本發明專利技術公開一種用于實現用戶數據安全傳輸的方法、用戶終端和系統,屬于安全領域。其中用戶終端在發送用戶數據時,用戶終端中的終端富執行環境模塊將用戶數據發送給用戶終端中的終端可信執行環境模塊,終端可信執行環境模塊利用工作密鑰對用戶數據進行加密,以得到密文,其中工作密鑰是終端可信執行環境模塊和網絡側設備經過協商得到的,終端可信執行環境模塊將密文發送給網絡側設備,以便網絡側設備利用工作密鑰對密文進行解密。本發明專利技術通過用戶終端具備的可信執行環境進行用戶密碼的采集和用戶數據的加密,通過利用向用戶提供安全密碼輸入界面、以及工作密鑰的存儲和數據加密的途徑,避免終端富執行環境側的惡意行為對用戶信息的竊取。
【技術實現步驟摘要】
用于實現用戶數據安全傳輸的方法、用戶終端和系統
本專利技術涉及安全領域,特別涉及一種用于實現用戶數據安全傳輸的方法、用戶終端和系統。
技術介紹
目前在移動終端的無線數據網絡接入服務中,接入廣泛采用的是WEP(WiredEquivalentPrivacy,有線等效保密)/WPA(Wi-FiProtectedAccess,Wi-Fi網絡安全接入)加密方式,但這種加密方式容易在終端側受應用竊取、屏幕釣魚等惡意行為的影響造成用戶數據加密密鑰和認證信息的泄露,從而進一步造成用戶網絡信息的泄露。現有的無線網絡數據加密技術存在以下問題:1、密碼安全隱患:用于進行數據加密的用戶密碼在輸入過程中易被終端側的惡意應用非法竊取,造成密碼泄露。2、數據安全隱患:一旦加密密鑰被竊取,用戶終端傳送給網絡的數據將無安全性可言,終端也可能受到網絡側的非法攻擊。
技術實現思路
本專利技術實施例提供一種用于實現用戶數據安全傳輸的方法、用戶終端和系統,通過用戶終端具備的可信執行環境進行用戶密碼的采集和用戶數據的加密,通過利用向用戶提供安全密碼輸入界面、以及工作密鑰的存儲和數據加密的途徑,避免終端富執行環境側的惡意行為對用戶信息的竊取。根據本專利技術的一個方面,提供一種用于實現用戶數據安全傳輸的方法,包括:用戶終端中的終端富執行環境模塊將用戶數據發送給用戶終端中的終端可信執行環境模塊;終端可信執行環境模塊利用工作密鑰對用戶數據進行加密,以得到密文,其中工作密鑰是終端可信執行環境模塊和網絡側設備經過協商得到的;終端可信執行環境模塊將密文發送給網絡側設備,以便網絡側設備利用工作密鑰對密文進行解密。在一個實施例中,終端富執行環境模塊在接收到用戶輸入的網絡接入請求時,從終端可信執行環境模塊調用可信用戶界面以呈現給用戶;在用戶通過可信用戶界面輸入網絡接入密碼后,終端可信執行環境模塊利用網絡接入密碼與網絡側設備進行用戶認證;若認證成功,終端可信執行環境模塊將與網絡側設備協商的密鑰作為工作密鑰。在一個實施例中,終端可信執行環境模塊將與網絡側設備協商的密鑰作為工作密鑰后,還包括:終端可信執行環境模塊向終端富執行環境模塊發送認證成功消息;終端富執行環境模塊在接收到認證成功消息后,在需要發送用戶數據時,執行將用戶數據發送給終端可信執行環境模塊的步驟。在一個實施例中,若認證不成功,終端可信執行環境模塊向終端富執行環境模塊發送認證失敗消息;終端富執行環境模塊在接收到認證失敗消息后,禁止向終端可信執行環境模塊發送用戶數據。在一個實施例中,終端富執行環境模塊在接收到用戶輸入的網絡接入請求時,從終端可信執行環境模塊調用可信用戶界面以呈現給用戶的步驟包括:終端富執行環境模塊在接收到用戶輸入的網絡接入請求時,向終端可信執行環境模塊發送可信用戶界面調用請求;終端可信執行環境模塊在接收到可信用戶界面調用請求后,將可信用戶界面呈現給用戶。根據本專利技術的另一方面,提供一種用于實現用戶數據安全傳輸的用戶終端,包括終端富執行環境模塊和終端可信執行環境模塊,其中:終端富執行環境模塊將用戶數據發送給終端可信執行環境模塊;終端可信執行環境模塊利用工作密鑰對用戶數據進行加密,以得到密文,其中工作密鑰是終端可信執行環境模塊和網絡側設備經過協商得到的;終端可信執行環境模塊將密文發送給網絡側設備,以便網絡側設備利用工作密鑰對密文進行解密。在一個實施例中,終端富執行環境模塊還用于在接收到用戶輸入的網絡接入請求時,從終端可信執行環境模塊調用可信用戶界面以呈現給用戶;終端可信執行環境模塊還用于在用戶通過可信用戶界面輸入網絡接入密碼后,利用網絡接入密碼與網絡側設備進行用戶認證;若認證成功,將與網絡側設備協商的密鑰作為工作密鑰。在一個實施例中,終端可信執行環境模塊還用于在將與網絡側設備協商的密鑰作為工作密鑰后,向終端富執行環境模塊發送認證成功消息;終端富執行環境模塊還用于在接收到認證成功消息后,在需要發送用戶數據時,執行將用戶數據發送給終端可信執行環境模塊的操作。在一個實施例中,終端可信執行環境模塊還用于在認證不成功時,向終端富執行環境模塊發送認證失敗消息;終端富執行環境模塊還用于在接收到認證失敗消息后,禁止向終端可信執行環境模塊發送用戶數據。在一個實施例中,終端富執行環境模塊具體在接收到用戶輸入的網絡接入請求時,向終端可信執行環境模塊發送可信用戶界面調用請求;終端可信執行環境模塊還用于在接收到可信用戶界面調用請求后,將可信用戶界面呈現給用戶。根據本專利技術的另一方面,提供一種用于實現用戶數據安全傳輸的系統,包括上述任一實施例的用戶終端、網絡側設備,其中:網絡側設備,用于在接收到用戶終端中的終端可信執行環境模塊發送的密文后,利用工作密鑰對密文進行解密,其中工作密鑰是終端可信執行環境模塊和網絡側設備經過協商得到的。在一個實施例中,網絡側設備還用于利用用戶通過可信用戶界面輸入的網絡接入密碼,與終端可信執行環境模塊進行用戶認證,并在認證成功后,將與終端可信執行環境模塊協商的密鑰作為工作密鑰。通過以下參照附圖對本專利技術的示例性實施例的詳細描述,本專利技術的其它特征及其優點將會變得清楚。附圖說明為了更清楚地說明本專利技術實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本專利技術的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動性的前提下,還可以根據這些附圖獲得其他的附圖。圖1為本專利技術用于實現用戶數據安全傳輸的方法一個實施例的示意圖。圖2為本專利技術用戶終端接入網絡一個實施例的示意圖。圖3為本專利技術用于實現用戶數據安全傳輸的用戶終端一個實施例的示意圖。圖4為本專利技術可信執行環境數據加密架構一個實施例的示意圖。圖5為本專利技術用于實現用戶數據安全傳輸的系統一個實施例的示意圖。圖6為實現本專利技術的信息交互示意圖。具體實施方式下面將結合本專利技術實施例中的附圖,對本專利技術實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本專利技術一部分實施例,而不是全部的實施例。以下對至少一個示例性實施例的描述實際上僅僅是說明性的,決不作為對本專利技術及其應用或使用的任何限制。基于本專利技術中的實施例,本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例,都屬于本專利技術保護的范圍。除非另外具體說明,否則在這些實施例中闡述的部件和步驟的相對布置、數字表達式和數值不限制本專利技術的范圍。同時,應當明白,為了便于描述,附圖中所示出的各個部分的尺寸并不是按照實際的比例關系繪制的。對于相關領域普通技術人員已知的技術、方法和設備可能不作詳細討論,但在適當情況下,所述技術、方法和設備應當被視為授權說明書的一部分。在這里示出和討論的所有示例中,任何具體值應被解釋為僅僅是示例性的,而不是作為限制。因此,示例性實施例的其它示例可以具有不同的值。應注意到:相似的標號和字母在下面的附圖中表示類似項,因此,一旦某一項在一個附圖中被定義,則在隨后的附圖中不需要對其進行進一步討論。目前基于用戶終端側實現的可信執行環境(TrustedExecutionEnvironment,簡稱:TEE),能夠獨立于終端的操作系統(富執行環境(RichExecutionEnvironment,簡稱:RE本文檔來自技高網...
【技術保護點】
一種用于實現用戶數據安全傳輸的方法,其特征在于,包括:用戶終端中的終端富執行環境模塊將用戶數據發送給用戶終端中的終端可信執行環境模塊;終端可信執行環境模塊利用工作密鑰對用戶數據進行加密,以得到密文,其中工作密鑰是終端可信執行環境模塊和網絡側設備經過協商得到的;終端可信執行環境模塊將密文發送給網絡側設備,以便網絡側設備利用工作密鑰對密文進行解密。
【技術特征摘要】
1.一種用于實現用戶數據安全傳輸的方法,其特征在于,包括:用戶終端中的終端富執行環境模塊將用戶數據發送給用戶終端中的終端可信執行環境模塊;終端可信執行環境模塊利用工作密鑰對用戶數據進行加密,以得到密文,其中工作密鑰是終端可信執行環境模塊和網絡側設備經過協商得到的;終端可信執行環境模塊將密文發送給網絡側設備,以便網絡側設備利用工作密鑰對密文進行解密。2.根據權利要求1所述的方法,其特征在于,還包括:終端富執行環境模塊在接收到用戶輸入的網絡接入請求時,從終端可信執行環境模塊調用可信用戶界面以呈現給用戶;在用戶通過可信用戶界面輸入網絡接入密碼后,終端可信執行環境模塊利用網絡接入密碼與網絡側設備進行用戶認證;若認證成功,終端可信執行環境模塊將與網絡側設備協商的密鑰作為工作密鑰。3.根據權利要求2所述的方法,其特征在于,終端可信執行環境模塊將與網絡側設備協商的密鑰作為工作密鑰后,還包括:終端可信執行環境模塊向終端富執行環境模塊發送認證成功消息;終端富執行環境模塊在接收到認證成功消息后,在需要發送用戶數據時,執行將用戶數據發送給終端可信執行環境模塊的步驟。4.根據權利要求3所述的方法,其特征在于,若認證不成功,終端可信執行環境模塊向終端富執行環境模塊發送認證失敗消息;終端富執行環境模塊在接收到認證失敗消息后,禁止向終端可信執行環境模塊發送用戶數據。5.根據權利要求2-4中任一項所述的方法,其特征在于,終端富執行環境模塊在接收到用戶輸入的網絡接入請求時,從終端可信執行環境模塊調用可信用戶界面以呈現給用戶的步驟包括:終端富執行環境模塊在接收到用戶輸入的網絡接入請求時,向終端可信執行環境模塊發送可信用戶界面調用請求;終端可信執行環境模塊在接收到可信用戶界面調用請求后,將可信用戶界面呈現給用戶。6.一種用于實現用戶數據安全傳輸的用戶終端,其特征在于,包括終端富執行環境模塊和終端可信執行環境模塊,其中:終端富執行環境模塊將用戶數據發送給終端可信執行環境模塊;終端可信執行環境模塊利用工作密...
【專利技術屬性】
技術研發人員:王磊,陳平輝,何峣,郭茂文,
申請(專利權)人:中國電信股份有限公司,
類型:發明
國別省市:北京,11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。