007]本发明设备中,需要保密的私密数据(如通讯录、银行账号、网上应用账号、敏感文件等)的存储,若在常规模式内保存,则须加密存储(密文);若在安全模式内保存,则可存储明文或密文。而且保密的原则机制,一是保存前加密,二是读取后解密,三是加解密操作的密码算法都在安全模式内封闭执行。于是,本发明设备中的保密数据,在整个生命周期包括使用处理过程中,对外就好比密封了,即使常规模式中潜伏的恶意进程也无法窃取数据内容。
[0008]作为本发明设备的主要特征,所述常规模式与所述安全模式联动合作,构建有保密协同框架,透明切换目标输入输出部件,包括以下步骤:
[0009](1)常规模式向安全模式发出功能请求;
[0010](2)安全模式从常规模式接收功能请求;可选地,安全模式检查预置的安全策略以决定是否受理;
[0011](3)安全模式控制电子切换机构,将目标输入输出部件切换连通安全模式;
[0012](4)安全模式处理完成功能请求,包含保密操作内容;期间可选地,安全模式与常规模式交换数据密文;
[0013](5)安全模式控制电子切换机构,将目标输入输出部件切换连通常规模式;
[0014](6)安全模式向常规模式发送处理结果,然后等候下次功能请求;
[0015](7)常规模式从安全模式接收处理结果,继而执行后续处理。
[0016]以上步骤并非一成不变的,比如,交换其中的(5)和(6)两步的顺序并无多大差别。
[0017]所谓联动合作,是指本发明设备为了实现预定功能目标,常规模式与安全模式在各自独立基础上联合运行,相互之间通过内部交换信息而产生互动,合作执行以达成预期功能效果。所谓保密协同框架,正如上述步骤表明的一般情形,表明常规模式运行处理过程中,每当需要安全模式执行保密功能处理时,两种模式双方协同的协议流程框架。根据预定功能目标的不同,要切换的目标输入输出部件的种类数量,以及数据内容和处理要求也相应不同。所谓透明切换,是指由常规模式与安全模式协同自发的切换,而且自动切换安全保密所需的目标输入输出部件,无须人工刻意额外切换操作。上述步骤的程序化,也表明了透明切换的内涵。
[0018]本发明设备中,输入输出部件被共享是可控的共享,并被置于安全模式控制之下;凡是纳入常规模式和安全模式所共享的输入输出部件,都应能够被电子切换机构选择切换。而为了便于管理实现,所做的选择切换,可以是对输入输出部件按照功能类别进行分项(比如逐个区分输入输出部件)的选择,还可以是对输入输出部件按照功能类别进行分组(比如按用途归纳相关输入输出部件)的选择。于是,这样的分项分组选择,一方面,可以归纳提升,形成为安全模式下控制切换的应用编程接口来设计实现,以供安全应用调用而实现预定安全功能,也供透明切换调用实现,进而促进标准化和通用性;另一方面,还可以呈现于安全模式下的人机操作界面,以便用户操作管理而达到预期安全目的,也让用户体验到自主掌控与安全可控的感觉。
[0019]本发明设备中,为了提高安全性,可以预先设置安全策略,用于约束上述保密协同框架的步骤流程。安全策略可以包含时间和/或地理位置限制因素,使得设备在特定的时间范围和/或地域范围内,才能执行或者不能执行。安全策略还可包含通信对方身份信息限制因素(如电话号码、登录名号、设备地址、网站地址等),使得设备对于特定的人或设备,才能执行或者不能执行。
[0020]本发明还提出一种信息安全应用架构,是为信息安全电子设备编制和/或部署安全应用的架构。本发明的安全应用架构,包含常规模块和安全模块,分别安装运行于信息安全电子设备的常规模式和安全模式,实现安全应用规定处理功能。其中,常规模块执行基本用途功能(如提供操作主界面、计算和通信等),安全模块执行安全保密功能(如身份识别/认证、数据加密/解密、数字签名/验证和电子支付/授权等),尤其是,安全模块操控电子切换机构,通过对目标输入输出部件的关键信号线组同步实施电路选择,来控制切换目标输入输出部件排它地连通常规模式或安全模式。而且,所述安全应用架构中的常规模块与安全模块联动合作,构建有保密协同框架,透明切换目标输入输出部件。这构成本发明架构的主要特征。
[0021]本发明架构中的所谓联动合作、保密协同框架和透明切换,与前述本发明设备中的概念含义一致。还须说明,本发明架构,不仅适用于本发明设备,还适用于类似本发明设备但常规模式、安全模式和电子切换机构三样中,至少有一样分离的设备集成组合。
[0022]本发明架构的安全应用,其安全模块在信息安全设备安全模式下的可信赖操作系统或核心管理程序上运行,通过将相关的一组输入输出部件组合作为选择切换的目标选项,就能够实现特定的安全功能。举例以下几种情形:
[0023]第一种情形,是将触控屏幕(例如对于手机),或投影屏控(例如对于智能穿戴设备),或显示器和键盘鼠标(例如对于计算机),作为目标输入输出部件的基础选项,以图在安全模式下保护文件数据/通信信息的秘密,或保障交易支付/事务处理的安全。触控、键盘和鼠标是基本的输入部件,显示屏、显示器、投影器是基本的输出部件。当用户在常规模式下打开保密文件时,安全应用先将文件的密文经由内部交换传递到安全模式,安全模式随即将基本输入输出部件切换连通到安全模式本身,然后解密还原文件的原文,用户即可阅读/观看、编辑文件内容。当用户生成新保密文件时,安全应用先确保基本输入输出部件切换连通到安全模式,使得用户实际在安全模式下操作,保存时安全模块先加密生成文件的密文,然后经由内部交换传递到常规模式下保存。同样,对于通信信息(如通信录、通话记录、短消息、即时通信和社交信息),当用户选择保密时,安全应用也将基本输入输出部件切换连通到安全模式,供用户安全地查找、查阅和编辑信息。对于交易支付(如网购用网银付款)和其他事务处理,安全应用在业务流程的关键环节,如身份认证和确认操作,也先将基本输入输出部件切换连通到安全模式,确保用户在安全模式下实际操作。这样,即使在常规模式下存在恶意进程,对用户在安全模式下的使用操作,也不会构成实际威胁。
[0024]第二种情形,是将指纹识别器和摄像头作为目标输入输出部件的组合选项,以图在安全模式下保护身份识别生物特征的私密性。指纹识别器采集的指纹信息和摄像头摄取的人脸信息,都是人的身份识别生物特征数据,若在常规模式下,其采集摄取过程和存储传递期间,都容易被潜在恶意进程窃取;而在安全模式下,指纹识别器和摄像头都被切换连通工作于安全模式,然后指纹和人脸信息的采集摄取过程和存储空间都安排在安全模式下,就能够保护身份识别生物特征的私密性。
[0025]第三种情形,是将麦克风、耳机/喇叭和摄像头作为目标输入输出部件的组合选项,以图在安全模式下实现语音和视频通话的保密。若在常规模式下,语音和视频通话都可能被潜在恶意进程隐蔽地记录并转发出去而失密;而在安全模式下,麦克风、耳机/喇叭和摄像头都被切换连通工作于安全模式,然后语音和视频通话都在安全模式下进行,即使需要经过常规模式通信传输语音和视频数据,也都是在安全模式下,于发送前将本方数据加密交换,而于接收后将对方数据解密播放,所以就能够实现保密。
[0026]第四种情形,是将麦克风、摄像头和定位器作为目标输入输出部件的组合选项,以图在安全模式下避免被窃听、偷拍和追踪的风险。若在常规模式下,潜在恶意进程能够隐蔽地打开麦克风、摄像头和定位器,记录背景声音、环境图像和所在地理位置,并随时转发出去,于是发生被窃听、偷拍和追踪事件;而在安全模式下,麦克风、摄像头和定位器都被切换连通工作于安全模式,然后就能管控和避免此类风险。
[0027]第五种情形,是将通信传输部件作为目标输入输出部件的保留选项,以图在安全模式下隔离常规模式与外部通信,乃至直接实施保密通信。若在常规模式下,潜在恶意进程能够隐蔽地随时随意与外界通信联络,如私自联网、暗拨电话、偷发短信而产生恶意消费等;而在安全模式下,通信传输部件被切换连通工作于安全模式,也就隔离了常规模式与外部通信,如有必要,还可直接进行保密通信。
[0028]本发明架构的安全应用,选择切换目标输入输出部件的选项,并不限于以上五种情形,而可根据实际需要灵活做出其他选择实现。
[0029]本发明架构的安全应用,尤其是其安全模块,虽然可预先在信息安全设备中固化实现,但仍有必要提供安全的下载安装机制,以便服务后续更新扩展更灵活快捷。具体办法包括下列步骤:
[0030](1)应用开发商固定应用代码文件的版本,执行保证版权的数字签名,生成应用安装文件;
[0031](2)设备生产商或其授权机构对应用安装文件,在验证版权数字签名的前提下,先执行加密后执行保证发行的数字签名,生成应用发行文件;
[0032](3)用户下载应用发行文件到其设备安装运行;
[0033](4)设备的安全模式对应用发行文件,在验证发行数字签名的前提下,解密之后执行安装。
[0034]在以上步骤中,数字签名是为了保障应用文件的完整一致性,加密是为了保护应用代码免遭逆向工程而破解。于是,本发明架构的安全应用,发行部署也是安全可控的。出于保障安全的正当理由,便为设备生产商或其授权机构定位了新角色,既负有审查或认证应用安全性的责任,也获得管控应用发行的手段。而这些对于设备用户,只有积极意义而并无负面影响。
[0035]本发明的积极效果,是给出一种信息安全电子设备体系架构和信息安全应用架构,依托对输入输出部件在常规模式与安全模式之间可控共享切换,以及两种模式的联动合作、保密协同和透明切换,为各种电子信息设备提供了有效可靠的安全机制,能够促进电子设备的信息安全技术进步,尤其可望突破长期困扰电脑、手机的信息安全技术瓶颈。同时,也为电子信息设备生产商提供了有利契机,名正言顺地介入相关衍生增值服务,乃至参与规则制订,既能增加赢利持续发展,又能推广行业安全应用及保护用户利益。
【附图说明】
[0036]图1,是本发明设备的示意图。在完整的设备架构中,常规模式(1)是一个独立子系统,它有自己的处理器/控制器(11)和存储器(12),在此基础上运行非信赖操作系统
(13),上面再运行常规应用(14);安全模式(2)是另一个独立子系统,它也有自己的处理器/控制器(21)和存储器(22),在此基础上运行可信赖操作系统(23),上面有密钥单元(24)和切换单元(25),运行安全应用(26)。常规模式(1)和安全模式(2)各自有其独立的地址空间并独立运行,两者之间可进行内部交换,相互传递信息。两个模式之间还构建有保密协同框架,将在后面的图2说明。两个模式各自的输入输出(统