一种数据安全共享的方法、装置和终端的制作方法
【技术领域】
[0001]本发明涉及移动通信领域中的数据共享技术,尤其涉及一种数据安全共享的方法、装置和终端。
【背景技术】
[0002]随着智能终端在办公环境中的应用越来越多,数据安全问题逐渐成为一个不可忽视的问题。目前,智能终端保证应用程序数据安全的方法,主要是通过应用程序自身的安全加固,如:将文件加密、将网络连接加密等方式进行数据保护。
[0003]以Android系统为例,在Android系统上企业应用程序和用户从网络上下载的个人应用程序混合安装到一起。对于应用程序所产生的数据,仅通过Android系统标准的Dalvik沙箱机制进行访问控制管理,但是由于Android系统本身存在安全性问题,因此沙箱机制很容易被攻破,导致数据的丢失。
[0004]目前,在操作系统中,个人的应用程序的数据(简称个人数据)和企业的应用程序的数据(简称企业数据)混合,无法进行明确的区分和分类管理。为了将个人数据以及需要安全保护的企业数据进行隔离,操作系统可以将个人数据和企业数据进行分别存储,并隔离两个存储数据的访问,实现完全的隔离,但是同时带来一个问题,企业域应用程序和个人域的应用程序如何安全的共享数据。
【发明内容】
[0005]为解决现有存在的技术问题,本发明实施例提供一种数据安全共享的方法、装置和终端。
[0006]本发明实施例提供了一种数据安全共享的方法,该方法包括:
[0007]收到应用程序所发的数据访问请求后,依据预设的配置文件确定应用程序所属的用户和组具备访问数据所属的目录和/或文件的权限;
[0008]确定所述应用程序具备数据的强制访问控制权限,该步骤与前一步骤执行顺序不分先后;
[0009]确定所述应用程序具备解密权限时,对所述数据所属的目录和/或文件进行解密;
[0010]所述应用程序进行数据的访问。
[0011]优选的,在收到所述应用程序所发的数据访问请求前,该方法还包括:
[0012]在所述配置文件中,为数据所属的不同目录和/或文件设置不同的安全级别,并为不同安全级别的目录和/或文件设置对应的安全控制策略。
[0013]优选的,在收到所述应用程序所发的数据访问请求前,该方法还包括:
[0014]在所述配置文件中,设置所述数据所属的目录下的文件允许被阅读的次数或所述数据所属的文件允许被阅读的次数,
[0015]和/或所述数据所属的目录下的文件或所述数据所属的文件被阅读后是否自动删除,
[0016]和/或是否需要记录对所述数据所属的目录下的文件或数据所属的文件进行访问和/或修改的应用程序的信息。
[0017]优选的,该方法还包括:
[0018]在应用程序访问数据后,依据所述配置文件的设置,在数据所属的目录下的文件或数据所属的文件被阅读设定的次数时将所述文件删除,
[0019]和/或记录对所述数据所属的目录下的文件或所述数据所属的文件进行访问和/或修改的应用程序的信息。
[0020]优选的,在收到所述应用程序所发的数据访问请求前,该方法还包括:
[0021 ] 在配置文件中,为所述数据所属的目录、或数据所属的目录下的所有文件、一个文件或几个文件、或者为数据所属的目录下某一个类型的文件、或者为数据所属的文件加密,并设置应用程序对所述相应文件的访问权限。
[0022]优选的,该方法还包括:
[0023]在收到所述应用程序所发的数据创建或写入请求后,依据预设的配置文件确定应用程序所属的用户和组具备访问数据所属的目录和/或文件的权限;
[0024]确定所述应用程序具备数据的强制访问控制权限,该步骤与前一步骤执行顺序不分先后;
[0025]读取配置文件中所述数据所属的目录和/或文件的安全级别和/或安全控制策略,依据所述安全级别和/或安全控制策略执行相应的创建或写入操作。
[0026]本发明实施例还提供了一种数据安全共享的装置,该装置包括:主动访问控制模块、强制访问控制模块和加解密访问控制模块;其中,
[0027]所述主动访问控制模块,用于收到应用程序所发的数据访问请求后,依据预设的配置文件判断应用程序所属的用户和组是否具备访问数据所属的目录和/或文件的权限;
[0028]所述强制访问控制模块,用于依据预设的配置文件判断所述应用程序是否具备数据的强制访问控制权限;
[0029]所述加解密访问控制模块,用于接收到所述主动访问控制模块和所述强制访问控制模块均为是的判断结果时,且在确定所述应用程序具备解密功能时,对所述数据所属的目录和/或文件进行解密,允许所述应用程序进行数据的访问。
[0030]优选的,该装置还包括:文件配置模块,用于存储所述配置文件,并用于在所述配置文件中,为所述数据所属的不同目录和/或文件设置不同的安全级别,并为不同安全级别的目录和/或文件设置对应的安全控制策略。
[0031]优选的,所述文件配置模块,还用于在配置文件中,设置所述数据所属的目录下的文件允许被阅读的次数或数据所属的文件允许被阅读的次数,
[0032]和/或所述数据所属的目录下的文件或所述数据所属的文件被阅读后是否自动删除,
[0033]和/或是否需要记录对所述数据所属的目录下的文件或所述数据所属的文件进行访问和/或修改的应用程序的信息。
[0034]优选的,所述加解密访问控制模块,还用于在应用程序访问数据后,依据所述配置文件的设置,在所述数据所属的目录下的文件或所述数据所属的文件被阅读设定的次数时将所述文件删除,
[0035]和/或记录对所述数据所属的目录下的文件或所述数据所属的文件进行访问和/或修改的应用程序的信息。
[0036]优选的,所述文件配置模块,还用于在配置文件中,为所述数据所属的目录、或数据所属的目录下的所有文件、一个文件或几个文件、或者为数据所属的目录下某一个类型的文件,或者为数据所属的文件加密,并设置应用程序对所述相应文件的访问权限。
[0037]优选的,所述主动访问控制模块,还用于收到应用程序所发的数据创建或写入请求后,依据预设的配置文件判断应用程序所属的用户和组是否具备访问数据所属的目录和/或文件的权限;相应的,
[0038]该装置还包括:数据写入模块,用于接收到所述主动访问控制模块和所述强制访问控制模块均为是的判断结果时,读取配置文件中所述数据所属的目录和/或文件的安全级别和/或安全控制策略,依据所述安全级别和/或安全控制策略执行相应的创建或写入操作。
[0039]本发明实施例还提供了一种终端,所述终端包括上文所述的数据安全共享的装置。
[0040]本发明实施例提供的数据安全共享的方法、装置和终端,收到应用程序所发的数据访问请求后,依据预设的配置文件确定应用程序所属的用户和组具备访问数据所属的目录和/或文件的权限;确定所述应用程序具备数据的强制访问控制权限,该步骤与前一步骤执行顺序不分先后;确定所述应用程序具备解密权限时,对所述数据所属的目录和/或文件进行解密;所述应用程序进行数据的访问。可见,本发明实施例不需将不同应用程序的数据分开保存,而将所有数据划分为不同的安全等级,依据配置文件的设置对发出数据访问请求的应用程序进行多重访问控制,在不同应用程序对数据分享过程中保证了数据得安全性。
【附图说明】
[0041]在附图(其不一定是按比例绘制的)中,相似的附图标记可在不同的视图中描述相似的部件。具有不同字母后缀的相似附图标记可表示相似部件的不同示例。附图以示例而非限制的方式大体示出了本文中所讨论的各个实施例。
[0042]图1为本发明实施例所述数据安全共享的方法实现流程示意图;
[0043]图2为本发明实施例所述应用程序进行数据创建及写入的流