本發(fā)明涉及電子技術領域，尤其涉及一種安全控制方法、及終端。

背景技術：

為了給終端例如數(shù)碼相機、智能手機等擴大內(nèi)部存儲空間，可插拔的存儲卡如安全數(shù)碼卡、優(yōu)盤等成為了常見的解決方案?？刹灏蔚拇鎯ζ魇且环N體積小容量大的數(shù)據(jù)存儲載體，可以熱插拔到終端而不是內(nèi)嵌到終端，這樣它既可以很好地解決終端擴展內(nèi)部存儲空間的需求，也可以作為一個優(yōu)盤在不同終端間使用。

然而，由于可插拔的存儲器可插拔的特性，在終端被盜或丟失之后，可插拔的存儲器中的數(shù)據(jù)存在通過該終端之外的讀卡器等設備進行讀取的風險，造成信息的泄露。因此，需要解決可插拔的存儲器中的數(shù)據(jù)安全的問題。

目前，為保護可插拔的存儲器中的數(shù)據(jù)安全采用的一種技術方案就是采用全盤加密技術將可插拔的存儲器作為整個硬盤的一部分統(tǒng)一進行加密，這樣，即使用戶將可插拔的存儲器拔出之后，可插拔的存儲器內(nèi)的數(shù)據(jù)也是加密的，防止了可插拔的存儲器被拔出原來終端后造成信息泄密的問題，但是這種全盤加密方式實現(xiàn)比較復雜、造成終端性能的大幅度下降。

技術實現(xiàn)要素：

本發(fā)明實施例提供了一種安全控制方法、及終端，可以單獨對可插拔的存儲器進行加密和解密，保護可插拔的存儲器中的數(shù)據(jù)安全，操作簡單。

一方面本發(fā)明實施例提供了一種安全控制方法，應用于包含可信執(zhí)行環(huán)境tee的終端，所述方法包括：

所述終端的tee確定需要對可插拔的存儲器進行加密的情況下，獲取所述終端的標識信息，依據(jù)所述標識信息生成鎖密碼；

使用所述鎖密碼對所述可插拔的存儲器進行加密。

二方面本發(fā)明實施例提供了一種終端，包括：

應用控制單元，用于確定需要對可插拔的存儲器進行加密的情況，獲取終端的標識信息，用于依據(jù)所述標識信息生成鎖密碼；

加密單元，用于使用所述鎖密碼對所述可插拔的存儲器進行加密。

通過實施本發(fā)明實施例，終端的tee確定需要對可插拔的存儲器進行加密的情況下，獲取該終端的標識信息，依據(jù)該標識信息生成鎖密碼；使用該鎖密碼對該可插拔的存儲器進行加密。本發(fā)明實施例中的tee可以利用該終端的標識信息生成該鎖密碼，并利用該鎖密碼單獨對該可插拔的存儲器進行加密和解密，實現(xiàn)方式簡單、安全性高。

附圖說明

圖1為本發(fā)明實施例安全控制方法流程示意圖；

圖2為本發(fā)明實施例另一種安全控制方法流程示意圖；

圖3為本發(fā)明實施例終端結構示意圖；

圖4為本發(fā)明實施例終端結構示意圖；

圖5為本發(fā)明實施例又一種安全控制方法流程示意圖；

圖6為本發(fā)明實施例終端結構示意圖；

圖7為本發(fā)明實施例終端結構示意圖；

圖8為本發(fā)明實施例終端結構示意圖；

圖9為本發(fā)明實施例終端結構示意圖。

具體實施方式

可信執(zhí)行環(huán)境(tee,trustedexecutionenvironment)是終端設備如智能手機、平板電腦、機頂盒、智能電視等主處理器上的一個安全區(qū)域，其可以保證加載到該環(huán)境內(nèi)部的代碼和數(shù)據(jù)的安全性、機密性以及完整性。tee提供一個隔離的執(zhí)行環(huán)境，提供的安全特征包含：隔離執(zhí)行、可信應用的完整性、可信數(shù)據(jù)的機密性、安全存儲等?？傮w來說，tee提供的執(zhí)行空間比常見的操作系統(tǒng)(如安卓系統(tǒng)等)提供更高級別的安全性。

一方面本發(fā)明實施例提供了一種安全控制方法，應用于包含tee的終端，如圖1所示，包括：

101、上述終端的tee確定需要對可插拔的存儲器進行加密的情況下，獲取上述終端的標識信息，依據(jù)上述標識信息生成鎖密碼；

上述終端可以是手機、平板電腦、臺式電腦、個人數(shù)字助理等。上述可插拔的存儲器可以是優(yōu)盤、安全數(shù)碼(sd，securedigital)卡、microsd卡、用戶身份識別卡(sim，subscriberidentificationmodule)等。上述終端的標識信息可以是該終端的中央處理器的標識信息、該終端的tee的標識信息等。上述標識信息可以是一個也可以是多個。

在一種可選的實現(xiàn)方式中，上述終端的安全芯片可以取代上述tee，實現(xiàn)上述tee執(zhí)行的全部操作。

上述終端的tee確定需要對可插拔的存儲器進行加密的情況可以是上述終端的tee確定上述終端的加密功能處于開啟狀態(tài)且確定上述終端有上述可插拔的存儲器的熱插拔操作；也可以是上述終端的tee確定上述終端的上述加密功能處于開啟狀態(tài)且檢測到上述終端的開機操作；還可以是上述終端的tee接收到對上述可插拔的存儲器進行加密的加密指令。上述終端的tee確定需要對可插拔的存儲器進行加密的情況不限于上述三種，還可以包括其它需要對上述可插拔的存儲器進行加密的情況。

舉例來說，在終端的加密功能處于開啟狀態(tài)的情況下，上述終端在啟動后或者上述終端插入了上述可插拔的存儲器后，由上述tee獲取上述終端的標識信息，生成上述鎖密碼。再舉例來說，在終端的加密功能處于關閉狀態(tài)的情況下，在用戶開啟該終端的加密功能后，由上述tee獲取上述終端的標識信息，生成上述鎖密碼。具體的，可以通過上述tee上的可信應用程序，給上述可插拔的存儲器生成上述鎖密碼，并通過驅(qū)動安全通道傳輸?shù)缴鲜隹刹灏蔚拇鎯ζ鞯尿?qū)動程序。

本發(fā)明實施例中，由上述終端的tee確定需要對可插拔的存儲器進行加密的情況后，獲取上述終端的標識信息，依據(jù)上述標識信息生成鎖密碼，并利用上述鎖密碼對上述可插拔的存儲器進行加密。由上述tee在確定需要對可上述插拔的存儲器進行加密的時候自動對上述可插拔的存儲器進行加密，安全方便，無需用戶的操作。

上述tee在獲取上述終端的多個標識信息的情況下，將上述標識信息進行組合，得到組合后的標識信息，再依據(jù)上述組合后的標識信息生成鎖密碼。上述tee在獲取上述終端的一個標識信息的情況下，依據(jù)上述獲取的標識信息生成鎖密碼。上述tee生成鎖密碼的具體方法可以是將上述組合后的標識信息或者上述獲取的標識信息作為密碼因子，利用預置的鎖密碼生成算法，依據(jù)上述密碼因子生成上述鎖密碼。

102、使用上述鎖密碼對上述可插拔的存儲器進行加密。

使用上述鎖密碼對上述可插拔的存儲器進行加密的具體方法可以如下：上述終端的tee將上述鎖密碼和加密指令發(fā)送給上述可插拔的存儲器，上述加密指令指示上述可插拔的存儲器將接收到的上述鎖密碼作為上述可插拔的存儲器的鎖密碼。使用上述鎖密碼對上述可插拔的存儲器進行加密的具體方法也可以如下：上述終端的tee只將上述鎖密碼發(fā)送給上述可插拔的存儲器，由上述終端的其他部分向上述可插拔的存儲器發(fā)送上述加密指令。

以上述sd卡為例，對上述sd卡進行加密的方式具體可通過sd卡協(xié)議中的相關規(guī)定，將上述鎖密碼生成密碼設置指令。具體的，可將cmd42命令中的bit0(具體為設置密碼位“setpwd”取值為“1”表示需設置鎖密碼)位賦值為“1”來代表設置鎖密碼，將cmd42命令的數(shù)據(jù)位(pwddata)放置具體設置的鎖密碼，由此，生成密碼設置指令。上述終端將賦值后的cmd42作為密碼設置指令發(fā)送給上述sd卡，這樣當上述sd卡接收到cmd42后便可根據(jù)命令中的bit0和pwddata的值保存設置的鎖密碼，完成加密過程。加密后的上述可插拔存儲器在成功解密前在任何終端都不能進行讀寫操作。

本發(fā)明實施例中，終端的tee確定需要對可插拔的存儲器進行加密的情況下，獲取該終端的標識信息，依據(jù)該標識信息生成鎖密碼；使用該鎖密碼對該可插拔的存儲器進行加密。本發(fā)明實施例中的tee可以利用該終端的標識信息生成該鎖密碼，并利用該鎖密碼單獨對該可插拔的存儲器進行加密和解密，實現(xiàn)方式簡單、安全性高。另外，由該終端自動對該可插拔的存儲器進行加密和解密，無需用戶的操作。

在一個可選的實現(xiàn)方式中，本發(fā)明實施例提出了一種鎖密碼的生成算法，具體如下：上述依據(jù)上述標識信息生成鎖密碼包括：

上述終端的tee將上述標識信息作為密碼因子，對上述密碼因子進行哈希運算得到哈希值，對上述哈希值進行混淆處理或者取反運算，得到上述鎖密碼。

哈希(hash)算法，即散列函數(shù)。它是一種單向密碼體制，即它是一個從明文到密文的不可逆的映射，只有加密過程，沒有解密過程。同時，哈希函數(shù)可以將任意長度的輸入經(jīng)過變化以后得到固定長度的輸出。利用哈希算法可以依據(jù)上述密碼因子生成一個唯一的哈希值，而且由哈希運算得到的哈希值沒有解密過程，可以很好的保證哈希值的安全性。上述混淆處理和取反運算都是對上述哈希值進一步進行加密處理以得到上述鎖密碼，進一步提高鎖密碼的安全性。

本發(fā)明實施例中，上述終端的tee采用哈希算法依據(jù)上述標識信息得到哈希值后，再對上述哈希值進行混淆處理或者取反運算，得到鎖密碼，一方面可以保證上述鎖密碼是唯一的，另一方面保證上述鎖密碼難以解密。

在一個可選的實現(xiàn)方式中，上述終端的tee可以通過不同的方法對上述可插拔的存儲器進行加密，本發(fā)明實施例提供了一種對可插拔的存儲器進行加密的具體舉例，如下：上述使用上述鎖密碼對上述可插拔的存儲器進行加密包括：

上述終端的tee選擇滿足上述鎖密碼的安全性傳輸需求的通道作為目標通道，通過上述目標通道將上述鎖密碼和加密指令發(fā)送給上述可插拔的存儲器，上述加密指令指示上述可插拔的存儲器將接收到的上述鎖密碼作為上述可插拔的存儲器的鎖密碼。

上述終端的tee可以通過多個通道將上述鎖密碼和加密指令發(fā)送給上述可插拔的存儲器?？紤]到上述鎖密碼傳輸?shù)陌踩?，防止上述鎖密碼在傳輸過程中被破解，上述終端的tee選擇滿足上述鎖密碼的安全性傳輸需求的通道作為目標通道，通過上述目標通道將上述鎖密碼和加密指令發(fā)送給上述可插拔的存儲器。上述目標信道是由上述tee確定的可以安全傳輸上述鎖密碼的通道，例如目標通道可以是專門用來傳輸鎖密碼的安全通道。上述加密指令可以通過上述目標通過進行傳輸，也可以通過其他通道從tee或者上述終端的其他部分傳輸?shù)缴鲜隹刹灏蔚拇鎯ζ鳌?/p>

本發(fā)明實施例中，上述終端的tee選擇滿足上述鎖密碼的安全性傳輸需求的通道作為目標通道，通過上述目標通道將上述鎖密碼和加密指令發(fā)送給上述可插拔的存儲器，可以保證上述鎖密碼在傳輸過程中的安全。

在一個可選的實現(xiàn)方式中，終端的tee確定上述終端的上述加密功能處于關閉狀態(tài)后，可以清除上述終端中可插拔的存儲器存儲的鎖密碼，具體方法可以如下：在上述使用上述鎖密碼對上述可插拔的存儲器進行加密之后，上述方法還包括：

上述終端的tee確定上述終端的上述加密功能處于關閉狀態(tài)的情況下，獲取所述終端的標識信息，依據(jù)所述標識信息生成上述鎖密碼，依據(jù)生成的上述鎖密碼生成密碼清除指令，將上述密碼清除指令發(fā)送給上述可插拔的存儲器，上述密碼清除指令指示上述可插拔的存儲器清除上述可插拔的存儲器存儲的上述鎖密碼。

舉例來說，當用戶關閉上述終端的關閉后，上述終端的tee生成上述鎖密碼，依據(jù)獲取的上述鎖密碼生成密碼清除指令，將上述密碼清除指令發(fā)送給上述可插拔的存儲器。上述可插拔的存儲器清除上述可插拔的存儲器存儲的上述鎖密碼，上述可插拔存儲器可以插入上述終端以及其他終端進行讀取操作以及其他操作。

以上述sd卡為例，清除上述sd卡中的鎖密碼的方式具體可通過sd卡協(xié)議中的相關規(guī)定，使用上述鎖密碼生成密碼清除指令。比如，可借助sd卡的命令class7中的cmd42命令來生成密碼清除指令。具體的，可將cmd42命令中的bit3(清除指示位“erasecard”，當“erasecard”取值為“1”表示對sd卡的鎖密碼進行清除)位賦值為“1”來代表清除鎖密碼，將cmd42命令的數(shù)據(jù)位(pwddata)放置具體需清除的鎖密碼，生成密碼清除指令。上述終端將賦值后的cmd42作為密碼清除指令發(fā)送給上述sd卡，這樣當sd卡接收到cmd42后便可根據(jù)命令中的bit3和pwddata的值清除保存的鎖密碼。這樣操作之后，上述sd卡將恢復到未加密的狀態(tài)，也就可以發(fā)揮上述sd卡的移動性，隨便放到其它終端使用。

本發(fā)明實施例中，當終端的加密功能關閉后，上述終端生成上述鎖密碼，依據(jù)獲取的上述鎖密碼生成密碼清除指令，并將上述密碼清除指令發(fā)送給上述可插拔的存儲器，可以方便快捷地清除上述可插拔的存儲器所存儲的鎖密碼。

在一個可選的實現(xiàn)方式中，上述終端的tee確定需要對上述可插拔的存儲器進行解密后，可以對上述可插拔的存儲器進行解密，具體如下：在上述使用上述鎖密碼對上述可插拔的存儲器進行加密之后，上述方法還包括：

上述終端的tee確定需要對上述可插拔的存儲器進行解密的情況下，生成上述鎖密碼，使用上述鎖密碼對上述可插拔的存儲器進行解密，上述可插拔的存儲器在解密成功后可以進行讀寫操作。

使用上述鎖密碼對上述可插拔的存儲器進行解密的具體方法可以如下：上述終端的生成獲取上述鎖密碼，依據(jù)生成的上述鎖密碼生成解密指令，將上述解密指令發(fā)送給上述可插拔的存儲器。

以上述sd卡為例，對上述sd卡進行解密的方式具體可通過sd卡協(xié)議中的相關規(guī)定，將上述鎖密碼生成解密指令。具體的，可將cmd42命令中的bit2位賦值為“0”來代表解密，將cmd42命令的數(shù)據(jù)位(pwddata)放置具體設置的鎖密碼，由此，生成解密指令。上述終端將賦值后的cmd42作為解密指令發(fā)送給上述sd卡，這樣當上述sd卡接收到cmd42后便可進行解密操作。

上述終端的tee確定需要對上述可插拔的存儲器進行解密的情況可以是終端需要對上述可插拔的存儲器進行讀寫操作；也可以是上述終端關閉上述加密功能；還可以是上述終端對上述可插拔的存儲器執(zhí)行需要特定權限的操作；還可以是需要對上述可插拔的存儲器進行格式化處理。

本發(fā)明實施例中，終端的tee在確定需要對上述可插拔的存儲器進行解密后，對上述可插拔的存儲器進行解密，可以在用戶需要對上述可插拔的存儲器進行解密的時候自動完成解密操作，方便用戶。

本發(fā)明實施例提出了另一種安全控制方法，應用于包含tee的終端，如圖2所示，包括：

201、上述終端的tee確定需要對可插拔的存儲器進行加密的情況下，獲取上述終端的標識信息；

202、上述終端的tee依據(jù)上述標識信息生成鎖密碼；

203、上述終端的tee選擇滿足上述鎖密碼的安全性傳輸需求的通道作為目標通道；

204、通過上述目標通道將上述鎖密碼和加密指令發(fā)送給上述可插拔的存儲器；

上述加密指令指示上述可插拔的存儲器將接收到的上述鎖密碼作為上述可插拔的存儲器的鎖密碼。

在一種可選的方式中，上述加密指令可以不必通過上述目標通道向上述可插拔的存儲器進行發(fā)送，上述目標通過可以只傳輸上述鎖密碼。

205、上述終端使用上述鎖密碼對上述可插拔的存儲器進行加密；

206、上述終端的tee確定需要對上述可插拔的存儲器進行解密的情況下，生成上述鎖密碼；

207、上述終端使用上述鎖密碼對上述可插拔的存儲器進行解密；

上述可插拔的存儲器在解密成功后上述終端可以進行讀寫操作，但該可插拔的存儲器仍處于鎖定狀態(tài)即其它終端不可以進行讀寫等操作。

208、上述終端接收到清除密碼指令后，由上述tee生成上述鎖密碼；

209、上述終端使用上述鎖密碼生成密碼清除指令，清除上述可插拔的存儲器存儲的鎖密碼。

上述可插拔的存儲器清除存儲的鎖密碼后，在其它終端可以進行讀寫等操作。

本發(fā)明實施例中的tee可以利用該終端的標識信息生成該鎖密碼，并利用該鎖密碼單獨對該可插拔的存儲器進行加密和解密，實現(xiàn)方式簡單、安全性高。另外，由該終端自動對該可插拔的存儲器進行加密和解密，無需用戶的操作。

本發(fā)明實施例的一種可選的應用場景具體如下：用戶關閉終端的卡保護功能即加密功能，終端的tee獲取該終端的標識信息，依據(jù)該標識信息生成鎖密碼，依據(jù)上述鎖密碼生成密碼清除指令，清除上述可插拔的存儲器存儲的鎖密碼，將上述可插拔的存儲器插入到其它的終端，上述可插拔的存儲器在其它終端中可以正常進行讀取操作及其它操作。

本發(fā)明實施例還提供了一種終端，如圖3所示，包括：普通執(zhí)行環(huán)境、可信執(zhí)行環(huán)境、可插拔的存儲器以及該可插拔的存儲器的驅(qū)動程序；

普通執(zhí)行環(huán)境是指那些有豐富功能的環(huán)境，如安卓、windows等系統(tǒng)，這些系統(tǒng)由于廣泛使用，功能不斷增加，結構越加復雜，導致安全性普遍不高。可信執(zhí)行環(huán)境(tee,trustedexecutionenvironment)是終端如智能手機、平板電腦、機頂盒、智能電視等主處理器上的一個安全區(qū)域，其可以保證加載到該環(huán)境內(nèi)部的代碼和數(shù)據(jù)的安全性、機密性以及完整性。tee提供一個隔離的執(zhí)行環(huán)境，提供的安全特征包含：隔離執(zhí)行、可信應用的完整性、可信數(shù)據(jù)的機密性、安全存儲等?？傮w來說，tee提供的執(zhí)行空間比常見的操作系統(tǒng)(如安卓系統(tǒng)等)提供更高級別的安全性。

普通執(zhí)行環(huán)境包括卡保護/解保護接口300、框架接口301、后臺管理程序302?？ūＷo/解保護接口300用來接收用戶發(fā)送的加密指令或解密指令，并將相應指令發(fā)送給上述可信執(zhí)行環(huán)境下的可信應用?？蚣芙涌?01和后臺管理程序302為可插拔存儲器的管理程序，它們主要實現(xiàn)的工作包括掛載上述可插拔的存儲器、讀寫上述可插拔的存儲器中的數(shù)據(jù)，向上述驅(qū)動程序發(fā)送加密/解密等操作指令等。

可信執(zhí)行環(huán)境包括可信應用310，該可信應用的功能由上述tee進行實現(xiàn)，上述tee對應的硬件包括獲取單元311、生成單元312、發(fā)送單元313。上述獲取單元311，可以獲取上述終端的標識信息；上述生成單元312可以依據(jù)上述標識信息生成鎖密碼；上述發(fā)送單元可以將上述鎖密碼發(fā)送給上述可插拔的存儲器的驅(qū)動程序。

上述可插拔的存儲器的驅(qū)動程序，在接收到上述發(fā)送單元313發(fā)送的鎖密碼之后，結合301、302下發(fā)的加密、解密指令，例如使用如上介紹的cmd42命令生成相應的密碼設置指令，并將上述密碼設置指令傳送到上述可插拔的存儲器以實現(xiàn)相應的功能動作。按照現(xiàn)有的程序架構，tee和普通執(zhí)行環(huán)境都可以向上述驅(qū)動程序發(fā)送消息指令，也就是說上述驅(qū)動程序可以接收來自普通執(zhí)行環(huán)境和tee的指令，只是實現(xiàn)機制不一樣而已。本發(fā)明實施例為了安全保障，將生成的上述鎖密碼直接發(fā)送給上述驅(qū)動程序，而不是默認地返回給上述普通執(zhí)行環(huán)境再由上述普通執(zhí)行環(huán)境去控制操作上述可插拔的存儲器(默認也是這樣操作的)。

本發(fā)明實施例還提供了另一種安全控制方法，如圖4所示，包括：

401、終端開機或者檢測到可插拔的存儲器的熱插拔操作；

402、上述終端確定上述終端的卡保護功能處于開啟狀態(tài)；

403、向上述終端的tee發(fā)送加密請求，向上述可插拔的存儲器的驅(qū)動程序發(fā)送加密/解密指令；

在一種可選的方式中，向上述終端的tee發(fā)送加密請求以及加密/解密指令。以上三個步驟都在普通執(zhí)行環(huán)境下進行。

404、上述終端的tee接收上述加密請求；

在一種可選的方式中，上述tee接收上述加密請求以及上述加密/解密指令。

405、上述tee獲取上述終端的標識信息；

406、上述tee依據(jù)上述標識信息生成鎖密碼；

407、上述tee將上述鎖密碼發(fā)送給上述可插拔的存儲器的驅(qū)動程序；

在一種可選的方式中，上述tee將上述鎖密碼以及解密/加密指令發(fā)送給上述可插拔的存儲器的驅(qū)動程序。

408、上述驅(qū)動程序接收上述鎖密碼以及解密/加密指令，并對上述可插拔的存儲器進行加密或解密。

本發(fā)明實施例中的tee可以利用該終端的標識信息生成該鎖密碼，并利用該鎖密碼單獨對該可插拔的存儲器進行加密和解密，實現(xiàn)方式簡單、安全性高。另外，由該終端自動對該可插拔的存儲器進行加密和解密，無需用戶的操作。本發(fā)明實施例提供了另一種終端，包括：

應用控制單元501，用于確定需要對可插拔的存儲器進行加密的情況，獲取終端的標識信息，用于依據(jù)上述標識信息生成鎖密碼；

加密單元502，用于使用上述鎖密碼對上述可插拔的存儲器進行加密。

本發(fā)明實施例中的終端可實現(xiàn)對可插拔的存儲器的安全控制，具體方法與圖1中的方法相同，這里不作詳述。

在一種可選的方式中，上述應用控制單元501，具體用于確定上述終端的加密功能處于開啟狀態(tài)且上述終端有上述可插拔的存儲器的熱插拔操作的情況為需要對上述可插拔的存儲器進行加密的情況；

或者，具體用于確定上述終端的上述加密功能處于開啟狀態(tài)且檢測到上述終端的開機操作的情況為需要對上述可插拔的存儲器進行加密的情況；

或者，具體用于確定接收到對上述可插拔的存儲器進行加密的加密指令的情況為需要對上述可插拔的存儲器進行加密的情況。

本發(fā)明實施例中，終端在確定需要對可上述插拔的存儲器進行加密的時候自動對上述可插拔的存儲器進行加密，安全方便，無需用戶的操作。

在一個可選的實現(xiàn)方式中，本發(fā)明實施例提出了一種鎖密碼的生成算法，具體如下：上述應用控制單元501，具體用于將上述標識信息作為密碼因子，對上述密碼因子進行哈希運算得到哈希值，對上述哈希值進行混淆處理或者取反運算，得到上述鎖密碼。

本發(fā)明實施例中，上述終端的tee采用哈希算法依據(jù)上述標識信息得到哈希值后，再對上述哈希值進行混淆處理或者取反運算，得到鎖密碼，一方面可以保證上述鎖密碼是唯一的，另一方面保證上述鎖密碼難以解密。

在一個可選的實現(xiàn)方式中，上述終端的tee可以通過不同的方法對上述可插拔的存儲器進行加密，本發(fā)明實施例提供了一種對可插拔的存儲器進行加密的具體舉例，如下：上述應用控制單元501，具體用于選擇滿足上述鎖密碼的安全性傳輸需求的通道作為目標通道，通過上述目標通道將上述鎖密碼和加密指令發(fā)送給上述可插拔的存儲器，上述加密指令指示上述可插拔的存儲器將接收到的上述鎖密碼作為上述可插拔的存儲器的鎖密碼。

本發(fā)明實施例中，上述終端的tee選擇滿足上述鎖密碼的安全性傳輸需求的通道作為目標通道，通過上述目標通道將上述鎖密碼和加密指令發(fā)送給上述可插拔的存儲器，可以保證上述鎖密碼在傳輸過程中的安全。

在一個可選的實現(xiàn)方式中，終端的tee確定上述終端的上述加密功能處于關閉狀態(tài)后，可以清除上述終端中可插拔的存儲器存儲的鎖密碼，具體方法可以如下：上述應用控制單元501，還用于確定上述終端的上述加密功能處于關閉狀態(tài)的情況，獲取所述終端的標識信息，依據(jù)所述標識信息生成所述鎖密碼；如圖6所示，上述終端還包括：

生成單元601，用于依據(jù)生成的上述鎖密碼生成密碼清除指令；

發(fā)送單元602，用于將上述密碼清除指令發(fā)送給上述可插拔的存儲器，上述密碼清除指令指示上述可插拔的存儲器清除上述可插拔的存儲器存儲的上述鎖密碼。

本發(fā)明實施例中，當終端的加密功能關閉后，上述終端獲取上述鎖密碼，依據(jù)獲取的上述鎖密碼生成密碼清除指令，并將上述密碼清除指令發(fā)送給上述可插拔的存儲器，可以方便快捷地清除上述可插拔的存儲器所存儲的鎖密碼。

在一個可選的實現(xiàn)方式中，上述終端的tee確定需要對上述可插拔的存儲器進行解密后，可以對上述可插拔的存儲器進行解密，具體如下：上述應用控制單元501，還用于確定需要對上述可插拔的存儲器進行解密的情況，生成上述鎖密碼；如圖7所示，上述終端還包括：

解密單元701，用于使用上述鎖密碼對上述可插拔的存儲器進行解密，上述可插拔的存儲器在解密成功后可以進行讀寫操作。

本發(fā)明實施例中，終端的tee在確定需要對上述可插拔的存儲器進行解密后，對上述可插拔的存儲器進行解密，可以在用戶需要對上述可插拔的存儲器進行解密的時候自動完成解密操作，方便用戶。

本發(fā)明實施例還提供了一種終端，如圖8所示，包括：處理器801以及存儲器802；其中存儲器802可以用于處理器801執(zhí)行數(shù)據(jù)處理所需要的緩存，還可以用于提供處理器801執(zhí)行數(shù)據(jù)處理調(diào)用的數(shù)據(jù)以及獲得的結果數(shù)據(jù)的存儲空間；

其中，上述處理器801，用于確定需要對可插拔的存儲器進行加密的情況下，獲取上述終端的標識信息，依據(jù)上述標識信息生成鎖密碼；使用上述鎖密碼對上述可插拔的存儲器進行加密。

具體的實現(xiàn)方法與圖1中的方法相同，這里不作詳述。

在一個可選的實現(xiàn)方式中，本發(fā)明實施例提出了一種鎖密碼的生成算法，具體如下：上述處理器801，用于將上述標識信息作為密碼因子，對上述密碼因子進行哈希運算得到哈希值，對上述哈希值進行混淆處理或者取反運算，得到上述鎖密碼。

本發(fā)明實施例中，上述終端的tee采用哈希算法依據(jù)上述標識信息得到哈希值后，再對上述哈希值進行混淆處理或者取反運算，得到鎖密碼，一方面可以保證上述鎖密碼是唯一的，另一方面保證上述鎖密碼難以解密。

在一個可選的實現(xiàn)方式中，上述終端的tee可以通過不同的方法對上述可插拔的存儲器進行加密，本發(fā)明實施例提供了一種對可插拔的存儲器進行加密的具體舉例，如下：上述處理器801，具體用于選擇滿足上述鎖密碼的安全性傳輸需求的通道作為目標通道，通過上述目標通道將上述鎖密碼和加密指令發(fā)送給上述可插拔的存儲器，上述加密指令指示上述可插拔的存儲器將接收到的上述鎖密碼作為上述可插拔的存儲器的鎖密碼。

本發(fā)明實施例中，上述終端的tee選擇滿足上述鎖密碼的安全性傳輸需求的通道作為目標通道，通過上述目標通道將上述鎖密碼和加密指令發(fā)送給上述可插拔的存儲器，可以保證上述鎖密碼在傳輸過程中的安全。

在一個可選的實現(xiàn)方式中，終端的tee確定上述終端的上述加密功能處于關閉狀態(tài)后，可以清除上述終端中可插拔的存儲器存儲的鎖密碼，具體方法可以如下：上述處理器801，在上述使用上述鎖密碼對上述可插拔的存儲器進行加密之后，還用于確定上述終端的上述加密功能處于關閉狀態(tài)的情況下，獲取所述終端的標識信息，依據(jù)所述標識信息生成上述鎖密碼，依據(jù)生成的上述鎖密碼生成密碼清除指令，將上述密碼清除指令發(fā)送給上述可插拔的存儲器，上述密碼清除指令指示上述可插拔的存儲器清除上述可插拔的存儲器存儲的上述鎖密碼。

本發(fā)明實施例中，當終端的加密功能關閉后，上述終端生成上述鎖密碼，依據(jù)生成的上述鎖密碼生成密碼清除指令，并將上述密碼清除指令發(fā)送給上述可插拔的存儲器，可以方便快捷地清除上述可插拔的存儲器所存儲的鎖密碼。

在一個可選的實現(xiàn)方式中，上述終端的tee確定需要對上述可插拔的存儲器進行解密后，可以對上述可插拔的存儲器進行解密，具體如下：上述處理器801，在上述使用上述鎖密碼對上述可插拔的存儲器進行加密之后，還用于確定需要對上述可插拔的存儲器進行解密的情況下，生成上述鎖密碼，使用上述鎖密碼對上述可插拔的存儲器進行解密，上述可插拔的存儲器在解密成功后可以進行讀寫操作。

本發(fā)明實施例中，終端的tee在確定需要對上述可插拔的存儲器進行解密后，對上述可插拔的存儲器進行解密，可以在用戶需要對上述可插拔的存儲器進行解密的時候自動完成解密操作，方便用戶。

圖9示出的是與本發(fā)明實施例提供的終端相關的手機的部分結構的框圖。參考圖9，手機包括：射頻(radiofrequency，rf)電路910、存儲器920、輸入單元930、顯示單元940、傳感器950、音頻電路960、無線保真(wirelessfidelity，wifi)模塊970、處理器980、以及電源990等部件。本領域技術人員可以理解，圖9中示出的手機結構并不構成對手機的限定，可以包括比圖示更多或更少的部件，或者組合某些部件，或者不同的部件布置。

下面結合圖9對手機的各個構成部件進行具體的介紹：

rf電路910可用于收發(fā)信息或通話過程中，信號的接收和發(fā)送，特別地，將基站的下行信息接收后，給處理器980處理；另外，將設計上行的數(shù)據(jù)發(fā)送給基站。通常，rf電路910包括但不限于天線、至少一個放大器、收發(fā)信機、耦合器、低噪聲放大器(lownoiseamplifier，lna)、雙工器等。此外，rf電路910還可以通過無線通信與網(wǎng)絡和其他設備通信。上述無線通信可以使用任一通信標準或協(xié)議，包括但不限于全球移動通訊系統(tǒng)(globalsystemofmobilecommunication，gsm)、通用分組無線服務(generalpacketradioservice，gprs)、碼分多址(codedivisionmultipleaccess，cdma)、寬帶碼分多址(widebandcodedivisionmultipleaccess,wcdma)、長期演進(longtermevolution，lte)、電子郵件、短消息服務(shortmessagingservice，sms)等。

存儲器920可用于存儲軟件程序以及模塊，處理器980通過運行存儲在存儲器920的軟件程序以及模塊，從而執(zhí)行手機的各種功能應用以及數(shù)據(jù)處理。存儲器920可主要包括存儲程序區(qū)和存儲數(shù)據(jù)區(qū)，其中，存儲程序區(qū)可存儲操作系統(tǒng)、至少一個功能所需的應用程序(比如聲音播放功能、圖像播放功能等)等；存儲數(shù)據(jù)區(qū)可存儲根據(jù)手機的使用所創(chuàng)建的數(shù)據(jù)(比如音頻數(shù)據(jù)、電話本等)等。此外，存儲器920可以包括高速隨機存取存儲器，還可以包括非易失性存儲器，例如至少一個磁盤存儲器件、閃存器件、或其他易失性固態(tài)存儲器件。

輸入單元930可用于接收輸入的數(shù)字或字符信息，以及產(chǎn)生與手機的用戶設置以及功能控制有關的鍵信號輸入。具體地，輸入單元930可包括觸控面板931以及其他輸入設備932。觸控面板931，也稱為觸摸屏，可收集用戶在其上或附近的觸摸操作(比如用戶使用手指、觸筆等任何適合的物體或附件在觸控面板931上或在觸控面板931附近的操作)，并根據(jù)預先設定的程式驅(qū)動相應的連接裝置?？蛇x的，觸控面板931可包括觸摸檢測裝置和觸摸控制器兩個部分。其中，觸摸檢測裝置檢測用戶的觸摸方位，并檢測觸摸操作帶來的信號，將信號傳送給觸摸控制器；觸摸控制器從觸摸檢測裝置上接收觸摸信息，并將它轉(zhuǎn)換成觸點坐標，再送給處理器980，并能接收處理器980發(fā)來的命令并加以執(zhí)行。此外，可以采用電阻式、電容式、紅外線以及表面聲波等多種類型實現(xiàn)觸控面板931。除了觸控面板931，輸入單元930還可以包括其他輸入設備932。具體地，其他輸入設備932可以包括但不限于物理鍵盤、功能鍵(比如音量控制按鍵、開關按鍵等)、軌跡球、鼠標、操作桿等中的一種或多種。

顯示單元940可用于顯示由用戶輸入的信息或提供給用戶的信息以及手機的各種菜單。顯示單元940可包括顯示面板941，可選的，可以采用液晶顯示器(liquidcrystaldisplay，lcd)、有機發(fā)光二極管(organiclight-emittingdiode,oled)等形式來配置顯示面板941。進一步的，觸控面板931可覆蓋顯示面板941，當觸控面板931檢測到在其上或附近的觸摸操作后，傳送給處理器980以確定觸摸事件的類型，隨后處理器980根據(jù)觸摸事件的類型在顯示面板941上提供相應的視覺輸出。雖然在圖9中，觸控面板931與顯示面板941是作為兩個獨立的部件來實現(xiàn)手機的輸入和輸入功能，但是在某些實施例中，可以將觸控面板931與顯示面板941集成而實現(xiàn)手機的輸入和輸出功能。

手機還可包括至少一種傳感器950，比如光傳感器、運動傳感器以及其他傳感器。具體地，光傳感器可包括環(huán)境光傳感器及接近傳感器，其中，環(huán)境光傳感器可根據(jù)環(huán)境光線的明暗來調(diào)節(jié)顯示面板941的亮度，接近傳感器可在手機移動到耳邊時，關閉顯示面板941和/或背光。作為運動傳感器的一種，加速計傳感器可檢測各個方向上(一般為三軸)加速度的大小，靜止時可檢測出重力的大小及方向，可用于識別手機姿態(tài)的應用(比如橫豎屏切換、相關游戲、磁力計姿態(tài)校準)、振動識別相關功能(比如計步器、敲擊)等；至于手機還可配置的陀螺儀、氣壓計、濕度計、溫度計、紅外線傳感器等其他傳感器，在此不再贅述。

音頻電路960、揚聲器961，傳聲器962可提供用戶與手機之間的音頻接口。音頻電路960可將接收到的音頻數(shù)據(jù)轉(zhuǎn)換后的電信號，傳輸?shù)綋P聲器961，由揚聲器961轉(zhuǎn)換為聲音信號輸出；另一方面，傳聲器962將收集的聲音信號轉(zhuǎn)換為電信號，由音頻電路960接收后轉(zhuǎn)換為音頻數(shù)據(jù)，再將音頻數(shù)據(jù)輸出處理器980處理后，經(jīng)rf電路910以發(fā)送給比如另一手機，或者將音頻數(shù)據(jù)輸出至存儲器920以便進一步處理。

wifi屬于短距離無線傳輸技術，手機通過wifi模塊970可以幫助用戶收發(fā)電子郵件、瀏覽網(wǎng)頁和訪問流式媒體等，它為用戶提供了無線的寬帶互聯(lián)網(wǎng)訪問。雖然圖9示出了wifi模塊970，但是可以理解的是，其并不屬于手機的必須構成，完全可以根據(jù)需要在不改變發(fā)明的本質(zhì)的范圍內(nèi)而省略。

處理器980是手機的控制中心，利用各種接口和線路連接整個手機的各個部分，通過運行或執(zhí)行存儲在存儲器920內(nèi)的軟件程序和/或模塊，以及調(diào)用存儲在存儲器920內(nèi)的數(shù)據(jù)，執(zhí)行手機的各種功能和處理數(shù)據(jù)，從而對手機進行整體監(jiān)控?？蛇x的，處理器980可包括一個或多個處理單元；優(yōu)選的，處理器980可集成應用處理器和調(diào)制解調(diào)處理器，其中，應用處理器主要處理操作系統(tǒng)、用戶界面和應用程序等，調(diào)制解調(diào)處理器主要處理無線通信。可以理解的是，上述調(diào)制解調(diào)處理器也可以不集成到處理器980中。

手機還包括給各個部件供電的電源990(比如電池)，優(yōu)選的，電源可以通過電源管理系統(tǒng)與處理器980邏輯相連，從而通過電源管理系統(tǒng)實現(xiàn)管理充電、放電、以及功耗管理等功能。

盡管未示出，手機還可以包括攝像頭、藍牙模塊等，在此不再贅述。

另外，本領域普通技術人員可以理解實現(xiàn)上述各方法實施例中的全部或部分步驟是可以通過程序來指令相關的硬件完成，相應的程序可以存儲于一種計算機可讀存儲介質(zhì)中，上述提到的存儲介質(zhì)可以是只讀存儲器，磁盤或光盤等。

本發(fā)明實施例方法中的步驟可以根據(jù)實際需要進行順序調(diào)整、合并和刪減。

本發(fā)明實施例終端中的單元可以根據(jù)實際需要進行合并、劃分和刪減。

以上僅為本發(fā)明較佳的具體實施方式，但本發(fā)明的保護范圍并不局限于此，任何熟悉本技術領域的技術人員在本發(fā)明實施例揭露的技術范圍內(nèi)，可輕易想到的變化或替換，都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此，本發(fā)明的保護范圍應該以權利要求的保護范圍為準。