CN103593619A - 应用数据保护的方法和系统 - Google Patents
应用数据保护的方法和系统 Download PDFInfo
- Publication number
- CN103593619A CN103593619A CN201310565707.2A CN201310565707A CN103593619A CN 103593619 A CN103593619 A CN 103593619A CN 201310565707 A CN201310565707 A CN 201310565707A CN 103593619 A CN103593619 A CN 103593619A
- Authority
- CN
- China
- Prior art keywords
- application
- communication module
- common
- operational order
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Abstract
本发明公开了一种应用数据保护的方法和系统,涉及通信技术领域,解决了实现对安全应用数据进行保护的实用性较低的问题。本发明的方法具体可以包括:当终端根据用户的操作指令确定运行安全应用时,终端从与通信模块连接的第一存储器中获取安全应用程序和安全应用数据,终端包括通信模块;在通信模块上运行安全应用程序,并处理安全应用数据;当终端根据用户的操作指令确定运行普通应用时,终端从与应用处理器连接的第二存储器中获取普通应用程序和普通应用数据,终端还包括应用处理器;在应用处理器上运行普通应用程序,并处理普通应用数据。可应用于保护应用数据中。
Description
技术领域
本发明涉及通信技术领域,尤其涉及应用数据保护的方法和系统。
背景技术
目前,智能手机可下载安装的应用多达数十万,但有些软件平台缺乏下载的安全管控,导致在某些应用中隐藏了不少的非法应用,该非法应用可以窃取用户数据、密码、耗费用户话费等。
为了防止非法应用的侵害进而可以使安全应用得到保护,现有技术中提供了以下两种方案:
方案1:以ARM处理器的TrustZone为基础的“安全运行环境”技术,可以在安全运行环境运行安全应用;
方案2:物理上隔绝的方案,即采用双CPU(Central Processing Unit,中央处理器),每个CPU配备独立的存储器、通信模块,普通应用运行在一个CPU上,安全应用运行在另一个CPU上,两者完全独立。
在实现上述保护应用数据的过程中,发明人发现现有技术中至少存在如下问题:方案1,普通应用的数据与安全应用的数据存储在同一存储区域中,若在执行普通应用需要对该存储区域进行访问时,安全应用数据可能被访问到,导致安全应用数据可能被损坏或泄露;方案2,设置双CPU的成本较高、架构改动大、实用性低。
发明内容
本发明的实施例提供一种应用数据保护的方法和系统,在不增加成本的情况下,实现了对安全应用数据的保护,增加了安全应用数据的安全性,且实用性较高。
为达到上述目的,本发明的实施例采用如下技术方案:
一方面,提供了一种应用数据保护的方法,包括:
当终端根据用户的操作指令确定运行安全应用时,所述终端从与通信模块连接的第一存储器中获取安全应用程序和安全应用数据,所述终端包括所述通信模块;
在所述通信模块上运行所述安全应用程序,并处理所述安全应用数据;
当所述终端根据用户的操作指令确定运行普通应用时,所述终端从与应用处理器连接的第二存储器中获取普通应用程序和普通应用数据,所述终端还包括所述应用处理器;
在所述应用处理器上运行所述普通应用程序,并处理所述普通应用数据。
另一方面,提供了一种应用数据保护的系统,包括:
通信模块,用于当终端根据用户的操作指令确定运行安全应用时,从与通信模块连接的第一存储器中获取安全应用程序和安全应用数据;在所述通信模块上运行所述安全应用程序,并处理所述安全应用数据;
应用处理器,用于当所述终端根据用户的操作指令确定运行普通应用时,从与应用处理器连接的第二存储器中获取普通应用程序和普通应用数据;在所述应用处理器上运行所述普通应用程序,并处理所述普通应用数据。
本发明实施例提供的应用数据保护的方法和系统,采用上述方案后,当终端根据用户的操作指令确定运行安全应用时,所述终端从与通信模块连接的第一存储器中获取安全应用程序和安全应用数据,所述终端包括所述通信模块;在所述通信模块上运行所述安全应用程序,并处理所述安全应用数据;当所述终端根据用户的操作指令确定运行普通应用时,所述终端从与应用处理器连接的第二存储器中获取普通应用程序和普通应用数据,所述终端还包括所述应用处理器;在所述应用处理器上运行所述普通应用程序,并处理所述普通应用数据。由于,安全应用程序和安全应用数据存储在第一存储器中,普通应用程序和普通应用数据存储在第二存储中,且安全应用与普通应用分别运行在通信模块和应用处理器中,因此,实现了安全应用与普通应用的隔离,避免了在执行普通应用时,安全应用程序和安全应用数据被泄露或损坏,增加了安全性;另外,在上述方案中,由于是基于现有技术的终端架构进行实现的,因此,增加了实用性,且避免了成本的增加。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为执行本实施例提供的应用数据保护的方法的终端的结构示意图;
图2为本实施例提供的一种应用数据保护的方法的流程图;
图3为本实施例提供的另一种应用数据保护的方法的流程图;
图4a为本实施例提供的一种执行图3所示的方法的终端的结构示意图;
图4b为本实施例提供的另一种执行图3所示的方法的终端的结构示意图;
图5为本实施例提供的再一种执行图3所示的方法的终端的结构示意图;
图6为本实施例提供的一种应用数据保护的系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了防止非法应用的侵害进而可以使安全应用得到保护,现有技术中提供了背景技术中所述的两种方案。但是该两种方案存在如下问题:
方案1,普通应用的数据与安全应用的数据存储在同一存储区域中,若在执行普通应用需要对该存储区域进行访问时,安全应用数据可能被访问到,导致安全应用数据可能被损坏或泄露;
方案2,设置双CPU的成本较高、架构改动大、实用性低。
为了解决上述问题,本实施例提供一种应用数据保护的方法,该方法的执行主体可以为终端,其中,终端可以但不限于为手机、或其他可以与网络进行通信的设备。
为了可以更清楚的对以下实施例进行理解,首先对终端的系统架构进行简单描述。
如图1所示,终端可以包括:应用处理器(Application processor,AP)、通信模块(MODEM)以及显示器,该显示器的屏幕可以为触摸屏或非触摸屏。应用处理器与通信模块之间可以通过普通应用数据通道传输通信数据,其中,通信数据可以为通信模块与基站进行通信时传输的数据,另外,应用处理器与通信模块之间还可以通过安全应用数据通道传输安全验证界面显示信息、安全应用界面显示信息、安全应用操作指令等;本实施例中,应用操作系统运行在应用处理器上,安全应用程序和安全应用数据存储于与通信模块连接的第一存储器中,普通应用程序和普通应用数据存储于与应用处理器连接的第二存储器中;应用处理器可以通过触摸屏显示器或通过输入设备接收用户输入的操作指令,若用户的操作指令为普通应用操作指令,则应用处理器根据接收到的普通应用操作指令在应用处理器上运行普通应用程序,并处理普通应用数据,若用户的操作指令为安全应用操作指令,则应用处理器可以通过安全应用数据通道向通信模块发送安全应用操作指令,通信模块根据接收到的安全应用操作指令在通信模块上运行安全应用程序,并处理安全应用数据。
如图2所示,本实施例提供的应用数据保护的方法可以包括:
201、当终端根据用户的操作指令确定运行安全应用时,所述终端从与通信模块连接的第一存储器中获取安全应用程序和安全应用数据。
其中,所述终端可以包括所述通信模块。
通信模块可以但不限于与第一存储器建立了连接,第一存储器可以但不限于独立于通信模块,或者,第一存储器可以但不限于设置于通信模块中,第一存储器可以但不限于用于存储安全应用程序和安全应用数据,安全应用程序可以用于支持通信模块运行安全应用,安全应用数据可以是在运行安全应用时生成的数据。
202、在所述通信模块上运行所述安全应用程序,并处理所述安全应用数据。
本实施例对在所述通信模块上运行所述安全应用程序和处理所述安全应用数据的方法不作限定,为本领域技术人员熟知的技术,在此不再赘述。
203、当所述终端根据用户的操作指令确定运行普通应用时,所述终端从与应用处理器连接的第二存储器中获取普通应用程序和普通应用数据。
其中,所述终端还可以包括所述应用处理器。
应用处理器可以但不限于与第二存储器建立了连接,第二存储器可以但不限于用于存储普通应用程序和普通应用数据,普通应用程序可以用于支持应用处理器运行普通应用,普通应用数据可以是在运行普通应用时生成的数据。
204、在所述应用处理器上运行所述普通应用程序,并处理所述普通应用数据。
本实施例对在所述应用处理器上运行所述普通应用程序和处理所述普通应用数据的方法不作限定,为本领域技术人员熟知的技术,在此不再赘述。
步骤201、202还可以执行于步骤203、204之前或之后,可以根据实际需要进行设定,在此不再赘述。如,终端可以先运行普通应用程序,再运行安全应用程序,或者,还可以先运行安全应用程序,再运行普通应用程序,或者,还可以安全应用程序与普通应用程序同时运行。
采用上述方案后,当终端根据用户的操作指令确定运行安全应用时,所述终端从与通信模块连接的第一存储器中获取安全应用程序和安全应用数据,所述终端包括所述通信模块;在所述通信模块上运行所述安全应用程序,并处理所述安全应用数据;当所述终端根据用户的操作指令确定运行普通应用时,所述终端从与应用处理器连接的第二存储器中获取普通应用程序和普通应用数据,所述终端还包括所述应用处理器;在所述应用处理器上运行所述普通应用程序,并处理所述普通应用数据。由于,安全应用程序和安全应用数据存储在第一存储器中,普通应用程序和普通应用数据存储在第二存储中,且安全应用与普通应用分别运行在通信模块和应用处理器中,因此,实现了安全应用与普通应用的隔离,避免了在执行普通应用时,安全应用程序和安全应用数据被泄露或损坏,增加了安全性;另外,在上述方案中,由于是基于现有技术的终端架构进行实现的,因此,增加了实用性,且避免了成本的增加。
本实施例提供另一种应用数据保护的方法,该方法是对图2所示的方法的进一步扩展和优化,如图3所示,可以包括:
301、在所述终端启动运行时,通过所述通信模块运行安全验证应用程序,并通过所述应用处理器将安全验证的界面显示信息发送至显示器进行显示。
本实施例中,安全应用可以为对安全要求较高的应用,如网络支付应用等,普通应用可以为对安全要求较低的应用。
为了保证可以在安全环境下运行所述安全应用程序并处理所述安全应用数据,即在该安全环境下可以但不限于能够保证安全应用程序和安全应用数据不被泄露或损坏,则需要在终端启动运行时对验证信息进行验证,若验证所述验证信息正确,则说明当前环境为安全环境,若验证所述验证信息错误,则说明当前环境可能不为安全环境。
作为本实施例的一种实施方式,通信模块可以运行安全验证应用程序,生成安全验证界面显示信息,并将该安全验证界面显示信息通过安全应用数据通道发送至应用处理器;当终端启动运行时,应用处理器将安全验证界面显示信息发送至显示器进行显示,以便用户输入相应的验证信息。
302、通过所述应用处理器接收用户输入的验证信息。
作为本实施例的一种实施方式,若终端的显示器屏幕为触摸屏,则终端可以通过触摸屏显示器输入验证信息,应用处理器接收该验证信息;另外,终端还可以包括键盘,且键盘可以与应用处理器相连接,用户还可以通过键盘输入验证信息,应用处理器接收该验证信息。
本实施例对用户输入验证信息的方法不作限定,为本领域技术人员熟知的技术,且可以根据实际需要进行设定,在此不再赘述。
303、通过所述通信模块验证所述验证信息是否正确。
其中,所述验证信息是所述应用处理器发送至所述通信模块后由通信模块进行验证的。
作为本实施例的一种实施方式,通过所述通信模块验证所述验证信息是否正确的方法可以包括:
如图1所示,终端可以将预设验证信息存储于第一存储器中,在终端启动运行时,通信模块可以通过安全应用数据通道将安全验证界面显示信息发送至应用处理器,应用处理器将安全验证界面显示信息发送至显示器进行显示,用户可以通过输入设备或触摸屏显示器输入验证信息,如可以包括:用户名、密码等,应用处理器接收用户输入的验证信息,并将该验证信息发送至通信模块,通信模块可以验证接收到的验证信息是否与存储的预设验证信息相同,若是,则验证成功,并向应用处理器发送验证成功消息,以便后续运行相应的应用,反之,则验证错误,向应用处理器发送验证错误消息。
若通信模块验证验证信息正确,则可以运行安全应用程序、处理安全应用数据,还可以运行普通应用程序、处理普通应用数据等;若通信模块验证验证信息错误,则可以禁止运行安全应用程序并禁止处理安全应用数据,或不对任何应用执行操作。这样,由于不对安全应用执行相应操作,因此,安全应用程序和安全应用数据不会被访问,进而不会被泄露或损坏。运行普通应用程序和处理普通应用数据的方法可以参见步骤307和步骤308,在此不再赘述。
304、若验证所述验证信息正确,则通过所述应用处理器接收所述用户发送的操作指令。若用户的操作指令为安全应用操作指令,则执行步骤305,若用户的操作指令为普通应用操作指令,则执行步骤307。
作为本实施例的一种实施方式,若终端的显示器屏幕为触摸屏,则终端可以通过触摸屏显示器输入操作指令,应用处理器接收用户输入的操作指令;另外,终端还可以包括键盘,且键盘可以与应用处理器相连接,用户还可以通过键盘输入操作指令,应用处理器接收用户输入的操作指令。
本实施例对用户输入用户操作指令的方法不作限定,为本领域技术人员熟知的技术,且可以根据实际需要进行设定,在此不再赘述。
305、当终端根据用户的操作指令确定运行安全应用时,所述终端从与通信模块连接的第一存储器中获取安全应用程序和安全应用数据。
其中,所述终端包括所述通信模块。
作为本实施例的一种实施方式,应用处理器在接收到用户输入的安全应用操作指令后,通过安全应用数据通道向通信模块发送安全应用操作指令,通信模块根据安全应用操作指令从第一存储器中获取所需安全应用程序和安全应用数据。
例如,安全应用操作指令用于指示开启安全应用,则通信模块从第一存储器中获取与开启安全应用相关的程序和数据,然后可以根据获取到的程序和数据在通信模块上对安全应用执行开启操作。
本实施例对获取安全应用程序和安全应用数据的方法不作限定,为本领域技术人员熟知的技术,且可以根据实际需要进行设定,在此不再赘述。
306、在所述通信模块上运行所述安全应用程序,并处理所述安全应用数据。
本实施例对在所述通信模块上运行所述安全应用程序和处理所述安全应用数据的方法不作限定,为本领域技术人员熟知的技术,且可以根据实际需要进行设定,在此不再赘述。
当通信模块根据安全应用操作指令运行安全应用完成后,可以生成运行完成后的安全应用界面显示信息,并通过安全应用数据通道将生成的安全应用界面显示信息发送至应用处理器中,以便应用处理器可以将接收到的安全应用界面显示信息发送至显示器进行显示,这样,用户可以通过显示器查看到安全应用当前的运行界面,可以根据显示的界面继续输入相应安全应用操作指令。
进一步的,显示器显示安全应用显示界面可以包括:
应用处理器可以通过所述图形处理单元(Graphic Processing Unit,GPU)的第二显示通道向所述显示器发送安全应用界面显示信息。
具体的,如图4a所示,终端还可以包括图形处理单元,图形处理单元可以位于应用处理器中,可以为图形处理单元设置第一显示通道和第二显示通道,第一显示通道可以用于将普通应用界面显示信息从应用处理器传输至图形处理单元,然后,由图形处理单元将普通应用界面显示信息传输至显示器进行显示,第二显示通道可以用于将安全应用界面显示信息从应用处理器传输至图形处理单元,然后,由图形处理单元将普通应用界面显示信息传输至显示器进行显示。当终端正在运行普通应用程序时,应用处理器可以指示通过第一显示通道将普通应用界面显示信息从应用处理器传输至图形处理单元,然后,由图形处理单元将普通应用界面显示信息传输至显示器进行显示,当终端正在运行安全应用时,应用处理器指示通过第二显示通道将安全应用界面显示信息从应用处理器传输至图形处理单元,然后,由图形处理单元将普通应用界面显示信息传输至显示器进行显示。这样,可以通过不同的显示通道分别向图形处理器发送普通应用界面显示信息和安全应用界面显示信息,有效的对上述两种信息进行了隔离。
或者,
终端还可以通过所述应用处理器的显示输入接口直接向所述显示器发送所述安全应用界面显示信息,所述安全应用界面显示信息是所述通信模块输出至所述应用处理器的显示输入接口的。
具体的,如图4b所示,可以为图形处理单元设置显示通道,该显示通道可以用于将普通应用界面显示信息从应用处理器传输至图形处理单元,然后,由图形处理单元将普通应用界面显示信息传输至显示器进行显示。通信模块可以通过显示输出接口(例如RGB接口、HDMI(High Definition MultimediaInterface,高清晰度多媒体接口)等)将安全应用界面显示信息发送至应用处理器中的显示输入接口。当终端正在运行普通应用程序时,应用处理器可以指示通过显示通道将普通应用界面显示信息从应用处理器传输至图形处理单元,然后,由图形处理单元将普通应用界面显示信息传输至显示器进行显示,当终端正在运行安全应用程序时,应用处理器可以指示位于显示输入接口的硬件开关开启,使得安全应用界面显示信息通过显示输入接口传输至图形处理单元,然后,再由图形处理单元将安全应用界面显示信息发送至显示器进行显示。这样,安全应用界面显示信息不存放在应用处理器的内存中,也不会被应用处理器中的非法应用拦截或损坏,有效的保护的安全应用界面显示信息。
进一步的,在验证验证信息正确后,终端可以通过位于所述通信模块中的协议栈与基站进行通信,若验证错误,则终端不通过协议栈与基站进行通信。这样,由于安全应用程序和安全应用数据是存储在第一存储器中的,且应用操作系统是运行在应用处理器中的,因此即使重新安装应用操作系统,通信模块中的安全应用数据也不会被访问到,进而保证了安全应用程序和安全应用数据(如安全验证界面显示信息)不会被破坏,换言之,即使终端被刷机,也是在应用处理器中执行的,不会访问到第一存储器中的安全应用数据,进而,当终端启动运行时,开机验证仍然有效,保证了验证步骤的正常执行,增加了终端的安全性。
执行步骤304。
307、当所述终端根据用户的操作指令确定运行普通应用时,所述终端从与应用处理器连接的第二存储器中获取普通应用程序和普通应用数据。
作为本实施例的一种实施方式,应用处理器在接收到普通应用操作指令后,可以根据普通应用操作指令从与应用处理器连接的第二存储器中获取普通应用程序和普通应用数据。
308、在所述应用处理器上运行所述普通应用程序,并处理所述普通应用数据。
本实施例对在所述应用处理器上运行所述普通应用程序和处理所述普通应用数据的方法不作限定,为本领域技术人员熟知的技术,且可以根据实际需要进行设定,在此不再赘述。
当通信模块根据普通应用操作指令运行普通应用完成后,可以生成完成运行后的普通应用界面显示信息,并可以将生成的普通应用界面显示信息发送至显示器进行显示,这样,用户可以通过显示器查看到普通应用当前的运行界面,可以根据该界面继续输入相应普通应用操作指令。
显示器显示普通应用显示界面的方法可以参见步骤306中的内容,在此不再赘述。
执行步骤304。
采用上述方案后,当终端根据用户的操作指令确定运行安全应用时,所述终端从与通信模块连接的第一存储器中获取安全应用程序和安全应用数据,所述终端包括所述通信模块;在所述通信模块上运行所述安全应用程序,并处理所述安全应用数据;当所述终端根据用户的操作指令确定运行普通应用时,所述终端从与应用处理器连接的第二存储器中获取普通应用程序和普通应用数据,所述终端还包括所述应用处理器;在所述应用处理器上运行所述普通应用程序,并处理所述普通应用数据。由于,安全应用程序和安全应用数据存储在第一存储器中,普通应用程序和普通应用数据存储在第二存储中,且安全应用与普通应用分别运行在通信模块和应用处理器中,因此,实现了安全应用与普通应用的隔离,避免了在执行普通应用时,安全应用程序和安全应用数据被泄露或损坏,增加了安全性;另外,在上述方案中,由于是基于现有技术的终端架构进行实现的,因此,增加了实用性,且避免了成本的增加。
另外,只有在验证验证信息正确后,终端才可以通过位于所述通信模块中的协议栈与基站进行通信,这样,即使终端被刷机,也是在应用处理器中执行的,不会访问到第一存储器中的安全应用数据,进而,当终端启动运行时,开机验证仍然有效,保证了验证步骤的正常执行,增加了终端的安全性。
为了可以更好的对上述实施例进行理解,下面提供一个具体的例子。
本例子中,为应用处理器和通信模块划分了多个逻辑单元,其中,如图5所示,应用处理器可以包括:输入/输出代理单元、安全模式控制单元、图形处理器单元、普通应用管理模块等,通信模块可以包括:安全应用管理模块等。其中,普通应用管理模块、安全应用管理模块都是软件模块,在图5中用虚线框标出;输入输出代理单元、安全模式控制单元可能既包括软件单元、也包括硬件单元,在图5中用实线框标出;图形处理单元是硬件单元,在图5中用实线框标出。
具体流程可以包括:
1、通信模块运行安全验证应用程序,安全应用管理模块生成安全验证界面显示信息,并将安全验证界面显示信息通过安全应用数据通道发送至输入/输出单元;
2、安全应用管理模块将安全应用桌面信息通过安全应用数据通道发送至输入/输出单元,其中,安全应用桌面信息可以包括安全应用的图标等;
3、当终端启动运行时,通过第二显示通道将安全验证界面显示信息从输入/输出单元发送至图形处理单元,然后,由图形处理单元将安全验证界面显示信息发送至显示器进行显示;
4、应用处理器接收用户输入的验证信息,并通过输入/输出单元和安全应用数据通道将验证信息发送至通信模块进行验证,若验证验证信息正确,则执行步骤5,若验证验证信息错误,则执行流程结束;
5、应用处理器通过第二显示通道将安全应用桌面信息从输入/输出单元发送至图形处理单元,然后,由图形处理单元将安全应用桌面信息发送至显示器进行显示;普通应用管理单元通过第一显示通道将普通应用桌面信息从第二存储器发送至图形处理单元,再由图形处理单元将普通应用桌面信息发送至显示器进行显示,其中,普通应用桌面信息可以包括普通应用的图标等;
6、应用处理器接收用户的操作指令,若用户的操作指令为安全应用操作指令,则执行步骤7,若用户的操作指令为普通应用操作指令,则执行步骤12;
7、输入/输出单元通过安全应用数据通道将安全应用操作指令发送至安全应用管理模块;
8、安全应用管理模块根据安全应用操作指令从第一存储单元中获取所需安全应用程序和安全应用数据;
9、在所述通信模块上运行所述安全应用程序,并处理所述安全应用数据,生成运行完成后的安全应用界面显示信息;
10、安全应用管理模块通过安全应用数据通道将安全应用界面显示信息发送至输入/输出单元;
11、安全模式控制单元控制通过第二显示通道将接收到的安全应用界面显示信息从输入/输出单元传输至图形处理单元,在由图形处理单元将安全应用界面显示信息发送至显示器进行显示;
执行步骤6;
12、普通应用管理模块根据普通应用操作指令从第二存储单元中获取所需普通应用程序和普通应用数据;
13、在所述应用处理器上运行所述普通应用程序,并处理所述普通应用数据,生成运行完成后的普通应用界面显示信息;
14、安全模式控制单元控制通过第一显示通道将普通应用界面显示信息从第二存储器传输至图形处理单元,再由图形处理单元将普通应用界面显示信息发送至显示器进行显示;
执行步骤6。
下面提供一些系统实施例,该系统实施例分别于上述提供的相应的方法实施例相对应。
本实施例提供一种应用数据保护的系统,如图6所示,可以包括:
通信模块61,用于当终端根据用户的操作指令确定运行安全应用时,从与通信模块连接的第一存储器中获取安全应用程序和安全应用数据;在所述通信模块上运行所述安全应用程序,并处理所述安全应用数据;
应用处理器62,用于当所述终端根据用户的操作指令确定运行普通应用时,从与应用处理器连接的第二存储器中获取普通应用程序和普通应用数据;在所述应用处理器上运行所述普通应用程序,并处理所述普通应用数据。
进一步的,所述通信模块61,还用于在所述终端启动运行时,运行安全验证应用程序;向所述应用处理器发送安全验证的界面显示信息;
所述应用处理器62,还用于接收所述通信模块发送的所述安全验证的界面显示信息;将所述安全验证的界面显示信息发送至显示器进行显示;接收用户输入的验证信息;向所述通信模块发送所述验证信息;
所述通信模块61,还用于接收所述验证信息;验证所述验证信息是否正确;若验证所述验证信息错误,则禁止运行所述安全应用。
进一步的,若所述通信模块61验证所述验证信息正确,则所述通信模块61,还用于通过位于所述通信模块61中的协议栈与基站进行通信。
进一步的,若所述通信模块61验证所述验证信息正确,则所述应用处理器62,还用于当所述终端根据用户的操作指令确定运行所述普通应用时,通过图形处理单元的第一显示通道向显示器发送普通应用界面显示信息,所述应用处理器62包括所述图形处理单元;
所述通信模块61,还用于通过安全应用数据通道向所述应用处理器62发送安全应用界面显示信息;
所述应用处理器62,还用于接收所述安全应用界面显示信息;当所述终端根据用户的操作指令确定运行所述安全应用时,通过所述图形处理单元的第二显示通道向所述显示器发送所述安全应用界面显示信息;
或者,
所述通信模块61,还用于向所述应用处理器62的显示输入接口输出安全应用界面显示信息;
当所述终端根据用户的操作指令确定运行所述安全应用时,通过所述显示输入接口直接向所述显示器发送所述安全应用界面显示信息。
进一步的,所述应用处理器62,还用于接收所述用户发送的安全应用操作指令;通过所述安全应用数据通道向所述通信模块61发送所述安全应用操作指令;
所述通信模块61,还用于接收所述安全应用操作指令;并具体用于,根据所述安全应用操作指令在所述通信模块上运行所述安全应用程序,并根据所述安全应用操作指令在所述通信模块上处理所述安全应用数据。
采用上述方案后,通信模块,用于当终端根据用户的操作指令确定运行安全应用时,从与通信模块连接的第一存储器中获取安全应用程序和安全应用数据;在所述通信模块上运行所述安全应用程序,并处理所述安全应用数据;应用处理器,用于当所述终端根据用户的操作指令确定运行普通应用时,从与应用处理器连接的第二存储器中获取普通应用程序和普通应用数据;在所述应用处理器上运行所述普通应用程序,并处理所述普通应用数据。由于,安全应用数据存储在第一存储器中,普通应用数据存储在第二存储器中,且安全应用与普通应用分别运行在通信模块和应用处理器中,因此,实现了安全应用与普通应用的隔离,避免了在执行普通应用时,安全应用数据被泄露或损坏,增加了安全性;另外,在上述方案中,由于是基于现有技术的终端架构进行实现的,因此,增加了实用性,且避免了成本的增加。
另外,只有在验证验证信息正确后,终端才可以通过位于所述通信模块中的协议栈与基站进行通信,这样,即使终端被刷机,也是在应用处理器中执行的,不会访问到第一存储器中的安全应用数据,进而,当终端启动运行时,开机验证仍然有效,保证了验证步骤的正常执行,增加了终端的安全性。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种应用数据保护的方法,其特征在于,包括:
当终端根据用户的操作指令确定运行安全应用时,所述终端从与通信模块连接的第一存储器中获取安全应用程序和安全应用数据,所述终端包括所述通信模块;
在所述通信模块上运行所述安全应用程序,并处理所述安全应用数据;
当所述终端根据用户的操作指令确定运行普通应用时,所述终端从与应用处理器连接的第二存储器中获取普通应用程序和普通应用数据,所述终端还包括所述应用处理器;
在所述应用处理器上运行所述普通应用程序,并处理所述普通应用数据。
2.根据权利要求1所述的应用数据保护的方法,其特征在于,所述方法还包括:
在所述终端启动运行时,通过所述通信模块运行安全验证应用程序,并通过所述应用处理器将安全验证界面显示信息发送至显示器进行显示;
通过所述应用处理器接收用户输入的验证信息;
通过所述通信模块验证所述验证信息是否正确,所述验证信息是所述应用处理器发送至所述通信模块的;
若验证所述验证信息错误,则禁止运行所述安全应用。
3.根据权利要求2所述的应用数据保护的方法,其特征在于,若验证所述验证信息正确,则所述方法还包括:
通过位于所述通信模块中的协议栈与基站进行通信。
4.根据权利要求2或3所述的应用数据保护的方法,其特征在于,若验证所述验证信息正确,则所述方法还包括:
当所述终端根据用户的操作指令确定运行所述普通应用时,通过位于所述应用处理器中的图形处理单元的第一显示通道向显示器发送普通应用界面显示信息;
当所述终端根据用户的操作指令确定运行所述安全应用时,通过所述图形处理单元的第二显示通道向所述显示器发送安全应用界面显示信息,所述安全应用界面显示信息是所述通信模块通过安全应用数据通道发送至所述应用处理器的;
或者,
当所述终端根据用户的操作指令确定运行所述安全应用时,通过所述应用处理器的显示输入接口直接向所述显示器发送所述安全应用界面显示信息,所述安全应用界面显示信息是所述通信模块输出至所述应用处理器的显示输入接口的。
5.根据权利要求4所述的应用数据保护的方法,其特征在于,所述方法还包括:
通过所述应用处理器接收所述用户发送的安全应用操作指令;
所述在所述应用处理器上运行所述普通应用程序,并处理所述普通应用数据,包括:
根据所述安全应用操作指令在所述通信模块上运行所述安全应用程序,并根据所述安全应用操作指令在所述通信模块上处理所述安全应用数据,所述安全应用操作指令是所述应用处理器通过所述安全应用数据通道发送至所述通信模块的。
6.一种应用数据保护的系统,其特征在于,包括:
通信模块,用于当终端根据用户的操作指令确定运行安全应用时,从与通信模块连接的第一存储器中获取安全应用程序和安全应用数据;在所述通信模块上运行所述安全应用程序,并处理所述安全应用数据;
应用处理器,用于当所述终端根据用户的操作指令确定运行普通应用时,从与应用处理器连接的第二存储器中获取普通应用程序和普通应用数据;在所述应用处理器上运行所述普通应用程序,并处理所述普通应用数据。
7.根据权利要求6所述的应用数据保护的系统,其特征在于,所述通信模块,还用于在所述终端启动运行时,运行安全验证应用程序;向所述应用处理器发送安全验证的界面显示信息;
所述应用处理器,还用于接收所述通信模块发送的所述安全验证的界面显示信息;将所述安全验证的界面显示信息发送至显示器进行显示;接收用户输入的验证信息;向所述通信模块发送所述验证信息;
所述通信模块,还用于接收所述验证信息;验证所述验证信息是否正确;若验证所述验证信息错误,则禁止运行所述安全应用。
8.根据权利要求7所述的应用数据保护的系统,其特征在于,若所述通信模块验证所述验证信息正确,则所述通信模块,还用于通过位于所述通信模块中的协议栈与基站进行通信。
9.根据权利要求7或8所述的应用数据保护的系统,其特征在于,若所述通信模块验证所述验证信息正确,则所述应用处理器,还用于当所述终端根据用户的操作指令确定运行所述普通应用时,通过图形处理单元的第一显示通道向显示器发送普通应用界面显示信息,所述应用处理器包括所述图形处理单元;
所述通信模块,还用于通过安全应用数据通道向所述应用处理器发送安全应用界面显示信息;
所述应用处理器,还用于接收所述安全应用界面显示信息;当所述终端根据用户的操作指令确定运行所述安全应用时,通过所述图形处理单元的第二显示通道向所述显示器发送所述安全应用界面显示信息;
或者,
所述通信模块,还用于向所述应用处理器的显示输入接口输出安全应用界面显示信息;
当所述终端根据用户的操作指令确定运行所述安全应用时,通过所述显示输入接口直接向所述显示器发送所述安全应用界面显示信息。
10.根据权利要求9所述的应用数据保护的系统,其特征在于,所述应用处理器,还用于接收所述用户发送的安全应用操作指令;通过所述安全应用数据通道向所述通信模块发送所述安全应用操作指令;
所述通信模块,还用于接收所述安全应用操作指令;并具体用于,根据所述安全应用操作指令在所述通信模块上运行所述安全应用程序,并根据所述安全应用操作指令在所述通信模块上处理所述安全应用数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310565707.2A CN103593619A (zh) | 2013-11-13 | 2013-11-13 | 应用数据保护的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310565707.2A CN103593619A (zh) | 2013-11-13 | 2013-11-13 | 应用数据保护的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103593619A true CN103593619A (zh) | 2014-02-19 |
Family
ID=50083752
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310565707.2A Pending CN103593619A (zh) | 2013-11-13 | 2013-11-13 | 应用数据保护的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103593619A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104463013A (zh) * | 2014-12-08 | 2015-03-25 | 上海斐讯数据通信技术有限公司 | 移动终端及其数据加密方法 |
| CN104598189A (zh) * | 2015-01-26 | 2015-05-06 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| WO2017210857A1 (zh) * | 2016-06-07 | 2017-12-14 | 华为技术有限公司 | 提高信息安全性的方法和终端 |
| CN109522709A (zh) * | 2018-10-17 | 2019-03-26 | 联想(北京)有限公司 | 安全处理方法和电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101004716A (zh) * | 2006-01-18 | 2007-07-25 | 祥群科技股份有限公司 | 一种储存装置及其储存数据的保护方法 |
| CN101782956A (zh) * | 2010-02-09 | 2010-07-21 | 杭州晟元芯片技术有限公司 | 一种基于aes实时加密的数据保护方法及装置 |
| CN101853079A (zh) * | 2009-03-31 | 2010-10-06 | 联想(北京)有限公司 | 一种多硬件系统数据处理设备及其信息输入方法 |
-
2013
- 2013-11-13 CN CN201310565707.2A patent/CN103593619A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101004716A (zh) * | 2006-01-18 | 2007-07-25 | 祥群科技股份有限公司 | 一种储存装置及其储存数据的保护方法 |
| CN101853079A (zh) * | 2009-03-31 | 2010-10-06 | 联想(北京)有限公司 | 一种多硬件系统数据处理设备及其信息输入方法 |
| CN101782956A (zh) * | 2010-02-09 | 2010-07-21 | 杭州晟元芯片技术有限公司 | 一种基于aes实时加密的数据保护方法及装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104463013A (zh) * | 2014-12-08 | 2015-03-25 | 上海斐讯数据通信技术有限公司 | 移动终端及其数据加密方法 |
| CN104598189A (zh) * | 2015-01-26 | 2015-05-06 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| WO2017210857A1 (zh) * | 2016-06-07 | 2017-12-14 | 华为技术有限公司 | 提高信息安全性的方法和终端 |
| CN107735789A (zh) * | 2016-06-07 | 2018-02-23 | 华为技术有限公司 | 提高信息安全性的方法和终端 |
| US10831881B2 (en) | 2016-06-07 | 2020-11-10 | Huawei Technologies Co., Ltd. | Method and terminal for enhancing information security |
| CN107735789B (zh) * | 2016-06-07 | 2020-12-01 | 华为技术有限公司 | 提高信息安全性的方法和终端 |
| CN109522709A (zh) * | 2018-10-17 | 2019-03-26 | 联想(北京)有限公司 | 安全处理方法和电子设备 |
| CN109522709B (zh) * | 2018-10-17 | 2021-06-15 | 联想(北京)有限公司 | 安全处理方法和电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10061928B2 (en) | Security-enhanced computer systems and methods | |
| CN104077533B (zh) | 一种操作敏感数据的方法和设备 | |
| US8566610B2 (en) | Methods and apparatus for restoration of an anti-theft platform | |
| US8156331B2 (en) | Information transfer | |
| US20220043901A1 (en) | Method of data transfer between hosted applications | |
| US20200104528A1 (en) | Data processing method, device and system | |
| CN100437618C (zh) | 一种便携式信息安全设备 | |
| CN103150514A (zh) | 一种基于移动设备的可信模块及其可信服务方法 | |
| US20170201373A1 (en) | Systems and methods for management controller management of key encryption key | |
| CN112039826B (zh) | 应用于小程序端的登录方法和装置,电子设备,可读介质 | |
| CN105512576A (zh) | 一种数据安全存储的方法及电子设备 | |
| CN105101169A (zh) | 可信执行环境处理信息的方法、装置、终端及sim卡 | |
| JP6476167B2 (ja) | 自己認証デバイス及び自己認証方法 | |
| CN105683910A (zh) | 用于更新只读系统映像内的系统级服务的系统和方法 | |
| CN105141429A (zh) | 用户验证方法、装置和服务器 | |
| CN113242134B (zh) | 数字证书签名方法、装置、系统及存储介质 | |
| CN103593619A (zh) | 应用数据保护的方法和系统 | |
| CN105283921A (zh) | 非易失性存储器的操作 | |
| EP2429226B1 (en) | Mobile terminal and method for protecting its system data | |
| CN102156826A (zh) | 提供者管理方法以及提供者管理系统 | |
| US8863273B2 (en) | Method of using an account agent to access superuser account shell of a computer device | |
| CN103984901A (zh) | 一种可信计算机系统及其应用方法 | |
| CN111404706A (zh) | 应用下载方法、安全元件、客户端设备及服务管理设备 | |
| CN107943530A (zh) | 基于usb接口的无人船系统自动升级方法 | |
| US20230079795A1 (en) | Device to device migration in a unified endpoint management system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140219 |