CN109040147A - 一种基于tee+se的加解密的方法和*** - Google Patents
一种基于tee+se的加解密的方法和*** Download PDFInfo
- Publication number
- CN109040147A CN109040147A CN201811280683.5A CN201811280683A CN109040147A CN 109040147 A CN109040147 A CN 109040147A CN 201811280683 A CN201811280683 A CN 201811280683A CN 109040147 A CN109040147 A CN 109040147A
- Authority
- CN
- China
- Prior art keywords
- security module
- data
- channel
- instruction
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种基于TEE+SE的加解密的方法和***,所述方法包括以下步骤:SE安全模块接收来自第一通道或者第二通道的指令和数据,并对通道来源进行标号S1,其中,所述第一通道是连接于TEE安全单元和所述SE安全模块之间,所述第二通道是连接于富OS单元和所述SE安全模块之间;所述SE安全模块获取标号,以获取来源信息S2;所述SE安全模块处理不同来源的所述指令和数据并区分权限S3。本发明的技术方案能够显著降低对称加解密计算过程的延迟、提升数据吞吐量、提高了处理速度和性能,同时没有降低密码***的整体安全性。
Description
技术领域
本发明涉及信息安全领域,更具体地,涉及一种基于TEE+SE的加解密的技术领域。
背景技术
SE是具有独立硬件逻辑电路的安全模块,有明确的物理安全边界。SE具有加密存储密码敏感安全参数、执行核准的密码算法等功能。
在实际应用中,除了SE作为密码模块本身的安全性,SE的外部运行环境安全也是密码***整体安全中的重要一环。在基于TEE+SE的移动智能终端密码安全解决方案中,TEE能够提供一个受限的外部运行环境以及敏感安全参数的输入输出可信信道,有效的增强了密码应用***的整体安全性。
基于TEE+SE的移动智能终端,其典型运行环境如图1所示。如图1所示,富OS与TEE相连,TEE与SE相连。仅从数据流的视角看,富OS,例如Android,中的应用需要访问密码服务时,先向运行在TEE中的TA发送密码服务请求命令,TA再向运行在SE中的安全应用Applet发送密码服务请求命令;Applet将请求结果返回给TA,TA再将请求结果返回给应用程序。
一次典型的数据加解密过程如图2所示。如图2所示,APP发送会话密钥密文至TEE中的TA,SE中的Applet从TA中接收会话密钥密文并通过私钥解密会话密钥,并将执行结果返回至TA,TA再将所述执行结果返回至APP,从而完成了一次会话密钥导入的过程;所述APP发送明文数据至TA,通过TA转发至SE,所述SE用会话密钥加密数据,并将加密结果返回至TA,TA再将加密结果返回至APP,从而完成一次数据加密的过程,解密的过程与加密的过程对称。
但是在一些要求高吞吐、低延迟、大数据量的对称加解密应用场景中,例如音视频通话、直播、广播、大文件传输等,上述计算过程具有延迟高、处理速度慢、吞吐量低等缺点。
申请号为201610603214.7,发明名称为“一种TA和SE的交互方法、TA、SE及TSM平台”的中国专利申请描述了一种TA和SE的交互方法、TA、SE及TSM平台,涉及通信技术领域,用于提高对全终端SIM盾进行处理的过程中的安全性。该交互方法包括:TA将存储于TEE中的敏感数据编译成第一APDU指令;SE对接收到的第一APDU指令进行解析;SE对解析得到的敏感数据进行处理;SE对处理后的敏感数据进行加密;SE将加密后的敏感数据编译成第二APDU指令;TA对接收到的第二APDU指令进行解析;TSM平台对接收到的加密后的敏感数据进行解析。
该方案公开了TEE与SE之间的交互,但是没有公开富OS与SE之间的交互。
发明内容
本发明的目的在于克服现有技术中TEE+SE在对称加解密应用环境中延迟高、处理速度慢等缺陷,提供了一种基于TEE+SE的加解密的方法和***。
根据本发明的第一方面,提供一种基于TEE+SE的加解密的方法,包括以下步骤:SE安全模块接收来自第一通道或者第二通道的指令和数据,并对通道来源进行标号S1,其中,所述第一通道是连接于TEE安全单元和所述SE安全模块之间,所述第二通道是连接于富OS单元和所述SE安全模块之间;所述SE安全模块获取标号,以获取来源信息S2;所述SE安全模块处理不同来源的所述指令和数据并区分权限S3。
可选地,所述步骤S1中包括,所述第一通道通过第一连接将指令和数据传输至所述SE安全模块;所述第二通道通过第二连接将指令和数据传输至所述SE安全模块;所述第一连接和所述第二连接是不同的物理连接或者不同的逻辑连接。
可选地,所述SE安全模块对所述第一连接和所述第二连接进行标号,以区分所述第一通道和所述第二通道。
可选地,所述步骤S3包括,对于来自所述第一通道的所述指令和数据,所述SE安全模块提供所有密码服务功能;对于来自所述第二通道的所述指令和数据,所述SE安全模块仅提供对称加密、对称解密的密码服务功能。
可选地,所述步骤S3中还包括,所述SE安全模块处理不同来源的所述指令和数据前,检查所述指令和数据的来源信息。
根据本发明的第二方面,提供一种基于TEE+SE的加解密的***,包括,应用处理器和SE安全模块,其中,所述应用处理器包括富OS单元和TEE安全单元,所述TEE安全单元与所述富OS单元相连,并与所述SE安全模块通过第一通道相连;所述富OS单元与所述SE安全模块通过第二通道相连;所述SE安全模块配置为:接收来自所述第一通道或者所述第二通道的指令和数据,并对通道来源进行标号;获取标号,以获取来源信息;处理不同来源的所述指令和数据并区分权限。
可选地,所述SE安全模块包括SE平台和安全应用Applet,所述SE平台配置为,接收来自所述第一通道或者所述第二通道的指令和数据,并对通道来源进行标号;所述安全应用Applet配置为,从所述SE平台获取标号,以获取来源信息;所述安全应用Applet还配置为,处理不同来源的所述指令和数据并区分权限。
可选地,所述第一通道通过第一连接将指令和数据传输至SE安全模块;所述第二通道通过第二连接将指令和数据传输至SE安全模块;所述第一连接和所述第二连接是不同的物理连接或者不同的逻辑连接。
可选地,所述SE安全模块配置为,对所述第一连接和所述第二连接进行标号,以区分所述第一通道和所述第二通道。
可选地,所述SE安全模块配置为,处理不同来源的所述指令和数据并区分权限包括:对于来自所述第一通道的所述指令和数据,向所述TEE安全单元提供所有密码服务功能;对于来自所述第二通道的所述指令和数据,向所述富OS单元仅提供对称加密、对称解密的密码服务功能。
可选地,所述SE安全模块还配置为,在处理不同来源的所述指令和数据前,检查所述指令和数据的来源信息。
本发明技术方案优点如下:
1)本发明的技术方案通过增加富OS单元和所述SE安全模块之间的第二通道,实现加解密数据在富OS单元和所述SE安全模块之间的直接交换,减少了因TEE中转增加的延迟,从而能够显著降低计算过程的延迟、提升数据吞吐量、提高了计算过程的处理速度和性能;
2)本发明的技术方案的第二通道仅提供对称加解密功能,不允许提供其他密码服务功能,TEE作为SE外部运行环境可信信道的安全性没有降低,因此整个密码***的整体安全性并没有降低。
附图说明
图1示出了背景技术中TEE+SE的加解密的***的示意图。
图2示出了背景技术中TEE+SE的加解密的***的数据流程图。
图3示出了根据本发明的一种基于TEE+SE的加解密的***的示意图。
图4示出了根据本发明的SE安全模块的一种实施方式示意图。
图5示出了根据本发明的基于TEE+SE的加解密的***的计算过程流程图。
图6示出了根据本发明的一种基于TEE+SE的加解密的方法的示意图。
具体实施方式
下面结合附图对本发明的较佳实施例进行详细阐述,参考标号是指本发明中的组件、技术,以便本发明的优点和特征在适合的环境下实现能更易于被理解。下面的描述是对本发明权利要求的具体化,并且与权利要求相关的其它没有明确说明的具体实现也属于权利要求的范围。同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
下面结合附图对本发明的技术方案进行具体说明。
图3示出了根据本发明的一种基于TEE+SE的加解密的***的示意图。
如图3所示,提供了一种基于TEE+SE的加解密的***,包括,应用处理器310和SE安全模块320,其中,所述应用处理器310包括富OS单元311和TEE安全单元312,所述TEE安全单元312与所述富OS单元311相连,并与所述SE安全模块320通过第一通道相连;所述富OS单元311与所述SE安全模块320通过第二通道相连;所述SE安全模块320配置为:接收来自第一通道或者第二通道的指令和数据,并对通道来源进行标号;获取标号,以获取来源信息;处理不同来源的所述指令和数据并区分权限。
所述SE安全模块320是具有独立硬件逻辑电路的安全模块,有明确的物理安全边界。SE具有加密存储密码敏感安全参数、执行核准的密码算法等功能。所述富OS单元311可以是一种操作***,例如Android操作***。所述TEE安全单元312是驻留在移动智能终端的应用处理器上的安全区域,提供与设备上的所述富OS单元311并存的运行环境,并且向所述富OS单元311提供例如敏感数据的安全存储、核准的密码算法、可信用户界面等安全服务。
所述第一通道是连接于所述TEE安全单元312和所述SE安全模块320之间的可信信道;所述第二通道是连接于所述富OS311单元和所述SE安全模块320之间的非可信信道。例如富OS中的应用需要访问密码服务时,可以向TEE中的TA发送密码服务请求命令,TA通过第一通道再向SE中发送密码服务请求命令,SE将请求结果返回给TA,TA再将请求结果返回至富OS中的应用程序。富OS中的应用需要访问密码服务时,也可以直接通过第二通道向运行在SE中的Applet发送密码服务请求命令,Applet直接将请求结果返回至富OS中。本发明的技术方案的第二通道,实现了加解密数据在所述富OS单元311和所述SE安全模块320之间的直接数据交换,减少了因所述TEE安全单元312中转增加的延迟,从而能够显著降低计算过程的延迟、提升数据吞吐量、提高了计算过程的处理速度和性能。
所述标号适用于区分所述第一通道和所述第二通道这两种来源,可以为两个,即所述第一通道和所述第二通道各自有一个不同于彼此的标号,便于区分。即每一个标号代表一个来源,有多少个来源就需要有多少个标号。
所述SE安全模块320通过获取标号,可以获取到与所述标号相对应的来源信息,即通过获取标号来识别第一通道或者第二通道。
所述SE安全模块320通过识别标号,可以识别出所述指令和数据是来源于第一通道或者是第二通道,从而可以对不同来源的所述指令和数据进行不同处理,即可以进行有区别的密码服务功能。
所述SE安全模块320可以包括多种结构,例如所述SE安全模块320整体就是一个应用,也可以根据实现的不同功能包括不同的功能区域。
可选地,所述SE安全模块320可以包括SE平台和安全应用Applet,所述SE平台配置为,接收来自第一通道或者第二通道的指令和数据,并对通道来源进行标号;所述安全应用Applet配置为,从所述SE平台获取标号,以获取来源信息;所述安全应用Applet还配置为,处理不同来源的所述指令和数据并区分权限。
所述SE还可以是其他结构,不限于SE平台+Applet的结构模式。根据本发明的一种实施方式,所述SE平台接收来自第一通道或者第二通道的指令和数据,可以对通道来源进行标号,同时可以对所述指令和数据标识其来源。所述安全应用Applet可以从所述SE平台获取所述标号,以获取到与所述标号相对应的通道来源信息。所述安全应用Applet从所述SE平台接收所述指令和数据时,预先对其来源标号进行检查和识别,判断出所述指令和数据来源于哪一个通道,然后对所述命令和数据进行相应的处理。
可选地,所述第一通道通过第一连接将指令和数据传输至SE安全模块320;所述第二通道通过第二连接将指令和数据传输至SE安全模块320;所述第一连接和所述第二连接是不同的物理连接或者不同的逻辑连接。
所述第一连接和所述第二连接可以是两个不同的物理连接,可以是两个不同的逻辑连接,可以是使用同一个物理连接但是具有不同的两个逻辑连接。以上为举例说明所述第一连接和所述第二连接是不同的物理连接或者不同的逻辑连接,可以不限于上述情况。
所述物理连接包括但不限于数据总线、芯片引脚、外设接口、非接触式天线等连接方式。
所述逻辑连接包括但不限于遵循特定通讯协议的连接机制、通过加密保护的数据流等通讯方式。
可选地,所述SE安全模块320配置为,对所述第一连接和所述第二连接进行标号,以区分所述第一通道和所述第二通道。
所述SE安全模块320对所述第一连接和所述第二连接进行区分,并对所述第一连接和所述第二连接进行标号。所述标号可以包括两个不同的标号,即一个标号代表一个来源。
可选地,所述SE安全模块320配置为,处理不同来源的所述指令和数据并区分权限包括:对于来自第一通道的所述指令和数据,向TEE安全单元312提供所有密码服务功能;对于来自第二通道的所述指令和数据,向富OS单元311仅提供对称加密、对称解密的密码服务功能。
由于第一通道为可信信道,因此对于来自于所述第一通道的指令和数据,所述SE安全模块320可以提供全部的密码服务功能。由于所述第二通道为非可信信道,因此所述SE安全模块320对于来自于所述第二通道的指令和数据,仅允许执行有限的密码服务功能,即对称加密和对称解密的密码服务功能,而且不允许执行其他任何密码服务功能。
所述SE安全模块320通过这样的配置,能够针对不同来源的命令和数据提供有区别且严格限制的密码服务功能。这样所述TEE安全单元312作为所述SE安全模块320外部运行环境可信信道的安全性没有降低,因此整个密码***的整体安全性并没有降低。
本发明的技术方案这样的设置可以在对称加解密时降低延迟、提升数据吞吐量、提高处理速度的同时,又没有降低整个密码***的安全性。
可选地,所述SE安全模块320还配置为,在处理不同来源的所述指令和数据前,检查所述指令和数据的来源信息。
所述SE安全模块320接收所述指令和数据时,预先对其来源标号进行检查和识别,判断出所述指令和数据来源于哪一个通道,然后对所述命令和数据进行相应的处理。
图4示出了根据本发明的SE安全模块的一种实施方式示意图。
下面结合图4对本发明的技术方案的一种实施方式进行具体说明。这只是实现本发明的技术方案的一种方式,可以包括但不限于该方式。
如图4所示,所述SE安全模块可以包括SE平台和安全应用Applet,所述SE平台包括HAL层、SE平台环境、SE平台API。SE平台+Applet的结构只是SE的一种,本发明不限于特定的SE结构,仅以此结构作为一种实施方式举例对本发明的技术方案进行说明。
所述HAL层接收来自第一通道或者第二通道的指令和数据,可以对通道来源进行标号,每一个标号代表一个来源,同时可以对所述指令和数据标识其来源。所述SE平台环境从所述HAL层接收到标号后,可以输送至SE平台API,提供通用接口API函数,使所述安全应用Applet可以通过从SE平台API的API函数获取所述标号,以获取到与所述标号相对应的通道来源信息。所述安全应用Applet从所述SE平台接收所述指令和数据时,预先对其来源标号进行检查和识别,判断出所述指令和数据来源于哪一个通道,然后对所述命令和数据进行相应的处理。所述相应的处理是指针对不同来源命令和数据,提供有区别且严格限制的密码服务功能。例如,对于来自第一通道的所述指令和数据,向TEE安全单元提供所有密码服务功能;对于来自第二通道的所述指令和数据,向富OS仅提供对称加密、对称解密的密码服务功能。
图5示出了根据本发明的基于TEE+SE的加解密的***的计算过程流程图。
根据本发明的一个实施方式,如图5所示,SDK是一种可以在富OS单元中的软件开发工具包,下面以SDK为例进行说明,而不是对本发明的技术方案的限定,还可以是例如APP等富OS中的应用。会话密钥导入的过程如下,所述SDK发送会话密钥密文至TEE安全单元中的TA,SE安全模块的安全应用Applet导入所述会话密钥,并通过私钥解密会话密钥,然后发送执行结果至TEE中的密码应用TA,TA再将所述执行结果返回至所述SDK。当在对称加解密运算环境中,SDK直接发送明文数据至SE中的Applet,所述Applet直接将数据密文返回至所述SDK。加解密过程是对称的。这样就实现了加解密数据在富OS和SE之间的直接数据交换,减少了因TEE中转增加的延迟,提高了计算过程的处理速度和性能。
图6示出了根据本发明的一种基于TEE+SE的加解密的方法的示意图。
如图6所示,提供一种基于TEE+SE的加解密的方法,包括以下步骤:
SE安全模块接收来自第一通道或者第二通道的指令和数据,并对通道来源进行标号S1,其中,所述第一通道是连接于TEE安全单元和所述SE安全模块之间,所述第二通道是连接于富OS单元和所述SE安全模块之间;所述SE安全模块获取标号,以获取来源信息S2;所述SE安全模块处理不同来源的所述指令和数据并区分权限S3。
可选地,所述步骤S1中包括,所述第一通道通过第一连接将指令和数据传输至所述SE安全模块;所述第二通道通过第二连接将指令和数据传输至所述SE安全模块;所述第一连接和所述第二连接是不同的物理连接或者不同的逻辑连接。
可选地,所述SE安全模块对所述第一连接和所述第二连接进行标号,以区分所述第一通道和所述第二通道。
可选地,所述步骤S3包括,对于来自第一通道的所述指令和数据,所述SE安全模块提供所有密码服务功能;对于来自第二通道的所述指令和数据,所述SE安全模块仅提供对称加密、对称解密的密码服务功能。
可选地,所述步骤S3中还包括,所述SE安全模块处理不同来源的所述指令和数据前,检查所述指令和数据的来源信息。
本发明的方法在上文中已经结合***进行了详细的描述和解释,这里将不再赘述。
本发明技术方案优点如下:
1)本发明的技术方案通过增加富OS单元和所述SE安全模块之间的第二通道,实现加解密数据在富OS单元和所述SE安全模块之间的直接交换,减少了因TEE中转增加的延迟,从而能够显著降低计算过程的延迟、提升数据吞吐量、提高了计算过程的处理速度和性能;
2)本发明的技术方案的第二通道仅提供对称加解密功能,不允许提供其他密码服务功能,TEE作为SE外部运行环境可信信道的安全性没有降低,因此整个密码***的整体安全性并没有降低。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
应该注意的是,上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。
Claims (11)
1.一种基于TEE+SE的加解密的方法,包括以下步骤:
SE安全模块接收来自第一通道或者第二通道的指令和数据,并对通道来源进行标号(S1),其中,
所述第一通道是连接于TEE安全单元和所述SE安全模块之间,
所述第二通道是连接于富OS单元和所述SE安全模块之间;
所述SE安全模块获取标号,以获取来源信息(S2);
所述SE安全模块处理不同来源的所述指令和数据并区分权限(S3)。
2.根据权利要求1所述的方法,所述步骤(S1)中包括,
所述第一通道通过第一连接将指令和数据传输至所述SE安全模块;
所述第二通道通过第二连接将指令和数据传输至所述SE安全模块;
所述第一连接和所述第二连接是不同的物理连接或者不同的逻辑连接。
3.根据权利要求2所述的方法,还包括,
所述SE安全模块对所述第一连接和所述第二连接进行标号,以区分所述第一通道和所述第二通道。
4.根据权利要求1所述的方法,其中,所述步骤(S3)包括,
对于来自所述第一通道的所述指令和数据,所述SE安全模块提供所有密码服务功能;
对于来自所述第二通道的所述指令和数据,所述SE安全模块仅提供对称加密、对称解密的密码服务功能。
5.根据权利要求1所述的方法,其中,所述步骤(S3)中还包括,
所述SE安全模块处理不同来源的所述指令和数据前,检查所述指令和数据的来源信息。
6.一种基于TEE+SE的加解密的***,包括,应用处理器和SE安全模块,其中,所述应用处理器包括富OS单元和TEE安全单元,
所述TEE安全单元与所述富OS单元相连,并与所述SE安全模块通过第一通道相连;
所述富OS单元与所述SE安全模块通过第二通道相连;
所述SE安全模块配置为:
接收来自所述第一通道或者所述第二通道的指令和数据,并对通道来源进行标号;
获取标号,以获取来源信息;
处理不同来源的所述指令和数据并区分权限。
7.根据权利要求6所述的***,其中,所述SE安全模块包括SE平台和安全应用Applet,
所述SE平台配置为,接收来自所述第一通道或者所述第二通道的指令和数据,并对通道来源进行标号;
所述安全应用Applet配置为,从所述SE平台获取标号,以获取来源信息;
所述安全应用Applet还配置为,处理不同来源的所述指令和数据并区分权限。
8.根据权利要求6所述的***,包括,
所述第一通道通过第一连接将指令和数据传输至SE安全模块;
所述第二通道通过第二连接将指令和数据传输至SE安全模块;
所述第一连接和所述第二连接是不同的物理连接或者不同的逻辑连接。
9.根据权利要求8所述的***,包括,
所述SE安全模块配置为,对所述第一连接和所述第二连接进行标号,以区分所述第一通道和所述第二通道。
10.根据权利要求6所述的***,其中,
所述SE安全模块配置为,处理不同来源的所述指令和数据并区分权限包括:
对于来自所述第一通道的所述指令和数据,向所述TEE安全单元提供所有密码服务功能;
对于来自所述第二通道的所述指令和数据,向所述富OS单元仅提供对称加密、对称解密的密码服务功能。
11.根据权利要求6所述的***,其中,
所述SE安全模块还配置为,在处理不同来源的所述指令和数据前,检查所述指令和数据的来源信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811280683.5A CN109040147B (zh) | 2018-10-30 | 2018-10-30 | 一种基于tee+se的加解密的方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811280683.5A CN109040147B (zh) | 2018-10-30 | 2018-10-30 | 一种基于tee+se的加解密的方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109040147A true CN109040147A (zh) | 2018-12-18 |
| CN109040147B CN109040147B (zh) | 2023-08-15 |
Family
ID=64614551
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811280683.5A Active CN109040147B (zh) | 2018-10-30 | 2018-10-30 | 一种基于tee+se的加解密的方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109040147B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111177701A (zh) * | 2019-12-11 | 2020-05-19 | 北京握奇智能科技有限公司 | 基于可信执行环境和安全芯片的密码功能服务实现方法和设备 |
| EP3879783A4 (en) * | 2019-02-26 | 2021-12-22 | Advanced New Technologies Co., Ltd. | DATA SECURITY PROCESSING PROCESS AND DEVICE FOR IT AS WELL AS SERVER |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104899506A (zh) * | 2015-05-08 | 2015-09-09 | 深圳市雪球科技有限公司 | 基于可信执行环境中虚拟安全元件的安全***实现方法 |
| CN106547633A (zh) * | 2016-10-19 | 2017-03-29 | 沈阳微可信科技有限公司 | 多通道通信***和电子设备 |
| CN106650461A (zh) * | 2016-11-23 | 2017-05-10 | 北京握奇智能科技有限公司 | 移动终端和基于该移动终端的嵌入式安全模块的访问方法 |
-
2018
- 2018-10-30 CN CN201811280683.5A patent/CN109040147B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104899506A (zh) * | 2015-05-08 | 2015-09-09 | 深圳市雪球科技有限公司 | 基于可信执行环境中虚拟安全元件的安全***实现方法 |
| CN106547633A (zh) * | 2016-10-19 | 2017-03-29 | 沈阳微可信科技有限公司 | 多通道通信***和电子设备 |
| CN106650461A (zh) * | 2016-11-23 | 2017-05-10 | 北京握奇智能科技有限公司 | 移动终端和基于该移动终端的嵌入式安全模块的访问方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3879783A4 (en) * | 2019-02-26 | 2021-12-22 | Advanced New Technologies Co., Ltd. | DATA SECURITY PROCESSING PROCESS AND DEVICE FOR IT AS WELL AS SERVER |
| US11251976B2 (en) | 2019-02-26 | 2022-02-15 | Advanced New Technologies Co., Ltd. | Data security processing method and terminal thereof, and server |
| CN111177701A (zh) * | 2019-12-11 | 2020-05-19 | 北京握奇智能科技有限公司 | 基于可信执行环境和安全芯片的密码功能服务实现方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109040147B (zh) | 2023-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107342858B (zh) | 一种基于可信环境的智能合约保护方法和*** | |
| US20170302646A1 (en) | Identity authentication method and apparatus | |
| CN103546289B (zh) | 一种基于USBKey的安全传输数据的方法及*** | |
| CN111431719A (zh) | 一种移动终端密码保护模块、移动终端及密码保护方法 | |
| CN103401678A (zh) | 一种保障物联网数据传输安全的方法 | |
| CN101834840A (zh) | 具有业务可视性的用于端到端网络安全性的高效密钥推导 | |
| CN103218549A (zh) | 一种Java源代码加解密的方法及装置 | |
| JP2014527787A (ja) | 指紋情報による認証を行う通信方法 | |
| CN108288004A (zh) | 一种加密芯片在ree和tee环境共存***及方法 | |
| CN106603240B (zh) | 基于云的低成本射频识别ntru的认证方法 | |
| CN107634946A (zh) | 一种微服务节点合法性验证方法和装置 | |
| CN103117851A (zh) | 一种公钥机制实现防篡改防抵赖的加密控制方法及装置 | |
| CN105848145A (zh) | 一种wifi智能配置方法和装置 | |
| CN105141625A (zh) | 基于密码隔离方式的安全移动智能终端及其实现的方法 | |
| CN109040147A (zh) | 一种基于tee+se的加解密的方法和*** | |
| CN112231309A (zh) | 纵向联邦数据统计的去重方法、装置、终端设备及介质 | |
| CN112788001A (zh) | 一种基于数据加密的数据处理业务处理方法、装置及设备 | |
| CN106685897A (zh) | 一种安全输入方法、装置和*** | |
| CN105515757B (zh) | 基于可信执行环境的安全性信息交互设备 | |
| CN103458401B (zh) | 一种语音加密通信***及通信方法 | |
| CN101515853B (zh) | 信息终端及其信息安全装置 | |
| CN105281901A (zh) | 一种云租户关键信息的加密方法 | |
| CN107979608A (zh) | 一种接口可配置的数据加解密传输***及传输方法 | |
| Wang et al. | Research and Implementation of Hybrid Encryption System Based on SM2 and SM4 Algorithm | |
| CN103873270B (zh) | 智慧型电表基础建设网络***及其消息广播方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |