安全数据的访问控制方法及系统、终端的制作方法
【技术领域】
[0001]本发明涉及终端技术领域,具体而言,涉及一种安全数据的访问控制方法、一种安全数据的访问控制系统和一种终端。
【背景技术】
[0002]目前,现有安全操作系统隐私数据的保护方法主要有如下方案:
[0003]方案一、备份保护。通过云端数据备份,若安全操作系统出现数据丢失、破坏等情况,可快速通过云端备份恢复安全操作系统中的隐私数据,达到对安全操作系统隐私数据的保护。
[0004]方案二、数据伪装保护。其他非安全操作系统访问安全操作系统中隐私数据时,将安全操作系统中的数据通过伪装处理后显示,从而保护了安全操作系统隐私数据不被窃取。
[0005]方案三、屏蔽安全操作系统硬件达到隐私数据的保护。已有人提出一种双系统数据的保护方法的申请,具体是通过云端指令快速屏蔽安全操作系统中的部分硬件,让用户无法窃取安全操作系统中的私密数据;另外,可以通过修改指令参数,让安全操作系统的硬件有效,从而保护双系统中安全操作系统的数据安全。
[0006]现有技术方案的缺陷描述如下:
[0007]方案一、备份保护方案虽然可以通过数据备份防止数据丢失、破坏,但仍存在隐私数据泄露的危险,这种云端数据泄露案例已有很多,如小米账号的泄露、CSDN(ChineseSoftware Develop Net,中国软件开发联盟)账号的泄露等。一旦发生隐私数据泄漏,将会存在很大的安全隐患。
[0008]方案二、数据伪装保护,这种方案是为了防止非安全操作系统访问、窃取安装系统隐私数据。但还是不能彻底的保护隐私数据的丢失,例如手机丢失、被窃,别人如果能进入安全操作系统,那么安全操作系统中的隐私数据仍然存在泄露的风险。
[0009]方案三、硬件屏蔽保护,这种方案可以有效的保护隐私数据被窃取,但在安全操作系统出现故障,无法进入安全操作系统,可会出现安全操作系统隐私数据无法获取的窘况,如果急需安全操作系统中的重要隐私数据,将会非常麻烦。
[0010]因此,如何进一步提升安全操作系统的隐私数据的安全,成为亟待解决的技术问题。
【发明内容】
[0011]本发明正是基于上述问题,提出了一种新的技术方案,可以更加适应用户的实际需求,有效地保护了安全系统的安全数据不被窃取,防止了隐私数据的丢失,从而进一步提升了用户的隐私安全。
[0012]有鉴于此,本发明的一方面提出了一种安全数据的访问控制方法,用于终端,所述终端上安装有多个操作系统,所述访问控制方法包括:根据接收到的数据访问请求,判断所述终端的目标操作系统中的安全数据存储区的当前访问模式;根据判断结果,确定是否允许访问存储在所述安全数据存储区中的安全数据,其中,所述目标操作系统的安全等级高于所述多个操作系统中除所述目标操作系统外的其他操作系统的安全等级。
[0013]在该技术方案中,可以为目标操作系统(即安全操作系统)的安全数据存储区设置访问模式,其中,不同的访问模式可以对应不同的访问权限,例如,可以为安全操作系统的安全数据存储区设定访问安全标识锁,然后通过安全标识锁在不同场景控制对安全数据存储区的访问保护,其中,安全标识锁的不同锁状态对应于安全数据存储区的不同访问模式。通过这种方法可以彻底防止因数据备份而导致的数据泄露,同时,如果手机被窃,同样可以通过远程发送指令触发访问模式的转变,防止别人进入安全操作系统获取隐私数据,另外,若安全操作系统出现故障,也可以根据事先设定的触发机制,触发访问模式的转变。因此,当安全数据存储区接收到数据访问请求时,终端就可以根据当前的访问模式确定是否运行其被访问,从而可以更加适应用户的实际需求,有效地保护了终端的安全操作系统的安全数据不被窃取,防止了隐私数据的丢失,从而进一步提升了用户的隐私安全。
[0014]在上述技术方案中,优选地,当判定所述安全数据存储区的当前访问模式为安全访问模式时,判断所述数据访问请求是否来自所述目标操作系统,并在判定所述当前访问模式为所述安全访问模式时,允许访问所述安全数据,否则禁止访问所述安全数据。
[0015]在该技术方案中,可以为安全数据存储区设置安全访问模式,在安全访问模式下,只有目标操作系统可以正常访问安全数据存储区的数据,禁止终端中的其他系统访问安全数据存储区的数据,从而有效地保护了终端的安全操作系统的安全数据不被窃取,进一步提升了用户的隐私安全。
[0016]在上述技术方案中,优选地,当判定所述安全数据存储区的当前访问模式为共享访问模式时,允许访问所述安全数据;或者当判定所述安全数据存储区的当前访问模式为屏蔽访问模式时,禁止访问所述安全数据。
[0017]在该技术方案中,还可以为安全数据存储区设置共享访问模式和屏蔽访问模式,在共享访问模式下,每个系统都可以正常访问安全数据存储区的数据,在屏蔽访问模式下,禁止所有系统正常访问安全数据存储区的数据,从而有效地保护了终端的安全操作系统的安全数据不被窃取,进一步提升了用户的隐私安全。
[0018]在上述技术方案中,优选地,当禁止访问所述安全数据时,判断是否重新设定所述目标操作系统中的所述安全数据存储区的访问模式;以及在判定重新设定所述安全数据存储区的访问模式时,根据接收到的重置指令,重新设定所述目标操作系统中的所述安全数据存储区的访问模式。
[0019]在该技术方案中,当访问安全数据的请求被禁止时,可以提示用户是否重置访问模式,并可以根据用户的设置重置访问模式,从而使访问模式的设置和转变更具灵活性,提升了用户体验。
[0020]在上述技术方案中,优选地,根据接收到的所述数据访问请求,判断所述安全数据存储区的所述当前访问模式之前,还包括:预设所述安全数据存储区的所述当前访问模式。
[0021]在该技术方案中,可以根据实际需求或用户指令预设访问模式,其中,访问模式的设置不能简单地通过手机中的设置进行转变,而是需要通过专有指令来转变的。具体地,变更访问模式的指令可以是如下形式:
[0022]command: = op state state
[0023]op: = change | other
[0024]state: = safe|share|unsafe
[0025]其中,op state state中,op是变更操作,前一个state代表原访问模式,后一个state代表新访问模式,op和state分别可以由2、3bit (字节)二进制表示,比如000表示unsafe,unsafe代表屏蔽访问模式。目前的op和state还不多,后边如有扩展,可以增加二进制bit位数进行实现。
[0026]本发明的另一方面提出了一种安全数据的访问控制系统,用于终端,所述终端上安装有多个操作系统,所述访问控制系统包括:判断模块,用于根据接收到的数据访问请求,判断所述终端的目标操作系统中的安全数据存储区的当前访问模式;控制模块,用于根据判断结果,确定是否允许访问存储在所述安全数据存储区中的安全数据,其中,所述目标操作系统的安全等级高于所述多个操作系统中除所述目标操作系统外的其他操作系统的安全等级。
[0027]在该技术方案中,可以为目标操作系统(即安全操作系统)的安全数据存储区设置访问模式,其中,不同的访问模式可以对应不同的访问权限,例如,可以为安全操作系统的安全数据存储区设定访问安全标识锁,然后通过安全标识锁在不同场景控制对安全数据存储区的访问保护,其中,安全标识锁的不同锁状态对应于安全数据存储区的不同访问