CN105307163B - 一种安全通信方法及装置 - Google Patents

一种安全通信方法及装置 Download PDF

Info

Publication number
CN105307163B
CN105307163B CN201510869789.9A CN201510869789A CN105307163B CN 105307163 B CN105307163 B CN 105307163B CN 201510869789 A CN201510869789 A CN 201510869789A CN 105307163 B CN105307163 B CN 105307163B
Authority
CN
China
Prior art keywords
trusted applications
user
safety chip
identity information
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510869789.9A
Other languages
English (en)
Other versions
CN105307163A (zh
Inventor
张景宇
杨俊�
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hengbao Co Ltd
Original Assignee
Hengbao Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hengbao Co Ltd filed Critical Hengbao Co Ltd
Priority to CN201510869789.9A priority Critical patent/CN105307163B/zh
Publication of CN105307163A publication Critical patent/CN105307163A/zh
Application granted granted Critical
Publication of CN105307163B publication Critical patent/CN105307163B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提出一种安全通信方法及装置,其中该方法包括安全芯片与受信应用通过基本信息认证,外部认证,二次认证建立连接,受信应用与用户应用通过基本信息认证,外部认证,二次认证建立连接,安全芯片与用户应用建立逻辑连接,通过在业务通信前建立安全通道,在安全通道内通信的数据全部加密传输,使得链路中的数据不再透明,该方法可有效防止窃听,确保业务的安全执行,并且无需增加外部设备,增强了用户的体验。

Description

一种安全通信方法及装置
技术领域
本发明涉及一种通信技术,特别是涉及一种安全通信方法及装置。
背景技术
目前,移动终端中的应用运行环境一般包括两种:一种为富执行环境(RichExecution Environment,REE),在REE中可以执行任意应用CA;另一种为可信任执行环境(Trusted Execution Environment,TEE),TEE可以支持受信应用TA的安全启动、安全性管理等安全特性,具体地,TEE通过在移动终端内预置相关的密钥,或者动态写入相关密钥,在下载、启动或者运行受信应用TA时执行一系列的安全操作,从而提高移动终端进行信息处理的安全性。
TEE在根据其预置或动态写入的密钥对应用执行安全操作时,首先从移动终端核心芯片的ROM中或者TEE的OS中获取相关密钥,然后TEE根据所述相关密钥执行相关的安全操作。
除了芯片商公钥存储在移动终端核心芯片的ROM中以外,其他密钥都存储在TEEOS内,由于TEE中OS采用Flash作为存储介质,该介质不是安全的,如果用于存储安全性要求非常高的密钥,则存在被破解的风险,因此,移动终端进行信息处理的安全性仍然较差。
虽然目前有将密钥预设在安全芯片SE中的方法,但是SE与TEE中的受信应用TA进行通信,或者受信应用TA与REE中的应用CA进行通信均采用的是明文通信,链路数据透明,因此容易造成被监听,危害通信交互的安全,另外,密文通信会增加系统开销,用户体验差。
发明内容
为了解决上述问题,本发明提出一种安全通信方法和装置。
本申请提出的一种安全通信方法,基于一种安全通信装置,所述装置包括安全芯片SE、受信应用TA和用户应用CA,所述方法包括:
步骤S1:安全芯片SE与受信应用TA建立连接;
步骤S2:受信应用TA与用户应用CA建立连接;
步骤S3:安全芯片SE与用户应用CA建立逻辑连接;
其中,受信应用包括通信模块;
在步骤S1中,通信模块接收安全芯片发送的确认应用指令,向安全芯片回复TA身份信息;
在步骤S2中,通信模块向用户应用发送确认应用指令,接收用户应用发送的CA身份信息及确认应用指令,向用户应用发送TA身份信息,接收用户应用发送的外部认证指令,用户应用发送公钥,接收用户应用发送的发送公钥加密的会话密钥;
步骤S2还包括:受信应用与用户应用进行二次认证。
更优选的,所述安全芯片SE与受信应用TA建立连接的方法包括:
步骤S101:安全芯片SE与受信应用TA进行基本信息认证;
步骤S102:安全芯片SE与受信应用TA进行外部认证;
步骤S103:安全芯片SE与受信应用TA进行二次认证。
更优选的,所述安全芯片SE与受信应用TA进行基本信息认证的方法包括:
步骤S1011:安全芯片SE向受信应用TA发送确认应用指令;
步骤S1012:受信应用TA向安全芯片SE回复身份信息,并发送确认硬件指令;
步骤S1013:安全芯片SE校验受信应用TA的身份信息,校验成功向受信应用TA回复身份信息,失败则退出该方法;
步骤S1014:受信应用TA校验安全芯片SE的身份信息,完成基本认证。
更优选的,所述安全芯片SE与受信应用TA进行外部认证的方法包括:
步骤S1021:受信应用TA向安全芯片SE发送外部认证指令;
步骤S1022:安全芯片SE判断是否有公钥,没有则继续,有则执行步骤S1024;
步骤S1023:安全芯片SE生成公私钥对;
步骤S1024:安全芯片SE向受信应用TA发送公钥;
步骤S1025:受信应用TA生成随机数,用作会话密钥,并用安全芯片SE公钥加密会话密钥;
步骤S1026:受信应用TA向安全芯片SE发送公钥加密的会话密钥;
步骤S1027:安全芯片SE用私钥解密得到受信应用TA会话密钥,完成外部认证。
更优选的,所述安全芯片SE与受信应用TA进行二次认证的方法包括:
步骤S1031:安全芯片SE对解析出的会话密钥进行解析,如果解析匹配建立通信,如果不匹配则继续;
步骤S1032:安全芯片SE向受信应用TA发送认证身份信息请求;
步骤S1033:受信应用TA向安全芯片SE发送身份信息;
步骤S1034:安全芯片SE对身份信息进行再次验证,验证成功则重新建立安全通道,验证失败则继续;
步骤S1035:安全芯片SE中断操作,并告警。
更优选的,所述受信应用TA与用户应用CA建立连接的方法包括:
步骤S201:受信应用TA与用户应用CA进行基本信息认证;
步骤S202:受信应用TA与用户应用CA进行外部认证;
步骤S203:受信应用TA与用户应用CA进行二次认证。
更优选的,所述受信应用TA与用户应用CA进行基本信息认证的方法包括:
步骤S2011:受信应用TA向用户应用CA发送确认应用指令;
步骤S2012:用户应用CA向受信应用TA回复身份信息,并发送确认硬件指令;
步骤S2013:受信应用TA校验用户应用CA的身份信息,校验成功向受信应用TA回复身份信息,失败则退出该方法;
步骤S2014:用户应用CA校验受信应用TA的身份信息,完成基本认证。
更优选的,所述受信应用TA与用户应用CA进行外部认证的方法包括:
步骤S2021:用户应用CA向受信应用TA发送外部认证指令;
步骤S2022:受信应用TA判断是否有公钥,没有则继续,有则执行步骤S2024;
步骤S2023:受信应用TA生成公私钥对;
步骤S2024:受信应用TA向用户应用CA发送公钥;
步骤S2025:用户应用CA生成随机数,用作会话密钥,并用受信应用TA公钥加密会话密钥;
步骤S2026:用户应用CA向受信应用TA发送公钥加密的会话密钥;
步骤S2027:受信应用TA用私钥解密得到用户应用CA会话密钥,完成外部认证。
更优选的,所述受信应用TA与用户应用CA进行二次认证的方法包括:
步骤S2031:受信应用TA对解析出的会话密钥进行解析,如果解析匹配建立通信,如果不匹配则继续;
步骤S2032:受信应用TA向用户应用CA发送认证身份信息请求;
步骤S2033:用户应用CA向受信应用TA发送身份信息;
步骤S2034:受信应用TA对身份信息进行验证,验证成功则重新建立安全通道,验证失败则继续;
步骤S2035:受信应用TA中断操作,并告警。
本申请还提出一种安全通信装置,所述装置包括安全芯片SE、受信应用TA和用户应用CA,具体为:
安全芯片SE,用于与受信应用TA进行基本信息认证,外部认证,二次认证并建立通信;
受信应用TA,用于与安全芯片SE和用户应用CA分别进行基本信息认证,外部认证,二次认证并分别建立通信;其中所述受信应用包括通信模块,通信模块用于接收安全芯片发送的确认应用指令、向安全芯片回复TA身份信息、向用户应用发送确认应用指令、接收用户应用发送的CA身份信息及确认应用指令、向用户应用发送TA身份信息、接收用户应用发送的外部认证指令,向用户应用发送公钥,接收用户应用发送的发送公钥加密的会话密钥;
用户应用CA,用于与受信应用TA进行基本信息认证,外部认证,二次认证并建立通信。
本发明提出提出一种安全通信方法和装置,通过在业务通信前建立安全通道,在安全通道内通信的数据全部加密传输,使得链路中的数据不再透明,该方法可有效防止窃听,确保业务的安全执行。
附图说明
图1是本申请安全通信装置的结构示意图;
图2是本申请安全通信装置安全芯片的结构示意图
图3是本申请安全通信装置受信应用的结构示意图
图4是本申请安全通信装置用户应用的结构示意图
图5是本申请安全通信方法的流程图
图6是本申请安全通信方法安全芯片与受信应用建立通信的流程图
图7是本申请安全通信方法安全芯片与受信应用信息认证的流程图
图8是本申请安全通信方法安全芯片与受信应用外部认证的流程图
图9是本申请安全通信方法安全芯片与受信应用二次认证的流程图
图10是本申请安全通信方法受信应用与用户应用建立通信的流程图
图11是本申请安全通信方法受信应用与用户应用信息认证的流程图
图12是本申请安全通信方法受信应用与用户应用外部认证的流程图
图13是本申请安全通信方法受信应用与用户应用二次认证的流程图
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
本申请提出一种安全通信装置,如图1所示,包括安全芯片101、受信应用102和用户应用103,下面介绍各个组成部分,其中:
一、安全芯片101,用于与受信应用102建立连接,并且通过受信应用102与用户应用103通信;
具体为:所述安全芯片101向所述安全应用受信应用102发送确认应用指令,接收安全应用受信应用102发送的TA身份信息,校验安全应用受信应用102的TA身份信息;向安全应用受信应用102发送SE身份信息;接收安全应用受信应用102发送的外部认证指令,判断该外部认证指令中是否携带有公钥,如果没有则生成公私钥对,并向安全应用受信应用102发送生成的公钥;接收安全应用受信应用102发送的发送使用所述公钥加密的会话密钥,并用私钥解密得到安全应用受信应用102会话密钥,对解析出的会话密钥进行解析验证,验证失败则对安全应用受信应用102身份信息进行再次验证,若验证不符,则中断操作,并告警。
更具体的,所述TA身份信息为授信应用的UID等;所述SE身份信息为安全芯片的信号、产商等。
二、受信应用102,用于与安全芯片101和用户应用103建立连接,并在安全芯片101和用户应用103之间转发信息。
具体为:所述受信应用102接收安全芯片101发送的确认应用指令,向安全芯片101回复TA身份信息,并向安全芯片101发送确认硬件指令,接收安全芯片101发送的SE身份信息,校验安全芯片101的SE身份信息,受信应用102向安全芯片101发送外部认证指令,接收安全芯片101发送的公钥,生成随机数,并用安全芯片101公钥加密会话密钥,向安全芯片101发送公钥加密的会话密钥,接收安全芯片101发送的认证身份信息请求,向安全芯片101发送身份信息;
所述受信应用102向所述用户应用103发送确认应用指令,接收用户应用103发送的CA身份信息,校验用户应用103的CA身份信息,向用户应用103发送TA身份信息,接收用户应用103发送的外部认证指令,判断是否有公钥,如果没有则生成公私钥对,向用户应用103发送公钥,接收用户应用103发送的发送公钥加密的会话密钥,用私钥解密得到用户应用103会话密钥,对解析出的会话密钥进行解析验证,验证失败则对用户应用103身份信息进行再次验证,若验证不符,则中断操作,并告警。
更具体的,所述TA身份信息为授信应用的UID等;所述SE身份信息为安全芯片的信号、产商等。
三、用户应用103,用于与受信应用102建立连接,并通过受信应用102与安全芯片101进行通信。
具体为:所述用户应用103接收受信应用102发送的确认应用指令,向受信应用102回复CA身份信息,并向受信应用102发送确认应用指令,接收受信应用102发送的TA身份信息,校验受信应用102的TA身份信息,用户应用103向受信应用102发送外部认证指令,接收受信应用102发送的公钥,生成随机数,并用受信应用102公钥加密会话密钥,向受信应用102发送公钥加密的会话密钥,接收受信应用102发送的认证身份信息请求,向受信应用102发送CA身份信息。
更具体的,所述TA身份信息为授信应用的UID等;所述CA身份信息为用户应用的UID等。
以上简单介绍了该装置的构成,下面详细介绍部件安全芯片101、受信应用102和用户应用103的具体内部构成。
其中安全芯片101,其结构如图2所示,包括:SE通信模块201、安全控制模块202和逻辑处理模块203。具体的:
SE通信模块201:用于向受信应用102发送确认应用指令,接收受信应用102发送的TA身份信息及确认硬件指令,向受信应用102发送SE身份信息,接收受信应用102发送的外部认证指令,受信应用102发送公钥,接收受信应用102发送的发送公钥加密的会话密钥。
安全控制模块202:用于校验受信应用102的TA身份信息,对解析出的会话密钥进行解析,对受信应用102身份信息进行再次验证。
逻辑处理模块203:用于判断是否有公钥,并生成公私钥对,用私钥解密得到受信应用102会话密钥,中断操作,并告警。
更具体的,所述TA身份信息为授信应用的UID等;所述SE身份信息为安全芯片的信号、产商等。
以上结合图2介绍了安全芯片101的结构,以下结合图3介绍受信应用102的结构。
所述安全通信装置中的受信应用102如图3所示,包括:TA通信模块301、数据加密模块302、安全控制模块303和逻辑处理模块304。具体的:
TA通信模块301,用于接收安全芯片101发送的确认应用指令,向安全芯片101回复TA身份信息,并发送确认硬件指令,接收安全芯片101发送的SE身份信息,安全芯片101发送外部认证指令,接收安全芯片101发送的公钥,向安全芯片101发送公钥加密的会话密钥,接收安全芯片101发送的认证身份信息请求,向安全芯片101发送TA身份信息,向用户应用103发送确认应用指令,接收用户应用103发送的CA身份信息及确认应用指令,向用户应用103发送TA身份信息,接收用户应用103发送的外部认证指令,用户应用103发送公钥,接收用户应用103发送的发送公钥加密的会话密钥。
更具体的,所述TA身份信息为授信应用的UID等;所述CA身份信息为用户应用的UID等。
数据加密模块302,用于生成随机数,并用安全芯片101公钥加密会话密钥。
更具体的,随机数发生器生成一个多位随机数作为公钥,所述随机数可以为二进制码、ANSI、GBK、GB2312、UTF-8、GB18030或UNICODE码中的一种或多种组合,以达到无法被普通用户解析得到为准。
安全控制模块303,用于校验安全芯片101的SE身份信息,用于校验用户应用103的CA身份信息,对解析出的会话密钥进行解析,对用户应用103身份信息进行再次验证。
更具体的,所述SE身份信息为安全芯片的信号、产商等;所述CA身份信息为用户应用的UID等。
逻辑处理模块304,用于判断是否有公钥,如果没有则生成公私钥对;用私钥解密得到用户应用103会话密钥,中断操作,并告警。
以下结合图4介绍用户应用103的结构。
所述安全通信装置中的用户应用103如图4所示,包括:CA通信模块401、数据加密模块402和安全控制模块403。具体为:
CA通信模块401,用于接收受信应用102发送的确认应用指令,向受信应用102回复CA身份信息,并发送确认应用指令,接收受信应用102发送的TA身份信息,受信应用102发送外部认证指令,接收受信应用102发送的公钥,向受信应用102发送公钥加密的会话密钥,接收受信应用102发送的认证身份信息请求,向受信应用102发送CA身份信息。
更具体的,所述TA身份信息为授信应用的UID等;所述CA身份信息为用户应用的UID等。
数据加密模块402,用于生成随机数,并用受信应用102公钥加密会话密钥。
更具体的,随机数发生器生成一个多位随机数作为公钥,所述随机数可以为二进制码、ANSI、GBK、GB2312、UTF-8、GB18030或UNICODE码中的一种或多种组合,以达到无法被普通用户解析得到为准。
安全控制模块403,用于校验受信应用102的TA身份信息。
更具体的,所述TA身份信息为授信应用的UID等。
更具体的,所述安全芯片101与所述受信应用102建立密钥通信,所述受信应用102与所述用户应用103也建立密钥通信,从而保证了当安全芯片101需要与用户应用103通信时,可以借由受信应用102的转发功能建立逻辑相连的虚链路。
基于上述安全通信装置,本申请还提出一种安全通信方法,如图5所示,包括:
步骤S1:安全芯片101与受信应用102建立连接。
具体的,如图6所示,所述步骤S1:安全芯片101与受信应用102建立连接的方法包括:
步骤S101:安全芯片101与受信应用102进行基本信息认证。
更具体的,所述步骤S101:安全芯片101与受信应用102进行基本信息认证的方法包括:
步骤S1011:安全芯片101向受信应用102发送确认应用指令。
步骤S1012:受信应用102向安全芯片101回复TA身份信息,并发送确认硬件指令。
步骤S1013:安全芯片101校验受信应用102的TA身份信息,校验成功向受信应用102回复SE身份信息,失败则退出该方法。
步骤S1014:受信应用102校验安全芯片101的SE身份信息,完成基本认证。
更具体的,所述TA身份信息为授信应用的UID等;所述SE身份信息为安全芯片的信号、产商等。
步骤S102:安全芯片101与受信应用102进行外部认证。
更具体的,所述步骤S102:安全芯片101与受信应用102进行外部认证的方法包括:
步骤S1021:受信应用102向安全芯片101发送外部认证指令。
步骤S1022:安全芯片101判断是否有公私钥对,没有则继续,有则执行步骤S1024。
步骤S1023:安全芯片101生成公钥。
步骤S1024:安全芯片101向受信应用102发送公钥。
步骤S1025:受信应用102生成随机数,用作会话密钥,并用安全芯片101公钥加密会话密钥。
更具体的,随机数发生器生成一个多位随机数,所述随机数可以为二进制码、ANSI、GBK、GB2312、UTF-8、GB18030或UNICODE码中的一种或多种组合,以达到无法被普通用户解析得到为准。
步骤S1026:受信应用102向安全芯片101发送公钥加密的会话密钥。
步骤S1027:安全芯片101用私钥解密得到受信应用102会话密钥,完成外部认证。
步骤S103:安全芯片101与受信应用102进行二次认证。
更具体的,所述步骤S103:安全芯片101与受信应用102进行二次认证的方法包括:
步骤S1031:安全芯片101对解析出的会话密钥进行解析,如果解析匹配建立通信,如果不匹配则继续;
步骤S1032:安全芯片101向受信应用102发送认证TA身份信息请求;
步骤S1033:受信应用102向安全芯片101发送TA身份信息;
步骤S1034:安全芯片101对TA身份信息进行再次验证,验证成功则重新建立安全通道,验证失败则继续;
步骤S1035:安全芯片101中断操作,并告警。
步骤S2:受信应用102与用户应用103建立连接。
具体的,所述步骤S2:受信应用102与用户应用103建立连接的方法包括:
步骤S201:受信应用102与用户应用103进行基本信息认证。
更具体的,所述步骤S201:受信应用102与用户应用103进行基本信息认证的方法包括:
步骤S2011:受信应用102向用户应用103发送确认应用指令。
步骤S2012:用户应用103向受信应用102回复CA身份信息,并发送确认应用指令。
步骤S2013:受信应用102校验用户应用103的CA身份信息,校验成功向受信应用102回复TA身份信息,失败则退出该方法。
步骤S2014:用户应用103校验受信应用102的TA身份信息,完成基本认证。
更具体的,所述TA身份信息为授信应用的UID等;所述CA身份信息为用户应用的UID等。
步骤S202:受信应用102与用户应用103进行外部认证。
更具体的,所述步骤S202:受信应用102与用户应用103进行外部认证的方法包括:
步骤S2021:用户应用103向受信应用102发送外部认证指令。
步骤S2022:受信应用102判断是否有公钥,没有则继续,有则执行步骤S2024。
步骤S2023:受信应用102生成公私钥对。
步骤S2024:受信应用102向用户应用103发送公钥。
步骤S2025:用户应用103生成随机数,用作会话密钥,并用受信应用102公钥加密会话密钥。
更具体的,随机数发生器生成一个多位随机数,所述随机数可以为二进制码、ANSI、GBK、GB2312、UTF-8、GB18030或UNICODE码中的一种或多种组合,以达到无法被普通用户解析得到为准。
步骤S2026:用户应用103向受信应用102发送公钥加密的会话密钥。
步骤S2027:受信应用102用私钥解密得到用户应用103会话密钥,完成外部认证。
步骤S203:受信应用102与用户应用103进行二次认证。
更具体的,所述步骤S203:受信应用102与用户应用103进行二次认证的方法包括:
步骤S2031:受信应用102对解析出的会话密钥进行解析,如果解析匹配建立通信,如果不匹配则继续。
步骤S2032:受信应用102向用户应用103发送认证CA身份信息请求。
步骤S2033:用户应用103向受信应用102发送CA身份信息。
步骤S2034:受信应用102对CA身份信息进行再次验证,验证成功则重新建立安全通道,验证失败则继续。
步骤S2035:受信应用102中断操作,并告警。
步骤S3:安全芯片101与用户应用103建立虚链路。
更具体的,所述安全芯片101与所述受信应用102建立密钥通信,所述受信应用102与所述用户应用103也建立密钥通信,从而保证了当安全芯片101需要与用户应用103通信时,可以借由受信应用102的转发功能建立逻辑相连的虚链路。
以上所述,仅是本发明的较佳实施例,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。

Claims (9)

1.一种安全通信方法,基于一种安全通信装置,所述装置包括安全芯片SE、受信应用TA和用户应用CA,其特征在于,所述方法包括:
步骤S1:安全芯片SE与受信应用TA建立连接;
步骤S2:受信应用TA与用户应用CA建立连接;
步骤S3:安全芯片SE与用户应用CA建立虚链路;
其中,受信应用包括通信模块;
在步骤S1中,所述安全芯片SE与受信应用TA建立连接的方法包括:
步骤S101:安全芯片SE与受信应用TA进行基本信息认证;
步骤S102:安全芯片SE与受信应用TA进行外部认证;
步骤S103:安全芯片SE与受信应用TA进行二次认证;
在步骤S2中,通信模块向用户应用发送确认应用指令,接收用户应用发送的CA身份信息及确认应用指令,向用户应用发送TA身份信息,接收用户应用发送的外部认证指令,用户应用发送公钥,接收用户应用发送的发送公钥加密的会话密钥;
步骤S2还包括:受信应用与用户应用进行二次认证。
2.如权利要求1所述的安全通信方法,其特征在于,所述安全芯片SE与受信应用TA进行基本信息认证的方法包括:
步骤S1011:安全芯片SE向受信应用TA发送确认应用指令;
步骤S1012:受信应用TA向安全芯片SE回复身份信息,并发送确认硬件指令;
步骤S1013:安全芯片SE校验受信应用TA的身份信息,校验成功向受信应用TA回复身份信息,失败则退出该方法;
步骤S1014:受信应用TA校验安全芯片SE的身份信息,完成基本认证。
3.如权利要求1所述的安全通信方法,其特征在于,所述安全芯片SE与受信应用TA进行外部认证的方法包括:
步骤S1021:受信应用TA向安全芯片SE发送外部认证指令;
步骤S1022:安全芯片SE判断是否有公钥,没有则继续,有则执行步骤S1024;
步骤S1023:安全芯片SE生成公私钥对;
步骤S1024:安全芯片SE向受信应用TA发送公钥;
步骤S1025:受信应用TA生成随机数,用作会话密钥,并用安全芯片SE公钥加密会话密钥;
步骤S1026:受信应用TA向安全芯片SE发送公钥加密的会话密钥;
步骤S1027:安全芯片SE用私钥解密得到受信应用TA会话密钥,完成外部认证。
4.如权利要求3所述的安全通信方法,其特征在于,所述安全芯片SE与受信应用TA进行二次认证的方法包括:
步骤S1031:安全芯片SE对解析出的会话密钥进行解析,如果解析匹配建立通信,如果不匹配则继续;
步骤S1032:安全芯片SE向受信应用TA发送认证身份信息请求;
步骤S1033:受信应用TA向安全芯片SE发送身份信息;
步骤S1034:安全芯片SE对身份信息进行再次验证,验证成功则重新建立安全通道,验证失败则继续;
步骤S1035:安全芯片SE中断操作,并告警。
5.如权利要求1所述的安全通信方法,其特征在于,所述受信应用TA与用户应用CA建立连接的方法包括:
步骤S201:受信应用TA与用户应用CA进行基本信息认证;
步骤S202:受信应用TA与用户应用CA进行外部认证;
步骤S203:受信应用TA与用户应用CA进行二次认证。
6.如权利要求5所述的安全通信方法,其特征在于,所述受信应用TA与用户应用CA进行基本信息认证的方法包括:
步骤S2011:受信应用TA向用户应用CA发送确认应用指令;
步骤S2012:用户应用CA向受信应用TA回复身份信息,并发送确认硬件指令;
步骤S2013:受信应用TA校验用户应用CA的身份信息,校验成功向受信应用TA回复身份信息,失败则退出该方法;
步骤S2014:用户应用CA校验受信应用TA的身份信息,完成基本认证。
7.如权利要求5所述的安全通信方法,其特征在于,所述受信应用TA与用户应用CA进行外部认证的方法包括:
步骤S2021:用户应用CA向受信应用TA发送外部认证指令;
步骤S2022:受信应用TA判断是否有公钥,没有则继续,有则执行步骤S2024;
步骤S2023:受信应用TA生成公私钥对;
步骤S2024:受信应用TA向用户应用CA发送公钥;
步骤S2025:用户应用CA生成随机数,用作会话密钥,并用受信应用TA公钥加密会话密钥;
步骤S2026:用户应用CA向受信应用TA发送公钥加密的会话密钥;
步骤S2027:受信应用TA用私钥解密得到用户应用CA会话密钥,完成外部认证。
8.如权利要求7所述的安全通信方法,其特征在于,所述受信应用TA与用户应用CA进行二次认证的方法包括:
步骤S2031:受信应用TA对解析出的会话密钥进行解析,如果解析匹配建立通信,如果不匹配则继续;
步骤S2032:受信应用TA向用户应用CA发送认证身份信息请求;
步骤S2033:用户应用CA向受信应用TA发送身份信息;
步骤S2034:受信应用TA对身份信息进行验证,验证成功则重新建立安全通道,验证失败则继续;
步骤S2035:受信应用TA中断操作,并告警。
9.一种安全通信装置,所述装置包括安全芯片SE、受信应用TA和用户应用CA,其特征在于,具体为:
安全芯片SE,用于与受信应用TA进行基本信息认证,外部认证,二次认证并建立通信,并通过受信应用TA与用户应用CA建立通信虚链路;
受信应用TA,用于与安全芯片SE和用户应用CA分别进行基本信息认证,外部认证,二次认证并分别建立通信;其中所述受信应用包括通信模块,通信模块用于接收安全芯片发送的确认应用指令、向安全芯片回复TA身份信息、向用户应用发送确认应用指令、接收用户应用发送的CA身份信息及确认应用指令、向用户应用发送TA身份信息、接收用户应用发送的外部认证指令,向用户应用发送公钥,接收用户应用发送的发送公钥加密的会话密钥;
用户应用CA,用于与受信应用TA进行基本信息认证,外部认证,二次认证并建立通信,并通过受信应用TA与安全芯片SE建立通信虚链路。
CN201510869789.9A 2015-12-01 2015-12-01 一种安全通信方法及装置 Active CN105307163B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510869789.9A CN105307163B (zh) 2015-12-01 2015-12-01 一种安全通信方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510869789.9A CN105307163B (zh) 2015-12-01 2015-12-01 一种安全通信方法及装置

Publications (2)

Publication Number Publication Date
CN105307163A CN105307163A (zh) 2016-02-03
CN105307163B true CN105307163B (zh) 2019-03-19

Family

ID=55203806

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510869789.9A Active CN105307163B (zh) 2015-12-01 2015-12-01 一种安全通信方法及装置

Country Status (1)

Country Link
CN (1) CN105307163B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109871717A (zh) 2016-02-29 2019-06-11 华为技术有限公司 一种数据安全传输装置及方法
CN105871840B (zh) * 2016-03-30 2019-08-27 恒宝股份有限公司 一种证书管理方法及系统
CN105978920B (zh) * 2016-07-28 2019-05-24 恒宝股份有限公司 一种访问可信应用的方法及ta
CN107273738A (zh) * 2017-06-22 2017-10-20 努比亚技术有限公司 一种安全控制方法、终端及计算机可读存储介质
CN110326266B (zh) * 2017-09-18 2020-12-04 华为技术有限公司 一种数据处理的方法及装置
CN108540442A (zh) * 2018-02-08 2018-09-14 北京豆荚科技有限公司 一种访问可信执行环境的控制方法
CN108737402B (zh) * 2018-05-10 2021-04-27 北京握奇智能科技有限公司 移动终端安全防护方法和装置
CN109145628B (zh) * 2018-09-06 2020-08-25 江苏恒宝智能系统技术有限公司 一种基于可信执行环境的数据采集方法及系统
CN115696318B (zh) * 2023-01-05 2023-05-09 中国电子科技集团公司第三十研究所 安全通信装置、安全认证方法和安全通信方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101765105A (zh) * 2009-12-17 2010-06-30 北京握奇数据系统有限公司 实现通信加密的方法和系统、移动终端
CN103745155A (zh) * 2014-01-03 2014-04-23 东信和平科技股份有限公司 一种可信Key及其安全操作方法
CN104636666A (zh) * 2013-11-07 2015-05-20 中国移动通信集团公司 一种用于移动终端进行安全地信息处理的方法和安全装置
CN104765612A (zh) * 2015-04-10 2015-07-08 武汉天喻信息产业股份有限公司 一种访问可信执行环境、可信应用的系统及方法
CN105101169A (zh) * 2014-05-13 2015-11-25 中国移动通信集团公司 可信执行环境处理信息的方法、装置、终端及sim卡

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101765105A (zh) * 2009-12-17 2010-06-30 北京握奇数据系统有限公司 实现通信加密的方法和系统、移动终端
CN104636666A (zh) * 2013-11-07 2015-05-20 中国移动通信集团公司 一种用于移动终端进行安全地信息处理的方法和安全装置
CN103745155A (zh) * 2014-01-03 2014-04-23 东信和平科技股份有限公司 一种可信Key及其安全操作方法
CN105101169A (zh) * 2014-05-13 2015-11-25 中国移动通信集团公司 可信执行环境处理信息的方法、装置、终端及sim卡
CN104765612A (zh) * 2015-04-10 2015-07-08 武汉天喻信息产业股份有限公司 一种访问可信执行环境、可信应用的系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
安全可信智能移动终端研究;张大伟等;《中兴通讯技术》;20150501;第21卷(第5期);1-6页

Also Published As

Publication number Publication date
CN105307163A (zh) 2016-02-03

Similar Documents

Publication Publication Date Title
CN105307163B (zh) 一种安全通信方法及装置
CN106453330B (zh) 一种身份认证的方法和系统
CN108566381A (zh) 一种安全升级方法、装置、服务器、设备和介质
US7558957B2 (en) Providing fresh session keys
CN103929306B (zh) 智能密钥设备和智能密钥设备的信息管理方法
WO2018127081A1 (zh) 一种加密密钥获取方法及系统
US8700908B2 (en) System and method for managing secure information within a hybrid portable computing device
CN104301115B (zh) 一种手机与蓝牙key签名验证密文通讯方法
CN108964922A (zh) 移动终端令牌激活方法、终端设备及服务器
CN102685749B (zh) 面向移动终端的无线安全身份验证方法
CN101631305B (zh) 一种加密方法及系统
CN101527634B (zh) 账户信息与证书绑定的系统和方法
CN106936774A (zh) 可信执行环境中的认证方法和系统
WO2015158172A1 (zh) 一种用户身份识别卡
CN101621794A (zh) 一种无线应用服务系统的安全认证实现方法
CN107645378A (zh) 密钥管理平台、通信加密方法及终端
CN108023873A (zh) 信道建立方法及终端设备
CN107493264A (zh) Otp激活方法、移动终端、服务器、存储介质及系统
CN101819614A (zh) 利用语音核验USBKey增强网络交易安全性的系统和方法
CN108199847A (zh) 数字安全处理方法、计算机设备及存储介质
CN113055157B (zh) 生物特征验证方法、装置、存储介质与电子设备
CN117081736A (zh) 密钥分发方法、密钥分发装置、通信方法及通信装置
CN107508804A (zh) 一种保护移动终端中密钥和证书的方法、装置及移动终端
CN102571341B (zh) 一种基于动态图像的认证系统及认证方法
CN106789977A (zh) 一种基于密钥分割实现手机令牌的方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant