一种用于在设备间进行数据安全传输的系统及方法与流程
本发明涉及信息安全领域,并且更具体地涉及一种用于在设备间进行数据安全传输的系统及方法。
背景技术:
随着诸如手机的移动终端的普及率快速提高,人们的日常生活已经越来越依赖于移动终端的使用。目前,智能化的移动终端能够满足人们在各种领域的需求,例如,在工作领域、学习领域以及商务领域中的各种需求。在这种情况下,用户通常会将大量的个人信息保存在移动终端内。通常,这种个人信息可能包括通讯录信息、工作文档信息、个人图片信息、个人视频信息等。此外,随着用户使用移动终端进行支付的情况越来越多,移动终端内通常会存储用户的财务信息,例如,账户信息、转账信息等。
然而,目前与移动终端相关的信息泄露问题越来越普遍,这样使得用户的信息安全面临极大问题。例如,移动终端与诸如个人计算机的主机进行连接时,主机能够获取用户存储在移动终端内的个人信息。在现有技术中,当移动终端与诸如个人计算机的主机进行连接时,用户可以通过移动终端中的操作提示来确定是否信任主机。如果选择信任,那么主机可以读取移动终端内存储区中的全部个人信息,如果选择不信任,那么主机无法读取移动终端内存储区中任何个人信息。
当用户希望通过主机读取移动终端内存储区中的部分个人信息并且不希望主机读取移动终端内其余个人信息时,现有技术没有提供这样的功能。
为此,现有技术存在对设备间进行数据安全传输的需求。
技术实现要素:
根据本发明的一个方面,提供一种用于在设备间进行数据安全传输的系统,所述系统包括:
连接单元,用于将移动终端与主机进行通信连接;
接收单元,经由所述通信连接从所述主机接收针对移动终端内存储的加密数据的读取请求,所述读取请求携带主机标识和数据范围;
控制单元,根据所述数据范围确定读取请求所涉及的存储区域,并且根据主机标识为所述主机分配读取级别,基于存储区域和读取级别从多种认证方式中选择用于对所述主机进行认证的当前认证方式,当所述主机通过当前认证时,为相应存储区域中的加密数据生成解密的副本数据;以及
发送单元,将包括所述解密的副本数据的读取响应发送给主机。
优选地,所述通信连接为有线通信连接或无线通信连接。
优选地,所述主机标识是:主机的MAC地址、主机的身份证书或主机的用户名。
优选地,其中所述主机是:个人计算机、服务器或移动终端。
优选地,其中数据是以下内容中的至少一种:文本文件、图像文件、音频文件、视频文件和应用程序。
优选地,所述数据范围包括:全部数据和公开数据。
优选地,所述根据所述数据范围确定读取请求所涉及的存储区域包括:
当所述数据范围为全部数据时,确定读取请求所涉及的存储区域为内部存储区;或
当所述数据范围为公开数据时,确定读取请求所涉及的存储区域为外部存储区。
优选地,所述根据主机标识为所述主机分配读取级别包括:
所述主机标识指示所述主机为信任方时,为所述主机分配的读取级别为完全读取;或
所述主机标识指示所述主机为部分信任方时,为所述主机分配的读取级别为部分读取。
优选地,所述多种认证方式包括:高强度手势密码认证、低强度手势密码认证、动态密码认证以及注册信息认证。
优选地,所述基于存储区域和读取级别从多种认证方式中选择用于对所述主机进行认证的当前认证方式包括:
当存储区域为内部存储区并且读取级别为完全读取时,对所述主机进行认证的当前认证方式是高强度手势密码认证;
当存储区域为内部存储区并且读取级别为部分读取时,对所述主机进行认证的当前认证方式是动态密码认证;
当存储区域为外部存储区并且读取级别为完全读取时,对所述主机进行认证的当前认证方式是低强度手势密码认证;
当存储区域为外部存储区并且读取级别为部分读取时,对所述主机进行认证的当前认证方式是注册信息认证。
根据本发明的另一方面,提供一种移动终端,包括或用于执行如上所述的系统。
根据本发明的另一方面,提供一种用于在设备间进行数据安全传输的方法,所述方法包括:
将移动终端与主机进行通信连接;
经由所述通信连接从所述主机接收针对移动终端内存储的加密数据的读取请求,所述读取请求携带主机标识和数据范围;
根据所述数据范围确定读取请求所涉及的存储区域,并且根据主机标识为所述主机分配读取级别,基于存储区域和读取级别从多种认证方式中选择用于对所述主机进行认证的当前认证方式,当所述主机通过当前认证时,为相应存储区域中的加密数据生成解密的副本数据;以及
将包括所述解密的副本数据的读取响应发送给主机。
优选地,所述通信连接为有线通信连接或无线通信连接。
优选地,所述主机标识是:主机的MAC地址、主机的身份证书或主机的用户名。
优选地,其中所述主机是:个人计算机、服务器或移动终端。
优选地,其中数据是以下内容中的至少一种:文本文件、图像文件、音频文件、视频文件和应用程序。
优选地,所述数据范围包括:全部数据和公开数据。
优选地,所述根据所述数据范围确定读取请求所涉及的存储区域包括:
当所述数据范围为全部数据时,确定读取请求所涉及的存储区域为内部存储区;或
当所述数据范围为公开数据时,确定读取请求所涉及的存储区域为外部存储区。
优选地,所述根据主机标识为所述主机分配读取级别包括:
所述主机标识指示所述主机为信任方时,为所述主机分配的读取级别为完全读取;或
所述主机标识指示所述主机为部分信任方时,为所述主机分配的读取级别为部分读取。
优选地,所述多种认证方式包括:高强度手势密码认证、低强度手势密码认证、动态密码认证以及注册信息认证。
优选地,所述基于存储区域和读取级别从多种认证方式中选择用于对所述主机进行认证的当前认证方式包括:
当存储区域为内部存储区并且读取级别为完全读取时,对所述主机进行认证的当前认证方式是高强度手势密码认证;
当存储区域为内部存储区并且读取级别为部分读取时,对所述主机进行认证的当前认证方式是动态密码认证;
当存储区域为外部存储区并且读取级别为完全读取时,对所述主机进行认证的当前认证方式是低强度手势密码认证;
当存储区域为外部存储区并且读取级别为部分读取时,对所述主机进行认证的当前认证方式是注册信息认证。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明实施方式的数据传输系统的结构示意图;
图2为根据本发明实施方式的用于在设备间进行数据安全传输的系统的结构示意图;
图3为根据本发明优选实施方式的数据存储方式的示意图;以及
图4为根据本发明实施方式的用于在设备间进行数据安全传输的方法的流程图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明实施方式的数据传输系统100的结构示意图。如图1所示,数据传输系统100包括:移动终端101、网络连接103以及主机103-1、103-2...103-N。优选地,移动终端101用于存储用户数据以供用户使用,并且所述用户数据可以是各种类型的数据,例如通讯录、工作文档、图片、音频、视频、账户信息以及转账信息等。移动终端101可以是任意类型的移动设备,包括移动手机、站、单元、设备、多媒体平板、通信器、膝上型计算机、个人数字助理(PDA)或其任意组合。通常,移动终端101可以通过网络连接103与其它设备进行通信连接,所述其它设备例如是主机103-1、103-2...103-N。
优选地,网络连接103根据各种有线或无线通信协议所建立的连接。网络连接103用于为移动终端101和主机103-1、103-2...103-N建立通信连接,从而形成通信网络。所述通信网络例如是数据网络、无线网络、电话网络、或其任意组合。网络连接103可以是数据线、网线、电话线以及无线连接等各种类型的连接。因此,所组成的网络可以是局域网(LAN)、城域网(MAN)、广域网(WAN)、公共数据网(例如因特网)、或任意其他适合的分组交换网络。此外,无线网络可以是例如蜂窝网络、无线保真(WiFi)等。
优选地,主机103-1、103-2...103-N通过网络连接103与移动终端101连接并且能够经由所述网络连接103向移动终端101发送数据或从移动终端101读取数据。优选地,主机103-1、103-2...103-N可以是任意类型的移动终端、固定终端、或便携式终端,包括移动手机、站、单元、设备、多媒体计算机、多媒体平板、因特网节点、通信器、桌面计算机、膝上型计算机、个人数字助理(PDA)、或其任意组合。
在根据本发明的数据传输系统100中,数据读取是由与移动终端101连接的对端设备所发起的,这是因为本发明要解决的问题是对对端设备访问移动终端101时的数据传输进行安全控制。而现有技术中,通常不会涉及对对端设备进行身份认证,并且只有在对端设备通过身份认证后才允许进行数据读取或写入。
图2为根据本发明优选实施方式的用于在设备间进行数据安全传输的系统200的结构图。当移动终端与主机进行通信连接时,系统200通过通信连接从主机接收针对移动终端内存储的加密数据的读取请求。本发明实施方式中,读取请求携带主机标识和请求读取的数据范围。系统200根据数据范围确定读取请求在移动终端中所涉及的存储区域,以及根据主机标识为发出读取请求的主机分配读取级别。系统200基于存储区域和读取级别从多种认证方式中选择用于对发出读取请求的主机进行认证的当前认证方式。当发出读取请求的主机通过当前认证时,系统200为相应存储区域中的加密数据生成解密的副本数据并且将解密后的副本数据的读取响应发送给主机。
本发明实施方式通过设置不同的存储区域将移动终端数据存储在不同的区域内,以及针对不同的主机分配不同的读取级别,并且对不同的数据存储区域以及不同读取级别的主机选择当前认证方式,实现了针对不同设备、不同类型数据以及不同的读取级别,通过不同方式进行数据传输,保证了数据传输的安全性。
如图2所示,系统200包括:连接单元201,接收单元202,控制单元203以及发送单元204。优选地,连接单元201用于将移动终端与主机进行通信连接。移动终端与主机之间的通信连接为有线通信连接或无线通信连接,例如,通信连接通过数据网络、无线网络、电话网络、或其任意组合进行连接。通信连接可以是数据线、网线、电话线以及无线连接等各种类型的连接。
优选地,接收单元202经由通信连接从主机接收针对移动终端内存储的加密数据的读取请求。通常,读取请求携带主机标识和数据范围。优选地,主机向移动终端发出数据读取请求,所请求读取的数据类型包括以下内容中的至少一种:文本文件、图像文件、音频文件、视频文件和应用程序。主机标识可以是:主机的MAC地址、主机的身份证书或主机的用户名。主机向移动终端发出请求读取的数据范围包括:全部数据和公开数据。例如,一台MAC地址为:00-24-BD-16-8B-A2主机为公共计算机,通过这台公共计算机向360手机发出读取全部数据的请求。或者,一台名为“奇虎001”的办公专用计算机,向360手机发出读取工作场所图片信息的请求。
优选地,控制单元203根据数据范围确定读取请求所涉及的存储区域,并且根据主机标识为主机分配读取级别,基于存储区域和读取级别从多种认证方式中选择用于对主机进行认证的当前认证方式,当主机通过当前认证时,为相应存储区域中的加密数据生成解密的副本数据。优选地,本发明实施方式根据数据范围确定读取请求所涉及的存储区域包括:当数据范围为全部数据时,确定读取请求所涉及的存储区域为内部存储区;或者当数据范围为公开数据时,确定读取请求所涉及的存储区域为外部存储区。根据主机标识为主机分配读取级别包括:当主机标识指示主机为信任方时,为主机分配的读取级别为完全读取;或者主机标识指示主机为部分信任方时,为主机分配的读取级别为部分读取。优选地,多种认证方式包括:高强度手势密码认证、低强度手势密码认证、动态密码认证以及注册信息认证。高强度手势密码认证为通过在9个点的标识区绘制图形密码进行认证,本发明的实施方式中,图形密码中画过的点数为5个以上时为高强度手势密码认证方式,画过的点数不超过5个时为低强度手势密码认证。
优选地,基于存储区域和读取级别从多种认证方式中选择用于对主机进行认证的当前认证方式包括:当存储区域为内部存储区并且读取级别为完全读取时,对主机进行认证的当前认证方式是高强度手势密码认证。当存储区域为内部存储区并且读取级别为部分读取时,对所述主机进行认证的当前认证方式是动态密码认证,例如手机动态密码认证。当存储区域为外部存储区并且读取级别为完全读取时,对主机进行认证的当前认证方式是低强度手势密码认证。当存储区域为外部存储区并且读取级别为部分读取时,对主机进行认证的当前认证方式是注册信息认证。
例如,一台MAC地址为:00-24-BD-16-8B-A2主机为公共计算机,通过这台公共计算机向360手机发出读取全部数据的请求,该公共计算机由于读取的数据范围为全部数据,控制单元203将数据范围确定为内部存储区。控制单元203通过公共计算机的标识,将公共计算机指示为部分信任方,并为公共计算机分配的读取级别为部分读取。控制单元103基于存储区域和读取级别从多种认证方式中选择用于对主机进行认证的当前认证方式,由于当存储区域为内部存储区并且读取级别为部分读取时,对所述主机进行认证的当前认证方式是采用动态密码认证。因此,对公共计算机发出的读取全部数据的请求,采用动态密码的方式进行认正。当公共计算机通过动态密码的认证时,控制单元为内部存储区中的全部加密数据生成解密的副本数据。
例如,一台名为“奇虎001”的办公专用计算机,向360手机发出读取工作场所图片信息的请求。由于“奇虎001”办公专用计算机发出读取工作场所图片信息的请求,控制单元203将数据范围确定为外部存储区,控制单元203通过办公专用计算机的标识,将办公专用计算机指示为信任方,并为办公专用计算机分配的读取级别为完全读取。控制单元203基于存储区域和读取级别从多种认证方式中选择用于对主机进行认证的当前认证方式,当存储区域为外部存储区并且读取级别为完全读取时,对主机进行认证的当前认证方式是低强度手势密码认证。因此,对办公专用计算机发出的读取工作场所图片信息的请求,采用低强度手势密码的方式进行认证。当办公专用计算机通过低强度手势密码的认证时,控制单元为外部存储区中的工作场所图片信息加密数据生成解密的副本数据。
优选地,发送单元204将包括解密的副本数据的读取响应发送给主机。通常,发送单元204通过如上所述的网络连接将包括解密的副本数据的读取响应发送给主机。网络连接根据各种有线或无线通信协议所建立的连接。网络连接用于为移动终端和主机建立通信连接,从而形成通信网络。所述通信网络例如是数据网络、无线网络、电话网络、或其任意组合。网络连接可以是数据线、网线、电话线以及无线连接等各种类型的连接。
根据本发明的另一实施方式,移动终端(图中未示出)包括或用于执行如上所述系统。在这种情况下,当移动终端与主机进行通信连接时,系统通过通信连接从主机接收针对移动终端内存储的加密数据的读取请求。本发明实施方式中,读取请求携带主机标识和请求读取的数据范围。系统根据数据范围确定读取请求在移动终端中所涉及的存储区域,以及根据主机标识为发出读取请求的主机分配读取级别。系统基于存储区域和读取级别从多种认证方式中选择用于对发出读取请求的主机进行认证的当前认证方式。当发出读取请求的主机通过当前认证时,系统为相应存储区域中的加密数据生成解密的副本数据并且将解密后的副本数据的读取响应发送给主机。
图3为根据本发明优选实施方式的数据存储方式的示意图。本发明实施方式通过设置不同的存储区域将移动终端数据存储在不同的区域内。如图3所示,内部存储区301和外部存储区302的关系是包含关系,即外部存储区302包含在内部存储区301中。可以将外部存储区302看作是内部存储区301中适于存放公开内容的区域。主机303通过通信连接可以请求访问内部存储区301或外部存储区302。
图4为根据本发明实施方式的用于在设备间进行数据安全传输的方法400的流程图。当移动终端与主机进行通信连接时,方法400通过通信连接从主机接收针对移动终端内存储的加密数据的读取请求。本发明实施方式中,读取请求携带主机标识和请求读取的数据范围。方法400根据数据范围确定读取请求在移动终端中所涉及的存储区域,以及根据主机标识为发出读取请求的主机分配读取级别。方法400基于存储区域和读取级别从多种认证方式中选择用于对发出读取请求的主机进行认证的当前认证方式。当发出读取请求的主机通过当前认证时,方法400为相应存储区域中的加密数据生成解密的副本数据并且将解密后的副本数据的读取响应发送给主机。
本发明实施方式通过设置不同的存储区域将移动终端数据存储在不同的区域内,以及针对不同的主机分配不同的读取级别,并且对不同的数据存储区域以及不同读取级别的主机选择当前认证方式,实现了针对不同设备、不同类型数据以及不同的读取级别,通过不同方式进行数据传输,保证了数据传输的安全性。
如图4所示,方法400从步骤401处开始。优选地,在步骤401,将移动终端与主机进行通信连接。移动终端与主机之间的通信连接为有线通信连接或无线通信连接,例如,通信连接通过数据网络、无线网络、电话网络、或其任意组合进行连接。通信连接可以是数据线、网线、电话线以及无线连接等各种类型的连接。
优选地,在步骤402,经由所述通信连接从所述主机接收针对移动终端内存储的加密数据的读取请求,所述读取请求携带主机标识和数据范围。通常,读取请求携带主机标识和数据范围。优选地,主机向移动终端发出数据读取请求,所请求读取的数据类型包括以下内容中的至少一种:文本文件、图像文件、音频文件、视频文件和应用程序。主机标识可以是:主机的MAC地址、主机的身份证书或主机的用户名。主机向移动终端发出请求读取的数据范围包括:全部数据和公开数据。例如,一台MAC地址为:00-24-BD-16-8B-A2主机为公共计算机,通过这台公共计算机向360手机发出读取全部数据的请求。或者,一台名为“奇虎001”的办公专用计算机,向360手机发出读取工作场所图片信息的请求。
优选地,在步骤403,根据所述数据范围确定读取请求所涉及的存储区域,并且根据主机标识为所述主机分配读取级别,基于存储区域和读取级别从多种认证方式中选择用于对所述主机进行认证的当前认证方式,当所述主机通过当前认证时,为相应存储区域中的加密数据生成解密的副本数据。优选地,本发明实施方式根据数据范围确定读取请求所涉及的存储区域包括:当数据范围为全部数据时,确定读取请求所涉及的存储区域为内部存储区;或者当数据范围为公开数据时,确定读取请求所涉及的存储区域为外部存储区。根据主机标识为主机分配读取级别包括:当主机标识指示主机为信任方时,为主机分配的读取级别为完全读取;或者主机标识指示主机为部分信任方时,为主机分配的读取级别为部分读取。优选地,多种认证方式包括:高强度手势密码认证、低强度手势密码认证、动态密码认证以及注册信息认证。高强度手势密码认证为通过在9个点的标识区绘制图形密码进行认证,本发明的实施方式中,图形密码中画过的点数为5个以上时为高强度手势密码认证方式,画过的点数不超过5个时为低强度手势密码认证。
优选地,基于存储区域和读取级别从多种认证方式中选择用于对主机进行认证的当前认证方式包括:当存储区域为内部存储区并且读取级别为完全读取时,对主机进行认证的当前认证方式是高强度手势密码认证。当存储区域为内部存储区并且读取级别为部分读取时,对所述主机进行认证的当前认证方式是动态密码认证,例如手机动态密码认证。当存储区域为外部存储区并且读取级别为完全读取时,对主机进行认证的当前认证方式是低强度手势密码认证。当存储区域为外部存储区并且读取级别为部分读取时,对主机进行认证的当前认证方式是注册信息认证。
优选地,在步骤404,将包括所述解密的副本数据的读取响应发送给主机。方法400通过如上所述的网络连接将包括解密的副本数据的读取响应发送给主机。网络连接根据各种有线或无线通信协议所建立的连接。网络连接用于为移动终端和主机建立通信连接,从而形成通信网络。所述通信网络例如是数据网络、无线网络、电话网络、或其任意组合。网络连接可以是数据线、网线、电话线以及无线连接等各种类型的连接。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
- 还没有人留言评论。精彩留言会获得点赞!