WO2019109852A1

WO2019109852A1 - 一种数据传输方法及***

Info

Publication number: WO2019109852A1
Application number: PCT/CN2018/118133
Authority: WO
Inventors: 王雪松
Original assignee: 阿里巴巴集团控股有限公司
Priority date: 2017-12-08
Filing date: 2018-11-29
Publication date: 2019-06-13
Also published as: TWI791050B; TW201926943A; CN109905350A; CN109905350B

Abstract

本申请提供了一种数据传输方法及***，其中一种方法包括：与终端设备中可信执行环境的TAM安全应用进行双向认证，在双向认证通过后协商出会话密钥；利用所述会话密钥对待发送至安全应用的数据进行加密操作；发送加密后的数据和所述安全应用的应用标识至终端设备的TAM安全应用。TAM服务器发送加密后的数据至TAM安全应用的过程，相当于在安全通道传输数据。这样可以防止数据暴露在非可信环境中，从而保护数据。

Description

一种数据传输方法及***

本申请要求2017年12月08日递交的申请号为201711292803.9、发明名称为“一种数据传输方法及***”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种数据传输方法及***。

背景技术

终端设备包括可信执行环境(Trusted Execution Environment，TEE)和丰富执行环境(Rich Execution Environment，REE)，丰富执行环境又称不可信执行环境。

通常情况下，终端设备安装应用的过程中，会在丰富执行环境安装应用的客户端(也即业务客户端)，在可信执行环境安装应用的安全端(业务安全应用)。业务客户端用于执行用户操作，业务安全应用用于保护支付、指纹和数字版权等敏感资源。

在实际业务中，应用对应的服务器(后续称为应用服务器)需要发送敏感资源至终端设备的可信执行环境TEE内的业务安全应用；例如，应用服务器需要更新业务安全应用中数字证书，应用服务器下发支付二维码至业务安全应用等。

目前，应用服务器发送敏感资源至业务安全应用的过程可以为：应用服务器可以与终端设备中非可信执行环境的业务客户端建立安全通道，然后通过安全通道发送加密后的敏感资源至业务客户端。业务客户端解密加密后的敏感资源获得敏感资源，并将敏感资源传输到可信执行环境的业务安全应用中。

但是，终端设备中的业务客户端处于具有开放性的非可信执行环境中，在业务客户端获得解密后的敏感资源后，会导致敏感资源暴露在非可信执行环境中，因此存在敏感资源泄露的风险。

发明内容

鉴于此，本申请提供一种数据传输方法及***，可以直接提供端到端的安全通道，即在应用服务器与业务安全应用之间建立安全通道，从而可以防止敏感资源泄露。

为了实现上述目的，本申请提供了以下技术特征：

一种数据传输***，包括：

应用服务器，用于将安全应用的应用标识和待发送至所述安全应用的数据发送至 TAM服务器；

TAM服务器，用于与可信执行环境的TAM安全应用进行双向认证，并在双向认证成功后协商出会话密钥；接收所述应用服务器发送的应用标识和所述数据，利用所述会话密钥对所述数据进行加密操作，发送加密后的数据和所述应用标识至终端设备；

终端设备，用于控制可信执行环境中的TAM安全应用与所述TAM服务器进行双向认证，并在双向认证成功后协商出会话密钥；非可信执行环境的TAM客户端接收所述TAM服务器发送的所述加密后的数据和所述应用标识，并传输所述加密后的数据和所述应用标识至所述TAM安全应用；所述TAM安全应用利用所述会话密钥解密所述加密后的数据获得数据，发送该数据至所述应用标识对应的所述安全应用。

可选的，所述可信执行环境中的TAM安全应用与所述TAM服务器进行双向认证，具体包括：

所述TAM服务器经所述TAM客户端发送身份认证请求至所述TAM安全应用，所述TAM安全应用生成身份认证凭证，所述TAM安全应用经所述TAM客户端发送身份认证凭证至所述TAM服务器，所述TAM服务器基于所述身份认证请求和所述身份认证凭证对所述TAM安全应用进行身份认证；

所述TAM安全应用经所述TAM客户端发送身份认证请求至所述TAM服务器，所述TAM服务器生成身份认证凭证，所述TAM服务器经所述TAM客户端发送身份认证凭证至所述TAM安全应用，所述TAM安全应用基于所述身份认证请求和所述身份认证凭证对所述TAM服务器进行身份认证；

所述TAM服务器与所述TAM安全应用双向认证成功后，基于所述身份认证请求和所述身份认证凭证确定会话密钥。

可选的，所述终端设备执行发送该数据至所述应用标识对应的所述安全应用的过程，具体包括：

所述TAM安全应用调用可信执行环境的内部应用程序接口；

通过所述内部应用程序接口发送该数据至所述应用标识对应的所述安全应用。

一种数据传输方法，包括：

与终端设备中可信执行环境的TAM安全应用进行双向认证，在双向认证通过后协商出会话密钥；

利用所述会话密钥对待发送至安全应用的数据进行加密操作；

发送加密后的数据和所述安全应用的应用标识至终端设备的TAM安全应用。

可选的，所述与终端设备中可信执行环境的TAM安全应用进行双向认证，在双向认证通过后协商出会话密钥包括：

发送身份认证请求至终端设备中非可信执行环境的TAM客户端，并由所述TAM客户端传输至所述身份认证请求至所述TAM安全应用，获得所述TAM安全应用发送的身份认证凭证，对所述TAM安全应用进行身份认证；

接收所述TAM安全应用经所述TAM客户端发送的身份认证请求，生成身份认证凭证，经所述TAM客户端发送所述身份认证凭证至所述TAM安全应用，供所述TAM安全应用对TAM服务器进行身份认证；

所述TAM服务器对TAM安全应用对认证成功后，基于所述身份认证请求和所述身份认证凭证确定会话密钥。

可选的，所述发送加密后的数据和所述安全应用的应用标识至终端设备的TAM安全应用，包括：

发送所述加密后的数据和所述应用标识至所述TAM客户端，并经所述TAM客户端发送所述加密后的数据和所述应用标识至所述TAM安全应用。

一种数据传输方法，包括：

可信执行环境中的TAM安全应用与TAM服务器进行双向认证，在双向认证通过后协商出会话密钥；

非可信执行环境的TAM客户端接收所述TAM服务器发送的加密后的数据和应用标识，并传输所述加密后的数据和所述应用标识至所述TAM安全应用；

所述TAM安全应用利用所述会话密钥解密所述加密后的数据获得数据，并发送该数据至所述应用标识对应的安全应用。

可选的，可信执行环境中的TAM安全应用与TAM服务器进行双向认证，在双向认证通过后协商出会话密钥，包括：

所述TAM安全应用经所述TAM客户端接收所述TAM服务器发送的身份认证请求，生成身份认证凭证，经所述TAM客户端发送所述身份认证凭证至所述TAM服务器，供所述TAM服务器对所述TAM安全应用进行身份认证；

所述TAM安全应用经所述TAM客户端发送身份认证请求至所述TAM服务器，并获取所述TAM服务器发送的身份认证凭证，对所述TAM服务器进行身份认证；

所述TAM安全应用对所述TAM安全应用验证成功后，基于所述身份认证请求和所述身份认证凭证确定会话密钥。

可选的，所述传输所述加密后的数据和所述应用标识至所述TAM安全应用，包括：

所述TAM客户端调用可信执行环境的应用程序接口；

通过该应用程序接口传输所述加密后的数据和所述应用标识至所述TAM安全应用。

所述TAM安全应用调用可信执行环境的内部应用程序接口；

通过该应用程序接口发送该数据至所述应用标识对应的安全应用。

一种数据传输***，包括：

应用服务器，用于与可信执行环境的业务安全应用进行双向认证，并在双向认证成功后协商出会话密钥；利用所述会话密钥对数据进行加密操作，发送加密后的数据至终端设备；

终端设备，用于控制可信执行环境中的业务安全应用与所述应用服务器进行双向认证，并在双向认证成功后协商出会话密钥；非可信执行环境的业务客户端接收所述应用服务器发送的所述加密后的数据，并传输所述加密后的数据至所述业务安全应用；所述业务安全应用利用所述会话密钥解密所述加密后的数据获得数据。

一种数据传输方法，包括：

与终端设备中可信执行环境的业务安全应用进行双向认证，在双向认证通过后协商出会话密钥；

利用所述会话密钥对待发送至业务安全应用的数据进行加密操作；

发送加密后的数据至终端设备的业务安全应用。

一种数据传输方法，包括：

可信执行环境中的业务安全应用与应用服务器进行双向认证，在双向认证通过后协商出会话密钥；

非可信执行环境的业务客户端接收应用服务器发送的加密后的数据，并传输所述加密后的数据至所述业务安全应用；

所述安全应用利用所述会话密钥解密所述加密后的数据获得数据。

通过以上技术手段，可以实现以下有益效果：

本申请直接在TAM服务器与可信执行环境中的TAM安全应用之间进行双向认证并协商出会话密钥，这相当于在TAM服务器与TAM安全应用之间建立安全通道。TAM服务器在安全通道发送加密后的数据至TAM安全应用，再由TAM安全应用传输至业务安全应用。

TAM服务器发送加密后的数据至TAM安全应用的过程，相当于在安全通道传输数据。这样在数据为敏感资源的情况下，可以防止敏感资源暴露在非可信环境中，从而保护敏感资源。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例公开的一种数据传输***的结构示意图；

图2为本申请实施例公开的一种数据传输方法的流程图；

图3为本申请实施例公开的又一种数据传输方法的流程图；

图4a为本申请实施例公开的一种数据传输***的结构示意图；

图4b为本申请实施例公开的一种数据传输方法的流程图；

图5为本申请实施例公开的又一种数据传输方法的流程图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

术语解释：

敏感资源：密钥、数字证书和重要数据等需要安全保护的资源。

TEE：英文全称Trusted Execution Environment，中文全称可信执行环境，TEE具有独立的操作***，用于存储、处理和保护敏感资源。

REE：英文全称Rich Execution Environment，中文全称丰富执行环境，由于具有开放性所以又称非可信执行环境。非可信执行环境处理能力较强，安全性较弱。

TAM：英文全称Trusted Application Manager，中文全称可信应用管理***。可信应用管理***用于管理TEE内部的安全应用。

TA：英文全称Trusted Application，中文全称安全应用，运行在TEE内部的应用称为安全应用。

为了便于理解和描述，本申请说明书以敏感资源作为数据的一种示例，进行详细描述。可以理解的是，在其它应用场景下数据可以为其它实现形式，本申请不限定数据的具体内容和形式。

为了便于本领域技术人员了解，本申请提供一种数据传输***实施例一。参见图1，包括：应用服务器100和终端设备200。终端设备的不可信执行环境包括业务客户端，终端设备的可信执行环境包括业务安全应用。

根据本申请的一个实施例，提供一种数据传输方法实施例一。参见图2，包括以下步骤：

步骤S201：应用服务器100与可信执行环境的业务安全应用进行双向认证，并在认证成功后协商出会话密钥。

应用服务器经业务客户端发送身份认证请求至业务安全应用，业务安全应用生成身份认证凭证，业务安全应用经业务客户端发送身份认证凭证应用至服务器。应用服务器基于身份认证请求和身份认证凭证对业务安全应用进行身份认证。应用服务器对业务安全应用认证成功后，基于身份认证请求和身份认证凭证确定会话密钥。

与此同时，业务安全应用经业务客户端发送身份认证请求至应用服务器，应用服务器生成身份认证凭证，应用服务器经业务客户端发送身份认证凭证至业务安全应用。业务安全应用基于身份认证请求和身份认证凭证对应用服务器进行身份认证。业务安全应用对应用服务器认证成功后，基于身份认证请求和身份认证凭证确定会话密钥。

参见图3，以“支付宝”应用为例对本步骤进行举例说明：“支付宝”应用服务器经“支付宝”的客户端与“支付宝”安全应用进行双向认证，并在认证成功后协商出会话密钥。

关于双向认证的具体过程以及协商会话密钥的具体过程已为成熟技术，在此不再赘述。

本申请直接在应用服务器与可信执行环境中的业务安全应用之间进行双向认证并协商出会话密钥，这相当于在应用服务器与业务安全应用之间建立安全通道。后续，应用服务器100与业务安全应用之间可以采用安全通道交互敏感资源。

步骤S202：应用服务器100利用会话密钥对敏感资源进行加密，发送加密后的敏感资源至业务客户端，业务客户端传输加密后的敏感资源至业务安全应用。

应用服务器100利用会话密钥对敏感资源进行加密，获得加密后的敏感资源。然后，由于外界设备不能直接与业务安全应用进行交互，所以应用服务器100发送加密后的敏感资源至业务客户端。

业务客户端会调用可信执行环境的应用程序接口TEE Client API，传输加密后的敏感资源至业务安全应用。

参见图3，继续以“支付宝”应用为例对本步骤进行举例说明：“支付宝”应用服务器100利用会话密钥对敏感资源进行加密，发送加密后的敏感资源至“支付宝”客户端，“支付宝”客户端传输加密后的敏感资源至“支付宝”安全应用。

由于在应用服务器与业务安全应用传输过程中，传输的为加密后的敏感资源，所以，相当于在安全通道传输敏感资源。因此，本申请不存在敏感资源暴露在非可信环境的问题，所以可以保护敏感资源。

步骤S203：业务安全应用利用会话密钥解密加密后的敏感资源。

业务安全应用可以利用步骤S101中协商出的会话密钥，解密加密后的敏感资源，从而获得并使用敏感资源。

继续以“支付宝”应用为例对本步骤进行举例说明：“支付宝”安全应用利用会话密钥解密加密后的敏感资源，从而获得并使用敏感资源。

通过以上技术手段，可以实现以下有益效果：

本申请直接在应用服务器与可信执行环境中的业务安全应用之间进行双向认证并协商出会话密钥，这相当于在应用服务器与业务安全应用之间建立安全通道。

应用服务器发送加密后的敏感资源至业务安全应用的过程，相当于在安全通道传输敏感资源。这样可以防止敏感资源暴露在非可信环境中，从而保护敏感资源。

可以理解的是，终端设备包含很多应用。对于各个应用而言：应用对应的应用服务器与应用对应的安全应用，均可以采用图2所示的方案，以便实现应用服务器发送敏感资源至安全应用的目的。

可以理解的是，在终端设备包含很多应用的情况下，各个应用的应用服务器与业务安全应用均需要进行双向认证并协商会话密钥的过程。对终端设备而言，需要花费较多资源在双向认证并协商会话密钥的过程。

为了更加简单方便的实现应用服务器发送敏感资源至业务安全应用的方案，根据本申请的另一实施例，提供一种数据传输***实施例二。参见图4a，包括：多个应用服务器100、TAM服务器300和终端设备200。

本实施例中在应用服务器100与终端设备200之间增加TAM服务器300，并在终端设备的非可信执行环境安装与TAM服务器协同工作的TAM客户端，在可信执行环境安装与TAM客户端协同工作的TAM安全应用。

本实施例中，各个应用对应的应用服务器、业务客户端和业务安全应用，无需再执行双向认证和协商密钥的繁琐过程，各个应用服务器仅需将敏感资源和应用标识发送至TAM服务器。

由TAM服务器、TAM客户端和TAM安全应用协同工作，由TAM服务器与TAM安全应用的双向认证并协商对称密钥的过程，代替实施例一中各个应用服务器与各个业务安全应用的双向认证并协商对称密钥的过程。

本实施例中多个应用服务器均可以通过数据传输***实施例二来管理敏感资源，不需要再为各个应用服务器单独维护数据传输***实施例一，从而可以减少应用开发和维护的工作量。

根据本申请提供的另一实施例，提供一种数据传输方法的实施例二。由于各个应用服务器的执行过程是一致的，因此以一个应用服务器为例，对数据传输***实施例二的执行过程进行描述。

参见图4b，包括以下步骤：

步骤S401：应用服务器100发送业务安全应用的应用标识和敏感资源至TAM服务器300。

参见图5，以“支付宝”应用为例，“支付宝”应用对应的应用服务器100发送“支付宝”的应用标识和需要向“支付宝”的安全应用发送的敏感资源发送至TAM服务器300。

步骤S402：TAM服务器300与可信执行环境的TAM安全应用进行双向认证，并在双向认证成功后协商出会话密钥。

参见图5，TAM服务器经TAM客户端发送身份认证请求至TAM安全应用，TAM安全应用生成身份认证凭证，TAM安全应用经TAM客户端发送身份认证凭证至所述TAM服务器。TAM服务器基于身份认证请求和身份认证凭证对所述TAM安全应用进行身份认证。TAM服务器对TAM安全应用认证成功后，基于身份认证请求和身份认证凭证确定会话密钥。

参见图5，TAM安全应用经TAM客户端发送身份认证请求至TAM服务器，TAM服务器生成身份认证凭证，TAM服务器经TAM客户端发送身份认证凭证至TAM安全应用。TAM安全应用基于身份认证请求和身份认证凭证对TAM服务器进行身份认证；TAM安全应用对TAM服务器认证成功后，基于身份认证请求和身份认证凭证确定会话密钥。

步骤S403：TAM服务器300接收所述应用服务器发送的应用标识和所述敏感资源，利用所述会话密钥对所述敏感资源进行加密操作，发送加密后的敏感资源和所述应用标识至终端设备中非可信执行环境的TAM客户端。

步骤S404：非可信执行环境的TAM客户端接收所述TAM服务器发送的所述加密后的敏感资源和所述应用标识，并传输所述加密后的敏感资源和所述应用标识至所述TAM安全应用。

TAM客户端会调用可信执行环境的应用程序接口TEE Client API，传输加密后的敏感资源至TAM安全应用。

由于在TAM服务器与TAM安全应用传输过程中，传输的为加密后的敏感资源，所以，相当于在安全通道传输敏感资源。因此，本申请不存在敏感资源暴露在非可信环境的问题，所以可以保护敏感资源。

步骤S405：所述TAM安全应用利用所述会话密钥解密所述加密后的敏感资源获得敏感资源，发送该敏感资源至所述应用标识对应的安全应用。

TAM安全应用解密加密后的敏感资源并获得敏感资源后，通过调用可信执行环境的内部应用程序接口(TEE Internal API)，将敏感资源最终传输到应用标识对应的安全应用中。

参见图5，继续以“支付宝”应用为例对本步骤进行举例说明：TAM安全应用通过TEE Internal API，发送加密后的敏感资源至“支付宝”应用标识对应的“支付宝”安全应用。

通过以上技术手段，可以实现以下有益效果：

本申请直接在TAM服务器与可信执行环境中的TAM安全应用之间进行双向认证并协商出会话密钥，这相当于在TAM服务器与TAM安全应用之间建立安全通道。TAM 服务器在安全通道发送加密后的敏感数据至TAM安全应用，再由TAM安全应用传输至业务安全应用。

TAM服务器发送加密后的敏感资源至TAM安全应用的过程，相当于在安全通道传输敏感资源。这样可以防止敏感资源暴露在非可信环境中，从而保护敏感资源。

并且，本实施例中多个应用服务器均可以通过数据传输***实施例二来管理敏感资源，不需要再为各个应用服务器单独维护数据传输***实施例一，从而可以减少应用开发和维护的工作量。

本实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算设备可读取存储介质中。基于这样的理解，本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一台计算设备(可以是个人计算机，服务器，移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

一种数据传输***，其特征在于，包括：

应用服务器，用于将安全应用的应用标识和待发送至所述安全应用的数据发送至TAM服务器；

TAM服务器，用于与可信执行环境的TAM安全应用进行双向认证，并在双向认证成功后协商出会话密钥；接收所述应用服务器发送的应用标识和所述数据，利用所述会话密钥对所述数据进行加密操作，发送加密后的数据和所述应用标识至终端设备；

终端设备，用于控制可信执行环境中的TAM安全应用与所述TAM服务器进行双向认证，并在双向认证成功后协商出会话密钥；非可信执行环境的TAM客户端接收所述TAM服务器发送的所述加密后的数据和所述应用标识，并传输所述加密后的数据和所述应用标识至所述TAM安全应用；所述TAM安全应用利用所述会话密钥解密所述加密后的数据获得数据，发送该数据至所述应用标识对应的所述安全应用。
如权利要求1所述的***，其特征在于，所述可信执行环境中的TAM安全应用与所述TAM服务器进行双向认证，具体包括：

所述TAM服务器经所述TAM客户端发送身份认证请求至所述TAM安全应用，所述TAM安全应用生成身份认证凭证，所述TAM安全应用经所述TAM客户端发送身份认证凭证至所述TAM服务器，所述TAM服务器基于所述身份认证请求和所述身份认证凭证对所述TAM安全应用进行身份认证；

所述TAM安全应用经所述TAM客户端发送身份认证请求至所述TAM服务器，所述TAM服务器生成身份认证凭证，所述TAM服务器经所述TAM客户端发送身份认证凭证至所述TAM安全应用，所述TAM安全应用基于所述身份认证请求和所述身份认证凭证对所述TAM服务器进行身份认证；

所述TAM服务器与所述TAM安全应用双向认证成功后，基于所述身份认证请求和所述身份认证凭证确定会话密钥。
如权利要求1所述的***，其特征在于，所述终端设备执行发送该数据至所述应用标识对应的所述安全应用的过程，具体包括：

所述TAM安全应用调用可信执行环境的内部应用程序接口；

通过所述内部应用程序接口发送该数据至所述应用标识对应的所述安全应用。
一种数据传输方法，其特征在于，包括：

与终端设备中可信执行环境的TAM安全应用进行双向认证，在双向认证通过后协商出会话密钥；

利用所述会话密钥对待发送至安全应用的数据进行加密操作；

发送加密后的数据和所述安全应用的应用标识至终端设备的TAM安全应用。
如权利要求4所述的方法，其特征在于，所述与终端设备中可信执行环境的TAM安全应用进行双向认证，在双向认证通过后协商出会话密钥包括：

发送身份认证请求至终端设备中非可信执行环境的TAM客户端，并由所述TAM客户端传输至所述身份认证请求至所述TAM安全应用，获得所述TAM安全应用发送的身份认证凭证，对所述TAM安全应用进行身份认证；

接收所述TAM安全应用经所述TAM客户端发送的身份认证请求，生成身份认证凭证，经所述TAM客户端发送所述身份认证凭证至所述TAM安全应用，供所述TAM安全应用对TAM服务器进行身份认证；

所述TAM服务器对TAM安全应用对认证成功后，基于所述身份认证请求和所述身份认证凭证确定会话密钥。
如权利要求4所述的方法，其特征在于，所述发送加密后的数据和所述安全应用的应用标识至终端设备的TAM安全应用，包括：

发送所述加密后的数据和所述应用标识至所述TAM客户端，并经所述TAM客户端发送所述加密后的数据和所述应用标识至所述TAM安全应用。
一种数据传输方法，其特征在于，包括：

可信执行环境中的TAM安全应用与TAM服务器进行双向认证，在双向认证通过后协商出会话密钥；

非可信执行环境的TAM客户端接收所述TAM服务器发送的加密后的数据和应用标识，并传输所述加密后的数据和所述应用标识至所述TAM安全应用；

所述TAM安全应用利用所述会话密钥解密所述加密后的数据获得数据，并发送该数据至所述应用标识对应的安全应用。
如权利要求7所述的方法，其特征在于，可信执行环境中的TAM安全应用与TAM服务器进行双向认证，在双向认证通过后协商出会话密钥，包括：

所述TAM安全应用经所述TAM客户端接收所述TAM服务器发送的身份认证请求，生成身份认证凭证，经所述TAM客户端发送所述身份认证凭证至所述TAM服务器，供所述TAM服务器对所述TAM安全应用进行身份认证；

所述TAM安全应用经所述TAM客户端发送身份认证请求至所述TAM服务器，并获取所述TAM服务器发送的身份认证凭证，对所述TAM服务器进行身份认证；

所述TAM安全应用对所述TAM安全应用验证成功后，基于所述身份认证请求和所述身份认证凭证确定会话密钥。
如权利要求7所述的方法，其特征在于，所述传输所述加密后的数据和所述应用标识至所述TAM安全应用，包括：

所述TAM客户端调用可信执行环境的应用程序接口；

通过该应用程序接口传输所述加密后的数据和所述应用标识至所述TAM安全应用。
如权利要求7所述的方法，其特征在于，所述传输所述加密后的数据和所述应用标识至所述TAM安全应用，包括：

所述TAM安全应用调用可信执行环境的内部应用程序接口；

通过该应用程序接口发送该数据至所述应用标识对应的安全应用。
一种数据传输***，其特征在于，包括：

应用服务器，用于与可信执行环境的业务安全应用进行双向认证，并在双向认证成功后协商出会话密钥；利用所述会话密钥对数据进行加密操作，发送加密后的数据至终端设备；

终端设备，用于控制可信执行环境中的业务安全应用与所述应用服务器进行双向认证，并在双向认证成功后协商出会话密钥；非可信执行环境的业务客户端接收所述应用服务器发送的所述加密后的数据，并传输所述加密后的数据至所述业务安全应用；所述业务安全应用利用所述会话密钥解密所述加密后的数据获得数据。
一种数据传输方法，其特征在于，包括：

与终端设备中可信执行环境的业务安全应用进行双向认证，在双向认证通过后协商出会话密钥；

利用所述会话密钥对待发送至业务安全应用的数据进行加密操作；

发送加密后的数据至终端设备的业务安全应用。
一种数据传输方法，其特征在于，包括：

可信执行环境中的业务安全应用与应用服务器进行双向认证，在双向认证通过后协商出会话密钥；

非可信执行环境的业务客户端接收应用服务器发送的加密后的数据，并传输所述加密后的数据至所述业务安全应用；

所述安全应用利用所述会话密钥解密所述加密后的数据获得数据。