本发明专利技术涉及可设置权限的安全设备实现系统。该系统具备:安全设备权限设置模块,用于实现用户对安全设备的权限设置;安全设备权限管理模块,用于对由所述安全权限设置模块设定的权限设置进行储存和管理;安全设备驱动模块,从所述安全设备权限管理模块读取所述权限设置并且根据所述权限设置为下述安全设备应用提供安全设备驱动接口;以及安全设备应用,通过调用所述安全设备驱动模块完成对各安全设备的调用。利用本发明专利技术能够更好地提高外设访问的安全性,也能够进一步地有效防范恶意软件对移动终端恶意控制和使用,有效保护用户的安全性。
【技术实现步骤摘要】
本专利技术涉及对安全设备的管理技术,具体地涉及。
技术介绍
移动智能终端已发展成为能够从移动互联网上下载和安装各种第三方应用的开放软件平台,同时,移动智能终端处理重要服务的需求日益增加。从多媒体服务到手机远程支付和银行账户管理等功能,这些发展趋势使得移动智能终端成为恶意软件、木马等病毒的攻击目标。由于当前移动智能终端上缺乏完整性保护机制,其软硬件容易受到攻击和篡改,操作系统和第三方应用存在的安全漏洞使移动智能终端存在的安全威胁比PC终端存在的安全威胁更加严重。TEE (Trusted Execut1n Environment,可信执行环境)是为了解决当前移动智能终端存在的安全风险而提出的技术方案,该环境与正常的应用运行环境REE (RichExecut1n Environment)逻辑隔离,只能通过授权的API接口进行交互。TEE构造了一个与移动智能终端操作系统(例如Android、1S、WindowsPhone)隔离的安全运行环境。TEE位于移动智能终端主处理器中的安全区域,能够保证在可信的环境中进行敏感数据的存储、处理和保护。TEE为授权的安全软件(可信软件)提供了安全的执行环境,通过执行保护、保密、完整和数据访问权限实现了端到端的安全。—般移动通信终端包括多个相关安全设备(也称为安全外设),例如摄像头、麦克风、GPS、WIFI和蓝牙等。这些移动通信终端的安全设备是开放的,无安全管理的,具有如下缺点: (1)现在移动通信终端的安全设备的驱动都在非安全世界,可以任意修改,制造安全漏洞以及后门;(2)用户无法保证安全设备被完全关闭,一旦系统被ROOT后,安全设备可以被非法操作; (3)任何移动通信终端本身不具有辨识安全设备是否是非法使用的能力; (4)一旦安全设备被异常使用,用户无法立即停止该设备; (5)用户无法知道非安全世界系统内是否存在恶意使用安全设备的软件。
技术实现思路
鉴于上述问题,本专利技术旨在提供一种能够更好地提高外设访问的安全性并且有效防范恶意程序对智能设备的恶意控制和使用的。本专利技术的可设置权限的安全设备实现系统,其特征在于, 安全设备权限设置模块,用于实现用户对安全设备的权限设置; 安全设备权限管理模块,用于对由所述安全权限设置模块设定的权限设置进行储存和管理; 安全设备驱动模块,从所述安全设备权限管理模块读取所述权限设置并且根据所述权限设置为下述安全设备应用提供安全设备驱动接口 ;以及 安全设备应用,通过调用所述安全设备驱动模块完成对各安全设备的调用。优选地,在所述安全设备权限设置模块中,作为权限设置至少能够对各安全设备的使用权限进行设置。优选地,在所述安全设备权限设置模块中,作为所述使用权限,设置为一般、提示、禁止, 其中,在所述使用权限设置为一般的情况下,用户无须认证进行能够使用安全设备;在所述使用权限设置为提示的情况下,用户需要通过身份认证后才能够使用安全设备;在所述使用权限设置为禁止的情况下,用户不能使用安全设备。优选地,还具备:身份认证模块,在利用所述安全设备权限设置模块将安全设备的使用权限设置为提示的情况下,用于实现用户的身份认证。优选地,在所述安全设备权限设置模块中,作为权限设置还能够对各安全设备的使用时间进行设定, 所述安全设备权限管理模块根据所述安全设备权限设置模块设置的使用时间对时间进行计算,在设定的使用时间内允许所述安全设备应用通过所述安全设备驱动模块调用安全设备,反之在超过设定的使用时间的情况下,禁止所述安全设备应用通过所述安全设备驱动模块调用安全设备。优选地,在所述安全设备权限设置模块中,作为权限设置还能够对各安全设备的使用次数进行设定, 所述安全设备权限管理模块根据所述安全设备权限设置模块设置的使用次数对次数进行计算,在设定的使用次数内允许所述安全设备应用通过所述安全设备驱动模块调用安全设备,反之禁止所述安全设备应用通过所述安全设备驱动模块调用安全设备。优选地,所述安全设备权限设置模块设置在REE中, 所述安全设备权限管理模块、所述安全设备驱动模块以及所述身份认证模块设置在TEE 中。优选地,所述REE通过接口层调用所述TEE,由所述安全设备驱动模块提供给安全设备应用的所述安全设备驱动接口属于所述接口层。优选地,所述安全设备实现系统是移动通信终端。本专利技术的安全设备实现方法,其特征在于,包括下述步骤: 权限设置步骤:利用安全设备权限设置模块设置安全设备的使用权限,由安全设置权限管理模块对所设置的权限进行储存和管理; 权限确认步骤:当用户在非安全世界使用安全设备时,安全设备驱动模块调用安全设备权限管理模块得到该安全设备的权限设置并且确认是否可通过安全设备驱动模块调用安全设备; 权限实现步骤:在上述安全设备权限管理模块允许对安全设备的调用的情况下,通过安全设备驱动模块实现安全设备,否则,禁止对安全设备的调用。优选地,在所述权限设置步骤中,作为使用权限,设置为一般、提示、禁止,当权限设置为一般时,用户无须身份认证就可以使用安全设备(但不认证的情况下为保证使用安全建议在使用安全设备时使用主流加密方法保障数据的安全);当权限设置为提示时,用户需要身份认证才能使用安全设备;当权限设置为禁止时,用户无法使用该设备。优选地,在所述权限设置步骤中,作为权限设置还能够利用安全设备权限设置模块对各安全设备的使用时间进行设定,在所述权限确认步骤中,安全设备权限管理模块根据安全设备权限设置模块设置的使用时间对时间进行计算,在所述权限实现步骤中,在设定的使用时间内允许所述安全设备应用通过所述安全设备驱动模块调用安全设备,反之在超过设定的使用时间的情况下,禁止所述安全设备应用通过所述安全设备驱动模块调用安全设备。优选地,在所述权限设置步骤中,作为权限设置还能够利用安全设备权限设置模块对各安全设备的使用次数进行设定,在所述权限确认步骤中,安全设备权限管理模块根据安全设备权限设置模块设置的使用次数对次数进行计算,在所述权限实现步骤中,在设定的使用次数内允许所述安全设备应用通过所述安全设备驱动模块调用安全设备,反之在超过设定的使用次数的情况下,禁止所述安全设备应用通过所述安全设备驱动模块调用安全设备。如上所述,本专利技术的能够在可信执行环境技术的安全保障的基础上进一步丰富和加强对移动设备相关外设例如摄像头、麦克风、GPS、wifi和蓝牙等的访问的可控性,通过对这些外设设置访问权限,由此能够更好地提高外设访问的安全性,也能够进一步地有效防范恶意软件对移动终端恶意控制和使用,有效保护用户的安全性。【附图说明】图1是表示本专利技术的可设置权限的安全设备实现系统的构造框图。图2是表示本专利技术的一个实施例的可设置权限的安全设备实现方法的流程图。【具体实施方式】下面介绍的是本专利技术的多个实施例中的一些,旨在提供对本专利技术的基本了解。并不旨在确认本专利技术的关键或决定性的要素或限定所要保护的范围。本专利技术的可设置权限的安全设备实现系统适用于移动通信终端,通过TEE (Tr当前第1页1 2 3 本文档来自技高网...
【技术保护点】
一种可设置权限的安全设备实现系统,其特征在于,安全设备权限设置模块,用于实现用户对安全设备的权限设置;安全设备权限管理模块,用于对所述安全权限设置模块设定的权限设置进行储存和管理;安全设备驱动模块,从所述安全设备权限管理模块读取所述权限设置并且根据所述权限设置为下述安全设备应用提供安全设备驱动接口;以及安全设备应用,通过调用所述安全设备驱动模块完成对各安全设备的调用。
【技术特征摘要】
【专利技术属性】
技术研发人员:李定洲,周钰,郭伟,严翔翔,曾望年,陈成钱,
申请(专利权)人:中国银联股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。