本发明专利技术提供一种终端设备,涉及通信技术领域。该终端设备,包括:应用处理器、基带处理器,以及与所述应用处理器和所述基带处理器串联联接的安全处理器;其中,所述安全处理器用于:对所述应用处理器发送或所述基带处理器接收的数据进行预处理。本发明专利技术的方案,解决了现有的终端设备的加密通信处理存在的安全风险。
【技术实现步骤摘要】
一种终端设备
本专利技术涉及通信
,特别是指一种终端设备。
技术介绍
加密通信是通过密码技术解决数据通信安全问题的有效手段,可以有效防止信息在公众网络传输过程中被窃取或篡改。加密智能终端即采用加密通信技术的智能终端,是加密通信应用最普及的通信载体。当前主流的实现方式是通过调用式方式实现,即通过在智能终端操作系统内通过软件的方式实现数据的解析、过滤、封装,软件运行于终端处理器,需要进行加解密处理时,通过调用的方式访问密码模块实现。然而,密码模块虽然为独立硬件,但处理数据包的软件基于操作系统实现,且运行于终端应用处理器,一方面无法保证加密处理软件不被旁路,另一方面部分加密通信中间数据和处理逻辑暴露于终端应用处理器,具有较大的安全风险。
技术实现思路
本专利技术的目的是提供一种终端设备,解决了现有的终端设备的加密通信处理存在的安全风险。为达到上述目的,本专利技术的实施例提供一种终端设备,包括:应用处理器、基带处理器,以及与所述应用处理器和所述基带处理器串联联接的安全处理器;其中,所述安全处理器用于:对所述应用处理器发送或所述基带处理器接收的数据进行预处理。可选地,所述安全处理器包括:协议处理模组,用于与对端设备的协议协商;数据处理模组,用于根据所述协议处理模组协商成功的协议,对所述应用处理器发送或所述基带处理器接收的应用数据进行加解密处理。可选地,所述数据处理模组还用于:在获取到所述应用处理器发送或所述基带处理器接收的应用数据之后,对所述应用数据进行策略匹配检测以及加密通道状态查询;在所述应用数据符合已配置的策略,且加密通道已建立之后,对所述应用数据进行加解密处理。可选地,所述协议处理模组还用于:在所述数据处理模组查询到加密通道未建立的情况下,与对端设备进行密钥协商;所述数据处理模组还用于:在所述协议处理模组与所述对端设备之间的密钥协商次数大于预设阈值,且未协商成功的情况下,丢弃所述应用数据。可选地,所述协议处理模组还用于对所述数据处理模组的策略配置和密码密钥数据配置。可选地,所述安全处理器还包括:密码模组,用于在协商过程中,对发送或接收的协议数据进行加解密处理,以及协议实现的安全存储。可选地,所述数据处理模组采用现场可编程门阵列FPGA实现。可选地,所述协议处理模组采用微内核实现。可选地,所述数据处理模组还用于在所述应用数据不符合所述协议处理模组配置的策略的情况下,丢弃所述应用数据。可选地,所述数据处理模组还用于:对接收到的数据的解封装;或者,对发送数据的封装;或者,对所述基带处理器接收的协议数据进行过滤。可选地,所述预处理包括以下至少一项:数据过滤;策略匹配;加密;解密;封装;解封装。本专利技术的上述技术方案的有益效果如下:本专利技术实施例的终端设备,通过在应用处理器和基带处理器之间串联专用于对过路的数据进行预处理的安全处理器,确保基带处理器收到的所有数据包都必须经过安全处理器处理后才能进入应用处理器,同时应用处理器发送的所有数据包都必须经过安全处理器处理后才能通过基带处理器发送,使得加密通信处理不可被旁路,而非法数据无法进入应用处理器,保障了终端设备的安全性。附图说明图1为本专利技术实施例的终端设备的结构图;图2为本专利技术实施例中安全处理器的结构图;图3为本专利技术实施例的终端设备的应用示意图之一;图4为本专利技术实施例的终端设备的应用示意图之二。具体实施方式为使本专利技术要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本专利技术的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。在本专利技术的各种实施例中,应理解,下述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本专利技术实施例的实施过程构成任何限定。另外,本文中术语“系统”和“网络”在本文中常可互换使用。在本申请所提供的实施例中,应理解,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。如图1所示,本专利技术实施例的一种终端设备,包括:应用处理器110、基带处理器120,以及与所述应用处理器110和所述基带处理器120串联联接的安全处理器130;其中,所述安全处理器130用于:对所述应用处理器110发送或所述基带处理器130接收的数据进行预处理。这样,本专利技术实施例的终端设备,通过在应用处理器110和基带处理器120之间串联专用于对过路的数据进行预处理的安全处理器130,确保基带处理器120收到的所有数据包都必须经过安全处理器130处理后才能进入应用处理器110,同时应用处理器100发送的所有数据包都必须经过安全处理器130处理后才能通过基带处理器120发送,使得加密通信处理不可被旁路,而非法数据无法进入应用处理器110,保障了终端设备的安全性。应该知道的是,该实施例中,安全处理器独立实现全部的加密通信功能,因此,可选地,所述预处理包括以下至少一项:数据过滤;策略匹配;加密;解密;封装;解封装。这样,安全处理器对过路的数据进行过滤、策略匹配、加密、解密,封装、解封装等处理后,发送给应用处理器或基带处理器进行下一步处理,保障了明文数据无法发送,非法数据无法进入应用处理器。例如,安全处理器对于应用处理器发送的数据进行预处理的流程包括:策略匹配、数据过滤、封装及加密,这样,之后再经由基带处理器将预处理后的数据向外发送,应用处理器的明文数据就不会直接经基带处理器向外发送,避免了明文数据泄露的风险。安全处理器对于基带处理器接收的数据进行预处理的流程包括:策略匹配、数据过滤、解封装及解密,这样,基带处理器接收的数据若为非法数据,经安全处理器的处理是无法进入到应用处理器的。其中,策略匹配主要是基于网络数据的网际互连协议IP地址、端口号和协议号等信息进行,终端设备在进行系统部署时,可内置策略文件,安全处理器根据该策略文件对过路的网络数据包进行策略匹配。当然,该策略文件可支持用户手动配置,在使用期间还可通过管理中心经由安全通道进行更新。而且,对于应用处理器与基带处理器之间的行为AT命令等其它非网络数据交互,安全处理器不对其进行处理,明文通过。一般而言,终端设备的加密通信主要应用场景是实现对承载于分组数据通信信道上的数据业务的加密保护,例如移动办公、邮件、视频会议等数据本文档来自技高网...
【技术保护点】
1.一种终端设备,其特征在于,包括:/n应用处理器、基带处理器,以及与所述应用处理器和所述基带处理器串联联接的安全处理器;其中,所述安全处理器用于:/n对所述应用处理器发送或所述基带处理器接收的数据进行预处理。/n
【技术特征摘要】
1.一种终端设备,其特征在于,包括:
应用处理器、基带处理器,以及与所述应用处理器和所述基带处理器串联联接的安全处理器;其中,所述安全处理器用于:
对所述应用处理器发送或所述基带处理器接收的数据进行预处理。
2.根据权利要求1所述的终端设备,其特征在于,所述安全处理器包括:
协议处理模组,用于与对端设备的协议协商;
数据处理模组,用于根据所述协议处理模组协商成功的协议,对所述应用处理器发送或所述基带处理器接收的应用数据进行加解密处理。
3.根据权利要求2所述的终端设备,其特征在于,所述数据处理模组还用于:
在获取到所述应用处理器发送或所述基带处理器接收的应用数据之后,对所述应用数据进行策略匹配检测以及加密通道状态查询;
在所述应用数据符合已配置的策略,且加密通道已建立之后,对所述应用数据进行加解密处理。
4.根据权利要求3所述的终端设备,其特征在于,
所述协议处理模组还用于:在所述数据处理模组查询到加密通道未建立的情况下,与对端设备进行密钥协商;
所述数据处理模组还用于:在所述协议处理模组与所述对端设备之间的密钥协商次数大于预设阈值,且未协商成功的情况下,丢弃所述应用数据。
【专利技术属性】
技术研发人员:张杨,侯长江,王静,王钰,陆黎,
申请(专利权)人:中国移动通信有限公司研究院,中国移动通信集团有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。