一种程序安全运行环境的启动方法.pdf

本发明涉及一种保护信息安全的方法，公开了一种程序安全运行环境的启动方法，其基于一种内部含有控制芯片和存储器的移动设备、管理该移动设备的专用软件以及用于与用户交互并运行该专用软件的硬件平台，所述的存储器内包含有可信操作系统区。本发明提供的一种程序安全运行环境的启动方法，步骤合理，采用移动设备内置的可信操作环境作为目的程序的安全运行环境，有效地防止了未知操作环境下木马病毒对用户身份信息的窃取，保证了用户的经济利益和个人隐私的安全，而且，还采用专用软件授权后才能进入可信任操作环境进行程序操作的方式，大大地提高了程序运行和用户使用的安全性。

权利要求书
1.  一种程序安全运行环境的启动方法，其特征在于：其基于一种内部含有控制 芯片和存储器的移动设备、管理该移动设备的专用软件以及用于与用户交互 并运行该专用软件的硬件平台，所述的存储器内包含有可信操作系统区，所 述的可信操作系统区内设有用户所需要运行的目的程序和运行该目的程序的 可信操作环境，所述的控制芯片上运行的程序包含控制模块，所述的控制模 块分别与可信操作系统区和专用软件通信，其具体步骤如下：
A)初始状态：将移动设备与硬件平台通信连接，控制芯片上电并运行控制 模块，控制模块进入保护态，专用软件在硬件平台上运行，等待用户的操作 命令；
B)口令验证：用户打开专用软件，专用软件弹出口令验证框，等待用户的 输入，控制模块将口令与其预定的口令信息进行比对，如果相符合，则转至 步骤E)，如果不符合，则将口令错误的信息反馈至专用软件，转至步骤C)， 如果不符合的次数达到N次，则转至步骤D)；
C)验证失败：专用软件重新弹出与用户交互的口令验证框，等待用户的输 入，回转至步骤B)；
D)访问失败：控制模块查看预定的配置信息，如果配置信息为初始化，则 控制模块将口令信息重置为默认值，将错误次数过多的信息反馈至专用软件， 随后清除可信操作系统区内所有的目的程序，专用软件弹出错误次数过多的 警示框后自动关闭，断开移动设备与硬件平台之间的通信连接，回转至步骤 A)，如果配置信息为不初始化，则控制模块将错误次数过多的信息反馈至专 用软件，专用软件弹出错误次数过多的警示框，回转至步骤B)；
E)状态切换：控制模块切换至信任态，并将可信操作系统区与硬件平台通信， 专用软件控制操作平台在下一次启动时进入可信操作环境，并在保持移动设 备与硬件平台的通信连接下，将硬件平台重新启动；
F)运行程序：可信操作环境在重启后的硬件平台上运行，将目的程序显示给 用户，根据用户的操作，硬件平台发出对目的程序的访问命令，并将该访问 命令传输至控制模块，控制模块解析访问命令，根据访问命令在可信操作环 境中运行目的程序；
G)结束操作：用户完成操作，退出可信操作环境，控制模块控制硬件平台 在下一次启动时不进入可信操作系统区，将硬件平台关闭，依次断开可信操 作系统区与硬件平台的通信和移动设备与硬件平台的通信连接，切换至保护 态，回转至步骤A)。

2.  如权利要求1所述的一种程序安全运行环境的启动方法，其特征在于：在步 骤B)中，N的次数不少于3次。

3.  如权利要求1所述的一种程序安全运行环境的启动方法，其特征在于：所述 的移动设备还设有指纹识别器，所述的指纹识别器与控制芯片连接、并与控 制模块通信，在步骤B)中，用户输入的口令是指纹信息，控制模块内部的 口令信息是相应的指纹信息。

4.  如权利要求1所述的一种程序安全运行环境的启动方法，其特征在于：所述 的移动设备还设有键盘，所述的键盘与控制芯片连接、并与控制模块通信， 在步骤B)中，用户输入的口令是口令验证框中提示的验证密码，控制模块 内部的口令信息是相应的用户的验证信息。

5.  如权利要求1至4中任一项所述的一种程序安全运行环境的启动方法，其特 征在于：所述的移动设备通过USB协议与硬件平台通信连接。

说明书一种程序安全运行环境的启动方法
【技术领域】
本发明涉及一种保护信息安全的方法，特别涉及一种程序安全运行环境的 启动方法。
【背景技术】
计算机软件及程序一般都需要有一个操作系统环境才能运行。在当前信息 安全威胁日益严重的状况下，操作系统环境包括操作系统本身以及其上运行的 许多其他软件，对于用户注重的软件及程序，主要包括用户上网消费等与经济 利益或信息保密相关的使用行为的安全性来说，是一个不可控、不可信的环境。 尤其在一些陌生的计算机上进行上述的设计个人隐私的操作时，用户对该计算 机提供的操作系统环境就更加不知底细，从而难以保证自己的经济利益或者身 份信息的安全，给用户带来极大的不便。因此，当用户需要运行对安全性能要 求较高的程序时，以一种用户自己信赖、可控的方式提供并启动该程序需要的 安全运行环境，对用户来说是非常有必要的。
现有技术中，一般都只强调对软件的安装进行监控和限制，，而没有考虑到 程序在运行时或者与外界通信时的安全保护需求。用户运行程序依然在普通的 操作系统上，一旦原先的操作系统已经被病毒感染，在这基础上安装及运行的 程序很可能都是不安全的，因此，最有效的办法是在一个干净、可信的操作环 境下进行程序的安装和运行，才能真正为用户提供一个安全的运行环境。
【发明内容】
本发明的目的在于克服上述现有技术的不足，提供一种程序安全运行环境 的启动方法，其旨在解决现有技术中的程序的运行环境安全性不高、无法保证 用户的信息不会泄露、运行环境的进入繁琐的技术问题。
为实现上述目的，本发明提出了一种程序安全运行环境的启动方法，其基 于一种内部含有控制芯片和存储器的移动设备、管理该移动设备的专用软件以 及用于与用户交互并运行该专用软件的硬件平台，所述的存储器内包含有可信 操作系统区，所述的可信操作系统区内设有用户所需要运行的目的程序和运行 该目的程序的可信操作环境，所述的控制芯片上运行的程序包含控制模块，所 述的控制模块分别与可信操作系统区和专用软件通信，其具体步骤如下：
A)初始状态：将移动设备与硬件平台通信连接，控制芯片上电并运行控制 模块，控制模块进入保护态，专用软件在硬件平台上运行，等待用户的操作命 令；
B)口令验证：用户打开专用软件，专用软件弹出口令验证框，等待用户的 输入，控制模块将口令与其预定的口令信息进行比对，如果相符合，则转至步 骤E)，如果不符合，则将口令错误的信息反馈至专用软件，转至步骤C)，如果 不符合的次数达到N次，则转至步骤D)；
C)验证失败：专用软件重新弹出与用户交互的口令验证框，等待用户的输 入，回转至步骤B)；
D)访问失败：控制模块查看预定的配置信息，如果配置信息为初始化，则 控制模块将口令信息重置为默认值，将错误次数过多的信息反馈至专用软件， 随后清除可信操作系统区内所有的目的程序，专用软件弹出错误次数过多的警 示框后自动关闭，断开移动设备与硬件平台之间的通信连接，回转至步骤A)， 如果配置信息为不初始化，则控制模块将错误次数过多的信息反馈至专用软件， 专用软件弹出错误次数过多的警示框，回转至步骤B)；
E)状态切换：控制模块切换至信任态，并将可信操作系统区与硬件平台通 信，专用软件控制操作平台在下一次启动时进入可信操作环境，并在保持移动 设备与硬件平台的通信连接下，将硬件平台重新启动；
F)运行程序：可信操作环境在重启后的硬件平台上运行，将目的程序显示 给用户，根据用户的操作，硬件平台发出对目的程序的访问命令，并将该访问 命令传输至控制模块，控制模块解析访问命令，根据访问命令在可信操作环境 中运行目的程序；
G)结束操作：用户完成操作，退出可信操作环境，控制模块控制硬件平台 在下一次启动时不进入可信操作系统区，将硬件平台关闭，依次断开可信操作 系统区与硬件平台的通信和移动设备与硬件平台的通信连接，切换至保护态， 回转至步骤A)。
作为优选，在步骤B)中，N的次数不少于3次。
作为优选，所述的移动设备还设有指纹识别器，所述的指纹识别器与控制 芯片连接、并与控制模块通信，在步骤B)中，用户输入的口令是指纹信息，控 制模块内部的口令信息是相应的指纹信息。
作为优选，所述的移动设备还设有键盘，所述的键盘与控制芯片连接、并 与控制模块通信，在步骤B)中，用户输入的口令是口令验证框中提示的验证密 码，控制模块内部的口令信息是相应的用户的验证信息。
作为优选，所述的移动设备通过USB协议与硬件平台通信连接。
本发明的有益效果：与现有技术相比，本发明提供的一种程序安全运行环 境的启动方法，步骤合理，采用移动设备内置的可信操作环境作为目的程序的 安全运行环境，有效地防止了未知操作环境下木马病毒对用户身份信息的窃取， 保证了用户的经济利益和个人隐私的安全，而且，还采用专用软件授权后才能 进入可信任操作环境进行程序操作的方式，大大地提高了程序运行和用户使用 的安全性。
本发明的特征及优点将通过实施例结合附图进行详细说明。
【附图说明】
图1是本发明实施例的流程示意图。
【具体实施方式】
为使本发明的目的、技术方案和优点更加清楚明了，下面通过附图中及实 施例，对本发明进行进一步详细说明。但是应该理解，此处所描述的具体实施 例仅仅用以解释本发明，并不用于限制本发明的范围。此外，在以下说明中， 省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。
参阅图1，本发明实施例提供一种程序安全运行环境的启动方法，其基于一 种内部含有控制芯片和存储器的移动设备、管理该移动设备的专用软件以及用 于与用户交互并运行该专用软件的硬件平台，存储器内包含有可信操作系统区， 可信操作系统区内设有用户所需要运行的目的程序和运行该目的程序的可信操 作环境，控制芯片上运行的程序包含控制模块，控制模块分别与可信操作系统 区和专用软件通信。
在本发明实施例中，可信操作系统区用以提供安全的可信操作环境，其能 够解析用户对目的程序的访问命令，并运行目的程序以供用户操作。也就是说， 可信操作系统区内部数据只用于提供可信操作环境，不会以文件的形式显示给 用户看，而且可信操作环境是一个与硬件平台上的操作系统互斥的操作环境， 因此硬件平台也不能对其进行数据块的访问，从而保证了可信操作系统区内部 数据的安全，从根本上杜绝了第三人或者病毒访问可信操作环境。
为了方便用户的使用，用户可以通过运行在硬件平台上的专用软件进行可 信操作环境的切换，并由专用软件自动重启硬件平台，大大方便了用户的操作。
A)初始状态：将移动设备与硬件平台通信连接，控制芯片上电并运行控制 模块，控制模块进入保护态，专用软件在硬件平台上运行，等待用户的操作命 令。
在本发明实施例中，保护态是移动设备中各部件的初始状态，在保护态下， 硬件平台与控制模块通信，控制模块接收专用软件的操作命令，可信操作系统 区不与硬件平台相互通信，即其内部数据处于被保护的状态。
其中，专用软件可以是安装在硬件平台上的，也可以是安装于移动设备上 并在硬件平台上运行的。
B)口令验证：用户打开专用软件，专用软件弹出口令验证框，等待用户的 输入，控制模块将口令与其预定的口令信息进行比对，如果相符合，则转至步 骤E)，如果不符合，则将口令错误的信息反馈至专用软件，转至步骤C)，如果 不符合的次数达到N次，则转至步骤D)。
在本发明实施例中，用户需要通过口令验证才能运行专用软件，即步骤B) 作为文件访问授权机制的第一步限制，其用于防止非法用户直接通过专用软件 启动可信操作环境。同时，控制模块能够将口令不符合的次数记下，并在移动 设备与硬件平台断开连接时，该次数仍然能够保留，避免非法用户能够通过断 开移动设备与硬件平台之间的连接以清除不符合次数，从而防止非法用户绕开 格式化的步骤不断尝试口令。
其中，N的次数不少于3次，在本发明的实施例中，N取值6次。
C)验证失败：专用软件重新弹出与用户交互的口令验证框，等待用户的输 入，回转至步骤B)。
D)访问失败：控制模块查看预定的配置信息，如果配置信息为初始化，则 控制模块将口令信息重置为默认值，将错误次数过多的信息反馈至专用软件， 随后清除可信操作系统区内所有的目的程序，专用软件弹出错误次数过多的警 示框后自动关闭，断开移动设备与硬件平台之间的通信连接，回转至步骤A)， 如果配置信息为不初始化，则控制模块将错误次数过多的信息反馈至专用软件， 专用软件弹出错误次数过多的警示框，回转至步骤B)。
步骤B)作为整个文件访问第一重授权操作，其不仅能够防止非法用户对存 储区的访问，而且还能够在非法用户强行窃取时进入警告模式，即在步骤D) 中弹出对用户的警告，如果配置信息为格式化，则控制模块将会将整个可信操 作系统区进行格式化，从而避免更多的数据被窃取，将用户损失控制在适当的 范围内。当然，这只在紧急关头才会运作，对于普通情况，例如用户忘记密码， 用户可以通过更改配置信息来使得控制信息只是反馈信息，而不会格式化全部 数据。
在本发明实施例中，配置信息可以由生产者在控制芯片制造初始阶段设定， 也可以由用户在使用时随时调整。其中，用户还可以通过专用软件对配置信息 进行修改。
E)状态切换：控制模块切换至信任态，并将可信操作系统区与硬件平台通 信，专用软件控制操作平台在下一次启动时进入可信操作环境，并在保持移动 设备与硬件平台的通信连接下，将硬件平台重新启动。
在本发明实施例中，信任态是移动设备中各部件的使用状态，在信任态下， 硬件平台仍与控制模块通信，可信操作系统区中的可信操作环境则通过控制模 块与硬件平台相互通信，此时的目的程序处于可信任的运行环境中。用户在可 信操作环境中产生的访问命令和操作命令会被硬件平台传输至控制模块，由控 制模块进行数据块的读取。
F)运行程序：可信操作环境在重启后的硬件平台上运行，将目的程序显示 给用户，根据用户的操作，硬件平台发出对目的程序的访问命令，并将该访问 命令传输至控制模块，控制模块解析访问命令，根据访问命令在可信操作环境 中运行目的程序。
在本发明实施例中，每一次用户的操作都需要经过控制模块的解析，即控 制模块不仅对硬件平台的访问进行控制，而且还对运行在硬件平台上的可信操 作环境的访问也单独控制，使得硬件平台的访问权限能够控制在操作命令相应 的范围内，从而进一步限制了硬件平台对目的程序的访问权限，提高用户信息 的保密性。
G)结束操作：用户完成操作，退出可信操作环境，控制模块控制硬件平台 在下一次启动时不进入可信操作系统区，将硬件平台关闭，依次断开可信操作 系统区与硬件平台的通信和移动设备与硬件平台的通信连接，切换至保护态， 回转至步骤A)。
在用户完成操作后，由控制模块将硬件平台与移动设备各部件均断开通信， 结束全部操作。
为了提高本发明的使用效果，可信操作环境还可以与外界通信连接，用户 可以选择相应的目的程序进行浏览网页、在线聊天等操作。
具体地，作为一种实施方式，移动设备还设有指纹识别器，在步骤B)中， 用户输入的口令是指纹信息，控制模块内部的口令信息是相应的指纹信息。
其中，移动设备通过USB协议与硬件平台通信连接，而且，指纹识别器也 通过USB协议与控制模块通信，此时的指纹识别器既可以通过移动设备上的 USB接口与控制芯片通信连接，也可以固定设于移动设备上与控制模块通信。
作为另一种实施方式，移动设备还设有键盘，键盘也通过USB协议与控制 芯片连接、并与控制模块通信，在步骤B)中，用户输入的口令是口令验证框中 提示的验证密码，控制模块内部的口令信息是相应的用户的验证信息。
在本发明实施例具体使用时，专用软件是安装在移动设备内部的存储器上 的，当控制芯片上电时，控制模块会向硬件平台枚举出一个光盘，在光盘中存 放着专用软件。当用户完成口令验证后，用户可以在专用软件的软件界面中命 令控制模块切换状态。在信任态中，用户能够在可信操作环境中看到目的程序， 并能够在完成操作后通过相应的目的程序退出可信操作环境。
在本发明实施例中，可信操作环境的实现方法既可用于通过USB协议的移 动设备与硬件平台之间的文件传输，也可用于固定设备与固定设备之间通过硬 件平台进行的文件传输，还可用于统一设备内部的文件传输，只要设备中包含 有独立的操作环境，就属于本发明的保护范围内。
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发 明的精神和原则之内所作的任何修改、等同替换或改进等，均应包含在本发明 的保护范围之内。