一种解密信息的保护方法、终端设备及计算机可读介质与流程

本发明涉及电子通信领域，尤其涉及一种解密信息的保护方法、终端设备及计算机可读介质。

背景技术：

指纹信息之类的需要验证的秘密信息在终端设备上的应用越来越广泛，它使用便捷，与可信执行环境(Trusted ExecutionEnvironment,TEE)结合后，这种秘密信息的安全性得到一定的提升，但对这种秘密信息的破解一直在悄悄地进行。

目前，人们通常将上述秘密信息经过加密后存储在存储器内。因此在进行上述秘密信息的验证时，需要读取加密后的秘密信息，然后对该加密信息进行解密，最后对待验证信息进行验证。

但是上述方案虽然对于上述秘密信息的验证安全性有所保障，但对于信息验证过程耗时较长。

技术实现要素：

本发明实施例提供一种解密信息的保护方法、终端设备及计算机可读介质，可以在保障信息验证过程安全性的同时，节省验证过程的时间。

第一方面，本发明实施例提供了一种解密信息的保护方法，该方法包括：

读取加密信息到内存中；

在接收到待验证信息后，读取上述加密信息对应的密钥到内存中；

用上述密钥对上述加密信息进行解密得到解密信息；

将上述待验证信息和上述解密信息进行对比得到验证结果。

第二方面，本发明实施例提供了一种终端设备，该终端设备包括：

加密信息读取单元，用于读取加密信息到内存中；

待验证信息接收单元，用于接收待验证信息；

密钥读取单元，用于在接收到待验证信息后，读取上述加密信息对应的密钥到内存中；

解密单元，用于用上述密钥对上述加密信息进行解密得到解密信息；

验证单元，用于将上述待验证信息和上述解密信息进行对比得到验证结果。

第三方面，本发明实施例提供了另一种终端设备，包括处理器、输入设备、输出设备和存储器，该处理器、输入设备、输出设备和存储器相互连接，其中，上述存储器用于存储支持终端设备执行上述方法的计算机程序，该计算机程序包括程序指令，上述处理器被配置用于调用该程序指令，执行上述第一方面的方法。

第四方面，本发明实施例提供了一种计算机可读存储介质，该计算机存储介质存储有计算机程序，该计算机程序包括程序指令，该程序指令当被处理器执行时使该处理器执行上述第一方面的方法。

本发明实施例具有以下有益效果：

本发明实施例中，先读取加密信息到内存中，在接收到待验证信息后再读取密钥对该加密信息进行解密，不需要在接收到待验证信息后再读取加密信息，节省了从在接收到待验证信息后到解密信息的操作时间；在接收到待验证信息后，读取密钥并对上述加密信息进行解密，可以降低解密信息在内存中被恶意破解的几率，保障信息验证过程安全性。因此，实施本实施例可以在保障信息验证过程安全性的同时，节省验证过程的时间。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍。

图1是本发明实施例提供一种解密信息的保护方法的示意流程图；

图2是本发明实施例提供的另一种解密信息的保护方法的示意流程图；

图3是本发明实施例提供的一种指纹验证装置初始化过程的示意流程图；

图4是本发明实施例提供的一种指纹验证装置验证过程的示意流程图；

图5是本发明实施例提供的另一种解密信息的保护方法的示意流程图；

图6是本发明实施例公开的一种终端设备的示意框图；

图7是本发明实施例公开的另一种终端设备的示意框图；

图8是本发明实施例公开的另一种终端设备的示意框图；

图9是本发明另一实施例提供的一种终端设备的示意框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。

参见图1，图1是本发明实施例提供一种解密信息的保护方法的示意流程图，如图所示解密信息的保护方法可包括：

101、读取加密信息到内存中。

102、在接收到待验证信息后，读取上述加密信息对应的密钥到内存中。

在本实施例中，上述待验证信息一般为指纹信息、支付密码等信息，上述加密信息一般保存储在通用存储器内，上述密钥一般保存储在安全存储区。

103、用上述密钥对上述加密信息进行解密得到解密信息。

104、将上述待验证信息和上述解密信息进行对比得到验证结果。

在本实施例中，上述解密信息为需要进行保密的信息，例如，指纹信息、支付密码等信息。

可以理解，本发明实施例中，先读取加密信息到内存中，在接收到待验证信息后再读取密钥对该加密信息进行解密，不需要在接收到待验证信息后再读取加密信息，节省了从在接收到待验证信息后到解密信息的操作时间；在接收到待验证信息后，读取密钥并对上述加密信息进行解密，可以降低解密信息在内存中被恶意破解的几率，保障信息验证过程安全性。因此，实施本实施例可以在保障信息验证过程安全性的同时，节省验证过程的时间。

作为一种可选的实施方式，上述读取加密信息到内存中，包括：读取富执行环境REE中的上述加密信息到内存中；上述读取上述加密信息对应的密钥到内存中，包括：读取嵌入式安全单元eSE或可信执行环境TEE中的上述加密信息对应的密钥到内存中。

在本实施方式中，上述可信执行环境(Trusted Execution Environment，TEE)是终端设备处理器上的一个安全区域，可以保证加载到该环境内部的代码和数据的安全性、机密性以及完整性；上述富执行环境(Rich Execution Environment，REE)即为普通的执行环境，与可信执行环境TEE相对应，其安全性低于可信执行环境TEE；嵌入式安全单元(embedded Secure Element，eSE)，是一种防篡改的芯片，其大小不一，设计不同，可嵌入在任意一种终端设备中，它能确保数据存储在安全的地方，且信息仅对经授权的应用程序和人员开放，其安全性比可信执行环境TEE更高，但是存储空间较小。

可以理解，本实施方式对应了一种信息存储方法，即将加密信息存储到上述富执行环境REE中的，将该加密信息对应的密钥存储到嵌入式安全单元eSE或可信执行环境TEE中。由于嵌入式安全单元eSE和可信执行环境TEE具有安全性比富执行环境REE高，但是存储空间有限的特点，因此，上述信息存储方法不仅可以保障信息的安全性，而且也尽量减少了对嵌入式安全单元eSE或可信执行环境TEE存储空间的占用。

作为一种可选的实施方式，上述待验证信息为指纹信息。

参见图2，图2是本发明实施例提供的另一种解密信息的保护方法的示意流程图，如图所示解密信息的保护方法可包括：

201、读取加密信息到内存中。

202、在接收到待验证信息后，读取上述加密信息对应的密钥到内存中。

在本实施例中，上述待验证信息一般为指纹信息、支付密码等信息，上述加密信息一般保存储在通用存储器内，上述密钥一般保存储在安全存储区。

203、用上述密钥对上述加密信息进行解密得到解密信息。

204、读取辅助信息，使用上述解密信息和上述辅助信息还原上述模板信息。

在本实施例中，上述模板信息是与上述待验证信息对应的模板信息，例如，待验证信息为指纹信息，则上述模板信息是与其对应的指纹模板信息；上述模板信息可以包括上述辅助信息和上述解密信息，即该模板信息可以通过重组上述辅助信息和上述解密信息来实现；可以根据上述辅助信息对于还原上述模板信息的重要性，将该辅助信息存储于不同的区域，例如，如果上述辅助信息是还原上述模板信息的必要信息，则应该将该辅助信息存储在安全存储区内，如果上述辅助信息是还原上述模板信息的非必要信息，则可以将该辅助信息存储在通用存储器中。

在本实施例中，204中的“读取辅助信息”部分可以置于204中“使用上述解密信息和上述辅助信息还原上述模板信息”的任一步骤中。

205、将上述待验证信息和上述模板信息进行对比得到验证结果。

在本实施例中，上述模板信息为需要进行保密的信息，例如，指纹信息、支付密码等信息。

可以理解，本发明实施例中，将上述模板信息拆分成上述解密信息和上述辅助信息，并根据各自的重要性分别进行存储，在验证过程中对这两种信息分别进行读取，可以实现上述模板信息的合理存储，提升了模板信息的安全性，也节省了信息验证的时间。

作为一种可选的实施方式，上述读取辅助信息，包括：在上述接收待验证信息之前，读取上述富执行环境REE中的上述辅助信息；或者，在上述接收待验证信息之后，读取上述嵌入式安全单元eSE中的上述辅助信息。

在本实施方式中，上述富执行环境(Rich Execution Environment，REE)即为普通的执行环境，与可信执行环境TEE相对应，其安全性低于可信执行环境TEE；嵌入式安全单元(embedded Secure Element，eSE)，是一种防篡改的芯片，其大小不一，设计不同，可嵌入在任意一种终端设备中，它能确保数据存储在安全的地方，且信息仅对经授权的应用程序和人员开放，其安全性比可信执行环境TEE更高，但是存储空间较小。

可以理解，在本实施方式中，如果上述辅助信息是还原上述模板信息的必要信息，则将该辅助信息存储在嵌入式安全单元eSE中内，必须在上述接收待验证信息之后，为整个信息验证过程的安全性做出保障；如果上述辅助信息是还原上述模板信息的非必要信息，则将该辅助信息存储在富执行环境REE中，在上述接收待验证信息之前就可以进行读取，为整个信息验证过程节省时间。

举例说明，如图3所示，图3是本发明实施例提供的一种指纹验证装置初始化过程的示意流程图；在接收待开机指令之后，便开始读取指纹模板(即上述模板信息)的辅助信息和加密信息(该加密信息为指纹特征信息经加密后的信息)到内存中，不需要在接收到待验证信息后再读取上述辅助信息和上述加密信息，为后续的信息验证过程节省了时间。

举例说明，再参见图4，图4是本发明实施例提供的一种指纹验证装置验证过程的示意流程图，该指纹验证装置验证过程是继图3所示的指纹验证装置初始化过程之后的指纹验证过程。在收到手指接触指纹模组事件后(即上述接收待验证信息后)，开始读取指纹模板的数据结构信息(即还原指纹模板的必要信息，由于对还原指纹模板非常重要，因此在接收待验证信息后才读取)和图3所示加密信息的密钥，并用该密钥解密上述加密信息得到解密信息(即上述指纹特征信息)，最后使用数据结构信息、解密信息和上述已经读到内存中的辅助信息还原该指纹模板，进行指纹验证。

作为一种可选的实施方式，上述待验证信息为指纹信息。

参见图5，图5是本发明实施例提供的另一种解密信息的保护方法的示意流程图，如图所示解密信息的保护方法可包括：

501、读取加密信息到内存中。

502、在接收到待验证信息后，读取上述加密信息对应的密钥到内存中，提取上述待验证信息的特征信息。

在本实施例中，上述待验证信息一般为指纹信息、支付密码等信息，上述加密信息一般保存储在通用存储器内，上述密钥一般保存储在安全存储区。

在本实施例中，在接收到待验证信息后可同时执行“读取上述加密信息对应的密钥到内存中”和“提取上述待验证信息的特征信息”操作。

503、用上述密钥对上述加密信息进行解密得到解密信息。

504、将上述特征信息和上述解密信息进行对比得到验证结果。

可以理解，本发明实施例中，将上述特征信息和上述解密信息进行对比得到验证结果，而不是直接用上述待验证信息和上述解密信息进行对比得到验证结果，减少了验证的计算量，进一步地节省了时间。

作为一种可选的实施方式，在上述提取上述待验证信息的特征信息之后，在上述将上述待验证信息和上述解密信息进行对比得到验证结果之前，上述方法还包括：在上述提取上述待验证信息的特征信息操作失败的情况下，删除内存中的上述密钥和上述解密信息。

可以理解，在接收到待验证信息后，终端设备便开始做出读取密钥，解密加密信息等操作，此时如果提取上述待验证信息的特征信息操作失败，上述密钥和上述解密信息仍然在内存中，则容易被恶意破解，因此及时对其进行删除，可以进一步地保障信息的安全性。

作为一种可选的实施方式，上述待验证信息为指纹信息。

本发明实施例还提供一种终端设备，该终端设备用于执行前述任一项的方法的单元。具体地，参见图6，图6是本发明实施例提供的一种终端设备的示意框图。本实施例的终端设备包括：加密信息读取单元601，待验证信息接收单元602，密钥读取单元603，解密单元604，验证单元605；

上述加密信息读取单元601，用于读取加密信息到内存中；

上述待验证信息接收单元602，用于接收待验证信息；

上述密钥读取单元603，用于在接收到待验证信息后，读取上述加密信息对应的密钥到内存中；

上述解密单元604，用于用上述密钥对上述加密信息进行解密得到解密信息；

上述验证单元605，用于将上述待验证信息和上述解密信息进行对比得到验证结果。

具体实现方法与图1所示的解密信息的保护方法相同，这里不作详述。

作为一种可选的实施方式，上述加密信息读取单元601，具体用于读取富执行环境REE中的上述加密信息到内存中；上述密钥读取单元603，具体用于读取嵌入式安全单元eSE或可信执行环境TEE中的上述加密信息对应的密钥到内存中。具体实现方法与图1所示的解密信息的保护方法的可选实施方式相同，这里不作详述。

作为一种可选的实施方式，上述待验证信息接收单元602，具体用于接收指纹信息。具体实现方法与图1所示的解密信息的保护方法的可选实施方式相同，这里不作详述。

请一并参阅图7，图7是本发明实施例公开的另一种终端设备的示意框图。其中，图7所示的终端设备是在图6所示的终端设备的基础上进一步优化得到的。与图6所示的终端设备相比，图7所示的终端设备还可以包括：

辅助信息读取单元706，用于读取辅助信息，与上述待验证信息对应的模板信息包括上述辅助信息和上述解密信息；

模板信息还原单元707，用于使用上述解密信息和上述辅助信息还原上述模板信息；

上述验证单元705，具体用于将上述待验证信息和上述模板信息进行对比得到验证结果。

具体实现方法与图2所示的解密信息的保护方法相同，这里不作详述。

作为一种可选的实施方式，上述辅助信息读取单元706，具体用于在上述接收待验证信息之前，读取上述富执行环境REE中的上述辅助信息；或者，在上述接收待验证信息之后，读取上述嵌入式安全单元eSE中的上述辅助信息。具体实现方法与图2所示的解密信息的保护方法的可选实施方式相同，这里不作详述。

作为一种可选的实施方式，上述待验证信息接收单元702，具体用于接收指纹信息。具体实现方法与图2所示的解密信息的保护方法的可选实施方式相同，这里不作详述。

请一并参阅图8，图8是本发明实施例公开的另一种终端设备的示意框图。其中，图8所示的终端设备是在图6所示的终端设备的基础上进一步优化得到的。与图6所示的终端设备相比，图8所示的终端设备还可以包括：

特征信息提取单元806，用于提取上述待验证信息的特征信息；

上述验证单元805，具体用于将上述特征信息和上述模板信息进行对比得到验证结果。

具体实现方法与图5所示的解密信息的保护方法相同，这里不作详述。

作为一种可选的实施方式，上述终端设备还包括：删除单元807，用于在上述提取上述待验证信息的特征信息操作失败的情况下，删除内存中的上述密钥和上述解密信息。具体实现方法与图5所示的解密信息的保护方法的可选实施方式相同，这里不作详述。

作为一种可选的实施方式，上述待验证信息接收单元802，具体用于接收指纹信息。具体实现方法与图5所示的解密信息的保护方法的可选实施方式相同，这里不作详述。

参见图9，图9是本发明另一实施例提供的一种终端设备的示意框图。如图所示的本实施例中的终端设备可以包括：一个或多个处理器901；一个或多个输入设备902，一个或多个输出设备903和存储器904。上述处理器901、输入设备902、输出设备903和存储器904通过总线905连接。存储器902用于存储计算机程序，该计算机程序包括程序指令，处理器901用于执行存储器902存储的程序指令。其中，处理器901被配置用于调用该程序指令执行以下操作：

读取加密信息到内存中；

在接收到待验证信息后，读取上述加密信息对应的密钥到内存中；

用上述密钥对上述加密信息进行解密得到解密信息；

将上述待验证信息和上述解密信息进行对比得到验证结果。

应当理解，在本发明实施例中，所称处理器901可以是中央处理单元(Central Processing Unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

输入设备902可以包括触控板、指纹采传感器(用于采集用户的指纹信息和指纹的方向信息)、麦克风等，输出设备903可以包括显示器(LCD等)、扬声器等。

该存储器904可以包括只读存储器和随机存取存储器，并向处理器901提供指令和数据。存储器904的一部分还可以包括非易失性随机存取存储器。例如，存储器904还可以存储设备类型的信息。

具体实现中，本发明实施例中所描述的处理器901、输入设备902、输出设备903可执行本发明实施例提供的续航测试的方法的第一实施例和第二实施例中所描述的实现方式，也可执行本发明实施例所描述的终端设备的实现方式，在此不再赘述。

在本发明的另一实施例中提供一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序包括程序指令，该程序指令被处理器执行时实现：

读取加密信息到内存中；

在接收到待验证信息后，读取上述加密信息对应的密钥到内存中；

用上述密钥对上述加密信息进行解密得到解密信息；

将上述待验证信息和上述解密信息进行对比得到验证结果。

上述计算机可读存储介质可以是前述任一实施例的终端设备的内部存储单元，例如终端设备的硬盘或内存。上述计算机可读存储介质也可以是上述终端设备的外部存储设备，例如上述终端设备上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。进一步地，上述计算机可读存储介质还可以既包括上述终端设备的内部存储单元也包括外部存储设备。上述计算机可读存储介质用于存储上述计算机程序以及上述终端设备所需的其他程序和数据。上述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的终端设备和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的终端设备和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，上述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

上述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

上述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例中方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。