本申请公开了一种终端设备的专用密码加密方法和装置,包括:当终端设备检测到应用层的密码操作指令时,将所述密码操作指令发送给安全执行环境TEE客户端;所述TEE客户端将所述密码操作指令,发送给TEE系统中用于处理密码操作指令的可信应用TA;所述TA对所述密码操作指令进行解析,根据所述解析结果通过调用TEE系统中专用密码算法库内的相应算法,执行所述密码操作指令,并通过所述TEE客户端将所述执行的结果,反馈给所述应用层。应用本申请公开的技术方案,利用TEE系统保障专用密码算法调用的安全性,能够在利用专用密码保障安全强度的前提下,降低实现成本、减少功耗以及提高终端设备的整体性能。端设备的整体性能。端设备的整体性能。
【技术实现步骤摘要】
终端设备的专用密码加密方法和装置
[0001]本申请涉及信息安全
,特别涉及一种终端设备的专用密码加密方法和装置。
技术介绍
[0002]目前,为了满足一些信息安全要求较高的客户需要,很多终端设备上采用了专用密码的加密方法,该加密方法是经过第三方权威机构认可的,以保证终端的信息安全强度。
[0003]为了保障加密方法的安全性,现有的专用密码的加密方法通常采用增加硬件模块的方式实现。具体为,将专用密码的加密方法预置于专用的密码硬件模块(如TF密码卡、simkey、贴膜卡等)中,密码硬件模块通过适配终端驱动,以及集成密码卡商提供的密码服务,向应用层提供专用密码的操作处理接口,终端设备应用层通过调用这些接口,实现相应的基于专用密码的加解密处理功能。在实际应用中,有些厂商会将上述密码硬件模块置于终端设备外,也有些厂商会将上述密码硬件模块内置于终端设备中。
[0004]专利技术人在实现本专利技术的过程中发现:上述现有的专用密码的加密方法存在硬件成本高、功耗大、降低终端的整体业务性能的问题。通过对上述现有方案的认真研究分析,专利技术人发现上述问题存在的主要原因如下:
[0005]1、上述现有方案依赖于密码硬件模块的实现,这样,由于增加了终端设备本的硬件,因此,会大幅增加硬件成本。业界的密码卡通常都在几百元,这相对于大多数手机终端而言,增加的成本比例是非常高的。
[0006]2、密码硬件模块的引入,需要终端设备为其供电,这样,就会大幅度增加终端的功耗,尤其是外置的密码硬件模块。由于使用密码硬件模块的终端设备通常用于行业客户的移动办公,这些客户对终端设备的可持续使用时间要求较高,而上述功耗的增加会导致终端的可持续使用时间的明显减少,从而无法满足上述较长持续使用时间的需要。
[0007]3、现有的密码硬件模块,无论是采用何种形式实现,其芯片计算能力普遍很低,运行内存也很小,这样,有限的运算能力将会导致密码硬件模块的处理效率低,从而往往成为整个业务的性能瓶颈,不能满足一些有高性能要求的业务,如视频业务等。
技术实现思路
[0008]有鉴于此,本专利技术的主要目的在于提供一种终端设备的专用密码加密方法和装置,能够在利用专用密码保障安全强度的前提下,降低实现成本、减少功耗以及提高终端设备的整体性能。
[0009]一种终端设备的专用密码加密方法,包括:
[0010]当终端设备检测到应用层的密码操作指令时,将所述密码操作指令发送给安全执行环境TEE客户端;
[0011]所述TEE客户端将所述密码操作指令,发送给TEE系统中用于处理密码操作指令的可信应用TA;
[0012]所述TA对所述密码操作指令进行解析,根据所述解析的结果,通过调用TEE系统中专用密码算法库内的相应算法,执行所述密码操作指令,并通过所述TEE客户端将所述执行的结果,反馈给所述应用层。
[0013]较佳地,将所述密码操作指令发送给安全执行环境TEE客户端包括:
[0014]所述终端设备通过预设的专用密码的标准接口,将所述密码操作指令发送给安全执行环境TEE客户端。
[0015]一种终端设备的专用密码加密装置,包括:
[0016]应用层模块,用于当检测到应用层的密码操作指令时,将所述密码操作指令发送给安全执行环境TEE客户端;
[0017]TEE客户端,用于将所述密码操作指令,发送给TEE系统中用于处理密码操作指令的可信应用TA;
[0018]TEE系统模块,用于由所述TA对所述密码操作指令进行解析,根据所述解析结果通过调用TEE系统中专用密码算法库内的相应算法,执行所述密码操作指令,并通过所述TEE客户端将所述执行的结果,反馈给所述应用层。
[0019]较佳地,所述应用层操作模块,用于通过预设的专用密码的标准接口,将所述密码操作指令发送给安全执行环境TEE客户端。
[0020]本申请还公开了一种终端设备,其特征在于,包括处理器和存储器;
[0021]所述存储器中存储有可被所述处理器执行的应用程序,用于使得所述处理器执行如上所述的终端设备的专用密码加密方法。
[0022]本申请还公开了一种计算机可读存储介质,其特征在于,其中存储有计算机可读指令,该计算机可读指令用于执行如上所述的终端设备的专用密码加密方法。
[0023]由上述技术方案可见,本申请提出的终端设备的专用密码加密方法和装置,利用TEE系统的安全性,将专用密码算法库置于TEE系统中,并在TEE系统中配置相应的用于处理密码操作指令的可信应用TA,使得终端操作系统中的应用能够通过TEE客户端调用TEE系统中的TA,来完成相应信息的专用密码加解密等操作。如此,可以充分利用TEE系统提供的安全执行环境保障专用密码加解密等操作的安全性,增强了终端设备的安全性,同时还避免了额外增加密码硬件模块所产生的诸多问题,从而能够在利用专用密码保障安全强度的前提下,达到降低实现成本、减少功耗以及提高终端设备的整体性能的目的。
附图说明
[0024]图1为本专利技术实施例的方法流程示意图;
[0025]图2为本专利技术实施例的终端系统架构示意图;
[0026]图3为根据本专利技术的终端设备的专用密码加密装置的结构图。
[0027]图4为根据本专利技术的终端设备的结构图。
具体实施方式
[0028]为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本专利技术作进一步地详细描述。
[0029]本申请中,将考虑利用终端设备中的安全执行环境,来保障专用密码加密的的安
全性。
[0030]安全执行环境(Trusted Executing Enviroment,TEE),本质是一个安全操作系统(OS),它是一个精简的实时操作系统,其主要目的是在安卓(Android)平台下创建一个可信执行环境,以保存用户的机密数据。
[0031]安全OS基于ARM的TrustZone技术来实现。TrustZone技术可以在硬件上保护安全内存、加密块、键盘和屏幕等外设,从而确保他们免遭软件攻击。TrustZone技术是在ARM处理器内核的一个扩展,这样单个处理器就能够以时间片的方式安全有效地在安全世界和非安全世界进行切换。基于这种特性,Android运行在非安全世界,安全OS运行在安全世界,在硬件上实现了两个系统的隔离,从而能够保证安全OS执行环境的安全。
[0032]本专利技术实施例中,将利用TEE系统的安全性,预先将专用密码操作指令执行算法(包括专用密码接口、专用密码服务、专用密码算法库等)置于TEE系统中,并在TEE系统中配置相应的用于处理密码操作指令的可信应用TA,这样,安卓系统中的应用能够通过TEE客户端调用TEE系统中的TA,从而使得密码操作指令的执行是在TEE系统中独立完成的,如此,可以获得下面几点显著的技术效果:
[0033]1、可以充分利用TEE系统保障专用密码使用的安全强度,确保能够满足专用密码相关权威机构的安全要求。
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种终端设备的专用密码加密方法,其特征在于,包括:当终端设备检测到应用层的密码操作指令时,将所述密码操作指令发送给安全执行环境TEE客户端;所述TEE客户端将所述密码操作指令,发送给TEE系统中用于处理密码操作指令的可信应用TA;所述TA对所述密码操作指令进行解析,根据所述解析的结果,通过调用TEE系统中专用密码算法库内的相应算法执行所述密码操作指令,并通过所述TEE客户端将所述执行的结果,反馈给所述应用层。2.如权利要求1所述的方法,其特征在于:将所述密码操作指令发送给安全执行环境TEE客户端包括:所述终端设备通过预设的专用密码的标准接口,将所述密码操作指令发送给安全执行环境TEE客户端。3.一种终端设备的专用密码加密装置,其特征在于,包括:应用层模块,用于当检测到应用层的密码操作指令时,将所述密码操作指令发送给安全执行环境TEE客户端;TEE客户端,用于...
【专利技术属性】
技术研发人员:冯小兵,蒋兴,张鹏,
申请(专利权)人:成都鼎桥通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。