CN104703175B - 移动终端的数据安全保护方法及设备 - Google Patents
移动终端的数据安全保护方法及设备 Download PDFInfo
- Publication number
- CN104703175B CN104703175B CN201310639041.0A CN201310639041A CN104703175B CN 104703175 B CN104703175 B CN 104703175B CN 201310639041 A CN201310639041 A CN 201310639041A CN 104703175 B CN104703175 B CN 104703175B
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- key
- protection device
- data
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6236—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明公开了一种移动终端的数据安全保护方法,通过在保护装置上存储密钥,而移动终端与保护装置在安全有效距离内时读取密钥,通过读取的密钥对移动终端内部的数据进行加密或解密处理,反之则无法进行加密或解密处理。本发明另提供了一种动终端的数据安全保护设备,根据上述的原理,移动终端的数据安全保护设备包括保护装置和移动终端两个部分,两者通过无线连接,通过判断两者的物理距离是否在预设的安全有效范围之内,移动终端与保护装置在安全有效距离内时读取密钥,通过读取的密钥对移动终端内部的数据进行加密或解密处理,反之则无法进行加密或解密处理。通过本发明可以有效增加移动终端中数据的安全性。
Description
技术领域
本发明涉及数据安全保护技术领域,特别涉及一种适用于移动终端的数据安全保护方法及其设备。
背景技术
随着各类***的智能移动终端的迅速普及和发展,其功能不断被开发和完善。比如说手机已经不单是一个必不可少的通讯设备,同时也是现代生活中不可或缺的办公设备,手机中不仅仅包括个人的隐私数据,还包括了非常重要的办公数据信息或机密。生活中人们常常因为移动终端的遗失或将其遗忘在某个地方而带来了极大的损失和困扰。
目前对移动终端内部信息的保护方法通常是在移动终端上设置一个静态密码,通过输入此静态密码来查看加密的数据。然而,静态密码是由使用者的大脑来记忆的,存在遗忘的风险,且一旦移动终端遗失,这种静态密码非常容易通过技术手段来破解,可见其安全性并不可靠。
同时,市场上现有的手机安全保护器功能单一,主要用于防止移动终端的遗落或被盗,其方法是通过在移动终端与使用者之间的距离超过一定距离时进行报警,并且其与手机之间需要保持不间断的蓝牙连接状态,能耗较大,不适宜长时间使用。
综上所述,对移动终端的数据安全保护方法进行改进是非常重要的。
发明内容
本发明针对现有技术存在的上述不足,提供了一种移动终端的数据安全保护方法,可以对移动终端内部的信息进行更好的保护,显著增加移动终端内部重要信息的安全性。
本发明通过以下技术方案实现:
一种移动终端的数据安全保护方法,包括加密步骤以及解密步骤;
加密步骤包括:
S11、在一保护装置上存储一种子密钥,在一移动终端中存储种子密钥的解密程序;
S12、移动终端与保护装置之间进行无线通信,从保护装置上获取种子密钥并利用解密程序对其进行解密,获得解密后的种子密钥;
S13、在移动终端中选择需要加密的数据,并根据解密后的种子密钥对需要加密的数据进行加密;
解密步骤包括:
S21、判断保护装置与移动终端之间的物理距离是否处于一预设的安全有效距离之内,若是,则执行S22,若否则重复S21;
S22、移动终端与保护装置之间进行无线通信,从保护装置上获取种子密钥并利用解密程序对其进行解密,获得解密后的种子密钥;
S23、在移动终端上利用解密后的种子密钥对加密的数据进行解密。
较佳的,移动终端与保护装置之间进行间歇式通信。
较佳的,步骤S21中根据保护装置与移动终端之间的数据接收信息或数据包的信息丢失率来判断保护装置与移动终端之间的物理距离是否处于安全有效距离之内。
较佳的,步骤S11中在保护装置上存储的种子密钥的获得包括以下步骤:
随机生成一指定长度的主密钥或指定一指定长度的主密钥;
得到一临时密钥;
利用临时密钥对主密钥进行加密,得到种子密钥。
较佳的,利用临时密钥对主密钥进行加密的方式包括:计算临时密钥的md5值;用计算得到的md5值对主密钥进行加密,得到加密的种子密钥;
步骤S12及S22中的从保护装置上获取种子密钥并利用解密程序对其进行解密具体包括:计算临时密钥的md5值;用计算得到的md5值作为密钥,对种子密钥进行解密,以得到主密钥。
较佳的,步骤S13中的根据解密后的种子密钥对需要加密的数据进行加密包括对明文字符串进行加密或对文件进行加密压缩;
对明文字符串进行加密包括以下步骤:
计算临时密钥的md5值;
通过临时密钥的md5值对种子密钥进行解密以得到主密钥;
计算主密钥的md5值;
用主密钥的md5值对移动终端中需要加密的数据的明文字符串进行加密,获得加密后的字符串;
对文件进行加密压缩包括以下步骤:
A、计算文件的总大小;
B、判断文件的类型,若是目录则只执行D;若是非目录则从C依次执行;
C、随机产生混淆数据长度和压缩数据长度的值;
D、产生一临时记录文件,按预设的信息格式将文件的信息写入此临时记录文件;
E、循环读取文件并压缩成若干压缩文件,按照混淆数据、压缩数据间隔排列的方式写入一输出文件;
F、按照对明文字符串进行加密的步骤,将临时记录文件中文件的信息逐条加密,形成若干单条加密信息;
G、将若干单条加密信息填充至512字节,并将最后4字节的值写为对应的加密信息大小,追加到对应的压缩文件末尾;
H、将所有加密后的压缩文件的记录信息大小,追加到对应的压缩文件末尾。
较佳的,步骤S23中的利用解密后的种子密钥对加密的数据进行解密并查看包括对加密后的字符串进行解密或对加密后的文件进行解密解压;
对加密后的字符串进行解密包括以下步骤:
计算临时密钥的md5值;
通过临时密钥的md5值对主密钥进行解密;
计算经解密后的主密钥的md5值;
用主密钥的md5值对移动终端中加密后的字符串进行解密,获得明文字符串;
对加密后的文件进行解密解压包括以下步骤:
I、在输出文件中读取所有加密后的压缩文件的记录信息大小,作为记录信息大小;
J、在临时记录文件中,逐行读取512字节数据,得到若干单条加密信息;
K、读取单条加密信息最后4字节的加密信息大小,按照对加密后的字符串进行解密的步骤进行解密;
L、根据解密后的信息对压缩文件进行解压;
M、循环执行J、K、L,直至全部压缩文件解压完成。
本发明另提供一种移动终端的数据安全保护装置,可以对移动终端内部的信息进行更好的保护,显著增加移动终端内部重要信息的安全性。
一种移动终端的数据安全保护设备,包括移动终端部分以及保护装置部分;
保护装置部分包括:
无线通信模块,无线连接移动终端部分;
主密钥模块,用以随机生成一指定长度的主密钥或指定一指定长度的主密钥;
临时密钥加密模块,连接无线通信模块及主密钥模块,用以对主密钥进行加密,以得到一种子密钥;
移动终端部分包括:
无线通信模块,无线连接保护装置部分;
临时密钥加/解密模块,连接无线通信模块,用以对种子密钥进行解密,并根据解密后的种子密钥对移动终端中的数据进行加/解密;
资源管理模块,连接临时密钥加/解密模块,用以将经过解密或加密后的数据存储至对应的存储器中;
其中,在移动终端部分以及保护装置部分处于一安全有效距离之内的状态下,移动终端部分对数据进行加密或解密;在移动终端部分以及保护装置部分超出安全有效距离之内的状态下,移动终端部分无法对数据进行加密或解密。
较佳的,移动终端部分以及保护装置部分处于一安全有效距离之内的判断方法包括:根据保护装置与移动终端之间的数据接收信息或数据包的信息丢失率来判断保护装置与移动终端之间的物理距离是否处于安全有效距离之内。
较佳的,移动终端与保护装置之间进行间歇式通信。
与现有技术相比,本发明具有以下效果:
1、通过在保护装置上存储密钥,在有效安全距离内时,移动终端进行读取的方式来加密或解密数据,增加了数据保护的安全性,只有在移动终端和保护装置处于有效安全范围之内时才可进行加密或解密,难以破解。
2、包括了对移动终端本身的保护,在移动终端与保护装置超出安全有效距离的状态下,或在移动终端部分以及保护装置部分持续超出安全有效距离的一预设时间的状态下,保护装置和/或移动终端可以发出报警信号,及时提醒使用者。
3、移动终端与保护装置之间采用间歇式通信的方法,使得保护设备的保护时间延长,且大幅度节约了电能。
附图说明
图1所示的是本发明的流程图;
图2所示的是本发明的原理图;
图3所示的是本发明的结构示意图。
具体实施方式
以下将结合本发明的附图,对本发明实施例中的技术方案进行清楚、完整的描述和讨论,显然,这里所描述的仅仅是本发明的一部分实例,并不是全部的实例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明的保护范围。
为了便于对本发明实施例的理解,下面将结合附图以具体实施例为例作进一步的解释说明,且各个实施例不构成对本发明实施例的限定。
请参考图1和图2,本实施例提供的一种移动终端的数据安全保护方法,包括加密步骤和解密步骤,加密步骤和解密步骤无需连续执行,两者可间隔任意一段时间再进行处理。这里的加密步骤即对移动终端内部需要保护的数据进行本地加密,解密步骤即通过保护装置对移动终端内的加密的数据进行解密还原。其中:
加密步骤包括:
S11、在一保护装置1上存储一种子密钥,在一移动终端2中存储种子密钥的解密程序;
S12、移动终端2与保护装置1之间进行无线通信,移动终端2可通发送指令等形式,从保护装置1上获取种子密钥并利用解密程序对其进行解密,获得解密后的种子密钥;
S13、在移动终端2中选择需要加密的数据,并根据解密后的种子密钥对需要加密的数据进行加密。
其中,对于步骤S11而言,在一保护装置1上存储一种子密钥可以是在保护装置与移动终端处于无线连接的状态下,通过移动终端处设置的方式实现,也可以随机生成。在移动终端设置好种子密钥之后,通过发送存储指令,将种子密钥存储至保护装置上,随后将移动终端上的种子密钥进行删除,本发明在此不做限制。
解密步骤包括:
S21、判断保护装置1与移动终端2之间的物理距离是否处于一预设的安全有效距离之内,若是,则执行S5,若否则重复S4;
S22、移动终端2与保护装置1之间进行无线通信,移动终端2可通发送指令等形式,从保护装置1上获取种子密钥并利用解密程序对其进行解密,获得解密后的种子密钥;
S23、在移动终端2上利用解密后的种子密钥对加密的数据进行解密并查看。
其中, S12和S22中的移动终端2从保护装置1上获取种子密钥并解密也可以是上述的通过发送指令的方式,也可以是其他形式,从保护装置1上获取种子密钥。移动终端2获取种子密钥后是存储于移动终端2的内存中的,因此,为了增加数据的安全性,在执行完步骤S13及S23之后,需要及时删除存储于移动终端2内存中的解密后的种子密钥,以保证解密后的种子密钥不被他人获取。
在本发明中,数据的加密过程包括:
S1、生成种子密钥(generateSeed),用于调用so文件生成种子,该种子作为加密解密时的密钥,该种子密钥保存于保护装置上。
具体地,步骤S1包括:通过指定长度来产生随机的主密钥或直接传入主密钥,计算临时密钥的md5值,用临时密钥的md5值作为密钥,对主密钥进行AES加密,以得到一种子密钥;其中,主密钥的默认长度通常为20;并且,临时密钥可以是so文件中的特殊字符串;其中,md5的全称为message-digest algorithm 5,即信息-摘要算法,是一种现有的用于区别数据是原版还是盗版的技术,在这里用以区别密钥的来源是否是配对的保护装置,即上文中所述的判断保护装置是否原先在移动终端中注册过的一种技术。AES加密是一种现有的加密算法,本发明在此不做限制,技术人员可以采用任意加密算法进行加密。
S2、通过种子密钥对需要加密的数据的明文字符串进行加密,获得加密后的字符串;具体包括:计算主密钥的md5值,用主密钥的md5值对明文字符进行加密,获得加密后的字符串;
S3、文件加密压缩,包括:
逐个读取文件内容并压缩,然后混淆,混淆的方法包括但不局限于将每个文件随机一个512-1024之间的数字作为压缩数据长度,随机一个16-128之间的数字作为混淆数据/垃圾数据长度,此文件压缩时先写入混淆数据再写入压缩数据,循环将文件完成;接着将混淆时记录的信息加密,包括将临时记录文件中文件的信息按上述对明文字符串进行加密的方式逐条加密,形成若干单条加密信息,混淆时记录的信息包括:压缩数据长度、混淆数据长度等,每个文件记录一条信息,并采用上述介绍的对明文字符串加密方式进行加密;将加密的信息长度填充至512,并将其长度写到最后4字节(sizeof(int)的大小),把此条512长度的数据拼接到压缩的文件最后,按上叙步骤循环将所有文件压缩混淆,其中,子文件夹采用递归算法,目录只有一条信息记录没有压缩数据;最后将所有文件加密后的信息大小(512×n,n为文件及目录的总共个数)拼接到压缩文件的最后。
其具体步骤包括:
A、计算文件的总大小;
B、判断文件的类型,若是目录则只执行D;若是非目录则从C依次执行;
C、随机产生混淆数据长度和压缩数据长度的值;
D、产生一临时记录文件,按预设的信息格式将文件的信息写入此临时记录文件;
E、循环读取文件并压缩成若干压缩文件,按照混淆数据、压缩数据间隔排列的方式写入一输出文件;
F、将临时记录文件中文件的信息按上述对明文字符串进行加密的方式逐条加密,形成若干单条加密信息;
G、将若干单条加密信息填充至512字节,并将最后4字节的值写为对应的加密信息大小,追加到对应的压缩文件末尾;
H、将所有加密后的压缩文件的记录信息大小,追加到对应的压缩文件末尾。
对应的解密过程包括:
S4、通过种子对加密后的字符串进行解密,包括:用主密钥的md5值对加密后的字符进行加密,获得明文字符串;
S5、文件解密解压,包括:
I、在输出文件中读取所有加密后的压缩文件的记录信息大小,作为记录信息大小;
J、在临时记录文件中,逐行读取512字节数据,得到若干单条加密信息;
K、读取单条加密信息最后4字节的加密信息大小,通过上述对加密后的字符串进行解密的方式进行解密;
L、根据解密后的信息对压缩文件进行解压;
M、循环执行J、K、L,直至全部压缩文件解压完成。
另外,还可以另起线程获取当前的加密压缩、解密解压的进度。
预设的信息格式包括:
文件名:文件类型(,数据起始位置,数据结束位置,混淆数据长度,压缩数据长度)
文件名:包含路径
文件类型:file/directory(文件夹不存在后面的参数)
数据起始位置:单个文件在压缩后的文件中的起始位置
数据结束位置:单个文件在压缩后的文件中的结束位置,包含混淆数据
混淆数据长度:大小范围16-128字节,每开始压缩单个时随机一个数
压缩数据长度:512-1024字节,每开始压缩单个时随机一个数
其中,文件包括文件、图像、音频、视频、短信、通讯录和密码等等,对于音频文件具体指的是移动终端中所有音频类文件,他的来源是可以是铃声、录音、通过各种途径下载的音乐。图像是指通过移动终端拍摄的视频文件及下载到的各类视频文件,或指移动终端中各项图像文件及移动终端所拍摄的照片文件,另外各种移动终端中的文件也是本发明保护的对象,PDF,WORD,Excel,exe,txt等。
其中,上述的so文件为***.so形式的文件,英文名称为shared object,即用户层的动态库,常用于linux***下及安卓手机***中。so文件存在于在移动终端2以及保护装置1中,控制数据的加解密流程,保护数据的安全。其中的特殊字符串是整个加解密过程的主密钥,相当于一个被so保护的预共享密钥。另外,so文件通过检测自身被调用的应用路径及名称,实现自我保护和被调用保护。
移动终端与保护装置不同的连接方式及设置方式可以将本发明适应不同的应用范围,既可以应用于室外保护也可以应用于室内保护,以下通过具体实施例分别进行具体说明。
实施例一:
考虑到使用者经常处于室外,保护装置应该易于携带,且不易遗失,且同时考虑到两者之间的室外通信问题,在本实施例中,保护装置1可采用带蓝牙功能的装置;移动终端2与保护装置1之间采用蓝牙4.0的BAS、IAS Profile协议中数据信息的进行间歇式通信。采用间歇性通信的原因在于可以节省大量的电能,以增加保护装置的对移动终端的保护时间。
移动终端2首先打开蓝牙连接进行搜索,选择对应的保护装置2建立蓝牙连接。移动终端2设置一指定长度的主密钥,并将此主密钥通过数据包的形式,将原始输出传输至保护装置2,命令其存储。保护装置2将接收到的主密钥进行加密,形成一种子密钥并存储。如此,密钥设定完成。同时,移动终端2处也可对安全有效距离进行设置,或采用默认的值,本实施例不做限制。
接着,移动终端2与保护装置1在安全有效距离内时,在移动终端2上即可通过发送请求指令的方式从保护装置1上获取种子密钥并通过解密模块进行解密。随后,在移动终端2上选择需要保护的数据,根据解密后的种子密钥进行加密。如此,即完成了数据加密的步骤。
数据加密完成后,移动终端2与保护装置1不断进行间歇性蓝牙连接,判断两者是否处于安全有效范围之内。若在此范围之内,则移动终端2即可通过发送请求指令等方式再次从保护装置1上获取种子密钥,对种子密钥进行解密后,即可对加密的数据进行解密。如此,即完成了数据解密的步骤。
在本实施例中,通过保护装置1与移动终端2之间蓝牙的数据接收信息或数据包的信息丢失率来判断保护装置与移动终端之间的物理距离是否处于一预设的安全有效距离之内,而具体的不同距离的信息丢失率可根据具体的应用环境和测试结果获得,本申请在此不做限制。使用者可以对安全有效距离进行自行设置,但是此安全有效距离小于两者的蓝牙通信的最大距离。因为移动终端与保护装置连接成功后,移动终端与保护装置之间即存在连接信号的强弱,离的越远信号强度越弱,用户可以设置连接距离,就会得到相应的信号强度,当离开的达到一定的距离,此时的信号强度就会弱于安全有效距离所对应的信号强度值。
考虑到蓝牙在传输过程中也会存在有一定的损耗,因此可以使用RSSI数据定位技术更加有效的对于本实施例中的距离判断进行可靠性计算,其中,包括通过所述保护装置与所述移动终端接收到的信号强弱测定两者之间的距离,进而进行定位计算。
当然,本实施例也可以用于防止移动终端遗落或被盗,即在判断两者是否处于安全有效范围之内时,若判断结果为否,或者一定时间内的判断结果都为否(移动终端与保护装置的距离超过安全有效距离,或者超过安全有效距离一段时间),则保护装置和/或移动终端执行报警,报警可以包括蜂鸣报警等;优选的,超过安全有效距离一段时间一般采用1秒至5秒之间,技术人员可根据实际情况调整,如果不设置安全有效距离,则可以在移动终端与保护装置断开连接的时候,双方执行报警,本发明对其不做限制。
以下提供其具体的数据保护原理,以便于技术人员理解:
保护装置1中包含一串加密的种子密钥,移动终端2中内置了一个专门为这个密钥解密用的解密模块,当保护装置靠近时,移动终端部分与保护装置建立蓝牙通信,解密模块将读取到的种子密钥进行解析。如果保护装置是原先在移动终端中注册过的设备,则可以正常工作,执行解密。
即在安全有效距离之内时,移动终端通过蓝牙与保护装置之间进行蓝牙等无线通信,移动终端可从保护装置上获取种子密钥并利用其内置的对应解密程序对其进行解密,获得解密后的种子密钥,在移动终端上利用解密后的种子密钥对加密的数据进行解密并查看。
另外,为了进一步防止移动终端的丢失,可以将移动终端中的需要保护的数据备份至保护装置上,并通过设置静态密码来保护,需要保护的数据也可以事先有移动终端进行加密再行传输备份。保护装置可以是自带显示屏的设备,通过该显示屏可以有效显示通过移动终端备份传输到保护装置中的重要保护信息。在超过安全有效距离的状态下,在具有静态密码保护的保护装置上也可以查看备份的信息。以将移动终端中的通讯录备份至保护装置为例:
移动终端和保护装置在建立连接之后,移动终端和保护装置之间收发数据的帧格式可全部采用TLV格式,TLV的意思就是:Type类型,Lenght长度,Value值,顾名思义,T字段表示报文类型,L字段表示报文长度、V字段往往用来存放报文的内容。由于TLV是一种现有的报文格式,本发明在此不做赘述。
收发的数据包括指令数据包(即两者的操作指令)和普通数据包(即传输的数据)。在本实施例中,T和L自身长度均为1字节。其中,L的最大取值为18,大于18字节的数据块最好先拆分成数据页,每个数据页再拆分成数据包进行发送,每个数据页发送前先发送必须先发送数据页读、写指令,以便对方知道操作哪个地址的数据,数据页读、写指令发送后等待对方响应,正确的响应则紧接着发送普通数据包,否则发送取消指令,退出本次业务;一个页的数据发送完成后,接着发送确认指令,对方回复接收到的情况,对方回复丢包信息,则再补发对应数据包,回复完成则本页传输完成,全部数据页发送完成后,本次数据块传输业务完成;任意一方发送取消传送指令则退出本次传输业务,防止无限等待。T部分,最高位bit7为0表示T为指令,指令编码取值范围为1-127,最高位bit7为1表示为数据包编号。V部分,有2种情况:一种是普通数据,另一种为指令的补充说明,指令补充说明中第1字节表示说明类型,其余字节需结合指令和说明类型进行解析。由此,可将通讯录备份成vcf格式的文件,并将文件以字符流的形式读出,按照数据包的格式将字符流封装成数据包。
对应的,从保护装置将通讯录还原至移动终端:移动终端发出读取请求指令,保护装置将数据包发送至移动终端,移动终端将接收到的数据包进行拆分并还原成,生成vcf文件,并导入到移动终端通讯录中,完成通讯录的还原功能。
实施例二:
考虑到在室内办公状态时,保护装置1可以采用室内长时间供电的无线路由器,这种保护装置的优点在于无线网络覆盖范围大,可同时对多个连接在此网络内的移动终端进行保护。由于室内必然有电源可以供电,保护装置1及移动终端2可以免去针对于省电的考虑,因此移动终端可以与保护装置保持持续连接状态。当然,这里还是可以采用间歇式连接的方式,本实施例对此不做限制。
移动终端2首先打开wifi连接进行搜索,选择对应的保护装置2建立wifi连接。移动终端2设置一指定长度的主密钥,并将此主密钥通过数据包的形式,将原始输出传输至保护装置2,命令其存储。保护装置2将接收到的主密钥进行加密,形成一种子密钥并存储。如此,密钥设定完成。同时,移动终端2处也可对安全有效距离进行设置,或采用默认的值,本实施例不做限制。
接着,移动终端2与保护装置1在安全有效距离内时,在移动终端2上即可通过发送请求指令的方式从保护装置1上获取种子密钥并通过解密模块进行解密。随后,在移动终端2上选择需要保护的数据,根据解密后的种子密钥进行加密。如此,即完成了数据加密的步骤。
数据加密完成后,移动终端2与保护装置1保持wifi连接或者进行间歇性wifi连接,判断两者是否处于安全有效范围之内。若在此范围之内,则移动终端2即可通过发送请求指令等方式再次从保护装置1上获取种子密钥,对种子密钥进行解密后,即可对加密的数据进行解密。如此,即完成了数据解密的步骤。
在本实施例中,仍然通过保护装置与移动终端之间的数据接收信息或数据包的信息丢失率来判断保护装置与移动终端之间的物理距离是否处于一预设的安全有效距离之内,使用者可以对安全有效距离进行自行设置,但是此安全有效距离小于两者的蓝牙通信的最大距离。
同样的,保护装置中包含一串加密的种子密钥,移动终端部分中内置了一个专门为这个密钥解密用的解密模块,当保护装置靠近时,移动终端部分与保护装置建立蓝牙通信,解密模块将自动读取种子密钥,并进行解析。如果保护装置是原先在移动终端中注册过的设备(关于如何判断保护装置是否原先在移动终端中注册过会在下文中举例说明),则可以正常工作,执行解密。
即在安全有效距离之内时,移动终端2通过wifi与保护装置之间进行通信,从保护装置上获取种子密钥并利用其内置的对应解密程序对其进行解密,获得解密后的种子密钥,在移动终端上利用解密后的种子密钥对加密的数据进行解密并查看。
收发的数据包括指令数据包(即两者的操作指令)和普通数据包(即传输的数据)。在本实施例中,T和L自身长度均为1字节。其中,L的最大取值为18,大于18字节的数据块最好先拆分成数据页,每个数据页再拆分成数据包进行发送,每个数据页发送前先发送必须先发送数据页读、写指令,以便对方知道操作哪个地址的数据,数据页读、写指令发送后等待对方响应,正确的响应则紧接着发送普通数据包,否则发送取消指令,退出本次业务;一个页的数据发送完成后,接着发送确认指令,对方回复接收到的情况,对方回复丢包信息,则再补发对应数据包,回复完成则本页传输完成,全部数据页发送完成后,本次数据块传输业务完成;任意一方发送取消传送指令则退出本次传输业务,防止无限等待。T部分,最高位bit7为0表示T为指令,指令编码取值范围为1-127,最高位bit7为1表示为数据包编号。V部分,有2种情况:一种是普通数据,另一种为指令的补充说明,指令补充说明中第1字节表示说明类型,其余字节需结合指令和说明类型进行解析。由此,可将通讯录备份成vcf格式的文件,并将文件以字符流的形式读出,按照数据包的格式将字符流封装成数据包。
在本实施例中,可以考虑或者不考虑移动终端遗失的问题,比如说:公司提供给员工的笔记本电脑中,通常存储有公司相关的重要信息或机密,而使用者通常又需要将笔记本带离公司使用,在此状态下,利用本发明可以对这些公司相关的重要信息或机密进行保护,在离开公司的状态下无法进行查看,只有在公司才能查阅和处理这些信息;
也可以考虑移动终端的遗失问题:作为公司的重要财产,一些移动终端设备不允许带离公司,一旦移动终端被带离公司,则移动终端与保护装置两端同时报警,且移动终端内部的重要信息同样受到加密保护。即同上述实施例的:在判断两者是否处于安全有效范围之内时,若判断结果为否,或者一定时间内的判断结果都为否(移动终端与保护装置的距离超过安全有效距离,或者超过安全有效距离一段时间),则保护装置和/或移动终端执行报警。
请参考图3,根据上述原理,本发明另提供一种移动终端的数据安全保护设备,包括移动终端2以及保护装置1;
保护装置1包括:无线通信模块11,主密钥模块12,临时密钥加密模块13;
移动终端2包括:无线通信模块21,临时密钥加解密模块23,资源管理模块22;
移动终端2以及保护装置1两者通过其无线通信模块11、21连接,主密钥模块12用以随机生成一指定长度的主密钥或指定一指定长度的主密钥,指定的主密钥可从移动终端2处获取。在移动终端2以及保护装置1处于一安全有效距离之内时建立无线通信,临时密钥加密模块13根据一临时密钥(可以是so文件中的特殊字符串)的md5值,对主密钥进行加密,得到一种子密钥,保存于保护装置1上。随后,在安全有效距离之内时,移动终端2可通过无线连接从保护装置1上获取此种子密钥,并通过临时密钥加解密模块23进行解密,根据解密后的种子密钥,即可将资源管理模块22中的数据进行加密或解密处理,从而将解密后的明文资源存储至明文资源存储器25或将加密后的密文资源存储至密文资源存储器24进行存储。
同样的,通过保护装置1与移动终端2之间蓝牙的数据接收信息或数据包的信息丢失率来判断保护装置与移动终端之间的物理距离是否处于一预设的安全有效距离之内,使用者可以对安全有效距离进行自行设置,但是此安全有效距离小于两者的蓝牙通信的最大距离。因为移动终端与保护装置连接成功后,移动终端与保护装置之间即存在连接信号的强弱,离的越远信号强度越弱,用户可以设置连接距离,就会得到相应的信号强度,当离开的达到一定的距离,此时的信号强度就会弱于安全有效距离所对应的信号强度值。
在移动终端2以及保护装置1超出安全有效距离之内时,移动终端2无法获取种子密钥并对其内部的数据进行加密或解密处理,可以增加数据的安全性;同时,在超出安全有效距离或超出安全有效距离一段时间的情况下,移动终端2和/或保护装置1可通过蜂鸣器等设备发出报警信号,以防止移动终端遗失。
针对与上述内容,本发明还可以做一些其他的简单修饰,以下进行简单的说明,这些修饰皆属于本发明的保护范围之内:
1、通信的断开与连接:相同于现有技术的实施方式,通过搜索无线设备,选择对应的保护装置进行主动连接,维持连接状态并记录配对保护装置,下次即能自动连接,因异常断开,也能够自动连接;并且,可进行主动设备断开和清除配对设备信息的操作。
2、立即报警:设置立即报警按钮,移动终端向保护装置发送立即报警指令,保护装置不需返回数据即可闪烁LED或使蜂鸣器发声,以防止在安全有效范围之内,移动终端无法被找到;在找到之后,可点击关闭按钮,移动终端向保护装置发送关闭指令,保护装置停止闪烁LED或使蜂鸣器关闭声音。
3、读电池电量:移动终端向保护装置发送读电池电量指令,保护装置返回剩余电量数据,以使使用者实时了解保护装置的剩余工作时间。
本发明中所述的保护装置可以是随身便携式的保护装置,如挂件等形式,也可以是路由器等相对固定式的装置,只需要带有无线通信功能,与移动终端间建立无线通信即可,本发明在此不做限制。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种移动终端的数据安全保护方法,其特征在于,包括加密步骤以及解密步骤;
所述加密步骤包括:
S11、在一保护装置上存储一种子密钥,在一移动终端中存储所述种子密钥的解密程序;
S12、所述移动终端与所述保护装置之间进行无线通信,从所述保护装置上获取所述种子密钥并利用所述解密程序对其进行解密,获得解密后的种子密钥;
S13、在所述移动终端中选择需要加密的数据,并根据所述解密后的种子密钥对需要加密的数据进行加密;
所述解密步骤包括:
S21、判断所述保护装置与所述移动终端之间的物理距离是否处于一预设的安全有效距离之内,若是,则执行S22,若否则重复S21;
S22、所述移动终端与所述保护装置之间进行无线通信,从所述保护装置上获取所述种子密钥并利用所述解密程序对其进行解密,获得解密后的种子密钥;
S23、在所述移动终端上利用所述解密后的种子密钥对所述加密的数据进行解密。
2.根据权利要求1所述的移动终端的数据安全保护方法,其特征在于,所述移动终端与所述保护装置之间进行间歇式通信。
3.根据权利要求1或2任一项所述的移动终端的数据安全保护方法,其特征在于,步骤S21中根据所述保护装置与所述移动终端之间的数据接收信息或数据包的信息丢失率来判断所述保护装置与所述移动终端之间的物理距离是否处于所述安全有效距离之内。
4.根据权利要求1所述的移动终端的数据安全保护方法,其特征在于,步骤S11中在保护装置上存储的种子密钥的获得包括以下步骤:
随机生成一指定长度的主密钥或指定一指定长度的主密钥;
得到一临时密钥;
利用所述临时密钥对所述主密钥进行加密,得到所述种子密钥。
5.根据权利要求4所述的移动终端的数据安全保护方法,其特征在于,所述利用所述临时密钥对所述主密钥进行加密的方式包括:
计算所述临时密钥的md5值;
用计算得到的md5值作为密钥,对主密钥进行加密,得到加密的种子密钥;
步骤S12及S22中的从所述保护装置上获取所述种子密钥并利用所述解密程序对其进行解密具体包括:
计算所述临时密钥的md5值;
用计算得到的md5值对种子密钥进行解密,以得到所述主密钥。
6.根据权利要求4所述的移动终端的数据安全保护方法,其特征在于,步骤S13中的根据所述解密后的种子密钥对需要加密的数据进行加密包括对明文字符串进行加密或对文件进行加密压缩;
所述对明文字符串进行加密包括以下步骤:
计算临时密钥的md5值;
通过所述临时密钥的md5值对种子密钥进行解密以得到主密钥;
计算主密钥的md5值;
用所述主密钥的md5值对所述移动终端中需要加密的数据的明文字符串进行加密,获得加密后的字符串;
所述对文件进行加密压缩包括以下步骤:
A、计算文件的总大小;
B、判断文件的类型,若是目录则只执行D;若是非目录则从C依次执行;
C、随机产生混淆数据长度和压缩数据长度的值;
D、产生一临时记录文件,按预设的信息格式将文件的信息写入此临时记录文件;
E、循环读取文件并压缩成若干压缩文件,按照混淆数据、压缩数据间隔排列的方式写入一输出文件;
F、按照所述对明文字符串进行加密的步骤,将临时记录文件中文件的信息逐条加密,形成若干单条加密信息;
G、将所述若干单条加密信息填充至512字节,并将最后4字节的值写为对应的加密信息大小,追加到对应的压缩文件末尾;
H、将所有加密后的压缩文件的记录信息大小,追加到对应的压缩文件末尾。
7.根据权利要求6所述的移动终端的数据安全保护方法,其特征在于,步骤S23中的所述利用所述解密后的种子密钥对所述加密的数据进行解密并查看包括对加密后的字符串进行解密或对加密后的文件进行解密解压;
所述对加密后的字符串进行解密包括以下步骤:
计算临时密钥的md5值;
通过所述临时密钥的md5值对主密钥进行解密;
计算所述经解密后的主密钥的md5值;
用所述主密钥的md5值对所述移动终端中加密后的字符串进行解密,获得明文字符串;
所述对加密后的文件进行解密解压包括以下步骤:
I、在输出文件中读取所有加密后的压缩文件的记录信息大小,作为记录信息大小;
J、在临时记录文件中,逐行读取512字节数据,得到若干单条加密信息;
K、读取单条加密信息最后4字节的加密信息大小,按照所述对加密后的字符串进行解密的步骤进行解密;
L、根据解密后的信息对压缩文件进行解压;
M、循环执行J、K、L,直至全部压缩文件解压完成。
8.一种移动终端的数据安全保护设备,其特征在于,包括移动终端部分以及保护装置部分;
所述保护装置部分包括:
无线通信模块,无线连接所述移动终端部分;
主密钥模块,用以随机生成一指定长度的主密钥或指定一指定长度的主密钥;
临时密钥加密模块,连接所述无线通信模块及所述主密钥模块,用以对所述主密钥进行加密,以得到一种子密钥;
所述移动终端部分包括:
无线通信模块,无线连接所述保护装置部分;
临时密钥加/解密模块,连接所述无线通信模块,用以对所述种子密钥进行解密,并根据解密后的种子密钥对所述移动终端中的数据进行加/解密;
资源管理模块,连接所述临时密钥加/解密模块,用以将经过解密或加密后的数据存储至对应的存储器中;
其中,在所述移动终端部分以及所述保护装置部分处于一安全有效距离之内的状态下,所述移动终端部分对数据进行加密或解密;在所述移动终端部分以及所述保护装置部分超出所述安全有效距离之内的状态下,所述移动终端部分无法对数据进行加密或解密。
9.根据权利要求8所述的移动终端的数据安全保护设备,其特征在于,所述移动终端部分以及所述保护装置部分处于一安全有效距离之内的判断方法包括:根据所述保护装置与所述移动终端之间的数据接收信息或数据包的信息丢失率来判断所述保护装置与所述移动终端之间的物理距离是否处于所述安全有效距离之内。
10.根据权利要求8所述的移动终端的数据安全保护设备,其特征在于,所述移动终端与所述保护装置之间进行间歇式通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310639041.0A CN104703175B (zh) | 2013-12-04 | 2013-12-04 | 移动终端的数据安全保护方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310639041.0A CN104703175B (zh) | 2013-12-04 | 2013-12-04 | 移动终端的数据安全保护方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104703175A CN104703175A (zh) | 2015-06-10 |
| CN104703175B true CN104703175B (zh) | 2021-10-19 |
Family
ID=53349858
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310639041.0A Active CN104703175B (zh) | 2013-12-04 | 2013-12-04 | 移动终端的数据安全保护方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104703175B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6761858B2 (ja) * | 2016-05-31 | 2020-09-30 | マクセル株式会社 | 携帯通信端末及びその制御方法 |
| CN109829333B (zh) * | 2019-01-14 | 2021-01-19 | 中国科学院信息工程研究所 | 一种基于OpenID的关键信息保护方法及*** |
| CN112199705A (zh) * | 2020-10-23 | 2021-01-08 | 哈尔滨森美朴科技发展有限责任公司 | 基于无线感知的数据访问方法及*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094054A (zh) * | 2006-06-23 | 2007-12-26 | 盛年 | 戴于手腕处的环状物及配套手机 |
| JP2008282096A (ja) * | 2007-05-08 | 2008-11-20 | Winbond Electron Corp | アカウント・パスワード出力装置 |
| CN101894235A (zh) * | 2010-07-27 | 2010-11-24 | 公安部第三研究所 | 一种智能卡安全会话*** |
| CN201717885U (zh) * | 2010-03-12 | 2011-01-19 | 薛明 | 密码提供设备和密码认证*** |
| CN103269266A (zh) * | 2013-04-27 | 2013-08-28 | 北京宏基恒信科技有限责任公司 | 动态口令的安全认证方法和*** |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2452479A (en) * | 2007-08-31 | 2009-03-11 | Sony Corp | Content protection through deletion of a decryption key in response to a predetermined event |
| FR2922701B1 (fr) * | 2007-10-23 | 2009-11-20 | Inside Contacless | Procede de personnalisation securise d'un chipset nfc |
| US8351354B2 (en) * | 2010-09-30 | 2013-01-08 | Intel Corporation | Privacy control for wireless devices |
| US8621168B2 (en) * | 2010-12-17 | 2013-12-31 | Google Inc. | Partitioning the namespace of a contactless smart card |
| KR101873530B1 (ko) * | 2012-04-10 | 2018-07-02 | 삼성전자주식회사 | 모바일 기기, 모바일 기기의 입력 처리 방법, 및 모바일 기기를 이용한 전자 결제 방법 |
| CN103001773B (zh) * | 2012-11-28 | 2015-07-01 | 鹤山世达光电科技有限公司 | 基于nfc的指纹认证***及指纹认证方法 |
-
2013
- 2013-12-04 CN CN201310639041.0A patent/CN104703175B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094054A (zh) * | 2006-06-23 | 2007-12-26 | 盛年 | 戴于手腕处的环状物及配套手机 |
| JP2008282096A (ja) * | 2007-05-08 | 2008-11-20 | Winbond Electron Corp | アカウント・パスワード出力装置 |
| CN201717885U (zh) * | 2010-03-12 | 2011-01-19 | 薛明 | 密码提供设备和密码认证*** |
| CN101894235A (zh) * | 2010-07-27 | 2010-11-24 | 公安部第三研究所 | 一种智能卡安全会话*** |
| CN103269266A (zh) * | 2013-04-27 | 2013-08-28 | 北京宏基恒信科技有限责任公司 | 动态口令的安全认证方法和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104703175A (zh) | 2015-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10193587B2 (en) | Mobile phone and communication method thereof | |
| US8233624B2 (en) | Method and apparatus for securing data in a memory device | |
| CN101984575B (zh) | 一种保护移动终端软件的方法和装置 | |
| WO2015117333A1 (zh) | 一种信息处理方法及装置、加密设备及计算机存储介质 | |
| EP3200093B1 (en) | Data synchronization method and device | |
| CA2516568A1 (en) | System and method of protecting data on a communication device | |
| CN101465727B (zh) | 一种保证通信安全的方法、网络设备、装置和通信*** | |
| US9276748B2 (en) | Data-encrypting method and decrypting method for a mobile phone | |
| CN101815292B (zh) | 一种移动终端的数据保护装置及方法 | |
| CN101674583A (zh) | 更换sim卡隐藏或恢复个人信息的方法和*** | |
| CN104703175B (zh) | 移动终端的数据安全保护方法及设备 | |
| US20170091483A1 (en) | Method and Device for Protecting Address Book, and Communication System | |
| CN106911476A (zh) | 一种加解密装置及方法 | |
| CN112784302A (zh) | 文件处理方法、装置、电子设备及可读存储介质 | |
| JP2007249507A (ja) | 情報漏洩防止方法、情報漏洩防止システム及び情報端末 | |
| CN111614698A (zh) | 擦除终端数据的方法及装置 | |
| CN115982761A (zh) | 敏感信息处理方法、装置、电子设备和存储介质 | |
| CN105631298A (zh) | 一种加解密装置及方法 | |
| CN105279447A (zh) | 数据加密方法、解密方法及装置 | |
| CN104660568A (zh) | 一种通讯录信息的保护方法及装置 | |
| CN105721463B (zh) | 一种文件安全传输方法和装置 | |
| CN110826097A (zh) | 一种数据处理方法及电子设备 | |
| CN202217265U (zh) | 加密存储设备 | |
| CN111211958A (zh) | 用于提供vpn服务的方法及装置、区块链网络及节点设备 | |
| CN111460479B (zh) | 图库加密管理*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |