本发明专利技术是关于一种安全访问方法及装置,属于计算机安全领域。所述方法包括:在普通世界下,通过远程帧缓冲RFB客户端获取RFB服务端的加密数据;从普通世界切换为安全世界,对加密数据进行解密得到显示数据;在安全世界下,根据显示数据进行显示。本发明专利技术通过在普通世界下,获取RFB服务端的加密数据,而后切换为安全世界,对加密数据进行解密得到显示数据,并在安全世界下,根据显示数据进行显示,解决了现有技术中在安全世界下运行RFB客户端,导致安全世界下的代码库增加的问题;达到了在保证安全性的前提下,只需要增加很小一部分安全世界下的代码库,就能通过RFB客户端安全访问RFB服务端的效果。
【技术实现步骤摘要】
本专利技术涉及计算机安全领域,特别涉及一种安全访问方法及装置。
技术介绍
远程巾贞缓冲(英文:Remote Frame Buffer,缩写:RFB)是一种用于远程访问图形用户界面的简单协议。根据该协议,RFB客户端可以远程访问RFB服务器的图形用户界面。远程帧缓冲被广泛应用于远程办公、远程控制等领域。出于安全性的考虑,高级精简指令集机器(英文:Advanced RISC Machines,缩写:ARM)公司提供信任区域(英文:TrustZone)硬件技术。在采用TrustZone硬件技术的终端中,终端可以运行在普通世界(英文:Normal World)或者安全世界(英文:Secure World)。其中,普通世界和安全世界的运行环境相互隔离。该终端在安全世界下运行RFB客户端时,可以保证远程访问过程的安全性。专利技术人发现现有技术至少存在以下问题:由于安全世界不会直接复用普通世界下的代码库,如果要使RFB客户端能够运行在安全世界,就需要在安全世界下重新实现一套支持RFB协议的代码库,不仅会使安全世界下的代码量剧增,而且因为代码量的增加而导致安全世界有可能会出现本不应该出现的漏洞。
技术实现思路
本专利技术实施例提供了一种安全访问方法及装置,使用本专利技术实施例提供的安全访问方法及装置,可以解决在安全世界下运行RFB客户端所导致的安全世界下的代码库增加的问题。所述技术方案如下:第一方面,提供了一种安全访问方法,用于支持信任区域硬件技术的终端中,所述终端可以运行在普通世界或者安全世界,所述方法包括:在所述普通世界下,通过远程帧缓冲RFB客户端获取RFB服务端的加密数据;从所述普通世界切换为所述安全世界,对所述加密数据进行解密得到显示数据;在所述安全世界下,根据所述显示数据进行显示。结合第一方面,在第一方面的第一种可能的实施方式中,所述从所述普通世界切换为安全世界,对所述加密数据进行解密得到显示数据,包括:在所述普通世界下,接收所述RFB客户端的写入请求,其中,所述写入请求是指将所述加密数据写入帧缓冲区内存的请求,所述帧缓冲区内存是仅在所述安全世界下能够访问的内存;在所述写入请求触发错误时,由所述普通世界切换为所述安全世界;在所述安全世界下,对所述加密数据进行解密得到显示数据;所述在所述安全世界下,根据所述显示数据进行显示,包括:将所述显示数据写入所述帧缓冲区内存中,并由显示组件自动读取所述帧缓冲区内存中的所述显示数据进行显示。结合第一方面,在第一方面的第二种可能的实施方式中,所述在普通世界下,通过远程帧缓冲RFB客户端获取RFB服务端的加密数据之前,还包括:在所述普通世界下,通过所述RFB客户端登录所述RFB服务端;在登录所述RFB服务端成功时,将所述帧缓冲区内存设置为仅在所述安全世界下能够访问的内存。结合第一方面的第二种可能的实施方式,在第一方面的第三种可能的实施方式中,所述在所述普通世界下,通过所述RFB客户端登录所述RFB服务端,包括:在所述普通世界下,通过所述RFB客户端获取所述RFB服务端的登录界面数据; 根据所述登录界面数据显示登录界面;从所述普通世界切换为所述安全世界,接收在所述登录界面中输入的用户名和密码;在所述普通世界下,将所述用户名和加密后的所述密码发送给所述RFB服务端,以使得所述RFB服务端根据所述用户名和所述加密后的所述密码进行验证。结合第一方面的第三种可能的实施方式,在第一方面的第四种可能的实施方式中,所述在所述普通世界下,将所述用户名和加密后的所述密码发送给所述RFB服务端,包括:在所述安全世界下,将接收到的所述密码写入安全内存中,将接收到的所述用户名写入普通内存中,所述安全内存为仅在所述安全世界下能够访问的内存,所述普通内存是在所述普通世界和所述安全世界下均能访问的内存;从所述安全世界切换为所述普通世界,并通过所述RFB客户端将所述用户名发送至所述RFB服务端;在所述用户名通过所述RFB服务端的验证时,接收所述RFB服务端产生的随机数;从所述普通世界切换为所述安全世界,并利用预定哈希函数将所述随机数和密码转化为反馈信息,所述预定哈希函数为所述RFB客户端和所述RFB服务端预先约定的哈希函数;从所述安全世界切换为所述普通世界,并通过所述RFB客户端将所述反馈信息发送给所述RFB服务端。结合第一方面,或是第一方面的第一种可能的实施方式,或是第一方面的第二种可能的实施方式,或是第一方面的第三种可能的实施方式,或是第一方面的第四种可能的实施方式,在第一方面的第五种可能的实施方式中,所述在普通世界下,通过远程帧缓冲RFB客户端获取RFB服务端的加密数据之前,还包括:在启动后直接进入所述安全世界,并将安全世界提醒组件设置为仅在所述安全世界下能够使用,所述安全世界提醒组件用于提醒当前运行世界为所述普通世界和所述安全世界中的一种。结合第一方面,或是第一方面的第一种可能的实施方式,或是第一方面的第二种可能的实施方式,或是第一方面的第三种可能的实施方式,或是第一方面的第四种可能的实施方式,在第一方面的第六种可能的实施方式中,,所述方法还包括:在所述安全世界下,获取外部输入设备接收到的输入信号,所述外部输入设备是仅在所述安全世界下能访问的外部输入设备;将所述输入信号加密后写入普通内存,所述普通内存是在所述普通世界和所述安全世界下均能访问的内存;在所述普通世界下,通过所述RFB客户端将加密后的所述输入信号发送给所述RFB服务端。结合第一方面的第六种可能的实施方式,在第一方面的第七种可能的实施方式中,所述在所述安全世界下,获取外部输入设备接收到的输入信号之前,还包括:在所述RFB客户端启动时,将所述终端的外部输入设备设置为仅在所述安全世界下能访问的外部输入设备。第二方面,提供了一种安全访问装置,用于支持信任区域硬件技术的终端中,所述终端可以运行在普通世界或者安全世界,所述装置包括:数据获取模块,用于在所述普通世界下,通过远程帧缓冲RFB客户端获取RFB服务端的加密数据;数据解密模块,用于从所述普通世界切换为所述安全世界,对所述加密数据进行解密得到显示数据;数据显示模块,用于在所述安全世界下,根据所述显示数据进行显示。结合第二方面,在第二方面的第一种可能的实施方式中,所述数据解密模块,包括:请求接收单元,用于在所述普通世界下,接收所述RFB客户端的写入请求,其中,所述写入请求是指将所述加密数据写入帧缓冲区内存的请求,所述帧缓冲区内存是仅在所述安全世界下能够访问的内存;安全切换单元,用于在所述写入请求触发错误时,由所述普通世界切换为所述安全世界;数据解密单元,用于在所述安全世界下,对所述加密数据进行解密得到显示数据;所述数据显示模块,用于将所述显示数据写入所述帧缓冲区内存中,并由显示组件自动读取所述帧缓冲区内存中的所述显示数据进行显示。结合第二方面,在第二方面的第二种可能的实施方式中,所述装置,还包括:客户登陆模块,用于在所述普通世界下,通过所述RFB客户端登录所述RFB服务端;安全内存模块,用于在登录所述RFB服务端成功时,将所述帧缓冲区内存设置为仅在所述安全世界下能够访问的内存。结合第二方面的第二种可能的实施方式,在第二方面的第三种可能的实施方式中,所述客户登陆模块,包括: 登录界面单元,用本文档来自技高网...
【技术保护点】
一种安全访问方法,其特征在于,所述方法用于支持信任区域硬件技术的终端中,所述终端可以运行在普通世界或者安全世界,所述方法包括:在所述普通世界下,通过远程帧缓冲RFB客户端获取RFB服务端的加密数据;从所述普通世界切换为所述安全世界,对所述加密数据进行解密得到显示数据;在所述安全世界下,根据所述显示数据进行显示。
【技术特征摘要】
【专利技术属性】
技术研发人员:利文浩,夏虞斌,陈海波,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。