用于安全性信息交互的设备的利记博彩app
【专利摘要】本发明公开了一种用于安全性信息交互的设备,所述设备包括第一系统管理装置和第二系统管理装置,所述第一系统管理装置用于为应用提供正常模式的运行环境,并包括:统一接口命令模块,用于为所述应用提供统一命令接口;命令分发模块,根据从所述统一接口命令模块接收的命令,确定要发往的外部安全载体;以及第一控制模块,用于与处于正常模式下的外部安全载体进行命令交互;以及所述第二系统管理装置用于提供安全模式的运行环境,并包括:第二控制模块,用于与处于安全模式下的安全载体进行命令交互;其中,所述命令分发模块配置成在确定所述外部安全载体处于正常模式下时,调用所述第一控制模块,并且配置成在确定所述外部安全载体处于安全模式下时,调用所述第二控制模块。
【专利说明】用于安全性信息交互的设备
【技术领域】
[0001] 本发明涉及本发明涉及用于信息交互的设备,更具体地,涉及用于安全性信息交 互的设备。
【背景技术】
[0002] 随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富,用于安 全性信息交互(即对安全性要求较高的信息交互,例如金融领域中的交易处理过程)的设备 (尤其是基于移动终端的安全性信息交互设备)变得越来越重要。
[0003] 在传统的技术方案中,为了提高信息交互设备的安全性,典型地采用如下两种方 式:(1)对现有的信息交互设备的系统管理装置(例如常规的多媒体操作系统)进行安全机 制的提升,诸如增加防火墙、防病毒软件等等;(2)采用可信计算的方式安全引导现有的信 息交互设备的系统管理装置,即严格管理针对该信息交互设备的应用程序的开发、安装和 运行(例如通过签名方式安全引导)。
[0004] 然而,传统的技术方案存在如下问题:(1)由于可能会持续地出现新的病毒和木 马,故第一种方式难于提供主动的和彻底的解决方案;(2)由于信息交互设备的系统管理 装置(例如常规的多媒体操作系统)自身存在漏洞,故即使采用安全引导的方式,该自身漏 洞依然存在,此外,系统的频繁更新以及应用程序的改造导致成本过高。
[0005] 为了解决该问题,已经提出了可信执行环境(Trusted Execution Environment, TEE)的概念。由于TEE的出现,越来越多的外部安全载体出于安全性考虑,都会处于TEE控 制下,由TEE来对这些外部安全载体进行管理,这样也很好地提高了这些外部安全载体的 安全性,确保用户使用的外部安全载体是正确的外部安全载体,用户与外部安全载体的操 作不被其他恶意第三方所篡改。然而有些外部安全载体出于友好性,也将会继续在REE(正 常模式下的多媒体操作系统,如Android等)下被使用,这样的外部安全载体就将成为一个 双模式系统下的共享设备,如SSD (智能SD卡,即智能安全数码卡)就是这样的一种设备。
[0006] 以SSD卡为例,对REE下的客户端程序而言,就有两个一样的SSD,一个在REE控制 下,一个在TEE控制下。对于访问REE控制下的SSD时,采用了原有的REE下的访问控制方 法,而对于访问TEE控制下的SSD时,就需要在TEE下部署一个安全应用,由这个安全应用 来访问控制这个SSD,然后由这个安全应用提供服务给REE下的客户端程序使用,如图1所 /_J、1 〇
[0007] 然而这种方式至少存在着如下的问题: 1.客户端程序需要两种形式的访问接口,一个接口用于访问多媒体操作系统下SSD, 一种接口用于访问安全操作系统下的SSD安全应用,增加客户端程序的复杂度。
[0008] 2.需要在安全操作系统下部署一个SSD安全应用,造成整体应用环境的分散性, 需要同时维护两套应用。
[0009] 3.安全操作系统下的安全应用由于需要TEE控制方的授权认证等操作,会增加应 用的部署难度,不利于整体应用的推广。
【发明内容】
[0010]为解决上述问题,本发明的发明人提出在多媒体操作系统内设置一个系统模块以 一种统一的接口命令形式提供给上层用户程序对所要交互的外部安全载体(如智能SD卡) 进行处理。外部安全载体因为处于两个模式下而被抽象成两个外部安全载体。通过命令分 发模块,用户无需关心所要操作的到底是具体哪个外部安全载体。
[0011] 按照本发明的一个方面,提供了一种用于安全性信息交互的设备,所述设备包括: 第一系统管理装置,用于为应用提供正常模式的运行环境,其中,所述第一系统管理装置包 括:统一接口命令模块,用于为所述应用提供统一命令接口;命令分发模块,根据从所述统 一接口命令模块接收的命令,确定要发往的外部安全载体;以及第一控制模块,用于与处于 正常模式下的外部安全载体进行命令交互;以及 第二系统管理装置,用于提供安全模 式的运行环境,其中,所述第二系统管理装置包括:第二控制模块,用于与处于安全模式下 的安全载体进行命令交互;其中,所述命令分发模块配置成在确定所述外部安全载体处于 正常模式下时,调用所述第一控制模块,并且配置成在确定所述外部安全载体处于安全模 式下时,调用所述第二控制模块。
[0012] 在上述设备中,所述第一系统管理装置配置成提供运行在正常模式下的多媒体操 作系统,而所述第二系统管理装置配置成提供运行在安全模式下的安全操作系统。
[0013] 在上述设备中,所述第二系统管理装置使用的资源与所述第一系统管理装置使用 的资源相隔离。
[0014] 在上述设备中,所述第二系统管理装置进一步包括:外设接口,所述外设接口为各 种类型的外部安全载体提供安全的数据通信接口;虚拟安全载体管理器,所述虚拟安全载 体管理器基于从虚拟安全载体服务器接收到的虚拟安全载体创建请求以及相关联的安全 证书创建并初始化虚拟安全载体;通信模块,所述通信模块在两个或更多数据处理节点之 间建立对等模式的数据通信链路,其中,所述数据处理节点包括所述外部安全载体和所述 虚拟安全载体以及任何其它相关的内部或外部设备或功能单元;用户接口,所述用户接口 通过相互认证的方式为所述外部安全载体和/或所述虚拟安全载体提供人机交互界面。
[0015] 在上述设备中,所述第二系统管理装置进一步包括一个或多个附加功能装置以执 行下列功能中的一个或多个:复杂算法实现、网络浏览以及存储空间扩展。
[0016] 在上述设备中,所述虚拟安全载体管理器为每个创建的虚拟安全载体划分独立的 资源以提供不同的虚拟安全载体之间的相互隔离。
[0017] 在上述设备中,所述外部安全载体和/或所述虚拟安全载体能够通过所述通信模 块与对应的可信服务管理装置通信,以进行相关的安全性信息交互过程。
[0018] 在上述设备中,所述第二系统管理装置进一步包括安全性信息管理模块,所述安 全性信息管理模块存储一个或多个安全性信息并且能够基于用户的选择指令动态地生成 并加密包含所选择的安全性信息的图像,以及随后通过所述用户接口呈现所述图像以供外 部的安全性信息交互终端读取并解密,以完成后续的安全性信息交互过程。
[0019] 本发明的用于安全性信息交互的设备至少提供如下优点: 1.用户程序无需关心具体的外部安全载体处于何种模式下,以一种统一接口的命令形 式与目标外部安全载体交互,易于程序的设计,降低程序的复杂度。
[0020] 2.屏蔽了具体的系统切换实现,使安全应用与用户程序的交互统一交由系统处 理,无需用户程序处理,大大降低了用户程序维护度,提供了用户程序与目标外部安全载体 的一种直接通信的方式。
[0021] 3.使用安全操作系统下的设备时,无需部署安全应用,只需一个多媒体操作系统 下的应用,降低了应用的部署难度和管理难度。
【专利附图】
【附图说明】
[0022] 在参照附图阅读了本发明的【具体实施方式】以后,本领域技术人员将会更清楚地了 解本发明的各个方面。本领域技术人员应当理解的是:这些附图仅仅用于配合具体实施方 式说明本发明的技术方案,而并非意在对本发明的保护范围构成限制。
[0023] 图1是现有的访问安全操作系统下智能SD卡的架构的示意图; 图2是按照本发明的一个实施例、在多媒体操作系统下以一种统一接口使用两种系统 下智能SD卡的架构的示意图。
【具体实施方式】
[0024] 下面介绍的是本发明的多个可能实施例中的一些,旨在提供对本发明的基本了 解,并不旨在确认本发明的关键或决定性的要素或限定所要保护的范围。容易理解,根据本 发明的技术方案,在不变更本发明的实质精神下,本领域的一般技术人员可以提出可相互 替换的其它实现方式。因此,以下【具体实施方式】以及附图仅是对本发明的技术方案的示例 性说明,而不应当视为本发明的全部或者视为对本发明技术方案的限定或限制。
[0025] 在下文和附图中,"REE"表示运行在正常模式下的多媒体操作系统,"TEE"表示运 行在安全模式下的安全操作系统,"SSD"表示智能SD卡,即智能安全数码卡。外部安全载 体是用于进行安全性信息交互过程的装置,包括但不限于,SIM卡、智能SD卡或其它安全单 元等,它们均是能安全存储并运行程序的载体,并且是无显示装置和诸如键盘输入的独立 的计算平台。
[0026] 按照本发明的一个方面,提供了一种用于安全性信息交互的设备,所述设备包括: 第一系统管理装置,用于为应用提供正常模式的运行环境,其中,所述第一系统管理装置包 括:统一接口命令模块,用于为所述应用提供统一命令接口;命令分发模块,根据从所述统 一接口命令模块接收的命令,确定要发往的外部安全载体;以及第一控制模块,用于与处于 正常模式下的外部安全载体进行命令交互;以及 第二系统管理装置,用于提供安全模 式的运行环境,其中,所述第二系统管理装置包括:第二控制模块,用于与处于安全模式下 的安全载体进行命令交互;其中,所述命令分发模块配置成在确定所述外部安全载体处于 正常模式下时,调用所述第一控制模块,并且配置成在确定所述外部安全载体处于安全模 式下时,调用所述第二控制模块。
[0027] 优选地,在本发明所公开的设备中,所述第一系统管理装置配置成提供运行在正 常模式下的多媒体操作系统,而所述第二系统管理装置配置成提供运行在安全模式下的安 全操作系统。
[0028] 优选地,在本发明所公开的用于安全性信息交互的设备中,所述第二系统管理装 置使用的资源与所述第一系统管理装置使用的资源(通过硬件机制或软件机制的方式)相 隔离。
[0029] 优选地,在本发明所公开的用于安全性信息交互的设备中,所述第二系统管理装 置进一步包括用户接口、虚拟安全载体管理器、通信模块和外设接口。其中,所述外设接口 为各种类型的外部安全载体(即用于进行安全性信息交互过程的装置,例如,但不限于,SM 卡、智能SD卡或其它安全单元,其均是能安全存储并运行程序的载体,并且是无显示装置 和诸如键盘输入的独立的计算平台)提供安全的数据通信接口。所述虚拟安全载体管理器 基于从虚拟安全载体服务器接收到的虚拟安全载体创建请求以及相关联的安全证书创建 并初始化虚拟安全载体(即虚拟的、与特定第三方相关联的用于进行安全性信息交互的装 置,例如为不同的机构模拟出的虚拟的安全单元)。所述通信模块在两个或更多数据处理节 点之间建立对等模式的数据通信链路(所采用的通信技术例如但不限于WLAN、GPRS、CDMA、 WCDMA、TD-SCDMA、CDMA2000、LTE等等),其中,所述数据处理节点包括所述外部安全载体和 所述虚拟安全载体以及任何其它相关的内部或外部设备或功能单元。所述用户接口通过 相互认证的方式为所述外部安全载体和/或所述虚拟安全载体提供人机交互界面(例如键 盘、屏幕、鼠标等等,示例性地,第二系统管理装置的人机交互界面可以共享第一系统管理 装置的人机交互界面的硬件资源)。
[0030] 可选地,在本发明所公开的用于安全性信息交互的设备中,所述第二系统管理装 置进一步包括一个或多个附加功能装置以执行下列功能中的一个或多个:复杂算法实现、 网络浏览以及存储空间扩展。
[0031] 优选地,在本发明所公开的用于安全性信息交互的设备中,所述虚拟安全载体管 理器为每个创建的虚拟安全载体划分独立的资源以提供不同的虚拟安全载体之间的相互 隔离。
[0032] 示例性地,在本发明所公开的用于安全性信息交互的设备中,所述外部安全载体 和/或所述虚拟安全载体能够通过所述通信模块与对应的可信服务管理(TSM)装置通信, 以进行相关的安全性信息交互过程。
[0033] 可选地,在本发明所公开的用于安全性信息交互的设备中,所述第二系统管理装 置进一步包括安全性信息管理模块,所述安全性信息管理模块存储一个或多个安全性信息 (例如银行卡卡号或银行卡磁道信息)并能够基于用户的选择指令(例如通过所述用户接口 输入)动态地生成并加密包含所选择的安全性信息的图像,以及随后通过所述用户接口呈 现所述图像以供外部的安全性信息交互终端(例如P0S机)读取并解密,以完成后续的安全 性信息交互过程(例如交易过程)。
[0034] 示例性地,在本发明所公开的用于安全性信息交互的设备中,所述安全性信息管 理模块生成的包含所选择的安全性信息的图像是下列形式之一:数字图片、二维码图片、条 码图片。
[0035] 示例性地,在本发明所公开的用于安全性信息交互的设备中,所述安全性信息管 理模块基于系统当前时间加密所述包含所选择的安全性信息的图像(即该加密方式具有时 效性)。
[0036] 以下以SD卡为例来描述本发明的技术方案。
[0037] 如图2所示,在多媒体操作系统下以一种统一接口使用两种系统下智能SD卡的架 构主要包括如下几个模块: 1.客户端程序:访问SSD接口的应用程序,如移动支付客户端程序等。
[0038] 2. SSD统一接口层:提供给客户端程序实用的一种统一命令接口,其中配有一个 字节指明命令需要发往的SSD设备。
[0039] 3. SSD命令分发模块:根据发送过来的命令分析其要发往的具体目的SSD设备,若 目的SSD设备是处于安全操作系统下的,则执行模式切换到安全操作系统下,并调用SSD安 全控制模块;否则调用SSD控制模块。
[0040] 4. SSD控制模块:与多媒体操作系统下SSD的命令交互模块,其与SSD的交互命令 协议可以使基于文件系统的CupMobile协议或者是SDI0协议本身等的其他协议。
[0041] 5. SSD安全控制模块:安全操作系统下的服务应用模块,与安全操作系统下的SSD 交互协议与上述SSD控制模块相同,并与服务接口的形式供SSD命令分发模块协议使用。
[0042] 有必要指出,与SSD交互的具体协议可以根据实际情况不同所不同,并不影响本 专利的使用范围,在此采用的协议为目前移动支付SSD卡中所用到的CupMobile协议。
[0043] 在一个具体的实施例中,为了标识具体的SSD设备,可对CupMobile协议进行如下 扩充:
【权利要求】
1. 一种用于安全性信息交互的设备,所述设备包括: 第一系统管理装置,用于为应用提供正常模式的运行环境,其中,所述第一系统管理装 置包括: 统一接口命令模块,用于为所述应用提供统一命令接口; 命令分发模块,根据从所述统一接口命令模块接收的命令,确定要发往的外部安全载 体;以及 第一控制模块,用于与处于正常模式下的外部安全载体进行命令交互;以及 第二系统管理装置,用于提供安全模式的运行环境,其中,所述第二系统管理装置包 括: 第二控制模块,用于与处于安全模式下的安全载体进行命令交互; 其中,所述命令分发模块配置成在确定所述外部安全载体处于正常模式下时,调用所 述第一控制模块,并且配置成在确定所述外部安全载体处于安全模式下时,调用所述第二 控制模块。
2. 如权利要求1所述的设备,其中,所述第一系统管理装置配置成提供运行在正常模 式下的多媒体操作系统,而所述第二系统管理装置配置成提供运行在安全模式下的安全操 作系统。
3. 如权利要求1所述的设备,其中,所述第二系统管理装置使用的资源与所述第一系 统管理装置使用的资源相隔离。
4. 如权利要求3所述的设备,其中,所述第二系统管理装置进一步包括: 外设接口,所述外设接口为各种类型的外部安全载体提供安全的数据通信接口; 虚拟安全载体管理器,所述虚拟安全载体管理器基于从虚拟安全载体服务器接收到的 虚拟安全载体创建请求以及相关联的安全证书创建并初始化虚拟安全载体; 通信模块,所述通信模块在两个或更多数据处理节点之间建立对等模式的数据通信链 路,其中,所述数据处理节点包括所述外部安全载体和所述虚拟安全载体以及任何其它相 关的内部或外部设备或功能单元; 用户接口,所述用户接口通过相互认证的方式为所述外部安全载体和/或所述虚拟安 全载体提供人机交互界面。
5. 如权利要求4所述的设备,其中,所述第二系统管理装置进一步包括一个或多个附 加功能装置以执行下列功能中的一个或多个:复杂算法实现、网络浏览以及存储空间扩展。
6. 如权利要求4所述的设备,其中,所述虚拟安全载体管理器为每个创建的虚拟安全 载体划分独立的资源以提供不同的虚拟安全载体之间的相互隔离。
7. 如权利要求4所述的设备,其中,所述外部安全载体和/或所述虚拟安全载体能够通 过所述通信模块与对应的可信服务管理装置通信,以进行相关的安全性信息交互过程。
8. 如权利要求1所述的设备,其中,所述第二系统管理装置进一步包括安全性信息管 理模块,所述安全性信息管理模块存储一个或多个安全性信息并且能够基于用户的选择指 令动态地生成并加密包含所选择的安全性信息的图像,以及随后通过所述用户接口呈现所 述图像以供外部的安全性信息交互终端读取并解密,以完成后续的安全性信息交互过程。
【文档编号】H04L12/24GK104301289SQ201310299470
【公开日】2015年1月21日 申请日期:2013年7月17日 优先权日:2013年7月17日
【发明者】陈成钱, 周钰, 郭伟 申请人:中国银联股份有限公司