用于移动终端文件的安全管理系统及方法与流程

本发明涉及移动终端数据安全保护领域，具体为用于移动终端文件的安全管理系统及方法。

背景技术：

移动办公越来越多的成为人们日常工作中的场景，但是在会议、出差等办公环境中，人员复杂，环境变化因素大，移动终端中内置数据的安全面临着非常高的风险。一旦发生移动终端丢失、被盗、非法访问、非法拷贝等情况，将会导致终端中的机密文档数据信息泄漏，给单位造成不可估量的损失。

目前，对移动终端的数据保护主要采用数据备份，加密存储，访问控制，事后审计等技术手段，但采用上述技术手段仍存在效率低、无法控制数据向外部传输或发布、无法防止数据丢失等弊端。

技术实现要素：

本发明的目的在于提供用于移动终端文件的安全管理系统及方法，至少可以解决现有技术中的部分缺陷。

为实现上述目的，本发明实施例提供如下技术方案：一种用于移动终端文件的安全管理系统，包括usb设备监听单元、usb设备验证单元、安全核心驱动单元以及过滤驱动单元；

所述usb设备监听单元，用于监听usb端口，判断是否有usb设备插入或拔除；

所述usb设备验证单元，用于验证插入的usb设备身份是否与移动终端匹配；

所述安全核心驱动单元，用于在所述usb设备验证单元验证设备身份后，选择加载或卸载虚拟磁盘的安全核心功能；

所述过滤驱动单元，用于对所述虚拟磁盘中数据的操作进行扫描过滤，并对符合过滤条件的数据进行加密或解密。

进一步，所述usb设备验证单元至少包括：合法性验证模块、标识检查模块、身份获取模块、标识验证模块以及标识写入模块；

所述合法性验证模块，用于对插入的u-key设备进行身份检查，确认其自身id是否存在于所述系统的keyid列表中；

所述标识检查模块，用于检查插入的u-key是否具有移动终端标识；

所述身份获取模块，用于获取插入的u-key设备中的移动终端标识；

所述标识验证模块，用于确认获得的u-key中的移动终端标识是否与被插入的移动终端的标识匹配；

所述标识写入模块，用于在首次插入移动终端的u-key中写入相应的移动终端标识，实现移动终端与u-key的一对一绑定。

进一步，所述移动终端包括笔记本或平板电脑或智能手机。

本发明实施例提供另一种技术方案：一种用于移动终端文件的安全管理方法，包括如下步骤：

s1，启动pc端，并运行客户端程序，初始化usb设备监听单元、usb设备验证单元、安全核心驱动单元以及过滤驱动单元；

s2，采用所述usb设备监听单元检测是否有usb设备接入pc端；

s3，采用所述usb设备验证单元验证所述usb设备身份是否与移动终端匹配；

s4，采用所述安全核心驱动单元对经过所述usb设备验证单元验证身份后的设备选择加载虚拟磁盘的安全核心功能；

s5，采用所述过滤驱动单元对所述虚拟磁盘中数据的操作进行扫描过滤，并选择对所述虚拟磁盘中的数据进行加密或解密。

进一步，在所述s2步骤中，检测是否有usb设备插入，具体为：

s200，若是，则所述usb设备验证单元对插入的u-key进行身份合法性验证，若插入u-key的id存在于所述客户端程序的keyid列表中，则继续往下进行；否则，结束该步骤；

s201，对通过所述合法性验证的u-key进行移动终端标识检查，若有移动终端标识，则加载虚拟磁盘的安全核心功能；否则，说明u-key是首次插入移动终端，将相应移动终端的标识写入u-key中，再继续加载虚拟磁盘的安全核心功能；

s202，获取插入的u-key设备中的移动终端标识，确认所述u-key中的移动终端标识是否与被插入的移动终端的标识匹配；若是，则继续往下进行，否则，结束该步骤；

s203，在确认u-key中的移动终端标识与被插入的移动终端的标识匹配后，在本地加载虚拟磁盘，形成专属加密分区。

进一步，在所述s2步骤中，检测是否有usb设备拔除，若是，则usb设备验证单元读取u-key中的移动终端信息；如果能读取到，usb设备监听单元继续执行监听；否则，卸载虚拟磁盘，所述专属加密分区不可见且不可用。

进一步，所述专属加密区中的文档均自动加密；当在所述专属加密分区中时，所述文档可同正常文件一样打开、编辑以及保存，当被非法拷贝离开本机环境时，所述文档无法打开，用以保障关键文档数据的安全。

进一步，所述文档包括新建的文档和拷贝的文档。

进一步，所述s5步骤具体为：扫描过滤上层应用对磁盘中数据的操作，所述操作包括读取或写入；判断所述操作是否在虚拟磁盘中进行，若是，则对写入虚拟磁盘的数据进行加密，否则，对读取虚拟磁盘的数据进行解密。

与现有技术相比，本发明的有益效果是：

1、采用usb设备监听单元、usb设备验证单元、安全核心驱动单元以及过滤驱动单元的配合使用，安全性高，实施便捷，不改变用户使用习惯。

2、安装客户端软件后，通过结合专用u-key，实现身份认证，u-key与终端一对一绑定，安全性能高。

3、仅当u-key通过验证后，才在本地加载虚拟磁盘，形成专属加密分区；在加密分区中写入或读取数据时，系统自动进行加解密。

4、拔除u-key后，专属加密分区不可见且不可用；当数据脱离专属加密分区后保持加密状态，若被非法拷贝离开本机环境后仍无法打开，从而保障关键文档数据安全。

附图说明

图1为本发明实施例提供的一种用于移动终端文件的安全管理系统的功能框架图；

图2为本发明实施例提供的一种用于移动终端文件的安全管理方法的usb设备监听单元的流程图；

图3为本发明实施例提供的一种用于移动终端文件的安全管理方法的是否有usb设备插入的流程图；

图4为本发明实施例提供的一种用于移动终端文件的安全管理方法的是否有usb设备拔除的流程图；

图5为本发明实施例提供的一种用于移动终端文件的安全管理方法的步骤流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1，本发明实施例提供一种用于移动终端文件的安全管理系统，包括usb设备监听单元、usb设备验证单元、安全核心驱动单元以及过滤驱动单元。在本系统中，通过usb设备监听单元来监听usb端口，判断是否有usb设备插入或拔除，然后通过usb设备验证单元来验证插入的usb设备身份是否与移动终端匹配，接着通过安全核心驱动单元验证设备身份后选择加载或卸载虚拟磁盘的安全核心功能，最后通过过滤驱动单元对所述虚拟磁盘中数据的操作进行扫描过滤，并对符合过滤条件的数据进行加密或解密。上述各个单元的功能是挨个实现的，具体的，需要最先的一个单元工作后，接下来的单元才开始工作。各模块符合用户常用的使用习惯，实施方便，且安全性高，实现了移动终端中的机密文档数据安全保护。

以下为具体实施例：

优化上述方案，请参阅图1，所述usb设备验证单元至少包括：合法性验证模块、标识检查模块、身份获取模块、标识验证模块以及标识写入模块。其中，合法性验证模块用于对插入的u-key设备进行身份检查，确认其自身id是否存在于所述系统的keyid列表中，标识检查模块用于检查插入的u-key是否具有移动终端标识，身份获取模块用于获取插入的u-key设备中的移动终端标识，标识验证模块用于确认获得的u-key中的移动终端标识是否与被插入的移动终端的标识匹配，标识写入模块用于在首次插入移动终端的u-key中写入相应的移动终端标识，实现移动终端与u-key的一对一绑定。安装客户端软件后，通过结合专用u-key，实现身份认证，u-key与终端一对一绑定，安全性能高

作为本发明实施例的优化方案，移动终端包括移动笔记本或平板电脑或智能手机。市面上的所有能够读取u盘的移动设备均可以使用。

本发明实施例提供一种用于移动终端文件的安全管理方法，请参阅图5，包括如下步骤：s1，启动pc端，并运行客户端程序，初始化usb设备监听单元、usb设备验证单元、安全核心驱动单元以及过滤驱动单元；s2，采用所述usb设备监听单元检测是否有usb设备接入pc端；s3，采用所述usb设备验证单元验证所述usb设备身份是否与移动终端匹配；s4，采用所述安全核心驱动单元对经过所述usb设备验证单元验证身份后的设备选择加载虚拟磁盘的安全核心功能；s5，采用所述过滤驱动单元对所述虚拟磁盘中数据的操作进行扫描过滤，并选择对所述虚拟磁盘中的数据进行加密或解密。该步骤与上述系统中的各单元对应，符合用户常用的使用习惯，实施方便，且安全性高，实现了移动终端中的机密文档数据安全保护。

优化上述方案，请参阅图2以及图3，在所述s2步骤中，检测是否有usb设备插入，具体为：s200，若是，则所述usb设备验证单元对插入的u-key进行身份合法性验证，若插入u-key的id存在于所述客户端程序的keyid列表中，则继续往下进行；否则，结束该步骤；s201，对通过所述合法性验证的u-key进行移动终端标识检查，若有移动终端标识，则加载虚拟磁盘的安全核心功能；否则，说明u-key是首次插入移动终端，将相应移动终端的标识写入u-key中，再继续加载虚拟磁盘的安全核心功能；s202，获取插入的u-key设备中的移动终端标识，确认所述u-key中的移动终端标识是否与被插入的移动终端的标识匹配；若是，则继续往下进行，否则，结束该步骤；s203，在确认u-key中的移动终端标识与被插入的移动终端的标识匹配后，在本地加载虚拟磁盘，形成专属加密分区。安装客户端软件后，通过结合专用u-key，实现身份认证，u-key与终端一对一绑定，安全性能高，且仅当u-key通过验证后，才在本地加载虚拟磁盘，形成专属加密分区；在加密分区中写入或读取数据时，系统自动进行加解密。

进一步优化上述方案，请参阅图2以及图4，在所述s2步骤中，检测是否有usb设备拔除，若是，则usb设备验证单元读取u-key中的移动终端信息；如果能读取到，usb设备监听单元继续执行监听；否则，卸载虚拟磁盘，所述专属加密分区不可见且不可用。拔除u-key后，专属加密分区不可见且不可用；当数据脱离专属加密分区后保持加密状态，若被非法拷贝离开本机环境后仍无法打开，从而保障关键文档数据安全。

作为本发明实施例的优化方案，专属加密分区具体为：专属加密区中的文档均自动加密；当在所述专属加密分区中时，所述文档可同正常文件一样打开、编辑以及保存，当被非法拷贝离开本机环境时，所述文档无法打开，用以保障关键文档数据的安全。优选的，文档包括新建的文档和拷贝的文档，不管是新建的文档还是拷贝的文档均能够得到专属加密分区的保护，且当被非法拷贝离开本机环境时，也都会导致该文档无法打开。

作为本发明实施例的优化方案，s5步骤具体为：扫描过滤上层应用对磁盘中数据的操作，所述操作包括读取或写入；判断所述操作是否在虚拟磁盘中进行，若是，则对写入虚拟磁盘的数据进行加密，否则，对读取虚拟磁盘的数据进行解密。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。