WO2017147890A1 - 一种验证码短信显示方法及移动终端 - Google Patents

Abstract

本发明实施例公开了一种验证码短信显示方法及移动终端，该方法包括：在富执行环境REE中，接收显示验证码短信的请求；根据所述请求，获取所述验证码短信；在可信执行环境TEE中，通过可信用户界面TUI显示所述验证码短信。本发明实施例在可信执行环境TEE中，通过可信用户界面TUI显示验证码短信，由于TUI具有禁止所有应用对当前屏幕进行截屏操作的显示特性，故验证码短信在TUI中能够安全地显示，从而避免给用户造成个人信息或财产安全的泄露和损失。

Description

一种验证码短信显示方法及移动终端 技术领域

本发明涉及移动终端技术领域，尤其涉及一种验证码短信显示方法及移动终端。

背景技术

伴随着移动终端智能化及网络宽带化的趋势，移动互联网业务的日益繁荣。智能化移动终端除了具备传统移动终端的通话、发短信等全部功能外，还具备电子邮件、GPS、网上银行、移动支付等功能。用户只需在移动终端上安装具有相应功能的应用程序，即可实现相应的功能。

与此同时，移动终端越来越多的涉及商业秘密和个人隐私等敏感信息，移动终端作为移动互联网时代最主要的载体，面临着严峻的安全挑战。特别是移动终端的移动支付功能，涉及到用户的财产安全。现有技术中，用户在使用移动支付功能时，出于对用户个人信息保护或财产安全的考虑，服务端往往会向用户端事先绑定的手机号码上发送一个验证码短信，用户在正确输入该验证码短信内的验证码后，方可完成用户登录、交易支付等操作。

在REE(Rich Execution Environment，富执行环境)中，移动终端的很多应用都可以申请查看和读取该验证码短信的权限，并可以将显示有验证码短信内容的当前屏幕进行截屏操作。如果有恶意应用(如：木马软件)通过截屏的方式获取到验证码短信内容，那么极有可能给用户造成个人信息或财产安全的泄露和损失。

发明内容

本发明实施例提供了一种验证码短信显示方法及移动终端，在可信执行环境TEE中，通过可信用户界面TUI显示验证码短信，由于TUI具有禁止所有应用对当前屏幕进行截屏操作的显示特性，故验证码短信在TUI中能够安全地显示，从而避免给用户造成个人信息或财产安全的泄露和损失。

本发明实施例的第一方面提供一种验证码短信显示方法，包括：

在富执行环境REE中，接收显示验证码短信的请求；

根据所述请求，获取所述验证码短信；

在可信执行环境TEE中，通过可信用户界面TUI显示所述验证码短信。

本发明实施例中，在TEE中，由于TUI具有禁止所有应用对当前屏幕进行截屏操作的显示特性，故验证码短信在TUI中能够安全地显示，从而避免给用户造成个人信息或财产安全的泄露和损失。

结合本发明实施例的第一方面，在本发明实施例的第一方面的第一种实现方式中，所述在REE中，接收显示所述验证码短信的请求之前，所述方法还包括：

接收目标短信；

判断所述目标短信是否为所述验证码短信；

若是，则将加密验证码短信存储于指定存储位置，所述加密验证码短信是在TEE中对所述验证码短信加密得到的。

本发明实施例中，移动终端在接收到验证码短信之后，且在TEE中显示该验证码短信之前，为进一步增强验证码短信的安全性，可以对该验证码短信进行加密处理，从而防止验证码短信的内容被泄露。当然，按照一般的安全级别，可以不对验证码短信进行加密处理，仅需在TEE中通过TUI显示，而不被截屏即可，具体此处不做限定。

结合本发明实施例的第一方面的第一种实现方式，本发明实施例的第一方面的第二种实现方式中，所述根据所述请求，获取所述验证码短信包括：

根据所述请求，从所述指定存储位置中提取所述加密验证码短信；

在TEE中，对所述加密验证码短信进行解密，得到所述验证码短信。

本发明实施例中，针对验证码短信的加密以及解密过程，只在TEE中进行处理，可以有效保证验证码短信的安全性。

结合本发明实施例的第一方面的第二种实现方式，本发明实施例的第一方面的第三种实现方式中，所述指定存储位置包括：

TEE和REE的共享内存、TEE中的存储单元、REE中的加密数据库、REE 中的内存中的任意一种。

本发明实施例中，加密后的验证码短信可以存储在TEE或REE中的任意一个存储空间内。当然，为了减少对TEE中的存储资源的占用，可以将加密后的验证码短信存储在REE中，具体此处不做限定。

结合本发明实施例的第一方面的第一种实现方式，本发明实施例的第一方面的第四种实现方式中，所述判断所述目标短信是否为验证码短信包括：

判断所述目标短信的发送方是否在白名单中，所述白名单为已注册的可发送验证码短信的应用名单；

若是，则确定所述目标短信为白名单短信；

在TEE中，判断所述白名单短信的内容中是否包含文本信息；

若是，则确定所述白名单短信为文本短信；

在TEE中，判断所述文本短信的文本信息中是否包含验证码的关键字以及数字和/或字母；

若是，则确定所述文本短信为验证码短信。

需要说明的是，本发明实施例中，该白名单中可以包括已注册的可发送验证码短信的应用向移动终端发送验证码短信时所用的号码。具体地，当移动终端接收到的目标短信的发送方号码在该白名单中，那么则确定该目标短信为白名单短信，当接收到的目标短信的发送方不在该白名单中，那么则确定该目标短信为非白名单短信。

可选地，该白名单中除了包括REE中的CA所对应的服务器向移动终端发送验证码短信时所用的号码之外，还可以增加移动终端的地理位置信息，如：根据地区不同所划分的区号，具体此处不做限定。

与现有的判断目标短信是否为验证码短信所不同的是，本发明实施例中，首先需要对目标短信进行白名单过滤，对于发送方不在白名单内的短信需要剔除掉。也就是说，在判断的过程中，如果目标短信具有验证码短信的特征，但目标短信的发送方不在白名单内，那么该目标短信也不属于本发明实施例中所需要的验证码短信。

需要说明的是，本发明实施例中，为提高目标短信的判断效率，先进行白 名单过滤，再对过滤后的白名单短信进行判断是否为验证码短信。当然，本发明实施例也不排除先判断目标短信是否具有验证码短信的特征，再进行白名单过滤，具体此处不做限定。

结合本发明实施例的第一方面的第四种实现方式，本发明实施例的第一方面的第五种实现方式中，所述在TEE中，确定所述文本短信为验证码短信之后，所述方法还包括：

在TEE中，对所述验证码短信进行加密，得到所述加密验证码短信。

本发明实施例中，移动终端在接收到验证码短信之后，且在TEE中显示该验证码短信之前，为进一步增强验证码短信的安全性，可以对该验证码短信进行加密处理，从而防止验证码短信的内容被泄露。

结合本发明实施例的第一方面的第一种实现方式，本发明实施例的第一方面的第六种实现方式中，所述判断所述目标短信是否为验证码短信包括：

判断所述目标短信的发送方是否在白名单中，所述白名单为已注册的可发送验证码短信的应用名单；

若是，则确定所述目标短信为白名单短信；

在REE中，判断所述白名单短信的内容中是否包含文本信息；

若是，则确定所述白名单短信为文本短信；

在REE中，判断所述文本短信的文本信息中是否包含验证码的关键字以及数字和/或字母；

若是，则确定所述文本短信为验证码短信。

本发明实施例中，为减少TEE中的工作负担，可以将判断目标短信是否为验证码短信的处理过程放在REE中进行。

结合本发明实施例的第一方面的第六种实现方式，本发明实施例的第一方面的第七种实现方式中，所述确定所述目标短信为白名单短信之后，且在REE中，判断所述白名单短信的内容中是否包含文本信息之前，所述方法还包括：

在TEE中，对所述白名单短信进行加密，得到加密白名单短信，并生成用于解密所述加密白名单短信的一次性密钥；

在REE中，通过所述一次性密钥解密所述加密白名单短信，得到所述白 名单短信。

本发明实施例中，由于REE并非安全环境，所以为了防止在REE中判断目标短信是否为验证码短信时，造成验证码短信内容泄露，可以在TEE中将经过白名单过滤后的白名单短信进行加密处理，并提供一次性密钥。那么，在REE中对白名单短信处理时，只能通过一次性密钥解密一次该白名单短信，从而有效保证在REE中判断白名单短信是否为验证码短信时的安全性。

结合本发明实施例的第一方面的第七种实现方式，本发明实施例的第一方面的第八种实现方式中，所述在REE中，确定所述文本短信为验证码短信之后，所述方法还包括：

在TEE中，确定所述加密白名单短信为所述加密验证码短信。

本发明实施例中，在REE中确定了白名单短信即为验证码短信，相应的，需要告知TEE中加密白名单短信即为加密验证码短信，之后对该加密验证码短信进行存储处理即可。

结合本发明实施例的第一方面的第一种实现方式，本发明实施例的第一方面的第九种实现方式中，所述判断所述目标短信是否为验证码短信包括：

判断所述目标短信的发送方是否在白名单中，所述白名单为已注册的可发送验证码短信的应用名单；

若是，则确定所述目标短信为白名单短信；

判断所述白名单短信的协议数据单元PDU字段中是否包含验证码短信标志位；

若是，则确定所述白名单短信为验证码短信。

本发明实施例中，在短信的PDU字段中一般会有预留位，如果在该预留位中添加“验证码短信”标志位，那么可以通过识别验证码短信标志位即可确定出验证码短信。因此，本发明实施例可以在Modem处设置白名单和验证码短信标志位作为过滤条件，在确定出白名单短信之后，可以进一步确定出验证码短信，从而减少TEE或REE对短信解析的工作量，提升验证码短信的识别率。

结合本发明实施例的第一方面的第九种实现方式，本发明实施例的第一方 面的第十种实现方式中，所述确定所述白名单短信为验证码短信之后，所述方法还包括：

在TEE中，对所述验证码短信进行加密，得到所述加密验证码短信。

本发明实施例中，移动终端在接收到验证码短信之后，且在TEE中显示该验证码短信之前，为进一步增强验证码短信的安全性，可以对该验证码短信进行加密处理，从而防止验证码短信的内容被泄露。

结合本发明实施例的第一方面的第四种至第十种实现方式中的任意一种，本发明实施例的第一方面的第十一种实现方式中，所述白名单存放于调制解调器Modem内。

本发明实施例中，白名单可以存放于调制解调器Modem内相应的存储单元中，即Modem在解调时便可过滤掉发送方不在白名单中的短信。当然，该白名单也可以存放于移动终端的存储器中，具体此处不做限定。

本发明实施例第二方面提供了一种移动终端，包括：

第一接收模块，在REE中，用于接收显示验证码短信的请求；

获取模块，用于根据所述第一接收模块接收的请求，获取所述验证码短信；

TUI模块，在TEE中，用于显示所述获取模块获取到的验证码短信。

结合本发明实施例的第二方面，在本发明实施例的第二方面的第一种实现方式中，还包括：

第二接收模块，用于接收目标短信；

判断模块，用于判断所述第二接收模块接收的目标短信是否为所述验证码短信；

加解密模块，在TEE中，用于当所述判断模块判断的所述目标短信为所述验证码短信时，对所述验证码短信进行加密或解密；

存储模块，用于将所述加解密模块加密得到的加密验证码短信存储于指定存储位置。

结合本发明实施例的第二方面的第一种实现方式，本发明实施例的第二方面的第二种实现方式中，所述获取模块包括：

提取单元，用于根据所述第一接收模块接收的请求，从所述指定存储位置 中提取所述加密验证码短信；

所述加解密模块还用于在TEE中，对所述提取单元提取的加密验证码短信进行解密，得到所述验证码短信。

结合本发明实施例的第二方面的第二种实现方式，本发明实施例的第二方面的第三种实现方式中，所述指定存储位置包括：

TEE和REE的共享内存、TEE中的存储单元、REE中的加密数据库、REE中的内存中的任意一种。

结合本发明实施例的第二方面的第一种实现方式，本发明实施例的第二方面的第四种实现方式中，所述判断模块包括：

第一判断单元，用于判断所述目标短信的发送方是否在白名单中，所述白名单为已注册的可发送验证码短信的应用名单；

第一确定单元，用于当所述第一判断单元判断的目标短信的发送方在所述白名单中时，确定所述目标短信为白名单短信。

第二判断单元，在TEE中，用于判断所述第一确定单元确定的白名单短信的内容中是否包含文本信息；

第二确定单元，在TEE中，用于当所述第二判断单元判断的白名单短信的内容中包含文本信息时，确定所述白名单短信为文本短信；

第三判断单元，在TEE中，用于判断所述第二确定单元确定的文本信息中是否包含验证码的关键字以及数字和/或字母；

第三确定单元，在TEE中，用于当所述第三判断单元判断的文本信息中包含验证码的关键字以及数字和/或字母时，确定所述文本短信为验证码短信。

结合本发明实施例的第二方面的第一种实现方式，本发明实施例的第二方面的第五种实现方式中，所述判断模块包括：

第四判断单元，用于判断所述目标短信的发送方是否在白名单中，所述白名单为已注册的可发送验证码短信的应用名单；

第四确定单元，用于当所述第四判断单元判断的目标短信的发送方在所述白名单中时，确定所述目标短信为白名单短信。

第五判断单元，在REE中，用于判断所述第四确定单元确定的白名单短 信的内容中是否包含文本信息；

第五确定单元，在REE中，用于当所述第五判断单元判断的白名单短信的内容中包含文本信息时，确定所述白名单短信为文本短信；

第六判断单元，在REE中，用于判断所述第五确定单元确定的文本信息中是否包含验证码的关键字以及数字和/或字母；

第六确定单元，在REE中，用于当所述第六判断单元判断的文本信息中包含验证码的关键字以及数字和/或字母时，确定所述文本短信为验证码短信。

结合本发明实施例的第二方面的第五种实现方式，本发明实施例的第二方面的第六种实现方式中，所述加解密模块包括：

第一加密单元，在TEE中，用于对所述白名单短信进行加密，得到加密白名单短信，并生成用于解密所述加密白名单短信的一次性密钥；

第一解密单元，在REE中，用于通过所述一次性密钥解密所述加密白名单短信，得到所述白名单短信。

结合本发明实施例的第二方面的第六种实现方式，本发明实施例的第二方面的第七种实现方式中，还包括：

确定模块，在TEE中，用于确定所述加密白名单短信为所述加密验证码短信。

结合本发明实施例的第二方面的第一种实现方式，本发明实施例的第二方面的第八种实现方式中，所述判断模块包括：

第七判断单元，用于判断所述目标短信的发送方是否在白名单中，所述白名单为已注册的可发送验证码短信的应用名单；

第七确定单元，用于当所述第七判断单元判断的目标短信的发送方在所述白名单中时，确定所述目标短信为白名单短信。

第八判断单元，用于判断所述第七确定单元确定的白名单短信的协议数据单元PDU字段中是否包含验证码短信标志位；

第八确定单元，用于当所述第八判断单元判断的白名单短信的协议数据单元PDU字段中包含验证码短信标志位时，确定所述白名单短信为验证码短信。

结合本发明实施例的第二方面的第四种至第八种实现方式中的任意一种， 在本发明实施例的第二方面的第九种实现方式中，所述白名单存放于调制解调器Modem内。

本发明实施例第三方面提供了另一种移动终端，包括：

显示单元、存储器和处理器；

所述显示单元和存储器分别与所述处理器连接；

所述显示单元用于在TEE中显示验证码短信；

所述存储器用于存储所述验证码短信；

所述处理器执行如下功能：

根据显示验证码短信的请求，从所述存储器中获取所述验证码短信；

在TEE中，通过所述显示单元显示所述验证码短信。

本发明实施例提供的技术方案中，在REE中，接收显示验证码短信的请求，并根据该请求在存储器中获取相应的验证码短信，并在可信执行环境TEE中通过可信用户界面TUI显示该验证码短信。因此相对于现有技术，本发明实施例从安全的角度考虑，将具有隐私信息的验证码短信在TUI中显示，使得移动终端的所有应用无法对当前屏幕进行截屏操作，从而避免给用户造成个人信息或财产安全的泄露和损失。

附图说明

图1为现有技术中Trust Zone的基本架构示意图；

图2为本发明实施例中验证码短信显示方法一个实施例的步骤流程图；

图3为本发明实施例中移动终端一个实施例的模块框图；

图4为本发明实施例中移动终端另一个实施例的模块框图；

图5为本发明实施例中移动终端另一个实施例的模块框图；

图6为本发明实施例中移动终端一个实施例的硬件框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳 动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

请参见图1，图1为现有技术中Trust Zone的基本架构示意图，可信执行环境(TEE，Trusted Execution Environment)是全球平台组织(GP，Global Platform)提出的概念，是基于ARM(Advanced RISC Machines)的Trust Zone技术，且运行在设备中，提供介于富操作系统(Rich OS)和安全元素(SE，Secure Element)之间的安全性框架。

其中，Rich OS：富操作系统，如：android的富执行环境，它可运行在智能手机、平板电脑和智能手表等移动设备上，并提供了非常丰富的功能接口，android的应用程序可通过这些功能接口实现各类需求，例如：无线通信、网上购物等。但其安全性相对较低，数据容易被窃取。

SE：安全元素，通常以芯片形式提供。为防止外部恶意解析攻击，保护数据安全，在芯片中具有加密/解密逻辑电路。

针对移动设备的开放环境，安全问题也越来越受到关注，不仅仅是终端用户，还包括服务提供者，移动运营商，以及芯片厂商。TEE(对应于Trusted OS，可信操作系统)是与设备上的REE(Rich Execution Environment，富执行环境，对应于Rich OS，通常是Android环境等)并存的运行环境，并且给Rich OS提供安全服务。它具有其自身的执行空间，比Rich OS的安全级别更高，同时比SE(通常是智能卡)的成本更低，能够满足大多数应用的安全需求。

TEE与REE运行于同一个设备上时，TEE能够保证在可信的环境中进行敏感数据的存储、处理和保护，并为授权的安全软件(TA，Trusted application， 可信应用)提供了安全的执行环境，通过执行保护、保密、完整和数据访问权限实现了端到端的安全。

其中，CA：客户端应用，是指第三方应用程序，运行于REE上。比较著名的应用商店有苹果的App Store，谷歌的Google Play Store，黑莓的BlackBerry App World，微软的Market place等。

TA：可信应用，是为REE中的CA提供安全服务所存在的，运行于TEE上。

TEE与Rich OS之间的接口称为TEE客户端API(application programming interface，应用编程接口)，GP于2010年对其进行了标准化，TA与Trusted OS之间的TEE内部API于2011年完成。当然，还有补充的功能性API，如：TEE功能API。

具体地，CA可通过通过位于REE中的TEE客户端API去访问TA，TEE可支持由不同提供商开发的相互独立执行的多个TA，通过TEE内部API，TA可获得对安全资源和服务的受控访问。TEE安全服务的示例包括：密钥存储和管理、加密、安全时钟、可信用户界面等。

其中，TUI：可信用户界面，是指在关键信息的显示和用户关键数据(如口令)输入时，屏幕显示和键盘等硬件资源完全由TEE控制和访问，而Rich OS中的软件不能访问。

需要说明的是，为了保证TEE本身的TA，TEE在安全启动过程中是要通过验证并且与Rich OS隔离的。在TEE中，每个TA是相互独立的，而且不能在未授权的情况下互相访问。借助于TEE的TUI，由于TUI具有禁止所有应用对当前屏幕进行截屏操作的显示特性，故，在TEE中，可以提供用户认证、交易确认和交易处理等方面的保护。

本发明实施例提供了一种验证码短信显示方法及移动终端，用户在REE中点击查看验证码短信请求之后，移动终端在TEE中通过TUI显示验证码短信，验证码短信用于辅助确认当前用户的身份，既可以是用于支付的验证码，也可以是用于登录等确认身份的验证码，具体此处不做限定。由于TUI具有禁止所有应用对当前屏幕进行截屏操作的显示特性，故验证码短信在TUI中能够安全地显示，从而避免给用户造成个人信息或财产安全的泄露和损失。

请参阅图2，图2为本发明实施例中验证码短信显示方法一个实施例的步骤流程图，该方法包括：

101、接收目标短信。

由移动终端上的RF电路对服务器端发送过来的目标短信进行接收。

102、判断目标短信是否为验证码短信。

移动终端在接收到目标短信之后，并不能确定该目标短信即为本发明实施例中短信CA所需要的验证码短信。由此，移动终端上的处理器需要对该目标短信进行鉴别，具体如下所述：

首先，移动终端需要通过处理器判断该目标短信的发送方是否在白名单中，即确定该目标短信的合法性。需要特别说明的是，此处针对目标短信的合法性并不特指目标短信本身内容是否合法，而只是针对前述拟定的白名单而言，判断该目标短信的发送方是否在白名单中有记录。

若目标短信的发送方在白名单中，则确定该目标短信为白名单短信，并将该白名单短信发送至REE和TEE的共享内存中等待处理。

需要说明的是，共享内存可以说是最有用的进程间通信方式，也是最快的IPC(Inter-Process Communication，进程间通信)形式。本发明实施例中，REE和TEE的共享内存可以是在移动终端的存储单元中划分一个共享区域，从而为REE与TEE之间的数据传输提高效率。

若目标短信的发送发不在白名单中，则确定该目标短信为非白名单短信，并在REE中，按照普通短信的处理方式进行处理即可。

需要说明的是，该白名单可以为已注册的可发送验证码短信的应用名单，如：移动终端上安装的手机银行APP(如：中国银行网上银行)、购物APP(如：淘宝、京东)等。具体地，该白名单中可以包括REE中的CA所对应的服务器向移动终端发送验证码短信时所用的号码。如：移动网上营业厅登录时，登录时用的验证码短信的发送号码是10086，中国银行网上银行交易支付时，交易支付时用的验证码短信的发送号码是95566等。

当然，如果用户在浏览器应用上登录淘宝网，而并非在淘宝APP上登录，那么，此时的该白名单应当是移动终端所针对的服务所对应的服务器向移动终 端发送验证码短信时所用的号码。也就是说，尽管用户是借助浏览器应用登录的淘宝网，但是在该白名单中会保存淘宝网服务器向移动终端发送验证码短信时所用的号码。

可选地，该白名单中除了包括REE中的CA所对应的服务器向移动终端发送验证码短信时所用的号码之外，该白名单中还可以增加移动终端的地理位置信息(如：根据地区不同所划分的区号)。

例如：不同区域，登录某账户所需接收的验证码短信的发送号码段中区号不同。当深圳的用户在南京使用移动终端，其针对某项服务接收到的验证码短信的发送号码段中应当带有原地区(即深圳)的区号，若深圳的用户接收到的登录验证码短信的发送号码段中区号的归属地为南京，则可认为该短信的发送方不合法。又或者，当深圳的用户在南京使用移动终端，其针对某项服务接收到的验证码短信的发送号码段中应当带有使用地(即南京)的区号，若深圳的用户接收到的登录验证码短信的发送号码段中区号的归属地为深圳，则可认为该短信的发送方不合法。具体此处不作限定。

与现有的判断目标短信是否为验证码短信所不同的是，本发明实施例首先需要对目标短信进行白名单过滤，对于发送方不在白名单内的短信需要剔除掉。也就是说，在判断的过程中，如果目标短信具有验证码短信的特征，但目标短信的发送方不在白名单内，那么该目标短信也不属于本发明实施例中所需要的验证码短信。

需要说明的是，本发明实施例中，为提高目标短信的判断效率，先进行白名单过滤，再对过滤后的白名单短信进行判断是否为验证码短信。当然，本发明实施例也不排除先判断目标短信是否具有验证码短信的特征，再进行白名单过滤，具体此处不做限定。

可选地，该白名单可以存放于调制解调器Modem内相应的存储单元中，即Modem在解调时便可过滤掉发送方不在白名单中的短信。当然，该白名单也可以存放于移动终端的存储器中，具体此处不做限定。

进一步地，本发明实施例中，在REE中的短信CA通过TEE客户端API去访问TEE中的短信TA，并向短信TA发送从REE和TEE的共享内存中提 取白名单短信并进行相应处理的通知消息。

需要说明的是，本发明实施例中，该短信TA是为短信CA提供安全服务所存在的TA，可以对验证码短信进行识别或加解密处理。

更进一步地，该短信TA通过TEE内部API获取短信CA传递过来的通知消息，并根据上述通知消息，从REE和TEE的共享内存中提取白名单短信，并进一步判断该白名单短信是否为验证码短信。

具体地，在TEE中，短信TA判断白名单短信的内容中是否包含文本信息。

若是，则确定该白名单短信为文本短信，并进一步判断该文本短信是否为

验证码短信。

若否，则确定白名单短信为非文本短信，并在REE中，按照普通短信的处理方式进行处理即可。

本发明实施例中，验证码短信为文本短信，如果像彩信这样的非文本短信即可以在上述判断过程中剔除掉，而文本短信即可以保留下来，并进一步判断该文本短信是否为验证码短信。

进一步地，在TEE中，短信TA判断文本短信的文本信息中是否包含验证码的关键字以及数字和/或字母。

若是，则确定该文本短信为验证码短信。

若否，则确定该文本短信为非验证码短信，并在REE中，按照普通短信的处理方式进行处理即可。

本发明实施例中，按照验证码短信所拥有的常见特征(如：关键词：“验证码”、“交易码”等，数字和/或字母的组合等)对文本短信进行识别，从而剔除掉类似于广告短信的文本短信。

可以理解的是，传统按照验证码短信均为文本短信，而短信中的验证码也为数字、或者字母，甚至是数字与字母的组合。当然，本发明实施例并不排除验证码短信还会做若干变化。那么，随着验证码短信的变化，用于判断短信是否为验证码短信的方法也会随之改变。例如通过二维码、声纹等方式来判断短信是否为验证码等，具体此处不做限定。

103、在TEE中，对验证码短信进行加密，得到加密验证码短信。

本发明实施例中，移动终端在接收到验证码短信之后，且在TEE中显示该验证码短信之前，为进一步增强验证码短信的安全性，可以对该验证码短信进行加密处理，从而防止验证码短信的内容被泄露。

可选地，为减少在TEE中的工作量，本发明实施例还可以将对白名单短信进行判断是否为验证码短信的过程放在REE中进行处理，然而，针对验证码短信的加密过程仍然在TEE中进行处理，以保证验证码短信的安全性。

具体地，该短信TA通过TEE内部API获取短信CA传递过来的通知消息，并根据上述通知消息，从REE和TEE的共享内存中提取白名单短信之后。短信TA对该白名单短信进行加密处理，得到加密白名单短信，同时生成用于解密该加密白名单短信的一次性密钥。需要说明的是，该一次性密钥解密一次加密白名单短信后便失效。

进一步地，短信TA将该加密白名单短信发送至REE中的短信CA，在REE中，由短信CA通过一次性密钥解密该加密白名单短信，得到白名单短信。之后，在REE中，由短信CA进一步判断该白名单短信是否为验证码短信。针对短信CA如何判断该白名单短信是否为验证码短信，具体如上所述，此处不再赘述。

本发明实施例中，在REE中，短信CA确定白名单短信为验证码短信之后，可以将REE中解密的白名单短信丢弃或删除，同时将白名单短信的判断结果发送给TEE中的短信TA，告知短信TA白名单短信即为验证码短信。随后，在TEE中，短信TA确定加密白名单短信即为加密验证码短信。

可选地，针对判断目标短信是否为验证码短信，假设服务器在向移动终端发送的目标短信的协议数据单元PDU字段中的预留位设置有“验证码短信”的标志位。那么，本发明实施例可以根据该“验证码短信”的标志位进一步分离出验证码短信，以此来提高Modem处白名单过滤和分流短信类型的效率。

需要说明的是，此处的“验证码短信”的标志只能判断出目标短信具有验证码短信特征，但并不能确定出该目标短信的发送方是否在白名单中，因此需要另需白名单过滤。

本发明实施例中，在短信的PDU字段中一般会有预留位，如果在该预留 位中添加“验证码短信”标志位，那么可以通过识别验证码短信标志位即可确定出验证码短信。因此，本发明实施例可以在Modem处设置白名单和验证码短信标志位作为过滤条件，在确定出白名单短信之后，可以进一步确定出验证码短信，从而减少TEE或REE对短信解析的工作量，提升验证码短信的识别率。

104、将加密验证码短信存储于指定存储位置。

本发明实施例中，该指定存储位置包括：TEE和REE的共享内存、TEE中的存储单元、REE中的加密数据库及REE中的内存中的任意一种。当然，为了减少对TEE中的存储资源的占用，可以将加密后的验证码短信存储在REE中，具体此处不做限定。

另外，在加密验证码短信存储之后，还可以将该验证码短信的处理结果通知给当前应用。

105、在REE中，接收显示验证码短信的请求。

本发明实施例中，该请求可以是由用户通过短信CA发起的，也可以是由短信CA自行发起的，具体此处不做限定。

106、根据请求，获取验证码短信。

本发明实施例中，根据该请求在指定存储位置中提取该加密验证码短信，将该加密验证码短信发送至TEE中，由TEE中的短信TA对该加密验证码短信进行解密，得到验证码短信。

需要说明的是，本发明实施例中，在REE中，由于验证码短信是处于加密的状态，而且在REE中，短信CA也没有对该验证码短信进行解密的权限，因此，可以避免验证码短信在REE中被泄露。

107、在TEE中，通过TUI显示验证码短信。

本发明实施例中，在TEE中，短信TA将解密得到的验证码短信发送给TUI，由TUI对该验证码短信进行显示。由于TUI具有禁止所有应用对当前屏幕进行截屏操作的显示特性，故验证码短信在TUI中能够安全地显示。

需要特别说明的是，本发明实施例中，如果按照一般的安全级别，可以不上述步骤103对验证码短信进行加密处理，仅需在TEE中通过TUI显示，而 不被截屏即可，具体此处不做限定。

请参阅图3，图3为本发明实施例中移动终端一个实施例的模块框图，该移动终端包括：

第一接收模块201，在REE中，用于接收显示验证码短信的请求。具体如上述步骤105所述，此处不再赘述。

获取模块202，用于根据第一接收模块201接收的请求，获取验证码短信。具体如上述步骤106所述，此处不再赘述。

本发明实施例中，获取模块202可以进一步包括：

提取单元，用于根据第一接收模块201接收的请求，从指定存储位置中提取加密验证码短信。

TUI模块203，在TEE中，用于显示获取模块202获取到的验证码短信。具体如上述步骤107所述，此处不再赘述。

第二接收模块204，用于接收目标短信。具体如上述步骤101所述，此处不再赘述。

判断模块205，用于判断第二接收模块204接收的目标短信是否为验证码短信。具体如上述步骤102所述，此处不再赘述。

本发明实施例中，判断模块205可以进一步包括：

第一判断单元，用于判断目标短信的发送方是否在白名单中，白名单为已注册的可发送验证码短信的应用名单，放于调制解调器Modem内；

第一确定单元，用于当第一判断单元判断的目标短信的发送方在白名单中时，确定目标短信为白名单短信。

第二判断单元，在TEE中，用于判断第一确定单元确定的白名单短信的内容中是否包含文本信息；

第二确定单元，在TEE中，用于当第二判断单元判断的白名单短信的内容中包含文本信息时，确定白名单短信为文本短信；

第三判断单元，在TEE中，用于判断第二确定单元确定的文本信息中是否包含验证码的关键字以及数字和/或字母；

第三确定单元，在TEE中，用于当第三判断单元判断的文本信息中包含 验证码的关键字以及数字和/或字母时，确定文本短信为验证码短信。

加解密模块206，在TEE中，用于当判断模块205判断的目标短信为验证码短信时，对验证码短信进行加密或解密。具体如上述步骤103所述，此处不再赘述。

加解密模块206还用于在TEE中，对提取单元提取的加密验证码短信进行解密，得到验证码短信。

存储模块207，用于将加解密模块206加密得到的加密验证码短信存储于指定存储位置。具体如上述步骤104所述，此处不再赘述。

可选地，指定存储位置包括：

TEE和REE的共享内存、TEE中的存储单元、REE中的加密数据库及REE中的内存中的任意一种。

请参见图4，图4为本发明实施例中移动终端另一个实施例的模块框图，该移动终端包括：

第一接收模块301，在REE中，用于接收显示验证码短信的请求。

获取模块302，用于根据第一接收模块301接收的请求，获取验证码短信。

本发明实施例中，获取模块302可以进一步包括：

提取单元，用于根据第一接收模块301接收的请求，从指定存储位置中提取加密验证码短信。

TUI模块303，在TEE中，用于显示获取模块302得到的验证码短信。

第二接收模块304，用于接收目标短信。

判断模块305，用于判断第二接收模块304接收的目标短信是否为验证码短信。

本发明实施例中，判断模块305可以进一步包括：

第四判断单元，用于判断目标短信的发送方是否在白名单中，白名单为已注册的可发送验证码短信的应用名单；

第四确定单元，用于当第四判断单元判断的目标短信的发送方在白名单中时，确定目标短信为白名单短信。

第五判断单元，在REE中，用于判断第四确定单元确定的白名单短信的 内容中是否包含文本信息；

第五确定单元，在REE中，用于当第五判断单元判断的白名单短信的内容中包含文本信息时，确定白名单短信为文本短信；

第六判断单元，在REE中，用于判断第五确定单元确定的文本信息中是否包含验证码的关键字以及数字和/或字母；

第六确定单元，在REE中，用于当第六判断单元判断的文本信息中包含验证码的关键字以及数字和/或字母时，确定文本短信为验证码短信。

加解密模块306，在TEE中，用于当判断模块305判断的目标短信为验证码短信时，对验证码短信进行加密或解密。

加解密模块306还用于在TEE中，对提取单元提取的加密验证码短信进行解密，得到验证码短信。

本发明实施例中，加解密模块306可以进一步包括：

第一加密单元，在TEE中，用于对白名单短信进行加密，得到加密白名单短信，并生成用于解密加密白名单短信的一次性密钥；

第一解密单元，在REE中，用于通过一次性密钥解密加密白名单短信，得到白名单短信。

存储模块307，用于将加解密模块306加密得到的加密验证码短信存储于指定存储位置。

可选地，指定存储位置包括：

TEE和REE的共享内存、TEE中的存储单元、REE中的加密数据库及REE中的内存中的任意一种。

本发明实施例中，移动终端还包括：

确定模块308，在TEE中，用于确定加密白名单短信为加密验证码短信。

请参见图5，图5为本发明实施例中移动终端另一个实施例的模块框图，该移动终端包括：

第一接收模块401，在REE中，用于接收显示验证码短信的请求。

获取模块402，用于根据第一接收模块401接收的请求，得到验证码短信。

本发明实施例中，获取模块402可以进一步包括：

提取单元，用于根据第一接收模块401接收的请求，从指定存储位置中提取加密验证码短信。

TUI模块403，在TEE中，用于显示获取模块402获取到的验证码短信。

第二接收模块404，用于接收目标短信。

判断模块405，用于判断第二接收模块404接收的目标短信是否为验证码短信。

本发明实施例中，判断模块405可以进一步包括：

第七判断单元，用于判断目标短信的发送方是否在白名单中，白名单为已注册的可发送验证码短信的应用名单；

第七确定单元，用于当第七判断单元判断的目标短信的发送方在白名单中时，确定目标短信为白名单短信。

第八判断单元，用于判断第七确定单元确定的白名单短信的协议数据单元PDU字段中是否包含验证码短信标志位；

第八确定单元，用于当第八判断单元判断的白名单短信的协议数据单元PDU字段中包含验证码短信标志位时，确定白名单短信为验证码短信。

加解密模块406，在TEE中，用于当判断模块405判断的目标短信为验证码短信时，对验证码短信进行加密或解密。

加解密模块406还用于在TEE中，对提取单元提取的加密验证码短信进行解密，得到验证码短信。

存储模块407，用于将加解密模块406加密得到的加密验证码短信存储于指定存储位置。

可选地，指定存储位置包括：

TEE和REE的共享内存、TEE中的存储单元、REE中的加密数据库及REE中的内存中的任意一种。

上面从模块化功能实体的角度对本发明实施例中移动终端进行了描述，下面从硬件处理的角度对本发明实施例中移动终端进行描述。

请参见图6，图6为本发明实施例中移动终端一个实施例的硬件框图，为了便于说明，图6中仅示出了与本发明实施例相关的部分。该移动终端可以为 包括手机、平板电脑、PDA(Personal Digital Assistant，个人数字助理)、POS(Point of Sales，销售终端)、车载电脑等任意终端设备，以手机为例：

该手机包括：

手机包括：射频(Radio Frequency，RF)电路501、存储器502、输入单元503、显示单元504、处理器505、以及电源506等部件。本领域技术人员可以理解，图5中所示出的手机结构并不构成对手机的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图5对手机的各个构成部件进行具体的介绍：

RF电路501可用于收发信息或通话过程中，信号的接收和发送，特别地，将基站的下行信息接收后，给处理器505处理；另外，将设计上行的数据发送给基站。通常，RF电路501包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(Low Noise Amplifier，LNA)、双工器等。此外，RF电路501还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯系统(Global System of Mobile communication，GSM)、通用分组无线服务(General Packet Radio Service，GPRS)、码分多址(Code Division Multiple Access，CDMA)、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)、长期演进(Long Term Evolution，LTE)、电子邮件、短消息服务(Short Messaging Service，SMS)等。

存储器502可用于存储软件程序以及模块，处理器505通过运行存储在存储器502的软件程序以及模块，从而执行手机的各种功能应用以及数据处理。存储器502可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器502可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

输入单元503可用于接收输入的数字或字符信息，以及产生与手机的用户 设置以及功能控制有关的键信号输入。具体地，输入单元503可包括触控面板5031以及其他输入设备5032。触控面板5031，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板5031上或在触控面板5031附近的操作)，并根据预先设定的程式驱动相应的连接装置。可选的，触控面板5031可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器505，并能接收处理器505发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板5031。除了触控面板5031，输入单元503还可以包括其他输入设备5032。具体地，其他输入设备5032可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

显示单元504可用于显示由用户输入的信息或提供给用户的信息以及手机的各种菜单。显示单元504可包括显示面板5041，可选的，可以采用液晶显示器(Liquid Crystal Display，LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板5041。进一步的，触控面板5031可覆盖显示面板5041，当触控面板5031检测到在其上或附近的触摸操作后，传送给处理器505以确定触摸事件的类型，随后处理器505根据触摸事件的类型在显示面板5041上提供相应的视觉输出。虽然在图5中，触控面板5031与显示面板5041是作为两个独立的部件来实现手机的输入和输入功能，但是在某些实施例中，可以将触控面板5031与显示面板5041集成而实现手机的输入和输出功能。

处理器505是手机的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器502内的软件程序和/或模块，以及调用存储在存储器502内的数据，执行手机的各种功能和处理数据，从而对手机进行整体监控。可选的，处理器505可包括一个或多个处理单元；优选的，处理器505可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作 系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器505中。

手机还包括给各个部件供电的电源506(比如电池)，优选的，电源可以通过电源管理系统与处理器505逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。

尽管未示出，手机还可以包括摄像头、蓝牙模块等，在此不再赘述。

本发明实施例中，RF电路501、存储器502、输入单元503、显示单元504以及电源506分别与处理器505连接。其中，RF电路501可用于接收验证码短信，存储器502可用于存储验证码短信，输入单元503可用于接收用户输入的针对显示验证码短信的请求指令，显示单元504可用于在TEE中显示验证码短信，处理器505可用于对上述各个硬件进行管理和支配。

具体地，该处理器505可执行如下功能：

根据显示验证码短信的请求，从存储器502中获取验证码短信；

在TEE中，通过显示单元504显示验证码短信。

本发明实施例中，处理器505针对上述验证码短信显示方法所执行的具体功能，可以结合图2以及上述验证码短信显示方法一个实施例的内容所述，此处不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为 单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (23)

1. 一种验证码短信显示方法，其特征在于，包括：

   在富执行环境REE中，接收显示验证码短信的请求；

   根据所述请求，获取所述验证码短信；

   在可信执行环境TEE中，通过可信用户界面TUI显示所述验证码短信。
2. 根据权利要求1所述的验证码短信显示方法，其特征在于，所述在REE中，接收显示验证码短信的请求之前，所述方法还包括：

   接收目标短信；

   判断所述目标短信是否为所述验证码短信；

   若是，则将加密验证码短信存储于指定存储位置，所述加密验证码短信是在TEE中对所述验证码短信加密得到的。
3. 根据权利要求2所述的验证码短信显示方法，其特征在于，所述根据所述请求，获取所述验证码短信包括：

   根据所述请求，从所述指定存储位置中提取所述加密验证码短信；

   在TEE中，对所述加密验证码短信进行解密，得到所述验证码短信。
4. 根据权利要求3所述的验证码短信显示方法，其特征在于，所述指定存储位置包括：

   TEE和REE的共享内存、TEE中的存储单元、REE中的加密数据库及REE中的内存中的任意一种。
5. 根据权利要求2所述的验证码短信显示方法，其特征在于，所述判断所述目标短信是否为验证码短信包括：

   判断所述目标短信的发送方是否在白名单中，所述白名单为已注册的可发送验证码短信的应用名单；

   若是，则确定所述目标短信为白名单短信；

   在TEE中，判断所述白名单短信的内容中是否包含文本信息；

   若是，则确定所述白名单短信为文本短信；

   在TEE中，判断所述文本短信的文本信息中是否包含验证码的关键字以及数字和/或字母；

   若是，则确定所述文本短信为验证码短信。
6. 根据权利要求5所述的验证码短信显示方法，其特征在于，所述在TEE中，确定所述文本短信为验证码短信之后，所述方法还包括：

   在TEE中，对所述验证码短信进行加密，得到所述加密验证码短信。
7. 根据权利要求2所述的验证码短信显示方法，其特征在于，所述判断所述目标短信是否为验证码短信包括：

   判断所述目标短信的发送方是否在白名单中，所述白名单为已注册的可发送验证码短信的应用名单；

   若是，则确定所述目标短信为白名单短信；

   在REE中，判断所述白名单短信的内容中是否包含文本信息；

   若是，则确定所述白名单短信为文本短信；

   在REE中，判断所述文本短信的文本信息中是否包含验证码的关键字以及数字和/或字母；

   若是，则确定所述文本短信为验证码短信。
8. 根据权利要求7所述的验证码短信显示方法，其特征在于，所述确定所述目标短信为白名单短信之后，且在REE中，判断所述白名单短信的内容中是否包含文本信息之前，所述方法还包括：

   在TEE中，对所述白名单短信进行加密，得到加密白名单短信，并生成用于解密所述加密白名单短信的一次性密钥；

   在REE中，通过所述一次性密钥解密所述加密白名单短信，得到所述白名单短信。
9. 根据权利要求8所述的验证码短信显示方法，其特征在于，所述在REE中，确定所述文本短信为验证码短信之后，所述方法还包括：

   在TEE中，确定所述加密白名单短信为所述加密验证码短信。
10. 根据权利要求2所述的验证码短信显示方法，其特征在于，所述判断所述目标短信是否为验证码短信包括：

    判断所述目标短信的发送方是否在白名单中，所述白名单为已注册的可发送验证码短信的应用名单；

    若是，则确定所述目标短信为白名单短信；

    判断所述白名单短信的协议数据单元PDU字段中是否包含验证码短信标志位；

    若是，则确定所述白名单短信为验证码短信。
11. 根据权利要求10所述的验证码短信显示方法，其特征在于，所述确定所述白名单短信为验证码短信之后，所述方法还包括：

    在TEE中，对所述验证码短信进行加密，得到所述加密验证码短信。
12. 根据权利要求5至11任一项所述的验证码短信显示方法，其特征在于，所述白名单存放于调制解调器Modem内。
13. 一种移动终端，其特征在于，包括：

    第一接收模块，在REE中，用于接收显示验证码短信的请求；

    获取模块，用于根据所述第一接收模块接收的请求，获取所述验证码短信；

    TUI模块，在TEE中，用于显示所述获取模块获取到的验证码短信。
14. 根据权利要求13所述的移动终端，其特征在于，还包括：

    第二接收模块，用于接收目标短信；

    判断模块，用于判断所述第二接收模块接收的目标短信是否为所述验证码短信；

    加解密模块，在TEE中，用于当所述判断模块判断的所述目标短信为所述验证码短信时，对所述验证码短信进行加密或解密；

    存储模块，用于将所述加解密模块加密得到的加密验证码短信存储于指定存储位置。
15. 根据权利要求14所述的移动终端，其特征在于，所述获取模块包括：

    提取单元，用于根据所述第一接收模块接收的请求，从所述指定存储位置中提取所述加密验证码短信；

    所述加解密模块还用于在TEE中，对所述提取单元提取的加密验证码短信进行解密，得到所述验证码短信。
16. 根据权利要求15所述的移动终端，其特征在于，所述指定存储位置包括：

    TEE和REE的共享内存、TEE中的存储单元、REE中的加密数据库及REE中的内存中的任意一种。
17. 根据权利要求14所述的移动终端，其特征在于，所述判断模块包括：

    第一判断单元，用于判断所述目标短信的发送方是否在所述白名单中，所述白名单为已注册的可发送验证码短信的应用名单；

    第一确定单元，用于当所述第一判断单元判断的目标短信的发送方在所述白名单中时，确定所述目标短信为白名单短信。

    第二判断单元，在TEE中，用于判断所述第一确定单元确定的白名单短信的内容中是否包含文本信息；

    第二确定单元，在TEE中，用于当所述第二判断单元判断的白名单短信的内容中包含文本信息时，确定所述白名单短信为文本短信；

    第三判断单元，在TEE中，用于判断所述第二确定单元确定的文本信息中是否包含验证码的关键字以及数字和/或字母；

    第三确定单元，在TEE中，用于当所述第三判断单元判断的文本信息中包含验证码的关键字以及数字和/或字母时，确定所述文本短信为验证码短信。
18. 根据权利要求14所述的移动终端，其特征在于，所述判断模块包括：

    第四判断单元，用于判断所述目标短信的发送方是否在白名单中，所述白名单为已注册的可发送验证码短信的应用名单；

    第四确定单元，用于当所述第四判断单元判断的目标短信的发送方在所述白名单中时，确定所述目标短信为白名单短信。

    第五判断单元，在REE中，用于判断所述第四确定单元确定的白名单短信的内容中是否包含文本信息；

    第五确定单元，在REE中，用于当所述第五判断单元判断的白名单短信的内容中包含文本信息时，确定所述白名单短信为文本短信；

    第六判断单元，在REE中，用于判断所述第五确定单元确定的文本信息中是否包含验证码的关键字以及数字和/或字母；

    第六确定单元，在REE中，用于当所述第六判断单元判断的文本信息中包含验证码的关键字以及数字和/或字母时，确定所述文本短信为验证码短信。
19. 根据权利要求18所述的移动终端，其特征在于，所述加解密模块包括：

    第一加密单元，在TEE中，用于对所述白名单短信进行加密，得到加密白名单短信，并生成用于解密所述加密白名单短信的一次性密钥；

    第一解密单元，在REE中，用于通过所述一次性密钥解密所述加密白名单短信，得到所述白名单短信。
20. 根据权利要求19所述的移动终端，其特征在于，还包括：

    确定模块，在TEE中，用于确定所述加密白名单短信为所述加密验证码短信。
21. 根据权利要求14所述的移动终端，其特征在于，所述判断模块包括：

    第七判断单元，用于判断所述目标短信的发送方是否在白名单中，所述白名单为已注册的可发送验证码短信的应用名单；

    第七确定单元，用于当所述第七判断单元判断的目标短信的发送方在所述白名单中时，确定所述目标短信为白名单短信。

    第八判断单元，用于判断所述第七确定单元确定的白名单短信的协议数据单元PDU字段中是否包含验证码短信标志位；

    第八确定单元，用于当所述第八判断单元判断的白名单短信的协议数据单元PDU字段中包含验证码短信标志位时，确定所述白名单短信为验证码短信。
22. 根据权利要求17至21任一项所述的移动终端，其特征在于，所述白名单存放于调制解调器Modem内。
23. 一种移动终端，其特征在于，包括：

    显示单元、存储器和处理器；

    所述显示单元和存储器分别与所述处理器连接；

    所述显示单元用于在TEE中显示验证码短信；

    所述存储器用于存储所述验证码短信；

    所述处理器执行如下功能：

    根据显示验证码短信的请求，从所述存储器中获取所述验证码短信；

    在TEE中，通过所述显示单元显示所述验证码短信。

Images