[发明专利]一种保护智能手机信息安全的方法和系统

权利要求书

1.一种保护智能手机信息安全的系统，其特征在于：该系统实现的方案包括：智能手机端子系统和云端子系统两部分，其中云端子系统同时部署在2个以上的云存储空间中；智能手机端子系统和云端子系统通过互联网进行交互；

智能手机端子系统包括：

(1)系统配置模块

完成系统的初始化配置和安全配置，主要完成设置数据的拆分尺寸和存储规则，为每个云空间生成验证码和验证程序；

系统配置模块包括通用设置器、安全设置器、验证程序生成器和验证码生成器共4个子模块；

通用设置器完成系统运行的一般性设置，包括云存储空间网络地址设置、数据项拆分尺寸设置、数据片的存储规则设置；

安全配置器完成系统的安全规则设置；包括用户口令设置、用户安全问题设置、云端验证策略设置；

验证程序生成器和验证码生成器分别为每个云存储空间生成用于保护及恢复数据用的验证程序和验证码；

(2)数据保存模块

数据保存模块负责接收来自手机中应用软件的数据保存调用，完成数据的拆分、加密和存储；数据保存模块分为数据拆分器、数据加密器、数据分发器三个子模块；

①数据拆分器

按照事先设定的数据拆分尺寸进行数据拆分，分成若干数据片段，不足位数的用全0补齐，数据片段按顺序编号；

②数据加密器

对每个数据片段进行加密；

③数据分发器

数据片段加密后，由索引项+序号+数据片段密文组合成数据包，按照存储规则，保存在其中一个或多个云存储空间中；

(3)数据读取模块

完成智能手机中的应用软件的查询数据请求调用，将采集多个云存储空间中的“数据碎片”，进行解密、合并和还原，数据读取模块包括数据采集器、数据解密器、数据合并器三个子模块；

①数据采集器

查询数据文件的各个数据片的所在存储位置，选择其中一个；

②数据解密器

对每个数据片段的数据进行解密；

③数据合并器

将数据片段按照数据片序号进行合并，合并后形成的完整的数据文件传递给查询操作请求；

云端子系统包括

(1)数据碎片文件

云端存储的是手机端数据拆分后的经过加密的数据片段组成的文件；

(2)验证程序

验证程序由手机端的系统配置模块中的验证程序生成器生成，用于验证使用者以及云端的合法性，并修改云端的访问权限；

(3)验证码

由手机端的系统配置模块中的验证码生成器生成，由手机端能访问到的云端的网络地址进行两两排列后计算得出；

云端子系统可完成如下功能：(1)数据保护

当用户手机丢失时，用户可以通过运行云端中的验证程序，通过验证码验证身份，锁定所有云端中的“碎片数据”，使得智能手机的非法用户无法将云端中的碎片数据进行合并，从而有效保护数据的安全；

(2)数据恢复

通过验证程序，解除全部中云空间中“碎片数据”的锁定，恢复手机端对云端数据的访问，利用数据片在云端的冗余存储机制完成数据恢复。

2.一种保护智能手机信息安全的方法，该方法分为智能手机端应用、云端系统应用两个方面；

第一、手机端应用流程如下：

S1首先运行系统配置模块，进行系统的各项配置工作；

S2其次进行数据写入，运行数据保存模块；

S3最后进行数据读取，运行数据读取模块；

所述S1中的系统配置模块用以对系统应用前进行配置，配置内容包括设置数据项拆分尺寸设置、系统安全设置、云存储设置；数据项拆分尺寸设置中，能够设置系统数据项拆分的尺寸，系统能够提供默认的尺寸，用户还能够根据具体地安全需求和系统性能另行设置；系统安全设置中，用户能够设置验证程序中的安全问题；安全策略设置中，首先设置数据碎片的云存储规则，N/(M+1)规则，M为云存储的个数，1为手机本身存储空间，N为每个数据碎片存储的份数，即每个数据碎片存储在N个存储空间内，存储空间包括手机存储空间和云存储空间，M>1，0<N<M，其次设置云端数据锁定及恢复数据访问的验证策略，该策略包括三种形式：单独验证、两个云存储空间相互验证、至少三个云存储空间的验证；所述云存储设置用于设置存放数据的存储云空间的网络地址；

所述安全策略设置中的验证包括生成云存储空间发放验证程序和验证码，验证程序由手机端的系统配置器生成并向云存储端发放；验证码由手机端能访问到的云存储网络地址两两排列，排列结果通过数字摘要函数计算出的数字摘要即为验证码；

所述S2中的数据保存模块用以提供数据接口并接收需要保存的数据；

数据保存模块的应用流程如下：

S2.1数据拆分

按照预先设定的数据拆分尺寸进行数据拆分，分成若干数据片段，不足位数的用全0补齐；其中，数据包格式为：索引项+序号+数据片；其中，索引项由数据保存模块的调用接口提供，索引项可以为空；

S2.2数据加密

对每个数据片段进行加密，加密密钥：由S1中的系统配置模块之安全设置器产生，在用户设置验证程序中的三个安全问题时，用户输入的三个安全问题的答案按顺序合并后，利用摘要函数生成数字摘要，生成的数字摘要作为加密密钥；加密密钥生成的具体流程如下：首先用户选择三个需要回答的三个安全问题；其次将用户回答问题的答案依次组合成一个字符串；然后用摘要函数计算答案字符串的数字摘要；最后将数字摘要保存在手机端作为加密密钥；

S2.3数据分发

数据片段加密后，由索引项+序号+数据片段密文组合成数据包，按照N/(M+1)的存储规则，保存在多个存储空间内的数据文件中，存储空间包括手机端的存储空间和多个云存储空间；数据文件的名称由手机端的应用程序在调用S2中的数据保存模块时提供；这些存储在多个存储空间中的数据文件的文件名相同，但由于按照N/(M+1)的存储规则存储数据片段，每个文件都缺少部分数据片段，数据内容不完整，即组成的是数据“碎片”文件；

数据片保存的位置根据保存位置选择算法计算得出；

数据片的保存位置选择算法：根据存储规则计算得出；

上述保存位置选择算法如下：1)数据存储空间的网络地址排列成循环队列；2)设置循环队列队首指针H；3)读取数据存储规则，即N/(M+1)规则；4)按N/(M+1)规则从循环队列头部开始选择N个存储空间地址；5)将N个存储空间地址提供给数据分发程序；6)循环队的队列头部移动到队列下一项，即H+1；7)判断是否继续执行，如果是那么返回4)如果否那么直接结束；

S3数据读取模块

数据读取模块提供接口，接收需要查询的数据的应用程序名称、数据文件名称、数据索引项三项接口参数；

S3.1数据采集器

根据数据读取操作传来的应用程序名称、数据文件名称、数据索引项，在包括手机在内的全部存储空间中，对该应用程序分布在每个存储空间中的同名数据文件进行检索，按照数据片段的序号从小到大的顺序，在这些文件中依次找到每个已经加密的数据片段，传给数据解密器进行解密；

S3.2数据解密器

对每个数据片段的数据进行解密；解密密钥和加密密钥相同；

S3.3数据合并器

将数据片段按照数据片序号进行合并，合并后的数据项传递给查询操作请求；

第二、云端系统应用

云端存储的是手机端拆分后的经过加密的数据片段；

云端除了存储手机端分发下来的数据包外，还存储手机端分发下来的验证程序和验证码；

验证程序：验证程序由手机端的系统配置模块中的验证程序生成器生成，向云端发放，用于验证使用者以及云端的合法性，并修改云端的访问权限；

验证码：由手机端能访问到的云端的网络地址两两排列，每个排列出来的字符串通过数字摘要函数进行计算，得出数字摘要就是验证码，由手机端的系统配置模块中的验证码生成器生成；

验证程序生成方法：将用户选择的安全问题加密后存储在验证程序中，问题的答案组合成一个字符串，用摘要函数进行运算，生成的摘要也保存在验证程序内部；

验证程序使用：登录一个云端，启动该云端的验证程序，用户输入验证程序的口令后即可运行验证程序；如果用户忘记口令，验证程序先解密存储在验证程序中的安全问题，显示三个安全问题，用户回答三个常用问题后，将答案生成摘要同验证程序中事先保留的摘要进行验证，三个问题回答正确即可正常使用验证程序；验证程序读取本地云端和另一个云端的网络地址，进行验证码验证；

验证码的验证过程：读取本地云端的网络地址，读取已打开的另一个云端的网络地址，两个云端的网络地址按照随机顺序组成字符串作为数字摘要函数的输入，通过验证程序中数字摘要函数计算验证码，计算出的验证码同这两个云端中存储的验证码进行比对，如果能找到相同的验证码，则验证了云端的合法性；

(1)数据保护

手机丢失后的数据封锁在云端执行，执行方式是云端验证方案：当用户手机丢失后，利用电脑或其他手机登录至少两个云端，运行验证程序，检验验证码；验证通过后，改变全部云端的数据访问权限，禁止手机端子系统访问全部云端数据，即使非法用户利用被盗手机读取云端数据也不可能；解除锁定也在云端进行，允许手机端软件访问；即使换了新手机也必须在云端先解锁；

(2)数据恢复

验证程序通过验证码验证后，恢复手机端子系统对全部云端的数据访问权限，对云端数据全部解锁，新手机其手机端的应用程序完成安装后，首先调用手机端子系统的数据读取模块，利用存储在云端的冗余数据片，合并完整的数据后，再调用数据保存模块，将数据再次分片保存在手机端和各个云端，完成数据的恢复。