[发明专利]一种数据安全传输装置及方法

说明书

本发明实施例公开了一种数据安全传输装置及方法，涉及系统安全技术领域，用以提高该装置的安全性。该数据安全传输装置包括：专用通信信号处理器，用于向应用处理器发送第一安全中断；应用处理器，用于在第一安全中断的触发下运行可信执行环境TEE软件，且在所述TEE软件的驱动下根据第一安全中断在专用通信信号处理器与应用处理器的共享内存中获取第一信息；专用通信信号处理器，还用于接收应用处理器发送的第二安全中断，并根据第二安全中断在共享内存中获取第二信息；应用处理器，还用于在所述TEE软件的驱动下向专用通信信号处理器发送第二安全中断。

技术领域

本发明涉及系统安全技术领域，尤其涉及一种数据安全传输装置及方法。

背景技术

随着移动网络和移动终端的高速发展，应用软件涉及的领域扩大到各行各业中，应用软件的种类也越来越多，而诸如与电子支付业务相关的金融应用软件、内容版权保护应用软件以及云计算下瘦终端的安全应用软件等软件由于关乎着用户的切身利益，安全性要求较高。

然而，移动终端(也叫终端设备)的操作系统在设计时的出发点主要是为了满足某些功能性的要求，而不是为了满足高度的安全性，同时由于操作系统较开放、较庞大、且较复杂而很难杜绝相应的系统漏洞，致使一些利用系统漏洞的恶意程序对应用软件进行攻击或截取应用软件的信息，使得应用软件的安全性降低。目前，虽然可以通过防火墙、杀毒软件等对应用软件进行保护，但由于频繁的系统更新以及恶意程序的层出不穷，导致无法完全对应用软件进行保护。

基于该问题，一种解决方案为：采用例如Trustzone技术、多中央处理器(CentralProcessing Unit，简称CPU)技术等，将一个移动终端的执行环境划分为两种相互独立的执行环境：富执行环境(Rich Execution Environment，简称REE)和可信执行环境(TrustedExecution Environment，简称TEE)，REE运行目前常用的移动操作系统(例如，Android)，TEE运行一个功能简单、代码量小、封闭并且可人为审核控制的安全操作系统，安全性要求不高的客户端应用(Client Application，简称CA)运行在REE中，安全性要求较高的安全应用(Trusted Application，简称TA)运行在TEE中，并为部署在移动操作系统中的CA提供安全服务，例如，用户在使用移动终端中的CA过程中，若遇到电子支付等敏感操作，CA会向TA发送请求，TA接收到请求之后执行与支付相关的验证操作(例如，验证密码是否正确)，并将验证成功后的结果向CA返回，CA继续执行后续步骤，从而防止数据(例如，上述密码)泄露。

TEE技术可以保证存储在TEE中的数据的安全性和TA的安全性，TA实际上可以实现与CA一样的功能，用户在实际操作过程中，TA和CA之间并无太大差别，并且TA在安全性上高于CA，但是，由于TEE软件和REE软件均运行在应用处理器(Application Processor，简称AP)上，目前TA的功能还是仅仅局限在对CA提供安全服务，而对于移动终端来说，通信功能尤为重要，用户的大部分数据都需要通过通信调制解调器(Modem)、屏幕以及键盘等外设与AP进行交互，虽然通信调制解调器具备独立的运行环境和封闭的软件代码，屏幕以及键盘也可以设置成安全模式，但AP与通信调制解调器之间的数据传输通道也是开放的、非安全的，因此，恶意程序仍然可以在AP与通信调制解调器之间传输数据时截获相关数据，造成用户数据泄露，降低移动终端的安全性。

发明内容

本发明的实施例提供一种数据安全传输装置及方法，用以提高该装置的安全性。

为达到上述目的，本发明的实施例采用如下技术方案：