终端设备的专用密码加密方法和装置与流程

1.本技术涉及信息安全技术领域，特别涉及一种终端设备的专用密码加密方法和装置。


背景技术：

2.目前，为了满足一些信息安全要求较高的客户需要，很多终端设备上采用了专用密码的加密方法，该加密方法是经过第三方权威机构认可的，以保证终端的信息安全强度。
3.为了保障加密方法的安全性，现有的专用密码的加密方法通常采用增加硬件模块的方式实现。具体为，将专用密码的加密方法预置于专用的密码硬件模块(如tf密码卡、simkey、贴膜卡等)中，密码硬件模块通过适配终端驱动，以及集成密码卡商提供的密码服务，向应用层提供专用密码的操作处理接口，终端设备应用层通过调用这些接口，实现相应的基于专用密码的加解密处理功能。在实际应用中，有些厂商会将上述密码硬件模块置于终端设备外，也有些厂商会将上述密码硬件模块内置于终端设备中。
4.发明人在实现本发明的过程中发现：上述现有的专用密码的加密方法存在硬件成本高、功耗大、降低终端的整体业务性能的问题。通过对上述现有方案的认真研究分析，发明人发现上述问题存在的主要原因如下：
5.1、上述现有方案依赖于密码硬件模块的实现，这样，由于增加了终端设备本的硬件，因此，会大幅增加硬件成本。业界的密码卡通常都在几百元，这相对于大多数手机终端而言，增加的成本比例是非常高的。
6.2、密码硬件模块的引入，需要终端设备为其供电，这样，就会大幅度增加终端的功耗，尤其是外置的密码硬件模块。由于使用密码硬件模块的终端设备通常用于行业客户的移动办公，这些客户对终端设备的可持续使用时间要求较高，而上述功耗的增加会导致终端的可持续使用时间的明显减少，从而无法满足上述较长持续使用时间的需要。
7.3、现有的密码硬件模块，无论是采用何种形式实现，其芯片计算能力普遍很低，运行内存也很小，这样，有限的运算能力将会导致密码硬件模块的处理效率低，从而往往成为整个业务的性能瓶颈，不能满足一些有高性能要求的业务，如视频业务等。


技术实现要素：

8.有鉴于此，本发明的主要目的在于提供一种终端设备的专用密码加密方法和装置，能够在利用专用密码保障安全强度的前提下，降低实现成本、减少功耗以及提高终端设备的整体性能。
9.一种终端设备的专用密码加密方法，包括：
10.当终端设备检测到应用层的密码操作指令时，将所述密码操作指令发送给安全执行环境tee客户端；
11.所述tee客户端将所述密码操作指令，发送给tee系统中用于处理密码操作指令的可信应用ta；
12.所述ta对所述密码操作指令进行解析，根据所述解析的结果，通过调用tee系统中专用密码算法库内的相应算法，执行所述密码操作指令，并通过所述tee客户端将所述执行的结果，反馈给所述应用层。
13.较佳地，将所述密码操作指令发送给安全执行环境tee客户端包括：
14.所述终端设备通过预设的专用密码的标准接口，将所述密码操作指令发送给安全执行环境tee客户端。
15.一种终端设备的专用密码加密装置，包括：
16.应用层模块，用于当检测到应用层的密码操作指令时，将所述密码操作指令发送给安全执行环境tee客户端；
17.tee客户端，用于将所述密码操作指令，发送给tee系统中用于处理密码操作指令的可信应用ta；
18.tee系统模块，用于由所述ta对所述密码操作指令进行解析，根据所述解析结果通过调用tee系统中专用密码算法库内的相应算法，执行所述密码操作指令，并通过所述tee客户端将所述执行的结果，反馈给所述应用层。
19.较佳地，所述应用层操作模块，用于通过预设的专用密码的标准接口，将所述密码操作指令发送给安全执行环境tee客户端。
20.本技术还公开了一种终端设备，其特征在于，包括处理器和存储器；
21.所述存储器中存储有可被所述处理器执行的应用程序，用于使得所述处理器执行如上所述的终端设备的专用密码加密方法。
22.本技术还公开了一种计算机可读存储介质，其特征在于，其中存储有计算机可读指令，该计算机可读指令用于执行如上所述的终端设备的专用密码加密方法。
23.由上述技术方案可见，本技术提出的终端设备的专用密码加密方法和装置，利用tee系统的安全性，将专用密码算法库置于tee系统中，并在tee系统中配置相应的用于处理密码操作指令的可信应用ta，使得终端操作系统中的应用能够通过tee客户端调用tee系统中的ta，来完成相应信息的专用密码加解密等操作。如此，可以充分利用tee系统提供的安全执行环境保障专用密码加解密等操作的安全性，增强了终端设备的安全性，同时还避免了额外增加密码硬件模块所产生的诸多问题，从而能够在利用专用密码保障安全强度的前提下，达到降低实现成本、减少功耗以及提高终端设备的整体性能的目的。
附图说明
24.图1为本发明实施例的方法流程示意图；
25.图2为本发明实施例的终端系统架构示意图；
26.图3为根据本发明的终端设备的专用密码加密装置的结构图。
27.图4为根据本发明的终端设备的结构图。
具体实施方式
28.为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及具体实施例对本发明作进一步地详细描述。
29.本技术中，将考虑利用终端设备中的安全执行环境，来保障专用密码加密的的安
全性。
30.安全执行环境(trusted executing enviroment，tee)，本质是一个安全操作系统(os)，它是一个精简的实时操作系统，其主要目的是在安卓(android)平台下创建一个可信执行环境，以保存用户的机密数据。
31.安全os基于arm的trustzone技术来实现。trustzone技术可以在硬件上保护安全内存、加密块、键盘和屏幕等外设，从而确保他们免遭软件攻击。trustzone技术是在arm处理器内核的一个扩展，这样单个处理器就能够以时间片的方式安全有效地在安全世界和非安全世界进行切换。基于这种特性，android运行在非安全世界，安全os运行在安全世界，在硬件上实现了两个系统的隔离，从而能够保证安全os执行环境的安全。
32.本发明实施例中，将利用tee系统的安全性，预先将专用密码操作指令执行算法(包括专用密码接口、专用密码服务、专用密码算法库等)置于tee系统中，并在tee系统中配置相应的用于处理密码操作指令的可信应用ta，这样，安卓系统中的应用能够通过tee客户端调用tee系统中的ta，从而使得密码操作指令的执行是在tee系统中独立完成的，如此，可以获得下面几点显著的技术效果：
33.1、可以充分利用tee系统保障专用密码使用的安全强度，确保能够满足专用密码相关权威机构的安全要求。
34.2、由于tee系统是终端设备本身具备的模块，并没有额外增加新硬件，因此，既不会增加成本，也不会额外增加功耗。
35.3、tee系统的运行本质上是终端处理器通过分时方式来运行，也就是说对于本技术的专用密码运算也是由终端的处理器来运行，这样，由于终端的处理器比业界密码模块的处理器的处理能力强大很多，因此也能提高了终端设备的整体性能，避免了由于密码硬件模块的处理能力的限制而导致终端设备整体的性能降低。
36.图1为本发明实施例的方法流程示意图，如图1所示，该实施例实现的终端设备的专用密码加密方法主要包括：
37.步骤101、当终端设备检测到应用层的密码操作指令时，将所述密码操作指令发送给安全执行环境(tee)客户端。
38.本步骤中，当终端设备检测到应用层的密码操作指令时，即当某个app向终端设备操作系统发出了操作指令，终端设备通过解析指令发现该指令属于密码操作指令时，操作系统会将该密码操作指令发送给tee客户端，由该tee客户端转给tee系统中的相应app，以便在tee系统内执行该密码操作指令。
39.较佳地，可以终端设备操作系统的应用和tee客户端之间设置一专用密码的标准接口，该标准接口用于为应用层提供一组标准的专用密码操作接口，同时将应用发出的密码指令转化为tee客户端和tee系统中的可信应用都可以识别的专用密码操作指令，这样，既可以增加专用密码操作的安全性，又屏蔽了专用密码的低层操作指令，提高了应用层对tee系统中专用密码加密算法的调用的便捷性。基于此，在一个实施方式中，本步骤101中可以采用下述将所述密码操作指令发送给安全执行环境tee客户端：
40.所述终端设备通过预设的专用密码的标准接口，将所述密码操作指令发送给安全执行环境tee客户端。
41.较佳地，上述标准接口可以预先根据发布专用密码的权威机构所要求的接口标准
进行定义。
42.步骤102、所述tee客户端将所述密码操作指令，发送给tee系统中用于处理密码操作指令的可信应用ta。
43.本步骤中，tee客户端收到密码操作指令后，会将其转给tee系统中用于处理密码操作指令的可信应用(ta)，以触发在tee系统中执行相应的处理操作。这里需要说明的是，为了实现在tee系统中调用相应的专用密码处理方法执行密码操作指令，需要在tee系统中配置可信应用，该ta运行在安全os里，因此，收到密码操作指令后，ta可以直接利用相应的专用密码接口调用tee系统中的专用密码算法。
44.步骤103、所述ta对所述密码操作指令进行解析，根据所述解析结果通过调用tee系统中专用密码算法库内的相应算法，执行所述密码操作指令，并通过所述tee客户端将所述执行的结果，反馈给所述应用层。
45.本步骤中，对所述密码操作指令进行解析，以及根据所述解析结果通过调用tee系统中专用密码算法库内的相应算法，执行所述密码操作指令的具体实现为本领域技术人员所掌握，在此不再赘述。
46.图2为根据本发明实施例的一种较佳实施的终端系统架构示意图。如图2所示，可信区域(trustzone)是终端硬件平台上物理隔离的一片区域，安全os运行在trustzone之上，它们构成tee系统。如前文所述，tee的安全性及tee和终端软硬件的物理隔离可以保证在它里面进行专用密码运算的安全强度。图2中的专用密码操作指令执行算法用于执行具体的密码操作，其中的专用密码内部接口以及专用密码服务模块是为了使得tee系统中的可信应用(ta)能够对专用密码算法库中的算法进行调用，这些接口和服务的具体实现方法为本领域技术人员所掌握，在此不再赘述。tee客户端(teeca)运行在android系统，它通过标准接口和ta通信，由于teeca和ta之间的通信需要经过各种验证，因此，可以确保只能由授权的应用才能利用这条通道去调用专用密码算法。teeca之上也要封装一层专用密码操作接口，这个接口是给安卓系统中的普通应用使用的，可以根据发布专用密码的权威机构所要求的接口标准进行定义。
47.图3为根据本发明实现的一种终端设备的专用密码加密装置结构图，如图3所示，该装置包括：
48.应用层模块301，用于当检测到应用层的密码操作指令时，将所述密码操作指令发送给安全执行环境tee客户端；
49.tee客户端302，用于将所述密码操作指令，发送给tee系统中用于处理密码操作指令的可信应用ta；
50.tee系统模块303，用于由所述ta对所述密码操作指令进行解析，根据所述解析结果通过调用tee系统中专用密码算法库内的相应算法，执行所述密码操作指令，并通过所述tee客户端将所述执行的结果，反馈给所述应用层。
51.在一个实施方式中，所述应用层操作模块301，用于通过预设的专用密码的标准接口，将所述密码操作指令发送给安全执行环境tee客户端。
52.图4为根据本发明的专网集群终端的结构图。
53.如图4所示，专网集群终端包括：处理器401和存储器402；其中存储器402中存储有可被处理器401执行的应用程序，用于使得处理器401执行如上任一项所述的终端设备的专
用密码加密方法。
54.其中，存储器402具体可以实施为电可擦可编程只读存储器(eeprom)、快闪存储器(flash memory)、可编程程序只读存储器(prom)等多种存储介质。处理器401可以实施为包括一或多个中央处理器或一或多个现场可编程门阵列，其中现场可编程门阵列集成一或多个中央处理器核。具体地，中央处理器或中央处理器核可以实施为cpu或mcu。
55.需要说明的是，上述各流程和各结构图中不是所有的步骤和模块都是必须的，可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的，可以根据需要进行调整。各模块的划分仅仅是为了便于描述采用的功能上的划分，实际实现时，一个模块可以分由多个模块实现，多个模块的功能也可以由同一个模块实现，这些模块可以位于同一个设备中，也可以位于不同的设备中。
56.各实施方式中的硬件模块可以以机械方式或电子方式实现。例如，一个硬件模块可以包括专门设计的永久性电路或逻辑器件(如专用处理器，如fpga或asic)用于完成特定的操作。硬件模块也可以包括由软件临时配置的可编程逻辑器件或电路(如包括通用处理器或其它可编程处理器)用于执行特定操作。至于具体采用机械方式，或是采用专用的永久性电路，或是采用临时配置的电路(如由软件进行配置)来实现硬件模块，可以根据成本和时间上的考虑来决定。
57.本发明还提供了一种机器可读的存储介质，存储用于使一机器执行如本技术所述方法的指令。具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施方式的功能的软件程序代码，且使该系统或者装置的计算机(或cpu或mpu)读出并执行存储在存储介质中的程序代码。此外，还可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作。还可以将从存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展单元上的cpu等来执行部分和全部实际操作，从而实现上述实施方式中任一实施方式的功能。
58.用于提供程序代码的存储介质实施方式包括软盘、硬盘、磁光盘、光盘(如cd-rom、cd-r、cd-rw、dvd-rom、dvd-ram、dvd-rw、dvd rw)、磁带、非易失性存储卡和rom。可选择地，可以由通信网络从服务器计算机或云上下载程序代码。
59.在本文中，“示意性”表示“充当实例、例子或说明”，不应将在本文中被描述为“示意性”的任何图示、实施方式解释为一种更优选的或更具优点的技术方案。为使图面简洁，各图中的只示意性地表示出了与本发明相关部分，而并不代表其作为产品的实际结构。另外，以使图面简洁便于理解，在有些图中具有相同结构或功能的部件，仅示意性地绘示了其中的一个，或仅标出了其中的一个。在本文中，“一个”并不表示将本发明相关部分的数量限制为“仅此一个”，并且“一个”不表示排除本发明相关部分的数量“多于一个”的情形。在本文中，“上”、“下”、“前”、“后”、“左”、“右”、“内”、“外”等仅用于表示相关部分之间的相对位置关系，而非限定这些相关部分的绝对位置。
60.以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。