[发明专利]用于终端的数据管理方法、数据管理装置和终端

说明书

本发明提供了一种用于终端的数据管理方法、一种用于终端的数据管理装置和一种终端，所述终端的操作平台包括第一系统和第二系统，其中，所述数据管理方法，包括：在所述操作平台的内核区域创建用于存储隐私数据的存储空间；禁止所述第一系统内的应用程序读取所述存储空间中的数据，并授予所述第二系统内的应用程序具有读取所述存储空间中的数据的权限。本发明的技术方案可以将用户的隐私数据存放到终端操作平台的内核区域，并且授予不同系统以不同的数据读/写权限，有效地增强了隐私数据的安全性。

技术领域

本发明涉及终端技术领域，具体而言，涉及一种用于终端的数据管理方法、一种用于终端的数据管理装置和一种终端。

背景技术

目前，终端的系统架构往往分为多层，并分别设置有与每层相对应的安全架构，每层安全架构往往设置不同的安全机制，以保证每层数据的安全。例如：Android系统架构可分为四层，分别是：Linux(一种操作系统)Kernel(操作系统内核)、Android类库与运行时系统层、应用程序框架层和应用程序层。在安全方面，与Android系统架构相对应，Android对其安全架构也分为四层，分别为系统级安全、虚拟机安全、应用框架安全和应用程序安全。每层安全架构所用到的安全机制分别为：文件访问控制、安全沙箱、数字证书、代码安全及接入权限。

在Android内核，系统在安全方面的工作主要表现在安全访问控制上。访问策略位于Linux内核的存储空间，Android手机启动时从存储器中读取策略文件来调置访问策略。

具体地，Android在文件的权限管理上应用了Linux的ACL(Access Control list，访问控制列表)权限机制。系统将访问策略文件存放在Android存储器中，该文件列出了Android手机的文件访问策略，由Android手机用户根据自己的需要加以定制，如允许ADBdaemon(Android Debug Bridge，Android调试桥)读文件程序，禁止写程序文件。

分区层面，在系统运行时，Android系统架构最外层的安全防护是由Linux系统提供的，其中system.img所在的分区是只读的，不允许用户写入，而data.img所在的分区是可读写的，用于存放用户数据。

但是，当前大多数智能终端(如智能手机)对于用户的隐私数据的保护只是对文件夹的访问加了一个密码，使用密钥才能打开文件夹并查看里面的保密文件。这种方式并不能从根本上保护用户的数据安全，如在通过数据线将手机连接至电脑上时，可以在电脑上查看到手机中存储的隐私数据，如视频，图片等，严重影响了用户隐私数据的安全性。

因此，如何能够有效地对终端中的隐私数据进行保护成为亟待解决的技术问题。

发明内容

本发明正是基于上述技术问题至少之一，提出了一种新的用于终端的数据管理方案，可以将用户的隐私数据存放到终端操作平台的内核区域，并且授予不同系统以不同的数据读/写权限，有效地增强了隐私数据的安全性。

有鉴于此，本发明提出了一种用于终端的数据管理方法，所述终端的操作平台包括第一系统和第二系统，所述数据管理方法，包括：在所述操作平台的内核区域创建用于存储隐私数据的存储空间；禁止所述第一系统内的应用程序读取所述存储空间中的数据，并授予所述第二系统内的应用程序具有读取所述存储空间中的数据的权限。

在该技术方案中，由于操作平台的内核区域设置有与之对应的系统级别安全架构对其进行保护，因此通过在操作平台的内核区域创建用于存储隐私数据的存储空间，能够确保隐私数据享有系统级别的安全权限，有效地保护了隐私数据的安全性，即便是通过数据线将终端与电脑进行连接，也无法在电脑上查看到终端中的隐私数据。而通过禁止第一系统内的应用程序读取存储空间中的数据，且授予第二系统中的应用程序具有读取存储空间中数据的权限，使得能够进一步防止第一系统中的应用程序获取到用户的隐私数据，从而增强了隐私数据的安全性。