[发明专利]一种终端

说明书

技术领域

本发明涉及数据安全技术领域，具体而言，涉及一种终端。

背景技术

如图1所示，终端中安装有很多外设（即外部设备102），比如显示屏、触摸屏、照相机、按键、通信模块、传感器模块等。在相关技术中，终端内仅设置有单个处理器（图1中所示的CPU），则该处理器能够在任意应用程序的控制下，向任意外设发送数据，也可以接收来自任意外设的数据，则当终端内存在一些具有过高权限的应用程序时，尤其是来源不定的第三方应用程序，则这些应用程序能够轻易地控制终端中仅有的处理器，来调用私密数据，甚至任意上传至其他终端或服务器。同时，由于该仅有的处理器所处理的所有数据都处于相同的存储空间（图1中所示的RAM和ROM）中，因而上述应用程序还极可能通过简单的破解技术，即可从该存储空间内获取私密数据。因此，对于终端内的应用程序，特别是当终端内的某些第三方应用程序，是来自一些别有用心的黑客或个人信息贩卖者的时候，将导致终端内的用户信息等私密数据处于极为不安全的状态下。

所以，如何解决单个处理器给终端带来的数据安全问题，成为目前亟待解决的技术问题。

发明内容

本发明正是基于上述问题中至少之一，提出了一种新的技术方案，可以使终端内的私密数据和非私密数据在物理上被隔离处理，确保私密数据无法被不安全的应用程序获取，有效提升了终端的安全性。

有鉴于此，本发明提出了一种终端，包括：第一处理器，用于处理所述终端中的私密数据；第二处理器，用于处理所述终端中的非私密数据；限制类外部设备，连接至所述第一处理器；非限制类外部设备，连接至所述第二处理器；其中，所述第一处理器由第一外设接口实现与所述限制类外部设备的连接和交互，并由第一转发接口实现与所述第二处理器的连接，且通过在所述第一转发接口与所述第一外设接口之间配置建立DMA传输通道，实现所述第二处理器与所述限制类外部设备的连接和交互；以及

所述第二处理器由第二外设接口实现与所述非限制类外部设备的连接和交互，并由第二转发接口实现与所述第一处理器的连接，且通过在所述第二转发接口与所述第二外设接口之间配置建立DMA传输通道，实现所述第一处理器与所述非限制类外部设备的连接和交互。

在该技术方案中，首先通过设置分别用于处理私密数据和非私密数据的多个处理器，使得私密数据和非私密数据之间得以在物理上被有效隔离，从而避免在终端中仅使用单个处理器时，仅通过权限上的破解等就可轻易使得任意应用程序从该单个处理器中获取私密数据。同时，通过第一处理器与第二处理器之间的交互，采用对接口的配置来实现在第一处理器或第二处理器中建立相应的DMA传输通道，从而由第一处理器来控制第二处理器与限制类外部设备的交互过程、由第二处理器来控制第一处理器与非限制类外部设备的交互过程，确保私密数据和非私密数据在传输、处理等过程得以隔离，使第二处理器无法接触到私密数据，避免私密数据被获取和外泄的问题。

在上述技术方案中，优选地，还包括：第一存储装置，对应于所述第一处理器，用于所述第一处理器进行私密数据的存储；第二存储装置，对应于所述第二处理器，用于所述第二处理器进行非私密数据的存储。

在该技术方案中，用于私密数据和非私密数据的处理器在物理上使用相分离的存储装置，使得私密数据和非私密数据在处理和存储的时候，都实现物理上的隔离，从而得到更好的数据安全效果。

在上述技术方案中，优选地，所述限制类外部设备用于：将所有需要传输的数据都通过所述第一外设接口传输至所述第一处理器中；所述第一处理器用于：直接对私密数据进行处理，并将非私密数据通过所述第一转发接口传输至所述第二处理器；以及

所述非限制类外部设备用于：将所有需要传输的数据都通过所述第二外设接口传输至所述第二处理器中；所述第二处理器用于：直接对非私密数据进行处理，并将私密数据通过所述第二转发接口传输至所述第一处理器。

在该技术方案中，由于限制类外部设备和非限制类外部设备都无法得知数据的类型，因而直接将数据传输至相连的第一处理器或第二处理器，并由第一处理器和第二处理器分别对接收到的数据进行类型识别，从而确保私密数据都由第一处理器进行处理，非私密数据都由第二处理器进行处理，确保私密数据和非私密数据在物理上的隔离，有助于提升终端的安全性。

在上述技术方案中，优选地，所述限制类外部设备用于：将所有需要传输的数据都通过所述第一外设接口传输至所述第一处理器中；且所述非限制类外部设备用于：将所有需要传输的数据都通过所述第二外设接口传输至所述第二处理器中。