CN109831775B - 一种处理器、基带芯片以及sim卡信息传输方法 - Google Patents
一种处理器、基带芯片以及sim卡信息传输方法 Download PDFInfo
- Publication number
- CN109831775B CN109831775B CN201910107353.4A CN201910107353A CN109831775B CN 109831775 B CN109831775 B CN 109831775B CN 201910107353 A CN201910107353 A CN 201910107353A CN 109831775 B CN109831775 B CN 109831775B
- Authority
- CN
- China
- Prior art keywords
- sim card
- card information
- execution environment
- processor
- trusted execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Telephone Function (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种处理器、基带芯片以及SIM卡信息传输方法,以实现SIM卡信息在相互独立的处理器以及基带芯片之间安全传输。该处理器包括:第一获取单元,用于在可信任执行环境下,获取第一SIM卡信息;保护单元,用于当第一SIM卡信息为加密的虚拟SIM卡信息时,在可信任执行环境下,对加密的虚拟SIM卡信息以及加密的虚拟SIM卡信息对应的密钥进行安全保护处理,得到第二SIM卡信息;当第一SIM卡信息为明文的虚拟SIM卡信息时,在可信任执行环境下,对明文的虚拟SIM卡信息进行安全保护处理,得到第二SIM卡信息;通信接口,用于在可信任执行环境下或者普通执行环境下,将第二SIM卡信息发送给基带芯片。
Description
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种处理器、基带芯片以及SIM卡信息传输方法。
背景技术
目前,移动终端的大多数通信功能都需要依赖实体用户身份识别模块(subscriber identification module,SIM)实现。但是,在SIM卡所属运营商网络质量不好时或者移动终端漫游到SIM卡所属运营商无法提供服务的地方时,用户通常需要更换其它运营商的SIM卡,进而通过新的运营商网络进行通信业务,降低了使用便捷性,用户体验较差。
为了方便用户在不更换SIM卡的基础上,根据实际需求通过不同的运营商进行通信业务,虚拟SIM卡应运而生,移动终端可以通过虚拟SIM卡进行通信业务,与实体SIM卡相比,其具有成本低、更方便以及更快捷等优点。但是,现有技术中只有针对应用处理器(application processor,AP)与调制解调器(modem)集成在一个芯片上时,该芯片从运营商服务器获取虚拟SIM卡信息的解决方案,而针对AP芯片与modem芯片独立存在的场景,虚拟SIM卡的信息在AP芯片与modem芯片之间传输时,需要保障虚拟SIM卡的信息的传输安全,目前还没有相应的解决方案。
发明内容
本申请实施例提供一种处理器、基带芯片以及SIM卡信息传输方法,用以实现SIM卡信息在相互独立的处理器以及基带芯片之间安全传输。
第一方面,本申请提供了一种处理器,该处理器包括:第一获取单元、保护单元以及通信接口。其中,第一获取单元,用于在可信任执行环境下,获取第一用户身份识别模块SIM卡信息;保护单元,用于当该第一SIM卡信息为加密的虚拟SIM卡信息时,在可信任执行环境下,对加密的虚拟SIM卡信息以及该加密的虚拟SIM卡信息对应的密钥进行安全保护处理,得到第二SIM卡信息;当该第一SIM卡信息为明文的虚拟SIM卡信息时,在可信任执行环境下,对明文的虚拟SIM卡信息进行安全保护处理,得到第二SIM卡信息;以及,通信接口,用于在可信任执行环境下或者普通执行环境下,将该第二SIM卡信息发送给基带芯片。
通过上述方案,处理器中的保护单元能够在可信任执行环境下,对第一获取单元获取到的虚拟SIM卡信息进行安全保护处理,通过通信接口将安全保护后的虚拟SIM卡信息传输给基带芯片,使得第一获取单元获取到的虚拟SIM卡信息能够安全传输到基带芯片,进而能够实现虚拟SIM卡信息在处理器与基带芯片之间安全传输。并且,处理器中的第一获取单元以及保护单元在可信任执行环境下处理虚拟SIM卡信息,由于可信任执行环境安全性较高,能够保证虚拟SIM卡信息的安全性,可以进一步提高虚拟SIM卡信息在处理器200与基带芯片之间传输时的安全性。
一个可能的实施方式中,当第一获取单元获取到的第一SIM卡信息为所述加密的虚拟SIM卡信息时,处理器还可以包括第二获取单元,用于在第一获取单元获取第一SIM卡信息之前,在普通执行环境下,从网络运营商的服务器获取加密的虚拟SIM卡信息。此时,第一获取单元具体用于:在可信任执行环境下,从第二获取单元获取加密的虚拟SIM卡信息。
一个可能的实施方式中,处理器还可以包括安全存储单元,用于在第二获取单元获取加密的虚拟卡信息之后,在可信任执行环境下或普通执行环境下,保存加密的虚拟SIM卡信息,使得第一获取单元后续可以直接从安全存储单元获取加密的虚拟SIM卡信息,不需再次从网络运营商的服务器获取。
一个可能的实施方式中,当第一获取单元获取到的第一SIM卡信息为明文的虚拟SIM卡信息时,处理器还可以包括第二获取单元以及解密单元。其中,第二获取单元,用于在普通执行环境下,从网络运营商的服务器获取加密的虚拟SIM卡信息;解密单元,用于在可信任执行环境下,对加密的虚拟SIM卡信息进行解密,得到明文的SIM卡信息。
一个可能的实施方式中,处理器还可以包括安全存储单元,用于在解密单元将加密的虚拟SIM卡信息解密为明文的虚拟SIM卡信息之后,在可信任执行环境下,保存明文的虚拟SIM卡信息。第一获取单元具体用于:在可信任执行环境下,从该解密单元或从该安全存储单元获取明文的虚拟SIM卡信息,进而使得第一获取单元后续可以直接从该安全存储单元获取加密的虚拟SIM卡信息,不需再次从网络运营商的服务器获取。
一个可能的实施方式中,保护单元具体可以通过但不限于以下两种方式,实现对第一获取单元获取到的第一SIM卡信息进行安全保护处理:
i、当第一SIM卡信息为加密的虚拟SIM卡信息时,保护单元用于在可信任执行环境下,对第一SIM卡信息以及第一SIM卡信息对应的密钥进行加密,得到第二SIM卡信息,或者,对第一SIM卡信息以及第一SIM卡信息对应的密钥进行加密以及完整性保护,得到第二SIM卡信息。
ii、当第一SIM卡信息为明文的虚拟SIM卡信息时,保护单元用于在可信任执行环境下,对第一SIM卡信息进行加密,得到第二SIM卡信息,或者,对第一SIM卡信息进行加密以及完整性保护,得到第二SIM卡信息。
一个可能的实施方式中,保护单元可以通过软件加密引擎或者硬件加密引擎,对第一SIM卡信息以及第一SIM卡信息对应的密钥进行加密,或者对第一SIM卡信息进行加密。在业务流量较大的场景下,保护单元通常通过硬件加密引擎进行加密,加密时所使用的密钥可以预先烧写在硬件加密引擎中。其中,保护单元加密时使用的加密算可以是对称加密算法,例如高级加密标准AES算法或数据加密标准DES算法等,也可以是非对称加密算法,如RSA加密算法。
一个可能的实施方式中,当通信接口在普通执行环境下将第二SIM卡信息发送给基带芯片时,处理器还包括:第三获取单元,用于在普通执行环境下从保护单元获取第二SIM卡信息。此时,通信接口具体用于:在普通执行环境下,将第三获取单元获取的第二SIM卡信息发送给基带芯片。
一个可能的实施方式中,处理器还包括封装单元,用于在通信接口将第二SIM卡信息发送给基带芯片之前,按照设定的核间通信机制将第二SIM卡信息封装在报文中。此时,通信接口具体用于:在可信任执行环境下或者普通执行环境下,将该报文发送给基带芯片。
一个可能的实施方式中,当处理器与基带芯片位于不同的通信设备时,第一获取单元还用于:在可信任执行环境下,获取第三SIM卡信息,该第三SIM卡信息为处理器所在的通信设备中的实体SIM卡中存储的信息;保护单元还用于:在可信任执行环境下,对第三SIM卡信息进行安全保护处理,得到第四SIM卡信息;通信接口还用于:在可信任执行环境下或者普通执行环境下,将第四SIM卡信息发送给基带芯片,进而使得处理器所在的通信设备中的实体SIM卡无法提供移动数据业务时,通过该基带芯片接入网络,例如在处理器所在的通信设备漫游到处理器所在的通信设备中的实体SIM卡无法提供移动数据业务服务的范围的场景,或者,使得处理器所在的通信设备可以不更换自身的实体SIM卡,通过该基带芯片获得质量更好的移动数据上网服务,例如,处理器所在的通信设备为支持4G网络的手机,该基带芯片为支持5G网络的调制解调器芯片。
一个可能的实施方式中,通信接口还用于:在第一获取单元获取第三SIM卡信息之前,在可信任执行环境下或者普通执行环境下,接收基带芯片发送的SIM卡信息请求消息。
一个可能的实施方式中,通信接口为高速串行计算机扩展总线PCIE接口,通用串行总线USB接口,蓝牙通信接口,红外通信接口或者无线保真WiFi通信接口中的任意一种。
第二方面,本申请还提供了另一种处理器,该处理器包括:第一获取单元、保护单元和通信接口。其中,第一获取单元,用于在可信任执行环境下,获取第一SIM卡信息,该第一SIM卡信息为处理器所在的通信设备中的实体SIM卡中存储的信息;保护单元,用于在可信任执行环境下,对第一SIM卡信息进行安全保护处理,得到第二SIM卡信息;通信接口,用于在普通执行环境下或可信任执行环境下,将第二SIM卡信息发送给基带芯片,该处理器与该基带芯片位于不同的通信设备。
通过上述方案,处理器中的保护单元能够在可信任执行环境下,对第一获取单元获取到的实体SIM卡信息进行安全保护处理,通过通信接口将安全保护后的实体SIM卡信息传输给基带芯片,使得第一获取单元获取到的实体SIM卡信息能够安全传输到基带芯片,进而能够实现实体SIM卡信息在处理器与基带芯片之间安全传输。并且,由于可信任执行环境安全性较高,处理器中的第一获取单元以及保护单元在可信任执行环境下处理实体SIM卡信息,能够进一步保证获取到的实体SIM卡信息的安全性,进而可以进一步提高实体SIM卡信息在处理器与基带芯片之间传输时的安全性。这样也使得在处理器所在的通信设备中的实体SIM卡无法提供移动数据业务时,处理器所在的通信设备还可以通过该基带芯片接入网络,例如在处理器所在的通信设备漫游到处理器所在的通信设备中的实体SIM卡无法提供移动数据业务服务的范围的场景,或者,使得处理器所在的通信设备可以不更换自身的实体SIM卡,通过该基带芯片获得质量更好的移动数据上网服务,例如,处理器所在的通信设备为支持4G网络的手机,该基带芯片为支持5G网络的调制解调器芯片。
一种可能的实施方式中,保护单元具体可以通过但不限于以下两种方式中的任意一种,实现对第一获取单元获取到的第一SIM卡信息进行安全保护处理:
a、在可信任执行环境下,对第一SIM卡信息进行加密,得到第二SIM卡信息。
b、在可信任执行环境下,对第一SIM卡信息进行加密以及完整性保护,得到第二SIM卡信息。
一种可能的实施方式中,保护单元可以通过软件加密引擎或者硬件加密引擎,对第一SIM卡信息进行加密。在业务流量较大的场景下,保护单元通常通过硬件加密引擎进行加密,加密时所使用的密钥可以预先烧写在硬件加密引擎中。另外,保护单元加密时使用的加密算可以是对称加密算法,例如AES或DES算法等,也可以是非对称加密算法,如RSA加密算法。
一种可能的实施方式中,当通信接口在普通执行环境下将第二SIM卡信息发送给基带芯片时,处理器还可以包括:第二获取单元,用于在普通执行环境下从保护单元获取第二SIM卡信息。此时,通信接口具体用于,在普通执行环境下将第二获取单元获取的第二SIM卡信息发送给基带芯片。
一种可能的实施方式中,处理器还可以包括封装单元,用于在通信接口将第二SIM卡信息发送给基带芯片之前,按照设定的核间通信机制将第二SIM卡信息封装在报文中。此时,通信接口具体用于:在普通执行环境下或可信任执行环境下,将该报文发送给基带芯片。
一种可能的实施方式中,通信接口还用于:在第一获取单元获取第一SIM卡信息之前,在普通执行环境下或可信任执行环境下,接收基带芯片发送的SIM卡信息请求消息。
一种可能的实施方式中,通信接口为高速串行计算机扩展总线PCIE接口,通用串行总线USB接口,蓝牙通信接口,红外通信接口或者无线保真WiFi通信接口中的任意一种。
第三方面,本申请还提供了一种基带芯片,该基带芯片包括通信接口和解安全保护单元。其中,通信接口,用于在可信任执行环境下或者普通执行环境下,接收处理器发送的第一SIM卡信息;解安全保护单元,用于在可信任执行环境下,对通信接口接收的第一SIM卡信息进行解安全保护处理,得到第二SIM卡信息,该第二SIM卡信息为明文的虚拟SIM卡信息或者该第二SIM卡信息包括加密的虚拟SIM卡信息和该加密的虚拟SIM卡信息对应的密钥。
通过上述方案,基带芯片中的解安全保护单元能够对通信接口接收到的安全保护后的明文的虚拟SIM卡信息进行解安全保护处理,得到明文的虚拟SIM卡信息,或者对通信接口接收到的安全保护后的加密的虚拟SIM卡信息以及该加密的虚拟SIM卡信息对应的密钥进行解安全保护处理,得到加密的虚拟SIM卡信息以及该加密的虚拟SIM卡信息对应的密钥,使得基带芯片能够安全获取到处理器发送的虚拟SIM卡信息,进而根据获取到的虚拟SIM卡信息接入网络。
一种可能的实施方式中,当第一SIM卡信息携带在设定的核间通信机制对应的报文中时,通信接口具体用于:在可信任执行环境下或者普通执行环境下,接收该报文。此时,基带芯片还包括:报文解析单元,用于在可信任执行环境下或者普通执行环境下,按照该设定的核间通信机制,对该报文进行解析,得到该第一SIM卡信息。
一种可能的实施方式中,当通信接口在普通执行环境下接收第一SIM卡信息时,基带芯片还包括:转发单元,用于在普通执行环境下,将通信接口接收的第一SIM卡信息发送给解安全保护单元。此时,解安全保护单元具体用于,在可信任执行环境下,对转发单元发送的第一SIM卡信息进行解安全保护处理,得到第二SIM卡信息。
一种可能的实施方式中,解安全保护单元具体用于:在可信任执行环境下,对第一SIM卡信息进行解密,得到第二SIM卡信息;或者,对第一SIM卡信息进行解密以及完整性验证,得到第二SIM卡信息。
一种可能的实施方式中,当第二SIM卡信息包括加密的虚拟SIM卡信息和该加密的虚拟SIM卡信息对应的密钥时,解安全保护单元还用于:在可信任执行环境下,基于该加密的虚拟SIM卡信息对应的密钥对该加密的虚拟SIM信息进行解密,得到明文的虚拟SIM卡信息。
一种可能的实施方式中,基带芯片还包括安全存储单元,用于在可信任执行环境下,存储明文的虚拟SIM卡信息。
一种可能的实施方式中,当基带芯片与处理器位于不同的通信设备时,通信接口还用于:在可信任执行环境下或者普通执行环境下,接收该处理器发送的第三SIM卡信息;其中,该第三SIM卡信息为安全保护处理后的第四SIM卡信息,该第四SIM卡信息为该处理器所在的通信设备中的实体SIM卡中存储的信息;解安全保护单元还用于:在可信任执行环境下,对该第三SIM卡信息进行解安全保护处理,得到该第四SIM卡信息,进而使得该处理器所在的通信设备中的实体SIM卡无法提供移动数据业务时,该处理器所在的通信设备还可以通过基带芯片接入网络,例如在该处理器所在的通信设备漫游到该处理器所在的通信设备中的实体SIM卡无法提供移动数据业务服务的范围的场景,或者,使得该处理器所在的通信设备可以不更换自身的实体SIM卡,通过该基带芯片获得质量更好的移动数据上网服务,例如,该处理器所在的通信设备为支持4G网络的手机,基带芯片为支持5G网络的调制解调器芯片。
一个可能的实施方式中,通信接口还用于:在可信任执行环境下或者普通执行环境下,接收处理器发送的第一SIM卡信息之前,向该处理器发送SIM卡信息请求消息。
一个可能的实施方式中,通信接口为高速串行计算机扩展总线PCIE接口,通用串行总线USB接口,蓝牙通信接口,红外通信接口或者无线保真WiFi通信接口中的任意一种。
第四方面,本申请还提供了一种基带芯片,该基带芯片包括通信接口和解安全保护单元。其中,通信接口,用于在可信任执行环境下或者普通执行环境下,接收处理器发送的第一SIM卡信息,该处理器与基带芯片位于不同的通信设备;解安全保护单元,用于在可信任执行环境下,对所述第一SIM卡信息进行解安全保护处理,得到第二SIM卡信息;其中,该第二SIM卡信息为该处理器所在的通信设备中的实体SIM卡中存储的信息。
通过上述方案,基带芯片中的解安全保护单元能够对通信接口接收到的安全保护后的实体SIM卡信息进行解安全保护处理,得到明文的实体SIM卡信息,使得基带芯片能够安全获取到处理器发送的实体SIM卡信息,进而根据获取到的实体SIM卡信息接入网络。
一种可能的实施方式中,当第一SIM卡信息携带在设定的核间通信机制对应的报文中时,通信接口具体用于:在可信任执行环境下或者普通执行环境下,接收该报文。此时,基带芯片还包括:报文解析单元,用于在可信任执行环境下或者普通执行环境下,按照该设定的核间通信机制,对该报文进行解析,得到该第一SIM卡信息。
一种可能的实施方式中,当通信接口在普通执行环境下接收所述第一SIM卡信息时,基带芯片还包括:转发单元,用于在普通执行环境下,将通信接口接收的第一SIM卡信息发送给解安全保护单元。此时,解安全保护单元具体用于,在可信任执行环境下,对转发单元发送的所述第一SIM卡信息进行解安全保护处理,得到第二SIM卡信息。
一种可能的实施方式中,解安全保护单元具体用于:在可信任执行环境下,对第一SIM卡信息进行解密,得到第二SIM卡信息;或者,对第一SIM卡信息进行解密以及完整性验证,得到第二SIM卡信息。
一个可能的实施方式中,通信接口为高速串行计算机扩展总线PCIE接口,通用串行总线USB接口,蓝牙通信接口,红外通信接口或者无线保真WiFi通信接口中的任意一种。
第五方面,本申请提供了一种SIM卡信息传输方法,该方法包括:处理器在可信任执行环境下,获取第一SIM卡信息;当该第一SIM卡信息为加密的虚拟SIM卡信息时,该处理器在可信任执行环境下,对加密的虚拟SIM卡信息以及该加密的虚拟SIM卡信息对应的密钥进行安全保护处理,得到第二SIM卡信息;当该第一SIM卡信息为明文的虚拟SIM卡信息时,该处理器在可信任执行环境下,对明文的虚拟SIM卡信息进行安全保护处理,得到第二SIM卡信息;该处理器在可信任执行环境下或者普通执行环境下,将该第二SIM卡信息发送给基带芯片。
通过上述方法,处理器在可信任执行环境下,对获得的第一SIM卡信息进行安全保护处理,得到第二SIM卡信息,并将该第二SIM卡信息发送给基带芯片。由于可信任执行环境具有较高的安全性,且处理器还对获得的第一SIM卡信息进行安全保护处理,因此上述方法能够保障虚拟SIM卡信息的在发送过程中的安全性,实现了虚拟SIM卡信息在处理器与基带芯片之间的安全传输。
一个可能的实施方式中,当第一SIM卡信息为加密的虚拟SIM卡信息时,处理器可以通过以下方法获取该第一SIM卡信息:处理器在普通执行环境下,从网络运营商的服务器获取加密的虚拟SIM卡信息,并在可信任执行环境下,从普通执行环境获取该加密的虚拟SIM卡信息。
一个可能的实施方式中,当第一SIM卡信息为明文的虚拟SIM卡信息时,处理器可以通过以下方法获取该第一SIM卡信息,包括:处理器在普通执行环境下,从网络运营商的服务器获取加密的虚拟SIM卡信息,并在可信任执行环境下,对该加密的虚拟SIM卡信息进行解密,得到明文的虚拟SIM卡信息。
一个可能的实施方式中,处理器在可信任执行环境下,对加密的虚拟SIM卡信息进行解密之后,还可以在可信任执行环境下,保存解密得到的明文的SIM卡信息。
一个可能的实施方式中,处理器在普通执行环境下,将第二SIM卡信息发送给基带芯片之前,还在普通执行环境下,从可信任执行环境获取该第二SIM卡信息。
一个可能的实施方式中,处理器可以通过但不限于以下方式中的任意一种,对加密的虚拟SIM卡信息以及该加密的虚拟SIM卡信息对应的密钥进行安全保护处理,得到第二SIM卡信息:在可信任执行环境下,对该加密的虚拟SIM卡信息以及该加密的虚拟SIM卡信息对应的密钥进行加密,得到第二SIM卡信息,或者,对该加密的虚拟SIM卡信息以及该加密的虚拟SIM卡信息对应的密钥进行加密以及完整性保护,得到第二SIM卡信息;
处理器可以通过但不限于以下方式中的任意一种,对明文的虚拟SIM卡信息进行安全保护处理,得到第二SIM卡信息:在可信任执行环境下,对该明文的虚拟SIM卡信息进行加密,得到第二SIM卡信息,或者,对该明文的虚拟SIM卡信息进行加密以及完整性保护,得到第二SIM卡信息。
一个可能的实施方式中,处理器在可信任执行环境下或者普通执行环境下,将第二SIM卡信息发送给基带芯片之前,还可以按照设定的核间通信机制将所述第二SIM卡信息封装在报文中。此时,该处理器在可信任执行环境下或者普通执行环境下,将该报文发送给基带芯片。
一个可能的实施方式中,当处理器与基带芯片位于不同的通信设备时,该方法还包括:该处理器在可信任执行环境下,获取第三SIM卡信息,该第三SIM卡信息为所述处理器所在的通信设备中的实体SIM卡中存储的信息;该处理器在可信任执行环境下,对该第三SIM卡信息进行安全保护处理,得到第四SIM卡信息,在可信任执行环境下或者普通执行环境下,将该第四SIM卡信息发送给该基带芯片。
一个可能的实施方式中,处理器在可信任执行环境下获取第三SIM卡信息之前,还可以在可信任执行环境下或者普通执行环境下,接收基带芯片发送的SIM卡信息请求消息。
第六方面,本申请提还供了一种SIM卡信息传输方法,该方法包括:基带芯片在可信任执行环境下或者普通执行环境下,接收处理器发送的第一SIM卡信息;该基带芯片在可信任执行环境下,对该第一SIM卡信息进行解安全保护处理,得到第二SIM卡信息,该第二SIM卡信息为明文的虚拟SIM卡信息或者该第二SIM卡信息包括加密的虚拟SIM卡信息和该加密的虚拟SIM卡信息对应的密钥。
通过上述方法,基带芯片在可信任执行环境中,对处理器发送的第一SIM卡信息进行解安全保护处理得到第二SIM卡信息,进而使得基带芯片能够安全获取到明文的虚拟SIM卡信息,进而根据获取到的实体SIM卡信息接入网络。
一种可能的实施方式中,当第二SIM卡信息包括加密的虚拟SIM卡信息和该加密的虚拟SIM卡信息对应的密钥时,该方法还包括:基带芯片在可信任执行环境下,基于加密的虚拟SIM卡信息对应的密钥对该加密的虚拟SIM信息进行解密,得到明文的虚拟SIM卡信息。
一种可能的实施方式中,当第一SIM卡信息携带在设定的核间通信机制对应的报文中时,基带芯片在可信任执行环境下或者普通执行环境下,接收该报文,按照该设定的核间通信机制,对该报文进行解析,得到该第一SIM卡信息。
一种可能的实施方式中,基带芯片具体可以通过以下方法对第一SIM卡信息进行解安全保护处理,得到第二SIM卡信息:在可信任执行环境下,对第一SIM卡信息进行解密,得到第二SIM卡信息;或者,对第一SIM卡信息进行解密以及完整性验证,得到第二SIM卡信息。
一种可能的实施方式中,基带芯片在可信任执行环境下,对第一SIM卡信息进行解安全保护处理,得到第二SIM卡信息之后,还可以在可信任执行环境下,存储明文的虚拟SIM卡信息。
一种可能的实施方式中,基带芯片在普通执行环境下接收第一SIM卡信息时,在可信任执行环境下,对第一SIM卡信息进行解安全保护处理,得到第二SIM卡信息之前还可以在普通执行环境下,将该第一SIM卡信息发送到所述可信任执行环境。
一种可能的实施方式中,基带芯片与处理器位于不同的通信设备,该方法还包括:基带芯片在可信任执行环境下或者普通执行环境下,接收处理器发送的第三SIM卡信息;其中,该第三SIM卡信息为安全保护处理后的第四SIM卡信息,该第四SIM卡信息为该处理器所在的通信设备中的实体SIM卡中存储的信息;该基带芯片在可信任执行环境下,对第三SIM卡信息进行解安全保护处理,得到第四SIM卡信息。
一种可能的实施方式中,基带芯片在可信任执行环境下或者普通执行环境下,接收处理器发送的第三SIM卡信息之前,还在可信任执行环境下或者普通执行环境下,向该处理器发送SIM卡信息请求消息。
第七方面,本申请还提供了一种SIM卡信息传输方法,该方法包括:处理器在可信任执行环境下,获取第一SIM卡信息,该第一SIM卡信息为该处理器所在的通信设备中的实体SIM卡中存储的信息;该处理器在可信任执行环境下,对该第一SIM卡信息进行安全保护处理,得到第二SIM卡信息,在普通执行环境下或可信任执行环境下,将该第二SIM卡信息发送给基带芯片;其中,该处理器与该基带芯片位于不同的通信设备。
通过上述方法,处理器可以在可信任执行环境下,对获得的该处理器所在的通信设备中的实体SIM卡信息进行安全保护处理,并将安全保护后的实体SIM卡信息发送给基带芯片,利用芯片的可信执行环境以及安全保护处理手段,实现了实体SIM卡信息在处理器与基带芯片之间的安全传输,进而使得在处理器所在的通信设备中的实体SIM卡无法提供移动数据业务时,处理器所在的通信设备还可以通过该基带芯片接入网络,例如在处理器所在的通信设备漫游到处理器所在的通信设备中的实体SIM卡无法提供移动数据业务服务的范围的场景,或者,使得处理器所在的通信设备可以不更换自身的实体SIM卡,通过该基带芯片获得质量更好的移动数据上网服务,例如,处理器所在的通信设备为支持4G网络的手机,该基带芯片为支持5G网络的调制解调器芯片。
一个可能的实施方式中,处理器可以通过以下方法对第一SIM卡信息进行安全保护处理,得到第二SIM卡信息:在可信任执行环境下,对第一SIM卡信息进行加密,得到第二SIM卡信息;或者,在可信任执行环境下,对第一SIM卡信息进行加密以及完整性保护,得到第二SIM卡信息。
一个可能的实施方式中,处理器在普通执行环境下,将第二SIM卡信息发送给基带芯片之前,还可以在普通执行环境下,从可信任执行环境获取该第二SIM卡信息。
一个可能的实施方式中,处理器在可信任执行环境下或者普通执行环境下,将第二SIM卡信息发送给基带芯片之前,还按照设定的核间通信机制将所述第二SIM卡信息封装在报文中。此时,该处理器在可信任执行环境下或者普通执行环境下,将该报文发送给基带芯片。
一个可能的实施方式中,处理器在可信任执行环境下获取第一SIM卡信息之前,还在可信任执行环境下或者普通执行环境下,接收基带芯片发送的SIM卡信息请求消息。
第八方面,本申请还提供了一种SIM卡信息传输方法,该方法包括:基带芯片在可信任执行环境下或者普通执行环境下,接收处理器发送的第一用户身份识别模块SIM卡信息;其中,该处理器与该基带芯片位于不同的通信设备;基带芯片在可信任执行环境下,对该第一SIM卡信息进行解安全保护处理,得到第二SIM卡信息;其中,该第二SIM卡信息为该处理器所在的通信设备中的实体SIM卡中存储的信息。
通过上述方法,基带芯片能够在可信任执行环境下,对接收到的安全保护后的实体SIM卡信息进行解安全保护处理,得到明文的实体SIM卡信息,使得基带芯片能够安全获取到处理器发送的实体SIM卡信息,进而根据获取到的实体SIM卡信息接入网络。
一个可能的实施方式中,当第一SIM卡信息携带在设定的核间通信机制对应的报文中时,基带芯片可以通过以下方法接收处理器发送的第一SIM卡信息:在可信任执行环境下或者普通执行环境下,接收该报文,并按照该设定的核间通信机制,对该报文进行解析,得到该第一SIM卡信息。
一个可能的实施方式中,基带芯片可以通过以下方式对第一SIM卡信息进行解安全保护处理,得到第二SIM卡信息:在可信任执行环境下,对第一SIM卡信息进行解密,得到第二SIM卡信息;或者,对第一SIM卡信息进行解密以及完整性验证,得到第二SIM卡信息。
一个可能的实施方式中,基带芯片在普通执行环境下接收第一SIM卡信息之后,在可信任执行环境下对第一SIM卡信息进行解安全保护处理之前,还可以在普通执行环境下,将该第一SIM卡信息发送给可信任执行环境。
一个可能的实施方式中,基带芯片在可信任执行环境下或者普通执行环境下,接收处理器发送的第一SIM卡信息之前,还在可信任执行环境下或者普通执行环境下,向该处理器发送SIM卡信息请求消息。
附图说明
图1为本申请实施例提供的一种芯片的可信环境的软件框架图;
图2为本申请实施例提供的一种处理器的结构示意图之一;
图3a为本申请实施例提供的一种处理器的结构示意图之二;
图3b为本申请实施例提供的一种处理器的结构示意图之三;
图3c为本申请实施例提供的一种处理器的结构示意图之四;
图3d为本申请实施例提供的一种处理器的结构示意图之五;
图4为本申请实施例提供的一种处理器的结构示意图之六;
图5为本申请实施例提供的一种处理器的结构示意图之七;
图6为本申请实施例提供的另一种处理器的结构示意图之一;
图7为本申请实施例提供的另一种处理器的结构示意图之二;
图8为本申请实施例提供的另一种处理器的结构示意图之三;
图9为本申请实施例提供的一种基带芯片的结构示意图之一;
图10为本申请实施例提供的一种基带芯片的结构示意图之二;
图11为本申请实施例提供的一种基带芯片的结构示意图之三;
图12为本申请实施例提供的一种基带芯片的结构示意图之四;
图13为本申请实施例提供的一种SIM卡信息传输方法流程示意图;
图14为本申请实施例提供的另一种SIM卡信息传输方法流程示意图;
图15为本申请具体实施例一提供的种SIM卡信息传输方法流程示意图;
图16为本申请具体实施例二提供的种SIM卡信息传输方法流程示意图;
图17为本申请具体实施例三提供的种SIM卡信息传输方法流程示意图。
具体实施方式
与实体SIM卡相比,虚拟SIM卡具有成本低、更方便、以及更快捷等优点,其应用领域也日益广泛。以移动终端通过虚拟SIM卡实现全球移动数据服务为例,移动终端通过虚拟SIM卡进行移动上网业务时,从相应的运营商服务器获取虚拟SIM卡的信息,并将获取到的虚拟SIM卡的信息传输到modem芯片,使得modem芯片能够根据获取到的虚拟SIM卡的信息进行鉴权,在鉴权成功后,通过虚拟SIM卡进行移动上网业务,移动终端不需要更换实体SIM卡,即可接入漫游地所在的运营商网络进行移动上网业务。
现有的虚拟SIM卡信息的传输机制仅适用于AP与modem集成在一个芯片上的应用场景,而针对AP芯片与modem芯片独立存在的场景,在AP芯片与modem芯片之间传输虚拟SIM卡的信息时,需要保障虚拟SIM卡的信息在不同芯片之间的传输安全,还没有相应的传输机制。
为了解决现有技术中存在的上述问题,本申请提供了一种处理器、基带芯片以及SIM卡信息传输方法,以实现SIM卡信息在相互独立的处理器与基带芯片之间安全传输,其中,方法和装置是基于同一发明构思的,由于方法及装置解决问题的原理相似,因此装置与方法的实施可以相互参见,重复之处不再赘述。
下面对本申请实施例中涉及的部分术语进行解释说明,以便于本领域技术人员理解。
(1)SIM卡,又称为用户身份识别卡或智能卡,是网络运营商根据用户的请求提供给用户的通信模块,以供用户利用该SIM卡上的数据以及通信电路实现与运营商网络进行网络通信,从而实现终端设备的网络通信业务应用。需要说明的是,本申请实施例中所述的SIM可以是应用于第二代移动通信技术(2nd generation,2G)网络的SIM卡,应用于第三代移动通信技术(3rd generation,3G)网络的SIM卡(如全球用农户身份识别模块(universalsubscriber identity module,USIM)),或者应用于***移动通信技术(4thgeneration,4G)网络的SIM卡,也可以是应用于未来移动通信网络(例如第五代移动通信技术(5th generation,5G)网络)的SIM卡。
(2)SIM的信息,主要分为索引数据、业务数据、鉴权数据和位置数据四类。其中,索引数据包括集成电路卡识别码(integrate circuit card identity,ICCID),即SIM卡***;业务数据包括国际移动用户识别码(international mobile subscriberidentification number,IMSI)、个人识别密码(personal identification number,PIN)、PIN的解锁码(PIN unlocking key,PUK)、空中下载技术(over-the-air technology,OTA)菜单、JAVA应用数据;鉴权数据包括IMSI、密钥(如2G网络中的Ki(key identifier)、加密算法、鉴权算法、密钥生成算法等;位置数据包括位置区识别码(location area identity,LAI)、临时移动用户标识(temporary mobile subscriber identity,TMSI)、位置状态信息、广播控制信道(broadcast control channel,BCCH)信息等。
(3)安全保护,包括加密和/或完整性保护。发送端或者接收端按照双方约定的安全上下文对数据进行安全保护处理,使得对端通过所述约定的安全上下文对获得数据进行解安全保护处理,对获得的数据的安全性进行验证,以增加数据传输的安全性。
(4)解安全保护,包括解密和/或完整性验证,为安全保护的逆过程,用于验证安全保护的数据的安全性。
(5)完整性保护,用于确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现的必要技术手段。
另外,需要理解的是,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
为了保障通信设备的安全性,通信设备中涉及数据安全的功能的实现,需要依赖于通信设备内芯片的可信环境,芯片的可信环境通过混合使用硬件和软件的方法在物理上隔离出两个并存的执行环境,或者通过共享部分或全部硬件的方式形成在逻辑上彼此隔离的两个并存的执行环境,即:普通的非保密执行环境和安全的保密环境。其中,普通非保密执行环境又称为普通执行环境(rich execution environment,REE),安全的保密环境又称为可信任执行环境(trusted execution environment,TEE)。图1示例性示出了本申请实施例提供的一种芯片的可信环境的软件框架示意图。如图1所示,该芯片的可信环境的软件框架包括REE软件架构和TEE软件架构。
REE通常是Linux操作***、安卓(Android)操作***或苹果公司的移动操作***(iphone operating system,iOS)等通信设备操作***的运行环境。REE软件架构包括客户端应用(client application,CA)、TEE功能应用程序编程接口(application programminginterface,API)、TEE客户端API和普通操作***等。客户端应用可提供给用户使用的客户端应用,可以是运营商的客户端应用,也可以是第三方客户端应用,比如微信或支付宝等。客户端应用可能会有需要进行安全传输的数据。TEE功能API可提供给客户端应用一套访问TEE安全服务(比如存储和加密算法)的接口。TEE客户端API可提供运行于REE环境的客户端应用访问TEE环境中的可信应用(trusted application,TA)及与TA进行数据交换的通信接口。普通操作***包含公共设备驱动模块及REE通信代理模块等。公共设备驱动模块可提供硬件设备和普通操作***之间的接口,用于将硬件设备的功能通知普通操作***(operation system,OS),将普通操作***的指令,转化为硬件设备能够识别的命令。REE通信代理可用于CA与TA之间的消息传送。
TEE提供了一个较安全的封闭的执行环境,可确保各种敏感数据在一个可信环境中被存储和受到保护。TEE软件架构包括TA、TEE内部API和可信操作***。TA运行于TEE中,TA可向它的用户提供安全服务(比如安全存储和加密),TA与TA之间可通过TEE内部API进行通信。TEE内部API可为运行于TEE内的TA定义一套APIs,这套APIs定义运行在TEE内部的TA的开发接口,具体来说,可以提供调度、通信和内存管理接口,以及提供安全存储、密码服务和加密等APIs接口。可信操作***包括TEE通信代理单元、可信核心框架单元和可信功能单元等。TEE通信代理与REE通信代理可结合实现客户端应用与TA之间消息的安全传送。可信核心框架向TA提供可信操作***功能。可信功能单元可向应用开发者提供辅助设施支撑。
下面将结合附图,对本申请实施例进行详细描述。
如图2所示,本申请提供了一种处理器200,处理器200可以具有如图1所示的可信环境的软件框架。处理器200包括:第一获取单元201、保护单元202和通信接口203。其中,第一获取单元201,用于在可信任执行环境下,获取第一SIM卡信息。
保护单元202,用于当第一获取单元201获取到的第一SIM卡信息为加密的虚拟SIM卡信息时,在可信任执行环境下,对第一SIM卡信息以及第一SIM卡信息对应的密钥进行安全保护处理,得到第二SIM卡信息;当第一获取单元201获取到的第一SIM卡信息为明文的虚拟SIM卡信息时,在可信任执行环境下,对第一SIM卡信息进行安全保护处理,得到第二SIM卡信息。
通信接口203,用于在可信任执行环境下或者普通执行环境下,将保护单元得到的第二SIM卡信息发送给基带芯片。其中,处理器200可以与该基带芯片在同一个通信设备中,也可以在不同的通信设备中。通信接口203可以有线接口,例如高速串行计算机扩展总线(peripheral component interconnect express,PCIE)接口,通用串行总线(universalserial bus,USB)接口等高速通信接口中的任意一种,也可以是无线通信接口,例如蓝牙通信接口,红外通信接口或者无线保真(wireless fidelity,WiFi)通信接口等用于近距离传输的无线通接口中的任意一种。
进一步地,如图3a所示,当第一获取单元201获取到的第一SIM卡信息为所述加密的虚拟SIM卡信息时,处理器200还可以包括第二获取单元204,用于在第一获取单元201获取第一SIM卡信息之前,在普通执行环境下,从网络运营商的服务器获取加密的虚拟SIM卡信息。此时,第一获取单元201具体用于:在可信任执行环境下,从第二获取单元204获取加密的虚拟SIM卡信息。
此时,如图3b所示,处理器200还可以包括安全存储单元205,用于在第二获取单元204获取加密的虚拟SIM卡信息之后,在可信任执行环境下或普通执行环境下,保存加密的虚拟SIM卡信息,使得第一获取单元201后续可以直接从安全存储单元205获取加密的虚拟SIM卡信息,不需再次从网络运营商的服务器获取。
如图3c所示,当第一获取单元201获取到的第一SIM卡信息为明文的虚拟SIM卡信息时,处理器200还可以包括第二获取单元204以及解密单元206。其中,第二获取单元204,用于在普通执行环境下,从网络运营商的服务器获取加密的虚拟SIM卡信息;解密单元206,用于在可信任执行环境下,对加密的虚拟SIM卡信息进行解密,得到明文的SIM卡信息。
此时,如图3d,处理器200还可以包括安全存储单元205,用于在解密单元206将加密的虚拟SIM卡信息解密为明文的虚拟SIM卡信息之后,在可信任执行环境下,保存明文的虚拟SIM卡信息。第一获取单元201具体用于:在可信任执行环境下,从解密单元206或从安全存储单元205获取明文的虚拟SIM卡信息,进而使得第一获取单元201后续可以直接从安全存储单元205获取加密的虚拟SIM卡信息,不需再次从网络运营商的服务器获取。
进一步地,保护单元202具体可以通过但不限于以下两种方式中的任意一种,实现对第一获取单元201获取到的第一SIM卡信息进行安全保护处理:
i、当第一SIM卡信息为加密的虚拟SIM卡信息时,保护单元202用于在可信任执行环境下,对第一SIM卡信息以及第一SIM卡信息对应的密钥进行加密,得到第二SIM卡信息,或者,对第一SIM卡信息以及第一SIM卡信息对应的密钥进行加密以及完整性保护,得到第二SIM卡信息。
ii、当第一SIM卡信息为明文的虚拟SIM卡信息时,保护单元202用于在可信任执行环境下,对第一SIM卡信息进行加密,得到第二SIM卡信息,或者,对第一SIM卡信息进行加密以及完整性保护,得到第二SIM卡信息。
在具体实施中,保护单元202可以通过软件加密引擎或者硬件加密引擎,对第一SIM卡信息以及第一SIM卡信息对应的密钥进行加密,或者对第一SIM卡信息进行加密。在业务流量较大的场景下,保护单元202通常通过硬件加密引擎进行加密,加密时所使用的密钥可以预先烧写在硬件加密引擎中。另外,本申请并不对保护单元202加密时使用的加密算法进行限定,该加密算法可以是对称加密算法,例如高级加密标准(advanced encryptionstandard,AES)或数据加密标准(data encryption standard,DES)算法等,也可以是非对称加密算法,如RSA加密算法。
进一步地,如图4所示,当通信接口203在普通执行环境下将第二SIM卡信息发送给基带芯片时,处理器200还包括:第三获取单元207,用于在普通执行环境下从保护单元202获取第二SIM卡信息。此时,通信接口203具体用于:在普通执行环境下,将第三获取单元207获取的第二SIM卡信息发送给基带芯片。
在一种可能的实施方式中,如图5所示,处理器200还包括封装单元208,用于在通信接口203将第二SIM卡信息发送给基带芯片之前,按照设定的核间通信机制将第二SIM卡信息封装在报文中。此时,通信接口203具体用于:在可信任执行环境下或者普通执行环境下,将该报文发送给基带芯片。其中,该报文的报头中携带该报文的路由信息(如源地址以及目的地址)。
当处理器200与基带芯片位于不同的通信设备时,第一获取单元201还用于:在可信任执行环境下,获取第三SIM卡信息,该第三SIM卡信息为处理器200所在的通信设备中的实体SIM卡中存储的信息;保护单元202还用于:在可信任执行环境下,对第三SIM卡信息进行安全保护处理,得到第四SIM卡信息;通信接口203还用于:在可信任执行环境下或者普通执行环境下,将第四SIM卡信息发送给基带芯片,进而使得处理器200所在的通信设备中的实体SIM卡无法提供移动数据业务时,通过该基带芯片接入网络,例如在处理器200所在的通信设备漫游到处理器200所在的通信设备中的实体SIM卡无法提供移动数据业务服务的范围的场景,或者,使得处理器200所在的通信设备可以不更换自身的实体SIM卡,通过该基带芯片获得质量更好的移动数据上网服务,例如,处理器200所在的通信设备为支持4G网络的手机,该基带芯片为支持5G网络的modem芯片。
其中,保护单元202对第三SIM卡信息进行安全保护处理的方法,与保护单元202对第一SIM卡信息进行安全保护处理方法类似,此处不再赘述,具体可以参见保护单元202对第一SIM卡信息进行安全保护处理方法。
进一步地,通信接口203还用于:在第一获取单元201获取第三SIM卡信息之前,在可信任执行环境下或者普通执行环境下,接收基带芯片发送的SIM卡信息请求消息。
通过上述方案,处理器200中的保护单元202能够在可信任执行环境下,对第一获取单元201获取到的虚拟SIM卡信息进行安全保护处理,通过通信接口203将安全保护后的虚拟SIM卡信息传输给基带芯片,使得第一获取单元201获取到的虚拟SIM卡信息能够安全传输到基带芯片,进而能够实现虚拟SIM卡信息在处理器200与基带芯片之间安全传输。并且,处理器200中的第一获取单元201在可信任执行环境下,获取虚拟SIM卡信息,由于可信任执行环境安全性较高,能够保证获取到的虚拟SIM卡信息的安全性,可以进一步提高虚拟SIM卡信息在处理器200与基带芯片之间传输时的安全性。
如图6所示,本申请还提供了另一种处理器600,处理器600可以具有如图1所示的可信环境的软件框架。处理器600包括第一获取单元601、保护单元602和通信接口。其中,第一获取单元601,用于在可信任执行环境下,获取第一SIM卡信息,该第一SIM卡信息为处理器600所在的通信设备中的实体SIM卡中存储的信息。具体地,该第一SIM卡信息为处理器600所在的通信设备中的实体SIM卡中存储的鉴权信息。
保护单元602,用于在可信任执行环境下,对第一SIM卡信息进行安全保护处理,得到第二SIM卡信息。
通信接口603,用于在普通执行环境下或可信任执行环境下,将第二SIM卡信息发送给基带芯片,处理器600与该基带芯片位于不同的通信设备。通信接口203可以有线接口,例如高速串行计算机扩展总线PCIE接口,通用串行总线USB接口等高速通信接口中的任意一种,也可以是无线通信接口,例如蓝牙通信接口,红外通信接口或者WiFi通信接口等用于近距离传输的无线通接口中的任意一种。
进一步地,保护单元602具体可以通过但不限于以下两种方式中的任意一种,实现对第一获取单元201获取到的第一SIM卡信息进行安全保护处理:
a、在可信任执行环境下,对第一SIM卡信息进行加密,得到第二SIM卡信息。
b、在可信任执行环境下,对第一SIM卡信息进行加密以及完整性保护,得到第二SIM卡信息。
在具体实施中,保护单元602可以通过软件加密引擎或者硬件加密引擎,对第一SIM卡信息进行加密。在业务流量较大的场景下,保护单元602通常通过硬件加密引擎进行加密,加密时所使用的密钥可以预先烧写在硬件加密引擎中。另外,本申请并不对保护单元602加密时使用的加密算进行限定,该加密算法可以是对称加密算法,例如AES或DES算法等,也可以是非对称加密算法,如RSA加密算法。
进一步地,如图7所示,当通信接口603在普通执行环境下将第二SIM卡信息发送给基带芯片时,处理器600还可以包括:第二获取单元604,用于在普通执行环境下从保护单元602获取第二SIM卡信息。此时,通信接口603具体用于,在普通执行环境下将第二获取单元604获取的第二SIM卡信息发送给基带芯片。
在一种可能的实施方式中,如图8所示,处理器600还可以包括封装单元605,用于在通信接口603将第二SIM卡信息发送给基带芯片之前,按照设定的核间通信机制将第二SIM卡信息封装在报文中。此时,通信接口603具体用于:在普通执行环境下或可信任执行环境下,将该报文发送给基带芯片。
进一步地,通信接口603还用于:在第一获取单元601获取第一SIM卡信息之前,在普通执行环境下或可信任执行环境下,接收基带芯片发送的SIM卡信息请求消息。
通过上述方案,处理器600中的保护单元602能够在可信任执行环境下,对第一获取单元201获取到的实体SIM卡信息进行安全保护处理,通过通信接口603将安全保护后的实体SIM卡信息传输给基带芯片,使得第一获取单元601获取到的实体SIM卡信息能够安全传输到基带芯片,进而能够实现实体SIM卡信息在处理器600与基带芯片之间安全传输。并且,由于可信任执行环境安全性较高,处理器600中的第一获取单元601以及保护单元602在可信任执行环境下处理实体SIM卡信息,能够进一步保证获取到的实体SIM卡信息的安全性,进而可以进一步提高实体SIM卡信息在处理器600与基带芯片之间传输时的安全性。这样也使得在处理器600所在的通信设备中的实体SIM卡无法提供移动数据业务时,处理器600所在的通信设备还可以通过该基带芯片接入网络,例如在处理器600所在的通信设备漫游到处理器600所在的通信设备中的实体SIM卡无法提供移动数据业务服务的范围的场景,或者,使得处理器600所在的通信设备可以不更换自身的实体SIM卡,通过该基带芯片获得质量更好的移动数据上网服务,例如,处理器600所在的通信设备为支持4G网络的手机,该基带芯片为支持5G网络的modem芯片。
如图9所示,本申请还提供了一种基带芯片900,基带芯片900可以具有如图1所示的可信环境的软件框架,基带芯片900可以是调制解调器芯片。基带芯片900包括通信接口901和解安全保护单元902。
在一种可能的实施方式中,通信接口901,用于在可信任执行环境下或者普通执行环境下,接收处理器发送的第一SIM卡信息。其中,通信接口901与该处理器中用于发送该第一SIM卡信息的通信接口类型相同,具体地,通信接口901可以为有线通信接口,例如PCIE接口或USB接口等高速通信接口中的任意一种,也可以是无线通信接口,例如蓝牙通信接口,红外通信接口或者WiFi通信接口等用于近距离传输的无线通接口中的任意一种。解安全保护单元902,用于在可信任执行环境下,对通信接口901接收的第一SIM卡信息进行解安全保护处理,得到第二SIM卡信息,该第二SIM卡信息为明文的虚拟SIM卡信息或者该第二SIM卡信息包括加密的虚拟SIM卡信息和该加密的虚拟SIM卡信息对应的密钥。
其中,当第一SIM卡信息携带在设定的核间通信机制对应的报文中时,通信接口901具体用于:在可信任执行环境下或者普通执行环境下,接收该报文。此时,如图10所示,基带芯片900还包括:报文解析单元903,用于在可信任执行环境下或者普通执行环境下,按照该设定的核间通信机制,对该报文进行解析,得到该第一SIM卡信息。
当通信接口901在普通执行环境下接收第一SIM卡信息时,如图11所示,基带芯片900还包括:转发单元904,用于在普通执行环境下,将通信接口901接收的第一SIM卡信息发送给解安全保护单元902。此时,解安全保护单元902具体用于,在可信任执行环境下,对转发单元904发送的第一SIM卡信息进行解安全保护处理,得到第二SIM卡信息。
具体实施中,解安全保护单元902具体用于:在可信任执行环境下,对第一SIM卡信息进行解密,得到第二SIM卡信息;或者,对第一SIM卡信息进行解密以及完整性验证,得到第二SIM卡信息。
进一步地,当第二SIM卡信息包括加密的虚拟SIM卡信息和该加密的虚拟SIM卡信息对应的密钥时,解安全保护单元902还用于:在可信任执行环境下,基于该加密的虚拟SIM卡信息对应的密钥对该加密的虚拟SIM信息进行解密,得到明文的虚拟SIM卡信息。
进一步地,如图12所示,基带芯片900还包括安全存储单元905,用于在可信任执行环境下,存储明文的虚拟SIM卡信息。
进一步地,当基带芯片900与处理器位于不同的通信设备时,通信接口901还用于:在可信任执行环境下或者普通执行环境下,接收该处理器发送的第三SIM卡信息;其中,该第三SIM卡信息为安全保护处理后的第四SIM卡信息,该第四SIM卡信息为该处理器所在的通信设备中的实体SIM卡中存储的信息;解安全保护单元902还用于:在可信任执行环境下,对该第三SIM卡信息进行解安全保护处理,得到该第四SIM卡信息,进而使得该处理器所在的通信设备中的实体SIM卡无法提供移动数据业务时,该处理器所在的通信设备还可以通过基带芯片900接入网络,例如在该处理器所在的通信设备漫游到该处理器所在的通信设备中的实体SIM卡无法提供移动数据业务服务的范围的场景,或者,使得该处理器所在的通信设备可以不更换自身的实体SIM卡,通过该基带芯片获得质量更好的移动数据上网服务,例如,该处理器所在的通信设备为支持4G网络的手机,基带芯片900为支持5G网络的modem芯片。
进一步地,通信接口901还用于:在可信任执行环境下或者普通执行环境下,接收处理器发送的第一SIM卡信息之前,向该处理器发送SIM卡信息请求消息。
通过上述方案,基带芯片900中的解安全保护单元902能够对通信接口901接收到的安全保护后的明文的虚拟SIM卡信息进行解安全保护处理,得到明文的虚拟SIM卡信息,或者对通信接口901接收到的安全保护后的加密的虚拟SIM卡信息以及该加密的虚拟SIM卡信息对应的密钥进行解安全保护处理,得到加密的虚拟SIM卡信息以及该加密的虚拟SIM卡信息对应的密钥,使得基带芯片900能够安全获取到处理器发送的虚拟SIM卡信息,进而根据获取到的虚拟SIM卡信息接入网络。
在另一种可能的实施方式中,基带芯片900仅用于处理从处理器获取到的实体SIM信息,即通信接口901用于在可信任执行环境下或者普通执行环境下,接收处理器发送的第一SIM卡信息,该处理器与基带芯片900位于不同的通信设备,此时,该第一SIM卡信息为安全保护后的第二SIM卡信息,该第二SIM卡信息为该处理器所在的通信设备中的实体SIM卡中存储的信息;解安全保护单元902,用于在可信任执行环境下,对通信接口901接收的第一SIM卡信息进行解安全保护处理,得到第二SIM卡信息。
具体地,在该第二SIM卡信息为该处理器所在的通信设备中的实体SIM卡中存储的信息的场景下,通信接口901的功能、解安全保护单元902的功能、报文解析单元903的功能以及转发单元1304的功能,与该第二SIM卡信息为明文的虚拟SIM卡信息或者该第二SIM卡信息包括加密的虚拟SIM卡信息和该加密的虚拟SIM卡信息对应的密钥的场景下,解安全保护单元902的功能、报文解析单元903的功能以及转发单元1304的功能类似,此处不再赘述,可参见该第二SIM卡信息为明文的虚拟SIM卡信息或者该第二SIM卡信息包括加密的虚拟SIM卡信息和该加密的虚拟SIM卡信息对应的密钥的场景下的相关描述。
通过上述方案,基带芯片900中的解安全保护单元902能够对通信接口901接收到的安全保护后的实体SIM卡信息进行解安全保护处理,得到明文的实体SIM卡信息,使得基带芯片900能够安全获取到处理器发送的实体SIM卡信息,进而根据获取到的实体SIM卡信息接入网络。
基于同一发明构思,本申请还提供了一种SIM卡信息传输方法,应用于SIM卡信息在相互独立的处理器与基带芯片之间传输的场景,其中,该处理器与该基带芯片可以位于同一个通信设备中,也可以位于不同的通信设备中。如图13所示,该方法主要包括以下步骤:
S1301:处理器在可信任执行环境下,获取第一SIM卡信息。
S1302a:当该第一SIM卡信息为加密的虚拟SIM卡信息时,处理器在可信任执行环境下,对该加密的虚拟SIM卡信息以及该加密的虚拟SIM卡信息对应的密钥进行安全保护处理,得到第二SIM卡信息。
S1302b:当该第一SIM卡信息为明文的虚拟SIM卡信息时,处理器在可信任执行环境下,对该明文的虚拟SIM卡信息进行安全保护处理,得到第二SIM卡信息;
S1303:处理器在可信任执行环境下或者普通执行环境下,将第二SIM卡信息发送给基带芯片。
相应地,该基带芯片在可信任执行环境下或者普通执行环境下,接收该处理器发送的第二SIM卡信息。
S1304:基带芯片在可信任执行环境下,对该第二SIM卡信息进行解安全保护处理,得到第三SIM卡信息。其中,该第三SIM卡信息包括加密的虚拟SIM卡信息和所述加密的虚拟SIM卡信息对应的密钥,或者该第三SIM卡信息为明文的虚拟SIM卡信息。
在步骤S1301中,当第一SIM卡信息为加密的虚拟SIM卡信息时,该处理器具体可以通过以下方法获取第一SIM卡信息:在普通执行环境下,从网络运营商的服务器获取所述加密的虚拟SIM卡信息;在可信任执行环境下,从该普通执行环境获取该加密的虚拟SIM卡信息。当该第一SIM卡信息为明文的虚拟SIM卡信息时,该处理器可以通过以下方法获取第一SIM卡信息:在普通执行环境下,从网络运营商的服务器获取加密的虚拟SIM卡信息;在可信任执行环境下,对该加密的虚拟SIM卡信息进行解密,得到明文的虚拟SIM卡信息。
进一步地,处理器在可信任执行环境下,对加密的虚拟SIM卡信息进行解密之后,还可以在可信任执行环境下,保存解密得到的明文的SIM卡信息。
进一步地,处理器在普通执行环境下,将第二SIM卡信息发送给基带芯片之前,还要在普通执行环境下,从可信任执行环境获取该第二SIM卡信息。
在步骤S1302a中,处理器具体可以通过但不限于以下两种方式中的任意一种,对加密的虚拟SIM卡信息以及该加密的虚拟SIM卡信息对应的密钥进行安全保护处理,得到第二SIM卡信息:
A、处理器在可信任执行环境下,对该加密的虚拟SIM卡信息以及该加密的虚拟SIM卡信息对应的密钥进行加密,得到该第二SIM卡信息;或者,
B、处理器对该加密的虚拟SIM卡信息以及该加密的虚拟SIM卡信息对应的密钥进行加密以及完整性保护,得到该第二SIM卡信息。
相应地,当该第一SIM卡信息为加密的虚拟SIM卡信息时,若处理器采用上述方式A对该第一SIM卡信息进行安全保护处理,在步骤S1304中,基带芯片通过以下方式对该第二SIM卡信息进行解安全保护处理,得到第三SIM卡信息:在可信任执行环境下,对该第二SIM卡信息进行解密,得到该第三SIM卡信息;若处理器采用上述方式B对该第一SIM卡信息进行安全保护处理,在步骤S1304中,基带芯片通过以下方式对该第二SIM卡信息进行解安全保护处理,得到该第三SIM卡信息:对该第二SIM卡信息进行解密以及完整性验证,得到该第三SIM卡信息。其中,该第三SIM卡信息包括加密的虚拟SIM卡信息和所述加密的虚拟SIM卡信息对应的密钥。
在步骤S1302b中,处理器在所述可信任执行环境下,具体可以通过但不限于以下两种方式中的任意一种,对明文的虚拟SIM卡信息进行安全保护处理,得到第二SIM卡信息:
1、处理器在可信任执行环境下,对该明文的虚拟SIM卡信息进行加密,得到该第二SIM卡信息;或者,
2、处理器在可信任执行环境下,对该明文的虚拟SIM卡信息进行加密以及完整性保护,得到该第二SIM卡信息。
相应地,当该第一SIM卡信息为明文的虚拟SIM卡信息时,若处理器采用上述方式1对该第一SIM卡信息进行安全保护处理,在步骤S1304中,基带芯片通过以下方式对该第二SIM卡信息进行解安全保护处理,得到第三SIM卡信息:在可信任执行环境下,对该第二SIM卡信息进行解密,得到该第三SIM卡信息;若处理器采用上述方式2对该第一SIM卡信息进行安全保护处理,在步骤S1304中,基带芯片通过以下方式对该第二SIM卡信息进行解安全保护处理,得到第三SIM卡信息:对该第二SIM卡信息进行解密以及完整性验证,得到该第三SIM卡信息。其中,该第三SIM卡信息为明文的虚拟SIM卡信息。
进一步地,当该第三SIM卡信息包括加密的虚拟SIM卡信息和该加密的虚拟SIM卡信息对应的密钥时,基带芯片还在可信任执行环境下,基于该加密的虚拟SIM卡信息对应的密钥对该加密的虚拟SIM信息进行解密,得到明文的虚拟SIM卡信息。
进一步地,基带芯片在可信任执行环境下,对第二SIM卡信息进行解安全保护处理,得到第三SIM卡信息之后,还可以在可信任执行环境下,存储明文的虚拟SIM卡信息。
进一步地,在执行步骤S1303之前,处理器还可以按照设定的核间通信机制将第二SIM卡信息封装在报文中,进而在执行步骤S1303时,在可信任执行环境下或者普通执行环境下,将该报文发送给基带芯片。
相应地,该基带芯片在可信任执行环境下或者普通执行环境下,接收该报文,并根据该设定的核间通信机制,解析该报文,获得该第二SIM卡信息。
具体实施中,处理器可以通过软件加密引擎或者硬件加密引擎,对第一SIM卡信息进行加密。在业务流量较大的场景下,处理器通常通过硬件加密引擎进行加密,加密时所使用的密钥可以预先烧写在硬件加密引擎中。另外,本申请并不对处理器加密时使用的加密算进行限定,该加密算法可以是对称加密算法,例如AES或DES算法等,也可以是非对称加密算法,如RSA加密算法。
进一步地,当处理器与基带芯片位于不同的通信设备时,该处理器还可以在所述可信任执行环境下,获取第四SIM卡信息,该第四SIM卡信息为该处理器所在的通信设备中的实体SIM卡中存储的信息;在可信任执行环境下,对该第四SIM卡信息进行安全保护处理,得到第五SIM卡信息;在所述可信任执行环境下或者普通执行环境下,将该第五SIM卡信息发送给该基带芯片。
其中,该处理器在可信任执行环境下,对该第四SIM卡信息进行安全保护处理,得到第五SIM卡信息的方式,与步骤S1302b中该处理器在可信任执行环境下,对该第一SIM卡信息进行安全保护处理,得到第二SIM卡信息的方式类似,此处不再赘述。
进一步地,处理器在可信任执行环境下获取第四SIM卡信息之前,还在可信任执行环境下或者普通执行环境下,接收基带芯片发送的SIM卡信息请求消息。
通过上述方法,处理器在可信任执行环境下,对获得的第一SIM卡信息进行安全保护处理,得到第二SIM卡信息,并将该第二SIM卡信息发送给基带芯片,该基带芯片在可信任执行环境中,对该第二SIM卡信息进行解安全保护处理得到第三SIM卡信息,利用芯片的可信执行环境以及安全保护处理手段,实现了虚拟SIM卡信息在处理器与基带芯片之间的安全传输。
基于同一发明构思,本申请还提供了另一种SIM卡信息传输方法,应用于SIM卡信息在相互独立的处理器与基带芯片之间传输的场景,其中,该处理器与该基带芯片位于不同的通信设备中。如图14所示,该方法主要包括以下步骤:
S1401:处理器在可信任执行环境下,获取第一SIM卡信息。其中,该第一SIM卡信息为该处理器所在的通信设备中的实体SIM卡中存储的信息。
进一步地,该第一SIM卡信息为该处理器所在的通信设备中的实体SIM卡中存储的鉴权信息。
S1402:处理器在所可信任执行环境下,对该第一SIM卡信息进行安全保护处理,得到第二SIM卡信息。
S1403:处理器在普通执行环境下或可信任执行环境下,将该第二SIM卡信息发送给基带芯片。
相应地,基带芯片在普通执行环境下或可信任执行环境下,接收该第二SIM卡信息。
S1404:基带芯片在可信任执行环境下,对该第二SIM卡信息进行解安全保护处理,得到该第一SIM卡信息。
在步骤S1402中,处理器具体可以通过但不限于以下两种方式中的任意一种,对第一SIM卡信息进行安全保护处理,得到第二SIM卡信息:
①处理器在可信任执行环境下,对该第一SIM卡信息进行加密,得到该第二SIM卡信息;或者,
②处理器在可信任执行环境下,对该第一SIM卡信息进行加密以及完整性保护,得到该第二SIM卡信息。
其中,处理器可以通过软件加密引擎或者硬件加密引擎,对第一SIM卡信息进行加密。在业务流量较大的场景下,处理器通常通过硬件加密引擎进行加密,加密时所使用的密钥可以预先烧写在硬件加密引擎中。另外,本申请并不对处理器加密时使用的加密算进行限定,该加密算法可以是对称加密算法,例如AES或DES算法等,也可以是非对称加密算法,如RSA加密算法。
相应地,当处理器采用上述方式①对第一SIM卡信息进行安全保护处理,得到第二SIM卡信息时,在步骤S1404中,基带芯片可以通过下方式对该第二SIM卡信息进行解安全保护,得到该第一SIM卡信息:在可信任执行环境下,对该第二SIM卡信息进行解密,得到该第一SIM卡信息;当处理器采用上述方式②对第一SIM卡信息进行安全保护处理,得到第二SIM卡信息时,在步骤S1404中,基带芯片可以通过下方式对该第二SIM卡信息进行解安全保护,得到该第一SIM卡信息:对该第二SIM卡信息进行解密以及完整性验证,得到该第一SIM卡信息。
进一步地,处理器在普通执行环境下,将第二SIM卡信息发送给基带芯片之前,还在普通执行环境下,从可信任执行环境获取该第二SIM卡信息。
进一步地,在执行步骤S1403之前,处理器还可以按照设定的核间通信机制将该第二SIM卡信息封装在报文中,进而在执行步骤S1403时,处理器可以在可信任执行环境下或者普通执行环境下,将该报文发送给基带芯片。
相应地,基带芯片在可信任执行环境下或者普通执行环境下,接收该报文,并根据该设定的核间通信机制,解析该报文,获得该第二SIM卡信息。
进一步地,在执行步骤S1401之前,处理器还可以在可信任执行环境下或者普通执行环境下,接收基带芯片发送的SIM卡信息请求消息。
通过上述方法,处理器可以在可信任执行环境下,对获得的该处理器所在的通信设备中的实体SIM卡信息进行安全保护处理,并将安全保护后的实体SIM卡信息发送给基带芯片,该基带芯片在可信任执行环境中,对该安全保护后的实体SIM卡信息进行解安全保护处理得到明文的实体SIM卡信息,利用芯片的可信执行环境以及安全保护处理手段,实现了实体SIM卡信息在处理器与基带芯片之间的安全传输,进而使得在处理器所在的通信设备中的实体SIM卡无法提供移动数据业务时,处理器所在的通信设备还可以通过该基带芯片接入网络,例如在处理器所在的通信设备漫游到处理器所在的通信设备中的实体SIM卡无法提供移动数据业务服务的范围的场景,或者,使得处理器所在的通信设备可以不更换自身的实体SIM卡,通过该基带芯片获得质量更好的移动数据上网服务,例如,处理器所在的通信设备为支持4G网络的手机,该基带芯片为支持5G网络的modem芯片。
以下通过三个具体实施例,结合处理器的结构以及基带芯片的结构对本申请提供的一种SIM卡信息传输方法进行详细说明。
具体实施例一、以处理器为手机中的AP芯片,基带芯片为同一个手机中的modem芯片,该AP芯片和该modem芯片为两个独立的芯片,处理器中的通信接口以及基带芯片中的通信接口为PCIE接口为例,该手机中安装有天际通应用。其中,天际通应用是一种数据业务软件,包括全球移动数据业务和免费无线局域网(wireless local area networks,WLAN)业务,用户可以通过天际通应用设置需要漫游的国外目的地(例如日本),以及在所设置的目的地使用的数据业务套餐类型(例如,7天100元套餐)、数据业务套餐的有效时间段,当手机漫游到天际通应用所设置的目的地时,可以从当地(即手机漫游所在地)运营商网络获取相应的虚拟SIM卡信息,利用获取到的虚拟SIM卡信息,在设定的数据业务套餐的有效时间段内从当地运营商网络获取移动数据服务,无需购买当地的SIM卡或者开通国际漫游业务。当手机开通国际漫游时,手机还能通过手机中的实体SIM卡接收漫游短信息和拨打漫游语音电话。
如图15所示,当该手机漫游到手机中安装的天际通应用所设置的目的地时,该手机中的AP芯片与modem芯片具体可以通过以下步骤传输虚拟SIM卡信息:
1、AP芯片中的天际通应用客户端通过无线网络从漫游所在地的运营商网络的服务器,下载加密后的虚拟SIM卡信息。其中,天际通应用客户端运行在AP芯片的普通执行环境中。
其中,该天际通应用客户端可以通过该手机中实体SIM卡漫游网络(2G/3G/4G/5G网络)或者该手机当前接入的无线局域网,从从漫游所在地的运营商网络的服务器,下载加密后的虚拟SIM卡信息。
2、AP芯片中的天际通应用客户端,将加密后的虚拟SIM卡信息发送到该AP芯片中的天际通应用对应的可信任应用。其中,该可信任应用运行在该AP芯片的可信认执行环境中,即该AP芯片通过天际通应用客户端以及天际通应用对应的可信任应用,将加密后的虚拟SIM卡信息从该AP芯片的普通执行环境中发送到该AP芯片的可信认执行环境中。在一中可选的方案中,该可信任应用可以称为天际通TA。
3、AP芯片中的天际通应用对应的可信任应用对加密后的虚拟SIM的信息进行解密,得到明文的虚拟SIM卡信息。
其中,该AP芯片中的天际通应用对应的可信任应用可以利用与所述漫游所在地的运营商网络的服务器约定的密钥,对加密后的虚拟SIM的信息进行解密,得到明文的虚拟SIM的信息。示例性的,该密钥可以存储在AP芯片中的可信任执行环境中,天际通应用对应的可信任应用在获取到加密虚拟SIM信息和加密虚拟SIM信息对应的密钥之后,就可以将加密的虚拟SIM信息解密成明文并保存在AP芯片中的可信任执行环境中。
4、AP芯片中的天际通应用对应的可信任应用将明文的虚拟SIM卡信息存储在该AP芯片的可信任执行环境中。例如,该天际通应用对应的可信任应用将明文的虚拟SIM卡信息存储在该AP芯片的可信任执行环境中的安全闪存(flash)中。后续modem芯片在需要基于SIM卡信息获取运营商的网络服务时,可以从该AP芯片的安全世界的安全flash中获取该虚拟SIM信息,无需每次都从网络运营商的服务器下载该虚拟SIM信息。
5、AP芯片中的天际通应用对应的可信任应用触发该AP芯片的可信任执行环境中的可信任核间通信单元,对天际通TA解密得到的虚拟SIM的信息再次进行加密。
其中,该可信任核间通信单元可以通过软件加密引擎或者硬件加密引擎,对天际通应用对应的可信任应用解密得到的虚拟SIM的信息进行加密。在业务流量较大的场景下,该可信任核间通信单元通常通过硬件加密引擎,对天际通应用对应的可信任应用解密得到的明文的虚拟SIM的信息进行加密,加密时所使用的密钥可以预先烧写在硬件加密引擎中。该可信任核间通信单元对天际通应用对应的可信任应用解密得到的虚拟SIM的信息再次进行加密时,可以使用对称加密算法,例如高级加密标准(advanced encryption standard,AES)算法或数据加密标准(data encryption standard,DES)算法等,也可以使用非对称加密算法,如RSA加密算法。
6、AP芯片的普通执行环境中与该可信任核间通信单元对应的普通核间通信单元将再次加密后的虚拟SIM的信息,发送到该AP芯片的普通执行环境中的核间通信代理单元。
7、AP芯片中的核间通信代理单元按照设定的核间通信机制对应的报文格式,将再次加密后的虚拟SIM的信息封装在相应的报文中。其中,该报文的报头中包括该报文的路由信息,例如源地址和目的地地址。
8、AP芯片中的核间通信代理单元通过该AP芯片的PCIE接口中用于承载核间通信业务的接口,在普通执行环境下将该报文发送给所述modem芯片的PCIE接口。
9、modem芯片的PCIE接口中用于承载核间通信业务的接口,在普通执行环境下将该报文发送给该modem芯片的普通执行环境中的普通核间通信单元。
10、modem芯片中的普通核间通信单元对该报文进行解析,得到该报文中加密的虚拟SIM卡信息。
11、modem芯片中的普通核间通信单元将获得的加密的虚拟SIM卡信息,发送到该modem芯片的可信任执行环境中与该普通核间通信单元对应的可信任核间通信单元。
12、modem芯片中的可信任核间通信单元对加密的虚拟SIM卡信息进行解密,得到明文的虚拟SIM卡信息。
13、modem芯片中的可信任核间通信单元触发该modem芯片的可信任执行环境中的核间通信驱动单元,将明文的虚拟SIM卡信息存储到该modem芯片的可信任执行环境中的内存。
具体实施例二、以处理器为手机中的AP芯片,基带芯片为同一个手机中的modem芯片,AP芯片中的通信接口以及modem芯片中的通信接口为PCIE接口,该AP芯片和该modem芯片为两个独立的芯片而不是集成在一个芯片上,且AP侧的PCIE接口位于AP芯片的可信任执行环境,modem侧的PCIE接口位于modem芯片的可信任执行环境为例,该手机中安装有天际通应用。
如图16所示,当该手机漫游到手机中安装的天际通应用所设置的目的地时,该手机中的AP芯片与modem芯片具体可以通过以下步骤传输虚拟SIM卡信息:
1、AP芯片中的天际通应用客户端通过无线网络从漫游所在地的运营商网络的服务器,下载加密后的虚拟SIM卡信息。其中,该天际通应用客户端安装在该AP芯片的普通执行环境中。
其中,该天际通应用客户端可以通过该手机中实体SIM卡漫游网络(2G/3G/4G/5G网络)或者该手机当前接入的无线局域网,从漫游所在地的运营商网络的服务器,下载加密后的虚拟SIM卡信息。
2、AP芯片中的天际通应用客户端,将加密后的虚拟SIM卡的信息发送到该AP芯片中天际通应用对应的可信任应用。其中,该天际通应用对应的可信任应用运行在该AP芯片的可信任执行环境,即该AP芯片通过天际通应用客户端以及天际通应用对应的可信任应用,将加密后的虚拟SIM卡的信息从该AP芯片的普通执行环境发送到该AP芯片的可信任执行环境。具体地,该天际通应用对应的可信任应用可以称为天际通TA。
3、AP芯片中的天际通应用对应的可信应用对加密后的虚拟SIM卡的信息进行解密,得到明文的虚拟SIM卡的信息。
其中,该天际通应用对应的可信应用可以利用与漫游所在地的运营商网络的服务器约定的密钥,对加密后的虚拟SIM卡的信息进行解密,得到明文的虚拟SIM卡的信息。示例性地,该密钥可以存储在AP芯片中的可信任执行环境中,天际通应用对应的可信任应用在获取到加密虚拟SIM信息和加密虚拟SIM信息对应的密钥之后,就可以将加密的虚拟SIM信息解密成明文并保存在AP芯片中的可信任执行环境中。
4、AP芯片中的天际通对应的可信任应用将明文的虚拟SIM卡信息存储在该AP芯片的可信任执行环境中。例如,该天际通应用对应的可信任应用将明文的虚拟SIM卡信息存储在该AP芯片的可信任执行环境中的安全flash中。后续modem芯片在需要基于SIM卡信息获取运营商的网络服务时,可以从该AP芯片的安全世界的安全flash中获取该虚拟SIM信息,不需要每次都从网络运营商的服务器下载该虚拟SIM信息。
5、AP芯片中的天际通对应的可信任应用触发该AP芯片的可信任执行环境中的可信任核间通信单元,对虚拟SIM卡的信息再次进行加密。
其中,该可信任核间通信单元可以通过软件加密引擎或者硬件加密引擎,对虚拟SIM卡信息进行加密。在业务流量较大的场景下,该可信任核间通信单元通常通过硬件加密引擎,对明文的虚拟SIM卡信息进行加密,加密时所使用的密钥可以预先烧写在硬件加密引擎中。该可信任核间通信单元对天际通应用对应的可信任应用解密得到的虚拟SIM卡信息再次进行加密时,可以使用对称加密算法,例如AES算法或DES算法等,也可以使用非对称加密算法,如RSA加密算法。
6、AP芯片中的可信任核间通信单元触发该AP芯片的可信任执行环境中的核间通信驱动单元,按照设定的核间通信机制对应的报文格式,将再次加密后的虚拟SIM卡信息封装在报文中。其中,该报文的报头中包括该报文的路由信息,例如源地址和目的地址。
7、AP芯片中的核间通信驱动单元通过该AP芯片的PCIE接口中用于承载核间通信业务的接口,在普通执行环境下将该报文发送给modem芯片的PCIE接口。
8、modem芯片的PCIE接口中用于承载核间通信业务的接口,将该报文发送给该modem芯片的可信任执行环境中的核间通信驱动单元。
9、modem芯片中的核间通信驱动单元对该报文进行解析,得到该报文中加密的虚拟SIM卡信息。
10、modem芯片中的核间通信驱动单元触发该modem芯片的可信任执行环境中的可信任核间通信单元,对加密的虚拟SIM卡信息进行解密,得到明文的虚拟SIM信息。
11、modem芯片中的可信任核间通信单元通过该modem芯片的中的核间通信驱动单元,将明文的虚拟SIM卡信息存储到该modem芯片的可信任执行环境中的内存。
具体实施例三、以处理器为手机中的AP芯片,基带芯片为支持5G网络的modem配件,该AP芯片中的通信接口以及该modem芯片中的通信接口为USB接口为例。其中,该手机中的modem芯片为支持2G/3G/4G网络的modem芯片(该手机中的modem芯片与该手机中的AP芯片可以集成在一起,也可以为两个独立的芯片),该手机通过外接支持5G网络的modem配件可以实现5G上网功能,当该手机连接支持5G网络的modem配件时,该手机中的modem芯片的上网功能关闭,仅支持管理该手机中SIM卡的功能。
如图17所示,当该手机需要通过外接的支持5G网络的modem配件,接入5G网络时,该手机中的AP芯片与支持5G网络的modem配件之间具体可以通过以下步骤传输该手机中实体SIM卡存储的信息:
1、modem配件通过该modem配件中与AP芯片连接的USB接口,在普通执行环境下,向该AP芯片发送SIM卡信息请求消息。
2、AP芯片的普通执行环境中的普通核间通信单元通过所述AP芯片中的USB接口,接收所述SIM卡信息请求消息。
3、AP芯片中的普通核间通信单元将SIM卡信息请求消息发送给该AP芯片的可信任执行环境中与该普通核间通信单元对应的可信任核间通信单元。
4、AP芯片中的可信任核间通信单元根据该SIM卡信息请求,通过该手机中的modem芯片获取该手机中的实体SIM中存储的信息。
具体地,该手机中的modem芯片通过用于与该手机中的实体SIM卡连接的接口,在该modem芯片的可信任环境下,读取该手机中的实体SIM卡中存储的信息,将获取到的实体SIM卡中存储的信息,发送给该AP芯片中的可信任核间通信单元。其中,该手机中的modem芯片中用于与该手机中的实体SIM卡连接的接口具体可以是串行通信接口(serialcommunication interface,SCI)。
5、AP芯片中的可信任核间通信单元,对该实体SIM卡中存储的信息进行加密。
其中,该AP芯片中的可信任核间通信单元可以通过软件加密引擎或者硬件加密引擎,对该实体SIM卡中存储的信息进行加密。在业务流量较大的场景下,该AP芯片中的可信任核间通信单元通常通过硬件加密引擎,对该实体SIM卡中存储的信息进行加密,加密时使用的密钥可以预先烧写在硬件加密引擎中。该AP芯片中的可信任核间通信单元对该实体SIM卡中存储的信息再次进行加密时,可以使用对称加密算法,例如AES算法或DES算法等,也可以使用非对称加密算法,如RSA加密算法。
6、AP芯片的普通执行环境中与该AP芯片的可信任核间通单元对应的普通核间通信单元,将加密后的实体SIM卡的信息发送到所述AP芯片的普通区域中的核间通信代理单元。
7、AP芯片中的核间通信代理单元按照设定的核间通信机制对应的报文格式,将加密后的实体SIM卡的信息封装在报文中。其中,该报文的报头中包括该报文的路由信息,例如源地址和目的地址。
8、AP芯片中的核间通信代理单元通过该AP芯片的USB接口中用于承载核间通信业务的接口,在普通执行环境下,将该报文发送给modem配件的USB接口。
9、modem配件的USB接口中用于承载核间通信业务的接口,将该报文发送给该modem配件的普通执行环境中的普通核间通信道单元。
10、modem配件中的普通核间通信单元对该报文进行解析,得到该报文中加密的实体SIM卡的信息。
11、modem配件中的普通核间通信单元将获得的加密的实体SIM卡信息,发送到该modem配件的可信任执行环境中与该普通核间通信单元对应的可信任核间通信单元。
12、modem配件中的可信任核间通信单元对加密的实体SIM卡信息进行解密,得到明文的实体SIM卡信息。
13、modem配件中的可信任核间通信单元触发该modem配件的可信任执行环境中的核间通信驱动单元,将明文的实体SIM卡信息发送到该modem芯片的可信任执行环境中的通信业务单元,使得该通信业务单元能够利用该明文的实体SIM卡信息接入网络。
在实际应用中,当AP芯片与modem配件组成的架构为如图17所示的形态时,AP芯片与modem配件之间还可以传输虚拟SIM卡信息,即AP芯片可以通过天际通应用从网络侧获取加密的虚拟SIM卡信息,将虚拟SIM卡信息传输到modem配件,这一过程具体的实现方式与具体实施例一类似,可参见具体实施例一,此处不再赘述。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (40)
1.一种处理器,其特征在于,包括:
第一获取单元,用于在可信任执行环境下,获取第一用户身份识别模块SIM卡信息;
保护单元,用于当所述第一SIM卡信息为加密的虚拟SIM卡信息时,在所述可信任执行环境下,对所述加密的虚拟SIM卡信息以及所述加密的虚拟SIM卡信息对应的密钥进行安全保护处理,得到第二SIM卡信息;当所述第一SIM卡信息为明文的虚拟SIM卡信息时,在所述可信任执行环境下,对所述明文的虚拟SIM卡信息进行安全保护处理,得到第二SIM卡信息;
通信接口,用于在所述可信任执行环境下或者普通执行环境下,将所述第二SIM卡信息发送给基带芯片。
2.如权利要求1所述的处理器,其特征在于,当所述第一SIM卡信息为所述加密的虚拟SIM卡信息时,还包括:
第二获取单元,用于在所述第一获取单元获取所述加密的虚拟SIM卡信息之前,在所述普通执行环境下,从网络运营商的服务器获取所述加密的虚拟SIM卡信息;
所述第一获取单元具体用于:在所述可信任执行环境下,从所述第二获取单元获取所述加密的虚拟SIM卡信息。
3.如权利要求1所述的处理器,其特征在于,当所述第一SIM卡信息为所述明文的虚拟SIM卡信息时,还包括第二获取单元以及解密单元;
所述第二获取单元,用于在所述普通执行环境下,从网络运营商的服务器获取所述加密的虚拟SIM卡信息;
所述解密单元,用于在所述可信任执行环境下,对所述加密的虚拟SIM卡信息进行解密,得到所述明文的虚拟SIM卡信息。
4.如权利要求3所述的处理器,其特征在于,还包括安全存储单元,用于在所述解密单元将所述加密的虚拟SIM卡信息解密为所述明文的SIM卡信息之后,在所述可信任执行环境下,保存所述明文的SIM卡信息;
所述第一获取单元具体用于:在所述可信任执行环境下,从所述解密单元或从所述安全存储单元获取所述明文的SIM卡信息。
5.如权利要求1-4任一项所述的处理器,其特征在于,当所述通信接口在所述普通执行环境下将所述第二SIM卡信息发送给所述基带芯片时,所述处理器还包括:
第三获取单元,用于在所述普通执行环境下从所述保护单元获取所述第二SIM卡信息;
所述通信接口具体用于:在所述普通执行环境下将所述第三获取单元获取的所述第二SIM卡信息发送给所述基带芯片。
6.如权利要求1-4任一项所述的处理器,其特征在于,所述保护单元具体用于:
当所述第一SIM卡信息为所述加密的虚拟SIM卡信息时,在所述可信任执行环境下,对所述加密的虚拟SIM卡信息以及所述加密的虚拟SIM卡信息对应的密钥进行加密,得到所述第二SIM卡信息,或者,对所述加密的虚拟SIM卡信息以及所述加密的虚拟SIM卡信息对应的密钥进行加密以及完整性保护,得到所述第二SIM卡信息;
当所述第一SIM卡信息为所述明文的虚拟SIM卡信息时,在所述可信任执行环境下,对所述明文的虚拟SIM卡信息进行加密,得到所述第二SIM卡信息,或者,对所述明文的虚拟SIM卡信息进行加密以及完整性保护,得到所述第二SIM卡信息。
7.如权利要求1-4任一项所述的处理器,其特征在于,还包括封装单元,用于在所述通信接口将所述第二SIM卡信息发送给基带芯片之前,按照设定的核间通信机制将所述第二SIM卡信息封装在报文中;
所述通信接口具体用于:在所述可信任执行环境下或者所述普通执行环境下,将所述报文发送给所述基带芯片。
8.如权利要求1-7任一项所述的处理器,其特征在于,所述处理器与所述基带芯片位于不同的通信设备;
所述第一获取单元还用于:在所述可信任执行环境下,获取第三SIM卡信息,所述第三SIM卡信息为所述处理器所在的通信设备中的实体SIM卡中存储的信息;
所述保护单元还用于:在所述可信任执行环境下,对所述第三SIM卡信息进行安全保护处理,得到第四SIM卡信息;
所述通信接口还用于:在所述可信任执行环境下或者所述普通执行环境下,将所述第四SIM卡信息发送给所述基带芯片。
9.如权利要求8所述的处理器,其特征在于,所述通信接口还用于:
在所述第一获取单元获取第三SIM卡信息之前,在所述可信任执行环境下或者所述普通执行环境下,接收所述基带芯片发送的SIM卡信息请求消息。
10.如权利要求1-7任一项所述的处理器,其特征在于,所述通信接口为高速串行计算机扩展总线PCIE接口,通用串行总线USB接口,蓝牙通信接口,红外通信接口或者无线保真WiFi通信接口中的任意一种。
11.一种处理器,其特征在于,包括:
第一获取单元,用于在可信任执行环境下,获取第一SIM卡信息,所述第一SIM卡信息为所述处理器所在的通信设备中的实体SIM卡中存储的信息;
保护单元,用于在所述可信任执行环境下,对所述第一SIM卡信息进行安全保护处理,得到第二SIM卡信息;
通信接口,用于在普通执行环境下或所述可信任执行环境下,将所述第二SIM卡信息发送给基带芯片,所述处理器与所述基带芯片位于不同的通信设备。
12.如权利要求11所述的处理器,其特征在于,所述保护单元具体用于:
在所述可信任执行环境下,对所述第一SIM卡信息进行加密,得到所述第二SIM卡信息;或者,
在所述可信任执行环境下,对所述第一SIM卡信息进行加密以及完整性保护,得到所述第二SIM卡信息。
13.如权利要求11或12所述的处理器,其特征在于,当所述通信接口在所述普通执行环境下将所述第二SIM卡信息发送给所述基带芯片时,所述处理器还包括:
第二获取单元,用于在所述普通执行环境下从所述保护单元获取所述第二SIM卡信息;
所述通信接口具体用于,在所述普通执行环境下将所述第二获取单元获取的所述第二SIM卡信息发送给所述基带芯片。
14.如权利要求11或12所述的处理器,其特征在于,还包括封装单元,用于在所述通信接口将所述第二SIM卡信息发送给基带芯片之前,按照设定的核间通信机制将所述第二SIM卡信息封装在报文中;
所述通信接口具体用于:在所述普通执行环境下或所述可信任执行环境下,将所述报文发送给所述基带芯片。
15.如权利要求11或12所述的处理器,其特征在于,所述通信接口还用于:
所述第一获取单元获取第一SIM卡信息之前,在所述普通执行环境下或所述可信任执行环境下,接收所述基带芯片发送的SIM卡信息请求消息。
16.如权利要求11或12所述的处理器,其特征在于,所述通信接口为高速串行计算机扩展总线PCIE接口,通用串行总线USB接口,蓝牙通信接口,红外通信接口或者无线保真WiFi通信接口中的任意一种。
17.一种基带芯片,其特征在于,包括:
通信接口,用于在可信任执行环境下或者普通执行环境下,接收处理器发送的第一用户身份识别模块SIM卡信息;
解安全保护单元,用于在所述可信任执行环境下,对所述第一SIM卡信息进行解安全保护处理,得到第二SIM卡信息,所述第二SIM卡信息为明文的虚拟SIM卡信息或者所述第二SIM卡信息包括加密的虚拟SIM卡信息和所述加密的虚拟SIM卡信息对应的密钥或者所述第二SIM卡信息为所述处理器所在的通信设备中的实体SIM卡中存储的信息。
18.如权利要求17所述的基带芯片,其特征在于,当所述第二SIM卡信息包括加密的虚拟SIM卡信息和所述加密的虚拟SIM卡信息对应的密钥时,所述解安全保护单元还用于:
在所述可信任执行环境下,基于所述加密的虚拟SIM卡信息对应的密钥对所述加密的虚拟SIM信息进行解密,得到所述明文的虚拟SIM卡信息。
19.如权利要求17或18所述的基带芯片,其特征在于,所述第一SIM卡信息携带在设定的核间通信机制对应的报文中;
所述通信接口具体用于:在所述可信任执行环境下或者普通执行环境下,接收所述报文;
所述基带芯片还包括:报文解析单元,用于在可信任执行环境下或者普通执行环境下,按照所述设定的核间通信机制,对所述报文进行解析,得到所述第一SIM卡信息。
20.如权利要求17或18所述的基带芯片,其特征在于,所述解安全保护单元具体用于:
在可信任执行环境下,对所述第一SIM卡信息进行解密,得到所述第二SIM卡信息;或者,对所述第一SIM卡信息进行解密以及完整性验证,得到所述第二SIM卡信息。
21.如权利要求17或18所述的基带芯片,其特征在于,还包括安全存储单元,用于在所述可信任执行环境下,存储所述明文的虚拟SIM卡信息。
22.如权利要求17或18所述的基带芯片,其特征在于,当所述通信接口在所述普通执行环境下接收所述第一SIM卡信息时,所述基带芯片还包括:
转发单元,用于在所述普通执行环境下,将所述通信接口接收的所述第一SIM卡信息发送给所述解安全保护单元;
所述解安全保护单元具体用于,在所述可信任执行环境下,对所述转发单元发送的所述第一SIM卡信息进行解安全保护处理,得到所述第二SIM卡信息。
23.如权利要求17或18所述的基带芯片,其特征在于,所述基带芯片与所述处理器位于不同的通信设备;
所述通信接口还用于:在所述可信任执行环境下或者普通执行环境下,接收所述处理器发送的第三SIM卡信息;其中,所述第三SIM卡信息为安全保护处理后的第四SIM卡信息,所述第四SIM卡信息为所述处理器所在的通信设备中的实体SIM卡中存储的信息;
所述解安全保护单元还用于:在所述可信任执行环境下,对所述第三SIM卡信息进行解安全保护处理,得到所述第四SIM卡信息。
24.如权利要求17或18所述的基带芯片,其特征在于,所述通信接口还用于:在所述可信任执行环境下或者普通执行环境下,接收处理器发送的第一用户身份识别模块SIM卡信息之前,向所述处理器发送SIM卡信息请求消息。
25.如权利要求17或18所述的基带芯片,其特征在于,所述通信接口为高速串行计算机扩展总线PCIE接口,通用串行总线USB接口,蓝牙通信接口,红外通信接口,或者无线保真WiFi通信接口中的任意一种。
26.一种用户身份识别模块SIM卡信息传输方法,其特征在于,包括:
处理器在可信任执行环境下,获取第一SIM卡信息;
当所述第一SIM卡信息为加密的虚拟SIM卡信息时,所述处理器在所述可信任执行环境下,对所述加密的虚拟SIM卡信息以及所述加密的虚拟SIM卡信息对应的密钥进行安全保护处理,得到第二SIM卡信息;当所述第一SIM卡信息为明文的虚拟SIM卡信息时,所述处理器在所述可信任执行环境下,对所述明文的虚拟SIM卡信息进行安全保护处理,得到第二SIM卡信息;
所述处理器在所述可信任执行环境下或者普通执行环境下,将所述第二SIM卡信息发送给基带芯片。
27.如权利要求26所述的方法,其特征在于,当所述第一SIM卡信息为所述加密的虚拟SIM卡信息时,所述处理器在可信任执行环境下,获取第一SIM卡信息,包括:
所述处理器在所述普通执行环境下,从网络运营商的服务器获取所述加密的虚拟SIM卡信息;
所述处理器在可信任执行环境下,从所述普通执行环境获取所述加密的虚拟SIM卡信息。
28.如权利要求26所述的方法,其特征在于,当所述第一SIM卡信息为所述明文的虚拟SIM卡信息时,所述处理器在可信任执行环境下,获取第一SIM卡信息,包括:
所述处理器在所述普通执行环境下,从网络运营商的服务器获取所述加密的虚拟SIM卡信息;
所述处理器在所述可信任执行环境下,对所述加密的虚拟SIM卡信息进行解密,得到所述明文的虚拟SIM卡信息。
29.如权利要求28所述的方法,其特征在于,所述处理器在所述可信任执行环境下,对所述加密的虚拟SIM卡信息进行解密之后,还包括:
所述处理器在所述可信任执行环境下,保存所述明文的SIM卡信息。
30.如权利要求26-29任一项所述的方法,其特征在于,所述处理器在所述普通执行环境下,将所述第二SIM卡信息发送给所述基带芯片之前,还包括:
所述处理器在所述普通执行环境下,从所述可信任执行环境获取所述第二SIM卡信息。
31.如权利要求26-29任一项所述的方法,其特征在于,所述处理器在所述可信任执行环境下,对所述加密的虚拟SIM卡信息以及所述加密的虚拟SIM卡信息对应的密钥进行安全保护处理,得到第二SIM卡信息,包括:
所述处理器在所述可信任执行环境下,对所述加密的虚拟SIM卡信息以及所述加密的虚拟SIM卡信息对应的密钥进行加密,得到所述第二SIM卡信息,或者,对所述加密的虚拟SIM卡信息以及所述加密的虚拟SIM卡信息对应的密钥进行加密以及完整性保护,得到所述第二SIM卡信息;
所述处理器在所述可信任执行环境下,对所述明文的虚拟SIM卡信息进行安全保护处理,得到第二SIM卡信息,包括:
所述处理器在所述可信任执行环境下,对所述明文的虚拟SIM卡信息进行加密,得到所述第二SIM卡信息,或者,对所述明文的虚拟SIM卡信息进行加密以及完整性保护,得到所述第二SIM卡信息。
32.如权利要求26-29任一项所述的方法,其特征在于,所述处理器在所述可信任执行环境下或者普通执行环境下,将所述第二SIM卡信息发送给基带芯片之前,还包括:
所述处理器按照设定的核间通信机制将所述第二SIM卡信息封装在报文中;
所述处理器在所述可信任执行环境下或者普通执行环境下,将所述第二SIM卡信息发送给基带芯片,包括:在所述可信任执行环境下或者所述普通执行环境下,将所述报文发送给所述基带芯片。
33.如权利要求26-29任一项所述的方法,其特征在于,所述处理器与所述基带芯片位于不同的通信设备;
所述方法还包括:
所述处理器在所述可信任执行环境下,获取第三SIM卡信息,所述第三SIM卡信息为所述处理器所在的通信设备中的实体SIM卡中存储的信息;
所述处理器在所述可信任执行环境下,对所述第三SIM卡信息进行安全保护处理,得到第四SIM卡信息;
所述处理器在所述可信任执行环境下或者所述普通执行环境下,将所述第四SIM卡信息发送给所述基带芯片。
34.如权利要求33所述的方法,其特征在于,所述处理器在所述可信任执行环境下获取第三SIM卡信息之前,还包括:
所述处理器在所述可信任执行环境下或者所述普通执行环境下,接收所述基带芯片发送的SIM卡信息请求消息。
35.一种用户身份识别模块SIM卡信息传输方法,其特征在于,包括:
处理器在可信任执行环境下,获取第一SIM卡信息,所述第一SIM卡信息为所述处理器所在的通信设备中的实体SIM卡中存储的信息;
所述处理器在所述可信任执行环境下,对所述第一SIM卡信息进行加密,得到第二SIM卡信息;或者,
所述处理器在所述可信任执行环境下,对所述第一SIM卡信息进行加密以及完整性保护,得到所述第二SIM卡信息;
所述处理器在普通执行环境下或所述可信任执行环境下,将所述第二SIM卡信息发送给基带芯片;其中,所述处理器与所述基带芯片位于不同的通信设备。
36.如权利要求35所述的方法,其特征在于,所述处理器在所述可信任执行环境下或者普通执行环境下,将所述第二SIM卡信息发送给基带芯片之前,还包括:
所述处理器按照设定的核间通信机制将所述第二SIM卡信息封装在报文中;
所述处理器在所述可信任执行环境下或者普通执行环境下,将所述第二SIM卡信息发送给基带芯片,包括:在所述可信任执行环境下或者所述普通执行环境下,将所述报文发送给所述基带芯片。
37.一种用户身份识别模块SIM卡信息传输方法,其特征在于,包括:
基带芯片在可信任执行环境下或者普通执行环境下,接收处理器发送的第一SIM卡信息;
所述基带芯片在所述可信任执行环境下,对所述第一SIM卡信息进行解密或者对所述第一SIM卡信息进行解密以及完整性验证,得到第二SIM卡信息,所述第二SIM卡信息为明文的虚拟SIM卡信息或者所述第二SIM卡信息包括加密的虚拟SIM卡信息和所述加密的虚拟SIM卡信息对应的密钥。
38.如权利要求37所述的方法,其特征在于,当所述第二SIM卡信息包括加密的虚拟SIM卡信息和所述加密的虚拟SIM卡信息对应的密钥时,还包括:
所述基带芯片在所述可信任执行环境下,基于所述加密的虚拟SIM卡信息对应的密钥对所述加密的虚拟SIM信息进行解密,得到所述明文的虚拟SIM卡信息。
39.如权利要求37或38所述的方法,其特征在于,所述第一SIM卡信息携带在设定的核间通信机制对应的报文中;
所述基带芯片在可信任执行环境下或者普通执行环境下,接收处理器发送的第一SIM卡信息,包括:
所述基带芯片在所述可信任执行环境下或者普通执行环境下,接收所述报文,按照所述设定的核间通信机制,对所述报文进行解析,得到所述第一SIM卡信息。
40.一种用户身份识别模块SIM卡信息传输方法,其特征在于,包括:
基带芯片在可信任执行环境下或者普通执行环境下,接收处理器发送的第一用户身份识别模块SIM卡信息;其中,所述处理器与所述基带芯片位于不同的通信设备;
所述基带芯片在可信任执行环境下,对所述第一SIM卡信息进行解安全保护处理,得到第二SIM卡信息;其中,所述第二SIM卡信息为所述处理器所在的通信设备中的实体SIM卡中存储的信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910107353.4A CN109831775B (zh) | 2019-02-02 | 2019-02-02 | 一种处理器、基带芯片以及sim卡信息传输方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910107353.4A CN109831775B (zh) | 2019-02-02 | 2019-02-02 | 一种处理器、基带芯片以及sim卡信息传输方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109831775A CN109831775A (zh) | 2019-05-31 |
CN109831775B true CN109831775B (zh) | 2021-12-03 |
Family
ID=66863358
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910107353.4A Active CN109831775B (zh) | 2019-02-02 | 2019-02-02 | 一种处理器、基带芯片以及sim卡信息传输方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109831775B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110677536B (zh) * | 2019-09-29 | 2021-11-23 | 维沃移动通信有限公司 | 联网的控制方法及电子设备 |
CN111400737A (zh) * | 2020-03-17 | 2020-07-10 | 中孚信息股份有限公司 | 一种多应用物理隔离的加密sim卡实现装置,方法及终端 |
CN112446042A (zh) * | 2020-12-14 | 2021-03-05 | 中国科学院信息工程研究所 | 加密方法和装置、解密方法和装置、移动终端和存储介质 |
CN116761223B (zh) * | 2023-08-11 | 2023-11-10 | 深圳市掌锐电子有限公司 | 利用5g基带芯片实现4g射频通信的方法及车载射频*** |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102781001A (zh) * | 2011-05-10 | 2012-11-14 | 中兴通讯股份有限公司 | 移动终端内置文件加密方法及移动终端 |
CN104125216A (zh) * | 2014-06-30 | 2014-10-29 | 华为技术有限公司 | 一种提升可信执行环境安全性的方法、***及终端 |
CN105007577A (zh) * | 2015-06-19 | 2015-10-28 | 宇龙计算机通信科技(深圳)有限公司 | 一种虚拟sim卡参数管理方法、移动终端及服务器 |
CN105873045A (zh) * | 2015-01-21 | 2016-08-17 | ***通信集团公司 | 软sim卡的安全保护方法、装置、***及终端 |
CN105872948A (zh) * | 2016-03-25 | 2016-08-17 | 努比亚技术有限公司 | 虚拟sim卡实现装置和方法 |
CN106375996A (zh) * | 2015-07-24 | 2017-02-01 | 西安中兴新软件有限责任公司 | 一种虚拟用户身份识别卡保护方法、应用处理器及终端 |
CN106535156A (zh) * | 2015-09-11 | 2017-03-22 | 中兴通讯股份有限公司 | 虚拟用户识别模块卡的迁移方法、终端、服务器、*** |
CN106658474A (zh) * | 2016-10-31 | 2017-05-10 | 上海路随通信科技有限公司 | 利用嵌入式安全元件实现sim卡数据安全防护方法 |
CN107027115A (zh) * | 2017-04-18 | 2017-08-08 | 深圳融卡智能科技有限公司 | 一种安全实现软sim卡的设备及方法 |
CN107635220A (zh) * | 2017-09-30 | 2018-01-26 | 广东欧珀移动通信有限公司 | 网络通信处理方法、装置、存储介质和终端 |
CN108028749A (zh) * | 2015-05-16 | 2018-05-11 | 西蒙乐思有限公司 | 用于虚拟化可再编程的通用集成电路芯片的装置、方法以及*** |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8983543B2 (en) * | 2012-09-12 | 2015-03-17 | Li Li | Methods and apparatus for managing data within a secure element |
US10536840B2 (en) * | 2016-10-19 | 2020-01-14 | David LIPOVKOV | System and method for sim virtualization of sim and sim-less mobile terminals |
-
2019
- 2019-02-02 CN CN201910107353.4A patent/CN109831775B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102781001A (zh) * | 2011-05-10 | 2012-11-14 | 中兴通讯股份有限公司 | 移动终端内置文件加密方法及移动终端 |
CN104125216A (zh) * | 2014-06-30 | 2014-10-29 | 华为技术有限公司 | 一种提升可信执行环境安全性的方法、***及终端 |
CN105873045A (zh) * | 2015-01-21 | 2016-08-17 | ***通信集团公司 | 软sim卡的安全保护方法、装置、***及终端 |
CN108028749A (zh) * | 2015-05-16 | 2018-05-11 | 西蒙乐思有限公司 | 用于虚拟化可再编程的通用集成电路芯片的装置、方法以及*** |
CN105007577A (zh) * | 2015-06-19 | 2015-10-28 | 宇龙计算机通信科技(深圳)有限公司 | 一种虚拟sim卡参数管理方法、移动终端及服务器 |
CN106375996A (zh) * | 2015-07-24 | 2017-02-01 | 西安中兴新软件有限责任公司 | 一种虚拟用户身份识别卡保护方法、应用处理器及终端 |
CN106535156A (zh) * | 2015-09-11 | 2017-03-22 | 中兴通讯股份有限公司 | 虚拟用户识别模块卡的迁移方法、终端、服务器、*** |
CN105872948A (zh) * | 2016-03-25 | 2016-08-17 | 努比亚技术有限公司 | 虚拟sim卡实现装置和方法 |
CN106658474A (zh) * | 2016-10-31 | 2017-05-10 | 上海路随通信科技有限公司 | 利用嵌入式安全元件实现sim卡数据安全防护方法 |
CN107027115A (zh) * | 2017-04-18 | 2017-08-08 | 深圳融卡智能科技有限公司 | 一种安全实现软sim卡的设备及方法 |
CN107635220A (zh) * | 2017-09-30 | 2018-01-26 | 广东欧珀移动通信有限公司 | 网络通信处理方法、装置、存储介质和终端 |
Non-Patent Citations (1)
Title |
---|
移动智能终端安全防御***研究与设计;高丹;《中国优秀硕士学位论文辑》;20140601;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN109831775A (zh) | 2019-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109831775B (zh) | 一种处理器、基带芯片以及sim卡信息传输方法 | |
WO2017082697A1 (en) | Method and apparatus for downloading profile on embedded universal integrated circuit card of terminal | |
EP2564342B1 (en) | Method and nodes for providing secure access to cloud computing for mobile users | |
CN109587680B (zh) | 参数的保护方法、设备和*** | |
CN110169102B (zh) | 隐私保护的方法及设备 | |
CN109863770A (zh) | 用于设备设定协议(dpp)的配置器密钥包 | |
US10009760B2 (en) | Providing network credentials | |
CN108762791A (zh) | 固件升级方法及装置 | |
KR102173534B1 (ko) | 이동통신사업자 정보 제공 방법 및 이를 수행하는 장치 | |
US10341305B2 (en) | Encrypted communications method and communications terminal, and computer storage medium | |
US11563730B2 (en) | Method and electronic device for managing digital keys | |
CN111274611A (zh) | 数据脱敏方法、装置及计算机可读存储介质 | |
CN105376059A (zh) | 基于电子钥匙进行应用签名的方法和*** | |
CN110475247A (zh) | 消息处理方法及装置 | |
CN101917700B (zh) | 一种使用业务应用的方法及用户识别模块 | |
CN105848145A (zh) | 一种wifi智能配置方法和装置 | |
CN113228720A (zh) | 用于确保大小受约束的认证协议中的安全附接的方法和装置 | |
CN111788836B (zh) | 数据传输的方法和ble设备 | |
CN108156604B (zh) | 集群***的组呼加密传输方法及装置、集群终端和*** | |
CN114338406A (zh) | 路由访问方法、装置、电子设备及存储介质 | |
CN104732166A (zh) | 一种数据存储、读取方法、装置及设备 | |
CN110008654B (zh) | 电子文件处理方法和装置 | |
KR101329789B1 (ko) | 모바일 디바이스의 데이터베이스 암호화 방법 | |
CN115004634B (zh) | 信息处理方法、装置、设备及存储介质 | |
CN105792149A (zh) | 短信处理***及其初始化方法、短信存储方法和阅读方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20191122 Address after: Xinghu Street Industrial Park of Suzhou city in Jiangsu province 215123 No. 328 Creative Industrial Park building A3 Applicant after: Huawei Digital Technology (Suzhou) Co., Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Applicant before: Huawei Technologies Co., Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |