CN103532938B - 应用数据保护的方法和系统 - Google Patents
应用数据保护的方法和系统 Download PDFInfo
- Publication number
- CN103532938B CN103532938B CN201310456260.5A CN201310456260A CN103532938B CN 103532938 B CN103532938 B CN 103532938B CN 201310456260 A CN201310456260 A CN 201310456260A CN 103532938 B CN103532938 B CN 103532938B
- Authority
- CN
- China
- Prior art keywords
- internal memory
- sub
- service end
- address
- mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000012545 processing Methods 0.000 claims abstract description 50
- 231100000279 safety data Toxicity 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 9
- 238000000151 deposition Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 4
- 230000002093 peripheral effect Effects 0.000 abstract description 4
- 230000001010 compromised effect Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种应用数据保护的方法和系统,涉及通信技术领域,解决了对应用提供软件的保护,骇客可以利用系统漏洞攻击外设和内存来获取用户的私密信息的问题。本发明的方法可以包括:在普通模式下,客户端向服务端发送应用数据处理请求;模式监控器将系统从普通模式切换至安全模式;在安全模式下,服务端根据应用数据处理请求和安全子内存中的数据进行应用数据处理;模式监控器将系统从安全模式切换至普通模式;其中,内存被划分为安全子内存和普通子内存,在普通模式下,普通子内存中的数据允许被访问,在安全模式下,普通子内存中的数据允许被访问,且安全子内存中的数据允许被访问。可应用于应用数据的保护中。
Description
技术领域
本发明涉及通信技术领域,尤其涉及应用数据保护的方法和系统。
背景技术
当前终端系统中,可以通过软件方式对敏感的应用进行保护,并且每个应用的保护需要针对各自防御的重点进行单独设计和实现。
在实现上述应用数据保护的过程中,发明人发现现有技术中至少存在如下问题:对应用提供软件的保护,骇客可以利用系统漏洞攻击外设和内存来获取用户的私密信息,如账号和密码等。
发明内容
本发明的实施例提供一种应用数据保护的方法和系统,能够更好的对应用数据进行保护,更好的避免了应用数据被泄露。
为达到上述目的,本发明的实施例采用如下技术方案:
一方面,提供一种应用数据保护的方法,包括:
在普通模式下,客户端向服务端发送应用数据处理请求;
模式监控器将系统从所述普通模式切换至安全模式;
在所述安全模式下,所述服务端根据所述应用数据处理请求和安全子内存中的数据进行应用数据处理;
所述模式监控器将所述系统从所述安全模式切换至所述普通模式;
其中,所述内存被划分为安全子内存和普通子内存,在所述普通模式下,所述普通子内存中的数据允许被所述服务端访问,在所述安全模式下,所述普通子内存中的数据允许被所述服务端访问,且安全子内存中的数据允许被所述服务端访问。
另一方面,提供一种应用数据保护的系统,包括:
客户端,用于在普通模式下,向服务端发送应用数据处理请求;
所述服务端,用于在所述安全模式下,根据所述应用数据处理请求和安全子内存中的数据进行应用数据处理;
模式监控器,用于在所述客户端向所述服务端发送所述应用数据处理请求之后,将所述系统从所述普通模式切换至安全模式;在根据所述应用数据处理请求进行应用数据处理之后,将所述系统从所述安全模式切换至所述普通模式;
其中,所述内存被划分为安全子内存和普通子内存,在所述普通模式下,所述普通子内存中的数据允许被所述服务端访问,在所述安全模式下,所述普通子内存中的数据允许被所述服务端访问,且安全子内存中的数据允许被所述服务端访问。
本发明实施例提供的应用数据保护的方法和系统,采用上述方案后,在硬件上,将内存划分为普通子内存和安全子内存,在软件上,应用于终端设备中的系统设置了安全模式和普通模式,在安全模式下,系统中的服务端可以对普通子内存和安全子内存中的数据进行访问,在普通模式下,服务端只可以对普通子内存中的数据进行访问。在系统执行安全要求较高的应用的过程中,需要切换至安全模式下执行,这样,可以对系统中执行的对安全要求较高的应用(该与安全要求较高的应用相关的数据可以存储于安全子内存中)提供全方位的保护,即只有在安全模式下执行相应的操作时,安全子内存中的数据才可能被允许访问,又由于该方案是基于硬件的设计,因此杜绝由于软件等因素引起的安全漏洞,安全性比现有技术中仅考虑软件层次的安全保护要可靠。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本实施例提供的一种应用数据保护的方法流程图;
图2为本实施例提供的另一种应用数据保护的方法流程图;
图3为图2所示的方法所应用的系统的硬件方面的结构示意图;
图4为图2所示的方法所应用的系统的软件方面的结构示意图;
图5为本实施例提供的例子的流程示意图;
图6为本实施例提供的例子的流程图;
图7为本实施例提供的一种应用数据保护的系统结构示意图;
图8为本实施例提供的另一种应用数据保护的系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有技术中,对应用提供软件的保护,骇客可以利用系统漏洞攻击外设和内存来获取用户的私密信息,如账号和密码等。
为了解决上述问题,本实施例提供一种应用数据保护的方法,为了可以更清楚的对以下实施例进行理解,首先对实施例所应用的系统进行简单描述,该系统可应用于终端设备中,终端设备可以但不限于包括:手机、电脑、平板电脑等,系统可以但不限于包括:客户端、服务端、模式监控器以及地址控制器等。
其中,客户端是指与服务器相对应,为用户提供本地服务的程序。除了一些只在本地执行的应用程序之外,一般安装在普通的终端上,需要与服务端互相配合运行;服务端是为客户端服务的,服务的内容诸如向客户端提供资源,保存客户端数据等;模式监控器可以用于检测系统当前所述的状态,还可以控制状态的切换;地址控制器可以用于设置内存访问地址,以便服务器根据该访问地址对内存中的相应数据进行访问。
为了可以对安全要求较高的应用数据进行更好的保护,可以将与安全要求较高的应用相关的数据存放至一个内存中较安全的位置,在执行安全要求较高的应用时,该内存中较安全的位置中的数据可能不允许被访问。
具体的,在硬件上,系统中的内存可以被划分为安全子内存和普通子内存,其中,安全子内存中可以存储与安全要求较高的应用相关的数据,普通子内存中可以存储与安全要求较低的应用相关的数据;在软件上,可以为系统设置普通模式和安全模式。
在普通模式下,普通子内存中的任意数据允许被访问,在安全模式下,普通子内存中存储的任意数据允许被访问,且安全子内存中存储的相应的数据允许被访问,其中,安全子内存中可以但不限于存储与安全要求较高的应用相关的数据,换言之,安全要求较高的应用需要在安全模式下执行,安全要求较低的应用可以在普通模式或安全模式下执行。
作为本实施例的一种实施方式,在安全模式下,正在执行安全要求较高的应用,若此时执行的操作不为安全操作时,为了避免安全子内存中存储的数据不被泄露,安全子内存中存储的相应的数据可能不允许被访问。
如图1所示,本实施例提供的应用数据保护的方法可以包括:
101、在普通模式下,客户端向服务端发送应用数据处理请求。
在服务端执行相应的应用之前,客户端可以根据用户输入的指令向服务端发送应用数据处理请求,以便服务端执行相应的应用,由于客户端向服务端发送应用数据处理请求时并未执行该应用,因此可能不需要访问安全子内存中存储的数据,则该步骤可以在普通模式下执行。
值得说明的是,本实施例中提供的应用数据处理请求可以用于请求执行安全要求较高的应用,与安全要求较高的应用相关的数据可以存储于安全子内存中。
102、模式监控器将系统从普通模式切换至安全模式。
由于,在客户端向服务端发送应用数据处理请求之后,服务端执行相应的应用时,可能会访问与该应用相关的数据,即可能需要访问安全子内存中相应的数据,因此,在客户端向服务端发送应用数据处理请求之后,模式监控器可以将系统从普通模式切换至安全模式。
103、在安全模式下,服务端根据应用数据处理请求和安全子内存中的数据进行应用数据处理。
104、模式监控器将系统从安全模式切换至普通模式。
采用上述方案后,在硬件上,将内存划分为普通子内存和安全子内存,在软件上,应用于终端设备中的系统设置了安全模式和普通模式,在安全模式下,系统中的服务端可以对普通子内存和安全子内存中的数据进行访问,在普通模式下,服务端只可以对普通子内存中的数据进行访问。在系统执行安全要求较高的应用的过程中,需要切换至安全模式下执行,这样,可以对系统中执行的对安全要求较高的应用(该与安全要求较高的应用相关的数据可以存储于安全子内存中)提供全方位的保护,即只有在安全模式下执行相应的操作时,安全子内存中的数据才可能被允许访问,又由于该方案是基于硬件的设计,因此杜绝由于软件等因素引起的安全漏洞,安全性比现有技术中仅考虑软件层次的安全保护要可靠。
现有技术中,通常对应用提供软件的保护,软件的保护具有差异性,面对不同的安全风险,不同的开发者需要针对不同的安全风险来分别设计软件来进行安全防护,这样,不仅浪费人力,而且随着时间的变化,安全威胁还会不断变化,如果软件的设计者稍微考虑的不够全面,都会导致之前的工作变得毫无用处。
为了解决上述问题和现有技术中的问题,本实施例提供另一种应用数据保护的方法,该方法是对图1所示的方法的进一步扩展和优化,如图2所示,具体可以包括:
201、在普通模式下,客户端向服务端发送应用数据处理请求。
在服务端执行相应的应用之前,客户端可以根据用户输入的指令向服务端发送应用数据处理请求,以便服务端执行相应的应用,由于客户端向服务端发送应用数据处理请求时并未执行该应用,因此可能不需要访问安全子内存中存储的数据,则该步骤可以在普通模式下执行。
值得说明的是,本实施例中提供的应用数据处理请求可以用于请求执行安全要求较高的应用,与安全要求较高的应用相关的数据可以存储于安全子内存中。
202、模式监控器判断客户端是否已向服务端发送了应用数据处理请求,若是,则执行步骤203,若否,则执行步骤202。
模式监控器可以对客户端进行监控,可以根据客户端执行的相应操作对系统的模式进行设置,即模式监控器可以监控客户端是否已向服务端发送了应用数据处理请求。
本实施例对模式监控器对客户端进行监控的方法不作限定,为本领域技术人员熟知的技术,且可以根据实际需要进行设定,在此不再赘述。
203、模式监控器将系统从普通模式切换至安全模式。
由于,在客户端向服务端发送应用数据处理请求之后,服务端执行相应的应用时,可能需要访问与该应用相关的数据,即可能需要访问安全子内存中相应的数据,因此,在客户端向服务端发送应用数据处理请求之后,模式监控器可以将系统从普通模式切换至安全模式。
204、在安全模式下,服务端根据应用数据处理请求和安全子内存中的数据进行应用数据处理。
在服务端根据应用数据处理请求进行应用数据处理时,服务端可能需要访问与该应用相关的数据,为了避免安全子内存中的数据被泄露,则可以在安全模式下执行本步骤,具体的,可以为只有在执行安全操作时,才允许安全子内存中的数据被访问,安全操作可以但不限于包括:已注册的操作或在执行可靠的操作。
例如,在用户执行付款操作(即执行相应的付款应用)过程中,当输入相应的账户名称、支付密码以及登陆密码等私密信息(此操作为安全操作)时,需要在安全模式下进行,以便该付款应用相关的私密数据(如,可以但不限于包括账户名称、支付密码以及登陆密码等私密信息)不被泄露,其中,与付款应用相关数据可以被存储于安全子内存中。
进一步的,在安全模式下,系统可以通过地址控制器设置相应的访问地址,以便服务端根据该访问地址对普通子内存和安全子内存中的相应数据进行访问。
如图3所示,在所述模式监控器将系统从所述普通模式切换至安全模式之后,且在安全模式下,模式监控器(可以包括外设和CPU(Central ProcessingUnit,中央处理器)等)向地址控制器发送安全模式通知;地址控制器根据当前待处理操作设置第一访问地址,所述第一访问地址包括如下地址中至少一项:所述安全子内存的地址、普通子内存的地址;将所述第一访问地址发送至所述服务端;服务端根据第一访问地址对普通子内存或安全子内存中的数据进行访问。
进一步的,地址控制器根据当前待处理操作设置第一访问地址可以包括:
判断待处理操作是否为安全操作;
若是,则设置第一访问地址,所述第一访问地址包括如下地址中至少一项:所述安全子内存的地址、普通子内存的地址,此时,服务端根据该第一访问地址可以访问普通子内存和安全子内存中的相应数据;
若否,则设置第一访问地址,所述第一访问地址包括普通子内存的地址,此时,服务端根据该第一访问地址可以访问普通子内存中的相应数据。
这样,在安全模式下,若执行的操作不为安全操作,则安全子内存中的数据不被允许访问,此时服务端只可以访问普通子内存中的数据,进而避免了安全子内存中的数据的被泄露。
其中,图3所示的安全应用1数据、安全应用2数据为安全子内存中存储的分别与安全应用1和安全应用2相关的数据,普通应用1数据、普通应用2数据为普通子内存中存储的分别与普通应用1和普通应用2相关的数据。
205、模式监控器判断客户端是否已接收服务端发送的应用数据处理响应。若是,则执行步骤206,若否,则执行步骤205。
其中,应用数据处理响应可以用于表征服务端已根据应用数据处理请求进行了应用数据处理。
模式监控器可以对客户端进行监控,可以根据客户端执行的相应操作对系统的模式进行设置,即模式监控器可以监控客户端是否已接收服务端发送的应用数据处理响应。
206、模式监控器将系统从安全模式切换至普通模式。
由于,在服务端对应用数据处理完成之后,可能不需要访问与该应用相关的数据(即可能不再需要访问安全子内存中相应的数据),因此,在服务端对应用数据处理完成之后,模式监控器可以将系统从安全模式切换至普通模式。
进一步的,如图3所示,在模式监控器将系统从安全模式切换至普通模式之后,且在普通模式下,模式监控器向地址控制器发送普通模式通知;地址控制器根据当前待处理操作设置第二访问地址,所述第二访问地址包括普通子内存的地址;将所述第二访问地址发送至所述服务端;服务端根据所述第二访问地址对所述普通子内存中的数据进行访问,此时服务端只可以访问普通子内存中的数据。
如图4所示,为本实施例提供的软件结构示意图。在普通模式下,客户端可以与安全API(Application Programming Interface,应用程序编程接口)、安全API库进行数据交互,并可以通过安全驱动(即驱动层)与服务端进行数据交互;在安全模式下,服务端、服务端API、键盘驱动、NFC(Near FieldCommunication,近距离无线通讯)、显示驱动、驱动API可以执行相应的操作,内核可以指示模式监控器切换系统模式,另外,在安全模式下,还可以包括Secure boot(安全启动模组)。
采用上述方案后,在硬件上,将内存划分为普通子内存和安全子内存,在软件上,应用于终端设备中的系统设置了安全模式和普通模式,在安全模式下,系统中的服务端可以对普通子内存和安全子内存中的数据进行访问,在普通模式下,服务端只可以对普通子内存中的数据进行访问。在系统执行安全要求较高的应用的过程中,需要切换至安全模式下执行,这样,可以对系统中执行的对安全要求较高的应用(该与安全要求较高的应用相关的数据可以存储于安全子内存中)提供全方位的保护,即只有在安全模式下执行相应的操作时,安全子内存中的数据才可能被允许访问。另外,程序设计者不需要单独对应用程序做处理就可以运行在一个安全的环境中,这样节省了软件开发中安全方面的投入。又由于该方案是基于硬件的设计,因此杜绝由于软件等因素引起的安全漏洞,安全性比现有技术中仅考虑软件层次的安全保护要可靠。
为了可以更好的对上述实施例进行理解,下面提供一个具体的例子进行简单说明。
以下以通过NFC技术支付的过程为例进行说明,图5为该例子的流程示意图,图6为该例子的流程图,具体可以包括:
1、在普通模式下(即图5中的“普通”),用户点击桌面的付款应用对应的图标,并向服务端发送付款应用请求;
2、在普通模式下,在模式监视器监控到客户端已发送付款应用请求后,将系统切换到安全模式;
3、在安全模式下,用户通过NFC技术得到结算消费账单,即开始执行支付应用,与支付应用相关的数据存储于安全子内存中;
4、在安全模式下,用户在支付界面输入用户名和密码;
5、在安全模式下,用户点击确认支付,由于步骤4和5为安全操作,因此允许服务端访问安全子内存;
6、在安全模式下,获取安全子内存中存储的用户名和密码,并与用户输入的用户名和密码进行比对,判断是否相同,若相同,则执行步骤7,若不同,则支付失败,执行步骤8;
7、在安全模式下,服务端根据消费账单和安全子内存中的数据进行账单结算,支付成功;
8、在安全模式下,如果支付成功,则执行步骤9,否则返回失败信息,执行步骤4;
9、在安全模式下,用户点击确认支付;
10、支付完成,用户退出支付程序,同时在模式监视器检测到服务端已对付款应用处理完成后,将系统切换到普通模式。
下面提供一下系统实施例,该系统实施例分别与上述提供的相应的方法实施例相对应。
本实施例提供一种应用数据保护的系统,如图7所示,可以包括:
客户端71,用于在普通模式下,向服务端发送应用数据处理请求;
服务端72,用于在安全模式下,根据应用数据处理请求和安全子内存中的数据进行应用数据处理;
模式监控器73,用于在客户端向服务端发送应用数据处理请求之后,将系统从普通模式切换至安全模式;在根据应用数据处理请求进行应用数据处理之后,将系统从安全模式切换至普通模式;
其中,所述内存被划分为安全子内存和普通子内存,在所述服务端72根据所述应用数据处理请求进行应用数据处理的过程中,在所述普通模式下,所述普通子内存中的数据允许被所述服务端72访问,在所述安全模式下,所述普通子内存中的数据允许被所述服务端72访问,且安全子内存中的数据允许被所述服务端72访问。
采用上述方案后,在硬件上,将内存划分为普通子内存和安全子内存,在软件上,应用于终端设备中的系统设置了安全模式和普通模式,在安全模式下,系统中的服务端可以对普通子内存和安全子内存中的数据进行访问,在普通模式下,服务端只可以对普通子内存中的数据进行访问。在系统执行安全要求较高的应用的过程中,需要切换至安全模式下执行,这样,可以对系统中执行的对安全要求较高的应用(该与安全要求较高的应用相关的数据可以存储于安全子内存中)提供全方位的保护,即只有在安全模式下执行相应的操作时,安全子内存中的数据才可能被允许访问,又由于该方案是基于硬件的设计,因此杜绝由于软件等因素引起的安全漏洞,安全性比现有技术中仅考虑软件层次的安全保护要可靠。
本实施例提供另一种应用数据保护的系统,该系统是对图6所示的系统的进一步扩展和优化,如图8所示,可以包括:
客户端81,用于在普通模式下,向服务端发送应用数据处理请求;
服务端82,用于在安全模式下,根据应用数据处理请求和安全子内存中的数据进行应用数据处理;
模式监控器83,用于在客户端向服务端发送应用数据处理请求之后,将系统从普通模式切换至安全模式;在根据应用数据处理请求进行应用数据处理之后,将系统从安全模式切换至普通模式;
其中,所述内存被划分为安全子内存和普通子内存,在所述服务端根据所述应用数据处理请求进行应用数据处理的过程中,在所述普通模式下,所述普通子内存中的数据允许被所述服务端访问,在所述安全模式下,所述普通子内存中的数据允许被所述服务端访问,且安全子内存中的数据允许被所述服务端访问
进一步的,所述模式监控器83,具体用于判断所述客户端是否已向所述服务端发送了所述应用数据处理请求;若是,则将所述系统从所述普通模式切换至所述安全模式;
所述模式监控器83,具体用于判断所述客户端是否已接收所述服务端发送的应用数据处理响应,所述应用数据处理响应用于表征所述服务端已根据所述应用数据处理请求进行了应用数据处理;若是,则将所述系统从所述安全模式切换至所述普通模式。
进一步的,本实施例提供的应用数据保护的系统还可以包括:地址控制器84;
所述模式监控器83,还用于在所述模式监控器将系统从所述普通模式切换至安全模式之后,在所述安全模式下,向所述地址控制器发送安全模式通知;
所述地址控制器84,用于根据当前待处理操作设置第一访问地址,所述第一访问地址包括如下地址中至少一项:所述安全子内存的地址、普通子内存的地址;将所述第一访问地址发送至所述服务端;
所述服务端82,用于根据所述第一访问地址对所述普通子内存或所述安全子内存中的数据进行访问。
进一步的,所述地址控制器84,具体用于判断待处理操作是否为安全操作;若是,则设置第一访问地址,所述第一访问地址包括如下地址中至少一项:所述安全子内存的地址、普通子内存的地址;若否,则设置第一访问地址,所述第一访问地址包括普通子内存的地址。
进一步的,模式监控器83,还用于在所述模式监控器将所述系统从所述安全模式切换至所述普通模式之后,在普通模式下,向地址控制器发送普通模式通知;
地址控制器84,用于根据当前待处理操作设置第二访问地址,所述第二访问地址包括普通子内存的地址;将所述第二访问地址发送至所述服务端;
所述服务端82,用于根据所述第二访问地址对所述普通子内存中的数据进行访问。
采用上述方案后,在硬件上,将内存划分为普通子内存和安全子内存,在软件上,应用于终端设备中的系统设置了安全模式和普通模式,在安全模式下,系统中的服务端可以对普通子内存和安全子内存中的数据进行访问,在普通模式下,服务端只可以对普通子内存中的数据进行访问。在系统执行安全要求较高的应用的过程中,需要切换至安全模式下执行,这样,可以对系统中执行的对安全要求较高的应用(该与安全要求较高的应用相关的数据可以存储于安全子内存中)提供全方位的保护,即只有在安全模式下执行相应的操作时,安全子内存中的数据才可能被允许访问。另外,程序设计者不需要单独对应用程序做处理就可以运行在一个安全的环境中,这样节省了软件开发中安全方面的投入。又由于该方案是基于硬件的设计,因此杜绝由于软件等因素引起的安全漏洞,安全性比现有技术中仅考虑软件层次的安全保护要可靠。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务端,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (8)
1.一种应用数据保护的方法,其特征在于,包括:
在普通模式下,客户端向服务端发送应用数据处理请求;
模式监控器将系统从所述普通模式切换至安全模式;
在所述安全模式下,所述服务端根据所述应用数据处理请求和安全子内存中的数据进行应用数据处理;
所述模式监控器将所述系统从所述安全模式切换至所述普通模式;
其中,所述内存被划分为安全子内存和普通子内存,在所述普通模式下,所述普通子内存中的数据允许被所述服务端访问,在所述安全模式下,所述普通子内存中的数据允许被所述服务端访问,且安全子内存中的数据允许被所述服务端访问;
所述模式监控器将系统从所述普通模式切换至安全模式,包括:
所述模式监控器判断所述客户端是否已向所述服务端发送了所述应用数据处理请求;
若是,则将所述系统从所述普通模式切换至所述安全模式;
所述模式监控器将所述系统从所述安全模式切换至所述普通模式,包括:
所述模式监控器判断所述客户端是否已接收所述服务端发送的应用数据处理响应,所述应用数据处理响应用于表征所述服务端已根据所述应用数据处理请求进行了应用数据处理;
若是,则将所述系统从所述安全模式切换至所述普通模式。
2.根据权利要求1所述的应用数据保护的方法,其特征在于,在所述模式监控器将系统从所述普通模式切换至安全模式之后,所述方法还包括:
在所述安全模式下,所述模式监控器向地址控制器发送安全模式通知;
所述地址控制器根据当前待处理操作设置第一访问地址,所述第一访问地址包括如下地址中至少一项:所述安全子内存的地址、普通子内存的地址;
将所述第一访问地址发送至所述服务端;
所述服务端根据所述应用数据处理请求和安全子内存中的数据进行应用数据处理,包括:
所述服务端根据所述第一访问地址对所述普通子内存或所述安全子内存中的数据进行访问。
3.根据权利要求2所述的应用数据保护的方法,其特征在于,所述地址控制器根据当前待处理操作设置第一访问地址,包括:
判断待处理操作是否为安全操作;
若是,则设置第一访问地址,所述第一访问地址包括如下地址中至少一项:所述安全子内存的地址、普通子内存的地址;
若否,则设置第一访问地址,所述第一访问地址包括普通子内存的地址。
4.根据权利要求1所述的应用数据保护的方法,其特征在于,在所述模式监控器将所述系统从所述安全模式切换至所述普通模式之后,所述方法还包括:
在所述普通模式下,所述模式监控器向地址控制器发送普通模式通知;
所述地址控制器根据当前待处理操作设置第二访问地址,所述第二访问地址包括普通子内存的地址;
将所述第二访问地址发送至所述服务端;
所述服务端根据所述应用数据处理请求和安全子内存中的数据进行应用数据处理,包括:
所述服务端根据所述第二访问地址对所述普通子内存中的数据进行访问。
5.一种应用数据保护的系统,其特征在于,包括:
客户端,用于在普通模式下,向服务端发送应用数据处理请求;
所述服务端,用于在安全模式下,根据所述应用数据处理请求和安全子内存中的数据进行应用数据处理;
模式监控器,用于在所述客户端向所述服务端发送所述应用数据处理请求之后,将所述系统从所述普通模式切换至安全模式;在根据所述应用数据处理请求进行应用数据处理之后,将所述系统从所述安全模式切换至所述普通模式;
其中,所述内存被划分为安全子内存和普通子内存,在所述普通模式下,所述普通子内存中的数据允许被所述服务端访问,在所述安全模式下,所述普通子内存中的数据允许被所述服务端访问,且安全子内存中的数据允许被所述服务端访问;
所述模式监控器,具体用于判断所述客户端是否已向所述服务端发送了所述应用数据处理请求;若是,则将所述系统从所述普通模式切换至所述安全模式;
所述模式监控器,具体用于判断所述客户端是否已接收所述服务端发送的应用数据处理响应,所述应用数据处理响应用于表征所述服务端已根据所述应用数据处理请求进行了应用数据处理;若是,则将所述系统从所述安全模式切换至所述普通模式。
6.根据权利要求5所述的应用数据保护的系统,其特征在于,所述系统还包括:地址控制器;
所述模式监控器,还用于在所述模式监控器将系统从所述普通模式切换至安全模式之后,在所述安全模式下,向所述地址控制器发送安全模式通知;
所述地址控制器,用于根据当前待处理操作设置第一访问地址,所述第一访问地址包括如下地址中至少一项:所述安全子内存的地址、普通子内存的地址;将所述第一访问地址发送至所述服务端;
所述服务端,用于根据所述第一访问地址对所述普通子内存或所述安全子内存中的数据进行访问。
7.根据权利要求6所述的应用数据保护的系统,其特征在于,所述地址控制器,具体用于判断待处理操作是否为安全操作;若是,则设置第一访问地址,所述第一访问地址包括如下地址中至少一项:所述安全子内存的地址、普通子内存的地址;若否,则设置第一访问地址,所述第一访问地址包括普通子内存的地址。
8.根据权利要求5所述的应用数据保护的系统,其特征在于,所述系统还包括:地址控制器;
所述模式监控器,还用于在所述模式监控器将所述系统从所述安全模式切换至所述普通模式之后,在所述普通模式下,向所述地址控制器发送普通模式通知;
所述地址控制器,用于根据当前待处理操作设置第二访问地址,所述第二访问地址包括普通子内存的地址;将所述第二访问地址发送至所述服务端;
所述服务端,用于根据所述第二访问地址对所述普通子内存中的数据进行访问。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310456260.5A CN103532938B (zh) | 2013-09-29 | 2013-09-29 | 应用数据保护的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310456260.5A CN103532938B (zh) | 2013-09-29 | 2013-09-29 | 应用数据保护的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103532938A CN103532938A (zh) | 2014-01-22 |
CN103532938B true CN103532938B (zh) | 2016-09-21 |
Family
ID=49934618
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310456260.5A Active CN103532938B (zh) | 2013-09-29 | 2013-09-29 | 应用数据保护的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103532938B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103475577B (zh) * | 2013-09-29 | 2017-02-08 | 小米科技有限责任公司 | 一种获得特征信息的方法、装置及网络设备 |
US10554760B2 (en) | 2013-09-29 | 2020-02-04 | Xiaomi Inc. | Method and networking equipment for acquiring feature information |
KR101952226B1 (ko) | 2014-08-21 | 2019-02-26 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 보안 인터렉션 방법 및 장치 |
CN105868651A (zh) * | 2015-01-19 | 2016-08-17 | 中兴通讯股份有限公司 | 工作模式配置方法及装置 |
CN105631275B (zh) * | 2015-04-15 | 2018-12-25 | 宇龙计算机通信科技(深圳)有限公司 | 信息显示方法、信息显示装置和终端 |
CN105243341A (zh) * | 2015-06-05 | 2016-01-13 | 深圳金澜汉源科技有限公司 | 信息安全电子设备和应用架构 |
CN107292148A (zh) * | 2016-03-31 | 2017-10-24 | 宇龙计算机通信科技(深圳)有限公司 | 一种工作模式切换方法及用户终端 |
CN106844064B (zh) * | 2017-01-13 | 2020-09-08 | 北京安云世纪科技有限公司 | 应用消息事件控制方法、装置及移动终端 |
CN109409105B (zh) * | 2018-09-30 | 2022-09-23 | 联想(北京)有限公司 | 一种切换方法、处理器及电子设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102804153A (zh) * | 2010-02-17 | 2012-11-28 | Arm有限公司 | 在安全与非安全存储器区域内存储安全模式页表数据 |
CN103123708A (zh) * | 2011-08-23 | 2013-05-29 | 宏达国际电子股份有限公司 | 安全支付方法、移动装置及安全支付系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8925055B2 (en) * | 2011-12-07 | 2014-12-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Device using secure processing zone to establish trust for digital rights management |
-
2013
- 2013-09-29 CN CN201310456260.5A patent/CN103532938B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102804153A (zh) * | 2010-02-17 | 2012-11-28 | Arm有限公司 | 在安全与非安全存储器区域内存储安全模式页表数据 |
CN103123708A (zh) * | 2011-08-23 | 2013-05-29 | 宏达国际电子股份有限公司 | 安全支付方法、移动装置及安全支付系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103532938A (zh) | 2014-01-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103532938B (zh) | 应用数据保护的方法和系统 | |
US10630643B2 (en) | Dual memory introspection for securing multiple network endpoints | |
US9600320B2 (en) | Mitigation of virtual machine security breaches | |
US9058492B1 (en) | Techniques for reducing executable code vulnerability | |
EP2446354B1 (en) | Controlling usage in virtualized mobile devices | |
US10735434B2 (en) | Configuration management for virtual machine environment | |
EP2446356B1 (en) | Migrating functionality in virtualized mobile devices | |
EP2446355B1 (en) | Virtualized mobile devices | |
US8233882B2 (en) | Providing security in mobile devices via a virtualization software layer | |
US20140053226A1 (en) | Self-adaptive and proactive virtual machine images adjustment to environmental security risks in a cloud environment | |
WO2018174990A1 (en) | Automatic detection of software that performs unauthorized privilege escalation | |
CN102402620A (zh) | 一种恶意网页防御方法和系统 | |
EP1889082A2 (en) | Methods and systems for repairing applications | |
US20180247055A1 (en) | Methods for protecting a host device from untrusted applications by sandboxing | |
WO2004031925A1 (en) | Computer model of security risks | |
Bing | Analysis and research of system security based on android | |
CN102215254A (zh) | 安全提供用户对计算机设备远程管理许可的会话密钥信息 | |
CN106096450A (zh) | 一种应用程序冻结方法及移动终端 | |
US20130042297A1 (en) | Method and apparatus for providing secure software execution environment based on domain separation | |
US20190394234A1 (en) | On-device network protection | |
CN107343279A (zh) | 网络连接方法、装置、终端设备及存储介质 | |
Heiser | Secure embedded systems need microkernels | |
KR102286512B1 (ko) | 클라우드 기반 앱 보안 서비스 방법 | |
Hamad et al. | A secure sharing control framework supporting elastic mobile cloud computing | |
US20210089658A1 (en) | Systems and methods for evaluating data access signature of third-party applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |