理单元结构示意图。
【具体实施方式】
[0041]下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示了本公开的示例性实施方式,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0042]根据本发明的实施方式,提出一种智能终端安全防护系统,如附图1所示,所述防护系统包括位于云端的安全中心服务器以及位于智能终端的安全防护单元,其中,
[0043]所述安全中心服务器包括依次设置的第一传输单元、被动解析单元、第一解密单元、第二解密单元以及云端认证单元;其中,
[0044]所述第一传输单元用于传输与安全防护单元的交互数据;
[0045]所述被动解析单元用于对智能终端应用程序的被动分析;
[0046]所述第一解密单元和所述第二解密单元用于执行安全防护单元的应用程序运行认证单元发送数据的解密;以及
[0047]所述云端认证单元用于执行智能终端应用程序的云端认证。
[0048]所述安全防护单元包括依次设置的未授权应用程序非法装载检测单元、应用程序运行认证单元、内部敏感数据保密单元以及数据空间整理单元;其中,
[0049]所述未授权应用程序非法装载检测单元用于未授权应用程序非法装载的检测;
[0050]所述应用程序运行认证单元用于运行智能终端内应用程序时的认证;
[0051]所述内部敏感数据保密单元用于应用程序可调用内部敏感数据的保密处理;以及
[0052]所述数据空间整理单元用于数据读写存储空间的管理。
[0053]根据本发明的一个实施方式,如附图2所示,所述未授权应用程序非法装载检测单元包括:程序非标准检测单元、第一交互单元、预分析单元、动作配准单元、自适应反应单元以及第二传输单元;其中,
[0054]所述程序非标准检测单元用于检测智能终端中的非正常现象;
[0055]所述预分析单元用于获得系统所在智能终端中安装的应用程序信息,同时将预分类的非法动作通过数据库运作建立待判定程序组;
[0056]所述未授权应用程序非法装载检测单元通过第一交互单元调用程序非标准检测单元的检测结果,所得到的非标准检测结果发送至动作配准单元;
[0057]所述动作配准单元将智能操作系统程序非标准检测单元检测到的非正常现象与待判定程序组中的动作做比对;
[0058]所述动作配准单元将程序非标准检测单元检测到的非正常现象与预分析单元在初始化阶段已经完成的待判定程序组中的动作做比对,得到该非正常现象涉及到的运作权限后,再将这些运作权限所对应的程序从待判定程序组中取出,最后根据得到的程序数目的差异将信息进行相应的处理,如果得到仅一个程序被比对为待判定程序,则直接作为非法程序进入自适应反应单元执行相应运作,即,所述自适应反应单元根据比对信息中的非法级别决定相应类型;否则通过第二传输单元将待判定程序信息发送至安全中心服务器进行进一步判定,将待判定程序交由安全中心服务器进行被动分析。
[0059]所述被动解析单元用于对智能终端应用程序exe文件的被动分析;所述被动解析单元处于线程控制运行状态,当消息队列中有未授权应用程序非法装载检测单元请求被动分析的消息时,被动解析单元便开始执行,首先从消息中获得exe文件,然后调用被动分析函数对exe文件进行分析,分析时用到已经建立完成的正常程序调用函数库及非标准程序调用函数库,最后根据分析函数返回的结果设置安全中心服务器向未授权应用程序非法装载检测单元的返回消息。
[0060]根据本发明进一步的实施方式,所述未授权应用程序非法装载检测单元还可以设有运作权限判定单元和第一提示单元,运作权限判定单元从安装的应用程序中取出含有开机自动运行权限的应用程序,以提示的形式将这些应用程序信息显示给用户,并让用户选择信任为安全的程序,然后将用户选择的安全程序从待判定程序组中去除,不再进行后续的判定。
[0061]根据本发明的一个实施方式,如附图3所示,所述应用程序运行认证单元包括:标识码获得单元、密钥获得单元、第一加密单元、第二加密单元、以及认证请求发送单元,其中,
[0062]所述标识码获得单元用于当运行待运行的程序时,获得智能终端的移动设备国际标识码和移动终端电话号码;
[0063]所述密钥获得单元用于获得第一加密算法密钥、第二加密算法密钥和当前的时间标识序列;所述第一加密算法可以是但不限于非对称加密算法,所述第二加密算法可以是但不限于对称加密算法;
[0064]所述第一加密单元用于根据第二加密算法密钥和所述当前的时间标识序列对所述移动设备国际标识码、移动终端电话号码和待运行的程序的签名序列进行加密;
[0065]所述第二加密单元用于根据所述第一加密算法密钥对所述第二加密算法密钥进行复合加密,
[0066]所述认证请求发送单元用于向安全中心服务器发送认证请求消息,所述认证请求消息携带加密的所述移动设备国际标识码、移动终端电话号码、待运行的程序的签名序列和第二加密算法密钥;
[0067]所述安全中心服务器通过第一传输单元接收所述认证请求消息;
[0068]所述第一解密单元根据第一加密算法密钥对所述加密的第二加密算法密钥进行解密,获得当前的时间标识序列;
[0069]所述第二解密单元根据所述解密的第二加密算法密钥和所述当前的时间标识序列对所述加密的移动设备国际标识码、移动终端电话号码和待运行的程序的签名序列进行解密;
[0070]所述云端认证单元根据所述解密的移动设备国际标识码、移动终端电话号码和待运行的程序的签名序列对所述智能终端及待运行的应用程序进行认证。
[0071]根据本发明的一个实施方式,如附图4所示,所述内部敏感数据保密单元包括:权限档案建立单元、独立控制单元、以及确定单元,其中,
[0072]所述权限档案建立单元,用于在智能操作系统最下层建立用于存储应用权限记录表的权限档案,并将敏感数据分类存储在应用权限记录表中;
[0073]所述独立控制单元,用于在智能操作系统最下层生成独立应用编程接口,通过独立应用编程接口设置应用权限记录表的内容;
[0074]所述确定单元,用于当应用程序读取敏感数据时,在智能操作系统本地框架层根据应用权限记录表确定该应用是否有权限获得敏感数据。
[0075]根据本发明的实施方式,所述独立控制单元包括:
[0076]独立应用编程接口生成单元,用于设置应用安装权限,在智能操作系统最下层生成独立应用编程接口;
[0077]权限管理单元,用于通过独立应用编程接口访问应用权限记录表,修改应用权限记录表中有获得权限的应用程序类型、以及该应用程序有权限获得的敏感数据的内容;以及
[0078]第一存储单元,用于保存修改后的应用权限记录表。
[0079]根据本发明的实施方式,所述确定单元包括:
[0080]权限记录表读取单元,用于当应用程序读