CN105812364A - 一种数据传输方法及装置 - Google Patents

Abstract

本发明适用于移动设备领域，提供了一种数据传输方法及装置，该移动设备包括：配置第一操作***和第二操作***之间的数据通道，所述数据通道由运行在所述第一操作***的第一数据服务程序和运行在所述第二操作***的第二数据服务程序构成，所述数据通道为传输内部数据的通道；在所述数据通道中配置间接访问网络功能，所述间接访问网络功能为：所述数据通道接收受信应用的联网请求，所述联网请求由所述第一操作***发送；转发受信应用的联网请求至所述第二操作***；接收所述第二操作***返回的联网数据；转发返回的联网数据至所述第一操作***；其中，所述受信应用为适用于所述第一操作***的应用程序。本发明提高了操作***的安全性和便利性。

Description

一种数据传输方法及装置

技术领域

本发明属于移动设备领域，尤其涉及一种数据传输方法及装置。

背景技术

操作***(OperatingSystem，简称OS)是用于管理和控制移动设备硬件与软件资源的操作***。其中，开放式的操作***，例如Android和iOS，可支持自行安装和卸载应用程序，用户可以通过网络下载自己喜欢的应用程序进行安装，以享受智能手机带来的智能化体验。

通常一个移动设备只安装其中一类操作***，运行相应的符合其运行环境的应用程序，这给某些专有***的应用程序程序在移动设备上的使用带来了一些不便，有时为了使之能在同一个设备上使用，费劲心力重新开发适用于开发***版本(如Android)，但这又使后续维护成本高企；或者在一个操作***上运行支持另一个操作***的虚拟机，并在此虚拟机架构上运行其应用程序，这会导致专有应用程序与后者的应用程序共享运行环境而带来安全方面的顾虑。

此外，由于开放式的操作***具有开放性和开源性，第二次开发的安全方案都极容易被破解或规避，大量木马和病毒会隐藏在某些应用软件中，窃取用户隐私信息，使个人的信息安全、财产安全也面临着严重的威胁。针对这些威胁，移动设备操作***的安全软件通常是采用安全沙箱，保护用户的重要信息免受这些木马和病毒的侵害。与此同时，在同一移动设备中，采用第一硬件架构和第二硬件架构构成两个硬件物理隔离的操作***运行环境，以提高***的安全性。

然而，在同一移动设备中，采用第一硬件架构和第二硬件架构构成两个硬件物理隔离的操作***运行环境时，无法在保证第一硬件架构安全性的前提下，提高第一硬件架构中的应用访问网络的便利性。其原因在于，第一硬件架构和第二硬件架构之间是硬件物理隔离，两者之间互不影响，当运行在第一硬件架构的外接网络模块直接访问网络时，会降低第一硬件架构中运行的操作***的安全性。此外，由于第一硬件架构和第二硬件架构之间不存在内部的传输通道，因此第一硬件架构中的应用无法通过第二硬件架构间接访问网络，不利于提高应用访问网络的便利性。因此，移动设备无法在保证第一硬件架构安全性的前提下，同时提高第一硬件架构中的应用访问网络的便利性。

发明内容

本发明实施例的目的在于提供一种数据传输方法及装置，旨在解决在同一移动设备中，采用第一硬件架构和第二硬件架构构成两个硬件物理隔离的操作***运行环境时，无法在保证第一硬件架构安全性的前提下，提高第一硬件架构中的应用访问网络的便利性的问题。

本发明实施例是这样实现的，一种数据传输方法，包括：

配置第一操作***和第二操作***之间的数据通道，所述数据通道由运行在所述第一操作***的第一数据服务程序和运行在所述第二操作***的第二数据服务程序构成，所述数据通道为传输内部数据的通道；

在所述数据通道中配置间接访问网络功能，所述间接访问网络功能为：

所述数据通道接收受信应用的联网请求，所述联网请求由所述第一操作***发送；

转发受信应用的联网请求至所述第二操作***；

接收所述第二操作***返回的联网数据；

转发返回的联网数据至所述第一操作***；

其中，所述受信应用为适用于所述第一操作***的应用程序。

本发明实施例的另一目的在于提供一种数据传输装置，包括：

数据通道配置模块，用于配置第一操作***和第二操作***之间的数据通道，所述数据通道由运行在所述第一操作***的第一数据服务程序和运行在所述第二操作***的第二数据服务程序构成，所述数据通道为传输内部数据的通道；

间接访问网络功能配置模块，用于在所述数据通道中配置间接访问网络功能，所述间接访问网络功能为：

所述数据通道接收受信应用的联网请求，所述联网请求由所述第一操作***发送；

转发受信应用的联网请求至所述第二操作***；

接收所述第二操作***返回的联网数据；

转发返回的联网数据至所述第一操作***；

其中，所述受信应用为适用于所述第一操作***的应用程序。

在本发明中，配置第一操作***和第二操作***之间的数据通道，在数据通道中配置间接访问网络功能，解决了在同一移动设备中，采用第一硬件架构和第二硬件架构构成两个硬件物理隔离的操作***运行环境时，无法在保证第一硬件架构安全性的前提下，提高第一硬件架构中的应用访问网络的便利性的问题。本发明的有益效果在于两方面，一是在同一设备上可以运行不同操作***的程序，拓宽了移动设备的应用范围，使一些专有应用程序可以继续运行；其二第一硬件架构没有网络数据通道，外部无法采用从网络数据通道注入数据的方式或利用协议栈中存在漏洞的方式，对第一操作***进行攻击，此外，第一硬件架构可通过数据通道得到需要的网络数据，因此既保证了第一硬件架构安全性，也提高了第一硬件架构中的应用访问网络的便利性。

附图说明

图1是本发明实施例提供的数据传输方法的实现流程图；

图2是本发明实施例提供的配置鉴权功能的实现流程图；

图3是本发明实施例提供的重启第二操作***的实施流程图；

图4是本发明实施例提供的数据传输装置的结构框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例一

图1是本发明实施例提供的数据传输方法的实现流程图，详述如下：

S101，配置第一操作***和第二操作***之间的数据通道，所述数据通道由运行在所述第一操作***的第一数据服务程序和运行在所述第二操作***的第二数据服务程序构成，所述数据通道为传输内部数据的通道；

S102，在所述数据通道中配置间接访问网络功能，所述间接访问网络功能为：

所述数据通道接收受信应用的联网请求，所述联网请求由所述第一操作***发送；

转发受信应用的联网请求至所述第二操作***；

接收所述第二操作***返回的联网数据；

转发返回的联网数据至所述第一操作***；

其中，所述受信应用为适用于所述第一操作***的应用程序。

其中，内部数据为***中除内部命令以外的数据。

其中，转发受信应用的联网请求至所述第二操作***，具体为：

根据预设的受信网络服务器列表，

判断联网请求中的目标服务器是否为受信网络服务器，所述受信网络服务器列表包括所有的受信网络服务器；

当所述目标服务器为受信网络服务器时，转发受信应用的联网请求至所述第二操作***。

其中，在所述数据通道中配置受信网络服务器列表更新功能，所述受信网络服务器列表更新为：

所述数据通道读取***时间和配置的更新时限，判断更新时限是否到达；

在所述更新时限到达时，连接预设的服务器，更新存储的受信网络服务器列表。

所述第一数据服务程序或所述第二数据服务程序，读取***时间和配置的更新时限，判断更新时限是否到达。

其中，第一操作***包括但不限于Android、iOS以及windowphone。

第二操作***包括但不限于Android、iOS以及windowphone。

优选地，第一操作***采用专用的OS或经过底层加固的、应用受限的开放OS，主要用于安全通信和业务处理。第二操作***选用开发的操作***，具备移动设备的所有功能。

在本发明实施例中，拓宽了移动设备的应用范围，使一些专有应用程序可以继续运行；同时，第一操作***与互联网之间没有直接连接的物理通道，以此保证所有互联网的攻击手段对第一操作***无效，既保证了第一硬件架构安全性，也提高了第一硬件架构中的应用访问网络的便利性。

实施例二

图2是本发明实施例提供的配置鉴权功能的实现流程图，详述如下：

在步骤S201中，所述数据通道判断发起联网请求的应用是否在预先配置的受信应用列表中，所述受信应用列表包括多个应用；

第二数据服务程序判断所述应用是否在预先配置的受信应用列表中。

在步骤S202中，当所述应用在预先配置的受信应用列表中时，鉴权通过，判断出所述应用为受信应用。

所述数据通道只用于实现第一操作***应用对internet间接访问的需求。所述数据通道在第一操作***侧只接受受信应用的联网请求，第二操作***侧只连接于internet，不与第二操作***内部发生任何数据交换。

在本发明实施例中，第二数据服务程序对应用身份进行鉴权，数据内容的安全性由受信应用来保证，提高了***的安全性。

实施例三

本发明实施例提供了命令通道配置的实施流程，详述如下：

配置第一操作***和第二操作***之间的命令通道，所述命令通道由运行在所述第一操作***的第一命令服务程序和运行在所述第二操作***的第二命令服务程序构成，所述命令通道为传输内部命令的通道。

在所述配置第一操作***和第二操作***之间的数据通道时、之前或者之后，配置第一操作***和第二操作***之间的命令通道

其中，内部命令包括状态命令、请求命令、响应命令。

在本发明实施例中，第一操作***通过状态命令，获取和设定第二操作***的硬件状态和运行状态，便于第二操作***的安全审计。

实施例四

本发明实施例提供了启动第一命令服务程序的实施流程，详述如下：

在启动适用于所述第二操作***的应用程序之前，采用安全启动模式，优先启动并注册所述第二命令服务程序。

所述应用包括但不限于Android应用和IOS应用。

为防止第一命令服务程序被仿冒或劫持，第一命令服务程序作为预置服务受Secureboot安全启动过程保护，在第一操作***的应用启动之前，优先启动。

例如，用户长按电源键开机后，第一操作******首先启动，启动过程采用Secureboot工作模式，确保程序没有被篡改过，依次校验正确后，进入工作状态。

第一操作***启动完成后，再启动第二操作***，第二操作******启动过程同样采用Secureboot的模式。

在本发明实施例中，优先启动并注册所述第二命令服务程序，避免了出现第一命令服务程序被仿冒或劫持的情况，提高了第一操作***的安全性。

实施例五

图3是本发明实施例提供的重启第二操作***的实施流程图，详述如下：

在步骤S301中，检测所述第二命令服务程序是否进行第二次注册；

在步骤S302中，当所述第二命令服务程序进行第二次注册时，重启所述第二操作***。

当发现第二命令服务程序第二次注册时，将强行重启第二操作******，确保第二命令服务程序的可信，同时为防止外来数据侵入。

在本发明实施例中，第一命令服务程序和第二命令服务程序之间只进行内部的命令发送和反馈，不对第三方提供任何数据服务，禁止一切可能引起代码执行的操作，如第二操作***的文件导入到第一操作***。

实施例六

图4是本发明实施例提供的数据传输装置的结构框图，该装置可以运行于具备移动设备中。所述移动设备，包括但不限于：手持智能终端设备，如智能手机、智能平板；移动办公设备，如笔记本电脑；可移动部署的智能中控设备，如物联网中控设备、汽车中控设备、智能家居中控设备等。

为了便于说明，仅示出了与本实施例相关的部分。

参照图4，该一种数据传输装置，其特征在于，包括：

数据通道配置模块41，用于配置第一操作***和第二操作***之间的数据通道，所述数据通道由运行在所述第一操作***的第一数据服务程序和运行在所述第二操作***的第二数据服务程序构成，所述数据通道为传输内部数据的通道；

间接访问网络功能配置模块42，用于在所述数据通道中配置间接访问网络功能，所述间接访问网络功能为：

所述数据通道接收受信应用的联网请求，所述联网请求由所述第一操作***发送；

转发受信应用的联网请求至所述第二操作***；

接收所述第二操作***返回的联网数据；

转发返回的联网数据至所述第一操作***；

其中，所述受信应用为适用于所述第一操作***的应用程序。

在本实施例的一种实现方式中，所述数据传输装置，还包括：

数据通道配置模块，用于配置第一操作***和第二操作***之间的数据通道，所述数据通道由运行在所述第一操作***的第一数据服务程序和运行在所述第二操作***的第二数据服务程序构成，所述数据通道为传输内部数据的通道；

间接访问网络功能配置模块，用于在所述数据通道中配置间接访问网络功能，所述间接访问网络功能为：

所述数据通道接收受信应用的联网请求，所述联网请求由所述第一操作***发送；

转发受信应用的联网请求至所述第二操作***；

接收所述第二操作***返回的联网数据；

转发返回的联网数据至所述第一操作***；

其中，所述受信应用为适用于所述第一操作***的应用程序。

在本实施例的一种实现方式中，所述数据传输装置，还包括：

配置鉴权功能模块，用于在所述数据通道中配置鉴权功能，所述鉴权功能为：

所述数据通道判断发起联网请求的应用是否在预先配置的受信应用列表中，所述受信应用列表包括多个应用；

当所述应用在预先配置的受信应用列表中时，鉴权通过，判断出所述应用为受信应用。

在本实施例的一种实现方式中，所述数据传输装置，还包括：

命令通道配置模块，用于配置第一操作***和第二操作***之间的命令通道，所述命令通道由运行在所述第一操作***的第一命令服务程序和运行在所述第二操作***的第二命令服务程序构成，所述命令通道为传输内部命令的通道。

在本实施例的一种实现方式中，所述数据传输装置，还包括：

启动模块，用于在启动适用于所述第二操作***的应用程序之前，采用安全启动模式，优先启动并注册所述第二命令服务程序。

在本实施例的一种实现方式中，所述数据传输装置，还包括：

检测模块，用于检测所述第二命令服务程序是否进行第二次注册；

重启模块，用于当所述第二命令服务程序进行第二次注册时，重启所述第二操作***。

本发明实施例提供的装置可以应用在前述对应的方法实施例中，详情参见上述实施例的描述，在此不再赘述。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现。所述的程序可以存储于可读取存储介质中，所述的存储介质，如随机存储器、闪存、只读存储器、可编程只读存储器、电可擦写可编程存储器、寄存器等。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件执行本发明各个实施例所述的方法。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种数据传输方法，其特征在于，包括：

配置第一操作***和第二操作***之间的数据通道，所述数据通道由运行在所述第一操作***的第一数据服务程序和运行在所述第二操作***的第二数据服务程序构成，所述数据通道为传输内部数据的通道；

在所述数据通道中配置间接访问网络功能，所述间接访问网络功能为：

所述数据通道接收受信应用的联网请求，所述联网请求由所述第一操作***发送；

转发受信应用的联网请求至所述第二操作***；

接收所述第二操作***返回的联网数据；

转发返回的联网数据至所述第一操作***；

其中，所述受信应用为适用于所述第一操作***的应用程序。

2.如权利要求1所述的数据传输方法，其特征在于，在所述数据通道中配置间接访问网络功能之前，所述数据传输方法，还包括：

在所述数据通道中配置鉴权功能，所述鉴权功能为：

所述数据通道判断发起联网请求的应用是否在预先配置的受信应用列表中，所述受信应用列表包括多个应用；

当所述应用在预先配置的受信应用列表中时，鉴权通过，判断出所述应用为受信应用。

3.如权利要求1所述的数据传输方法，其特征在于，所述数据传输方法，还包括：

配置第一操作***和第二操作***之间的命令通道，所述命令通道由运行在所述第一操作***的第一命令服务程序和运行在所述第二操作***的第二命令服务程序构成，所述命令通道为传输内部命令的通道。

4.如权利要求3所述的数据传输方法，其特征在于，所述数据传输方法，还包括：

在启动适用于所述第二操作***的应用程序之前，采用安全启动模式，优先启动并注册所述第二命令服务程序。

5.如权利要求4所述的数据传输方法，其特征在于，所述数据传输方法，还包括：

检测所述第二命令服务程序是否进行第二次注册；

当所述第二命令服务程序进行第二次注册时，重启所述第二操作***。

6.一种数据传输装置，其特征在于，包括：

数据通道配置模块，用于配置第一操作***和第二操作***之间的数据通道，所述数据通道由运行在所述第一操作***的第一数据服务程序和运行在所述第二操作***的第二数据服务程序构成，所述数据通道为传输内部数据的通道；

间接访问网络功能配置模块，用于在所述数据通道中配置间接访问网络功能，所述间接访问网络功能为：

所述数据通道接收受信应用的联网请求，所述联网请求由所述第一操作***发送；

转发受信应用的联网请求至所述第二操作***；

接收所述第二操作***返回的联网数据；

转发返回的联网数据至所述第一操作***；

其中，所述受信应用为适用于所述第一操作***的应用程序。

7.如权利要求6所述数据传输装置，其特征在于，所述数据传输装置，还包括：

配置鉴权功能模块，用于在所述数据通道中配置鉴权功能，所述鉴权功能为：

所述数据通道判断发起联网请求的应用是否在预先配置的受信应用列表中，所述受信应用列表包括多个应用；

当所述应用在预先配置的受信应用列表中时，鉴权通过，判断出所述应用为受信应用。

8.如权利要求6所述数据传输装置，其特征在于，所述数据传输装置，还包括：

命令通道配置模块，用于配置第一操作***和第二操作***之间的命令通道，所述命令通道由运行在所述第一操作***的第一命令服务程序和运行在所述第二操作***的第二命令服务程序构成，所述命令通道为传输内部命令的通道。

9.如权利要求8所述数据传输装置，其特征在于，所述数据传输装置，还包括：

启动模块，用于在启动适用于所述第二操作***的应用程序之前，采用安全启动模式，优先启动并注册所述第二命令服务程序。

10.如权利要求9所述数据传输装置，其特征在于，所述数据传输装置，还包括：

检测模块，用于检测所述第二命令服务程序是否进行第二次注册；

重启模块，用于当所述第二命令服务程序进行第二次注册时，重启所述第二操作***。