本發(fā)明涉及通信領域，尤其涉及一種移動終端的安全通信方法及移動終端。

背景技術：

隨著移動通信技術的發(fā)展，移動終端得到廣泛的普及，且移動終端已成為用戶日常生活中必不可少的物品。用戶通過移動終端進行工作、購物或娛樂時，會傳輸私密信息，這些私密信息有可能被不法分子竊聽到，從而造成用戶隱私泄露、財產受損等嚴重后果。移動通信安全已經日漸成為政府、社會、用戶越來越關注的話題，網絡安全和信息安全問題甚至已經上升到國家戰(zhàn)略高度。

現有技術中，通常是在移動終端發(fā)起或接聽通話前，搜索并關閉有錄音模塊的進程，避免通話內容被偷錄，可防止后臺進程的竊聽。

以上方法是基于移動終端的操作系統(tǒng)可信的前提下，防止后臺進程的竊聽。但是如今的移動終端，隨著功能越來越豐富，其操作系統(tǒng)的架構也越來越復雜，存在的安全漏洞也越來越多，一種能防范來自操作系統(tǒng)的攻擊的通信安全技術亟待開發(fā)。

技術實現要素：

本發(fā)明實施例公開了一種移動終端的安全通信方法及移動終端，可防止操作系統(tǒng)竊聽用戶的通信內容，提高移動終端通信的安全性。

本發(fā)明實施例第一方面公開了一種移動終端的安全通信方法，所述移動終端的應用處理器包括安全虛擬內核和普通虛擬內核，所述安全虛擬內核和所述普通虛擬內核共享所述移動終端的中央處理器CPU、內存、總線和外圍設備，并且所述普通虛擬內核的程序被禁止訪問所述安全虛擬內核的應用處理器資源；

其中所述安全通信方法包括：

當所述移動終端與另一移動終端之間將建立無線通信連接，且所述無線通信連接滿足預設的安全處理觸發(fā)條件時，所述移動終端將所述安全虛擬內核與所述普通虛擬內核之間的共享內存和所述無線通信連接所需調用的外圍設備設 置為禁止所述普通虛擬內核的程序訪問；

所述移動終端通過所述安全虛擬內核對所述無線通信連接對應的通信內容進行預設策略的處理；

所述移動終端利用所述安全虛擬內核輸出經過所述預設策略的處理的通信內容。

結合第一方面，在第一種可行的實現方式中，所述無線通信連接所需調用的外圍設備包括錄音設備，所述通信內容包括錄制的音頻信號；

所述移動終端通過所述安全虛擬內核對所述無線通信連接對應的通信內容進行預設策略的處理，具體包括：

當所述通信內容為所述錄音設備錄制的音頻信號時，所述移動終端通過所述安全虛擬內核對所述錄制的音頻信號進行加密處理；

所述移動終端利用所述安全虛擬內核對經過所述加密處理的音頻信號進行編碼，得到待發(fā)送音頻信號；

所述移動終端利用所述安全虛擬內核輸出經過所述預設策略的處理的通信內容，具體包括：

通過所述安全虛擬內核控制所述移動終端向所述另一移動終端發(fā)送所述待發(fā)送音頻信號。

結合第一方面以及第一方面的第一種可行的實現方式，在第二種可行的實現方式中，所述無線通信連接所需調用的外圍設備包括音頻播放設備，所述通信內容包括接收的音頻信號；

所述移動終端通過所述安全虛擬內核對所述無線通信連接對應的通信內容進行預設策略的處理，具體包括：

當所述通信內容為所述移動終端接收到的音頻信號時，所述移動終端通過所述安全虛擬內核解碼所述音頻信號；

所述移動終端利用所述安全虛擬內核對經過所述解碼后的音頻信號進行解密處理，得到待播放音頻信號；

所述移動終端利用所述安全虛擬內核輸出經過所述預設策略的處理的通信內容，具體包括：

所述移動終端通過所述安全虛擬內核控制所述音頻播放設備播放所述待播放音頻信號。

結合第一方面以及第一方面的第一至第二種可行的實現方式，在第三種可行的實現方式中，所述無線通信連接所需調用的外圍設備包括錄像設備，所述通信內容包括錄制的視頻信號；

所述移動終端通過所述安全虛擬內核對所述無線通信連接對應的通信內容進行預設策略的處理，具體包括：

當所述通信內容為所述錄像設備錄制的視頻信號時，所述移動終端通過所述安全虛擬內核對所述錄制的視頻信號進行加密處理；

所述移動終端利用所述安全虛擬內核對經過所述加密處理的視頻信號進行編碼，得到待發(fā)送視頻信號；

所述移動終端利用所述安全虛擬內核輸出經過所述預設策略的處理的通信內容，具體包括：

通過所述安全虛擬內核控制所述移動終端向所述另一移動終端發(fā)送所述待發(fā)送視頻信號。

結合第一方面以及第一方面的第一至第三種可行的實現方式，在第四種可行的實現方式中，所述無線通信連接所需調用的外圍設備包括顯示屏，所述通信內容包括接收的視頻信號；

所述移動終端通過所述安全虛擬內核對所述無線通信連接對應的通信內容進行預設策略的處理，具體包括：

當所述通信內容為所述移動終端接收到的視頻信號時，所述移動終端通過所述安全虛擬內核解碼所述接收到的視頻信號；

所述移動終端利用所述安全虛擬內核對經過所述解碼后的視頻信號進行解密處理，得到待播放視頻信號；

所述移動終端利用所述安全虛擬內核輸出經過所述預設策略的處理的通信內容，具體包括：

所述移動終端通過所述安全虛擬內核控制所述顯示屏播放所述待播放視頻信號。

結合第一方面以及第一方面的第一至第四種可行的實現方式，在第五種可行的實現方式中，所述移動終端與所述另一移動終端之間將建立無線通信連接之前，所述安全通信方法還包括：

所述移動終端將所述滿足預設的安全處理觸發(fā)條件的無線通信連接相關的 中斷信息設置為禁止所述普通虛擬內核的程序訪問。

本發(fā)明實施例第二方面提供了一種移動終端，所述移動終端的應用處理器包括安全虛擬內核和普通虛擬內核，所述安全虛擬內核和所述普通虛擬內核共享所述移動終端的中央處理器CPU、內存、總線和外圍設備，并且所述普通虛擬內核的程序被禁止訪問所述安全虛擬內核的應用處理器資源；

其中所述移動終端包括：

第一設置單元，用于當所述移動終端與另一移動終端之間將建立無線通信連接，且所述無線通信連接滿足預設的安全處理觸發(fā)條件時，將所述安全虛擬內核與所述普通虛擬內核之間的共享內存和所述無線通信連接所需調用的外圍設備設置為禁止所述普通虛擬內核的程序訪問；

處理單元，用于通過所述安全虛擬內核對所述無線通信連接對應的通信內容進行預設策略的處理；

輸出單元，用于利用所述安全虛擬內核輸出經過所述預設策略的處理的通信內容。

結合第二方面，在第一種可行的實現方式中，所述無線通信連接所需調用的外圍設備包括錄音設備，所述通信內容包括錄制的音頻信號；

所述處理單元，包括：

第一加密子單元，用于當所述通信內容為所述錄音設備錄制的音頻信號時，通過所述安全虛擬內核對所述錄制的音頻信號進行加密處理；

第一編碼子單元，用于利用所述安全虛擬內核對經過所述加密處理的音頻信號進行編碼，得到待發(fā)送音頻信號；

所述輸出單元，具體用于通過所述安全虛擬內核控制所述移動終端向所述另一移動終端發(fā)送所述待發(fā)送音頻信號。

結合第二方面的第一種可行的實現方式，在第二種可行的實現方式中，所述無線通信連接所需調用的外圍設備包括音頻播放設備，所述通信內容包括接收的音頻信號；

所述處理單元，包括：

第一解碼子單元，用于當所述通信內容為所述移動終端接收到的音頻信號時，通過所述安全虛擬內核解碼所述音頻信號；

第一解密子單元，用于利用所述安全虛擬內核對經過所述解調解碼后的音 頻信號進行解密處理，得到待播放音頻信號；

所述輸出單元，具體用于通過所述安全虛擬內核控制所述音頻播放設備播放所述待播放音頻信號。

結合第二方面，在第三種可行的實現方式中，所述無線通信連接所需調用的外圍設備包括錄像設備，所述通信內容包括錄制的視頻信號；

所述處理單元，包括：

第二加密子單元，用于當所述通信內容為所述錄像設備錄制的視頻信號時，通過所述安全虛擬內核對所述錄制的視頻信號進行加密處理；

第二編碼子單元，用于利用所述安全虛擬內核對經過所述加密處理的視頻信號進行編碼，得到待發(fā)送視頻信號；

所述輸出單元，具體用于通過所述安全虛擬內核控制所述移動終端向所述另一移動終端發(fā)送所述待發(fā)送視頻信號。

結合第二方面的第三種可行的實現方式，在第四種可行的實現方式中，所述無線通信連接所需調用的外圍設備包括顯示屏，所述通信內容包括接收的視頻信號；

所述處理單元，包括：

第二解碼子單元，用于當所述通信內容為所述移動終端接收到的視頻信號時，通過所述安全虛擬內核解碼所述接收到的視頻信號；

第二解密子單元，用于利用所述安全虛擬內核對經過所述解碼后的視頻信號進行解密處理，得到待播放視頻信號；

所述輸出單元，具體用于通過所述安全虛擬內核控制所述顯示屏播放所述待播放視頻信號。

結合第二方面以及第二方面的第一至第四種可行的實現方式，在第五種可行的實現方式中，所述移動終端還包括：

第二設置單元，用于將與所述無線通信連接相關的中斷信息設置為禁止所述普通虛擬內核的程序訪問。

本發(fā)明實施例中，當移動終端與另一移動終端之間將建立無線通信連接，且上述無線通信連接滿足預設的安全處理觸發(fā)條件時，所述移動終端將安全虛擬內核與普通虛擬內核之間的共享內存和上述無線通信連接所需調用的外圍設備設置為禁止普通虛擬內核的程序訪問，并通過安全虛擬內核對上述無線通信 連接對應的通信內容進行預設策略的處理，再利用安全虛擬內核輸出經過預設策略的處理的通信內容，可防止普通虛擬內核運行的操作系統(tǒng)及程序獲取處理前的通信內容，也可防止操作系統(tǒng)通過共享內存或相關外設竊聽通信內容，提高移動終端通信的安全性。

附圖說明

為了更清楚地說明本發(fā)明實施例的技術方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1是本發(fā)明提供的移動終端的安全通信方法的一實施例的流程示意圖；

圖2是本發(fā)明提供的移動終端的安全通信方法的另一實施例的流程示意圖；

圖3是本發(fā)明提供的移動終端的安全通信方法的又一實施例的流程示意圖；

圖4是本發(fā)明提供的移動終端的一實施例的結構示意圖；

圖5是本發(fā)明提供的移動終端的另一實施例的結構示意圖；

圖6是本發(fā)明提供的移動終端的又一實施例的結構示意圖；

圖7是本發(fā)明提供的移動終端的又一實施例的結構示意圖。

具體實施方式

下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例。基于本發(fā)明中的實施例，本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

以下將結合附圖對本發(fā)明實施例提供的移動終端的安全通信方法及移動終端進行詳細說明。本發(fā)明實施例中，移動終端包括但不限于手機、個人電腦、筆記本電腦等可用于通信的終端。

請參照圖1，為本發(fā)明提供的移動終端的安全通信方法的一實施例的流程示意圖。如圖1所示，在本實施例中，所述安全通信方法包括以下步驟：

S101，當移動終端與另一移動終端之間將建立無線通信連接，且所述無線通信連接滿足預設的安全處理觸發(fā)條件時，所述移動終端將安全虛擬內核與普 通虛擬內核之間的共享內存和所述無線通信連接所需調用的外圍設備設置為禁止所述普通虛擬內核的程序訪問。

本發(fā)明實施例中，所述移動終端的CPU(Central Processing Unit，中央處理器)至少包括應用處理器，當所述移動終端為手機時，所述移動終端的CPU還包括基帶處理器。其中應用處理器包括安全虛擬內核和普通虛擬內核，安全虛擬內核和普通虛擬內核共享所述移動終端的CPU、內存、外圍設備和總線，具體實施中，安全虛擬內存獨占應用處理器的一部分硬件資源，普通虛擬內核的程序被禁止訪問安全虛擬內核的所獨占的那部分應用處理器資源。

具體實施中，基帶處理器運行著所述移動終端的基帶系統(tǒng)；安全虛擬內核運行著一些安全模塊；普通虛擬內核運行著所述移動終端的操作系統(tǒng)，例如Android、iOS、Windows phone等。

作為一種可行的實施方式，所述移動終端可以是采用ARM(Advanced RISC Machine，高級精簡指令集機器)處理器的基于trustzone技術的移動終端。

可選地，所述無線通信連接可包括但不限于：普通電話連接、網絡語音連接(包括網絡電話或其它實時通信客戶端之間的語音連接)或網絡視頻連接等。

在一些可行的實施方式中，本發(fā)明實施例還可在所述移動終端和所述另一移動終端將進行短信通信或郵件通信時，將所述安全虛擬內核與所述普通虛擬內核之間的共享內存和短信通信或郵件通信所需調用的外圍設備設置為禁止所述普通虛擬內核的程序訪問。其中短信通信或郵件通信所需調用的外圍設備可包括按鍵、鍵盤、寫字板、顯示屏中的一種或多種。

在一些可行的實施方式中，可以通過檢測所述移動終端的一些觸發(fā)動作來確定所述移動終端與另一移動終端之間將建立無線通信連接，例如，當檢測到所述移動終端進行撥號操作時，或者，當檢測到所述移動終端登錄實時通信客戶端時，可認為所述移動終端與另一移動終端之間將建立無線通信連接。

在一些可行的實施方式中，可以通過檢測一些與無線通信相關的中斷信號來確定所述移動終端與另一移動終端之間將建立無線通信連接，例如，當所述另一移動終端來電時，應用處理器將接收到基帶處理器發(fā)送的來電信息的中斷請求。

可選地，所述無線通信連接滿足預設的安全處理觸發(fā)條件，可以是將與所述移動終端建立無線通信連接的所述另一移動終端符合所述移動終端設置的安 全條件，例如所述無線通信連接為所述移動終端與通訊錄中的好友之間的無線通信連接?；蛘撸部梢允撬鰺o線通信連接的類型符合所述移動終端設置的安全類型，例如所述無線通信連接為電話連接。

在一些可行的實施方式中，在移動終端開機之后，可以將上述滿足預設的安全處理觸發(fā)條件的無線通信連接相關的中斷信息設置為禁止所述普通虛擬內核的程序訪問。例如，當檢測到任意來電信號或檢測到通訊錄中好友的來電信號時，基帶系統(tǒng)會給應用處理器發(fā)送該來電信息的中斷請求，由于該來電信息的中斷請求被預先設置為禁止普通虛擬內核訪問，因此應用處理器接收到該來電信息的中斷請求后，將通過安全虛擬內核對該來電信息的中斷請求進行處理。

可選地，當所述無線通信連接涉及語音通話(例如普通電話、網絡電話、通過實時通信客戶端發(fā)起的語音會話等)時，所需調用的外圍設備至少包括錄音設備和音頻播放設備。具體實施中，錄音設備和音頻設備可以為同一個設備，例如移動終端的麥克風。

可選地，當所述無線通信連接涉及視頻通話時，所需調用的外圍設備至少包括錄像設備、錄音設備、音頻播放設備和顯示屏，例如移動終端的攝像頭、麥克風和顯示屏。

在一些可行的實施方式中，所述移動終端可以通過GIC(Generic Interrupt Controller，通用中斷控制器)或TZIC(TrustZone Interrupt Controller，TrustZone中斷控制器)將與所述無線通信連接相關的中斷信息設置為安全中斷，使其僅在安全虛擬內核中被訪問。具體實施中，GIC或TZIC與所述移動終端的所有中斷源相連，可最先截獲所述移動終端的中斷請求，對于與所述無線通信連接相關的中斷請求，GIC或TZIC將其交由安全虛擬內核處理。

在一些可行的實施方式中，所述移動終端通過TZASC(TrustZone Address Space Controller，TrustZone地址空間控制器)將物理內存劃分為多個內存區(qū)域，通過運行在安全虛擬內核的軟件把一些內存區(qū)域配置為安全內存區(qū)域或非安全內存區(qū)域，TZASC可禁止普通虛擬內存運行的程序訪問安全內存區(qū)域。

在一些可行的實施方式中，所述移動終端通過TZPC(TrustZone Protection Controller，TrustZone保護控制器)配置外圍設備的安全屬性，將外圍設備劃分為安全外設或非安全外設，普通虛擬內存運行的程序被禁止訪問安全外設。

S102，所述移動終端通過所述安全虛擬內核對所述無線通信連接對應的通 信內容進行預設策略的處理。

可選地，所述無線通信連接對應的通信內容包括所述移動終端即將發(fā)送的通信內容以及所述移動終端接收到的通信內容。

可選地，對于即將發(fā)送的通信內容，所述預設策略的處理可以包括加密、模數轉換、編碼、調制等一種或多種。對于接收到的通信內容，所述預設策略的處理可以包括解密、解調、解碼、數模轉換等一種或多種。其中所述預設策略的處理通過所述移動終端的安全虛擬內核進行，普通虛擬內核的程序無法訪問經過預設策略的處理前的通信內容。

具體實施中，普通虛擬內存運行的操作系統(tǒng)代碼量大，安全漏洞較多。而安全虛擬內存運行的模塊代碼量少，易于驗證其安全性。通過安全虛擬內核對通信內容進行預設策略的處理，可防止普通虛擬內核運行的操作系統(tǒng)獲取到經過預設策略的處理前的通信內容，從而可防止操作系統(tǒng)對通信內容的竊聽。

S103，所述移動終端利用所述安全虛擬內核輸出經過所述預設策略的處理的通信內容。

具體實施中，對于所述移動終端即將發(fā)送的通信內容，在經過所述預設策略的處理后，所述移動終端可以將其通過射頻模塊或無線網絡連接模塊發(fā)送出去。其中電話或短信的通信內容可通過移動終端的射頻模塊發(fā)送；郵件、網絡語音通話、視頻通話等通信內容可通過無線網絡連接模塊發(fā)送。本發(fā)明實施例的網絡連接模塊可以是WiFi模塊，用于使所述移動終端接入互聯網。

對于所述移動終端接收到的通信內容，在經過所述預設策略的處理后，所述移動終端可輸出所述接收到的通信內容?？蛇x地，若所述接收到的通信內容為語音，可通過音頻播放設備(如麥克風)輸出；若所述接收到的通信內容為視頻，可通過顯示屏和音頻播放設備輸出；若所述接收到的通信內容為文字或圖片，可通過顯示屏輸出。

本發(fā)明實施例中，當移動終端與另一移動終端之間將建立無線通信連接，且上述無線通信連接滿足預設的安全處理觸發(fā)條件時，將安全虛擬內核與普通虛擬內核之間的共享內存和上述無線通信連接所需調用的外圍設備設置為禁止普通虛擬內核的程序訪問，并通過安全虛擬內核對上述無線通信連接對應的通信內容進行預設策略的處理，再利用安全虛擬內核輸出經過預設策略的處理的通信內容，可防止普通虛擬內核運行的操作系統(tǒng)及程序獲取處理前的通信內容， 也可防止操作系統(tǒng)通過共享內存或相關外設竊聽通信內容，提高移動終端通信的安全性。

請參照圖2，為本發(fā)明提供的移動終端的安全通信方法的另一實施例的流程示意圖。如圖2所示，在本實施例中，所述安全通信方法包括以下步驟：

S201，移動終端將滿足預設的安全處理觸發(fā)條件的無線通信連接相關的中斷信息設置為禁止普通虛擬內核的程序訪問。

可選地，所述無線通信連接可包括但不限于：普通電話連接、網絡語音連接(包括網絡電話或其它實時通信客戶端之間的語音連接)或網絡視頻連接等。

在一些可行的實施方式中，除上述滿足預設的安全處理觸發(fā)條件的無線通信連接外，還可將一些特定無線通信類型相關的中斷信號設置為禁止所述普通虛擬內核的程序訪問，例如短信、郵件等。

可選地，所述無線通信連接滿足預設的安全處理觸發(fā)條件，可以是將與所述移動終端建立無線通信連接的所述另一移動終端符合所述移動終端設置的安全條件，例如所述無線通信連接為所述移動終端與通訊錄中的好友之間的無線通信連接?；蛘撸部梢允撬鰺o線通信連接的類型符合所述移動終端設置的安全類型，例如所述無線通信連接為電話連接。

具體實施中，所述移動終端可以在開機之后，將上述滿足預設的安全處理觸發(fā)條件的無線通信連接相關的中斷信息設置為禁止所述普通虛擬內核的程序訪問，當接收到上述滿足預設的安全處理觸發(fā)條件的無線通信連接相關的中斷信息時，將該中斷信息交由安全虛擬內核進行處理。

在一些可行的實施方式中，所述移動終端可以通過GIC(Generic Interrupt Controller，通用中斷控制器)或TZIC(TrustZone Interrupt Controller，TrustZone中斷控制器)將與所述無線通信連接相關的中斷信息設置為安全中斷，使其僅在安全虛擬內核中被訪問。具體實施中，GIC或TZIC與所述移動終端的所有中斷源相連，可最先截獲所述移動終端的中斷請求，對于與所述無線通信連接相關的中斷請求，GIC或TZIC將其交由安全虛擬內核處理。

S202，當所述移動終端與另一移動終端之間將建立無線通信連接，且所述無線通信連接滿足預設的安全處理觸發(fā)條件時，所述移動終端將安全虛擬內核與所述普通虛擬內核之間的共享內存和所述無線通信連接所需調用的外圍設備設置為禁止所述普通虛擬內核的程序訪問。

在一些可行的實施方式中，可以通過檢測所述移動終端的一些觸發(fā)動作來確定所述移動終端與另一移動終端之間將建立無線通信連接，例如，當檢測到所述移動終端進行撥號操作時，或者，當檢測到所述移動終端進入撥號界面時，可認為所述移動終端與另一移動終端之間將建立電話連接。

在一些可行的實施方式中，可以通過檢測一些與無線通信連接相關的中斷信號來確定所述移動終端與另一移動終端之間將建立無線通信連接，例如，當所述另一移動終端來電時，所述移動終端的應用處理器將接收到基帶處理器發(fā)送的來電信息的中斷請求。

本實施例中，以無線通信連接為語音連接為例進行說明。其中語音連接包括電話連接或網絡語音連接，語音連接所需調用的外圍設備至少包括錄音設備和音頻播放設備，具體實施中，錄音設備和音頻播放設備可以為同一個設備，例如移動終端的麥克風。

本發(fā)明實施例中，所述移動終端的CPU(Central Processing Unit，中央處理器)至少包括應用處理器，當所述移動終端為手機時，所述移動終端的CPU還包括基帶處理器。其中應用處理器包括安全虛擬內核和普通虛擬內核，安全虛擬內核和普通虛擬內核共享所述移動終端的CPU、內存、外圍設備和總線，具體實施中，安全虛擬內存獨占應用處理器的一部分硬件資源，普通虛擬內核的程序被禁止訪問安全虛擬內核的所獨占的那部分應用處理器資源。

具體實施中，基帶處理器運行著所述移動終端的基帶系統(tǒng)；安全虛擬內核運行著一些安全模塊；普通虛擬內核運行著所述移動終端的操作系統(tǒng)，例如Android、iOS、Windows phone等。

作為一種可行的實施方式，所述移動終端可以是采用ARM處理器的基于trustzone技術的移動終端。

在一些可行的實施方式中，所述移動終端通過TZASC(TrustZone Address Space Controller，TrustZone地址空間控制器)將物理內存劃分為多個內存區(qū)域，通過運行在安全虛擬內核的軟件把一些內存區(qū)域配置為安全內存區(qū)域或非安全內存區(qū)域，TZASC可禁止普通虛擬內存運行的程序訪問安全內存區(qū)域。

在一些可行的實施方式中，所述移動終端通過TZPC(TrustZone Protection Controller，TrustZone保護控制器)配置外圍設備的安全屬性，將外圍設備劃分為安全外設或非安全外設，普通虛擬內存運行的程序被禁止訪問安全外設。

S203，當所述無線通信連接對應的通信內容為所述錄音設備錄制的音頻信號時，所述移動終端通過所述安全虛擬內核對所述錄制的音頻信號進行加密處理。

本發(fā)明實施例中，當無線通信連接為語音連接時，無線通信連接對應的通信內容包括所述移動終端錄制的音頻信號和所述移動終端接收的音頻信號。其中所述移動終端錄制的音頻信號為通話過程中所述移動終端的用戶所要傳達給所述另一移動終端的用戶的通話內容，所述移動終端接收的音頻信號為通話過程中所述另一移動終端的用戶傳達給所述移動終端的用戶的通話內容。具體地，所述錄制的音頻信號由所述移動終端的錄音設備(如麥克風)錄制，安全虛擬內核向錄音設備獲取上述錄制的音頻信號之后，可對其進行加密處理，以防止在遭受移動通信鏈路的竊聽攻擊時通話內容泄露。

S204，所述移動終端利用所述安全虛擬內核對經過所述加密處理的音頻信號進行編碼，得到待發(fā)送音頻信號。

在一些可行的實施方式中，當無線通信連接為電話連接時，利用安全虛擬內核對經過所述加密處理的音頻信號進行編碼，可包括：通過安全虛擬內核指示所述移動終端的基帶處理器對經過所述加密處理后的音頻信號進行模數轉換、語音編碼、信道編碼、物理層加密和調制?？蛇x地，為了提高通話質量，還可指示基帶處理器對錄制的音頻信號進行其他處理，例如交織、均衡、濾波等。

在一些可行的實施方式中，當無線通信連接為網絡語音連接時，利用安全虛擬內核對經過所述加密處理的音頻信號進行編碼，具體可包括利用安全虛擬內核的硬件資源或軟件資源對經過加密處理的音頻信號進行模數轉換、語音編碼、信道編碼和物理層加密?？蛇x地，為了提高網絡語音通話質量，還可對錄制的音頻信號進行其他處理，例如交織、均衡、濾波等。

S205，通過所述安全虛擬內核控制所述移動終端向所述另一移動終端發(fā)送所述待發(fā)送音頻信號。

在一些可行的實施方式中，所述無線通信連接為電話連接，則通過所述安全虛擬內核控制所述移動終端向所述另一移動終端發(fā)送所述待發(fā)送音頻信號可包括：通過所述安全虛擬內核控制所述移動終端的射頻模塊向所述另一移動終端發(fā)送所述待發(fā)送音頻信號。

在一些可行的實施方式中，所述無線通信連接為網絡語音連接，則通過所 述安全虛擬內核控制所述移動終端向所述另一移動終端發(fā)送所述待發(fā)送音頻信號可包括：通過所述安全虛擬內核控制所述移動終端的無線網絡連接模塊(例如WiFi模塊)向所述另一移動終端發(fā)送所述待發(fā)送音頻信號。具體地，為了保障安全虛擬內核的安全環(huán)境，無線網絡連接模塊可以運行在所述移動終端的普通虛擬內核中。安全虛擬內核得到所述待發(fā)送音頻信號后，可將所述待發(fā)送音頻信號傳輸給普通虛擬內核，并指示普通虛擬內核通過無線網絡連接模塊向所述另一移動終端發(fā)送所述待發(fā)送音頻信號。

S206，當所述無線通信連接對應的通信內容為所述移動終端接收到的音頻信號時，所述移動終端通過所述安全虛擬內核解碼所述音頻信號。

在一些可行的實施方式中，當所述無線通信連接為電話連接時，所述移動終端通過射頻模塊接收所述另一移動終端通過移動電話網絡發(fā)送的音頻信號。此時通過所述安全虛擬內核解碼所述音頻信號，可包括：通過所述安全虛擬內核指示基帶處理器對接收到的音頻信號進行解調、信道解碼、物理層解密、語音解碼和數模轉換等?？蛇x地，為了提高通話質量，還可對接收到的音頻信號進行其他處理，例如均衡、信道分離、去交織等。

在一些可行的實施方式中，當所述無線通信請求為網絡語音連接時，所述移動終端通過無線網絡連接模塊接收所述另一移動終端通過互聯網發(fā)送的音頻信號。具體地，為了保障安全虛擬內核的安全環(huán)境，上述無線網絡連接模塊可以運行在所述移動終端的普通虛擬內核中，由普通虛擬內核控制無線網絡連接模塊接收所述另一移動終端發(fā)送的音頻信號，再將接收到的音頻信號傳輸給安全虛擬內核進行處理。此時通過所述安全虛擬內核解碼所述音頻信號，可包括：通過所述安全虛擬內核對接收到的音頻信號進行信道解碼、物理層解密、語音解碼和數模轉換。可選地，為了提高通話質量，還可對接收到的音頻信號進行其他處理，例如均衡、信道分離、去交織等。

S207，所述移動終端利用所述安全虛擬內核對經過所述解碼后的音頻信號進行解密處理，得到待播放音頻信號。

在一些可行的實施方式中，對于接收到的音頻信號，所述另一移動終端在對其進行編碼并發(fā)送之前，為防止在遭受移動通信鏈路的竊聽攻擊時通話內容泄露，先對其進行了上層加密。所述移動終端接收經過上層加密處理的音頻信號，在將其解碼之后，還需對其進行解密處理。

S208，所述移動終端通過所述安全虛擬內核控制音頻播放設備播放所述待播放音頻信號。

對于接收到的音頻信號，經過安全虛擬內核的一系列處理后，可通過安全虛擬內核控制所述移動終端的音頻播放設備播放。其中所述移動終端的音頻播放設備可以為麥克風。

本發(fā)明實施例中，當移動終端與另一移動終端之間將建立語音連接，且上述語音連接滿足預設的安全處理觸發(fā)條件時，所述移動終端將安全虛擬內核與所述普通虛擬內核之間的共享內存以及錄音設備、音頻播放設備等相關外設設置為禁止普通虛擬內核的程序訪問，并通過安全虛擬內核對所述移動終端錄制的音頻信號和接收到的音頻信號進行處理，然后利用安全虛擬內核輸出經過處理的通信內容，從而可防止普通虛擬內核運行的操作系統(tǒng)及程序獲取處理前的通信內容，也可防止操作系統(tǒng)通過共享內存或相關外設竊聽通信內容，提高移動終端通信的安全性。

請參照圖3，為本發(fā)明提供的移動終端的安全通信方法的又一實施例的流程示意圖。如圖3所示，在本實施例中，所述安全通信方法包括以下步驟：

S301，移動終端將滿足預設的安全處理觸發(fā)條件的無線通信連接相關的中斷信息設置為禁止普通虛擬內核的程序訪問。

具體實施中，步驟S301的具體實施方式可參考圖2所示實施例中步驟S201所描述的實施方式，在此不贅述。

S302，當所述移動終端與另一移動終端之間將建立無線通信連接，且所述無線通信連接滿足預設的安全處理觸發(fā)條件時，所述移動終端將安全虛擬內核與所述普通虛擬內核之間的共享內存和所述無線通信連接所需調用的外圍設備設置為禁止所述普通虛擬內核的程序訪問。

在一些可行的實施方式中，可以通過檢測所述移動終端的一些觸發(fā)動作來確定所述移動終端與另一移動終端之間將建立無線通信連接，例如，當檢測到所述移動終端進入網絡電話程序界面時，或者，當檢測到所述移動終端選中實時通信客戶端的視頻通話選項時，可認為所述移動終端與另一移動終端之間將建立視頻通話連接。

在一些可行的實施方式中，可以通過檢測一些與網絡語音連接相關的中斷信號來確定所述移動終端與另一移動終端之間將建立電話連接，例如，當所述 另一移動終端發(fā)來視頻通話連接請求時，應用處理器將檢測到視頻通話連接的中斷請求。

本實施例中，以無線通信連接為視頻通話連接為例進行說明。其中視頻通話連接所需調用的外圍設備包括錄像設備、錄音設備、音頻播放設備和顯示屏，具體實施中，錄像設備可以是移動終端的攝像頭，錄音設備和音頻播放設備可以為同一個設備，例如移動終端的麥克風。

本發(fā)明實施例中，所述移動終端的CPU(Central Processing Unit，中央處理器)至少包括應用處理器，當所述移動終端為手機時，所述移動終端的CPU還包括基帶處理器。其中應用處理器包括安全虛擬內核和普通虛擬內核，安全虛擬內核和普通虛擬內核共享所述移動終端的CPU、內存、外圍設備和總線，具體實施中，安全虛擬內存獨占應用處理器的一部分硬件資源，普通虛擬內核的程序被禁止訪問安全虛擬內核的所獨占的那部分應用處理器資源。

具體實施中，基帶處理器運行著所述移動終端的基帶系統(tǒng)；安全虛擬內核運行著一些安全模塊；普通虛擬內核運行著所述移動終端的操作系統(tǒng)，例如Android、iOS、Windows phone等。

作為一種可行的實施方式，所述移動終端可以是采用ARM處理器的基于trustzone技術的移動終端。

在一些可行的實施方式中，所述移動終端可通過TZASC(TrustZone Address Space Controller，TrustZone地址空間控制器)將物理內存劃分為多個內存區(qū)域，通過運行在安全虛擬內核的軟件把一些內存區(qū)域配置為安全內存區(qū)域或非安全內存區(qū)域，TZASC可禁止普通虛擬內存運行的程序訪問安全內存區(qū)域。

在一些可行的實施方式中，所述移動終端通過TZPC(TrustZone Protection Controller，TrustZone保護控制器)配置外圍設備的安全屬性，將外圍設備劃分為安全外設或非安全外設，普通虛擬內存運行的程序被禁止訪問安全外設。

S303，當所述無線通信連接對應的通信內容為所述移動終端錄制的音視頻信號時，所述移動終端通過所述安全虛擬內核對所述錄制的音視頻信號進行加密處理。

本發(fā)明實施例中，當無線通信連接為視頻通話連接時，無線通信連接對應的通信內容包括所述移動終端錄制的音視頻信號和所述移動終端接收的音視頻信號。其中所述移動終端錄制的音視頻信號包括所述移動終端的錄像設備錄制 的視頻信號和所述移動終端的錄音設備錄制的音頻信號。

在所述移動終端和所述另一移動終端進行視頻通話的過程中，所述移動終端通過安全虛擬內核向錄像設備和錄音設備獲取上述錄制的音視頻信號之后，可對其進行加密處理，以防止在遭受移動通信鏈路的竊聽攻擊時通話內容泄露。

S304，所述移動終端利用所述安全虛擬內核對經過所述加密處理的音視頻信號進行編碼，得到待發(fā)送音視頻信號。

在一些可行的實施方式中，利用所述安全虛擬內核對經過所述加密處理的音視頻信號進行編碼，可包括：利用所述安全虛擬內核對加密后的視頻信號進行編碼和物理層加密，利用所述安全虛擬內核對加密后的音頻信號進行模數轉換、語音編碼、信道編碼、物理層加密等。其中視頻信號的編碼標準可根據所述視頻通話連接的清晰度需求或壓縮率需求來選擇，例如H.261、H.262、H.263、H.264、MPEG-2、MPEG-4等，本發(fā)明對此不進行限定。可選地，為了提高視頻通話質量，還可對錄制的音頻信號進行交織、均衡、濾波等其他處理。

S305，通過所述安全虛擬內核控制所述移動終端向所述另一移動終端發(fā)送所述待發(fā)送音視頻信號。

在一些可行的實施方式中，為節(jié)省所述移動終端的用戶資費，所述待發(fā)送音視頻信號通過所述移動終端的無線網絡連接模塊發(fā)送給所述另一移動終端。

具體實施中，為了保障安全虛擬內核的安全環(huán)境，無線網絡連接模塊可以在所述移動終端的普通虛擬內核中運行。此時，安全虛擬內核可將上述待發(fā)送音視頻信號傳輸給普通虛擬內核，并指示普通虛擬內核通過無線網絡連接模塊經互聯網向所述另一移動終端發(fā)送上述待發(fā)送音視頻信號。其中，無線網絡連接模塊可以是WiFi模塊，用于使所述移動終端接入互聯網。

S306，當所述無線通信連接對應的通信內容為所述移動終端接收到的音視頻信號時，所述移動終端通過所述安全虛擬內核解碼所述接收到的音視頻信號。

在一些可行的實施方式中，為節(jié)省所述移動終端的用戶資費，所述移動終端通過無線網絡連接模塊接收所述另一移動終端發(fā)送的音視頻信號。具體實施中，為了保障安全虛擬內核的安全環(huán)境，所述無線網絡連接模塊可以運行在所述移動終端的普通虛擬內核中。此時，由普通虛擬內核控制無線網絡連接模塊接收所述另一移動終端發(fā)送的音視頻信號，再將接收到的音視頻信號傳輸給安全虛擬內核進行處理。其中接收到的音視頻信號可包括視頻信號和音頻信號。

作為一種可行的實施方式，所述安全虛擬內核解碼所述接收到的音視頻信號可包括：所述安全虛擬內核解碼接收到的視頻信號，具體為對接收到的音視頻信號中的視頻信號進行物理層解密和視頻解碼；所述安全虛擬內核解碼接收到的音頻頻信號，具體為對接收到的音視頻信號中的音頻信號進行物理層解密、信道解碼、語音解碼和數模轉換等。其中視頻信號的解碼標準可包括H.261、H.262、H.263、H.264、MPEG-2、MPEG-4等，具體根據視頻被編碼時所選擇的編碼標準而定?？蛇x地，為了提高視頻通話質量，還可對接收到的音視頻信號中的音頻信號進行均衡、信道分離、去交織等其他處理。

具體實施中，所述移動終端可通過所述安全虛擬內核分別解碼接收到的音頻信號和接收到的視頻信號，得到解碼后的音頻信號和解碼后的視頻信號。

S307，所述移動終端利用所述安全虛擬內核對經過所述解碼后的音視頻信號進行解密處理，得到待播放音視頻信號。

在一些可行的實施方式中，對于所述移動終端接收到的音視頻信號，所述另一移動終端在對其進行編碼壓縮并發(fā)送之前，為防止在遭受移動通信鏈路的竊聽攻擊時通話內容泄露，先對其進行了上層加密。所述移動終端接收經過上層加密處理的音視頻信號，在通過安全虛擬內核解碼之后，還需通過安全虛擬內核對其進行解密處理。

具體實施中，所述移動終端可通過所述安全虛擬內核分別對解碼后的音頻信號和解碼后的視頻信號進行解密處理，得到待播放音頻信號和待播放視頻信號。

S308，所述移動終端通過所述安全虛擬內核控制音頻播放設備和顯示屏播放所述待播放音視頻信號。

對于接收到的音視頻信號，經過安全虛擬內核的一系列處理，得到待播放音視頻信號后，可通過安全虛擬內核控制所述移動終端的音頻播放設備和顯示屏進行播放。其中所述待播放音視頻信號中的待播放音頻信號可通過所述移動終端的音頻播放設備(如麥克風)播放，所述待播放音視頻信號中的待播放視頻信號可通過所述移動終端的顯示屏顯示播放。

本發(fā)明實施例中，當移動終端與另一移動終端之間將建立視頻通話連接，且上述視頻通話連接滿足預設的安全處理觸發(fā)條件時，所述移動終端將安全虛擬內核與所述普通虛擬內核之間的共享內存以及錄像設備、錄音設備、音頻播 放設備、顯示屏等相關外設設置為禁止普通虛擬內核的程序訪問，并通過安全虛擬內核對所述移動終端錄制的音視頻信號和接收到的音視頻信號進行處理，然后利用安全虛擬內核輸出經過處理的通信內容，從而可防止普通虛擬內核運行的操作系統(tǒng)及程序獲取處理前的通信內容，也可防止操作系統(tǒng)通過共享內存或相關外設竊聽通信內容，提高移動終端通信的安全性。

參照圖4，為本發(fā)明提供的移動終端的一實施例的結構示意圖。如圖4所示，在本實施例中，所述移動終端包括：第一設置單元401、處理單元402和輸出單元403，其中：

第一設置單元401，用于當所述移動終端與另一移動終端之間將建立無線通信連接，且所述無線通信連接滿足預設的安全處理觸發(fā)條件時，將所述安全虛擬內核與所述普通虛擬內核之間的共享內存和所述無線通信連接所需調用的外圍設備設置為禁止所述普通虛擬內核的程序訪問。

本發(fā)明實施例中，所述移動終端的CPU(Central Processing Unit，中央處理器)至少包括應用處理器，當所述移動終端為手機時，所述移動終端的CPU還包括基帶處理器。其中應用處理器包括安全虛擬內核和普通虛擬內核，安全虛擬內核和普通虛擬內核共享所述移動終端的CPU、內存、外圍設備和總線，具體實施中，安全虛擬內存獨占應用處理器的一部分硬件資源，普通虛擬內核的程序被禁止訪問安全虛擬內核的所獨占的那部分應用處理器資源。

可選地，所述無線通信連接可包括但不限于：普通電話連接、網絡語音連接(包括網絡電話或其它實時通信客戶端之間的語音連接)或網絡視頻連接等。

在一些可行的實施方式中，本發(fā)明實施例還可在所述移動終端和所述另一移動終端將進行短信通信或郵件通信時，將所述安全虛擬內核與所述普通虛擬內核之間的共享內存和短信通信或郵件通信所需調用的外圍設備設置為禁止所述普通虛擬內核的程序訪問。其中短信通信或郵件通信所需調用的外圍設備可包括按鍵、鍵盤、寫字板、顯示屏中的一種或多種。

在一些可行的實施方式中，可以通過檢測所述移動終端的一些觸發(fā)動作來確定所述移動終端與另一移動終端之間將建立無線通信連接，例如，當檢測到所述移動終端進行撥號操作時，或者，當檢測到所述移動終端登錄實時通信客戶端時，可認為所述移動終端與另一移動終端之間將建立無線通信連接。

在一些可行的實施方式中，可以通過檢測一些與無線通信相關的中斷信號來確定所述移動終端與另一移動終端之間將建立無線通信連接，例如，當所述另一移動終端來電時，應用處理器將接收到基帶處理器發(fā)送的來電信息的中斷請求。

可選地，所述無線通信連接滿足預設的安全處理觸發(fā)條件，可以是將與所述移動終端建立無線通信連接的所述另一移動終端符合所述移動終端設置的安全條件，例如所述無線通信連接為所述移動終端與通訊錄中的好友之間的無線通信連接?；蛘撸部梢允撬鰺o線通信連接的類型符合所述移動終端設置的安全類型，例如所述無線通信連接為電話連接。

在一些可行的實施方式中，在移動終端開機之后，可以將上述滿足預設的安全處理觸發(fā)條件的無線通信連接相關的中斷信息設置為禁止所述普通虛擬內核的程序訪問。例如，當檢測到任意來電信號或檢測到通訊錄中好友的來電信號時，基帶系統(tǒng)會給應用處理器發(fā)送該來電信息的中斷請求，由于該來電信息的中斷請求被預先設置為禁止普通虛擬內核訪問，因此應用處理器接收到該來電信息的中斷請求后，將通過安全虛擬內核對該來電信息的中斷請求進行處理。

請一并參照圖5，如圖5所示，所述移動終端可以是采用ARM處理器的基于trustzone技術的移動終端。所述移動終端的片上系統(tǒng)SoC(System on Chip)集成了CPU、直接內存訪問(Direct Memory Access，DMA)、安全隨機訪問存儲器(Secure RAM)、用于啟動的安全只讀存儲器(Secure Boot ROM)、中斷控制器(GIC/TZIC)、TZASC、TZPC、動態(tài)存儲控制器(Dynamic Memory Controller，DMC)、動態(tài)隨機訪問存儲器(Dynamic RAM，DRAM)等。

其中SoC中的各組件通過高速可拓展接口(Advanced eXtensible Interface，AXI)總線連接。安全RAM與安全ROM利用軟硬件機制進行隔離，它們用于存儲安全虛擬內核運行的模塊。TZASC用于對共享內存(即DRAM)劃分安全屬性，它可將一部分DRAM設置為安全的，其余部分設為非安全的，當普通虛擬內核對屬性為安全的內存區(qū)域發(fā)起訪問請求時，該訪問請求會被拒絕。SoC通過TZPC設置外圍設備的安全屬性，通過AXI-to-APB橋與外圍設備進行通信。AXI-to-APB可感知當前訪問外設的事務的安全屬性，當普通虛擬內核的事務訪問一個屬性被設為安全的外設時，AXI-to-APB會拒絕該訪問。SoC通過GIC(Generic Interrupt Controller，通用中斷控制器)或TZIC(TrustZone Interrupt Controller，TrustZone中斷控制器)將與所述無線通信連接相關的中斷信息設置為安全中斷，使其僅在安全虛擬內核中被訪問。具體實施中，GIC或TZIC與所述移動終端的所有中斷源相連，可最先截獲所述移動終端的中斷請求，對于與所述無線通信連接相關的中斷請求，GIC或TZIC將其交由安全虛擬內核處理。

在一些可行的實施方式中，當所述移動終端為手機時，所述移動終端包括應用處理器和基帶處理器，應用處理器包括安全虛擬內核S和普通虛擬內核NS，所述安全虛擬內核和所述普通虛擬內核共享所述移動終端的CPU、內存、外圍設備和總線。其中所述普通虛擬內核的程序被禁止訪問所述安全虛擬內核的硬件資源?；鶐幚砥鬟\行著所述移動終端的基帶系統(tǒng)；安全虛擬內核運行著一些安全模塊；普通虛擬內核運行著所述移動終端的操作系統(tǒng)，例如Android、iOS、Windows phone等。

可選地，當所述無線通信連接涉及語音通話(例如普通電話、網絡電話、其他通過實時通信客戶端發(fā)起的語音會話等)時，所需調用的外圍設備至少包括錄音設備和音頻播放設備。具體實施中，錄音設備和音頻設備可以為同一個設備，例如移動終端的麥克風。

可選地，當所述無線通信連接涉及視頻通話時，所需調用的外圍設備至少包括錄像設備、錄音設備、音頻播放設備和顯示屏，例如移動終端的攝像頭、麥克風和顯示屏。

在一些可行的實施方式中，所述移動終端通過TZASC(TrustZone Address Space Controller，TrustZone地址空間控制器)將物理內存劃分為多個內存區(qū)域，通過運行在安全虛擬內核的軟件把一些內存區(qū)域配置為安全內存區(qū)域或非安全內存區(qū)域，TZASC可禁止普通虛擬內存運行的程序訪問安全內存區(qū)域。

在一些可行的實施方式中，所述移動終端通過TZPC(TrustZone Protection Controller，TrustZone保護控制器)配置外圍設備的安全屬性，將外圍設備劃分為安全外設或非安全外設，普通虛擬內存運行的程序被禁止訪問安全外設。

處理單元402，用于通過所述安全虛擬內核對所述無線通信連接對應的通信內容進行預設策略的處理。

可選地，所述無線通信連接對應的通信內容包括所述移動終端即將發(fā)送的通信內容以及所述移動終端接收到的通信內容。

可選地，對于即將發(fā)送的通信內容，所述預設策略的處理可以包括加密、 模數轉換、編碼、調制等一種或多種。對于接收到的通信內容，所述預設策略的處理可以包括解密、解調、解碼、數模轉換等一種或多種。其中所述預設策略的處理通過所述移動終端的安全虛擬內核進行，普通虛擬內核的程序無法訪問經過預設策略的處理前的通信內容。

具體實施中，普通虛擬內存運行的操作系統(tǒng)代碼量大，安全漏洞較多。而安全虛擬內存運行的模塊代碼量少，易于驗證其安全性。通過安全虛擬內核或基帶處理器對通信內容進行預設策略的處理，可防止普通虛擬內核運行的操作系統(tǒng)獲取到經過預設策略的處理前的通信內容，從而可防止操作系統(tǒng)對通信內容的竊聽。

輸出單元403，用于利用所述安全虛擬內核輸出經過所述預設策略的處理的通信內容。

具體實施中，對于所述移動終端即將發(fā)送的通信內容，在經過所述預設策略的處理后，所述移動終端可以將其通過射頻模塊或無線網絡連接模塊發(fā)送出去。其中電話或短信的通信內容可通過移動終端的射頻模塊發(fā)送；郵件、網絡語音通話、視頻通話等通信內容可通過網絡連接模塊發(fā)送。本發(fā)明實施例的網絡連接模塊可以是WiFi模塊，用于使所述移動終端接入互聯網。

對于所述移動終端接收到的通信內容，在經過所述預設策略的處理后，所述移動終端可輸出所述接收到的通信內容?？蛇x地，若所述接收到的通信內容為語音，可通過音頻播放設備(如麥克風)輸出；若所述接收到的通信內容為視頻，可通過顯示屏和音頻播放設備輸出；若所述接收到的通信內容為文字或圖片，可通過顯示屏輸出。

本發(fā)明實施例中，當移動終端與另一移動終端之間將建立無線通信連接，且上述無線通信連接滿足預設的安全處理觸發(fā)條件時，將安全虛擬內核與普通虛擬內核之間的共享內存和上述無線通信連接所需調用的外圍設備設置為禁止普通虛擬內核的程序訪問，并通過安全虛擬內核對上述無線通信連接對應的通信內容進行預設策略的處理，再利用安全虛擬內核輸出經過預設策略的處理的通信內容，可防止普通虛擬內核運行的操作系統(tǒng)及程序獲取處理前的通信內容，也可防止操作系統(tǒng)通過共享內存或相關外設竊聽通信內容，提高移動終端通信的安全性。

參照圖6，為本發(fā)明提供的移動終端的又一實施例的結構示意圖。如圖6所 示，在本實施例中，所述移動終端包括：第一設置單元601、處理單元602、輸出單元603和第二設置單元604，其中：

第二設置單元604，用于將滿足預設的安全處理觸發(fā)條件的無線通信連接相關的中斷信息設置為禁止所述普通虛擬內核的程序訪問。

可選地，所述無線通信連接可包括但不限于：普通電話連接、網絡語音連接(包括網絡電話或其它實時通信客戶端之間的語音連接)或網絡視頻連接等。

在一些可行的實施方式中，除上述滿足預設的安全處理觸發(fā)條件的無線通信連接外，還可將一些特定無線通信類型相關的中斷信號設置為禁止所述普通虛擬內核的程序訪問，例如短信、郵件等。

可選地，所述無線通信連接滿足預設的安全處理觸發(fā)條件，可以是將與所述移動終端建立無線通信連接的所述另一移動終端符合所述移動終端設置的安全條件，例如所述無線通信連接為所述移動終端與通訊錄中的好友之間的無線通信連接?；蛘?，也可以是所述無線通信連接的類型符合所述移動終端設置的安全類型，例如所述無線通信連接為電話連接。

具體實施中，所述移動終端可以在開機之后，將上述滿足預設的安全處理觸發(fā)條件的無線通信連接相關的中斷信息設置為禁止所述普通虛擬內核的程序訪問，當接收到上述滿足預設的安全處理觸發(fā)條件的無線通信連接相關的中斷信息時，將該中斷信息交由安全虛擬內核進行處理。

在一些可行的實施方式中，第二設置單元604可以通過GIC(Generic Interrupt Controller，通用中斷控制器)或TZIC(TrustZone Interrupt Controller，TrustZone中斷控制器)將與所述無線通信連接相關的中斷信息設置為安全中斷，使其僅在安全虛擬內核中被訪問。具體實施中，GIC或TZIC與所述移動終端的所有中斷源相連，可最先截獲所述移動終端的中斷請求，對于與所述無線通信連接相關的中斷請求，GIC或TZIC將其交由安全虛擬內核處理。

第一設置單元601，用于當所述移動終端與另一移動終端之間將建立無線通信連接，且所述無線通信連接滿足預設的安全處理觸發(fā)條件時，將所述安全虛擬內核與所述普通虛擬內核之間的共享內存和所述無線通信連接所需調用的外圍設備設置為禁止所述普通虛擬內核的程序訪問。

在一些可行的實施方式中，上述第一設置單元601可執(zhí)行圖4所示實施例中所描述的第一設置單元401所執(zhí)行的實現方式。在本實施例中，所述無線通 信連接為語音連接，包括電話連接或網絡語音連接。此時所述無線通信連接所需調用的外圍設備包括錄音設備和音頻播放設備，則第一設置單元601可具體用于將所述安全虛擬內核與所述普通虛擬內核之間的共享內存、所述移動終端的錄音設備和音頻播放設備設置為禁止所述普通虛擬內核的程序訪問。其中，確定所述移動終端與另一移動終端之間將建立語音連接的具體實現方式可參考圖2所示實施例中步驟S202的相關描述。

在一些可行的實施方式中，上述處理單元602可執(zhí)行圖4所示實施例中所描述的處理單元402所執(zhí)行的實現方式。在本實施例中，處理單元602可包括第一加密子單元6021、第一編碼子單元6022、第一解碼子單元6023和第一解密子單元6024，其中：

第一加密子單元6021，用于當所述通信內容為所述錄音設備錄制的音頻信號時，通過所述安全虛擬內核對所述錄制的音頻信號進行加密處理。

本發(fā)明實施例中，當無線通信連接為語音連接時，無線通信連接對應的通信內容包括所述移動終端錄制的音頻信號和所述移動終端接收的音頻信號。其中所述移動終端錄制的音頻信號為通話過程中所述移動終端的用戶所要傳達給所述另一移動終端的用戶的通話內容，所述移動終端接收的音頻信號為通話過程中所述另一移動終端的用戶傳達給所述移動終端的用戶的通話內容。

具體地，所述錄制的音頻信號由所述移動終端的錄音設備(如麥克風)錄制，安全虛擬內核向錄音設備獲取上述錄制的音頻信號之后，可通過第一加密子單元6021對其進行加密處理，以防止在遭受移動通信鏈路的竊聽攻擊時通話內容泄露。

第一編碼子單元6022，用于利用所述安全虛擬內核對經過所述加密處理的音頻信號進行編碼，得到待發(fā)送音頻信號。

在一些可行的實施方式中，當無線通信連接為電話連接時，利用安全虛擬內核對經過所述加密處理的音頻信號進行編碼，可包括：通過安全虛擬內核指示所述移動終端的基帶處理器對經過所述加密處理后的音頻信號進行模數轉換、語音編碼、信道編碼、物理層加密和調制?？蛇x地，為了提高通話質量，還可指示基帶處理器對錄制的音頻信號進行其他處理，例如交織、均衡、濾波等。

在一些可行的實施方式中，當無線通信連接為網絡語音連接時，利用安全虛擬內核對經過所述加密處理的音頻信號進行編碼，具體可包括利用安全虛擬 內核的硬件資源或軟件資源對經過加密處理的音頻信號進行模數轉換、語音編碼、信道編碼和物理層加密?？蛇x地，為了提高網絡語音通話質量，還可對錄制的音頻信號進行其他處理，例如交織、均衡、濾波等。

第一解碼子單元6023，用于當所述通信內容為所述移動終端接收到的音頻信號時，通過所述安全虛擬內核解碼所述音頻信號。

在一些可行的實施方式中，當所述無線通信連接為電話連接時，所述移動終端通過射頻模塊接收所述另一移動終端通過移動電話網絡發(fā)送的音頻信號。此時通過所述安全虛擬內核解碼所述音頻信號，可包括：通過所述安全虛擬內核指示基帶處理器對接收到的音頻信號進行解調、信道解碼、物理層解密、語音解碼和數模轉換等?？蛇x地，為了提高通話質量，還可對接收到的音頻信號進行其他處理，例如均衡、信道分離、去交織等。

在一些可行的實施方式中，當所述無線通信請求為網絡語音連接時，所述移動終端通過無線網絡連接模塊接收所述另一移動終端通過互聯網發(fā)送的音頻信號。具體地，為了保障安全虛擬內核的安全環(huán)境，上述無線網絡連接模塊可以運行在所述移動終端的普通虛擬內核中，由普通虛擬內核控制無線網絡連接模塊接收所述另一移動終端發(fā)送的音頻信號，再將接收到的音頻信號傳輸給安全虛擬內核進行處理。此時通過所述安全虛擬內核解碼所述音頻信號，可包括：通過安全虛擬內核對接收到的音頻信號進行信道解碼、物理層解密、語音解碼和數模轉換?？蛇x地，為了提高通話質量，還可對接收到的音頻信號進行其他處理，例如均衡、信道分離、去交織等。

第一解密子單元6024，用于利用所述安全虛擬內核對經過所述解調解碼后的音頻信號進行解密處理，得到待播放音頻信號。

在一些可行的實施方式中，對于接收到的音頻信號，所述另一移動終端在對其進行編碼并發(fā)送之前，為防止在遭受移動通信鏈路的竊聽攻擊時通話內容泄露，先對其進行了上層加密。所述移動終端接收經過上層加密處理的音頻信號，在將其解碼之后，第一解密子單元6024對其進行解密處理。

在一些可行的實施方式中，上述輸出單元603可執(zhí)行圖4所示實施例中所描述的輸出單元403所執(zhí)行的實現方式。本發(fā)明實施例中，輸出單元403還可具體用于：通過所述安全虛擬內核控制所述移動終端向所述另一移動終端發(fā)送所述待發(fā)送音頻信號；或者，通過所述安全虛擬內核控制所述音頻播放設備播 放所述待播放音頻信號。

在一些可行的實施方式中，所述無線通信連接為電話連接，則通過所述安全虛擬內核控制所述移動終端向所述另一移動終端發(fā)送所述待發(fā)送音頻信號可包括：通過所述安全虛擬內核控制所述移動終端的射頻模塊向所述另一移動終端發(fā)送所述待發(fā)送音頻信號。

在一些可行的實施方式中，所述無線通信連接為網絡語音連接，則通過所述安全虛擬內核控制所述移動終端向所述另一移動終端發(fā)送所述待發(fā)送音頻信號可包括：通過所述安全虛擬內核控制所述移動終端的無線網絡連接模塊(例如WiFi模塊)向所述另一移動終端發(fā)送所述待發(fā)送音頻信號。具體地，為了保障安全虛擬內核的安全環(huán)境，無線網絡連接模塊可以運行在所述移動終端的普通虛擬內核中。安全虛擬內核得到所述待發(fā)送音頻信號后，可將所述待發(fā)送音頻信號傳輸給普通虛擬內核，并指示普通虛擬內核通過無線網絡連接模塊向所述另一移動終端發(fā)送所述待發(fā)送音頻信號。

對于接收到的音頻信號，經過安全虛擬內核的一系列處理后，可通過安全虛擬內核控制所述移動終端的音頻播放設備播放。其中所述移動終端的音頻播放設備可以為麥克風。本發(fā)明實施例中，當移動終端與另一移動終端之間將建立語音連接，且上述語音連接滿足預設的安全處理觸發(fā)條件時，所述移動終端將安全虛擬內核與所述普通虛擬內核之間的共享內存以及錄音設備、音頻播放設備等相關外設設置為禁止普通虛擬內核的程序訪問，并通過安全虛擬內核和所述移動終端的基帶處理器獲取并對音頻信號進行處理，再將經過處理的音頻信號發(fā)送給另一移動終端或輸出，可防止普通虛擬內核運行的操作系統(tǒng)及程序獲取處理前的通信內容，也可防止操作系統(tǒng)通過共享內存或相關外設竊聽通信內容，提高移動終端通信的安全性。

參照圖7，為本發(fā)明提供的移動終端的又一實施例的結構示意圖。如圖7所示，在本實施例中，所述移動終端包括：第一設置單元701、處理單元702、輸出單元703和第二設置單元704，其中：

第二設置單元704，用于將滿足預設的安全處理觸發(fā)條件的無線通信連接相關的中斷信息設置為禁止所述普通虛擬內核的程序訪問。

在一些可行的實施方式中，上述第二設置單元704可執(zhí)行圖6所示實施例中所描述的第二設置單元604所執(zhí)行的實現方式，在此不贅述。

第一設置單元701，用于當所述移動終端與另一移動終端之間將建立無線通信連接，且所述無線通信連接滿足預設的安全處理觸發(fā)條件時，將所述安全虛擬內核與所述普通虛擬內核之間的共享內存和所述無線通信連接所需調用的外圍設備設置為禁止所述普通虛擬內核的程序訪問。

在一些可行的實施方式中，上述第一設置單元701可執(zhí)行圖4所示實施例中所描述的第一設置單元401所執(zhí)行的實現方式。在本實施例中，所述無線通信連接為視頻通話連接，所述無線通信連接所需調用的外圍設備包括錄像設備、錄音設備、音頻播放設備和顯示屏。此時第一設置單元701可具體用于將所述安全虛擬內核與所述普通虛擬內核之間的共享內存、所述移動終端的錄像設備、錄音設備、音頻播放設備和顯示屏設置為禁止所述普通虛擬內核的程序訪問。其中，確定所述移動終端與另一移動終端之間將建立視頻通話連接的具體實現方式可參考圖3所示實施例中步驟S302的相關描述。

在一些可行的實施方式中，處理單元702可執(zhí)行圖4所示實施例中所描述的處理單元402所執(zhí)行的實現方式。在本實施例中，處理單元702可包括第一加密子單元7021、第二加密子單元7022、第一編碼子單元7023、第二編碼子單元7024、第一解碼子單元7025、第二解碼子單元7026、第一解密子單元7027和第二解密子單元7028，其中：

第一加密子單元7021，用于當所述通信內容為所述錄音設備錄制的音頻信號時，所述移動終端通過所述安全虛擬內核對所述錄制的音頻信號進行加密處理。

第二加密子單元7021，用于當所述通信內容為所述錄像設備錄制的視頻信號時，通過所述安全虛擬內核對所述錄制的視頻信號進行加密處理。

本發(fā)明實施例中，當無線通信連接為視頻通話連接時，無線通信連接對應的通信內容包括所述移動終端錄制的音頻信號、所述移動終端錄制的視頻信號、所述移動終端接收的音頻信號和所述移動終端接收的視頻信號。

在所述移動終端和所述另一移動終端進行視頻通話的過程中，所述移動終端通過安全虛擬內核向錄像設備和錄音設備獲取上述錄制的視頻信號和錄制的視頻信號之后，可對其進行加密處理，以防止在遭受移動通信鏈路的竊聽攻擊時通話內容泄露。

作為一種可行的實施方式，可通過第一加密子單元7021對所述移動終端錄 制的音視頻信號中的音頻信號進行加密處理，通過第二加密子單元7022對所述移動終端錄制的音視頻信號中的視頻信號進行加密處理。

第一編碼子單元7023，用于利用所述安全虛擬內核對經過所述加密處理的音頻信號進行編碼，得到待發(fā)送音頻信號。

第二編碼子單元7024，用于利用所述安全虛擬內核對經過所述加密處理的視頻信號進行編碼，得到待發(fā)送視頻信號。

在一些可行的實施方式中，第一編碼子單元7023可具體用于對加密后的音頻信號進行模數轉換、語音編碼、信道編碼、物理層加密等處理?？蛇x地，為了提高視頻通話質量，第一編碼子單元7023還可對錄制的音頻信號進行交織、均衡、濾波等其他處理。

在一些可行的實施方式中，第二編碼子單元7024可具體用于對加密后的視頻信號進行編碼和物理層加密。其中視頻信號的編碼標準可根據所述視頻通話連接的清晰度需求或壓縮率需求來選擇，例如H.261、H.262、H.263、H.264、MPEG-2、MPEG-4等，本發(fā)明對此不進行限定。

第一解碼子單元7025，用于當所述通信內容為所述移動終端接收到的音頻信號時，通過所述安全虛擬內核解碼所述音頻信號。

第二解碼子單元7026，用于當所述通信內容為所述移動終端接收到的視頻信號時，通過所述安全虛擬內核解碼所述接收到的視頻信號。

在一些可行的實施方式中，為節(jié)省所述移動終端的用戶資費，所述移動終端通過無線網絡連接模塊接收所述另一移動終端發(fā)送的音頻信號和視頻信號。具體實施中，為了保障安全虛擬內核的安全環(huán)境，所述無線網絡連接模塊可以運行在所述移動終端的普通虛擬內核中。此時，由普通虛擬內核控制無線網絡連接模塊接收所述另一移動終端發(fā)送的音頻信號和視頻信號，再將接收到的音頻信號和視頻信號傳輸給安全虛擬內核進行處理。

作為一種可行的實施方式，第一解碼子單元7025可具體用于對接收到的音頻信號進行物理層解密、信道解碼、語音解碼和數模轉換等處理?？蛇x地，為了提高視頻通話質量，第一解碼子單元7025還可對接收到的音視頻信號中的音頻信號進行均衡、信道分離、去交織等其他處理。

作為一種可行的實施方式，第二解碼子單元7026可具體用于對接收到的視頻信號進行物理層解密和視頻解碼；其中視頻信號的解碼標準可包括H.261、 H.262、H.263、H.264、MPEG-2、MPEG-4等，具體根據視頻被編碼時所選擇的編碼標準而定。

第一解密子單元7027，用于利用所述安全虛擬內核對經過所述解調解碼后的音頻信號進行解密處理，得到待播放音頻信號。

第二解密子單元7028，用于利用所述安全虛擬內核對經過所述解碼后的視頻信號進行解密處理，得到待播放視頻信號。

在一些可行的實施方式中，對于所述移動終端接收到的音頻信號和視頻信號，所述另一移動終端在對其進行編碼壓縮并發(fā)送之前，為防止在遭受移動通信鏈路的竊聽攻擊時通話內容泄露，先對其進行了上層加密。所述移動終端接收經過上層加密處理的音頻信號和視頻信號，在通過安全虛擬內核解碼之后，還需通過安全虛擬內核對其進行解密處理。

作為一種可行的實施方式，可通過第一解密子單元7027對所述移動終端接收到音頻信號進行解密處理，通過第二解密子單元7028對所述移動終端接收到的視頻信號進行解密處理。

在一些可行的實施方式中，上述輸出單元703可執(zhí)行圖3所示實施例中所描述的輸出單元403所執(zhí)行的實現方式。在本實施例中，所述無線通信連接為視頻通話連接，輸出單元703可具體用于：通過所述安全虛擬內核控制所述移動終端向所述另一移動終端發(fā)送所述待發(fā)送音頻信號和所述待發(fā)送視頻信號；或者，通過所述安全虛擬內核控制所述音頻播放設備播放所述待播放音頻設備，通過所述安全虛擬內核控制所述顯示屏播放所述待播放視頻信號。

在一些可行的實施方式中，為節(jié)省所述移動終端的用戶資費，所述待發(fā)送音頻信號和待發(fā)送視頻信號可通過所述移動終端的無線網絡連接模塊發(fā)送給所述另一移動終端。具體實施中，為了保障安全虛擬內核的安全環(huán)境，無線網絡連接模塊可以在所述移動終端的普通虛擬內核中運行。此時，所述移動終端的安全虛擬內核可將上述待發(fā)送音頻信號和待發(fā)送視頻信號傳輸給普通虛擬內核，并指示普通虛擬內核通過無線網絡連接模塊經互聯網向所述另一移動終端發(fā)送上述待發(fā)送音頻信號和待發(fā)送視頻信號。其中，無線網絡連接模塊可以是WiFi模塊，用于使所述移動終端接入互聯網。

對于接收到的音頻信號和接收到的視頻信號，經過安全虛擬內核的一系列處理，得到待播放音頻信號和待播放視頻信號后，可通過安全虛擬內核控制所 述移動終端的音頻播放設備和顯示屏進行播放。其中所述待播放音頻信號可通過所述移動終端的音頻播放設備(如麥克風)播放，所述待播放視頻信號可通過所述移動終端的顯示屏進行顯示播放。

本發(fā)明實施例中，當移動終端與另一移動終端之間將建立視頻通話連接，且上述視頻通話連接滿足預設的安全處理觸發(fā)條件時，將安全虛擬內核與所述普通虛擬內核之間的共享內存以及錄像設備、錄音設備、音頻播放設備、顯示屏等相關外設設置為禁止普通虛擬內核的程序訪問，并通過安全虛擬內核對所述移動終端錄制的音視頻信號和接收到的音視頻信號進行處理，再利用安全虛擬內核輸出經過處理的通信內容，從而可防止普通虛擬內核運行的操作系統(tǒng)及程序獲取處理前的通信內容，也可防止操作系統(tǒng)通過共享內存或相關外設竊聽通信內容，提高移動終端通信的安全性。

需要說明的是，對于前述的各個方法實施例，為了簡單描述，故將其都表述為一系列的動作組合，但是本領域技術人員應該知悉，本申請并不受所描述的動作順序的限制，因為依據本申請，某一些步驟可以采用其他順序或者同時進行。其次，本領域技術人員也應該知悉，說明書中所描述的實施例均屬于優(yōu)選實施例，所涉及的動作和模塊并不一定是本申請所必須的。

在上述實施例中，對各個實施例的描述都各有側重，某個實施例中沒有詳細描述的部分，可以參見其他實施例的相關描述。

本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程序來指令相關的硬件來完成，該程序可以存儲于一計算機可讀存儲介質中，存儲介質可以包括：閃存盤、只讀存儲器(Read-Only Memory，ROM)、隨機存取器(Random Access Memory，RAM)、磁盤或光盤等。

以上對本申請實施例所提供的移動終端的安全通信方法及移動終端進行了詳細介紹，本文中應用了具體個例對本申請的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本申請的方法及其核心思想；同時，對于本領域的一般技術人員，依據本申請的思想，在具體實施方式及應用范圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本申請的限制。