本發(fā)明涉及安全領(lǐng)域，特別涉及一種用于實(shí)現(xiàn)用戶數(shù)據(jù)安全傳輸?shù)姆椒?、用戶終端和系統(tǒng)。

背景技術(shù)：

目前在移動(dòng)終端的無線數(shù)據(jù)網(wǎng)絡(luò)接入服務(wù)中，接入廣泛采用的是WEP(Wired Equivalent Privacy，有線等效保密)/WPA(Wi-Fi Protected Access，Wi-Fi網(wǎng)絡(luò)安全接入)加密方式，但這種加密方式容易在終端側(cè)受應(yīng)用竊取、屏幕釣魚等惡意行為的影響造成用戶數(shù)據(jù)加密密鑰和認(rèn)證信息的泄露，從而進(jìn)一步造成用戶網(wǎng)絡(luò)信息的泄露。

現(xiàn)有的無線網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)存在以下問題：

1、密碼安全隱患：用于進(jìn)行數(shù)據(jù)加密的用戶密碼在輸入過程中易被終端側(cè)的惡意應(yīng)用非法竊取，造成密碼泄露。

2、數(shù)據(jù)安全隱患：一旦加密密鑰被竊取，用戶終端傳送給網(wǎng)絡(luò)的數(shù)據(jù)將無安全性可言，終端也可能受到網(wǎng)絡(luò)側(cè)的非法攻擊。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供一種用于實(shí)現(xiàn)用戶數(shù)據(jù)安全傳輸?shù)姆椒?、用戶終端和系統(tǒng)，通過用戶終端具備的可信執(zhí)行環(huán)境進(jìn)行用戶密碼的采集和用戶數(shù)據(jù)的加密，通過利用向用戶提供安全密碼輸入界面、以及工作密鑰的存儲(chǔ)和數(shù)據(jù)加密的途徑，避免終端富執(zhí)行環(huán)境側(cè)的惡意行為對(duì)用戶信息的竊取。

根據(jù)本發(fā)明的一個(gè)方面，提供一種用于實(shí)現(xiàn)用戶數(shù)據(jù)安全傳輸?shù)姆椒ǎǎ?/p>

用戶終端中的終端富執(zhí)行環(huán)境模塊將用戶數(shù)據(jù)發(fā)送給用戶終端中 的終端可信執(zhí)行環(huán)境模塊；

終端可信執(zhí)行環(huán)境模塊利用工作密鑰對(duì)用戶數(shù)據(jù)進(jìn)行加密，以得到密文，其中工作密鑰是終端可信執(zhí)行環(huán)境模塊和網(wǎng)絡(luò)側(cè)設(shè)備經(jīng)過協(xié)商得到的；

終端可信執(zhí)行環(huán)境模塊將密文發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備，以便網(wǎng)絡(luò)側(cè)設(shè)備利用工作密鑰對(duì)密文進(jìn)行解密。

在一個(gè)實(shí)施例中，終端富執(zhí)行環(huán)境模塊在接收到用戶輸入的網(wǎng)絡(luò)接入請(qǐng)求時(shí)，從終端可信執(zhí)行環(huán)境模塊調(diào)用可信用戶界面以呈現(xiàn)給用戶；

在用戶通過可信用戶界面輸入網(wǎng)絡(luò)接入密碼后，終端可信執(zhí)行環(huán)境模塊利用網(wǎng)絡(luò)接入密碼與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行用戶認(rèn)證；

若認(rèn)證成功，終端可信執(zhí)行環(huán)境模塊將與網(wǎng)絡(luò)側(cè)設(shè)備協(xié)商的密鑰作為工作密鑰。

在一個(gè)實(shí)施例中，終端可信執(zhí)行環(huán)境模塊將與網(wǎng)絡(luò)側(cè)設(shè)備協(xié)商的密鑰作為工作密鑰后，還包括：

終端可信執(zhí)行環(huán)境模塊向終端富執(zhí)行環(huán)境模塊發(fā)送認(rèn)證成功消息；

終端富執(zhí)行環(huán)境模塊在接收到認(rèn)證成功消息后，在需要發(fā)送用戶數(shù)據(jù)時(shí)，執(zhí)行將用戶數(shù)據(jù)發(fā)送給終端可信執(zhí)行環(huán)境模塊的步驟。

在一個(gè)實(shí)施例中，若認(rèn)證不成功，終端可信執(zhí)行環(huán)境模塊向終端富執(zhí)行環(huán)境模塊發(fā)送認(rèn)證失敗消息；

終端富執(zhí)行環(huán)境模塊在接收到認(rèn)證失敗消息后，禁止向終端可信執(zhí)行環(huán)境模塊發(fā)送用戶數(shù)據(jù)。

在一個(gè)實(shí)施例中，終端富執(zhí)行環(huán)境模塊在接收到用戶輸入的網(wǎng)絡(luò)接入請(qǐng)求時(shí)，從終端可信執(zhí)行環(huán)境模塊調(diào)用可信用戶界面以呈現(xiàn)給用戶的步驟包括：

終端富執(zhí)行環(huán)境模塊在接收到用戶輸入的網(wǎng)絡(luò)接入請(qǐng)求時(shí)，向終端可信執(zhí)行環(huán)境模塊發(fā)送可信用戶界面調(diào)用請(qǐng)求；

終端可信執(zhí)行環(huán)境模塊在接收到可信用戶界面調(diào)用請(qǐng)求后，將可信用戶界面呈現(xiàn)給用戶。

根據(jù)本發(fā)明的另一方面，提供一種用于實(shí)現(xiàn)用戶數(shù)據(jù)安全傳輸?shù)挠? 戶終端，包括終端富執(zhí)行環(huán)境模塊和終端可信執(zhí)行環(huán)境模塊，其中：

終端富執(zhí)行環(huán)境模塊將用戶數(shù)據(jù)發(fā)送給終端可信執(zhí)行環(huán)境模塊；

終端可信執(zhí)行環(huán)境模塊利用工作密鑰對(duì)用戶數(shù)據(jù)進(jìn)行加密，以得到密文，其中工作密鑰是終端可信執(zhí)行環(huán)境模塊和網(wǎng)絡(luò)側(cè)設(shè)備經(jīng)過協(xié)商得到的；

終端可信執(zhí)行環(huán)境模塊將密文發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備，以便網(wǎng)絡(luò)側(cè)設(shè)備利用工作密鑰對(duì)密文進(jìn)行解密。

在一個(gè)實(shí)施例中，終端富執(zhí)行環(huán)境模塊還用于在接收到用戶輸入的網(wǎng)絡(luò)接入請(qǐng)求時(shí)，從終端可信執(zhí)行環(huán)境模塊調(diào)用可信用戶界面以呈現(xiàn)給用戶；

終端可信執(zhí)行環(huán)境模塊還用于在用戶通過可信用戶界面輸入網(wǎng)絡(luò)接入密碼后，利用網(wǎng)絡(luò)接入密碼與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行用戶認(rèn)證；若認(rèn)證成功，將與網(wǎng)絡(luò)側(cè)設(shè)備協(xié)商的密鑰作為工作密鑰。

在一個(gè)實(shí)施例中，終端可信執(zhí)行環(huán)境模塊還用于在將與網(wǎng)絡(luò)側(cè)設(shè)備協(xié)商的密鑰作為工作密鑰后，向終端富執(zhí)行環(huán)境模塊發(fā)送認(rèn)證成功消息；

終端富執(zhí)行環(huán)境模塊還用于在接收到認(rèn)證成功消息后，在需要發(fā)送用戶數(shù)據(jù)時(shí)，執(zhí)行將用戶數(shù)據(jù)發(fā)送給終端可信執(zhí)行環(huán)境模塊的操作。

在一個(gè)實(shí)施例中，終端可信執(zhí)行環(huán)境模塊還用于在認(rèn)證不成功時(shí)，向終端富執(zhí)行環(huán)境模塊發(fā)送認(rèn)證失敗消息；

終端富執(zhí)行環(huán)境模塊還用于在接收到認(rèn)證失敗消息后，禁止向終端可信執(zhí)行環(huán)境模塊發(fā)送用戶數(shù)據(jù)。

在一個(gè)實(shí)施例中，終端富執(zhí)行環(huán)境模塊具體在接收到用戶輸入的網(wǎng)絡(luò)接入請(qǐng)求時(shí)，向終端可信執(zhí)行環(huán)境模塊發(fā)送可信用戶界面調(diào)用請(qǐng)求；

終端可信執(zhí)行環(huán)境模塊還用于在接收到可信用戶界面調(diào)用請(qǐng)求后，將可信用戶界面呈現(xiàn)給用戶。

根據(jù)本發(fā)明的另一方面，提供一種用于實(shí)現(xiàn)用戶數(shù)據(jù)安全傳輸?shù)南到y(tǒng)，包括上述任一實(shí)施例的用戶終端、網(wǎng)絡(luò)側(cè)設(shè)備，其中：

網(wǎng)絡(luò)側(cè)設(shè)備，用于在接收到用戶終端中的終端可信執(zhí)行環(huán)境模塊發(fā) 送的密文后，利用工作密鑰對(duì)密文進(jìn)行解密，其中工作密鑰是終端可信執(zhí)行環(huán)境模塊和網(wǎng)絡(luò)側(cè)設(shè)備經(jīng)過協(xié)商得到的。

在一個(gè)實(shí)施例中，網(wǎng)絡(luò)側(cè)設(shè)備還用于利用用戶通過可信用戶界面輸入的網(wǎng)絡(luò)接入密碼，與終端可信執(zhí)行環(huán)境模塊進(jìn)行用戶認(rèn)證，并在認(rèn)證成功后，將與終端可信執(zhí)行環(huán)境模塊協(xié)商的密鑰作為工作密鑰。

通過以下參照附圖對(duì)本發(fā)明的示例性實(shí)施例的詳細(xì)描述，本發(fā)明的其它特征及其優(yōu)點(diǎn)將會(huì)變得清楚。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明用于實(shí)現(xiàn)用戶數(shù)據(jù)安全傳輸?shù)姆椒ㄒ粋€(gè)實(shí)施例的示意圖。

圖2為本發(fā)明用戶終端接入網(wǎng)絡(luò)一個(gè)實(shí)施例的示意圖。

圖3為本發(fā)明用于實(shí)現(xiàn)用戶數(shù)據(jù)安全傳輸?shù)挠脩艚K端一個(gè)實(shí)施例的示意圖。

圖4為本發(fā)明可信執(zhí)行環(huán)境數(shù)據(jù)加密架構(gòu)一個(gè)實(shí)施例的示意圖。

圖5為本發(fā)明用于實(shí)現(xiàn)用戶數(shù)據(jù)安全傳輸?shù)南到y(tǒng)一個(gè)實(shí)施例的示意圖。

圖6為實(shí)現(xiàn)本發(fā)明的信息交互示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。以下對(duì)至少一個(gè)示例性實(shí)施例的描述實(shí)際上僅僅是說明性的，決不作為對(duì)本發(fā)明及其應(yīng)用或使用的任何限 制。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

除非另外具體說明，否則在這些實(shí)施例中闡述的部件和步驟的相對(duì)布置、數(shù)字表達(dá)式和數(shù)值不限制本發(fā)明的范圍。

同時(shí)，應(yīng)當(dāng)明白，為了便于描述，附圖中所示出的各個(gè)部分的尺寸并不是按照實(shí)際的比例關(guān)系繪制的。

對(duì)于相關(guān)領(lǐng)域普通技術(shù)人員已知的技術(shù)、方法和設(shè)備可能不作詳細(xì)討論，但在適當(dāng)情況下，所述技術(shù)、方法和設(shè)備應(yīng)當(dāng)被視為授權(quán)說明書的一部分。

在這里示出和討論的所有示例中，任何具體值應(yīng)被解釋為僅僅是示例性的，而不是作為限制。因此，示例性實(shí)施例的其它示例可以具有不同的值。

應(yīng)注意到：相似的標(biāo)號(hào)和字母在下面的附圖中表示類似項(xiàng)，因此，一旦某一項(xiàng)在一個(gè)附圖中被定義，則在隨后的附圖中不需要對(duì)其進(jìn)行進(jìn)一步討論。

目前基于用戶終端側(cè)實(shí)現(xiàn)的可信執(zhí)行環(huán)境(Trusted Execution Environment，簡(jiǎn)稱：TEE)，能夠獨(dú)立于終端的操作系統(tǒng)(富執(zhí)行環(huán)境(Rich Execution Environment，簡(jiǎn)稱：REE))，為用戶提供網(wǎng)絡(luò)加密信息的輸入、密鑰計(jì)算和獨(dú)立存儲(chǔ)。

圖1為本發(fā)明用于實(shí)現(xiàn)用戶數(shù)據(jù)安全傳輸?shù)姆椒ㄒ粋€(gè)實(shí)施例的示意圖。優(yōu)選的，本實(shí)施例的方法步驟可由具有可信執(zhí)行環(huán)境和富執(zhí)行環(huán)境的用戶終端執(zhí)行。

步驟101，用戶終端中的終端富執(zhí)行環(huán)境模塊將用戶數(shù)據(jù)發(fā)送給用戶終端中的終端可信執(zhí)行環(huán)境模塊。

步驟102，終端可信執(zhí)行環(huán)境模塊利用工作密鑰對(duì)用戶數(shù)據(jù)進(jìn)行加密，以得到密文，其中工作密鑰是終端可信執(zhí)行環(huán)境模塊和網(wǎng)絡(luò)側(cè)設(shè)備經(jīng)過協(xié)商得到的。

步驟103，終端可信執(zhí)行環(huán)境模塊將密文發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備，以便網(wǎng)絡(luò)側(cè)設(shè)備利用工作密鑰對(duì)密文進(jìn)行解密。

基于本發(fā)明上述實(shí)施例提供的用于實(shí)現(xiàn)用戶數(shù)據(jù)安全傳輸?shù)姆椒ǎㄟ^用戶終端具備的可信執(zhí)行環(huán)境進(jìn)行用戶密碼的采集和用戶數(shù)據(jù)的加密，通過利用向用戶提供安全密碼輸入界面、以及工作密鑰的存儲(chǔ)和數(shù)據(jù)加密的途徑，避免終端富執(zhí)行環(huán)境側(cè)的惡意行為對(duì)用戶信息的竊取。

圖2為本發(fā)明用戶終端接入網(wǎng)絡(luò)一個(gè)實(shí)施例的示意圖。如圖2所示，用戶終端在接入網(wǎng)絡(luò)時(shí)，執(zhí)行以下步驟：

步驟201，用戶終端中的終端富執(zhí)行環(huán)境模塊在接收到用戶輸入的網(wǎng)絡(luò)接入請(qǐng)求時(shí)，從終端可信執(zhí)行環(huán)境模塊調(diào)用可信用戶界面以呈現(xiàn)給用戶。

優(yōu)選的，終端富執(zhí)行環(huán)境模塊在接收到用戶輸入的網(wǎng)絡(luò)接入請(qǐng)求時(shí)，向終端可信執(zhí)行環(huán)境模塊發(fā)送可信用戶界面調(diào)用請(qǐng)求。終端可信執(zhí)行環(huán)境模塊在接收到可信用戶界面調(diào)用請(qǐng)求后，將可信用戶界面呈現(xiàn)給用戶。

步驟202，在用戶通過可信用戶界面輸入網(wǎng)絡(luò)接入密碼后，終端可信執(zhí)行環(huán)境模塊利用網(wǎng)絡(luò)接入密碼與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行用戶認(rèn)證。

步驟203，判斷認(rèn)證是否成功。若認(rèn)證成功，則執(zhí)行步驟204；若認(rèn)證不成功，則執(zhí)行步驟206。

步驟204，終端可信執(zhí)行環(huán)境模塊將與網(wǎng)絡(luò)側(cè)設(shè)備協(xié)商的密鑰作為工作密鑰。

由于認(rèn)證和經(jīng)協(xié)商生成工作密鑰并不涉及本發(fā)明的發(fā)明點(diǎn)，因此這里不展開描述。

步驟205，終端可信執(zhí)行環(huán)境模塊向終端富執(zhí)行環(huán)境模塊發(fā)送認(rèn)證成功消息。之后不再執(zhí)行本實(shí)施例的其它步驟。

由此，終端富執(zhí)行環(huán)境模塊在接收到認(rèn)證成功消息后，在需要發(fā)送用戶數(shù)據(jù)時(shí)，可執(zhí)行將用戶數(shù)據(jù)發(fā)送給終端可信執(zhí)行環(huán)境模塊的步驟，以便將用戶數(shù)據(jù)經(jīng)終端可信執(zhí)行環(huán)境模塊加密后發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備。

步驟206，終端可信執(zhí)行環(huán)境模塊向終端富執(zhí)行環(huán)境模塊發(fā)送認(rèn)證失敗消息。

從而，終端富執(zhí)行環(huán)境模塊在接收到認(rèn)證失敗消息后，禁止向終端可信執(zhí)行環(huán)境模塊發(fā)送用戶數(shù)據(jù)。

圖3為本發(fā)明用于實(shí)現(xiàn)用戶數(shù)據(jù)安全傳輸?shù)挠脩艚K端一個(gè)實(shí)施例的示意圖，相應(yīng)的架構(gòu)如圖4所示。如圖3所示，用戶終端包括終端富執(zhí)行環(huán)境模塊301和終端可信執(zhí)行環(huán)境模塊302，其中：

終端富執(zhí)行環(huán)境模塊301將用戶數(shù)據(jù)發(fā)送給終端可信執(zhí)行環(huán)境模塊302。

終端可信執(zhí)行環(huán)境模塊302利用工作密鑰對(duì)用戶數(shù)據(jù)進(jìn)行加密，以得到密文，其中工作密鑰是終端可信執(zhí)行環(huán)境模塊和網(wǎng)絡(luò)側(cè)設(shè)備經(jīng)過協(xié)商得到的。

終端可信執(zhí)行環(huán)境模塊302將密文發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備，以便網(wǎng)絡(luò)側(cè)設(shè)備利用工作密鑰對(duì)密文進(jìn)行解密。

基于本發(fā)明上述實(shí)施例提供的用于實(shí)現(xiàn)用戶數(shù)據(jù)安全傳輸?shù)挠脩艚K端，通過用戶終端具備的可信執(zhí)行環(huán)境進(jìn)行用戶密碼的采集和用戶數(shù)據(jù)的加密，通過利用向用戶提供安全密碼輸入界面、以及工作密鑰的存儲(chǔ)和數(shù)據(jù)加密的途徑，避免終端富執(zhí)行環(huán)境側(cè)的惡意行為對(duì)用戶信息的竊取。

優(yōu)選的，終端富執(zhí)行環(huán)境模塊301還用于在接收到用戶輸入的網(wǎng)絡(luò)接入請(qǐng)求時(shí)，從終端可信執(zhí)行環(huán)境模塊302調(diào)用可信用戶界面以呈現(xiàn)給用戶。

在一個(gè)實(shí)施例中，終端富執(zhí)行環(huán)境模塊301具體在接收到用戶輸入的網(wǎng)絡(luò)接入請(qǐng)求時(shí)，向終端可信執(zhí)行環(huán)境模塊302發(fā)送可信用戶界面調(diào)用請(qǐng)求。終端可信執(zhí)行環(huán)境模塊302還用于在接收到可信用戶界面調(diào)用請(qǐng)求后，將可信用戶界面呈現(xiàn)給用戶。

優(yōu)選的，終端可信執(zhí)行環(huán)境模塊302還用于在用戶通過可信用戶界面輸入網(wǎng)絡(luò)接入密碼后，利用網(wǎng)絡(luò)接入密碼與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行用戶認(rèn)證；若認(rèn)證成功，將與網(wǎng)絡(luò)側(cè)設(shè)備協(xié)商的密鑰作為工作密鑰。

優(yōu)選的，終端可信執(zhí)行環(huán)境模塊302還用于在將與網(wǎng)絡(luò)側(cè)設(shè)備協(xié)商的密鑰作為工作密鑰后，向終端富執(zhí)行環(huán)境模塊301發(fā)送認(rèn)證成功消 息。

終端富執(zhí)行環(huán)境模塊301還用于在接收到認(rèn)證成功消息后，在需要發(fā)送用戶數(shù)據(jù)時(shí)，執(zhí)行將用戶數(shù)據(jù)發(fā)送給終端可信執(zhí)行環(huán)境模塊302的操作。

優(yōu)選的，終端可信執(zhí)行環(huán)境模塊302還用于在認(rèn)證不成功時(shí)，向終端富執(zhí)行環(huán)境模塊301發(fā)送認(rèn)證失敗消息。

終端富執(zhí)行環(huán)境模塊301還用于在接收到認(rèn)證失敗消息后，禁止向終端可信執(zhí)行環(huán)境模塊302發(fā)送用戶數(shù)據(jù)。

從圖4可以看出，在用戶終端中，可信執(zhí)行環(huán)境是通過混合使用硬件和軟件的方法，在終端上與富執(zhí)行環(huán)境相分離的安全區(qū)域。可信執(zhí)行環(huán)境負(fù)責(zé)文件的加解密，身份認(rèn)證、密鑰、證書等敏感信息存儲(chǔ)，提供TUI(Text-based User Interface，文本用戶界面)安全輸入輸出。

圖5為本發(fā)明用于實(shí)現(xiàn)用戶數(shù)據(jù)安全傳輸?shù)南到y(tǒng)一個(gè)實(shí)施例的示意圖。如圖5所示，該系統(tǒng)包括用戶終端501和網(wǎng)絡(luò)側(cè)設(shè)備502，其中，用戶終端為圖3和圖4中任一實(shí)施例涉及的用戶終端。

網(wǎng)絡(luò)側(cè)設(shè)備502用于在接收到用戶終端501中的終端可信執(zhí)行環(huán)境模塊發(fā)送的密文后，利用工作密鑰對(duì)密文進(jìn)行解密，其中工作密鑰是終端可信執(zhí)行環(huán)境模塊和網(wǎng)絡(luò)側(cè)設(shè)備經(jīng)過協(xié)商得到的。

優(yōu)選的，網(wǎng)絡(luò)側(cè)設(shè)備502還用于利用用戶通過可信用戶界面輸入的網(wǎng)絡(luò)接入密碼，與終端可信執(zhí)行環(huán)境模塊進(jìn)行用戶認(rèn)證，并在認(rèn)證成功后，將與終端可信執(zhí)行環(huán)境模塊協(xié)商的密鑰作為工作密鑰。

下面通過一個(gè)具體示例對(duì)本發(fā)明進(jìn)行說明，如圖6所示。

步驟601，用戶需要連接至無線網(wǎng)絡(luò)時(shí)，用戶向用戶終端中的終端富執(zhí)行環(huán)境模塊輸入網(wǎng)絡(luò)接入請(qǐng)求。

步驟602，終端富執(zhí)行環(huán)境模塊接收到網(wǎng)絡(luò)接入請(qǐng)求后，向用戶終端中的終端可信執(zhí)行環(huán)境模塊發(fā)送可信用戶界面調(diào)用請(qǐng)求。

步驟603，終端可信執(zhí)行環(huán)境模塊接收到可信用戶界面調(diào)用請(qǐng)求，為用戶提供可信用戶界面。

步驟604，用戶在可信用戶界面輸入網(wǎng)絡(luò)接入密碼。

步驟605，終端可信執(zhí)行環(huán)境模塊利用用戶輸入的網(wǎng)絡(luò)接入密碼，與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行認(rèn)證。

步驟606，若認(rèn)證成功，則終端可信執(zhí)行環(huán)境模塊與網(wǎng)絡(luò)側(cè)設(shè)備協(xié)商工作密鑰。

步驟607，終端可信執(zhí)行環(huán)境模塊將認(rèn)證結(jié)果發(fā)送給終端富執(zhí)行環(huán)境模塊。

其中在認(rèn)證成功后，終端富執(zhí)行環(huán)境模塊可將用戶數(shù)據(jù)通過終端可信執(zhí)行環(huán)境模塊發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備。若認(rèn)證不成功，則終端富執(zhí)行環(huán)境模塊不會(huì)將用戶數(shù)據(jù)發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備。

步驟608，在發(fā)送用戶數(shù)據(jù)時(shí)，終端富執(zhí)行環(huán)境模塊將作為明文的用戶數(shù)據(jù)發(fā)送給終端可信執(zhí)行環(huán)境模塊。

步驟609，終端可信執(zhí)行環(huán)境模塊利用工作密鑰對(duì)用戶數(shù)據(jù)進(jìn)行加密以得到密文。

步驟610，終端可信執(zhí)行環(huán)境模塊將密文發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備。

步驟611，網(wǎng)絡(luò)側(cè)設(shè)備利用工作密鑰對(duì)密文進(jìn)行解密，從而接收到用戶數(shù)據(jù)。

當(dāng)前的無線局域網(wǎng)的數(shù)據(jù)加密是用戶通過在終端操作系統(tǒng)(富執(zhí)行環(huán)境)提供的界面輸入無線網(wǎng)絡(luò)密碼，完成用戶認(rèn)證和數(shù)據(jù)加密，密鑰采用共享密鑰(WEP協(xié)議)或動(dòng)態(tài)密鑰形式(WPA協(xié)議)，其中共享密鑰需要由操作系統(tǒng)保存。本發(fā)明采用可信執(zhí)行環(huán)境提供用戶認(rèn)證和數(shù)據(jù)加密。用戶需要輸入無線網(wǎng)絡(luò)密碼時(shí)，富執(zhí)行環(huán)境通過調(diào)用可信執(zhí)行環(huán)境提供的可信用戶界面提示用戶輸入密碼，由可信環(huán)境計(jì)算出密鑰并存儲(chǔ)在可信內(nèi)核，然后完成網(wǎng)絡(luò)認(rèn)證和數(shù)據(jù)加密，通過對(duì)富執(zhí)行環(huán)境的隔離，防止富執(zhí)行環(huán)境中惡意應(yīng)用對(duì)用戶信息的影響。

通過實(shí)施本發(fā)明，可以得到以下有益效果。

本專利提出的技術(shù)方案相對(duì)于現(xiàn)有技術(shù)，具備以下優(yōu)點(diǎn)：

1、優(yōu)化了原有的由富執(zhí)行環(huán)境提供密碼輸入、密鑰生成和數(shù)據(jù)加密的過程，將輸入、密鑰計(jì)算和加密操作納入可信執(zhí)行環(huán)境中執(zhí)行，并在執(zhí)行過程中采用隔離技術(shù)防止竊聽等惡意行為；

2、所有支持可信執(zhí)行環(huán)境的終端按本發(fā)明進(jìn)行配置后均可實(shí)現(xiàn)數(shù)據(jù)加密，從終端角度出發(fā)提出了數(shù)據(jù)安全的解決方案；

3、本發(fā)明支持主流WEP/WPA/WPA2等無線網(wǎng)絡(luò)數(shù)據(jù)加密標(biāo)準(zhǔn)，不改變無線網(wǎng)絡(luò)認(rèn)證過程，用戶對(duì)認(rèn)證、加密過程無感知。

4、移動(dòng)終端側(cè)需從芯片、操作系統(tǒng)和要終端架構(gòu)上支持可信執(zhí)行環(huán)境的方案架構(gòu)，目前已有主流的GP標(biāo)準(zhǔn)等指導(dǎo)產(chǎn)業(yè)鏈廠商輸出相應(yīng)技術(shù)；同時(shí)對(duì)終端側(cè)的改動(dòng)主要為開發(fā)支持可信輸入的應(yīng)用軟件和加密存儲(chǔ)的邏輯。因此本發(fā)明便于實(shí)現(xiàn)。

5、所有支持可信執(zhí)行環(huán)境的移動(dòng)終端，特別是對(duì)數(shù)據(jù)安全性要求高的政企行業(yè)，充分利用終端能力保證客戶信息安全；同時(shí)可以配合國(guó)家無線城市戰(zhàn)略的推廣，針對(duì)有高安全需求的終端提供定制化的賬號(hào)授權(quán)、業(yè)務(wù)動(dòng)態(tài)配置等。

本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例的全部或部分步驟可以通過硬件來完成，也可以通過程序來指令相關(guān)的硬件完成，所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中，上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器，磁盤或光盤等。

本發(fā)明的描述是為了示例和描述起見而給出的，而并不是無遺漏的或者將本發(fā)明限于所公開的形式。很多修改和變化對(duì)于本領(lǐng)域的普通技術(shù)人員而言是顯然的。選擇和描述實(shí)施例是為了更好說明本發(fā)明的原理和實(shí)際應(yīng)用，并且使本領(lǐng)域的普通技術(shù)人員能夠理解本發(fā)明從而設(shè)計(jì)適于特定用途的帶有各種修改的各種實(shí)施例。