CN103401864A - 终端和安全登录方法 - Google Patents
终端和安全登录方法 Download PDFInfo
- Publication number
- CN103401864A CN103401864A CN2013103265809A CN201310326580A CN103401864A CN 103401864 A CN103401864 A CN 103401864A CN 2013103265809 A CN2013103265809 A CN 2013103265809A CN 201310326580 A CN201310326580 A CN 201310326580A CN 103401864 A CN103401864 A CN 103401864A
- Authority
- CN
- China
- Prior art keywords
- processing unit
- private data
- login
- terminal
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明提供了一种终端,包括:第一处理单元,用于对私密数据进行处理;第二处理单元,用于对非私密数据进行处理;第一存储单元,用于存储第一处理单元处理后的私密数据;第二存储单元,用于存储第二处理单元处理后的非私密数据;通信单元,用于实现数据收发;其中,第一处理单元在接收到第二处理单元发送的登录请求时,从第二处理单元获取对通信单元的控制权限,并根据登录请求中包含的登录信息,完成登录过程。本发明还提出了一种安全登录方法。通过本发明的技术方案,可以使得终端内的私密数据和非私密数据在物理上被隔离存储,并且通过对处理权限的转移,确保在用户登录的过程中,也严格实现对私密数据和非私密数据的隔离,提升终端的安全性。
Description
技术领域
本发明涉及数据安全技术领域,具体而言,涉及一种终端和一种安全登录方法。
背景技术
在相关技术中,大部分终端都仅配置单个处理器,所有的数据都由该处理器进行处理,则其中的私密数据很容易被终端内的某些第三方应用程序窃取,特别是当这些应用程序来自一些别有用心的黑客或个人信息贩卖者的时候,将导致终端内的用户信息等私密数据处于极为不安全的状态下。也存在一部分终端中配置有多个处理器,但这些处理器都侧重于如何协助工作,以获得更快的处理速度。
因此,如何对终端中包含的私密数据和非私密数据进行有效隔离,尤其是对于用户登录等同时涉及到私密数据和非私密数据的处理过程,如何确保私密数据的安全性,成为目前亟待解决的技术问题。
发明内容
本发明正是基于上述问题,提出了一种新的技术方案,可以使得终端内的私密数据和非私密数据在物理上被隔离存储,并且通过对处理权限的转移,确保在用户登录的过程中,也严格实现对私密数据和非私密数据的隔离,提升终端的安全性。
有鉴于此,本发明提出了一种终端,包括:第一处理单元,用于对所述终端内的私密数据进行处理;第二处理单元,用于对所述终端内的非私密数据进行处理;第一存储单元,用于对所述第一处理单元处理后的所述私密数据进行存储;第二存储单元,用于对所述第二处理单元处理后的所述非私密数据进行存储;通信单元,用于实现所述第一处理单元和所述第二处理单元的数据收发;其中,所述第一处理单元在接收到所述第二处理单元发送的登录请求时,从所述第二处理单元获取对所述通信单元的控制权限,并根据所述登录请求中包含的或所述第二处理单元单独发送的登录信息,完成登录过程。
在该技术方案中,通过第一处理单元来处理私密数据、第二处理单元来处理非私密数据,使得私密数据和非私密数据之间得以在物理上被有效隔离,从而避免在终端中仅使用单个处理器时,仅通过权限上的破解等就可轻易使得任意应用程序从该单个处理器中获取私密数据。
通过第一存储单元来存储第一处理单元处理的私密数据、第二存储单元来存储第二处理单元处理的非私密数据,使得私密数据和非私密数据在存储和调用的时候,也实现物理上的隔离,从而得到更好的数据安全效果。
特别地,该技术方案中,第一处理单元只需要获取第二处理单元提供的登录信息,结合对通信单元的权限获取和调用,就能够实现对第二处理单元涉及到的登录过程的处理,而不需要执行对具体的应用程序的调用。
而通过对通信单元的控制权限的调整,使得第一处理单元在对登录过程进行处理时,避免第二处理单元对其中涉及到的私密数据的获取或窃取,使其无法通过通信单元截取到收发数据,确保了终端的安全性。
通过对登录过程进行监测,并当第二处理单元涉及到登录过程时,及时交由第一处理单元进行处理,使得在任意时刻下,即便是私密数据和非私密数据难以在一开始就被分别处理,也能够在处理的过程中,及时将两者隔离,避免第二处理单元对私密数据(比如登录过程中使用的用户账号、密码等信息)的调用和处理,有效提升了终端的安全性。
在上述技术方案中,优选地,所述第一处理单元还用于:利用所述第一存储单元中存储的历史鉴权信息,完成所述登录过程。
在该技术方案中,通过将历史鉴权信息存储在第一存储单元中,使其仅能够被第一处理单元进行直接调用,而无法被第二处理单元直接调用,从而确保了历史鉴权信息的安全性。而即便第二处理单元希望对历史鉴权信息进行调用时,也会被第一处理单元监测到,从而做出相应的处理,比如拒绝调用和/或发出警报。
在上述技术方案中,优选地,还包括:外部设备,用于与所述第一处理单元和所述第二处理单元进行数据交互;以及所述第一处理单元还用于:在接收到所述登录请求时,从所述第二处理单元获取对所述外部设备的控制权限,接收用户通过指定的外部设备输入的实时鉴权信息,并根据所述实时鉴权信息和所述登录信息,完成所述登录过程。
在该技术方案中,当需要用户实时输入鉴权信息时,该输入过程需要借用具体的外部设备,比如触摸屏或按键等,则通过对这些外部设备的控制权限的获取,使得输入的实时鉴权信息能够被第一处理单元直接获取,而第二处理单元则无法直接获取,确保了输入的实时鉴权信息的安全性。
在上述技术方案中,优选地,所述第二处理单元还用于:在检测到当前界面中包含有登录窗口时,向所述第一处理单元发送所述登录请求。
在该技术方案中,第二处理单元通过对用户界面中是否包含有登录窗口进行检测,从而当发现包含有登录窗口时,则用户极可能执行登录操作,因而及时交由第一处理单元进行处理,确保私密数据的安全性。
在上述技术方案中,优选地,所述第二处理单元还用于:在检测到当前界面中包含有登录窗口,且检测到用户对所述登录窗口中的信息录入框执行指定操作时,向所述第一处理单元发送所述登录请求。
在该技术方案中,有些界面中的登录窗口需要单独点击后,才会显示出来,则当界面中包含登录窗口时,就可以判定用户需要进行登录操作;而有些界面中一直包含登录窗口,则用户可能并不真正需要进行登录操作,而第一处理单元是用于处理私密数据的(私密数据的数据量往往小于非私密数据的数据量),处理能力可能不如第二处理单元,因而可能导致用户的体验下降,比如界面卡顿等。因此,通过对用户是否对信息录入框操作来判断,有助于得到更为准确的判断结果。
本发明还提出了一种安全登录方法,包括:通过第一处理单元对终端内的私密数据进行处理,并通过第一存储单元对所述第一处理单元处理后的所述私密数据进行存储;通过第二处理单元对所述终端内的非私密数据进行处理,并通过第二存储单元对所述第二处理单元处理后的所述非私密数据进行存储;通过通信单元实现所述第一处理单元和所述第二处理单元的数据收发;其中,所述第一处理单元在接收到所述第二处理单元发送的登录请求时,从所述第二处理单元获取对所述通信单元的控制权限,并根据所述登录请求中包含的或所述第二处理单元单独发送的登录信息,完成登录过程。
在该技术方案中,通过第一处理单元来处理私密数据、第二处理单元来处理非私密数据,使得私密数据和非私密数据之间得以在物理上被有效隔离,从而避免在终端中仅使用单个处理器时,仅通过权限上的破解等就可轻易使得任意应用程序从该单个处理器中获取私密数据。
通过第一存储单元来存储第一处理单元处理的私密数据、第二存储单元来存储第二处理单元处理的非私密数据,使得私密数据和非私密数据在存储和调用的时候,也实现物理上的隔离,从而得到更好的数据安全效果。
特别地,该技术方案中,第一处理单元只需要获取第二处理单元提供的登录信息,结合对通信单元的权限获取和调用,就能够实现对第二处理单元涉及到的登录过程的处理,而不需要执行对具体的应用程序的调用。
而通过对通信单元的控制权限的调整,使得第一处理单元在对登录过程进行处理时,避免第二处理单元对其中涉及到的私密数据的获取或窃取,使其无法通过通信单元截取到收发数据,确保了终端的安全性。
通过对登录过程进行监测,并当第二处理单元涉及到登录过程时,及时交由第一处理单元进行处理,使得在任意时刻下,即便是私密数据和非私密数据难以在一开始就被分别处理,也能够在处理的过程中,及时将两者隔离,避免第二处理单元对私密数据(比如登录过程中使用的用户账号、密码等信息)的调用和处理,有效提升了终端的安全性。
在上述技术方案中,优选地,还包括:所述第一处理单元利用所述第一存储单元中存储的历史鉴权信息,完成所述登录过程。
在该技术方案中,通过将历史鉴权信息存储在第一存储单元中,使其仅能够被第一处理单元进行直接调用,而无法被第二处理单元直接调用,从而确保了历史鉴权信息的安全性。而即便第二处理单元希望对历史鉴权信息进行调用时,也会被第一处理单元监测到,从而做出相应的处理,比如拒绝调用和/或发出警报。
在上述技术方案中,优选地,所述安全登录方法还包括:所述第一处理单元在接收到所述登录请求时,从所述第二处理单元获取对所述外部设备的控制权限,接收用户通过指定的外部设备输入的实时鉴权信息,并根据所述实时鉴权信息和所述登录信息,完成所述登录过程。
在该技术方案中,当需要用户实时输入鉴权信息时,该输入过程需要借用具体的外部设备,比如触摸屏或按键等,则通过对这些外部设备的控制权限的获取,使得输入的实时鉴权信息能够被第一处理单元直接获取,而第二处理单元则无法直接获取,确保了输入的实时鉴权信息的安全性。
在上述技术方案中,优选地,还包括:所述第二处理单元在检测到当前界面中包含有登录窗口时,向所述第一处理单元发送所述登录请求。
在该技术方案中,第二处理单元通过对用户界面中是否包含有登录窗口进行检测,从而当发现包含有登录窗口时,则用户极可能执行登录操作,因而及时交由第一处理单元进行处理,确保私密数据的安全性。
在上述技术方案中,优选地,还包括:所述第二处理单元在检测到当前界面中包含有登录窗口,且检测到用户对所述登录窗口中的信息录入框执行指定操作时,向所述第一处理单元发送所述登录请求。
在该技术方案中,有些界面中的登录窗口需要单独点击后,才会显示出来,则当界面中包含登录窗口时,就可以判定用户需要进行登录操作;而有些界面中一直包含登录窗口,则用户可能并不真正需要进行登录操作,而第一处理单元是用于处理私密数据的(私密数据的数据量往往小于非私密数据的数据量),处理能力可能不如第二处理单元,因而可能导致用户的体验下降,比如界面卡顿等。因此,通过对用户是否对信息录入框操作来判断,有助于得到更为准确的判断结果。
通过以上技术方案,可以使得终端内的私密数据和非私密数据在物理上被隔离存储,并且通过对处理权限的转移,确保在用户登录的过程中,也严格实现对私密数据和非私密数据的隔离,提升终端的安全性。
附图说明
图1示出了根据本发明的一个实施例的终端的框图;
图2示出了根据本发明的另一个实施例的终端的框图;
图3为图1或图2所示实施例的终端在执行登录操作时的具体流程图;
图4示出了根据本发明的实施例的安全登录方法的流程图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了根据本发明的一个实施例的终端的框图;图2示出了根据本发明的另一个实施例的终端的框图。
如图1和图2所示,根据本发明的一个实施例的终端,包括:CPU1,用于对所述终端内的私密数据进行处理;CPU2,用于对所述终端内的非私密数据进行处理;第一存储单元,用于对所述CPU1处理后的所述私密数据进行存储;第二存储单元,用于对所述CPU2处理后的所述非私密数据进行存储;通信单元,用于实现所述CPU1和所述CPU2的数据收发;其中,所述CPU1在接收到所述CPU2发送的登录请求时,从所述CPU2获取对所述通信单元的控制权限,并根据所述登录请求中包含的或所述CPU2单独发送的登录信息,完成登录过程。
在该技术方案中,通过CPU1来处理私密数据、CPU2来处理非私密数据,使得私密数据和非私密数据之间得以在物理上被有效隔离,从而避免在终端中仅使用单个处理器时,仅通过权限上的破解等就可轻易使得任意应用程序从该单个处理器中获取私密数据。
CPU1和CPU2可以共用存储空间,即RAM、EMMC等,然而为了防止恶意应用程序从共享的存储空间中获取私密数据,比如在图1和图2中,CPU1使用了第一存储单元(即RAM1和EMMC1等),而CPU2则使用了第二存储单元(即RAM2和EMMC2等),可以物理地将CPU1和CPU2使用的存储空间相分隔离。由于CPU1和CPU2在物理上使用相分离的存储装置,使得私密数据和非私密数据在处理和存储的时候,都实现物理上的隔离,从而得到更好的数据安全效果。
通过第一存储单元来存储CPU1处理的私密数据、第二存储单元来存储CPU2处理的非私密数据,使得私密数据和非私密数据在存储和调用的时候,也实现物理上的隔离,从而得到更好的数据安全效果。
特别地,该技术方案中,CPU1只需要获取CPU2提供的登录信息,结合对通信单元的权限获取和调用,就能够实现对CPU2涉及到的登录过程的处理,而不需要执行对具体的应用程序的调用。
而通过对通信单元的控制权限的调整,使得CPU1在对登录过程进行处理时,避免CPU2对其中涉及到的私密数据的获取或窃取,使其无法通过通信单元截取到收发数据,确保了终端的安全性。
通过对登录过程进行监测,并当CPU2涉及到登录过程时,及时交由CPU1进行处理,使得在任意时刻下,即便是私密数据和非私密数据难以在一开始就被分别处理,也能够在处理的过程中,及时将两者隔离,避免CPU2对私密数据(比如登录过程中使用的用户账号、密码等信息)的调用和处理,有效提升了终端的安全性。
具体地,对于私密数据和非私密数据,可以由厂商来预设,也可以由用户根据自己的实际情况来确定。譬如一种情况下,可以将与某些应用程序相关联的数据都作为私密数据或非私密数据,比如将与“通讯录”、“通话记录”、“短信息”、“邮件”等应用程序相关的数据,不论读取还是写入,都算作私密数据,或将与某个游戏应用相关的数据,都作为非私密数据;譬如另一种情况下,可以将某个类型的数据作为私密数据或非私密数据,比如将与网上银行的交互数据都作为私密数据,而将软件的更新包数据作为非私密数据等,还可以包含其他的区分方式,此处不进行一一列举。
当CPU1对当前登录操作进行处理时,往往需要用到用户的个人鉴权信息,比如账号、密码等,则此时具体可以分为多种情况:
实施方式一
第一存储单元中存储有用户先前输入的历史鉴权信息,则CPU1可以通过对该历史鉴权信息的调用,从而完成对当前登录操作的处理过程。
实施方式二
用户实时输入鉴权信息。当用户输入鉴权信息时,需要使用终端中包含的具体的硬件设备,比如触摸屏、按键等。在图1和图2所示的终端的结构中,将包含上述硬件设备的部分称为外部设备102。具体地,外部设备102可以包括图1和图2没有具体标示出来的:显示屏(比如LCD,Liquid Crystal Display,液晶显示器)、触摸屏(TW:Touch Window)、照相机(CAMERA)、按键(KEY)、用于无线移动通信的通信模块、传感器(SENSOR)、WIFI(Wireless Fidelity,无线局域网)模块、蓝牙(BT,Bluetooth)模块、GPS(Global Position System,全球定位系统)模块、NFC(Near field Communication,近场通信)模块、音频编解码器(AUDIO CODEC)等。
1)如图1所示,外部设备102仅与CPU1相连接,当CPU2希望与外部设备102进行交互时,需要经过CPU1的控制和监测。例如:由CPU1进行数据转发,或由CPU1在分别用于连接至外部设备102和CPU2的端口之间,建立数据传输通道,或由CPU1在所述端口之间建立DMA传输通道等。
在上述情况下,当CPU1需要经由外部设备102获取用户实时输入的鉴权信息时,需要获取对外部设备102的控制权限,并切断CPU2与外部设备102的连接和使用权限,从而使得鉴权信息仅由CPU1获取,而CPU2则无法直接获取,确保了鉴权信息的安全性。
2)如图2所示,外部设备102同时连接至CPU1和CPU2,则当CPU1需要通过外部设备102获取用户实时输入的鉴权信息时,需要向CPU2发送权限获取请求,使得CPU2主动切断与外部设备102的连接和使用权限,并由CPU1获取对外部设备120的控制权限,从而使得鉴权信息仅由CPU1获取,而CPU2则无法直接获取,确保了鉴权信息的安全性。
实施方式三
在网络侧存在与CPU1相关联的网络存储空间,在该网络存储空间中,存储有用户的鉴权信息。当CPU1需要获取用户的鉴权信息时,则具体可以分为下述多种情况:
1)如图1所示,终端内仅存在通信模块1,且通信模块1仅与CPU1相连接。因此,CPU1通过该通信模块1,向网络存储空间发送鉴权信息的获取请求,并通过通信模块1获取具体的鉴权信息。
由于终端内仅存在通信模块1,且该通信模块1仅连接至CPU1,因而所有数据收发都必须要经过CPU1,则确保CPU2无法直接获取具体的收发数据,从而无法获取网络存储空间中存储的鉴权信息。即便CPU2伪装成CPU1向网络存储空间发送鉴权信息的获取请求,则返回的鉴权信息,也会在第一时间被CPU1获取和检测,并在发现其为私密数据时,拒绝交由CPU2进行处理。
2)如图2所示,终端内存在分别连接至CPU1的通信模块1和连接至CPU2的通信模块2。当CPU1需要从网络存储空间内获取鉴权信息时,可以在发送的获取请求中,添加CPU1与网络存储空间协商的验证密钥,则CPU2在无法获取该验证密钥的情况下,将无法请求获取鉴权信息。
为了进一步增强安全性,CPU1可以定时与网络存储空间协商新的密钥。
本申请的技术方案中,还涉及对当前界面中是否需要执行登录操作的判断过程,下面具体描述其中的几种判断方式:
1)CPU2在执行用户界面的交互过程中,检测用户界面中是否包含有登录窗口。当CPU2检测到当前界面中包含有登录窗口时,就确定用户需要进行登录操作,并向CPU1发送登录请求。
由于界面中包含登录窗口时,用户极可能执行登录操作,因而在用户真正执行登录操作之前,就执行了预判断,避免用户执行过程中再进行CPU的切换时,可能带来的界面卡顿等现象,并且及时的权限转移,有利于确保私密数据的安全性。
2)CPU2在执行用户界面的交互过程中,检测用户界面中是否包含有登录窗口。当CPU2检测到当前界面中包含有登录窗口时,进一步判断用户是否针对该登录窗口内的信息录入框进行操作,若检测到了相关的操作,比如用户点击信息录入框,则确定用户需要进行登录操作,并向CPU1发送登录请求。
由于在实际操作中,有些界面中的登录窗口需要单独点击后,才会显示出来,则当界面中包含登录窗口时,就可以判定用户需要进行登录操作,这适用于上述情况1);而有些界面中一直包含登录窗口,则用户可能并不真正需要进行登录操作,而CPU1是用于处理私密数据的(私密数据的数据量往往小于非私密数据的数据量),处理能力可能不如CPU2,因而可能导致用户的体验下降,比如界面卡顿等。因此,通过对用户是否对信息录入框操作来判断,有助于得到更为准确的判断结果。
为了更容易理解本申请的技术方案,下面结合图3,以具体的登录操作为例,对其具体的处理流程进行说明。
如图3所示,基于本发明的登录操作处理流程包括:
步骤302,CPU2检测到用户的操作,触发具体的登录操作。具体地,比如判断当前界面中包含登录窗口,或用户点击了登录窗口中的某个信息录入框。
步骤304,CPU2向CPU1发送登录请求,其中包含具体的登录信息,比如该登录操作来自哪个应用程序、需要连接的服务器等。
步骤306,CPU1接收到CPU2发送的登录请求,以及其中的登录信息。
当然,CPU2除了将登录信息直接添加在登录请求中,还可以将两者分开,分两次发送。比如首先发送登录请求,然后再发送登录信息。
步骤308,CPU1获取鉴权信息。具体地,该鉴权信息可以从第一存储单元或对应于CPU1的网络存储空间中获取用户的历史鉴权信息,也可以接收用户实时输入的鉴权信息。
步骤310,CPU1执行具体的登录操作。比如将鉴权信息发送至相应的服务器中进行鉴权操作。
步骤312,若登录成功,则进入步骤314,若登录失败,则进入步骤316。
步骤314,CPU1向CPU2发送登录成功信息。
步骤316,确定是否需要重试,若需要,则返回步骤310,若不需要,则进入步骤318。
步骤318,CPU1向CPU2发送登录失败信息。
步骤320,CPU2获取CPU1返回的登录结果。
步骤322,根据登录结果确定是否登录成功,若登录结果为登录成功信息,则登录成功,并进入步骤324,若登录结果为登录失败信息,则登录失败,并进入步骤326。
步骤324,CPU2调用相应的用户界面,并跳转到登录成功后的页面。
步骤326,确定是否需要重试,若需要,则返回步骤304,若不需要,则进入步骤328。
步骤328,CPU2调用相应的用户界面,并跳转到登录失败后的页面。
下面结合更为具体的实施例进行说明。
比如浏览器为非私密应用,安装于处理非私密业务的处理器CPU2对应的第二存储器中,由CPU2来执行浏览器应用相关操作。
用户运行浏览器应用,输入新浪微博的网址进入新浪微博页面,当检测到用户点击用户名的输入框时,CPU2将当前页面中的登录信息发给CPU1并将触摸屏、显示屏等外设及Modem(通信模块)的使用权将给CPU1。
CPU1接管触摸屏等的使用权后,记录用户输入的用户名、密码及是否下次自动登录等信息,当用户点击了登录按钮后,通过Modem向新浪微博服务器提交登录信息。
新浪微博服务器接收发自终端的登录信息并进行验证,将验证结果返回给终端。
终端的Modem接收到验证信息后交给CPU1进行处理,当登录结果为成功,则CPU1将登录成功信息发送给CPU2,并将触摸屏、显示屏及Modem等的使用权交还给CPU2。
CPU2通过Modem从新浪微博服务器接收登录成功页面的数据进行显示,并根据用户的操作与新浪微博服务器进行交互。
图4示出了根据本发明的实施例的安全登录方法的流程图。
如图4所示,根据本发明的实施例的安全登录方法,包括:步骤402,通过第一处理单元对终端内的私密数据进行处理,并通过第一存储单元对所述第一处理单元处理后的所述私密数据进行存储;通过第二处理单元对所述终端内的非私密数据进行处理,并通过第二存储单元对所述第二处理单元处理后的所述非私密数据进行存储;通过通信单元实现所述第一处理单元和所述第二处理单元的数据收发;其中,所述第一处理单元在接收到所述第二处理单元发送的登录请求时,从所述第二处理单元获取对所述通信单元的控制权限,并根据所述登录请求中包含的或所述第二处理单元单独发送的登录信息,完成登录过程。
在该技术方案中,通过第一处理单元来处理私密数据、第二处理单元来处理非私密数据,使得私密数据和非私密数据之间得以在物理上被有效隔离,从而避免在终端中仅使用单个处理器时,仅通过权限上的破解等就可轻易使得任意应用程序从该单个处理器中获取私密数据。
通过第一存储单元来存储第一处理单元处理的私密数据、第二存储单元来存储第二处理单元处理的非私密数据,使得私密数据和非私密数据在存储和调用的时候,也实现物理上的隔离,从而得到更好的数据安全效果。
特别地,该技术方案中,第一处理单元只需要获取第二处理单元提供的登录信息,结合对通信单元的权限获取和调用,就能够实现对第二处理单元涉及到的登录过程的处理,而不需要执行对具体的应用程序的调用。
而通过对通信单元的控制权限的调整,使得第一处理单元在对登录过程进行处理时,避免第二处理单元对其中涉及到的私密数据的获取或窃取,使其无法通过通信单元截取到收发数据,确保了终端的安全性。
通过对登录过程进行监测,并当第二处理单元涉及到登录过程时,及时交由第一处理单元进行处理,使得在任意时刻下,即便是私密数据和非私密数据难以在一开始就被分别处理,也能够在处理的过程中,及时将两者隔离,避免第二处理单元对私密数据(比如登录过程中使用的用户账号、密码等信息)的调用和处理,有效提升了终端的安全性。
在上述技术方案中,优选地,还包括:所述第一处理单元利用所述第一存储单元中存储的历史鉴权信息,完成所述登录过程。
在该技术方案中,通过将历史鉴权信息存储在第一存储单元中,使其仅能够被第一处理单元进行直接调用,而无法被第二处理单元直接调用,从而确保了历史鉴权信息的安全性。而即便第二处理单元希望对历史鉴权信息进行调用时,也会被第一处理单元监测到,从而做出相应的处理,比如拒绝调用和/或发出警报。
在上述技术方案中,优选地,所述安全登录方法还包括:所述第一处理单元在接收到所述登录请求时,从所述第二处理单元获取对所述外部设备的控制权限,接收用户通过指定的外部设备输入的实时鉴权信息,并根据所述实时鉴权信息和所述登录信息,完成所述登录过程。
在该技术方案中,当需要用户实时输入鉴权信息时,该输入过程需要借用具体的外部设备,比如触摸屏或按键等,则通过对这些外部设备的控制权限的获取,使得输入的实时鉴权信息能够被第一处理单元直接获取,而第二处理单元则无法直接获取,确保了输入的实时鉴权信息的安全性。
在上述技术方案中,优选地,还包括:所述第二处理单元在检测到当前界面中包含有登录窗口时,向所述第一处理单元发送所述登录请求。
在该技术方案中,第二处理单元通过对用户界面中是否包含有登录窗口进行检测,从而当发现包含有登录窗口时,则用户极可能执行登录操作,因而及时交由第一处理单元进行处理,确保私密数据的安全性。
在上述技术方案中,优选地,还包括:所述第二处理单元在检测到当前界面中包含有登录窗口,且检测到用户对所述登录窗口中的信息录入框执行指定操作时,向所述第一处理单元发送所述登录请求。
在该技术方案中,有些界面中的登录窗口需要单独点击后,才会显示出来,则当界面中包含登录窗口时,就可以判定用户需要进行登录操作;而有些界面中一直包含登录窗口,则用户可能并不真正需要进行登录操作,而第一处理单元是用于处理私密数据的(私密数据的数据量往往小于非私密数据的数据量),处理能力可能不如第二处理单元,因而可能导致用户的体验下降,比如界面卡顿等。因此,通过对用户是否对信息录入框操作来判断,有助于得到更为准确的判断结果。
以上结合附图详细说明了本发明的技术方案,本发明提出了一种终端和一种安全登录方法,可以使得终端内的私密数据和非私密数据在物理上被隔离存储,并且通过对处理权限的转移,确保在用户登录的过程中,也严格实现对私密数据和非私密数据的隔离,提升终端的安全性。
在本发明中,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性。术语“多个”指两个或两个以上,除非另有明确的限定。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种终端,其特征在于,包括:
第一处理单元,用于对所述终端内的私密数据进行处理;
第二处理单元,用于对所述终端内的非私密数据进行处理;
第一存储单元,用于对所述第一处理单元处理后的所述私密数据进行存储;
第二存储单元,用于对所述第二处理单元处理后的所述非私密数据进行存储;
通信单元,用于实现所述第一处理单元和所述第二处理单元的数据收发;
其中,所述第一处理单元在接收到所述第二处理单元发送的登录请求时,从所述第二处理单元获取对所述通信单元的控制权限,并根据所述登录请求中包含的或所述第二处理单元单独发送的登录信息,完成登录过程。
2.根据权利要求1所述的终端,其特征在于,所述第一处理单元还用于:利用所述第一存储单元中存储的历史鉴权信息,完成所述登录过程。
3.根据权利要求1所述的终端,其特征在于,还包括:外部设备,用于与所述第一处理单元和所述第二处理单元进行数据交互;以及
所述第一处理单元还用于:在接收到所述登录请求时,从所述第二处理单元获取对所述外部设备的控制权限,接收用户通过指定的外部设备输入的实时鉴权信息,并根据所述实时鉴权信息和所述登录信息,完成所述登录过程。
4.根据权利要求1至3中任一项所述的终端,其特征在于,所述第二处理单元还用于:在检测到当前界面中包含有登录窗口时,向所述第一处理单元发送所述登录请求。
5.根据权利要求4所述的终端,其特征在于,所述第二处理单元还用于:在检测到当前界面中包含有登录窗口,且检测到用户对所述登录窗口中的信息录入框执行指定操作时,向所述第一处理单元发送所述登录请求。
6.一种安全登录方法,其特征在于,包括:
通过第一处理单元对终端内的私密数据进行处理,并通过第一存储单元对所述第一处理单元处理后的所述私密数据进行存储;
通过第二处理单元对所述终端内的非私密数据进行处理,并通过第二存储单元对所述第二处理单元处理后的所述非私密数据进行存储;
通过通信单元实现所述第一处理单元和所述第二处理单元的数据收发;
其中,所述第一处理单元在接收到所述第二处理单元发送的登录请求时,从所述第二处理单元获取对所述通信单元的控制权限,并根据所述登录请求中包含的或所述第二处理单元单独发送的登录信息,完成登录过程。
7.根据权利要求6所述的安全登录方法,其特征在于,还包括:
所述第一处理单元利用所述第一存储单元中存储的历史鉴权信息,完成所述登录过程。
8.根据权利要求6所述的安全登录方法,其特征在于,所述安全登录方法还包括:
所述第一处理单元在接收到所述登录请求时,从所述第二处理单元获取对所述外部设备的控制权限,接收用户通过指定的外部设备输入的实时鉴权信息,并根据所述实时鉴权信息和所述登录信息,完成所述登录过程。
9.根据权利要求6至8中任一项所述的安全登录方法,其特征在于,还包括:
所述第二处理单元在检测到当前界面中包含有登录窗口时,向所述第一处理单元发送所述登录请求。
10.根据权利要求9所述的安全登录方法,其特征在于,还包括:
所述第二处理单元在检测到当前界面中包含有登录窗口,且检测到用户对所述登录窗口中的信息录入框执行指定操作时,向所述第一处理单元发送所述登录请求。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013103265809A CN103401864A (zh) | 2013-07-30 | 2013-07-30 | 终端和安全登录方法 |
| PCT/CN2013/084358 WO2015014016A1 (zh) | 2013-07-30 | 2013-09-26 | 数据处理方法和数据处理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013103265809A CN103401864A (zh) | 2013-07-30 | 2013-07-30 | 终端和安全登录方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103401864A true CN103401864A (zh) | 2013-11-20 |
Family
ID=49565390
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013103265809A Pending CN103401864A (zh) | 2013-07-30 | 2013-07-30 | 终端和安全登录方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103401864A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030055966A1 (en) * | 2001-09-14 | 2003-03-20 | Fujitsu Limited | Information processing system |
| CN101506815A (zh) * | 2006-08-17 | 2009-08-12 | 爱特梅尔公司 | 用于安全系统的双处理器结构 |
| CN101894242A (zh) * | 2010-06-22 | 2010-11-24 | 上海华御信息技术有限公司 | 移动电子设备信息安全保护系统及方法 |
| CN102647809A (zh) * | 2011-02-16 | 2012-08-22 | 深圳市证通金信科技有限公司 | 在移动通信终端内植入pboc数据处理模块的方法 |
| CN202939611U (zh) * | 2012-09-24 | 2013-05-15 | 甘肃省电力公司信息通信公司 | 内外网物理隔离计算机主机 |
| CN202995741U (zh) * | 2012-09-24 | 2013-06-12 | 甘肃省电力公司信息通信公司 | 内外网物理隔离计算机 |
-
2013
- 2013-07-30 CN CN2013103265809A patent/CN103401864A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030055966A1 (en) * | 2001-09-14 | 2003-03-20 | Fujitsu Limited | Information processing system |
| CN101506815A (zh) * | 2006-08-17 | 2009-08-12 | 爱特梅尔公司 | 用于安全系统的双处理器结构 |
| CN101894242A (zh) * | 2010-06-22 | 2010-11-24 | 上海华御信息技术有限公司 | 移动电子设备信息安全保护系统及方法 |
| CN102647809A (zh) * | 2011-02-16 | 2012-08-22 | 深圳市证通金信科技有限公司 | 在移动通信终端内植入pboc数据处理模块的方法 |
| CN202939611U (zh) * | 2012-09-24 | 2013-05-15 | 甘肃省电力公司信息通信公司 | 内外网物理隔离计算机主机 |
| CN202995741U (zh) * | 2012-09-24 | 2013-06-12 | 甘肃省电力公司信息通信公司 | 内外网物理隔离计算机 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3198789B1 (en) | Securely pairing computing devices | |
| US9602492B2 (en) | Privacy enhanced key management for a web service provider using a converged security engine | |
| EP3123660B1 (en) | Method and apparatus for supporting login through user terminal | |
| EP2836957B1 (en) | Location-based access control for portable electronic device | |
| US20160066184A1 (en) | Pairing Computing Devices According To A Multi-Level Security Protocol | |
| WO2013135107A1 (zh) | 密码控制方法、装置及系统 | |
| JP5981035B2 (ja) | ハードウェアによるアクセス保護 | |
| CN103400081B (zh) | 终端和用户界面的显示控制方法 | |
| US9459937B2 (en) | Method for using shared device in apparatus capable of operating two operating systems | |
| EP3132621B1 (en) | Mobile terminal control method, apparatus and system | |
| CN105491019A (zh) | 便携式终端及其控制方法 | |
| US20230379403A1 (en) | Video kiosk inmate assistance system | |
| CN105325021B (zh) | 用于远程便携式无线设备认证的方法和装置 | |
| WO2009094213A1 (en) | Secure platform management device | |
| KR101368755B1 (ko) | 스마트폰을 이용한 항만 및 선박용 컨테이너 관리 시스템 및 방법 | |
| CN103402199A (zh) | 终端和安全的数据处理方法 | |
| WO2016115833A1 (zh) | 数据处理装置和数据处理方法 | |
| CN104125066B (zh) | 用于网络上的应用的安全认证的方法和系统 | |
| CN103401864A (zh) | 终端和安全登录方法 | |
| KR101365889B1 (ko) | 이동통신 단말기의 모바일 네트워크 보안 방법, 시스템 및 그 프로그램을 기록한 기록매체 | |
| CN103390142B (zh) | 一种终端 | |
| CN103440437A (zh) | 终端和用户界面的显示控制方法 | |
| JP2016051430A (ja) | 認証システム、及びその認証システムに用いられる画像形成装置 | |
| JP5693619B2 (ja) | 通信制御装置及び方法、ネットワークシステム | |
| CN103401865A (zh) | 终端和数据传输方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20131120 |