一种智能终端安全系统及安全存储方法
【专利摘要】本发明提供了一种智能终端安全系统及安全存储方法,包括提供需要两个子操作系统运作的特别的安全系统并执行对用户隐私数据的安全存储和读取。本发明智能终端设备使用该系统和方法提供对关键数据进行保护,用以解决当前密码及相关关键隐私数据的不能安全存储和读取的问题。本发明不仅可以提供对关键数据的保护,同时也可以根据该运作机理进行其它多种样式的安全功能操作。
【专利说明】-种智能终端安全系统及安全存储方法
【技术领域】
[0001] 本发明涉及智能终端设备数据安全领域,特别涉及一种智能终端安全系统及安全 存储方法,该方法用于隐私数据或密码的安全存储和读取,并利用一种特别的安全操作系 统实现。
【背景技术】
[0002] 目前,随着互联网的发展以及智能终端设备的普及,智能终端以其丰富的应用和 服务、快捷方便的用户体验逐步改变人们的日常生活。由于智能终端设备的便携性,许多人 已经习惯并且无法离开智能终端设备的使用,甚至在终端设备中安装了许多与财产以及隐 私十分相关应用,比如方便进行网上交易的支付应用等,而在这些应用的使用过程中,都会 使用并且产生相应的隐私数据,特别是使用密码以及密码记号来进行身份验证。
[0003] 在现有的智能终端应用中,在操作隐私数据或者密码时至少有以下几方面缺陷:
[0004] 1.所存储的密码明文或者对密码明文使用加密算法对密码进行加密后的密码标 记都会存放在本地;
[0005] 2.存放在本地的密码或者密码标记都能够被其他任何应用获取,容易泄漏,十分 不安全。
【发明内容】
[0006] 为解决上述现有技术所存在的问题,本发明提出了一种智能终端安全系统及安全 存储方法。智能终端设备使用该系统和方法提供对关键数据(如密码,用户隐私,密钥等) 进行保护,用以解决当前密码及相关关键隐私数据的不能安全存储和读取的问题。本发明 不仅可以提供对关键数据的保护,同时也可以根据该运作机理进行其它多种样式的安全功 能操作。
[0007] 本发明采用如下技术方案:提供密码的安全存储的方法所运行的特别的操作系统 需要两个子操作系统运作。其中第一子操作系统运行在普通执行区域,这里将其称为普通 操作系统,第二子操作系统运行在安全执行区域,这里将其称为安全操作系统。普通操作系 统只能访问部分所被配置的外设以及内存区间,具有受限的访问权限;而安全操作系统可 以访问所有的外设以及内存区间,具有最高的访问权限。其中,普通执行区域被定义为不能 访问安全执行区域所独有的外设以及内存区间,或者相对于普通执行区域,安全执行区域 是对其不可见的。
[0008] 本发明的用户数据的安全存储及读取,分为存储以及读取两个部分。其存储过程 的操作流程是:
[0009] 运行在普通操作系统中的应用发起要进行安全存储的存储请求;
[0010] 基于所发起安全存储的请求,判断发起该请求的应用是否具有权限进行安全存 储,根据判断结果分为两种情况进行处理:
[0011] 情况1 :如果该应用不具有安全存储的权限,则直接使用传统的加密方法对其进 行存储在本地存储介质中或者放弃存储,并且告知其安全存储失败。
[0012] 情况2 :如果该应用具有安全存储的权限,则进一步对发起该请求的应用自身的 签名数据以及所要存储的密码进行编码得到编码数据;
[0013] 通过普通执行区域与安全执行区域所规定的通信机制,例如执行独特的指令进行 通信,将前一步得到的编码数据结果发送给安全操作系统;
[0014] 安全操作系统获取到从普通操作系统传递过来的编码数据后,对其进行解码得到 实际的应用模块的签名和待存储的密码,然后对该解码数据进行加密,将最终的加密结果 存储到只能由安全操作系统所访问的存储介质上;
[0015] 安全操作系统将处理的存储结果(成功或者失败)通过普通执行区域以及安全执 行区域所规定的通信机制,将处理结果通过普通执行区域与安全执行区域所规定的通信机 制发送给普通操作系统;
[0016] 普通操作系统得到返回的操作结果,分为两种处理情况:
[0017] 情况1 :如果结果表示操作成功,则操作完成。
[0018] 情况2 :如果结果表示失败,通过分析失败的原因重新发起安全存储请求或者放 弃安全存储。
[0019] 另外,其读取过程的操作流程是:
[0020] 运行在普通操作系统中的应用发起针对安全存储的读取请求;
[0021] 基于所发起的安全存储的读取请求,判断发起该读取请求的应用是否具有权限进 行安全存储,根据判断结果分为两种情况进行处理:
[0022] 情况1 :如果该应用不具有操作安全存储的权限,则放弃夺取或者尝试在本地存 储中进行读取,并提示该安全存储的读取失败。
[0023] 情况2 :如果该应用具有操作安全存储的权限,则进一步对该应用自身的签名数 据以及索要读取的内容标识进行编码,得到该请求对应的编码数据;
[0024] 通过普通执行区域与安全执行区域所规定的通信机制,例如执行独特的指令进行 通信,将前一步的得到的编码数据发送给安全操作系统;
[0025] 安全操作系统获取到从普通操系统传递过来的编码之后,对其进行解码得到所调 用安全存储的应用的签名以及该应用要读取的内容标识,然后访问只能由安全操作系统所 访问的介质,读取其对应的目标内容,此读取过程中包含两种情况:
[0026] 情况1,如果读取失败,例如所访问的目标内容并不存在,则标识操作结果为失败。
[0027] 情况2,如果读取成功,则将读取的目标内容进行解密并且编码,赋值为操作结果。
[0028] 将操作结果返回通过普通操作系统与安全操作系统所规定的通信机制从安全操 作系统发送回普通操作系统。
[0029] 普通操作系统得到返回的操作结果之后,将该结果返回给发起该读取请求的应 用,对于该应用有两种处理情况:
[0030] 情况1 :如果结果表示操作成功,则将读取到的数据进行解码,得到最终的结果数 据。
[0031] 情况2 :如果结果表示操作失败,则通过分析失败的原因重新发起安全存储读取 请求或者放弃读取。
[0032] 优选地,本发明提出一种智能终端安全系统,其特征在于,包括第一子操作系统和 第二子操作系统,基于所述第一操作系统中的应用发起的进行安全存储的请求,第二子操 作系统对用户数据进行存储。
[0033] 优选地,本发明提出一种智能终端安全系统,其特征在于,包括第一子操作系统和 第二子操作系统,基于所述第一操作系统中的应用发起的进行安全存储的读取请求,第二 子操作系统对用户隐私数据进行读取。
[0034] 优选地,本发明提出一种智能终端安全系统,其特征在于,包括第一子操作系统和 第二子操作系统,基于所述第一操作系统中的应用发起的进行安全存储的请求,第二子操 作系统对用户数据进行存储,基于所述第一操作系统中的应用发起的进行安全存储的读取 请求,第二子操作系统对用户数据进行读取。
[0035] 优选地,本发明提出一种智能终端安全存储方法,其特征在于包括:
[0036] 步骤200,运行在第一子操作系统中的应用发起进行安全存储的存储请求;
[0037] 步骤201,将所述应用的签名以及待存储的数据进行编码;
[0038] 步骤202,将编码结果传递给第二子操作系统;
[0039] 步骤203,所述第二子操作系统对编码结果进行解码、加密以及存储;
[0040] 步骤204,将操作结果返回给所述第一子操作系统;
[0041] 步骤205,应用的安全存储的存储操作结束。
[0042] 优选地,本发明提出一种智能终端安全存储方法,其特征在于包括:
[0043] 步骤300,运行在第一子操作系统中的应用发起进行安全存储操作的读取请求;
[0044] 步骤301,将所述应用的签名以及待读取的目标进行编码;
[0045] 步骤302,将编码结果传递给第二子操作系统;
[0046] 步骤303,第二子操作系统对编码结果进行解码并根据目标进行文件内容读取;
[0047] 步骤304,将所述读取的结果返回给第一子操作系统;
[0048] 步骤305,应用的安全存储的存储操作结束。
【专利附图】
【附图说明】
[0049] 下面参照附图结合实施例对本发明作进一步的说明。
[0050] 图1示出了根据本发明较佳实施例的具有安全存储系统的智能终端系统结构示 意图。
[0051] 图2示出了根据本发明较佳实施例的安全存储方法的存储阶段的步骤流程图。
[0052] 图3示出了根据本发明较佳实施例的安全存储方法的读取阶段的步骤流程图。
【具体实施方式】
[0053] 下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描 述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权 利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节 以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中 的一些或者所有细节也可以根据权利要求书实现本发明。
[0054] 接下来依次结合图1、图2以及图3对本发明的技术方案的主要实现原理、具体实 施方式及其对应能够达到的有益效果进行详细地阐述。
[0055] 参考图1为根据本发明较佳实施例的具有安全存储系统的智能终端系统结构示 意图。标识100表示所使用的整个设备所使用的操作系统,该操作系统是一种特别的操作 系统,因为它实质上是两个独立操作系统的组合,分别是运行在普通执行区域101的普通 操作系统103以及运行在安全执行区域102的安全操作系统104。其中对于普通执行区域 101来说,安全执行区域102是看不见的,也就是普通执行区域101根本不知道安全执行区 域102的存在,所以它无法访问安全执行区域102所独特拥有的外设以及内存。
[0056] 其中普通执行区域101所包含的构成元素有:
[0057] 普通操作系统103,为运行在普通执行区域101中的操作系统,它是直接面向用户 的操作系统,可以是当前正流行的各种操作系统,如Android、10S、Windows Phone等。
[0058] 应用模块105,该应用是运行在普通操作系统103的普通应用模块,该应用模块应 该需要存储一些非常隐私并且珍贵的数据,并且这些数据不能被其它应用所知道、访问。
[0059] 编码/解码模块107,该模块作为一个中间件,在进行安全存储时需要用它对将要 与安全执行区域102进行交互的数据进行统一的编码/解码,供于后期处理。
[0060] 普通的存储设备110,该存储设备可以作为普通操作系统103的本地存储设备,也 就是当前市场上普遍使用的智能终端对应的存储介质,满足各个应用的不需要保密的数据 的存储需求。
[0061] 安全执行区域102所包含的构成元素有:
[0062] 安全操作系统104,该系统与普通操作系统103独立存在,并且它可以知道普通操 作系统103的存在,但是对于普通操作系统103它又是不可见的。
[0063] 编码/解码模块106,该模块作为一个中间件,与运行在普通操作系统103中的编 码/解码模块107对应,实现同样的功能,通过该模块可以对与普通执行区域101进行交互 的数据进行统一的编码/解码,供于后期处理。
[0064] 加密/解密模块108,该模块用于对待操作(存储/读取)的数据进行加/解密。 [0065] 存储模块109与安全的存储设备111,在安全操作系统104中,安全的存储设备 111放置在安全执行区域102之中,且只能有存储模块109进行访问,用于最终的安全数据 的存储/读写。该存储模块109也只能由安全操作系统104中的其它应用所调用,也就是 说普通操作系统103不能操作该存储模块109,也就是普通执行区域101中的任何部分都不 能直接访问到安全的存储设备111。
[0066] 通信中介112用于普通执行区域101与安全执行区域102的通信信息传输,保证 了两个区域的信息交互。
[0067] 对于本【具体实施方式】,优选的可以使用具有TrustZone技术功能的ARM处理器来 进行实施,该处理器具有两个执行环境,并且具有一个通信中介Monitor来保证两者之间 的通信。但是并不以此为唯一的方法,只要设备可以提供两个运行环境,其中一个运行环境 的权限受到另外一个运行环境的管制,并且具有适当的机制来保证两个运行环境的通信即 可。
[0068] 参考图2,为本发明较佳实施例的安全存储方法的存储阶段的步骤流程图。
[0069] 其具体步骤是:
[0070] 开始步骤200,应用发起进行安全存储操作的存储请求。
[0071] 其中,所述的应用是运行在智能终端设备的普通操作系统103之中的应用模块 105,该应用需要进行密码等重要隐私数据的存储及读取操作,该应用在发起存储请求的时 候,需要提供自身欲存储的密码对象。
[0072] 继续步骤201,将该应用的签名以及待存储的数据进行编码。
[0073] 其中,所述步骤201更详细的情况是,在获取到安全存储的存储操作请求情况下, 首先要判断所发起该请求的应用是否具有权限进行安全存储,根据判断结果分为两种情况 处理:
[0074] 情况1 :如果该应用不具有安全存储的权限(比如设备不支持或者该应用未经过 安全审核),则直接使用传统的加密方法对将其存储在本地的存储设备110中或者放弃存 储,并且告知其安全存储操作失败,至此本次存储操作结束。
[0075] 情况2 :如果该应用具有操作安全存储的权限,则执行操作如所示步骤201,获取 到该应用的签名以及待存储的数据,然后使用编码/解码模块107将其进行编码。
[0076] 继续步骤202,将编码结果传递给安全操作系统。
[0077] 所述步骤202的详细过程是,得到步骤201的编码结果,将该编码结果存放在某个 可以与安全操作系统共享的存储区域中(比如共享内存或者全局寄存器),然后执行特别 的指令(这里我们使用具有TrustZone技术功能的ARM处理器所执行的指令为SMC)跳转 到通信中介112 (在具有TrustZone技术功能的ARM处理器中称作Monitor),
[0078] 然后通信中介112记录下由普通操作系统103传递过来的数据,通知给安全操作 系统104。
[0079] 继续步骤203,对编码结果进行解码、加密以及存储。
[0080] 步骤203的详细操作过程是,此时的运行环境已经是安全操作系统104,使用编码 /解码模块106对从普通操作系统103传递过来的编码数据进行解码,然后使用加密/解密 模块108将解码结果进行加密得到加密结果,最后使用存储模块109操作安全的存储设备 111,将该加密结果存放至安全的存储设备111中。其间,如果步骤203中任何部分操作失 败,都结束当前执行,并且标识操作结果为失败,否则标识操作结果为成功,并且记录下所 保存的标识码。
[0081] 继续步骤204,将操作结果返回给普通操作系统。
[0082] 步骤204的详细操作操作过程是,安全操作系统104将操作结果存放在某个可以 与普通操作系统103共享的存储区域中(比如共享内存或者全局寄存器),然后执行特别的 指令(这里我们使用具有TrustZone技术功能的ARM处理器所执行的指令为SMC)跳转到 通信中介(在具有TrustZone技术功能的ARM处理器中称作Monitor),然后通信中介记录 下由安全操作系统传递过来的数据,通知给普通操作系统103。
[0083] 继续步骤205,应用的安全存储的存储操作结束。
[0084] 此步骤205的详细过程是,普通操作系统103得到由安全操作系统104传递回来 的编码数据,使用编码/解码模块107对其进行解码,然后将其返回给发起该存储请求的应 用模块105,应用模块105判断返回的结果标识,分为两种情况进行处理:
[0085] 情况1 :如果该结果标识表示操作成功,得到保存的结果标识,存储成功,操作完 成。
[0086] 情况2 :如果该结果标识表示操作失败,则存储失败,可以根据失败的原因重新发 起存储请求或者放弃存储。
[0087] 至此整个安全存储的存储操作过程结束。
[0088] 参考图3,为本发明较佳实施例的安全存储方法的读取阶段的步骤流程图。
[0089] 其具体步骤是:
[0090] 开始步骤300,应用发起进行安全存储操作的读取请求。
[0091] 其中,所述的应用是运行在智能终端设备的普通操作系统环境之中的应用模块 105,需要进行密码等重要隐私数据的存储及读取操作,该应用在发起数据的读取请求的时 候,需要提供自身欲读取对象的标识符。
[0092] 继续步骤301,将该应用的签名以及待读取的目标编码。
[0093] 其中,所述步骤301更详细的情况是,获取到安全存储的读取操作请求情况后,判 断所发起该请求的应用是否具有权限操作安全存储,根据判断结果分为两种情况处理:
[0094] 情况1 :如果该应用不具有安全存储的权限(比如设备不支持或者该应用未经过 安全审核),则放弃读取或者直接使用传统方法在本地存储设备110中进行读取,并且告知 其安全存储操作失败,至此整个读取过程结束。
[0095] 情况2 :如果该应用具有操作安全存储的权限,则执行操作如所示步骤301,获取 该应用的签名以及待读取的目标,然后使用编码/解码模块107将其进行编码。
[0096] 继续步骤302,将编码结果传递给安全操作系统。
[0097] 所述步骤302的详细过程是,得到步骤302的编码结果,将该编码结果存放在某个 可以与安全操作系统共享的存储区域中(比如共享内存或者全局寄存器),然后执行特别 的指令(这里我们使用具有TrustZone技术功能的ARM处理器所执行的指令为SMC)跳转 到通信中介(在具有TrustZone技术功能的ARM处理器中称作Monitor),然后通信中介记 录下由普通操作系统103传递过来的数据,通知给安全操作系统104。
[0098] 继续步骤303,对编码结果进行解码,根据目标进行文件内容读取。
[0099] 步骤303的详细操作过程是,此时的运行环境为安全操作系统104,使用编码/解 码模块106对从普通操作系统103传递过来的编码数据进行解码,根据该解码结果得到发 起该读取请求的应用105的签名以及其欲读取的目标,然后使用存储模块109读取安全的 存储设备111,根据读取的结果分为两种情况处理 :
[0100] 情况1 :如果读取失败,例如所访问的目标内容并不存在,则标识操作结果为失 败。
[0101] 情况2 :如果读取成功,则将读取到的目标内容使用加密/解密模块108进行解 密,然后使用编码/解码模块106对解密结果进行编码,所得到的编码结果即为最终将被返 回的读取结果。
[0102] 继续步骤304,将所读取结果返回给普通操作系统。
[0103] 步骤304的详细操作过程是,安全操作系统104将操作结果存放在某个可以与普 通操作系统103共享的存储区域中(比如共享内存或者全局寄存器),然后执行特别的指令 (这里我们使用具有TrustZone技术功能的ARM处理器所执行的指令为SMC)跳转到通信 中介112 (在具有TrustZone技术功能的ARM处理器中被称作Monitor),然后通信中介112 记录下由安全操作系统104传递过来的数据,通知给普通操作系统103。
[0104] 继续步骤305,应用的安全存储的存储操作结束。
[0105] 步骤305的详细过程是,普通操作系统103得到由安全操作系统104传递回来的 编码数据,使用编码/解码模块107对其进行解码,然后将其返回给发起该存储请求的存储 应用模块105,根据判断返回的结果标识,分为两种情况处理:
[0106] 情况1 :如果结果标识表示成功,则继续读取返回的数据结果,得到欲读取的目标 数据;
[0107] 情况2 :如果结果标识表示失败,则表示此次读取失败,可以根据失败的原因重新 发起读取请求或者放弃读取。
[0108] 至此,读取过程结束。
[0109] 通过本发明的实施例,可以实现如下技术效果:
[0110] 本申请的实施例使用的一种特别的安全操作系统保障用户隐私数据的安全,但实 际上展现在用户面前的系统仍然是当前通用的操作系统(如Android、IOS、Windows Phone 等),正常的使用过程并不需要改变用户的使用习惯,保证了此类智能设备对用户的友好 性。
[0111] 本申请的实施例通过使用了只能由安全操作系统104所访问的存储设备进行设 备存储,通过隔离以及加密两级防护措施共用来保证数据的安全,即使用了硬件结合软件 的两层方法来保证了的数据存储安全,不仅提高了安全防护的水平,而且不需要添加额外 的外置设备。
[0112] 以上公开的内容仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限 于此,任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内,可轻易想到的变化或 替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护 范围为准。
【权利要求】
1. 一种智能终端安全存储方法,其特征在于包括: 步骤200,运行在第一子操作系统中的应用发起进行安全存储的存储请求; 步骤201,将所述应用的签名以及待存储的数据进行编码; 步骤202,将编码结果传递给第二子操作系统; 步骤203,所述第二子操作系统对编码结果进行解码、加密以及存储; 步骤204,将操作结果返回给所述第一子操作系统; 步骤205,应用的安全存储的存储操作结束。
2. 根据权利要求1所述的方法,步骤201之前进一步包括判断所发起所述请求的所述 应用是否具有权限进行安全存储,如果判断所述应用不具有安全存储的权限,则直接使用 传统的加密方法对将所述待存储的数据存储在所述第一子操作系统的存储设备中或者放 弃存储;如果判断所述应用具有操作安全存储的权限,则执行所述步骤201的操作。
3. 根据权利要求1所述的方法,其中步骤202中进一步包括第一子操作系统通过通信 中介将编码结果传递给所述第二子操作系统。
4. 根据权利要求1所述的方法,其中步骤204中进一步包括所述第一子操作系统根据 操作结果标识判断是否存储操作成功,如果存储成功则执行步骤205 ;如果操作结果标识 表示操作失败,则根据失败的原因重新发起存储请求或者放弃存储。
5. -种智能终端安全存储方法,其特征在于包括: 步骤300,运行在第一子操作系统中的应用发起进行安全存储操作的读取请求; 步骤301,将所述应用的签名以及待读取的目标进行编码; 步骤302,将编码结果传递给第二子操作系统; 步骤303,第二子操作系统对编码结果进行解码并根据目标进行文件内容读取; 步骤304,将所述读取的结果返回给第一子操作系统; 步骤305,应用的安全存储的存储读取操作结束。
6. 根据权利要求5所述的方法,其中步骤301之前进一步包括判断所发起所述请求的 所述应用是否具有权限操作安全存储,如果判断所述应用不具有操作安全存储的权限,则 放弃读取或者直接使用传统方法在所述第一子操作系统的存储设备中读取;如果判断所述 应用具有操作安全存储的权限,则执行所述步骤301的操作。
7. 根据权利要求5所述的方法,其中步骤302中进一步包括第二子操作系统通过通信 中介将编码结果传递给第二子操作系统。
8. 根据权利要求5所述的方法,其中步骤303中进一步包括第二子操作系统对读取的 结果进行判断,如果读取失败,则标识操作结果为失败;如果读取成功,将读取到的目标内 容进行解密,然后对解密结果进行编码,所得到的编码结果即为最终将被返回的读取结果, 并进一步执行步骤304的操作。
9. 根据权利要求5所述的方法,其中步骤305中进一步包括第一子操作系统对由第二 子操作系统返回的所述读取结果进行解码并返回给发起读取请求的所述应用,并根据操作 结果标识判断是否读取操作成功,如果读取成功则继续读取返回的数据结果,得到欲读取 的目标数据;如果操作结果标识表示读取失败,则可以根据失败的原囚重新发起读取请求 或者放弃读取。
10. -种智能终端安全系统,其特征在于,包括第一子操作系统和第二子操作系统,基 于所述第一操作系统中的应用发起的进行安全存储的请求,第二子操作系统对用户数据进 行存储;基于所述第一操作系统中的应用发起的进行安全存储的读取请求,第二子操作系 统对用户数据进行读取。
【文档编号】G06F21/74GK104091135SQ201410061094
【公开日】2014年10月8日 申请日期:2014年2月24日 优先权日:2014年2月24日
【发明者】杨霞, 桑楠, 罗净, 魏兰, 石鹏, 张献忠, 孙海勇, 曾睿 申请人:电子科技大学