也就是说,如图2所示,终端中安装的应用可以分为两类,一类为集成有隔离加密组件的应用,可以称为安全应用,如企业应用,一类为非安全应用,如个人应用。
在实际应用中,可以通过sdk集成方式、静态封装集成安装包的形式、动态代理注入方式等将隔离加密组件集成到指定的应用中。
应用封装是指对应用安装包进行重新签名打包,并且往安装包程序中添加隔离加密组件。动态代理注入是指在应用运行加载时,进行动态注入隔离加密组件。动态注入与静态封装最大的不同之处在于无需修改安装程序,程序启动进程时动态插入执行隔离组件逻辑。
在接收到用户对目标应用的访问请求后,可以确定目标应用是否为终端中安装的集成有隔离加密组件的应用,如果是,则可以继续执行步骤s130的操作,如果否,则可以继续执行步骤s140的操作。
s130:通过隔离加密组件将访问请求重定向到终端的隔离安全加密区。
s140:直接在终端的非隔离安全加密区响应访问请求。
为便于描述,将上述两个步骤结合起来进行说明。
在本发明实施例中,系统文件存储区可以分为隔离安全加密区和非隔离安全加密区。
在步骤s120,确定目标应用是否为终端中安装的集成有隔离加密组件的应用,如果是,则可以通过隔离加密组件将访问请求重定向到终端的隔离安全加密区,如果否,则可以直接在终端的非隔离安全加密区响应访问请求。直接在终端的非隔离安全加密区响应访问请求为现有技术,本发明实施例对此不再赘述。
如图2所示,非安全应用的数据写入请求、数据读取请求直接由非隔离安全加密区响应,安全应用的数据写入请求、数据读取请求通过隔离加密组件重定向到隔离安全加密区。
在本发明的一种具体实施方式中,访问请求为数据写入请求,数据写入请求中携带待写入数据,步骤s130可以包括以下步骤:
步骤一:通过隔离加密组件利用预先生成的加密密钥对待写入数据进行加密处理;
步骤二:将加密处理后的待写入数据存储到终端的隔离安全加密区。
在本发明实施例中,可以基于终端的硬件特征信息预先生成加密密钥,终端的硬件特征信息具体可以是终端imei号等。在确定目标应用为集成有隔离加密组件的应用时,可以通过隔离加密组件利用预先生成的加密密钥对待写入数据进行加密处理,然后将加密处理后的待写入数据存储到终端的隔离安全加密区。同一终端中的多个安全应用可以共享同一隔离安全加密区,因加密密钥是基于终端的硬件特征信息预先生成的,所以多个安全应用之间可以相互访问隔离安全加密区的数据。
当然,也可以基于应用标识预先生成加密密钥,使得隔离安全加密区中不同安全应用的数据具有隔离性。
在本发明的一种具体实施方式中,访问请求为数据读取请求,数据读取请求中携带待读取数据,步骤s130可以包括以下步骤:
第一个步骤:通过隔离加密组件对终端的隔离安全加密区中的待读取数据进行解密处理;
第二个步骤:将解密处理后的待读取数据返回给用户。
隔离安全加密区中的数据为经过加密处理后的数据,在访问请求为数据读取请求时,可以通过隔离加密组件对终端的隔离安全加密区中的待读取数据进行相应的解密处理,将解密处理后的待读取数据返回给用户,响应访问请求。
对安全应用而言,隔离安全加密区是透明的,安全应用在隔离安全加密区中的文件目录结构可以与非安全应用在非隔离安全加密区中的文件目录结构一致,只是隔离安全加密区中的目标结构和文件信息都是经过加密处理后的,对用户和非安全应用是不可见的。
在本发明的一种具体实施方式中,步骤s130可以包括以下步骤:
通过隔离加密组件挂钩文件系统调用接口将访问请求重定向到终端的隔离安全加密区。
利用应用封装技术或者sdk集成技术可以将隔离加密组件自动或者手动地集成到具有安全需求的应用中,如企业应用。这样封装后的应用在终端中安装后即具有隔离功能。通过隔离加密组件挂钩文件系统调用接口可以将访问请求重定向到终端的隔离安全加密区。
如图3所示,为本发明实施例中文件系统隔离工作原理示意图。在本发明实施例中,封装应用包括封装应用文件系统调用和隔离加密组件,隔离加密组件可以包括三部分:hook单元、路径重定向单元和数据加解密单元。
hook单元用于挂钩hook应用文件系统调用接口api。封装应用文件系统调用可以分为两类:文件路径调用和文件读写调用。
hook单元拦截到文件路径调用后,路径重定向单元可以对访问路径进行重定向和加密修改,然后转调原系统调用操作。如果该文件路径调用需要进行加解密数据,则可以转交给数据加解密单元进行处理。
hook单元拦截到文件读写调用后,如果是读取数据相关操作,则数据加解密单元可以调用文件系统调用接口进行数据读取,然后返回解密后数据,如果是写入数据相关操作,则数据加解密单元可以对待写入的数据进行加密处理,然后调用文件系统调用接口写入数据。
应用本发明实施例所提供的方法,在接收到用户对目标应用的访问请求时,确定目标应用是否为终端中安装的集成有隔离加密组件的应用,如果是,则可以通过隔离加密组件将访问请求重定向到终端的隔离安全加密区,如果否,则可以直接在终端的非隔离安全加密区响应访问请求,通过轻量级方式实现文件系统隔离,扩大了终端的适应范围,避免了用户在使用终端时在多域间切换的繁琐操作,提高了用户对终端的使用效率,提升了用户对终端的使用体验。
相应于上面的方法实施例,本发明实施例还提供了一种应用级文件系统隔离装置,下文描述的一种应用级文件系统隔离装置与上文描述的一种应用级文件系统隔离方法可相互对应参照。
参见图4所示,该装置包括以下模块:
访问请求接收模块410,用于接收用户对目标应用的访问请求;
目标应用确定模块420,用于确定目标应用是否为终端中安装的集成有隔离加密组件的应用,如果是,则触发第一响应模块430,如果否,则触发第二响应模块440;
第一响应模块430,用于通过隔离加密组件将访问请求重定向到终端的隔离安全加密区;
第二响应模块440,用于直接在终端的非隔离安全加密区响应访问请求。
应用本发明实施例所提供的装置,在接收到用户对目标应用的访问请求时,确定目标应用是否为终端中安装的集成有隔离加密组件的应用,如果是,则可以通过隔离加密组件将访问请求重定向到终端的隔离安全加密区,如果否,则可以直接在终端的非隔离安全加密区响应访问请求,通过轻量级方式实现文件系统隔离,扩大了终端的适应范围,避免了用户在使用终端时在多域间切换的繁琐操作,提高了用户对终端的使用效率,提升了用户对终端的使用体验。
在本发明的一种具体实施方式中,访问请求为数据写入请求,数据写入请求中携带待写入数据,第一响应模块430,具体用于:
通过隔离加密组件利用预先生成的加密密钥对待写入数据进行加密处理;
将加密处理后的待写入数据存储到终端的隔离安全加密区。
在本发明的一种具体实施方式中,加密密钥为基于终端的硬件特征信息预先生成的。
在本发明的一种具体实施方式中,访问请求为数据读取请求,数据读取请求中携带待读取数据,第一响应模块430,具体用于:
通过隔离加密组件对终端的隔离安全加密区中的待读取数据进行解密处理;
将解密处理后的待读取数据返回给用户。
在本发明的一种具体实施方式中,第一响应模块430,具体用于:
通过隔离加密组件挂钩文件系统调用接口将访问请求重定向到终端的隔离安全加密区。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
- 还没有人留言评论。精彩留言会获得点赞!