一种数据安全的保护方法及终端.pdf

本申请公开了一种数据安全保护方法及终端，所述方法包括：终端检测到启动保护数据的指令时，对所述终端加密，其中，所述终端至少包括唯一标识；向服务器发送所述终端的数据，其中，所述数据至少包括所述终端的唯一标识以及用户资料，所述终端与所述服务器通过所述唯一标识预先绑定。上述方案，能够对遗失终端的数据进行加密，并备份到服务器，保护终端的数据安全。

权利要求书
1.  一种数据安全保护方法，其特征在于，所述方法包括：
终端检测到启动保护数据的指令时，对所述终端加密，其中，所述 终端至少包括唯一标识；
向服务器发送所述终端的数据，其中，所述数据至少包括所述终端 的唯一标识以及用户资料，所述终端与所述服务器通过所述唯一标识预 先绑定。

2.  根据权利要求1所述的方法，其特征在于，对所述终端加密的步 骤之后还包括：获取所述终端的定位信息；其中，所述数据还包括所述 终端的定位信息。

3.  根据权利要求1或2所述的方法，其特征在于，所述向服务器发 送所述终端的数据的步骤具体为：
所述终端通过无线网络向服务器发送所述终端的数据；或者，援助 终端在接收到所述终端发送的所述数据后，通过无线网络向服务器发送 所述终端的数据。

4.  根据权利要求1所述的方法，其特征在于，所述对所述终端加密 的步骤包括：对所述终端的存储数据的区域进行物理加密，以及禁用 USB接口的读写功能。

5.  根据权利要求1至4任一所述的方法，其特征在于，所述方法还 包括：将所述终端设置为报废状态，其中，所述报废状态为关闭所述终 端的显示屏并拒绝响应用户的操作指令。

6.  一种数据安全保护终端，其特征在于，所述终端包括：加密模块 以及发送模块；
所述加密模块用于当检测到启动保护数据的指令时，对所述终端加 密，其中，所述终端至少包括唯一标识；
所述发送模块用于向服务器发送终端的数据，其中，所述数据至少 包括所述终端的唯一标识以及用户资料，所述终端与所述服务器通过所 述唯一标识预先绑定。

7.  根据权利要求6所述的终端，其特征在于，所述终端还包括定位 模块；所述定位模块用于在所述加密模块对所述终端加密后，获取所述 终端的定位信息；其中，所述数据还包括所述终端的定位信息。

8.  根据权利要求6或7所述的终端，其特征在于，所述发送模块用 于通过无线网络向服务器发送所述终端的数据；或者，用于触发援助终 端在接收到所述终端发送的所述数据后，通过无线网络向服务器发送所 述终端的数据。

9.  根据权利要求6所述的终端，其特征在于，所述加密模块具体用 于对所述终端的存储数据的区域进行物理加密，以及禁用USB接口的读 写功能。

10.  根据权利要求6-9任一所述的终端，其特征在于，所述终端还包 括报废模块，所述报废模块用于将所述终端设置为报废状态，其中，所 述报废状态为关闭所述终端的显示屏并拒绝响应用户的操作指令。

说明书一种数据安全的保护方法及终端
技术领域
本申请涉及通信技术领域，特别是涉及一种数据安全的保护方法及 终端。
背景技术
目前，随着移动终端的存储空间越来越大，人们可通过移动终端存 储大量的个人文件和资料。然而当移动终端遗失时，移动终端内的数据 安全将会受到威胁，给用户的工作和生活带来不便，甚至造成不可估量 的直接过间接经济损失。
通常的终端数据安全的保护方法是，在终端遗失后，通过终端内的 SIM卡向预先绑定的另一SIM卡发送信息，以将重要数据发送到另一 SIM实现数据备份。
然而，采用这种方法时，一旦遗失终端内的SIM被拔，则无法将重 要数据发送到另一SIM实现数据备份。
发明内容
本申请提供一种数据安全的保护方法及终端，能够对遗失终端的数 据进行加密，并备份到服务器，保护终端的数据安全。
为解决上述技术问题，本申请采用的一个技术方案是：提供一种数 据安全保护方法，所述方法包括：终端检测到启动保护数据的指令时， 对所述终端加密，其中，所述终端至少包括唯一标识；向服务器发送所 述终端的数据，其中，所述数据至少包括所述终端的唯一标识以及用户 资料，所述终端与所述服务器通过所述唯一标识预先绑定。
其中，对所述终端加密的步骤之后还包括：获取所述终端的定位信 息；其中，所述数据还包括所述终端的定位信息。
其中，所述向服务器发送所述终端的数据的步骤具体为：所述终端 通过无线网络向服务器发送所述终端的数据；或者，援助终端在接收到 所述终端发送的所述数据后，通过无线网络向服务器发送所述终端的数 据。
其中，所述对所述终端加密的步骤包括：对所述终端的存储数据的 区域进行物理加密，以及禁用USB接口的读写功能。
其中，所述方法还包括：将所述终端设置为报废状态，其中，所述 报废状态为关闭所述终端的显示屏并拒绝响应用户的操作指令。
为解决上述技术问题，本申请采用的一个技术方案是：提供一种数 据安全保护终端，所述终端包括：加密模块以及发送模块；所述加密模 块用于当检测到启动保护数据的指令时，对所述终端加密，其中，所述 终端至少包括唯一标识；所述发送模块用于向服务器发送终端的数据， 其中，所述数据至少包括所述终端的唯一标识以及用户资料，所述终端 与所述服务器通过所述唯一标识预先绑定。
其中，所述终端还包括定位模块；所述定位模块用于在所述加密模 块对所述终端加密后，获取所述终端的定位信息；其中，所述数据还包 括所述终端的定位信息。
其中，所述发送模块用于通过无线网络向服务器发送所述终端的数 据；或者，用于触发援助终端在接收到所述终端发送的所述数据后，通 过无线网络向服务器发送所述终端的数据。
其中，所述加密模块具体用于对所述终端的存储数据的区域进行物 理加密，以及禁用USB接口的读写功能。
其中，所述终端还包括报废模块，所述报废模块用于将所述终端设 置为报废状态，其中，所述报废状态为关闭所述终端的显示屏并拒绝响 应用户的操作指令。
本发明的有益效果是：区别于现有技术的情况，本申请终端检测到 启动保护数据的指令时，通过唯一密码对终端加密，并将终端的数据发 送给服务器，以实现数据备份，防止终端的数据随着终端的遗失而丢失。
附图说明
图1是本申请数据安全保护方法一实施方式的流程图；
图2是本申请数据安全保护方法另一实施方式的流程图；
图3是本申请数据安全保护终端一实施方式的结构示意图；
图4是本申请数据安全保护终端另一实施方式的结构示意图。
具体实施方式
以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、 接口、技术之类的具体细节，以便透彻理解本申请。然而，本领域的技 术人员应当清楚，在没有这些具体细节的其它实施方式中也可以实现本 申请。在其它情况中，省略对众所周知的装置、电路以及方法的详细说 明，以免不必要的细节妨碍本申请的描述。
请参阅图1，图1是本申请数据安全保护方法一实施方式的流程。
本实施方式的执行主体为终端，终端能够与服务器、援助终端通信。 终端至少包括唯一标识，每个终端对应一个唯一密码，唯一标识至少包 括终端的WiFi MAC地址、蓝牙MAC地址。终端可通过指定的网络链 接连接到供应商的服务器，并通过可用的SIM卡号码(即手机号码)以 及唯一标识在供应商的服务器中注册账号，以使终端与服务器进行预先 绑定。其中，可用的SIM卡号码用于在终端遗失时，向遗失的终端发送 启动保护数据的指令，以触发终端启动数据安全保护系统，保护终端的 数据安全。
注册成功后，终端可以接收通过可用的SIM卡对应的手机号码发送 的启动保护数据的指令。其中，可用的SIM卡可以安装在已经启用数据 安全保护系统的终端内，也可以安装在没有启用数据安全保护系统的终 端内。
终端还可以通过蓝牙、WiFi等无线方式接收援助终端发送的启动保 护数据的指令。例如，用户在遗失终端后，通过指定的链接访问服务器， 并通过预先注册的账号登陆服务器，发送广播信息，请求其他启动数据 安全保护系统的援助终端进行援助。其中，广播信息包含遗失终端的唯 一标识。当援助终端接受请求后，扫描援助终端附近的终端。当附件终 端的唯一标识与广播信息中包含的唯一标识相同时，通过WiFi点对点 的方式或蓝牙的方式向该终端发送启动保护数据的指令。此时，援助终 端是已经启用数据安全保护系统的终端。
终端还可以接收用户通过服务器向终端发送的信息，该信息包括启 动保护数据的指令。例如，用户在遗失终端后，通过指定的链接访问服 务器，并通过预先注册的账号登陆服务器，将启动保护数据的指令发送 到服务器指定的路径。当终端联网后，能够自动访问服务器指定的路径， 获取启动保护数据的指令。
本实施方式的数据安全保护方法包括以下步骤：
S101：终端检测到启动保护数据的指令时，对所述终端加密，其中， 所述终端至少包括唯一标识。
当终端检测到启动保护数据的指令时，启动数据安全保护系统，对 终端进行加密。其中，终端至少包括唯一标识，每个终端对应一个唯一 密码，唯一标识至少包括终端的WiFi MAC地址、蓝牙MAC地址。
对终端进行加密是通过唯一密码对终端的数据(例如，用户资料) 和/或对终端的数据接口进行加密(例如，对终端的USB接口进行加密 或者禁用USB接口除充电功能外的一切功能)。唯一密码是通过不可逆 的运算公式计算出的，用户通过查阅说明书或售后方式从供应商处获得 唯一密码。
启动保护数据的指令可以是终端检测到的异常关机事件时自动触 发的，也可以是由服务器或援助设备发送的。
异常关机事件包括终端检测到本机的SIM被拔、关机状态量值异 常、开关机习惯的时间异常中的任意一个或多个。
检测关机状态量值异常的方法为：在终端开机时，检测关机状态量 值，当检测到关机状态量值为1时，判断为正常关机并重置关机状态量 值为初始值0；检测到关机状态量值为0时，判断为异常关机。其中， 当终端正常关机时，按正常的流程关闭系统，并标识关机状态量值为正 常关机，标识为1(并不限于此，在其它实施方式中，也可以将0标识 为正常关机状态)，最后关闭电源。当终端被拔电池非正常关机时，由 于系统突然掉电，关机状态量值不会被更新，仍然为0。
开关机习惯的时间异常可以通过统计用户平时开、关机的时间范 围，如果开关机的时间不在预先统计的范围内时，判断为开关机习惯的 时间异常，如果开关机的时间属于预先统计的范围内时，判断为开关机 习惯的时间正常。
由服务器或援助设备发送启动保护数据的指令的情况为：当终端遗 失后，终端用户通过预先注册的账号登陆服务器，向遗失的终端发送启 动保护数据的指令；或者，当援助终端通过唯一标识识别出遗失终端后， 通过WiFi点对点或蓝牙等无线通信的方式想遗失终端发送启动保护数 据的指令，此时，援助终端是已经启用数据安全保护系统的终端。当援 助终端是未启用数据安全保护系统的终端时，通过援助终端内的SIM卡 向遗失终端发送短信息，短信息包括启动保护数据的指令。
S102：向服务器发送所述终端的数据，其中，所述数据至少包括所 述终端的唯一标识以及用户资料，所述终端与所述服务器通过所述唯一 标识预先绑定。
终端向服务器发送终端的数据，以实现数据备份，防止终端的数据 随着终端的遗失而丢失。其中，数据至少包括终端的唯一标识以及用户 资料，以使服务器在接收到该数据后能够通过唯一标识识别出该终端。 用户资料可以是已经通过唯一密码加密的，也可以为没有加密的。加密 后的用户资料可通过唯一密码进行解密还原得到原始数据。
终端向服务器发送终端的数据的方式可以是通过网络直接将终端 的数据向服务器发送，也可以与援助终端进行WiFi点对点或蓝牙等无 线通信，将终端的数据向援助终端发送，并经由援助终端发送给服务器 进行备份。可以理解的是，终端还可以通过短信息的方式将终端的数据 发送到援助终端上，其中，援助终端内装有事先绑定的可用的SIM卡。
上述方案，终端检测到启动保护数据的指令时，通过唯一密码对终 端加密，并将终端的数据发送给服务器，以实现数据备份，防止终端的 数据随着终端的遗失而丢失。
请参阅图2，图2是本申请数据安全保护方法另一实施方式的流程。
本实施方式的执行主体为终端，终端至少包括唯一标识，每个终端 对应一个唯一密码，唯一标识至少包括终端的WiFi MAC地址、蓝牙 MAC地址。终端能够与服务器、援助终端通信。本实施方式的数据安 全保护方法包括以下步骤：
S201：终端检测到启动保护数据的指令时，对所述终端的存储数据 的区域进行物理加密，以及禁用USB接口的读写功能，其中，终端至少 包括唯一标识。
当终端检测到启动保护数据的指令时，启动启动数据安全保护系 统，通过唯一密码对终端的存储数据的区域进行物理加密，以使数据存 储区域无法访问或读写。终端还禁用USB接口的读写功能，只保留USB 充电功能，禁止进入下载模式防止被刷机，以防止终端的数据泄露。终 端在启动数据安全保护系统时，记录终端运行数据安全保护系统的时 间。
其中，终端的存储数据的区域包括外部存储卡、终端系统内部的存 储区域。终端至少包括唯一标识，每个终端对应一个唯一密码，唯一标 识至少包括终端的WiFi MAC地址、蓝牙MAC地址。唯一密码是通过 不可逆的运算公式计算出的，用户通过查阅说明书或售后方式从供应商 处获得唯一密码。
启动保护数据的指令可以是终端检测到的异常关机事件时自动触 发的，也可以是由服务器或援助设备发送的。
异常关机事件包括终端检测到本机的SIM被拔、关机状态量值异 常、开关机习惯的时间异常中的任意一个或多个。
检测关机状态量值异常的方法为：在终端开机时，检测关机状态量 值，当检测到关机状态量值为1时，判断为正常关机并重置关机状态量 值为初始值0；检测到关机状态量值为0时，判断为异常关机。其中， 当终端正常关机时，按正常的流程关闭系统，并标识关机状态量值为正 常关机，标识为1(并不限于此，在其它实施方式中，也可以将0标识 为正常关机状态)，最后关闭电源。当终端被拔电池非正常关机时，由 于系统突然掉电，关机状态量值不会被更新，仍然为0。
开关机习惯的时间异常可以通过统计用户平时开、关机的时间范 围，如果开关机的时间不在预先统计的范围内时，判断为开关机习惯的 时间异常，如果开关机的时间属于预先统计的范围内时，判断为开关机 习惯的时间正常。
由服务器或援助设备发送启动保护数据的指令的情况为：当终端遗 失后，终端用户通过预先注册的账号登陆服务器，向遗失的终端发送启 动保护数据的指令；或者，当援助终端通过唯一标识识别出遗失终端后， 通过WiFi点对点或蓝牙等无线通信的方式想遗失终端发送启动保护数 据的指令，此时，援助终端是已经启用数据安全保护系统的终端。当援 助终端是未启用数据安全保护系统的终端时，通过援助终端内的SIM卡 向遗失终端发送短信息，短信息包括启动保护数据的指令。
S202：获取所述终端的定位信息；其中，所述数据还包括所述终端 的定位信息。
终端在后台运行WiFi、GPS、GPRS，以试图获取终端的定位信息 对终端进行定位。其中，后台运行的WiFi、GPS、GPRS状态不显示于 显示屏的用户界面，以防止非法用户察觉数据安全保护系统的运行而试 图通过特殊手段重置终端，进而破坏终端的数据。非法用户为除本机用 户以为的其他用户，例如，拾到遗失终端的用户。
S203：向服务器发送所述终端的数据，其中，所述数据至少包括所 述终端的唯一标识、用户资料以及定位信息，所述终端与所述服务器通 过所述唯一标识预先绑定。
终端向服务器发送存储于终端的数据，以实现数据备份，防止终端 的数据随着终端的遗失而丢失。或者，援助终端在接收到终端发送的数 据后，通过无线网络向服务器发送终端的数据，其中，发送的数据至少 包括终端的唯一标识以及用户资料，以使服务器在接收到该数据后能够 通过唯一标识识别出该终端。终端的数据可以是已经通过唯一密码加密 的，也可以为没有加密的。加密后的数据可通过唯一密码进行解密还原 得到原始数据。终端与服务器通过唯一标识预先绑定，援助终端通过唯 一标识识别遗失终端。
终端向服务器发送终端的数据的方式可以是通过网络直接将终端 的数据向服务器发送，也可以与援助终端进行WiFi点对点或蓝牙等无 线通信，将终端的数据向援助终端发送，并经由援助终端发送给服务器 进行备份。可以理解的是，终端还可以通过短信息的方式将终端的数据 发送到援助终端上，其中，援助终端内装有事先绑定的可用的SIM卡。
当定位成功后，终端还将定位信息发送给服务器。其中，当终端能 发送短信息时，将定位信息通过短信息的形式发送到事先绑定的SIM卡 号码(即手机号码)上，并在装有该SIM卡的终端(即援助终端)能联 网时，将定位信息发送给服务器。当终端不能发送短信时，在终端联网 后，直接将定位信息发送给服务器；或者通过WiFi点对点或蓝牙等无 线通信方式将定位信息发送给位于遗失终端附近的援助设备，在援助终 端通过唯一标识识别出遗失终端的定位信息后将该定位信息发送给服 务器。定位信息至少包括遗失终端的位置信息，还可以包括唯一标识。
在服务器接收到定位信息后，用户能够登陆服务器获知遗失终端的 位置信息，并根据获取到的位置信息试图找回遗失终端。
S204：将所述终端设置为报废状态，其中，所述报废状态为关闭所 述终端的显示屏并拒绝响应用户的操作指令。
当终端判断持续运行数据安全保护系统的时间达到预设时间(例 如，预设时间为一个月，但并不限于此，可以根据时间需要设置)时， 将显示屏锁定于黑屏状态，从而将该终端设置为报废状态。其中，报废 状态为关闭终端的显示屏并拒绝响应用户的操作指令。处于报废状态的 终端始终处于黑屏状态，拒绝响应用户的任何操作指令，但仍然能够在 后台运行数据安全保护系统，以使能够持续将获取到的定位信息发送给 服务器，便于用户根据连续的定位信息追踪遗失终端的具体位置，帮助 找回遗失终端。可以理解的是，在终端遗失时，用户也可以直接向遗失 终端发送立刻报废终端的指令，将该终端设置为报废状态。发送报废指 令的方式具体不做限制。
报废状态是可恢复的。例如，在用户找回遗失终端后，可以向终端 发送恢复指令以运行恢复软件，通过唯一密码使终端退出报废状态，恢 复正常工作状态。其中，恢复软件是预先安装在终端内，或者是安装在 与服务器连接的电脑里。发送恢复指令的方式具体不做限制。
上述方案，终端检测到启动保护数据的指令时，通过唯一密码对终 端的数据存储区域加密以及禁用数据接口的读写功能，获得终端的定位 信息，并将终端的数据发送给服务器。其中，终端的数据至少包括唯一 标识、用户资料以及定位信息。能够实现数据备份，防止终端的数据随 着终端的遗失而丢失，并且还能通过定位信息追踪遗失终端的所在位 置，帮助用户找回遗失终端。
请参阅图3，图3是本申请数据安全保护终端一实施方式的结构示 意图。本实施方式的数据安全保护终端用于执行与图1实施方式对应的 任务，本实施方式的数据安全保护终端各模块执行的动作与图1实施方 式中包含的各步骤相对应，具体请参阅相关描述，此处不赘述。本申请 的数据安全保护终端包括加密模块310以及发送模块320。
加密模块310用于当检测到保护数据的指令时，对终端加密，其中， 终端至少包括唯一标识。比如，加密模块310当检测到保护数据的指令 时，对终端加密，其中，终端至少包括唯一标识。加密模块310将终端 的数据发送给发送模块320。
发送模块320用于向服务器发送终端的数据，其中，数据至少包括 终端的唯一标识以及用户资料，终端与服务器通过唯一标识预先绑定。 比如，发送模块320接收终端的数据，并将终端的数据向服务器发送。 其中，终端的数据至少包括终端的唯一标识以及用户资料，终端与服务 器通过唯一标识预先绑定。
上述方案，终端检测到启动保护数据的指令时，通过唯一密码对终 端加密，并将终端的数据发送给服务器，以实现数据备份，防止终端的 数据随着终端的遗失而丢失。
请参阅图4，图4是本申请数据安全保护终端另一实施方式的结构 示意图。本实施方式的数据安全保护终端用于执行与图2实施方式对应 的任务，本实施方式的数据安全保护终端各模块执行的动作与图2实施 方式中包含的各步骤相对应，具体请参阅相关描述，此处不赘述。本申 请的数据安全保护终端包括加密模块410、定位模块420、发送模块430 以及报废模块440。
加密模块410用于当检测到启动保护数据的指令时，对终端加密， 其中，终端至少包括唯一标识。比如，加密模块410当检测到启动保护 数据的指令时，对终端的存储数据的区域进行物理加密，以及禁用USB 接口的读写功能。其中，终端至少包括唯一标识。加密模块410将终端 的唯一标识以及用户资料发送给发送模块430。
定位模块420用于在加密模块410对终端加密后，获取终端的定位 信息；其中，数据还包括终端的定位信息。比如，定位模块420在加密 模块410对终端加密后，获取终端的定位信息。定位模块420将定位信 息向发送模块430发送。
发送模块320用于向服务器发送终端的数据，其中，数据至少包括 终端的唯一标识、用户资料以及定位信息，终端与服务器通过唯一标识 预先绑定。比如，发送模块430接收终端的数据，通过无线网络向服务 器发送终端的数据；或者，触发援助终端在接收到终端发送的数据后， 通过无线网络向服务器发送终端的数据。其中，终端数据至少包括唯一 标识、用户资料以及定位信息。
报废模块440用于将终端设置为报废状态，其中，报废状态为关闭 终端的显示屏并拒绝响应用户的操作指令。比如，当报废模块440判断 持续运行数据安全保护系统的时间达到预设时间(例如，预设时间为一 个月，但并不限于此，可以根据时间需要设置)时，将显示屏锁定于黑 屏状态，从而将该终端设置为报废状态。
处于报废状态的终端始终处于黑屏状态，拒绝响应用户的任何操作 指令，但仍然能够在后台运行数据安全保护系统，以使能够持续将获取 到的定位信息发送给服务器，便于用户根据连续的定位信息追踪遗失终 端的具体位置，帮助找回遗失终端。
可以理解的是，在终端遗失时，用户也可以直接向报废模块440发 送立刻报废终端的指令，将该终端设置为报废状态。发送报废指令的方 式具体不做限制。
报废状态是可恢复的。例如，在用户找回遗失终端后，可以向报废 模块440发送恢复指令以运行恢复软件，通过唯一密码使终端退出报废 状态，恢复正常工作状态。其中，恢复软件是预先安装在终端内，或者 是安装在与服务器连接的电脑里。发送恢复指令的方式具体不做限制。
上述方案，终端检测到启动保护数据的指令时，通过唯一密码对终 端的数据存储区域加密以及禁用数据接口的读写功能，获得终端的定位 信息，并将终端的数据发送给服务器。其中，终端的数据至少包括唯一 标识、用户资料以及定位信息。能够实现数据备份，防止终端的数据随 着终端的遗失而丢失，并且还能通过定位信息追踪遗失终端的所在位 置，帮助用户找回遗失终端。
以上描述中，为了说明而不是为了限定，提出了诸如特定系统结构、 接口、技术之类的具体细节，以便透彻理解本申请。然而，本领域的技 术人员应当清楚，在没有这些具体细节的其它实施方式中也可以实现本 申请。在其它情况中，省略对众所周知的装置、电路以及方法的详细说 明，以免不必要的细节妨碍本申请的描述。