一种终端可信环境运行方法及装置与流程

本发明涉及通信领域，具体而言，涉及一种终端可信环境运行方法及装置。

背景技术：

目前手机正在成为个人的信息中心，手机承载着越来越多的用户功能，除了传统的基于电路域的语音业务外，基于数据业务的移动互联网应用已经涵盖了生活的各个方面。在移动支付，媒体传输，信息浏览，资源分享等领域，已经改变了人们的传统生活方式。在移动互联网迅猛发展的同时，移动互联网的信息安全也受到挑战，逐渐成为制约移动互联网的瓶颈。而手机终端作为移动互联网的入口和节点，如何保证其运行环境的安全，已经成为业界的核心焦点。

现在电商平台进行移动支付时，如果使用的WLAN无线网络，其支付信息能够被提供WLAN无线接入能力的提供方捕获，导致其帐号密码泄露，带来重大的安全风险。针对相关技术中用户使用WLAN网络上网以及购物的过程中进行实时干预，确保用户的关键信息不被WLAN无线接入能力提供方捕获，目前尚未提出有效的解决方案。

技术实现要素：

本发明提出一种终端可信环境运行方法及装置，以至少解决用户使用WLAN网络上网以及购物的过程中进行实时干预，确保用户的关键信息不被WLAN无线接入能力提供方捕获的问题，提高了终端使用的安全性。

根据本发明的一个方面，提供了一种终端可信环境运行方法，包括：

对终端系统运行的应用进行实时监控；

判断所述终端系统运行的应用是否符合预设场景；

当所述终端系统运行的应用符合所述预设场景时，对终端当前运行环境进 行干预，以保证接收用户输入的关键信息时，终端处于可信的运行环境中。

优选地，所述预设场景为系统默认设置和/或用户预先设置，包括以下至少之一：

特定的应用类型，包括银行相关应用、支付相关应用等。

特定的运行场景，包括在输入账号密码界面的运行场景等。

优选地，所述场景为用户预先设置具体包括：用户将所述特定的应用类型设置成白名单，并且可以对白名单进行增加、删除或修改。

优选地，判断所述终端系统运行的应用是否符合预设场景具体包括：判断所述所述终端系统运行的应用是否在白名单内，若是，则认为所述终端系统运行的应用符合所述预设场景。

优选地，所述当所述终端系统运行的应用符合所述预设场景时，对终端当前运行环境进行干预具体包括：当所述终端系统运行的应用符合所述预设场景时，自动断开WLAN连接，启动移动网络数据连接，并且将所有正在运行的非系统应用强制结束。

优选地，当所述终端系统运行的应用符合所述预设场景时，对终端当前运行环境进行干预后，继续监测判断当前所述终端系统运行的应用是否符合预设场景，如果不否符合预设场景时，则自动断开移动网络数据网络连接，并且自动连接所述断开的WLAN连接。

根据本发明的另一方面，还提供了一种终端可信环境运行装置，包括：

应用监控模块，用于对终端系统运行的应用进行实时监控；

场景判断模块，用于判断所述终端系统运行的应用是否符合预设场景；

环境干预模块，用于当所述终端系统运行的应用符合所述预设场景时，对终端当前运行环境进行干预，以保证接收用户输入的关键信息时，终端处于可信的运行环境中。

优选地，所述场景判断模块判断所述终端系统运行的应用是否符合预设场景，其中所述预设场景为系统默认设置和/或用户预先设置，包括以下至少之一：

特定的应用类型，包括银行相关应用、支付相关应用等。

特定的运行场景，包括在输入账号密码界面的运行场景等。

优选地，该装置还包括白名单设置模块，用于用户将所述特定的应用类型设置成白名单，并且可以对白名单进行增加、删除或修改。

优选地，场景判断模块具体用于包括判断所述所述终端系统运行的应用是 否在白名单内，若是，则认为所述终端系统运行的应用符合所述预设场景。

优选地，所述环境干预模块具体用于：当所述终端系统运行的应用符合所述预设场景时，自动断开WLAN连接，启动移动网络数据连接，并且将所有正在运行的非系统应用强制结束。

优选地，该装置还包括环境恢复模块，用于当所述终端系统运行的应用符合所述预设场景时，对终端当前运行环境进行干预后，继续监测判断当前所述终端系统运行的应用是否符合预设场景，如果不否符合预设场景时，则自动断开移动网络数据网络连接，并且自动连接所述断开的WLAN连接。

通过本发明实施例，采用终端可行环境运行的方法，用户使用WLAN网络上网以及购物的过程中进行实时干预，确保用户的关键信息不被WLAN无线接入能力提供方捕获的问题，提高了终端使用的安全性。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为根据本发明实施例的终端可信环境运行方法流程图；

图2为根据本发明实施例的终端可信环境运行方法的优选实施例流程图；

图3为根据本发明实施例的终端可信环境运行方法中白名单使用流程图；

图4为根据本发明实施例的终端可信环境运行方法中后台应用结束流程图；

图5为根据本发明实施的终端可信环境运行装置结构图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。

图1为根据本发明实施例的终端可行环境运行方法流程图。如图1所示，该方法包括：步骤S102至步骤S106：

S102：对终端系统运行的应用进行实时监控；

在本发明实施例中，该步骤由终端系统厂商进行预置，具有系统级权限，对手机系统运行的应用进行实时监控。

S104：判断所述终端系统运行的应用是否符合预设场景；

在本发明实施例中，所述预设场景为系统默认设置和/或用户预先设置，包括以下至少之一：

特定的应用类型，包括银行相关应用、支付相关应用等。

特定的运行场景，包括在输入账号密码界面的运行场景等。

场景为用户预先设置具体包括：用户将所述特定的应用类型设置成白名单，并且可以对白名单进行增加、删除或修改。终端可以判断所述所述终端系统运行的应用是否在白名单内，若是，则认为所述终端系统运行的应用符合所述预设场景。

图3为本发明实施例的终端可信环境运行方法中白名单使用流程图，如图3所示：

步骤S301：手机终端启动；

步骤S302：终端可信环境运行方法启动，常驻后台，对手机运行环境进行实时监控；

步骤S303：后台读取系统内置的白名单列表；

步骤S304：读取内置的白名单列表后，生成一个白名单队列，每次系统启动应用时，都将待启动的应用包名和白名单队列中的包名进行比对，决定下一步的启动策略。

步骤S305：用户可以在系统提供的白名单配置窗口对目前的白名单进行曾加、删除、修改。

步骤S306：更新用户修改后的白名单，将修改结果体现在白名单队列中。

步骤S307：流程结束。

S106：当所述终端系统运行的应用符合所述预设场景时，对终端当前运行环境进行干预，以保证接收用户输入的关键信息时，终端处于可信的运行环境中。

当所述终端系统运行的应用符合所述预设场景时，对终端当前运行环境进行干预具体包括：当所述终端系统运行的应用符合所述预设场景时，自动断开WLAN连接，启动移动网络数据连接，并且将所有正在运行的非系统应用强制结束。

图4为本发明实施例的终端可信环境运行方法中后台应用结束流程图，如图4所示：

S401：系统启动应用；

S402：判定本次应用启动，系统需要进入可信环境；

S403：结束后台所有非系统应用；

S404：检测清理的结果；

S405：如果达到要求，则本次结束后台应用的行为成功；

S406：如果达不到要求，则提升后台应用结束的策略等级，再次进行后台应用结束工作；

S407：直到后台应用结束的结果达标；

S408：结束。

当所述终端系统运行的应用符合所述预设场景时，对终端当前运行环境进行干预后，继续监测判断当前所述终端系统运行的应用是否符合预设场景，如果不否符合预设场景时，则自动断开移动网络数据网络连接，并且自动连接所述断开的WLAN连接。

图2为根据本发明实施例的终端可信环境运行方法的优选实施例流程图；如图2所示，该实施例包括如下步骤：

步骤S201：手机终端启动，进入待机模式；

步骤S202：开机过程中启动，常驻后台，对手机运行环境进行实时监控；

步骤S203：进行运行环境的判定；

步骤S204：手机终端进行数据通道的切换，从WLAN环境切换到移动数据网络环境，从目前的技术评估和防护能力看，本发明实施例是移动数据网络的传输链路是可信的；

步骤S205：终结所有的后台非系统应用，防止后台运行有木马进程，对用户数据进行监控；

步骤S206：用户完成数据传输后，进行场景判定；

步骤S207：判定是否要退出可信执行环境；

步骤S208：手机终端退出可信执行环境，重新连接到WLAN网络；

步骤S209：手机进入待机模式；

步骤S210：流程结束。

终端根据所述信号强度最佳的小区所在的基站位置，指示出移动终端应该移动的方向，该方向就是从移动终端的位置坐标指向信号强度最佳基站的位置坐标。

在本实施例中还提供了终端可信环境运行装置结构图，用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述，下面对该系统中涉及到的模块进行说明。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。图5为根据本发明实施的终端可信环境运行装置结构图。如图5所示，该装置包括：

应用监控模块50，用于对终端系统运行的应用进行实时监控；

场景判断模块51，用于判断所述终端系统运行的应用是否符合预设场景；

所述场景判断模块51判断终端系统运行的应用是否符合预设场景，其中所述预设场景为系统默认设置和/或用户预先设置，包括以下至少之一：

特定的应用类型，包括银行相关应用、支付相关应用等。

特定的运行场景，包括在输入账号密码界面的运行场景等。

该装置还包括白名单设置模块，用于用户将所述特定的应用类型设置成白名单，并且可以对白名单进行增加、删除或修改。

场景判断模块51判断所述所述终端系统运行的应用是否在白名单内，若是，则认为所述终端系统运行的应用符合所述预设场景。

环境干预模块52，用于当所述终端系统运行的应用符合所述预设场景时，对终端当前运行环境进行干预，以保证接收用户输入的关键信息时，终端处于可信的运行环境中。

环境干预模块52具体用于：当所述终端系统运行的应用符合所述预设场景时，自动断开WLAN连接，启动移动网络数据连接，并且将所有正在运行的非系统应用强制结束。

该装置还包括环境恢复模块，用于当所述终端系统运行的应用符合所述预设场景时，对终端当前运行环境进行干预后，继续监测判断当前所述终端系统运行的应用是否符合预设场景，如果不否符合预设场景时，则自动断开移动网络数据网络连接，并且自动连接所述断开的WLAN连接。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可 以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。