[发明专利]一种应用程序数据防泄密方法和装置

说明书

本发明公开了一种应用程序数据防泄密方法和装置，在智能终端上安装宿主程序和使用安全模块，通过宿主程序拦截和代理系统服务，实现对目标应用程序的安装、调用、监控和管理；通过安全模块实现硬件加密，为目标应用程序的每个数据文件分别分配不同的密钥，并完成密钥的加解密，对每个需要加密的数据文件使用其独有的密钥实现数据的透明加解密。目标应用程序访问数据文件必须通过与安全模块绑定的宿主程序，这样使目标应用程序运行在一个严密的保密运行空间，目标应用程序的数据只能在这个保密运行空间使用。本发明技术方案能更有效地防止应用程序的数据泄密，使应用程序数据具有更高的安全性。

技术领域

本发明涉及应用程序技术领域，具体涉及一种应用程序数据防泄密方法和装置。

背景技术

用户数据的泄密问题，是信息安全问题的一个重要方面。用户在使用智能终端时，应用程序和木马病毒等都有可能造成用户数据的泄密，给用户带来隐私泄露和财产损失。对于国家机关和企事业单位来说，为了保护业务数据和机密信息的安全，智能终端的数据防泄密措施一方面需要防止因系统漏洞和外部攻击造成的信息泄密，另一方面还需要防止员工不当操作造成的泄密，从而对智能终端数据泄露防护体系提出了更高的要求。

使用沙盒技术，可以在本地操作系统基础上，通过进程及内存等资源隔离，控制沙箱内的进程对本地系统资源的调用，构造出与本地系统共存但相互间完全隔离的虚拟环境。本地系统中即使存在病毒和木马，也无法感染或探测到沙盒中的重要应用程序或文件。在沙盒中使用应用程序进行操作时产生和使用的敏感数据，在退出沙盒后无法被直接读取。运用沙盒技术还可以限制应用程序的系统权限和行为，阻止用户的非法操作。因而，沙盒技术也可以用于应用程序的安全管理和数据防泄密。

但是，仅使用沙盒技术通过对应用程序进行隔离并不能满足数据防泄密的需求。结合沙盒技术对数据进行透明加密，可以大大提高数据的安全性。现有的数据防泄密系统通过加密软件进行对数据加密，只能实现有限的安全性，仍然很容易被攻破，对于用户尤其是移动办公用户来说，仍然不能满足日益增长的安全需求。如何为应用程序的数据防泄密提供更加安全可靠的方案，是目前亟需解决的问题。

为了解决以上存在的问题，人们一直在寻求一种理想的技术解决方案。

发明内容

本发明的目的是针对现有技术的不足，从而提供了一种应用程序数据防泄密方法和装置。

为了实现上述目的，本发明所采用的技术方案是：一种应用程序数据防泄密方法，包括以下步骤：

步骤100：在智能终端上安装宿主程序，其中所述智能终端内嵌或者外插有安全模块，将所述宿主程序的识别码与所述安全模块的识别码进行绑定；

步骤200：通过所述宿主程序安装目标应用程序，当需要运行所述目标应用程序时，通过所述宿主程序调用所述目标应用程序，并监控所述目标应用程序的行为；

步骤300：当所述目标应用程序需要打开数据文件时，所述宿主程序先调用“打开”操作对应的系统服务,打开所述数据文件，再将所述数据文件的类型与加密文件类型列表进行匹配：

步骤301，若所述数据文件的类型和所述加密文件类型列表匹配失败，则当所述目标应用程序需要对所述数据文件进行操作时，所述宿主程序调用与所述操作相对应的系统服务完成所述操作；

步骤302，若所述数据文件的类型和所述加密文件类型列表匹配成功，则当所述目标应用程序需要对所述数据文件进行操作时，所述宿主程序调用所述安全模块获取所述数据文件的密钥，对所述数据文件的数据内容进行加/解密，以及调用与所述操作对应的系统服务完成所述操作；

其中，所述加密文件类型列表在所述宿主程序中预先设置，所述加密文件类型列表的列表项内容包括数据文件类型、数据文件类型格式和对应的加密数据文件格式，所述加密数据文件格式包括加密标识位和密钥位，所述加密标识位用于保存所述数据文件的加密标识，所述密钥位用于保存所述数据文件的密钥。