一種敏感數據操作方法和移動終端技術

本發明專利技術公開了一種敏感數據操作方法和移動終端。在該方案中，移動終端內的TEE執行針對應用程序的操作時，得到應用程序的敏感數據，并將該敏感數據發送到移動終端內置的SE模塊中進行存儲。與現有技術相比，將敏感數據存儲在SE模塊中，提高了敏感數據存儲的安全性，同時由于SE模塊是內置在移動終端中，因此SE模塊與TEE之間無需建立安全通道，也能實現SE模塊與TEE之間的通信安全。

Sensitive data operation method and mobile terminal

The invention discloses a sensitive data operation method and a mobile terminal. In this scheme, the TEE in the mobile terminal executes the operation of the application, gets the sensitive data of the application, and sends the sensitive data to the SE module built-in in the mobile terminal for storage. Compared with the prior art, the sensitive data stored in the SE module, to improve the security of sensitive data storage, at the same time as the SE module is embedded in the mobile terminal, so between the SE module and the TEE does not need to establish a secure channel, but also can realize the security communication between SE module and TEE.

【技術實現步驟摘要】
一種敏感數據操作方法和移動終端
本專利技術涉及通信
，尤其涉及一種敏感數據操作方法和移動終端。
技術介紹
手機是目前廣泛使用的個人設備，其中TEE(TrustedExecutionEnvironment，可信執行環境)是指在手機內的一個獨立的安全運行環境，該環境與正常的REE(RichExecutionEnvironment，應用運行環境)相互隔離，獨立運行。作為移動終端中的安全運行環境，TEE具有安全運算能力，但其安全存儲能力一直是短板。一些敏感數據，即高安全等級的數據，如：金融密鑰、指紋信息及通信密鑰都無法依賴TEE，這在很大程度上限制了TEE的應用。目前針對敏感數據，一種存儲方式是存儲在SIM卡(SubscriberIdentityModule，客戶識別模塊)中，通過TEE和SIM卡的有機結合，完成對敏感數據的安全管理，為業務開展提供安全基礎。但是，TEE與SIM卡之間通信需要先建立安全通道方可加強雙方的通信安全，對業務的實際部署提出了較高要求。如：需要在TEE和SIM卡之間預共享密鑰。
技術實現思路
本專利技術實施例提供一種敏感數據操作方法和移動終端，用以解決現有技術中存在的敏感數據存儲的安全性較差的問題。本專利技術實施例采用以下技術方案：第一方面，提供了一種敏感數據操作方法，包括：移動終端內的可信執行環境TEE執行針對應用程序的操作時，得到所述應用程序的敏感數據；將所述應用程序的敏感數據發送到所述移動終端內置的安全元件SE模塊中進行存儲。其中，針對應用程序的操作為下載操作；則所述移動終端內的TEE執行針對應用程序的操作時，得到所述應用程序的敏感數據，具體包括：所述移動終端向所述應用程序的運營方發送應用程序下載請求后，所述TEE根據所述SE模塊中預先存儲的服務提供方的管理密鑰，令所述服務提供方對所述應用程序的運營方進行身份認證；其中，所述服務提供方用于對所述移動終端進行應用管理和/或安全操作；在身份認證通過時，下載所述應用程序，并得到所述應用程序的敏感數據。其中，所述管理密鑰按照如下方式預先存儲：所述TEE根據所述SE模塊中預先存儲的安全證書對所述服務提供方進行身份認證；在身份認證通過時，從所述服務提供方下載管理應用，并得到所述管理應用的管理密鑰；將所述管理密鑰發送到所述SE模塊中進行存儲。其中，針對應用程序的操作為下載操作；則所述移動終端內的TEE執行針對應用程序的操作時，得到所述應用程序的敏感數據，具體包括：所述移動終端向所述應用程序的運營方發送應用程序下載請求后，所述TEE根據所述SE模塊中預先存儲的安全證書，對所述應用程序的運營方進行身份認證；在身份認證通過時，下載所述應用程序，并得到所述應用程序的敏感數據。其中，將所述應用程序的敏感數據發送到所述移動終端內置的SE模塊中進行存儲之后，所述方法還包括：當所述TEE接收到應用程序運行請求時，根據所述SE模塊中預先存儲的所述應用程序的敏感數據，對所述應用程序運行請求的發送方進行身份認證；在身份認證通過時，運行所述應用程序。第二方面提供了一種移動終端，包括可信執行環境TEE和內置的安全元件SE模塊，其中：所述TEE，用于執行針對應用程序的操作時，得到所述應用程序的敏感數據；將所述應用程序的敏感數據發送到所述移動終端內置的安全元件SE模塊中進行存儲；所述SE模塊，用于接收所述TEE發送的所述應用程序的敏感數據，并存儲。其中，針對應用程序的操作為下載操作；則所述TEE，具體用于：所述移動終端向所述應用程序的運營方發送應用程序下載請求后，根據所述SE模塊中預先存儲的服務提供方的管理密鑰，令所述服務提供方對所述應用程序的運營方進行身份認證；其中，所述服務提供方用于對所述移動終端進行應用管理和/或安全操作；在身份認證通過時，下載所述應用程序，并得到所述應用程序的敏感數據。其中，所述TEE還用于：根據所述SE模塊中預先存儲的安全證書對所述服務提供方進行身份認證；在身份認證通過時，從所述服務提供方下載管理應用，并得到所述管理應用的管理密鑰；將所述管理密鑰發送到所述SE模塊中進行存儲。其中，針對應用程序的操作為下載操作；則所述TEE，具體用于：所述移動終端向所述應用程序的運營方發送應用程序下載請求后，根據所述SE模塊中預先存儲的安全證書，對所述應用程序的運營方進行身份認證；在身份認證通過時，下載所述應用程序，并得到所述應用程序的敏感數據。其中，所述TEE還用于：當接收到應用程序運行請求時，根據所述SE模塊中預先存儲的針對所述應用程序的敏感數據，對所述應用程序運行請求的發送方進行身份認證；在身份認證通過時，運行所述應用程序。本專利技術實施例的有益效果如下：本專利技術實施例中，移動終端內的TEE執行針對應用程序的操作時，得到應用程序的敏感數據，并將該敏感數據發送到移動終端內置的SE模塊中進行存儲。與現有技術相比，將敏感數據存儲在SE模塊中，提高了敏感數據存儲的安全性，同時由于SE模塊是內置在移動終端中，因此SE模塊與TEE之間無需建立安全通道，也能實現SE模塊與TEE之間的通信安全。本專利技術的其它特征和優點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本專利技術而了解。本專利技術的目的和其他優點可通過在所寫的說明書、權利要求書、以及附圖中所特別指出的結構來實現和獲得。附圖說明此處所說明的附圖用來提供對本專利技術的進一步理解，構成本專利技術的一部分，本專利技術的示意性實施例及其說明用于解釋本專利技術，并不構成對本專利技術的不當限定。在附圖中：圖1為本專利技術實施例提供的一種敏感數據操作方法的原理流程圖；圖2為本專利技術實施例提供的一種移動終端架構圖；圖3為本專利技術實施例提供的安全元件(SecureElement，SE)模塊的安全體系示意圖；圖4為本專利技術實施例提供的移動設備安全初始化的實現流程圖；圖5為本專利技術實施例提供的電信應用下載流程1的實現流程圖；圖6為本專利技術實施例提供的電信應用下載流程2的實現流程圖；圖7為本專利技術實施例提供的電信應用使用的實現流程圖；圖8為本專利技術實施例提供的一種移動終端的結構示意圖。具體實施方式為了解決現有技術中存在的敏感數據存儲的安全性較差的問題，本專利技術實施例提供了一種敏感數據操作方案。該技術方案中，移動終端內的TEE執行針對應用程序的操作時，得到應用程序的敏感數據，并將該敏感數據發送到移動終端內置的SE模塊中進行存儲。與現有技術相比，將敏感數據存儲在SE模塊中，提高了敏感數據存儲的安全性，同時由于SE模塊是內置在移動終端中，因此SE模塊與TEE之間無需建立安全通道，也能實現SE模塊與TEE之間的通信安全。以下結合說明書附圖對本專利技術的實施例進行說明，應當理解，此處所描述的實施例僅用于說明和解釋本專利技術，并不用于限制本專利技術。并且在不沖突的情況下，本專利技術中的實施例及實施例的特征可以互相結合。本專利技術實施例提供了一種敏感數據操作方法，如圖1所示，為該方法的原理流程圖，具體包括下述步驟：步驟11，移動終端內的TEE執行針對應用程序的操作時，得到應用程序的敏感數據。本專利技術實施例中，以針對應用程序的操作為下載操作為例，對TEE執行針對應用程序的操作時，得到應用程序的敏感數據的實現過程進行說明。另外，TEE在執行針對應用程序的操作時，可以包括兩種模式：集中管理模式和非集本文檔來自技高網...

【技術保護點】
一種敏感數據操作方法，其特征在于，包括：移動終端內的可信執行環境TEE執行針對應用程序的操作時，得到所述應用程序的敏感數據；將所述應用程序的敏感數據發送到所述移動終端內置的安全元件SE模塊中進行存儲。

【技術特征摘要】
1.一種敏感數據操作方法，其特征在于，包括：移動終端內的可信執行環境TEE執行針對應用程序的操作時，得到所述應用程序的敏感數據；將所述應用程序的敏感數據發送到所述移動終端內置的安全元件SE模塊中進行存儲。2.如權利要求1所述的方法，其特征在于，針對應用程序的操作為下載操作；則所述移動終端內的TEE執行針對應用程序的操作時，得到所述應用程序的敏感數據，具體包括：所述移動終端向所述應用程序的運營方發送應用程序下載請求后，所述TEE根據所述SE模塊中預先存儲的服務提供方的管理密鑰，令所述服務提供方對所述應用程序的運營方進行身份認證；其中，所述服務提供方用于對所述移動終端進行應用管理和/或安全操作；在身份認證通過時，下載所述應用程序，并得到所述應用程序的敏感數據。3.如權利要求2所述的方法，其特征在于，所述管理密鑰按照如下方式預先存儲：所述TEE根據所述SE模塊中預先存儲的安全證書對所述服務提供方進行身份認證；在身份認證通過時，從所述服務提供方下載管理應用，并得到所述管理應用的管理密鑰；將所述管理密鑰發送到所述SE模塊中進行存儲。4.如權利要求1所述的方法，其特征在于，針對應用程序的操作為下載操作；則所述移動終端內的TEE執行針對應用程序的操作時，得到所述應用程序的敏感數據，具體包括：所述移動終端向所述應用程序的運營方發送應用程序下載請求后，所述TEE根據所述SE模塊中預先存儲的安全證書，對所述應用程序的運營方進行身份認證；在身份認證通過時，下載所述應用程序，并得到所述應用程序的敏感數據。5.如權利要求1所述的方法，其特征在于，將所述應用程序的敏感數據發送到所述移動終端內置的SE模塊中進行存儲之后，所述方法還包括：當所述TEE接收到應用程序運行請求時，根據所述SE模塊中預先存儲的所述應用程序的敏感數據，對所述應用程序運...

【專利技術屬性】
技術研發人員：黃更生，樂祖暉，
申請(專利權)人：中國移動通信集團公司，
類型：發明
國別省市：北京,11