一种用于快速启动隔离区内安全应用的设备及方法与流程

本发明涉及信息安全领域，并且更具体地，涉及一种用于快速启动隔离区内安全应用的设备、方法以及移动终端。

背景技术：

目前，基于隔离区进行信息保护的技术通常会将应用所创建、修改以及删除的文件和数据进行虚拟化重定向，也就是说所有操作都是虚拟的。而真实的文件和注册表不会被改动，这样可以确保病毒或恶意代码无法对系统关键部位进行改动破坏系统。这种技术通过重定向把应用生成和修改的文件定向到安全文件夹中。当某个应用试图发挥作用时，可以先让它在隔离区中运行。如果这个应用含有恶意代码，则禁止其进一步运行，而这不会对系统造成任何危害。例如，在隔离区中运行浏览器或其他应用时，浏览器或其他应用所产生的变化可以随时被删除。这种方式可用来保护浏览网页或启动应用时系统的安全，也可以用来清除上网、运行程序的痕迹，还可以用来测试软件，测试病毒等用途。

最初，隔离区技术被设计用来针对计算机病毒进行处理。在个人计算机端设置虚拟空间，对虚拟空间内应用或程序进行应用程序接口(API，Application Program Interface)调用的截获，从而实现病毒隔离。通常，为了实现病毒隔离，隔离区中的应用不能调用任何本地或远程可执行程序、不能从本地计算机文件系统中读取任何信息、不能往本地计算机文件系统中写入任何信息以及不能查看少数几个无害的操作系统详细信息外的任何有关本地计算机的信息。

当用户希望使用隔离区中的应用时，首先需要启动隔离区服务。通常隔离区服务启动需要一小段时间，并且然后在隔离区服务启动后，用户才能够在隔离区中选择要执行的安全应用，例如支付宝应用。这种方式使得用户无法直接启动支付宝应用并且每次启动支付宝应用都需要观看隔离区的启动界面，导致用户体验较差。

为此，现有技术中存在对于安全应用进行快速启动的需求。

技术实现要素：

根据本发明的一个方面，提供一种用于快速启动隔离区内安全应用的设备，所述设备包括：

接口单元，用于接收用户输入的创建请求，所述创建请求用于为所述隔离区内一个或多个安全应用中的第一安全应用创建快速启动通道；

隔离区控制单元，用于根据预先设定的安全规则以及第一安全应用的创建请求来确定是否为第一安全应用创建快速启动通道，如果确定为第一安全应用创建快速启动通道则为第一安全应用创建位于隔离区外部的启动入口，并且建立所述启动入口与隔离区内第一安全应用的快速启动通道；

触发单元，用于响应于在所述启动入口处的启动动作，生成指示通过所建立的快速启动通道来启动所述第一安全应用的触发指示；以及

运行单元，根据所述触发指示，通过快速启动通道启动所述第一安全应用，并且在后台启动隔离区服务。

优选地，所述一个或多个安全应用包括：购物应用、银行应用、理财应用和支付应用。

优选地，所述快速启动通道是启动入口与第一安全应用的数据通道。

优选地，所述预先设定的安全规则包括：能够创建快速启动通道的安全应用的数量和/或能够创建快速启动通道的安全应用的列表。

优选地，所述第一安全应用的创建请求中包括第一安全应用的标识。

优选地，其中所述隔离区服务能够为隔离区内的一个或多个安全应用提供安全保护。

优选地，所述根据预先设定的安全规则以及第一安全应用的创建请求来确定是否为第一安全应用创建快速启动通道包括：如果第一安全应用的创建请求中的标识指示，所述第一安全应用位于能够创建快速启动通道的安全应用的列表中，则确定为第一安全应用创建快速启动通道。

优选地，所述根据预先设定的安全规则以及第一安全应用的创建请求来确定是否为第一安全应用创建快速启动通道包括：如果第一安全应用的创建请求中的标识指示，所述第一安全应用位于能够创建快速启动通道的安全应用的列表中并且已经建立快速启动通道的安全应用的数量小于能够创建快速启动通道的安全应用的数量，则确定为第一安全应用创建快速启动通道。

优选地，所述通过快速启动通道启动所述第一安全应用包括：通过启动入口处的启动动作触发启动消息，将所述启动消息经由快速启动通道传递给所述第一安全应用，并且第一安全应用启动。

优选地，所述在后台启动隔离区服务包括：所述第一安全应用将所述启动消息传递给隔离区控制单元，所述隔离区控制单元在后台启动隔离区服务。

根据本发明的另一方面，提供一种移动终端，包括或用于执行如上所述的用于快速启动隔离区内安全应用的设备。

根据本发明的另一方面，提供一种用于快速启动隔离区内安全应用的方法，所述方法包括：

接收用户输入的创建请求，所述创建请求用于为所述隔离区内一个或多个安全应用中的第一安全应用创建快速启动通道；

根据预先设定的安全规则以及第一安全应用的创建请求来确定是否为第一安全应用创建快速启动通道，如果确定为第一安全应用创建快速启动通道则为第一安全应用创建位于隔离区外部的启动入口，并且建立所述启动入口与隔离区内第一安全应用的快速启动通道；

用于响应于在所述启动入口处的启动动作，生成指示通过所建立的快速启动通道来启动所述第一安全应用的触发指示；以及

根据所述触发指示，通过快速启动通道启动所述第一安全应用，并且在后台启动隔离区服务。

优选地，所述一个或多个安全应用包括：购物应用、银行应用、理财应用和支付应用。

优选地，所述快速启动通道是启动入口与第一安全应用的数据通道。

优选地，所述预先设定的安全规则包括：能够创建快速启动通道的安全应用的数量和/或能够创建快速启动通道的安全应用的列表。

优选地，所述第一安全应用的创建请求中包括第一安全应用的标识。

优选地，其中所述隔离区服务能够为隔离区内的一个或多个安全应用提供安全保护。

优选地，所述根据预先设定的安全规则以及第一安全应用的创建请求来确定是否为第一安全应用创建快速启动通道包括：如果第一安全应用的创建请求中的标识指示，所述第一安全应用位于能够创建快速启动通道的安全应用的列表中，则确定为第一安全应用创建快速启动通道。

优选地，所述根据预先设定的安全规则以及第一安全应用的创建请求来确定是否为第一安全应用创建快速启动通道包括：如果第一安全应用的创建请求中的标识指示，所述第一安全应用位于能够创建快速启动通道的安全应用的列表中并且已经建立快速启动通道的安全应用的数量小于能够创建快速启动通道的安全应用的数量，则确定为第一安全应用创建快速启动通道。

优选地，所述通过快速启动通道启动所述第一安全应用包括：通过启动入口处的启动动作触发启动消息，将所述启动消息经由快速启动通道传递给所述第一安全应用，并且第一安全应用启动。

优选地，所述在后台启动隔离区服务包括：所述第一安全应用将所述启动消息传递给用于对隔离区进行控制的控制器，所述控制器在后台启动隔离区服务。

附图说明

通过参考下面的附图，可以更为完整地理解本发明的示例性实施方式：

图1为根据本发明优选实施方式的用于快速启动隔离区内安全应用的设备的结构示意图；

图2为根据本发明优选实施方式的快速启动隔离区内安全应用的示意图；

图3为根据本发明另一优选实施方式的快速启动隔离区内安全应用的示意图；以及

图4为根据本发明优选实施方式的用于快速启动隔离区内安全应用的方法的流程图。

具体实施方式

现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。

除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。

图1为根据本发明优选实施方式的用于快速启动隔离区内安全应用的设备100的结构示意图。设备100能够通过为隔离区内的安全应用在隔离区外建立快捷方式的方式来实现快速启动，而在现有技术中，手机操作系统只支持隔离区外部应用创建快捷方式，不支持隔离区内部应用在隔离区外创建快捷方式。设备100根据用户输入的创建请求和预先设定的安全规则来确定是否为安全应用创建快速启动通道，并且如果确定为第一安全应用创建快速启动通道，则为第一安全应用创建位于隔离区外部的启动入口。此外，设备100建立启动入口与隔离区内第一安全应用的快速启动通道，并且响应于在启动入口处的启动动作，生成指示通过所建立的快速启动通道来启动所述第一安全应用的触发指示。最后，设备100根据触发指示，通过快速启动通道启动所述第一安全应用，并且在后台启动隔离区服务。

优选地，在逻辑上，可以将用户设备划分为隔离区和非隔离区。其中，用户设备对隔离区中的项目，例如应用、数据(文本、音频、视频以及图片等)等，进行额外的安全保护。通常，用户设备会对其中的任何项目进行安全保护。但是，由于越来越多的项目需要进行网络访问或交互、需要与其他项目进行交互，因此用户设备不得不放开部分安全限制以对这种交互提供方便。然而，这种安全限制的放开会威胁部分安全级别较高的项目的安全性。例如，用户设备上的银行应用、理财应用、个人隐私数据等内容，可能面临着极大的安全挑战。为此，在用户设备上设置隔离区以对这些项目进行额外的安全保护。优选地，在用户设备上设置非隔离区以方便用户的操作，这是因为在例如非隔离区中的项目进行网络访问或交互时不需要进行额外的安全控制，并且因此能够提高速度和效率。此外，非隔离区也可以包括用户设备之外的区域，例如网络服务器等。在这种情况下，图2-3中所示的非隔离区202和302可以被理解为是非隔离区的一部分。

如图1所示，设备100包括：接口单元101、隔离区控制单元102、触发单元103以及运行单元104。优选地，接口单元101接收用户输入的创建请求。当用户希望针对隔离区内一个或多个安全应用中的安全应用建立快速启动通道时，向接口单元101发出创建请求。通常，当用户经常使用特定应用时，会希望每次启动特定应用时能够缩短启动时间并且减少操作步骤。在现有的方案中，当用户启动支付宝应用时，需要首先启动隔离区服务。在隔离区服务启动后，用户才可以在隔离区内选择支付宝应用并且启动支付宝应用。隔离区服务的启动自身需要一定时间，例如，2至3秒，启动过程中会显示启动画面或启动动画。这种方式会使用户的使用体验变差，并且用户可能早已对隔离区服务的启动页面或启动动画感到厌烦。优选地，通过向接口发送创建请求，用户能够请求为隔离区内一个或多个安全应用中的安全应用创建快速启动通道。

其中，一个或多个安全应用包括但不限于购物应用、银行应用、理财应用和支付应用。优选地，快速启动通道是启动入口与第一安全应用的数据通道。当用户希望通过触发启动入口来启动第一安全应用时，通过数据通道来建立启动入口与第一安全应用的关联。其中，第一安全应用的创建请求中包括第一安全应用的标识。

优选地，隔离区服务能够为隔离区内的一个或多个安全应用提供安全保护。隔离区可以是沙箱并且通过沙箱应用的方式来提供应用、数据以及网络的安全保护。沙箱应用会在用户终端内建立隔离区并且对隔离区内的应用、数据以及网络进行安全保护。其中对隔离区内的应用、数据以及网络进行安全保护的主要方式为：

1.针对应用进行安全保护：针对API组件的调用进行隔离。针对Andriod系统的四个主要组件Activity，Service,Content Provider以及BroadcastReceiver的调用进行保护。当隔离区内的应用调用隔离区外部应用的上述组件或与上述组件进行数据交互时，安全保护系统接收隔离区内的应用针对非隔离区内组件的访问请求并且将访问请求发送给隔离区控制器。随后，隔离区控制器根据访问控制策略确定所述访问请求是否被允许，在根据隔离区控制策略确定访问请求被允许的情况下，允许隔离区内的应用对非隔离区内项目进行访问。

此外，当非隔离区内的应用调用隔离区内应用的上述组件或与上述组件进行数据交互时，隔离区控制器接收非隔离区内的应用针对隔离区内项目的访问请求并且将所述访问请求发送给访问控制器。随后，访问控制器根据访问控制策略确定所述访问请求是否被允许，在根据所述访问控制策略确定所述访问请求被允许的情况下，允许非隔离区内的应用对隔离区内项目进行访问。

2.数据隔离：通过命名空间Namespace将数据存储在不同分区，例如，将处于非隔离区中过的普通应用所生成的数据存储到分区NamespaceA中，而将处于隔离区中的沙箱应用所生成的数据存储到分区NamespaceB中。这种方式使得普通应用和沙箱应用之间的数据存储是独立的，并且因此不会造成沙箱应用的数据被非法读取、修改或删除。

此外，当隔离区内的应用希望获取(包括修改、删除、读取等)隔离区外部数据时，隔离区控制器接收隔离区内的应用针对非隔离区内数据的获取请求并且将获取请求发送给访问控制器。随后，访问控制器根据访问控制策略确定所述获取请求是否被允许，在根据访问控制策略确定获取请求被允许的情况下，允许隔离区内的应用对非隔离区内的数据进行获取。

此外，当非隔离区内的应用希望获取(包括修改、删除、读取等)隔离区内的数据时，安全保护系统接收非隔离区内的应用针对隔离区内数据的获取请求并且将所述获取请求发送给访问控制器。随后，访问控制器根据访问控制策略确定所述获取请求是否被允许，在根据所述访问控制策略确定所述获取请求被允许的情况下，允许非隔离区内的应用对隔离区内数据进行获取。

3.网络隔离：将网络访问引导至安全服务器，由安全服务器实现隔离区内部应用与外部应用的交互。通常，当沙箱内部的应用想要访问外部网络时，安全保护系统在这个应用和安全服务器建立VPN连接，从而使得安全服务器替代外部网络中的服务器。这种方式能够保证沙箱内部应用的网络访问是安全的。

通常地，沙箱可以针对内部应用进行全部三种安全保护，或者针对内部应用进行三种安全保护中的任意一种或两种。

优选地，隔离区控制单元102根据预先设定的安全规则以及第一安全应用的创建请求来确定是否为第一安全应用创建快速启动通道，如果确定为第一安全应用创建快速启动通道则为第一安全应用创建位于隔离区外部的启动入口，并且建立所述启动入口与隔离区内第一安全应用的快速启动通道。其中，预先设定的安全规则包括：能够创建快速启动通道的安全应用的数量和/或能够创建快速启动通道的安全应用的列表。优选地，隔离区控制单元102会控制创建快速启动通道的安全应用的数量，从而保证安全应用的安全性。此外，能够创建快速启动通道的安全应用的列表中记录了可以创建快速启动通道的安全应用。

优选地，根据预先设定的安全规则以及第一安全应用的创建请求来确定是否为第一安全应用创建快速启动通道包括：如果第一安全应用的创建请求中的标识指示，所述第一安全应用位于能够创建快速启动通道的安全应用的列表中，则确定为第一安全应用创建快速启动通道。可替换地，根据预先设定的安全规则以及第一安全应用的创建请求来确定是否为第一安全应用创建快速启动通道包括：如果第一安全应用的创建请求中的标识指示，所述第一安全应用位于能够创建快速启动通道的安全应用的列表中并且已经建立快速启动通道的安全应用的数量小于能够创建快速启动通道的安全应用的数量，则确定为第一安全应用创建快速启动通道。

优选地，触发单元103，用于响应于在所述启动入口处的启动动作，生成指示通过所建立的快速启动通道来启动所述第一安全应用的触发指示。随后，触发单元103会将触发指示发送给运行单元104。

优选地，运行单元104，根据所述触发指示，通过快速启动通道启动所述第一安全应用，并且在后台启动隔离区服务。其中通过快速启动通道启动所述第一安全应用包括：通过启动入口处的启动动作触发启动消息，将所述启动消息经由快速启动通道传递给所述第一安全应用，并且第一安全应用启动。优选地，在后台启动隔离区服务包括：所述第一安全应用将所述启动消息传递给隔离区控制单元，所述隔离区控制单元在后台启动隔离区服务。例如，在后台启动隔离区服务时，设备100不显示隔离区服务的启动画面或启动动画。

优选地，根据本发明的优选实施方式，如上所述的设备100可以被包括在移动终端中，或由移动终端来执行。

图2为根据本发明优选实施方式的快速启动隔离区内安全应用的示意图。用户终端200用于为一个或多个应用提供运行环境，并且对一个或多个应用的运行进行监控。优选地，用户终端200可以用于订购商品、预定车票、预定餐馆、订购基金、银行转账、网络支付或建立约车业务等。为此，在用户终端200上可以运行购物应用、订票应用、订餐应用、基金应用、银行应用、支付应用和约车应用。在众多的应用中，部分应用的使用涉及用户的财产安全，例如订购基金、银行转账和网络支付。因此，用户终端200需要对用户的财产安全的应用进行额外的安全保护。

为此，在逻辑上，可以将用户终端200划分为隔离区201和非隔离区202。其中，用户终端200对隔离区中的项目，例如安全应用1、安全应用2、安全应用3…安全应用N进行额外的安全保护。通常，用户终端200会对其中的任何项目进行安全保护。但是，由于越来越多的项目需要进行网络访问或交互、需要与其他项目进行交互，因此用户设备不得不放开部分安全限制以对这种交互提供方便。然而，这种安全限制的放开会威胁部分安全级别较高的项目的安全性。例如，用户终端200上的银行应用、理财应用、支付应用等内容，可能面临着极大的安全挑战。

为此，在用户终端200上设置隔离区201以对这些项目进行额外的安全保护。优选地，在用户设备上设置非隔离区202以方便用户的操作，这是因为在例如非隔离区中的项目进行网络访问或交互时不需要进行额外的安全控制，并且因此能够提高速度和效率。此外，非隔离区202也可以包括用户设备之外的区域，例如网络服务器等。在这种情况下，图2-3中所示的非隔离区202和302可以被理解为是非隔离区的一部分。

优选地，隔离区控制器用于启动隔离区服务器、控制隔离区内安全应用的运行等。在接收到用户输入的用于为隔离区201内安全应用1创建快速启动通道的创建请求后，隔离区控制器根据预先设定的安全规则以及创建请求来确定是否为安全应用1创建快速启动通道203，如果隔离区控制器确定为安全应用1创建快速启动通道203则为安全应用1创建位于隔离区外部的启动入口1，并且建立所述启动入口1与隔离区201内安全应用1的快速启动通道203。稍后，响应于在启动入口1处的启动动作，隔离区控制器生成指示通过所建立的快速启动通道来启动安全应用1的触发指示，并且根据触发指示，通过快速启动通道启动安全应用1，并且在后台启动隔离区服务。

图3为根据本发明另一优选实施方式的快速启动隔离区内安全应用的示意图。根据上面所述的方式，用户终端300已经为隔离区301内的安全应用1和2创建了与启动入口1和2的快速启动通道。如果用户终端300已经将能够创建快速启动通道的安全应用的数量设置为2，那么已经建立快速启动通道的安全应用的数量已经等于能够创建快速启动通道的安全应用的数量，则无法为安全应用3创建快速启动通道。

图4为根据本发明优选实施方式的用于快速启动隔离区内安全应用的方法400的流程图。方法400能够通过为隔离区内的安全应用在隔离区外建立快捷方式的方式来实现快速启动，而在现有技术中，手机操作系统只支持隔离区外部应用创建快捷方式，不支持隔离区内部应用在隔离区外创建快捷方式。方法400根据用户输入的创建请求和预先设定的安全规则来确定是否为安全应用创建快速启动通道，并且如果确定为第一安全应用创建快速启动通道，则为第一安全应用创建位于隔离区外部的启动入口。此外，方法400建立启动入口与隔离区内第一安全应用的快速启动通道，并且响应于在启动入口处的启动动作，生成指示通过所建立的快速启动通道来启动所述第一安全应用的触发指示。最后，方法400根据触发指示，通过快速启动通道启动所述第一安全应用，并且在后台启动隔离区服务。

优选地，在逻辑上，可以将用户设备划分为隔离区和非隔离区。其中，用户设备对隔离区中的项目，例如应用、数据(文本、音频、视频以及图片等)等，进行额外的安全保护。通常，用户设备会对其中的任何项目进行安全保护。但是，由于越来越多的项目需要进行网络访问或交互、需要与其他项目进行交互，因此用户设备不得不放开部分安全限制以对这种交互提供方便。然而，这种安全限制的放开会威胁部分安全级别较高的项目的安全性。例如，用户设备上的银行应用、理财应用、个人隐私数据等内容，可能面临着极大的安全挑战。为此，在用户设备上设置隔离区以对这些项目进行额外的安全保护。优选地，在用户设备上设置非隔离区以方便用户的操作，这是因为在例如非隔离区中的项目进行网络访问或交互时不需要进行额外的安全控制，并且因此能够提高速度和效率。

如图4所示，方法400从步骤401处开始。优选地，在步骤401，接收用户输入的创建请求。当用户希望针对隔离区内一个或多个安全应用中的安全应用建立快速启动通道时，向接口单元发出创建请求。通常，当用户经常使用特定应用时，会希望每次启动特定应用时能够缩短启动时间并且减少操作步骤。在现有的方案中，当用户启动支付宝应用时，需要首先启动隔离区服务。在隔离区服务启动后，用户才可以在隔离区内选择支付宝应用并且启动支付宝应用。隔离区服务的启动自身需要一定时间，例如，2至3秒，启动过程中会显示启动画面或启动动画。这种方式会使用户的使用体验变差，并且用户可能早已对隔离区服务的启动页面或启动动画感到厌烦。优选地，通过向接口发送创建请求，用户能够请求为隔离区内一个或多个安全应用中的安全应用创建快速启动通道。

其中，一个或多个安全应用包括但不限于购物应用、银行应用、理财应用和支付应用。优选地，快速启动通道是启动入口与第一安全应用的数据通道。当用户希望通过触发启动入口来启动第一安全应用时，通过数据通道来建立启动入口与第一安全应用的关联。其中，第一安全应用的创建请求中包括第一安全应用的标识。

优选地，在步骤402，根据预先设定的安全规则以及第一安全应用的创建请求来确定是否为第一安全应用创建快速启动通道，如果确定为第一安全应用创建快速启动通道则为第一安全应用创建位于隔离区外部的启动入口，并且建立所述启动入口与隔离区内第一安全应用的快速启动通道。其中，预先设定的安全规则包括：能够创建快速启动通道的安全应用的数量和/或能够创建快速启动通道的安全应用的列表。优选地，方法400会控制创建快速启动通道的安全应用的数量，从而保证安全应用的安全性。此外，能够创建快速启动通道的安全应用的列表中记录了可以创建快速启动通道的安全应用。

优选地，根据预先设定的安全规则以及第一安全应用的创建请求来确定是否为第一安全应用创建快速启动通道包括：如果第一安全应用的创建请求中的标识指示，所述第一安全应用位于能够创建快速启动通道的安全应用的列表中，则确定为第一安全应用创建快速启动通道。可替换地，根据预先设定的安全规则以及第一安全应用的创建请求来确定是否为第一安全应用创建快速启动通道包括：如果第一安全应用的创建请求中的标识指示，所述第一安全应用位于能够创建快速启动通道的安全应用的列表中并且已经建立快速启动通道的安全应用的数量小于能够创建快速启动通道的安全应用的数量，则确定为第一安全应用创建快速启动通道。

优选地，在步骤403，响应于在所述启动入口处的启动动作，生成指示通过所建立的快速启动通道来启动所述第一安全应用的触发指示。

优选地，在步骤404，根据所述触发指示，通过快速启动通道启动所述第一安全应用，并且在后台启动隔离区服务。其中通过快速启动通道启动所述第一安全应用包括：通过启动入口处的启动动作触发启动消息，将所述启动消息经由快速启动通道传递给所述第一安全应用，并且第一安全应用启动。优选地，在后台启动隔离区服务包括：所述第一安全应用将所述启动消息传递给隔离区控制单元，所述隔离区控制单元在后台启动隔离区服务。例如，在后台启动隔离区服务时，方法400不显示隔离区服务的启动画面或启动动画。

已经通过参考少量实施方式描述了本发明。然而，本领域技术人员所公知的，正如附带的专利权利要求所限定的，除了本发明以上公开的其他的实施例等同地落在本发明的范围内。

通常地，在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释，除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例，除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行，除非明确地说明。