CN107392034A - 一种敏感信息保护方法、终端及计算机可读存储介质 - Google Patents

Abstract

本发明公开了一种敏感信息保护方法、终端及计算机可读存储介质，通过在终端内置安全芯片，并在安全芯片中安装与敏感应用程序对应的小应用程序。当获取到来自该敏感应用程序且需要上传至服务器的第一敏感信息时，将该第一敏感信息发送给安全芯片，由安全芯片对其进行加密，并在加密之后，将第一敏感信息发送给服务器。一方面，相对于通过软件加密的方式而言，安全芯片硬件加密能够更有效地防止黑客攻击以及病毒破坏，更好地保证用户信息安全。同时，因为安全芯片内置于终端当中，所以，使得安全芯片与终端成为一体，不需要用户携带单独的U盾或U‑key，不需要用户手动连接终端与U盾或U‑key，就能够轻松实现安全支付，降低了用户负担，提升了用户体验。

Description

一种敏感信息保护方法、终端及计算机可读存储介质

技术领域

本发明涉及信息安全领域，更具体地说，涉及一种敏感信息保护方法、终端及计算机可读存储介质。

背景技术

在电子商务日益发展的今天，移动互联网的发展早已经走在了电脑时代的前端。由此也催生了较多的移动数据端产业，其中移动支付的不断更新带给了人们更多的便捷体验。移动支付所涉及的领域广泛，生活产品、网络虚拟产品、服务类产品等的购买都可以通过移动支付来实现，可以说，用户的生活离不开移动终端，其中很大一部分原因是因为移动支付的便利性。

随着移动互联网的普及，移动端支付所占的市场份额越来越大，普通的APP(Application，应用程序)支付，如支付宝、微信等，均存在安全等级不高的问题，普遍无法满足银行级别的支付要求。相对安全的支付方案是通过U盾或U-key等移动证书来完成支付。U盾与U-key均指USB(Universal Serial Bus，通用串行总线)key，USB Key的模样跟普通的U盘差不多，不同的是它里面存放了单片机或智能卡芯片，USB Key有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法可以实现对用户身份的认证。虽然通过U盾与U-key进行支付时，安全性得到了很大的提升，但是由于U盾与U-key在使用时，必须由用户手动插入到USB接口，也就是说，用户必须要要随身携带U盾或U-key才能保证自己在任何需要支付的场合都能完成。

所以，现有这种通过U盾或U-key实现支付的方案虽然提升了支付的安全性，但是因为U盾与U-key不方便携带，所以也使得用户体验降低。因此，现在亟需提供一种新的支付方案，在保证支付安全性的同时，提升用户体验。

发明内容

本发明要解决的技术问题在于：如何在保证支付安全性的同时提升用户体验，针对该技术问题，提供一种敏感信息保护方法、终端及计算机可读存储介质。

为解决上述技术问题，本发明提供一种敏感信息保护方法，所述敏感信息保护方法包括：

获取来自于敏感应用程序且需要上传至服务器的第一敏感信息，所述敏感应用程序为在终端内置的安全芯片中安装有与之对应的小应用程序的应用程序；

将所述第一敏感信息发送给所述安全芯片；

通过所述安全芯片执行对应的小应用程序对所述第一敏感信息进行加密处理；

将经加密处理的所述第一敏感信息发送给所述服务器。

可选地，所述将所述第一敏感信息发送给所述安全芯片之前，还包括：按照内部通信加解密约定对第一敏感信息进行内部通信加密处理，所述内部通信加解密约定用于所述终端处理器与所述安全芯片之间的通信；

所述通过所述安全芯片执行对应的小应用程序对所述第一敏感信息进行加密处理之前，还包括：按照所述内部通信加解密约定对所述第一敏感信息进行内部通信解密处理。

可选地，所述将经加密处理的所述第一敏感信息发送给所述服务器之后，还包括：

接收来自所述服务器的第二敏感信息；

将所述第二敏感信息发送给所述安全芯片；

控制所述安全芯片对所述第二敏感信息进行解密；

控制显示器对解密后的所述第二敏感信息进行显示。

可选地，所述将经加密处理的所述第一敏感信息发送给所述服务器之后，还包括：

接收所述服务器发送的升级通知；

根据所述升级通知自动对所述安全芯片中与所述服务器对应的小应用程序进行升级，所述小应用程序为java小程序。

可选地，所述将所述第一敏感信息发送给所述安全芯片包括：

将获取到的所述第一敏感信息通过串行外设接口发送给所述安全芯片；

或，

基于近距离无线通讯技术将获取到的所述第一敏感信息发送给所述安全芯片。

可选地，所述将获取到的所述第一敏感信息通过串行外设接口发送给所述安全芯片包括：将获取到的所述第一敏感信息携带在应用协议数据单元指令中发送给所述安全芯片。

可选地，所述基于近距离无线通讯技术将获取到的所述第一敏感信息发送给所述安全芯片包括：基于近距离无线通讯技术，通过开放移动应用程序调用接口将获取到的所述第一敏感信息发送给所述安全芯片。

进一步地，本发明提供了一种终端，所述终端包括处理器、存储器和内置于所述终端内的安全芯片；所述处理器分别与所述存储器及所述安全芯片通信连接；所述存储器中至少存储有敏感信息保护程序，所述敏感信息保护程序供所述处理器执行，以实现以下步骤：

获取用户针对敏感应用程序输入且需要上传至服务器的第一敏感信息，所述敏感应用程序为在终端内置的安全芯片中安装有与之对应的小应用程序的应用程序；

通过所述安全芯片执行对应的小应用程序对所述第一敏感信息进行加密处理；

将经加密处理的所述第一敏感信息发送给所述服务器。

可选地，所述处理器与所述安全芯片通过串行外设接口进行信息交互，或所述处理器与所述安全芯片基于近场通信技术进行通信。

进一步地，本发明还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现以下步骤：

获取用户针对敏感应用程序输入且需要上传至服务器的第一敏感信息，所述敏感应用程序为在终端内置的安全芯片中安装有与之对应的小应用程序的应用程序；

通过所述安全芯片执行对应的小应用程序对所述第一敏感信息进行加密处理；

将经加密处理的所述第一敏感信息发送给所述服务器。

有益效果

本发明实施例提供了一种敏感信息保护方法、终端及计算机可读存储介质，通过在终端内置安全芯片，并在安全芯片中安装与敏感应用程序对应的小应用程序。当获取到来自该敏感应用程序且需要上传至服务器的第一敏感信息时，将该第一敏感信息发送给安全芯片，由安全芯片执行对应的Java下程序从而实现对该第一敏感信息进行加密处理，并在加密处理之后，将第一敏感信息发送给服务器。首先，通过安全芯片对第一敏感信息进行加密，相对于通过软件加密的方式而言，安全芯片硬件加密能够更有效地防止黑客攻击以及病毒破坏，在很大程度上提升了第一敏感信息的安全性，更好地保证了用户信息安全。同时，在该方案中，还会将安全芯片内置于终端当中，使得安全芯片与终端成为一体，不需要用户随时随身携带单独的U盾或U-key，不需要用户在支付时手动连接终端与U盾或U-key，就能够轻松实现安全支付，降低了用户负担，提升了用户体验。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1为相关技术中安全支付方案的一种示意图；

图2为本发明第一实施例提供的敏感信息保护方法一种流程图；

图3为本发明各实施例中终端的一种显示界面示意图；

图4为本发明第二实施例提供的敏感信息保护方法一种流程图；

图5为本发明各实施例中终端的一种系统架构图；

图6为本发明各实施例中终端的另一种系统架构图；

图7为本发明各实施例中终端的一种显示界面示意图；

图8为本发明第三实施例提供的终端的一种硬件结构示意图；

图9为本发明第四实施例提供的终端的一种硬件结构示意图；

图10为本发明第五实施例提供的移动终端的一种硬件结构示意图；

图11为本发明第五实施例示出的用户与移动终端交互的一种示意图。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

第一实施例：

在相关信息安全保护方案当中，为了进行安全支付，用户需要将U盾或U-key与支付终端通过USB接口连接，如图1所示：用户是R银行的储户，R银行向用户提供了该银行的U盾11，在U盾11当中存储有安全证书等，当用户需要进行支付的时候，用户可以将U盾11插入用于实现支付的支付终端12。具体的，用户可以将U盾11通过支付终端12的USB接口13插入，使得U盾11与支付终端12的CPU通信连接。

该方案中，当用户不需要进行支付的时候，U盾11与支付终端12就是两个单独的物件，二者之间即没有通信连接，也没有物理连接，所以这使得用户在携带的时候非常不方便。由于U盾11涉及到用户的财产安全，所以，用户从R银行获得该银行的U盾11之后，出于妥善保管的目的，通常都会讲其放置在一个相对比较固定的位置，例如家中。当用户外出时，通常不会忘记携带自己需要的支付终端12，但是却很容易忘记携带U盾11，这样当用户需要在外面完成购买支付时，可能会因为缺少U盾11的辅助而无法实现。这将给用户带来巨大的不便，影响用户的正常需求，使得用户体验降低。为了该问题，本实施例提供一种敏感信息保护方法，该敏感信息保护方法由终端来实现，请参见图2：

S202、获取来自于敏感应用程序且需要上传至服务器的第一敏感信息。

在本实施例中，将SE(Secure Element，安全芯片)内置于终端当中，安全芯片不仅可以防止外部恶意解析攻击，保护存储在其内的数据安全；而且因为其内部具有加/解密逻辑电路，所以，能够基于硬件实现对数据的加/解密处理。当终端需要与外界进行信息交互的时候，相对于软件实现的加密处理，经加密传输的数据在传输过程中也会获得更好的安全保障。

本实施例中所说的敏感应用程序是指在终端内的安全芯片中安装有与之对应的小应用程序的应用程序，本实施例中所说的小应用程序是指可以安装在安全芯片等存储空间较小的智能卡当中的程序，相对于通常所说的“应用程序”，小应用程序更小一些。在本实施例中，并不具体限定实现小应用程序的语言，无论是基于常见的C语言、java语言、VB语言还是汇编语言所编写得到的小应用程序均在本实施的范围内。例如，以小应用程序为基于Java语言的Applet为例，终端内安装了应用程序A，而在终端的安全芯片中安装有与该应用程序A对应的Applet，则该应用程序A为敏感应用程序。这主要是因为终端上的应用程序实际上是作为客户端与对应的服务器进行交互，某个应用程序与对应服务器之间的加/解密通信方式也有别与其他应用程序与其他服务器，所以，安全芯片在对来自不同应用程序的信息进行加密处理或对需要通过不同应用程序来呈现给用户的信息进行解密的方式可能不一样。因此，如果需要利用安全芯片对某个应用程序与对应服务器之间的交互进行加/解密，则在安全芯片中应当先安装对应的小应用程序。所以，本实施例中，将在安全芯片中安装了对应小应用程序的应用程序称为敏感应用程序，将该敏感应用程序需要加密处理后发送给对应服务器的信息称为第一敏感信息。

以终端完成支付为例：用户是R银行的储户，若用户需要使用R银行的储蓄进行支付，则需要先在自己终端的安全芯片中安装R银行对应的U-KEY Applet。例如，用户先安装一个R银行的APP到终端中，然后进入该APP，根据该APP里的指示下发安装指令给终端，控制终端到对应服务器获取R银行提供的U-KEY Applet，然后将该U-KEY Applet安装到安全芯片中。这样，在终端与R银行服务器进行交互的过程中，安全芯片就可以根据安装的U-KEYApplet对二者之间的信息进行对应的加解密处理了。

在本实施例中，安全芯片中可以安装一个或一个以上的小应用程序，也就是说，终端中可以有多个敏感应用程序。例如，用户同时是R银行和S银行的储户，则用户可以在终端上安装R银行和S银行的APP。如图3所示，在终端的显示界面上显示有R银行的应用程序图标31以及S银行的应用程序图标32。同时，在终端内安全芯片上安装与R银行对应的U-KEYApplet和与S银行对应的U-KEY Applet。当需要使用S银行的储蓄进行支付时，则用户必然会点击S银行的应用程序图标32，进入在S银行的APP中下发支付指令。因此，可以获取到来自S银行对应的APP的第一敏感信息。

S204、将第一敏感信息发送给安全芯片。

当获取到第一敏感信息之后，将该第一敏感信息发送给安全芯片，由安全芯片执行与该第一敏感信息对应的小应用程序对其进行加密处理。例如，如果用户需要从登录S银行的APP进行手机银行的登录操作，则用户会在S银行的APP中输入账户名与登录密码。然后，终端将用户输入的这些用于身份验证的信息传输给S银行的服务器，由S银行的服务器对用户的身份验证信息进行验证，从而确定用户输入的账户名与登录密码是否匹配，只有在匹配的情况下，S银行服务器才会允许用户成功登录。一旦黑客等而已第三方获取了用户的身份验证信息之后，就能够登录，并对用户在S银行的储蓄进行操作，给用户的财产安全带来巨大威胁。所以用户从S银行APP输入的身份验证信息也属于第一敏感信息。

为了防止恶意第三方在终端与银行服务器交互的过程中截取终端发送给银行服务器的信息，从而破获用户在S银行手机银行的身份验证信息，所以，终端在向银行服务器发送用户的S银行的身份验证信息之前，终端会利用内置安全芯片先对身份验证信息进行加密处理。因此，终端的处理器需要将获取到的第一敏感信息发送给安全芯片。

在终端内，处理器与安全芯片之间可以通过这样两种方式进行通信：

第一种，处理器与安全芯片之间通过SPI接口(Serial Peripheral Interface串行外设接口)通信连接，当需要将第一敏感信息传输给安全芯片时，处理器通过SPI接口将第一敏感信息发送给安全芯片。例如，处理器将获取到的第一敏感信息携带在APDU(Application Protocol Data Unit，应用协议数据单元)指令中发送给所述安全芯片。APDU通常作为智能卡与智能卡读卡器之间传送的信息单元。

第二种，处理器基于NFC(Near Field Communication，近距离无线通讯技术)将获取到的所述第一敏感信息发送给安全芯片，可选地，处理器通过OMA(OPEN MOBILE API，开放移动应用程序调用接口)访问安全芯片。

S206、通过所述安全芯片执行对应的小应用程序对所述第一敏感信息进行加密处理。

将第一敏感信息发送给安全芯片之后，需要控制安全芯片对第一敏感信息进行加密处理。应当理解的是，本实施例中安全芯片对第一敏感信息的加密处理应当与服务器对第一敏感信息的解密处理对应，所以，安全芯片应当采用与该第一敏感信息对应的小应用程序对其进行加密处理。

安全芯片可以采用对称加密的方式对第一敏感信息进行加密，也可以采用非对称加密的方式进行加密，例如安全芯片利用非对称密钥加密技术与数字摘要技术对第一敏感信息进行数字签名，该签名可供服务器验证第一敏感信息发送端的身份。另外，安全芯片还可以先在第一敏感信息中添加可供服务器对第一敏感信息发送端的身份进行验证的信息，然后再进行加密处理，这样，服务器就可以同时根据解密是否成功以及添加在第一敏感信息中的信息是否正确来验证发送端的身份了，使得第一敏感信息被其他终端仿冒的可能性有效的降低。

S208、将经加密处理的第一敏感信息发送给服务器。

当安全芯片对第一敏感信息进行加密处理之后，终端可以将第一敏感信息发送给对应的服务器。终端与服务器之间可以采用有线通信或无线通信。由于本实施例提供的敏感信息保护方案可以在移动终端上实施，所以，这里以终端与服务器之间采用无线通信为例，终端可以通过3G网络、4G网络或WiFi(Wireless-Fidelity，无线保真)网络将第一敏感信息传输给服务器。

本实施例提供的敏感信息保护方法，在需要向服务器发送第一敏感信息的时候，会先利用内置在终端中的安全芯片对第一敏感信息进行基于硬件的加密，使得第一敏感信息在被恶意第三方截获之后不容易被破解，从而提升终端向服务器发送第一敏感信息的安全性，提升用户体验。

第二实施例：

本实施例继续对第一实施例中的敏感信息保护方法进行介绍，请参见图4所示的一种敏感信息保护方法的流程图：

S402、终端处理器获取来自于敏感应用程序且需要上传至服务器的第一敏感信息。

在本实施例中，仅将终端发送给服务器，用于服务器对终端身份和用户身份进行验证的信息作为第一敏感信息，所以，终端可以仅在服务器需要对终端以及用户进行鉴权认证的时候向服务器传输第一敏感信息。例如用户登录的时候，或者用户当前处于已登录状态，但却已经有很长一段时间未进行过操作了，这时候，服务器之前对用户的认证已经失效了，所以若这时候用户需要进行操作，则服务器需要重新对用户进行认证。

S404、终端处理器按照内部通信加解密约定对第一敏感信息内部通信加密处理。

下面以小应用程序为基于Java语言的Applet为例进行说明，请参见图5和图6，在图5和图6分别示出了实现敏感信息保护方法的终端的两种系统架构图：

其中，在图5当中，终端50的处理器51基于NFC技术与安全芯片52进行通信，也就是说，当处理器51通过终端50的用户输入单元等获取到来自某一敏感应用程序的第一敏感信息后，处理器51将会基于NFC技术，通过开放移动应用程序调用接口将获取到的第一敏感信息发送给安全芯片52。

在处理器51基于NFC技术向安全芯片52发送第一敏感信息之前，处理器51可以先对第一敏感信息进行一次加密处理。应当理解的而是，该加密处理仅用于处理器51与安全芯片52之间的安全通信，避免处理器51向安全芯片52传输第一敏感信息的时候，第一敏感信息被终端50中的恶意应用程序或者病毒截取。为了和安全芯片对第一敏感信息进行与服务器间约定的加密处理区分开，这里将处理器51与安全芯片52之间的加/解密处理称为“内部通信加/解密处理”，将安全芯片为终端与服务器间通信所进行的加解密处理称为“外部通信加/解密处理”。

在本实施例中，处理器51可以直接通过软件来实现与安全芯片52之间的NFC通信，但可以理解的是，在本实施例另外一些示例当中，终端50当中可以包含独立的NFC芯片，该NFC芯片用于实现处理器51与安全芯片52之间的交互，同时，可以由处理器51控制该NFC完成“内部通信加/解密处理”。

与图5中架构不同的地方在于，图6当中，终端50的处理器51与安全芯片52之间通过SPI接口进行通信。同时，在终端50的处理器52中，还会以trust zone(信任区)的软件构架对需要发送给安全芯片52的第一敏感信息进行“内部通信加密处理”。

S406、终端处理器将内部通信加密处理后的第一敏感信息发送给安全芯片。

在图5所示的系统架构中，当处理器51对第一敏感信息进行“内部通信加密处理”之后，处理器51可以通过NFC技术将第一敏感信息传输给安全芯片52。而在图6的系统架构下，处理器51可以通过APDU指令从SPI接口向安全芯片52下发经“内部通信加密处理”的第一敏感信息。

S408、终端安全芯片按照内部通信加解密约定对第一敏感信息进行内部通信解密处理。

当安全芯片获取到经“内部通信加密处理”后的第一敏感信息后，需要先对第一敏感信息进行“内部通信解密处理”。

应当理解的是，为了保证安全芯片52的存储安全等，可以对终端内各应用程序访问安全芯片52的权限进行限定。例如仅允许其中一部分具备方案权限。例如，可以让各应用程序基于安全芯片52的访问密钥申请对其的访问。访问密钥是唯一属于该安全芯片52的，其基于该安全芯片的主密钥和该安全芯片52的唯一标识生成。主密钥由安全芯片生产厂家在生产某一批次的安全芯片时分配给该批次的所有安全芯片。可选地，为了限制各应用程序对安全芯片52的访问权限，终端50的处理器51可以仅允许其中部分应用程序获取安全芯片的主密钥，获取到主密钥的应用程序可以将该主密钥发送给安全芯片服务器，由安全芯片服务器基于主密钥和安全芯片52的唯一标识计算出属于安装在该安全芯片52的访问密钥。应当理解的是，安全芯片52预先已经知道自己的访问密钥。所以，本实施例中，处理器52与安全芯片52之间的“内部通信加/解密处理”可以基于安全芯片52的访问密钥进行。

S410、终端安全芯片对第一敏感信息进行外部通信加密处理。

安全芯片可以将经“内部通信解密处理”得到的第一敏感信息送入到对应的Applet中进行“外部通信加密处理”。“外部通信加密处理”过程同第一实施例中安全芯片的加密过程类似，这里不再赘述。

S412、终端将经外部通信加密处理的第一敏感信息发送给服务器。

当安全芯片52对第一敏感信息进行“外部通信加密处理”之后，实际上第一敏感信息已经比较安全了，所以，安全芯片52可以直接将其通过开放移动应用程序调用接口或SPI接口发送给处理器51，让处理器51直接控制对第一敏感信息进行外发。

当然，当对应的Applet对第一敏感信息进行“外部通信加密处理”之后，安全芯片52还可以对已经过“外部通信加密处理”的第一敏感信息进行一次“内部通信加密处理”，然后通过NFC技术，利用开放移动应用程序调用接口将经过两次加密处理后的第一敏感信息发送给处理器51。当处理器51接收到该第一敏感信息之后，可以对其进行“内部通信解密处理”，解密完成之后，将仅保留“外部通信加密处理”的第一敏感信息通过3G网络、5G网络或WiFi网络发送给服务器，由服务器完成对第一敏感信息的“外部通信解密处理”。

在服务器对终端的认证通过后，且在认证未过期之前，服务器与终端之间的交互可以不必再进行“外部通信加/解密处理”。也即，当服务器发送信息给终端时，终端并不需要将该信息发送给安全芯片进行“外部通信解密处理”，例如，终端向S银行服务器发送了余额查询请求，则服务器可以根据终端的余额查询请求向终端返回用户账户当前的剩余金额。终端在接收到服务器反馈的余额信息后，可以直接对余额信息进行解析，然后通过显示器显示给用户，如图7所示。同样的，在服务器对终端认证通过且认证尚未过期之前，终端向服务器发送普通的非敏感信息，也不需要控制安全芯片进行“外部通信加密处理”。

但在本实施例的另外一种示例当中，服务器也可能会向终端发送第二敏感信息，为了保证第二敏感信息在传输的过程中不被窃取，所以服务器对该第二敏感信息进行了“外部通信加密处理”，所以终端在接收到服务器发送的第二敏感信息之后，可以将第二敏感信息发送给安全芯片，由安全芯片对该第二敏感信息进行解密，随后再向用户显示第二敏感信息进行显示。

另外，由于安全芯片具备一定的存储空间，所以，终端可以从服务器上获取一些用户经常需要的信息存储到安全芯片中，当用户需要查询的时候，终端可以不用等服务器根据查询请求反馈查询结果就能够向用户展示这些常见信息。以手机银行为敏感应用程序为例，这里所说的常见信息包括但不限于账户余额、最近支出信息、最近收入信息等。

可以理解的是，出于安全考虑，可以对安装在安全芯片中的小应用程序进行定期或不定期的更新升级。当终端接收到来自某服务器的升级通知后，可以先也向用户提示升级通知，在接收到用户同意升级的指令之后再完成升级。由于安全芯片内置于终端中，所以，在本实施例的一种示例当中，当处理器通过通信装置接收到某个服务器发送的升级通知后，可以根据升级通知自动从服务器下载升级包，进而完成对对应的Java小应用程序进行升级。这种自动升级方案当中，可以完全自动地实现Applet的升级，减少用户操作。相对于现有方案当中用户必须将U盾或U-key插入终端之后才能完成升级的方案而言，升级更加智能化。

另外，由于小应用程序的升级包的数据量通常比较大，所以为了降低小应用程序升级给用户带来的经济负担，本实施例的一种示例当中，终端可以在监测到自身处于WiFi网络下时再从服务器获取升级包。

本实施例提供的敏感信息保护方法，不仅利用安全芯片对终端与服务器之间交互进行加密保护，而且，还会进一步通过“内部通信加解密处理”对终端内安全芯片与处理器之间的信息交互进行安全保护，避免处理器与安全芯片之间的通信信息被安装在终端中的恶意应用程序，或终端中的病毒截获，给用户的信息安全造成威胁，提升了用户体验。

第三实施例：

本实施例提供一种终端，该终端可以实现第一实施例或第二实施例中的敏感信息保护方法。为了使本实施例中终端的优点与细节更加清楚，下面将结合附图对本实施例中的终端进行进一步介绍，请参见图8：

终端80包括处理器81、存储器82以及设置于终端80内部的安全芯片83，安全芯片不仅可以防止外部恶意解析攻击，保护存储在其内的数据安全；而且因为其内部具有加/解密逻辑电路，所以，能够基于硬件实现对数据的加/解密处理。当终端需要与外界进行信息交互的时候，相对于软件实现的加密处理，经加密传输的数据在传输过程中也会获得更好的安全保障。其中，处理器81与存储器82和安全芯片83均通信连接。在存储器82当中存储有至少一个计算机程序，例如，在本实施例中，存储器82当中就存储有敏感信息保护程序。该程序可供处理器81读取、编译，并在安全芯片83的配合下实现第一实施例或第二实施例提供的敏感信息保护方法。

本实施例中所说的敏感应用程序是指在安全芯片8383中安装有与之对应的小应用程序的应用程序本实施例中所说的小应用程序是指可以安装在安全芯片等存储空间较小的智能卡当中的程序，相对于通常所说的“应用程序”，小应用程序更小一些。在本实施例中，并不具体限定实现小应用程序的语言，无论是基于常见的C语言、java语言、VB语言还是汇编语言所编写得到的小应用程序均在本实施的范围内。例如，以小应用程序为基于Java语言的Applet为例，终端80内安装了应用程序A，而在终端80的安全芯片83中安装有与该应用程序A对应的Applet，则该应用程序A为敏感应用程序。这主要是因为终端80上的应用程序实际上是作为客户端与对应的服务器进行交互，某个应用程序与对应服务器之间的加/解密通信方式也有别与其他应用程序与其他服务器，所以，安全芯片83在对来自不同应用程序的信息进行加密处理或对需要通过不同应用程序来呈现给用户的信息进行解密的方式可能不一样。因此，如果需要利用安全芯片83对某个应用程序与对应服务器之间的交互进行加/解密，则在安全芯片83中应当先安装对应的小应用程序。所以，本实施例中，将在安全芯片83中安装了对应小应用程序的应用程序称为敏感应用程序，将该敏感应用程序需要加密处理后发送给对应服务器的信息称为第一敏感信息。

以终端80完成支付为例：用户是R银行的储户，若用户需要使用R银行的储蓄进行支付，则需要先在安全芯片83中安装R银行对应的U-KEY Applet。例如，用户先安装一个R银行的APP到终端80中，然后进入该APP，根据该APP里的指示下发安装指令给终端80，控制终端80到对应服务器获取R银行提供的U-KEY Applet，然后将该U-KEY Applet安装到安全芯片83中。这样，在终端80与R银行服务器进行交互的过程中，安全芯片83就可以根据安装的U-KEY Applet对二者之间的信息进行对应的加解密处理了。

在本实施例中，安全芯片83中可以安装一个或一个以上的小应用程序，也就是说，终端80中可以有多个敏感应用程序。例如，用户同时是R银行和S银行的储户，则用户可以在终端80上安装R银行和S银行的APP。如图3所示，在终端80的显示界面上显示有R银行的应用程序图标31以及S银行的应用程序图标32。同时，在终端80内安全芯片83上安装与R银行对应的U-KEY Applet和与S银行对应的U-KEY Applet。当需要使用S银行的储蓄进行支付时，则用户必然会点击S银行的应用程序图标32，进入在S银行的APP中下发支付指令。因此，终端80的处理器81可以获取到来自S银行对应的APP的第一敏感信息。

当获取到第一敏感信息之后，处理器81将该第一敏感信息发送给安全芯片83，由安全芯片83执行与该第一敏感信息对应的小应用程序对其进行加密处理。例如，如果用户需要从登录S银行的APP进行手机银行的登录操作，则用户会在S银行的APP中输入账户名与登录密码。然后，终端80的处理器81控制通信装置将用户输入的这些用于身份验证的信息传输给S银行的服务器，由S银行的服务器对用户的身份验证信息进行验证，从而确定用户输入的账户名与登录密码是否匹配，只有在匹配的情况下，S银行服务器才会允许用户成功登录。一旦黑客等而已第三方获取了用户的身份验证信息之后，就能够登录，并对用户在S银行的储蓄进行操作，给用户的财产安全带来巨大威胁。所以用户从S银行APP输入的身份验证信息也属于第一敏感信息。

为了防止恶意第三方在终端80与银行服务器交互的过程中截取终端80发送给银行服务器的信息，从而破获用户在S银行手机银行的身份验证信息，所以，终端80在向银行服务器发送用户的S银行的身份验证信息之前，会利用内置安全芯片83先对身份验证信息进行加密处理。因此，终端80的处理器81需要将获取到的第一敏感信息发送给安全芯片83。

在终端80内，处理器81与安全芯片83之间可以通过这样两种方式进行通信：

第一种，处理器81与安全芯片83之间通过SPI接口通信连接，当需要将第一敏感信息传输给安全芯片83时，处理器81通过SPI接口将第一敏感信息发送给安全芯片83。例如，处理器81将获取到的第一敏感信息携带在APDU指令中发送给所述安全芯片83。APDU通常作为智能卡与智能卡读卡器之间传送的信息单元。

第二种，处理器81基于NFC将获取到的所述第一敏感信息发送给安全芯片83，可选地，处理器81通过OMA访问安全芯片83。

处理器81将第一敏感信息发送给安全芯片83之后，需要控制安全芯片83对第一敏感信息进行加密处理。应当理解的是，本实施例中安全芯片83对第一敏感信息的加密处理应当与服务器对第一敏感信息的解密处理对应，所以，安全芯片83应当采用与该第一敏感信息对应的小应用程序对其进行加密处理。

安全芯片83可以采用对称加密的方式对第一敏感信息进行加密，也可以采用非对称加密的方式进行加密，例如安全芯片83利用非对称密钥加密技术与数字摘要技术对第一敏感信息进行数字签名，该签名可供服务器验证第一敏感信息发送端的身份。另外，安全芯片83还可以先在第一敏感信息中添加可供服务器对第一敏感信息发送端的身份进行验证的信息，然后再进行加密处理，这样，服务器就可以同时根据解密是否成功以及添加在第一敏感信息中的信息是否正确来验证发送端的身份了，使得第一敏感信息被其他终端80仿冒的可能性有效的降低。

当安全芯片83对第一敏感信息进行加密处理之后，处理器81可以控制将第一敏感信息发送给对应的服务器。终端80与服务器之间可以采用有线通信或无线通信。由于本实施例提供的敏感信息保护方案可以在移动终端80上实施，所以，这里以终端80与服务器之间采用无线通信为例，终端80可以通过3G网络、4G网络或WiFi网络将第一敏感信息传输给服务器。

本实施例提供的终端，在需要向服务器发送第一敏感信息的时候，会先利用内置在终端中的安全芯片对第一敏感信息进行基于硬件的加密，使得第一敏感信息在被恶意第三方截获之后不容易被破解，从而提升终端向服务器发送第一敏感信息的安全性，提升用户体验。

第四实施例：

本实施例继续对前述各实施例中的终端进行介绍，请参见图9所示的终端50：终端50包括处理器51、安全芯片52以及存储器53、通信装置54。其中，存储器53当中依旧存储有可供处理器51读取、编译，并在安全芯片52的配合下敏感信息保护方法的敏感信息保护程序。

在本实施例中，仅将终端50的通信装置54发送给服务器，用于服务器对终端50身份和用户身份进行验证的信息作为第一敏感信息，所以，通信装置54可以仅在服务器需要对终端50以及用户进行鉴权认证的时候向服务器传输第一敏感信息。例如用户登录的时候，或者用户当前处于已登录状态，但却已经有很长一段时间未进行过操作了，这时候，服务器之前对用户的认证已经失效了，所以若这时候用户需要进行操作，则服务器需要重新对用户进行认证。

下面以小应用程序为基于Java语言的Applet为例进行说明，请参见图5和图6，在图5和图6分别示出了本实施例中终端50的两种系统架构图：

其中，在图5当中，终端50的处理器51基于NFC技术与安全芯片52进行通信，也就是说，当处理器51通过终端50的用户输入单元等获取到来自某一敏感应用程序的第一敏感信息后，处理器51将会基于NFC技术，通过开放移动应用程序调用接口将获取到的第一敏感信息发送给安全芯片52。

在处理器51基于NFC技术向安全芯片52发送第一敏感信息之前，处理器51可以先对第一敏感信息进行一次加密处理。应当理解的而是，该加密处理仅用于处理器51与安全芯片52之间的安全通信，避免处理器51向安全芯片52传输第一敏感信息的时候，第一敏感信息被终端50中的恶意应用程序或者病毒截取。为了和安全芯片对第一敏感信息进行与服务器间约定的加密处理区分开，这里将处理器51与安全芯片52之间的加/解密处理称为“内部通信加/解密处理”，将安全芯片为终端与服务器间通信所进行的加解密处理称为“外部通信加/解密处理”。

在本实施例中，处理器51可以直接通过软件来实现与安全芯片52之间的NFC通信，但可以理解的是，在本实施例另外一些示例当中，终端50当中可以包含独立的NFC芯片，该NFC芯片用于实现处理器51与安全芯片52之间的交互，同时，可以由处理器51控制该NFC完成“内部通信加/解密处理”。

与图5中架构不同的地方在于，图6当中，终端50的处理器51与安全芯片52之间通过SPI接口进行通信。同时，在终端50的处理器52中，还会以trust zone(信任区)的软件构架对需要发送给安全芯片52的第一敏感信息进行“内部通信加密处理”。

在图5所示的系统架构中，当处理器51对第一敏感信息进行“内部通信加密处理”之后，处理器51可以通过NFC技术将第一敏感信息传输给安全芯片52。而在图6的系统架构下，处理器51可以通过APDU指令从SPI接口向安全芯片52下发经“内部通信加密处理”的第一敏感信息。

当安全芯片获取到经“内部通信加密处理”后的第一敏感信息后，需要先对第一敏感信息进行“内部通信解密处理”。

应当理解的是，为了保证安全芯片52的存储安全等，可以对终端50内各应用程序访问安全芯片52的权限进行限定。例如仅允许其中一部分具备方案权限。例如，可以让各应用程序基于安全芯片52的访问密钥申请对其的访问。访问密钥是唯一属于该安全芯片52的，其基于该安全芯片52的主密钥和该安全芯片52的唯一标识生成。主密钥由安全芯片生产厂家在生产某一批次的安全芯片时分配给该批次的所有安全芯片。可选地，为了限制各应用程序对安全芯片52的访问权限，终端50的处理器51可以仅允许其中部分应用程序获取安全芯片52的主密钥，获取到主密钥的应用程序可以将该主密钥发送给安全芯片服务器，由安全芯片服务器基于主密钥和安全芯片52的唯一标识计算出属于安装在该安全芯片52的访问密钥。应当理解的是，安全芯片52预先已经知道自己的访问密钥。所以，本实施例中，处理器52与安全芯片52之间的“内部通信加/解密处理”可以基于安全芯片52的访问密钥进行。

安全芯片52可以将经“内部通信解密处理”得到的第一敏感信息送入到对应的Applet中进行“外部通信加密处理”。当安全芯片52对第一敏感信息进行“外部通信加密处理”之后，实际上第一敏感信息已经比较安全了，所以，安全芯片52可以直接将其通过开放移动应用程序调用接口或SPI接口发送给处理器51，让处理器51直接控制通信装置54对第一敏感信息进行外发。

当然，当对应的Applet对第一敏感信息进行“外部通信加密处理”之后，安全芯片52还可以对已经过“外部通信加密处理”的第一敏感信息进行一次“内部通信加密处理”，然后通过NFC技术，利用开放移动应用程序调用接口将经过两次加密处理后的第一敏感信息发送给处理器51。当处理器51接收到该第一敏感信息之后，可以对其进行“内部通信解密处理”，解密完成之后，控制通信装置54将仅保留“外部通信加密处理”的第一敏感信息通过3G网络、5G网络或WiFi网络发送给服务器，由服务器完成对第一敏感信息的“外部通信解密处理”。

在服务器对终端50的认证通过后，且在认证未过期之前，服务器与终端50通信装置54之间的交互可以不必再进行“外部通信加/解密处理”。也即，当服务器发送信息给通信装置54时，处理器51并不需要将该信息发送给安全芯片52进行“外部通信解密处理”，例如，通信装置54向S银行服务器发送了余额查询请求，则服务器可以根据终端50的余额查询请求向通信装置54返回用户账户当前的剩余金额。通信装置54在接收到服务器反馈的余额信息后，处理器51可以直接对余额信息进行解析，然后通过显示器显示给用户，如图7所示。同样的，在服务器对终端50认证通过且认证尚未过期之前，终端50向服务器发送普通的非敏感信息，也不需要控制安全芯片52进行“外部通信加密处理”。

但在本实施例的另外一种示例当中，服务器也可能会向终端50的通信装置54发送第二敏感信息，为了保证第二敏感信息在传输的过程中不被窃取，所以服务器对该第二敏感信息进行了“外部通信加密处理”，所以在通信装置54在接收到服务器发送的第二敏感信息之后，处理器51可以将第二敏感信息发送给安全芯片52由安全芯片52对该第二敏感信息进行解密，随后，处理器51再控制显示屏向用户显示第二敏感信息。

另外，由于安全芯片52具备一定的存储空间，所以，通信装置54可以从服务器上获取一些用户经常需要的信息存储到安全芯片52中，当用户需要查询的时候，处理器51可以不用等服务器根据查询请求反馈查询结果就能够向用户展示这些常见信息。以手机银行为敏感应用程序为例，这里所说的常见信息包括但不限于账户余额、最近支出信息、最近收入信息等。

可以理解的是，出于安全考虑，可以对安装在安全芯片52中的小应用程序进行定期或不定期的更新升级。当通信装置54接收到来自某服务器的升级通知后，可以先也向用户提示升级通知，在接收到用户同意升级的指令之后再完成升级。由于安全芯片52内置于终端50中，所以，在本实施例的一种示例当中，当处理器51通过通信装置54接收到某个服务器发送的升级通知后，可以根据升级通知自动从服务器下载升级包，进而完成对对应的小应用程序进行升级。这种自动升级方案当中，可以完全自动地实现小应用程序的升级，减少用户操作。相对于现有方案当中用户必须将U盾或U-key插入终端之后才能完成升级的方案而言，升级更加智能化。

另外，由于小应用程序的升级包的数据量通常比较大，所以为了降低小应用程序升级给用户带来的经济负担，本实施例的一种示例当中，处理器51可以在监测到自身处于WiFi网络下时再控制通信装置54从服务器获取升级包。

本实施例提供的终端，不仅利用安全芯片对终端与服务器之间交互进行加密保护，而且，还会进一步通过“内部通信加解密处理”对终端内安全芯片与处理器之间的信息交互进行安全保护，避免处理器与安全芯片之间的通信信息被安装在终端中的恶意应用程序，或终端中的病毒截获，给用户的信息安全造成威胁，提升了用户体验。

第五实施例：

本实施例将结合具体示例对前述各实施例中的终端和敏感信息保护方法进行介绍：在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明，其本身没有特定的意义。因此，“模块”、“部件”或“单元”可以混合地使用。

终端可以以各种形式来实施。例如，本发明中描述的终端可以包括诸如手机、平板电脑、笔记本电脑、掌上电脑、个人数字助理(Personal Digital Assistant，PDA)、便捷式媒体播放器(Portable Media Player，PMP)、导航装置、可穿戴设备、智能手环、计步器等移动终端，以及诸如数字TV、台式计算机等固定终端。

后续描述中将以移动终端为例进行说明，本领域技术人员将理解的是，除了特别用于移动目的的元件之外，根据本发明的实施方式的构造也能够应用于固定类型的终端。

请参阅图10，其为实现本发明各个实施例的一种移动终端的硬件结构示意图，该移动终端100可以包括：RF(Radio Frequency，射频)单元101、WiFi模块102、音频输出单元103、显示单元104、用户输入单元105、存储器106、处理器107、以及安全芯片108等部件。尽管图10未示出，移动终端100还可以包括蓝牙模块、接口单元、电源等，在此不再赘述。本领域技术人员可以理解，图10中示出的移动终端结构并不构成对移动终端的限定，移动终端可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图10对移动终端的各个部件进行具体的介绍：

射频单元101可用于收发信息或通话过程中，信号的接收和发送，具体的，将基站的下行信息接收后，给处理器107处理；另外，将上行的数据发送给基站。通常，射频单元101包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外，射频单元101还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议，包括但不限于GSM(Global System of Mobile communication，全球移动通讯系统)、GPRS(General Packet Radio Service，通用分组无线服务)、CDMA2000(CodeDivision Multiple Access 2000，码分多址2000)、WCDMA(Wideband Code DivisionMultiple Access,宽带码分多址)、TD-SCDMA(Time Division-Synchronous CodeDivision Multiple Access，时分同步码分多址)、FDD-LTE(Frequency DivisionDuplexing-Long Term Evolution，频分双工长期演进)和TDD-LTE(Time DivisionDuplexing-Long Term Evolution，分时双工长期演进)等。

WiFi属于短距离无线传输技术，移动终端通过WiFi模块102可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。虽然图10示出了WiFi模块102，但是可以理解的是，其并不属于移动终端的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。

音频输出单元103可以在移动终端100处于呼叫信号接收模式、通话模式、记录模式、语音识别模式、广播接收模式等等模式下时，将射频单元101或WiFi模块102接收的或者在存储器106中存储的音频数据转换成音频信号并且输出为声音。而且，音频输出单元103还可以提供与移动终端100执行的特定功能相关的音频输出(例如，呼叫信号接收声音、消息接收声音等等)。音频输出单元103可以包括扬声器、蜂鸣器等等。

显示单元104用于显示由用户输入的信息或提供给用户的信息。显示单元104可包括显示面板1061，可以采用液晶显示器(Liquid Crystal Display，LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板1061。

用户输入单元105可用于接收输入的数字或字符信息，以及产生与移动终端的用户设置以及功能控制有关的键信号输入。具体地，用户输入单元105可包括触控面板1051以及其他输入设备1052。触控面板1051，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板1051上或在触控面板1051附近的操作)，并根据预先设定的程式驱动相应的连接装置。触控面板1051可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器107，并能接收处理器107发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板1051。除了触控面板1051，用户输入单元105还可以包括其他输入设备1052。具体地，其他输入设备1052可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种，具体此处不做限定。

进一步的，触控面板1051可覆盖显示面板1041，当触控面板1051检测到在其上或附近的触摸操作后，传送给处理器107以确定触摸事件的类型，随后处理器107根据触摸事件的类型在显示面板1041上提供相应的视觉输出。虽然在图10中，触控面板1051与显示面板1041是作为两个独立的部件来实现移动终端的输入和输出功能，但是在某些实施例中，可以将触控面板1051与显示面板1041集成而实现移动终端的输入和输出功能，具体此处不做限定。

存储器106可用于存储软件程序以及各种数据。存储器106可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器106可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

处理器107是移动终端的控制中心，利用各种接口和线路连接整个移动终端的各个部分，通过运行或执行存储在存储器106内的软件程序和/或模块，以及调用存储在存储器106内的数据，执行移动终端的各种功能和处理数据，从而对移动终端进行整体监控。处理器107可包括一个或多个处理单元；优选的，处理器107可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器107中。

在本实施例中，安全芯片108内置于移动终端100当中，安全芯片108可以作为独立芯片的形式部署在移动终端100的主板上，同时，也可以将安全芯片108的功能集成在SIM(Subscriber Identity Module客户识别模块)卡上，使得安全芯片108具备SIM卡的功能。安全芯片108不仅可以防止外部恶意解析攻击，保护存储在其内的数据安全；而且因为其内部具有加/解密逻辑电路，所以，能够基于硬件实现对数据的加/解密处理。当移动终端100需要通过射频单元101或WiFi模块102、蓝牙模块等与外界进行信息交互的时候，安全芯片108可以对信息进行加密处理，从而保证信息安全。相对于软件实现的加密处理，基于安全芯片108的硬件加密后的信息基本可以达到EAL5+及以上的安全级别，EAL即EvaluationAssurance Level，其是CC(Commom Criteria)的安全认证级别。

移动终端100根据用户指令开启运行S银行的手机银行APP，当显示单元104显示完开屏页面之后，会向用户显示输入账户名及登录密码的界面，图11中示出了一种用户通过移动终端100的触控面板1051进行账户名及登录密码输入的示意图。移动终端100的存储器106当中存储有敏感信息保护程序，在用户通过用户输入单元105输入自己的账户名及登录密码的时候，处理器107可以通过执行敏感信息保护程序，识别到这是来自敏感应用程序的第一敏感信息，因此，处理器107将通过用户输入单元105获取到的第一敏感信息传输给安全芯片108。在本实施例中，处理器107可以将第一敏感信息携带在APDU指令当中通过SPI接口发送给安全芯片。在本实施例的另一示例当中，处理器107与安全芯片之间基于NFC技术进行通信，所以，处理器107通过OMA方式向安全芯片108传输第一敏感信息。可选地，在处理器传输第一敏感信息之前，还可以对第一敏感信息进行“内部通信加密处理”。

当安全芯片108接收到处理器107传输的第一敏感信息之后，若第一敏感信息有经加密，则安全芯片108线按照内部通信加解密约定对第一敏感信息进行“内部通信解密处理”，然后对解密得到的原始第一敏感信息进行“外部通信加密处理”。若安全芯片108接收到的第一敏感信息未经加密，则安全芯片108可以直接对第一敏感信息进行“外部通信加密处理”。

“外部通信加密处理”结束之后，安全芯片108按照自己与处理器107之间的通信方式将第一敏感信息传输给处理器107，由处理器107控制射频单元101或WiFi模块102将经过“外部通信加密处理”的第一敏感信息传输给TSM服务器(Trusted Service Management，可信任服务器)。

本实施例中射频单元101或WiFi模块102除了向TSM服务器发送第一敏感信息以外，还可以与TSM服务器之间进行普通信息的交互，另外，射频单元101或WiFi模块102还可以在移动终端100需要安装小应用程序或需要对安装在安全芯片108中的小应用程序进行升级的时候，从TSM服务器处下载安装包或升级包。对于移动终端100中小应用程序的升级过程：当射频单元101或WiFi模块102接收到TSM服务器发送的升级通知后，处理器107可以控制射频单元101或WiFi模块102直接从TSM服务器处获取升级包，进而完成升级。另外，处理器107还可以控制显示单元104对升级通知进行显示，同时以音频输出单元103输出音频来对用户进行辅助提示，等到用户通过用户输入单元105输入同意升级的指令之后再控制射频单元101或WiFi模块102获取升级包，完成升级。

本实施例通过安全芯片对第一敏感信息进行加密，由于安全芯片是基于硬件的加密芯片，安全性高，基本可以达到EAL5+及以上的安全级别，更好地保证了用户信息安全。同时，在该方案中，还会将安全芯片内置于移动终端当中，使得安全芯片与移动终端成为一体，不需要用户随时随身携带单独的U盾或U-key，不需要用户在支付时手动连接终端与U盾或U-key，就能够轻松实现安全支付，降低了用户负担，提升了用户体验。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。

Claims (10)

1.一种敏感信息保护方法，其特征在于，所述敏感信息保护方法包括：

获取来自于敏感应用程序且需要上传至服务器的第一敏感信息，所述敏感应用程序为在终端内置的安全芯片中安装有与之对应的小应用程序的应用程序；

将所述第一敏感信息发送给所述安全芯片；

通过所述安全芯片执行对应的小应用程序对所述第一敏感信息进行加密处理；

将经加密处理的所述第一敏感信息发送给所述服务器。

2.如权利要求1所述敏感信息保护方法，其特征在于，所述将所述第一敏感信息发送给所述安全芯片之前，还包括：按照内部通信加解密约定对第一敏感信息进行内部通信加密处理，所述内部通信加解密约定用于所述终端处理器与所述安全芯片之间的通信；

所述通过所述安全芯片执行对应的小应用程序对所述第一敏感信息进行加密处理之前，还包括：按照所述内部通信加解密约定对所述第一敏感信息进行内部通信解密处理。

3.如权利要求1所述敏感信息保护方法，其特征在于，所述将经加密处理的所述第一敏感信息发送给所述服务器之后，还包括：

接收来自所述服务器的第二敏感信息；

将所述第二敏感信息发送给所述安全芯片；

控制所述安全芯片对所述第二敏感信息进行解密；

控制显示器对解密后的所述第二敏感信息进行显示。

4.如权利要求1所述敏感信息保护方法，其特征在于，所述将经加密处理的所述第一敏感信息发送给所述服务器之后，还包括：

接收所述服务器发送的升级通知；

根据所述升级通知自动对所述安全芯片中与所述服务器对应的小应用程序进行升级，所述小应用程序为java小程序。

5.如权利要求1-4任一项所述敏感信息保护方法，其特征在于，所述将所述第一敏感信息发送给所述安全芯片包括：

将获取到的所述第一敏感信息通过串行外设接口发送给所述安全芯片；

或，

基于近距离无线通讯技术将获取到的所述第一敏感信息发送给所述安全芯片。

6.如权利要求5所述敏感信息保护方法，其特征在于，所述将获取到的所述第一敏感信息通过串行外设接口发送给所述安全芯片包括：将获取到的所述第一敏感信息携带在应用协议数据单元指令中发送给所述安全芯片。

7.如权利要求5所述敏感信息保护方法，其特征在于，所述基于近距离无线通讯技术将获取到的所述第一敏感信息发送给所述安全芯片包括：基于近距离无线通讯技术，通过开放移动应用程序调用接口将获取到的所述第一敏感信息发送给所述安全芯片。

8.一种终端，其特征在于，所述终端包括处理器、存储器和内置于所述终端内的安全芯片；

所述处理器分别与所述存储器及所述安全芯片通信连接；所述存储器中至少存储有敏感信息保护程序，所述敏感信息保护程序供所述处理器执行，以实现以下步骤：

获取用户针对敏感应用程序输入且需要上传至服务器的第一敏感信息，所述敏感应用程序为在终端内置的安全芯片中安装有与之对应的小应用程序的应用程序；

通过所述安全芯片执行对应的小应用程序对所述第一敏感信息进行加密处理；

将经加密处理的所述第一敏感信息发送给所述服务器。

9.如权利要求8所述的终端，其特征在于，所述处理器与所述安全芯片通过串行外设接口进行信息交互，或所述处理器与所述安全芯片基于近场通信技术进行通信。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现以下步骤：

获取用户针对敏感应用程序输入且需要上传至服务器的第一敏感信息，所述敏感应用程序为在终端内置的安全芯片中安装有与之对应的小应用程序的应用程序；

通过所述安全芯片执行对应的小应用程序对所述第一敏感信息进行加密处理；

将经加密处理的所述第一敏感信息发送给所述服务器。