WO2017148083A1

WO2017148083A1 - 一种数据安全传输装置及方法

Info

Publication number: WO2017148083A1
Application number: PCT/CN2016/091603
Authority: WO
Inventors: 祝锂; 姚英亮
Original assignee: 华为技术有限公司
Priority date: 2016-02-29
Filing date: 2016-07-25
Publication date: 2017-09-08
Also published as: EP3410756A4; CN105791284A; US10531289B2; EP3410756B1; CN105791284B; CN109871717A; EP3410756A1; US20180367989A1

Abstract

本发明实施例公开了一种数据安全传输装置及方法，涉及系统安全技术领域，用以提高该装置的安全性。该数据安全传输装置包括：专用通信信号处理器，用于向应用处理器发送第一安全中断；应用处理器，用于运行富执行环境REE软件，以及在第一安全中断的触发下运行可信执行环境TEE软件，TEE软件包括运行在TEE中的可信应用TA，且在TA的驱动下根据第一安全中断在专用通信信号处理器与应用处理器的共享内存中获取第一信息；专用通信信号处理器，还用于接收应用处理器发送的第二安全中断，并根据第二安全中断在共享内存中获取第二信息；应用处理器，还用于在TA的驱动下向专用通信信号处理器发送第二安全中断。

Description

一种数据安全传输装置及方法

本申请要求于2016年02月29日提交中国专利局、申请号为201610113629.6、发明名称为“一种数据安全传输装置及方法”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及系统安全技术领域，尤其涉及一种数据安全传输装置及方法。

背景技术

随着移动网络和移动终端的高速发展，应用软件涉及的领域扩大到各行各业中，应用软件的种类也越来越多，而诸如与电子支付业务相关的金融应用软件、内容版权保护应用软件以及云计算下瘦终端的安全应用软件等软件由于关乎着用户的切身利益，安全性要求较高。

然而，移动终端(也叫终端设备)的操作系统在设计时的出发点主要是为了满足某些功能性的要求，而不是为了满足高度的安全性，同时由于操作系统较开放、较庞大、且较复杂而很难杜绝相应的系统漏洞，致使一些利用系统漏洞的恶意程序对应用软件进行攻击或截取应用软件的信息，使得应用软件的安全性降低。目前，虽然可以通过防火墙、杀毒软件等对应用软件进行保护，但由于频繁的系统更新以及恶意程序的层出不穷，导致无法完全对应用软件进行保护。

基于该问题，一种解决方案为：采用例如Trustzone技术、多中央处理器(Central Processing Unit，简称CPU)技术等，将一个移动终端的执行环境划分为两种相互独立的执行环境：富执行环境(Rich Execution Environment，简称REE)和可信执行环境(Trusted Execution Environment，简称TEE)，REE运行目前常用的移动操作系统(例如，Android)，TEE运行一个功能简单、代码量小、封闭并且可人为审核控制的安全操作系统，安全性要求不高的客户端应用(Client Application，简称CA)运行在REE中，安全性要求较高的安全应用(Trusted Application，简称TA)运行在TEE中，并为部署在移动操作系统中的CA提供安全服务，例如，用户在使用移动终端中的CA过程中，若遇到电子支付等敏感操作，CA会向TA发送请求，TA接收到请求之后执行与支付相关的验证操作(例如，验证密码是否正确)，并将验证成功后的结果向CA返回，CA继续执行后续步骤，从而防止数据(例如，上述密码)泄露。

TEE技术可以保证存储在TEE中的数据的安全性和TA的安全性，TA实际上可以实现与CA一样的功能，用户在实际操作过程中，TA和CA之间并无太大差别，并且TA在安全性上高于CA，但是，由于TEE软件和REE软件均运行在应用处理器(Application Processor，简称AP)上，目前TA的功能还是仅仅局限在对CA提供安全服务，而对于移动终端来说，通信功能尤为重要，用户的大部分数据都需要通过通信调制解调器(Modem)、屏幕以及键盘等外设与AP进行交互，虽然通信调制解调器具备独立的运行环境和封闭的软件代码，屏幕以及键盘也可以设置成安全模式，但AP与通信调制解调器之间的数据传输通道也是开放的、非安全的，因此，恶意程序仍然可以在AP与通信调制解调器之间传输数据时截获相关数据，造成用户数据泄露，降低移动终端的安全性。

发明内容

本发明的实施例提供一种数据安全传输装置及方法，用以提高该装置的安全性。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，提供一种数据安全传输装置，包括：专用通信信号处理器和应用处理器；所述专用通信信号处理器，用于向所述应用处理器发送第一安全中断；所述应用处理器，用于运行REE软件，所述REE软件包括运行在所述REE中的CA，以及在所述第一安全中断的触发下运行TEE软件，所述TEE软件包括运行在所述TEE中的TA，且在所述TA的驱动下根据所述第一安全中断在所述专用通信信号处理器与所述应用处理器的共享内存中获取所述专用通信信号处理器需要传递给所述应用处理器的第一信息，所述TEE软件的安全性高于所述REE软件；所述专用通信信号处理器，还用于接收所述应用处理器发送的第二安全中断，并根据所述第二安全中断在所述共享内存中获取所述应用处理器需要传递给所述专用通信信号处理器的第二信息；所述应用处理器，还用于在所述TA的驱动下向所述专用通信信号处理器发送所述第二安全中断。

可选的，所述装置还包括：所述共享内存。

可选的，所述应用处理器还用于根据包括所述共享内存中被所述专用通信信号处理器和所述应用处理器使用的地址的值的TEE启动参数启动所述TEE。

可选的，所述装置还包括：只读存储器ROM；所述ROM，用于存储所述数据安全传输装置的启动程序；所述应用处理器，还用于在所述启动程序加载过程中配置所述TEE启动参数。

由于ROM中的程序不可以被改写，因此，该可选的方法，能够防止共享内存中被专用通信信号处理器和应用处理器使用的地址的值被泄露。

可选的，所述第二信息是针对所述专用通信信号处理器的参数的配置信息，所述应用处理器在所述TA的驱动下向所述专用通信信号处理器传递的所述配置信息优先级高于所述应用处理器在所述CA的驱动下向所述专用通信信号处理器传递的配置信息的优先级。

可选的，所述第一信息为指示信息、反馈信息或第一数据信息；当所述第一信息为指示信息时，所述第一信息用于指示所述应用处理器根据所述指示信息中的内容执行与所述指示信息相应的动作；当所述第一信息为反馈信息时，所述第一信息用于向所述应用处理器反馈所述专用通信信号处理器对所述第二信息的处理结果；当所述第一信息为第一数据信息时，所述应用处理器能够根据所述第一数据信息的类型对所述第一数据信息进行处理。

可选的，所述第一数据信息为短信数据或语音数据。

可选的，所述第二信息为指示信息、反馈信息或第二数据信息；当所述第二信息为指示信息时，所述第二信息用于指示所述专用通信信号处理器根据所述指示信息中的内容执行与所述指示信息相应的动作；当所述第二信息为反馈信息时，所述第二信息用于向所述专用通信信号处理器反馈所述应用处理器对所述第一信息的处理结果；当所述第二信息为第二数据信息时，所述专用通信信号处理器能够根据所述第二数据信息的类型对所述第二数据信息进行处理。

可选的，所述第二数据信息为锁网或锁卡配置信息、数据连接配置信息或电话号码信息。

可选地，所述装置是一个便携式电子设备或移动终端或芯片或芯片组。

第二方面，提供一种数据安全传输方法，包括：专用通信信号处理器将需要传递给应用处理器的第一信息存储在所述专用通信信号处理器与所述应用处理器的共享内存中；所述专用通信信号处理器向所述应用处理器发送第一安全中断；在所述第一安全中断的触发下运行所述应用处理器中的TEE，所述TEE包括运行在所述TEE中的TA，所述应用处理器还运行REE软件，所述REE软件包括运行在所述REE中的CA，所述TEE软件的安全性高于所述REE软件；所述应用处理器在所述TA的驱动下根据所述第一安全中断在所述共享内存中获取所述第一信息；所述应用处理器在所述TA的驱动下将需要传递给所述专用通信信号处理器的第二信息存储在所述共享内存中并向所述专用通信信号处理器发送第二安全中断；所述专用通信信号处理器根据接收到的所述应用处理器发送的所述第二安全中断在所述共享内存中获取所述第二信息。

可选的，所述应用处理器和所述专用通信信号处理器均属于数据安全传输装置，所述数据安全传输装置的只读存储器ROM中包括所述数据安全传输装置的启动程序，所述方法还包括：所述应用处理器在所述启动程序加载过程中配置包括所述共享内存中被所述专用通信信号处理器和所述应用处理器使用的地址的值的TEE启动参数；所述应用处理器根据所述TEE启动参数启动所述TEE。

可选的，所述第一数据信息为短信数据或语音数据。

本发明实施例提供的装置及方法，专用通信信号处理器和应用处理器可以通过共享内存存储信息，并且专用通信信号处理器和应用处理器之间可以通过发送安全中断获取共享内存中存储的信息，从而在专用通信信号处理器和应用处理器之间建立了一条安全通道，使得专用通信信号处理器可以安全的将数据传递给应用处理器，提高了终端设备的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术中的一种终端设备的组成示意图；

图2为本发明实施例提供的一种数据安全传输装置的组成示意图；

图3为本发明实施例提供的又一种数据安全传输装置的组成示意图；

图4为本发明实施例提供的一种AP、共享内存与专用通信信号处理器的连接示意图；

图5为本发明实施例提供的一种数据安全传输方法的流程图；

图6为本发明实施例提供的又一种数据安全传输方法的流程图；

图7为本发明实施例提供的又一种数据安全传输方法的流程图；

图8为本发明实施例提供的又一种数据安全传输方法的流程图；

图9为本发明实施例提供的又一种数据安全传输方法的流程图；

图10为本发明实施例提供的又一种数据安全传输方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明实施例中的AP可以为CPU，AP也可以包括CPU及CPU外围硬件，REE软件和TEE软件运行在AP上。示例性的，如图1所示，图1示出了一种终端设备，该终端设备中的AP中运行TEE软件和REE软件，该终端设备中还包括传声器、屏幕、键盘以及专用通信信号处理器等外设，运行在AP上的TA或CA可以通过与外设之间的接口访问外设。需要说明的是，当TA访问外设时，会触发外设进入安全模式，该情况下，外设只能被TA所访问，而不能被CA所访问，终端设备还包括一些必要的REE硬件以及TEE硬件等，图中未示出。所述TEE软件或环境的安全性高于REE软件或环境的安全性，因此TA的安全级别远高于CA。用户通常安装的大部分APP(Application)软件或APK(AndroidPackage)软件即CA，被安装于REE软件环境下。TEE软件环境是严格受限的，无法被普通CA所访问。因此TEE软件和REE软件之间存在安全隔离以保证TEE软件和CA的安全性。

本发明实施例提供一种数据安全传输装置20，如图2所示，包括：专用通信信号处理器201和应用处理器202；

所述专用通信信号处理器201，用于向所述应用处理器202发送第一安全中断；

所述应用处理器202，用于运行富执行环境REE软件，所述REE软件包括运行在所述REE中的客户端应用CA，以及在所述第一安全中断的触发下运行可信执行环境TEE软件，所述TEE软件包括运行在所述TEE中的可信应用TA，且在所述TA的驱动下根据所述第一安全中断在所述专用通信信号处理器201与所述应用处理器202的共享内存中获取第一信息，所述第一信息为所述专用通信信号处理器201需要传递给所述应用处理器202的信息，所述TEE软件的安全性高于所述REE软件；

所述专用通信信号处理器201，还用于接收所述应用处理器202发送的第二安全中断，并根据所述第二安全中断在所述共享内存中获取第二信息，所述第二信息为所述应用处理器202需要传递给所述专用通信信号处理器201的信息；

所述应用处理器202，还用于在所述TA的驱动下向所述专用通信信号处理器201发送所述第二安全中断。

所述应用处理器202在所述第一安全中断的触发下运行TEE软件，可以是从低功耗状态的TEE环境进入正常工作状态的TEE环境。也就是说，本来的TEE软件或环境虽然存在，但处于一种睡眠或休眠的低功耗状态，虽然TEE环境没有被完全关闭，但其部分功能是被去使能或不可用的。比如其中的至少部分TA功能不可用。进一步地，TEE软件或环境可以受到所述第一安全中断的触发进入正常运行，以实现TA相关的各类功能。

其中，数据安全传输装置20可以为终端设备，具体可以为手机、平板电脑等，本文中均以数据安全传输装置20为终端设备为例对本发明实施例提供的方法进行说明。

需要说明的是，共享内存的物理属性为安全打开状态，专用通信信号处理器201处于安全模式。当共享内存的物理属性为安全打开状态时，只有在TA驱动下的应用处理器或处于安全模式的专用通信信号处理器才可以通过总线对该共享内存进行访问。也就是说只有AP运行的TEE和TA能够访问该共享内存，AP运行的普通的REE环境和CA是不能访问该共享内存的。当共享内存的物理属性为非安全打开状态，即普通状态，则AP运行的普通的REE环境和CA也可以访问该共享内存。

可选的，如图3所示，数据安全传输装置20还包括：所述共享内存203。

示例性的，如图4所示，图4为一种应用处理器202、专用通信信号处理器201和共享内存203的连接关系示意图，其中，内存管理单元(Memory Management Unit，简称MMU)、应用处理器202和专用通信信号处理器201之间通过总线两两连接，共享内存203通过MMU与总线连接，处于安全模式的专用通信信号处理器201和在TA驱动下的应用处理器202均可以访问物理属性为安全打开状态的共享内存203。

具体的，在本发明的各个实施例中，可以在MMU中设置共享内存203的物理属性为安全打开状态，当共享内存203的物理属性为安全打开状态时，只有在TA驱动下的应用处理器202或处于安全模式的专用通信信号处理器201才可以通过总线对该共享内存203进行访问。

可选的，所述专用通信信号处理器201为通信调制解调器(Modem)、蓝牙处理器、无线保真(Wireless-Fidelity，简称WiFi)处理器或语音处理器。具体的，通信调制解调器可以为2G、3G或4G无线通信调制解调器，语音处理器可以为包括可实现语音功能的编解码器(Codec)或语音压缩部分等的HiFi(高保真)处理器。可以理解，专用通信信号处理器201和应用处理器202也可以集成在一个处理器内，本文中的专用通信信号处理器201和应用处理器202可以是一个独立的处理器或处理器内的部分功能电路。

具体的，如图4所示，专用通信信号处理器201可以通过专用通信信号处理器201与应用处理器202之间的处理器内部通讯(Inter Processor Communication，简称IPC)机制向应用处理器202发送安全中断。

其中，当接收方本身处于非安全模式时，发送方向接收方发送的安全中断可以触发接收方进入安全模式。

需注意，本申请中涉及的应用处理器202的数量可以是一个或多个。也就是说，多个应用处理器202可以共同运行所述REE软件和TEE软件。运行方式可以包括：多个应用处理器202中的一部分应用处理器202运行REE软件，另一部分应用处理器202运行TEE软件；或者多个应用处理器202均运行REE软件和TEE软件。

可选的，所述第一信息为指示信息、反馈信息或第一数据信息；当所述第一信息为指示信息时，所述第一信息用于指示所述应用处理器202根据所述指示信息中的内容执行与所述指示信息相应的动作；当所述第一信息为反馈信息时，所述第一信息用于向所述应用处理器202反馈所述专用通信信号处理器201对所述第二信息的处理结果；当所述第一信息为第一数据信息时，所述应用处理器202能够根据所述第一数据信息的类型对所述第一数据信息进行处理。

具体的，所述第一数据信息为短信数据或语音数据，当第一数据信息为短信数据时，短信数据的类型为短信类型，应用处理器202对短信数据进行安全显示，当第一数据信息为语音数据时，语音数据的类型为语音类型，应用处理器202对语音数据进行安全播放或对语音数据进行加密。

可选的，所述第二信息为指示信息、反馈信息或第二数据信息；当所述第二信息为指示信息时，所述第二信息用于指示所述专用通信信号处理器201根据所述指示信息中的内容执行与所述指示信息相应的动作；当所述第二信息为反馈信息时，所述第二信息用于向所述专用通信信号处理器201反馈所述应用处理器202对所述第一信息的处理结果；当所述第二信息为第二数据信息时，所述专用通信信号处理器201能够根据所述第二数据信息的类型对所述第二数据信息进行处理。

具体的，所述第二数据信息为锁网或锁卡配置信息、数据连接配置信息或电话号码信息。当第二数据信息的类型为配置类型时，专用通信信号处理器201对该类型的数据进行解析并保存。

可选的，所述应用处理器202还用于根据TEE启动参数启动所述TEE，所述TEE启动参数包括所述共享内存203中被所述专用通信信号处理器201和所述应用处理器202使用的地址的值。

可选的，如图3所示，数据安全传输装置20还包括：只读存储器(Read-Only Memory，简称ROM)204；

所述ROM204，用于存储所述数据安全传输装置的启动程序；

所述应用处理器202，还用于在所述启动程序加载过程中配置所述TEE启动参数。

具体的，可以通过预先声明的方式(例如，宏定义的方式)使得共享内存203中被专用通信信号处理器201和应用处理器202使用的地址的值在ROM中的启动程序中，在数据安全传输装置20启动的过程中，ROM中的启动程序加载fastboot程序，fastboot程序对TEE启动参数进行配置，TEE启动参数包括共享内存203中被专用通信信号处理器201和应用处理器202使用的地址的值，TEE根据TEE的启动参数启动。由于ROM中的程序不可以被改写，因此，通过该可选的方法，可以防止共享内存203 的地址的值被泄露。

可选的，所述第二信息是针对所述专用通信信号处理器201的参数的配置信息，所述应用处理器202在所述TA的驱动下向所述专用通信信号处理器201传递的所述配置信息优先级高于所述应用处理器202在所述CA的驱动下向所述专用通信信号处理器201传递的配置信息的优先级。

该情况下，应用处理器202在TA的驱动下向专用通信信号处理器201传递的配置信息不会被CA改写，另外，即使一些恶意程序在专用通信信号处理器201中对应用处理器202在TA的驱动下向专用通信信号处理器201传递的配置信息进行了改写，数据安全传输装置20仍然按照应用处理器202在TA的驱动下向专用通信信号处理器201传递的配置信息进行工作，从而进一步提高了数据安全传输装置20的安全性。

可选的，所述参数包括网络协议(Internet Protocol，IP)类型，接入点名称(Access Point Name，简称APN)，用户名，密码，鉴权类型和服务质量(Quality of Service，简称QOS)中的至少一项。

本发明实施例提供的装置，专用通信信号处理器和应用处理器可以通过共享内存存储信息，并且专用通信信号处理器和应用处理器之间可以通过发送安全中断获取共享内存中存储的信息，从而在专用通信信号处理器和应用处理器之间建立了一条安全通道，使得专用通信信号处理器可以安全的将数据传递给应用处理器，提高了终端设备的安全性。

本发明实施例还提供一种数据安全传输方法，如图5所示，该方法包括：

501、专用通信信号处理器将第一信息存储在所述专用通信信号处理器与应用处理器的共享内存中。

其中，所述第一信息为所述专用通信信号处理器需要传递给所述应用处理器的信息。所述共享内存的物理属性为安全打开状态，所述专用通信信号处理器处于安全模式。

可选的，所述专用通信信号处理器为通信调制解调器、蓝牙处理器、WiFi处理器或语音处理器。具体的，通信调制解调器可以为2G、3G或4G无线通信调制解调器，语音处理器可以为包括可实现语音功能的编解码器(Codec)或语音压缩部分等的HiFi处理器。可以理解，专用通信信号处理器和应用处理器也可以集成在一个处理器内，本文中的专用通信信号处理器和应用处理器可以是一个独立的处理器或处理器内的部分功能电路。

需注意，本申请中涉及的应用处理器的数量可以是一个或多个。也就是说，多个应用处理器可以共同运行REE软件和TEE软件。运行方式可以包括：多个应用处理器中的一部分应用处理器运行REE软件，另一部分应用处理器运行TEE软件；或者多个应用处理器均运行REE软件和TEE软件。

具体的，所述第一信息为指示信息、反馈信息或第一数据信息；当所述第一信息为指示信息时，所述第一信息用于指示所述应用处理器根据所述指示信息中的内容执行与所述指示信息相应的动作；当所述第一信息为反馈信息时，所述第一信息用于向所述应用处理器反馈所述专用通信信号处理器对所述第二信息的处理结果；当所述第一信息为第一数据信息时，所述应用处理器能够根据所述第一数据信息的类型对所述第一数据信息进行处理。

可选的，所述第一数据信息为短信数据或语音数据。

第一信息可以为专用通信信号处理器接收到的外部网络发送的消息中的数据，该情况下，当专用通信信号处理器为不同类型的处理器时，专用通信信号处理器接收到的外部网络发送的消息也可以为不同的消息，例如，当专用通信信号处理器为通信调制解调器时，通信调制解调器接收到的外部网络发送的消息可以为短信消息，当专用通信信号处理器为语音处理器时，语音处理器接收到的外部网络发送的消息可以为语音消息；第一信息也可以为专用通信信号处理器在接收到应用处理器传递的信息、并根据该信息执行相应的动作之后，向应用处理器反馈的信息；当然，第一信息也可以为其他信息(例如，指令信息)，本发明实施例对比不进行限制。

502、专用通信信号处理器向所述应用处理器发送第一安全中断。

具体的，专用通信信号处理器可以通过专用通信信号处理器与应用处理器之间的IPC机制向应用处理器发送安全中断。

503、应用处理器在所述第一安全中断的触发下运行所述应用处理器中的可信执行环境TEE。

其中，所述TEE包括运行在所述TEE中的可信应用TA，所述应用处理器还运行富执行环境REE软件，所述REE软件包括运行在所述REE中的客户端应用CA，所述TEE软件的安全性高于所述REE软件。

504、应用处理器在所述TA的驱动下根据所述第一安全中断在所述共享内存中获取所述第一信息。

具体的，TEE运行之后，会检测未处理的消息，并通知CA进行处理，具体的，TEE通知TA处理第一安全中断后，TA即在共享内存中获取第一信息。

具体的，当第一信息为第一数据信息时，TA根据第一数据信息执行与第一数据信息的类型对应的动作，当第一数据信息为短信数据，TA使用屏幕将短信数据进行显示，当第一数据信息为语音数据时，TA使用传声器将语音数据进行播放，需要说明的是，TEE使用的屏幕、传声器等外设都需要处于安全模式，这样才能够使得TEE访问外设时，REE无法访问外设，提高数据的安全性。当第一信息为专用通信信号处理器在接收到应用处理器传递的信息、并根据该信息执行相应的动作之后，向应用处理器反馈的信息时，TA可以根据该第一信息确定专用通信信号处理器是否成功执行了该动作。

在一种应用场景下，应用处理器需要向专用通信信号处理器传递第二信息，该情况下，如图6所示，上述方法还包括：

601、应用处理器在所述TA的驱动下将第二信息存储在所述共享内存中并向所述专用通信信号处理器发送第二安全中断。

其中，所述第二信息为所述应用处理器需要传递给所述专用通信信号处理器的信息。

具体的，所述第二数据信息为锁网或锁卡配置信息、数据连接配置信息或电话号码信息。

602、专用通信信号处理器根据接收到的所述应用处理器发送的所述第二安全中断在所述共享内存中获取所述第二信息。

具体的，当专用通信信号处理器处于非安全模式时，第二安全中断还可以触发专用通信信号处理器进入安全模式，这样专用通信信号处理器才可以在共享内存中获取第二信息。

示例性的，用户需要对各个银行发送的短信进行安全显示，该情况下，第二信息可以为包括各个银行号码的号码列表以及指示信息，该指示信息为指示专用通信信号处理器安全传输发送方为该号码列表中的号码的短信消息中的数据的信息，该情况下，专用通信信号处理器存储第二信息中的号码列表，并在接收到发送方为该号码列表中的号码的短信消息时，将该短信消息中的数据存储在共享内存中，并向应用处理器发送安全中断，以使得应用处理器获取短信消息中的数据。再例如，用户需要对接收到的任意短信消息进行安全显示，该情况下，第二信息可以为指令信息，该指令信息指示专用通信信号处理器将接收到的短信消息中的数据向应用处理器安全传递，则专用通信信号处理器在接收到短信消息时，将该短信消息中的数据存储在共享内存中，并向应用处理器发送安全中断，以使得应用处理器获取短信消息中的数据。

需要说明的是，本实施例中的第一安全中断和第二安全中断(或第一数据信息和第二数据信息)中的“第一”和“第二”仅仅是为了区分不同的安全中断(或数据信息)，并非对其进行的限制。本实施例中的安全中断可以为硬件中断或者软件中断，本发明实施例对比不进行限制。

可选的，所述应用处理器和所述专用通信信号处理器均属于数据安全传输装置，所述数据安全传输装置的ROM中包括所述数据安全传输装置的启动程序，所述方法还包括：

所述应用处理器在所述启动程序加载过程中配置TEE启动参数，所述TEE启动参数包括所述共享内存中被所述专用通信信号处理器和所述应用处理器使用的地址的值；

所述应用处理器根据所述TEE启动参数启动所述TEE。

具体的，可以通过预先声明的方式(例如，宏定义的方式)使得共享内存中被专用通信信号处理器和应用处理器使用的地址的值在ROM中的启动程序中，在数据安全传输装置启动的过程中，ROM中的启动程序加载fastboot程序，fastboot程序对TEE启动参数进行配置，TEE启动参数包括共享内存中被专用通信信号处理器和应用处理器使用的地址的值，TEE根据TEE的启动参数启动。由于ROM中的程序不可以被改写，因此，通过该可选的方法，可以防止共享内存的地址的值被泄露。

该情况下，TA向专用通信信号处理器传递的配置信息不会被CA改写，另外，即使一些恶意程序在专用通信信号处理器中对CA向专用通信信号处理器传递的配置信息进行了改写，终端设备仍然按照TA向专用通信信号处理器传递的配置信息进行工作，从而进一步提高了终端设备的安全性。

可选的，所述参数包括IP类型，APN，用户名，密码，鉴权类型和QOS中的至少一项。

本发明实施例提供的方法，专用通信信号处理器和应用处理器可以通过共享内存存储信息，并且专用通信信号处理器和应用处理器之间可以通过发送安全中断获取共享内存中存储的信息，从而在专用通信信号处理器和应用处理器之间建立了一条安全通道，使得专用通信信号处理器可以安全的将数据传递给应用处理器，提高了终端设备的安全性。

在一种应用场景下，为了保证终端设备发送或接收的语音数据的安全性，需要对终端设备发送的语音数据进行加密，接收到的语音数据进行解密，在该应用场景下，专用通信信号处理器为语音处理器，如图7所示，上述方法包括：

701、CA向TA发送加密语音数据的初始化请求。

其中，CA可以是拨号应用(即能够实现拨打电话号码的应用程序)，步骤701的触发条件可以为用户通过CA拨打了某个电话号码，或者，终端设备在开机之后CA即向TA发送加密语音数据的初始化请求。

该初始化请求中包括请求TA确定加密算法、解密算法以及密钥的请求信息。

702、TA接收CA发送的加密语音数据的初始化请求，并根据该初始化请求确定对语音数据进行加密的加密算法、与该加密算法对应的解密算法以及加密密钥和解密密钥。

其中，加密算法可以为高级加密标准(Advanced Encryption Standard，简称AES)算法、数据加密标准(Data Encryption Standard，简称DES)算法或其他加密算法，本发明实施例对此不做具体限定。

具体的，加密算法可以为TA与CA协商确定的加密算法，也可以为TA自行确定的加密算法，例如，在多个加密算法中通过随机算法随机选择出的加密算法。

703、TA将指示信息存储在AP与语音处理器的共享内存中。

具体的，该指示信息用于指示语音处理器将需要发送或接收到的语音数据安全的传递给AP。

704、TA向语音处理器发送安全中断1。

语音处理器可以为高保真处理器，或其他的语音处理器。

705、语音处理器接收TA发送的安全中断1，并根据安全中断1在AP与语音处理器的共享内存中获取指示信息。

当语音处理器接收到上行语音数据时，执行步骤706-710，上行语音数据是指终端设备向网络设备发送的语音数据。例如，语音处理器接收到用户通过麦克风输入的模拟上行语音数据，将模拟上行语音数据做语音编解码转化为量化的数字语音信号，该数字语音信号即上行语音数据。

706、语音处理器将接收到的上行语音数据(来自用户的数据)存储在语音处理器与AP的共享内存中。

707、语音处理器向AP发送安全中断2。

708、AP在安全中断2的触发下运行AP中的TEE。此前由于AP的TEE环境可能在预设的一段时间内没有任务，能够自动进入低功耗状态，此时TEE软件或环境可以受到中断2的触发进入正常工作状态。

709、TEE检测到安全中断2之后，通知TA处理安全中断2，TA获取语音处理器与AP的共享内存中存储的上行语音数据。

710、TA根据加密密钥和加密算法对获取到的上行语音数据进行加密，并将加密后的上行语音数据传递给语音处理器，以使得语音处理器通过通信调制解调器向网络设备发送加密后的上行语音数据。

具体的，语音处理器会将上行语音数据传输至终端设备内的通信调制解调器，由通信调制解调器将上行语音数据发送给网络设备。

当语音处理器接收到来自通信调制解调器传递的下行语音数据时，执行步骤711-715，下行语音数据是指网络设备向终端设备发送的语音数据，具体的，通信调制解调器从网络设备接收下行语音数据并传递给该语音处理器。

711、语音处理器将接收到的下行语音数据存储在语音处理器与AP的共享内存中。

712、语音处理器向AP发送安全中断3。

713、AP在安全中断3的触发下运行AP中的TEE。此前由于AP的TEE环境可能在预设的一段时间内没有任务，能够自动进入低功耗状态，此时TEE软件或环境可以受到中断2的触发进入正常工作状态。

714、TEE检测到安全中断3之后，通知TA处理安全中断3，TA获取语音处理器与AP的共享内存中存储的下行语音数据。

715、TA根据解密算法和解密密钥对获取到的下行语音数据进行解密，并将解密后的下行语音数据传递给语音处理器，以使得语音处理器播放该下行语音数据。

具体的，TA与语音处理器之间传递的数据均可以通过共享内存进行传递。

当语音通话停止时或者终端设备关机时，在步骤715之后，CA还可以向TA发送清除数据的请求，用于TA指示语音处理器清除与该次语音通话相关的数据。

现有技术中，语音处理器接收到语音数据之后，将该语音数据传递给CA，CA再请求TA对语音数据进行加解密，由于语音处理器与CA之间的数据传输通道不安全，因此，可能导致语音数据泄露，本申请中提供的方法，由于语音数据直接通过TA与语音处理器之间的安全的数据传输通道传输，因此，能够提高语音数据的安全性。

在另一种应用场景下，为了防止某些发送方发送的短信数据泄露，发送方的短信数据需要在终端设备上进行安全传输和显示，该情况下，专用通信信号处理器为通信调制解调器，如图8所示，上述方法包括：

801、CA向TA发送短信数据的初始化请求。

其中，CA可以是短信应用(即能够实现发送短信消息的应用程序)，终端设备在开机之后CA即向TA发送短信数据的初始化请求。

802、TA接收CA发送的短信数据的初始化请求，并根据该初始化请求确定发送方号码列表。

其中，发送方号码列表中的号码发送的短信消息即需要安全传输和显示的短信消息。

具体的，CA可以直接将发送方号码列表中的号码携带在初始化请求中，也可以TA在初始化请求的触发下指示用户输入相关号码。

示例性的，发送方号码列表中的号码可以为各个银行的号码，或者，发送方号码列表中的号码可以为用户预设的某些号码。

803、TA将发送方号码列表及指示信息存储在AP与通信调制解调器的共享内存中。

具体的，该指示信息用于指示通信调制解调器将接收到的发送方号码列表中的号码发送的短信消息安全的传输给TA。

804、TA向通信调制解调器发送安全中断1。

805、通信调制解调器接收TA发送的安全中断1，并根据安全中断1在AP与通信调制解调器的共享内存中获取发送方号码列表及指示信息，并存储该发送方号码列表。

806、当通信调制解调器接收到一个短信消息时，判断该短信消息的发送方号码是否为发送方号码列表中的号码。

若是，执行步骤807至811，若否，采用现有技术中的方法显示短信(即通过CA显示短信)。

807、通信调制解调器将接收到的短信消息中的短信数据存储在通信调制解调器与AP的共享内存中。

808、通信调制解调器向AP发送安全中断2。

809、AP在安全中断2的触发下运行AP中的TEE。此前由于AP的TEE环境可能在预设的一段时间内没有任务，能够自动进入低功耗状态，此时TEE软件或环境可以受到中断2的触发进入正常工作状态。

810、TEE检测到安全中断2之后，通知TA处理安全中断2，TA获取通信调制解调器与AP的共享内存中存储的短信数据。

811、TA通过终端设备的显示屏幕将短信数据显示在显示屏幕上。

当终端设备关机时，在步骤811之后，CA还可以向TA发送清除数据的请求，用于TA指示通信调制解调器清除发送方号码列表等信息。

现有技术中，为了保证短信数据的安全性，通信调制解调器接收到短信数据之后，将该短信数据传递给CA，CA再请求TA对短信数据进行安全显示，由于通信调制解调器与CA之间的数据传输通道不安全，因此，可能导致短信数据泄露，本申请中提供的方法，由于短信数据直接通过TA与通信调制解调器之间的安全的数据传输通道传输，因此，能够提高短信数据的安全性。

在另一种应用场景下，为了防止终端设备的锁网(或锁卡)功能失效，损害运营商的利益，如图9所示，上述方法包括：

901、TA对锁网(或锁卡)信息进行配置。

具体的，终端设备可以在每次开机时就执行步骤901。

该情况下，专用通信信号处理器为通信调制解调器。

锁网(或锁卡)的配置信息具体可以包括锁定的网络(或锁定的客户识别模块(Subscriber Identity Module，简称SIM)卡)等信息。

902、TA将锁网(或锁卡)信息存储在AP与通信调制解调器的共享内存中。

903、TA向通信调制解调器发送安全中断1。

904、通信调制解调器接收TA发送的安全中断1，并根据安全中断1在AP与通信调制解调器的共享内存中获取锁网(或锁卡)信息。

通信调制解调器在获取到锁网(或锁卡)信息之后，根据锁网(或锁卡)信息对用户使用或即将使用的网络(或SIM卡)进行识别，若用户使用的或即将使用的网络(或SIM卡)与锁网(或锁卡)信息不同，则不提供服务，即禁止用户使用相应网络(或SIM卡)。

905、通信调制解调器将反馈信息存储在通信调制解调器与AP的共享内存中。

其中，反馈信息用于告知TA通信调制解调器已成功获取锁网(或锁卡)信息。

906、通信调制解调器向AP发送安全中断2。

907、AP在安全中断2的触发下运行AP中的TEE。此前由于AP的TEE环境可能在预设的一段时间内没有任务，能够自动进入低功耗状态，此时TEE软件或环境可以受到中断2的触发进入正常工作状态。

908、TEE检测到安全中断2之后，通知TA处理安全中断2，TA获取通信调制解调器与AP的共享内存中存储的反馈信息。

在步骤908之后，若用户发起锁网(或锁卡)的解锁校验时，该方法还包括：

909、CA向TA发送解锁密码。

910、TA接收CA发送的解锁密码，并判断该解锁密码与实际解锁密码是否相同。

若是，执行步骤911-913，若否，TA向CA返回解锁失败的信息。

911、TA关闭锁网(或锁卡)功能，并将指示信息存储在通信调制解调器与AP的共享内存中。

具体的，该指示信息用于指示通信调制解调器清除锁网(或锁卡)信息。

912、TA向通信调制解调器发送安全中断3。

913、通信调制解调器接收TA发送的安全中断3，并根据安全中断3在通信调制解调器与AP的共享内存中获取该指示信息，并根据该指示信息清除锁网(或锁卡)信息。

现有技术中，锁网(或锁卡)的配置在通信调制解调器中完成，由于通信调制解调器的安全性相对于TA的安全性较低，因此，通过在TA中对锁网(或锁卡)信息进行配置可以提高锁网(或锁卡)信息的安全性。

在另一种应用场景下，为了保证终端设备与外部网络之间传输的数据的安全性和正确性，TA需要建立安全拨号连接，这样TEE就需要和通信调制解调器之间建立安全的数据通道，该情况下，专用通信信号处理器为通信调制解调器，如图10所示，该方法包括：

1001、CA向TA发送数据连接初始化请求。

具体的，步骤1001的触发条件可以为终端设备连接网络。

1002、TA根据CA发送的初始化请求对数据连接的信息进行配置。

具体的，数据连接的信息可以为服务器地址、服务器端口号或域名系统(Domain Name System，简称DNS)地址等信息。

1003、TA将数据连接的配置信息存储在AP与通信调制解调器的共享内存中。

1004、TA向通信调制解调器发送安全中断1。

1005、通信调制解调器接收TA发送的安全中断1，并根据安全中断1在AP与通信调制解调器的共享内存中获取数据连接的配置信息。

1006、通信调制解调器对数据连接的配置信息进行解析并保存。

1007、通信调制解调器将反馈信息存储在通信调制解调器与AP的共享内存中。

其中，反馈信息用于告知TA通信调制解调器已成功获取数据连接的配置信息。

1008、通信调制解调器向AP发送安全中断2。

1009、AP在安全中断2的触发下运行AP中的TEE。此前由于AP的TEE环境可能在预设的一段时间内没有任务，能够自动进入低功耗状态，此时TEE软件或环境可以受到中断2的触发进入正常工作状态。

1010、TEE检测到安全中断2之后，通知TA处理安全中断2，TA获取通信调制解调器与AP的共享内存中存储的反馈信息。

1011、CA向通信调制解调器发送数据连接建立请求，该数据连接建立请求包括请求参数。

1012、通信调制解调器接收CA发送的数据连接建立请求，并将数据连接建立请求中的请求参数替换为TA下发的配置信息中的参数。

其中，由于CA发送的数据连接建立请求中的请求参数有可能是非法的或者错误的，将请求参数替换为TA下发的配置信息中的参数可以提高数据连接的安全性。

1013、通信调制解调器根据替换请求参数后的数据连接建立请求进行数据连接。

现有技术中，配置信息由CA向通信调制解调器下发，由于通信调制解调器与CA之间的数据传输通道不安全，因此，配置信息有可能被截获或非法修改，本申请中，通过TA向通信调制解调器下发配置信息，可以提高配置信息的安全性，同时，由于CA发送的数据连接建立请求中的请求参数有可能是非法的或者错误的，将CA向通信调制解调器下发的请求参数替换为配置信息中的参数，可以提高数据连接的安全性。

在本发明所提及的各个实施例，可选地，当AP在TEE环境下与专用通信信号处理器交互数据的时候，该共享内存或该内存中用于共享所述数据或信息的部分地址实际上只能被AP的TEE环境或TA所访问，而不能被REE或CA访问，从而保证安全性。或者说此时的共享内存的物理属性为安全打开状态，即高安全级别状态。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、ROM、随机存取存储器(Random Access Memory，简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

一种数据安全传输装置，其特征在于，包括：专用通信信号处理器和应用处理器；

所述专用通信信号处理器，用于向所述应用处理器发送第一安全中断；

所述应用处理器，用于运行富执行环境REE软件，所述REE软件包括运行在所述REE中的客户端应用CA，以及在所述第一安全中断的触发下运行可信执行环境TEE软件，所述TEE软件包括运行在所述TEE中的可信应用TA，且在所述TA的驱动下根据所述第一安全中断在所述专用通信信号处理器与所述应用处理器的共享内存中获取第一信息，所述第一信息为所述专用通信信号处理器需要传递给所述应用处理器的信息，所述TEE软件的安全性高于所述REE软件；

所述专用通信信号处理器，还用于接收所述应用处理器发送的第二安全中断，并根据所述第二安全中断在所述共享内存中获取第二信息，所述第二信息为所述应用处理器需要传递给所述专用通信信号处理器的信息；

所述应用处理器，还用于在所述TA的驱动下向所述专用通信信号处理器发送所述第二安全中断。
根据权利要求1所述的数据安全传输装置，其特征在于，还包括：所述共享内存。
根据权利要求1或2所述的数据安全传输装置，其特征在于，所述应用处理器还用于根据TEE启动参数启动所述TEE，所述TEE启动参数包括所述共享内存中被所述专用通信信号处理器和所述应用处理器使用的地址的值。
根据权利要求3所述的数据安全传输装置，其特征在于，还包括：只读存储器ROM；

所述ROM，用于存储所述数据安全传输装置的启动程序；

所述应用处理器，还用于在所述启动程序加载过程中配置所述TEE启动参数。
根据权利要求1-4任一项所述的数据安全传输装置，其特征在于，所述第二信息是针对所述专用通信信号处理器的参数的配置信息，所述应用处理器在所述TA的驱动下向所述专用通信信号处理器传递的所述配置信息优先级高于所述应用处理器在所述CA的驱动下向所述专用通信信号处理器传递的配置信息的优先级。
根据权利要求5所述的数据安全传输装置，其特征在于，所述参数包括网络协议IP类型，接入点名称APN，用户名，密码，鉴权类型和服务质量QOS中的至少一项。
根据权利要求1-6任一项所述的数据安全传输装置，其特征在于，所述专用通信信号处理器为通信调制解调器Modem、蓝牙处理器、无线保真WiFi处理器或语音处理器。
根据权利要求1-7任一项所述的数据安全传输装置，其特征在于，所述第一信息为指示信息、反馈信息或第一数据信息；当所述第一信息为指示信息时，所述第一信息用于指示所述应用处理器根据所述指示信息中的内容执行与所述指示信息相应的动作；当所述第一信息为反馈信息时，所述第一信息用于向所述应用处理器反馈所述专用通信信号处理器对所述第二信息的处理结果；当所述第一信息为第一数据信息时，所述应用处理器能够根据所述第一数据信息的类型对所述第一数据信息进行处理。
根据权利要求8所述的数据安全传输装置，其特征在于，所述第一数据信息为短信数据或语音数据。
根据权利要求1-7任一项所述的数据安全传输装置，其特征在于，所述第二信息为指示信息、反馈信息或第二数据信息；当所述第二信息为指示信息时，所述第二信息用于指示所述专用通信信号处理器根据所述指示信息中的内容执行与所述指示信息相应的动作；当所述第二信息为反馈信息时，所述第二信息用于向所述专用通信信号处理器反馈所述应用处理器对所述第一信息的处理结果；当所述第二信息为第二数据信息时，所述专用通信信号处理器能够根据所述第二数据信息的类型对所述第二数据信息进行处理。
根据权利要求10所述的数据安全传输装置，其特征在于，所述第二数据信息为锁网或锁卡配置信息、数据连接配置信息或电话号码信息。
一种数据安全传输方法，其特征在于，包括：

专用通信信号处理器将第一信息存储在所述专用通信信号处理器与应用处理器的共享内存中，所述第一信息为所述专用通信信号处理器需要传递给所述应用处理器的信息；

所述专用通信信号处理器向所述应用处理器发送第一安全中断；

所述应用处理器在所述第一安全中断的触发下运行所述应用处理器中的可信执行环境TEE，所述TEE包括运行在所述TEE中的可信应用TA，所述应用处理器还运行富执行环境REE软件，所述REE软件包括运行在所述REE中的客户端应用CA，所述TEE软件的安全性高于所述REE软件；

所述应用处理器在所述TA的驱动下根据所述第一安全中断在所述共享内存中获取所述第一信息；

所述应用处理器在所述TA的驱动下将第二信息存储在所述共享内存中并向所述专用通信信号处理器发送第二安全中断，所述第二信息为所述应用处理器需要传递给所述专用通信信号处理器的信息；

所述专用通信信号处理器根据接收到的所述应用处理器发送的所述第二安全中断在所述共享内存中获取所述第二信息。
根据权利要求12所述的方法，其特征在于，所述应用处理器和所述专用通信信号处理器均属于数据安全传输装置，所述数据安全传输装置的只读存储器ROM中包括所述数据安全传输装置的启动程序，所述方法还包括：

所述应用处理器在所述启动程序加载过程中配置TEE启动参数，所述TEE启动参数包括所述共享内存中被所述专用通信信号处理器和所述应用处理器使用的地址的值；

所述应用处理器根据所述TEE启动参数启动所述TEE。
根据权利要求12或13所述的方法，其特征在于，所述第二信息是针对所述专用通信信号处理器的参数的配置信息，所述应用处理器在所述TA的驱动下向所述专用通信信号处理器传递的所述配置信息优先级高于所述应用处理器在所述CA的驱动下向所述专用通信信号处理器传递的配置信息的优先级。
根据权利要求14所述的方法，其特征在于，所述参数包括网络协议IP类型，接入点名称APN，用户名，密码，鉴权类型和服务质量QOS中的至少一项。
根据权利要求12-15任一项所述的方法，其特征在于，所述专用通信信号处理器为通信调制解调器Modem、蓝牙处理器、无线保真WiFi处理器或语音处理器。
根据权利要求12-16任一项所述的方法，其特征在于，所述第一信息为指示信息、反馈信息或第一数据信息；当所述第一信息为指示信息时，所述第一信息用于指示所述应用处理器根据所述指示信息中的内容执行与所述指示信息相应的动作；当所述第一信息为反馈信息时，所述第一信息用于向所述应用处理器反馈所述专用通信信号处理器对所述第二信息的处理结果；当所述第一信息为第一数据信息时，所述应用处理器能够根据所述第一数据信息的类型对所述第一数据信息进行处理。
根据权利要求17所述的方法，其特征在于，所述第一数据信息为短信数据或语音数据。
根据权利要求12-16任一项所述的方法，其特征在于，所述第二信息为指示信息、反馈信息或第二数据信息；当所述第二信息为指示信息时，所述第二信息用于指示所述专用通信信号处理器根据所述指示信息中的内容执行与所述指示信息相应的动作；当所述第二信息为反馈信息时，所述第二信息用于向所述专用通信信号处理器反馈所述应用处理器对所述第一信息的处理结果；当所述第二信息为第二数据信息时，所述专用通信信号处理器能够根据所述第二数据信息的类型对所述第二数据信息进行处理。
根据权利要求19所述的方法，其特征在于，所述第二数据信息为锁网或锁卡配置信息、数据连接配置信息或电话号码信息。