书签分享收藏举报版权申诉 / 15

立即下载加入VIP,免费下载

当前位置：首页 > > 数据访问方法、装置、数据加密、存储及访问方法、装置.pdf

数据访问方法、装置、数据加密、存储及访问方法、装置.pdf

上传人：r5

文档编号：623499

上传时间：2018-02-26

格式：PDF

页数：15

大小：2.62MB

《数据访问方法、装置、数据加密、存储及访问方法、装置.pdf》由会员分享，可在线阅读，更多相关《数据访问方法、装置、数据加密、存储及访问方法、装置.pdf（15页完整版）》请在专利查询网上搜索。

1、10申请公布号CN104123506A43申请公布日20141029CN104123506A21申请号201310157076022申请日20130428G06F21/6220130171申请人北京壹人壹本信息科技有限公司地址101105北京市通州区聚富南路8号1幢1层0172发明人徐超怀方礼勇杜国楹74专利代理机构深圳市威世博知识产权代理事务所普通合伙44280代理人何青瓦54发明名称数据访问方法、装置、数据加密、存储及访问方法、装置57摘要本发明实施方式公开了一种数据访问方法，包括接收对安卓系统的内核空间中加密目录的数据访问请求；判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访。

2、问加密数据的应用的标识信息匹配；若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。本发明实施方式还公开了一种数据访问装置；一种数据加密、存储及访问方法、装置。通过上述方式，本发明能够对数据提供较高安全性能的访问保护。51INTCL权利要求书2页说明书8页附图4页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书8页附图4页10申请公布号CN104123506ACN104123506A1/2页21一种数据访问方法，其特征在于，包括接收对安卓系统的内核空间中加密目录的数据访问请求；所述数据访问。

3、请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息，所述加密数据存储在安卓系统的内核空间的加密目录中；判断所述发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致，允许所述发起数据访问请求的应用访问所述加密目录中的相应加密数据的明文。2根据权利要求1所述的数据访问方法，其特征在于，所述数据加密策略包括至少三项内容之间的关联关系信息，所述三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。3根据权利要求2所述的数据访问方法，其特征在于，所述数据加密策。

4、略还包括加密算法以及密码；若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致，以所述加密算法为解密依据利用所述密码对所述加密数据进行解密以获得所述加密数据的明文。4根据权利要求1至3任意一项所述的数据访问方法，其特征在于，所述应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。5一种数据加密、存储及访问方法，其特征在于，包括在安卓系统的内核空间中对数据进行加密以获得加密数据；将所述加密数据存入所述安卓系统的内核空间的加密目录中；生成数据加密策略，所述数据加密策略包括至少三项内容之间的关联关系信息，所述三项内容为加密目录、加密数据以及可访问加密数据的应用的标识。

5、信息；接收对所述安卓系统的内核空间中加密目录的数据访问请求；所述数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息；判断所述发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致，允许所述发起数据访问请求的应用访问所述加密目录中的相应加密数据的明文。6一种数据访问装置，其特征在于，包括数据访问请求接收模块，用于接收对安卓系统的内核空间中加密目录的数据访问请求；所述数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息，所述加密数据存。

6、储在安卓系统的内核空间的加密目录中；标识信息判断模块，用于判断所述发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；数据访问控制模块，用于若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致，允许所述发起数据访问请求的应用访问所述加密目录权利要求书CN104123506A2/2页3中的相应加密数据的明文。7根据权利要求6所述的数据访问装置，其特征在于，所述数据加密策略包括至少三项内容之间的关联关系信息，所述三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。8根据权利要求7所述的数据访问装置，其特征在于，所述数据加。

7、密策略还包括加密算法以及密码；所述装置还包括数据解密模块，用于若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致，以所述加密算法为解密依据利用所述密码对所述加密数据进行解密以获得所述加密数据的明文。9根据权利要求6至8任意一项所述的数据访问装置，其特征在于，所述应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。10一种数据加密、存储及访问装置，其特征在于，包括数据加密模块，用于在安卓系统的内核空间中对数据进行加密以获得加密数据；数据存储模块，用于将所述加密数据存入所述安卓系统的内核空间的加密目录中；策略生成模块，用于生成数据加密策略；所述数据加密策略包括至。

8、少三项内容之间的关联关系信息，所述三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息；数据访问请求接收模块，用于接收对安卓系统的内核空间中加密目录的数据访问请求；所述数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息；标识信息判断模块，用于判断所述发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；数据访问控制模块，用于若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致，允许所述发起数据访问请求的应用访问所述加密目录中的相应加密数据的明文。权利要求书CN104123506A1/8页4数据访。

9、问方法、装置、数据加密、存储及访问方法、装置技术领域0001本发明涉及数据保护领域，特别是涉及数据访问方法、装置、数据加密、存储及访问方法、装置。背景技术0002随着智能手机、平板电脑等移动终端功能的不断增加，移动终端中存储有通讯录、短信、图片、视频、文档等大量的数据。由于移动终端难以从物理安全方面对其存储的数据进行有效的保护，网络方面由于WIFI、3G、蓝牙等多种方式的共享上网，数据安全方面也难以得到保障，因此从数据访问的安全保护方面进行着手考虑为比较有效的数据安全保护机制。0003现有技术中主要有以下两种数据安全保护设备及方法第一，应用开发厂商开发的文件保险箱；第二，系统原厂商开发的全盘加。

10、密功能，如安卓的全盘加密功能。0004本申请发明人在长期研发中发现，现有技术中第一种文件保险箱的问题在于，数据的安全保护大多是简单的文件加密，数据的访问安全性较低；第二种全盘加密使用不方便，全盘加密功能开启后只有在恢复出厂设备才行，加密数据都会被删除，且设定密码后就不能进行修改。发明内容0005本发明主要解决的技术问题是提供一种数据访问方法、装置、数据加密、存储及访问方法、装置，能够对数据提供较高安全性能的访问保护。0006为解决上述技术问题，本发明的第一方面是提供一种数据访问方法，包括接收对安卓系统的内核空间中加密目录的数据访问请求；数据访问请求包括发起数据访问请求的应用的标识信息、应用所要。

11、访问的加密数据信息，加密数据存储在安卓系统的内核空间的加密目录中；判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。0007其中，数据加密策略包括至少三项内容之间的关联关系信息，三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。0008其中，数据加密策略还包括加密算法以及密码；若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，以加密算法为解密依据利用密码对加密数据进行解密以获得。

12、加密数据的明文。0009其中，应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。0010为解决上述技术问题，本发明的第二方面是提供一种数据加密、存储及访问方法，包括在安卓系统的内核空间中对数据进行加密以获得加密数据；将加密数据存入安卓系统的内核空间的加密目录中；生成数据加密策略，数据加密策略包括至少三项内容之说明书CN104123506A2/8页5间的关联关系信息，三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息；接收对安卓系统的内核空间中加密目录的数据访问请求；数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息；判断发起数据访问请求的应用的标识信。

13、息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。0011为解决上述技术问题，本发明的第三方面是提供一种数据访问装置，包括数据访问请求接收模块，用于接收对安卓系统的内核空间中加密目录的数据访问请求；数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息，加密数据存储在安卓系统的内核空间的加密目录中；标识信息判断模块，用于判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；数据访问控制模块，。

14、用于若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。0012其中，数据加密策略包括至少三项内容之间的关联关系信息，三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。0013其中，数据加密策略还包括加密算法以及密码；装置还包括数据解密模块，用于若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，以加密算法为解密依据利用密码对加密数据进行解密以获得加密数据的明文。0014其中，应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。0015为解决上述技术问题，本发明的第四。

15、方面是提供一种数据加密、存储及访问装置，包括数据加密模块，用于在安卓系统的内核空间中对数据进行加密以获得加密数据；数据存储模块，用于将加密数据存入安卓系统的内核空间的加密目录中；策略生成模块，用于生成数据加密策略；数据加密策略包括至少三项内容之间的关联关系信息，三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息；数据访问请求接收模块，用于接收对安卓系统的内核空间中加密目录的数据访问请求；数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息；标识信息判断模块，用于判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；数据访。

16、问控制模块，用于若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。0016本发明的有益效果是区别于现有技术的情况，本发明通过接收对安卓系统的内核空间中加密目录的数据访问请求，进一步判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，则允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文，在安卓系统的内核空间中通过数据加密策略控制数据访问，能够对数据提供较高安全性能的访问保护。附图说明说。

17、明书CN104123506A3/8页60017图1是本发明数据访问方法一实施方式的流程图；0018图2是本发明数据加密、存储及访问方法一实施方式的流程图；0019图3是本发明数据访问装置一实施方式的原理框图；0020图4是本发明数据访问装置一实施方式中用户空间与内核空间的原理框图；0021图5是本发明数据加密、存储及访问装置一实施方式的原理框图。具体实施方式0022下面将结合本发明实施方式中的附图，对本发明实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式仅仅是本发明一部分实施方式，而不是全部的实施方式。基于本发明中的实施方式，本领域普通技术人员在没有做出创造性劳动前提下所获得的。

18、所有其他实施方式，均属于本发明保护的范围。0023本发明是针对安卓（ANDROID）系统，安卓系统为应用于智能手机、平板电脑等移动终端上且以LINUX内核为基础的半开放原始码作业系统。安卓本身是一个权限分立的操作系统，每个应用都以唯一的一个系统识别身份运行（LINUX用户ID与群组ID），系统的各部分也分别使用各自独立的识别方式。安卓系统更多的安全功能通过权限机制提供，权限可以限制某个特定进程的特定操作，也可以限制每个URI权限对特定数据段的访问。安卓安全架构的核心设计思想是，在默认设置下，所有应用都没有权限对其他应用、系统或用户进行较大影响的操作。这其中包括读写用户隐私数据（联系人或电子邮件。

19、），读写其他应用文件，访问网络或阻止设备待机等。0024请参阅图1，本发明数据访问方法一实施方式包括0025步骤S101接收对安卓系统的内核空间中加密目录的数据访问请求。0026接收对安卓系统的内核空间中加密目录的数据访问请求，数据访问请求包括发起数据访问请求的应用的标识信息、发起数据访问请求的应用所要访问的加密数据信息，其中，加密数据存储在安卓系统的内核空间的加密目录中，该内核空间是指安卓系统的LINUX内核空间。在本实施方式中，应用的标识信息为应用对应的签名，即应用证书签名，在其他实施方式中，应用的标识信息也可为应用的包名、应用的摘要、应用的密码、应用包里的公钥等，此处不作过多限制。加密数。

20、据具体为图片、语音、视频、文档等不同类型的需要加密保护的数据，可根据用户个人需求选择性地将需要保护的加密数据存储于加密目录中以实现对需要保护的加密数据提供相应的数据访问保护。本发明中的应用为安卓系统中提供给用户使用以实现娱乐、阅读、通信等不同功能的软件，例如文档阅读器、视频播放器等安卓应用。应用所要访问的加密数据信息为加密数据的名称、类型、ID等标识加密数据的相关属性信息。0027步骤S102判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配。0028在接收数据访问请求后，进一步判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用。

21、的标识信息匹配，即判断数据加密策略中可访问加密数据的应用中是否包括发起数据访问请求的应用，可访问加密数据的应用中的加密数据即为应用所要访问的加密数据信息对应的加密数据。其中，数据加密策略包括至少三项内容之间的关联关系信息，三项内容为存储加密数据的加密目录、加密数据以及可访问加密说明书CN104123506A4/8页7数据的应用的标识信息，三项内容之间存在着如下的关联关系加密数据存储在加密目录中即形成加密数据与加密目录之间的存储关联关系，只有与可访问加密数据的应用的标识信息匹配一致的应用才可访问上述标识信息对应的存储在加密目录中的加密数据即形成加密数据与可访问加密数据的应用的标识信息之间的访问关。

22、联关系，可访问加密数据的应用的标识信息中的加密数据即为存储在加密目录中的加密数据。三项内容之间的关联关系信息对应可为加密目录的目录名称、加密数据信息以及可访问加密数据的应用的标识信息。在其他实施方式中，数据加密策略中可包括数量都至少为二的加密目录、加密数据以及可访问加密数据的应用的标识信息，即加密目录的数量可为多个，一个加密目录中可存储多项加密数据，一项加密数据可被多项应用访问，一项应用可访问多项加密数据。数据加密策略具有安卓系统签名，以防止不具有安卓系统签名的应用获取数据加密策略以及对其进行恶意修改。0029步骤S103A允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。0030。

23、若步骤S102的判断结果为发起数据访问请求的应用的标识信息与数据加密策略中可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。其中，数据加密策略还包括加密算法以及密码，若发起数据访问请求的应用的标识信息与数据加密策略中可访问加密数据的应用的标识信息匹配一致，以数据加密策略中的加密算法为解密依据利用密码对加密数据进行解密以获得加密数据的明文。当需要修改密码时，先后输入当前密码以及新密码即可实现对当前密码的修改。在本实施方式中，加密算法为高级加密标准（ADVANCEDENCRYPTIONSTANDARD，AES）算法，属于对称密钥加密算法，可采用硬。

24、加密或软加密等加密方式进行加密。在其他实施方式中，加密算法也可采用DES等其他加密算法，此处不作过多限制。本实施方式可实现加密数据的密码的修改，降低加密数据被破解的可能性，提高加密数据的安全性。0031步骤S103B拒绝数据访问请求。0032若步骤S102的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，拒绝数据访问请求，即发起数据访问请求的应用无法浏览所要访问的加密数据，此时加密数据对发起数据访问请求的应用隐藏不显示。0033下面对数据访问方法一实施方式进行举例说明0034安卓系统的内核空间的加密目录A中存储有加密数据B1、加密数据B2，数据加密策略中包括六。

25、项内容之间的关联关系信息，六项内容为加密目录A，加密数据B1以及可访问加密数据B1的应用C1、C2的标识信息，加密数据B2以及可访问加密数据B2的应用C1、C3的标识信息，应用C1可访问加密数据B1、B2。0035接收数据访问请求D1，数据访问请求D1包括发起数据访问请求D1的应用C2的标识信息、应用C2所要访问的加密数据B1信息，判断发起数据访问请求D1的应用C2的标识信息是否与数据加密策略中可访问加密数据B1的应用的标识信息匹配，此时判断结果为发起数据访问请求D1的应用C2的标识信息与可访问加密数据B1的应用C2的标识信息匹配一致，允许发起数据访问请求D1的应用C2访问加密目录A中的相应加。

26、密数据B1的明文。0036接收数据访问请求D2，数据访问请求D2包括发起数据访问请求D2的应用C4的标说明书CN104123506A5/8页8识信息、应用C4所要访问的加密数据B2信息，判断发起数据访问请求D2的应用C4的标识信息是否与数据加密策略中可访问加密数据B2的应用的标识信息匹配，此时判断结果为发起数据访问请求D2的应用C4的标识信息与可访问加密数据B2的应用（C1、C3）的标识信息都不匹配，拒绝数据访问请求D2，即发起数据访问请求D2的应用C4无法浏览加密数据B2，加密数据B2对发起数据访问请求D2的应用C4隐藏不显示。0037可以理解，本发明数据访问方法一实施方式接收对安卓系统的内。

27、核空间中加密目录的数据访问请求，进一步判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，则允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，则拒绝数据访问请求，在安卓系统的内核空间中通过数据加密策略控制数据访问，对数据提供较高安全性能的访问保护。0038请参阅图2，本发明数据加密、存储及访问方法一实施方式包括0039步骤S201对数据进行加密以获得加密数据。0040在安卓系统的内核空间中对需要。

28、保护的数据进行加密以获得加密数据。其中，可采用高级加密标准算法等加密算法对数据进行加密；本实施方式的数据加密可为全盘数据进行加密，也可为选择性加密即只将需要加密的数据进行加密，数据的加密更具有灵活性。数据的加密处理为在安卓系统的内核空间进行，减少内核空间的数据拷贝次数，数据加密效率更高，可对音频、视频等多种类型数据进行加密处理。0041步骤S202将加密数据存入安卓系统的内核空间的加密目录中。0042将上述加密数据存入安卓系统的内核空间的加密目录中。可通过安卓移动终端上的数据管理应用将加密数据存入内核空间的加密目录中；也可将安卓移动终端与PC电脑连接，通过PC上的LINUX平台数据管理工具将加。

29、密数据存入加密目录中。0043步骤S203生成数据加密策略。0044生成数据加密策略，其中，数据加密策略优选包括至少三项内容之间的关联关系信息，三项内容为上述加密目录、上述加密数据以及可访问加密数据的应用的标识信息。0045步骤S204接收对安卓系统的内核空间中加密目录的数据访问请求。0046接收对安卓系统的内核空间中加密目录的数据访问请求，数据访问请求包括发起数据访问请求的应用的标识信息、发起数据访问请求的应用所要访问的加密数据信息。0047步骤S205判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配。0048在接收数据访问请求后，进一步判断发起数据。

30、访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配。0049步骤S206A允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。0050若步骤S205的判断结果为发起数据访问请求的应用的标识信息与数据加密策略中可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。其中，数据加密策略还包括加密算法以及密码，若发起数据访问请求的应用的标识信息与数据加密策略中可访问加密数据的应用的标识信息匹配一致，说明书CN104123506A6/8页9以数据加密策略中的加密算法为解密依据利用密码对加密数据进行解密以获得加密数据的明。

31、文。0051步骤S206B拒绝数据访问请求。0052若步骤S205的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，拒绝数据访问请求，即发起数据访问请求的应用无法浏览所要访问的加密数据。0053可以理解，本发明数据加密、存储及访问方法一实施方式通过对数据进行加密以获得加密数据，将加密数据存入安卓系统的内核空间的加密目录中，进一步生成数据加密策略，接收数据访问请求，判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，则允许发起数据访问请求的应用访问。

32、加密目录中的相应加密数据的明文，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，则拒绝数据访问请求，数据的加密效率高，对数据提供较高安全性能的访问保护。0054请参阅图3，本发明数据访问装置一实施方式包括0055数据访问请求接收模块301，用于接收对安卓系统的内核空间中加密目录的数据访问请求，数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息，其中，加密数据存储在安卓系统的内核空间的加密目录中。0056标识信息判断模块302，用于判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配，其中，数据加密策略包括。

33、至少三项内容之间的关联关系信息，三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。0057数据访问控制模块303，用于若标识信息判断模块302的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。0058数据访问控制模块303还用于若标识信息判断模块302的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，拒绝数据访问请求。0059上述数据加密策略还包括加密算法以及密码。数据访问装置还包括数据解密模块图未示出，用于若标识信息判断模块302的判断结果为发起数。

34、据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，以加密算法为解密依据利用密码对加密数据进行解密以获得加密数据的明文。在本实施方式中，加密算法优选为高级加密标准算法。0060其中，应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。0061请参阅图4，本发明数据访问装置存在于加密文件系统中，加密文件系统为一层虚拟文件系统，存在于安卓系统的内核空间中，加密文件系统采用堆叠方式以解决安卓系统必须全盘数据加密的问题。加密目录位于内核空间的文件系统中，如图4所示的文件系统1、2等。当应用1或2等位于用户空间的应用发起对内核空间中加密目录的数据访问请求时，加密文件系统中的数据访问请。

35、求接收模块301接收该数据访问请求，标识信息判断模说明书CN104123506A7/8页10块302对发起数据访问请求的应用的标识信息进行判断，数据访问控制模块303进一步根据标识信息判断模块302的判断结果处理该数据访问请求，具体过程如上述数据访问装置中各模块所述。0062此外，在安卓系统的内核空间中设置有加密文件系统控制模块以控制上述加密文件系统的工作状态，当加密文件系统处于关闭的状态时，则任何应用可直接访问加密目录中的加密数据，此时需输入加密数据对应的密码才可访问相应加密数据的明文。当加密文件系统处于开启的状态时，若有应用想跳过加密文件系统对于该应用的标识信息的判断而直接访问加密目录中的。

36、加密数据，则该应用需拥有安卓系统的超级用户ROOT权限，ROOT权限的授权与否通过验证该应用的应用证书签名、应用的摘要、应用的包名、应用的密码、移动终端的设备序列号或应用的KEY是否属于ROOT权限的授权范围，当验证结果为允许授予该应用ROOT权限时，则该应用拥有ROOT权限可访问加密数据，此时需输入加密数据对应的密码才可访问相应加密数据的明文；当验证结果为拒绝授予该应用ROOT权限时，则该应用无法访问加密目录中的加密数据。此外，当利用SD卡等存储介质将加密数据从当前移动终端挂载到其他移动终端的安卓系统上时，应用只能访问加密数据，只有输入加密数据对应的密码才可访问相应加密数据的明文。0063此。

37、外，在安卓系统的应用程序框架（FRAMEWORK）层设置有ANDROIDSERVICE以及LOCALSERVICE，用于和内核空间进行通讯，执行上述加密文件系统的初始化、加载、卸载，以及应用黑白名单的控制，即当发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致时将发起数据访问请求的应用加入白名单以使得该应用能够访问加密目录中的相应加密数据的明文，当发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配时将发起数据访问请求的应用加入黑名单以使得该应用无法浏览加密数据。0064可以理解，本发明数据访问装置一实施方式通过数据访问请求接收模块301接收对安卓系统的。

38、内核空间中加密目录的数据访问请求，标识信息判断模块302进一步判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，则数据访问控制模块303允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，则数据访问控制模块303拒绝数据访问请求，能够对数据提供较高安全性能的访问保护。0065请参阅图5，本发明数据加密、存储及访问装置一实施方式包括0066数据加密模块401位于安卓系统的内核空间中，用于在安卓系统。

39、的内核空间中对数据进行加密以获得加密数据。0067数据存储模块402用于将加密数据存入安卓系统的内核空间的加密目录中。0068策略生成模块403，位于安卓系统的内核空间中，用于生成数据加密策略，数据加密策略包括至少三项内容之间的关联关系信息，三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。数据加密策略可根据需要进行修改，例如将可访问加密数据A的应用的标识信息由应用B1改为应用B2的标识信息。0069数据访问请求接收模块404，用于接收对安卓系统的内核空间中加密目录的数据说明书CN104123506A108/8页11访问请求，数据访问请求包括发起数据访问请求的应用的标识信息、应用。

40、所要访问的加密数据信息。0070标识信息判断模块405，用于判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配。0071数据访问控制模块406，用于若标识信息判断模块405的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。0072数据访问控制模块还用于若标识信息判断模块405的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，拒绝数据访问请求。0073可以理解，本发明数据加密、存储及访问装置一实施方式通过数据加密模块401对数。

41、据进行加密以获得加密数据，数据存储模块402将加密数据存入安卓系统的内核空间的加密目录中，策略生成模块403进一步生成数据加密策略，数据访问请求接收模块404接收数据访问请求，标识信息判断模块405判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，数据访问控制模块406则允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，数据访问控制模块406则拒绝数据访问请求，数据的加密效率高，对数据提供较高安全性能的访问保护。0074以上所述仅为本发明的实施方式，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。说明书CN104123506A111/4页12图1说明书附图CN104123506A122/4页13图2说明书附图CN104123506A133/4页14图3图4说明书附图CN104123506A144/4页15图5说明书附图CN104123506A15。

摘要
申请专利号：	CN201310157076.0	申请日：	2013.04.28
公开号：	CN104123506A	公开日：	2014.10.29
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):G06F 21/62申请日:20130428\|\|\|公开
IPC分类号：	G06F21/62(2013.01)I	主分类号：	G06F21/62
申请人：	北京壹人壹本信息科技有限公司
发明人：	徐超怀; 方礼勇; 杜国楹
地址：	101105 北京市通州区聚富南路8号1幢1层01
优先权：
专利代理机构：	深圳市威世博知识产权代理事务所(普通合伙) 44280	代理人：	何青瓦
PDF完整版下载：	PDF下载

内容摘要

本发明实施方式公开了一种数据访问方法，包括接收对安卓系统的内核空间中加密目录的数据访问请求；判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。本发明实施方式还公开了一种数据访问装置；一种数据加密、存储及访问方法、装置。通过上述方式，本发明能够对数据提供较高安全性能的访问保护。

权利要求书

1.  一种数据访问方法，其特征在于，包括：
接收对安卓系统的内核空间中加密目录的数据访问请求；所述数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息，所述加密数据存储在安卓系统的内核空间的加密目录中；
判断所述发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；
若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致，允许所述发起数据访问请求的应用访问所述加密目录中的相应加密数据的明文。

2.  根据权利要求1所述的数据访问方法，其特征在于，
所述数据加密策略包括至少三项内容之间的关联关系信息，所述三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。

3.  根据权利要求2所述的数据访问方法，其特征在于，
所述数据加密策略还包括加密算法以及密码；
若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致，以所述加密算法为解密依据利用所述密码对所述加密数据进行解密以获得所述加密数据的明文。

4.  根据权利要求1至3任意一项所述的数据访问方法，其特征在于，
所述应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。

5.  一种数据加密、存储及访问方法，其特征在于，包括：
在安卓系统的内核空间中对数据进行加密以获得加密数据；
将所述加密数据存入所述安卓系统的内核空间的加密目录中；
生成数据加密策略，所述数据加密策略包括至少三项内容之间的关联关系信息，所述三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息；
接收对所述安卓系统的内核空间中加密目录的数据访问请求；所述数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息；
判断所述发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；
若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致，允许所述发起数据访问请求的应用访问所述加密目录中的相应加密数据的明文。

6.  一种数据访问装置，其特征在于，包括：
数据访问请求接收模块，用于接收对安卓系统的内核空间中加密目录的数据访问请求；所述数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息，所述加密数据存储在安卓系统的内核空间的加密目录中；
标识信息判断模块，用于判断所述发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；
数据访问控制模块，用于若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致，允许所述发起数据访问请求的应用访问所述加密目录中的相应加密数据的明文。

7.  根据权利要求6所述的数据访问装置，其特征在于，所述数据加密策略包括至少三项内容之间的关联关系信息，所述三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。

8.  根据权利要求7所述的数据访问装置，其特征在于，
所述数据加密策略还包括加密算法以及密码；
所述装置还包括数据解密模块，用于若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致，以所述加密算法为解密依据利用所述密码对所述加密数据进行解密以获得所述加密数据的明文。

9.  根据权利要求6至8任意一项所述的数据访问装置，其特征在于，
所述应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。

10.  一种数据加密、存储及访问装置，其特征在于，包括：
数据加密模块，用于在安卓系统的内核空间中对数据进行加密以获得加密数据；
数据存储模块，用于将所述加密数据存入所述安卓系统的内核空间的加密目录中；
策略生成模块，用于生成数据加密策略；所述数据加密策略包括至少三项内容之间的关联关系信息，所述三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息；
数据访问请求接收模块，用于接收对安卓系统的内核空间中加密目录的数据访问请求；所述数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息；
标识信息判断模块，用于判断所述发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；
数据访问控制模块，用于若所述发起数据访问请求的应用的标识信息与所述可访问加密数据的应用的标识信息匹配一致，允许所述发起数据访问请求的应用访问所述加密目录中的相应加密数据的明文。

说明书

数据访问方法、装置、数据加密、存储及访问方法、装置
技术领域
本发明涉及数据保护领域，特别是涉及数据访问方法、装置、数据加密、存储及访问方法、装置。
背景技术
随着智能手机、平板电脑等移动终端功能的不断增加，移动终端中存储有通讯录、短信、图片、视频、文档等大量的数据。由于移动终端难以从物理安全方面对其存储的数据进行有效的保护，网络方面由于wifi、3G、蓝牙等多种方式的共享上网，数据安全方面也难以得到保障，因此从数据访问的安全保护方面进行着手考虑为比较有效的数据安全保护机制。
现有技术中主要有以下两种数据安全保护设备及方法：第一，应用开发厂商开发的文件保险箱；第二，系统原厂商开发的全盘加密功能，如安卓的全盘加密功能。
本申请发明人在长期研发中发现，现有技术中第一种文件保险箱的问题在于，数据的安全保护大多是简单的文件加密，数据的访问安全性较低；第二种全盘加密使用不方便，全盘加密功能开启后只有在恢复出厂设备才行，加密数据都会被删除，且设定密码后就不能进行修改。
发明内容
本发明主要解决的技术问题是提供一种数据访问方法、装置、数据加密、存储及访问方法、装置，能够对数据提供较高安全性能的访问保护。
为解决上述技术问题，本发明的第一方面是：提供一种数据访问方法，包括：接收对安卓系统的内核空间中加密目录的数据访问请求；数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息，加密数据存储在安卓系统的内核空间的加密目录中；判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
其中，数据加密策略包括至少三项内容之间的关联关系信息，三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。
其中，数据加密策略还包括加密算法以及密码；若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，以加密算法为解密依据利用密码对加密数据进行解密以获得加密数据的明文。
其中，应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。
为解决上述技术问题，本发明的第二方面是：提供一种数据加密、存储及访问方法，包括：在安卓系统的内核空间中对数据进行加密以获得加密数据；将加密数据存入安卓系统的内核空间的加密目录中；生成数据加密策略，数据加密策略包括至少三项内容之间的关联关系信息，三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息；接收对安卓系统的内核空间中加密目录的数据访问请求；数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息；判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
为解决上述技术问题，本发明的第三方面是：提供一种数据访问装置，包括：数据访问请求接收模块，用于接收对安卓系统的内核空间中加密目录的数据访问请求；数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息，加密数据存储在安卓系统的内核空间的加密目录中；标识信息判断模块，用于判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；数据访问控制模块，用于若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
其中，数据加密策略包括至少三项内容之间的关联关系信息，三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。
其中，数据加密策略还包括加密算法以及密码；装置还包括数据解密模块，用于若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，以加密算法为解密依据利用密码对加密数据进行解密以获得加密数据的明文。
其中，应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。
为解决上述技术问题，本发明的第四方面是：提供一种数据加密、存储及访问装置，包括：数据加密模块，用于在安卓系统的内核空间中对数据进行加密以获得加密数据；数据存储模块，用于将加密数据存入安卓系统的内核空间的加密目录中；策略生成模块，用于生成数据加密策略；数据加密策略包括至少三项内容之间的关联关系信息，三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息；数据访问请求接收模块，用于接收对安卓系统的内核空间中加密目录的数据访问请求；数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息；标识信息判断模块，用于判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配；数据访问控制模块，用于若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
本发明的有益效果是：区别于现有技术的情况，本发明通过接收对安卓系统的内核空间中加密目录的数据访问请求，进一步判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，则允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文，在安卓系统的内核空间中通过数据加密策略控制数据访问，能够对数据提供较高安全性能的访问保护。
附图说明
图1是本发明数据访问方法一实施方式的流程图；
图2是本发明数据加密、存储及访问方法一实施方式的流程图；
图3是本发明数据访问装置一实施方式的原理框图；
图4是本发明数据访问装置一实施方式中用户空间与内核空间的原理框图；
图5是本发明数据加密、存储及访问装置一实施方式的原理框图。
具体实施方式
下面将结合本发明实施方式中的附图，对本发明实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式仅仅是本发明一部分实施方式，而不是全部的实施方式。基于本发明中的实施方式，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式，均属于本发明保护的范围。
本发明是针对安卓（Android）系统，安卓系统为应用于智能手机、平板电脑等移动终端上且以Linux内核为基础的半开放原始码作业系统。安卓本身是一个权限分立的操作系统，每个应用都以唯一的一个系统识别身份运行（Linux用户ID与群组ID），系统的各部分也分别使用各自独立的识别方式。安卓系统更多的安全功能通过权限机制提供，权限可以限制某个特定进程的特定操作，也可以限制每个URI权限对特定数据段的访问。安卓安全架构的核心设计思想是，在默认设置下，所有应用都没有权限对其他应用、系统或用户进行较大影响的操作。这其中包括读写用户隐私数据（联系人或电子邮件），读写其他应用文件，访问网络或阻止设备待机等。
请参阅图1，本发明数据访问方法一实施方式包括：
步骤S101：接收对安卓系统的内核空间中加密目录的数据访问请求。
接收对安卓系统的内核空间中加密目录的数据访问请求，数据访问请求包括发起数据访问请求的应用的标识信息、发起数据访问请求的应用所要访问的加密数据信息，其中，加密数据存储在安卓系统的内核空间的加密目录中，该内核空间是指安卓系统的Linux内核空间。在本实施方式中，应用的标识信息为应用对应的签名，即应用证书签名，在其他实施方式中，应用的标识信息也可为应用的包名、应用的摘要、应用的密码、应用包里的公钥等，此处不作过多限制。加密数据具体为图片、语音、视频、文档等不同类型的需要加密保护的数据，可根据用户个人需求选择性地将需要保护的加密数据存储于加密目录中以实现对需要保护的加密数据提供相应的数据访问保护。本发明中的应用为安卓系统中提供给用户使用以实现娱乐、阅读、通信等不同功能的软件，例如文档阅读器、视频播放器等安卓应用。应用所要访问的加密数据信息为加密数据的名称、类型、ID等标识加密数据的相关属性信息。
步骤S102：判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配。
在接收数据访问请求后，进一步判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配，即判断数据加密策略中可访问加密数据的应用中是否包括发起数据访问请求的应用，可访问加密数据的应用中的加密数据即为应用所要访问的加密数据信息对应的加密数据。其中，数据加密策略包括至少三项内容之间的关联关系信息，三项内容为存储加密数据的加密目录、加密数据以及可访问加密数据的应用的标识信息，三项内容之间存在着如下的关联关系：加密数据存储在加密目录中即形成加密数据与加密目录之间的存储关联关系，只有与可访问加密数据的应用的标识信息匹配一致的应用才可访问上述标识信息对应的存储在加密目录中的加密数据即形成加密数据与可访问加密数据的应用的标识信息之间的访问关联关系，可访问加密数据的应用的标识信息中的加密数据即为存储在加密目录中的加密数据。三项内容之间的关联关系信息对应可为加密目录的目录名称、加密数据信息以及可访问加密数据的应用的标识信息。在其他实施方式中，数据加密策略中可包括数量都至少为二的加密目录、加密数据以及可访问加密数据的应用的标识信息，即加密目录的数量可为多个，一个加密目录中可存储多项加密数据，一项加密数据可被多项应用访问，一项应用可访问多项加密数据。数据加密策略具有安卓系统签名，以防止不具有安卓系统签名的应用获取数据加密策略以及对其进行恶意修改。
步骤S103a：允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
若步骤S102的判断结果为发起数据访问请求的应用的标识信息与数据加密策略中可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。其中，数据加密策略还包括加密算法以及密码，若发起数据访问请求的应用的标识信息与数据加密策略中可访问加密数据的应用的标识信息匹配一致，以数据加密策略中的加密算法为解密依据利用密码对加密数据进行解密以获得加密数据的明文。当需要修改密码时，先后输入当前密码以及新密码即可实现对当前密码的修改。在本实施方式中，加密算法为高级加密标准（Advanced Encryption Standard，AES）算法，属于对称密钥加密算法，可采用硬加密或软加密等加密方式进行加密。在其他实施方式中，加密算法也可采用DES等其他加密算法，此处不作过多限制。本实施方式可实现加密数据的密码的修改，降低加密数据被破解的可能性，提高加密数据的安全性。
步骤S103b：拒绝数据访问请求。
若步骤S102的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，拒绝数据访问请求，即发起数据访问请求的应用无法浏览所要访问的加密数据，此时加密数据对发起数据访问请求的应用隐藏不显示。
下面对数据访问方法一实施方式进行举例说明：
安卓系统的内核空间的加密目录A中存储有加密数据B1、加密数据B2，数据加密策略中包括六项内容之间的关联关系信息，六项内容为加密目录A，加密数据B1以及可访问加密数据B1的应用C1、C2的标识信息，加密数据B2以及可访问加密数据B2的应用C1、C3的标识信息，应用C1可访问加密数据B1、B2。
接收数据访问请求D1，数据访问请求D1包括发起数据访问请求D1的应用C2的标识信息、应用C2所要访问的加密数据B1信息，判断发起数据访问请求D1的应用C2的标识信息是否与数据加密策略中可访问加密数据B1的应用的标识信息匹配，此时判断结果为发起数据访问请求D1的应用C2的标识信息与可访问加密数据B1的应用C2的标识信息匹配一致，允许发起数据访问请求D1的应用C2访问加密目录A中的相应加密数据B1的明文。
接收数据访问请求D2，数据访问请求D2包括发起数据访问请求D2的应用C4的标识信息、应用C4所要访问的加密数据B2信息，判断发起数据访问请求D2的应用C4的标识信息是否与数据加密策略中可访问加密数据B2的应用的标识信息匹配，此时判断结果为发起数据访问请求D2的应用C4的标识信息与可访问加密数据B2的应用（C1、C3）的标识信息都不匹配，拒绝数据访问请求D2，即发起数据访问请求D2的应用C4无法浏览加密数据B2，加密数据B2对发起数据访问请求D2的应用C4隐藏不显示。
可以理解，本发明数据访问方法一实施方式接收对安卓系统的内核空间中加密目录的数据访问请求，进一步判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，则允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，则拒绝数据访问请求，在安卓系统的内核空间中通过数据加密策略控制数据访问，对数据提供较高安全性能的访问保护。
请参阅图2，本发明数据加密、存储及访问方法一实施方式包括：
步骤S201：对数据进行加密以获得加密数据。
在安卓系统的内核空间中对需要保护的数据进行加密以获得加密数据。其中，可采用高级加密标准算法等加密算法对数据进行加密；本实施方式的数据加密可为全盘数据进行加密，也可为选择性加密即只将需要加密的数据进行加密，数据的加密更具有灵活性。数据的加密处理为在安卓系统的内核空间进行，减少内核空间的数据拷贝次数，数据加密效率更高，可对音频、视频等多种类型数据进行加密处理。
步骤S202：将加密数据存入安卓系统的内核空间的加密目录中。
将上述加密数据存入安卓系统的内核空间的加密目录中。可通过安卓移动终端上的数据管理应用将加密数据存入内核空间的加密目录中；也可将安卓移动终端与pc电脑连接，通过pc上的Linux平台数据管理工具将加密数据存入加密目录中。
步骤S203：生成数据加密策略。
生成数据加密策略，其中，数据加密策略优选包括至少三项内容之间的关联关系信息，三项内容为上述加密目录、上述加密数据以及可访问加密数据的应用的标识信息。
步骤S204：接收对安卓系统的内核空间中加密目录的数据访问请求。
接收对安卓系统的内核空间中加密目录的数据访问请求，数据访问请求包括发起数据访问请求的应用的标识信息、发起数据访问请求的应用所要访问的加密数据信息。
步骤S205：判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配。
在接收数据访问请求后，进一步判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配。
步骤S206a：允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
若步骤S205的判断结果为发起数据访问请求的应用的标识信息与数据加密策略中可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。其中，数据加密策略还包括加密算法以及密码，若发起数据访问请求的应用的标识信息与数据加密策略中可访问加密数据的应用的标识信息匹配一致，以数据加密策略中的加密算法为解密依据利用密码对加密数据进行解密以获得加密数据的明文。
步骤S206b：拒绝数据访问请求。
若步骤S205的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，拒绝数据访问请求，即发起数据访问请求的应用无法浏览所要访问的加密数据。
可以理解，本发明数据加密、存储及访问方法一实施方式通过对数据进行加密以获得加密数据，将加密数据存入安卓系统的内核空间的加密目录中，进一步生成数据加密策略，接收数据访问请求，判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，则允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，则拒绝数据访问请求，数据的加密效率高，对数据提供较高安全性能的访问保护。
请参阅图3，本发明数据访问装置一实施方式包括：
数据访问请求接收模块301，用于接收对安卓系统的内核空间中加密目录的数据访问请求，数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息，其中，加密数据存储在安卓系统的内核空间的加密目录中。
标识信息判断模块302，用于判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配，其中，数据加密策略包括至少三项内容之间的关联关系信息，三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。
数据访问控制模块303，用于若标识信息判断模块302的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
数据访问控制模块303还用于若标识信息判断模块302的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，拒绝数据访问请求。
上述数据加密策略还包括加密算法以及密码。数据访问装置还包括数据解密模块(图未示出)，用于若标识信息判断模块302的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，以加密算法为解密依据利用密码对加密数据进行解密以获得加密数据的明文。在本实施方式中，加密算法优选为高级加密标准算法。
其中，应用的标识信息为应用对应的签名、包名、摘要、密码或公钥。
请参阅图4，本发明数据访问装置存在于加密文件系统中，加密文件系统为一层虚拟文件系统，存在于安卓系统的内核空间中，加密文件系统采用堆叠方式以解决安卓系统必须全盘数据加密的问题。加密目录位于内核空间的文件系统中，如图4所示的文件系统1、2等。当应用1或2等位于用户空间的应用发起对内核空间中加密目录的数据访问请求时，加密文件系统中的数据访问请求接收模块301接收该数据访问请求，标识信息判断模块302对发起数据访问请求的应用的标识信息进行判断，数据访问控制模块303进一步根据标识信息判断模块302的判断结果处理该数据访问请求，具体过程如上述数据访问装置中各模块所述。
此外，在安卓系统的内核空间中设置有加密文件系统控制模块以控制上述加密文件系统的工作状态，当加密文件系统处于关闭的状态时，则任何应用可直接访问加密目录中的加密数据，此时需输入加密数据对应的密码才可访问相应加密数据的明文。当加密文件系统处于开启的状态时，若有应用想跳过加密文件系统对于该应用的标识信息的判断而直接访问加密目录中的加密数据，则该应用需拥有安卓系统的超级用户root权限，root权限的授权与否通过验证该应用的应用证书签名、应用的摘要、应用的包名、应用的密码、移动终端的设备序列号或应用的key是否属于root权限的授权范围，当验证结果为允许授予该应用root权限时，则该应用拥有root权限可访问加密数据，此时需输入加密数据对应的密码才可访问相应加密数据的明文；当验证结果为拒绝授予该应用root权限时，则该应用无法访问加密目录中的加密数据。此外，当利用SD卡等存储介质将加密数据从当前移动终端挂载到其他移动终端的安卓系统上时，应用只能访问加密数据，只有输入加密数据对应的密码才可访问相应加密数据的明文。
此外，在安卓系统的应用程序框架（Framework）层设置有Android Service以及Local Service，用于和内核空间进行通讯，执行上述加密文件系统的初始化、加载、卸载，以及应用黑白名单的控制，即当发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致时将发起数据访问请求的应用加入白名单以使得该应用能够访问加密目录中的相应加密数据的明文，当发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配时将发起数据访问请求的应用加入黑名单以使得该应用无法浏览加密数据。
可以理解，本发明数据访问装置一实施方式通过数据访问请求接收模块301接收对安卓系统的内核空间中加密目录的数据访问请求，标识信息判断模块302进一步判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，则数据访问控制模块303允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，则数据访问控制模块303拒绝数据访问请求，能够对数据提供较高安全性能的访问保护。
请参阅图5，本发明数据加密、存储及访问装置一实施方式包括：
数据加密模块401：位于安卓系统的内核空间中，用于在安卓系统的内核空间中对数据进行加密以获得加密数据。
数据存储模块402：用于将加密数据存入安卓系统的内核空间的加密目录中。
策略生成模块403，位于安卓系统的内核空间中，用于生成数据加密策略，数据加密策略包括至少三项内容之间的关联关系信息，三项内容为加密目录、加密数据以及可访问加密数据的应用的标识信息。数据加密策略可根据需要进行修改，例如将可访问加密数据A的应用的标识信息由应用B1改为应用B2的标识信息。
数据访问请求接收模块404，用于接收对安卓系统的内核空间中加密目录的数据访问请求，数据访问请求包括发起数据访问请求的应用的标识信息、应用所要访问的加密数据信息。
标识信息判断模块405，用于判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配。
数据访问控制模块406，用于若标识信息判断模块405的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文。
数据访问控制模块还用于若标识信息判断模块405的判断结果为发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，拒绝数据访问请求。
可以理解，本发明数据加密、存储及访问装置一实施方式通过数据加密模块401对数据进行加密以获得加密数据，数据存储模块402将加密数据存入安卓系统的内核空间的加密目录中，策略生成模块403进一步生成数据加密策略，数据访问请求接收模块404接收数据访问请求，标识信息判断模块405判断发起数据访问请求的应用的标识信息是否与数据加密策略中可访问加密数据的应用的标识信息匹配，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息匹配一致，数据访问控制模块406则允许发起数据访问请求的应用访问加密目录中的相应加密数据的明文，若发起数据访问请求的应用的标识信息与可访问加密数据的应用的标识信息不匹配，数据访问控制模块406则拒绝数据访问请求，数据的加密效率高，对数据提供较高安全性能的访问保护。
以上所述仅为本发明的实施方式，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。