一种数据安全传输装置及方法制造方法及图纸

本发明专利技术实施例公开了一种数据安全传输装置及方法，涉及系统安全技术领域，用以提高该装置的安全性。该数据安全传输装置包括：专用通信信号处理器，用于向应用处理器发送第一安全中断；应用处理器，用于运行富执行环境REE软件，以及在第一安全中断的触发下运行可信执行环境TEE软件，TEE软件包括运行在TEE中的可信应用TA，且在TA的驱动下根据第一安全中断在专用通信信号处理器与应用处理器的共享内存中获取第一信息；专用通信信号处理器，还用于接收应用处理器发送的第二安全中断，并根据第二安全中断在共享内存中获取第二信息；应用处理器，还用于在TA的驱动下向专用通信信号处理器发送第二安全中断。

【技术实现步骤摘要】
一种数据安全传输装置及方法
本专利技术涉及系统安全
，尤其涉及一种数据安全传输装置及方法。
技术介绍
随着移动网络和移动终端的高速发展，应用软件涉及的领域扩大到各行各业中，应用软件的种类也越来越多，而诸如与电子支付业务相关的金融应用软件、内容版权保护应用软件以及云计算下瘦终端的安全应用软件等软件由于关乎着用户的切身利益，安全性要求较高。然而，移动终端(也叫终端设备)的操作系统在设计时的出发点主要是为了满足某些功能性的要求，而不是为了满足高度的安全性，同时由于操作系统较开放、较庞大、且较复杂而很难杜绝相应的系统漏洞，致使一些利用系统漏洞的恶意程序对应用软件进行攻击或截取应用软件的信息，使得应用软件的安全性降低。目前，虽然可以通过防火墙、杀毒软件等对应用软件进行保护，但由于频繁的系统更新以及恶意程序的层出不穷，导致无法完全对应用软件进行保护。基于该问题，一种解决方案为：采用例如Trustzone技术、多中央处理器(CentralProcessingUnit，简称CPU)技术等，将一个移动终端的执行环境划分为两种相互独立的执行环境：富执行环境(RichExecutionEnvironment，简称REE)和可信执行环境(TrustedExecutionEnvironment，简称TEE)，REE运行目前常用的移动操作系统(例如，Android)，TEE运行一个功能简单、代码量小、封闭并且可人为审核控制的安全操作系统，安全性要求不高的客户端应用(ClientApplication，简称CA)运行在REE中，安全性要求较高的安全应用(TrustedApplication，简称TA)运行在TEE中，并为部署在移动操作系统中的CA提供安全服务，例如，用户在使用移动终端中的CA过程中，若遇到电子支付等敏感操作，CA会向TA发送请求，TA接收到请求之后执行与支付相关的验证操作(例如，验证密码是否正确)，并将验证成功后的结果向CA返回，CA继续执行后续步骤，从而防止数据(例如，上述密码)泄露。TEE技术可以保证存储在TEE中的数据的安全性和TA的安全性，TA实际上可以实现与CA一样的功能，用户在实际操作过程中，TA和CA之间并无太大差别，并且TA在安全性上高于CA，但是，由于TEE软件和REE软件均运行在应用处理器(ApplicationProcessor，简称AP)上，目前TA的功能还是仅仅局限在对CA提供安全服务，而对于移动终端来说，通信功能尤为重要，用户的大部分数据都需要通过通信调制解调器(Modem)、屏幕以及键盘等外设与AP进行交互，虽然通信调制解调器具备独立的运行环境和封闭的软件代码，屏幕以及键盘也可以设置成安全模式，但AP与通信调制解调器之间的数据传输通道也是开放的、非安全的，因此，恶意程序仍然可以在AP与通信调制解调器之间传输数据时截获相关数据，造成用户数据泄露，降低移动终端的安全性。
技术实现思路
本专利技术的实施例提供一种数据安全传输装置及方法，用以提高该装置的安全性。为达到上述目的，本专利技术的实施例采用如下技术方案：第一方面，提供一种数据安全传输装置，包括：专用通信信号处理器和应用处理器；所述专用通信信号处理器，用于向所述应用处理器发送第一安全中断；所述应用处理器，用于运行REE软件，所述REE软件包括运行在所述REE中的CA，以及在所述第一安全中断的触发下运行TEE软件，所述TEE软件包括运行在所述TEE中的TA，且在所述TA的驱动下根据所述第一安全中断在所述专用通信信号处理器与所述应用处理器的共享内存中获取所述专用通信信号处理器需要传递给所述应用处理器的第一信息，所述TEE软件的安全性高于所述REE软件；所述专用通信信号处理器，还用于接收所述应用处理器发送的第二安全中断，并根据所述第二安全中断在所述共享内存中获取所述应用处理器需要传递给所述专用通信信号处理器的第二信息；所述应用处理器，还用于在所述TA的驱动下向所述专用通信信号处理器发送所述第二安全中断。可选的，所述装置还包括：所述共享内存。可选的，所述应用处理器还用于根据包括所述共享内存中被所述专用通信信号处理器和所述应用处理器使用的地址的值的TEE启动参数启动所述TEE。可选的，所述装置还包括：只读存储器ROM；所述ROM，用于存储所述数据安全传输装置的启动程序；所述应用处理器，还用于在所述启动程序加载过程中配置所述TEE启动参数。由于ROM中的程序不可以被改写，因此，该可选的方法，能够防止共享内存中被专用通信信号处理器和应用处理器使用的地址的值被泄露。可选的，所述第二信息是针对所述专用通信信号处理器的参数的配置信息，所述应用处理器在所述TA的驱动下向所述专用通信信号处理器传递的所述配置信息优先级高于所述应用处理器在所述CA的驱动下向所述专用通信信号处理器传递的配置信息的优先级。可选的，所述第一信息为指示信息、反馈信息或第一数据信息；当所述第一信息为指示信息时，所述第一信息用于指示所述应用处理器根据所述指示信息中的内容执行与所述指示信息相应的动作；当所述第一信息为反馈信息时，所述第一信息用于向所述应用处理器反馈所述专用通信信号处理器对所述第二信息的处理结果；当所述第一信息为第一数据信息时，所述应用处理器能够根据所述第一数据信息的类型对所述第一数据信息进行处理。可选的，所述第一数据信息为短信数据或语音数据。可选的，所述第二信息为指示信息、反馈信息或第二数据信息；当所述第二信息为指示信息时，所述第二信息用于指示所述专用通信信号处理器根据所述指示信息中的内容执行与所述指示信息相应的动作；当所述第二信息为反馈信息时，所述第二信息用于向所述专用通信信号处理器反馈所述应用处理器对所述第一信息的处理结果；当所述第二信息为第二数据信息时，所述专用通信信号处理器能够根据所述第二数据信息的类型对所述第二数据信息进行处理。可选的，所述第二数据信息为锁网或锁卡配置信息、数据连接配置信息或电话号码信息。可选地，所述装置是一个便携式电子设备或移动终端或芯片或芯片组。第二方面，提供一种数据安全传输方法，包括：专用通信信号处理器将需要传递给应用处理器的第一信息存储在所述专用通信信号处理器与所述应用处理器的共享内存中；所述专用通信信号处理器向所述应用处理器发送第一安全中断；在所述第一安全中断的触发下运行所述应用处理器中的TEE，所述TEE包括运行在所述TEE中的TA，所述应用处理器还运行REE软件，所述REE软件包括运行在所述REE中的CA，所述TEE软件的安全性高于所述REE软件；所述应用处理器在所述TA的驱动下根据所述第一安全中断在所述共享内存中获取所述第一信息；所述应用处理器在所述TA的驱动下将需要传递给所述专用通信信号处理器的第二信息存储在所述共享内存中并向所述专用通信信号处理器发送第二安全中断；所述专用通信信号处理器根据接收到的所述应用处理器发送的所述第二安全中断在所述共享内存中获取所述第二信息。可选的，所述应用处理器和所述专用通信信号处理器均属于数据安全传输装置，所述数据安全传输装置的只读存储器ROM中包括所述数据安全传输装置的启动程序，所述方法还包括：所述应用处理器在所述启动程序加载过程中配置包括所述共享内存中被所述专用通信信号处理器和所述应用处理器使用的本文档来自技高网...

【技术保护点】
一种数据安全传输装置，其特征在于，包括：专用通信信号处理器和应用处理器；所述专用通信信号处理器，用于向所述应用处理器发送第一安全中断；所述应用处理器，用于运行富执行环境REE软件，所述REE软件包括运行在所述REE中的客户端应用CA，以及在所述第一安全中断的触发下运行可信执行环境TEE软件，所述TEE软件包括运行在所述TEE中的可信应用TA，且在所述TA的驱动下根据所述第一安全中断在所述专用通信信号处理器与所述应用处理器的共享内存中获取第一信息，所述第一信息为所述专用通信信号处理器需要传递给所述应用处理器的信息，所述TEE软件的安全性高于所述REE软件；所述专用通信信号处理器，还用于接收所述应用处理器发送的第二安全中断，并根据所述第二安全中断在所述共享内存中获取第二信息，所述第二信息为所述应用处理器需要传递给所述专用通信信号处理器的信息；所述应用处理器，还用于在所述TA的驱动下向所述专用通信信号处理器发送所述第二安全中断。

【技术特征摘要】
1.一种数据安全传输装置，其特征在于，包括：专用通信信号处理器和应用处理器；所述专用通信信号处理器，用于向所述应用处理器发送第一安全中断；所述应用处理器，用于运行富执行环境REE软件，所述REE软件包括运行在所述REE中的客户端应用CA，以及在所述第一安全中断的触发下运行可信执行环境TEE软件，所述TEE软件包括运行在所述TEE中的可信应用TA，且在所述TA的驱动下根据所述第一安全中断在所述专用通信信号处理器与所述应用处理器的共享内存中获取第一信息，所述第一信息为所述专用通信信号处理器需要传递给所述应用处理器的信息，所述TEE软件的安全性高于所述REE软件；所述专用通信信号处理器，还用于接收所述应用处理器发送的第二安全中断，并根据所述第二安全中断在所述共享内存中获取第二信息，所述第二信息为所述应用处理器需要传递给所述专用通信信号处理器的信息；所述应用处理器，还用于在所述TA的驱动下向所述专用通信信号处理器发送所述第二安全中断。2.根据权利要求1所述的数据安全传输装置，其特征在于，还包括：所述共享内存。3.根据权利要求1所述的数据安全传输装置，其特征在于，所述应用处理器还用于根据TEE启动参数启动所述TEE，所述TEE启动参数包括所述共享内存中被所述专用通信信号处理器和所述应用处理器使用的地址的值。4.根据权利要求3所述的数据安全传输装置，其特征在于，还包括：只读存储器ROM；所述ROM，用于存储所述数据安全传输装置的启动程序；所述应用处理器，还用于在所述启动程序加载过程中配置所述TEE启动参数。5.根据权利要求1-4任一项所述的数据安全传输装置，其特征在于，所述第二信息是针对所述专用通信信号处理器的参数的配置信息，所述应用处理器在所述TA的驱动下向所述专用通信信号处理器传递的所述配置信息优先级高于所述应用处理器在所述CA的驱动下向所述专用通信信号处理器传递的配置信息的优先级。6.根据权利要求5所述的数据安全传输装置，其特征在于，所述专用通信信号处理器的参数包括网络协议IP类型，接入点名称APN，用户名，密码，鉴权类型和服务质量QOS中的至少一项。7.根据权利要求1-4、6任一项所述的数据安全传输装置，其特征在于，所述专用通信信号处理器为通信调制解调器Modem、蓝牙处理器、无线保真WiFi处理器或语音处理器。8.根据权利要求1-4、6任一项所述的数据安全传输装置，其特征在于，所述第一信息为指示信息、反馈信息或第一数据信息；当所述第一信息为指示信息时，所述第一信息用于指示所述应用处理器根据所述指示信息中的内容执行与所述指示信息相应的动作；当所述第一信息为反馈信息时，所述第一信息用于向所述应用处理器反馈所述专用通信信号处理器对所述第二信息的处理结果；当所述第一信息为第一数据信息时，所述应用处理器能够根据所述第一数据信息的类型对所述第一数据信息进行处理。9.根据权利要求8所述的数据安全传输装置，其特征在于，所述第一数据信息为短信数据或语音数据。10.根据权利要求1-4、6任一项所述的数据安全传输装置，其特征在于，所述第二信息为指示信息、反馈信息或第二数据信息；当所述第二信息为指示信息时，所述第二信息用于指示所述专用通信信号处理器根据所述指示信息中的内容执行与所述指示信息相应的动作；当所述第二信息为反馈信息时，所述第二信息用于向所述专用通信信号处理器反馈所述应用处理器对所述第一信息的处理结果；当所述第二信息为第二数据信息时，所述专用通信信号处理器能够根据所述第二数据信息的类型对所述第二数据信息进行处理。11.根据权利要求10所述的数据安全传输装置，其特征在于，所述第二数据信息...

【专利技术属性】
技术研发人员：祝锂，姚英亮，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44