[发明专利]一种移动数据隔离的系统及方法

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种移动数据隔离的系统及方法。

背景技术

随着BYOD的兴起，政府、企业使用移动智能终端处理事务的增加，移动智能终端上的数据安全保密性问题越来越受到重视。但在同一台移动智能终端上运行着办公应用和私人应用，一旦移动应用未授权读取及修改政府、企业数据就可能造成政府或企业机密泄露，造成安全威胁。现在急需对在移动智能终端上进行读取和处理数据进行有效控制，确保其安全保密。

现有的MDM产品中移动终端数据保护主要有明朝万达的chinasec（安元）移动安全管理平台，主要通过文件加密加VPN安全传输来实现。所有从内部网络发送到移动终端的数据均加密，在移动终端通过产品的客户端输入密码认证后，才可对数据进行操作。

目前此技术不能对数据进行细粒度的区分隔离。所有的数据都通过移动网关加密后传输到移动智能终端，所有通过移动网关推送至移动智能终端的应用均可对这些数据进行操作。数据保密性仅通过统一的加密和VPN传输来保证，不能针对不同类型的数据实行不同的保护策略，也不能限定不同的移动应用对不同数据的操作权限。一旦误推送一非法授权应用，此应用便具有权限读取所有数据。另外对所有通过移动网关传输到移动智能终端的数据都采用加密和VPN的传输方式，对资源的耗用较大。

现有的个人移动终端数据保护主要有腾讯手机管家、360手机安全卫士等产品，均使用文件保密箱的方法。用户将指定的数据放入“保险箱”，当移动应用对这些数据进行访问操作时对此应用进行权限验证（用户输入密码验证），判别后授权应用对所有数据进行操作，以实现对移动数据保密性的控制。

目前此技术只能实现对数据粗粒度的控制。不仅每个敏感数据都需要用户手动添加到文件保密箱内，而且每次使用该敏感数据时都需要用户手动输入密码。数据的保密性级别十分单调，只分为“保密”、“不保密”这2个级别；数据的保密性也不强，一旦密码泄露或其它应用通过某一移动应用获得数据操作权限，则所有的数据都得不到有效保护；此外这些敏感数据只能在移动终端上得到保护，一旦取得合法权限的应用将其发送到本移动终端之外则不能再对此敏感数据进行保护。

发明内容

本发明的目的是为了克服现有技术的缺陷，提供一种移动数据隔离的系统及方法，解决移动智能终端中数据的安全隔离及完整保密性。

一种移动数据隔离的系统，由标签tag控制管理模块和移动数据管理模块组成；标签tag控制管理模块包括标签tag生成器、标签tag存储管理模块和标签tag传输控制模块；标签tag生成器包括数据标签data-tag生成器和移动应用标签app-tag生成器，在数据标签data-tag和移动应用标签app-tag生成或变动完成后通知标签tag存储管理模块；标签tag存储管理模块负责数据标签data-tag和移动应用标签app-tag的存储；标签tag传输控制模块包括对data-tag的传输管理和对app-tag的传输同步管理。

移动数据管理模块根据标签识别用户权限和数据保密级别，对移动数据的移动应用进行操作控制，以实现移动数据细粒度的保密安全防护。

移动数据管理模块分为数据处理过程的安全隔离控制、数据传输过程的安全控制和数据存储中的安全隔离控制；数据处理过程的安全隔离控制在移动智能终端和移动接入网关上实现；数据传输过程的安全控制包括数据从移动接入网关传输到移动智能终端过程和数据从移动智能终端传输到外部过程这两种情况进行的数据安全控制；数据存储中的安全隔离控制对移动终端上的静止数据进行隔离；若收到数据访问消息通知，立即通知数据处理过程的安全隔离控制模块；若收到数据传送消息通知，立即通知数据传输过程的安全控制模块。

优选的，标签tag存储管理还负责对移动设备data-tag数据库、移动设备app-tag数据库、移动接入网关app-tag数据库这三个数据库的运行维护。

优选的，数据标签data-tag生成器负责生成移动数据的标签，分为移动智能终端data-tag生成器和移动接入网关data-tag生成器两部分；在移动智能终端设置data-tag数据库，在移动接入网关不设置data-tag数据库。

优选的，移动应用标签app-tag生成器主要负责生成移动应用的标签，分为移动智能终端app-tag生成器和移动接入网关app-tag生成器两部分；在移动智能终端和移动接入网关均有app-tag数据库。