7]另外,由于应用程序的数据包括:应用程序下载的数据和应用程序运行时产生的数据等,因此,本发明实施例可以保证应用程序在运行时依据配置文件为所述应用程序产生的数据设置安全级别、配置安全控制策略,保证数据仅能由应用程序自己访问,和/或以不同的方式共享给特定的域、应用程序、所有用户,和/或数据仅共享给数据自身所在域的应用程序,或者特定域的应用程序。
[0128]本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
[0129]本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0130]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0131]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0132]以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
【主权项】
1.一种数据安全共享的方法,其特征在于,该方法包括: 收到应用程序所发的数据访问请求后,依据预设的配置文件确定应用程序所属的用户和组具备访问数据所属的目录和/或文件的权限; 确定所述应用程序具备数据的强制访问控制权限,该步骤与前一步骤执行顺序不分先后; 确定所述应用程序具备解密权限时,对所述数据所属的目录和/或文件进行解密; 所述应用程序进行数据的访问。2.根据权利要求1所述的方法,其特征在于,在收到所述应用程序所发的数据访问请求前,该方法还包括: 在所述配置文件中,为数据所属的不同目录和/或文件设置不同的安全级别,并为不同安全级别的目录和/或文件设置对应的安全控制策略。3.根据权利要求1或2所述的方法,其特征在于,在收到所述应用程序所发的数据访问请求前,该方法还包括: 在所述配置文件中,设置所述数据所属的目录下的文件允许被阅读的次数或所述数据所属的文件允许被阅读的次数, 和/或所述数据所属的目录下的文件或所述数据所属的文件被阅读后是否自动删除,和/或是否需要记录对所述数据所属的目录下的文件或数据所属的文件进行访问和/或修改的应用程序的信息。4.根据权利要求3所述的方法,其特征在于,该方法还包括: 在应用程序访问数据后,依据所述配置文件的设置,在数据所属的目录下的文件或数据所属的文件被阅读设定的次数时将所述文件删除, 和/或记录对所述数据所属的目录下的文件或所述数据所属的文件进行访问和/或修改的应用程序的信息。5.根据权利要求1所述的方法,其特征在于,在收到所述应用程序所发的数据访问请求前,该方法还包括: 在配置文件中,为所述数据所属的目录、或数据所属的目录下的所有文件、一个文件或几个文件、或者为数据所属的目录下某一个类型的文件、或者为数据所属的文件加密,并设置应用程序对所述相应文件的访问权限。6.根据权利要求2所述的方法,其特征在于,该方法还包括: 在收到所述应用程序所发的数据创建或写入请求后,依据预设的配置文件确定应用程序所属的用户和组具备访问数据所属的目录和/或文件的权限; 确定所述应用程序具备数据的强制访问控制权限,该步骤与前一步骤执行顺序不分先后; 读取配置文件中所述数据所属的目录和/或文件的安全级别和/或安全控制策略,依据所述安全级别和/或安全控制策略执行相应的创建或写入操作。7.一种数据安全共享的装置,其特征在于,该装置包括:主动访问控制模块、强制访问控制模块和加解密访问控制模块;其中, 所述主动访问控制模块,用于收到应用程序所发的数据访问请求后,依据预设的配置文件判断应用程序所属的用户和组是否具备访问数据所属的目录和/或文件的权限; 所述强制访问控制模块,用于依据预设的配置文件判断所述应用程序是否具备数据的强制访问控制权限; 所述加解密访问控制模块,用于接收到所述主动访问控制模块和所述强制访问控制模块均为是的判断结果时,且在确定所述应用程序具备解密功能时,对所述数据所属的目录和/或文件进行解密,允许所述应用程序进行数据的访问。8.根据权利要求7所述的装置,其特征在于,该装置还包括:文件配置模块,用于存储所述配置文件,并用于在所述配置文件中,为所述数据所属的不同目录和/或文件设置不同的安全级别,并为不同安全级别的目录和/或文件设置对应的安全控制策略。9.根据权利要求8所述的装置,其特征在于,所述文件配置模块,还用于在配置文件中,设置所述数据所属的目录下的文件允许被阅读的次数或数据所属的文件允许被阅读的次数, 和/或所述数据所属的目录下的文件或所述数据所属的文件被阅读后是否自动删除, 和/或是否需要记录对所述数据所属的目录下的文件或所述数据所属的文件进行访问和/或修改的应用程序的信息。10.根据权利要求9所述的装置,其特征在于,所述加解密访问控制模块,还用于在应用程序访问数据后,依据所述配置文件的设置,在所述数据所属的目录下的文件或所述数据所属的文件被阅读设定的次数时将所述文件删除, 和/或记录对所述数据所属的目录下的文件或所述数据所属的文件进行访问和/或修改的应用程序的信息。11.根据权利要求8、9或10所述的装置,其特征在于,所述文件配置模块,还用于在配置文件中,为所述数据所属的目录、或数据所属的目录下的所有文件、一个文件或几个文件、或者为数据所属的目录下某一个类型的文件,或者为数据所属的文件加密,并设置应用程序对所述相应文件的访问权限。12.根据权利要求8所述的装置,其特征在于,所述主动访问控制模块,还用于收到应用程序所发的数据创建或写入请求后,依据预设的配置文件判断应用程序所属的用户和组是否具备访问数据所属的目录和/或文件的权限;相应的, 该装置还包括:数据写入模块,用于接收到所述主动访问控制模块和所述强制访问控制模块均为是的判断结果时,读取配置文件中所述数据所属的目录和/或文件的安全级别和/或安全控制策略,依据所述安全级别和/或安全控制策略执行相应的创建或写入操作。13.—种终端,其特征在于,所述终端包括权利要求7-12中任一项所述的数据安全共享的装置。
【专利摘要】本发明公开了一种数据安全共享的方法,该方法包括:收到应用程序所发的数据访问请求后,依据预设的配置文件确定应用程序所属的用户和组具备访问数据所属的目录和/或文件的权限;确定所述应用程序具备数据的强制访问控制权限,该步骤与前一步骤执行顺序不分先后;确定所述应用程序具备解密权限时,对所述数据所属的目录和/或文件进行解密;所述应用程序进行数据的访问。本发明还同时公开了一种数据安全共享的装置和终端。
【IPC分类】G06F21/62
【公开号】CN105528553
【申请号】CN201410521975
【发明人】王永辉
【申请人】中国移动通信集团公司
【公开日】2016年4月27日
【申请日】2014年9月30日