[发明专利]一种移动终端信息安全防护系统和方法

说明书

技术领域

本发明涉及一种移动终端信息安全防护系统和方法，基于移动操作系统内核级的动态加解密技术，可实现对移动终端各种应用进行加密防护，以避免存储在移动终端中的信息泄露。

缩略语及名词解释：

API：应用程序接口

PIN：全称Personal Identification Number，就是移动终端SIM卡的个人识别密码。

SD卡：全称Secure Digital Memory Card，中文翻译为安全数码卡，是一种基于半导体快闪记忆器的存储设备，它被广泛地于便携式装置上使用，如手机、数码相机等。

背景技术

随着智能移动终端(包括智能手机和平板电脑)的不断普及，移动终端已经从过去单纯的个人通讯工具转变为个人综合信息处理中心。移动终端中存储有大量个人机密和企业/组织机密，如短信、通讯录、通话记录、电子邮件、手机银行、手机炒股、多媒体(照片及视频)、办公文档等。同时移动终端的便携性在带来使用的便利之外，也带来丢失、失窃等巨大的风险。

现有的移动终端，能够提供PIN码或者类似计算机中屏幕保护密码的功能，它能够使非法使用者无法进入智能终端。但是目前移动终端需要的存储容量越来越大，而本机提供的存储空间非常有限，大部分信息都存储在SD卡中。用户的移动终端如果丢失或者失窃，非法使用者只要取出SD卡，在其他设备上就能读取SD卡中的内容，此时，PIN码等保护手段是完全无效的。

现有的手机安全软件，都是基于移动操作系统的应用层实现的。存在如下问题：

1、如要对一个应用进行保护，就需要开发一个单独的应用程序。目前绝大多数的手机安全软件仅实现了对短信和通话记录的泄密防护。防护的全面性远远不够。

2、移动终端的应用日新月异，苹果的IPHONE手机在短短几年内已经拥有了15万种应用。现有的模式，其扩展性远远跟不上移动终端应用的发展速度。

3、基于应用层的技术，由于受限于操作系统的处理响应时间，系统中明文数据的存在时间大概0.5s-2s。这段时间就是不安全时间，存在泄密的风险。

4、基于应用层的技术，需要用户使用新的具备安全防护功能的应用程序。如需要对短信进行防护，用户就需要放弃原来习惯的短信应用，改用具备防护功能的短信应用，用户体验不好。

5、基于应用层的技术，占用系统资源高。

发明内容

本发明提供了一种移动终端信息安全防护系统和方法，基于移动操作系统内核级的动态加解密技术，可实现对所有移动终端的应用所操作的文件进行加密防护，以全面保护移动终端的信息安全。

本发明所述的移动终端信息安全防护系统，可对现有的所有以文件为信息存储形式的移动终端的应用进行加密防护，而且对未来新增的应用，只需在安全策略上作适配调整，即可方便地支持新增应用，防护全面且可扩展性强；无论文件存储在移动终端本机还是扩展的SD卡，都能进行全面防护；该系统和方法部署在移动操作系统内核级，响应时间为毫秒级别，几乎没有明文存在时间的隐患；系统占用资源也只有传统应用层技术的1/2-1/3；使用本发明所述的系统和方法所保护的应用，用户可以继续使用原有应用，不改变使用习惯，用户体验好。

图1为本发明所述的移动终端信息安全防护系统，其中包括接口模块、安全策略设定模块、文件访问控制模块、文件访问日志记录模块和动态加解密模块。

接口模块提供API接口。API接口被上层应用调用，通过接口模块将数据、指令传递给下层的安全策略设定模块。接口模块可查询安全策略设定模块、文件访问控制模块、文件访问日志记录模块和动态加解密模块的状态并上报给应用。

安全策略设定模块可根据接口模块传送的指令，设定相应的安全策略，包括安全保护的对象和安全保护的形式。并根据安全策略的描述，向文件访问控制模块、文件访问日志记录模块和动态加解密模块发送指令。并查询文件访问控制模块、文件访问日志记录模块和动态加解密模块的状态并上报接口模块。

文件访问控制模块通过接收安全策略设定模块发来的指令，实现对移动终端中的文件对象的访问操作进行控制。其中文件对象，可以是某个指定文件、或一组文件、或目录。其中访问操作包括对文件对象的打开、创建、删除、改名、复制、移动、保存、属性设置操作。文件访问控制模块对文件和目录进行权限控制包括只读、隐藏、禁止删除、禁止打开、禁止拷贝、禁止非法应用程序访问一个已经被合法应用程序打开的文件。