本公开涉及移动终端技术领域,具体而言,涉及一种数据保护方法、数据保护装置以及应用该数据保护方法及装置的移动终端。
背景技术:
随着集成电路技术以及通信网络技术的飞速发展,移动终端逐渐拥有了强大的处理能力和通信功能。目前,移动终端已经从简单的通话工具变为一个综合信息处理平台,成为渗透广泛、普及迅速、影响巨大、深入至人类社会生活方方面面的终端产品。
在移动终端用户量迅速增长的背景下,其安全性也受到越来越广泛的关注。例如,移动终端存储的用户数据越来越多,其中不乏许多重要、敏感的数据,例如,消息、邮件、照片、视频、音频或者其他隐私信息以及商业秘密等敏感信息。但是,运行在移动终端的部分应用可能会偷偷访问不该访问的用户数据,造成用户敏感信息泄露。对此,一种解决方案是通过设置文件保险箱的方式允许用户将重要或敏感数据放置在文件保险箱进行加密存储,以达到保护用户数据的目的。
然而,现有技术中的文件保险箱都是通过隐藏文件夹的方式存储需要保护的数据;因此,文件保险箱存储的数据可以被其他应用程序通过访问隐藏文件夹的方式获取,甚至可以删除隐藏文件夹来破坏被保护的数据。因此,现有技术中的技术方案还存在有待改进之处。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现要素:
本公开的目的在于提供一种数据保护方法、数据保护装置以及应用该数据保护方法及装置的移动终端,进而至少在一定程度上克服由于相关技术的限制和缺陷而导致的一个或者多个问题。
本公开的其他特性和优点将通过下面的详细描述变得清晰,或者部分地通过本公开的实践而习得。
根据本公开的一个方面,提供一种数据保护方法,包括:
在移动终端的内置存储介质中设置数据保护区,且将所述数据保护区配置为仅允许预设应用访问;
在接收到请求导入目标数据的导入请求时,对所述导入请求的发起者进行身份校验;
在所述身份校验通过后,利用所述预设应用获取所述目标数据并通过传输接口将所述目标数据导入至所述数据保护区。
在本公开的一种示例性实施例中,所述数据保护方法还包括:
在接收到请求导出所述目标数据的导出请求时,对所述导出请求的发起者进行身份校验;
在所述身份校验通过后,利用所述预设应用通过所述传输接口将所述目标数据从所述数据保护区导出。
在本公开的一种示例性实施例中,所述数据保护方法还包括:
在接收到请求访问所述数据保护区的所述目标数据的访问请求时,对所述访问请求的发起者进行身份校验;
在所述身份校验通过后,利用所述预设应用通过所述传输接口从所述数据保护区访问所述目标数据。
在本公开的一种示例性实施例中,所述数据保护方法还包括:
在所述预设应用将所述目标数据导入所述数据保护区时,记录所述预设应用获取所述目标数据的方式;
在所述预设应用从所述数据保护区导出所述目标数据时,按照记录的所述方式将所述目标数据导出。
在本公开的一种示例性实施例中,所述数据保护方法还包括:
对所述数据保护区中的所述目标数据进行加密。
在本公开的一种示例性实施例中,所述目标数据来源于所述移动终端中的第一应用,且所述预设应用以接口插件的形式动态加载支持所述第一应用。
在本公开的一种示例性实施例中,其中,通过请求的发起者输入的验证口令或者请求的发起者的生物特征信息对请求的发起者进行身份校验。
根据本公开的一个方面,提供一种数据保护装置,包括:
保护区配置模块,用于在移动终端的内置存储介质中设置数据保护区,且将所述数据保护区配置为仅允许预设应用访问;
第一校验模块,用于在接收到请求导入目标数据的导入请求时,对所述导入请求的发起者进行身份校验;
数据导入模块,用于在所述身份校验通过后,利用所述预设应用获取所述目标数据并通过传输接口将所述目标数据导入至所述数据保护区。
在本公开的一种示例性实施例中,所述数据保护装置还包括:
第二校验模块,用于在接收到请求导出所述目标数据的导出请求时,对所述导出请求的发起者进行身份校验;
数据导出模块,用于在所述身份校验通过后,利用所述预设应用通过所述传输接口将所述目标数据从所述数据保护区导出。
在本公开的一种示例性实施例中,所述数据保护装置还包括:
第三校验模块,用于在接收到请求访问所述数据保护区的所述目标数据的访问请求时,对所述访问请求的发起者进行身份校验;
数据访问模块,用于在所述身份校验通过后,利用所述预设应用通过所述传输接口从所述数据保护区访问所述目标数据。
在本公开的一种示例性实施例中,所述数据保护装置还包括:
传输记录模块,用于在所述预设应用将所述目标数据导入所述数据保护区时,记录所述预设应用获取所述目标数据的方式;
所述数据导出模块在所述预设应用从所述数据保护区导出所述目标数据时,按照记录的所述方式将所述目标数据导出。
在本公开的一种示例性实施例中,所述数据保护装置还包括:
数据加密模块,用于对所述数据保护区中的所述目标数据进行加密。
在本公开的一种示例性实施例中,所述目标数据来源于所述移动终端中的第一应用,且所述预设应用以接口插件的形式动态加载支持所述第一应用。
在本公开的一种示例性实施例中,所述第一校验模块、第二校验模块以及第三校验模块通过请求的发起者输入的验证口令或者请求的发起者的生物特征信息对请求的发起者进行身份校验。
根据本公开的一个方面,提供一种移动终端,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中所述处理器配置为经由执行所述可执行指令来执行以下操作:
在移动终端的内置存储介质中设置数据保护区,且将所述数据保护区配置为仅允许预设应用访问;
在接收到请求导入目标数据的导入请求时,对所述导入请求的发起者进行身份校验;
在所述身份校验通过后,利用所述预设应用获取所述目标数据并通过传输接口将所述目标数据导入至所述数据保护区。
本公开一种示例实施方式所提供的数据保护方法中,通过设置只有预设应用才可以访问的数据保护区,并且对预设应用对于数据保护区的访问进行身份验证。因此,一方面,可以确保数据保护区中的数据与移动终端同在,提升数据的安全性;另一方面,可以确保数据保护区中的数据无法被其他应用访问,进一步提升数据的安全性;再一方面,可以实现合法性验证和权限检查,使得未通过身份验证的请求发起者无法访问数据保护区中的目标数据,进一步提升数据的安全性。因此,相比于现有技术,本示例实施方式中的数据保护方案可以实现更高的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开示例性实施例中一种数据保护方法的流程示意图。
图2为本公开示例性实施例中一种数据保护方法的流程示意图。
图3为本公开示例性实施例中一种数据保护装置的方框示意图。
图4为本公开示例性实施例中一种数据保护装置的方框示意图。
图5为本公开示例性实施例中一种应用上述数据保护方法或数据保护装置的移动终端的方框示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
本示例实施方式中首先提供了一种数据保护方法,可以应用于一移动终端。本示例实施方式中,所述移动终端例如可以为手机、平板电脑以及PDA等。所述移动终端的操作系统可以为基于Linux的操作系统,如Android操作系统,也可以为IOS等其他操作系统,本示例性实施例中对此不做特殊限定。参考图1中所示,本示例实施方式中,所述数据保护方法可以包括以下步骤:
步骤S1.在移动终端的内置存储介质中设置数据保护区,且将所述数据保护区配置为仅允许预设应用访问。
本示例实施方式中,例如可以通过内核层的存储器管理组件以及应用程序管理组件等服务对移动终端的内置存储介质(例如移动终端的非运行内存)进行配置,使其中指定大小的存储空间,即数据保护区仅允许预设应用访问,从而可以保证数据保护区中的数据与移动终端同在,提升数据的安全性。
上述的预设应用例如可以是文件保险箱应用。文件保险箱应用是对需要保护的数据进行访问和管理的软件系统,是用户操作数据保护区中数据的唯一合法应用。通过数据保险箱应用可以对数据保护区中的数据进行删除、重命名、修改、预览、导出、导入等操作。此外,本示例实施方式中,文件保险箱应用可以以接口插件的形式动态加载支持移动终端中的其他应用,对此将在后续进行进一步的说明。
步骤S2.在接收到请求导入目标数据的导入请求时,对所述导入请求的发起者进行身份校验。
本示例实施方式中,请求导入目标数据的导入请求可以由用户通过文件保险箱应用发起,也可以是用户通过移动终端中其他应用调用上述接口插件发起,本示例性实施例中对此不做特殊限定。所述目标数据即需要保护的数据,例如可以包括消息、邮件、照片、视频、音频或者其他隐私信息以及商业秘密等敏感信息。
本示例实施方式中,可以通过导入请求的发起者输入的验证口令的方式对导入请求的发起者进行身份校验,从而实现合法性验证和权限检查,保证数据保护区中数据的安全性。验证口令是数据保护区可访问的唯一身份标识符,通过设置验证口令可以避免系统统一清空数据误删数据保护区中的数据,同时也杜绝了其他应用或者非法的请求发起者的恶意访问。但本领域技术人员容易理解的是,在本公开的其他示例性实施例中,也可以通过其他方式对访问请求的发起者进行身份校验,例如,通过导入请求的发起者的生物特征信息(如指纹信息)对导入请求的发起者进行身份校验等。
步骤S3.在所述身份校验通过后,利用所述预设应用获取所述目标数据并通过传输接口将所述目标数据导入至所述数据保护区。
本示例实施方式中,在导入请求的发起者的身份校验通过后才允许进行目标数据的导入操作,在导入请求的发起者的身份校验失败后则会拒绝进行目标数据的导入操作,并且可以提示导入请求的发起者重新进行身份校验。
对于移动终端存储卡中普通文件数据、数据库中普通数据等可以通过文件保险箱应用将其通过传输接口直接从原始存储位置导入至数据保护区。对于受移动终端其他应用程序沙箱保护的数据或者来源于移动终端其他应用程序的非文件类数据,则可以调用插件接口通过文件保险箱应用中的传输接口将目标数据导入至数据保护区。此外,容易理解的是,本示例实施方式中,将目标数据导入至数据保护区的同时,原始位置的所述目标数据将被删除。其中,对于目标数据的导入可以通过共享内存、通过Socket或者通过文件访问等方式实现,本示例性实施例中对此不做特殊限定。
此外,本示例实施方式中还可以对所述数据保护区中的所述目标数据进行加密。通过对目标数据进行加密处理,可以确保目标数据在被破坏性方式(例如直接拔出内置存储卡移植到其他终端获取数据)访问时是保密的。对于目标数据加密的方式可以参考现有技术中可用的任意加密方式,本示例实施方式中对此不进行赘述。
参考图2中所示,为了实现目标数据的安全导出,本示例实施方式中所述数据保护方法还可以包括步骤S4以及步骤S5。其中:
步骤S4.在接收到请求导出所述目标数据的导出请求时,对所述导出请求的发起者进行身份校验。
本示例实施方式中,为了确保数据的安全,可以设定请求导出目标数据的导出请求只能由用户通过文件保险箱应用发起。对于导出请求的发起者的身份验证的具体实现可以参考上述步骤S2中对于导入请求的发起者的身份验证的具体实现方式,因此此处不再重复赘述。
步骤S5.在所述身份校验通过后,利用所述预设应用通过所述传输接口将所述目标数据从所述数据保护区导出。
本示例实施方式中,在导出请求的发起者的身份校验通过后才允许进行目标数据的导出操作,在导出请求的发起者的身份校验失败后则会拒绝进行目标数据的导出操作,并且可以提示导出请求的发起者重新进行身份校验。
进一步的,本示例实施方式中还可以在所述预设应用将所述目标数据导入所述数据保护区时,记录所述预设应用获取所述目标数据的方式。例如,记录中所述目标数据是文件保险箱应用利用文件访问的方式将其通过传输接口直接从原始存储位置导入至数据保护区,则在所述预设应用从所述数据保护区导出所述目标数据时,利用文件访问的方式将目标数据通过传输接口直接从数据保护区导出至原始存储位置。再例如,记录中所述目标数据是文件保险箱应用调用插件接口利用Socket方式通过传输接口将其导入至数据保护区,则在所述预设应用从所述数据保护区导出所述目标数据时,回调上述插件接口并利用Socket方式将目标数据通过传输接口从数据保护区导出至原始存储位置。此外,容易理解的是,本示例实施方式中,将目标数据导出至原始位置的同时,数据保护区中的所述目标数据将被删除。
继续参考图2中所示,为了实现目标数据的安全访问,本示例实施方式中所述数据保护方法还可以包括步骤S6以及步骤S7。其中:
步骤S6.在接收到请求访问所述数据保护区的所述目标数据的访问请求时,对所述访问请求的发起者进行身份校验。
本示例实施方式中,请求访问目标数据的访问请求可以由用户通过文件保险箱应用发起,也可以是用户通过移动终端中其他应用调用上述接口插件发起,本示例性实施例中对此不做特殊限定。对于访问请求的发起者的身份验证的具体实现可以参考上述步骤S2中对于导入请求的发起者的身份验证的具体实现方式,因此此处不再重复赘述。
步骤S7.在所述身份校验通过后,利用所述预设应用通过所述传输接口从所述数据保护区访问所述目标数据。
本示例实施方式中,在访问请求的发起者的身份校验通过后才允许进行目标数据的访问操作,在访问请求的发起者的身份校验失败后则会拒绝进行目标数据的访问操作,并且可以提示访问请求的发起者重新进行身份校验。
综上所述,本示例实施方式所提供的数据保护方法中,通过设置只有预设应用才可以访问的数据保护区,并且对预设应用对于数据保护区的访问进行身份验证。因此,一方面,可以确保数据保护区中的数据与移动终端同在,提升数据的安全性;另一方面,可以确保数据保护区中的数据无法被其他应用访问,进一步提升数据的安全性;再一方面,可以实现合法性验证和权限检查,使得未通过身份验证的请求发起者无法访问数据保护区中的目标数据,进一步提升数据的安全性。因此,相比于现有技术,本示例实施方式中的数据保护方案可以实现更高的安全性。
进一步的,本示例实施方式中还提供了一种数据保护装置,可以应用于一移动终端。参考图3中所示,所述数据保护装置1可以包括保护区配置模块10、第一校验模块20以及数据导入模块30。其中:
保护区配置模块10可以用于在移动终端的内置存储介质中设置数据保护区,且将所述数据保护区配置为仅允许预设应用访问;
第一校验模块20可以用于在接收到请求导入目标数据的导入请求时,对所述导入请求的发起者进行身份校验;
数据导入模块30可以用于在所述身份校验通过后,利用所述预设应用获取所述目标数据并通过传输接口将所述目标数据导入至所述数据保护区。
参考图4中所示,在本示例实施方式中,所述数据保护装置还可以包括第二校验模块40以及数据导出模块50。其中:
第二校验模块40可以用于在接收到请求导出所述目标数据的导出请求时,对所述导出请求的发起者进行身份校验;
数据导出模块50可以用于在所述身份校验通过后,利用所述预设应用通过所述传输接口将所述目标数据从所述数据保护区导出。
机型参考图4中所示,在本示例实施方式中,所述数据保护装置还可以包括第三校验模块60以及数据访问模块70。其中:
第三校验模块60可以用于在接收到请求访问所述数据保护区的所述目标数据的访问请求时,对所述访问请求的发起者进行身份校验;
数据访问模块70可以用于在所述身份校验通过后,利用所述预设应用通过所述传输接口从所述数据保护区访问所述目标数据。
在本示例实施方式中,所述数据保护装置还可以包括传输记录模块。其中:
传输记录模块可以用于在所述预设应用将所述目标数据导入所述数据保护区时,记录所述预设应用获取所述目标数据的方式;
所述数据导出模块在所述预设应用从所述数据保护区导出所述目标数据时,按照记录的所述方式将所述目标数据导出。
在本示例实施方式中,所述数据保护装置还可以包括数据加密模块。其中:
数据加密模块可以用于对所述数据保护区中的所述目标数据进行加密。
在本示例实施方式中,所述目标数据来源于所述移动终端中的第一应用,且所述预设应用以接口插件的形式动态加载支持所述第一应用。
在本示例实施方式中,所述第一校验模块20、第二校验模块40以及第三校验模块60可以通过请求的发起者输入的验证口令或者请求的发起者的生物特征信息对请求的发起者进行身份校验。
上述数据保护装置中各模块/单元的具体细节已经在对应的数据保护方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
参照图5,应用上述数据保护方案的移动终端300可以包括以下一个或多个组件:处理组件302,存储器304,电源组件306,多媒体组件308,音频组件310,输入/输出(I/O)的接口312,传感器组件314,以及通信组件316。
处理组件302通常控制移动终端300的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件302可以包括一个或多个处理器320来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件302可以包括一个或多个模块,便于处理组件302和其他组件之间的交互。例如,处理组件302可以包括多媒体模块,以方便多媒体组件304和处理组件302之间的交互。
存储器304被配置为存储各种类型的数据以支持在设备300的操作。这些数据的示例包括用于在移动终端300上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器304可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件306为移动终端300的各种组件提供电力。电源组件306可以包括电源管理系统,一个或多个电源,及其他与为移动终端300生成、管理和分配电力相关联的组件。
多媒体组件308包括在所述移动终端300和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件308包括一个前置摄像头和/或后置摄像头。当设备300处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件310被配置为输出和/或输入音频信号。例如,音频组件310包括一个麦克风(MIC),当移动终端300处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器304或经由通信组件316发送。在一些实施例中,音频组件310还包括一个扬声器,用于输出音频信号。
I/O接口312为处理组件302和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件314包括一个或多个传感器,用于为移动终端300提供各个方面的状态评估。例如,传感器组件314可以检测到设备300的打开/关闭状态,组件的相对定位,例如所述组件为移动终端300的显示器和小键盘,传感器组件314还可以检测移动终端300或移动终端300一个组件的位置改变,用户与移动终端300接触的存在或不存在,移动终端300方位或加速/减速和移动终端300的温度变化。传感器组件314可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件314还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件314还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件316被配置为便于移动终端300和其他设备之间有线或无线方式的通信。移动终端300可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件316经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件316还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,移动终端300可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器304,上述指令可由移动终端300的处理器320执行以完成本示例实施方式中的上述技术方案。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。