移动终端及其数据加密方法
【专利摘要】本发明提供一种移动终端及其数据加密方法,在所述移动终端所运行系统内建立安全核心领域;在安全核心领域建立安全模块对用户敏感数据进行加密,并将所述加密数据保存于所述安全核心领域,其中,所述安全模块用于对所述加密数据的访问行为进行验证;实现必须通过解密用户才可访问这些用户敏感数据,且必须被赋予安全访问权限的应用程序才可以访问此解密数据;本发明从软、硬件级别保护系统的完整性,提高了移动终端系统的安全性。
【专利说明】移动终端及其数据加密方法
【技术领域】
[0001]本发明涉及电子移动终端【技术领域】,特别是涉及一种移动终端及其数据加密方法。
【背景技术】
[0002]现有的移动终端系统,如安卓、苹果系统,是当前市场上应用最广泛的系统。随着网络和硬件的发展,用户的很多操作都从传统电脑上转移到移动终端上,如:银行汇款,购物,聊天等等,在这种情况下,移动终端成了各种恶意软件和病毒攻击的目标,其安全问题一直是讨论最集中的问题,个人敏感数据保存在这些系统里,面临着严重的安全问题。网络上常报道出手机被入侵,个人数据遭到泄密,超级病毒等等消息,使得用户的个人隐私和经济利益受到侵害,如何使个人的敏感数据的存储和访问是当前企业亟待解决的问题。
[0003]现有的个人敏感数据存储和访问,会出现用户个人隐私和经济利益受到侵害的问题,主要问题以下:
[0004]现有的移动终端系统,所有的数据都存储在公共存储区内,没有任何安全措施,对技术人员来说,其数据存储相当于一个I盘,可以随时提取、删除;
[0005]在访问移动终端系统的数据过程中,只要申请了相关的系统访问权限,这些数据都可以访问,并且可以对里面的相关数据进行修改。在移动终端被1~00七后,移动终端持有人可以直接把相关的个人敏感数据提取全部出来。
【发明内容】
[0006]鉴于以上所述现有技术的缺点,本发明的目的在于提供一种移动终端及其数据加密方法,解决现有技术中移动终端数据安全的问题。
[0007]为实现上述目标及其他相关目标,本发明提供一种移动终端,包括:安全核心领域,建立于所述移动终端所运行系统内,包括:安全模块,用于对用户敏感数据进行加密,并将所述加密数据保存于所述安全核心领域,其中,所述安全模块用于对所述加密数据的访问行为进行验证。
[0008]可选的,所述移动终端包括:系统应用权限控制模块,用于赋予用户应用程序权限,以令所述用户应用程序能与所述安全模块建立以访问所述加密数据为目的的连接。
[0009]可选的,所述用户敏感数据包括:系统默认格式数据及用户选择数据。
[0010]可选的,所述系统默认格式数据默认被所述安全模块所加密;所述用户选择数据包括:电话、联系人、短信、密钥、安全证书、指纹数据及网银数据中的一种或多种。
[0011]可选的,所述移动终端包括:手机及平板电脑中的一种;所述安全核心领域通过八應11~1181:20116方式建立。
[0012]为实现上述目标及其他相关目标,本发明提供一种移动终端数据加密方法,包括:在所述移动终端所运行系统内建立安全核心领域;在安全核心领域建立安全模块对用户敏感数据进行加密,并将所述加密数据保存于所述安全核心领域,其中,所述安全模块用于对所述加密数据的访问行为进行验证。
[0013]可选的,所述移动终端数据加密方法,包括:通过所述移动终端所包括的系统应用权限控制模块来同所述安全模块建立连接以访问所述加密数据。
[0014]可选的,所述用户敏感数据包括:系统默认格式数据及用户选择数据。
[0015]可选的,所述系统默认格式数据默认被所述安全模块所加密;所述用户选择数据包括:电话、联系人、短信、密钥、安全证书、指纹数据及网银数据中的一种或多种。
[0016]可选的,所述的移动终端数据加密方法,包括:手机及平板电脑中的一种;所述安全核心领域通过仙1 1^1181:20116方式建立。
[0017]如上所述,本发明提供一种移动终端及其数据加密方法,在所述移动终端所运行系统内建立安全核心领域;在安全核心领域建立安全模块对用户敏感数据进行加密,并将所述加密数据保存于所述安全核心领域,其中,所述安全模块用于对所述加密数据的访问行为进行验证;实现必须通过解密用户才可访问这些用户敏感数据,且必须被赋予安全访问权限的应用程序才可以访问此解密数据;本发明从软、硬件级别保护系统的完整性,提高了移动终端系统的安全性。
【专利附图】
【附图说明】
[0018]图1显示为本发明一实施例中移动终端的运行系统的结构原理示意图。
[0019]图2显示为本发明一实施例中加密数据的构成示意图。
[0020]图3显示为本发明一实施例中移动终端的运行系统的结构原理示意图。
[0021]图4显示为本发明一实施例中移动终端数据加密方法的流程示意图。
[0022]元件标号说明
[0023]1移动终端的运行系统
[0024]11安全核心领域
[0025]111 安全模块
[0026]112 加密数据
[0027]1121 系统默认格式数据(加密)
[0028]1122 用户选择数据(加密)
[0029]12非安全核心领域
[0030]121 用户应用程序
[0031]122 系统应用程序
[0032]123 用户普通数据
[0033]13 系统应用权限控制模块
[0034]31?32方法步骤
【具体实施方式】
[0035]以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的【具体实施方式】加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
[0036]如图1所示,本发明提供一种移动终端,包括:建立于所述移动终端所运行系统1内的安全核心领域11,包括:安全模块111,用于对用户敏感数据进行加密,并将所述加密数据112保存于所述安全核心领域11,其中,所述安全模块111用于对所述加密数据112的访问行为进行验证。
[0037]在一实施例中,所述移动终端包括:手机及平板电脑中的一种,其所运行系统1为嵌入式系统,例如基于的八11(11*01(1系统;所述安全核心领域11可例如通过八咖11-1181:20116方式建立。如图所示,通过1^1181:20116技术构建一个安全核心领域11,把安全模块111进行为基于1^1181:20116构建的安全核心领域11中。系统1对安全核心领域11与非安全核心领域12作了强制隔离,使得非安全核心领域12中的进程不能访问安全核心领域11中的进程,从而使非安全核心领域12中运行的恶意软件、病毒等攻击不到安全核心领域11中的安全模块111和用户加密数据技术出现在八1^1^61(2以及较晚期的应用核心领域架构中。它提供了一种低成本的方案,针对系统单芯片(30(:)内加入专屈的安全核心领域11,由硬件建构的存取控制方式支援两颗虚拟的处理器。这个方式可使得应用程式核心领域能够在两个状态之间切换(通常改称为领域以避免和其他功能领域的名称混淆),在此架构下可以避免资讯从较可信的核心领域领域泄漏至较不安全的领域。这种内核领域之间的切换通常是与处理器其他功能完全无关联性因此各个领域可以各自独立运作但却仍能使用同一颗内核。内存和周边装置也可因此得知目前内核运作的领域为何,并能针对这个方式来提供对装置的机密和编码进行存取控制。典型的作118丨20116技术应用是要能在一个缺乏安全性的环境下完整地执行操作系统,并在可信的环境下能有更少的安全性的编码。
[0038]请一并参阅图2,在一实施例中,所述用户敏感数据包括:系统默认格式数据1121及用户选择数据1122 ;也就是说,用户敏感加密数据112可以由用户自己选择的方式进行,也可以由系统强制定义的系统默认格式进行,二个方案是相加关系,即加密的数据是用户选择和数据和系统默认格式;当用户没有选择时,加密的数据只有系统默认格式,用户选择数据1122可以是多个各类等,如电话、联系人、短信、密钥、安全证书、指纹数据、网银数据等等;所述系统默认格式数据1121默认被所述安全模块111所加密,其可例如为安装包,系统预装软件或其他和用户选择数据1122相重复的数据格式等等皆可。
[0039]具体来说,用户对数据可进行选择加密操作,被选择的文件被设为用户敏感数据时,通过安全模块111对选择的文件进行加密处理,系统1会把相应的加密数据112移植到安全核心领域11中,安全核心领域11中的数据存储的数据是加密数据112,对没有选择的数据不作处理,为用户普通数据123,存储在非安全核心领域12中;对移动终端系统1上的电话、联系人、短信、密钥、安全证书、网银数据等敏感数据,可以作为系统默认格式数据1121在安全模块111中作加密处理。
[0040]如图3所示,在一实施例中,所述移动终端包括:系统应用权限控制模块13,用于赋予用户应用程序121权限,以令所述用户应用程序121能与所述安全模块111建立以访问所述加密数据112为目的的连接。
[0041]具体来说,系统应用程序122为系统高级权限应用,可以直接通过应11*118丨20116构建的安全模块111访问用户加密数据112,也可以直接访问用户普通数据123,此数据访问是安全的访问;而用户应用程序121不能访问到用户加密数据112,只能当用户通过系统应用权限控制模块13对其权限提升时,才可以通过安全模块111对用户加密的数据进行访问,用户应用程序121在用户可以直接访问用户普通数据123 ;用户敏感数据是存储在安全核心领域11内,用户加密数据112和用户普通数据123存储完全区分开,起到了数据安全存储的目的。
[0042]从图中可以看出,所有的对用户加密数据112进行访问的都是通过安全模块111的方式进行访问,不能从其他途径进行访问,进一步增强了数据的安全访问性。
[0043]如图4所示,本发明提供一种移动终端数据加密方法,其原理与上述实施例大致相同,因此部分技术细节不再重复赘述,所述方法包括:
[0044]步骤51:在所述移动终端所运行系统内建立安全核心领域;
[0045]步骤52:在安全核心领域建立安全模块对用户敏感数据进行加密,并将所述加密数据保存于所述安全核心领域,其中,所述安全模块用于对所述加密数据的访问行为进行验证。
[0046]在一实施例中,所述移动终端数据加密方法,包括:通过所述移动终端所包括的系统应用权限控制模块来同所述安全模块建立连接以访问所述加密数据。
[0047]在一实施例中,所述用户敏感数据包括:系统默认格式数据及用户选择数据。
[0048]在一实施例中,所述系统默认格式数据默认被所述安全模块所加密;所述用户选择数据包括:电话、联系人、短信、密钥、安全证书、指纹数据及网银数据中的一种或多种。
[0049]在一实施例中,所述的移动终端数据加密方法,包括:手机及平板电脑中的一种;所述安全核心领域通过纟咖1^1181:20116方式建立。
[0050]综上所述,本发明提供一种移动终端及其数据加密方法,在所述移动终端所运行系统内建立安全核心领域;在安全核心领域建立安全模块对用户敏感数据进行加密,并将所述加密数据保存于所述安全核心领域,其中,所述安全模块用于对所述加密数据的访问行为进行验证;实现必须通过解密用户才可访问这些用户敏感数据,且必须被赋予安全访问权限的应用程序才可以访问此解密数据;本发明从软、硬件级别保护系统的完整性,提高了移动终端系统的安全性。
[0051]与现有最好技术相比,本发明的优点在于:
[0052]本发明技术方案实现了从软硬件级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行可信衡量;
[0053]本发明技术方案在启动过程中启动完整性通过检测的程序,对系统程序被恶意修改过和程序实施不启动和报告操作;
[0054]本发明技术方案实现了对移动终端进入系统时作了安全防护技术,提高了系统的抗攻击性;
[0055]本发明技术实现了在系统运行阶段实现的检测系统的安全性,对关键参数和代码作完整性度量。
[0056]上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所屈【技术领域】中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
【权利要求】
1.一种移动终端,其特征在于,包括: 安全核心领域,建立于所述移动终端所运行系统内,包括:安全模块,用于对用户敏感数据进行加密,并将所述加密数据保存于所述安全核心领域,其中,所述安全模块用于对所述加密数据的访问行为进行验证。
2.根据权利要求1所述的移动终端,其特征在于,所述移动终端包括:系统应用权限控制模块,用于赋予用户应用程序权限,以令所述用户应用程序能与所述安全模块建立以访问所述加密数据为目的的连接。
3.根据权利要求1所述的移动终端,其特征在于,所述用户敏感数据包括:系统默认格式数据及用户选择数据。
4.根据权利要求3所述的移动终端,其特征在于,所述系统默认格式数据默认被所述安全模块所加密;所述用户选择数据包括:电话、联系人、短信、密钥、安全证书、指纹数据及网银数据中的一种或多种。
5.根据权利要求1所述的移动终端,其特征在于,包括:手机及平板电脑中的一种;所述安全核心领域通过ARM TrustZone方式建立。
6.—种移动终端数据加密方法,其特征在于,包括: 在所述移动终端所运行系统内建立安全核心领域; 在安全核心领域建立安全模块对用户敏感数据进行加密,并将所述加密数据保存于所述安全核心领域,其中,所述安全模块用于对所述加密数据的访问行为进行验证。
7.根据权利要求6所述的移动终端数据加密方法,其特征在于,包括:通过所述移动终端所包括的系统应用权限控制模块来同所述安全模块建立连接以访问所述加密数据。
8.根据权利要求6所述的移动终端数据加密方法,其特征在于,所述用户敏感数据包括:系统默认格式数据及用户选择数据。
9.根据权利要求8所述的移动终端数据加密方法,其特征在于,所述系统默认格式数据默认被所述安全模块所加密;所述用户选择数据包括:电话、联系人、短信、密钥、安全证书、指纹数据及网银数据中的一种或多种。
10.根据权利要求6所述的移动终端数据加密方法,其特征在于,包括:手机及平板电脑中的一种;所述安全核心领域通过ARM TrustZone方式建立。
【文档编号】G06F21/62GK104463013SQ201410740502
【公开日】2015年3月25日 申请日期:2014年12月8日 优先权日:2014年12月8日
【发明者】朱为朋 申请人:上海斐讯数据通信技术有限公司