技術領域

本發明涉及終端技術，特別涉及一種數據訪問控制方法和裝置。

背景技術

智能手機不僅具備基本的通話功能，并且還通過操作系統支持很多應用(APP)的安裝，比如天氣、新聞、股票等應用的下載，因此，智能手機通常具有足夠的存儲空間，以滿足多應用的使用需求。智能手機的存儲空間中包括公共存儲區和非公共存儲區，應用安裝在非公共存儲區，屬于該應用的私有存儲區域；公共存儲區可以存儲一些相對開放的信息，比如用戶使用手機拍攝的照片等。應用可以訪問公共存儲區中的信息來使用，比如，微信可以訪問公共存儲區獲取照片使用。然而，有些惡意應用軟件在訪問公共存儲區時，有可能會破壞其中保存的信息，使得數據訪問的安全性較低。

發明內容

有鑒于此，本發明提供一種數據訪問控制方法和裝置，以提高數據訪問的安全性。

具體地，本發明是通過如下技術方案實現的：

第一方面，提供一種數據訪問控制方法，所述方法由設置在終端內核的數據訪問控制裝置執行；所述方法包括：

接收應用發送的數據訪問請求，所述數據訪問請求包括：所述應用對應的應用標識、以及請求訪問的數據對應的數據標識；

在確定所述數據標識對應的數據是安全數據，且所述應用標識對應的所述應用是可信任應用時，允許所述應用訪問所述數據。

第二方面，提供一種數據訪問控制裝置，所述數據訪問控制裝置設置在終端內核；所述裝置包括：

信息接收單元，用于接收應用發送的數據訪問請求，所述數據訪問請求包括：所述應用對應的應用標識、以及請求訪問的數據對應的數據標識；

訪問鑒權單元，用于在確定所述數據標識對應的數據是安全數據，且所述應用標識對應的所述應用是可信任應用時，允許所述應用訪問所述數據。

本發明實施例的數據訪問控制方法和裝置，通過在終端內核設置數據訪問控制裝置，由該裝置對應用進行鑒權后才允許應用訪問數據，從而保證了對數據進行訪問的應用是安全的，提高了數據訪問的安全性。

附圖說明

圖1是本發明實施例提供的智能手機層次結構圖；

圖2是本發明實施例提供的數據訪問控制方法的流程示意圖；

圖3是本發明實施例提供的數據訪問控制方法中的信息傳輸示意圖；

圖4是本發明實施例提供的數據訪問控制裝置的結構示意圖；

圖5是本發明實施例提供的終端的框圖。

具體實施方式

本發明實施例的數據訪問控制方法，主要是應用于終端(例如，智能手機)上安裝的應用軟件在對公共存儲區的數據進行訪問時，保證數據訪問的安全，以防止應用軟件對數據進行破壞。

為了使得對該數據訪問控制方法的描述更加清楚，首先對該方法中涉及到的一些基礎進行說明。以終端為智能手機為例，圖1示出了該智能手機的層次結構，如圖1所示，該手機包括應用層11、系統層12和內核13。

其中，應用層11指的是安裝有各類應用軟件，比如，微信、QQ、美圖等。應用軟件在運行時，需要執行很多的操作功能，比如訪問某個文件夾，通常，該訪問文件夾的功能不需要應用軟件自己開發，而是可以調用系統層提供的標準庫的API接口；系統層將訪問文件夾等類似功能進行封裝，并提供API接口供應用軟件調用。應用軟件在調用系統層接口后，就可以進行文件夾的訪問等操作，在具體的訪問操作時，必然要經過的一層即內核13，通過內核13的協助最終完成該訪問操作。由圖1可以看到，應用軟件的運行相當于逐層訪問。

本實施例中，在內核13設置了數據訪問控制裝置，在應用軟件經過內核13訪問公共存儲區的數據時，對該訪問進行鑒權控制。

需要說明的是，將數據訪問控制裝置設置在內核13將可以有效避免如下情況的發生：結合圖1所示，傳統方式中，可以在系統層12設置一應用鑒權模塊，當應用軟件調用系統層的API接口進行數據訪問時，該應用鑒權模塊對訪問操作進行攔截，并對應用進行安全性驗證，驗證通過的應用才可以繼續訪問；但是，有些惡意軟件可以不通過調用系統層接口，而是直接進入到內核區域，從而繞過系統層的驗證。而本發明實施例的方法中，將數據訪問控制裝置設置在應用軟件的數據訪問操作時不可繞過的內核，顯然大大提高了數據訪問控制的安全性，因為即使惡意應用軟件繞過了系統層12，卻無法繞過內核13，內核13是應用軟件訪問數據時必須經過的層次，所以有效防止了上述情況的發生。

圖2示例了該數據訪問控制裝置執行的數據訪問控制的流程：