本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)，尤其涉及一種基于虛擬專用網(wǎng)絡(luò)(VPN，Virtual Private Network)的安全訪問數(shù)據(jù)的方法、設(shè)備和系統(tǒng)。

背景技術(shù)：

隨著移動(dòng)通信技術(shù)和集成電路技術(shù)的發(fā)展，移動(dòng)終端擁有越來越強(qiáng)大的處理能力，逐漸成為一個(gè)能夠處理綜合信息的便攜性的處理平臺(tái)。目前，移動(dòng)終端也成為了進(jìn)行移動(dòng)辦公的一種重要工具。

簡(jiǎn)要來說，移動(dòng)辦公就是用戶可以通過自己的移動(dòng)終端通過VPN訪問公司的內(nèi)部網(wǎng)絡(luò)來進(jìn)行遠(yuǎn)程的數(shù)據(jù)訪問。在公司的內(nèi)部網(wǎng)絡(luò)中設(shè)置有VPN服務(wù)器，作為公司內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)之間的接口，用戶通過移動(dòng)終端連接上互聯(lián)網(wǎng)后，可以根據(jù)VPN服務(wù)器在公網(wǎng)的地址與VPN服務(wù)器進(jìn)行連接；并且，在登錄VPN服務(wù)器之后，用戶則可以利用VPN服務(wù)器進(jìn)入公司內(nèi)網(wǎng)，進(jìn)行相應(yīng)的用戶辦公的數(shù)據(jù)訪問。

但是，移動(dòng)終端為用戶進(jìn)行遠(yuǎn)程辦公帶來方便的同時(shí)，也增加了泄露公司內(nèi)部資料和機(jī)密數(shù)據(jù)的風(fēng)險(xiǎn)。特別是目前主流的智能終端操作系統(tǒng)，比如，安卓Android、蘋果公司的移動(dòng)操作系統(tǒng)IOS等，都頻頻爆發(fā)出病毒和木馬。因此，當(dāng)用戶的移動(dòng)終端感染上病毒或被植入木馬后，用戶在登錄VPN服務(wù)器的過程中，很有可能會(huì)造成賬號(hào)、密碼被竊取，甚至還會(huì)在用戶通過VPN進(jìn)行遠(yuǎn)程數(shù)據(jù)訪問的過程中，導(dǎo)致公司內(nèi)部資料和機(jī)密的泄露，造成嚴(yán)重的損失。因此，當(dāng)前需要針對(duì)移動(dòng)終端基于VPN進(jìn)行的遠(yuǎn)程數(shù)據(jù)訪問的安全性進(jìn)行重視。

技術(shù)實(shí)現(xiàn)要素：

為解決上述技術(shù)問題，本發(fā)明實(shí)施例期望提供一種基于VPN的安全訪問數(shù) 據(jù)的方法、設(shè)備和系統(tǒng)，能夠從硬件的底層方面，提高用戶使用移動(dòng)終端通過VPN進(jìn)行數(shù)據(jù)訪問的安全性。

本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的：

第一方面，本發(fā)明實(shí)施例提供了一種基于VPN的安全訪問數(shù)據(jù)的方法，所述方法包括：

移動(dòng)終端在安全區(qū)域下獲取待發(fā)送至VPN服務(wù)器的私密信息；

所述移動(dòng)終端在所述安全區(qū)域下按照預(yù)設(shè)的加密策略對(duì)所述私密信息進(jìn)行加密后，在非安全區(qū)域下將所述加密后的私密信息發(fā)送至VPN服務(wù)器；

所述移動(dòng)終端在所述非安全區(qū)域下接收由所述VPN服務(wù)器發(fā)送的顯示信息；

所述移動(dòng)終端在所述安全區(qū)域下將所述顯示信息按照預(yù)設(shè)的解密策略進(jìn)行解密之后，將解密后的顯示信息進(jìn)行顯示。

在上述方案中，所述移動(dòng)終端在安全區(qū)域下獲取待發(fā)送至VPN服務(wù)器的私密信息，具體包括：

所述移動(dòng)終端在所述安全區(qū)域下啟動(dòng)并顯示VPN登錄界面，接收輸入至所述VPN登錄界面中的登錄信息。

在上述方案中，所述移動(dòng)終端在安全區(qū)域下按照預(yù)設(shè)的加密策略對(duì)所述私密信息進(jìn)行加密后，在非安全區(qū)域下將所述加密后的私密信息發(fā)送至VPN服務(wù)器，具體包括：

所述移動(dòng)終端在所述安全區(qū)域下按照預(yù)設(shè)的加密策略將所述登錄信息進(jìn)行加密，并切換至所述非安全區(qū)域；

所述移動(dòng)終端在所述非安全區(qū)域下將加密后的登錄信息傳輸至所述VPN服務(wù)器。

在上述方案中，所述移動(dòng)終端登錄所述VPN服務(wù)器之后，所述方法還包括：

所述移動(dòng)終端在所述安全區(qū)域下調(diào)用生理特征采集裝置獲取并保存生理特征信息后，生成與所述生理特征信息對(duì)應(yīng)的密鑰對(duì)；

所述移動(dòng)終端在所述非安全區(qū)域下將所述密鑰對(duì)中的公鑰傳輸至所述 VPN服務(wù)器。

在上述方案中，所述方法還包括：

所述移動(dòng)終端在所述安全區(qū)域下啟動(dòng)并顯示生理特征登錄界面，并調(diào)用生理特征采集裝置獲取生理特征信息；

當(dāng)獲取得到的生理特征信息與存儲(chǔ)的生理特征信息比對(duì)一致時(shí)，所述移動(dòng)終端在安全區(qū)域下將用于指示比對(duì)一致的指示信息通過與所述存儲(chǔ)的生理特征信息對(duì)應(yīng)的私鑰進(jìn)行加密，得到加密后的指示信息；

所述移動(dòng)終端在所述安全區(qū)域下按照預(yù)設(shè)的加密策略將所述加密后的指示信息進(jìn)行加密后，在所述非安全區(qū)域下將所述二重加密的指示信息發(fā)送至所述VPN服務(wù)器。

在上述方案中，所述移動(dòng)終端在所述安全區(qū)域下獲取待發(fā)送至VPN服務(wù)器的私密信息，具體包括：所述移動(dòng)終端在所述安全區(qū)域下通過輸入設(shè)備接收輸入的指令。

在上述方案中，所述移動(dòng)終端在安全區(qū)域下按照預(yù)設(shè)的加密策略對(duì)所述私密信息進(jìn)行加密后，在非安全區(qū)域下將所述加密后的私密信息發(fā)送至VPN服務(wù)器，具體包括：

所述移動(dòng)終端在所述安全區(qū)域下按照預(yù)設(shè)的加密策略將所述輸入的指令進(jìn)行加密，并切換至所述非安全區(qū)域；

所述移動(dòng)終端在所述非安全區(qū)域下將加密后的輸入指令傳輸至所述VPN服務(wù)器。

在上述方案中，所述方法還包括：

所述移動(dòng)終端在所述安全區(qū)域下按照預(yù)設(shè)的加密策略將注銷請(qǐng)求進(jìn)行加密，并切換至所述非安全區(qū)域；

所述移動(dòng)終端在所述非安全區(qū)域下將加密后的注銷請(qǐng)求傳輸至所述VPN服務(wù)器；

所述移動(dòng)終端在所述非安全區(qū)域下接收所述VPN服務(wù)器發(fā)送的加密的注銷成功指示，并切換至所述安全區(qū)域；

所述移動(dòng)終端在所述安全區(qū)域下對(duì)所述加密的注銷成功指示進(jìn)行解密，并根據(jù)解密后的注銷成功指示完成注銷，并切換至所述非安全區(qū)域。

第二方面，本發(fā)明實(shí)施例提供了一種基于VPN的安全訪問數(shù)據(jù)的方法，所述方法包括：

VPN服務(wù)器接收由移動(dòng)終端發(fā)送的加密信息；

所述VPN服務(wù)器根據(jù)預(yù)設(shè)的與所述移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略對(duì)加密信息進(jìn)行解密，并依據(jù)所述解密后的信息類型相應(yīng)地對(duì)所述解密后的信息進(jìn)行處理。

在上述方案中，所述加密信息包括加密后的登錄信息，相應(yīng)地，所述VPN服務(wù)器根據(jù)預(yù)設(shè)的與移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略對(duì)加密信息進(jìn)行解密，并依據(jù)解密后的信息類型相應(yīng)地對(duì)解密后的信息進(jìn)行處理，具體包括：

所述VPN服務(wù)器按照預(yù)設(shè)的解密策略進(jìn)行解密，并且對(duì)登錄信息進(jìn)行驗(yàn)證，并根據(jù)驗(yàn)證結(jié)果確定登陸是否成功：

當(dāng)驗(yàn)證通過時(shí)，所述VPN服務(wù)器確定登錄成功，所述VPN服務(wù)器建立與所述移動(dòng)終端之間的連接；

當(dāng)驗(yàn)證失敗時(shí)，所述VPN服務(wù)器確認(rèn)登錄失敗。

在上述方案中，在用戶登陸之后，所述方法還包括：所述VPN服務(wù)器接收到存儲(chǔ)的生理特征信息對(duì)應(yīng)的公鑰，并且將所述公鑰與當(dāng)前用戶的登錄信息進(jìn)行綁定。

在上述方案中，所述加密信息包括移動(dòng)終端在安全區(qū)域采集的生理特征信息與存儲(chǔ)的生理特征信息進(jìn)行比對(duì)之后二重加密的指示信息；

相應(yīng)地，所述VPN服務(wù)器根據(jù)預(yù)設(shè)的與移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略對(duì)加密信息進(jìn)行解密，并依據(jù)解密后的信息類型相應(yīng)地對(duì)解密后的信息進(jìn)行處理，具體包括：

所述VPN服務(wù)器按照預(yù)設(shè)的解密策略進(jìn)行解密，獲得通過存儲(chǔ)的生理特征信息對(duì)應(yīng)的私鑰進(jìn)行加密的指示信息；

所述VPN服務(wù)器根據(jù)所述存儲(chǔ)的生理特征信息對(duì)應(yīng)的公鑰對(duì)加密的指示信息進(jìn)行解密，并根據(jù)解密得到結(jié)果確認(rèn)是否登陸成功：

當(dāng)獲得正確的指示信息時(shí)，所述VPN服務(wù)器確定通過生理特征信息登錄成功，所述VPN服務(wù)器建立與移動(dòng)終端之間的連接；

當(dāng)沒有獲取正確的指示信息時(shí)，所述VPN服務(wù)器確認(rèn)登錄失敗。

在上述方案中，所述加密信息包括由移動(dòng)終端的安全區(qū)域進(jìn)行加密的用戶進(jìn)行操作所輸入的指令；

相應(yīng)地，VPN服務(wù)器根據(jù)預(yù)設(shè)的與移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略對(duì)加密信息進(jìn)行解密，并依據(jù)解密后的信息類型相應(yīng)地對(duì)解密后的信息進(jìn)行處理，具體包括：

所述VPN服務(wù)器根據(jù)預(yù)設(shè)的與移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略在將加密后的輸入指令解密之后，發(fā)送至內(nèi)網(wǎng)進(jìn)行處理；

所述VPN服務(wù)器接收內(nèi)網(wǎng)返回的針對(duì)所述輸入指令的操作結(jié)果。

在上述方案中，所述加密信息包括由移動(dòng)終端的安全區(qū)域進(jìn)行加密的注銷請(qǐng)求；

相應(yīng)地，VPN服務(wù)器根據(jù)預(yù)設(shè)的與移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略對(duì)加密信息進(jìn)行解密，并依據(jù)解密后的信息類型相應(yīng)地對(duì)解密后的信息進(jìn)行處理，具體包括：

所述VPN服務(wù)器對(duì)所述加密的注銷請(qǐng)求進(jìn)行解密后，可以依據(jù)所述注銷請(qǐng)求完成注銷操作，并將注銷成功指示進(jìn)行加密并返回至移動(dòng)終端。

第三方面，本發(fā)明實(shí)施例提供了一種移動(dòng)終端，所述移動(dòng)終端中包括安全區(qū)域單元、非安全區(qū)域單元和安全監(jiān)控單元；其中，

所述安全區(qū)域單元，用于獲取待發(fā)送至VPN服務(wù)器的私密信息；

以及預(yù)設(shè)的加密策略對(duì)所述私密信息進(jìn)行加密；

以及，觸發(fā)所述安全監(jiān)控單元；

所述安全監(jiān)控單元，用于將所述安全區(qū)域單元切換至所述非安全區(qū)域單元；

所述非安全區(qū)域單元，用于將所述加密后的私密信息發(fā)送至VPN服務(wù)器；

以及，接收由所述VPN服務(wù)器發(fā)送的顯示信息；

以及，觸發(fā)所述安全監(jiān)控單元；

所述安全監(jiān)控單元，還用于將所述非安全區(qū)域單元切換至所述安全區(qū)域單元；

所述安全區(qū)域單元，還用于將所述顯示信息按照預(yù)設(shè)的解密策略進(jìn)行解密之后，將解密后的顯示信息進(jìn)行顯示。

在上述方案中，所述安全區(qū)域單元，具體用于：?jiǎn)?dòng)并顯示VPN登錄界面，接收輸入至所述VPN登錄界面中的登錄信息。

在上述方案中，所述安全區(qū)域單元，具體用于：按照預(yù)設(shè)的加密策略將所述登錄信息進(jìn)行加密；

所述非安全區(qū)域單元，具體用于：將加密后的登錄信息傳輸至所述VPN服務(wù)器。

在上述方案中，所述安全區(qū)域單元，還用于調(diào)用生理特征采集裝置獲取并保存生理特征信息后，生成與所述生理特征信息對(duì)應(yīng)的密鑰對(duì)；

所述非安全區(qū)域單元，還用于將所述密鑰對(duì)中的公鑰傳輸至所述VPN服務(wù)器。

在上述方案中，所述安全區(qū)域單元，還用于啟動(dòng)并顯示生理特征登錄界面，并調(diào)用生理特征采集裝置獲取生理特征信息；

以及，當(dāng)獲取得到的生理特征信息與存儲(chǔ)的生理特征信息比對(duì)一致時(shí)，將用于指示比對(duì)一致的指示信息通過與所述存儲(chǔ)的生理特征信息對(duì)應(yīng)的私鑰進(jìn)行加密，得到加密后的指示信息；

以及，按照預(yù)設(shè)的加密策略將所述加密后的指示信息進(jìn)行加密，獲得二重加密的指示信息；

所述非安全區(qū)域單元，還用于將所述二重加密的指示信息發(fā)送至所述VPN服務(wù)器。

在上述方案中，所述安全區(qū)域單元，具體用于通過輸入設(shè)備接收輸入的指令。

在上述方案中，所述安全區(qū)域單元，具體用于按照預(yù)設(shè)的加密策略將所述輸入的指令進(jìn)行加密；

所述非安全區(qū)域單元，具體用于將加密后的輸入指令傳輸至所述VPN服務(wù)器。

在上述方案中，所述安全區(qū)域單元，還用于按照預(yù)設(shè)的加密策略將注銷請(qǐng)求進(jìn)行加密；

所述非安全區(qū)域單元，還用于將加密后的注銷請(qǐng)求傳輸至所述VPN服務(wù)器；

以及，接收所述VPN服務(wù)器發(fā)送的加密的注銷成功指示；

所述安全區(qū)域單元，還用于對(duì)所述加密的注銷成功指示進(jìn)行解密，并根據(jù)解密后的注銷成功指示完成注銷，并觸發(fā)所述安全監(jiān)控單元切換至所述非安全區(qū)域單元。

第四方面，本發(fā)明實(shí)施例提供了一種VPN服務(wù)器，所述VPN服務(wù)器包括接收單元和解密處理單元；其中，

所述接收單元，用于接收由移動(dòng)終端發(fā)送的加密信息；

所述解密處理單元，用于根據(jù)預(yù)設(shè)的與所述移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略對(duì)加密信息進(jìn)行解密，并依據(jù)所述解密后的信息類型相應(yīng)地對(duì)所述解密后的信息進(jìn)行處理。

在上述方案中，所述加密信息包括加密后的登錄信息，相應(yīng)地，所述解密處理單元，具體用于：

按照預(yù)設(shè)的解密策略進(jìn)行解密，并且對(duì)登錄信息進(jìn)行驗(yàn)證，并根據(jù)驗(yàn)證結(jié)果確定登陸是否成功：

當(dāng)驗(yàn)證通過時(shí)，確定登錄成功，并建立與所述移動(dòng)終端之間的連接；

當(dāng)驗(yàn)證失敗時(shí)，確認(rèn)登錄失敗。

在上述方案中，所述接收單元，還用于接收到存儲(chǔ)的生理特征信息對(duì)應(yīng)的公鑰，并且將所述公鑰與當(dāng)前用戶的登錄信息進(jìn)行綁定。

在上述方案中，所述加密信息包括移動(dòng)終端在安全區(qū)域采集的生理特征信息與存儲(chǔ)的生理特征信息進(jìn)行比對(duì)之后二重加密的指示信息；

相應(yīng)地，所述解密處理單元，具體用于：

按照預(yù)設(shè)的解密策略進(jìn)行解密，獲得通過存儲(chǔ)的生理特征信息對(duì)應(yīng)的私鑰進(jìn)行加密的指示信息；

以及，根據(jù)所述存儲(chǔ)的生理特征信息對(duì)應(yīng)的公鑰對(duì)加密的指示信息進(jìn)行解密，并根據(jù)解密得到結(jié)果確認(rèn)是否登陸成功：

以及，當(dāng)獲得正確的指示信息時(shí)，確定通過生理特征信息登錄成功，并建立與移動(dòng)終端之間的連接；

以及，當(dāng)沒有獲取正確的指示信息時(shí)，確認(rèn)登錄失敗。

在上述方案中，所述加密信息包括由移動(dòng)終端的安全區(qū)域進(jìn)行加密的用戶進(jìn)行操作所輸入的指令；

相應(yīng)地，所述解密處理單元，具體用于：

根據(jù)預(yù)設(shè)的與移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略在將加密后的輸入指令解密之后，發(fā)送至內(nèi)網(wǎng)進(jìn)行處理；

以及，接收內(nèi)網(wǎng)返回的針對(duì)所述輸入指令的操作結(jié)果。

在上述方案中，所述加密信息包括由移動(dòng)終端的安全區(qū)域進(jìn)行加密的注銷請(qǐng)求；

相應(yīng)地，所述解密處理單元，具體用于：

對(duì)所述加密的注銷請(qǐng)求進(jìn)行解密后，可以依據(jù)所述注銷請(qǐng)求完成注銷操作，將注銷成功指示進(jìn)行加密并觸發(fā)所述接收單元；

所述接收單元，還用于將加密后的注銷成功指示返回至移動(dòng)終端。

第五方面，本發(fā)明實(shí)施例提供了一種基于VPN的安全訪問數(shù)據(jù)的系統(tǒng)，所述系統(tǒng)包括：移動(dòng)終端和VPN服務(wù)器；

其中，所述移動(dòng)終端，用于在安全區(qū)域下獲取待發(fā)送至VPN服務(wù)器的私密信息；

以及，在所述安全區(qū)域下按照預(yù)設(shè)的加密策略對(duì)所述私密信息進(jìn)行加密后，在非安全區(qū)域下將所述加密后的私密信息發(fā)送至所述VPN服務(wù)器；

以及，在所述非安全區(qū)域下接收由所述VPN服務(wù)器發(fā)送的顯示信息；

以及，在所述安全區(qū)域下將所述顯示信息按照預(yù)設(shè)的解密策略進(jìn)行解密之后，將解密后的顯示信息進(jìn)行顯示；

所述VPN服務(wù)器，用于接收由所述移動(dòng)終端發(fā)送的加密信息；

以及，根據(jù)預(yù)設(shè)的與所述移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略對(duì)加密信息進(jìn)行解密，并依據(jù)所述解密后的信息類型相應(yīng)地對(duì)所述解密后的信息進(jìn)行處理。

本發(fā)明實(shí)施例提供了一種基于VPN的安全訪問數(shù)據(jù)的方法、設(shè)備和系統(tǒng)，通過利用目前移動(dòng)終端處理器架構(gòu)中對(duì)于安全性區(qū)域的劃分，將移動(dòng)終端需要與VPN服務(wù)器進(jìn)行傳輸?shù)臋C(jī)密性數(shù)據(jù)通過處理器架構(gòu)中的安全區(qū)域進(jìn)行執(zhí)行，從而避免了當(dāng)移動(dòng)終端處理器架構(gòu)中的非安全區(qū)域遭受到病毒感染或木馬植入時(shí)，從硬件的底層方面，仍然能夠提高用戶使用移動(dòng)終端通過VPN進(jìn)行數(shù)據(jù)訪問的安全性。

附圖說明

圖1為本發(fā)明實(shí)施例提供的一種基于VPN的安全訪問數(shù)據(jù)的方法流程示意圖；

圖2為本發(fā)明實(shí)施例提供的一種注冊(cè)過程示意圖；

圖3為本發(fā)明實(shí)施例提供的一種登錄過程示意圖；

圖4為本發(fā)明實(shí)施例提供的一種注銷過程示意圖；

圖5為本發(fā)明實(shí)施例提供的另一種基于VPN的安全訪問數(shù)據(jù)的方法流程示意圖；

圖6為本發(fā)明實(shí)施例提供的一種移動(dòng)終端的結(jié)構(gòu)示意圖；

圖7為本發(fā)明實(shí)施例提供的一種VPN服務(wù)器的結(jié)構(gòu)示意圖；

圖8為本發(fā)明實(shí)施例提供的一種基于VPN的安全訪問數(shù)據(jù)的系統(tǒng)結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述。

本發(fā)明實(shí)施例的基本思想是：利用具有安全區(qū)域與非安全區(qū)域的處理器架構(gòu)，例如支持Trust Zone的ARM處理器架構(gòu)，將移動(dòng)終端在遠(yuǎn)程訪問數(shù)據(jù)時(shí)，安全級(jí)別較高的操作通過運(yùn)行在處理器安全區(qū)域下的安全操作系統(tǒng)進(jìn)行執(zhí)行；而運(yùn)行在處理器非安全區(qū)域下的非安全操作系統(tǒng)僅用于進(jìn)行移動(dòng)終端與VPN服務(wù)器之間的數(shù)據(jù)傳輸，使得在非安全操作系統(tǒng)中無法獲取到用戶在進(jìn)行VPN遠(yuǎn)程數(shù)據(jù)訪問時(shí)的操作數(shù)據(jù)，從而了操作數(shù)據(jù)的安全性。

基于上述基本思想，以下通過若干實(shí)施例對(duì)實(shí)現(xiàn)上述基本思想的技術(shù)方案進(jìn)行說明。為了能夠清楚地對(duì)本發(fā)明實(shí)施例的技術(shù)方案進(jìn)行說明，后續(xù)實(shí)施例中的移動(dòng)終端均以支持Trust Zone技術(shù)的ARM處理器架構(gòu)，且運(yùn)行安卓Android操作系統(tǒng)的移動(dòng)終端為例進(jìn)行說明，可以理解地，本領(lǐng)域技術(shù)人員可以將本發(fā)明實(shí)施例的技術(shù)方案應(yīng)用于支持安全區(qū)域與非安全區(qū)域的其他處理器架構(gòu)，且運(yùn)行為其他移動(dòng)終端操作系統(tǒng)的移動(dòng)終端，本發(fā)明實(shí)施例對(duì)此不做具體贅述。

實(shí)施例一

參見圖1，其示出了本發(fā)明實(shí)施例提供的一種基于VPN的安全訪問數(shù)據(jù)的方法，該方法應(yīng)用于兼具安全區(qū)域和非安全區(qū)域的移動(dòng)終端中，該方法可以包括：

S101：移動(dòng)終端在安全區(qū)域下獲取待發(fā)送至VPN服務(wù)器的私密信息；

S102：移動(dòng)終端在安全區(qū)域下按照預(yù)設(shè)的加密策略對(duì)所述私密信息進(jìn)行加密后，在非安全區(qū)域下將所述加密后的私密信息發(fā)送至VPN服務(wù)器；

S103：移動(dòng)終端在非安全區(qū)域下接收由VPN服務(wù)器發(fā)送的顯示信息；

S104：移動(dòng)終端在安全區(qū)域下將所述顯示信息按照預(yù)設(shè)的解密策略進(jìn)行解密之后，將解密后的顯示信息進(jìn)行顯示。

需要說明的是，以支持Trust Zone技術(shù)的ARM處理器架構(gòu)為例，Trust Zone技術(shù)分離了兩個(gè)并行且隔離執(zhí)行的環(huán)境：非安全的普通執(zhí)行環(huán)境，也就是上述的非安全區(qū)域；以及安全可信任的安全環(huán)境，也就是上述的安全區(qū)域。安全區(qū)域與非安全區(qū)域之間轉(zhuǎn)換的控制由通過安全監(jiān)控器Monitor來實(shí)現(xiàn)。因此，對(duì)于兼具安全區(qū)域和非安全區(qū)域的移動(dòng)終端來說，安全區(qū)域和非安全區(qū)域之間可以通過設(shè)定特殊的安全監(jiān)控機(jī)制來實(shí)現(xiàn)，本發(fā)明實(shí)施例對(duì)此不做具體贅述。

由上述圖1所示的方法流程可以得知，在本發(fā)明實(shí)施例中，移動(dòng)終端在非安全區(qū)域下，僅僅只是完成自身與VPN服務(wù)器之間的數(shù)據(jù)傳輸功能，待發(fā)送信息的獲取與加密以及從VPN服務(wù)器所接收到的接收信息的展示與解密，均是在移動(dòng)終端的安全區(qū)域下完成。由于安全區(qū)域與非安全區(qū)域之間是并行且隔離的，因此，在非安全區(qū)域下移動(dòng)終端所感染的病毒和植入的木馬也同樣被隔離在移動(dòng)終端的安全區(qū)域之外，因此，圖1所示的流程能夠從硬件的底層方面，提高用戶使用移動(dòng)終端通過VPN進(jìn)行數(shù)據(jù)訪問的安全性。

示例性地，在圖1所示的流程的基礎(chǔ)上，需要說明的是，私密信息具體可以包括登錄VPN的登錄信息，因此，移動(dòng)終端在安全區(qū)域下獲取待發(fā)送至VPN服務(wù)器的私密信息，具體可以包括：

移動(dòng)終端在安全區(qū)域下啟動(dòng)并顯示VPN登錄界面，接收輸入至所述VPN登錄界面中的登錄信息，例如用戶名和密碼等。

相應(yīng)地，移動(dòng)終端在安全區(qū)域下按照預(yù)設(shè)的加密策略對(duì)所述私密信息進(jìn)行加密后，在非安全區(qū)域下將所述加密后的私密信息發(fā)送至VPN服務(wù)器，具體包括：

移動(dòng)終端在安全區(qū)域下按照預(yù)設(shè)的加密策略將所述登錄信息進(jìn)行加密，并切換至非安全區(qū)域；

以及，移動(dòng)終端在非安全區(qū)域下將加密后的登錄信息傳輸至VPN服務(wù)器。

可以理解地，VPN服務(wù)器在接收到加密后的登錄信息后，按照預(yù)設(shè)的解密策略進(jìn)行解密，并且對(duì)登錄信息進(jìn)行驗(yàn)證，并根據(jù)驗(yàn)證結(jié)果確定登陸是否成功：

當(dāng)驗(yàn)證通過時(shí)，VPN服務(wù)器確定登錄成功，VPN服務(wù)器建立移動(dòng)終端與 VPN服務(wù)器之間的連接；

當(dāng)驗(yàn)證失敗時(shí)，VPN服務(wù)器確認(rèn)登錄失敗。

進(jìn)一步地，為了提升用戶登錄的安全性，還可以在通過常規(guī)的登錄信息，如用戶名及密碼登陸VPN服務(wù)器成功之后，還可以針對(duì)用戶的生理特征，例如用戶的指紋和眼紋進(jìn)行安全性增強(qiáng)的VPN登錄。因此，在移動(dòng)終端在通過常規(guī)的登錄信息登錄VPN服務(wù)器之后，還可以包括對(duì)用戶的生理特征信息進(jìn)行注冊(cè)的過程，參見圖2，具體可以包括：

S201：移動(dòng)終端在安全區(qū)域下調(diào)用生理特征采集裝置獲取并保存生理特征信息后，生成與該生理特征信息對(duì)應(yīng)的密鑰對(duì)；

S202：移動(dòng)終端在非安全區(qū)域下將所述密鑰對(duì)中的公鑰傳輸至VPN服務(wù)器。

具體地，移動(dòng)終端可以在安全區(qū)域下啟動(dòng)攝像頭獲取用戶的眼紋或指紋等生理特征信息；可以理解地，當(dāng)VPN服務(wù)器接收到該生理特征信息對(duì)應(yīng)的公鑰后，可以將該公鑰與當(dāng)前用戶的登錄信息進(jìn)行綁定，從而后續(xù)可以將該生理特征信息作為當(dāng)前用戶的安全性增強(qiáng)的登錄信息。

進(jìn)一步地，與對(duì)用戶的生理特征信息進(jìn)行注冊(cè)相對(duì)應(yīng)的，還可以包括通過用戶的生理特征信息進(jìn)行登錄的過程，參見圖3，具體可以包括：

S301：移動(dòng)終端在安全區(qū)域下啟動(dòng)并顯示生理特征登錄界面，并調(diào)用生理特征采集裝置獲取生理特征信息；

S302：當(dāng)獲取得到的生理特征信息與存儲(chǔ)的生理特征信息比對(duì)一致時(shí)，移動(dòng)終端在安全區(qū)域下將用于指示比對(duì)一致的指示信息通過與存儲(chǔ)的生理特征信息對(duì)應(yīng)的私鑰進(jìn)行加密，得到加密后的指示信息；

S303：移動(dòng)終端在安全區(qū)域下按照預(yù)設(shè)的加密策略將加密后的指示信息進(jìn)行加密后，在非安全區(qū)域下將該二重加密的指示信息發(fā)送至VPN服務(wù)器。

具體地，移動(dòng)終端可以在安全區(qū)域下啟動(dòng)攝像頭獲取用戶的眼紋或指紋等生理特征信息；可以理解地，當(dāng)VPN服務(wù)器接收到該二重加密的指示信息之后，可以對(duì)二重加密的指示信息通過解密獲取加密后的指示信息，并將該加密后的指示信息通過與存儲(chǔ)的生理特征信息對(duì)應(yīng)的公鑰進(jìn)行解密，并根據(jù)解密得到結(jié) 果確認(rèn)是否登陸成功：

當(dāng)獲得正確的指示信息時(shí)，VPN服務(wù)器確定通過生理特征信息登錄成功，VPN服務(wù)器建立移動(dòng)終端與VPN服務(wù)器之間的連接；

當(dāng)沒有獲取正確的指示信息時(shí)，VPN服務(wù)器確認(rèn)登錄失敗。

示例性地，通過上述方案完成移動(dòng)終端與VPN服務(wù)器之間的注冊(cè)和登錄，當(dāng)移動(dòng)終端與VPN之間的連接建立完成后，就需要移動(dòng)終端與VPN之間通過數(shù)據(jù)交互進(jìn)行遠(yuǎn)程的數(shù)據(jù)訪問，具體可以包括用戶通過移動(dòng)終端向VPN服務(wù)器發(fā)送用戶輸入的指令，VPN將輸入的指令發(fā)送給內(nèi)網(wǎng)完成指令相應(yīng)的操作；隨后，內(nèi)網(wǎng)將需要在用戶終端進(jìn)行顯示的操作結(jié)果發(fā)送給VPN，從而通過VPN將需要進(jìn)行顯示的操作結(jié)果返回至移動(dòng)終端；此時(shí)，用戶進(jìn)行操作所輸入的指令則是一種私密信息；而需要在移動(dòng)終端顯示的結(jié)果則是一種顯示信息；相應(yīng)的，通過VPN將需要進(jìn)行顯示的操作結(jié)果返回至移動(dòng)終端的具體過程可以參照?qǐng)D1中的步驟S103至S104；但是，當(dāng)用戶進(jìn)行操作所輸入的指令則是一種私密信息時(shí)，移動(dòng)終端在安全區(qū)域下獲取待發(fā)送至VPN服務(wù)器的私密信息，具體包括：移動(dòng)終端在安全區(qū)域下通過輸入設(shè)備接收輸入的指令；例如，移動(dòng)終端在安全區(qū)域下可以調(diào)用觸摸屏接收對(duì)用戶的輸入操作，并進(jìn)行記錄。

相應(yīng)地，移動(dòng)終端在安全區(qū)域下按照預(yù)設(shè)的加密策略對(duì)所述私密信息進(jìn)行加密后，在非安全區(qū)域下將所述加密后的私密信息發(fā)送至VPN服務(wù)器，具體包括：

移動(dòng)終端在安全區(qū)域下按照預(yù)設(shè)的加密策略將輸入的指令進(jìn)行加密，并切換至非安全區(qū)域；

以及，移動(dòng)終端在非安全區(qū)域下將加密后的輸入指令傳輸至VPN服務(wù)器。

可以理解地，VPN服務(wù)器在將加密后的輸入指令解密之后，發(fā)送至內(nèi)網(wǎng)進(jìn)行處理，從而能夠得到針對(duì)該輸入指令的需要進(jìn)行顯示的操作結(jié)果。

示例性地，當(dāng)移動(dòng)終端遠(yuǎn)程數(shù)據(jù)訪問完畢后，還需要對(duì)已登錄的信息進(jìn)行注銷，參見圖4，具體可以包括：

S401：移動(dòng)終端在安全區(qū)域下按照預(yù)設(shè)的加密策略將注銷請(qǐng)求進(jìn)行加密， 并切換至非安全區(qū)域；

S402：移動(dòng)終端在非安全區(qū)域下將加密后的注銷請(qǐng)求傳輸至VPN服務(wù)器；可以理解地，當(dāng)VPN服務(wù)器對(duì)加密的注銷請(qǐng)求進(jìn)行解密后，可以依據(jù)注銷請(qǐng)求完成注銷操作，并將注銷成功指示進(jìn)行加密。

S403：移動(dòng)終端在非安全區(qū)域下接收VPN服務(wù)器發(fā)送的加密的注銷成功指示，并切換至安全區(qū)域；

S404：移動(dòng)終端在安全區(qū)域下對(duì)加密的注銷成功指示進(jìn)行解密，并根據(jù)解密后的注銷成功指示完成注銷，并切換至非安全區(qū)域。

本實(shí)施例提供了一種應(yīng)用于移動(dòng)終端側(cè)的基于VPN的安全訪問數(shù)據(jù)的方法，通過利用目前移動(dòng)終端處理器架構(gòu)中對(duì)于安全性區(qū)域的劃分，將移動(dòng)終端需要與VPN服務(wù)器進(jìn)行傳輸?shù)臋C(jī)密性數(shù)據(jù)通過處理器架構(gòu)中的安全區(qū)域進(jìn)行執(zhí)行和處理，從而避免了當(dāng)移動(dòng)終端處理器架構(gòu)中的非安全區(qū)域遭受到病毒感染或木馬植入時(shí)，從硬件的底層方面，仍然能夠提高用戶使用移動(dòng)終端通過VPN進(jìn)行數(shù)據(jù)訪問的安全性。

實(shí)施例二

基于前述實(shí)施例相同的技術(shù)構(gòu)思，基于圖5，其示出了本發(fā)明實(shí)施例提供的應(yīng)用于VPN服務(wù)器側(cè)的基于VPN的安全訪問數(shù)據(jù)的方法，該方法可以包括：

S501：VPN服務(wù)器接收由移動(dòng)終端發(fā)送的加密信息；

需要說明的是，該加密信息是由移動(dòng)終端的安全區(qū)域進(jìn)行加密，并通過移動(dòng)終端的非加密區(qū)域發(fā)送的。

S502：VPN服務(wù)器根據(jù)預(yù)設(shè)的與移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略對(duì)加密信息進(jìn)行解密，并依據(jù)解密后的信息類型相應(yīng)地對(duì)解密后的信息進(jìn)行處理。

需要說明的是，VPN服務(wù)器在整個(gè)實(shí)施例的技術(shù)方案中的作用就是建立移動(dòng)終端與內(nèi)網(wǎng)的連接，并且將移動(dòng)終端所發(fā)送的信息進(jìn)行相應(yīng)的處理。

具體地，當(dāng)用戶通過移動(dòng)終端登陸VPN時(shí)，加密信息可以包括移動(dòng)終端在安全區(qū)域加密后的登錄信息，例如用戶名和密碼等；相應(yīng)地，VPN服務(wù)器根據(jù) 預(yù)設(shè)的與移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略對(duì)加密信息進(jìn)行解密，并依據(jù)解密后的信息類型相應(yīng)地對(duì)解密后的信息進(jìn)行處理，具體可以包括：

VPN服務(wù)器在接收到加密后的登錄信息后，按照預(yù)設(shè)的解密策略進(jìn)行解密，并且對(duì)登錄信息進(jìn)行驗(yàn)證，并根據(jù)驗(yàn)證結(jié)果確定登陸是否成功：

以及，當(dāng)驗(yàn)證通過時(shí)，VPN服務(wù)器確定登錄成功，VPN服務(wù)器建立移動(dòng)終端與VPN服務(wù)器之間的連接；

以及，當(dāng)驗(yàn)證失敗時(shí)，VPN服務(wù)器確認(rèn)登錄失敗。

進(jìn)一步地，為了提升用戶登錄的安全性，還可以在通過常規(guī)的登錄信息，如用戶名及密碼登陸VPN服務(wù)器成功之后，還可以針對(duì)用戶的生理特征，例如用戶的指紋和眼紋進(jìn)行安全性增強(qiáng)的VPN登錄，因此，需要針對(duì)用戶的生理特征進(jìn)行額外的注冊(cè)。此時(shí)，加密信息可以包括移動(dòng)終端在安全區(qū)域采集的生理特征信息所對(duì)應(yīng)的密鑰對(duì)中的公鑰。相應(yīng)地，在用戶登陸之后，VPN服務(wù)器接收到該生理特征信息對(duì)應(yīng)的公鑰，并且將該公鑰與當(dāng)前用戶的登錄信息進(jìn)行綁定。從而后續(xù)可以將該生理特征信息作為當(dāng)前用戶的安全性增強(qiáng)的登錄信息。

進(jìn)一步地，對(duì)用戶的生理特征信息進(jìn)行注冊(cè)之后，相對(duì)應(yīng)的，還包括通過用戶的生理特征信息進(jìn)行登錄的過程，此時(shí)，加密信息可以包括移動(dòng)終端在安全區(qū)域采集的生理特征信息與存儲(chǔ)的生理特征信息進(jìn)行比對(duì)之后二重加密的指示信息，相應(yīng)地，VPN服務(wù)器根據(jù)預(yù)設(shè)的與移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略對(duì)加密信息進(jìn)行解密，并依據(jù)解密后的信息類型相應(yīng)地對(duì)解密后的信息進(jìn)行處理，具體可以包括：

VPN服務(wù)器按照預(yù)設(shè)的解密策略進(jìn)行解密，獲得通過存儲(chǔ)的生理特征信息對(duì)應(yīng)的私鑰進(jìn)行加密的指示信息；

以及，VPN服務(wù)器根據(jù)存儲(chǔ)的生理特征信息對(duì)應(yīng)的公鑰對(duì)加密的指示信息進(jìn)行解密，并根據(jù)解密得到結(jié)果確認(rèn)是否登陸成功：

以及，當(dāng)獲得正確的指示信息時(shí)，VPN服務(wù)器確定通過生理特征信息登錄成功，VPN服務(wù)器建立移動(dòng)終端與VPN服務(wù)器之間的連接；

以及，當(dāng)沒有獲取正確的指示信息時(shí)，VPN服務(wù)器確認(rèn)登錄失敗。

示例性地，通過上述方案就能夠完成移動(dòng)終端與VPN服務(wù)器之間的注冊(cè)和登錄，當(dāng)移動(dòng)終端與VPN之間的連接建立完成后，就需要移動(dòng)終端與VPN之間通過數(shù)據(jù)交互進(jìn)行遠(yuǎn)程的數(shù)據(jù)訪問，具體可以包括用戶通過移動(dòng)終端向VPN服務(wù)器發(fā)送用戶輸入的指令，VPN將輸入的指令發(fā)送給內(nèi)網(wǎng)完成指令相應(yīng)的操作；隨后，內(nèi)網(wǎng)將需要在用戶終端進(jìn)行顯示的操作結(jié)果發(fā)送給VPN，從而通過VPN將需要進(jìn)行顯示的操作結(jié)果返回至移動(dòng)終端。

此時(shí)，加密信息可以包括由移動(dòng)終端的安全區(qū)域進(jìn)行加密的用戶進(jìn)行操作所輸入的指令；相應(yīng)地，VPN服務(wù)器根據(jù)預(yù)設(shè)的與移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略對(duì)加密信息進(jìn)行解密，并依據(jù)解密后的信息類型相應(yīng)地對(duì)解密后的信息進(jìn)行處理，具體可以包括：

VPN服務(wù)器根據(jù)預(yù)設(shè)的與移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略在將加密后的輸入指令解密之后，發(fā)送至內(nèi)網(wǎng)進(jìn)行處理；

接收內(nèi)網(wǎng)返回的針對(duì)該輸入指令的操作結(jié)果。

可以理解地，該操作結(jié)果由于需要在移動(dòng)終端中進(jìn)行顯示，因此，VPN服務(wù)器會(huì)將操作結(jié)果進(jìn)行加密后，將加密后的操作結(jié)果發(fā)送至移動(dòng)終端。

示例性地，當(dāng)移動(dòng)終端遠(yuǎn)程數(shù)據(jù)訪問完畢后，還需要對(duì)已登錄的信息進(jìn)行注銷，此時(shí)，加密信息可以包括由移動(dòng)終端的安全區(qū)域進(jìn)行加密的注銷請(qǐng)求；相應(yīng)地，VPN服務(wù)器根據(jù)預(yù)設(shè)的與移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略對(duì)加密信息進(jìn)行解密，并依據(jù)解密后的信息類型相應(yīng)地對(duì)解密后的信息進(jìn)行處理，具體可以包括：

VPN服務(wù)器對(duì)加密的注銷請(qǐng)求進(jìn)行解密后，可以依據(jù)注銷請(qǐng)求完成注銷操作，并將注銷成功指示進(jìn)行加密并返回至移動(dòng)終端，從而使得移動(dòng)終端對(duì)加密的注銷成功指示進(jìn)行解密后，根據(jù)解密后的注銷成功指示完成注銷。

實(shí)施例三

基于前述實(shí)施例相同的技術(shù)構(gòu)思，參見圖6，其示出了本發(fā)明實(shí)施例提供的一種移動(dòng)終端60的結(jié)構(gòu)，該移動(dòng)終端60中包括：安全區(qū)域單元601、非安全區(qū)域單元602和安全監(jiān)控單元603；其中，

所述安全區(qū)域單元601，用于獲取待發(fā)送至VPN服務(wù)器的私密信息；

以及預(yù)設(shè)的加密策略對(duì)所述私密信息進(jìn)行加密；

以及，觸發(fā)所述安全監(jiān)控單元603；

所述安全監(jiān)控單元603，用于將所述安全區(qū)域單元601切換至所述非安全區(qū)域單元602；

所述非安全區(qū)域單元602，用于將所述加密后的私密信息發(fā)送至VPN服務(wù)器；

以及，接收由所述VPN服務(wù)器發(fā)送的顯示信息；

以及，觸發(fā)所述安全監(jiān)控單元603；

所述安全監(jiān)控單元603，還用于將所述非安全區(qū)域單元602切換至所述安全區(qū)域單元601；

所述安全區(qū)域單元601，還用于將所述顯示信息按照預(yù)設(shè)的解密策略進(jìn)行解密之后，將解密后的顯示信息進(jìn)行顯示。

示例性地，所述安全區(qū)域單元601，具體用于：?jiǎn)?dòng)并顯示VPN登錄界面，接收輸入至所述VPN登錄界面中的登錄信息。

進(jìn)一步地，所述安全區(qū)域單元601，具體用于：按照預(yù)設(shè)的加密策略將所述登錄信息進(jìn)行加密；

所述非安全區(qū)域單元602，具體用于：將加密后的登錄信息傳輸至所述VPN服務(wù)器。

進(jìn)一步地，所述安全區(qū)域單元601，還用于調(diào)用生理特征采集裝置獲取并保存生理特征信息后，生成與所述生理特征信息對(duì)應(yīng)的密鑰對(duì)；

所述非安全區(qū)域單元，還用于將所述密鑰對(duì)中的公鑰傳輸至所述VPN服務(wù)器。

進(jìn)一步地，所述安全區(qū)域單元601，還用于啟動(dòng)并顯示生理特征登錄界面，并調(diào)用生理特征采集裝置獲取生理特征信息；

以及，當(dāng)獲取得到的生理特征信息與存儲(chǔ)的生理特征信息比對(duì)一致時(shí)，將用于指示比對(duì)一致的指示信息通過與所述存儲(chǔ)的生理特征信息對(duì)應(yīng)的私鑰進(jìn)行 加密，得到加密后的指示信息；

以及，按照預(yù)設(shè)的加密策略將所述加密后的指示信息進(jìn)行加密，獲得二重加密的指示信息；

所述非安全區(qū)域單元，還用于將所述二重加密的指示信息發(fā)送至所述VPN服務(wù)器。

示例性地，所述安全區(qū)域單元601，具體用于通過輸入設(shè)備接收輸入的指令。

進(jìn)一步地，所述安全區(qū)域單元601，具體用于按照預(yù)設(shè)的加密策略將所述輸入的指令進(jìn)行加密；

所述非安全區(qū)域單元602，具體用于將加密后的輸入指令傳輸至所述VPN服務(wù)器。

示例性地，所述安全區(qū)域單元601，還用于按照預(yù)設(shè)的加密策略將注銷請(qǐng)求進(jìn)行加密；

所述非安全區(qū)域單元602，還用于將加密后的注銷請(qǐng)求傳輸至所述VPN服務(wù)器；

以及，接收所述VPN服務(wù)器發(fā)送的加密的注銷成功指示；

所述安全區(qū)域單元601，還用于對(duì)所述加密的注銷成功指示進(jìn)行解密，并根據(jù)解密后的注銷成功指示完成注銷，并觸發(fā)所述安全監(jiān)控單元603切換至所述非安全區(qū)域單元602。

需要說明的是，在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)過程中，安全區(qū)域單元601中運(yùn)行有安全操作系統(tǒng)，能夠通過設(shè)備安全驅(qū)動(dòng)訪問底層硬件，包括攝像頭、觸摸屏、顯示屏。安全操作系統(tǒng)專門用來運(yùn)行安全級(jí)別高的應(yīng)用，如安全VPN應(yīng)用、安全支付應(yīng)用等。它是精簡(jiǎn)、穩(wěn)定的操作系統(tǒng)，運(yùn)行在其中的安全任務(wù)是串行執(zhí)行的，調(diào)度策略是非搶占式的，提高了系統(tǒng)內(nèi)部的安全性和穩(wěn)定性。安全應(yīng)用需經(jīng)過安全認(rèn)證才能安裝到該系統(tǒng)中，保證了安全操作系統(tǒng)的外部安全性。本實(shí)施例中，安全區(qū)域單元601的具體功能通過運(yùn)行在安全操作系統(tǒng)中的安全VPN應(yīng)用來實(shí)現(xiàn)，具體可以包括VPN密碼登錄、眼紋注冊(cè)、眼紋登錄、 安全輸入、安全顯示和安全注銷功能等。安全區(qū)域單元601中有獨(dú)立的設(shè)備安全驅(qū)動(dòng)(15)，包括攝像頭安全驅(qū)動(dòng)、顯示屏安全驅(qū)動(dòng)、觸摸屏安全驅(qū)動(dòng)，只能被安全操作系統(tǒng)(12)調(diào)用。

非安全區(qū)域單元602中運(yùn)行有非安全操作系統(tǒng)，例如運(yùn)行在當(dāng)前智能終端上的主流操作系統(tǒng)Android，可以滿足用戶在智能終端上多樣的需求。由于該系統(tǒng)是開源、免費(fèi)的，用戶可以瀏覽網(wǎng)頁(yè)、安裝各種應(yīng)用程序，所以系統(tǒng)的安全性不高，很可能受到病毒或木馬的攻擊；非安全區(qū)域單元602也設(shè)置有獨(dú)立的非安全設(shè)備驅(qū)動(dòng)(19)，包括攝像頭非安全驅(qū)動(dòng)、顯示屏非安全驅(qū)動(dòng)、觸摸屏非安全驅(qū)動(dòng)，只能被非安全操作系統(tǒng)(16)調(diào)用。

安全監(jiān)控單元603，負(fù)責(zé)安全區(qū)域單元601與非安全區(qū)域單元602之間的通信和切換。

可以理解地，攝像頭、顯示屏和觸摸屏設(shè)備等硬件設(shè)備在安全區(qū)域單元601只能被安全操作系統(tǒng)(12)訪問，在非安全區(qū)域單元602只能被非安全操作系統(tǒng)(16)訪問，從硬件上實(shí)現(xiàn)了安全和非安全的隔離，保證了遠(yuǎn)程辦公數(shù)據(jù)的安全性。

實(shí)施例四

基于前述實(shí)施例相同的技術(shù)構(gòu)思，參見圖7，其示出了本發(fā)明實(shí)施例提供的一種VPN服務(wù)器70的結(jié)構(gòu)，該VPN服務(wù)器70包括：接收單元701和解密處理單元702；其中，

所述接收單元701，用于接收由移動(dòng)終端發(fā)送的加密信息；

所述解密處理單元702，用于根據(jù)預(yù)設(shè)的與所述移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略對(duì)加密信息進(jìn)行解密，并依據(jù)所述解密后的信息類型相應(yīng)地對(duì)所述解密后的信息進(jìn)行處理。

示例性地，所述加密信息包括加密后的登錄信息，相應(yīng)地，所述解密處理單元702，具體用于：

按照預(yù)設(shè)的解密策略進(jìn)行解密，并且對(duì)登錄信息進(jìn)行驗(yàn)證，并根據(jù)驗(yàn)證結(jié)果確定登陸是否成功：

當(dāng)驗(yàn)證通過時(shí)，確定登錄成功，并建立與所述移動(dòng)終端之間的連接；

當(dāng)驗(yàn)證失敗時(shí)，確認(rèn)登錄失敗。

進(jìn)一步地，所述接收單元701，還用于接收到存儲(chǔ)的生理特征信息對(duì)應(yīng)的公鑰，并且將所述公鑰與當(dāng)前用戶的登錄信息進(jìn)行綁定。

進(jìn)一步地，所述加密信息包括移動(dòng)終端在安全區(qū)域采集的生理特征信息與存儲(chǔ)的生理特征信息進(jìn)行比對(duì)之后二重加密的指示信息；

相應(yīng)地，所述解密處理單元702，具體用于：

按照預(yù)設(shè)的解密策略進(jìn)行解密，獲得通過存儲(chǔ)的生理特征信息對(duì)應(yīng)的私鑰進(jìn)行加密的指示信息；

以及，根據(jù)所述存儲(chǔ)的生理特征信息對(duì)應(yīng)的公鑰對(duì)加密的指示信息進(jìn)行解密，并根據(jù)解密得到結(jié)果確認(rèn)是否登陸成功：

以及，當(dāng)獲得正確的指示信息時(shí)，確定通過生理特征信息登錄成功，并建立與移動(dòng)終端之間的連接；

以及，當(dāng)沒有獲取正確的指示信息時(shí)，確認(rèn)登錄失敗。

示例性地，所述加密信息包括由移動(dòng)終端的安全區(qū)域進(jìn)行加密的用戶進(jìn)行操作所輸入的指令；

相應(yīng)地，所述解密處理單元702，具體用于：

根據(jù)預(yù)設(shè)的與移動(dòng)終端安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略在將加密后的輸入指令解密之后，發(fā)送至內(nèi)網(wǎng)進(jìn)行處理；

以及，接收內(nèi)網(wǎng)返回的針對(duì)所述輸入指令的操作結(jié)果。

示例性地，所述加密信息包括由移動(dòng)終端的安全區(qū)域進(jìn)行加密的注銷請(qǐng)求；

相應(yīng)地，所述解密處理單元702，具體用于：

對(duì)所述加密的注銷請(qǐng)求進(jìn)行解密后，可以依據(jù)所述注銷請(qǐng)求完成注銷操作，將注銷成功指示進(jìn)行加密并觸發(fā)所述接收單元701；

所述接收單元701，還用于將加密后的注銷成功指示返回至移動(dòng)終端。

需要說明的是，VPN服務(wù)器70，能夠完成密碼登錄認(rèn)證、眼紋登錄認(rèn)證、眼紋公鑰與用戶的綁定、數(shù)據(jù)加解密、數(shù)據(jù)傳輸?shù)裙δ?。不僅能與互聯(lián)網(wǎng)外網(wǎng) 相連，也能與公司內(nèi)網(wǎng)相連，建立移動(dòng)終端和公司內(nèi)網(wǎng)的連接。

實(shí)施例五

基于前述實(shí)施例相同的技術(shù)構(gòu)思，參見圖8，其示出了基于VPN的安全訪問數(shù)據(jù)的系統(tǒng)80結(jié)構(gòu)，該系統(tǒng)80可以包括：移動(dòng)終端60和VPN服務(wù)器70；

其中，所述移動(dòng)終端60，用于在安全區(qū)域下獲取待發(fā)送至VPN服務(wù)器70的私密信息；

以及，在所述安全區(qū)域下按照預(yù)設(shè)的加密策略對(duì)所述私密信息進(jìn)行加密后，在非安全區(qū)域下將所述加密后的私密信息發(fā)送至所述VPN服務(wù)器70；

以及，在所述非安全區(qū)域下接收由所述VPN服務(wù)器70發(fā)送的顯示信息；

以及，在所述安全區(qū)域下將所述顯示信息按照預(yù)設(shè)的解密策略進(jìn)行解密之后，將解密后的顯示信息進(jìn)行顯示；

所述VPN服務(wù)器70，用于接收由所述移動(dòng)終端60發(fā)送的加密信息；

以及，根據(jù)預(yù)設(shè)的與所述移動(dòng)終端60安全區(qū)域的加密策略相對(duì)應(yīng)的解密策略對(duì)加密信息進(jìn)行解密，并依據(jù)所述解密后的信息類型相應(yīng)地對(duì)所述解密后的信息進(jìn)行處理。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本發(fā)明的實(shí)施例可提供為方法、系統(tǒng)、或計(jì)算機(jī)程序產(chǎn)品。因此，本發(fā)明可采用硬件實(shí)施例、軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且，本發(fā)明可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器和光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。

本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器，使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。

這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中，使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。

這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理，從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。

以上所述，僅為本發(fā)明的較佳實(shí)施例而已，并非用于限定本發(fā)明的保護(hù)范圍。