[发明专利]一种敏感信息安全保护方法及系统

说明书

本发明实施例提供一种敏感信息安全保护方法及系统，该方法包括：获取预标记的应用程序安全标签及敏感信息安全标签；所述应用程序安全标签指示有应用程序的污点信息，所述敏感信息安全标签至少指示有敏感信息的污点信息；根据所述应用程序安全标签及敏感信息安全标签，确定主体污点和客体污点；所述主体为对敏感信息的主动行为发出者，所述客体为主体行为的承受者；根据所述主体污点和客体污点，控制敏感信息的流向。本发明实施例可提升敏感信息的安全保护效果。

本申请要求申请日为2016年11月23日、申请号为201611037052.1、发明名称为“一种敏感信息安全保护方法及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及计算机安全领域，更具体地说，涉及一种敏感信息安全保护方法及系统。

背景技术

随着移动互联网的快速发展和移动智能终端的快速普及，用户将自己的社交、娱乐、商务等各种生活和工作需求都交给了移动互联网和移动智能终端，同时也将更多的敏感信息存储在移动智能终端中。特别是企业、政府和军队等对信息安全有着严格要求的领域，移动智能终端的使用和普及使得敏感信息的安全面临着严重威胁；因此如何实现对敏感信息的安全保护显得尤为必要。

目前对于敏感信息进行安全保护的方式主要有信息加密方式和访问控制方式。

信息加密方式主要是指以加密算法和密钥改变原有的敏感信息，使得未授权的用户即使获得了已加密的敏感信息，也无法知悉敏感信息的具体内容；信息加密方式可保证敏感信息在存储与通信过程的安全性，但不能保证敏感信息解密后，由一移动智能终端传输到另一移动智能终端后的信息安全使用，这是因为敏感信息一旦被解密，再无安全保护机制能够保证敏感信息被安全地使用。

访问控制方式主要是通过限制用户对敏感信息的访问能力及范围，以保证敏感信息不被非法使用和访问；广泛应用的访问控制模型主要有，访问控制矩阵模型和基于角色的访问控制模型等；然而，访问控制方式也不能保障敏感信息由一移动智能终端传输到另一移动智能终端后的信息安全使用；例如，若主体A允许读取敏感信息a，在主体A访问控制点读取敏感信息a后，主体A可以任意使用所读取的敏感信息a，敏感信息的安全使用将无法保证。

可以看出，目前对于敏感信息的安全保护方式均存在一定的缺陷，如均无法保障敏感信息由一移动智能终端传输到另一移动智能终端后的信息安全使用，因此如何提升敏感信息的安全保护效果，成为了本领域技术人员需要考虑的问题。

发明内容

有鉴于此，本发明实施例提供一种敏感信息安全保护方法及系统，以提升敏感信息的安全保护效果。

为实现上述目的，本发明实施例提供如下技术方案：

一种敏感信息安全保护方法，包括：

获取预标记的应用程序安全标签及敏感信息安全标签；所述应用程序安全标签指示有应用程序的污点信息，所述敏感信息安全标签至少指示有敏感信息的污点信息；

根据所述应用程序安全标签及敏感信息安全标签，确定主体污点和客体污点；所述主体为对敏感信息的主动行为发出者，所述客体为主体行为的承受者；

根据所述主体污点和客体污点，控制敏感信息的流向。

可选的，所述应用程序安全标签的标记在系统中间框架层实现，且被标记于虚拟机共享库；所述敏感信息安全标签的标记在系统实时运行层实现。

可选的，所述应用程序安全标签的标记过程包括：

装载并解析策略文件，将解析出的应用程序的安全标记信息保存在新增的数据结构项中；

当应用程序启动时，传入该应用程序的应用安全标记信息，并传入虚拟机启动参数；