程示意图;
[0044]图3为本发明实施例所述应用程序进行数据读取的流程示意图;
[0045]图4为本发明实施例所述数据安全共享的装置结构示意图。
【具体实施方式】
[0046]本发明的实施例中,收到应用程序所发的数据访问请求后,依据预设的配置文件确定应用程序所属的用户和组具备访问数据所属的目录和/或文件的权限;确定所述应用程序具备数据的强制访问控制权限,该步骤与前一步骤执行顺序不分先后;确定所述应用程序具备解密权限时,对所述数据所属的目录和/或文件进行解密;所述应用程序进行数据的访问。
[0047]下面结合附图及具体实施例对本发明作进一步详细说明。
[0048]图1为本发明实施例所述数据安全共享的方法实现流程示意图,如图1所示,包括:
[0049]步骤101:收到应用程序所发的数据访问请求;
[0050]步骤102:依据预设的配置文件判断应用程序所属的用户和组是否具备访问数据所属的目录和/或文件的权限;
[0051]这里,当所述应用程序不具备访问数据所属的目录和/或文件的权限时,即:所述应用程序不是配置文件中设置的符合要求的用户和组时,相应目录和目录下的文件、或相应文件对该应用程序是不可见的。
[0052]在实际应用时,该步骤可依赖于Linux的基础访问控制机制,在应用程序对数据进行访问时,对应用程序的权限进行管理。通过为系统增加特定用户和特定组,使特定用户和特定组具备访问数据所属的目录和/或文件的权限。
[0053]步骤103:依据预设的配置文件判断所述应用程序是否具备数据的强制访问控制权限;
[0054]在实际应用时,该步骤可依赖于操作系统内核的Linux安全模块(Linux SecurityModule, LSM)机制实现强制访问控制策略,对数据的可见性和可访问性进行强制性的访问控制。该机制可实现基于访问源和访问目标的强制访问控制,实现仅允许特定的源,即:应用程序,访问特定的目标数据。例如:利用SELinux的强制访问控制机制。
[0055]如果希望允许应用程序A读取数据ADATA的目录和/或文件,相应的配置文件内容可如下:
[0056]Allow A ADATA:dir read ;
[0057]Allow A ADATA:file write。
[0058]步骤104:如果上述判断结果均为是,则在确定所述应用程序具备解密权限时,对所述数据所属的目录和/或文件进行解密,允许所述应用程序进行数据的访问;否则,执行步骤105 ;
[0059]这里,当应用程序的强制访问控制权限、应用程序所属的用户和组均满足配置文件中设置的要求时,才可以共享文件或目录。此时,如果该应用程序要访问的文件是加密文件,仍需要具备配置文件设置的相应的解密权限才可以解密文件,并使用。
[0060]当然,对于应用程序创建写入数据的过程,则需要应用程序具备相应的加密权限。所述对数据的加解密操作,实现了从原始层面保护数据的动态以及流动的安全性。
[0061 ] 步骤105:结束数据访问流程。
[0062]这里,需要说明的是,所述步骤102和步骤103的先后顺序没有严格的要求。
[0063]可见,本发明实施例不需将不同应用程序的数据分开保存,而将所有数据划分为不同的安全等级,依据配置文件的设置对发出数据访问请求的应用程序进行多重访问控制,在不同应用程序对数据分享过程中保证了数据得安全性。
[0064]优选的,本发明的一个实施例中,该方法还包括:在配置文件中,为数据所属的不同目录和/或文件设置不同的安全级别,并为不同安全级别的目录和/或文件设置对应的安全控制策略,以实现将数据划分为不同的安全级别。具体的,
[0065]下面以企业(enterprise)目录为例enterprise目录被划分为5个安全级别,不同的安全级别共享的方式和控制管理力度不同,所述5个安全级别分别为:
[0066]l、App_only:为仅应用程序(App)自己能够访问、修改的目录,及其存放在该目录下的文件也仅App自己能够访问、修改;
[0067]2、Enterprise_only:仅企业域内的应用程序可以访问改目录下的文件;
[0068]3、Enterprise_for_domain:仅共享给确定的域的应用程序可以访问;
[0069]4> Enterprise_for_app:仅共享给确定的 App ;
[0070]5、Share_for_all:共享给所有人。
[0071]可针对上述不同的安全级别的目录制定不同的安全控制策略,为目录和数据保护提供具体的安全保护:
[0072]1、仅应用程序可以访问的策略:为应用程序产生的数据配置独立的用户和组,为文件配置仅改独立用户可以访问的属性,并为用户配置独立的数据MAC控制域。
[0073]2、企业域可访问数据的策略:为应用程序产生的数据配置独立的用户,企业域组,文件配置为企业域组可以访问,并为数据文件配置企业域MAC可访问的控制策略。
[0074]3、企业域共享给特定域的策略:为应用程序产生的数据配置独立的用户和组访问控制策略,为文件配置特定域可以访问的属性,并为数据文件配置特定域可以访问的MAC策略。
[0075]4、企业域共享给特定应用程序的策略:为应用程序产生的数据配置独立的用户和组访问控制策略,为文件配置特定应用程序可以访问的属性,并为数据文件配置特定应用程序可以访问的MAC策略。
[0076]5、企业域共享给任何应用程序的策略:为应用程序产生的数据配置为任何人都可以访问的用户和组访问控制策略,为文件配置任何人均可以访问的属性,并为数据文件配置任何应用程序均可以访问的MAC策略。
[0077]在实际应用中,可根据用户的需求进行上述安全级别和安全控制策略的设置,从而实现对特定目录、目录下的所有文件、某种类型的文件、特定文件等进行文件属性和访问控制。确保文件在系统中的可见性和可访问性。
[0078]优选的,本发明的一个实施例中,该方法还包括:在配置文件中,设置数据所属的目录下的文件允许被阅读的次数或数据所属的文件允许被阅读的次数,和/或所述数据所属的目录下的文件或数据所属的文件被阅读后是否自动删除,和/或是否需要记录对所述数据所属的目录下的文件或数据所属的文件进行访问和/或修改的应用程序的信息,以备后续查询等。
[0079]在实际应用中,这样的设置可以控制在企业域与个人域之间的安全通道上的文件如何被访问,被访问几次,以及记录访问者,即应用程序的来源等信息,便于记录文件的安全共享的过程。
[0080]相应的,该方法还包括:在应用程序访问数据后,依据配置文件的设置,在数据所属的目录下的文件或数据所属的文件被阅读设定的次数时,将所述文件删除,和/或记录对所述数据所属的目录下的文件或数据所属的文件进行访问和/或修改的应用程序的信肩、O
[0081]优选的,本发明的一个实施例中,该方法还包括:在配置文件中,为所述数据所属的目录、或数据所属的目录下的所有文件、一个文件或几个文件、或者为数据所属的目录下某一个类型的文件、或者为数据所属的文件加密,并设置应用程序对所述相应文件的访问权限。
[0082]优选的,本发明的一个实施例中,该方法还包括:在收到所述应用程序所发的数据创建或写入请求后,依据预设的配置文件确定应用程序所属的用户和组具备访问数据所属的目录和/或文件的权限;确定所述应用程序具备数据的强制访问控制权限,该步骤与前一步骤执行顺序不分先后;
[0083]读取配置文件中所述数据所属的目录和/或文件的安全级别和/或安全控制策略,依据所述安全级别和/或安全控制策略执行相应的创建或写入操作。
[0084]优选的,本发明的一个实施例中,该方法还包括:依