移動終端及其數(shù)據(jù)加密方法
【專利摘要】本發(fā)明提供一種移動終端及其數(shù)據(jù)加密方法����,在所述移動終端所運行系統(tǒng)內(nèi)建立安全核心領(lǐng)域;在安全核心領(lǐng)域建立安全模塊對用戶敏感數(shù)據(jù)進行加密,并將所述加密數(shù)據(jù)保存于所述安全核心領(lǐng)域�����,其中���,所述安全模塊用于對所述加密數(shù)據(jù)的訪問行為進行驗證��;實現(xiàn)必須通過解密用戶才可訪問這些用戶敏感數(shù)據(jù),且必須被賦予安全訪問權(quán)限的應(yīng)用程序才可以訪問此解密數(shù)據(jù)���;本發(fā)明從軟、硬件級別保護系統(tǒng)的完整性�,提高了移動終端系統(tǒng)的安全性�����。
【專利說明】移動終端及其數(shù)據(jù)加密方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及電子移動終端【技術(shù)領(lǐng)域】,特別是涉及一種移動終端及其數(shù)據(jù)加密方法���。
【背景技術(shù)】
[0002]現(xiàn)有的移動終端系統(tǒng)��,如安卓、蘋果系統(tǒng)����,是當前市場上應(yīng)用最廣泛的系統(tǒng)。隨著網(wǎng)絡(luò)和硬件的發(fā)展��,用戶的很多操作都從傳統(tǒng)電腦上轉(zhuǎn)移到移動終端上,如:銀行匯款���,購物�����,聊天等等���,在這種情況下����,移動終端成了各種惡意軟件和病毒攻擊的目標,其安全問題一直是討論最集中的問題��,個人敏感數(shù)據(jù)保存在這些系統(tǒng)里��,面臨著嚴重的安全問題。網(wǎng)絡(luò)上常報道出手機被入侵�����,個人數(shù)據(jù)遭到泄密���,超級病毒等等消息�����,使得用戶的個人隱私和經(jīng)濟利益受到侵害���,如何使個人的敏感數(shù)據(jù)的存儲和訪問是當前企業(yè)亟待解決的問題���。
[0003]現(xiàn)有的個人敏感數(shù)據(jù)存儲和訪問����,會出現(xiàn)用戶個人隱私和經(jīng)濟利益受到侵害的問題���,主要問題以下:
[0004]現(xiàn)有的移動終端系統(tǒng)��,所有的數(shù)據(jù)都存儲在公共存儲區(qū)內(nèi),沒有任何安全措施��,對技術(shù)人員來說,其數(shù)據(jù)存儲相當于一個I盤����,可以隨時提取、刪除��;
[0005]在訪問移動終端系統(tǒng)的數(shù)據(jù)過程中����,只要申請了相關(guān)的系統(tǒng)訪問權(quán)限��,這些數(shù)據(jù)都可以訪問��,并且可以對里面的相關(guān)數(shù)據(jù)進行修改。在移動終端被1~00七后��,移動終端持有人可以直接把相關(guān)的個人敏感數(shù)據(jù)提取全部出來�。
【發(fā)明內(nèi)容】
[0006]鑒于以上所述現(xiàn)有技術(shù)的缺點,本發(fā)明的目的在于提供一種移動終端及其數(shù)據(jù)加密方法��,解決現(xiàn)有技術(shù)中移動終端數(shù)據(jù)安全的問題���。
[0007]為實現(xiàn)上述目標及其他相關(guān)目標�,本發(fā)明提供一種移動終端�,包括:安全核心領(lǐng)域��,建立于所述移動終端所運行系統(tǒng)內(nèi)����,包括:安全模塊����,用于對用戶敏感數(shù)據(jù)進行加密�����,并將所述加密數(shù)據(jù)保存于所述安全核心領(lǐng)域���,其中��,所述安全模塊用于對所述加密數(shù)據(jù)的訪問行為進行驗證。
[0008]可選的���,所述移動終端包括:系統(tǒng)應(yīng)用權(quán)限控制模塊��,用于賦予用戶應(yīng)用程序權(quán)限����,以令所述用戶應(yīng)用程序能與所述安全模塊建立以訪問所述加密數(shù)據(jù)為目的的連接�。
[0009]可選的�,所述用戶敏感數(shù)據(jù)包括:系統(tǒng)默認格式數(shù)據(jù)及用戶選擇數(shù)據(jù)。
[0010]可選的���,所述系統(tǒng)默認格式數(shù)據(jù)默認被所述安全模塊所加密���;所述用戶選擇數(shù)據(jù)包括:電話����、聯(lián)系人、短信、密鑰��、安全證書、指紋數(shù)據(jù)及網(wǎng)銀數(shù)據(jù)中的一種或多種�����。
[0011]可選的,所述移動終端包括:手機及平板電腦中的一種;所述安全核心領(lǐng)域通過八應(yīng)11~1181:20116方式建立�����。
[0012]為實現(xiàn)上述目標及其他相關(guān)目標�,本發(fā)明提供一種移動終端數(shù)據(jù)加密方法����,包括:在所述移動終端所運行系統(tǒng)內(nèi)建立安全核心領(lǐng)域����;在安全核心領(lǐng)域建立安全模塊對用戶敏感數(shù)據(jù)進行加密�����,并將所述加密數(shù)據(jù)保存于所述安全核心領(lǐng)域���,其中����,所述安全模塊用于對所述加密數(shù)據(jù)的訪問行為進行驗證。
[0013]可選的��,所述移動終端數(shù)據(jù)加密方法�,包括:通過所述移動終端所包括的系統(tǒng)應(yīng)用權(quán)限控制模塊來同所述安全模塊建立連接以訪問所述加密數(shù)據(jù)���。
[0014]可選的,所述用戶敏感數(shù)據(jù)包括:系統(tǒng)默認格式數(shù)據(jù)及用戶選擇數(shù)據(jù)。
[0015]可選的,所述系統(tǒng)默認格式數(shù)據(jù)默認被所述安全模塊所加密��;所述用戶選擇數(shù)據(jù)包括:電話��、聯(lián)系人�、短信�、密鑰、安全證書����、指紋數(shù)據(jù)及網(wǎng)銀數(shù)據(jù)中的一種或多種����。
[0016]可選的,所述的移動終端數(shù)據(jù)加密方法����,包括:手機及平板電腦中的一種��;所述安全核心領(lǐng)域通過仙1 1^1181:20116方式建立。
[0017]如上所述,本發(fā)明提供一種移動終端及其數(shù)據(jù)加密方法����,在所述移動終端所運行系統(tǒng)內(nèi)建立安全核心領(lǐng)域;在安全核心領(lǐng)域建立安全模塊對用戶敏感數(shù)據(jù)進行加密����,并將所述加密數(shù)據(jù)保存于所述安全核心領(lǐng)域,其中�����,所述安全模塊用于對所述加密數(shù)據(jù)的訪問行為進行驗證���;實現(xiàn)必須通過解密用戶才可訪問這些用戶敏感數(shù)據(jù)����,且必須被賦予安全訪問權(quán)限的應(yīng)用程序才可以訪問此解密數(shù)據(jù);本發(fā)明從軟、硬件級別保護系統(tǒng)的完整性��,提高了移動終端系統(tǒng)的安全性。
【專利附圖】
【附圖說明】
[0018]圖1顯示為本發(fā)明一實施例中移動終端的運行系統(tǒng)的結(jié)構(gòu)原理示意圖�。
[0019]圖2顯示為本發(fā)明一實施例中加密數(shù)據(jù)的構(gòu)成示意圖�。
[0020]圖3顯示為本發(fā)明一實施例中移動終端的運行系統(tǒng)的結(jié)構(gòu)原理示意圖。
[0021]圖4顯示為本發(fā)明一實施例中移動終端數(shù)據(jù)加密方法的流程示意圖�。
[0022]元件標號說明
[0023]1移動終端的運行系統(tǒng)
[0024]11安全核心領(lǐng)域
[0025]111 安全模塊
[0026]112 加密數(shù)據(jù)
[0027]1121 系統(tǒng)默認格式數(shù)據(jù)(加密)
[0028]1122 用戶選擇數(shù)據(jù)(加密)
[0029]12非安全核心領(lǐng)域
[0030]121 用戶應(yīng)用程序
[0031]122 系統(tǒng)應(yīng)用程序
[0032]123 用戶普通數(shù)據(jù)
[0033]13 系統(tǒng)應(yīng)用權(quán)限控制模塊
[0034]31?32方法步驟
【具體實施方式】
[0035]以下通過特定的具體實例說明本發(fā)明的實施方式,本領(lǐng)域技術(shù)人員可由本說明書所揭露的內(nèi)容輕易地了解本發(fā)明的其他優(yōu)點與功效���。本發(fā)明還可以通過另外不同的【具體實施方式】加以實施或應(yīng)用,本說明書中的各項細節(jié)也可以基于不同觀點與應(yīng)用��,在沒有背離本發(fā)明的精神下進行各種修飾或改變���。需說明的是,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互組合��。
[0036]如圖1所示,本發(fā)明提供一種移動終端�����,包括:建立于所述移動終端所運行系統(tǒng)1內(nèi)的安全核心領(lǐng)域11���,包括:安全模塊111���,用于對用戶敏感數(shù)據(jù)進行加密��,并將所述加密數(shù)據(jù)112保存于所述安全核心領(lǐng)域11,其中�,所述安全模塊111用于對所述加密數(shù)據(jù)112的訪問行為進行驗證。
[0037]在一實施例中��,所述移動終端包括:手機及平板電腦中的一種���,其所運行系統(tǒng)1為嵌入式系統(tǒng)��,例如基于的八11(11*01(1系統(tǒng);所述安全核心領(lǐng)域11可例如通過八咖11-1181:20116方式建立。如圖所示,通過1^1181:20116技術(shù)構(gòu)建一個安全核心領(lǐng)域11�����,把安全模塊111進行為基于1^1181:20116構(gòu)建的安全核心領(lǐng)域11中�����。系統(tǒng)1對安全核心領(lǐng)域11與非安全核心領(lǐng)域12作了強制隔離���,使得非安全核心領(lǐng)域12中的進程不能訪問安全核心領(lǐng)域11中的進程����,從而使非安全核心領(lǐng)域12中運行的惡意軟件���、病毒等攻擊不到安全核心領(lǐng)域11中的安全模塊111和用戶加密數(shù)據(jù)技術(shù)出現(xiàn)在八1^1^61(2以及較晚期的應(yīng)用核心領(lǐng)域架構(gòu)中�。它提供了一種低成本的方案��,針對系統(tǒng)單芯片(30(:)內(nèi)加入專屈的安全核心領(lǐng)域11�����,由硬件建構(gòu)的存取控制方式支援兩顆虛擬的處理器�����。這個方式可使得應(yīng)用程式核心領(lǐng)域能夠在兩個狀態(tài)之間切換(通常改稱為領(lǐng)域以避免和其他功能領(lǐng)域的名稱混淆)��,在此架構(gòu)下可以避免資訊從較可信的核心領(lǐng)域領(lǐng)域泄漏至較不安全的領(lǐng)域���。這種內(nèi)核領(lǐng)域之間的切換通常是與處理器其他功能完全無關(guān)聯(lián)性因此各個領(lǐng)域可以各自獨立運作但卻仍能使用同一顆內(nèi)核。內(nèi)存和周邊裝置也可因此得知目前內(nèi)核運作的領(lǐng)域為何�����,并能針對這個方式來提供對裝置的機密和編碼進行存取控制。典型的作118丨20116技術(shù)應(yīng)用是要能在一個缺乏安全性的環(huán)境下完整地執(zhí)行操作系統(tǒng)����,并在可信的環(huán)境下能有更少的安全性的編碼�。
[0038]請一并參閱圖2,在一實施例中�����,所述用戶敏感數(shù)據(jù)包括:系統(tǒng)默認格式數(shù)據(jù)1121及用戶選擇數(shù)據(jù)1122 ;也就是說�,用戶敏感加密數(shù)據(jù)112可以由用戶自己選擇的方式進行��,也可以由系統(tǒng)強制定義的系統(tǒng)默認格式進行��,二個方案是相加關(guān)系,即加密的數(shù)據(jù)是用戶選擇和數(shù)據(jù)和系統(tǒng)默認格式�����;當用戶沒有選擇時,加密的數(shù)據(jù)只有系統(tǒng)默認格式���,用戶選擇數(shù)據(jù)1122可以是多個各類等�,如電話����、聯(lián)系人��、短信、密鑰、安全證書���、指紋數(shù)據(jù)�、網(wǎng)銀數(shù)據(jù)等等��;所述系統(tǒng)默認格式數(shù)據(jù)1121默認被所述安全模塊111所加密��,其可例如為安裝包�����,系統(tǒng)預裝軟件或其他和用戶選擇數(shù)據(jù)1122相重復的數(shù)據(jù)格式等等皆可�。
[0039]具體來說���,用戶對數(shù)據(jù)可進行選擇加密操作���,被選擇的文件被設(shè)為用戶敏感數(shù)據(jù)時�����,通過安全模塊111對選擇的文件進行加密處理����,系統(tǒng)1會把相應(yīng)的加密數(shù)據(jù)112移植到安全核心領(lǐng)域11中��,安全核心領(lǐng)域11中的數(shù)據(jù)存儲的數(shù)據(jù)是加密數(shù)據(jù)112,對沒有選擇的數(shù)據(jù)不作處理����,為用戶普通數(shù)據(jù)123���,存儲在非安全核心領(lǐng)域12中���;對移動終端系統(tǒng)1上的電話�、聯(lián)系人�����、短信、密鑰���、安全證書���、網(wǎng)銀數(shù)據(jù)等敏感數(shù)據(jù)��,可以作為系統(tǒng)默認格式數(shù)據(jù)1121在安全模塊111中作加密處理�。
[0040]如圖3所示�����,在一實施例中,所述移動終端包括:系統(tǒng)應(yīng)用權(quán)限控制模塊13����,用于賦予用戶應(yīng)用程序121權(quán)限,以令所述用戶應(yīng)用程序121能與所述安全模塊111建立以訪問所述加密數(shù)據(jù)112為目的的連接��。
[0041]具體來說,系統(tǒng)應(yīng)用程序122為系統(tǒng)高級權(quán)限應(yīng)用�,可以直接通過應(yīng)11*118丨20116構(gòu)建的安全模塊111訪問用戶加密數(shù)據(jù)112�����,也可以直接訪問用戶普通數(shù)據(jù)123,此數(shù)據(jù)訪問是安全的訪問�����;而用戶應(yīng)用程序121不能訪問到用戶加密數(shù)據(jù)112,只能當用戶通過系統(tǒng)應(yīng)用權(quán)限控制模塊13對其權(quán)限提升時�,才可以通過安全模塊111對用戶加密的數(shù)據(jù)進行訪問����,用戶應(yīng)用程序121在用戶可以直接訪問用戶普通數(shù)據(jù)123 ����;用戶敏感數(shù)據(jù)是存儲在安全核心領(lǐng)域11內(nèi)��,用戶加密數(shù)據(jù)112和用戶普通數(shù)據(jù)123存儲完全區(qū)分開,起到了數(shù)據(jù)安全存儲的目的。
[0042]從圖中可以看出,所有的對用戶加密數(shù)據(jù)112進行訪問的都是通過安全模塊111的方式進行訪問,不能從其他途徑進行訪問,進一步增強了數(shù)據(jù)的安全訪問性�����。
[0043]如圖4所示���,本發(fā)明提供一種移動終端數(shù)據(jù)加密方法�����,其原理與上述實施例大致相同���,因此部分技術(shù)細節(jié)不再重復贅述�,所述方法包括:
[0044]步驟51:在所述移動終端所運行系統(tǒng)內(nèi)建立安全核心領(lǐng)域����;
[0045]步驟52:在安全核心領(lǐng)域建立安全模塊對用戶敏感數(shù)據(jù)進行加密��,并將所述加密數(shù)據(jù)保存于所述安全核心領(lǐng)域��,其中����,所述安全模塊用于對所述加密數(shù)據(jù)的訪問行為進行驗證���。
[0046]在一實施例中���,所述移動終端數(shù)據(jù)加密方法�����,包括:通過所述移動終端所包括的系統(tǒng)應(yīng)用權(quán)限控制模塊來同所述安全模塊建立連接以訪問所述加密數(shù)據(jù)。
[0047]在一實施例中,所述用戶敏感數(shù)據(jù)包括:系統(tǒng)默認格式數(shù)據(jù)及用戶選擇數(shù)據(jù)�。
[0048]在一實施例中,所述系統(tǒng)默認格式數(shù)據(jù)默認被所述安全模塊所加密����;所述用戶選擇數(shù)據(jù)包括:電話、聯(lián)系人���、短信�、密鑰�����、安全證書、指紋數(shù)據(jù)及網(wǎng)銀數(shù)據(jù)中的一種或多種。
[0049]在一實施例中�,所述的移動終端數(shù)據(jù)加密方法�����,包括:手機及平板電腦中的一種��;所述安全核心領(lǐng)域通過纟咖1^1181:20116方式建立。
[0050]綜上所述���,本發(fā)明提供一種移動終端及其數(shù)據(jù)加密方法��,在所述移動終端所運行系統(tǒng)內(nèi)建立安全核心領(lǐng)域�����;在安全核心領(lǐng)域建立安全模塊對用戶敏感數(shù)據(jù)進行加密���,并將所述加密數(shù)據(jù)保存于所述安全核心領(lǐng)域�,其中,所述安全模塊用于對所述加密數(shù)據(jù)的訪問行為進行驗證���;實現(xiàn)必須通過解密用戶才可訪問這些用戶敏感數(shù)據(jù)�����,且必須被賦予安全訪問權(quán)限的應(yīng)用程序才可以訪問此解密數(shù)據(jù)��;本發(fā)明從軟�����、硬件級別保護系統(tǒng)的完整性,提高了移動終端系統(tǒng)的安全性�����。
[0051]與現(xiàn)有最好技術(shù)相比���,本發(fā)明的優(yōu)點在于:
[0052]本發(fā)明技術(shù)方案實現(xiàn)了從軟硬件級保護系統(tǒng)的完整性����,在啟動階段和運行階段都可以對系統(tǒng)的完整性運行可信衡量�;
[0053]本發(fā)明技術(shù)方案在啟動過程中啟動完整性通過檢測的程序��,對系統(tǒng)程序被惡意修改過和程序?qū)嵤┎粏雍蛨蟾娌僮鳎?br>
[0054]本發(fā)明技術(shù)方案實現(xiàn)了對移動終端進入系統(tǒng)時作了安全防護技術(shù)���,提高了系統(tǒng)的抗攻擊性�;
[0055]本發(fā)明技術(shù)實現(xiàn)了在系統(tǒng)運行階段實現(xiàn)的檢測系統(tǒng)的安全性�����,對關(guān)鍵參數(shù)和代碼作完整性度量。
[0056]上述實施例僅例示性說明本發(fā)明的原理及其功效�,而非用于限制本發(fā)明�����。任何熟悉此技術(shù)的人士皆可在不違背本發(fā)明的精神及范疇下,對上述實施例進行修飾或改變�。因此,舉凡所屈【技術(shù)領(lǐng)域】中具有通常知識者在未脫離本發(fā)明所揭示的精神與技術(shù)思想下所完成的一切等效修飾或改變���,仍應(yīng)由本發(fā)明的權(quán)利要求所涵蓋�����。
【權(quán)利要求】
1.一種移動終端�����,其特征在于�,包括: 安全核心領(lǐng)域,建立于所述移動終端所運行系統(tǒng)內(nèi)�,包括:安全模塊,用于對用戶敏感數(shù)據(jù)進行加密����,并將所述加密數(shù)據(jù)保存于所述安全核心領(lǐng)域,其中,所述安全模塊用于對所述加密數(shù)據(jù)的訪問行為進行驗證���。
2.根據(jù)權(quán)利要求1所述的移動終端,其特征在于����,所述移動終端包括:系統(tǒng)應(yīng)用權(quán)限控制模塊,用于賦予用戶應(yīng)用程序權(quán)限�����,以令所述用戶應(yīng)用程序能與所述安全模塊建立以訪問所述加密數(shù)據(jù)為目的的連接��。
3.根據(jù)權(quán)利要求1所述的移動終端����,其特征在于�,所述用戶敏感數(shù)據(jù)包括:系統(tǒng)默認格式數(shù)據(jù)及用戶選擇數(shù)據(jù)����。
4.根據(jù)權(quán)利要求3所述的移動終端,其特征在于�,所述系統(tǒng)默認格式數(shù)據(jù)默認被所述安全模塊所加密���;所述用戶選擇數(shù)據(jù)包括:電話���、聯(lián)系人���、短信�、密鑰、安全證書�����、指紋數(shù)據(jù)及網(wǎng)銀數(shù)據(jù)中的一種或多種。
5.根據(jù)權(quán)利要求1所述的移動終端�,其特征在于���,包括:手機及平板電腦中的一種����;所述安全核心領(lǐng)域通過ARM TrustZone方式建立。
6.—種移動終端數(shù)據(jù)加密方法,其特征在于,包括: 在所述移動終端所運行系統(tǒng)內(nèi)建立安全核心領(lǐng)域���; 在安全核心領(lǐng)域建立安全模塊對用戶敏感數(shù)據(jù)進行加密,并將所述加密數(shù)據(jù)保存于所述安全核心領(lǐng)域�����,其中,所述安全模塊用于對所述加密數(shù)據(jù)的訪問行為進行驗證。
7.根據(jù)權(quán)利要求6所述的移動終端數(shù)據(jù)加密方法���,其特征在于�����,包括:通過所述移動終端所包括的系統(tǒng)應(yīng)用權(quán)限控制模塊來同所述安全模塊建立連接以訪問所述加密數(shù)據(jù)。
8.根據(jù)權(quán)利要求6所述的移動終端數(shù)據(jù)加密方法�����,其特征在于���,所述用戶敏感數(shù)據(jù)包括:系統(tǒng)默認格式數(shù)據(jù)及用戶選擇數(shù)據(jù)�。
9.根據(jù)權(quán)利要求8所述的移動終端數(shù)據(jù)加密方法���,其特征在于���,所述系統(tǒng)默認格式數(shù)據(jù)默認被所述安全模塊所加密�����;所述用戶選擇數(shù)據(jù)包括:電話�、聯(lián)系人���、短信��、密鑰�、安全證書�����、指紋數(shù)據(jù)及網(wǎng)銀數(shù)據(jù)中的一種或多種����。
10.根據(jù)權(quán)利要求6所述的移動終端數(shù)據(jù)加密方法,其特征在于�,包括:手機及平板電腦中的一種����;所述安全核心領(lǐng)域通過ARM TrustZone方式建立��。
【文檔編號】G06F21/62GK104463013SQ201410740502
【公開日】2015年3月25日 申請日期:2014年12月8日 優(yōu)先權(quán)日:2014年12月8日
【發(fā)明者】朱為朋 申請人:上海斐訊數(shù)據(jù)通信技術(shù)有限公司