本申请实施例提供一种信令的安全传输方法、装置和SE芯片,上述信令的安全传输方法中,SE芯片接收终端设备发送的由服务器提供的指令之后,根据SE芯片支持的认证级别,对上述初始化指令进行身份验证,在上述初始化指令通过身份验证之后,对上述初始化指令进行解密,获得对安全通道指令中包括的第一加密数据进行解密的相关解密参数,再利用上述解密参数对所述第一加密数据进行解密,获得明文数据。上述方法中,服务器在生成指令之后,无须与SE芯片进行交互,直接将指令打包发送给SE芯片,由SE芯片对接收到的指令进行身份验证和解密,既可以保证指令的真实性和机密性,又节约了服务器的计算资源。的计算资源。的计算资源。
【技术实现步骤摘要】
信令的安全传输方法、装置和SE芯片
[0001]本申请实施例涉及智能终端
,特别涉及一种信令的安全传输方法、装置和SE芯片。
技术介绍
[0002]现在,智能手机或平板电脑等智能终端设备已成为人们生活中的必不可少的工具,智能手机的信息安全性也成为人们关注的焦点。目前公认的安全性最高的可用方案,是在智能手机中嵌入安全元件(security element,SE)芯片。但是,现有相关技术中,在智能手机中嵌入了SE芯片之后,存在远程的管理系统与智能手机中的SE无法直接通信的问题,必须通过智能手机进行消息中转,但由于智能手机的应用环境变化非常大,智能手机本身是不可信的执行环境,因此现有的安全通道协议都无法较为安全的在智能手机中应用。
[0003]目前在全球平台组织(global platform)已提出的规范中,有安全通道协议(security channel protocol,SCP)02、SCP03或SCP11等协议可以实现安全通道的建立,建立安全通道是指在通信双方之间秘密的协商出一个用于保护通信数据的密钥,所有使用这个密钥进行加密的数据,被认为是在安全通道中进行通信。
[0004]由于在现有的应用场景中,智能手机作为可信的服务端与可信的SE之间的消息中转站,是不具备可信执行环境的,因此传统的安全通道协议中,所有需要通信双方进行多次交互,且只能点对点进行通信的方式,会带来一些问题,不适于在智能手机中使用。一方面,因为如果需要多次交互,则服务端每次想与SE建立连接时都需要实时在线且保证网络线路通畅,这对智能手机的网络通信模块要求较高,占用的网络资源也较多;另一方面,由于手机用户的数量非常大,若每次交互都需要服务端的参与,会对服务端造成非常大的压力,可能导致某些情况下的通信失败或者响应不及时,导致采用这种方式的智能手机用户使用体验较差。
[0005]而现有的安全通道协议中,SCP02和SCP03不支持非对称算法,因此使用的灵活性较差,必须由服务端与SE进行多次交互后,才能实现认证,建立安全通道。SCP11协议中,变体a和变体b也存在这个问题,变体c中虽然能够支持单向认证,不需要双方交互数据,但由于采用了基于证书体制的椭圆曲线加密(elliptic curve cryptography,ECC)算法,其传输过程中消耗的带宽也较高。
技术实现思路
[0006]本申请实施例提供了一种信令的安全传输方法、装置和SE芯片,本申请实施例还提供一种计算机可读存储介质,以实现服务器在生成指令之后,无须与SE芯片进行交互,直接将指令打包发送给SE芯片,由SE芯片对接收到的指令进行身份验证和解密,既可以保证指令的真实性和机密性,又节约了服务器端的计算资源。
[0007]第一方面,本申请实施例提供一种信令的安全传输方法,用于安全元件SE芯片,包括:接收终端设备发送的由服务器提供的指令,所述指令包括初始化指令和安全通道指令;
根据所述SE芯片支持的认证级别,对所述初始化指令进行身份验证;在所述初始化指令通过身份验证之后,对所述初始化指令进行解密,获得对所述安全通道指令中包括的第一加密数据进行解密的相关解密参数;利用所述解密参数对所述第一加密数据进行解密,获得所述明文数据。
[0008]上述信令的安全传输方法中,SE芯片111接收终端设备100发送的由服务器200提供的指令之后,根据SE芯片111支持的认证级别,对上述初始化指令进行身份验证,在上述初始化指令通过身份验证之后,对上述初始化指令进行解密,获得对安全通道指令中包括的第一加密数据进行解密的相关解密参数,再利用上述解密参数对所述第一加密数据进行解密,获得明文数据。本实施例中,服务器200在生成指令之后,无须与SE芯片111进行交互,直接将指令打包发送给SE芯片111,由SE芯片111对接收到的指令进行身份验证和解密,既可以保证指令的真实性和机密性,又节约了服务器200的计算资源。
[0009]其中一种可能的实现方式中,所述根据所述SE芯片支持的认证级别,对所述初始化指令进行身份验证包括:使用所述初始化指令中指定的密钥,对所述初始化指令的数据域中包括的签名值进行验证。
[0010]其中一种可能的实现方式中,所述对所述初始化指令进行解密,获得对所述安全通道指令中包括的第一加密数据进行解密的相关解密参数包括:对所述初始化指令进行解密,获得所述SE芯片与所述服务器在当前会话中建立的安全通道的密钥、初始向量、以及所述服务器加密明文数据之后获得的完整性校验值。
[0011]其中一种可能的实现方式中,所述利用所述解密参数对所述第一加密数据进行解密,获得所述明文数据包括:利用所述密钥、所述初始向量和所述完整性校验值,对所述安全通道指令中包括的第一加密数据进行解密,获得所述明文数据;其中,所述第一加密数据是所述服务器加密明文数据之后获得的,所述第一加密数据承载在所述安全通道指令中。
[0012]其中一种可能的实现方式中,所述利用所述密钥、所述初始向量和所述完整性校验值,对所述安全通道指令中包括的第一加密数据进行解密,获得所述明文数据包括:当用户选择的安全级别为机密性和完整性保护时,利用所述密钥、所述初始向量和所述完整性校验值,使用解密函数对所述安全通道指令中包括的第一加密数据进行解密,获得所述明文数据;当用户选择的安全级别为完整性保护时,利用所述密钥、所述初始向量和所述完整性校验值,使用完整性保护函数对所述安全通道指令中包括的第一加密数据进行解密,获得所述明文数据。
[0013]其中一种可能的实现方式中,所述对所述初始化指令进行解密,获得所述SE芯片与所述服务器在当前会话中建立的安全通道的密钥、初始向量、以及所述服务器加密明文数据之后获得的完整性校验值包括:使用所述初始化指令中指定的密钥,对所述初始化指令的数据域中承载的第二加密数据进行解密,获得所述服务器保存的计数器的值、所述服务器加密所述明文数据的过程中使用的密钥和初始向量,以及所述服务器加密所述明文数据之后获得的完整性校验值;将所述服务器保存的计数器的值与所述SE芯片中保存的计数器的值进行对比;如果所述服务器保存的计数器的值大于或等于所述SE芯片中保存的计数器的值,则保存解密获得的所述密钥和所述初始向量,以及所述完整性校验值。
[0014]其中一种可能的实现方式中,所述接收终端设备发送的由服务器提供的指令之前,还包括:接收终端设备发送的获取信息指令;将所述SE芯片当前支持的安全通道协议的
版本和所述SE芯片中密钥的版本发送给所述终端设备;所述终端设备发送的指令包括:与所述SE芯片当前支持的安全通道协议的版本和所述SE芯片中密钥的版本相匹配的指令。
[0015]第二方面,本申请实施例提供一种信令的安全传输装置,设置在安全元件SE芯片中,所述装置包括:接收模块,用于接收终端设备发送的由服务器提供的指令,所述指令包括初始化指令和安全通道指令;验证模块,用于根据所述SE芯片支持的认证级别,对所述初始化指令进行身份验证;解密模块,用于在所述初始化指令通过身份验证之后本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种信令的安全传输方法,用于安全元件SE芯片,其特征在于,包括:接收终端设备发送的由服务器提供的指令,所述指令包括初始化指令和安全通道指令;根据所述SE芯片支持的认证级别,对所述初始化指令进行身份验证;在所述初始化指令通过身份验证之后,对所述初始化指令进行解密,获得对所述安全通道指令中包括的第一加密数据进行解密的相关解密参数;利用所述解密参数对所述第一加密数据进行解密,获得所述明文数据。2.根据权利要求1所述的方法,其特征在于,所述根据所述SE芯片支持的认证级别,对所述初始化指令进行身份验证包括:使用所述初始化指令中指定的密钥,对所述初始化指令的数据域中包括的签名值进行验证。3.根据权利要求1所述的方法,其特征在于,所述对所述初始化指令进行解密,获得对所述安全通道指令中包括的第一加密数据进行解密的相关解密参数包括:对所述初始化指令进行解密,获得所述SE芯片与所述服务器在当前会话中建立的安全通道的密钥、初始向量、以及所述服务器加密明文数据之后获得的完整性校验值。4.根据权利要求3所述的方法,其特征在于,所述利用所述解密参数对所述第一加密数据进行解密,获得所述明文数据包括:利用所述密钥、所述初始向量和所述完整性校验值,对所述安全通道指令中包括的第一加密数据进行解密,获得所述明文数据;其中,所述第一加密数据是所述服务器加密明文数据之后获得的,所述第一加密数据承载在所述安全通道指令中。5.根据权利要求4所述的方法,其特征在于,所述利用所述密钥、所述初始向量和所述完整性校验值,对所述安全通道指令中包括的第一加密数据进行解密,获得所述明文数据包括:当用户选择的安全级别为机密性和完整性保护时,利用所述密钥、所述初始向量和所述完整性校验值,使用解密函数对所述安全通道指令中包括的第一加密数据进行解密,获得所述明文数据;当用户选择的安全级别为完整性保护时,利用所述密钥、所述初始向量和所述完整性校验值,使用完整性保护函数对所述安全通道指令中包括的第一加密数据进行解密,获得所述明文数据。6.根据权利要求3所述的方法,其特征在于,所述对所述初始化指令进行解密,获得所述SE芯片与所述服务器在当前会话中建立的安全通道的密钥、初始向量、以及所述服务器加密明文数据之后获得的完整性校验值包括:使...
【专利技术属性】
技术研发人员:王雪平,杨世昭,崔竞松,涂航,李莉,余纯武,
申请(专利权)人:深圳市汇顶科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。