数据,在屏蔽访问模式下,禁止所有系统正常访问安全数据存储区的数据,从而有效地保护了终端的安全操作系统的安全数据不被窃取,进一步提升了用户的隐私安全。
[0058]在上述技术方案中,优选地,当禁止访问安全数据时,判断是否重新设定目标操作系统中的安全数据存储区的访问模式;以及在判定重新设定安全数据存储区的访问模式时,根据接收到的重置指令,重新设定目标操作系统中的安全数据存储区的访问模式。
[0059]在该技术方案中,当访问安全数据的请求被禁止时,可以提示用户是否重置访问模式,并可以根据用户的设置重置访问模式,从而使访问模式的设置和转变更具灵活性,提升了用户体验。
[0060]在上述技术方案中,优选地,在步骤102之前,还包括:预设安全数据存储区的当前访问模式。
[0061]在该技术方案中,可以根据实际需求或用户指令预设访问模式,其中,访问模式的设置不能简单地通过手机中的设置进行转变,而是需要通过专有指令来转变的。具体地,变更访问模式的指令可以是如下形式:
[0062]command: = op state state
[0063]op: = change | other
[0064]state: = safe|share|unsafe
[0065]其中,op state state中,op是变更操作,前一个state代表原访问模式,后一个state代表新访问模式,op和state分别可以由2、3bit (字节)二进制表示,比如000表示unsafe,unsafe代表屏蔽访问模式。目前的op和state还不多,后边如有扩展,可以增加二进制bit位数进行实现。
[0066]图2示出了根据本发明的一个实施例的安全数据的访问控制系统的结构示意图。
[0067]如图2所示,根据本发明的一个实施例的安全数据的访问控制系统200,用于终端,终端上安装有多个操作系统,包括:判断模块202,用于根据接收到的数据访问请求,判断终端的目标操作系统中的安全数据存储区的当前访问模式;控制模块204,用于根据判断结果,确定是否允许访问存储在安全数据存储区中的安全数据,其中,目标操作系统的安全等级高于多个操作系统中除目标操作系统外的其他操作系统的安全等级。
[0068]在该技术方案中,可以为目标操作系统(即安全操作系统)的安全数据存储区设置访问模式,其中,不同的访问模式可以对应不同的访问权限,例如,可以为安全操作系统的安全数据存储区设定访问安全标识锁,然后通过安全标识锁在不同场景控制对安全数据存储区的访问保护,其中,安全标识锁的不同锁状态对应于安全数据存储区的不同访问模式。通过这种方法可以彻底防止因数据备份而导致的数据泄露,同时,如果手机被窃,同样可以通过远程发送指令触发访问模式的转变,防止别人进入安全操作系统获取隐私数据,另外,若安全操作系统出现故障,也可以根据事先设定的触发机制,触发访问模式的转变。因此,当安全数据存储区接收到数据访问请求时,终端就可以根据当前的访问模式确定是否运行其被访问,从而可以更加适应用户的实际需求,有效地保护了终端的安全操作系统的安全数据不被窃取,防止了隐私数据的丢失,从而进一步提升了用户的隐私安全。
[0069]在上述技术方案中,优选地,判断模块202还用于:当判定安全数据存储区的当前访问模式为安全访问模式时,判断数据访问请求是否来自目标操作系统;以及控制模块204具体用于:在判定当前访问模式为安全访问模式时,允许访问安全数据,否则禁止访问安全数据。
[0070]在该技术方案中,可以为安全数据存储区设置安全访问模式,在安全访问模式下,只有目标操作系统可以正常访问安全数据存储区的数据,禁止终端中的其他系统访问安全数据存储区的数据,从而有效地保护了终端的安全操作系统的安全数据不被窃取,进一步提升了用户的隐私安全。
[0071]在上述技术方案中,优选地,控制模块204具体还用于:当判定安全数据存储区的当前访问模式为共享访问模式时,允许访问安全数据;或者当判定安全数据存储区的当前访问模式为屏蔽访问模式时,禁止访问安全数据。
[0072]在该技术方案中,还可以为安全数据存储区设置共享访问模式和屏蔽访问模式,在共享访问模式下,每个系统都可以正常访问安全数据存储区的数据,在屏蔽访问模式下,禁止所有系统正常访问安全数据存储区的数据,从而有效地保护了终端的安全操作系统的安全数据不被窃取,进一步提升了用户的隐私安全。
[0073]在上述技术方案中,优选地,判断模块202还用于:当禁止访问安全数据时,判断是否重新设定目标操作系统中的安全数据存储区的访问模式;以及还包括:重置模块206,用于在判定重新设定安全数据存储区的访问模式时,根据接收到的重置指令,重新设定目标操作系统中的安全数据存储区的访问模式。
[0074]在该技术方案中,当访问安全数据的请求被禁止时,可以提示用户是否重置访问模式,并可以根据用户的设置重置访问模式,从而使访问模式的设置和转变更具灵活性,提升了用户体验。
[0075]在上述技术方案中,优选地,还包括:设置模块208,用于根据接收到的数据访问请求,判断安全数据存储区的当前访问模式之前,预设安全数据存储区的当前访问模式。
[0076]在该技术方案中,可以根据实际需求或用户指令预设访问模式,其中,访问模式的设置不能简单地通过手机中的设置进行转变,而是需要通过专有指令来转变的。具体地,变更访问模式的指令可以是如下形式:
[0077]command: = op state state
[0078]op: = change | other
[0079]state: = safe|share|unsafe
[0080]其中,op state state中,op是变更操作,前一个state代表原访问模式,后一个state代表新访问模式,op和state分别可以由2、3bit (字节)二进制表示,比如000表示unsafe,unsafe代表屏蔽访问模式。目前的op和state还不多,后边如有扩展,可以增加二进制bit位数进行实现。
[0081]图3示出了根据本发明的一个实施例的终端的结构示意图。
[0082]如图3所示,根据本发明的一个实施例的终端300,包括安全数据的访问控制系统200,因此,终端300具有和上述技术方案中任一项所述的安全数据的访问控制系统200相同的技术效果,在此不再赘述。
[0083]图4示出了根据本发明的一个实施例的安全数据存储区的访问模式转换示意图。
[0084]如图4所示,可以为安全系统(目标操作系统)的安全数据存储区设定访问安全标识锁,然后通过安全标识锁在不同场景控制对安全数据存储区的访问保护,其中,安全标识锁的不同锁状态对应于安全数据存储区的不同访问模式。安全标识锁可以有Safe、Unsafe、Share三种锁状态。其中,处于Safe锁状态时,只有安全系统可以正常访问数据存储区的数据,处于Unsafe锁状态时,无论是安全系统还是非安全系统都不可以访问数据存储区的数据,而处于Share锁状态时,安全系统和非安全系统都可以访问数据存储区的数据。
[0085]通过设置不同的触发事件,还可以控制安全锁状态间的互相转变。通过这种方法可以彻底防止因数据备份而导致的数据泄露,同时,如果手机被窃,同样可以通过远程发送指令触发安全锁状态向Unsafe转变,防止别人进入安全系统获取隐私数据,另外,若安全系统出现故障,根据事先设定的触发机制,触发安全锁状态向Share转变。并且