CN204360381U - 移动设备 - Google Patents
移动设备 Download PDFInfo
- Publication number
- CN204360381U CN204360381U CN201420867248.3U CN201420867248U CN204360381U CN 204360381 U CN204360381 U CN 204360381U CN 201420867248 U CN201420867248 U CN 201420867248U CN 204360381 U CN204360381 U CN 204360381U
- Authority
- CN
- China
- Prior art keywords
- processor
- mobile device
- module
- data
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本申请涉及移动设备,包括第一处理器、第一储存器和可信平台芯片;可信平台芯片包括第二处理器和安全储存器;安全储存器存储包括加密模块和/或解密模块的可信应用;第一储存器存储包括第一发送模块和/或第二发送模块的客户应用。执行第一发送模块时,第一处理器将接收的待保护数据发送给第二处理器,将返回的加密数据发送给移动设备或第三方应用;当执行第二发送模块时,将接收的待解密数据发送给第二处理器,将解密数据发送给移动设备或第三方应用。当执行加密模块时,第二处理器用在安全储存器中预存的密钥对待保护数据进行加密,将加密数据发送给第一处理器;当执行解密模块时,用密钥对待解密数据进行解密,将解密数据发送给第一处理器。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种移动设备。
背景技术
随着移动设备的快速发展,移动设备上集成的应用越来越多,功能日益强大,给人们的工作生活都带来了很多便利。例如,利用安装在智能手机上的支付应用程序,人们可以使用智能手机进行各种支付,而不必随身携带各种银行卡。再者,通过将智能手机与互联网连接,人们可以把数据上传到互联网的云存储中心进行存储,以此扩大智能手机的存储容量。
然而,由于相关技术中的移动设备普遍采用开放操作系统,例如android(安卓)系统,移动设备以及移动设备中应用的数据容易受到恶意应用的破坏,从而给移动设备的用户造成损失。鉴于开放操作系统对于数据安全的影响,用户不会放心使用移动设备上集成的应用,特别是涉及到敏感信息的应用,这使得应用的推广也受到了很大限制。
发明内容
本发明的目的在于提供一种移动设备,消除开放操作系统对于移动设备上的数据安全的影响,提高移动设备和移动设备上的应用的数据的安全性。
为实现上述目的,本发明提出了一种移动设备,所述移动设备包括第一处理器、第一储存器和可信平台芯片;其中,所述可信平台芯片包括第二处理器和安全储存器;所述安全储存器存储可信应用,所述可信应用包括加密模块和/或解密模块;所述第一储存器存储客户应用;所述客户应用包括第一发送模块和/或第二发送模块;所述第一处理器与所述第一储存器进行通信并执行所述第一储存器中的所述第一发送模块和/或第二发送模块;当执行所述第一发送模块时,所述第一处理器用于接收移动设备或第三方应用发送的待保护数据,并将所述待保护数据发送给所述第二处理器,以及将所述第二处理器返回的对所述待保护数据加密后的数据发送给对应的移动设备或第三方应用;当执行所述第二发送模块时,所述第一处理器用于接收移动设备或第三方应用发送的待解密数据,并将所述待解密数据发送给所述第二处理器,以及将所述第二处理器返回的对所述待解密数据解密后的数据发送给对应的移动设备或第三方应用;所述第二处理器与所述安全储存器进行通信并执行所述安全储存器中的所述加密模块或解密模块;当执行所述加密模块时,所述第二处理器用于用在所述安全储存器中预存的密钥对所述待保护数据进行加密,将加密后的数据发送给所述第一处理器;当执行所述解密模块时,所述第二处理器用于用在所述安全储存器中预存的密钥对所述待解密数据进行解密,将解密后的数据发送给所述第一处理器。
进一步地,所述可信应用还包括:密钥生成模块;当执行所述密钥生成模块时,所述第二处理器用于生成所述密钥,并将所述密钥保存到所述安全储存器中。
进一步地,所述密钥生成模块包括:接收单元、分散单元、分配单元和存储单元;当执行所述接收单元时,所述第二处理器用于接收所述第一处理器发送的主密钥,所述主密钥由用户通过所述客户应用的文本用户界面输入;当执行所述分散单元时,所述第二处理器用于用接收的主密钥和自身产生的随机数进行分散,生成多组密钥;当执行所述分配单元时,所述第二处理器用于为各组密钥分配索引,不同密钥对应的索引互不相同;当执行所述存储单元时,所述第二处理器用于将各组密钥及其对应的索引保存到所述安全储存器中。
进一步地,所述客户应用还包括:密码导出模块和保存模块;当执行所述密码导出模块时,所述第一处理器用于向所述第二处理器发送密码导出请求;当执行所述保存模块时,所述第一处理器用于将所述第二处理器根据所述密码导出请求返回的密钥文件保存到指定位置;所述可信应用还包括:密码发送模块;当执行所述密码发送模块时,所述第二处理器用于根据所述密码导出请求将在所述安全储存器中保存的密钥文件发送给所述第一处理器。
进一步地,所述客户应用还包括:密码导入模块;当执行所述密码导入模块时,所述第一处理器用于向所述第二处理器发送密码导入请求,所述密码导入请求中携带待导入的密钥文件以及用户通过所述客户应用的文本用户界面输入的主密钥;所述可信应用还包括:密码接收模块;当执行所述密码接收模块时,所述第二处理器用于根据接收的密码导入请求中的主密钥从所述密钥文件中还原出原始密钥,并将所述原始密钥保存到所述安全储存器中。
进一步地,所述移动设备为智能手机、平板电脑或个人数字助理。
本发明的移动设备,利用可信平台芯片中的可信应用TA,采用具有可靠安全性的可信存储的密钥,对移动设备中需要保护的数据或者移动设备上的应用中需要保护的数据进行加密处理,加密后的数据不易被恶意程序破解,因此消除了开放操作系统对于移动设备上的数据安全的影响,提高了移动设备和移动设备上的应用的数据的安全性。
为实现上述目的,本发明提出了一种移动设备,所述移动设备包括第一处理器、第一储存器和可信平台芯片;所述可信平台芯片包括第二处理器和安全储存器;所述安全储存器存储可信应用;所述第一储存器存储客户应用;所述客户应用包括发送模块;当执行所述发送模块时,所述第一处理器用于接收移动设备或第三方应用发送的认证数据,并将所述认证数据发送给所述第二处理器,所述认证数据由用户通过所述客户应用的文本用户界面输入;以及用于将所述第二处理器对于所述认证数据的验证结果发送给对应的移动设备或第三方应用,接收所述验证结果的移动设备或第三方应用根据所述验证结果决定是否允许用户使用移动设备或第三方应用;所述可信应用包括验证模块;当执行所述验证模块时,所述第二处理器用于根据在所述安全储存器中预存的个人识别码对接收的认证数据进行验证,将验证结果发送给所述第一处理器。
进一步地,所述可信应用还包括预存模块;当执行所述预存模块时,所述第二处理器用于在所述安全储存器中预存所述个人识别码。
进一步地,所述客户应用还包括个人识别码修改模块;当执行所述个人识别码修改模块时,所述第一处理器用于接收用户通过自身的文本用户界面输入的个人识别码并发送给所述第二处理器;所述可信应用还包括更新模块;当执行所述更新模块时,所述第二处理器用于用所述第一处理器发送的个人识别码更新存储在所述安全储存器中的原有的个人识别码。
进一步地,所述移动设备为智能手机、平板电脑或个人数字助理。
本发明的移动终端,利用可信平台芯片中的可信应用TA,采用具有可靠安全性的可信存储的个人识别码,对认证数据进行验证,认证过程安全可靠,消除了开放操作系统对于认证过程中数据安全的影响,提高了移动设备和移动设备上的应用的数据的安全性。
附图说明
图1为本发明实施例一中数据保护方法的流程图。
图2为本发明实施例二中数据保护方法的流程图。
图3为本发明实施例三中数据保护方法的流程图。
图4为本发明实施例四中移动设备的结构框图。
图5为本发明实施例五中移动设备的结构框图。
图6为本发明实施例六中移动设备的结构框图。
图7为本发明实施例七中移动设备的结构框图。
图8为本发明实施例八中移动设备的硬件结构框图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实施例只用于解释本发明,并非用于限定本发明的范围。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,根据本发明精神所获得的所有实施例,都属于本发明的保护范围。
图1为本发明实施例一中数据保护方法的流程图。本实施例中的数据保护方法应用于移动设备,该移动设备中预置了可信执行环境TEE(Trusted Execution Environment)和客户应用CA(Client Application),其中,可信执行环境TEE中包括可信应用TA(Trusted Application)。如图1所示,本实施例中,数据保护方法包括:
步骤S101,客户应用CA接收移动设备或第三方应用发送的待保护数据,并将待保护数据发送给可信应用TA;
客户应用CA安装在富执行环境REE(Rich Execution Environment)中。富执行环境REE是一个非可信的执行环境。比如移动设备的开放操作系统,就是一个富执行环境。客户应用CA可以在移动设备发行时预装,也可以在用户使用移动设备时通过类似91应用商店等下载。可信应用TA处于可信执行环境TEE中,与富执行环境REE隔绝,因此可信应用TA所提供的服务是安全的。
第三方应用是指除了客户应用CA之外的所有在富执行环境(例如开放操作系统)上运行的非可信的应用程序。在本步骤中,第三方应用借助客户应用CA,来实现对可信执行环境TEE中可信应用TA的调用。
步骤S102,可信应用TA用在可信执行环境TEE的可信存储中预存的密钥对待保护数据进行加密,将加密后的数据发送给客户应用CA;
可信执行环境TEE具有可信存储的应用程序接口API(ApplicationProgramming Interface),可信应用TA可以通过调用可信执行环境TEE的可信存储API,预先将密钥存储到TEE的可信存储中。由于密钥是保存在可信执行环境TEE的可信存储中的,因此该密钥具有很高的安全性,从而使用该密钥加密的数据获得了可靠的安全性。
步骤S103,客户应用CA将加密后的数据发送给对应的移动设备或第三方应用。
这里,对应的移动设备或第三方应用是指作为步骤S101中待保护数据的来源的移动设备或第三方应用。
在本发明其他实施例中,数据保护方法还可以包括如下步骤:可信应用TA生成所述密钥,并将所述密钥保存到可信执行环境TEE的可信存储中。该步骤可以在上述步骤S102之前的任意时刻实施,比如步骤S101之前,或者步骤S101之后以及步骤S102之前。通常情况下,该生成密钥的步骤是在步骤S101之前实施的。而且,该生成密钥的步骤可以只实施一次,在以后的所有加密或解密过程中,都采用此步骤中生成的密钥。
在本发明实施例中,可信应用TA生成所述密钥,并将所述密钥保存到可信执行环境TEE的可信存储中这一步骤可以通过如下的子步骤实现:可信应用TA接收客户应用CA发送的主密钥,所述主密钥由用户通过客户应用CA的文本用户界面TUI(Text User Interface)输入;可信应用TA用所述主密钥和自身产生的随机数进行分散,生成多组密钥;可信应用TA为生成的各组密钥分配索引,不同密钥对应的索引互不相同;可信应用TA将各组密钥及其对应的索引保存到可信执行环境TEE的可信存储中。这样,可信应用TA加密时可以随机选择密钥进行加密,并把密钥索引作为一部分数据合并到加密数据中,方便用户进行解密。如:索引为01,加密后数据格式为:数据密文+wqdatatype(自定义数据类型,方便进行解密)+01。解密时根据同样的规则,获取密钥索引01,并获取数据密文,进行数据解密。
本发明实施例的数据保护方法,利用可信执行环境TEE中的可信应用TA,采用具有可靠安全性的可信存储的密钥,对移动设备中需要保护的数据或者移动设备上的应用中需要保护的数据进行加密处理,加密后的数据不易被恶意程序破解,因此消除了开放操作系统对于移动设备上的数据安全的影响,提高了移动设备和移动设备上的应用的数据的安全性。
图2为本发明实施例二中数据保护方法的流程图。本实施例中的数据保护方法应用于移动设备,该移动设备中预置了可信执行环境TEE和客户应用CA,其中,可信执行环境TEE中包括可信应用TA。如图2所示,本实施例中,数据保护方法包括:
步骤S201,客户应用CA接收移动设备或第三方应用发送的待解密数据,并将待解密数据发送给可信应用TA;
步骤S202,可信应用TA用在可信执行环境TEE的可信存储中预存的密钥对待解密数据进行解密,将解密后的数据发送给客户应用CA;
步骤S203,客户应用CA将解密后的数据发送给对应的移动设备或第三方应用。
本发明实施例的数据保护方法,其过程是与实施例一中的加密过程相逆的解密过程,该解密过程是在可信执行环境TEE中由可信应用TA完成的,具有可靠的安全性,避免了在解密过程中密文的明文原文遭到恶意修改的可能,消除了开放操作系统对于移动设备上的数据安全的影响,提高了移动设备和移动设备上的应用的数据的安全性。
考虑到用户的移动设备可能会进行更换,移动设备中的经过加密处理的数据不经过解密处理会无法查看,在本发明实施例中,还提供了密码导出和导入的实施方式。
为实施密码导出,在本发明其他实施例中,数据保护方法还可以包括如下步骤:
客户应用CA向可信应用TA发送密码导出请求;
可信应用TA根据所述密码导出请求,将在可信执行环境TEE的可信存储中保存的密钥文件发送给客户应用CA;
客户应用CA将接收的密钥文件保存到指定位置。
这里的指定位置是指导出的密钥文件存放的路径,该路径可以由用户事先选择。
本实施例实现了移动设备中密码文件的导出,使得用户可以在更换后的移动设备中继续使用原来的密码,并能够查看在原移动设备中被加密过的数据。
为实施密码导入,在本发明其他实施例中,数据保护方法还可以包括如下步骤:
客户应用CA向可信应用TA发送密码导入请求,所述密码导入请求中携带待导入的密钥文件以及用户通过客户应用CA的文本用户界面输入的主密钥;
可信应用TA根据接收的密码导入请求中的主密钥从所述密钥文件中还原出原始密钥,并将所述原始密钥保存到可信执行环境TEE的可信存储中。
本实施例实现了移动设备中密码文件的导入,使得用户可以在更换后的移动设备中继续使用原来的密码,并能够查看在原移动设备中被加密过的数据。
多个移动设备同时使用时,可以通过一个移动设备设置密钥,并对密钥做导出处理,其他移动设备进行导入密钥,即可以进行使用。多设备要求各个移动设备所使用的TEE环境必须是一致的。
图3为本发明实施例三中数据保护方法的流程图。本实施例中的数据保护方法应用于移动设备,该移动设备中预置了可信执行环境TEE和客户应用CA,其中,可信执行环境TEE中包括可信应用TA。如图3所示,本实施例中,数据保护方法包括:
步骤S301,客户应用CA接收移动设备或第三方应用发送的认证数据,并将所述认证数据发送给可信应用TA,其中,所述认证数据由用户通过客户应用CA的文本用户界面输入;
步骤S302,可信应用TA根据在可信执行环境TEE的可信存储中预存的个人识别码PIN(Personal Identification Number)对所述认证数据进行验证,将验证结果发送给客户应用CA;
步骤S303,客户应用CA将所述验证结果发送给对应的移动设备或第三方应用,接收所述验证结果的移动设备或第三方应用根据所述验证结果决定是否允许用户使用移动设备或第三方应用。
本发明实施例的数据保护方法,利用可信执行环境TEE中的可信应用TA,采用具有可靠安全性的可信存储的个人识别码,对认证数据进行验证,认证过程安全可靠,消除了开放操作系统对于认证过程中数据安全的影响,提高了移动设备和移动设备上的应用的数据的安全性。
在本发明其他实施例中,在图3所示实施例的基础上,还可以包括如下步骤:可信应用TA在可信执行环境TEE的可信存储中预存个人识别码PIN。具体地,用户可以通过客户应用CA的文本用户界面输入个人识别码PIN,客户应用CA接收用户输入的个人识别码PIN后将其发送给可信应用TA,可信应用TA调用可信执行环境TEE的可信存储API,将个人识别码PIN保存到可信存储中。该预存个人识别码PIN的步骤可以在上述步骤S302之前的任意时刻实施,比如步骤S301之前,或者步骤S301之后以及步骤S302之前。通常情况下,该生成密钥的步骤是在步骤S301之前实施的。而且,该预存个人识别码PIN的步骤可以只实施一次,在以后的所有认证过程中,都采用此步骤中预存的个人识别码PIN。
在本发明其他实施例中,在图3所示实施例的基础上,还可以包括如下步骤:客户应用CA接收用户通过自身的文本用户界面输入的个人识别码并发送给可信应用TA;可信应用TA用所述输入的个人识别码更新存储在可信执行环境TEE的可信存储中的原有个人识别码。本实施例使得用户可以更换认证用的个人识别码PIN,以便在当前个人识别码PIN有可能已经泄露的情况下,及时更换个人识别码,保证认证过程的安全,进而保证只有通过认证才能使用的移动设备数据或应用数据的安全。初始用户的PIN码为123456,用户可以采用本实施例中的步骤对PIN码进行修改。
在本发明数据保护方法的各实施例中,所述的移动设备可以是智能手机、平板电脑、个人数字助理PDA(Personal Digital Assistant)等。
本发明的数据保护方法可以用于网盘应用、指纹应用、隐私保护以及安全认证、支付、敏感信息存储、数据云存储等各种有关移动设备数据及移动设备上应用数据的应用场景。下面以网盘应用为例,说明本发明的数据保护方法在具体应用中的实现。
网盘应用是指移动设备用户借助互联网的存储资源来存储移动设备中的数据。应用本发明的数据保护方法,用户选择要存储的数据信息,选中后,移动设备将这些数据信息发给客户应用CA;客户应用CA接收后将这些数据信息发给可信应用TA;可信应用TA使用可信存储中的预存密钥对接收的数据信息进行加密,并将加密后的数据信息发给客户应用CA,客户应用CA再转发给移动设备。移动设备将加密后的数据信息通过互联网上传到网盘服务器进行存储。这样,即使网盘服务器被攻破,但是由于用户所存储的数据信息是经过可信的加密处理的,使得用户的数据不会被明文泄露,从而保护了用户的私有数据安全。
当用户要查看存储在网盘上的数据信息时,移动设备从网盘服务器下载存储的加密数据信息,移动设备将这些加密数据信息发给客户应用CA;客户应用CA接收后将这些加密数据信息发给可信应用TA;可信应用TA使用可信存储中的预存密钥对接收的加密数据信息进行解密,并将解密后的数据信息明文发给客户应用CA,客户应用CA再转发给移动设备。
图4为本发明实施例四中移动设备的结构框图。图4所示实施例的移动设备是与图1所示实施例的数据保护方法相对应的设备。如图4所示,本实施例中,移动设备中预置可信执行环境TEE和客户应用CA,可信执行环境TEE中包括可信应用TA,其中:客户应用CA包括第一发送模块110,可信应用TA包括加密模块210。第一发送模块110用于接收移动设备或第三方应用发送的待保护数据,并将所述待保护数据发送给可信应用TA,以及将可信应用TA返回的对所述待保护数据加密后的数据发送给对应的移动设备或第三方应用。加密模块210用于用在可信执行环境TEE的可信存储中预存的密钥对所述待保护数据进行加密,将加密后的数据发送给客户应用CA。
本发明实施例的移动设备,利用可信执行环境TEE中的可信应用TA,采用具有可靠安全性的可信存储的密钥,对移动设备中需要保护的数据或者移动设备上的应用中需要保护的数据进行加密处理,加密后的数据不易被恶意程序破解,因此消除了开放操作系统对于移动设备上的数据安全的影响,提高了移动设备和移动设备上的应用的数据的安全性。
图5为本发明实施例五中移动设备的结构框图。图5所示实施例的移动设备是与图2所示实施例的数据保护方法相对应的设备。如图5所示,本实施例中,移动设备中预置可信执行环境TEE和客户应用CA,可信执行环境TEE中包括可信应用TA,其中:客户应用CA包括第二发送模块120,可信应用TA包括解密模块220。第二发送模块120用于接收移动设备或第三方应用发送的待解密数据,并将所述待解密数据发送给可信应用TA,以及将可信应用TA返回的对所述待解密数据解密后的数据发送给对应的移动设备或第三方应用。解密模块220用于用在可信执行环境TEE的可信存储中预存的密钥对所述待解密数据进行解密,将解密后的数据发送给客户应用CA。
本发明实施例的移动设备,能够执行与图4所示实施例四中的加密过程相逆的解密过程,该解密过程是在可信执行环境TEE中由可信应用TA完成的,具有可靠的安全性,避免了在解密过程中密文的明文原文遭到恶意修改的可能,消除了开放操作系统对于移动设备上的数据安全的影响,提高了移动设备和移动设备上的应用的数据的安全性。
图6为本发明实施例六中移动设备的结构框图。如图6所示,本实施例中,移动设备中预置可信执行环境TEE和客户应用CA,可信执行环境TEE中包括可信应用TA,其中:客户应用CA包括第一发送模块110和第二发送模块120,可信应用TA包括加密模块210和解密模块220。第一发送模块110、第二发送模块120、加密模块210和解密模块220在图4所示实施例四和图5所示实施例五中已有描述,此处不再赘述。
本发明实施例的移动设备,既能够执行图4所示实施例四中的加密过程,也能够执行图5所示实施例五中的解密过程,加解密过程都是在可信执行环境TEE中由可信应用TA完成的,具有可靠的安全性,消除了开放操作系统对于移动设备上的数据安全的影响,提高了移动设备和移动设备上的应用的数据的安全性。
在本发明其他实施例中,移动设备的可信应用TA还可以包括密钥生成模块。密钥生成模块用于生成密钥,并将所述密钥保存到可信执行环境TEE的可信存储中。
在本发明实施例中,密钥生成可以模块包括接收单元、分散单元、分配单元和存储单元。其中,接收单元用于接收客户应用CA发送的主密钥,所述主密钥由用户通过客户应用CA的文本用户界面输入。分散单元用于用所述接收单元接收的主密钥和自身产生的随机数进行分散,生成多组密钥。分配单元用于为所述分散单元生成的各组密钥分配索引,不同密钥对应的索引互不相同。存储单元用于将所述分散单元生成的各组密钥及其对应的索引保存到可信执行环境TEE的可信存储中。
在本发明其他实施例中,移动设备的客户应用CA还可以包括密码导出模块和保存模块,可信应用TA还可以包括密码发送模块。其中,密码导出模块用于向可信应用TA发送密码导出请求;保存模块用于将可信应用TA根据所述密码导出请求返回的密钥文件保存到指定位置。密码发送模块用于根据所述密码导出请求将在可信执行环境TEE的可信存储中保存的密钥文件发送给客户应用CA。
在本发明其他实施例中,移动设备的客户应用CA还可以包括密码导入模块,可信应用TA还可以包括密码接收模块。其中,密码导入模块用于向可信应用TA发送密码导入请求,所述密码导入请求中携带待导入的密钥文件以及用户通过客户应用CA的文本用户界面输入的主密钥。密码接收模块用于根据接收的密码导入请求中的主密钥从所述密钥文件中还原出原始密钥,并将所述原始密钥保存到可信执行环境TEE的可信存储中。
图7为本发明实施例七中移动设备的结构框图。图7所示实施例的移动设备是与图3所示实施例的数据保护方法相对应的设备。如图7所示,本实施例中,移动设备中预置可信执行环境TEE和客户应用CA,所述可信执行环境TEE中包括可信应用TA,其中,客户应用CA包括发送模块130,可信应用TA包括验证模块230。发送模块130用于接收移动设备或第三方应用发送的认证数据,并将所述认证数据发送给可信应用TA,所述认证数据由用户通过客户应用CA的文本用户界面输入;发送模块130还用于将可信应用TA对于所述认证数据的验证结果发送给对应的移动设备或第三方应用,接收所述验证结果的移动设备或第三方应用根据所述验证结果决定是否允许用户使用移动设备或第三方应用。验证模块230用于根据在可信执行环境TEE的可信存储中预存的个人识别码对接收的认证数据进行验证,将验证结果发送给客户应用CA。
本发明实施例的移动设备,利用可信执行环境TEE中的可信应用TA,采用具有可靠安全性的可信存储的个人识别码,对认证数据进行验证,认证过程安全可靠,消除了开放操作系统对于认证过程中数据安全的影响,提高了移动设备和移动设备上的应用的数据的安全性。
在本发明其他实施例中,可信应用TA还可以包括预存模块,预存模块用于在可信执行环境TEE的可信存储中预存所述个人识别码。
在本发明其他实施例中,客户应用CA还可以包括个人识别码修改模块,可信应用TA还可以包括更新模块。其中,个人识别码修改模块用于接收用户通过自身的文本用户界面输入的个人识别码并发送给可信应用TA。更新模块用于用客户应用CA发送的个人识别码更新存储在可信执行环境TEE的可信存储中的原有的个人识别码。
在本发明移动设备的各实施例中,所述的移动设备可以是智能手机、平板电脑、个人数字助理PDA等。
图8为本发明实施例八中移动设备的硬件结构框图。如图8所示,本实施例中,移动设备包括第一处理器510、第一储存器520和可信平台芯片530。
其中,第一储存器520用于存储客户应用CA。客户应用CA可包括第一发送模块110、第二发送模块120、密码导出模块、保存模块、密码导入模块和个人识别码修改模块等。客户应用CA所包括的模块种类及功能可与上述实施例中对应客户用CA相同。
第一处理器510用于与第一储存器520进行通信,执行客户应用CA中的上述第一发送模块110、第二发送模块120、密码导出模块、保存模块、密码导入模块和个人识别码修改模块等的操作,并与可信平台芯片530通信以完成上述实施例中的功能。
可信平台芯片530用于提供可信执行环境TEE。可信平台芯片530包括第二处理器532和安全储存器533。其中,安全储存器533用于存储可信应用TA。可信应用TA包括加密模块210、解密模块220、验证模块230、秘钥生成模块、密码发送模块、密码接收模块、预存模块和更新模块等。可信应用TA所包括的模块种类及功能可与上述实施例中对应可信应用TA相同。第二处理器532用于与安全储存器533进行通信,执行可信应用TA的上述加密模块210、解密模块220、验证模块230、秘钥生成模块、密码发送模块、密码接收模块、预存模块和更新模块等的操作,并可与第一处理器510通信以完成上述实施例中的功能。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种移动设备,其特征在于,所述移动设备包括第一处理器、第一储存器和可信平台芯片;其中,
所述可信平台芯片包括第二处理器和安全储存器;所述安全储存器存储可信应用,所述可信应用包括加密模块和/或解密模块;
所述第一储存器存储客户应用;所述客户应用包括第一发送模块和/或第二发送模块;
所述第一处理器与所述第一储存器进行通信并执行所述第一储存器中的所述第一发送模块和/或第二发送模块;
当执行所述第一发送模块时,所述第一处理器用于接收移动设备或第三方应用发送的待保护数据,并将所述待保护数据发送给所述第二处理器,以及将所述第二处理器返回的对所述待保护数据加密后的数据发送给对应的移动设备或第三方应用;
当执行所述第二发送模块时,所述第一处理器用于接收移动设备或第三方应用发送的待解密数据,并将所述待解密数据发送给所述第二处理器,以及将所述第二处理器返回的对所述待解密数据解密后的数据发送给对应的移动设备或第三方应用;
所述第二处理器与所述安全储存器进行通信并执行所述安全储存器中的所述加密模块或解密模块;
当执行所述加密模块时,所述第二处理器用于用在所述安全储存器中预存的密钥对所述待保护数据进行加密,将加密后的数据发送给所述第一处理器;
当执行所述解密模块时,所述第二处理器用于用在所述安全储存器中预存的密钥对所述待解密数据进行解密,将解密后的数据发送给所述第一处理器。
2.根据权利要求1所述的移动设备,其特征在于,所述可信应用还包括:
密钥生成模块;当执行所述密钥生成模块时,所述第二处理器用于生成所述密钥,并将所述密钥保存到所述安全储存器中。
3.根据权利要求2所述的移动设备,其特征在于,所述密钥生成模块包括:接收单元、分散单元、分配单元和存储单元;
当执行所述接收单元时,所述第二处理器用于接收所述第一处理器发送的主密钥,所述主密钥由用户通过所述客户应用的文本用户界面输入;
当执行所述分散单元时,所述第二处理器用于用接收的主密钥和自身产生的随机数进行分散,生成多组密钥;
当执行所述分配单元时,所述第二处理器用于为各组密钥分配索引,不同密钥对应的索引互不相同;
当执行所述存储单元时,所述第二处理器用于将各组密钥及其对应的索引保存到所述安全储存器中。
4.根据权利要求1所述的移动设备,其特征在于,所述客户应用还包括:密码导出模块和保存模块;
当执行所述密码导出模块时,所述第一处理器用于向所述第二处理器发送密码导出请求;
当执行所述保存模块时,所述第一处理器用于将所述第二处理器根据所述密码导出请求返回的密钥文件保存到指定位置;
所述可信应用还包括:
密码发送模块;当执行所述密码发送模块时,所述第二处理器用于根据所述密码导出请求将在所述安全储存器中保存的密钥文件发送给所述第一处理器。
5.根据权利要求1所述的移动设备,其特征在于,所述客户应用还包括:
密码导入模块;当执行所述密码导入模块时,所述第一处理器用于向所述第二处理器发送密码导入请求,所述密码导入请求中携带待导入的密钥文件以及用户通过所述客户应用的文本用户界面输入的主密钥;
所述可信应用还包括:
密码接收模块;当执行所述密码接收模块时,所述第二处理器用于根据接收的密码导入请求中的主密钥从所述密钥文件中还原出原始密钥,并将所述原始密钥保存到所述安全储存器中。
6.根据权利要求1至5任一项所述的移动设备,其特征在于,所述移动设备为智能手机、平板电脑或个人数字助理。
7.一种移动设备,其特征在于,所述移动设备包括第一处理器、第一储存器和可信平台芯片;
所述可信平台芯片包括第二处理器和安全储存器;所述安全储存器存储可信应用;
所述第一储存器存储客户应用;所述客户应用包括发送模块;
当执行所述发送模块时,所述第一处理器用于接收移动设备或第三方应用发送的认证数据,并将所述认证数据发送给所述第二处理器,所述认证数据由用户通过所述客户应用的文本用户界面输入;以及用于将所述第二处理器对于所述认证数据的验证结果发送给对应的移动设备或第三方应用,接收所述验证结果的移动设备或第三方应用根据所述验证结果决定是否允许用户使用移动设备或第三方应用;
所述可信应用包括验证模块;
当执行所述验证模块时,所述第二处理器用于根据在所述安全储存器中预存的个人识别码对接收的认证数据进行验证,将验证结果发送给所述第一处理器。
8.根据权利要求7所述的移动设备,其特征在于,所述可信应用还包括预存模块;
当执行所述预存模块时,所述第二处理器用于在所述安全储存器中预存所述个人识别码。
9.根据权利要求7所述的移动设备,其特征在于,所述客户应用还包括个人识别码修改模块;
当执行所述个人识别码修改模块时,所述第一处理器用于接收用户通过自身的文本用户界面输入的个人识别码并发送给所述第二处理器;
所述可信应用还包括更新模块;
当执行所述更新模块时,所述第二处理器用于用所述第一处理器发送的个人识别码更新存储在所述安全储存器中的原有的个人识别码。
10.根据权利要求7至9任一项所述的移动设备,其特征在于,所述移动设备为智能手机、平板电脑或个人数字助理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201420867248.3U CN204360381U (zh) | 2014-12-31 | 2014-12-31 | 移动设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201420867248.3U CN204360381U (zh) | 2014-12-31 | 2014-12-31 | 移动设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN204360381U true CN204360381U (zh) | 2015-05-27 |
Family
ID=53261837
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201420867248.3U Active CN204360381U (zh) | 2014-12-31 | 2014-12-31 | 移动设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN204360381U (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105930731A (zh) * | 2015-12-21 | 2016-09-07 | 中国银联股份有限公司 | 一种安全应用ta交互的方法及装置 |
CN105978920A (zh) * | 2016-07-28 | 2016-09-28 | 恒宝股份有限公司 | 一种访问可信应用的方法、ca及ta |
CN106464488A (zh) * | 2015-08-28 | 2017-02-22 | 华为技术有限公司 | 信息传输方法及移动设备 |
WO2017092699A1 (zh) * | 2015-12-03 | 2017-06-08 | 国家新闻出版广电总局广播科学研究院 | 一种用于智能操作系统的条件接收方法和系统 |
WO2017092687A1 (zh) * | 2015-12-03 | 2017-06-08 | 国家新闻出版广电总局广播科学研究院 | 一种支持数字版权管理(drm)的媒体网关/终端实现方法及其设备 |
CN106878231A (zh) * | 2015-12-10 | 2017-06-20 | 中国电信股份有限公司 | 用于实现用户数据安全传输的方法、用户终端和系统 |
CN106940655A (zh) * | 2016-01-04 | 2017-07-11 | 中国移动通信集团公司 | 基于可信执行环境集成虚拟机的方法、终端 |
WO2017166135A1 (zh) * | 2016-03-30 | 2017-10-05 | 华为技术有限公司 | 交易方法、交易信息处理方法、交易终端及服务器 |
CN112866235A (zh) * | 2020-08-28 | 2021-05-28 | 支付宝(杭州)信息技术有限公司 | 一种数据处理方法、装置及设备 |
-
2014
- 2014-12-31 CN CN201420867248.3U patent/CN204360381U/zh active Active
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180219688A1 (en) * | 2015-08-28 | 2018-08-02 | Huawei Technologies Co., Ltd. | Information Transmission Method and Mobile Device |
CN106464488A (zh) * | 2015-08-28 | 2017-02-22 | 华为技术有限公司 | 信息传输方法及移动设备 |
WO2017035695A1 (zh) * | 2015-08-28 | 2017-03-09 | 华为技术有限公司 | 信息传输方法及移动设备 |
EP3324572A4 (en) * | 2015-08-28 | 2018-08-01 | Huawei Technologies Co., Ltd. | Information transmission method and mobile device |
CN106851351B (zh) * | 2015-12-03 | 2018-02-27 | 国家新闻出版广电总局广播科学研究院 | 一种支持数字版权管理(drm)的媒体网关/终端实现方法及其设备 |
WO2017092699A1 (zh) * | 2015-12-03 | 2017-06-08 | 国家新闻出版广电总局广播科学研究院 | 一种用于智能操作系统的条件接收方法和系统 |
WO2017092687A1 (zh) * | 2015-12-03 | 2017-06-08 | 国家新闻出版广电总局广播科学研究院 | 一种支持数字版权管理(drm)的媒体网关/终端实现方法及其设备 |
CN106851351A (zh) * | 2015-12-03 | 2017-06-13 | 国家新闻出版广电总局广播科学研究院 | 一种支持数字版权管理(drm)的媒体网关/终端实现方法及其设备 |
CN106851365A (zh) * | 2015-12-03 | 2017-06-13 | 国家新闻出版广电总局广播科学研究院 | 一种用于智能操作系统的条件接收方法和系统 |
CN106851365B (zh) * | 2015-12-03 | 2018-03-09 | 国家新闻出版广电总局广播科学研究院 | 一种用于智能操作系统的条件接收方法和系统 |
CN106878231A (zh) * | 2015-12-10 | 2017-06-20 | 中国电信股份有限公司 | 用于实现用户数据安全传输的方法、用户终端和系统 |
CN105930731B (zh) * | 2015-12-21 | 2018-12-28 | 中国银联股份有限公司 | 一种安全应用ta交互的方法及装置 |
CN105930731A (zh) * | 2015-12-21 | 2016-09-07 | 中国银联股份有限公司 | 一种安全应用ta交互的方法及装置 |
CN106940655A (zh) * | 2016-01-04 | 2017-07-11 | 中国移动通信集团公司 | 基于可信执行环境集成虚拟机的方法、终端 |
CN106940655B (zh) * | 2016-01-04 | 2020-05-12 | 中国移动通信集团公司 | 基于可信执行环境集成虚拟机的方法、终端 |
WO2017166135A1 (zh) * | 2016-03-30 | 2017-10-05 | 华为技术有限公司 | 交易方法、交易信息处理方法、交易终端及服务器 |
US10949530B2 (en) | 2016-03-30 | 2021-03-16 | Huawei Technologies Co., Ltd. | Transaction method, transaction information processing method, transaction terminal, and server |
CN105978920A (zh) * | 2016-07-28 | 2016-09-28 | 恒宝股份有限公司 | 一种访问可信应用的方法、ca及ta |
CN105978920B (zh) * | 2016-07-28 | 2019-05-24 | 恒宝股份有限公司 | 一种访问可信应用的方法及ta |
CN112866235A (zh) * | 2020-08-28 | 2021-05-28 | 支付宝(杭州)信息技术有限公司 | 一种数据处理方法、装置及设备 |
US11614929B2 (en) | 2020-08-28 | 2023-03-28 | Alipay (Hangzhou) Information Technology Co., Ltd. | Identity registration methods, apparatuses, and devices |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN204360381U (zh) | 移动设备 | |
CN105812332A (zh) | 数据保护方法 | |
US10595201B2 (en) | Secure short message service (SMS) communications | |
US10491384B2 (en) | Device for secure multi-party cryptographic authorization | |
US9223994B2 (en) | Secure transaction method from a non-secure terminal | |
CN103107995B (zh) | 一种云计算环境数据安全存储系统和方法 | |
US8904195B1 (en) | Methods and systems for secure communications between client applications and secure elements in mobile devices | |
CN105450620A (zh) | 一种信息处理方法及装置 | |
CN103259651A (zh) | 一种对终端数据加解密的方法及系统 | |
CN107196907B (zh) | 一种安卓so文件的保护方法及装置 | |
CN105101183A (zh) | 对移动终端上隐私内容进行保护的方法和系统 | |
CN103067160A (zh) | 一种加密sd卡的动态密钥生成的方法及系统 | |
CN110050437A (zh) | 分布式证书注册的装置和方法 | |
CN104618096A (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
CN107070856A (zh) | 复合地应用了加密的加密/解密速度改善方法 | |
CN107483388A (zh) | 一种安全通信方法及其终端和云端 | |
CN103929312A (zh) | 一种移动终端及其个人信息保护方法和系统 | |
CN110636067A (zh) | 数据加密方法、数据解密方法和装置 | |
US20200044838A1 (en) | Data encryption method and system using device authentication key | |
CN102724205A (zh) | 一种对工业领域通讯过程加密的方法及数据采集设备 | |
CN103577763A (zh) | 具数据保护功能的移动终端设备及数据保护方法 | |
CN105574720A (zh) | 安全的信息处理方法以及信息处理装置 | |
CN102404363B (zh) | 一种访问方法及装置 | |
CN105827411A (zh) | 一种信息处理的方法及装置 | |
CN105282738A (zh) | 移动终端安全认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |