一種提升可信執(zhí)行環(huán)境安全性的方法、系統(tǒng)及終端的制作方法
【專利摘要】本發(fā)明實(shí)施例公開了一種提升可信執(zhí)行環(huán)境TEE安全性的方法�����、系統(tǒng)及終端����,方法包括:獲取可信應(yīng)用向目標(biāo)服務(wù)器發(fā)起的連接請(qǐng)求,所述連接請(qǐng)求中包含所述目標(biāo)服務(wù)器的標(biāo)識(shí)�;通過調(diào)制解調(diào)器獲取智能卡中存儲(chǔ)的服務(wù)器列表;根據(jù)所述目標(biāo)服務(wù)器的標(biāo)識(shí)判斷所述目標(biāo)服務(wù)器是否包含在所述服務(wù)器列表中�;若是,則允許所述可信應(yīng)用與所述目標(biāo)服務(wù)器建立連接����,若否,則拒絕所述可信應(yīng)用與所述目標(biāo)服務(wù)器建立連接�����。本發(fā)明實(shí)施例能夠通過智能卡提升TEE的安全性���。
【專利說明】一種提升可信執(zhí)行環(huán)境安全性的方法����、系統(tǒng)及終端
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明實(shí)施例涉及通信【技術(shù)領(lǐng)域】��,尤其涉及一種提升可信執(zhí)行環(huán)境安全性的方 法�����、系統(tǒng)及終端。
【背景技術(shù)】
[0002] 隨著移動(dòng)網(wǎng)絡(luò)和智能終端的高速發(fā)展以及消費(fèi)電子產(chǎn)品智能化的普及�����,移動(dòng)應(yīng)用 的種類和數(shù)量越來越多���。當(dāng)前的移動(dòng)應(yīng)用已經(jīng)不僅限于對(duì)智能終端的基本功能��、娛樂功能 方面的擴(kuò)展�����,它所涉及的領(lǐng)域逐漸擴(kuò)大到各行各業(yè)���,例如:移動(dòng)支付相關(guān)的金融應(yīng)用、內(nèi)容 版權(quán)保護(hù)應(yīng)用以及云計(jì)算下瘦終端的安全應(yīng)用等���,這些行業(yè)應(yīng)用都需要更高安全級(jí)別的終 端運(yùn)行環(huán)境���。
[0003] 然而,智能終端的操作系統(tǒng)本身的設(shè)計(jì)主要側(cè)重于功能性方面要求���,并非從安全 性角度出發(fā)���,同時(shí)加上整個(gè)系統(tǒng)的開放性、龐大性�、復(fù)雜性而無法杜絕相應(yīng)的系統(tǒng)漏洞,致 使一些利用這些漏洞的惡意程序不斷出現(xiàn)���,從而造成應(yīng)用程序處于危險(xiǎn)之中��。雖然可以利 用一些軟件防護(hù)手段���,如防火墻、殺毒軟件等進(jìn)行相應(yīng)的保護(hù)�,但由于新型病毒程序的層出 不窮以及經(jīng)常性的系統(tǒng)更新升級(jí),導(dǎo)致無法做到軟件上的完全保護(hù)���。
[0004] 基于這些問題�,業(yè)界進(jìn)行了深入的研究工作��,提出一種新型解決思路��,即把同一 硬件設(shè)備劃為兩種相互獨(dú)立且硬件上隔離的執(zhí)行環(huán)境:普通執(zhí)行環(huán)境(Rich Execution Environment�,REE)和可信執(zhí)行環(huán)境(Trusted Execution Environment���,TEE)。平臺(tái)上的軟 硬件資源可以分別標(biāo)識(shí)為兩種執(zhí)行環(huán)境狀態(tài)��,標(biāo)識(shí)為安全執(zhí)行狀態(tài)的軟硬件資源只能由可 信執(zhí)行環(huán)境所訪問�����,而標(biāo)識(shí)為普通執(zhí)行狀態(tài)的軟硬件資源則可以為兩種執(zhí)行環(huán)境所訪問����。 普通執(zhí)行環(huán)境運(yùn)行目前常用的移動(dòng)操作系統(tǒng)如Android等,可信執(zhí)行環(huán)境運(yùn)行一個(gè)功能簡(jiǎn) 單�、代碼量小、封閉且可人為審核控制的安全操作系統(tǒng)�。安全性要求較高的應(yīng)用部署在安全 操作系統(tǒng)中,并為部署在移動(dòng)操作系統(tǒng)中的普通應(yīng)用提供安全服務(wù)��。當(dāng)普通應(yīng)用調(diào)用相應(yīng) 的安全應(yīng)用執(zhí)行時(shí)����,硬件設(shè)備由普通執(zhí)行環(huán)境切換到可信執(zhí)行環(huán)境執(zhí)行,此時(shí)整個(gè)硬件設(shè) 備處于可信狀態(tài)��,設(shè)備與外界的交互都得到控制���,保證都是真實(shí)可信的行為�����。
[0005] TEE的軟硬件執(zhí)行環(huán)境和REE類似���,通過芯片的特有技術(shù)(如ARM的Trustzone技 術(shù),或者Intel多CPU技術(shù))��,實(shí)現(xiàn)TEE和REE的物理運(yùn)行環(huán)境的隔離�����,從而保障在TEE運(yùn) 行環(huán)境中的應(yīng)用程序的安全性����。TEE使用的外設(shè)都需要具備安全屬性,這樣才可以避免TEE 訪問外設(shè)的時(shí)候造成的安全數(shù)據(jù)泄漏風(fēng)險(xiǎn)�����。
[0006] 在一個(gè)具體的應(yīng)用中���,例如用戶在使用手機(jī)的過程中�����,遇到支付等敏感操作���,就需 要從REE中切換到TEE中完成相應(yīng)操作���,用戶的密碼、賬號(hào)等信息均在TEE的環(huán)境下完成輸 入���。TEE技術(shù)的出現(xiàn)在一定程度上保證了手機(jī)支付應(yīng)用和數(shù)據(jù)的隔離�,比之原有的在REE中 完成所有支付活動(dòng)自然是提升了安全性���。但是TEE技術(shù)本身并不能完全保證用戶數(shù)據(jù)不被 篡改或者攻擊�,且TEE并不是一個(gè)完全封閉的操作系統(tǒng)和運(yùn)行環(huán)境�,TEE中的應(yīng)用依然需要 通過REE實(shí)現(xiàn)與遠(yuǎn)程服務(wù)器的數(shù)據(jù)交互,例如在線支付過程中�,TEE中的應(yīng)用需要和遠(yuǎn)程服 務(wù)器進(jìn)行通信,TEE中的應(yīng)用通過REE向遠(yuǎn)程服務(wù)器發(fā)起連接請(qǐng)求�����,由REE中的操作系統(tǒng)完 成數(shù)據(jù)的連接功能��,另外在對(duì)TEE中應(yīng)用定期更新,修補(bǔ)軟件漏洞和升級(jí)安全算法時(shí)也需 要通過REE與遠(yuǎn)程服務(wù)器進(jìn)行數(shù)據(jù)交互��,安全性還是無法保障��。
【發(fā)明內(nèi)容】
[0007] 有鑒于此��,本發(fā)明實(shí)施例提供了一種提升可信執(zhí)行環(huán)境安全性的方法��、系統(tǒng)及終 端��,能夠通過智能卡提升TEE的安全性�。
[0008] 本發(fā)明實(shí)施例第一方面提供了一種提升可信執(zhí)行環(huán)境TEE安全性的方法���,包括:
[0009] 獲取可信應(yīng)用向目標(biāo)服務(wù)器發(fā)起的連接請(qǐng)求�����,所述連接請(qǐng)求中包含所述目標(biāo)服務(wù) 器的標(biāo)識(shí)���;
[0010] 通過調(diào)制解調(diào)器獲取智能卡中存儲(chǔ)的服務(wù)器列表;
[0011] 根據(jù)所述目標(biāo)服務(wù)器的標(biāo)識(shí)判斷所述目標(biāo)服務(wù)器是否包含在所述服務(wù)器列表 中�����;
[0012] 若是,則允許所述可信應(yīng)用與所述目標(biāo)服務(wù)器建立連接��,若否���,則拒絕所述可信應(yīng) 用與所述目標(biāo)服務(wù)器建立連接����。
[0013] 結(jié)合本發(fā)明實(shí)施例的第一方面���,在本發(fā)明實(shí)施例第一方面的第一種實(shí)施方式中��, 在所述可信應(yīng)用與所述目標(biāo)服務(wù)器建立連接之后��,所述方法還包括:
[0014] 將所述可信應(yīng)用的標(biāo)識(shí)通過所述調(diào)制解調(diào)器發(fā)送至所述智能卡����,以請(qǐng)求所述智能 卡根據(jù)所述智能卡中存儲(chǔ)的與所述可信應(yīng)用的標(biāo)識(shí)對(duì)應(yīng)的認(rèn)證算法對(duì)所述可信應(yīng)用進(jìn)行 認(rèn)證�。
[0015] 結(jié)合本發(fā)明實(shí)施例第一方面的第一種實(shí)施方式,在本發(fā)明實(shí)施例第一方面的第二 種實(shí)施方式中��,在將所述可信應(yīng)用的標(biāo)識(shí)通過所述調(diào)制解調(diào)器發(fā)送至所述智能卡的同時(shí)����, 還將所述可信應(yīng)用響應(yīng)于所述目標(biāo)服務(wù)器發(fā)送的認(rèn)證請(qǐng)求的認(rèn)證數(shù)據(jù)通過所述調(diào)制解調(diào) 器發(fā)送至所述智能卡���,所述認(rèn)證數(shù)據(jù)中包含所述目標(biāo)服務(wù)器的標(biāo)識(shí);
[0016] 在請(qǐng)求所述智能卡對(duì)所述可信應(yīng)用進(jìn)行認(rèn)證之后����,所述方法還包括:
[0017] 判斷所述智能卡對(duì)所述可信應(yīng)用的認(rèn)證結(jié)果是否為成功;
[0018] 在所述智能卡對(duì)所述可信應(yīng)用的認(rèn)證結(jié)果為成功時(shí)��,通過所述調(diào)制解調(diào)器從所述 智能卡獲取對(duì)所述可信應(yīng)用與所述目標(biāo)服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密�、解密、簽名或校 驗(yàn)所使用的臨時(shí)通信密鑰��,所述臨時(shí)通信密鑰由所述智能卡根據(jù)所述可信應(yīng)用的標(biāo)識(shí)����、所 述目標(biāo)服務(wù)器的標(biāo)識(shí)及預(yù)設(shè)的算法生成�����。
[0019] 結(jié)合本發(fā)明實(shí)施例第一方面的第二種實(shí)施方式����,在本發(fā)明實(shí)施例第一方面的第三 種實(shí)施方式中,所述智能卡中的服務(wù)器列表、認(rèn)證算法及臨時(shí)通信密鑰由智能卡發(fā)行商負(fù) 責(zé)管理���。
[0020] 結(jié)合本發(fā)明實(shí)施例的第一方面�,或第一方面的第一種實(shí)施方式���,或第一方面的第 二種實(shí)施方式�,或第一方面的第三種實(shí)施方式��,在本發(fā)明實(shí)施例第一方面的第四種實(shí)施方 式中�,所述智能卡包括:用戶身份識(shí)別SIM卡,通用集成電路卡ncc及嵌入式通用集成電路 卡 eHCC�。
[0021] 結(jié)合本發(fā)明實(shí)施例的第一方面,或第一方面的第一種實(shí)施方式����,或第一方面的第 二種實(shí)施方式,或第一方面的第三種實(shí)施方式����,在本發(fā)明實(shí)施例第一方面的第五種實(shí)施方 式中,所述可信應(yīng)用與所述目標(biāo)服務(wù)器之間通過所述調(diào)制解調(diào)器撥號(hào)建立連接�����,或者所述 可信應(yīng)用與所述目標(biāo)服務(wù)器之間通過WIFI建立連接。
[0022] 結(jié)合本發(fā)明實(shí)施例的第一方面�����,或第一方面的第一種實(shí)施方式���,或第一方面的第 二種實(shí)施方式�����,或第一方面的第三種實(shí)施方式����,在本發(fā)明實(shí)施例第一方面的第六種實(shí)施方 式中����,所述服務(wù)器列表中包括所述可信應(yīng)用進(jìn)行數(shù)值處理時(shí)所需要連接的服務(wù)器及對(duì)所述 可信應(yīng)用進(jìn)行維護(hù)時(shí)所需連接的服務(wù)器。
[0023] 本發(fā)明實(shí)施例第二方面提供了一種終端����,所述終端支持可信執(zhí)行環(huán)境TEE���,包括:
[0024] 第一獲取單元�,用于獲取可信應(yīng)用向目標(biāo)服務(wù)器發(fā)起的連接請(qǐng)求,所述連接請(qǐng)求 中包含所述目標(biāo)服務(wù)器的標(biāo)識(shí)�;
[0025] 第二獲取單元,用于通過調(diào)制解調(diào)器獲取智能卡中存儲(chǔ)的服務(wù)器列表�;
[0026] 判斷單元,用于根據(jù)所述目標(biāo)服務(wù)器的標(biāo)識(shí)判斷所述目標(biāo)服務(wù)器是否包含在所述 服務(wù)器列表中�;
[0027] 處理單元,用于當(dāng)所述目標(biāo)服務(wù)器包含在所述服務(wù)器列表中時(shí)�����,允許所述可信應(yīng) 用與所述目標(biāo)服務(wù)器建立連接����,當(dāng)所述目標(biāo)服務(wù)器不包含在所述服務(wù)器列表中時(shí),拒絕所 述可信應(yīng)用與所述目標(biāo)服務(wù)器建立連接���。
[0028] 結(jié)合本發(fā)明實(shí)施例的第二方面�,在本發(fā)明實(shí)施例第二方面的第一種實(shí)施方式中, 所述終端還包括:
[0029] 發(fā)送單元���,用于在所述可信應(yīng)用與所述目標(biāo)服務(wù)器建立連接之后,將所述可信應(yīng) 用的標(biāo)識(shí)通過所述調(diào)制解調(diào)器發(fā)送至所述智能卡�,以請(qǐng)求所述智能卡根據(jù)所述智能卡中存 儲(chǔ)的與所述可信應(yīng)用的標(biāo)識(shí)對(duì)應(yīng)的認(rèn)證算法對(duì)所述可信應(yīng)用進(jìn)行認(rèn)證。
[0030] 結(jié)合本發(fā)明實(shí)施例第二方面的第一種實(shí)施方式����,在本發(fā)明實(shí)施例第二方面的第二 種實(shí)施方式中��,所述發(fā)送單元還用于���,在將所述可信應(yīng)用的標(biāo)識(shí)通過所述調(diào)制解調(diào)器發(fā)送 至所述智能卡的同時(shí),還將所述可信應(yīng)用響應(yīng)于所述目標(biāo)服務(wù)器發(fā)送的認(rèn)證請(qǐng)求的認(rèn)證數(shù) 據(jù)通過所述調(diào)制解調(diào)器發(fā)送至所述智能卡����,所述認(rèn)證數(shù)據(jù)中包含所述目標(biāo)服務(wù)器的標(biāo)識(shí);
[0031] 所述判斷單元還用于��,判斷所述智能卡對(duì)所述可信應(yīng)用的認(rèn)證結(jié)果是否為成功�;
[0032] 所述終端還包括:
[0033] 第三獲取單元,用于在所述智能卡對(duì)所述可信應(yīng)用的認(rèn)證結(jié)果為成功時(shí)�,通過所 述調(diào)制解調(diào)器從所述智能卡獲取對(duì)所述可信應(yīng)用與所述目標(biāo)服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行 加密、解密��、簽名或校驗(yàn)所使用的臨時(shí)通信密鑰����,所述臨時(shí)通信密鑰由所述智能卡根據(jù)所述 可信應(yīng)用的標(biāo)識(shí)、所述目標(biāo)服務(wù)器的標(biāo)識(shí)及預(yù)設(shè)的算法生成���。
[0034] 結(jié)合本發(fā)明實(shí)施例第二方面的第二種實(shí)施方式���,在本發(fā)明實(shí)施例第二方面的第三 種實(shí)施方式中,所述智能卡中的服務(wù)器列表����、認(rèn)證算法及臨時(shí)通信密鑰由智能卡發(fā)行商負(fù) 責(zé)管理。
[0035] 結(jié)合本發(fā)明實(shí)施例的第二方面�,或第二方面的第一種實(shí)施方式,或第二方面的第 二種實(shí)施方式��,或第二方面的第三種實(shí)施方式�����,在本發(fā)明實(shí)施例第二方面的第四種實(shí)施方 式中�����,所述智能卡包括:用戶身份識(shí)別SIM卡���,通用集成電路卡及嵌入式通用集成電路 卡 eUICC����。
[0036] 結(jié)合本發(fā)明實(shí)施例的第二方面�,或第二方面的第一種實(shí)施方式�����,或第二方面的第 二種實(shí)施方式�,或第二方面的第三種實(shí)施方式��,在本發(fā)明實(shí)施例第二方面的第五種實(shí)施方 式中�����,所述終端還包括:
[0037] 連接建立單元��,用于將所述可信應(yīng)用與所述目標(biāo)服務(wù)器之間通過所述調(diào)制解調(diào)器 撥號(hào)建立連接��,或者將所述可信應(yīng)用與所述目標(biāo)服務(wù)器之間通過WIFI建立連接�����。
[0038] 結(jié)合本發(fā)明實(shí)施例的第二方面�����,或第二方面的第一種實(shí)施方式�,或第二方面的第 二種實(shí)施方式,或第二方面的第三種實(shí)施方式�����,在本發(fā)明實(shí)施例第二方面的第六種實(shí)施方 式中�����,所述服務(wù)器列表中包括所述可信應(yīng)用進(jìn)行數(shù)值處理時(shí)所需要連接的服務(wù)器及對(duì)所述 可信應(yīng)用進(jìn)行維護(hù)時(shí)所需連接的服務(wù)器��。
[0039] 本發(fā)明實(shí)施例第三方面提供了一種提升可信執(zhí)行環(huán)境TEE安全性的系統(tǒng)��,包括如 前述第二方面或第二方面的任意一種實(shí)施方式所提供的終端����、服務(wù)器及智能卡。
[0040] 從以上技術(shù)方案可以看出�,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn):
[0041] 本發(fā)明實(shí)施例中,獲取可信應(yīng)用向目標(biāo)服務(wù)器發(fā)起的連接請(qǐng)求�����,所述連接請(qǐng)求中 包含所述目標(biāo)服務(wù)器的標(biāo)識(shí)��;通過調(diào)制解調(diào)器獲取智能卡中存儲(chǔ)的服務(wù)器列表����;根據(jù)所述 目標(biāo)服務(wù)器的標(biāo)識(shí)判斷所述目標(biāo)服務(wù)器是否包含在所述服務(wù)器列表中��;若是��,則允許所述 可信應(yīng)用與所述目標(biāo)服務(wù)器建立連接���,若否,則拒絕所述可信應(yīng)用與所述目標(biāo)服務(wù)器建立 連接����。即本發(fā)明實(shí)施例中,可信應(yīng)用通過智能卡實(shí)現(xiàn)與目標(biāo)服務(wù)器的交互���,代替了現(xiàn)有技術(shù) 中的可信應(yīng)用通過REE實(shí)現(xiàn)與目標(biāo)服務(wù)器交互的過程����,本發(fā)明實(shí)施例中將可信的服務(wù)器列 表存儲(chǔ)在智能卡中��,由于智能卡具有芯片較小��,對(duì)外端口單一等特點(diǎn)�����,對(duì)物理攻擊和軟件攻 擊的防范優(yōu)于REE環(huán)境,因此將可信的服務(wù)器列表存儲(chǔ)在智能卡中��,能夠有效防止用戶信 息被篡改和攻擊��,保證可信應(yīng)用連接到合法服務(wù)器�����,提升了 TEE環(huán)境的安全性�����。
【專利附圖】
【附圖說明】
[0042] 為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案�����,下面將對(duì)實(shí)施例中所需要使用的附 圖作簡(jiǎn)單地介紹���,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例�����,對(duì)于本領(lǐng)域 普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動(dòng)的前提下����,還可以根據(jù)這些附圖獲得其他的附圖��。 [0043] 圖1為本發(fā)明提升可信執(zhí)行環(huán)境安全性的方法一個(gè)實(shí)施例示意圖���;
[0044] 圖2為本發(fā)明提升可信執(zhí)行環(huán)境安全性的方法另一實(shí)施例示意圖�;
[0045] 圖3為本發(fā)明終端一個(gè)實(shí)施例示意圖����;
[0046] 圖4為本發(fā)明終端另一實(shí)施例示意圖;
[0047] 圖5為本發(fā)明終端另一實(shí)施例示意圖��;
[0048] 圖6為本發(fā)明提升可信執(zhí)行環(huán)境安全性的系統(tǒng)一個(gè)實(shí)施例示意圖��。
【具體實(shí)施方式】
[0049] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖�,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行描述,顯 然���,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例���?��;诒景l(fā)明中的實(shí) 施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�,都屬 于本發(fā)明保護(hù)的范圍。
[0050] 本發(fā)明實(shí)施例提供了一種提升可信執(zhí)行環(huán)境安全性的方法�、系統(tǒng)及終端,能夠通 過智能卡提升TEE的安全性�。
[0051] 請(qǐng)參閱圖1,本發(fā)明提升可信執(zhí)行環(huán)境安全性的方法一個(gè)實(shí)施例包括:
[0052] 101��、終端獲取可信應(yīng)用向目標(biāo)服務(wù)器發(fā)起的連接請(qǐng)求�;
[0053] 本實(shí)施例中�����,終端中可支持兩種運(yùn)行環(huán)境:可信執(zhí)行環(huán)境TEE及普通執(zhí)行環(huán)境 REE�����,其中�����,可信應(yīng)用(Trusted Application,TA)運(yùn)行在可信執(zhí)行環(huán)境中�。可信應(yīng)用向目標(biāo) 服務(wù)器發(fā)起的連接請(qǐng)求中包含目標(biāo)服務(wù)器的標(biāo)識(shí)�����,該標(biāo)識(shí)可以包括目標(biāo)服務(wù)器的地址����、端 口號(hào)等。
[0054] 102���、終端通過調(diào)制解調(diào)器獲取智能卡中存儲(chǔ)的服務(wù)器列表�;
[0055] 具體實(shí)現(xiàn)中���,調(diào)制解調(diào)器可為終端組成的一部分����,包含于終端中����。智能卡可為獨(dú)立 于終端的另一設(shè)備���,智能卡用于存儲(chǔ)服務(wù)器列表。智能卡具有芯片較小�,對(duì)外端口單一等物 理特性。
[0056] 103�����、終端判斷目標(biāo)服務(wù)器是否包含在服務(wù)器列表中����,若是,則執(zhí)行步驟104,若否��, 則執(zhí)行步驟105 ;
[0057] 若目標(biāo)服務(wù)器的標(biāo)識(shí)與服務(wù)器列表中包含的服務(wù)器的標(biāo)識(shí)一致�����,則認(rèn)為目標(biāo)服務(wù) 器包含在服務(wù)器列表中�,否則�����,認(rèn)為目標(biāo)服務(wù)器不包含于服務(wù)器列表中���,這個(gè)判斷的過程是 為了確?��?尚艖?yīng)用連接的目標(biāo)服務(wù)器為可信的服務(wù)器����。
[0058] 104��、允許可信應(yīng)用與目標(biāo)服務(wù)器建立連接��;
[0059] 105��、拒絕可信應(yīng)用與目標(biāo)服務(wù)器建立連接���。
[0060] 本實(shí)施例中�����,可信應(yīng)用通過智能卡實(shí)現(xiàn)與目標(biāo)服務(wù)器的交互�����,代替了現(xiàn)有技術(shù)中 的可信應(yīng)用通過REE實(shí)現(xiàn)與目標(biāo)服務(wù)器交互的過程�����,本實(shí)施例中將可信的服務(wù)器列表存儲(chǔ) 在智能卡中���,由于智能卡具有芯片較小���,對(duì)外端口單一等特點(diǎn),對(duì)物理攻擊和軟件攻擊的防 范優(yōu)于REE環(huán)境���,因此將可信的服務(wù)器列表存儲(chǔ)在智能卡中����,能夠有效防止用戶信息被篡 改和攻擊����,保證可信應(yīng)用連接到合法服務(wù)器,提升了 TEE環(huán)境的安全性����。
[0061] 為便于理解,下面以一個(gè)具體實(shí)施例描述本發(fā)明提升可信執(zhí)行環(huán)境TEE安全性的 方法���,請(qǐng)參閱圖2,本實(shí)施例的方法包括:
[0062] 201、終端獲取可信應(yīng)用向目標(biāo)服務(wù)器發(fā)起的連接請(qǐng)求��;
[0063] 本實(shí)施例中,終端中可支持兩種運(yùn)行環(huán)境:可信執(zhí)行環(huán)境TEE及普通執(zhí)行環(huán)境 REE�,其中,可信應(yīng)用(Trusted Application����,TA)運(yùn)行在可信執(zhí)行環(huán)境中?���?尚艖?yīng)用向目標(biāo) 服務(wù)器發(fā)起的連接請(qǐng)求中包含目標(biāo)服務(wù)器的標(biāo)識(shí),該標(biāo)識(shí)可以包括目標(biāo)服務(wù)器的地址�、端 口號(hào)等。
[0064] 202��、終端通過調(diào)制解調(diào)器獲取智能卡中存儲(chǔ)的服務(wù)器列表����;
[0065] 具體實(shí)現(xiàn)中,智能卡可為獨(dú)立于終端存在的一種設(shè)備�����,智能卡包括用戶身份識(shí) 別(Subscriber Identity Module��,SIM)卡�,通用集成電路卡(Universal Integrated Circuit Card, UICC)及嵌入式(embed)通用集成電路卡eUICC�。
[0066] 服務(wù)器列表中包括可信應(yīng)用進(jìn)行數(shù)值處理時(shí)需要連接的服務(wù)器及對(duì)可信應(yīng)用進(jìn) 行維護(hù)時(shí)所需連接的服務(wù)器��。其中��,數(shù)值處理可以包括支付��、驗(yàn)證���、查詢及對(duì)賬等�;對(duì)可信應(yīng) 用進(jìn)行的維護(hù)可以包括:對(duì)可信應(yīng)用進(jìn)行程序更新��、修補(bǔ)軟件漏洞及升級(jí)安全算法等�����。 [0067] 203����、終端判斷目標(biāo)服務(wù)器是否包含在服務(wù)器列表中,若否��,則執(zhí)行步驟204,若是��, 則執(zhí)行步驟205 ;
[0068] 204、終端拒絕可信應(yīng)用與目標(biāo)服務(wù)器建立連接���;
[0069] 205、終端允許可信應(yīng)用與目標(biāo)服務(wù)器建立連接���;
[0070] 可信應(yīng)用與目標(biāo)服務(wù)器之間通過調(diào)制解調(diào)器撥號(hào)建立連接�����,或者可信應(yīng)用與目標(biāo) 服務(wù)器之間通過WIFI建立連接���。
[0071] 206、終端將認(rèn)證數(shù)據(jù)及可信應(yīng)用的標(biāo)識(shí)通過調(diào)制解調(diào)器發(fā)送至智能卡�,以請(qǐng)求智 能卡對(duì)可信應(yīng)用進(jìn)行認(rèn)證,所述認(rèn)證數(shù)據(jù)中包含目標(biāo)服務(wù)器的標(biāo)識(shí)�����;
[0072] 智能卡中存儲(chǔ)有不同的認(rèn)證算法�,每種認(rèn)證算法對(duì)應(yīng)一種可信應(yīng)用的標(biāo)識(shí) (Application, AID),用于對(duì)對(duì)應(yīng)的可信應(yīng)用進(jìn)行認(rèn)證�����。
[0073] 在可信應(yīng)用與目標(biāo)服務(wù)器建立連接后,目標(biāo)服務(wù)器需要對(duì)可信應(yīng)用進(jìn)行認(rèn)證����,目 標(biāo)服務(wù)器可通過已有的無線鏈路向可信應(yīng)用發(fā)起認(rèn)證請(qǐng)求,可信應(yīng)用響應(yīng)目標(biāo)服務(wù)器發(fā)起 的認(rèn)證請(qǐng)求�,返回認(rèn)證數(shù)據(jù)。
[0074] 終端獲取認(rèn)證數(shù)據(jù)�,將認(rèn)證數(shù)據(jù)及可信應(yīng)用的標(biāo)識(shí)AID通過調(diào)制解調(diào)器發(fā)送至智 能卡,以由智能卡根據(jù)自身存儲(chǔ)的與可信應(yīng)用的AID對(duì)應(yīng)的認(rèn)證算法對(duì)可信應(yīng)用進(jìn)行認(rèn) 證�����,并將認(rèn)證結(jié)果返回給終端��。
[0075] 207�����、終端判斷認(rèn)證結(jié)果是否為成功��,若是�,則執(zhí)行步驟208,若否,則執(zhí)行步驟 209,結(jié)束處理�;
[0076] 208、終端通過調(diào)制解調(diào)器從智能卡獲取臨時(shí)通信密鑰�。
[0077] 當(dāng)智能卡返回的認(rèn)證結(jié)果為成功時(shí)��,終端通過調(diào)制解調(diào)器從智能卡獲取臨時(shí)通信 密鑰���,臨時(shí)通信密鑰由智能卡根據(jù)可信應(yīng)用的標(biāo)識(shí)、目標(biāo)服務(wù)器的標(biāo)識(shí)及預(yù)設(shè)的算法生成�, 終端使用臨時(shí)通信密鑰對(duì)可信應(yīng)用與目標(biāo)服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密�、解密、簽名或 校驗(yàn)等�,以保護(hù)數(shù)據(jù)的安全性與完整性。
[0078] -旦可信應(yīng)用與目標(biāo)服務(wù)器的連接斷開���,臨時(shí)通信密鑰即失效�����,即可信應(yīng)用與目 標(biāo)服務(wù)器每次通信都會(huì)使用不同的臨時(shí)通信密鑰�����,保證了即使某一次通信過程被破解���,也 不會(huì)造成更大的損失。
[0079] 另外����,本實(shí)施例中��,智能卡中的服務(wù)器列表��、認(rèn)證算法及臨時(shí)通信密鑰由智能卡發(fā) 行商負(fù)責(zé)管理����,即智能卡發(fā)行商持有根密鑰和根證書��,負(fù)責(zé)維護(hù)智能卡中存儲(chǔ)的數(shù)據(jù)�,這些 維護(hù)包括智能卡中數(shù)據(jù)的寫入、更新及刪除��。終端中不具有根密鑰和根證書�,保證了智能卡 中數(shù)據(jù)存儲(chǔ)的唯一性,提高了智能卡中數(shù)據(jù)存儲(chǔ)的安全性�����。用戶通過智能卡發(fā)行商可以注 銷智能卡��,這樣就能避免終端丟失造成用戶資金的損失��,智能卡發(fā)行商可以通過簡(jiǎn)單的短 信關(guān)閉智能卡的認(rèn)證功能�����,并刪除服務(wù)器列表。
[0080] 本實(shí)施例中�,可信應(yīng)用通過智能卡實(shí)現(xiàn)與目標(biāo)服務(wù)器的交互,代替了現(xiàn)有技術(shù)中 的可信應(yīng)用通過REE實(shí)現(xiàn)與目標(biāo)服務(wù)器交互的過程�,將可信的服務(wù)器列表,認(rèn)證算法存儲(chǔ) 在智能卡中�����,且可信應(yīng)用與目標(biāo)服務(wù)器之間通信過程中所使用的臨時(shí)通信密鑰也由智能卡 負(fù)責(zé)生成�����,智能卡與終端獨(dú)立存在�����,且智能卡的維護(hù)由智能卡發(fā)行商負(fù)責(zé)��,能夠有效防止卡 內(nèi)信息被篡改����,另外由于智能卡本身具有較強(qiáng)的防范物理攻擊及軟件攻擊的能力�����,可信應(yīng) 用與目標(biāo)服務(wù)器的通信過程涉及的機(jī)要數(shù)據(jù)都通過智能卡獲取,且可信應(yīng)用的認(rèn)證過程也 放在智能卡中實(shí)現(xiàn)�,因此,本實(shí)施例能夠避免可信執(zhí)行環(huán)境被惡意攻擊或者植入惡意程序�, 從而提高了可信執(zhí)行環(huán)境的安全性。
[0081] 下面對(duì)本發(fā)明實(shí)施例提供的終端進(jìn)行描述��,本實(shí)施例的終端支持可信執(zhí)行環(huán)境 TEE�,請(qǐng)參閱圖3,本實(shí)施例的終端300包括:
[0082] 第一獲取單元301,用于獲取可信應(yīng)用向目標(biāo)服務(wù)器發(fā)起的連接請(qǐng)求�,所述連接請(qǐng) 求中包含目標(biāo)服務(wù)器的標(biāo)識(shí);
[0083] 第二獲取單元302,用于通過調(diào)制解調(diào)器獲取智能卡中存儲(chǔ)的服務(wù)器列表��;
[0084] 判斷單元303,用于根據(jù)目標(biāo)服務(wù)器的標(biāo)識(shí)判斷目標(biāo)服務(wù)器是否包含在服務(wù)器列 表中��;
[0085] 處理單元304,用于當(dāng)目標(biāo)服務(wù)器包含在服務(wù)器列表中時(shí)�����,允許可信應(yīng)用與目標(biāo)服 務(wù)器建立連接���,當(dāng)目標(biāo)服務(wù)器不包含在服務(wù)器列表中時(shí)�����,拒絕可信應(yīng)用與目標(biāo)服務(wù)器建立 連接�����。
[0086] 本實(shí)施例中����,判斷單元通過從智能卡中獲取的服務(wù)器列表判斷可信應(yīng)用請(qǐng)求連接 的目標(biāo)服務(wù)器是否合法,處理單元在目標(biāo)服務(wù)器包含在服務(wù)器列表中時(shí)����,允許可信應(yīng)用與 目標(biāo)服務(wù)器建立連接,在目標(biāo)服務(wù)器沒有包含在服務(wù)器列表中時(shí)����,拒絕可信應(yīng)用與目標(biāo)服 務(wù)器建立連接���,即本實(shí)施例中�,可信應(yīng)用通過智能卡實(shí)現(xiàn)與目標(biāo)服務(wù)器的交互�����,代替了現(xiàn)有 技術(shù)中的可信應(yīng)用通過REE實(shí)現(xiàn)與目標(biāo)服務(wù)器交互的過程�����,將可信的服務(wù)器列表存儲(chǔ)在智 能卡中,由于智能卡具有芯片較小���,對(duì)外端口單一等特點(diǎn)�����,對(duì)物理攻擊和軟件攻擊的防范優(yōu) 于REE環(huán)境�,因此將可信的服務(wù)器列表存儲(chǔ)在智能卡中���,能夠有效防止用戶信息被篡改和 攻擊��,保證可信應(yīng)用連接到合法服務(wù)器��,提升了 TEE環(huán)境的安全性�。
[0087] 下面進(jìn)一步描述本發(fā)明實(shí)施例的終端��,請(qǐng)參閱圖4,本實(shí)施例的終端400包括:
[0088] 第一獲取單元401���,用于獲取可信應(yīng)用向目標(biāo)服務(wù)器發(fā)起的連接請(qǐng)求���,所述連接請(qǐng) 求中包含目標(biāo)服務(wù)器的標(biāo)識(shí)���;
[0089] 第二獲取單元402,用于通過調(diào)制解調(diào)器獲取智能卡中存儲(chǔ)的服務(wù)器列表;
[0090] 判斷單元403,用于根據(jù)目標(biāo)服務(wù)器的標(biāo)識(shí)判斷目標(biāo)服務(wù)器是否包含在服務(wù)器列 表中����;
[0091] 處理單元404,用于當(dāng)目標(biāo)服務(wù)器包含在服務(wù)器列表中時(shí),允許可信應(yīng)用與目標(biāo)服 務(wù)器建立連接����,當(dāng)目標(biāo)服務(wù)器不包含在服務(wù)器列表中時(shí),拒絕可信應(yīng)用與目標(biāo)服務(wù)器建立 連接��;
[0092] 連接建立單元405,用于將可信應(yīng)用與目標(biāo)服務(wù)器之間通過調(diào)制解調(diào)器撥號(hào)建立 連接��,或者將可信應(yīng)用與目標(biāo)服務(wù)器之間通過WIFI建立連接��;
[0093] 發(fā)送單元406��,用于在可信應(yīng)用與目標(biāo)服務(wù)器建立連接之后���,將可信應(yīng)用響應(yīng)于目 標(biāo)服務(wù)器發(fā)送的認(rèn)證請(qǐng)求的認(rèn)證數(shù)據(jù)及可信應(yīng)用的標(biāo)識(shí)通過調(diào)制解調(diào)器發(fā)送至智能卡,以 請(qǐng)求智能卡根據(jù)智能卡中存儲(chǔ)的與可信應(yīng)用的標(biāo)識(shí)對(duì)應(yīng)的認(rèn)證算法對(duì)可信應(yīng)用進(jìn)行認(rèn)證��, 所述認(rèn)證數(shù)據(jù)中包含目標(biāo)服務(wù)器的標(biāo)識(shí)�����;
[0094] 其中,判斷單元403還用于���,判斷智能卡對(duì)可信應(yīng)用的認(rèn)證結(jié)果是否為成功�;
[0095] 終端400還包括第三獲取單元407,用于在智能卡對(duì)可信應(yīng)用的認(rèn)證結(jié)果為成功 時(shí)���,通過調(diào)制解調(diào)器從智能卡獲取對(duì)可信應(yīng)用與目標(biāo)服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密����、解 密��、簽名及校驗(yàn)所使用的臨時(shí)通信密鑰�����,所述臨時(shí)通信密鑰由智能卡根據(jù)可信應(yīng)用的標(biāo)識(shí)��、 目標(biāo)服務(wù)器的標(biāo)識(shí)及預(yù)設(shè)的算法生成�。
[0096] 為便于理解,下面以一個(gè)實(shí)際應(yīng)用場(chǎng)景對(duì)本實(shí)施例提供的終端400內(nèi)的各單元之 間的交互方式進(jìn)行描述��,具體如下:
[0097] 首先,本實(shí)施例的終端中可支持兩種運(yùn)行環(huán)境:可信執(zhí)行環(huán)境TEE及普通執(zhí)行環(huán) 境REE���,其中����,可信應(yīng)用(Trusted Application�����,TA)運(yùn)行在可信執(zhí)行環(huán)境中���?��?尚艖?yīng)用向 目標(biāo)服務(wù)器發(fā)起連接請(qǐng)求,第一獲取單元401獲取連接請(qǐng)求���,連接請(qǐng)求中包含目標(biāo)服務(wù)器 的標(biāo)識(shí)�,該標(biāo)識(shí)可以包括目標(biāo)服務(wù)器的地址�、端口號(hào)等。
[0098] 接下來第二獲取單元402通過調(diào)制解調(diào)器獲取智能卡中存儲(chǔ)的服務(wù)器列表����。其 中,智能卡可為獨(dú)立于終端存在的一種設(shè)備�,智能卡包括用戶身份識(shí)別SIM卡,通用集成電 路卡及嵌入式通用集成電路卡eUICC��。服務(wù)器列表中包括可信應(yīng)用進(jìn)行數(shù)值處理時(shí)所 需要連接的服務(wù)器及對(duì)可信應(yīng)用進(jìn)行維護(hù)時(shí)所需連接的服務(wù)器���。其中���,數(shù)值處理可以包括 支付、驗(yàn)證���、查詢及對(duì)賬等����;對(duì)可信應(yīng)用進(jìn)行的維護(hù)可以包括:對(duì)可信應(yīng)用進(jìn)行程序更新��、 修補(bǔ)軟件漏洞及升級(jí)安全算法等��。
[0099] 判斷單元403判斷目標(biāo)服務(wù)器是否包含在服務(wù)器列表中��。具體地��,判斷單元403 判斷目標(biāo)服務(wù)器的標(biāo)識(shí)與服務(wù)器列表中包含的服務(wù)器的標(biāo)識(shí)一致����,�,若是���,則認(rèn)為目標(biāo)服務(wù) 器包含在服務(wù)器列表中���,否則,認(rèn)為目標(biāo)服務(wù)器不包含于服務(wù)器列表中�,這個(gè)判斷的過程是 為了確保可信應(yīng)用連接的目標(biāo)服務(wù)器為可信的服務(wù)器��。處理單元404在判斷單元403的判 斷結(jié)果為否時(shí)��,拒絕可信應(yīng)用與目標(biāo)服務(wù)器建立連接��,在判斷單元403的判斷結(jié)果為是時(shí)��, 允許可信應(yīng)用與目標(biāo)服務(wù)器建立連接��。
[0100] 在處理單元404允許可信應(yīng)用與目標(biāo)服務(wù)器建立連接時(shí)�����,連接建立單元405將可 信應(yīng)用與目標(biāo)服務(wù)器之間通過調(diào)制解調(diào)器撥號(hào)建立連接�,或者將可信應(yīng)用與目標(biāo)服務(wù)器之 間通過WIFI建立連接��。
[0101] 在可信應(yīng)用與目標(biāo)服務(wù)器建立連接后,目標(biāo)服務(wù)器需要對(duì)可信應(yīng)用進(jìn)行認(rèn)證�,目 標(biāo)服務(wù)器可通過已有的無線鏈路向可信應(yīng)用發(fā)起認(rèn)證請(qǐng)求,可信應(yīng)用響應(yīng)目標(biāo)服務(wù)器發(fā)起 的認(rèn)證請(qǐng)求�����,返回認(rèn)證數(shù)據(jù)��。第一獲取單元401獲取認(rèn)證數(shù)據(jù)�,由發(fā)送單元406將認(rèn)證數(shù)據(jù) 及可信應(yīng)用的標(biāo)識(shí)通過調(diào)制解調(diào)器發(fā)送至智能卡,以請(qǐng)求智能卡對(duì)可信應(yīng)用進(jìn)行認(rèn)證����,所 述認(rèn)證數(shù)據(jù)中包含目標(biāo)服務(wù)器的標(biāo)識(shí)。
[0102] 智能卡中存儲(chǔ)有不同的認(rèn)證算法����,每種認(rèn)證算法對(duì)應(yīng)一種可信應(yīng)用的標(biāo)識(shí) (Application,AID),用于對(duì)對(duì)應(yīng)的可信應(yīng)用進(jìn)行認(rèn)證���。智能卡根據(jù)自身存儲(chǔ)的與可信應(yīng)用 的AID對(duì)應(yīng)的認(rèn)證算法對(duì)可信應(yīng)用進(jìn)行認(rèn)證���,并將認(rèn)證結(jié)果返回給終端�����。
[0103] 判斷單元403判斷智能卡返回的認(rèn)證結(jié)果是否為成功��,若為成功��,則由第三獲取 單元407通過調(diào)制解調(diào)器從智能卡獲取臨時(shí)通信密鑰����,臨時(shí)通信密鑰由智能卡根據(jù)可信應(yīng) 用的標(biāo)識(shí)���、目標(biāo)服務(wù)器的標(biāo)識(shí)及預(yù)設(shè)的算法生成�����,終端使用臨時(shí)通信密鑰對(duì)可信應(yīng)用與目 標(biāo)服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密���、解密、簽名或校驗(yàn)等����,以保護(hù)數(shù)據(jù)的安全性與完整性; 若未失敗����,則結(jié)束處理�����。
[0104] -旦可信應(yīng)用與目標(biāo)服務(wù)器的連接斷開,臨時(shí)通信密鑰即失效��,即可信應(yīng)用與目 標(biāo)服務(wù)器每次通信都會(huì)使用不同的臨時(shí)通信密鑰��,保證了即使某一次通信過程被破解����,也 不會(huì)造成更大的損失。
[0105] 另外��,本實(shí)施例中�,智能卡中的服務(wù)器列表、認(rèn)證算法及臨時(shí)通信密鑰由智能卡發(fā) 行商負(fù)責(zé)管理�����,即智能卡發(fā)行商持有根密鑰和根證書����,負(fù)責(zé)維護(hù)智能卡中存儲(chǔ)的數(shù)據(jù)���,這些 維護(hù)包括智能卡中數(shù)據(jù)的寫入、更新及刪除��。終端中不具有根密鑰和根證書�����,保證了智能卡 中數(shù)據(jù)存儲(chǔ)的唯一性����,提高了智能卡中數(shù)據(jù)存儲(chǔ)的安全性。用戶通過智能卡發(fā)行商可以注 銷智能卡��,這樣就能避免終端丟失造成用戶資金的損失��,智能卡發(fā)行商可以通過簡(jiǎn)單的短 信關(guān)閉智能卡的認(rèn)證功能����,并刪除服務(wù)器列表。
[0106] 本實(shí)施例中��,判斷單元根據(jù)智能卡中存儲(chǔ)的服務(wù)器列表判斷目標(biāo)服務(wù)器是否合 法����,發(fā)送單元將認(rèn)證數(shù)據(jù)發(fā)送至智能卡��,以由智能卡對(duì)可信應(yīng)用進(jìn)行認(rèn)證�,且通過過程中使 用的臨時(shí)通信密鑰由第三獲取單元從智能卡獲取��,即本實(shí)施例中����,可信應(yīng)用通過智能卡實(shí) 現(xiàn)與目標(biāo)服務(wù)器的交互,代替了現(xiàn)有技術(shù)中的可信應(yīng)用通過REE實(shí)現(xiàn)與目標(biāo)服務(wù)器交互的 過程���,由于智能卡本身具有較強(qiáng)的防范物理攻擊及軟件攻擊的能力,可信應(yīng)用與目標(biāo)服務(wù) 器的通信過程涉及的機(jī)要數(shù)據(jù)都通過智能卡獲取�,且可信應(yīng)用的認(rèn)證過程也放在智能卡中 實(shí)現(xiàn),因此�����,本實(shí)施例能夠避免可信執(zhí)行環(huán)境被惡意攻擊或者植入惡意程序�,從而提高了可 信執(zhí)行環(huán)境的安全性。
[0107] 下面請(qǐng)參閱圖5,圖5示出了本發(fā)明實(shí)施例提供的終端的結(jié)構(gòu)���,本發(fā)明實(shí)施例提供 的終端可以用于實(shí)施上述實(shí)施例提供的提升可信執(zhí)行環(huán)境TEE安全性的方法���。為了便于說 明���,僅示出了與本發(fā)明實(shí)施例相關(guān)的部分,具體技術(shù)細(xì)節(jié)未揭露的����,請(qǐng)參照本發(fā)明方法實(shí)施 例部分進(jìn)行理解。在實(shí)際應(yīng)用中����,終端500可以為手機(jī),平板電腦�,個(gè)數(shù)數(shù)字助理(Personal Digital Assistant,PDA)等設(shè)備��。具體來講:
[0108] 終端500可以包括RF(Radio Frequency�����,射頻)電路510��、包括有一個(gè)或一個(gè)以上 計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的存儲(chǔ)器520����、輸入單元530、顯示單元540、傳感器550����、音頻電路560、 WiFi (wireless fidelity,無線保真)模塊570�����、包括有一個(gè)或者一個(gè)以上處理核心的處理 器580�����、以及電源590等部件���。本領(lǐng)域技術(shù)人員可以理解���,圖5中示出的結(jié)構(gòu)并不構(gòu)成對(duì)預(yù) 測(cè)用戶離網(wǎng)的終端500的限定��,可以包括比圖示更多或更少的部件����,或者組合某些部件,或 者不同的部件布置���。其中:
[0109] RF電路510可用于收發(fā)消息或通話過程中�,信號(hào)的接收和發(fā)送,特別地����,將基站的 下行信息接收后,交由一個(gè)或者一個(gè)以上處理器580處理�;另外,將涉及上行的數(shù)據(jù)發(fā)送給 基站����。通常,RF電路510包括但不限于天線�����、至少一個(gè)放大器��、調(diào)諧器�、一個(gè)或多個(gè)振蕩器、 用戶身份模塊(SIM)卡��、收發(fā)信機(jī)�、耦合器、LNA(Low Noise Amplifier���,低噪聲放大器)�����、雙工 器等��。此外�����,RF電路510還可以通過無線通信與網(wǎng)絡(luò)和其他設(shè)備通信����。所述無線通信可以使 用任一通信標(biāo)準(zhǔn)或協(xié)議,包括但不限于GSM (Global System of Mobile communication��,全 球移動(dòng)通訊系統(tǒng))�����、GPRS(General Packet Radio Service,通用分組無線服務(wù))��、CDMA(Code Division Multiple Access����,碼分多址)、WCDMA(Wideband Code Division Multiple Access,寬帶碼分多址)��、LTE(Long Term Evolution,長(zhǎng)期演進(jìn))����、電子郵件、SMS(Short Messaging Service,短消息服務(wù))等��。
[0110] 存儲(chǔ)器520可用于存儲(chǔ)軟件程序以及模塊��,處理器580通過運(yùn)行存儲(chǔ)在存儲(chǔ)器 520的軟件程序以及模塊��,從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理��。存儲(chǔ)器520可主要包括 存儲(chǔ)程序區(qū)和存儲(chǔ)數(shù)據(jù)區(qū)��,其中�����,存儲(chǔ)程序區(qū)可存儲(chǔ)操作系統(tǒng)���、至少一個(gè)功能所需的應(yīng)用程 序(比如聲音播放功能�����、圖像播放功能等)等����;存儲(chǔ)數(shù)據(jù)區(qū)可存儲(chǔ)根據(jù)存儲(chǔ)設(shè)備的使用創(chuàng)建 數(shù)據(jù)(比如音頻數(shù)據(jù)、電話本等)���。此外���,存儲(chǔ)器520可以包括高速隨機(jī)存取存儲(chǔ)器,還可 以包括非易失性存儲(chǔ)器�,例如至少一個(gè)磁盤存儲(chǔ)器件、閃存器件�、或其他易失性固態(tài)存儲(chǔ)器 件。相應(yīng)地����,存儲(chǔ)器520還可以包括存儲(chǔ)器控制器,以提供處理器580和輸入單元530對(duì)存 儲(chǔ)器520的訪問��。
[0111] 輸入單元530可用于接收輸入的數(shù)字或字符信息��,以及產(chǎn)生與用戶設(shè)置以及功能 控制有關(guān)的鍵盤�����、鼠標(biāo)�、操作桿、光學(xué)或者軌跡球信號(hào)輸入���。具體地�,輸入單元530可包括觸 敏表面531以及其他輸入設(shè)備532�����。觸敏表面531�,也稱為觸摸顯示屏或者觸控板,可收集 用戶在其上或附近的觸摸操作(比如用戶使用手指�����、觸筆等任何適合的物體或附件在觸敏 表面531上或在觸敏表面531附近的操作)�����,并根據(jù)預(yù)先設(shè)定的程式驅(qū)動(dòng)相應(yīng)的連接裝置�。 可選的,觸敏表面531可包括觸摸檢測(cè)裝置和觸摸控制器兩個(gè)部分���。其中���,觸摸檢測(cè)裝置檢 測(cè)用戶的觸摸方位����,并檢測(cè)觸摸操作帶來的信號(hào)��,將信號(hào)傳送給觸摸控制器���;觸摸控制器從 觸摸檢測(cè)裝置上接收觸摸信息���,并將它轉(zhuǎn)換成觸點(diǎn)坐標(biāo),再送給處理器580,并能接收處理 器580發(fā)來的命令并加以執(zhí)行�����。此外����,可以采用電阻式、電容式��、紅外線以及表面聲波等多 種類型實(shí)現(xiàn)觸敏表面531�。除了觸敏表面531,輸入單元530還可以包括其他輸入設(shè)備532。 具體地�,其他輸入設(shè)備532可以包括但不限于物理鍵盤、功能鍵(比如音量控制按鍵�����、開關(guān) 按鍵等)���、軌跡球、鼠標(biāo)���、操作桿等中的一種或多種��。
[0112] 顯示單元540可用于顯示由用戶輸入的信息或提供給用戶的信息以及終端500的 各種圖形用戶接口����,這些圖形用戶接口可以由圖形�����、文本�、圖標(biāo)、視頻和其任意組合來構(gòu)成����。 顯示單元540可包括顯示面板541�����,可選的���,可以采用LCD (Liquid Crystal Display,液晶 顯示器)、〇LED (Organic Light-Emitting Diode,有機(jī)發(fā)光二極管)等形式來配置顯示面 板541�����。進(jìn)一步的��,觸敏表面531可覆蓋顯示面板541���,當(dāng)觸敏表面531檢測(cè)到在其上或附 近的觸摸操作后���,傳送給處理器580以確定觸摸事件的類型,隨后處理器580根據(jù)觸摸事件 的類型在顯示面板541上提供相應(yīng)的視覺輸出�。雖然在圖5中,觸敏表面531與顯示面板 541是作為兩個(gè)獨(dú)立的部件來實(shí)現(xiàn)輸入和輸入功能��,但是在某些實(shí)施例中�����,可以將觸敏表面 531與顯示面板541集成而實(shí)現(xiàn)輸入和輸出功能。
[0113] 終端500還可包括至少一種傳感器550,比如光傳感器����、運(yùn)動(dòng)傳感器以及其他傳感 器。具體地�,光傳感器可包括環(huán)境光傳感器及接近傳感器�,其中,環(huán)境光傳感器可根據(jù)環(huán)境 光線的明暗來調(diào)節(jié)顯示面板541的亮度����,接近傳感器可在終端500移動(dòng)到耳邊時(shí),關(guān)閉顯示 面板541和/或背光����。作為運(yùn)動(dòng)傳感器的一種,重力加速度傳感器可檢測(cè)各個(gè)方向上(一 般為三軸)加速度的大小�,靜止時(shí)可檢測(cè)出重力的大小及方向,可用于識(shí)別終端500姿態(tài)的 應(yīng)用(比如橫堅(jiān)屏切換�����、相關(guān)游戲��、磁力計(jì)姿態(tài)校準(zhǔn))、振動(dòng)識(shí)別相關(guān)功能(比如計(jì)步器���、敲 擊)等���;至于終端500還可配置的陀螺儀、氣壓計(jì)��、濕度計(jì)�、溫度計(jì)、紅外線傳感器等其他傳 感器��,在此不再贅述�����。
[0114] 音頻電路560���、揚(yáng)聲器561�,傳聲器562可提供用戶與終端500之間的音頻接口����。音 頻電路560可將接收到的音頻數(shù)據(jù)轉(zhuǎn)換后的電信號(hào),傳輸?shù)綋P(yáng)聲器561�,由揚(yáng)聲器561轉(zhuǎn)換 為聲音信號(hào)輸出����;另一方面�,傳聲器562將收集的聲音信號(hào)轉(zhuǎn)換為電信號(hào),由音頻電路560 接收后轉(zhuǎn)換為音頻數(shù)據(jù)����,再將音頻數(shù)據(jù)輸出處理器580處理后,經(jīng)RF電路510以發(fā)送給比 如另一終端���,或者將音頻數(shù)據(jù)輸出至存儲(chǔ)器520以便進(jìn)一步處理�。音頻電路560還可能包 括耳塞插孔���,以提供外設(shè)耳機(jī)與終端500的通信。
[0115] WiFi屬于短距離無線傳輸技術(shù)�,終端500通過WiFi模塊570可以幫助用戶收發(fā)電 子郵件、瀏覽網(wǎng)頁(yè)和訪問流式媒體等�,它為用戶提供了無線的寬帶互聯(lián)網(wǎng)訪問。雖然圖5示 出了 WiFi模塊570,但是可以理解的是�,其并不屬于終端500的必須構(gòu)成,完全可以根據(jù)需 要在不改變發(fā)明的本質(zhì)的范圍內(nèi)而省略���。
[0116] 處理器580是終端500的控制中心�����,利用各種接口和線路連接整個(gè)終端的各個(gè)部 分����,通過運(yùn)行或執(zhí)行存儲(chǔ)在存儲(chǔ)器520內(nèi)的軟件程序和/或模塊,以及調(diào)用存儲(chǔ)在存儲(chǔ)器 520內(nèi)的數(shù)據(jù)�,執(zhí)行存儲(chǔ)設(shè)備的各種功能和處理數(shù)據(jù),從而對(duì)存儲(chǔ)設(shè)備進(jìn)行整體監(jiān)控��?����?蛇x 的�����,處理器580可包括一個(gè)或多個(gè)處理核心�����;優(yōu)選的��,處理器580可集成應(yīng)用處理器和調(diào)制 解調(diào)處理器����,其中��,應(yīng)用處理器主要處理操作系統(tǒng)��、用戶界面和應(yīng)用程序等�����,調(diào)制解調(diào)處理 器主要處理無線通信����?�?梢岳斫獾氖?�,上述調(diào)制解調(diào)處理器也可以不集成到處理器580中�����。
[0117] 終端500還包括給各個(gè)部件供電的電源590 (比如電池)����,優(yōu)選的�,電源可以通過電 源管理系統(tǒng)與處理器580邏輯相連��,從而通過電源管理系統(tǒng)實(shí)現(xiàn)管理充電����、放電�����、以及功耗 管理等功能�。電源590還可以包括一個(gè)或一個(gè)以上的直流或交流電源、再充電系統(tǒng)����、電源故 障檢測(cè)電路、電源轉(zhuǎn)換器或者逆變器�����、電源狀態(tài)指示器等任意組件�����。
[0118] 盡管未示出�����,終端500還可以包括攝像頭、藍(lán)牙模塊等�,在此不再贅述。具體在本 實(shí)施例中���,終端500包括有存儲(chǔ)器520,以及一個(gè)或者一個(gè)以上的程序�����,其中一個(gè)或者一個(gè) 以上程序存儲(chǔ)于存儲(chǔ)器520中�,且經(jīng)配置以由一個(gè)或者一個(gè)以上處理器580執(zhí)行上述一個(gè) 或者一個(gè)以上程序包含用于進(jìn)行以下操作的指令:
[0119] 獲取可信應(yīng)用向目標(biāo)服務(wù)器發(fā)起的連接請(qǐng)求��,所述連接請(qǐng)求中包含目標(biāo)服務(wù)器的 標(biāo)識(shí)��;
[0120] 通過調(diào)制解調(diào)器獲取智能卡中存儲(chǔ)的服務(wù)器列表���;
[0121] 根據(jù)目標(biāo)服務(wù)器的標(biāo)識(shí)判斷目標(biāo)服務(wù)器是否包含在服務(wù)器列表中�;
[0122] 若是���,則允許可信應(yīng)用與目標(biāo)服務(wù)器建立連接,若否����,則拒絕可信應(yīng)用與目標(biāo)服務(wù) 器建立連接�。
[0123] 需要說明的是���,本發(fā)明實(shí)施例提供的終端500,還可以用于實(shí)現(xiàn)上述裝置實(shí)施例中 的其它功能����,在此不再贅述��。
[0124] 本發(fā)明實(shí)施例還提供了一種提升可信執(zhí)行環(huán)境TEE安全性的系統(tǒng)�,請(qǐng)參閱圖6,所 述系統(tǒng)包括終端601,智能卡602及服務(wù)器603���。其中:
[0125] 終端601用于��,獲取可信應(yīng)用向目標(biāo)服務(wù)器發(fā)起的連接請(qǐng)求�,連接請(qǐng)求中包含目 標(biāo)服務(wù)器的標(biāo)識(shí)�����;通過調(diào)制解調(diào)器獲取智能卡中存儲(chǔ)的服務(wù)器列表����;根據(jù)目標(biāo)服務(wù)器的標(biāo) 識(shí)判斷目標(biāo)服務(wù)器是否包含在服務(wù)器列表中;若是,則允許可信應(yīng)用與目標(biāo)服務(wù)器建立連 接����,若否,則拒絕可信應(yīng)用與目標(biāo)服務(wù)器建立連接��;終端601支持可信執(zhí)行環(huán)境TEE�,可信應(yīng) 用執(zhí)行在可信執(zhí)行環(huán)境中;
[0126] 智能卡602用于���,存儲(chǔ)服務(wù)器列表���;
[0127] 服務(wù)器603用于,在目標(biāo)服務(wù)器包含在服務(wù)器列表中時(shí)��,與可信應(yīng)用建立連接�����。
[0128] 另外���,本實(shí)施例中的終端601����,還可以用于實(shí)現(xiàn)上述裝置實(shí)施例中的其它功能��,在 此不再贅述��。
[0129] 以上實(shí)施例中��,都是以智能卡與終端獨(dú)立存在為例進(jìn)行說明的���,在實(shí)際應(yīng)用中�,智 能卡也可包含在終端中�,例如,智能卡為SIM卡�,終端為手機(jī),SIM插在手機(jī)的卡槽中�����,此處 不做具體限定�����。
[0130] 需說明的是��,以上所描述的裝置實(shí)施例僅僅是示意性的����,其中所述作為分離部件 說明的單元可以是或者也可以不是物理上分開的���,作為單元顯示的部件可以是或者也可以 不是物理單元,即可以位于一個(gè)地方�����,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上�����?����?梢愿鶕?jù)實(shí)際的 需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本實(shí)施例方案的目的���。另外���,本發(fā)明提供的裝置 實(shí)施例附圖中,模塊之間的連接關(guān)系表示它們之間具有通信連接����,具體可以實(shí)現(xiàn)為一條或 多條通信總線或信號(hào)線����。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下�����,即可以理解 并實(shí)施�。
[0131] 通過以上的實(shí)施方式的描述����,所屬領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借 助軟件加必需的通用硬件的方式來實(shí)現(xiàn),當(dāng)然也可以通過專用硬件包括專用集成電路���、專 用CPU�、專用存儲(chǔ)器��、專用元器件等來實(shí)現(xiàn)�����。一般情況下�,凡由計(jì)算機(jī)程序完成的功能都可以 很容易地用相應(yīng)的硬件來實(shí)現(xiàn),而且����,用來實(shí)現(xiàn)同一功能的具體硬件結(jié)構(gòu)也可以是多種多 樣的���,例如模擬電路、數(shù)字電路或?qū)S秒娐返?。但是,?duì)本發(fā)明而言更多情況下軟件程序?qū)?現(xiàn)是更佳的實(shí)施方式���?�;谶@樣的理解��,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出 貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來���,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在可讀取的存儲(chǔ)介質(zhì) 中,如計(jì)算機(jī)的軟盤�����,u盤���、移動(dòng)硬盤��、只讀存儲(chǔ)器(ROM���,Read-Only Memory)�、隨機(jī)存取存儲(chǔ) 器(RAM, Random Access Memory)�����、磁碟或者光盤等�,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè) 備(可以是個(gè)人計(jì)算機(jī),服務(wù)器���,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。
[0132] 以上對(duì)本發(fā)明實(shí)施例所提供的一種提升可信執(zhí)行環(huán)境TEE安全性及系統(tǒng)�、終端進(jìn) 行了詳細(xì)介紹,對(duì)于本領(lǐng)域的一般技術(shù)人員��,依據(jù)本發(fā)明實(shí)施例的思想����,在【具體實(shí)施方式】及 應(yīng)用范圍上均會(huì)有改變之處,因此�,本說明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。
【權(quán)利要求】
1. 一種提升可信執(zhí)行環(huán)境TEE安全性的方法�,其特征在于,包括: 獲取可信應(yīng)用向目標(biāo)服務(wù)器發(fā)起的連接請(qǐng)求�,所述連接請(qǐng)求中包含所述目標(biāo)服務(wù)器的 標(biāo)識(shí)����; 通過調(diào)制解調(diào)器獲取智能卡中存儲(chǔ)的服務(wù)器列表�; 根據(jù)所述目標(biāo)服務(wù)器的標(biāo)識(shí)判斷所述目標(biāo)服務(wù)器是否包含在所述服務(wù)器列表中; 若是��,則允許所述可信應(yīng)用與所述目標(biāo)服務(wù)器建立連接�����,若否����,則拒絕所述可信應(yīng)用與 所述目標(biāo)服務(wù)器建立連接。
2. 如權(quán)利要求1所述的方法�,其特征在于,在所述可信應(yīng)用與所述目標(biāo)服務(wù)器建立連 接之后�,所述方法還包括: 將所述可信應(yīng)用的標(biāo)識(shí)通過所述調(diào)制解調(diào)器發(fā)送至所述智能卡,以請(qǐng)求所述智能卡根 據(jù)所述智能卡中存儲(chǔ)的與所述可信應(yīng)用的標(biāo)識(shí)對(duì)應(yīng)的認(rèn)證算法對(duì)所述可信應(yīng)用進(jìn)行認(rèn)證��。
3. 如權(quán)利要求2所述的方法�����,其特征在于,在將所述可信應(yīng)用的標(biāo)識(shí)通過所述調(diào)制解 調(diào)器發(fā)送至所述智能卡的同時(shí)�����,還將所述可信應(yīng)用響應(yīng)于所述目標(biāo)服務(wù)器發(fā)送的認(rèn)證請(qǐng)求 的認(rèn)證數(shù)據(jù)通過所述調(diào)制解調(diào)器發(fā)送至所述智能卡����,所述認(rèn)證數(shù)據(jù)中包含所述目標(biāo)服務(wù)器 的標(biāo)識(shí); 在請(qǐng)求所述智能卡對(duì)所述可信應(yīng)用進(jìn)行認(rèn)證之后�����,所述方法還包括: 判斷所述智能卡對(duì)所述可信應(yīng)用的認(rèn)證結(jié)果是否為成功��; 在所述智能卡對(duì)所述可信應(yīng)用的認(rèn)證結(jié)果為成功時(shí)�,通過所述調(diào)制解調(diào)器從所述智能 卡獲取對(duì)所述可信應(yīng)用與所述目標(biāo)服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密��、解密����、簽名或校驗(yàn)所 使用的臨時(shí)通信密鑰,所述臨時(shí)通信密鑰由所述智能卡根據(jù)所述可信應(yīng)用的標(biāo)識(shí)����、所述目 標(biāo)服務(wù)器的標(biāo)識(shí)及預(yù)設(shè)的算法生成。
4. 如權(quán)利要求3所述的方法,其特征在于���,所述智能卡中的服務(wù)器列表�、認(rèn)證算法及臨 時(shí)通信密鑰由智能卡發(fā)行商負(fù)責(zé)管理���。
5. 如權(quán)利要求1至4任意一項(xiàng)所述的方法���,其特征在于,所述智能卡包括:用戶身份識(shí) 別SM卡���,通用集成電路卡HCC及嵌入式通用集成電路卡eUICC�。
6. 如權(quán)利要求1至4任意一項(xiàng)所述的方法�����,其特征在于�,所述可信應(yīng)用與所述目標(biāo)服務(wù) 器之間通過所述調(diào)制解調(diào)器撥號(hào)建立連接,或者所述可信應(yīng)用與所述目標(biāo)服務(wù)器之間通過 WIFI建立連接�����。
7. 如權(quán)利要求1至4任意一項(xiàng)所述的方法�,其特征在于,所述服務(wù)器列表中包括所述可 信應(yīng)用進(jìn)行數(shù)值處理時(shí)所需要連接的服務(wù)器及對(duì)所述可信應(yīng)用進(jìn)行維護(hù)時(shí)所需連接的服 務(wù)器。
8. -種終端��,所述終端支持可信執(zhí)行環(huán)境TEE�����,其特征在于���,包括: 第一獲取單元�����,用于獲取可信應(yīng)用向目標(biāo)服務(wù)器發(fā)起的連接請(qǐng)求����,所述連接請(qǐng)求中包 含所述目標(biāo)服務(wù)器的標(biāo)識(shí)���; 第二獲取單元,用于通過調(diào)制解調(diào)器獲取智能卡中存儲(chǔ)的服務(wù)器列表��; 判斷單元����,用于根據(jù)所述目標(biāo)服務(wù)器的標(biāo)識(shí)判斷所述目標(biāo)服務(wù)器是否包含在所述服務(wù) 器列表中; 處理單元,用于當(dāng)所述目標(biāo)服務(wù)器包含在所述服務(wù)器列表中時(shí)��,允許所述可信應(yīng)用與 所述目標(biāo)服務(wù)器建立連接����,當(dāng)所述目標(biāo)服務(wù)器不包含在所述服務(wù)器列表中時(shí),拒絕所述可 信應(yīng)用與所述目標(biāo)服務(wù)器建立連接����。
9. 如權(quán)利要求7所述的終端,其特征在于�����,所述終端還包括: 發(fā)送單元�����,用于在所述可信應(yīng)用與所述目標(biāo)服務(wù)器建立連接之后�,將所述可信應(yīng)用的 標(biāo)識(shí)通過所述調(diào)制解調(diào)器發(fā)送至所述智能卡,以請(qǐng)求所述智能卡根據(jù)所述智能卡中存儲(chǔ)的 與所述可信應(yīng)用的標(biāo)識(shí)對(duì)應(yīng)的認(rèn)證算法對(duì)所述可信應(yīng)用進(jìn)行認(rèn)證��。
10. 如權(quán)利要求8所述的終端���,其特征在于����, 所述發(fā)送單元還用于,在將所述可信應(yīng)用的標(biāo)識(shí)通過所述調(diào)制解調(diào)器發(fā)送至所述智能 卡的同時(shí)��,還將所述可信應(yīng)用響應(yīng)于所述目標(biāo)服務(wù)器發(fā)送的認(rèn)證請(qǐng)求的認(rèn)證數(shù)據(jù)通過所述 調(diào)制解調(diào)器發(fā)送至所述智能卡�,所述認(rèn)證數(shù)據(jù)中包含所述目標(biāo)服務(wù)器的標(biāo)識(shí); 所述判斷單元還用于���,判斷所述智能卡對(duì)所述可信應(yīng)用的認(rèn)證結(jié)果是否為成功�; 所述終端還包括: 第三獲取單元��,用于在所述智能卡對(duì)所述可信應(yīng)用的認(rèn)證結(jié)果為成功時(shí)����,通過所述調(diào) 制解調(diào)器從所述智能卡獲取對(duì)所述可信應(yīng)用與所述目標(biāo)服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密、 解密�、簽名或校驗(yàn)所使用的臨時(shí)通信密鑰,所述臨時(shí)通信密鑰由所述智能卡根據(jù)所述可信 應(yīng)用的標(biāo)識(shí)��、所述目標(biāo)服務(wù)器的標(biāo)識(shí)及預(yù)設(shè)的算法生成�����。
11. 如權(quán)利要求10所述的終端��,其特征在于���,所述智能卡中的服務(wù)器列表��、認(rèn)證算法及 臨時(shí)通信密鑰由智能卡發(fā)行商負(fù)責(zé)管理�����。
12. 如權(quán)利要求8至11任意一項(xiàng)所述的終端����,其特征在于���,所述智能卡包括:用戶身份 識(shí)別SM卡��,通用集成電路卡HCC及嵌入式通用集成電路卡eUICC��。
13. 如權(quán)利要求8至11任意一項(xiàng)所述的終端�����,其特征在于�����,所述終端還包括: 連接建立單元�����,用于將所述可信應(yīng)用與所述目標(biāo)服務(wù)器之間通過所述調(diào)制解調(diào)器撥號(hào) 建立連接��,或者將所述可信應(yīng)用與所述目標(biāo)服務(wù)器之間通過WIFI建立連接����。
14. 如權(quán)利要求8至11任意一項(xiàng)所述的終端,其特征在于����,所述服務(wù)器列表中包括所述 可信應(yīng)用進(jìn)行數(shù)值處理時(shí)所需要連接的服務(wù)器及對(duì)所述可信應(yīng)用進(jìn)行維護(hù)時(shí)所需連接的 服務(wù)器。
15. -種提升可信執(zhí)行環(huán)境TEE安全性的系統(tǒng)���,其特征在于���,所述系統(tǒng)包括如權(quán)利要求 8至14任意一項(xiàng)所述的終端、服務(wù)器及智能卡��。
【文檔編號(hào)】H04L9/32GK104125216SQ201410308622
【公開日】2014年10月29日 申請(qǐng)日期:2014年6月30日 優(yōu)先權(quán)日:2014年6月30日
【發(fā)明者】祝鋰, 盧志華 申請(qǐng)人:華為技術(shù)有限公司