CN109450620A - 一种移动终端中共享安全应用的方法及移动终端 - Google Patents
一种移动终端中共享安全应用的方法及移动终端 Download PDFInfo
- Publication number
- CN109450620A CN109450620A CN201811186977.1A CN201811186977A CN109450620A CN 109450620 A CN109450620 A CN 109450620A CN 201811186977 A CN201811186977 A CN 201811186977A CN 109450620 A CN109450620 A CN 109450620A
- Authority
- CN
- China
- Prior art keywords
- application
- key
- mobile application
- security
- mobile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本申请公开了一种移动终端中共享安全应用的方法及移动终端,所述移动终端可运行多个移动应用,所述移动终端还包括安全应用,该方法包括:所述安全应用接收所述移动应用的业务密钥;所述若干移动应用将各自的业务数据加密后发送至所述安全应用;所述安全应用解密后得到所述各自的业务数据;所述安全应用使用所述移动应用的业务密钥处理所述业务数据;所述安全应用将处理后的业务数据发送至所述移动应用。
Description
技术领域
本申请涉及移动终端领域,尤其涉及一种移动终端中共享安全应用的方法及移动终端。
背景技术
随着移动互联网的发展,智能手机或者平板电脑等移动终端的功能也越来越强大,处理性能越来越强,它能够接入移动通信网、能够提供应用程序开发接口的开放操作系统并能够安装和运行各种应用软件,导致移动终端的安全性更加受到关注和重视。为了提高移动终端的安全性,移动终端集成了安全芯片(Secure Element,SE),由其提供一个安全的数据存储和运算环境。设置有安全芯片的移动终端被广泛应用于各种具有较高安全性要求的业务场景。现有技术中,在使用安全芯片提高移动终端的安全性时,通常需要针对每个移动应用在安全芯片中安装对应的独立安全应用(运行在安全芯片中的应用),并由该独立的安全应用负责完成该移动应用的安全运算需求,具有较高的开发成本和推广成本。
为了避免不必要的安全应用开发费用并降低推广成本,有必要提供一种解决方案,能够降低研发和推广成本,还可以保证移动应用安全运算和数据的独立性和安全性,从而降低移动应用使用安全芯片进行安全运算的成本。
发明内容
本申请实施例提供一种移动终端中共享安全应用的方法及移动终端,用于解决安全应用研发和推广成本高的问题。
本申请实施例提供了一种移动终端中共享安全应用的方法,所述移动终端可运行多个移动应用,所述移动终端还包括安全应用,所述方法包括:
所述安全应用接收多个移动应用的业务密钥;
所述安全应用接收多个移动应用发送的加密后的业务数据,并进行解密,得到各自解密后的业务数据;
所述安全应用使用所述多个移动应用的业务密钥处理各自相应的业务数据;
所述安全应用将处理后的各自相应的业务数据发送给相应的移动应用。
优选地,该方法还包括:
所述移动应用接收所述移动应用的通信安全保护密钥;
所述安全应用接收多个移动应用发送的加密后的业务数据,并进行解密包括:
所述安全应用接收多个移动应用发送的使用各自的通信安全保护密钥加密后的业务数据;
所述安全应用使用所述多个移动应用各自的通信安全保护密钥解密后得到所述各自的业务数据。
优选地,所述安全应用包括第一安全应用和第二安全应用;
所述若干移动应用中一部分移动应用与所述第一安全应用通信,所述若干移动应用中的另一部分移动应用与所述第二安全应用通信。
优选地,该方法还包括:
所述移动应用的管理服务器生成所述移动应用的通信安全保护密钥,并将所述移动应用的通信安全保护密钥发送至所述移动应用和安全应用管理服务器;所述安全应用管理服务器将所述移动应用的通信安全保护密钥发送至安全应用;
和/或,
所述移动应用的管理服务器生成所述移动应用的业务密钥,并将所述移动应用的业务密钥发送至所述安全应用管理服务器;所述安全应用管理服务器将所述移动应用的业务密钥发送至安全应用。
优选地,该方法还包括:
所述移动应用的管理服务器生成所述移动应用的通信安全保护密钥和业务密钥,并将所述移动应用的通信安全保护密钥和业务密钥发送至所述安全应用管理服务器;
所述安全应用管理服务器将所述移动应用的通信安全保护密钥和业务密钥发送至安全应用;
所述移动应用的管理服务器将所述移动应用的通信安全保护密钥发送至所述移动应用。
优选地,该方法还包括:
所述安全应用的管理服务器生成所述移动应用的通信安全保护密钥,并将所述移动应用的通信安全保护密钥发送至所述移动应用的管理服务器;
所述移动应用的管理服务器生成所述移动应用的业务密钥,并将所述移动应用的业务密钥发送至所述安全应用的管理服务器;
所述移动应用的管理服务器将所述移动应用的通信安全保护密钥发送至所述移动应用,所述安全应用的管理服务器将所述移动应用的通信安全保护密钥和业务密钥发送至所述安全应用。
优选地,若干所述移动应用的业务密钥在所述安全应用中被安全隔离;和/或若干所述移动应用的通信安全保护密钥在所述安全应用中被安全隔离。
优选地,所述移动应用的业务密钥为对称密钥或者非对称密钥;
当所述移动应用的业务密钥为对称密钥时,所述处理所述相应的业务数据包括加密所述业务数据或者解密所述业务数据;
当所述移动应用的业务密钥为非对称密钥时,所述处理所述相应的业务数据包括加密所述业务数据、解密所述业务数据、对所述业务数据签名或者验证所述业务所述数据的签名。
优选地,所述移动应用的通信安全保护密钥为对称密钥或者非对称密钥;其中,所述移动应用的通信安全保护密钥为非对称密钥的情况下,所述移动应用接收的所述移动应用的通信安全保护密钥为公钥,所述安全应用接收的所述移动应用的通信安全保护密钥为私钥。
优选地,所述安全应用将处理后的业务数据发送至所述移动应用包括:
所述安全应用使用私钥将处理后的业务数据签名后发送至所述移动应用。
优选地,所述执行环境为富执行环境和/或者可信执行环境。
优选地,所述若干移动应用通过安全应用代理与所述安全应用通信。
本申请实施例提供了一种移动终端,所述移动终端可运行多个移动应用,所述移动终端还包括安全应用;
所述安全应用,用于接收多个移动应用的业务密钥;接收多个移动应用发送的加密后的业务数据,并进行解密,得到各自解密后的业务数据;
所述安全应用,还用于使用所述多个移动应用的业务密钥处理各自相应的业务数据;将处理后的各自相应的业务数据发送给相应的移动应用。
优选地,所述移动应用,还用于接收所述多个移动应用的通信安全保护密钥;
所述安全应用,还用于接收多个移动应用发送的使用各自的通信安全保护密钥加密后的业务数据;使用所述多个移动应用各自的通信安全保护密钥解密后得到所述各自的业务数据。
本申请实施例提供了一种移动终端,包括处理器、第一存储器、安全芯片以及第二存储器,所述第一存储器存储有多个移动应用对应的程序,所述第二存储器存储有安全应用对应的程序,
所述安全芯片,用于执行所述安全应用对应的程序以接收多个移动应用的业务密钥;接收处理器发送的加密后的业务数据,并进行解密,得到各自解密后的业务数据;
所述安全芯片,还用于使用多个移动应用的业务密钥处理各自相应的业务数据;将处理后的各自相应的业务数据发送给相应的移动应用。
优选地,所述处理器,还用于接收多个移动应用的通信安全保护密钥;
所述安全芯片,还用于接收处理器发送的使用多个安全应用各自的通信安全保护密钥加密后的业务数据;使用所述多个移动应用各自的通信安全保护密钥解密后得到所述各自的业务数据。
优选地,所述安全应用包括第一安全应用和第二安全应用;
所述多个移动应用中一部分移动应用与所述第一安全应用通信,所述多个移动应用中的另一部分移动应用与所述第二安全应用通信。
优选地,多个移动应用的业务密钥在所述第二存储器中被安全隔离;和/或多个移动应用的通信安全保护密钥在所述第二存储器中被安全隔离。
优选地,多个移动应用的业务密钥为对称密钥或者非对称密钥;所述移动应用的业务密钥为对称密钥的情况下,所述处理相应的业务数据包括加密所述业务数据或者解密所述业务数据;所述移动应用的业务密钥为非对称密钥的情况下,所述处理相应的业务数据包括加密所述业务数据、解密所述业务数据、对所述业务数据签名或者验证所述业务数据的签名。
优选地,多个移动应用的通信安全保护密钥为对称密钥或者非对称密钥;其中,所述移动应用的通信安全保护密钥为非对称密钥的情况下,所述处理器接收的所述移动应用的通信安全保护密钥为公钥,所述安全芯片接收的所述移动应用的通信安全保护密钥为私钥。
优选地,所述安全芯片,还用于使用私钥将处理后的业务数据签名后发送至所述处理器。
本申请实施例提供了一种共享安全应用的系统,该系统所述的移动终端、多个移动应用的管理服务器、以及安全应用的管理服务器,其特征在于,
所述移动应用的管理服务器,用于生成多个移动应用的通信安全保护密钥和业务密钥,将多个移动应用的通信安全保护密钥发送至所述移动应用,将多个移动应用的通信安全保护密钥和业务密钥发送至所述安全应用的管理服务器;
所述安全应用的管理服务器,用于将多个移动应用的通信安全保护密钥和业务密钥发送至所述安全应用。
本申请实施例提供了一种共享安全应用的系统,该系统所述的移动终端、多个移动应用的管理服务器、以及安全应用的管理服务器,其特征在于,
多个移动应用的管理服务器,用于生成多个移动应用的业务密钥,并将多个移动应用的业务密钥发送至所述安全应用的管理服务器;
所述安全应用的管理服务器,还用于将业务密钥发送至所述安全应用。
优选地,所述安全应用的管理服务器,还用于生成多个移动应用的通信安全保护密钥;将多个移动应用的通信安全保护密钥发送至多个移动应用的管理服务器,并将多个移动应用的通信安全保护密钥发送至所述安全应用;多个移动应用的管理服务器,还用于将多个移动应用的通信安全保护密钥发送至所述移动应用。
本申请实施例提供了一种共享安全应用对应的程序的系统,该系统所述的移动终端、多个移动应用对应的程序的管理服务器、以及安全应用对应的程序的管理服务器,其特征在于,
多个移动应用对应的程序的管理服务器,用于生成多个移动应用的业务密钥,将多个移动应用的业务密钥发送至所述安全应用对应的管理服务器;
所述安全应用对应的程序的管理服务器,用于将多个移动应用的业务密钥发送至所述安全芯片。
优选地,多个移动应用对应的程序的管理服务器,还用于生成多个移动应用的通信安全保护密钥;将多个移动应用的通信安全保护密钥发送至所述处理器;将多个移动应用的通信安全保护密钥发送至所述安全应用对应的程序的管理服务器;
所述安全应用对应的程序的管理服务器,还用于将多个移动应用的通信安全保护密钥发送至所述安全芯片。
本申请实施例提供了一种共享安全应用对应的程序的系统,该系统包括所述的移动终端、多个移动应用对应的程序的管理服务器、以及安全应用对应的程序的管理服务器,其特征在于,
移动应用对应的程序的管理服务器,用于生成多个移动应用的业务密钥,并将多个移动应用的业务密钥发送至安全应用对应的程序的管理服务器;
安全应用对应的程序的管理服务器,还用于将多个移动应用的业务密钥发送至所述安全芯片。
优选地,所述安全应用对应的程序的管理服务器,还用于生成多个移动应用的通信安全保护密钥;将多个移动应用的通信安全保护密钥发送至移动应用对应的程序的管理服务器;将多个移动应用的通信安全保护密钥发送至所述安全芯片;
移动应用对应的程序的管理服务器,还用于将多个移动应用的通信安全保护密钥发送至所述处理器。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
本申请实施例通过使这些移动应用在安全芯片中共享一个安全应用,可以无需针对这些移动应用独立开发应用软件开发包,可以极大降低移动应用使用安全芯片进行安全运算的成本,加快基于安全芯片的安全运算的普及,保障产品和业务安全。此外,本申请实施例在共享安全应用内部通过安全隔离的方式还能够确保不同移动应用安全运算和数据的独立性和安全性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请第一实施例提供的共享安全应用的方法示意图;
图2为本申请第二实施例提供的共享安全应用的方法示意图;
图3为本申请第三请实施例提供的移动终端示意图;
图4为本申请第四实施例提供的移动终端示意图;
图5为本申请第五实施例提供的移动终端示意图;
图6为本申请第六实施例提供的移动终端示意图;
图7为本申请第七实施例提供的移动终端示意图;
图8为本申请第八实施例提供的共享安全应用的系统示意图;
图9为本申请第九实施例提供的共享安全应用的系统示意图;
图10为本申请第十实施例提供的共享安全应用的系统示意图;
图11为本申请第十一实施例提供的共享安全应用的系统示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图,详细说明本申请实施例提供的技术方案。
在移动终端中包含有执行环境(Execution Environment),是存在于移动设备中的软硬件集合,能够为应用程序在移动设备中的运行提供必要的能力支持,一般包括硬件处理单元、易失性存储单元、非易失性存储单元、操作系统、调用接口等组件。执行环境可以为富执行环境(Rich Execution Environment)或者可信执行环境(Trusted ExecutionEnvironment)。富执行环境是运行在移动设备中的开放执行环境,为运行其中的应用程序提供开放、丰富的运行能力支持,但安全保护能力相对较弱。可信执行环境是运行在移动设备中的隔离执行环境,相对于富执行环境,具备较强的安全能力,以确保运行其中的应用程序、敏感数据等在相对可信的环境中得到存储、处理和保护。
执行环境中可以运行或安装有移动应用,例如可以至少包含移动应用A和移动应用B。在安装有安全芯片的移动终端,通过在安全芯片中安装安全应用,提高移动终端设备的安全性。
在现有技术中,对于提供安全芯片的移动终端,各个移动应用的开发者,需要在安全芯片中安装独立的安全应用,例如在华为手机中,淘宝、苏宁、京东为了提高其移动应用的安全性,需要分别在安全芯片中安装针对自身的安全应用,从而导致不必要的研发支出,也不利于后期的维护。尤其是对于同一个开发方或者关联的开发方开发多个移动应用的情况,例如淘宝、咸鱼、支付宝等移动应用,在安全需求统一的情况下,完全没有单独开发若干个独立的安全应用。
为了解决该技术问题,可以通过在手机中共享安全应用的方式来实现,该安全应用可以预置或者后期下载到用户的手机中,使用该安全应用管理各个移动应用的密钥,并实现对业务数据的处理,从而实现了使用一个安全应用为多个移动应用提供安全服务,从而实现了安全应用的共享。
为了便于描述,本申请以两个移动应用为例进行说明,例如移动应用A为淘宝移动应用,移动应用B为苏宁移动应用。需要说明的是,安全应用对于各个移动应用可以按照相同的方式进行管理,各个移动应用的通信安全保护密钥和业务密钥在安全应用中被安全隔离,每个移动应用在向安全应用请求服务时,只能访问该移动应用对应的通信安全保护密钥和业务密钥。
第一实施例
本申请实施例提供的共享安全应用的方法如图1所示,包括以下步骤:
步骤105,移动应用接收移动应用的通信安全保护密钥;安全通信保护密钥可以由移动应用的管理服务器生成,也可以由安全应用的管理服务器生成,然后同步给移动应用的管理服务器;移动应用(例如移动应用A和移动应用B)可以分别从对应的移动应用服务器(例如移动应用A的服务器和移动应用B的服务器)接收各自的通信安全保护密钥(例如移动应用A的通信安全保护密钥和移动应用B的通信安全保护密钥);通信安全保护密钥可以是对称密钥,也可以是非对称密钥;通信安全保护密钥是对称密钥的情况下,通信安全保护密钥主要用于待传输的业务数据进行加密或者解密;通信安全保护密钥是非对称密钥的情况下,通信安全保护密钥中的公钥主要用于待传输的业务数据进行加密和对返回的签名进行验证,通信安全保护密钥中的私钥主要对接收到的加密后的业务数据进行解密,并利用业务密钥处理后,对处理后的业务数据进行签名;一般而言,通信安全保护密钥的公钥可以保存在移动应用中,通信安全保护密钥的私钥保存在安全应用中;
步骤110,安全应用接收移动应用的通信安全保护密钥和业务密钥;如上所述,安全通信保护密钥可以由移动应用的管理服务器生成,也可以由安全应用的管理服务器生成,然后同步给移动应用的管理服务器;在移动应用的通信安全保护密钥由移动应用的管理服务器生成的情况,可以在安全应用的管理服务器接收到移动应用的通信安全保护密钥后发送给安全应用;移动应用(例如移动应用A和移动应用B)的业务密钥由移动应用的管理服务器生成,然后移动应用的管理服务器将移动应用的业务密钥(例如移动应用A的业务密钥和移动应用B的业务密钥)发送至安全应用的管理服务器;安全应用可以从安全应用的管理服务器接收移动应用的通信安全保护密钥和业务密钥(例如移动应用A的通信安全保护密钥和业务密钥,以及移动应用B的通信安全保护密钥和业务密钥);安全应用可以将接收的各个移动应用的通信安全保护密钥和/或业务密钥进行安全隔离,例如将移动应用A的通信安全保护密钥和业务密钥和移动应用B的通信安全保护密钥和业务密钥进行安全隔离,可以通过将通信安全保护密钥和业务密钥分别存储在不同的文件中,可以每个文件只存储一个密钥,或者每个文件存储一个移动应用对应的通信安全保护密钥和业务密钥,通过设置各个移动应用的访问权限,从而实现了密钥的安全隔离。需要说明的是,通信安全保护密钥采用非对称密钥时,各个移动应用可以采用相同的公钥作为,而安全应用可以采用对应的私钥作为通信安全保护密钥;移动应用的业务密钥可以有多个,例如既有对称密钥作为业务密钥,又有非对称密钥作为业务密钥,可以针对不同的业务使用不同的业务密钥,例如视频业务使用对称密钥来处理,语音业务使用非对称密钥来处理。
步骤115,移动应用使用移动应用的通信安全保护密钥将业务数据加密后发送至安全应用;移动应用本身有业务数据需要解密的情况下,由于移动应用本身不具有业务密钥,所以移动应用需要请求安全应用来对业务数据进行解密。为了提高安全性,在移动应用请求安全应用对业务数据进行解密时,可以使用移动应用的通信安全保护密钥对业务数据进行加密;一般而言,移动应用的通信安全保护密钥采用非对称密钥,例如移动应用所保存的密钥为公钥,安全应用所保存的密钥为私钥。移动应用(例如移动应用A和移动应用B)使用自身的公钥(例如移动应用A的通信安全保护公钥和移动应用B的通信安全保护公钥)对业务数据进行加密,并发送至安全应用;非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种;
步骤120,安全应用使用移动应用的通信安全保护密钥解密以得到业务数据;安全应用从安全应用的管理服务器接收移动应用的移动通信安全保护密钥(例如移动应用A的通信安全保护私钥和移动应用B的通信安全保护私钥),从而可以使用移动应用的移动通信安全保护密钥来对接收的数据进行解密,得到业务数据;
步骤125,安全应用使用移动应用的业务密钥处理业务数据;安全应用可以使用自身存储的业务密钥(例如移动应用A的业务密钥和移动应用B的业务密钥)对业务数据进行处理;业务密钥可以为对称密钥或者非对称密钥,对称密钥的算法可以包括DES、AES、以及MD5中的任一种,非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。在使用非对称密钥作为业务密钥时,业务数据的处理方式可以根据具体的需求来确定,例如业务数据需要加密,则可以使用业务密钥的公钥进行加密,业务数据本身是加密数据,则可以使用业务密钥的私钥进行解密;此外,处理方式还可以包括对业务数据进行签名或者验证业务数据的签名;例如业务数据本身是包含签名的数据,则可以使用业务密钥的公钥来验证该签名,如果业务数据需要进行签名,则可以使用业务密钥的私钥来进行签名。在使用对称密钥时,业如果业务数据需要加密,则可以使用业务密钥进行加密,业务数据本身是加密数据,则可以使用业务密钥进行解密。可以理解的是,业务密钥可以有多组,例如多组非对称密钥而言,安全应用可以保存有不同密钥对中的公钥或者私钥,并根据具体的业务需求使用相应的密钥。
步骤130,安全应用将处理后的业务数据发送至移动应用。安全应用在将业务数据处理后,可以将处理后的业务数据发送至对应移动应用,例如将处理后的移动应用A的业务数据发送至移动应用A,将处理后的移动应用B的业务数据发送至移动应用B;随后移动应用A和移动应用B可以根据处理后的业务数据进行后续的业务流程。
可选地,安全应用在向移动应用发送处理后的业务数据时,还可以使用移动应用的通信安全保护密钥(例如移动应用A的通信安全保护私钥和移动应用B的通信安全保护私钥)来对处理后的业务数据签名,进一步提高安全性。
上述的实施例,能够实现由安全应用对若干移动应用的通信安全保护密钥和业务密钥的统一管理,从而实现安全应用的共享,避免针对每个移动应用在安全芯片中安装各自的安全应用。
需要说明的是,如果通信安全保护密钥和业务密钥均由移动应用的管理服务器,则移动应用的管理服务器生成通信安全保护密钥和业务密钥并无先后次序的限制,可以先生成通信安全保护密钥,也可以先生成业务密钥,也可以同时生成通信安全保护密钥和业务密钥;同样地,向安全应用管理服务器发送通信安全保护密钥和业务密钥时,业务先后次序的限制,可以先发送通信安全保护密钥,也可以先发送业务密钥,也可以同时发送信安全保护密钥和业务密钥。
进一步地需要说明的是,可以不由移动应用的管理服务器或安全应用的管理服务器生成通信安全保护密钥,因而本实施例中与安全通信保护密钥相关的步骤可以省略。
第二实施例
本申请实施例提供的共享安全应用的方法如图2所示,包括以下步骤:
步骤205,安全应用接收移动应用的通信安全保护密钥和业务密钥;安全通信保护密钥可以由移动应用的管理服务器生成,也可以由安全应用的管理服务器生成,然后同步给移动应用的管理服务器;在移动应用的通信安全保护密钥由移动应用的管理服务器生成的情况,可以在安全应用的管理服务器接收到移动应用的通信安全保护密钥后发送给安全应用;移动应用(例如移动应用A和移动应用B)的业务密钥由移动应用的管理服务器生成,然后移动应用的管理服务器将移动应用的业务密钥(例如移动应用A的业务密钥和移动应用B的业务密钥)发送至安全应用的管理服务器;安全应用可以从安全应用的管理服务器接收移动应用的通信安全保护密钥和业务密钥(例如移动应用A的通信安全保护密钥和业务密钥,以及移动应用B的通信安全保护密钥和业务密钥);通信安全保护密钥可以是对称密钥,也可以是非对称密钥;通信安全保护密钥是对称密钥的情况下,通信安全保护密钥主要用于待传输的业务数据进行加密或者解密;通信安全保护密钥是非对称密钥的情况下,通信安全保护密钥中的公钥主要用于待传输的业务数据进行加密和对返回的签名进行验证,通信安全保护密钥中的私钥主要对接收到的加密后的业务数据进行解密,并利用业务密钥处理后,对处理后的业务数据进行签名;一般而言,通信安全保护密钥的公钥可以保存在移动应用中,通信安全保护密钥的私钥保存在安全应用中;
步骤210,移动应用接收移动应用的通信安全保护密钥;如上所述,安全通信保护密钥可以由移动应用的管理服务器生成,也可以由安全应用的管理服务器生成,然后同步给移动应用的管理服务器;移动应用(例如移动应用A和移动应用B)可以分别从对应的移动应用服务器(例如移动应用A的服务器和移动应用B的服务器)接收各自的通信安全保护密钥(例如移动应用A的通信安全保护密钥和移动应用B的通信安全保护密钥);需要说明的是,通信安全保护密钥采用非对称密钥时,各个移动应用可以采用相同的公钥作为,而安全应用可以采用对应的私钥作为通信安全保护密钥;移动应用的业务密钥可以有多个,例如既有对称密钥作为业务密钥,又有非对称密钥作为业务密钥,可以针对不同的业务使用不同的业务密钥,例如视频业务使用对称密钥来处理,语音业务使用非对称密钥来处理。
步骤215,移动应用使用移动应用的通信安全保护密钥将业务数据加密后发送至安全应用;移动应用本身有业务数据需要解密的情况下,由于移动应用本身不具有业务密钥,所以移动应用需要请求安全应用来对业务数据进行解密。为了提高安全性,在移动应用请求安全应用对业务数据进行解密时,可以使用移动应用的通信安全保护密钥对业务数据进行加密;一般而言,移动应用的通信安全保护密钥采用非对称密钥,例如移动应用所保存的密钥为公钥,安全应用所保存的密钥为私钥。移动应用(例如移动应用A和移动应用B)使用自身的公钥(例如移动应用A的通信安全保护公钥和移动应用B的通信安全保护公钥)对业务数据进行加密,并发送至安全应用;非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种;
步骤220,安全应用使用移动应用的通信安全保护密钥解密以得到业务数据;安全应用从安全应用的管理服务器接收移动应用的移动通信安全保护密钥(例如移动应用A的通信安全保护私钥和移动应用B的通信安全保护私钥),从而可以使用移动应用的移动通信安全保护密钥来对接收的数据进行解密,得到业务数据;
步骤225,安全应用使用移动应用的业务密钥处理业务数据;安全应用可以使用自身存储的业务密钥(例如移动应用A的业务密钥和移动应用B的业务密钥)对业务数据进行解密;业务密钥可以为对称密钥或者非对称密钥,对称密钥的算法可以包括DES、AES、以及MD5中的任一种,非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种;在使用非对称密钥作为业务密钥时,业务数据的处理方式可以根据具体的需求来确定,例如业务数据需要加密,则可以使用业务密钥的公钥进行加密,业务数据本身是加密数据,则可以使用业务密钥的私钥进行解密;此外,处理方式还可以包括对业务数据进行签名或者验证业务数据的签名;例如业务数据本身是包含签名的数据,则可以使用业务密钥的公钥来验证该签名,如果业务数据需要进行签名,则可以使用业务密钥的私钥来进行签名。在使用对称密钥时,业如果业务数据需要加密,则可以使用业务密钥进行加密,业务数据本身是加密数据,则可以使用业务密钥进行解密。
步骤230,安全应用将处理后的业务数据发送至移动应用。安全应用在将业务数据处理后,可以将处理后的业务数据发送至对应移动应用,例如将处理后的移动应用A的业务数据发送至移动应用A,将处理后的移动应用B的业务数据发送至移动应用B;随后移动应用A和移动应用B可以根据处理后的业务数据进行后续的业务流程。
需要说明的是,如果通信安全保护密钥和业务密钥均由移动应用的管理服务器,则移动应用的管理服务器生成通信安全保护密钥和业务密钥并无先后次序的限制,可以先生成通信安全保护密钥,也可以先生成业务密钥,也可以同时生成通信安全保护密钥和业务密钥;同样地,向安全应用管理服务器发送通信安全保护密钥和业务密钥时,业务先后次序的限制,可以先发送通信安全保护密钥,也可以先发送业务密钥,也可以同时发送信安全保护密钥和业务密钥。
进一步地需要说明的是,可以不由移动应用的管理服务器或安全应用的管理服务器生成通信安全保护密钥,因而本实施例中与安全通信保护密钥相关的步骤可以省略。
此外,安全应用可以包括第一安全应用和第二安全应用,一部分移动应用于第一安全应用通信,另一部分移动应用与第二安全应用通信。优选地,移动应用还可以通过安全代理与安全应用通信。
可选地,安全应用在向移动应用发送处理后的业务数据时,还可以使用移动应用的通信安全保护密钥(例如移动应用A的通信安全保护私钥和移动应用B的通信安全保护私钥)来对处理后的业务数据签名,进一步提高安全性。
上述的实施例,能够实现由安全应用对若干移动应用的通信安全保护密钥和业务密钥的统一管理,从而实现安全应用的共享,避免针对每个移动应用在安全芯片中安装各自的安全应用。
第三实施例
图3是本申请实施例提供的移动终端示意图,包括执行环境以及安全芯片,执行环境中安装或运行有移动应用A、移动应用B等应用,安全芯片中运行有安全应用。
移动应用(例如移动应用A和移动应用B)可以从移动应用的管理服务器接收移动应用的安全通信保护密钥(例如移动应用A的安全通信保护密钥和移动应用B的安全通信保护密钥)。一般而言,移动应用的通信安全保护密钥采用非对称密钥,例如移动应用所保存的密钥为公钥,安全应用所保存的密钥为私钥。非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
移动应用(例如移动应用A和移动应用B)在有业务数据需要处理(例如解密)的情况下,可以使用移动应用的通信安全保护密钥(例如移动应用A的通信安全保护公钥和移动应用B的通信安全保护公钥)对业务数据进行加密,并将加密后的业务数据发送到安全应用。安全应用可以从安全应用的管理服务器接收移动应用(例如移动应用A和移动应用B)的通信安全保护密钥和业务密钥。如上所述,移动应用的通信安全保护密钥可以为非对称密钥,因而安全应用可以使用移动应用(例如移动应用A和移动应用B)的通信安全保护私钥解密移动应用发送的业务数据,然后再用移动应用(例如移动应用A和移动应用B)的业务密钥进行解密。业务密钥可以为对称密钥或者非对称密钥,对称密钥的算法可以包括DES、AES、以及MD5中的任一种,非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
安全应用在解密业务数据以后,可以将解密后的数据发送到相应的移动应用(例如移动应用A和移动应用B),供移动应用完成后续的流程。
优选地,安全应用还可以在解密业务数据以后,使用移动应用(例如移动应用A和移动应用B)的通信安全保护私钥对解密后的业务数据进行签名,以提高安全性。移动应用(例如移动应用A和移动应用B)接收到签名的解密后业务数据以后,使用移动应用的通信安全保护公钥验证签名,从而得到解密后的业务数据,并能够完成后续的流程。
上述实施例中的移动终端可以实现在安全芯片中安装一个安全应用,对安装或运行在执行环境中的若干移动应用提供安全服务,为移动应用的业务数据提供解密服务,从而提高移动终端的安全性。
第四实施例
图4是本申请实施例提供的移动终端示意图,包括富执行环境以及安全芯片,富执行环境中安装或运行有移动应用A、移动应用B等应用,安全芯片中运行有安全应用。富执行环境为运行在移动设备中的开放执行环境,为运行其中的应用程序提供开放、丰富的运行能力支持,但安全保护能力相对较弱。
移动应用(例如富执行环境中的移动应用A和移动应用B)可以从移动应用的管理服务器接收移动应用的安全通信保护密钥(例如富执行环境中的移动应用A的安全通信保护密钥和移动应用B的安全通信保护密钥)。一般而言,移动应用的通信安全保护密钥采用非对称密钥,例如移动应用所保存的密钥为公钥,安全应用所保存的密钥为私钥。非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
移动应用(例如富执行环境中的移动应用A和移动应用B)在有业务数据需要处理(例如解密)的情况下,可以使用移动应用的通信安全保护密钥(例如富执行环境中的移动应用A的通信安全保护公钥和移动应用B的通信安全保护公钥)对业务数据进行加密,并将加密后的业务数据发送到安全应用。安全应用可以从安全应用的管理服务器接收移动应用(例如富执行环境中的移动应用A和移动应用B)的通信安全保护密钥和业务密钥。如上所述,移动应用的通信安全保护密钥可以为非对称密钥,因而安全应用可以使用移动应用(例如富执行环境中的移动应用A和移动应用B)的通信安全保护私钥解密移动应用发送的业务数据,然后再用移动应用(例如富执行环境中的移动应用A和移动应用B)的业务密钥进行解密。业务密钥可以为对称密钥或者非对称密钥,对称密钥的算法可以包括DES、AES、以及MD5中的任一种,非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
安全应用在解密业务数据以后,可以将解密后的数据发送到相应的移动应用(例如富执行环境中的移动应用A和移动应用B),供移动应用完成后续的流程。
优选地,安全应用还可以在解密业务数据以后,使用移动应用(例如富执行环境中的移动应用A和移动应用B)的通信安全保护私钥对解密后的业务数据进行签名,以提高安全性。移动应用(例如富执行环境中的移动应用A和移动应用B)接收到加密的业务数据以后,使用移动应用的通信安全保护公钥验证签名,从而得到解密后的业务数据,并能够完成后续的流程。
上述实施例中的移动终端可以实现在安全芯片中安装一个安全应用,对安装或运行在执行环境中的若干移动应用提供安全服务,为移动应用的业务数据提供解密服务,从而提高移动终端的安全性。
第五实施例
图5是本申请实施例提供的移动终端示意图,包括可信执行环境以及安全芯片,可信执行环境中安装或运行有移动应用A、移动应用B等应用,安全芯片中运行有安全应用。可信执行环境为运行在移动设备中的隔离执行环境,相对于富执行环境,具备较强的安全能力,以确保运行其中的应用程序、敏感数据等在相对可信的环境中得到存储、处理和保护。
移动应用(例如可信执行环境中的移动应用A和移动应用B)可以从移动应用的管理服务器接收移动应用的安全通信保护密钥(例如可信执行环境中的移动应用A的安全通信保护密钥和移动应用B的安全通信保护密钥)。一般而言,移动应用的通信安全保护密钥采用非对称密钥,例如移动应用所保存的密钥为公钥,安全应用所保存的密钥为私钥。非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
移动应用(例如可信执行环境中的移动应用A和移动应用B)在有业务数据需要处理(例如解密)的情况下,可以使用移动应用的通信安全保护密钥(例如可信执行环境中的移动应用A的通信安全保护公钥和移动应用B的通信安全保护公钥)对业务数据进行加密,并将加密后的业务数据发送到安全应用。安全应用可以从安全应用的管理服务器接收移动应用(例如可信执行环境中的移动应用A和移动应用B)的通信安全保护密钥和业务密钥。如上所述,移动应用的通信安全保护密钥可以为非对称密钥,因而安全应用可以使用移动应用(例如可信执行环境中的移动应用A和移动应用B)的通信安全保护私钥解密移动应用发送的业务数据,然后再用移动应用(例如可信执行环境中的移动应用A和移动应用B)的业务密钥进行解密。业务密钥可以为对称密钥或者非对称密钥,对称密钥的算法可以包括DES、AES、以及MD5中的任一种,非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
安全应用在解密业务数据以后,可以将解密后的数据发送到相应的移动应用(例如可信执行环境中的移动应用A和移动应用B),供移动应用完成后续的流程。
优选地,安全应用还可以在解密业务数据以后,使用移动应用(例如可信执行环境中的移动应用A和移动应用B)的通信安全保护私钥对解密后的业务数据进行签名,以提高安全性。移动应用(例如可信执行环境中的移动应用A和移动应用B)接收到签名的业务数据以后,使用移动应用的通信安全保护公钥验证签名,从而得到解密后的业务数据,并能够完成后续的流程。
上述实施例中的移动终端可以实现在安全芯片中安装一个安全应用,对安装或运行在执行环境中的若干移动应用提供安全服务,为移动应用的业务数据提供解密服务,从而提高移动终端的安全性。
第六实施例
图6是本申请实施例提供的移动终端示意图,包括富执行环境、可信执行环境以及安全芯片,例如富执行环境中安装或运行有移动应用A等应用,可信执行环境中安装或运行有移动应用B等应用,安全芯片中运行有安全应用。富执行环境为运行在移动设备中的开放执行环境,为运行其中的应用程序提供开放、丰富的运行能力支持,但安全保护能力相对较弱。可信执行环境为运行在移动设备中的隔离执行环境,相对于富执行环境,具备较强的安全能力,以确保运行其中的应用程序、敏感数据等在相对可信的环境中得到存储、处理和保护。
移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)可以从移动应用的管理服务器接收移动应用的安全通信保护密钥(例如富执行环境中的移动应用A的安全通信保护密钥和可信执行环境中的移动应用B的安全通信保护密钥)。一般而言,移动应用的通信安全保护密钥采用非对称密钥,例如移动应用所保存的密钥为公钥,安全应用所保存的密钥为私钥。非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)在有业务数据需要处理(例如解密)的情况下,可以使用移动应用的通信安全保护密钥(例如富执行环境中的移动应用A的通信安全保护公钥和可信执行环境中的移动应用B的通信安全保护公钥)对业务数据进行加密,并将加密后的业务数据发送到安全应用。安全应用可以从安全应用的管理服务器接收移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的通信安全保护密钥和业务密钥。如上所述,移动应用的通信安全保护密钥可以为非对称密钥,因而安全应用可以使用移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的通信安全保护私钥解密移动应用发送的业务数据,然后再用移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的业务密钥进行解密。业务密钥可以为对称密钥或者非对称密钥,对称密钥的算法可以包括DES、AES、以及MD5中的任一种,非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
安全应用在解密业务数据以后,可以将解密后的数据发送到相应的移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B),供移动应用完成后续的流程。
优选地,安全应用还可以在解密业务数据以后,使用移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的通信安全保护私钥对解密后的业务数据进行签名,以提高安全性。移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)接收到签名的业务数据以后,使用移动应用的通信安全保护公钥验证签名,从而得到解密后的业务数据,并能够完成后续的流程。
上述实施例中的移动终端可以实现在安全芯片中安装一个安全应用,对安装或运行在执行环境中的若干移动应用提供安全服务,为移动应用的业务数据提供解密服务,从而提高移动终端的安全性。
第七实施例
图7是本申请实施例提供的移动终端示意图,包括处理器和第一存储器,以及安全芯片和第二存储器,第一存储器存储有移动应用对应的程序(例如移动应用对应的程序A和移动应用对应的程序B)等程序,第二存储器存储有安全应用对应的程序。
处理器可以执行移动应用对应的程序(例如移动应用对应的程序A和移动应用对应的程序B),从而可以从移动应用对应的程序的管理服务器接收移动应用的安全通信保护密钥。一般而言,移动应用的通信安全保护密钥采用非对称密钥,例如移动应用所保存的密钥为公钥,安全应用所保存的密钥为私钥。非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
移动应用对应的程序(例如移动应用对应的程序A和移动应用对应的程序B)在有业务数据需要处理(例如解密)的情况下,可以使用移动应用的通信安全保护密钥对业务数据进行加密,并将加密后的业务数据发送到安全芯片。安全芯片可以执行安全应用对应的程序,从而可以从安全应用对应的程序的管理服务器接收移动移动应用的通信安全保护密钥和业务密钥。如上所述,移动应用的通信安全保护密钥可以为非对称密钥,因而安全芯片可以使用移动应用的通信安全保护私钥解密处理器发送的业务数据,然后再用移动应用的业务密钥进行解密。业务密钥可以为对称密钥或者非对称密钥,对称密钥的算法可以包括DES、AES、以及MD5中的任一种,非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
安全芯片在解密业务数据以后,可以将解密后的数据发送到处理器,供处理器完成后续的流程。
优选地,处理器还可以在解密业务数据以后,使用移动应用的通信安全保护私钥对解密后的业务数据进行签名,以提高安全性。处理器接收到签名的业务数据以后,使用移动应用的通信安全保护公钥验证签名,从而得到解密后的业务数据,并能够完成后续的流程。
上述实施例中的移动终端可以实现在安全芯片中安装一个安全应用对应的程序,对安装或运行在执行环境中的多个移动应用提供安全服务,为移动应用的业务数据提供解密服务,从而提高移动终端的安全性。
第八实施例
如图8所示,本申请实施例提供的共享安全应用的系统包括移动终端、移动应用的管理服务器和安全应用的管理服务器。移动终端包括执行环境和安全芯片。移动应用的管理服务器可以生成移动应用(例如移动应用A和移动应用B)的通信安全保护密钥和业务密钥,移动应用的管理服务器可以将移动应用(例如移动应用A和移动应用B)的通信安全保护密钥和业务密钥发送至安全应用的管理服务器,并将移动应用(例如移动应用A和移动应用B)的通信安全保护密钥发送至相应的移动应用(例如移动应用A和移动应用B)。安全应用的管理服务器可以将移动应用(例如移动应用A和移动应用B)的通信安全保护密钥和业务密钥发送至安全应用,安全应用在收到移动应用(例如移动应用A和移动应用B)的通信安全保护密钥和业务密钥以后,会将移动应用的通信安全保护密钥和业务密钥进行安全隔离,例如将移动应用A的通信安全保护密钥和业务密钥与移动应用B的通信安全保护密钥和/或业务密钥进行隔离。需要说明的是,如果通信安全保护密钥由安全应用的管理服务器提供,则各个移动应用可以保存相同的公钥,而安全应用保存对应的私钥;如果通信安全保护密钥由移动应用的管理服务器提供,则各个移动应用的公钥不同,并且安全应用存储与多个对应的公钥对应的私钥;或者如果通信安全保护密钥由移动应用的管理服务器提供,在使用对称密钥的情况下,各个移动应用保存的自身的密钥,并且安全应用保存对应的密钥。安全应用中需要对各个通信安全保护密钥进行安全隔离。各个移动应用对应的业务密钥一般不同,各个业务密钥之间也需要隔离。
可选地,移动应用(例如移动应用A和移动应用B)的通信安全保护密钥也可由安全应用的管理服务器生成。安全应用的管理服务器可以将其生成的移动应用(例如移动应用A和移动应用B)的通信安全保护密钥发送至移动应用(例如移动应用A和移动应用B)的管理服务器。在这种情况下,移动应用(例如移动应用A和移动应用B)的管理服务器可以仅生成移动应用(例如移动应用A和移动应用B)的业务密钥,并将生成的移动应用(例如移动应用A和移动应用B)的业务密钥发送至安全应用的管理服务器。安全应用的管理服务器可以将移动应用(例如移动应用A和移动应用B)的通信安全保护密钥和业务密钥发送至安全密钥,移动应用(例如移动应用A和移动应用B)的管理服务器可以将移动应用(例如移动应用A和移动应用B)的通信安全保护密钥发送至相应的移动应用(例如移动应用A和移动应用B)。
一般而言,移动应用的通信安全保护密钥采用非对称密钥,例如移动应用所保存的密钥为公钥,安全应用所保存的密钥为私钥。非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
在移动应用(例如移动应用A和移动应用B)发起业务操作请求时,例如解密操作请求,可以使用移动应用(例如移动应用A和移动应用B)所保存的通信安全保护公钥对业务数据进行加密,并将加密后的业务数据发送到安全应用。可选地,移动应用还可以发起加密的操作请求,请求安全应用对业务数据加密。在使用非对称密钥作为业务密钥的情况下,还可以发起请求签名或者验证签名的操作请求。
安全应用在收到移动应用(例如移动应用A和移动应用B)使用移动应用(例如移动应用A和移动应用B)的通信安全保护公钥加密的业务数据以后,可以使用移动应用(例如移动应用A和移动应用B)的通信安全保护私钥解密,得到业务数据。随后,安全应用可以使用移动应用(例如移动应用A和移动应用B)的业务密钥对业务数据进行解密,并可以将解密后的业务数据发送至移动应用(例如移动应用A和移动应用B),移动应用可以随后使用解密后的业务数据完成后续的业务流程。业务密钥可以为对称密钥或者非对称密钥,对称密钥的算法可以包括DES、AES、以及MD5中的任一种,非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
可选地,安全应用在使用移动应用(例如移动应用A和移动应用B)的业务密钥对业务数据进行解密后,还可以使用移动应用(例如移动应用A和移动应用B)的通信安全保护私钥对解密后的业务数据进行签名,并发送给移动应用(例如移动应用A和移动应用B),移动应用(例如移动应用A和移动应用B)可以使用对应的通信安全保护公钥进行验证签名,得到解密后的业务数据。
上述系统,可以完成通信安全保护密钥和业务密钥的分发,从而使得若干移动应用共享一个管理应用得以实现。
第九实施例
如图9所示,本申请实施例提供的共享安全应用的系统包括移动终端、移动应用的管理服务器和安全应用的管理服务器。移动终端包括富执行环境和安全芯片。富执行环境为运行在移动设备中的开放执行环境,为运行其中的应用程序提供开放、丰富的运行能力支持,但安全保护能力相对较弱。
移动应用的管理服务器可以生成移动应用(例如富执行环境中的移动应用A和移动应用B)的通信安全保护密钥和业务密钥,移动应用的管理服务器可以将移动应用(例如富执行环境中的移动应用A和移动应用B)的通信安全保护密钥和业务密钥发送至安全应用的管理服务器,并将移动应用(例如富执行环境中的移动应用A和移动应用B)的通信安全保护密钥发送至相应的移动应用(例如富执行环境中的移动应用A和移动应用B)。安全应用的管理服务器可以将移动应用(例如富执行环境中的移动应用A和移动应用B)的通信安全保护密钥和业务密钥发送至安全应用,安全应用在收到移动应用(例如富执行环境中的移动应用A和移动应用B)的通信安全保护密钥和业务密钥以后,会将移动应用的通信安全保护密钥和业务密钥进行安全隔离,例如将移动应用A的通信安全保护密钥和业务密钥与移动应用B的通信安全保护密钥和业务密钥进行隔离。需要说明的是,如果通信安全保护密钥由安全应用的管理服务器提供,则各个移动应用可以保存相同的公钥,而安全应用保存对应的私钥;如果通信安全保护密钥由移动应用的管理服务器提供,则各个移动应用的公钥不同,并且安全应用存储与多个对应的公钥对应的私钥;或者如果通信安全保护密钥由移动应用的管理服务器提供,在使用对称密钥的情况下,各个移动应用保存的自身的密钥,并且安全应用保存对应的密钥。安全应用中需要对各个通信安全保护密钥进行安全隔离。各个移动应用对应的业务密钥一般不同,各个业务密钥之间也需要隔离。
可选地,移动应用(例如富执行环境中的移动应用A和移动应用B)的通信安全保护密钥也可由安全应用的管理服务器生成。安全应用的管理服务器可以将其生成的移动应用(例如富执行环境中的移动应用A和移动应用B)的通信安全保护密钥发送至移动应用(例如富执行环境中的移动应用A和移动应用B)的管理服务器。在这种情况下,移动应用(例如富执行环境中的移动应用A和移动应用B)的管理服务器可以仅生成移动应用(例如富执行环境中的移动应用A和移动应用B)的业务密钥,并将生成的移动应用(例如富执行环境中的移动应用A和移动应用B)的业务密钥发送至安全应用的管理服务器。安全应用的管理服务器可以将移动应用(例如富执行环境中的移动应用A和移动应用B)的通信安全保护密钥和业务密钥发送至安全密钥,移动应用(例如富执行环境中的移动应用A和移动应用B)的管理服务器可以将移动应用(例如富执行环境中的移动应用A和移动应用B)的通信安全保护密钥发送至相应的移动应用(例如富执行环境中的移动应用A和移动应用B)。
一般而言,移动应用的通信安全保护密钥采用非对称密钥,例如移动应用所保存的密钥为公钥,安全应用所保存的密钥为私钥。非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
在移动应用(例如富执行环境中的移动应用A和移动应用B)发起业务操作请求时,例如解密操作请求,可以使用移动应用(例如富执行环境中移动应用A和移动应用B)所保存的通信安全保护公钥对业务数据进行加密,并将加密后的业务数据发送到安全应用。可选地,移动应用还可以发起加密的操作请求,请求安全应用对业务数据加密。在使用非对称密钥作为业务密钥的情况下,还可以发起请求签名或者验证签名的操作请求。
安全应用在收到移动应用(例如富执行环境中移动应用A和移动应用B)使用移动应用(例如富执行环境中移动应用A和移动应用B)的通信安全保护公钥加密的业务数据以后,可以使用移动应用(例如富执行环境中移动应用A和移动应用B)的通信安全保护私钥解密,得到业务数据。随后,安全应用可以使用移动应用(例如富执行环境中移动应用A和移动应用B)的业务密钥对业务数据进行解密,并可以将解密后的业务数据发送至移动应用(例如富执行环境中移动应用A和移动应用B),移动应用可以随后使用解密后的业务数据完成后续的业务流程。业务密钥可以为对称密钥或者非对称密钥,对称密钥的算法可以包括DES、AES、以及MD5中的任一种,非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
可选地,安全应用在使用移动应用(例如富执行环境中移动应用A和移动应用B)的业务密钥对业务数据进行解密后,还可以使用移动应用(例如富执行环境中移动应用A和移动应用B)的通信安全保护私钥对解密后的业务数据进行签名,并发送给移动应用(例如富执行环境中移动应用A和移动应用B),移动应用(例如富执行环境中移动应用A和移动应用B)可以使用对应的通信安全保护公钥进行验证签名,得到解密后的业务数据。
上述系统,可以完成通信安全保护密钥和业务密钥的分发,从而使得富执行环境中的若干移动应用共享一个管理应用得以实现。
第十实施例
如图10所示,本申请实施例提供的共享安全应用的系统包括移动终端、移动应用的管理服务器和安全应用的管理服务器。移动终端包括可信执行环境和安全芯片。可信执行环境为运行在移动设备中的隔离执行环境,相对于富执行环境,具备较强的安全能力,以确保运行其中的应用程序、敏感数据等在相对可信的环境中得到存储、处理和保护。
移动应用的管理服务器可以生成移动应用(例如可信执行环境中的移动应用A和移动应用B)的通信安全保护密钥和业务密钥,移动应用的管理服务器可以将移动应用(例如可信执行环境中的移动应用A和移动应用B)的通信安全保护密钥和业务密钥发送至安全应用的管理服务器,并将移动应用(例如可信执行环境中的移动应用A和移动应用B)的通信安全保护密钥发送至相应的移动应用(例如可信执行环境中的移动应用A和移动应用B)。安全应用的管理服务器可以将移动应用(例如可信执行环境中的移动应用A和移动应用B)的通信安全保护密钥和业务密钥发送至安全应用,安全应用在收到移动应用(例如可信执行环境中的移动应用A和移动应用B)的通信安全保护密钥和业务密钥以后,会将移动应用的通信安全保护密钥和业务密钥进行安全隔离,例如将移动应用A的通信安全保护密钥和业务密钥与移动应用B的通信安全保护密钥和业务密钥进行隔离。需要说明的是,如果通信安全保护密钥由安全应用的管理服务器提供,则各个移动应用可以保存相同的公钥,而安全应用保存对应的私钥;如果通信安全保护密钥由移动应用的管理服务器提供,则各个移动应用的公钥不同,并且安全应用存储与多个对应的公钥对应的私钥;或者如果通信安全保护密钥由移动应用的管理服务器提供,在使用对称密钥的情况下,各个移动应用保存的自身的密钥,并且安全应用保存对应的密钥。安全应用中需要对各个通信安全保护密钥进行安全隔离。各个移动应用对应的业务密钥一般不同,各个业务密钥之间也需要隔离。
可选地,移动应用(例如可信执行环境中的移动应用A和移动应用B)的通信安全保护密钥也可由安全应用的管理服务器生成。安全应用的管理服务器可以将其生成的移动应用(例如可信执行环境中的移动应用A和移动应用B)的通信安全保护密钥发送至移动应用(例如可信执行环境中的移动应用A和移动应用B)的管理服务器。在这种情况下,移动应用(例如可信执行环境中的移动应用A和移动应用B)的管理服务器可以仅生成移动应用(例如可信执行环境中的移动应用A和移动应用B)的业务密钥,并将生成的移动应用(例如可信执行环境中的移动应用A和移动应用B)的业务密钥发送至安全应用的管理服务器。安全应用的管理服务器可以将移动应用(例如可信执行环境中的移动应用A和移动应用B)的通信安全保护密钥和业务密钥发送至安全密钥,移动应用(例如可信执行环境中的移动应用A和移动应用B)的管理服务器可以将移动应用(例如可信执行环境中的移动应用A和移动应用B)的通信安全保护密钥发送至相应的移动应用(例如可信执行环境中的移动应用A和移动应用B)。
一般而言,移动应用的通信安全保护密钥采用非对称密钥,例如移动应用所保存的密钥为公钥,安全应用所保存的密钥为私钥。非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
在移动应用(例如可信执行环境中的移动应用A和移动应用B)发起业务操作请求时,例如解密操作请求,可以使用移动应用(例如可信执行环境中移动应用A和移动应用B)所保存的通信安全保护公钥对业务数据进行加密,并将加密后的业务数据发送到安全应用。
安全应用在收到移动应用(例如可信执行环境中移动应用A和移动应用B)使用移动应用(例如可信执行环境中移动应用A和移动应用B)的通信安全保护公钥加密的业务数据以后,可以使用移动应用(例如可信执行环境中移动应用A和移动应用B)的通信安全保护私钥解密,得到业务数据。随后,安全应用可以使用移动应用(例如可信执行环境中移动应用A和移动应用B)的业务密钥对业务数据进行解密,并可以将解密后的业务数据发送至移动应用(例如可信执行环境中移动应用A和移动应用B),移动应用可以随后使用解密后的业务数据完成后续的业务流程。业务密钥可以为对称密钥或者非对称密钥,对称密钥的算法可以包括DES、AES、以及MD5中的任一种,非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
可选地,安全应用在使用移动应用(例如可信执行环境中移动应用A和移动应用B)的业务密钥对业务数据进行解密后,还可以使用移动应用(例如可信执行环境中移动应用A和移动应用B)的通信安全保护私钥对解密后的业务数据进行签名,并发送给移动应用(例如可信执行环境中移动应用A和移动应用B),移动应用(例如可信执行环境中移动应用A和移动应用B)可以使用对应的通信安全保护公钥进行验证签名,得到解密后的业务数据。
上述系统,可以完成通信安全保护密钥和业务密钥的分发,从而使得可信执行环境中的若干移动应用共享一个管理应用得以实现。
第十一实施例
如图11所示,本申请实施例提供的共享安全应用的系统包括移动终端、移动应用的管理服务器和安全应用的管理服务器。移动终端包括富执行环境、可信执行环境和安全芯片。富执行环境为运行在移动设备中的开放执行环境,为运行其中的应用程序提供开放、丰富的运行能力支持,但安全保护能力相对较弱。可信执行环境为运行在移动设备中的隔离执行环境,相对于富执行环境,具备较强的安全能力,以确保运行其中的应用程序、敏感数据等在相对可信的环境中得到存储、处理和保护。
移动应用的管理服务器可以生成移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的通信安全保护密钥和业务密钥,移动应用的管理服务器可以将移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的通信安全保护密钥和业务密钥发送至安全应用的管理服务器,并将移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的通信安全保护密钥发送至相应的移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)。安全应用的管理服务器可以将移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的通信安全保护密钥和业务密钥发送至安全应用,安全应用在收到移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的通信安全保护密钥和业务密钥以后,会将移动应用的通信安全保护密钥和业务密钥进行安全隔离,例如将移动应用A的通信安全保护密钥和业务密钥与移动应用B的通信安全保护密钥和业务密钥进行隔离。需要说明的是,如果通信安全保护密钥由安全应用的管理服务器提供,则各个移动应用可以保存相同的公钥,而安全应用保存对应的私钥;如果通信安全保护密钥由移动应用的管理服务器提供,则各个移动应用的公钥不同,并且安全应用存储与多个对应的公钥对应的私钥;或者如果通信安全保护密钥由移动应用的管理服务器提供,在使用对称密钥的情况下,各个移动应用保存的自身的密钥,并且安全应用保存对应的密钥。安全应用中需要对各个通信安全保护密钥进行安全隔离。各个移动应用对应的业务密钥一般不同,各个业务密钥之间也需要隔离。
可选地,移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的通信安全保护密钥也可由安全应用的管理服务器生成。安全应用的管理服务器可以将其生成的移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的通信安全保护密钥发送至移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的管理服务器。在这种情况下,移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的管理服务器可以仅生成移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的业务密钥,并将生成的移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的业务密钥发送至安全应用的管理服务器。安全应用的管理服务器可以将移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的通信安全保护密钥和业务密钥发送至安全密钥,移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的管理服务器可以将移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的通信安全保护密钥发送至相应的移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)。
一般而言,移动应用的通信安全保护密钥采用非对称密钥,例如移动应用所保存的密钥为公钥,安全应用所保存的密钥为私钥。非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
在移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)发起业务操作请求时,例如解密操作请求,可以使用移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)所保存的通信安全保护公钥对业务数据进行加密,并将加密后的业务数据发送到安全应用。可选地,移动应用还可以发起加密的操作请求,请求安全应用对业务数据加密。在使用非对称密钥作为业务密钥的情况下,还可以发起请求签名或者验证签名的操作请求。
安全应用在收到移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)使用移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的通信安全保护公钥加密的业务数据以后,可以使用移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的通信安全保护私钥解密,得到业务数据。随后,安全应用可以使用移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的业务密钥对业务数据进行解密,并可以将解密后的业务数据发送至移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B),移动应用可以随后使用解密后的业务数据完成后续的业务流程。业务密钥可以为对称密钥或者非对称密钥,对称密钥的算法可以包括DES、AES、以及MD5中的任一种,非对称密钥的算法可以包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
可选地,安全应用在使用移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的业务密钥对业务数据进行解密后,还可以使用移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)的通信安全保护私钥对解密后的业务数据进行签名,并发送给移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B),移动应用(例如富执行环境中的移动应用A和可信执行环境中的移动应用B)可以使用对应的通信安全保护公钥进行验证签名,得到解密后的业务数据。
上述系统,可以完成通信安全保护密钥和业务密钥的分发,从而使得可信执行环境中的若干移动应用共享一个管理应用得以实现。
通过本申请提供实施例,可以实现使用一个安全应用为多个具有统一需求的移动应用进行数据处理,可以降低移动应用使用安全芯片进行安全运算的成本,加快基于安全芯片的安全运算的普及。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (18)
1.一种移动终端中共享安全应用的方法,其特征在于,所述移动终端可运行多个移动应用,所述移动终端还包括安全应用,所述方法包括:
所述安全应用接收多个移动应用的业务密钥;
所述安全应用接收多个移动应用发送的加密后的业务数据,并进行解密,得到各自解密后的业务数据;
所述安全应用使用所述多个移动应用的业务密钥处理各自相应的业务数据;
所述安全应用将处理后的各自相应的业务数据发送给相应的移动应用。
2.如权利要求1所述的方法,其特征在于,该方法还包括:
所述移动应用接收所述移动应用的通信安全保护密钥;
所述安全应用接收多个移动应用发送的加密后的业务数据,并进行解密包括:
所述安全应用接收多个移动应用发送的使用各自的通信安全保护密钥加密后的业务数据;
所述安全应用使用所述多个移动应用各自的通信安全保护密钥解密后得到所述各自的业务数据。
3.如权利要求1所述的方法,其特征在于,所述安全应用包括第一安全应用和第二安全应用;
所述若干移动应用中一部分移动应用与所述第一安全应用通信,所述若干移动应用中的另一部分移动应用与所述第二安全应用通信。
4.如权利要求1、2或3所述的方法,其特征在于,该方法还包括:
所述移动应用的管理服务器生成所述移动应用的通信安全保护密钥,并将所述移动应用的通信安全保护密钥发送至所述移动应用和安全应用管理服务器;所述安全应用管理服务器将所述移动应用的通信安全保护密钥发送至安全应用;
和/或,
所述移动应用的管理服务器生成所述移动应用的业务密钥,并将所述移动应用的业务密钥发送至所述安全应用管理服务器;所述安全应用管理服务器将所述移动应用的业务密钥发送至安全应用。
5.如权利要求1、2或3所述的方法,其特征在于,该方法还包括:
所述移动应用的管理服务器生成所述移动应用的通信安全保护密钥和业务密钥,并将所述移动应用的通信安全保护密钥和业务密钥发送至所述安全应用管理服务器;
所述安全应用管理服务器将所述移动应用的通信安全保护密钥和业务密钥发送至安全应用;
所述移动应用的管理服务器将所述移动应用的通信安全保护密钥发送至所述移动应用。
6.如权利要求1、2或3所述的方法,其特征在于,该方法还包括:
所述安全应用的管理服务器生成所述移动应用的通信安全保护密钥,并将所述移动应用的通信安全保护密钥发送至所述移动应用的管理服务器;
所述移动应用的管理服务器生成所述移动应用的业务密钥,并将所述移动应用的业务密钥发送至所述安全应用的管理服务器;
所述移动应用的管理服务器将所述移动应用的通信安全保护密钥发送至所述移动应用,所述安全应用的管理服务器将所述移动应用的通信安全保护密钥和业务密钥发送至所述安全应用。
7.如权利要求1、2或3所述的方法,其特征在于,若干所述移动应用的业务密钥在所述安全应用中被安全隔离;和/或若干所述移动应用的通信安全保护密钥在所述安全应用中被安全隔离。
8.如权利要求1、2或3所述的方法,其特征在于,所述移动应用的业务密钥为对称密钥或者非对称密钥;
当所述移动应用的业务密钥为对称密钥时,所述处理所述各自相应的业务数据包括加密所述业务数据或者解密所述业务数据;
当所述移动应用的业务密钥为非对称密钥时,所述处理所述各自相应的业务数据包括加密所述业务数据、解密所述业务数据、对所述业务数据签名或者验证所述业务所述数据的签名。
9.如权利要求1、2或3所述的方法,其特征在于,所述移动应用的通信安全保护密钥为对称密钥或者非对称密钥;其中,所述移动应用的通信安全保护密钥为非对称密钥的情况下,所述移动应用接收的所述移动应用的通信安全保护密钥为公钥,所述安全应用接收的所述移动应用的通信安全保护密钥为私钥。
10.一种移动终端,其特征在于,所述移动终端可运行多个移动应用,所述移动终端还包括安全应用;
所述安全应用,用于接收多个移动应用的业务密钥;接收多个移动应用发送的加密后的业务数据,并进行解密,得到各自解密后的业务数据;
所述安全应用,还用于使用所述多个移动应用的业务密钥处理各自相应的业务数据;将处理后的各自相应的业务数据发送给相应的移动应用。
11.根据权利要求10所述的移动终端,其特征在于,所述移动应用,还用于接收所述多个移动应用的通信安全保护密钥;
所述安全应用,还用于接收多个移动应用发送的使用各自的通信安全保护密钥加密后的业务数据;使用所述多个移动应用各自的通信安全保护密钥解密后得到所述各自的业务数据。
12.一种移动终端,其特征在于,包括处理器、第一存储器、安全芯片以及第二存储器,所述第一存储器存储有多个移动应用对应的程序,所述第二存储器存储有安全应用对应的程序,
所述安全芯片,用于执行所述安全应用对应的程序以接收多个移动应用的业务密钥;接收处理器发送的加密后的业务数据,并进行解密,得到各自解密后的业务数据;
所述安全芯片,还用于使用多个移动应用的业务密钥处理各自相应的业务数据;将处理后的各自相应的业务数据发送给相应的移动应用。
13.根据权利要求12所述的移动终端,其特征在于,所述处理器,还用于接收多个移动应用的通信安全保护密钥;
所述安全芯片,还用于接收处理器发送的使用多个安全应用各自的通信安全保护密钥加密后的业务数据;使用所述多个移动应用各自的通信安全保护密钥解密后得到所述各自的业务数据。
14.一种共享安全应用的系统,该系统包括根据权利要求10所述的移动终端、多个移动应用的管理服务器、以及安全应用的管理服务器,其特征在于,
所述移动应用的管理服务器,用于生成多个移动应用的通信安全保护密钥和业务密钥,将多个移动应用的通信安全保护密钥发送至所述移动应用,将多个移动应用的通信安全保护密钥和业务密钥发送至所述安全应用的管理服务器;
所述安全应用的管理服务器,用于将多个移动应用的通信安全保护密钥和业务密钥发送至所述安全应用。
15.一种共享安全应用的系统,该系统包括根据权利要求10所述的移动终端、多个移动应用的管理服务器、以及安全应用的管理服务器,其特征在于,
多个移动应用的管理服务器,用于生成多个移动应用的业务密钥,并将多个移动应用的业务密钥发送至所述安全应用的管理服务器;
所述安全应用的管理服务器,还用于将业务密钥发送至所述安全应用。
16.根据权利要求15所述的共享安全应用的系统,其特征在于,所述安全应用的管理服务器,还用于生成多个移动应用的通信安全保护密钥;将多个移动应用的通信安全保护密钥发送至多个移动应用的管理服务器,并将多个移动应用的通信安全保护密钥发送至所述安全应用;多个移动应用的管理服务器,还用于将多个移动应用的通信安全保护密钥发送至所述移动应用。
17.一种共享安全应用对应的程序的系统,该系统包括根据权利要求12所述的移动终端、多个移动应用对应的程序的管理服务器、以及安全应用对应的程序的管理服务器,其特征在于,
多个移动应用对应的程序的管理服务器,用于生成多个移动应用的业务密钥,将多个移动应用的业务密钥发送至所述安全应用对应的管理服务器;
所述安全应用对应的程序的管理服务器,用于将多个移动应用的业务密钥发送至所述安全芯片。
18.一种共享安全应用对应的程序的系统,该系统包括根据权利要求12所述的移动终端、多个移动应用对应的程序的管理服务器、以及安全应用对应的程序的管理服务器,其特征在于,
移动应用对应的程序的管理服务器,用于生成多个移动应用的业务密钥,并将多个移动应用的业务密钥发送至安全应用对应的程序的管理服务器;
安全应用对应的程序的管理服务器,还用于将多个移动应用的业务密钥发送至所述安全芯片。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811186977.1A CN109450620B (zh) | 2018-10-12 | 2018-10-12 | 一种移动终端中共享安全应用的方法及移动终端 |
| SG11202100127SA SG11202100127SA (en) | 2018-10-12 | 2019-07-22 | Method and mobile terminal of sharing security application in mobile terminal |
| PCT/CN2019/097061 WO2020073712A1 (zh) | 2018-10-12 | 2019-07-22 | 一种移动终端中共享安全应用的方法及移动终端 |
| EP19871495.8A EP3866384A4 (en) | 2018-10-12 | 2019-07-22 | METHOD FOR SHARING A SECURE APPLICATION IN A MOBILE TERMINAL AND MOBILE TERMINAL |
| TW108125968A TWI724473B (zh) | 2018-10-12 | 2019-07-23 | 移動終端中共享安全應用的方法及移動終端 |
| US17/158,702 US11258610B2 (en) | 2018-10-12 | 2021-01-26 | Method and mobile terminal of sharing security application in mobile terminal |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811186977.1A CN109450620B (zh) | 2018-10-12 | 2018-10-12 | 一种移动终端中共享安全应用的方法及移动终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109450620A true CN109450620A (zh) | 2019-03-08 |
| CN109450620B CN109450620B (zh) | 2020-11-10 |
Family
ID=65546249
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811186977.1A Active CN109450620B (zh) | 2018-10-12 | 2018-10-12 | 一种移动终端中共享安全应用的方法及移动终端 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11258610B2 (zh) |
| EP (1) | EP3866384A4 (zh) |
| CN (1) | CN109450620B (zh) |
| SG (1) | SG11202100127SA (zh) |
| TW (1) | TWI724473B (zh) |
| WO (1) | WO2020073712A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110049036A (zh) * | 2019-04-12 | 2019-07-23 | 赵宇 | 数据加密方法、装置及数据加密系统 |
| WO2020073712A1 (zh) * | 2018-10-12 | 2020-04-16 | 阿里巴巴集团控股有限公司 | 一种移动终端中共享安全应用的方法及移动终端 |
| WO2020073711A1 (zh) * | 2018-10-12 | 2020-04-16 | 阿里巴巴集团控股有限公司 | 基于共享安全应用的密钥传递方法及系统、存储介质、设备 |
| CN113821835A (zh) * | 2021-11-24 | 2021-12-21 | 飞腾信息技术有限公司 | 密钥管理方法、密钥管理装置和计算设备 |
| CN114286345A (zh) * | 2021-12-27 | 2022-04-05 | 无锡融卡科技有限公司 | 智能终端内的nfc通信装置及方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220318438A1 (en) * | 2021-04-06 | 2022-10-06 | Comcast Cable Communications, Llc | Systems and methods for data security on a mobile device |
Citations (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101231768A (zh) * | 2008-01-25 | 2008-07-30 | 北京深思洛克数据保护中心 | 一种多应用智能卡及实现智能卡多应用的方法 |
| CN102026182A (zh) * | 2009-09-23 | 2011-04-20 | 联通兴业科贸有限公司 | 一种移动终端的安全控制方法及系统 |
| US20140310182A1 (en) * | 2013-04-12 | 2014-10-16 | Mastercard International Incorporated | Systems and methods for outputting information on a display of a mobile device |
| CN104184892A (zh) * | 2014-08-12 | 2014-12-03 | 桂林微网半导体有限责任公司 | 基于移动终端智能卡的数据传输方法及移动终端 |
| CN104571930A (zh) * | 2013-10-10 | 2015-04-29 | 中国移动通信集团公司 | 一种安全域存储空间的管理方法、系统和多应用开放平台装置 |
| CN105488679A (zh) * | 2015-11-23 | 2016-04-13 | 小米科技有限责任公司 | 基于生物识别技术的移动支付设备、方法和装置 |
| CN105512576A (zh) * | 2015-12-14 | 2016-04-20 | 联想(北京)有限公司 | 一种数据安全存储的方法及电子设备 |
| CN105678192A (zh) * | 2015-12-29 | 2016-06-15 | 北京数码视讯科技股份有限公司 | 一种基于智能卡的密钥应用方法及应用装置 |
| CN105809037A (zh) * | 2015-01-20 | 2016-07-27 | 动信科技股份有限公司 | 快速布署可信任执行环境应用的系统与方法 |
| CN105978920A (zh) * | 2016-07-28 | 2016-09-28 | 恒宝股份有限公司 | 一种访问可信应用的方法、ca及ta |
| CN106130730A (zh) * | 2016-06-21 | 2016-11-16 | 中国银联股份有限公司 | 一种智能卡的数据共享方法和智能卡 |
| CN106156618A (zh) * | 2015-04-17 | 2016-11-23 | 国民技术股份有限公司 | 一种安全芯片、移动终端和实现移动终端系统安全的方法 |
| CN106227503A (zh) * | 2016-07-29 | 2016-12-14 | 苏州国芯科技有限公司 | 安全芯片cos固件更新方法、服务端、终端及系统 |
| CN106375306A (zh) * | 2016-08-31 | 2017-02-01 | 武汉钢铁工程技术集团通信有限责任公司 | 手机应用数据传输加密方法及系统 |
| CN106470100A (zh) * | 2015-08-14 | 2017-03-01 | 启碁科技股份有限公司 | 加解密装置、加密方法和解密方法 |
| CN106874733A (zh) * | 2016-12-29 | 2017-06-20 | 北京握奇智能科技有限公司 | 一种具有UI功能的多应用网银Key及其控制方法 |
| CN107392055A (zh) * | 2017-07-20 | 2017-11-24 | 深圳市金立通信设备有限公司 | 一种双系统安全芯片控制方法、终端、计算机可读存储介质及基于安全芯片的双系统架构 |
| CN107862516A (zh) * | 2016-09-21 | 2018-03-30 | 中国移动通信有限公司研究院 | 一种应用共享方法及相关设备与系统 |
| CN108282467A (zh) * | 2017-12-29 | 2018-07-13 | 北京握奇智能科技有限公司 | 数字证书的应用方法、系统 |
| CN108304716A (zh) * | 2017-01-13 | 2018-07-20 | 国民技术股份有限公司 | 多应用智能卡及其应用管理方法、通信系统及通信方法 |
| CN108335105A (zh) * | 2018-01-18 | 2018-07-27 | 中国建设银行股份有限公司 | 数据处理方法及相关设备 |
Family Cites Families (165)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2101495T3 (es) | 1992-12-24 | 1997-07-01 | British Telecomm | Sistema y metodo para la distribucion de codigos utilizando criptografia cuantica. |
| US5307410A (en) | 1993-05-25 | 1994-04-26 | International Business Machines Corporation | Interferometric quantum cryptographic key distribution system |
| US6151676A (en) | 1997-12-24 | 2000-11-21 | Philips Electronics North America Corporation | Administration and utilization of secret fresh random numbers in a networked environment |
| US6505247B1 (en) | 1998-08-21 | 2003-01-07 | National Instruments Corporation | Industrial automation system and method for efficiently transferring time-sensitive and quality-sensitive data |
| JP2001268535A (ja) | 2000-03-15 | 2001-09-28 | Nec Corp | インターネット放送課金システム |
| US8677505B2 (en) | 2000-11-13 | 2014-03-18 | Digital Doors, Inc. | Security system with extraction, reconstruction and secure recovery and storage of data |
| US20050144484A1 (en) | 2002-02-14 | 2005-06-30 | Hironori Wakayama | Authenticating method |
| US8850179B2 (en) | 2003-09-15 | 2014-09-30 | Telecommunication Systems, Inc. | Encapsulation of secure encrypted data in a deployable, secure communication system allowing benign, secure commercial transport |
| US7266847B2 (en) | 2003-09-25 | 2007-09-04 | Voltage Security, Inc. | Secure message system with remote decryption service |
| US7299354B2 (en) | 2003-09-30 | 2007-11-20 | Intel Corporation | Method to authenticate clients and hosts to provide secure network boot |
| US20090193184A1 (en) | 2003-12-02 | 2009-07-30 | Super Talent Electronics Inc. | Hybrid 2-Level Mapping Tables for Hybrid Block- and Page-Mode Flash-Memory System |
| WO2005060139A2 (en) | 2003-12-17 | 2005-06-30 | General Dynamics Advanced Information Systems, Inc. | Secure quantum key distribution using entangled photons |
| US7644278B2 (en) | 2003-12-31 | 2010-01-05 | International Business Machines Corporation | Method for securely creating an endorsement certificate in an insecure environment |
| US7181011B2 (en) | 2004-05-24 | 2007-02-20 | Magiq Technologies, Inc. | Key bank systems and methods for QKD |
| US7484099B2 (en) | 2004-07-29 | 2009-01-27 | International Business Machines Corporation | Method, apparatus, and product for asserting physical presence with a trusted platform module in a hypervisor environment |
| US20060056630A1 (en) | 2004-09-13 | 2006-03-16 | Zimmer Vincent J | Method to support secure network booting using quantum cryptography and quantum key distribution |
| US7386655B2 (en) | 2004-12-16 | 2008-06-10 | Sandisk Corporation | Non-volatile memory and method with improved indexing for scratch pad and update blocks |
| US9191198B2 (en) | 2005-06-16 | 2015-11-17 | Hewlett-Packard Development Company, L.P. | Method and device using one-time pad data |
| US7885412B2 (en) | 2005-09-29 | 2011-02-08 | International Business Machines Corporation | Pre-generation of generic session keys for use in communicating within communications environments |
| PL1802046T3 (pl) | 2005-12-23 | 2009-11-30 | Alcatel Lucent | Kontrola dostępu do zasobów dla żądań rezerwacji wyzwalanych przez klienta oraz wyzwalanych przez sieć |
| US8082443B2 (en) | 2006-01-09 | 2011-12-20 | Bbnt Solutions Llc. | Pedigrees for quantum cryptography |
| WO2007121587A1 (en) | 2006-04-25 | 2007-11-01 | Stephen Laurence Boren | Dynamic distributed key system and method for identity management, authentication servers, data security and preventing man-in-the-middle attacks |
| US20130227286A1 (en) | 2006-04-25 | 2013-08-29 | Andre Jacques Brisson | Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud |
| US7783882B2 (en) | 2006-09-07 | 2010-08-24 | International Business Machines Corporation | Recovering remnant encrypted data on a removable storage media |
| US8418235B2 (en) | 2006-11-15 | 2013-04-09 | Research In Motion Limited | Client credential based secure session authentication method and apparatus |
| US8213602B2 (en) | 2006-11-27 | 2012-07-03 | Broadcom Corporation | Method and system for encrypting and decrypting a transport stream using multiple algorithms |
| US20080165973A1 (en) | 2007-01-09 | 2008-07-10 | Miranda Gavillan Jose G | Retrieval and Display of Encryption Labels From an Encryption Key Manager |
| CN101222488B (zh) | 2007-01-10 | 2010-12-08 | 华为技术有限公司 | 控制客户端访问网络设备的方法和网络认证服务器 |
| WO2008147577A2 (en) | 2007-01-22 | 2008-12-04 | Spyrus, Inc. | Portable data encryption device with configurable security functionality and method for file encryption |
| US20080219449A1 (en) | 2007-03-09 | 2008-09-11 | Ball Matthew V | Cryptographic key management for stored data |
| WO2008128212A1 (en) | 2007-04-12 | 2008-10-23 | Ncipher Corporation Ltd. | Method and system for identifying and managing encryption keys |
| GB2450869B (en) | 2007-07-09 | 2012-04-25 | Hewlett Packard Development Co | Establishing a trust relationship between computing entities |
| US8111828B2 (en) | 2007-07-31 | 2012-02-07 | Hewlett-Packard Development Company, L.P. | Management of cryptographic keys for securing stored data |
| US20090125444A1 (en) | 2007-08-02 | 2009-05-14 | William Cochran | Graphical user interface and methods of ensuring legitimate pay-per-click advertising |
| CN101106455B (zh) | 2007-08-20 | 2010-10-13 | 北京飞天诚信科技有限公司 | 身份认证的方法和智能密钥装置 |
| US9323901B1 (en) | 2007-09-28 | 2016-04-26 | Emc Corporation | Data classification for digital rights management |
| US8917247B2 (en) | 2007-11-20 | 2014-12-23 | Samsung Electronics Co., Ltd. | External device identification method and apparatus in a device including a touch spot, and computer-readable recording mediums having recorded thereon programs for executing the external device identification method in a device including a touch spot |
| US8824684B2 (en) | 2007-12-08 | 2014-09-02 | International Business Machines Corporation | Dynamic, selective obfuscation of information for multi-party transmission |
| GB0801395D0 (en) | 2008-01-25 | 2008-03-05 | Qinetiq Ltd | Network having quantum key distribution |
| US20090204812A1 (en) | 2008-02-13 | 2009-08-13 | Baker Todd M | Media processing |
| US20090262704A1 (en) | 2008-04-18 | 2009-10-22 | Amit Khetawat | Method and Apparatus for Establishment of Asynchronous Transfer Mode Based Bearer Connection between a Network Controller and Core Network |
| JP2009265159A (ja) | 2008-04-22 | 2009-11-12 | Nec Corp | 秘匿通信ネットワークにおける共有乱数管理方法および管理システム |
| US8838990B2 (en) | 2008-04-25 | 2014-09-16 | University Of Colorado Board Of Regents | Bio-cryptography: secure cryptographic protocols with bipartite biotokens |
| GB0809044D0 (en) | 2008-05-19 | 2008-06-25 | Qinetiq Ltd | Multiplexed QKD |
| EA201100389A1 (ru) | 2008-08-20 | 2011-08-30 | УЭРЕПРО, ЛЛСи | Генератор пакетов данных, способ определения положения и передачи пароля |
| GB0819665D0 (en) | 2008-10-27 | 2008-12-03 | Qinetiq Ltd | Quantum key dsitribution |
| KR101540798B1 (ko) | 2008-11-21 | 2015-07-31 | 삼성전자 주식회사 | 가상화 환경에서 보안 정보를 제공하기 위한 장치 및 방법 |
| US9438574B2 (en) | 2008-12-30 | 2016-09-06 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Client/server authentication over Fibre channel |
| JP6061122B2 (ja) | 2009-02-04 | 2017-01-18 | データ セキュリティー システムズ ソリューションズ プライヴェート リミテッド | 静的パスワードシステムの2ファクタ認証になる変換 |
| US8194858B2 (en) | 2009-02-19 | 2012-06-05 | Physical Optics Corporation | Chaotic cipher system and method for secure communication |
| US8077047B2 (en) | 2009-04-16 | 2011-12-13 | Ut-Battelle, Llc | Tampering detection system using quantum-mechanical systems |
| US8266433B1 (en) | 2009-04-30 | 2012-09-11 | Netapp, Inc. | Method and system for automatically migrating encryption keys between key managers in a network storage system |
| GB0917060D0 (en) | 2009-09-29 | 2009-11-11 | Qinetiq Ltd | Methods and apparatus for use in quantum key distribution |
| US8700893B2 (en) | 2009-10-28 | 2014-04-15 | Microsoft Corporation | Key certification in one round trip |
| US8789166B2 (en) | 2009-10-30 | 2014-07-22 | Feitian Technologies Co., Ltd. | Verification method and system thereof |
| KR101314210B1 (ko) | 2009-11-24 | 2013-10-02 | 한국전자통신연구원 | 사용자 인증 양자 키 분배 방법 |
| WO2011068784A1 (en) | 2009-12-01 | 2011-06-09 | Azuki Systems, Inc. | Method and system for secure and reliable video streaming with rate adaptation |
| KR101351012B1 (ko) | 2009-12-18 | 2014-01-10 | 한국전자통신연구원 | 다자간 양자 통신에서의 사용자 인증 방법 및 장치 |
| CN101741852B (zh) | 2009-12-31 | 2012-08-08 | 飞天诚信科技股份有限公司 | 认证方法、系统和认证装置 |
| US8418259B2 (en) | 2010-01-05 | 2013-04-09 | Microsoft Corporation | TPM-based license activation and validation |
| GB201000288D0 (en) | 2010-01-11 | 2010-02-24 | Scentrics Information Security | System and method of enforcing a computer policy |
| US8850554B2 (en) | 2010-02-17 | 2014-09-30 | Nokia Corporation | Method and apparatus for providing an authentication context-based session |
| US8984588B2 (en) | 2010-02-19 | 2015-03-17 | Nokia Corporation | Method and apparatus for identity federation gateway |
| US8892820B2 (en) | 2010-03-19 | 2014-11-18 | Netapp, Inc. | Method and system for local caching of remote storage data |
| CN102884755A (zh) | 2010-05-14 | 2013-01-16 | 西门子公司 | 针对面向通用对象的变电站事件模型的组密钥生成和管理的方法 |
| US9002009B2 (en) | 2010-06-15 | 2015-04-07 | Los Alamos National Security, Llc | Quantum key distribution using card, base station and trusted authority |
| US20120032781A1 (en) | 2010-08-09 | 2012-02-09 | Electronics And Telecommunications Research Institute | Remote personal authentication system and method using biometrics |
| EP2418584A1 (en) | 2010-08-13 | 2012-02-15 | Thomson Licensing | Method and apparatus for storing at least two data streams into an array of memories, or for reading at least two data streams from an array of memories |
| US8917631B2 (en) | 2010-08-23 | 2014-12-23 | Ortsbo Inc. | System and method for sharing information between two or more devices |
| US8505083B2 (en) | 2010-09-30 | 2013-08-06 | Microsoft Corporation | Remote resources single sign on |
| JP5682212B2 (ja) | 2010-10-06 | 2015-03-11 | ソニー株式会社 | 量子暗号通信装置と量子暗号通信方法および量子暗号通信システム |
| GB201020424D0 (en) | 2010-12-02 | 2011-01-19 | Qinetiq Ltd | Quantum key distribution |
| US8839134B2 (en) | 2010-12-24 | 2014-09-16 | Intel Corporation | Projection interface techniques |
| CN103608829A (zh) | 2011-01-18 | 2014-02-26 | 舍德Ip有限责任公司 | 用于基于编码完整性进行计算机化协商的系统和方法 |
| US9531758B2 (en) | 2011-03-18 | 2016-12-27 | Zscaler, Inc. | Dynamic user identification and policy enforcement in cloud-based secure web gateways |
| WO2012139174A1 (en) | 2011-04-15 | 2012-10-18 | Quintessencelabs Pty Ltd | Qkd key management system |
| CN103733650A (zh) | 2011-07-29 | 2014-04-16 | 3M创新有限公司 | 允许自动关联和连接的无线呈现系统 |
| IL221286B (en) | 2011-08-05 | 2018-01-31 | Selex Sistemi Integrati Spa | Cryptographic key distribution system |
| EP2745212B1 (en) | 2011-08-19 | 2020-12-30 | Quintessencelabs Pty Ltd | Virtual zeroisation system and method |
| US9509506B2 (en) | 2011-09-30 | 2016-11-29 | Los Alamos National Security, Llc | Quantum key management |
| US9088805B2 (en) | 2012-02-08 | 2015-07-21 | Vixs Systems, Inc. | Encrypted memory device and methods for use therewith |
| US8302152B1 (en) | 2012-02-17 | 2012-10-30 | Google Inc. | Location-based security system for portable electronic device |
| EP2817941A4 (en) | 2012-02-24 | 2015-10-21 | Nokia Technologies Oy | METHOD AND DEVICE FOR A DYNAMIC SERVICE CLIENTS-CONTROLLED CONNECTIVITY LOGIC |
| US9100825B2 (en) | 2012-02-28 | 2015-08-04 | Verizon Patent And Licensing Inc. | Method and system for multi-factor biometric authentication based on different device capture modalities |
| JP2013205604A (ja) | 2012-03-28 | 2013-10-07 | Toshiba Corp | 通信装置および鍵管理方法 |
| US20130262873A1 (en) | 2012-03-30 | 2013-10-03 | Cgi Federal Inc. | Method and system for authenticating remote users |
| US9130742B2 (en) | 2012-03-30 | 2015-09-08 | California Institute Of Technology | Key agreement in wireless networks with active adversaries |
| WO2013171792A1 (en) | 2012-05-16 | 2013-11-21 | Hitachi, Ltd. | Storage control apparatus and storage control method |
| US9307564B2 (en) | 2012-05-18 | 2016-04-05 | Qualcomm Incorporated | Automatic device-to-device connection control by environmental information |
| US10009175B2 (en) | 2012-05-23 | 2018-06-26 | The University Of Leeds | Secure communication |
| US8693691B2 (en) | 2012-05-25 | 2014-04-08 | The Johns Hopkins University | Embedded authentication protocol for quantum key distribution systems |
| US10171454B2 (en) | 2012-08-23 | 2019-01-01 | Alejandro V. Natividad | Method for producing dynamic data structures for authentication and/or password identification |
| CA2883313C (en) | 2012-08-30 | 2020-06-16 | Los Alamos National Security, Llc | Multi-factor authentication using quantum communication |
| CN102801530B (zh) | 2012-09-04 | 2015-08-26 | 飞天诚信科技股份有限公司 | 一种基于声音传输的认证方法 |
| CN102946313B (zh) | 2012-10-08 | 2016-04-06 | 北京邮电大学 | 一种用于量子密钥分配网络的用户认证模型和方法 |
| US20140104137A1 (en) | 2012-10-16 | 2014-04-17 | Google Inc. | Systems and methods for indirectly associating logical and physical display content |
| US9294267B2 (en) | 2012-11-16 | 2016-03-22 | Deepak Kamath | Method, system and program product for secure storage of content |
| CN103034603B (zh) | 2012-12-07 | 2014-06-18 | 天津瑞发科半导体技术有限公司 | 多通道闪存卡控制装置及其控制方法 |
| US9129100B2 (en) | 2012-12-13 | 2015-09-08 | Huawei Technologies Co., Ltd. | Verification code generation and verification method and apparatus |
| US8990550B1 (en) | 2012-12-27 | 2015-03-24 | Emc Corporation | Methods and apparatus for securing communications between a node and a server based on hardware metadata gathered by an in-memory process |
| US8869303B2 (en) | 2013-02-16 | 2014-10-21 | Mikhail Fleysher | Method and system for generation of dynamic password |
| US9374376B2 (en) | 2013-02-27 | 2016-06-21 | The Boeing Company | Anti-hacking system for quantum communication |
| CN104036780B (zh) | 2013-03-05 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 一种人机识别方法及系统 |
| WO2014145039A1 (en) * | 2013-03-15 | 2014-09-18 | Oracle International Corporation | Intra-computer protected communications between applications |
| US9747456B2 (en) | 2013-03-15 | 2017-08-29 | Microsoft Technology Licensing, Llc | Secure query processing over encrypted data |
| EP2973168A1 (en) | 2013-03-15 | 2016-01-20 | Ologn Technologies AG | Systems, methods and apparatuses for remote attestation |
| JP6106805B2 (ja) | 2013-04-18 | 2017-04-05 | フェイスコン カンパニーリミテッドFacecon Co.,Ltd. | ファイルセキュリティー方法及びそのための装置 |
| EP2991301A4 (en) | 2013-04-26 | 2016-10-19 | Hitachi Maxell | VIDEO PROJECTION DEVICE |
| US9282093B2 (en) | 2013-04-30 | 2016-03-08 | Microsoft Technology Licensing, Llc | Synchronizing credential hashes between directory services |
| CN106972922B (zh) | 2013-06-08 | 2019-06-14 | 科大国盾量子技术股份有限公司 | 一种基于量子密钥分配网络的移动保密通信方法 |
| US10560265B2 (en) | 2013-06-08 | 2020-02-11 | Quantumctek Co., Ltd. | Mobile secret communications method based on quantum key distribution network |
| JP6098439B2 (ja) | 2013-08-28 | 2017-03-22 | 日亜化学工業株式会社 | 波長変換部材、発光装置、及び発光装置の製造方法 |
| KR102074329B1 (ko) | 2013-09-06 | 2020-02-06 | 삼성전자주식회사 | 데이터 저장 장치 및 그것의 데이터 처리 방법 |
| EP3051745B1 (en) | 2013-09-23 | 2020-05-06 | Samsung Electronics Co., Ltd. | Security management method and security management device in home network system |
| US20150095987A1 (en) | 2013-10-01 | 2015-04-02 | Certify Global LLC | Systems and methods of verifying an authentication using dynamic scoring |
| KR101479117B1 (ko) | 2013-10-30 | 2015-01-07 | 에스케이 텔레콤주식회사 | 양자 키 분배 프로토콜을 구현함에 있어 더블 버퍼링 방식을 이용한 원시 키 생성 방법 및 장치 |
| KR20150054505A (ko) | 2013-11-12 | 2015-05-20 | 건국대학교 산학협력단 | 홈 가전기기들에 대한 관리 서비스를 제공하는 클라우드 기반의 데이터 서버 및 홈 가전기기들에 대한 관리 서비스 제공 방법 |
| US9684780B2 (en) | 2013-11-25 | 2017-06-20 | Yingjie Liu | Dynamic interactive identity authentication method and system |
| US9413759B2 (en) * | 2013-11-27 | 2016-08-09 | At&T Intellectual Property I, Lp | Apparatus and method for secure delivery of data from a communication device |
| US9448924B2 (en) | 2014-01-08 | 2016-09-20 | Netapp, Inc. | Flash optimized, log-structured layer of a file system |
| US20150207926A1 (en) | 2014-01-23 | 2015-07-23 | Microsoft Corporation | Entity-linked reminder notifications |
| CA2938174C (en) | 2014-01-31 | 2023-04-04 | Cryptometry Limited | System and method for performing secure communications |
| JP6359285B2 (ja) | 2014-02-17 | 2018-07-18 | 株式会社東芝 | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 |
| US9509502B2 (en) | 2014-03-13 | 2016-11-29 | Intel Corporation | Symmetric keying and chain of trust |
| JP6203093B2 (ja) | 2014-03-19 | 2017-09-27 | 株式会社東芝 | 通信システム、通信装置、通信方法およびプログラム |
| JP6223884B2 (ja) | 2014-03-19 | 2017-11-01 | 株式会社東芝 | 通信装置、通信方法およびプログラム |
| US20150288517A1 (en) | 2014-04-04 | 2015-10-08 | Ut-Battelle, Llc | System and method for secured communication |
| US9331875B2 (en) | 2014-04-04 | 2016-05-03 | Nxgen Partners Ip, Llc | System and method for communication using orbital angular momentum with multiple layer overlay modulation |
| US9830467B1 (en) | 2014-04-14 | 2017-11-28 | Michael Harold | System, method and apparatus for securely storing data on public networks |
| US9083739B1 (en) | 2014-05-29 | 2015-07-14 | Shape Security, Inc. | Client/server authentication using dynamic credentials |
| US9531692B2 (en) * | 2014-09-19 | 2016-12-27 | Bank Of America Corporation | Method of securing mobile applications using distributed keys |
| CN105553648B (zh) | 2014-10-30 | 2019-10-29 | 阿里巴巴集团控股有限公司 | 量子密钥分发、隐私放大及数据传输方法、装置及系统 |
| KR101776137B1 (ko) | 2014-10-30 | 2017-09-19 | 에스케이 텔레콤주식회사 | 양자 키 분배 시스템에서 복수의 장치에 키를 공급하는 장치 및 방법 |
| CN104486307B (zh) | 2014-12-03 | 2017-08-15 | 中国电子科技集团公司第三十研究所 | 一种基于同态加密的分权密钥管理方法 |
| CN105827397B (zh) | 2015-01-08 | 2019-10-18 | 阿里巴巴集团控股有限公司 | 基于可信中继的量子密钥分发系统、方法及装置 |
| CN104657099B (zh) | 2015-01-15 | 2019-04-12 | 小米科技有限责任公司 | 屏幕投射方法、装置及系统 |
| CN105871538B (zh) | 2015-01-22 | 2019-04-12 | 阿里巴巴集团控股有限公司 | 量子密钥分发系统、量子密钥分发方法及装置 |
| US20160234176A1 (en) * | 2015-02-06 | 2016-08-11 | Samsung Electronics Co., Ltd. | Electronic device and data transmission method thereof |
| CN104579694B (zh) | 2015-02-09 | 2018-09-14 | 浙江大学 | 一种身份认证方法及系统 |
| CN105991285B (zh) | 2015-02-16 | 2019-06-11 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的身份认证方法、装置及系统 |
| US10848303B2 (en) | 2015-03-09 | 2020-11-24 | University Of Houston System | Methods and apparatuses for authentication in quantum key distribution and/or quantum data communication |
| US20160283124A1 (en) | 2015-03-25 | 2016-09-29 | Kabushiki Kaisha Toshiba | Multi-streamed solid state drive |
| US9760281B2 (en) | 2015-03-27 | 2017-09-12 | Intel Corporation | Sequential write stream management |
| US9667600B2 (en) | 2015-04-06 | 2017-05-30 | At&T Intellectual Property I, L.P. | Decentralized and distributed secure home subscriber server device |
| CN104780040A (zh) | 2015-04-06 | 2015-07-15 | 安徽问天量子科技股份有限公司 | 基于量子密码的手持设备加密方法及系统 |
| US10013177B2 (en) | 2015-04-20 | 2018-07-03 | Hewlett Packard Enterprise Development Lp | Low write amplification in solid state drive |
| US9696935B2 (en) | 2015-04-24 | 2017-07-04 | Kabushiki Kaisha Toshiba | Storage device that secures a block for a stream or namespace and system having the storage device |
| CN106209739B (zh) | 2015-05-05 | 2019-06-04 | 科大国盾量子技术股份有限公司 | 云存储方法及系统 |
| US9578008B2 (en) | 2015-05-11 | 2017-02-21 | Intel Corporation | Technologies for secure bootstrapping of virtual network functions |
| US9804786B2 (en) | 2015-06-04 | 2017-10-31 | Seagate Technology Llc | Sector translation layer for hard disk drives |
| US9801219B2 (en) | 2015-06-15 | 2017-10-24 | Microsoft Technology Licensing, Llc | Pairing of nearby devices using a synchronized cue signal |
| US10348704B2 (en) | 2015-07-30 | 2019-07-09 | Helder Silvestre Paiva Figueira | Method for a dynamic perpetual encryption cryptosystem |
| CN105260663B (zh) * | 2015-09-15 | 2017-12-01 | 中国科学院信息工程研究所 | 一种基于TrustZone技术的安全存储服务系统及方法 |
| US11398915B2 (en) | 2016-08-26 | 2022-07-26 | Samsung Electronics Co., Ltd. | Apparatus and method for two-way authentication |
| US9923717B2 (en) | 2015-10-07 | 2018-03-20 | International Business Machines Corporation | Refresh of shared cryptographic keys |
| US10198215B2 (en) | 2016-06-22 | 2019-02-05 | Ngd Systems, Inc. | System and method for multi-stream data write |
| US10321182B2 (en) | 2016-09-13 | 2019-06-11 | Dvdo, Inc. | System and method for real-time transfer and presentation multiple internet of things (IoT) device information on an electronic device based on casting and slinging gesture command |
| US20180262907A1 (en) | 2017-03-10 | 2018-09-13 | International Business Machines Corporation | Location based authentication verification for internet of things |
| US10432395B2 (en) | 2017-10-04 | 2019-10-01 | The Boeing Company | Recipient-driven data encryption |
| CN108288004A (zh) * | 2017-12-07 | 2018-07-17 | 深圳市中易通安全芯科技有限公司 | 一种加密芯片在ree和tee环境共存系统及方法 |
| JP7048289B2 (ja) | 2017-12-08 | 2022-04-05 | キオクシア株式会社 | 情報処理装置および方法 |
| CN110647288A (zh) | 2018-06-26 | 2020-01-03 | 上海宝存信息科技有限公司 | 数据储存装置及其快取分流方法 |
| CN109450620B (zh) * | 2018-10-12 | 2020-11-10 | 创新先进技术有限公司 | 一种移动终端中共享安全应用的方法及移动终端 |
| CN109347629B (zh) * | 2018-10-12 | 2020-10-16 | 阿里巴巴集团控股有限公司 | 基于共享安全应用的密钥传递方法及系统、存储介质、设备 |
| KR20200076946A (ko) | 2018-12-20 | 2020-06-30 | 삼성전자주식회사 | 스토리지 장치의 데이터 기입 방법 및 이를 수행하는 스토리지 장치 |
-
2018
- 2018-10-12 CN CN201811186977.1A patent/CN109450620B/zh active Active
-
2019
- 2019-07-22 WO PCT/CN2019/097061 patent/WO2020073712A1/zh unknown
- 2019-07-22 SG SG11202100127SA patent/SG11202100127SA/en unknown
- 2019-07-22 EP EP19871495.8A patent/EP3866384A4/en active Pending
- 2019-07-23 TW TW108125968A patent/TWI724473B/zh active
-
2021
- 2021-01-26 US US17/158,702 patent/US11258610B2/en active Active
Patent Citations (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101231768A (zh) * | 2008-01-25 | 2008-07-30 | 北京深思洛克数据保护中心 | 一种多应用智能卡及实现智能卡多应用的方法 |
| CN102026182A (zh) * | 2009-09-23 | 2011-04-20 | 联通兴业科贸有限公司 | 一种移动终端的安全控制方法及系统 |
| US20140310182A1 (en) * | 2013-04-12 | 2014-10-16 | Mastercard International Incorporated | Systems and methods for outputting information on a display of a mobile device |
| CN104571930A (zh) * | 2013-10-10 | 2015-04-29 | 中国移动通信集团公司 | 一种安全域存储空间的管理方法、系统和多应用开放平台装置 |
| CN104184892A (zh) * | 2014-08-12 | 2014-12-03 | 桂林微网半导体有限责任公司 | 基于移动终端智能卡的数据传输方法及移动终端 |
| CN105809037A (zh) * | 2015-01-20 | 2016-07-27 | 动信科技股份有限公司 | 快速布署可信任执行环境应用的系统与方法 |
| CN106156618A (zh) * | 2015-04-17 | 2016-11-23 | 国民技术股份有限公司 | 一种安全芯片、移动终端和实现移动终端系统安全的方法 |
| CN106470100A (zh) * | 2015-08-14 | 2017-03-01 | 启碁科技股份有限公司 | 加解密装置、加密方法和解密方法 |
| CN105488679A (zh) * | 2015-11-23 | 2016-04-13 | 小米科技有限责任公司 | 基于生物识别技术的移动支付设备、方法和装置 |
| CN105512576A (zh) * | 2015-12-14 | 2016-04-20 | 联想(北京)有限公司 | 一种数据安全存储的方法及电子设备 |
| CN105678192A (zh) * | 2015-12-29 | 2016-06-15 | 北京数码视讯科技股份有限公司 | 一种基于智能卡的密钥应用方法及应用装置 |
| CN106130730A (zh) * | 2016-06-21 | 2016-11-16 | 中国银联股份有限公司 | 一种智能卡的数据共享方法和智能卡 |
| CN105978920A (zh) * | 2016-07-28 | 2016-09-28 | 恒宝股份有限公司 | 一种访问可信应用的方法、ca及ta |
| CN106227503A (zh) * | 2016-07-29 | 2016-12-14 | 苏州国芯科技有限公司 | 安全芯片cos固件更新方法、服务端、终端及系统 |
| CN106375306A (zh) * | 2016-08-31 | 2017-02-01 | 武汉钢铁工程技术集团通信有限责任公司 | 手机应用数据传输加密方法及系统 |
| CN107862516A (zh) * | 2016-09-21 | 2018-03-30 | 中国移动通信有限公司研究院 | 一种应用共享方法及相关设备与系统 |
| CN106874733A (zh) * | 2016-12-29 | 2017-06-20 | 北京握奇智能科技有限公司 | 一种具有UI功能的多应用网银Key及其控制方法 |
| CN108304716A (zh) * | 2017-01-13 | 2018-07-20 | 国民技术股份有限公司 | 多应用智能卡及其应用管理方法、通信系统及通信方法 |
| CN107392055A (zh) * | 2017-07-20 | 2017-11-24 | 深圳市金立通信设备有限公司 | 一种双系统安全芯片控制方法、终端、计算机可读存储介质及基于安全芯片的双系统架构 |
| CN108282467A (zh) * | 2017-12-29 | 2018-07-13 | 北京握奇智能科技有限公司 | 数字证书的应用方法、系统 |
| CN108335105A (zh) * | 2018-01-18 | 2018-07-27 | 中国建设银行股份有限公司 | 数据处理方法及相关设备 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020073712A1 (zh) * | 2018-10-12 | 2020-04-16 | 阿里巴巴集团控股有限公司 | 一种移动终端中共享安全应用的方法及移动终端 |
| WO2020073711A1 (zh) * | 2018-10-12 | 2020-04-16 | 阿里巴巴集团控股有限公司 | 基于共享安全应用的密钥传递方法及系统、存储介质、设备 |
| CN110049036A (zh) * | 2019-04-12 | 2019-07-23 | 赵宇 | 数据加密方法、装置及数据加密系统 |
| CN113821835A (zh) * | 2021-11-24 | 2021-12-21 | 飞腾信息技术有限公司 | 密钥管理方法、密钥管理装置和计算设备 |
| CN114286345A (zh) * | 2021-12-27 | 2022-04-05 | 无锡融卡科技有限公司 | 智能终端内的nfc通信装置及方法 |
| CN114286345B (zh) * | 2021-12-27 | 2024-04-02 | 无锡融卡科技有限公司 | 智能终端内的nfc通信装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3866384A1 (en) | 2021-08-18 |
| US11258610B2 (en) | 2022-02-22 |
| CN109450620B (zh) | 2020-11-10 |
| TWI724473B (zh) | 2021-04-11 |
| EP3866384A4 (en) | 2022-06-22 |
| TW202015379A (zh) | 2020-04-16 |
| US20210152362A1 (en) | 2021-05-20 |
| WO2020073712A1 (zh) | 2020-04-16 |
| SG11202100127SA (en) | 2021-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111181720B (zh) | 基于可信执行环境的业务处理方法及装置 | |
| US11347888B2 (en) | Blockchain-based user privacy data providing methods and apparatuses | |
| US9674182B2 (en) | Systems and methods for distributed trust computing and key management | |
| CN109450620A (zh) | 一种移动终端中共享安全应用的方法及移动终端 | |
| US11349675B2 (en) | Tamper-resistant and scalable mutual authentication for machine-to-machine devices | |
| CN111612462B (zh) | 区块链中实现隐私保护的方法、节点和存储介质 | |
| CN109816383A (zh) | 一种区块链签名方法、区块链钱包和区块链 | |
| CN109347629A (zh) | 基于共享安全应用的密钥传递方法及系统、存储介质、设备 | |
| CN111639362B (zh) | 区块链中实现隐私保护的方法、节点和存储介质 | |
| US20230222230A1 (en) | Key distribution system in a secure enclave | |
| US11783091B2 (en) | Executing entity-specific cryptographic code in a cryptographic coprocessor | |
| CN112507296A (zh) | 一种基于区块链的用户登录验证方法及系统 | |
| CN113918982B (zh) | 一种基于标识信息的数据处理方法及系统 | |
| CN109586899B (zh) | 信令操作及其指示方法、装置及计算机存储介质 | |
| CN116132043B (zh) | 会话密钥协商方法、装置及设备 | |
| CN114124440B (zh) | 安全传输方法、装置、计算机设备和存储介质 | |
| CN113868713A (zh) | 一种数据验证方法、装置、电子设备及存储介质 | |
| CN114765544A (zh) | 可信执行环境数据离线迁移方法及装置 | |
| CN110909391A (zh) | 一种基于risc-v的安全存储方法 | |
| CN116886356B (zh) | 一种芯片级透明文件加密存储系统、方法及设备 | |
| CN114553428B (zh) | 一种可信验证系统、装置、存储介质及电子设备 | |
| CN113691530B (zh) | 一种基于sgx的对称秘钥生成管理系统、方法、设备及介质 | |
| CN114301710B (zh) | 确定报文是否被篡改的方法、密管平台和密管系统 | |
| CN117375850A (zh) | 一种密码集成应用方法、系统及介质 | |
| EP4042630A1 (en) | Executing entity-specific cryptographic code in a cryptographic coprocessor |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20201010 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Innovative advanced technology Co.,Ltd. Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant before: Advanced innovation technology Co.,Ltd. Effective date of registration: 20201010 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Advanced innovation technology Co.,Ltd. Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands Applicant before: Alibaba Group Holding Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |