本發(fā)明涉及移動通信領(lǐng)域,尤其涉及一種終端安全通信的系統(tǒng)和方法。
背景技術(shù):
隨著電子技術(shù)的不斷發(fā)展,手機已成為人們?nèi)粘I畋夭豢缮俚墓ぞ咧弧D1是現(xiàn)有技術(shù)中手機單芯片方法中片上系統(tǒng)結(jié)構(gòu)示意圖。現(xiàn)有手機單芯片方案中的片上系統(tǒng)(system on chip,SoC),主要是由單芯片實現(xiàn)兩部分的軟件系統(tǒng):應(yīng)用處理器(application pattern,AP)系統(tǒng)10和通信處理器(communication pattern,CP)系統(tǒng)20,如圖1所示。AP系統(tǒng)和CP系統(tǒng)之間通過第一共享內(nèi)存進行數(shù)據(jù)傳輸。
AP系統(tǒng)10包括有普通子系統(tǒng)11和安全子系統(tǒng)12。普通子系統(tǒng)11與CP系統(tǒng)20之間通過第一共享內(nèi)存30進行數(shù)據(jù)傳輸。此外,兩個子系統(tǒng)之間通過第二共享內(nèi)存40進行數(shù)據(jù)傳輸。進而,通過第一共享內(nèi)存30與第二共享內(nèi)存40的數(shù)據(jù)傳輸作用,CP系統(tǒng)20可以與AP系統(tǒng)內(nèi)部10的普通子系統(tǒng)11和安全子系統(tǒng)12均實現(xiàn)數(shù)據(jù)傳輸。
現(xiàn)有技術(shù)存在如下缺陷:安全性差,由于安全子系統(tǒng)需進行數(shù)據(jù)通信時,數(shù)據(jù)需經(jīng)過第一共享內(nèi)存和第二共享內(nèi)存,以及經(jīng)過普通子系統(tǒng),所以有可能被惡意軟件或黑客截取或篡改;傳輸效率低,由于安全子系統(tǒng)不能直接與CP系統(tǒng)交互進行數(shù)據(jù)通信,必須由普通子系統(tǒng)中轉(zhuǎn),這樣增加了系統(tǒng)的處理時間和 功耗。
技術(shù)實現(xiàn)要素:
本發(fā)明的目的在于提出一種終端安全通信的系統(tǒng)和方法,以提高傳輸?shù)陌踩院蛡鬏斝省?/p>
第一方面,本發(fā)明提供了一種終端安全通信的系統(tǒng),包括單芯片,所述單芯片上配置有應(yīng)用處理器AP系統(tǒng)和通信處理器CP系統(tǒng),所述AP系統(tǒng)包括普通子系統(tǒng)和安全子系統(tǒng),所述普通子系統(tǒng)和安全子系統(tǒng)之間配置有第一共享內(nèi)存,所述普通子系統(tǒng)與CP系統(tǒng)之間配置有第二共享內(nèi)存之外,還包括:
第三共享內(nèi)存,配置在安全子系統(tǒng)與CP系統(tǒng)之間,用于實現(xiàn)安全子系統(tǒng)與CP系統(tǒng)之間的數(shù)據(jù)傳輸。
第二方面,本發(fā)明提供了一種終端安全通信的方法,應(yīng)用于終端安全通信的系統(tǒng),包括:
所述安全子系統(tǒng)通過第二共享內(nèi)存與所述CP系統(tǒng)進行數(shù)據(jù)交互,以實現(xiàn)數(shù)據(jù)的發(fā)送和接收。
本發(fā)明提供的技術(shù)方案,通過增設(shè)配置于安全子系統(tǒng)和CP系統(tǒng)之間的共享內(nèi)存,實現(xiàn)安全子系統(tǒng)與CP系統(tǒng)之間的數(shù)據(jù)傳輸,從而提高了數(shù)據(jù)傳輸?shù)陌踩院蛡鬏斝省?/p>
附圖說明
為了更加清楚地說明本發(fā)明示例性實施例的技術(shù)方案,下面對描述實施例中所需要用到的附圖做一簡單介紹。顯然,所介紹的附圖只是本發(fā)明所要描述的一部分實施例的附圖,而不是全部的附圖,對于本領(lǐng)域普通技術(shù)人員,在不 付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖得到其他的附圖。
圖1是現(xiàn)有技術(shù)中手機單芯片方法中片上系統(tǒng)結(jié)構(gòu)示意圖。
圖2是本發(fā)明實施例一提供的一種終端安全通信的系統(tǒng)的結(jié)構(gòu)示意圖。
圖3是本發(fā)明實施例二提供的一種終端安全通信的方法的流程示意圖。
圖4是本發(fā)明實施例三提供的一種終端安全通信的方法的終端接收數(shù)據(jù)方法的流程圖。
圖5是本發(fā)明實施例三提供的一種終端安全通信的方法的終端發(fā)送數(shù)據(jù)方法的流程圖。
圖6是本發(fā)明實施例四提供的一種終端安全通信的方法中加密/解密流程示意圖。
具體實施方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,以下將結(jié)合本發(fā)明實施例中的附圖,通過具體實施方式,完整地描述本發(fā)明的技術(shù)方案。顯然,所描述的實施例是本發(fā)明的一部分實施例,而不是全部的實施例,基于本發(fā)明的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下獲得的所有其他實施例,均落入本發(fā)明的保護范圍之內(nèi)。
實施例一:
圖2是本發(fā)明實施例一提供的一種終端安全通信的系統(tǒng)的結(jié)構(gòu)示意圖。如圖2所示,一種終端安全通信的系統(tǒng)包括單芯片100,所述單芯片100上配置有應(yīng)用處理器AP系統(tǒng)110和通信處理器CP系統(tǒng)120,所述AP系統(tǒng)110包括普通子系統(tǒng)111和安全子系統(tǒng)112,所述普通子系統(tǒng)111和安全子系統(tǒng)112之間配置 有第一共享內(nèi)存113,所述普通子系統(tǒng)111與CP系統(tǒng)之間120配置有第二共享內(nèi)存121,該系統(tǒng)還包括:
第三共享內(nèi)存122,配置在安全子系統(tǒng)112與CP系統(tǒng)之間120,用于實現(xiàn)安全子系統(tǒng)112與CP系統(tǒng)120之間的數(shù)據(jù)傳輸。
通常情況下,單芯片100是由一個芯片及部分電路所組成。該芯片會包含有數(shù)位電路、類比電路等各種控制電路,而包含于芯片內(nèi)部的應(yīng)用程式通常稱為嵌入式系統(tǒng)。
進一步的,終端安全通信的系統(tǒng)還可以包括三個專用內(nèi)存,分別配置給所述普通子系統(tǒng)111、安全子系統(tǒng)112和CP系統(tǒng)120。這個三個內(nèi)存與普通子系統(tǒng)111、安全子系統(tǒng)112和CP系統(tǒng)120一一對應(yīng),分別用于存儲普通子系統(tǒng)111、安全子系統(tǒng)112和CP系統(tǒng)120的系統(tǒng)數(shù)據(jù)。
需要說明的是,第一共享內(nèi)存113、第二共享內(nèi)存121和第三共享內(nèi)存122可以為物理獨立的存儲介質(zhì);或者也可以為地址空間控制器在獨立存儲介質(zhì)中劃分的獨立地址區(qū)域。也就是說,第一共享內(nèi)存113、第二共享內(nèi)存121和第三共享內(nèi)存122所存儲的數(shù)據(jù)不會相互影響。
本發(fā)明實施例一提供的一種終端安全通信的系統(tǒng),通過增加一個獨立共享內(nèi)存,為安全子系統(tǒng)與CP系統(tǒng)之間的數(shù)據(jù)傳輸提供了一種介質(zhì),提高了數(shù)據(jù)傳輸?shù)陌踩院蛡鬏斝省?/p>
實施例二:
圖3給出了本實施例二提供的一種終端安全通信的系統(tǒng)中安全子系統(tǒng)結(jié)構(gòu)示意圖。
由圖3所示,安全子系統(tǒng)200,包括有安全應(yīng)用程序單元210、系統(tǒng)調(diào)用接 口220、加解密引擎230和任務(wù)調(diào)度器240等。其中,除安全應(yīng)用程序單元210,其余模塊均設(shè)置于安全子系統(tǒng)200的內(nèi)核空間。
這是由于安全應(yīng)用程序單元210主要用于處理安全子系統(tǒng)200中具體的安全業(yè)務(wù)流程,如安全子系統(tǒng)200專用內(nèi)存中數(shù)據(jù)的輸入輸出等??梢韵胍姷氖牵踩酉到y(tǒng)200可以同時包括有多個安全應(yīng)用程序單元210,因此需要與其他模塊進行隔離。
系統(tǒng)調(diào)用接口220用于安全應(yīng)用程序單元210調(diào)用安全子系統(tǒng)內(nèi)核空間中的各個模塊的功能。
加解密引擎230用于對安全子系統(tǒng)200專用內(nèi)存發(fā)送的數(shù)據(jù)進行加密或者對接收的數(shù)據(jù)進行解密。
任務(wù)調(diào)度器240用于根據(jù)安全應(yīng)用程序單元210調(diào)用安全子系統(tǒng)200核空間中的各個模塊的功能進行調(diào)度,合理安排加載、釋放安全子系統(tǒng)的內(nèi)核空間。
此外,本發(fā)明實施例還增加了網(wǎng)絡(luò)協(xié)議棧250和調(diào)制解調(diào)驅(qū)動260。其中,網(wǎng)絡(luò)協(xié)議棧250對安全子系統(tǒng)200專用內(nèi)存發(fā)送的數(shù)據(jù)進行打包或者對接收的數(shù)據(jù)進行解包。
調(diào)制解調(diào)驅(qū)動260用于安全共享內(nèi)存對第三共享內(nèi)存進行讀寫,以實現(xiàn)與CP進行數(shù)據(jù)傳輸。
本發(fā)明實施例二提供的一種終端安全通信的系統(tǒng),通過對安全子系統(tǒng)增加網(wǎng)絡(luò)協(xié)議棧和調(diào)制解調(diào)驅(qū)動這兩個模塊,進而可將安全子系統(tǒng)專用內(nèi)存的所需發(fā)送的數(shù)據(jù)或接收的數(shù)據(jù)進行打包或解包,并通過新增的第三共享內(nèi)存實現(xiàn)數(shù)據(jù)的傳輸,從而提高了數(shù)據(jù)傳輸?shù)陌踩院蛡鬏斝省?/p>
實施例三
本發(fā)明實施例還提供了一種終端安全通信的方法,其可采用本發(fā)明實施例所提供的終端安全通信的系統(tǒng)來執(zhí)行。該方法包括:
所述安全子系統(tǒng)通過第三共享內(nèi)存與所述CP系統(tǒng)進行數(shù)據(jù)交互,以實現(xiàn)數(shù)據(jù)的發(fā)送和接收。
該方法具體的工作過程如下:
首先,安全子系統(tǒng)包括配置在用戶空間的安全應(yīng)用程序單元,還包括配置在內(nèi)核空間的系統(tǒng)調(diào)用接口、加解密引擎、網(wǎng)絡(luò)協(xié)議棧、任務(wù)調(diào)度器、內(nèi)存管理器和調(diào)制解調(diào)驅(qū)動。其中,各個模塊的工作內(nèi)容實施例二已經(jīng)描述,這里不再重復(fù)。
由于安全子系統(tǒng)與CP系統(tǒng)之間通過第三共享內(nèi)存實現(xiàn)雙向的數(shù)據(jù)傳輸,因此所述安全子系統(tǒng)通過第二共享內(nèi)存與所述CP系統(tǒng)進行數(shù)據(jù)交互。
圖4是本發(fā)明實施例三提供的一種終端安全通信的方法的終端接收數(shù)據(jù)方法的流程圖。如圖4所示,終端接收數(shù)據(jù)包括:
S101、CP系統(tǒng)將從其他設(shè)備如其他終端的安全子系統(tǒng)接收到的數(shù)據(jù)放入所述第三共享內(nèi)存,并發(fā)送中斷通知所述安全子系統(tǒng)。所述安全子系統(tǒng)接收到所述中斷,開始從第三共享內(nèi)存提取CP系統(tǒng)發(fā)送的數(shù)據(jù)。
S102、所述調(diào)制解調(diào)驅(qū)動根據(jù)所述中斷通知從所述第二共享內(nèi)存讀取接收到的數(shù)據(jù),提供給網(wǎng)絡(luò)協(xié)議棧。
S103、所述網(wǎng)絡(luò)協(xié)議棧對接收到的數(shù)據(jù)進行解包。其中網(wǎng)絡(luò)協(xié)議棧在解包的過程中根據(jù)TCP/IP協(xié)議進行解包。
S104、所述安全應(yīng)用程序調(diào)用系統(tǒng)調(diào)用接口獲取解包后的數(shù)據(jù)。
當網(wǎng)絡(luò)協(xié)議棧對數(shù)據(jù)進行解包之后,安全應(yīng)用程序單元會將數(shù)據(jù)進行調(diào)用 至所述安全子系統(tǒng)的專用內(nèi)存。
圖5是本發(fā)明實施例三提供的一種終端安全通信的方法的終端發(fā)送數(shù)據(jù)方法的流程圖。如圖5所示,所述安全子系統(tǒng)通過第二共享內(nèi)存與所述CP系統(tǒng)進行數(shù)據(jù)交互,以實現(xiàn)數(shù)據(jù)的發(fā)送包括:
S201、所述安全應(yīng)用程序單元通過所述系統(tǒng)調(diào)用接口,調(diào)用待發(fā)送數(shù)據(jù),提供給網(wǎng)絡(luò)協(xié)議棧。首先,安全應(yīng)用程序單元會調(diào)用安全子系統(tǒng)的專用內(nèi)存中的數(shù)據(jù),并將其發(fā)送給網(wǎng)絡(luò)協(xié)議棧。
S202、所述網(wǎng)絡(luò)協(xié)議棧根據(jù)網(wǎng)絡(luò)傳輸協(xié)議,對所述待發(fā)送數(shù)據(jù)進行打包。其中網(wǎng)絡(luò)協(xié)議棧在打包的過程中根據(jù)TCP/IP協(xié)議進行打包。
S203、所述調(diào)制解調(diào)驅(qū)動將打包后的待發(fā)送數(shù)據(jù)包寫入所述第三共享內(nèi)存,向所述CP系統(tǒng)傳輸。
S204、所述CP系統(tǒng)將所述數(shù)據(jù)包進行發(fā)送。需要解釋的是,CP系統(tǒng)會將數(shù)據(jù)包發(fā)送至其他設(shè)備,如其他終端的安全子系統(tǒng)。
本發(fā)明實施例三提供的一種終端安全通信的方法,通過安全子系統(tǒng)內(nèi)部的調(diào)制解調(diào)驅(qū)動對數(shù)據(jù)進行打包、通過網(wǎng)絡(luò)協(xié)議棧對數(shù)據(jù)進行打包/解包,進而通過第三安全共享內(nèi)存實現(xiàn)了安全子系統(tǒng)與CP系統(tǒng)之間數(shù)據(jù)的傳輸,從而提高了數(shù)據(jù)傳輸?shù)陌踩院蛡鬏斝省?/p>
實施例四
圖6是本發(fā)明實施例四提供的一種終端安全通信的方法中加密/解密流程示意圖。
如圖6所示,所述安全子系統(tǒng)通過第二共享內(nèi)存與所述CP系統(tǒng)進行數(shù)據(jù)交互,以實現(xiàn)數(shù)據(jù)的發(fā)送和接收包括:
S301、所述安全應(yīng)用程序通過系統(tǒng)調(diào)用接口調(diào)用加解密引擎以獲取第一隨機數(shù)Ra和對稱加密算法,作為待發(fā)送數(shù)據(jù)。
其中隨機數(shù)可以為任意數(shù)字,而對稱加密算法可以為對稱密碼體制加密算法DES、三重數(shù)據(jù)加密算法3DES或高級加密標準算法AES。
S302、所述安全應(yīng)用程序通過第三共享內(nèi)存和所述CP系統(tǒng),將第一隨機數(shù)Ra和對稱加密算法發(fā)送給遠端。
遠端可以為其他具有加解密引擎的安全子系統(tǒng)或其他設(shè)備,遠端會判定安全子系統(tǒng)中加解密引擎是否采用相同加密算法,若是則繼續(xù)加密或解密,否則結(jié)束加密或解密。
S303、所述安全應(yīng)用程序通過第三共享內(nèi)存和所述CP系統(tǒng),接收遠端發(fā)送的數(shù)字證書和第二隨機數(shù)Rb。
當遠端確認與安全子系統(tǒng)中加解密引擎采用相同的加密算法后,會發(fā)送一個數(shù)字證書和第二隨機數(shù)Rb至安全子系統(tǒng)中加解密引擎。其中,數(shù)字證書指定政策和具體步驟來驗證、識別用戶身份,并對用戶證書進行前面,以保證證書持有者即遠端和安全子系統(tǒng)的身份和對公鑰的擁有權(quán)。
S304、所述安全應(yīng)用程序根據(jù)數(shù)字證書中的簽名對所述數(shù)字證書進行驗證,并產(chǎn)生第三隨機數(shù)S。
安全子系統(tǒng)中加解密引擎接收到遠端發(fā)送的數(shù)字證書和第二隨機數(shù)Rb,之后加解密引擎會對生成一個第三隨機數(shù)S。
S305、所述安全應(yīng)用程序?qū)⑺龅谌S機數(shù)S基于所述數(shù)字證書中的遠端公鑰進行加密后發(fā)送給所述遠端。
之后,遠端會根據(jù)其內(nèi)部既有的私鑰解出相應(yīng)的第三隨機數(shù)S。安全應(yīng)用 程序和遠端采用第一隨機數(shù)Ra、第二隨機數(shù)Rb和第三隨機數(shù)Rc生成對稱加密秘鑰,進而實現(xiàn)對數(shù)據(jù)的加密或解密。
本發(fā)明實施例四所述的一種終端安全通信的方法,通過對安全子系統(tǒng)內(nèi)部的加解密引擎與遠端采用相同的對稱加密算法,通過使用隨機數(shù)生成相應(yīng)的對稱秘鑰,最終實現(xiàn)加解密引擎與遠端對雙方數(shù)據(jù)的加解密,從而提高了數(shù)據(jù)傳輸?shù)陌踩院蛡鬏斝省?/p>
上述僅為本發(fā)明的較佳實施例及所運用的技術(shù)原理。本發(fā)明不限于這里所述的特定實施例,對本領(lǐng)域技術(shù)人員來說能夠進行的各種明顯變化、重新調(diào)整及替代均不會脫離本發(fā)明的保護范圍。因此,雖然通過以上實施例對本發(fā)明進行了較為詳細的說明,但是本發(fā)明不僅僅限于以上實施例,在不脫離本發(fā)明構(gòu)思的情況下,還可以包括更多其他等效實施例,而本發(fā)明的范圍由權(quán)利要求的范圍決定。