CN112422487A - 数据传输方法、装置、系统及计算机可读存储介质 - Google Patents
数据传输方法、装置、系统及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112422487A CN112422487A CN201910786000.1A CN201910786000A CN112422487A CN 112422487 A CN112422487 A CN 112422487A CN 201910786000 A CN201910786000 A CN 201910786000A CN 112422487 A CN112422487 A CN 112422487A
- Authority
- CN
- China
- Prior art keywords
- data
- execution environment
- trusted
- network telephone
- general execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 127
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000013496 data integrity verification Methods 0.000 claims description 15
- 238000012795 verification Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 16
- 238000004891 communication Methods 0.000 description 14
- 238000012545 processing Methods 0.000 description 11
- 230000003993 interaction Effects 0.000 description 6
- 230000005236 sound signal Effects 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0078—Security; Fraud detection; Fraud prevention
Abstract
本公开涉及一种数据传输方法、装置、系统及计算机可读存储介质。该方法应用于支持通用执行环境和可信任执行环境的用户设备,包括:当用户设备在通用执行环境中接收到数据传输指令时,通过通用执行环境中的第一客户端应用将第一网络电话数据传输至可信任执行环境中的第一可信应用,数据传输指令用于指示传输第一网络电话数据至目标接收方;通过第一可信应用对第一网络电话数据进行加密,并将加密后的第一网络电话数据返回至第一客户端应用;通过第一客户端应用将加密后的第一网络电话数据发送至目标接收方。由此,可避免网络电话数据在传输过程中易被截获而导致的数据泄露,提升了数据传输的安全性,保证了用户数据的隐私,进而提升了用户体验。
Description
技术领域
本公开涉及通信领域,尤其涉及一种数据传输方法、装置、系统及计算机可读存储介质。
背景技术
网络电话(Voice over Internet Protocol,VoIP)是将模拟语音数字化,以数据封包的方式在IP网络上做实时传递。由于IP网络的复杂化以及多样性,数据传输存在安全隐患。因此,语音数据加密成为提升数据传输安全性的主要方式。目前主要通过以下两种方式来实现语音数据加密:(1)采用加密算法进行语音数据加密,该种加密方式成本低廉;(2)采用SDIO接口的加解密卡,其中,卡片上提供了如SM2、SM4算法,以实现语音加解密服务。但这两种语音加密方式都是在通用执行环境下进行的,并没有做到业务层与数据加密层的隔离,数据安全性不高。
发明内容
为克服相关技术中存在的问题,本公开提供一种数据传输方法、装置、系统及计算机可读存储介质。
根据本公开实施例的第一方面,提供一种数据传输方法,应用于支持通用执行环境和可信任执行环境的用户设备,所述方法包括:
当所述用户设备在所述通用执行环境中接收到数据传输指令时,通过所述通用执行环境中的第一客户端应用将第一网络电话数据传输至所述可信任执行环境中的第一可信应用,其中,所述数据传输指令用于指示传输所述第一网络电话数据至目标接收方;
通过所述第一可信应用对所述第一网络电话数据进行加密,并将加密后的第一网络电话数据返回至所述第一客户端应用;
通过所述第一客户端应用将加密后的第一网络电话数据发送至所述目标接收方。
可选地,所述方法还包括:
通过所述第一可信应用生成第一预共享密钥;
通过所述第一可信应用按照与所述目标接收方预先约定的密钥流生成算法、基于所述第一预共享密钥生成第一密钥流,并将所述第一预共享密钥返回至所述第一客户端应用;
通过所述第一客户端应用将所述第一预共享密钥发送至所述目标接收方;
所述通过所述第一可信应用对所述第一网络电话数据进行加密,包括:
所述第一可信应用利用所述第一密钥流对所述第一网络电话数据进行加密。
可选地,所述方法还包括:
当所述用户设备在所述通用执行环境中接收到第一数据发送方发送的第二网络电话数据时,通过所述通用执行环境中的第二客户端应用将所述第二网络电话数据传输至所述可信任执行环境中的第二可信应用,其中,所述第二网络电话数据是经所述第一数据发送方加密的;
通过所述第二可信应用对所述第二网络电话数据进行解密,获得第三网络电话数据,并将所述第三网络电话数据传输至所述通用执行环境中,以在所述通用执行环境中播放所述第三网络电话数据。
可选地,所述方法还包括:
当所述用户设备在所述通用执行环境中接收到所述第一数据发送方发送的第二预共享密钥时,通过所述第二客户端应用将所述第二预共享密钥传输至所述第二可信应用;
所述第二可信应用按照与所述第一数据发送方预先约定的密钥流生成算法、基于所述第二预共享密钥生成第二密钥流;
所述通过所述第二可信应用对所述第二网络电话数据进行解密,获得第三网络电话数据,包括:
所述第二可信应用利用所述第二密钥流对所述第二网络电话数据进行解密,获得第三网络电话数据。
可选地,在所述将所述第三网络电话数据传输至所述通用执行环境中的步骤之前,所述方法还包括:
通过所述第二可信应用对所述第三网络电话数据进行数据完整性验证;
所述将所述第三网络电话数据传输至所述通用执行环境中,包括:
当所述数据完整性验证的结果为数据完整时,所述第二可信应用将所述第三网络电话数据传输至所述通用执行环境中。
根据本公开实施例的第二方面,提供一种数据传输方法,应用于支持通用执行环境和可信任执行环境的用户设备,所述方法包括:
在所述用户设备在所述通用执行环境中接收到第二数据发送方发送的加密后的第一网络电话数据时,通过所述通用执行环境中的第三客户端应用将所述加密后的第一网络电话数据传输至所述可信任执行环境中的第三可信应用;
通过所述第三可信应用对所述加密后的第一网络电话数据进行解密,获得第一网络电话数据,并将所述第一网络电话数据传输至所述通用执行环境中,以在所述通用执行环境中播放所述第一网络电话数据。
可选地,所述方法还包括:
当所述用户设备在所述通用执行环境中接收到所述第二数据发送方发送的第一预共享密钥时,通过所述第三客户端应用将所述第一预共享密钥传输至所述第三可信应用;
所述第三可信应用按照与所述第二数据发送方预先约定的密钥流生成算法、基于所述第一预共享密钥生成第一密钥流;
所述通过所述第三可信应用对所述加密后的第一网络电话数据进行解密,获得第一网络电话数据,包括:
所述第三可信应用利用所述第一密钥流对所述加密后的第一网络电话数据进行解密,获得第一网络电话数据。
可选地,在所述将所述第一网络电话数据传输至所述通用执行环境中的步骤之前,所述方法还包括:
通过所述第三可信应用对所述第一网络电话数据进行数据完整性验证;
所述将所述第一网络电话数据传输至所述通用执行环境中,包括:
当所述数据完整性验证的结果为数据完整时,所述第三可信应用将所述第一网络电话数据传输至所述通用执行环境中。
根据本公开实施例的第三方面,提供一种数据传输装置,应用于支持通用执行环境和可信任执行环境的用户设备,所述装置包括:
第一传输模块,被配置为当所述用户设备在所述通用执行环境中接收到数据传输指令时,通过所述通用执行环境中的第一客户端应用将第一网络电话数据传输至所述可信任执行环境中的第一可信应用,其中,所述数据传输指令用于指示传输所述第一网络电话数据至目标接收方;
加密模块,被配置为通过所述第一可信应用对所述第一传输模块传输的所述第一网络电话数据进行加密,并将加密后的第一网络电话数据返回至所述第一客户端应用;
第一发送模块,被配置为通过所述第一客户端应用将所述加密模块获取的加密后的第一网络电话数据发送至所述目标接收方。
可选地,所述装置还包括:
预共享密钥生成模块,被配置为通过所述第一可信应用生成第一预共享密钥;
第一密钥流生成模块,被配置为通过所述第一可信应用按照与所述目标接收方预先约定的密钥流生成算法、基于所述预共享密钥生成模块生成的所述第一预共享密钥生成第一密钥流,并将所述第一预共享密钥返回至所述第一客户端应用;
第二发送模块,被配置为通过所述第一客户端应用将所述第一预共享密钥发送至所述目标接收方;
所述加密模块被配置为:
所述第一可信应用利用所述第一密钥流生成模块生成的所述第一密钥流对所述第一网络电话数据进行加密。
可选地,所述装置还包括:
第二传输模块,被配置为当所述用户设备在所述通用执行环境中接收到第一数据发送方发送的第二网络电话数据时,通过所述通用执行环境中的第二客户端应用将所述第二网络电话数据传输至所述可信任执行环境中的第二可信应用,其中,所述第二网络电话数据是经所述第一数据发送方加密的;
第一解密模块,被配置为通过所述第二可信应用对所述第二传输模块传输的所述第二网络电话数据进行解密,获得第三网络电话数据,并将所述第三网络电话数据传输至所述通用执行环境中,以在所述通用执行环境中播放所述第三网络电话数据。
根据本公开实施例的第四方面,提供一种数据传输装置,应用于支持通用执行环境和可信任执行环境的用户设备,所述装置包括:
第三传输模块,被配置为在所述用户设备在所述通用执行环境中接收到第二数据发送方发送的加密后的第一网络电话数据时,通过所述通用执行环境中的第三客户端应用将所述加密后的第一网络电话数据传输至所述可信任执行环境中的第三可信应用;
第二解密模块,被配置为通过所述第三可信应用对所述第三传输模块传输的所述加密后的第一网络电话数据进行解密,获得第一网络电话数据,并将所述第一网络电话数据传输至所述通用执行环境中,以在所述通用执行环境中播放所述第一网络电话数据。
可选地,所述第三传输模块还被配置为:
当所述用户设备在所述通用执行环境中接收到所述第二数据发送方发送的第一预共享密钥时,通过所述第三客户端应用将所述第一预共享密钥传输至所述第三可信应用;
所述装置还包括:
第三密钥流生成模块,被配置为所述第三可信应用按照与所述第二数据发送方预先约定的密钥流生成算法、基于所述第三传输模块传输的所述第一预共享密钥生成第一密钥流;
所述第二解密模块被配置为:
所述第三可信应用利用所述第三密钥流生成模块生成的所述第一密钥流对所述第一网络电话数据进行解密,获得第一网络电话数据。
可选地,所述装置还包括:
第二验证模块,被配置为在所述第二解密模块将所述第一网络电话数据传输至所述通用执行环境中之前,通过所述第三可信应用对所述第一网络电话数据进行数据完整性验证;
所述第二解密模块被配置为:
当第二验证模块获得的所述数据完整性验证的结果为数据完整时,所述第三可信应用将所述第一网络电话数据传输至所述通用执行环境中。
根据本公开实施例的第五方面,提供一种数据传输所述系统包括本公开第三方面提供的所述数据传输装置和本公开第四方面提供的所述数据传输装置。
根据本公开实施例的第六方面,提供一种数据传输装置,应用于支持通用执行环境和可信任执行环境的用户设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
当所述用户设备在所述通用执行环境中接收到数据传输指令时,通过所述通用执行环境中的第一客户端应用将第一网络电话数据传输至所述可信任执行环境中的第一可信应用,其中,所述数据传输指令用于指示传输所述第一网络电话数据至目标接收方;
通过所述第一可信应用对所述第一网络电话数据进行加密,并将加密后的第一网络电话数据返回至所述第一客户端应用;
通过所述第一客户端应用将加密后的第一网络电话数据发送至所述目标接收方。
根据本公开实施例的第七方面,提供一种数据传输装置,应用于支持通用执行环境和可信任执行环境的用户设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
在所述用户设备在所述通用执行环境中接收到第二数据发送方发送的加密后的第一网络电话数据时,通过所述通用执行环境中的第三客户端应用将所述加密后的第一网络电话数据传输至所述可信任执行环境中的第三可信应用;
通过所述第三可信应用对所述加密后的第一网络电话数据进行解密,获得第一网络电话数据,并将所述第一网络电话数据传输至所述通用执行环境中,以在所述通用执行环境中播放所述第一网络电话数据。
根据本公开实施例的第八方面,提供一种计算机可读存储介质,其上存储有计算机程序指令,该程序指令被处理器执行时实现本公开第一方面或第二方面所提供的数据传输方法的步骤。
本公开的实施例提供的技术方案可以包括以下有益效果:网络电话数据的加密或解密均在可信任执行环境中进行,这样,可以避免网络电话数据在传输过程中容易被截获而导致的数据泄露,提升了数据传输的安全性,保证了用户数据的隐私性,进而提升了用户体验。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1A是根据一示例性实施例示出的一种实施环境的结构示意图。
图1B是根据另一示例性实施例示出的一种实施环境的结构示意图。
图2是根据一示例性实施例示出的一种数据传输方法的流程图。
图3是根据一示例性实施例示出的一种用户设备的结构框图。
图4A是根据另一示例性实施例示出的一种数据传输方法的流程图。
图4B是根据另一示例性实施例示出的一种数据传输方法的流程图。
图5是根据一示例性实施例示出的一种数据传输方法的流程图。
图6A是根据另一示例性实施例示出的一种数据传输方法的流程图。
图6B是根据另一示例性实施例示出的一种数据传输方法的流程图。
图7是根据一示例性实施例示出的一种目标接收方与第二数据发送方之间的数据传输过程的信令交互图。
图8A是根据另一示例性实施例示出的一种目标接收方与第二数据发送方之间的数据传输过程的信令交互图。
图8B是根据另一示例性实施例示出的一种目标接收方与第二数据发送方之间的数据传输过程的信令交互图。
图9是根据一示例性实施例示出的一种数据传输装置的框图。
图10是根据另一示例性实施例示出的一种数据传输装置的框图。
图11是根据一示例性实施例示出的一种数据传输装置的框图。
图12是根据一示例性实施例示出的一种数据传输装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
图1A是根据一示例性实施例示出的一种实施环境的结构示意图。该实施环境可以包括第一用户设备110和第二用户设备120,第一用户设备110和第二用户设备120可以属于同种类型的终端,二者可以通过蓝牙、WiFi、2G、3G、4G、5G等IP网络进行音频通信,并且,它们均支持通用执行环境(Rich Execution Environment,REE)和可信任执行环境(TrustedExecution Environment,TEE)。其中,第一用户设备110和第一用户设备120可以是智能手机、平板电脑、笔记本电脑等。图1A中以第一用户设备110和第二用户设备120均是智能手机来示意。
图1B是根据另一示例性实施例示出的一种实施环境的结构示意图。该实施环境可以包括第一用户设备110和第二用户设备120,第一用户设备110和第二用户设备120可以属于不种类型的终端,二者可以通过蓝牙、WiFi、2G、3G、4G、5G等IP网络进行音频通信,并且,它们均支持REE和TEE。
图1B中以第一用户设备110是智能手机、第二用户设备120是笔记本电脑来示意。
图2是根据一示例性实施例示出的一种数据传输方法的流程图,其中,该方法可以应用于支持REE和TEE的用户设备,示例地,如图1A或1B中所示的第一用户设备110,或者,如图1A或1B中所示的第二用户设备120。如图2所示,该数据传输方法可以包括以下步骤。
在步骤201中,当用户设备在通用执行环境中接收到数据传输指令时,通过该通用执行环境中的第一客户端应用将第一网络电话数据传输至可信任执行环境中的第一可信应用。
在本公开中,如图3所示,上述用户设备可以包括TEE和REE两种工作环境,其中,TEE完全和REE侧隔离,它能够保证在可信环境中进行与安全相关的敏感操作,而除安全应用(即可信应用(Trust Application,TA))以外的其他应用(即客户端应用(ClientApplication,CA))在REE中执行。如图3所示,在REE中可以包括多个CA(CA1,CA2,…,CAn),为了给该多个CA提供安全服务,在TEE中包含有与REE中的各CA一一对应的多个TA(TA1,TA2,…,TAn);并且,在通常情况下,一个CA只能得知与其相对应的TA的标识,而较难得知其它TA的标识,从而保证一个CA只能够访问与其相对应的TA。具体地,CA可以通过位于REE中的TEE客户端应用接口(Trusted Execution Environment Client ApplicationProgramming Interface,TEE Client API)去访问TA,TA可获得对安全资源和服务的受控访问。另外,在TEE中,每个TA是相互独立的,而且不能在未授权的情况下互相访问。
返回图2,上述的用户设备可以是数据发送方,它可以通过IP网络向目标接收方传输网络电话(Voice over Internet Protocol,VoIP)数据,其中,上述数据传输指令可以用于指示传输第一VoIP数据至目标接收方,示例地,用户可以通过REE侧相应CA提供的用户界面(User Interface,UI)生成上述数据传输指令,其中,该目标接收方可以是与上述用户设备通信的其他用户设备。在本公开中,为了提升第一VoIP数据传输的安全性,可以在TEE侧对上述第一VoIP数据进行加密处理。因此,当REE中接收到上述数据传输指令时,可以将第一VoIP数据从模拟信号转化为数字信号,之后,将其传输至TEE中,以在TEE中进行相应的加密处理。具体来说,当上述用户设备在REE中接收到上述用于指示传输第一VoIP数据至目标接收方的数据传输指令时,REE中的第一客户端应用(即,第一CA)可以通过TEE Client API将上述第一VoIP数据传输至TEE中相应的第一可信应用(即,第一TA),以通过该第一TA对上述第一VoIP数据进行加密处理,即执行以下步骤202。
返回图2,在步骤202中,通过第一可信应用对第一网络电话数据进行加密,并将加密后的第一VoIP数据返回至第一客户端应用。
在步骤203中,通过第一客户端应用将加密后的第一网络电话数据发送至目标接收方。
在本公开中,当第一TA接收到上述第一CA传输的第一VoIP数据后,可以对其进行加密处理,并将加密后的第一VoIP数据返回至上述第一CA,以通过该第一CA将该加密后的第一VoIP数据发送至目标接收方。其中,上述第一TA可以通过序列密码、分组密码、公钥密码、散列函数等多种方式来对上述第一VoIP数据进行加密。
示例地,上述第一TA可以采用序列密码方式来对上述第一VoIP数据进行加密,即第一TA可以利用密钥流对该第一VoIP数据进行加密。因此,在利用密钥流对上述第一VoIP数据进行加密前,第一TA需要先生成相应的密钥流。
在一种实施方式中,上述用户设备与目标接收方进行数据传输时,可以每次都采用同一个第一密钥流对需要传输的第一VoIP数据进行加密,这样,可以在上述用户终端与目标接收方建立数据连接后、进行数据传输之前,通过第一TA采用图4A中所示的步骤204和步骤205来生成第一密钥流,这样,用户设备与目标接收方之后的每次数据传输都采用该第一密钥流对需要传输的第一VoIP数据进行加密。具体来说,如图4A所示,上述方法还包括以下步骤。
在步骤204中,通过第一可信应用生成第一预共享密钥。
在本公开中,第一TA可以通过PBKDF1、PBKDF2、crypt等函数获得上述第一预共享密钥。
在步骤205中,通过第一可信应用按照与目标接收方预先约定的密钥流生成算法、基于第一预共享密钥生成第一密钥流,并将第一预共享密钥返回至第一客户端应用。
在步骤206中,通过第一客户端应用将第一预共享密钥发送至目标接收方。
在本公开中,第一TA在生成第一预共享密钥后,可以按照其与目标接收方预先约定的密钥流生成算法(例如,维吉尼亚密码算法、RC4等)、基于该第一预共享密钥生成第一密钥流。之后,该第一TA可以利用该生成的第一密钥流对上述第一VoIP数据进行加密,示例地,可以通过将第一密钥流与第一VoIP数据按位或字节进行异或运算来完成相应的加密操作。
另外,需要说明的是,上述第一预共享密钥和加密后的第一VoIP数据可以同时发送,也可以不同时发送,即,上述步骤203可以在上述步骤206之前执行,也可以在上述步骤206之后执行,二者也可以同时执行,在本公开中不作具体限定。
在另一种实施方式中,为了进一步提升数据传输的安全性,上述用户设备与目标接收方进行数据传输时,可以每次都采用不同的第一密钥流对需要传输的第一VoIP数据进行加密,这样,可以在上述用户终端每次接收到用于指示传输第一VoIP数据至目标接收方的数据传输指令后,可以通过第一TA采用上述步骤204和步骤205所述的方式来生成第一密钥流,即,如图4B中所示,在上述步骤201后,通过步骤204和步骤205来生成第一密钥流,这样,用户设备与目标接收方之后的每次数据传输都采用重新生成的第一密钥流对需要传输的第一VoIP数据进行加密。
第一TA在完成对第一VoIP数据的加密操作后,可以将上述生成的第一预共享密钥、以及加密后的第一VoIP数据返回至第一CA,之后,该第一CA将该加密后的第一VoIP数据、以及第一预共享密钥发送至上述目标接收方。在一种实施方式中,该目标接收方可以只支持REE。这样,目标接收方在接收到上述加密后的第一VoIP数据和第一预共享密钥后,可以直接在REE环境中进行以下操作:先根据该第一预共享密钥、以及与上述用户终端约定的密钥流生成算法生成相应的第一密钥流,之后,该目标接收方可以根据该第一密钥流对加密后的第一VoIP数据进行解密,示例地,可以通过将第一密钥流与加密后的第一VoIP数据进行异或运算来完成相应的解密操作,从而获得第一VoIP数据,之后,该目标接收方可以将该第一VoIP数据从数字信号转化为模拟音频信号,并播放该第一VoIP数据。
由于上述解密过程是在REE中进行,数据安全性没有保障,第一预共享密钥极易被非法窃取,加密后的第一VoIP数据被破解的概率也随之升高,从而导致数据安全性降低。因此,为了进一步提升数据安全性,在另一种实施方式中,上述目标接收方可以是支持REE和TEE的用户设备,并将安全级别要求较高的解密操作在TEE中完成。具体来说,上述目标接收方可以根据图5中所示的步骤501和步骤502来完成对其接收到的加密后的第一网络数据的解密操作。
在步骤501中,在用户设备在通用执行环境中接收到第二数据发送方发送的加密后的第一VoIP数据时,通过通用执行环境中的第三客户端应用将加密后的第一VoIP数据传输至可信任执行环境中的第三可信应用。
在本公开中,该第二数据发送方可以是上述的用户设备。当用户设备(目标接收方)在REE中接收到第二数据发送方(即上述用户设备)发送的加密后的第一VoIP数据时,可以通过该REE中的第三CA将该加密后的第一VoIP数据传输至TEE中相应的第三TA。
在步骤502中,通过第三可信应用对加密后的第一网络电话数据进行解密,获得第一网络电话数据,并将第一网络电话数据传输至通用执行环境中,以在该通用执行环境中播放第一网络电话数据。
在本公开中,当目标接收方的TEE中第三TA接收到该目标接收方的REE中的第三CA发送的加密后的第一VoIP数据后,可以对其进行解密处理,以获得第一VoIP数据。相应地,该目标接收方的第三TA可以采用与上述第二数据发送方的TEE中的第一TA所采用的加密方式相对应的解密方式对上述加密后的第一VoIP数据进行解密,示例地,该第三TA可以通过序列密码、分组密码、公钥密码、散列函数等多种方式来对上述加密后的第一VoIP数据进行解密,从而获得第一VoIP数据。当第三TA获得第一VoIP数据后,可以将其发送至第三CA,该第三CA接收该第一VoIP数据,并将该第一VoIP数据从数字信号转化为模拟音频信号,之后,在REE环境中播放该第一VoIP数据。
示例地,上述第三TA可以采用序列密码方式对上述加密后的第一VoIP数据进行解密,即第三TA可以密钥流对上述加密后的第一VoIP数据进行解密。因此,在利用密钥流对上述加密后的第一VoIP数据进行解密前,第三TA需要先生成相应的密钥流。
在一种实施方式中,上述第二数据发送方与该目标接收方进行数据传输时,可以每次都采用同一个第一密钥流对需要传输的第一VoIP数据进行加密,这样,可以在目标接收方与上述第二数据发送方建立数据连接后、进行数据传输之前,通过该目标接收方的TEE中的第三TA采用图6A中所示的步骤503和步骤504来生成第一密钥流,这样,目标接收方与第二数据发送方之后的每次数据传输都采用该第一密钥流对需要传输的第一VoIP数据进行加密。具体来说,如图6A所示,上述方法还包括以下步骤。
在步骤503中,当用户设备在通用执行环境中接收到第二数据发送方发送的第一预共享密钥时,通过第三客户端应用将该第一预共享密钥传输至第三可信应用。
当目标接收方在REE中接收到上述第二数据发送方发送的第一预共享密钥后,可以通过第三CA将其发送至第三TA,该第三TA接收该第一预共享密钥,并存储该第一预共享密钥。
在步骤504中,第三可信应用按照与第二数据发送方预先约定的密钥流生成算法、基于第一预共享密钥生成第一密钥流。
第三TA在接收第一预共享密钥后,可以按照与上述第二数据发送方预先约定的密钥流生成算法(例如,维吉尼亚密码算法、RC4等)、基于该第一预共享密钥生成第一密钥流。之后,该第三TA可以利用该生成的第一密钥流对上述加密后的第一VoIP数据进行解密,示例地,可以通过将第一密钥流与该加密后的第一VoIP数据按位或字节进行异或运算来完成相应的解密过程。
在另一种实施方式中,为了进一步提升数据传输的安全性,上述目标接收方与第二数据发送方进行数据传输时,可以每次都采用不同的第一密钥流对需要传输的第一VoIP数据进行加密,这样,可以在上述目标接收方每次接收到上述第二数据发送方发送的加密后的第一VoIP数据后,通过该目标接收方的TEE中的第三TA采用上述步骤503和步骤504来生成第一密钥流,即,如图6B中所示,在上述步骤501后,可以通过步骤503和步骤504来生成第一密钥流,这样,目标接收方在每次接收到第二数据发送方发送的加密后的第一VoIP数据后,都需要重新生成第一密钥流,之后采用该重新生成的第一密钥流对该加密后的第一VoIP数据进行解密,从而获得第一VoIP数据。
本公开的实施例提供的技术方案可以包括以下有益效果:网络电话数据的加密或解密均在可信任执行环境中进行,这样,可以避免网络电话数据在传输过程中容易被截获而导致的数据泄露,提升了数据传输的安全性,保证了用户数据的隐私性,进而提升了用户体验。
另外,为了避免上述加密后的第一VoIP数据在传输过程中被篡改,上述目标接收方在获取到上述第一VoIP数据后、将其传输至REE中前,可以对该第一VoIP数据进行数据完整性校验,示例地,可以通过哈希校验算法、奇偶校验、CRC循环冗余校验、LRC纵向冗余校验等方法进行数据完整性校验。当该数据完整性校验的结果为数据完整时,上述目标接收方的TEE中的第三TA才将第一VoIP数据传输至该目标接收方的REE中的第三CA中,并在该REE中播放该第一VoIP数据。
返回图2,上述用户设备除了可以作为数据发送方进行相应的数据加密、数据发送等操作外,其还可以作为数据接收方进行相应的数据接收、数据解密等操作。即,上述图2、图4A或图4B所示的方法还可以包括以下步骤207和步骤208。
在步骤207中,当用户设备在通用执行环境中接收到第一数据发送方发送的第二网络电话数据时,通过通用执行环境中的第二客户端应用将第二网络电话数据传输至可信任执行环境中的第二可信应用。
在本公开中,第二VoIP数据是经第一数据发送方加密的。并且,上述第一数据发送方可以是上述目标接收方,也可以是其他数据接收方,并且,该第一数据方可以是只支持REE的,也可以是同时支持TEE和REE的,在本公开中均不作具体限定。
在步骤208中,通过第二可信应用对第二网络电话数据进行解密,获得第三网络电话数据,并将第三网络电话数据传输至通用执行环境中,以在通用执行环境中播放该第三网络电话数据。
可选地,上述方法还可以包括以下步骤209和步骤210。
在步骤209中,当用户设备在通用执行环境中接收到第一数据发送方发送的第二预共享密钥时,通过第二客户端应用将第二预共享密钥传输至第二可信应用。
在步骤210中,第二可信应用按照与第一数据发送方预先约定的密钥流生成算法、基于第二预共享密钥生成第二密钥流。
之后,第二TA可以利用上述步骤210生成的第二密钥流对第二VoIP数据进行解密,获得第三VoIP数据。
可选地,在上述步骤208将第三VoIP数据传输至通用执行环境中的步骤之前,上述方法还可以包括以下步骤211。
在步骤211中,通过第二可信应用对第三网络电话数据进行数据完整性验证。
这样,当数据完整性验证的结果为数据完整时,第二TA将第三VoIP数据传输至REE中。
另外,需要说明的是,上述步骤207~步骤211的具体实施方式在上述目标接收方的数据传输方法的实施例中进行了详细描述,此处将不再赘述。
图7、8A、图8B是根据一示例性实施例示出的一种目标接收方和第二数据发送方之间的数据传输过程的信令交互图。图7、与8A、图8B结合了以上用于目标接收方和用于第二数据发送方的数据传输方法的各个步骤,其具体步骤此处不再详细描述。
图9是根据一示例性实施例示出的一种数据传输装置的框图,该装置可以应用于支持REE和TEE的用户设备。参照图9,该装置900可以包括:第一传输模块901,被配置为当所述用户设备在所述通用执行环境中接收到数据传输指令时,通过所述通用执行环境中的第一客户端应用将第一网络电话数据传输至所述可信任执行环境中的第一可信应用,其中,所述数据传输指令用于指示传输所述第一网络电话数据至目标接收方;加密模块902,被配置为通过所述第一可信应用对所述第一传输模块901传输的所述第一网络电话数据进行加密,并将加密后的第一网络电话数据返回至所述第一客户端应用;第一发送模块903,被配置为通过所述第一客户端应用将所述加密模块902获取的加密后的第一网络电话数据发送至所述目标接收方。
可选地,如图10所示,上述装置900还可以包括:预共享密钥生成模块904,被配置为通过所述第一可信应用生成第一预共享密钥;第一密钥流生成模块905,被配置为通过所述第一可信应用按照与所述目标接收方预先约定的密钥流生成算法、基于所述预共享密钥生成模块904生成的所述第一预共享密钥生成第一密钥流,并将所述第一预共享密钥返回至所述第一客户端应用;第二发送模块906,被配置为通过所述第一客户端应用将所述第一预共享密钥发送至所述目标接收方;所述加密模块902被配置为:所述第一可信应用利用所述第一密钥流生成模块905生成的所述第一密钥流对所述第一网络电话数据进行加密。
可选地,上述装置900还可以包括:第二传输模块907,被配置为当所述用户设备在所述通用执行环境中接收到第一数据发送方发送的第二网络电话数据时,通过所述通用执行环境中的第二客户端应用将所述第二网络电话数据传输至所述可信任执行环境中的第二可信应用,其中,所述第二网络电话数据是经所述第一数据发送方加密的;第一解密模块908,被配置为通过所述第二可信应用对所述第二传输模块907传输的所述第二网络电话数据进行解密,获得第三网络电话数据,并将所述第三网络电话数据传输至所述通用执行环境中,以在所述通用执行环境中播放所述第三网络电话数据。
可选地,所述第二传输模块907还被配置为:当所述用户设备在所述通用执行环境中接收到所述第一数据发送方发送的第二预共享密钥时,通过所述第二客户端应用将所述第二预共享密钥传输至所述第二可信应用;上述装置900还可以包括:第二密钥流生成模块909,被配置为所述第二可信应用按照与所述第一数据发送方预先约定的密钥流生成算法、基于所述第二传输模块907传输的所述第二预共享密钥生成第二密钥流;所述第一解密模块908被配置为:所述第二可信应用利用所述第二密钥流生成模块909生成的所述第二密钥流对所述第二网络电话数据进行解密,获得第三网络电话数据。
可选地,上述装置900还可以包括:第一验证模块910,被配置为在所述第一解密模块908将所述第三网络电话数据传输至所述通用执行环境中之前,通过所述第二可信应用对所述第三网络电话数据进行数据完整性验证;所述第一解密模块908被配置为:当所述第一验证模块909获得的所述数据完整性验证的结果为数据完整时,所述第二可信应用将所述第三网络电话数据传输至所述通用执行环境中。
图11是根据一示例性实施例示出的一种数据传输装置的框图,该装置可以应用于支持REE和TEE的用户设备。参照图11,该装置1100可以包括:第三传输模块1101,被配置为在所述用户设备在所述通用执行环境中接收到第二数据发送方发送的加密后的第一网络电话数据时,通过所述通用执行环境中的第三客户端应用将所述加密后的第一网络电话数据传输至所述可信任执行环境中的第三可信应用;第二解密模块1102,被配置为通过所述第三可信应用对所述第三传输模块1101传输的所述加密后的第一网络电话数据进行解密,获得第一网络电话数据,并将所述第一网络电话数据传输至所述通用执行环境中,以在所述通用执行环境中播放所述第一网络电话数据。
可选地,上述第三传输模块1101还可以被配置为:当所述用户设备在所述通用执行环境中接收到所述第二数据发送方发送的第一预共享密钥时,通过所述第三客户端应用将所述第一预共享密钥传输至所述第三可信应用;上述装置1100还可以包括:第三密钥流生成模块1103,被配置为所述第三可信应用按照与所述第二数据发送方预先约定的密钥流生成算法、基于所述第三传输模块1101传输的所述第一预共享密钥生成第一密钥流;所述第二解密模块1102被配置为:所述第三可信应用利用所述第三密钥流生成模块1103生成的所述第一密钥流对所述第一网络电话数据进行解密,获得第一网络电话数据。
可选地,上述装置1100还可以包括:第二验证模块1104,被配置为在所述第二解密模块1102将所述第一网络电话数据传输至所述通用执行环境中之前,通过所述第三可信应用对所述第一网络电话数据进行数据完整性验证;所述第二解密模块1102被配置为:当第二验证模块1104获得的所述数据完整性验证的结果为数据完整时,所述第三可信应用将所述第一网络电话数据传输至所述通用执行环境中。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本公开还提供一种数据传输系统,该系统可以包括上述的数据传输装置900和数据传输装置1100。
本公开还提供一种计算机可读存储介质,其上存储有计算机程序指令,该程序指令被处理器执行时实现本公开提供的数据传输方法的步骤。
图12是根据一示例性实施例示出的一种数据传输装置1200的框图。例如,装置1200可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图12,装置1200可以包括以下一个或多个组件:处理组件1202,存储器1204,电力组件1206,多媒体组件1208,音频组件1210,输入/输出(I/O)的接口1212,传感器组件1214,以及通信组件1216。
处理组件1202通常控制装置1200的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件1202可以包括一个或多个处理器1220来执行指令,以完成上述的数据传输方法的全部或部分步骤。此外,处理组件1202可以包括一个或多个模块,便于处理组件1202和其他组件之间的交互。例如,处理组件1202可以包括多媒体模块,以方便多媒体组件1208和处理组件1202之间的交互。
存储器1204被配置为存储各种类型的数据以支持在装置1200的操作。这些数据的示例包括用于在装置1200上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器1204可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电力组件1206为装置1200的各种组件提供电力。电力组件1206可以包括电源管理系统,一个或多个电源,及其他与为装置1200生成、管理和分配电力相关联的组件。
多媒体组件1208包括在所述装置1200和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件1208包括一个前置摄像头和/或后置摄像头。当装置1200处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件1210被配置为输出和/或输入音频信号。例如,音频组件1210包括一个麦克风(MIC),当装置1200处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器1204或经由通信组件1216发送。在一些实施例中,音频组件1210还包括一个扬声器,用于输出音频信号。
I/O接口1212为处理组件1202和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件1214包括一个或多个传感器,用于为装置1200提供各个方面的状态评估。例如,传感器组件1214可以检测到装置1200的打开/关闭状态,组件的相对定位,例如所述组件为装置1200的显示器和小键盘,传感器组件1214还可以检测装置1200或装置1200一个组件的位置改变,用户与装置1200接触的存在或不存在,装置1200方位或加速/减速和装置1200的温度变化。传感器组件1214可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件1214还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件1214还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件1216被配置为便于装置1200和其他设备之间有线或无线方式的通信。装置1200可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件1216经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件1216还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,装置1200可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述的数据传输方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器1204,上述指令可由装置1200的处理器1220执行以完成上述的数据传输方法。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本领域技术人员在考虑说明书及实践本公开后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (18)
1.一种数据传输方法,其特征在于,应用于支持通用执行环境和可信任执行环境的用户设备,所述方法包括:
当所述用户设备在所述通用执行环境中接收到数据传输指令时,通过所述通用执行环境中的第一客户端应用将第一网络电话数据传输至所述可信任执行环境中的第一可信应用,其中,所述数据传输指令用于指示传输所述第一网络电话数据至目标接收方;
通过所述第一可信应用对所述第一网络电话数据进行加密,并将加密后的第一网络电话数据返回至所述第一客户端应用;
通过所述第一客户端应用将加密后的第一网络电话数据发送至所述目标接收方。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
通过所述第一可信应用生成第一预共享密钥;
通过所述第一可信应用按照与所述目标接收方预先约定的密钥流生成算法、基于所述第一预共享密钥生成第一密钥流,并将所述第一预共享密钥返回至所述第一客户端应用;
通过所述第一客户端应用将所述第一预共享密钥发送至所述目标接收方;
所述通过所述第一可信应用对所述第一网络电话数据进行加密,包括:
所述第一可信应用利用所述第一密钥流对所述第一网络电话数据进行加密。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
当所述用户设备在所述通用执行环境中接收到第一数据发送方发送的第二网络电话数据时,通过所述通用执行环境中的第二客户端应用将所述第二网络电话数据传输至所述可信任执行环境中的第二可信应用,其中,所述第二网络电话数据是经所述第一数据发送方加密的;
通过所述第二可信应用对所述第二网络电话数据进行解密,获得第三网络电话数据,并将所述第三网络电话数据传输至所述通用执行环境中,以在所述通用执行环境中播放所述第三网络电话数据。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当所述用户设备在所述通用执行环境中接收到所述第一数据发送方发送的第二预共享密钥时,通过所述第二客户端应用将所述第二预共享密钥传输至所述第二可信应用;
所述第二可信应用按照与所述第一数据发送方预先约定的密钥流生成算法、基于所述第二预共享密钥生成第二密钥流;
所述通过所述第二可信应用对所述第二网络电话数据进行解密,获得第三网络电话数据,包括:
所述第二可信应用利用所述第二密钥流对所述第二网络电话数据进行解密,获得第三网络电话数据。
5.根据权利要求3所述的方法,其特征在于,在所述将所述第三网络电话数据传输至所述通用执行环境中的步骤之前,所述方法还包括:
通过所述第二可信应用对所述第三网络电话数据进行数据完整性验证;
所述将所述第三网络电话数据传输至所述通用执行环境中,包括:
当所述数据完整性验证的结果为数据完整时,所述第二可信应用将所述第三网络电话数据传输至所述通用执行环境中。
6.一种数据传输方法,其特征在于,应用于支持通用执行环境和可信任执行环境的用户设备,所述方法包括:
在所述用户设备在所述通用执行环境中接收到第二数据发送方发送的加密后的第一网络电话数据时,通过所述通用执行环境中的第三客户端应用将所述加密后的第一网络电话数据传输至所述可信任执行环境中的第三可信应用;
通过所述第三可信应用对所述加密后的第一网络电话数据进行解密,获得第一网络电话数据,并将所述第一网络电话数据传输至所述通用执行环境中,以在所述通用执行环境中播放所述第一网络电话数据。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
当所述用户设备在所述通用执行环境中接收到所述第二数据发送方发送的第一预共享密钥时,通过所述第三客户端应用将所述第一预共享密钥传输至所述第三可信应用;
所述第三可信应用按照与所述第二数据发送方预先约定的密钥流生成算法、基于所述第一预共享密钥生成第一密钥流;
所述通过所述第三可信应用对所述加密后的第一网络电话数据进行解密,获得第一网络电话数据,包括:
所述第三可信应用利用所述第一密钥流对所述加密后的第一网络电话数据进行解密,获得第一网络电话数据。
8.根据权利要求6或7所述的方法,其特征在于,在所述将所述第一网络电话数据传输至所述通用执行环境中的步骤之前,所述方法还包括:
通过所述第三可信应用对所述第一网络电话数据进行数据完整性验证;
所述将所述第一网络电话数据传输至所述通用执行环境中,包括:
当所述数据完整性验证的结果为数据完整时,所述第三可信应用将所述第一网络电话数据传输至所述通用执行环境中。
9.一种数据传输装置,其特征在于,应用于支持通用执行环境和可信任执行环境的用户设备,所述装置包括:
第一传输模块,被配置为当所述用户设备在所述通用执行环境中接收到数据传输指令时,通过所述通用执行环境中的第一客户端应用将第一网络电话数据传输至所述可信任执行环境中的第一可信应用,其中,所述数据传输指令用于指示传输所述第一网络电话数据至目标接收方;
加密模块,被配置为通过所述第一可信应用对所述第一传输模块传输的所述第一网络电话数据进行加密,并将加密后的第一网络电话数据返回至所述第一客户端应用;
第一发送模块,被配置为通过所述第一客户端应用将所述加密模块获取的加密后的第一网络电话数据发送至所述目标接收方。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
预共享密钥生成模块,被配置为通过所述第一可信应用生成第一预共享密钥;
第一密钥流生成模块,被配置为通过所述第一可信应用按照与所述目标接收方预先约定的密钥流生成算法、基于所述预共享密钥生成模块生成的所述第一预共享密钥生成第一密钥流,并将所述第一预共享密钥返回至所述第一客户端应用;
第二发送模块,被配置为通过所述第一客户端应用将所述第一预共享密钥发送至所述目标接收方;
所述加密模块被配置为:
所述第一可信应用利用所述第一密钥流生成模块生成的所述第一密钥流对所述第一网络电话数据进行加密。
11.根据权利要求9或10所述的装置,其特征在于,所述装置还包括:
第二传输模块,被配置为当所述用户设备在所述通用执行环境中接收到第一数据发送方发送的第二网络电话数据时,通过所述通用执行环境中的第二客户端应用将所述第二网络电话数据传输至所述可信任执行环境中的第二可信应用,其中,所述第二网络电话数据是经所述第一数据发送方加密的;
第一解密模块,被配置为通过所述第二可信应用对所述第二传输模块传输的所述第二网络电话数据进行解密,获得第三网络电话数据,并将所述第三网络电话数据传输至所述通用执行环境中,以在所述通用执行环境中播放所述第三网络电话数据。
12.一种数据传输装置,其特征在于,应用于支持通用执行环境和可信任执行环境的用户设备,所述装置包括:
第三传输模块,被配置为在所述用户设备在所述通用执行环境中接收到第二数据发送方发送的加密后的第一网络电话数据时,通过所述通用执行环境中的第三客户端应用将所述加密后的第一网络电话数据传输至所述可信任执行环境中的第三可信应用;
第二解密模块,被配置为通过所述第三可信应用对所述第三传输模块传输的所述加密后的第一网络电话数据进行解密,获得第一网络电话数据,并将所述第一网络电话数据传输至所述通用执行环境中,以在所述通用执行环境中播放所述第一网络电话数据。
13.根据权利要求12所述的装置,其特征在于,所述第三传输模块还被配置为:
当所述用户设备在所述通用执行环境中接收到所述第二数据发送方发送的第一预共享密钥时,通过所述第三客户端应用将所述第一预共享密钥传输至所述第三可信应用;
所述装置还包括:
第三密钥流生成模块,被配置为所述第三可信应用按照与所述第二数据发送方预先约定的密钥流生成算法、基于所述第三传输模块传输的所述第一预共享密钥生成第一密钥流;
所述第二解密模块被配置为:
所述第三可信应用利用所述第三密钥流生成模块生成的所述第一密钥流对所述第一网络电话数据进行解密,获得第一网络电话数据。
14.根据权利要求12或13所述的装置,其特征在于,所述装置还包括:
第二验证模块,被配置为在所述第二解密模块将所述第一网络电话数据传输至所述通用执行环境中之前,通过所述第三可信应用对所述第一网络电话数据进行数据完整性验证;
所述第二解密模块被配置为:
当第二验证模块获得的所述数据完整性验证的结果为数据完整时,所述第三可信应用将所述第一网络电话数据传输至所述通用执行环境中。
15.一种数据传输系统,其特征在于,所述系统包括权利要求9-11中任一项所述的数据传输装置和权利要求12-14中任一项所述的数据传输装置。
16.一种数据传输装置,其特征在于,应用于支持通用执行环境和可信任执行环境的用户设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
当所述用户设备在所述通用执行环境中接收到数据传输指令时,通过所述通用执行环境中的第一客户端应用将第一网络电话数据传输至所述可信任执行环境中的第一可信应用,其中,所述数据传输指令用于指示传输所述第一网络电话数据至目标接收方;
通过所述第一可信应用对所述第一网络电话数据进行加密,并将加密后的第一网络电话数据返回至所述第一客户端应用;
通过所述第一客户端应用将加密后的第一网络电话数据发送至所述目标接收方。
17.一种数据传输装置,其特征在于,应用于支持通用执行环境和可信任执行环境的用户设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
在所述用户设备在所述通用执行环境中接收到第二数据发送方发送的加密后的第一网络电话数据时,通过所述通用执行环境中的第三客户端应用将所述加密后的第一网络电话数据传输至所述可信任执行环境中的第三可信应用;
通过所述第三可信应用对所述加密后的第一网络电话数据进行解密,获得第一网络电话数据,并将所述第一网络电话数据传输至所述通用执行环境中,以在所述通用执行环境中播放所述第一网络电话数据。
18.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,该程序指令被处理器执行时实现权利要求1-8中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910786000.1A CN112422487A (zh) | 2019-08-23 | 2019-08-23 | 数据传输方法、装置、系统及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910786000.1A CN112422487A (zh) | 2019-08-23 | 2019-08-23 | 数据传输方法、装置、系统及计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112422487A true CN112422487A (zh) | 2021-02-26 |
Family
ID=74779481
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910786000.1A Pending CN112422487A (zh) | 2019-08-23 | 2019-08-23 | 数据传输方法、装置、系统及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112422487A (zh) |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160028701A1 (en) * | 2014-07-25 | 2016-01-28 | Huawei Technologies Co., Ltd. | Data Processing Method and Apparatus |
CN105812332A (zh) * | 2014-12-31 | 2016-07-27 | 北京握奇智能科技有限公司 | 数据保护方法 |
CN106464488A (zh) * | 2015-08-28 | 2017-02-22 | 华为技术有限公司 | 信息传输方法及移动设备 |
CN106453410A (zh) * | 2016-11-28 | 2017-02-22 | 上海摩软通讯技术有限公司 | 数据传输方法及数据传输装置 |
CN106506470A (zh) * | 2016-10-31 | 2017-03-15 | 大唐高鸿信安(浙江)信息科技有限公司 | 网络数据安全传输方法 |
CN106878231A (zh) * | 2015-12-10 | 2017-06-20 | 中国电信股份有限公司 | 用于实现用户数据安全传输的方法、用户终端和系统 |
CN107689868A (zh) * | 2017-09-12 | 2018-02-13 | 北京握奇智能科技有限公司 | 客户端应用与可信应用的通信方法、装置以及终端 |
CN107743133A (zh) * | 2017-11-30 | 2018-02-27 | 中国石油大学(北京) | 移动终端及其基于可信安全环境的访问控制方法和系统 |
CN108111506A (zh) * | 2017-12-18 | 2018-06-01 | 深圳市恒达移动互联科技有限公司 | Voip加密通话方法及终端 |
CN108156112A (zh) * | 2016-12-02 | 2018-06-12 | 成都鼎桥通信技术有限公司 | 数据加密方法、电子设备及网络侧设备 |
CN108600222A (zh) * | 2018-04-24 | 2018-09-28 | 北京握奇智能科技有限公司 | 客户端应用与可信应用的通信方法、系统以及终端 |
CN109039598A (zh) * | 2018-07-03 | 2018-12-18 | 福建天晴数码有限公司 | 数据传输加密方法、客户端及服务端 |
CN109508562A (zh) * | 2018-11-30 | 2019-03-22 | 四川长虹电器股份有限公司 | 基于tee的可信远程验证的方法 |
CN109840436A (zh) * | 2017-11-29 | 2019-06-04 | 阿里巴巴集团控股有限公司 | 数据处理方法、可信用户界面资源数据的应用方法及装置 |
CN109905350A (zh) * | 2017-12-08 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 一种数据传输方法及系统 |
-
2019
- 2019-08-23 CN CN201910786000.1A patent/CN112422487A/zh active Pending
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160028701A1 (en) * | 2014-07-25 | 2016-01-28 | Huawei Technologies Co., Ltd. | Data Processing Method and Apparatus |
CN105812332A (zh) * | 2014-12-31 | 2016-07-27 | 北京握奇智能科技有限公司 | 数据保护方法 |
CN106464488A (zh) * | 2015-08-28 | 2017-02-22 | 华为技术有限公司 | 信息传输方法及移动设备 |
CN106878231A (zh) * | 2015-12-10 | 2017-06-20 | 中国电信股份有限公司 | 用于实现用户数据安全传输的方法、用户终端和系统 |
CN106506470A (zh) * | 2016-10-31 | 2017-03-15 | 大唐高鸿信安(浙江)信息科技有限公司 | 网络数据安全传输方法 |
CN106453410A (zh) * | 2016-11-28 | 2017-02-22 | 上海摩软通讯技术有限公司 | 数据传输方法及数据传输装置 |
CN108156112A (zh) * | 2016-12-02 | 2018-06-12 | 成都鼎桥通信技术有限公司 | 数据加密方法、电子设备及网络侧设备 |
CN107689868A (zh) * | 2017-09-12 | 2018-02-13 | 北京握奇智能科技有限公司 | 客户端应用与可信应用的通信方法、装置以及终端 |
CN109840436A (zh) * | 2017-11-29 | 2019-06-04 | 阿里巴巴集团控股有限公司 | 数据处理方法、可信用户界面资源数据的应用方法及装置 |
CN107743133A (zh) * | 2017-11-30 | 2018-02-27 | 中国石油大学(北京) | 移动终端及其基于可信安全环境的访问控制方法和系统 |
CN109905350A (zh) * | 2017-12-08 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 一种数据传输方法及系统 |
CN108111506A (zh) * | 2017-12-18 | 2018-06-01 | 深圳市恒达移动互联科技有限公司 | Voip加密通话方法及终端 |
CN108600222A (zh) * | 2018-04-24 | 2018-09-28 | 北京握奇智能科技有限公司 | 客户端应用与可信应用的通信方法、系统以及终端 |
CN109039598A (zh) * | 2018-07-03 | 2018-12-18 | 福建天晴数码有限公司 | 数据传输加密方法、客户端及服务端 |
CN109508562A (zh) * | 2018-11-30 | 2019-03-22 | 四川长虹电器股份有限公司 | 基于tee的可信远程验证的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9819652B2 (en) | Information interaction methods and devices | |
CN107819572B (zh) | 命令传输方法、装置及电子设备 | |
CN110912880B (zh) | 配网方法及装置、电子设备及存储介质 | |
CN104955031A (zh) | 信息传输方法及装置 | |
CN109246110B (zh) | 数据共享方法、装置及计算机可读存储介质 | |
EP3182746A1 (en) | Method and apparatus for transmitting routing information | |
US10673611B2 (en) | Data transmission method, device, and system | |
CN104980919B (zh) | 网络服务信息的获取方法及设备 | |
CN104852800B (zh) | 数据传输方法及装置 | |
CN105120452B (zh) | 传输信息的方法、装置及系统 | |
CN114189950A (zh) | 信息交互方法、信息交互装置、服务器及存储介质 | |
CN114867010A (zh) | 通信方法、装置、介质及电子设备 | |
CN113868505A (zh) | 数据处理方法、装置、电子设备、服务器及存储介质 | |
CN112422487A (zh) | 数据传输方法、装置、系统及计算机可读存储介质 | |
WO2018018636A1 (zh) | 信息写入方法及装置 | |
CN113591120A (zh) | 信息发布方法及装置、电子设备和存储介质 | |
CN108924136B (zh) | 授权认证方法、装置及存储介质 | |
CN104954344A (zh) | 一种基于http协议的数据交互方法及装置 | |
CN107318148B (zh) | 无线局域网接入信息存储方法及装置 | |
CN111726802B (zh) | 基于WiFi Aware的通信方法、装置及存储介质 | |
CN113595740A (zh) | 数据传输方法及装置、电子设备及存储介质 | |
CN116915487A (zh) | 会话数据传输方法、装置、设备及存储介质 | |
CN115333728A (zh) | 一种数据解密方法、数据解密装置及存储介质 | |
CN112818363A (zh) | 基于相变随机存储器pcram的加解密方法及系统 | |
CN115426638A (zh) | 蓝牙设备配对方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210226 |