数据安全保护方法、装置及存储介质与流程
本申请涉及数据安全领域,特别涉及一种数据安全保护方法、装置及存储介质。
背景技术:
设备的cpu(centralprocessingunit,中央处理器)在运行时,cpu的执行环境一般分为ree(richexecutionenvironment,富执行环境)和tee(trustexecutionenvironment,可信执行环境)。其中,ree和tee在物理上是隔离的,ree和tee各自运行独立的软件。ree一般用于运行linux或android等操作系统软件。tee一般用于执行安全性要求相对较高的行为,如指纹识别或支付等。而且,ree和tee可以共享内存,tee可以访问ree的内存,但ree不能访问tee的私有内存。
由于tee的执行环境安全性较高,因此tee中的数据不易被窃取或篡改,但是ree的执行环境安全性相对较低,因此,为了保护ree的数据安全,防止数据被窃取或篡改,需要对ree的数据安全进行保护。
技术实现要素:
本申请实施例提供了一种数据安全保护方法、装置及存储介质,可以用于解决相关技术中存在的数据安全较低的问题。所述技术方案如下:
一方面,提供了一种数据安全保护方法,所述方法包括:
通过可信执行环境tee获取系统级芯片soc的efuse中存储的芯片相关信息;
在所述tee中基于所述芯片相关信息生成安全密钥;
通过所述tee获取富执行环境ree中的目标数据;
在所述tee中采用所述安全密钥对所述目标数据进行加密,得到加密数据;
通过所述tee将所述加密数据存储在所述ree的数据存储空间中。
可选地,所述在所述tee中基于所述芯片相关信息生成安全密钥,包括:
在所述tee中,采用对称性密钥生成算法对所述芯片相关信息进行处理,得到所述安全密钥。
可选地,所述在所述tee中,采用对称性密钥生成算法对所述芯片相关信息进行处理,得到所述安全密钥,包括:
在所述tee中,采用对称性密钥生成算法对所述芯片相关信息和预设信息进行处理,得到所述安全密钥;
其中,所述预设信息包括预设字符串、所述soc的芯片标识或者所述数据存储空间的芯片标识。
可选地,所述通过所述tee将所述加密数据存储在所述ree的数据存储空间中之后,还包括:
通过所述tee获取所述ree中的所述加密数据;
在所述tee中采用所述安全密钥对所述加密数据进行解密,得到所述目标数据。
可选地,所述在所述tee中基于所述芯片相关信息生成安全密钥,包括:
在所述tee中,采用非对称性密钥生成算法对所述芯片相关信息进行处理,生成一对私钥和公钥;
通过所述tee将所述公钥存储在所述数据存储空间中的指定分区中,所述指定分区是指具有安全特性的分区;
所述在所述tee中采用所述安全密钥对所述目标数据进行加密,得到加密数据,包括:
在所述tee中,采用预设摘要算法提取所述目标数据的摘要,得到第一摘要;
在所述tee中,采用所述私钥对所述第一摘要进行加密,得到签名信息;
将所述目标数据和所述签名信息,确定为所述加密数据。
可选地,所述在所述tee中,采用非对称性密钥生成算法对所述芯片相关信息进行处理,生成一对私钥和公钥,包括:
在所述tee中,采用非对称性密钥生成算法对所述芯片相关信息和预设信息进行处理,生成所述私钥和公钥;
其中,所述预设信息包括预设字符串、所述soc的芯片标识或者所述数据存储空间的芯片标识。
可选地,所述通过所述tee将所述加密数据存储在所述ree的数据存储空间中之后,还包括:
通过所述ree获取所述数据存储空间中的加密数据;
通过所述ree从所述数据存储空间中的指定分区中获取所述公钥;
在所述ree中,采用所述公钥对所述加密数据中的数据进行安全校验。
可选地,所述采用所述公钥对所述加密数据中的数据进行安全校验,包括:
采用所述公钥对所述加密数据中的签名信息进行解密,得到所述第一摘要;
在所述ree中,采用所述预设摘要算法提取所述加密数据中数据的摘要,得到第二摘要;
若所述第一摘要与所述第二摘要相同,则确定所述加密数据中的数据通过安全校验。
另一方面,提供了一种数据安全保护装置,所述装置包括:
第一获取模块,用于通过可信执行环境tee读取系统级芯片soc的efuse中存储的芯片相关信息;
生成模块,用于在所述tee中基于所述芯片相关信息生成安全密钥;
第二获取模块,用于通过所述tee获取富执行环境ree中的目标数据;
加密模块,用于在所述tee中采用所述安全密钥对所述目标数据进行加密,得到加密数据;
存储模块,用于通过所述tee将所述加密数据存储在所述ree的数据存储空间中。
可选地,所述生成模块用于:
在所述tee中,采用对称性密钥生成算法对所述芯片相关信息进行处理,得到所述安全密钥。
可选地,所述生成模块用于:
在所述tee中,采用对称性密钥生成算法对所述芯片相关信息和预设信息进行处理,得到所述安全密钥;
其中,所述预设信息包括预设字符串、所述soc的芯片标识或者所述数据存储空间的芯片标识。
可选地,所述装置还包括:
第三获取模块,用于通过所述tee获取所述ree中的所述加密数据;
第一解密模块,用于在所述tee中采用所述安全密钥对所述加密数据进行解密,得到所述目标数据。
可选地,所述生成模块用于:
在所述tee中,采用非对称性密钥生成算法对所述芯片相关信息进行处理,生成一对私钥和公钥;
通过所述tee将所述公钥存储在所述数据存储空间中的指定分区中,所述指定分区是指具有安全特性的分区;
所述加密模块用于:
在所述tee中,采用预设摘要算法提取所述目标数据的摘要,得到第一摘要;
在所述tee中,采用所述私钥对所述第一摘要进行加密,得到签名信息;
将所述目标数据和所述签名信息,确定为所述加密数据。
可选地,所述生成模块用于:
在所述tee中,采用非对称性密钥生成算法对所述芯片相关信息和预设信息进行处理,生成所述私钥和公钥;
其中,所述预设信息包括预设字符串、所述soc的芯片标识或者所述数据存储空间的芯片标识。
可选地,所述装置还包括:
第四获取模块,用于通过所述ree获取所述数据存储空间中的加密数据;
第五获取模块,用于通过所述ree从所述数据存储空间中的指定分区中获取所述公钥;
校验模块,用于在所述ree中,采用所述公钥对所述加密数据中的数据进行安全校验。
可选地,所述校验模块用于:
采用所述公钥对所述加密数据中的签名信息进行解密,得到所述第一摘要;
在所述ree中,采用所述预设摘要算法提取所述加密数据中数据的摘要,得到第二摘要;
若所述第一摘要与所述第二摘要相同,则确定所述加密数据中的数据通过安全校验。
另一方面,提供了一种数据安全保护装置,所述装置包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行上述任一种数据安全保护方法的步骤。
另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,所述指令被处理器执行时实现上述任一种数据安全保护方法的步骤。
另一方面,提供了一种计算机程序产品,当所述计算机程序产品被执行时,用于实现上述任一种数据安全保护方法的步骤。
本申请实施例提供的技术方案带来的有益效果是:
本申请实施例中,可以在tee中基于系统级芯片soc的efuse中存储的芯片相关信息生成安全密钥,并使用安全密钥对ree中的数据进行加密,以对ree中的数据进行安全保护。由于每个设备的soc的efuse存储信息都是独一无二的,且efuse存储信息只有在tee中可以读取,tee从软件和硬件上对读写操作进行了保护,攻击者无法获取efuse信息和安全密钥,因此也就无法对ree的加密数据进行解密,从而保护了数据安全,避免了数据被窃取或篡改。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种数据安全保护方法的流程图;
图2是本申请实施例提供的一种安全密钥生成过程示意图;
图3是本申请实施例提供的另一种安全密钥生成过程示意图;
图4是本申请实施例提供的一种数据加密过程示意图;
图5是本申请实施例提供的另一种数据加密过程示意图;
图6是本申请实施例提供的一种数据解密过程示意图;
图7是本申请实施例提供的一种数据安全校验过程示意图;
图8是本申请实施例提供的一种数据安全保护装置的框图;
图9是本申请实施例提供的一种终端900的结构框图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
在对本申请实施例进行详细地解释说明之前,先对本申请实施例涉及的名词进行解释。
ree:cpu的富执行环境,一般用于运行linux或android等操作系统软件,或者其他常规任务。
tee:cpu的可信执行环境,用于执行安全性要求相对较高的行为,如指纹识别或支付等。
soc(systemonchip,系统级芯片):也称片上芯片,是一个有专用目标的集成电路,其中包含完整系统并有嵌入软件的全部内容。
efuse:是一种重要的非易失性存储单元,由熔丝结构构成,通过熔丝可以在芯片上编程并存储信息。efuse通常为一次性可编程存储器。cpu可以使用efuse存储芯片相关信息。
emmc(embeddedmultimediacard,嵌入式多媒体存储卡):用于存储文件等,存储内容断电可保存。
rpmb(replayprotectedmemoryblock,重放保护存储块):emmc中一个具有安全特性的分区。写入数据到rpmb时,需要校验数据的合法性,只有指定的host(执行主体,如tee)才能够写入。读数据时,也提供了签名机制,保证host读取到的数据是rpmb内部数据,而不是攻击者伪造的数据。
接下来对本申请实施例的实施环境进行简单介绍。
本申请实施例提供的方法用于保护数据安全。作为一个示例,本申请可以对用户使用过程中生成的隐私数据进行安全保护,如对用户账户密码、支付信息或系统快照等隐私数据进行安全保护。
数据安全的需求主要有防窃取和防篡改。防窃取需要对完整的数据进行加密,防篡改可以对数据提取摘要后,只对摘要进行加密,验证解密后的摘要与读取数据的摘要是否一致即可确认数据是否可用。本申请中,利用efuse生成的安全密钥在对称性加密方案和非对称性加密方案中均适用,且对称性加密方案和非对称性加密方案均可实现防窃取和防篡改。比如,可以通过对称性加密方案实现数据的防窃取,通过非对称性加密方案实现数据的放篡改。
接下来对本申请实施例提供的数据安全保护方法进行详细介绍。
图1是本申请实施例提供的一种数据安全保护方法的流程图,该方法应用于电子设备中,电子设备可以为终端或服务器等,终端可以为手机、平板电脑或计算机等。如图1所示,该方法包括如下步骤:
步骤101:通过tee获取soc的efuse中存储的芯片相关信息。
也即是,在tee中读取soc的efuse中存储的芯片相关信息。
其中,efuse是一种重要的非易失性存储单元,由熔丝结构构成,通过熔丝可以在芯片上编程并存储信息。efuse通常为一次性可编程存储器。cpu可以使用efuse存储芯片相关信息。
需要说明的而是,每个设备的soc的efuse存储信息都是独一无二的,且efuse存储信息只有在tee中才可以读取,因此,只能通过tee读取efuse中存储的芯片相关信息。
步骤102:在tee中基于芯片相关信息生成安全密钥。
作为一个示例,在tee中基于芯片相关信息生成安全密钥可以应用于对称性加密场景中,也可以应用于非对称加密场景中,根据应用场景的不同,生成安全密钥的过程包括以下两种实现方式:
1)对称性加密场景:在tee中,采用对称性密钥生成算法对芯片相关信息进行处理,得到安全密钥。
其中,该安全密钥为对称性加密所使用的安全密钥。对称性加密方案中,加密过程和解密过程使用相同的安全密钥。
作为一个示例,对称性密钥生成算法可以为hmac(hash-basedmessageauthenticationcode,哈希消息认证码)或md5(messagedigestalgorithmmd5,第五版摘要提取算法)等。
作为另一示例,还可以基于芯片相关信息和预设信息生成安全密钥。比如,在tee中,采用对称性密钥生成算法对芯片相关信息和预设信息进行处理,得到安全密钥。
其中,该预设信息为轻易不会改变的数据。比如,可以为预设字符串、soc的芯片标识或者ree的数据存储空间的芯片标识等。
其中,soc的芯片标识可以为soc的芯片id(identitydocument,身份标识)等。数据存储空间的芯片标识可以为数据存储空间的芯片id。该数据存储空间可以为emmc、ufs(universalflashstorage,通用闪存存储)或sd(securedigitalmemorycard,安全数码卡)等。
请参考图2,在tee中,可以获取efuse中存储的芯片相关信息,然后基于芯片相关信息,或者芯片相关信息和预设信息生成安全密钥。
2)非对称性加密场景:在tee中,采用非对称性密钥生成算法对芯片相关信息进行处理,生成一对私钥和公钥。
其中,该私钥和公钥为非对称性加密所使用的安全密钥。非对称性加密方案中,通常使用私钥进行加密,使用公钥进行解密。
作为另一示例,还可以基于芯片相关信息和预设信息生成安全密钥。比如,在tee中,采用非对称性密钥生成算法对芯片相关信息和预设信息进行处理,得到安全密钥。其中,该预设信息为轻易不会改变的数据,比如,可以为预设字符串、soc的芯片标识或者ree的数据存储空间的芯片标识等。
另外,在生成私钥和公钥之后,还可以通过tee将公钥存储在ree的数据存储空间中的指定分区中,指定分区是指具有安全特性的分区。
通过将公钥保存在具有安全特性的指定分区中,可以保证公钥不会被攻击者轻易读取和篡改,从而保证公钥的安全性。
示例的,若该数据存储空间为emmc,则指定分区可以为emmc的rpmb。rpmb具有安全特征,写入数据到rpmb时,需要校验数据的合法性,只有指定的host(执行主体,如tee)才能够写入。读数据时,也提供了签名机制,保证host读取到的数据是rpmb内部数据,而不是攻击者伪造的数据。
请参考图3,在tee中,可以获取efuse中存储的芯片相关信息,基于芯片相关信息,或者芯片相关信息和预设信息生成一对私钥和公钥,然后将公钥写入到emmc的rpmb分区。
步骤103:通过tee获取ree中的目标数据。
由于tee可以读取ree的内存,因此,可以通过ree读取ree中的数据,作为待加密的目标数据。
其中,目标数据可以为安全性要求较高的数据或者用户的隐私数据等,比如,目标数据可以为用户账户密码、支付信息或系统快照等。
步骤104:在tee中采用安全密钥对目标数据进行加密,得到加密数据。
根据应用场景的不同,采用安全密钥对目标数据进行加密的过程可以包括以下几种实现方式:
1)对称性加密场景:在tee中采用安全密钥对目标数据进行加密,将加密处理后的目标数据作为加密数据。
2)非对称性加密场景:在tee中,采用预设摘要提取算法提取目标数据的摘要,得到第一摘要,采用私钥对第一摘要进行加密,得到签名信息,将目标数据和签名信息,确定为加密数据。
其中,预设摘要提取算法用于提取目标数据的摘要。示例的,预设摘要提取算法可以为sha256(哈希长度为256的哈希算法)或md5等。
由于每个soc芯片的efuse存储信息都是唯一的,保存到数据存储空间中的数据在另一soc芯片上是无法被解密的,基于此特性,本申请实现了加密信息与芯片的绑定,即采用soc芯片的efuse存储信息生成的安全密钥对数据进行加密,使得使隐私数据不会被其他芯片使用,也无法被随意修改,保护数据安全。
步骤105:通过tee将加密数据存储在ree的数据存储空间中。
也即是,通过tee将加密数据写入到ree的数据存储空间中。该数据存储空间可以为emmc、ufs或sd等。
1)对称性加密场景:将采用安全密钥对目标数据进行加密得到的加密数据,存储在数据存储空间中。
请参考图4,tee可以获取ree的数据,然后使用安全密钥对获取的数据进行加密,得到加密数据,再将加密数据写入到ree中。
2)非对称性加密场景:将目标数据和签名信息作为加密数据存储在该数据存储空间中。
请参考图5,tee可以获取ree的数据,然后提取数据的摘要,使用私钥对摘要进行加密,得到签名信息,将目标数据和签名信息作为加密数据写入到ree中。
步骤106:获取数据存储空间中的加密数据,对加密数据进行解密或者进行安全校验。
1)对称性加密场景:通过tee获取ree中的加密数据,在tee中采用安全密钥对所述加密数据进行解密,得到目标数据。
也即是,在tee中获取ree的加密数据,并在tee中使用安全密钥对加密数据进行解密。
通过使用安全密钥对数据进行加密,则在获取到加密数据之后,使用安全密钥对加密数据进行解密才能获取到加密前的原始数据。如此,即使其他设备获取到ree的加密数据,由于没有安全密钥,也无法对加密数据进行解密来获取原始数据,从而减小了数据被窃取的风险,保护了数据安全。
请参考图6,tee可以读取ree的加密数据,然后使用安全密钥对加密数据进行解密,得到加密前的数据。
2)非对称性加密场景:通过ree获取数据存储空间中的加密数据,通过ree从数据存储空间的指定分区中获取公钥,在ree中,采用公钥对加密数据中的数据进行安全校验。
也即是,在ree中获取加密数据,并从指定分区获取公钥,然后使用公钥对加密数据中的数据进行安全校验,以验证加密数据中的数据是否可用。
作为一个示例,采用公钥对加密数据中的数据进行安全校验的操作可以包括:采用公钥对加密数据中的签名信息进行解密,得到第一摘要;采用预设摘要提取算法提取加密数据中数据的摘要,得到第二摘要;若第一摘要与第二摘要相同,则确定加密数据中的数据通过安全校验,即加密数据中的数据可用,未被篡改。另外,若第一摘要与第二摘要不同,则确定加密数据中的数据未通过安全校验,即加密数据中的数据有可能被篡改,数据是不安全的。
由上可知,通过使用非对称性方案进行加密和解密,可以防止数据被篡改,保证数据的安全性。
请参考图7,ree可以从emmc的rpmb分区中读取公钥,然后读取加密数据,该加密数据包括数据和签名信息,之后,使用预设摘要提取算法提取数据的摘要,得到一个摘要,使用公钥对签名信息进行解密,得到另一个摘要,若两个摘要相同,则表示数据通过安全校验,该数据可用。
本申请实施例中,数据的安全校验可以完全在ree中实现。在计算安全密钥时,tee已经将公钥写入到rpmb分区,ree中可以读取此公钥,但是无法对rpmb分区进行修改,所以可以保证公钥不被随意修改。ree读取数据,并对数据计算摘要,再利用公钥对签名信息进行解密得到另一摘要,如果两者一致,数据未被篡改,否则认为数据是不安全的。
需要说明的是,本申请实施例仅是以将基于efuse中存储的芯片相关信息生成的安全密钥应用于上述场景中为例进行说明,而实际应用中,基于efuse中存储的芯片相关信息生成的安全密钥还可以应用于其他场景中,本申请实施例对此不作限定。
本申请实施例中,可以在tee中基于系统级芯片soc的efuse中存储的芯片相关信息生成安全密钥,并使用安全密钥对ree中的数据进行加密,以对ree中的数据进行安全保护。由于每个设备的soc的efuse存储信息都是独一无二的,且efuse存储信息只有在tee中可以读取,tee从软件和硬件上对读写操作进行了保护,攻击者无法获取efuse信息和安全密钥,因此也就无法对ree的加密数据进行解密,从而保护了数据安全,避免了数据被窃取或篡改。
图8是本申请实施例提供的一种数据安全保护装置的框图,如图8所示,该装置包括:第一获取模块801、生成模块802、第二获取模块803、加密模块804和存储模块805。
第一获取模块801,用于通过可信执行环境tee读取系统级芯片soc的efuse中存储的芯片相关信息;
生成模块802,用于在所述tee中基于所述芯片相关信息生成安全密钥;
第二获取模块803,用于通过所述tee获取富执行环境ree中的目标数据;
加密模块804,用于在所述tee中采用所述安全密钥对所述目标数据进行加密,得到加密数据;
存储模块805,用于通过所述tee将所述加密数据存储在所述ree的数据存储空间中。
可选地,所述生成模块802用于:
在所述tee中,采用对称性密钥生成算法对所述芯片相关信息进行处理,得到所述安全密钥。
可选地,所述生成模块802用于:
在所述tee中,采用对称性密钥生成算法对所述芯片相关信息和预设信息进行处理,得到所述安全密钥;
其中,所述预设信息包括预设字符串、所述soc的芯片标识或者所述数据存储空间的芯片标识。
可选地,所述装置还包括:
第三获取模块,用于通过所述tee获取所述ree中的所述加密数据;
第一解密模块,用于在所述tee中采用所述安全密钥对所述加密数据进行解密,得到所述目标数据。
可选地,所述生成模块802用于:
在所述tee中,采用非对称性密钥生成算法对所述芯片相关信息进行处理,生成一对私钥和公钥;
通过所述tee将所述公钥存储在所述数据存储空间中的指定分区中,所述指定分区是指具有安全特性的分区;
所述加密模块804用于:
在所述tee中,采用预设摘要算法提取所述目标数据的摘要,得到第一摘要;
在所述tee中,采用所述私钥对所述第一摘要进行加密,得到签名信息;
将所述目标数据和所述签名信息,确定为所述加密数据。
可选地,所述生成模块802用于:
在所述tee中,采用非对称性密钥生成算法对所述芯片相关信息和预设信息进行处理,生成所述私钥和公钥;
其中,所述预设信息包括预设字符串、所述soc的芯片标识或者所述数据存储空间的芯片标识。
可选地,所述装置还包括:
第四获取模块,用于通过所述ree获取所述数据存储空间中的加密数据;
第五获取模块,用于通过所述ree从所述数据存储空间中的指定分区中获取所述公钥;
校验模块,用于在所述ree中,采用所述公钥对所述加密数据中的数据进行安全校验。
可选地,所述校验模块用于:
采用所述公钥对所述加密数据中的签名信息进行解密,得到所述第一摘要;
在所述ree中,采用所述预设摘要算法提取所述加密数据中数据的摘要,得到第二摘要;
若所述第一摘要与所述第二摘要相同,则确定所述加密数据中的数据通过安全校验。
本申请实施例中,可以在tee中基于系统级芯片soc的efuse中存储的芯片相关信息生成安全密钥,并使用安全密钥对ree中的数据进行加密,以对ree中的数据进行安全保护。由于每个设备的soc的efuse存储信息都是独一无二的,且efuse存储信息只有在tee中可以读取,tee从软件和硬件上对读写操作进行了保护,攻击者无法获取efuse信息和安全密钥,因此也就无法对ree的加密数据进行解密,从而保护了数据安全,避免了数据被窃取或篡改。
需要说明的是:上述实施例提供的数据安全保护装置在进行数据安全保护时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的数据安全保护装置与数据安全保护方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图9是本申请实施例提供的一种终端900的结构框图。该终端900可以是:智能手机、平板电脑、mp3播放器(movingpictureexpertsgroupaudiolayeriii,动态影像专家压缩标准音频层面3)、mp4(movingpictureexpertsgroupaudiolayeriv,动态影像专家压缩标准音频层面4)播放器、笔记本电脑或台式电脑。终端900还可能被称为用户设备、便携式终端、膝上型终端、台式终端等其他名称。
通常,终端900包括有:处理器901和存储器902。
处理器901可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器901可以采用dsp(digitalsignalprocessing,数字信号处理)、fpga(field-programmablegatearray,现场可编程门阵列)、pla(programmablelogicarray,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器901也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称cpu(centralprocessingunit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器901可以在集成有gpu(graphicsprocessingunit,图像处理器),gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器901还可以包括ai(artificialintelligence,人工智能)处理器,该ai处理器用于处理有关机器学习的计算操作。
存储器902可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器902还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中,存储器902中的非暂态的计算机可读存储介质用于存储至少一个指令,该至少一个指令用于被处理器901所执行以实现本申请中方法实施例提供的数据安全保护方法。
在一些实施例中,终端900还可选包括有:外围设备接口903和至少一个外围设备。处理器901、存储器902和外围设备接口903之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口903相连。具体地,外围设备包括:射频电路904、触摸显示屏905、摄像头906、音频电路907、定位组件908和电源909中的至少一种。
外围设备接口903可被用于将i/o(input/output,输入/输出)相关的至少一个外围设备连接到处理器901和存储器902。在一些实施例中,处理器901、存储器902和外围设备接口903被集成在同一芯片或电路板上;在一些其他实施例中,处理器901、存储器902和外围设备接口903中的任意一个或两个可以在单独的芯片或电路板上实现,本实施例对此不加以限定。
射频电路904用于接收和发射rf(radiofrequency,射频)信号,也称电磁信号。射频电路904通过电磁信号与通信网络以及其他通信设备进行通信。射频电路904将电信号转换为电磁信号进行发送,或者,将接收到的电磁信号转换为电信号。可选地,射频电路904包括:天线系统、rf收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路904可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于:城域网、各代移动通信网络(2g、3g、4g及5g)、无线局域网和/或wifi(wirelessfidelity,无线保真)网络。在一些实施例中,射频电路904还可以包括nfc(nearfieldcommunication,近距离无线通信)有关的电路,本申请对此不加以限定。
显示屏905用于显示ui(userinterface,用户界面)。该ui可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏905是触摸显示屏时,显示屏905还具有采集在显示屏905的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器901进行处理。此时,显示屏905还可以用于提供虚拟按钮和/或虚拟键盘,也称软按钮和/或软键盘。在一些实施例中,显示屏905可以为一个,设置终端900的前面板;在另一些实施例中,显示屏905可以为至少两个,分别设置在终端900的不同表面或呈折叠设计;在再一些实施例中,显示屏905可以是柔性显示屏,设置在终端900的弯曲表面上或折叠面上。甚至,显示屏905还可以设置成非矩形的不规则图形,也即异形屏。显示屏905可以采用lcd(liquidcrystaldisplay,液晶显示屏)、oled(organiclight-emittingdiode,有机发光二极管)等材质制备。
摄像头组件906用于采集图像或视频。可选地,摄像头组件906包括前置摄像头和后置摄像头。通常,前置摄像头设置在终端的前面板,后置摄像头设置在终端的背面。在一些实施例中,后置摄像头为至少两个,分别为主摄像头、景深摄像头、广角摄像头、长焦摄像头中的任意一种,以实现主摄像头和景深摄像头融合实现背景虚化功能、主摄像头和广角摄像头融合实现全景拍摄以及vr(virtualreality,虚拟现实)拍摄功能或者其它融合拍摄功能。在一些实施例中,摄像头组件906还可以包括闪光灯。闪光灯可以是单色温闪光灯,也可以是双色温闪光灯。双色温闪光灯是指暖光闪光灯和冷光闪光灯的组合,可以用于不同色温下的光线补偿。
音频电路907可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波,并将声波转换为电信号输入至处理器901进行处理,或者输入至射频电路904以实现语音通信。出于立体声采集或降噪的目的,麦克风可以为多个,分别设置在终端900的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。扬声器则用于将来自处理器901或射频电路904的电信号转换为声波。扬声器可以是传统的薄膜扬声器,也可以是压电陶瓷扬声器。当扬声器是压电陶瓷扬声器时,不仅可以将电信号转换为人类可听见的声波,也可以将电信号转换为人类听不见的声波以进行测距等用途。在一些实施例中,音频电路907还可以包括耳机插孔。
定位组件908用于定位终端900的当前地理位置,以实现导航或lbs(locationbasedservice,基于位置的服务)。定位组件908可以是基于美国的gps(globalpositioningsystem,全球定位系统)、中国的北斗系统、俄罗斯的格雷纳斯系统或欧盟的伽利略系统的定位组件。
电源909用于为终端900中的各个组件进行供电。电源909可以是交流电、直流电、一次性电池或可充电电池。当电源909包括可充电电池时,该可充电电池可以支持有线充电或无线充电。该可充电电池还可以用于支持快充技术。
在一些实施例中,终端900还包括有一个或多个传感器910。该一个或多个传感器910包括但不限于:加速度传感器911、陀螺仪传感器912、压力传感器913、指纹传感器914、光学传感器915以及接近传感器916。
加速度传感器911可以检测以终端900建立的坐标系的三个坐标轴上的加速度大小。比如,加速度传感器911可以用于检测重力加速度在三个坐标轴上的分量。处理器901可以根据加速度传感器911采集的重力加速度信号,控制触摸显示屏905以横向视图或纵向视图进行用户界面的显示。加速度传感器911还可以用于游戏或者用户的运动数据的采集。
陀螺仪传感器912可以检测终端900的机体方向及转动角度,陀螺仪传感器912可以与加速度传感器911协同采集用户对终端900的3d动作。处理器901根据陀螺仪传感器912采集的数据,可以实现如下功能:动作感应(比如根据用户的倾斜操作来改变ui)、拍摄时的图像稳定、游戏控制以及惯性导航。
压力传感器913可以设置在终端900的侧边框和/或触摸显示屏905的下层。当压力传感器913设置在终端900的侧边框时,可以检测用户对终端900的握持信号,由处理器901根据压力传感器913采集的握持信号进行左右手识别或快捷操作。当压力传感器913设置在触摸显示屏905的下层时,由处理器901根据用户对触摸显示屏905的压力操作,实现对ui界面上的可操作性控件进行控制。可操作性控件包括按钮控件、滚动条控件、图标控件、菜单控件中的至少一种。
指纹传感器914用于采集用户的指纹,由处理器901根据指纹传感器914采集到的指纹识别用户的身份,或者,由指纹传感器914根据采集到的指纹识别用户的身份。在识别出用户的身份为可信身份时,由处理器901授权该用户执行相关的敏感操作,该敏感操作包括解锁屏幕、查看加密信息、下载软件、支付及更改设置等。指纹传感器914可以被设置终端900的正面、背面或侧面。当终端900上设置有物理按键或厂商logo时,指纹传感器914可以与物理按键或厂商logo集成在一起。
光学传感器915用于采集环境光强度。在一个实施例中,处理器901可以根据光学传感器915采集的环境光强度,控制触摸显示屏905的显示亮度。具体地,当环境光强度较高时,调高触摸显示屏905的显示亮度;当环境光强度较低时,调低触摸显示屏905的显示亮度。在另一个实施例中,处理器901还可以根据光学传感器915采集的环境光强度,动态调整摄像头组件906的拍摄参数。
接近传感器916,也称距离传感器,通常设置在终端900的前面板。接近传感器916用于采集用户与终端900的正面之间的距离。在一个实施例中,当接近传感器916检测到用户与终端900的正面之间的距离逐渐变小时,由处理器901控制触摸显示屏905从亮屏状态切换为息屏状态;当接近传感器916检测到用户与终端900的正面之间的距离逐渐变大时,由处理器901控制触摸显示屏905从息屏状态切换为亮屏状态。
本领域技术人员可以理解,图9中示出的结构并不构成对终端900的限定,可以包括比图示更多或更少的组件,或者组合某些组件,或者采用不同的组件布置。
在示例性的实施例中,还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,所述指令被处理器执行时实现上述数据安全保护方法。
在示例性实施例中,还提供了一种计算机程序产品,当该计算机程序产品被执行时,其用于实现上述数据安全保护方法。
应当理解的是,在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,a和/或b,可以表示:单独存在a,同时存在a和b,单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!