CN107992729A - 一种控制方法、终端及用户识别模块卡 - Google Patents
一种控制方法、终端及用户识别模块卡 Download PDFInfo
- Publication number
- CN107992729A CN107992729A CN201610969967.XA CN201610969967A CN107992729A CN 107992729 A CN107992729 A CN 107992729A CN 201610969967 A CN201610969967 A CN 201610969967A CN 107992729 A CN107992729 A CN 107992729A
- Authority
- CN
- China
- Prior art keywords
- message
- tee
- ree
- terminal
- identification module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/183—Processing at user equipment or user record carrier
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明公开了一种控制方法,终端支持富执行环境(REE)和可信执行环境(TEE),包括:终端在所述REE中采集指纹信息;通过所述REE与TEE之间的数据通道将采集的指纹信息传输至所述TEE中;在所述TEE中对采集的指纹信息进行验证,验证成功后,生成第一消息;所述第一消息为指纹验证成功消息;对所述第一消息进行安全处理,得到第二消息;将所述第二消息发出;所述第二消息用于指示用户识别模块卡激活对应的应用。本发明同时还公开了一种终端及用户识别模块卡。
Description
技术领域
本发明涉及通信领域的安全技术,尤其涉及一种控制方法、终端及用户识别模块卡。
背景技术
用户识别模块卡(包括UIM(User Identity Module)卡和SIM(SubscriberIdentity Module)卡),是用户移动身份的重要物理标识,也是运营商掌握的重要资源。用户识别模块卡是一个独立的安全载体,其上可承载安全相关的卡应用,如卡盾((即将U盾的功能在卡片上实现)等。
但根据用户识别模块卡7816协议的特点,用户识别模块卡及其上的卡应用需要处于“永远在线”的被动状态,基于此卡上的卡应用(如卡盾类似于U盾等的业务、支付类应用),可能会遭受不法分子的攻击,企图获取卡应用中的机密信息(如卡盾中的密钥),使得卡应用的安全性受到威胁。
发明内容
为解决现有存在的技术问题,本发明实施例提供一种控制方法、终端及用户识别模块卡。
为达到上述目的,本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种控制方法,应用于终端,所述终端支持富执行环境(REE)和可信执行环境(TEE),所述方法包括:
在所述REE中采集指纹信息;
通过所述REE与TEE之间的数据通道将采集的指纹信息传输至所述TEE中;
在所述TEE中对采集的指纹信息进行验证,验证成功后,生成第一消息;所述第一消息为指纹验证成功消息;
对所述第一消息进行安全处理,得到第二消息;
将所述第二消息发出;所述第二消息用于指示用户识别模块卡激活对应的应用。
上述方案中,所述对第一消息进行安全处理,包括:
利用第一密钥对所述第一消息进行加密。
上述方案中,所述将所述第二消息发出,包括:
通过所述数据通道将所述第二消息发送至所述REE中;
在所述REE中将所述第二消息发送给所述终端的调制解调器,以发送给所述用户识别模块卡。
上述方案中,所述将所述第二消息发出,包括:
在所述TEE中将所述第二消息发送给所述终端的调制解调器,以发送给所述用户识别模块卡。
上述方案中,在所述REE中采集指纹信息之前,所述方法还包括:
在所述REE中获取第一操作;所述第一操作为调用所述用户识别模块卡应用的操作;
响应所述第一操作,发出提示信息,所述提示信息用于提示用户输入指纹信息。
本发明实施例还提供了一种控制方法,应用于用户识别模块卡,所述方法包括:
接收终端的第二消息;
对所述第二消息进行解安全处理,得到第一消息;
确定所述第一消息为指纹验证成功消息时,激活自身对应的第一应用,以使所述第一应用进行业务处理。
上述方案中,所述对所述第二消息进行解安全处理,包括:
利用第二密钥对所述第二消息进行解密。
上述方案中,所述方法还包括:
所述第一应用业务处理完成后,控制所述第一应用进入失效状态。
本发明实施例又提供了一种终端,所述终端支持REE和TEE,所述终端包括:
采集单元,用于在所述REE中采集指纹信息;并通过所述REE与TEE之间的数据通道将采集的指纹信息传输至所述TEE中;
TEE单元,用于在所述TEE中对采集的指纹信息进行验证,验证成功后,生成第一消息;所述第一消息为指纹验证成功消息;对所述第一消息进行安全处理,得到第二消息;以及将所述第二消息发出;所述第二消息用于指示用户识别模块卡激活对应的应用。
上述方案中,所述TEE单元,具体用于:通过所述数据通道将所述第二消息发送至所述REE中;
所述终端还包括:
调制解调器;
REE单元,用于在所述REE中将所述第二消息发送给所述调制解调器,以发送给所述用户识别模块卡。
上述方案中,所述终端还包括:
调制解调器;
所述TEE单元,具体用于:
在所述TEE中将所述第二消息发送给所述调制解调器,以发送给所述用户识别模块卡。
上述方案中,所述终端还包括:
获取单元,用于获取第一操作;所述第一操作为调用所述用户识别模块卡应用的操作;
提示单元,用于响应所述第一操作,发出提示信息,所述提示信息用于提示用户输入指纹信息。
本发明实施例还提供了一种用户识别模块卡,其特征在于,包括:
接收单元,用于接收终端的第二消息;
处理单元,用于对所述第二消息进行解安全处理,得到第一消息;
激活单元,用于确定所述第一消息为指纹验证成功消息时,激活自身对应的第一应用,以使所述第一应用进行业务处理。
上述方案中,所述激活单元,还用于所述第一应用业务处理完成后,控制所述第一应用进入失效状态。
本发明实施例提供的控制方法、终端及用户识别模块卡,对于终端,在REE中采集指纹信息;通过所述REE与TEE之间的数据通道将采集的指纹信息传输至所述TEE中;在所述TEE中对采集的指纹信息进行验证,验证成功后,生成第一消息;所述第一消息为指纹验证成功消息;对所述第一消息进行安全处理,得到第二消息;将所述第二消息发出;而用户识别模块卡接收到第二消息后;对所述第二消息进行解安全处理,得到所述第一消息;确定所述第一消息为指纹验证成功消息时,激活自身对应的第一应用,以使所述第一应用进行业务处理,TEE可以提供安全的执行环境,且指纹可以对用户进行认证,所以将二者结合,使得用户识别模块卡的应用不用处于“永远在线”的状态,如此,能有效地提高用户识别模块卡应用的安全性。
附图说明
在附图(其不一定是按比例绘制的)中,相似的附图标记可在不同的视图中描述相似的部件。具有不同字母后缀的相似附图标记可表示相似部件的不同示例。附图以示例而非限制的方式大体示出了本文中所讨论的各个实施例。
图1为本发明实施例一终端侧的控制方法流程示意图;
图2为本发明实施例一用户识别模块卡侧的控制方法流程示意图;
图3为本发明实施例二终端结构示意图;
图4为本发明实施例二用户识别模块卡结构示意图;
图5为本发明实施例三第一种设备交互示意图;
图6为本发明实施例三第二种设备交互示意图;
图7为本发明实施例三通过REE向SIM/UIM卡返回相关信息的控制方法流程示意图;
图8为本发明实施例三第三种设备交互示意图;
图9为本发明实施例三通过TEE向SIM/UIM卡返回相关信息的控制方法流程示意图。
具体实施方式
下面结合附图及实施例对本发明再作进一步详细的描述。
在本发明的各种实施例中:终端在REE中采集指纹信息;通过所述REE与TEE之间的数据通道将采集的指纹信息传输至所述TEE中;在所述TEE中对采集的指纹信息进行验证,验证成功后,生成第一消息;所述第一消息为指纹验证成功消息;对所述第一消息进行安全处理,得到第二消息;将所述第二消息发出;所述第二消息用于指示用户识别模块卡激活对应的应用。而用户识别模块卡接收终端的第二消息;对所述第二消息进行解安全处理,得到第一消息;确定所述第一消息为指纹验证成功消息时,激活自身对应的第一应用,以使所述第一应用进行业务处理。
实施例一
本实施例提供一种控制方法,应用于终端,该终端支持REE和TEE。其中,
TEE是由全球平台组织(GP,GlobalPlatform)提供基于安全芯片技术的应用管理标准。TEE的目的是将高安全敏感的应用与通用的软件环境进行隔离,安全地提供访问硬件资源(如安全存储、安全显示和用户接口等)的能力。也就是说,所述TEE提供隔离的执行的环境,具有独立的执行空间,可以采用基于ARM Trustzone硬件隔离技术实现。
REE是指传统的终端应用运行环境,如iOS、安卓(Andriod)、Linux等。
TEE用于安装、存储和保护可信应用(TA),而REE用于安装、存储其它的应用。TEE具有自身的操作系统,与REE中的操作系统(如iOS、Android、Linux等)相隔离。REE中的授权应用,通过代理驱动程序才能与TEE中的代理驱动程序通信,不可直接访问TEE的资源。
如图1所示,该方法包括以下步骤:
步骤101:终端在所述REE中采集指纹信息;
这里,实际应用时,在执行本步骤之前,该方法还可以包括:
在所述REE中获取第一操作;所述第一操作为调用用户识别模块卡应用的操作;
响应所述第一操作,发出提示信息,所述提示信息用于提示用户输入指纹信息。
当用户输入指纹信息时采集指纹信息。
步骤102:通过所述REE与TEE之间的数据通道将采集的指纹信息传输至所述TEE中;
这里,对于步骤101~102,实际上是在REE中先运行了相应的授权应用(实现指纹采集),再通过REE中的代理驱动程序与TEE中的代理驱动程序(实现数据通道)才能将指纹信息传输至所述TEE中。
步骤103:在所述TEE中对采集的指纹信息进行验证,验证成功后,生成第一消息;
这里,所述第一消息为指纹验证成功消息。
实际应用时,所述TEE需要提供安全存储用户指纹信息的功能。换句话说,需要在TEE中预先设置指纹模板,这样,当收到采集的指纹信息后,将采集的指纹信息与指纹模板进行匹配,匹配成功说明验证成功,匹配失败则说明验证失败。
其中,可以将第一次采集的指纹信息作为所述指纹模板,预置到TEE中进行存储。
当验证失败时,在所述TEE中生成指纹校验失败消息;
通过所述数据通道将所述指纹校验失败消息传输至REE中。
步骤104:对所述第一消息进行安全处理,得到第二消息;
具体地,利用第一密钥对所述第一消息进行加密。
这里,实际应用时,可以预先在TEE中设置第一密钥,且将所述第一密钥存储在安全性比较高的区域,比如eFuse区或者回环保护分区(RPMB,Replay Protect MemoryBlock)等。
在TEE中先从安全性比较高的区域读取所述第一密钥,然后利用所述第一密钥对所述第一消息进行加密。
步骤105:将所述第二消息发出。
这里,所述第二消息用于指示用户识别模块卡激活对应的应用。
也就是说,所述终端将所述第二消息发送给用户识别模块卡。
这里,实际应用时,所述用户识别模块卡可以是SIM卡,也可以是UIM卡。
实际应用时,步骤105的具体实现可以包括:
终端通过所述数据通道将所述第二消息发送至所述REE中;
在所述REE中将所述第二消息发送给所述终端的调制解调器,以发送给所述用户识别模块卡。
由于先将第二消息发送到所述REE中后,再在REE中将所述第二消息发送给所述调制解调器,由调制解调器将第二消息发送给用户识别模块卡,而REE就是传统的终端应用运行环境,所以不需要对调制解调器进行改动,就可以将所述第二消息发送给用户识别模块卡。
当然,实际应用时,可以在TEE中将所述第二消息发送给调制解调器,再由调制解调器发送给用户识别模块卡。
基于此,步骤105的具体实现还可以包括:
在所述TEE中将所述第二消息发送给所述终端的调制解调器,以发送给所述用户识别模块卡。
这里,由于TEE具有自身的操作系统,与REE中的操作系统是相隔离的,所以当采用上述方案时需要对调制解调器进行修改,以实现在所述TEE中将所述第二消息发送给终端的调制解调器。
本实施例还提供了一种控制方法,应用于用户识别模块卡,比如SIM卡或UIM卡等。如图2所示,该方法包括以下步骤:
步骤201:接收终端的第二消息;
步骤202:对所述第二消息进行解安全处理,得到第一消息;
具体地,利用第二密钥对所述第二消息进行解密。
其中,用户识别模块卡可以预先设置有第二密钥。
实际应用时,根据加密时所采用加密算法,第一密钥(终端加密所使用的密钥)与第二密钥可以相同,也可以不同。具体来说,如果采用的加密算法是对称加密算法,那么第一密钥与第二密钥相同;如果采用的加密算法是非对称加密算法,则第一密钥与第二密钥不同。
步骤203:确定所述第一消息为指纹验证成功消息时,激活自身对应的第一应用,以使所述第一应用进行业务处理。
这里,当第一应用业务处理完成后,控制所述第一应用进入失效状态。
所述第一应用可以是支付类或涉及机密信息的应用等。
实际应用时,当所述第一应用进入失效状态后,则不会接收任何业务相关指令,也不会进行任何业务逻辑处理。
本发明实施例提供的控制方法,对于终端,在所述REE中采集指纹信息;通过所述REE与TEE之间的数据通道将采集的指纹信息传输至所述TEE中;在所述TEE中对采集的指纹信息进行验证,验证成功后,生成第一消息;所述第一消息为指纹验证成功消息;对所述第一消息进行安全处理,得到第二消息;将所述第二消息发出;而用户识别模块卡接收到第二消息后;对所述第二消息进行解安全处理,得到所述第一消息;确定所述第一消息为指纹验证成功消息时,激活自身对应的第一应用,以使所述第一应用进行业务处理,TEE可以提供安全的执行环境,且指纹可以对用户进行认证,所以将二者结合,使得用户识别模块卡的应用不用处于“永远在线”的状态,如此,能有效地提高用户识别模块卡应用的安全性。
实施例二
为实现本发明实施例一的方法,本实施例提供一种终端,该终端支持REE和TEE。其中,
TEE是由GP提供基于安全芯片技术的应用管理标准。TEE的目的是将高安全敏感的应用与通用的软件环境进行隔离,安全地提供访问硬件资源(如安全存储、安全显示和用户接口等)的能力。也就是说,所述TEE提供隔离的执行的环境,具有独立的执行空间,可以采用基于ARM Trustzone硬件隔离技术实现。
REE是指传统的终端应用运行环境,如iOS、安卓(Andriod)、Linux等。
TEE用于安装、存储和保护TA,而REE用于安装、存储其它的应用。TEE具有自身的操作系统,与REE中的操作系统(如iOS、Android、Linux等)相隔离。REE中的授权应用,通过代理驱动程序才能与TEE中的代理驱动程序通信,不可直接访问TEE的资源。
如图3所示,该终端包括:
采集单元31,用于在所述REE中采集指纹信息;并通过所述REE与TEE之间的数据通道将采集的指纹信息传输至所述TEE中;
TEE单元32,用于在所述TEE中对采集的指纹信息进行验证,验证成功后,生成第一消息;所述第一消息为指纹验证成功消息;对所述第一消息进行安全处理,得到第二消息;以及将所述第二消息发出;所述第二消息用于指示用户识别模块卡激活对应的应用。
这里,实际应用时,终端还包括:
获取单元,用于获取第一操作;所述第一操作为调用所述用户识别模块卡应用的操作;
提示单元,用于响应所述第一操作,发出提示信息,所述提示信息用于提示用户输入指纹信息。
当用户输入指纹信息时所述采集单元31采集指纹信息。
对于所述获取单元、提示单元获、及采集单元31的功能,实际上是在REE中先运行了相应的授权应用(实现指纹采集),再通过REE中的代理驱动程序与TEE中的代理驱动程序(实现数据通道)才能将指纹信息传输至所述TEE中。
实际应用时,所述TEE需要提供安全存储用户指纹信息的功能。换句话说,需要在TEE中预先设置指纹模板,这样,当收到采集的指纹信息后,将采集的指纹信息与指纹模板进行匹配,匹配成功说明验证成功,匹配失败则说明验证失败。
其中,可以将第一次采集的指纹信息作为所述指纹模板,预置到TEE中进行存储。
当验证失败时,在所述TEE中生成指纹校验失败消息;
通过所述数据通道将所述指纹校验失败消息传输至REE中。
所述TEE单元32利用第一密钥对所述第一消息进行加密,以实现对所述第一消息进行安全处理。
这里,实际应用时,可以预先在TEE中设置第一密钥,且将所述第一密钥存储在安全性比较高的区域,比如eFuse区或者RPMB等。
在TEE中所述TEE单元32先从安全性比较高的区域读取所述第一密钥,然后利用所述第一密钥对所述第一消息进行加密。
将所述第二消息发出,换句话说,将所述第二消息发送给用户识别模块卡。
这里,实际应用时,所述用户识别模块卡可以是SIM卡,也可以是UIM卡。
在一实施例中,所述TEE单元32,具体用于:通过所述数据通道将所述第二消息发送至所述REE中;
该终端还可以包括:
调制解调器;
REE单元,用于在所述REE中将所述第二消息发送给所述调制解调器,以发送给所述用户识别模块卡。
由于先将第二消息发送到所述REE中后,再在REE中将所述第二消息发送给所述调制解调器,由调制解调器将第二消息发送给用户识别模块卡,而REE就是传统的终端应用运行环境,所以不需要对调制解调器进行改动,就可以将所述第二消息发送给用户识别模块卡。
当然,实际应用时,可以在TEE中将所述第二消息发送给调制解调器,再由调制解调器发送给用户识别模块卡。
基于此,所述TEE单元32,具体用于:
在所述TEE中将所述第二消息发送给所述调制解调器,以发送给所述用户识别模块卡。
这里,由于TEE具有自身的操作系统,与REE中的操作系统是相隔离的,所以当采用上述方案时需要对调制解调器进行修改,以实现在所述TEE中将所述第二消息发送给终端的调制解调器。
实际应用时,采集单元31可由终端中的摄像头结合中央处理器(CPU,CentralProcessing Unit)、微处理器(MCU,Micro Control Unit)、数字信号处理器(DSP,DigitalSignal Processor)或可编程逻辑阵列(FPGA,Field-Programmable Gate Array)及总线实现;TEE单元32、获取单元、REE单元可由终端中的CPU、MCU、DSP或FPGA实现。提示单元可由终端中的CPU、MCU、DSP或FPGA结合显示屏实现。
为实现本发明实施例的方法,本实施例还提供了一种用户识别模块卡,比如SIM卡或UIM卡等。如图4所示,该用户识别模块卡包括:
接收单元41,用于接收终端的第二消息;
处理单元42,用于对所述第二消息进行解安全处理,得到第一消息;
激活单元43,用于确定所述第一消息为指纹验证成功消息时,激活自身对应的第一应用,以使所述第一应用进行业务处理。
这里,所述处理单元42利用第二密钥对所述第二消息进行解密。
其中,用户识别模块卡可以预先设置有第二密钥。
实际应用时,根据加密时所采用加密算法,第一密钥(终端加密所使用的密钥)与第二密钥可以相同,也可以不同。具体来说,如果采用的加密算法是对称加密算法,那么第一密钥与第二密钥相同;如果采用的加密算法是非对称加密算法,则第一密钥与第二密钥不同。
当所述第一应用业务处理完成后,所述激活单元43控制所述第一应用进入失效状态。
其中,所述第一应用可以是支付类或涉及机密信息的应用等。
实际应用时,当所述第一应用进入失效状态后,则不会接收任何业务相关指令,也不会进行任何业务逻辑处理。
实际应用时,接收单元41、处理单元42及激活单元43可由用户识别模块看中的MCU、DSP或FPGA等处理器实现。
本发明实施例提供的方案,对于终端,在在所述REE中采集指纹信息;通过所述REE与TEE之间的数据通道将采集的指纹信息传输至所述TEE中;在所述TEE中对采集的指纹信息进行验证,验证成功后,生成第一消息;所述第一消息为指纹验证成功消息;对所述第一消息进行安全处理,得到第二消息;将所述第二消息发出;而用户识别模块卡接收到第二消息后;对所述第二消息进行解安全处理,得到所述第一消息;确定所述第一消息为指纹验证成功消息时,激活自身对应的第一应用,以使所述第一应用进行业务处理,TEE可以提供安全的执行环境,且指纹可以对用户进行认证,所以将二者结合,使得用户识别模块卡的应用不用处于“永远在线”的状态,如此,能有效地提高用户识别模块卡应用的安全性。
实施例三
在实施例一、二的基础上,本实施例以手机为例,详细描述SIM/UIM卡上应用的保护机制。
指纹识别技术已经正式进入用户的视野,目前越来越多的手机支持指纹识别和解锁功能,而且许多应用(APP,APPlication)都可以支持指纹解锁操作,或者支付等等,这对于用户的信息安全起到非常大的作用。
TEE和手机指纹识别都是新兴起的技术,TEE可以提供安全的执行环境,指纹可以对用户进行认证,本发明实施例将两者结合起来,为用户识别模块卡上的应用安全提供了一种保护机制。
实施本发明实施例的方案时,需要用户识别模块卡和手机TEE支持以下功能:
1、对于SIM/UIM卡,卡内存有一组密钥信息,用于对TEE发送的信息进行解密。同时,对于SIM/UIM卡应用(主要指支付类或涉及机密信息的应用),平时处于失效状态,对接收到的信息不进行处理;当接收到指纹验证通过消息后,应用被激活,可进行正常的业务逻辑。
2、对于手机TEE,需要提供安全存储用户指纹功能;提供指纹安全验证功能;支持将指纹校验通过消息发送给SIM/UIM卡,且该消息需要进行加密,在TEE中需要预置与SIM卡中配对的密钥信息。
另外,手机需要支持指纹输入功能。
如图5所示,本发明实施例中,SIM/UIM卡应用平常处于失效状态,只有当用户使用REE中相应的APP(授权应用),用户按照APP提示输入指纹信息,输入的指纹信息通过REE与TEE之间的数据通道传输给TEE模块,TEE模块对指纹信息进行验证,且验证通过后,手机将指纹验证消息发送给SIM/UIM卡,收到该消息后SIM/UIM卡将应用进行激活,并可处理完成相应的业务逻辑。
下面描述两种具体实现过程。
第一种实现方式,如图6所示。在该方式中,通过REE向SIM/UIM卡发送指纹验证消息。
通过REE向SIM/UIM卡返回相关信息的流程,如图7所示,主要包括以下步骤:
步骤701:用户打开手机APP进行操作,当操作需要调用SIM/UIM卡应用时,提示用户输入指纹信息;
这里,APP为REE中的授权应用。
步骤702:APP调用手机指纹采集模块,让用户输入指纹信息;
步骤703:手机指纹采集模块将采集的指纹信息通过REE与TEE之间的数据通道发送至TEE模块;
换句话说,步骤701~703均在REE中进行。
步骤704:TEE模块收到指纹信息后,验证用户输入的指纹是否正确;
步骤705:TEE模块通过所述数据通道将验证结果发送给REE模块;
步骤706:REE模块收到验证结果后,如果是验证失败的通知时,执行步骤707,如果是验证成功的通知时,执行步骤708;
步骤707:REE模块向手机指纹采集模块发送控制指令,以使手机指纹采集模块会提示用户指纹输入失败;
这里,当提示用户指纹输入失败时,流程被终止。
步骤708:REE模块向手机APP返回验证结果;
这里,TEE模块将指纹验证成功消息加密后通过所述数据通道发送给REE模块,REE模块将收到的消息返回给手机APP。
步骤709:手机APP通过手机调制解调器(modem)将该消息发送给SIM/UIM卡;
这里,步骤706~709均在REE中进行。
步骤710:SIM/UIM卡接收到消息后进行解密,确认收到消息为指纹校验成功消息后,执行步骤711;
步骤711:将相关卡应用激活;
这里,SIM/UIM卡可以向卡应用发送相关指令,以进行卡应用的激活操作。
步骤712:卡应用正常处理业务逻辑;
步骤713:卡应用处理完业务逻辑后,进入失效状态。
在上述实现方式中,REE就是传统的终端应用运行环境,所以不需要对调制解调器(modem)进行改动。
第二种实现方式,如图8所示。在该方式中,通过TEE向SIM/UIM卡发送指纹验证消息。
通过TEE向SIM/UIM卡返回相关信息的流程,如图9所示,主要包括以下步骤:
步骤901:用户打开手机APP进行操作,当操作需要调用SIM/UIM卡应用时,提示用户输入指纹信息;
这里,APP为REE中的授权应用。
步骤902:APP调用手机指纹采集模块,让用户输入指纹信息;
步骤903:手机指纹采集模块将采集的指纹信息通过REE与TEE之间的数据通道发送至TEE模块;
换句话说,步骤901~903均在REE中进行。
步骤904:TEE模块收到指纹信息后,验证用户输入的指纹是否正确,如果验证失败,则执行步骤905,如果成功,则执行步骤907;
步骤905:TEE模块通过所述数据通道通知REE模块验证失败;
步骤906:REE模块收到通知后,向手机指纹采集模块发送控制指令,以使手机指纹采集模块会提示用户指纹输入失败;
步骤907:TEE模块将指纹验证成功消息加密后通过手机调制解调器(modem)将该消息发送给SIM/UIM卡;
步骤908:SIM/UIM卡接收到消息后进行解密,确认收到消息为指纹校验成功消息后,执行步骤909;
步骤909:将相关卡应用激活;
这里,SIM/UIM卡可以向卡应用发送相关指令,以进行卡应用的激活操作。
步骤910:卡应用正常处理业务逻辑;
步骤911:卡应用处理完业务逻辑后,进入失效状态。
在第二种实现方式中,由于TEE具有自身的操作系统,与REE中的操作系统是相隔离的,所以当采用上述方案时需要对调制解调器(modem)进行修改。
从上面的描述中可以看出,本发明实施例提供的方案,利用指纹识别和TEE技术,使得SIM/UIM卡应用不用处于“永远在线”的状态,而可以处于“使用即激活,不使用即无效”的状态,有效防止不法分子的攻击,保证了卡应用的安全性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (14)
1.一种控制方法,其特征在于,应用于终端,所述终端支持富执行环境REE和可信执行环境TEE,所述方法包括:
在所述REE中采集指纹信息;
通过所述REE与TEE之间的数据通道将采集的指纹信息传输至所述TEE中;
在所述TEE中对采集的指纹信息进行验证,验证成功后,生成第一消息;所述第一消息为指纹验证成功消息;
对所述第一消息进行安全处理,得到第二消息;
将所述第二消息发出;所述第二消息用于指示用户识别模块卡激活对应的应用。
2.根据权利要求1所述的方法,其特征在于,所述对第一消息进行安全处理,包括:
利用第一密钥对所述第一消息进行加密。
3.根据权利要求1所述的方法,其特征在于,所述将所述第二消息发出,包括:
通过所述数据通道将所述第二消息发送至所述REE中;
在所述REE中将所述第二消息发送给所述终端的调制解调器,以发送给所述用户识别模块卡。
4.根据权利要求1所述的方法,其特征在于,所述将所述第二消息发出,包括:
在所述TEE中将所述第二消息发送给所述终端的调制解调器,以发送给所述用户识别模块卡。
5.根据权利要求1所述的方法,其特征在于,在所述REE中采集指纹信息之前,所述方法还包括:
在所述REE中获取第一操作;所述第一操作为调用所述用户识别模块卡应用的操作;
响应所述第一操作,发出提示信息,所述提示信息用于提示用户输入指纹信息。
6.一种控制方法,其特征在于,应用于用户识别模块卡,所述方法包括:
接收终端的第二消息;
对所述第二消息进行解安全处理,得到第一消息;
确定所述第一消息为指纹验证成功消息时,激活自身对应的第一应用,以使所述第一应用进行业务处理。
7.根据权利要求6所述的方法,其特征在于,所述对所述第二消息进行解安全处理,包括:
利用第二密钥对所述第二消息进行解密。
8.根据权利要求6所述的方法,其特征在于,所述方法还包括:
所述第一应用业务处理完成后,控制所述第一应用进入失效状态。
9.一种终端,其特征在于,所述终端支持REE和TEE,所述终端包括:
采集单元,用于在所述REE中采集指纹信息;并通过所述REE与TEE之间的数据通道将采集的指纹信息传输至所述TEE中;
TEE单元,用于在所述TEE中对采集的指纹信息进行验证,验证成功后,生成第一消息;所述第一消息为指纹验证成功消息;对所述第一消息进行安全处理,得到第二消息;以及将所述第二消息发出;所述第二消息用于指示用户识别模块卡激活对应的应用。
10.根据权利要求9所述的终端,其特征在于,所述TEE单元,具体用于:通过所述数据通道将所述第二消息发送至所述REE中;
所述终端还包括:
调制解调器;
REE单元,用于在所述REE中将所述第二消息发送给所述调制解调器,以发送给所述用户识别模块卡。
11.根据权利要求9所述的终端,其特征在于,所述终端还包括:
调制解调器;
所述TEE单元,具体用于:
在所述TEE中将所述第二消息发送给所述调制解调器,以发送给所述用户识别模块卡。
12.根据权利要求9所述的终端,其特征在于,所述终端还包括:
获取单元,用于获取第一操作;所述第一操作为调用所述用户识别模块卡应用的操作;
提示单元,用于响应所述第一操作,发出提示信息,所述提示信息用于提示用户输入指纹信息。
13.一种用户识别模块卡,其特征在于,所述用户识别模块卡包括:
接收单元,用于接收终端的第二消息;
处理单元,用于对所述第二消息进行解安全处理,得到第一消息;
激活单元,用于确定所述第一消息为指纹验证成功消息时,激活自身对应的第一应用,以使所述第一应用进行业务处理。
14.根据权利要求13所述的用户识别模块卡,其特征在于,所述激活单元,还用于所述第一应用业务处理完成后,控制所述第一应用进入失效状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610969967.XA CN107992729A (zh) | 2016-10-26 | 2016-10-26 | 一种控制方法、终端及用户识别模块卡 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610969967.XA CN107992729A (zh) | 2016-10-26 | 2016-10-26 | 一种控制方法、终端及用户识别模块卡 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107992729A true CN107992729A (zh) | 2018-05-04 |
Family
ID=62028768
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610969967.XA Pending CN107992729A (zh) | 2016-10-26 | 2016-10-26 | 一种控制方法、终端及用户识别模块卡 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107992729A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108985255A (zh) * | 2018-08-01 | 2018-12-11 | Oppo广东移动通信有限公司 | 数据处理方法、装置、计算机可读存储介质和电子设备 |
| WO2019228097A1 (zh) * | 2018-05-29 | 2019-12-05 | Oppo广东移动通信有限公司 | 验证系统、电子装置、验证方法、计算机可读存储介质及计算机设备 |
| CN110619200A (zh) * | 2018-06-19 | 2019-12-27 | Oppo广东移动通信有限公司 | 验证系统和电子装置 |
| CN110690963A (zh) * | 2019-09-25 | 2020-01-14 | 支付宝(杭州)信息技术有限公司 | 基于fpga的密钥协商方法及装置 |
| WO2020034881A1 (zh) * | 2018-08-17 | 2020-02-20 | 阿里巴巴集团控股有限公司 | 一种可信执行环境的激活方法和装置 |
| CN112105012A (zh) * | 2019-06-18 | 2020-12-18 | 中国移动通信有限公司研究院 | 指纹信息处理方法、sim卡、终端、指纹芯片及通信系统 |
| CN113051542A (zh) * | 2019-12-26 | 2021-06-29 | 华为技术有限公司 | 二维码处理方法和设备 |
| CN113192237A (zh) * | 2020-01-10 | 2021-07-30 | 阿里巴巴集团控股有限公司 | 支持tee和ree的物联网设备以及实现tee和ree间通信的方法 |
| CN113994344A (zh) * | 2019-06-12 | 2022-01-28 | 兰克森控股公司 | 通信装置和使用该通信装置的方法 |
| US11373445B2 (en) | 2018-08-01 | 2022-06-28 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Method and apparatus for processing data, and computer readable storage medium |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104980913A (zh) * | 2014-04-08 | 2015-10-14 | 北京数码视讯科技股份有限公司 | 保护终端设备中数据信息安全的方法和终端设备 |
| CN105101169A (zh) * | 2014-05-13 | 2015-11-25 | 中国移动通信集团公司 | 可信执行环境处理信息的方法、装置、终端及sim卡 |
| CN105590201A (zh) * | 2015-04-23 | 2016-05-18 | 中国银联股份有限公司 | 移动支付装置及移动支付系统 |
| CN105813060A (zh) * | 2016-03-11 | 2016-07-27 | 珠海市魅族科技有限公司 | 一种获取虚拟用户身份的方法及装置 |
-
2016
- 2016-10-26 CN CN201610969967.XA patent/CN107992729A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104980913A (zh) * | 2014-04-08 | 2015-10-14 | 北京数码视讯科技股份有限公司 | 保护终端设备中数据信息安全的方法和终端设备 |
| CN105101169A (zh) * | 2014-05-13 | 2015-11-25 | 中国移动通信集团公司 | 可信执行环境处理信息的方法、装置、终端及sim卡 |
| CN105590201A (zh) * | 2015-04-23 | 2016-05-18 | 中国银联股份有限公司 | 移动支付装置及移动支付系统 |
| CN105813060A (zh) * | 2016-03-11 | 2016-07-27 | 珠海市魅族科技有限公司 | 一种获取虚拟用户身份的方法及装置 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019228097A1 (zh) * | 2018-05-29 | 2019-12-05 | Oppo广东移动通信有限公司 | 验证系统、电子装置、验证方法、计算机可读存储介质及计算机设备 |
| US11580779B2 (en) | 2018-05-29 | 2023-02-14 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Verification system, electronic device, and verification method |
| CN110619200A (zh) * | 2018-06-19 | 2019-12-27 | Oppo广东移动通信有限公司 | 验证系统和电子装置 |
| CN110619200B (zh) * | 2018-06-19 | 2022-04-08 | Oppo广东移动通信有限公司 | 验证系统和电子装置 |
| CN108985255B (zh) * | 2018-08-01 | 2021-05-18 | Oppo广东移动通信有限公司 | 数据处理方法、装置、计算机可读存储介质和电子设备 |
| CN108985255A (zh) * | 2018-08-01 | 2018-12-11 | Oppo广东移动通信有限公司 | 数据处理方法、装置、计算机可读存储介质和电子设备 |
| US11373445B2 (en) | 2018-08-01 | 2022-06-28 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Method and apparatus for processing data, and computer readable storage medium |
| CN110837643B (zh) * | 2018-08-17 | 2022-09-23 | 阿里巴巴集团控股有限公司 | 一种可信执行环境的激活方法和装置 |
| WO2020034881A1 (zh) * | 2018-08-17 | 2020-02-20 | 阿里巴巴集团控股有限公司 | 一种可信执行环境的激活方法和装置 |
| CN110837643A (zh) * | 2018-08-17 | 2020-02-25 | 阿里巴巴集团控股有限公司 | 一种可信执行环境的激活方法和装置 |
| CN113994344A (zh) * | 2019-06-12 | 2022-01-28 | 兰克森控股公司 | 通信装置和使用该通信装置的方法 |
| CN113994344B (zh) * | 2019-06-12 | 2024-04-02 | 兰克森控股公司 | 通信装置和使用该通信装置的方法 |
| CN112105012B (zh) * | 2019-06-18 | 2023-04-07 | 中国移动通信有限公司研究院 | 指纹信息处理方法、sim卡、终端、指纹芯片及通信系统 |
| CN112105012A (zh) * | 2019-06-18 | 2020-12-18 | 中国移动通信有限公司研究院 | 指纹信息处理方法、sim卡、终端、指纹芯片及通信系统 |
| CN110690963A (zh) * | 2019-09-25 | 2020-01-14 | 支付宝(杭州)信息技术有限公司 | 基于fpga的密钥协商方法及装置 |
| WO2021057181A1 (zh) * | 2019-09-25 | 2021-04-01 | 支付宝(杭州)信息技术有限公司 | 基于fpga的密钥协商方法及装置 |
| WO2021129859A1 (zh) * | 2019-12-26 | 2021-07-01 | 华为技术有限公司 | 二维码处理方法和设备 |
| CN113051542A (zh) * | 2019-12-26 | 2021-06-29 | 华为技术有限公司 | 二维码处理方法和设备 |
| US11989618B2 (en) | 2019-12-26 | 2024-05-21 | Huawei Technologies Co., Ltd. | Two-dimensional code processing method and device |
| CN113192237A (zh) * | 2020-01-10 | 2021-07-30 | 阿里巴巴集团控股有限公司 | 支持tee和ree的物联网设备以及实现tee和ree间通信的方法 |
| CN113192237B (zh) * | 2020-01-10 | 2023-04-18 | 阿里巴巴集团控股有限公司 | 支持tee和ree的物联网设备以及实现tee和ree间通信的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107992729A (zh) | 一种控制方法、终端及用户识别模块卡 | |
| TWI667585B (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| CN110555706A (zh) | 基于安全单元和可信执行环境的人脸支付安全方法及平台 | |
| US20190012672A1 (en) | Method and system for enhancing the security of a transaction | |
| KR101759193B1 (ko) | 안전한 전자 거래를 위한 네트워크 인증 방법 | |
| JP6239788B2 (ja) | 指紋認証方法、装置、インテリジェント端末及びコンピュータ記憶媒体 | |
| US8843757B2 (en) | One time PIN generation | |
| JP6401784B2 (ja) | 決済認証システム、方法及び装置 | |
| US20150310427A1 (en) | Method, apparatus, and system for generating transaction-signing one-time password | |
| CN106326763B (zh) | 获取电子文件的方法及装置 | |
| CN106295404B (zh) | 基于安全内核的一体化soc芯片 | |
| CN109960903A (zh) | 一种应用加固的方法、装置、电子设备及存储介质 | |
| CN102945526A (zh) | 一种提高移动设备在线支付安全的装置及方法 | |
| CN106161028A (zh) | 安全芯片、移动通讯终端及提高通讯安全的方法 | |
| CN105592056A (zh) | 用于移动设备的密码安全系统及其密码安全输入方法 | |
| CN105933117A (zh) | 一种基于tpm秘钥安全存储的数据加解密装置和方法 | |
| EP2985712B1 (en) | Application encryption processing method, apparatus, and terminal | |
| KR101625065B1 (ko) | 휴대단말기에서의 사용자 인증방법 | |
| CN107026734A (zh) | 一种利用认证持续有效性进行密码管理的方法及系统 | |
| CN108322907B (zh) | 一种开卡方法及终端 | |
| WO2016026333A1 (zh) | 终端连接pc时的数据保护方法及装置、存储介质 | |
| KR101308152B1 (ko) | 스마트 기기를 통한 모바일 오티피 장치의 등록 방법 | |
| CN105635103A (zh) | 利用卡装置的网络认证方法 | |
| CN117063174A (zh) | 用于通过基于app的身份的app间相互信任的安全模块及方法 | |
| TWI649669B (zh) | 觸控屏的pin碼安全傳輸方法及利用其之資訊處理裝置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180504 |
|
| RJ01 | Rejection of invention patent application after publication |