[发明专利]基于强制访问控制保护移动终端敏感数据的方法及系统

权利要求书

1.基于强制访问控制保护移动终端敏感数据的方法，其特征在于：包括，

分析在标准Linux内核上集成安全模块框架所做的修改；

对比标准Linux内核与Android Linux内核，将安全模块框架作为内核补丁移植到Android Linux内核中；

在安全模块框架上构建访问控制模块和加密模块，通过访问控制模块设计文件访问控制权限，通过加密模块对敏感文件进行加密；其中敏感文件为访问控制权限超过预设等级的文件。

2.根据权利要求1所述的基于强制访问控制保护移动终端敏感数据的方法，其特征在于：安全模块框架移植到Android Linux内核中的过程为，

修改Android Linux内核的数据结构，以添加安全相关结构体；

在Android Linux内核源代码的关键点插入对安全钩子函数的调用。

3.根据权利要求1所述的基于强制访问控制保护移动终端敏感数据的方法，其特征在于：设计的文件访问控制权限等级包括RN_W1N、RN_W1W、RW_W1N、RW_W1W和RS_W1S；

其中，

R表示读文件，W1表示写文件，N表示无保护级别，W表示弱保护级别，S表示强保护级别；

无保护级别：运行任何进程操作；

弱保护级别：拒绝非授权进程操作，但对绕过系统的攻击无效；

强保护级别：拒绝非授权进程操作，即使绕过系统得到文件也无法有效解析文件信息；

RN_W1N表示读、写文件均为无保护级别；

RN_W1W表示读文件为无保护级别，写文件为弱保护级别；

RW_W1N表示读文件为弱保护级别，写文件为无保护级别；

RW_W1W表示读、写文件均为弱保护级别；

RS_W1S表示读、写文件均为强保护级别。

4.根据权利要求1所述的基于强制访问控制保护移动终端敏感数据的方法，其特征在于：加密存储模块的实施步骤为，

通过hash函数由口令生成对称密钥；

通过AES算法，使用对称密钥进行加密后存储。

5.根据权利要求1所述的基于强制访问控制保护移动终端敏感数据的方法，其特征在于：加密存储模块对访问控制权限最高的文件进行加密存储。

6.基于强制访问控制保护移动终端敏感数据的系统，其特征在于：包括Android Linux内核、访问控制模块和加密模块；

所述Android Linux内核内移植有标准Linux内核中的安全模块框架，访问控制模块和加密模块均构建在安全模块框架上；

其中，

访问控制模块用以设计文件访问控制权限；

加密模块用以对敏感文件进行加密，敏感文件为访问控制权限超过预设等级的文件。

7.根据权利要求6所述的基于强制访问控制保护移动终端敏感数据的系统，其特征在于：访问控制模块设计的文件访问控制权限等级包括RN_W1N、RN_W1W、RW_W1N、RW_W1W和RS_W1S；

其中，

R表示读文件，W1表示写文件，N表示无保护级别，W表示弱保护级别，S表示强保护级别；

无保护级别：运行任何进程操作；

弱保护级别：拒绝非授权进程操作，但对绕过系统的攻击无效；

强保护级别：拒绝非授权进程操作，即使绕过系统得到文件也无法有效解析文件信息；

RN_W1N表示读、写文件均为无保护级别；

RN_W1W表示读文件为无保护级别，写文件为弱保护级别；

RW_W1N表示读文件为弱保护级别，写文件为无保护级别；

RW_W1W表示读、写文件均为弱保护级别；

RS_W1S表示读、写文件均为强保护级别。