[发明专利]一种终端

说明书

技术领域

本发明涉及数据安全技术领域，具体而言，涉及一种终端。

背景技术

如图1所示，终端中安装有很多外设（即外部设备102），比如显示屏、触摸屏、照相机、按键、通信模块、传感器模块等。在相关技术中，终端内仅设置有单个处理器（图1中所示的CPU），则该处理器能够在任意应用程序的控制下，向任意外设发送数据，也可以接收来自任意外设的数据，则当终端内存在一些具有过高权限的应用程序时，尤其是来源不定的第三方应用程序，则这些应用程序能够轻易地控制终端中仅有的处理器，来调用私密数据，甚至任意上传至其他终端或服务器。同时，由于该仅有的处理器所处理的所有数据都处于相同的存储空间（图1中所示的RAM和ROM）中，因而上述应用程序还极可能通过简单的破解技术，即可从该存储空间内获取私密数据。因此，对于终端内的应用程序，特别是当终端内的某些第三方应用程序，是来自一些别有用心的黑客或个人信息贩卖者的时候，将导致终端内的用户信息等私密数据处于极为不安全的状态下。

所以，如何解决单个处理器给终端带来的数据安全问题，成为目前亟待解决的技术问题。

发明内容

本发明正是基于上述问题中至少之一，提出了一种新的技术方案，可以使终端内的私密数据和非私密数据在物理上被隔离处理，确保私密数据无法被不安全的应用程序获取，有效提升了终端的安全性。

有鉴于此，本发明提出了一种终端，包括：第一处理器，用于处理所述终端中的私密数据；第二处理器，用于处理所述终端中的非私密数据；至少一个外部设备，连接至所述第一处理器；其中，所述第一处理器由外设接口实现与所述至少一个外部设备的连接和交互，并由转发接口实现与所述第二处理器的连接，且通过配置闭合所述转发接口与所述外设接口之间的连接，实现所述第二处理器与所述至少一个外部设备的连接和交互。

在该技术方案中，首先通过设置分别用于处理私密数据和非私密数据的多个处理器，使得私密数据和非私密数据之间得以在物理上被有效隔离，从而避免在终端中仅使用单个处理器时，仅通过权限上的破解等就可轻易使得任意应用程序从该单个处理器中获取私密数据。同时，通过配置接口在第一处理器中建立相应的数据传输通道，并由第一处理器来控制第二处理器与外部设备的交互过程，确保第二处理器无法接触到私密数据，避免私密数据被获取和外泄的问题。

在上述技术方案中，优选地，还包括：第一存储装置，对应于所述第一处理器，用于所述第一处理器进行私密数据的存储；第二存储装置，对应于所述第二处理器，用于所述第二处理器进行非私密数据的存储。

在该技术方案中，用于私密数据和非私密数据的处理器在物理上使用相分离的存储装置，使得私密数据和非私密数据在处理和存储的时候，都实现物理上的隔离，从而得到更好的数据安全效果。

在上述技术方案中，优选地，所述至少一个外部设备用于：将所有需要传输的数据都通过所述外设接口传输至所述第一处理器中；所述第一处理器用于：直接对私密数据进行处理，并将非私密数据通过所述转发接口传输至所述第二处理器。

在该技术方案中，由于外部设备无法对数据进行类型识别，因而将所有数据都发送至第一处理器，并由第一处理器执行类型识别和数据分配。由于第一处理器专门用于处理私密数据，是相对于第二处理器而言，更为安全的处理器，因而将所有数据都发送至第一处理器，即便其中的非私密数据被其他应用程序（相对于原本应该被发送至的应用程序）获取和利用，也不会导致私密信息的泄露；而只要能够保证私密数据不会被第二处理器进行处理，就能够在物理上隔离非法应用程序基于第二处理器对私密数据的获取和利用，从而确保了终端的数据安全。

在上述技术方案中，优选地，所述第一处理器上的外设接口、转发接口和所述至少一个外部设备之间一一对应。

在该技术方案中，通过外设接口、转发接口、外部设备之间的一一对应，使得在第一处理器中建立起对应于每个外部设备的专用数据传输通道，便于数据的独立传输，避免发生数据交叉和混乱。

在上述技术方案中，优选地，所述第二处理器上设置有与所述第一处理器上的转发接口一一对应连接的收发接口，则所述第二处理器用于：在需要与指定的外部设备进行交互的情况下，通过对应于所述指定的外部设备的指定收发接口向所述第一处理器发送接通指令；所述第一处理器用于：根据接收到的接通指令，闭合所述第二处理器与所述指定的外部设备之间的通路。