一種操作敏感數(shù)據(jù)的方法和設備的制作方法

文檔序號：6620493閱讀：331來源：國知局

一種操作敏感數(shù)據(jù)的方法和設備的制作方法
【專利摘要】本發(fā)明公開了一種敏感數(shù)據(jù)操作的方法和設備。該方法包括：響應于應用程序在開放操作系統(tǒng)下運行，調用開放操作系統(tǒng)下的通用中間件，并控制通用中間件執(zhí)行應用程序觸發(fā)的操作；響應于應用程序在開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作，將應用程序從開放操作系統(tǒng)切換到可信操作系統(tǒng)下運行，并調用可信操作系統(tǒng)下的可信中間件，控制可信中間件執(zhí)行該敏感數(shù)據(jù)操作；在該敏感數(shù)據(jù)操作的執(zhí)行過程中，控制可信中間件從安全元件中讀取敏感數(shù)據(jù)使用，和/或，控制可信中間件寫入敏感數(shù)據(jù)到安全元件中。通過本發(fā)明實施方式，不僅可以保證敏感數(shù)據(jù)在中間件操作階段的安全，還可以使得中間件對敏感數(shù)據(jù)的訪問速度更快，提高中間件對敏感數(shù)據(jù)的處理效率。
【專利說明】一種操作敏感數(shù)據(jù)的方法和設備

【技術領域】
[0001]本發(fā)明涉及數(shù)據(jù)處理技術，特別是涉及一種操作敏感數(shù)據(jù)的方法和設備。

【背景技術】
[0002]目前，許多應用程序都會涉及到敏感數(shù)據(jù)的處理。例如，網銀客戶端在運行過程中需要對密鑰、PIN碼等敏感數(shù)據(jù)進行處理。為了保證敏感數(shù)據(jù)的安全性，現(xiàn)有的網銀客戶端，采用了一種可與用戶終端相連接的外置安全元件(如網銀盾、U盾)，作為敏感數(shù)據(jù)的密鑰是存儲在外置安全元件中的，當網銀客戶端在需要使用密鑰來進行操作時，需要由中間件去從外置安全元件中取出密鑰，然后由中間件來完成使用密鑰的操作。其中，安全元件(Secure Element,簡稱SE)中具有加密/解密邏輯電路,可以防止外部惡意解析攻擊,保護其所存儲的數(shù)據(jù)的安全。
[0003]對于現(xiàn)有的敏感數(shù)據(jù)操作方式來說，雖然敏感數(shù)據(jù)存儲在SE中可以保證敏感數(shù)據(jù)在存儲時不被外部惡意解析，但由于用于對敏感數(shù)據(jù)進行操作的中間件是在開放平臺下運行的，所以，在從SE中取出敏感數(shù)據(jù)之后中間件對敏感數(shù)據(jù)進行操作的過程中，敏感數(shù)據(jù)實際上是處于開放平臺下，這樣就使得惡意用戶可以通過在開放平臺下的攻擊破解方式而大大增加了獲得敏感數(shù)據(jù)的機會，從而難以保證敏感數(shù)據(jù)的安全。

【發(fā)明內容】

[0004]本發(fā)明所要解決的技術問題是，提供一種操作敏感數(shù)據(jù)的方法和設備，以解決按照現(xiàn)有技術中在中間件對敏感數(shù)據(jù)進行操作的過程中敏感數(shù)據(jù)暴露在開放平臺下而導致難以保證敏感數(shù)據(jù)安全的問題。
[0005]為解決上述技術問題，本發(fā)明提供了一種操作敏感數(shù)據(jù)的方法，該方法包括:
[0006]一種敏感數(shù)據(jù)操作的方法，包括:
[0007]響應于應用程序在開放操作系統(tǒng)下運行，調用所述開放操作系統(tǒng)下的通用中間件，并控制所述通用中間件執(zhí)行所述應用程序觸發(fā)的操作；
[0008]響應于所述應用程序在所述開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作，將所述應用程序從所述開放操作系統(tǒng)切換到可信操作系統(tǒng)下運行，并調用可信操作系統(tǒng)下的可信中間件，控制所述可信中間件執(zhí)行所述敏感數(shù)據(jù)操作；
[0009]在所述敏感數(shù)據(jù)操作的執(zhí)行過程中，控制所述可信中間件從安全元件中讀取敏感數(shù)據(jù)，和/或，控制所述可信中間件寫入敏感數(shù)據(jù)到所述安全元件中。
[0010]所述通用中間件中具有敏感數(shù)據(jù)操作代理接口，所述敏感數(shù)據(jù)操作代理接口用于響應所述應用程序，在所述開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作；
[0011]所述響應于所述應用程序在所述開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作，將所述應用程序從所述開放操作系統(tǒng)切換到可信操作系統(tǒng)下運行，包括:
[0012]在所述應用程序在所述開放操作系統(tǒng)下的運行過程中，監(jiān)測所述通用中間件的運行；
[0013]響應于所述通用中間件運行所述敏感數(shù)據(jù)操作代理接口，調用安全監(jiān)視器，并控制所述安全監(jiān)視器將所述應用程序的運行環(huán)境從所述開放操作系統(tǒng)切換到可信操作系統(tǒng)。
[0014]所述調用可信操作系統(tǒng)下的可信中間件之后，還包括:
[0015]控制所述可信中間件與所述安全元件之間建立安全通道，以便所述可信中間件與所述安全元件之間通過所述安全通道進行敏感數(shù)據(jù)的交互。
[0016]所述方法還包括:
[0017]在所述敏感數(shù)據(jù)操作的執(zhí)行過程中，控制所述可信中間件對輸出信息進行加密，并將加密后的輸出信息存放在開放存儲器中；其中，所述開放存儲器用于存儲所述開放操作系統(tǒng)下和所述可信操作系統(tǒng)下產生的信息。
[0018]所述開放操作系統(tǒng)和所述可信操作系統(tǒng)配置于可信執(zhí)行環(huán)境TEE芯片中，所述安全元件為SE芯片。
[0019]一種敏感數(shù)據(jù)操作的設備，包括:
[0020]第一調用模塊，用于響應于應用程序在開放操作系統(tǒng)下運行，調用所述開放操作系統(tǒng)下的通用中間件；
[0021]第一控制模塊，用于控制所述通用中間件執(zhí)行所述應用程序觸發(fā)的操作；
[0022]切換模塊，用于響應于所述應用程序在所述開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作，將所述應用程序從所述開放操作系統(tǒng)切換到可信操作系統(tǒng)下運行；
[0023]第二調用模塊，用于調用可信操作系統(tǒng)下的可信中間件；
[0024]第二控制模塊，用于控制所述可信中間件執(zhí)行所述敏感數(shù)據(jù)操作；
[0025]讀寫模塊，用于在所述敏感數(shù)據(jù)操作的執(zhí)行過程中，控制所述可信中間件從安全元件中讀取敏感數(shù)據(jù)使用，和/或，控制所述可信中間件寫入敏感數(shù)據(jù)到所述安全元件中。
[0026]所述通用中間件中具有敏感數(shù)據(jù)操作代理接口，所述敏感數(shù)據(jù)操作代理接口用于響應所述應用程序在所述開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作；
[0027]所述切換模塊包括:
[0028]監(jiān)測子模塊，用于在所述應用程序在所述開放操作系統(tǒng)下的運行過程中，監(jiān)測所述通用中間件的運行；
[0029]調用子模塊，用于響應于所述通用中間件運行所述敏感數(shù)據(jù)操作代理接口，調用安全監(jiān)視器；
[0030]控制子模塊，用于控制所述安全監(jiān)視器將所述應用程序的運行環(huán)境從所述開放操作系統(tǒng)切換到可信操作系統(tǒng)。
[0031]所述設備還包括:
[0032]第三控制模塊，用于調用可信操作系統(tǒng)下的可信中間件之后，響應于控制所述可信中間件與所述安全元件之間建立安全通道，以便所述可信中間件與所述安全元件之間通過所述安全通道進行敏感數(shù)據(jù)的交互。
[0033]所述設備還包括:
[0034]第四控制模塊，用于在所述敏感數(shù)據(jù)操作的執(zhí)行過程中，控制所述可信中間件對輸出信息進行加密；
[0035]存放模塊，用于將加密后的輸出信息存放在開放存儲器中；其中，所述開放存儲器用于存儲所述開放操作系統(tǒng)下和所述可信操作系統(tǒng)下產生的信息。
[0036]所述開放操作系統(tǒng)和所述可信操作系統(tǒng)配置于可信執(zhí)行環(huán)境TEE芯片中，所述安全元件為SE芯片。
[0037]與現(xiàn)有技術相比，本發(fā)明具有以下優(yōu)點:
[0038]根據(jù)本發(fā)明實施例提供的技術方案，當應用程序在開放操作系統(tǒng)下運行時，可以調用開放操作系統(tǒng)下的通用中間件，并控制通用中間件執(zhí)行應用程序觸發(fā)的操作，而當應用程序在所述開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作，可以將應用程序從開放操作系統(tǒng)切換到可信操作系統(tǒng)下運行，并調用可信操作系統(tǒng)下的可信中間件，控制可信中間件執(zhí)行該敏感數(shù)據(jù)操作，在敏感數(shù)據(jù)操作的執(zhí)行過程中，可以控制可信中間件從安全元件中讀取敏感數(shù)據(jù)使用，和/或，控制可信中間件寫入敏感數(shù)據(jù)到安全元件中。因此，由于應用程序在觸發(fā)敏感數(shù)據(jù)操作時被切換到可信操作系統(tǒng)下運行，并且敏感數(shù)據(jù)操作具體是調用可信操作系統(tǒng)下的可信中間件來執(zhí)行的，所以，在從SE中取出敏感數(shù)據(jù)之后中間件對敏感數(shù)據(jù)進行操作的過程中，可以使得敏感數(shù)據(jù)處于可信平臺下，從而避免惡意用戶通過開放平臺下的攻擊破解方式去獲得敏感數(shù)據(jù)，保證敏感數(shù)據(jù)在中間件操作階段的安全。另外，在從SE中取出敏感數(shù)據(jù)之后中間件對敏感數(shù)據(jù)進行操作的過程中，由于敏感數(shù)據(jù)實際上是在安全環(huán)境存儲和運行，因此可以使敏感數(shù)據(jù)在安全區(qū)域中以明文形式存儲而無需再加密存儲，從而使得可信中間件對敏感數(shù)據(jù)的訪問速度更快，提高敏感數(shù)據(jù)操作的處理速度。

【專利附圖】

【附圖說明】
[0039]為了更清楚地說明本申請實施例或現(xiàn)有技術中的技術方案，下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本申請中記載的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0040]圖1為本發(fā)明實施方式中一個示例性應用場景的框架示意圖；
[0041]圖2為本發(fā)明中敏感數(shù)據(jù)操作的方法實施例1的流程圖；
[0042]圖3為本發(fā)明實施例中系統(tǒng)架構一實施方式的示意圖；
[0043]圖4為本發(fā)明中敏感數(shù)據(jù)操作的方法實施例2的流程圖；
[0044]圖5為本發(fā)明中敏感數(shù)據(jù)操作的設備實施例1的結構圖；
[0045]圖6為本發(fā)明實施例中切換模塊503 —實施方式的結構圖；
[0046]圖7為本發(fā)明中敏感數(shù)據(jù)操作的設備實施例2的結構圖；
[0047]圖8為本發(fā)明中敏感數(shù)據(jù)操作的設備實施例3的結構圖.

【具體實施方式】
[0048]為了使本【技術領域】的人員更好地理解本申請方案，下面將結合本申請實施例中的附圖，對本申請實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅是本申請一部分實施例，而不是全部的實施例?；诒旧暾堉械膶嵤├?，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本申請保護的范圍。
[0049]發(fā)明人經過研究發(fā)現(xiàn)，對于涉及敏感數(shù)據(jù)的應用程序來說，其為了保證敏感數(shù)據(jù)的安全，通常是將敏感數(shù)據(jù)存儲在外置安全元件中，在需要使用敏感數(shù)據(jù)時需要調用中間件來對敏感數(shù)據(jù)進行操作。而現(xiàn)有的設備中都是為所有應用程序提供了一個開放操作系統(tǒng)，所有應用程序都在開放操作系統(tǒng)下運行，所有應用程序觸發(fā)的操作也都是調用開放操作系統(tǒng)下的中間件來執(zhí)行，因此，對于涉及敏感數(shù)據(jù)的應用程序來說，調用中間件對敏感數(shù)據(jù)進行操作時，敏感數(shù)據(jù)實際上處于開放平臺下，這樣就使得惡意用戶容易通過開放平臺獲得敏感數(shù)據(jù)，從而難以保證敏感數(shù)據(jù)的安全。此外，雖然開放平臺下中間件可以通過加密、加殼等方式，但加密技術、加殼技術的算法是基于開放平臺的運行機制并且是公開的，這不僅仍然難以避免惡意用戶在開放平臺下的攻擊破解，而且還使得在中間件對敏感數(shù)據(jù)操作的過程中需要訪問加密過的敏感數(shù)據(jù)而導致敏感數(shù)據(jù)操作的效率低下。
[0050]基于上述研究，本發(fā)明的基本思想在于:在同一設備中提供開放操作系統(tǒng)和可信操作系統(tǒng)，其中，可信操作系統(tǒng)接管設備硬件可形成可信執(zhí)行環(huán)境(Trusted ExcutiveEnviroment,簡稱TEE);對于涉及敏感數(shù)據(jù)的應用程序來說，當應用程序在開發(fā)操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作時被切換到可信操作系統(tǒng)下運行，并調用可信操作系統(tǒng)下的可信中間件來執(zhí)行敏感數(shù)據(jù)操作，在敏感數(shù)據(jù)操作的執(zhí)行過程中，控制可信中間件從安全元件中讀取敏感數(shù)據(jù)使用，和/或，控制可信中間件寫入敏感數(shù)據(jù)到安全元件中。因此，在從SE中取出敏感數(shù)據(jù)之后中間件對敏感數(shù)據(jù)進行操作的過程中，可以使得敏感數(shù)據(jù)處于可信環(huán)境中，從而避免惡意用戶通過開放平臺下的攻擊破解方式去獲得敏感數(shù)據(jù)，保證敏感數(shù)據(jù)在中間件操作階段的安全。另外，在從SE中取出敏感數(shù)據(jù)之后中間件對敏感數(shù)據(jù)進行操作的過程中，由于敏感數(shù)據(jù)實際上是存儲在安全區(qū)域，因此可以使敏感數(shù)據(jù)在區(qū)域以明文形式存儲而無需再加密存儲，從而使得可信中間件對敏感數(shù)據(jù)的訪問速度更快，提高敏感數(shù)據(jù)操作的處理速度。
[0051]基于上述基本思想，本發(fā)明實施方式的一個應用場景示例，可以應用到如圖1所示的系統(tǒng)中。其中，該系統(tǒng)可以包括可信操作系統(tǒng)101、開放操作系統(tǒng)102、可信操作系統(tǒng)101下的可信中間件103、開放操作系統(tǒng)102下的通用中間件104和安全元件105。
[0052]基于圖1所示的應用場景示例框架中，應用程序在開放操作系統(tǒng)102下運行時，可以調用開放操作系統(tǒng)102下的通用中間件104，并控制通用中間件104執(zhí)行應用程序觸發(fā)的操作，而當應用程序在所述開放操作系統(tǒng)102下觸發(fā)敏感數(shù)據(jù)操作，可以將應用程序從開放操作系統(tǒng)102切換到可信操作系統(tǒng)101下運行，并調用可信操作系統(tǒng)101下的可信中間件103，控制可信中間件103執(zhí)行該敏感數(shù)據(jù)操作，在敏感數(shù)據(jù)操作的執(zhí)行過程中，可以控制可信中間件103從安全元件105中讀取敏感數(shù)據(jù)，和/或，控制可信中間件103寫入敏感數(shù)據(jù)到安全元件105中。
[0053]需要注意的是，上述示例性應用場景僅是為了便于理解本發(fā)明的精神和原理而示出，本發(fā)明的實施方式在此方面不受任何限制。相反，本發(fā)明的實施方式可以應用于適用的任何場景。
[0054]在介紹了本發(fā)明的主要思想以后，下面結合附圖，詳細說明本發(fā)明的各種非限制性實施方式。
[0055]參見圖2，示出了本發(fā)明中敏感數(shù)據(jù)操作的方法實施例1的流程圖。在本實施例中，例如具體可以包括如下步驟:
[0056]S201、響應于應用程序在開放操作系統(tǒng)下運行，調用所述開放操作系統(tǒng)下的通用中間件，并控制所述通用中間件執(zhí)行所述應用程序觸發(fā)操作。
[0057]具體實現(xiàn)時，同一設備上可以提供有開放操作系統(tǒng)和可信操作系統(tǒng)兩種操作系統(tǒng)。對于涉及敏感數(shù)據(jù)的應用程序來說，當應用程序觸發(fā)不涉及敏感數(shù)據(jù)的非敏感數(shù)據(jù)操作時，在開放操作系統(tǒng)下運行應用程序，非敏感數(shù)據(jù)操作是由開放操作系統(tǒng)下的通用中間件來執(zhí)行；當應用程序觸發(fā)涉及敏感數(shù)據(jù)的敏感數(shù)據(jù)操作時，在可信操作系統(tǒng)下運行應用程序，敏感數(shù)據(jù)操作是由可信操作系統(tǒng)下的可信中間件來執(zhí)行。
[0058]例如，對于網銀客戶端這一應用程序示例來說，其敏感數(shù)據(jù)主要包括有密鑰、PIN碼、配置信息等。其中，涉及到密鑰的敏感數(shù)據(jù)操作主要有加密、解密、密鑰協(xié)商、簽名、驗簽等，涉及到PIN碼的敏感數(shù)據(jù)操作主要有校驗PIN碼、更新PIN碼、解鎖PIN碼等，涉及到配置信息的敏感數(shù)據(jù)操作主要有加密配置信息、驗證配置信息等。當網銀客戶端觸發(fā)不涉及到密鑰、PIN碼、配置信息等任何敏感數(shù)據(jù)的非敏感數(shù)據(jù)操作時，在開放操作系統(tǒng)下運行網銀客戶端，由通用中間件來執(zhí)行非敏感數(shù)據(jù)操作；當網銀客戶端觸發(fā)簽名、加密、校驗PIN碼等任何涉及敏感數(shù)據(jù)的敏感數(shù)據(jù)操作時，在可信操作系統(tǒng)下運行網銀客戶端，由可信中間件來執(zhí)行敏感數(shù)據(jù)操作。
[0059]S202、響應于所述應用程序在所述開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作，將所述應用程序從所述開放操作系統(tǒng)切換到可信操作系統(tǒng)下運行，并調用可信操作系統(tǒng)下的可信中間件，控制所述可信中間件執(zhí)行所述敏感數(shù)據(jù)操作。
[0060]其中，可信操作系統(tǒng)接管設備硬件可以為用于執(zhí)行敏感數(shù)據(jù)操作的可信中間件的運行提供可信執(zhí)行環(huán)境?？尚艌?zhí)行環(huán)境是存在于智能手機、平板電腦等設備的主處理器中的一個安全區(qū)域。可信中間件在可信執(zhí)行環(huán)境中運行，可以使可信中間件在敏感數(shù)據(jù)操作的執(zhí)行過程中調用的敏感數(shù)據(jù)在一個可信環(huán)境中被存儲、處理，從而受到保護而避免被惡意獲取。
[0061]需要說明的是，在現(xiàn)有技術中，對于涉及敏感數(shù)據(jù)的應用程序來說，存在性能和安全的矛盾:一方面，用于存儲敏感數(shù)據(jù)的安全元件能夠提供安全機制保障的片上操作系統(tǒng)(Chip Operating System,簡稱COS),能夠提供安全的運行環(huán)境,但其性能較低、操作系統(tǒng)功能也比較簡單，因此，敏感數(shù)據(jù)操作無法完全在安全元件中執(zhí)行；另一方面，用于對敏感數(shù)據(jù)操作的中間件依靠著強大的中央處理器、存儲器等硬件器件和開放操作系統(tǒng)等資源能夠提供強大的性能和豐富的功能，也因此敏感數(shù)據(jù)操作主要是由中間件來執(zhí)行，但現(xiàn)有的中間件又運行在開放操作系統(tǒng)下，這就使得敏感數(shù)據(jù)的安全難以保證。而本實施例中，由于在設備上同時提供了開放操作系統(tǒng)和可信操作系統(tǒng)，敏感數(shù)據(jù)操作可以在可信執(zhí)行環(huán)境中由可信中間件來執(zhí)行，一方面使得敏感數(shù)據(jù)操作可以由性能強大和功能豐富的中間件來執(zhí)行，另一方面可以使得敏感數(shù)據(jù)在敏感數(shù)據(jù)操作的執(zhí)行過程中可以在一個可信環(huán)境中被存儲、處理，以保證安全性。
[0062]在本實施例的一些實施方式中，為了保障應用程序觸發(fā)操作流程具有完整性及連貫性的用戶體驗，可以在開放操作系統(tǒng)下的通用中間件中設置一個敏感數(shù)據(jù)操作代理接口，當應用程序觸發(fā)敏感數(shù)據(jù)操作時，通用中間件運行到該敏感數(shù)據(jù)操作代理接口，該敏感數(shù)據(jù)操作代理接口則觸發(fā)將應用程序切換到可信操作系統(tǒng)下以及調用可信中間件來執(zhí)行該敏感數(shù)據(jù)操作，其中操作系統(tǒng)的切換可以是通過一個安全監(jiān)視器來實現(xiàn)，這樣就可以使得敏感數(shù)據(jù)操作可以在開放操作系統(tǒng)下的通用中間件觸發(fā)，保持了通用中間件處理流程的完整性和連貫性。具體地，例如可以使開放操作系統(tǒng)下的所述通用中間件中具有敏感數(shù)據(jù)操作代理接口，所述敏感數(shù)據(jù)操作代理接口可以用于響應所述應用程序在所述開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作；相應地，對應用程序觸發(fā)的敏感數(shù)據(jù)操作監(jiān)測和操作系統(tǒng)的切換，例如可以包括:在所述應用程序在所述開放操作系統(tǒng)下的運行過程中，監(jiān)測所述通用中間件的運行；響應于監(jiān)測到所述通用中間件運行所述敏感數(shù)據(jù)操作代理接口，調用安全監(jiān)視器，并控制所述安全監(jiān)視器將所述應用程序的運行環(huán)境從所述開放操作系統(tǒng)切換到可信操作系統(tǒng)。
[0063]S203、在所述敏感數(shù)據(jù)操作的執(zhí)行過程中，控制所述可信中間件從安全元件中讀取敏感數(shù)據(jù)使用，和/或，控制所述可信中間件寫入敏感數(shù)據(jù)到所述安全元件中。
[0064]其中，敏感數(shù)據(jù)操作的執(zhí)行過程中需要使用到敏感數(shù)據(jù),例如加密、解密、簽名、驗簽等敏感數(shù)據(jù)操作需要使用密鑰。而敏感數(shù)據(jù)是存儲在安全元件中的。因此，在敏感數(shù)據(jù)操作的執(zhí)行過程中，可信中間件需要到安全元件中去讀取敏感數(shù)據(jù)使用，或者，可信中間件需要將敏感數(shù)據(jù)寫入到安全元件中，以便安全元件存儲或操作。
[0065]可以理解的是，在本實施例的一些實施方式中，考慮到可信中間件對安全元件讀寫敏感數(shù)據(jù)時實際上是兩個操作系統(tǒng)之間進行敏感數(shù)據(jù)的交互，而敏感數(shù)據(jù)在兩個系統(tǒng)之間進行傳輸?shù)倪^程中也可能會遭受到惡意攻擊。為了避免可信中間件對安全元件讀寫敏感數(shù)據(jù)時敏感數(shù)據(jù)受到惡意攻擊，可以使可信中間件與安全元件之間通過安全通道傳輸敏感數(shù)據(jù)。具體地，本實施例中，在所述調用可信操作系統(tǒng)下的可信中間件之后，例如還可以包括:控制所述可信中間件與所述安全元件之間建立安全通道，以便所述可信中間件與所述安全元件之間通過所述安全通道進行敏感數(shù)據(jù)的交互。其中，安全通道的建立，可以是通過可信中間件與安全元件之間進行密鑰協(xié)商的方式來實現(xiàn)。
[0066]在本實施例的另一些實施方式中，考慮到敏感數(shù)據(jù)操作的執(zhí)行過程中會有大量的輸出信息，這些輸出信息具有一定的安全性要求，但安全元件中所提供的安全存儲區(qū)成本高、容量小且不靈活，因此，敏感數(shù)據(jù)操作的大量輸出信息不宜存儲在安全元件所提供的安全存儲區(qū)內。而由于敏感數(shù)據(jù)操作的執(zhí)行過程是在可信操作系統(tǒng)下完成的，輸出信息在可信操作系統(tǒng)下是安全，因此，輸出信息可以先在可信操作系統(tǒng)下加密再保存到普通方式的開放存儲器中，這樣也可以保證輸出信息的安全。具體地，本實施例例如還可以包括:在所述敏感數(shù)據(jù)操作的執(zhí)行過程中，控制所述可信中間件對輸出信息進行加密，并將加密后的輸出信息存放在開放存儲器中；其中，所述開放存儲器用于存儲所述開放操作系統(tǒng)下和所述可信操作系統(tǒng)下產生的信息。
[0067]需要說明的是，本實施例的一些實施方式中，同一設備上提供的開放操作和可信操作系統(tǒng)，具體可以是同時配置于可信執(zhí)行環(huán)境TEE芯片中，而安全元件具體是可以是SE芯片。其中，SE芯片可以是與TEE芯片同時配置在同一設備中，如SE芯片和TEE芯片同時內置于手機、平板電腦等移動設備，或者，SE芯片也可以是相對于TEE芯片所在設備的一個外置設備，如內置SE芯片的網銀盾可以連接到內置TEE芯片的手機、平板電腦等移動設備。
[0068]具體地說，參見圖3，在TEE芯片的硬件子系統(tǒng)中間件層中，具有由TEE授權軟件提供的可信操作系統(tǒng)和可信中間件，以及，還具有開放操作系統(tǒng)和通用中間件。在通用中間件中可以具有一個由安全監(jiān)視器監(jiān)測的敏感數(shù)據(jù)操作代理接口。當安全監(jiān)視器監(jiān)測到通用中間件運行到敏感數(shù)據(jù)操作代理接口時則將運行環(huán)境從開放操作系統(tǒng)切換到可信操作系統(tǒng)，調用可信中間件完成敏感數(shù)據(jù)操作?？尚胖虚g件可以具有一個敏感數(shù)據(jù)存儲接口 API，用于可信中間件與SE芯片的片上操作系統(tǒng)(COS層)之間進行數(shù)據(jù)交互，完成對SE芯片讀寫敏感數(shù)據(jù)。
[0069]通過本實施例的技術方案，在從SE中取出敏感數(shù)據(jù)之后中間件對敏感數(shù)據(jù)進行操作的過程中，可以使得敏感數(shù)據(jù)處于可信平臺下，從而避免惡意用戶通過開放平臺下的攻擊破解方式去獲得敏感數(shù)據(jù)，保證敏感數(shù)據(jù)在中間件操作階段的安全。另外，在從SE中取出敏感數(shù)據(jù)之后中間件對敏感數(shù)據(jù)進行操作的過程中，由于敏感數(shù)據(jù)實際上是存儲在安全區(qū)域中，因此可以使敏感數(shù)據(jù)在安全區(qū)域中以明文形式存儲而無需再加密存儲，從而使得可信中間件對敏感數(shù)據(jù)的訪問速度更快，提高敏感數(shù)據(jù)操作的處理速度。
[0070]為了使本領域技術人員對本發(fā)明實施方式的應用有更加深入的了解，下面以一個應用場景為例，介紹一種敏感數(shù)據(jù)操作的方法實施方式的應用示例。在該應用場景下，涉及到敏感數(shù)據(jù)的應用程序為網銀客戶端，敏感數(shù)據(jù)操作具體為密鑰數(shù)據(jù)操作。
[0071]參見圖4，示出了本發(fā)明中敏感數(shù)據(jù)操作的方法實施例2的流程圖。在本實施例中，例如可以包括如下步驟:
[0072]S401、在開放操作系統(tǒng)下啟動網銀客戶端。
[0073]S402、為網銀客戶端調用通用中間件運行。
[0074]S403、當網銀客戶端觸發(fā)密鑰數(shù)據(jù)操作時，通用中間件運行到密鑰操作代理接口，以通過密鑰操作代理接口調用密鑰操作。
[0075]其中，密鑰數(shù)據(jù)操作主要可以包括密碼加密操作、密碼解密操作、簽名操作、驗簽操作等。
[0076]S404、通過安全監(jiān)視器將網銀客戶端的運行環(huán)境切換到可信操作系統(tǒng)，以便建立與可信操作系統(tǒng)下的可信中間件之間的通訊。
[0077]S405、調用可信中間件中的密鑰數(shù)據(jù)操作。
[0078]S406、在可信中間件執(zhí)行密鑰數(shù)據(jù)操作的過程中，控制可信中間件與SE之間進行密鑰協(xié)商，以建立安全通道。
[0079]S407、控制可信中間件從SE讀取密鑰數(shù)據(jù)或寫入密鑰數(shù)據(jù)到SE。
[0080]S408、實際操作SE硬件存儲器。
[0081]通過本實施例的技術方案，在從SE中取出密鑰數(shù)據(jù)之后網銀中間件對密鑰數(shù)據(jù)進行操作的過程中，可以使得密鑰數(shù)據(jù)處于可信平臺下，從而避免惡意用戶通過開放平臺下的攻擊破解方式去獲得用戶網銀的密鑰數(shù)據(jù)，保證密鑰數(shù)據(jù)在中間件操作階段的安全。另外，在從SE中取出密鑰數(shù)據(jù)之后中間件對密鑰數(shù)據(jù)進行操作的過程中，由于密鑰數(shù)據(jù)實際上是存儲在安全的緩沖區(qū)中，因此可以使密鑰數(shù)據(jù)在安全緩沖區(qū)中以明文形式存儲而無需再加密存儲，從而使得可信中間件對密鑰數(shù)據(jù)的訪問速度更快，提高密鑰數(shù)據(jù)操作的處理速度。
[0082]在介紹了本發(fā)明中示例性的方法之后，接下來對本發(fā)明示例性實施方式的、用于敏感數(shù)據(jù)操作的設備進行介紹。
[0083]參見圖5，示出了本發(fā)明中敏感數(shù)據(jù)操作的設備實施例1的結構圖。在本實施例中，所述設備例如具體可以包括:
[0084]第一調用模塊501，用于響應于應用程序在開放操作系統(tǒng)下運行，調用所述開放操作系統(tǒng)下的通用中間件；
[0085]第一控制模塊502，用于控制所述通用中間件執(zhí)行所述應用程序觸發(fā)的操作；
[0086]切換模塊503，用于響應于所述應用程序在所述開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作，將所述應用程序從所述開放操作系統(tǒng)切換到可信操作系統(tǒng)下運行；
[0087]第二調用模塊504，用于調用可信操作系統(tǒng)下的可信中間件；
[0088]第二控制模塊505，用于控制所述可信中間件執(zhí)行所述敏感數(shù)據(jù)操作；
[0089]讀寫模塊506，用于在所述敏感數(shù)據(jù)操作的執(zhí)行過程中，控制所述可信中間件從安全元件中讀取敏感數(shù)據(jù)使用，和/或，控制所述可信中間件寫入敏感數(shù)據(jù)到所述安全元件中。
[0090]可選的，在本實施例的一些實施方式中，所述通用中間件中例如可以具有敏感數(shù)據(jù)操作代理接口，所述敏感數(shù)據(jù)操作代理接口例如可以用于響應所述應用程序在所述開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作；相應地，參見圖6，所述切換模塊503例如具體可以包括:
[0091]監(jiān)測子模塊601，用于在所述應用程序在所述開放操作系統(tǒng)下的運行過程中，監(jiān)測所述通用中間件的運行；
[0092]調用子模塊602，用于響應于監(jiān)測到所述通用中間件運行到所述敏感數(shù)據(jù)操作代理接口，調用安全監(jiān)視器；
[0093]控制子模塊603，用于控制所述安全監(jiān)視器將所述應用程序的運行環(huán)境從所述開放操作系統(tǒng)切換到可信操作系統(tǒng)。
[0094]可選的，在本實施例的另一些實施方式中，所述開放操作系統(tǒng)和所述可信操作系統(tǒng)例如可以配置于可信執(zhí)行環(huán)境TEE芯片中，所述安全元件例如可以為SE芯片。
[0095]參見圖7，示出了本發(fā)明中敏感數(shù)據(jù)操作的設備實施例2的結構圖。在本實施例中，除了圖5所示的所有結構之外，所述設備例如還可以包括:
[0096]第三控制模塊701，用于調用可信操作系統(tǒng)下的可信中間件之后，響應于控制所述可信中間件與所述安全元件之間建立安全通道，以便所述可信中間件與所述安全元件之間通過所述安全通道進行敏感數(shù)據(jù)的交互
[0097]參見圖8，示出了本發(fā)明中敏感數(shù)據(jù)操作的設備實施例3的結構圖。在本實施例中，除了圖5所示的所有結構之外，所述設備例如還可以包括:
[0098]第四控制模塊801，用于在所述敏感數(shù)據(jù)操作的執(zhí)行過程中，控制所述可信中間件對輸出信息進行加密；
[0099]存放模塊802，用于將加密后的輸出信息存放在開放存儲器中；其中，所述開放存儲器用于存儲所述開放操作系統(tǒng)下和所述可信操作系統(tǒng)下產生的信息。
[0100]通過本實施例的技術方案，在從SE中取出敏感數(shù)據(jù)之后中間件對敏感數(shù)據(jù)進行操作的過程中，可以使得敏感數(shù)據(jù)處于可信平臺下，從而避免惡意用戶通過開放平臺下的攻擊破解方式去獲得敏感數(shù)據(jù)，保證敏感數(shù)據(jù)在中間件操作階段的安全。另外，在從SE中取出敏感數(shù)據(jù)之后中間件對敏感數(shù)據(jù)進行操作的過程中，由于敏感數(shù)據(jù)實際上是存儲在安全的緩沖區(qū)中，因此可以使敏感數(shù)據(jù)在安全緩沖區(qū)中以明文形式存儲而無需再加密存儲，從而使得可信中間件對敏感數(shù)據(jù)的訪問速度更快，提高敏感數(shù)據(jù)操作的處理速度。
[0101]需要說明的是，在本文中，諸如第一和第二等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序。術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個......”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。
[0102]對于設備實施例而言，由于其基本對應于方法實施例，所以相關之處參見方法實施例的部分說明即可。以上所描述的設備實施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網絡單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本實施例方案的目的。本領域普通技術人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實施。
[0103]以上所述僅是本申請的【具體實施方式】，應當指出，對于本【技術領域】的普通技術人員來說，在不脫離本申請原理的前提下，還可以做出若干改進和潤飾，這些改進和潤飾也應視為本申請的保護范圍。
【權利要求】
1.一種敏感數(shù)據(jù)操作的方法，其特征在于，包括: 響應于應用程序在開放操作系統(tǒng)下運行，調用所述開放操作系統(tǒng)下的通用中間件，并控制所述通用中間件執(zhí)行所述應用程序觸發(fā)的操作；響應于所述應用程序在所述開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作，將所述應用程序從所述開放操作系統(tǒng)切換到可信操作系統(tǒng)下運行，并調用可信操作系統(tǒng)下的可信中間件，控制所述可信中間件執(zhí)行所述敏感數(shù)據(jù)操作；在所述敏感數(shù)據(jù)操作的執(zhí)行過程中，控制所述可信中間件從安全元件中讀取敏感數(shù)據(jù)，和/或，控制所述可信中間件寫入敏感數(shù)據(jù)到所述安全元件中。
2.根據(jù)所述權利要求1所述的方法，其特征在于，所述通用中間件中具有敏感數(shù)據(jù)操作代理接口，所述敏感數(shù)據(jù)操作代理接口用于響應所述應用程序，在所述開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作；所述響應于所述應用程序在所述開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作，將所述應用程序從所述開放操作系統(tǒng)切換到可信操作系統(tǒng)下運行，包括: 在所述應用程序在所述開放操作系統(tǒng)下的運行過程中，監(jiān)測所述通用中間件的運行；響應于所述通用中間件運行所述敏感數(shù)據(jù)操作代理接口，調用安全監(jiān)視器，并控制所述安全監(jiān)視器將所述應用程序的運行環(huán)境從所述開放操作系統(tǒng)切換到可信操作系統(tǒng)。
3.根據(jù)權利要求1所述的方法，其特征在于，所述調用可信操作系統(tǒng)下的可信中間件之后，還包括: 控制所述可信中間件與所述安全元件之間建立安全通道，以便所述可信中間件與所述安全元件之間通過所述安全通道進行敏感數(shù)據(jù)的交互。
4.根據(jù)權利要求1所述的方法，其特征在于，還包括: 在所述敏感數(shù)據(jù)操作的執(zhí)行過程中，控制所述可信中間件對輸出信息進行加密，并將加密后的輸出信息存放在開放存儲器中；其中，所述開放存儲器用于存儲所述開放操作系統(tǒng)下和所述可信操作系統(tǒng)下產生的信息。
5.根據(jù)權利要求1所述的方法，其特征在于，所述開放操作系統(tǒng)和所述可信操作系統(tǒng)配置于可信執(zhí)行環(huán)境TEE芯片中，所述安全元件為SE芯片。
6.一種敏感數(shù)據(jù)操作的設備，其特征在于，包括: 第一調用模塊，用于響應于應用程序在開放操作系統(tǒng)下運行，調用所述開放操作系統(tǒng)下的通用中間件；第一控制模塊，用于控制所述通用中間件執(zhí)行所述應用程序觸發(fā)的操作；切換模塊，用于響應于所述應用程序在所述開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作，將所述應用程序從所述開放操作系統(tǒng)切換到可信操作系統(tǒng)下運行；第二調用模塊，用于調用可信操作系統(tǒng)下的可信中間件；第二控制模塊，用于控制所述可信中間件執(zhí)行所述敏感數(shù)據(jù)操作；讀寫模塊，用于在所述敏感數(shù)據(jù)操作的執(zhí)行過程中，控制所述可信中間件從安全元件中讀取敏感數(shù)據(jù)使用，和/或，控制所述可信中間件寫入敏感數(shù)據(jù)到所述安全元件中。
7.根據(jù)所述權利要求6所述的設備，其特征在于，所述通用中間件中具有敏感數(shù)據(jù)操作代理接口，所述敏感數(shù)據(jù)操作代理接口用于響應所述應用程序在所述開放操作系統(tǒng)下觸發(fā)敏感數(shù)據(jù)操作；所述切換模塊包括: 監(jiān)測子模塊，用于在所述應用程序在所述開放操作系統(tǒng)下的運行過程中，監(jiān)測所述通用中間件的運行；調用子模塊，用于響應于所述通用中間件運行所述敏感數(shù)據(jù)操作代理接口，調用安全監(jiān)視器；控制子模塊，用于控制所述安全監(jiān)視器將所述應用程序的運行環(huán)境從所述開放操作系統(tǒng)切換到可信操作系統(tǒng)。
8.根據(jù)權利要求6所述的設備，其特征在于，還包括: 第三控制模塊，用于調用可信操作系統(tǒng)下的可信中間件之后，響應于控制所述可信中間件與所述安全元件之間建立安全通道，以便所述可信中間件與所述安全元件之間通過所述安全通道進行敏感數(shù)據(jù)的交互。
9.根據(jù)權利要求6所述的設備，其特征在于，還包括: 第四控制模塊，用于在所述敏感數(shù)據(jù)操作的執(zhí)行過程中，控制所述可信中間件對輸出信息進行加密；存放模塊，用于將加密后的輸出信息存放在開放存儲器中；其中，所述開放存儲器用于存儲所述開放操作系統(tǒng)下和所述可信操作系統(tǒng)下產生的信息。
10.根據(jù)權利要求6所述的設備，其特征在于，所述開放操作系統(tǒng)和所述可信操作系統(tǒng)配置于可信執(zhí)行環(huán)境TEE芯片中，所述安全元件為SE芯片。
【文檔編號】G06F21/57GK104077533SQ201410342484
【公開日】2014年10月1日申請日期:2014年7月17日優(yōu)先權日:2014年7月17日
【發(fā)明者】江先申請人:北京握奇智能科技有限公司

完整全部詳細技術資料下載