Nothing Special   »   [go: up one dir, main page]

CN111542050B - 一种基于tee的保障虚拟sim卡远程初始化安全的方法 - Google Patents

一种基于tee的保障虚拟sim卡远程初始化安全的方法 Download PDF

Info

Publication number
CN111542050B
CN111542050B CN202010229472.XA CN202010229472A CN111542050B CN 111542050 B CN111542050 B CN 111542050B CN 202010229472 A CN202010229472 A CN 202010229472A CN 111542050 B CN111542050 B CN 111542050B
Authority
CN
China
Prior art keywords
public key
sim card
profile
key
tee
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010229472.XA
Other languages
English (en)
Other versions
CN111542050A (zh
Inventor
廖丁石
沈伟
李果
龙荣平
韦熙
陈树成
田建恒
陈旭
莫军扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CHINA-ASEAN INFORMATION HARBOR Co.,Ltd.
Guangxi Dongxin Yilian Technology Co.,Ltd.
Original Assignee
China Asean Information Harbor Co ltd
Guangxi Dongxin Yilian Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Asean Information Harbor Co ltd, Guangxi Dongxin Yilian Technology Co ltd filed Critical China Asean Information Harbor Co ltd
Priority to CN202010229472.XA priority Critical patent/CN111542050B/zh
Publication of CN111542050A publication Critical patent/CN111542050A/zh
Application granted granted Critical
Publication of CN111542050B publication Critical patent/CN111542050B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/42Security arrangements using identity modules using virtual identity modules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于TEE的保障虚拟SIM卡远程初始化安全的方法,属于通信应用技术领域。包括如下步骤:APP调用TA的临时生成一对第一公钥和第一私钥;APP调用TA的安全签名接口对请求数据进行数字摘要签名;调用云端设备认证服务器远程接口对请求原文和签名进行校验;SIM卡管理平台将设备请求发送至安全加密机系统服务;加密机接收到请求后,临时生成一对第二公钥和第二私钥,加密机将加密后的profile和第二公钥返回到SIM卡管理平台,SIM卡管理平台平台接收到后封装返回数据给到客户端APP;APP获取到平台第二公钥和加密的profile,并传入第二公钥和加密profile;TA把解密后卡数据进行一定的转换后存储在安全的RPMB。本发明能够利用TEE的安全特性保护虚拟SIM卡卡数据不被泄露。

Description

一种基于TEE的保障虚拟SIM卡远程初始化安全的方法
技术领域
本发明属于通信应用的技术领域,尤其是一种基于TEE的保障虚拟SIM卡远程初始化安全的方法。
背景技术
TEE(Trusted Execution Environment,可信执行环境)是指基于arm芯片的终端内的一个独立的安全运行环境,该环境与正常的应用运行环境REE(Rich ExecutionEnvironment)逻辑隔离,只能通过授权的API进行交互。TEE的安全特性使得其常用于存储用户的指纹识别、移动支付安全程序及其敏感数据。
虚拟SIM程序是一种在终端通过软件模拟SIM的行为并能让用户更灵活配置蜂窝网络的一种应用,通常用于国际漫游等场景。卡数据是虚拟SIM卡能够注册网络的关键,如何保护虚拟SIM卡卡数据的安全显得尤为重要。
大多数的虚拟SIM应用程序在进行SIM卡数据远程配置的过程中,卡数据缺乏必要的保护,例如:
1、卡数据直接存储在平台数据库里,存取的过程直接暴露在权限管控相对宽松的软件环境中,存在较大的卡数据泄露风险;
2、用于加密卡数据的非对称公钥在传输过程中极可能被篡改替换;
3、卡数据直接存储在REE中,被攻击获取的可能性极大。
由此可见,如何利用TEE的安全特性保护虚拟SIM卡卡数据不被泄露成为本领域技术人员亟待解决的技术问题。
发明内容
本发明的发明目的是提供一种基于TEE的保障虚拟SIM卡远程初始化安全的方法,该远程初始化安全方法能够利用TEE的安全特性保护虚拟SIM卡卡数据不被泄露。
为达到上述目的,本发明所采用的技术方案是:
一种基于TEE的保障虚拟SIM卡远程初始化安全的方法,包括如下步骤:
步骤一、客户端APP调用TA的临时生成一对第一公钥和第一私钥,所述第一公钥传回客户端APP,第一私钥临时存在TA运行的内存中。
步骤二、客户端APP调用TA的安全签名接口,使用secure key的私钥对包含了第一公钥的请求数据进行数字摘要签名;
步骤三、SIM卡数据管理平台接收到客户端APP的包含有第一公钥的下卡请求后,调用云端终端设备认证服务器远程接口对请求原文和签名进行校验;
步骤四、签名校验成功后,SIM卡管理平台将设备请求包含的第一公钥与其订购的已加密SIM profile、profile对应运营商id发送至安全加密机系统服务;
步骤五、加密机接收到请求后,临时生成一对第二公钥和第二私钥,其中第二私钥用来和终端上传公钥生成会话密钥,第二公钥用来回传终端,加密机将加密后的profile和第二公钥返回到SIM卡管理平台,SIM卡管理平台接收到后封装返回数据给到终端客户端APP。
步骤六、客户端APP获取到平台第二公钥和加密的profile,调用TA的安装profile接口,并传入第二公钥和加密profile;
步骤七、TA把解密后卡数据进行一定的转换后存储在安全的RPMB。
进一步的,所述第一公钥、第一私钥、第二公钥和第二私钥均为椭圆曲线秘钥。
进一步的,所述步骤五中,加密机对profile的加密方法为:加密机根据运营商id取到运营商密码OP,采用AES对SIM profile进行解密,解密后的数据再使用生成的会话密钥,采用AES重新进行加密。
进一步的,所述步骤七中,TA解密profile的方法为:TA通过平台的第二公钥和自己的第一私钥生成会话密钥,采用AES算法解密profile。
进一步的,所述客户端为手机或平板电脑
由于采用上述技术方案,本发明具有以下有益效果:
本发明中,通信双方相互认证,SIM卡profile在传输过程完全加密,利用非对称密钥导出会话密钥的方法可极大的缩小加密卡profile的大小。卡数据空中下载的过程,卡数据均未出现明文,通信的双方在相互认证的前提下在加密机和TEE之间建立了安全的加密通道从而保证了卡配置的安全,保护虚拟SIM卡卡数据在传输过程中不被泄露。
附图说明
图1是根据本发明一种基于TEE的保障虚拟SIM卡远程初始化安全的方法的流程图。
具体实施方式
下面结合附图,对本发明的具体实施方式进行详细描述,但应当理解本发明的保护范围并不受具体实施方式的限制。
除非另有其它明确表示,否则在整个说明书和权利要求书中,术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分,而并未排除其它元件或其它组成部分。
如图1所示,一种基于TEE的保障虚拟SIM卡远程初始化安全的方法,包括如下步骤:
步骤一、客户端APP调用TA的临时生成一对第一公钥和第一私钥,所述第一公钥传回客户端APP,第一私钥临时存在TA运行的内存中。
步骤二、客户端APP调用TA的安全签名接口,使用secure key的私钥对包含了第一公钥的请求数据进行数字摘要签名;
步骤三、SIM卡数据管理平台接收到客户端APP的包含有第一公钥的下卡请求后,调用云端终端设备认证服务器远程接口对请求原文和签名进行校验;
步骤四、签名校验成功后,SIM卡管理平台将设备请求包含的第一公钥与其订购的已加密SIM profile、profile对应运营商id发送至安全加密机系统服务;
步骤五、加密机接收到请求后,临时生成一对第二公钥和第二私钥,其中第二私钥用来和终端上传公钥生成会话密钥,第二公钥用来回传终端,加密机将加密后的profile和第二公钥返回到SIM卡管理平台,SIM卡管理平台接收到后封装返回数据给到终端客户端APP。
步骤六、客户端APP获取到平台第二公钥和加密的profile,调用TA的安装profile接口,并传入第二公钥和加密profile;
步骤七、TA把解密后卡数据进行一定的转换后存储在安全的RPMB。
所述第一公钥、第一私钥、第二公钥和第二私钥均为椭圆曲线秘钥。所述步骤五中,加密机对profile的加密方法为:加密机根据运营商id取到运营商密码OP,采用AES对SIM profile进行解密,解密后的数据再使用生成的会话密钥,采用AES重新进行加密。所述步骤七中,TA解密profile的方法为:TA通过平台的第二公钥和自己的第一私钥生成会话密钥,采用AES算法解密profile。所述客户端为手机或平板电脑。
TA是Trusted Application的缩写,通常运行在TEE环境下的应用简称为TA;Profile为用户配置文件。
TEE一般采用RPMB作为安全数据的存储区域,RPMB中有一块OTP区域(只能烧写一次的区域)。由于这种特性,可以在终端产品进行产线生产的时候,为每一个产品分配一个唯一的和设备id绑定的256bits的椭圆曲线私钥并写入OTP,同时将对应的公钥上传到云端终端设备认证服务器。
卡数据批量处理:
加密机常用在金融领域,存储和管理敏感的用户数据。本发明中,我们将只利用加密机的安全加解密功能,对卡数据进行批量加密预处理。
1、利用加密机的安全套件,通过安全用户页面输入运营商OP,并存储OP和对应运营商ID到加密机
2、利用加密机指令,随机生成一个批次特定数量的16个字节密钥作为卡数据KI,然后使用指定运营商id对应的OP进行对密钥批量进行AES加密。加密后的密钥返回到调用服务器并存储到数据库。同时,将生成的加密密钥连同其他卡数据提供给运营商导入HLR系统作为后续卡入网鉴权用。
上述说明是针对本发明较佳实施例的详细说明,但实施例并非用以限定本发明的专利申请范围,凡本发明所提示的技术精神下所完成的同等变化或修饰变更,均应属于本发明所涵盖专利范围。

Claims (3)

1.一种基于TEE的保障虚拟SIM卡远程初始化安全的方法,其特征在于,包括如下步骤:
步骤一、客户端APP调用TEE环境下的应用TA临时生成一对第一公钥和第一私钥,所述第一公钥传回APP,第一私钥临时存在TEE环境下的应用TA运行的内存中;
步骤二、客户端APP调用TEE环境下的应用TA的安全签名接口,使用secure key的私钥对包含了第一公钥的下卡请求数据进行数字摘要签名;
步骤三、SIM卡数据管理平台接收到APP的包含有第一公钥的下卡请求后,调用云端终端设备认证服务器远程接口对请求原文和签名进行校验;
步骤四、签名校验成功后,SIM卡管理平台将下卡请求包含的第一公钥与其订购的已加密SIM profile和profile对应运营商id发送至加密机;
步骤五、加密机接收到请求后,临时生成一对第二公钥和第二私钥,其中第二私钥用来和客户端上传的第一公钥生成会话密钥,第二公钥用来回传客户端,加密机将加密后的profile和第二公钥返回到SIM卡管理平台,SIM卡管理平台接收到加密的profile和第二公钥后将其封装返回给到客户端APP;加密机对profile的加密方法为:加密机根据运营商id取到运营商密码OP,采用AES对SIM profile进行解密,解密后的数据再使用生成的会话密钥,采用AES重新进行加密;
步骤六、客户端APP获取到SIM卡管理平台第二公钥和加密的profile,调用TEE环境下的应用TA的安装profile接口,并传入第二公钥和加密profile;
步骤七、TEE环境下的应用TA把解密后profile进行一定的转换后存储在安全的TEE环境下的RPMB,TEE环境下的应用TA解密profile的方法为:TEE环境下的应用TA通过SIM卡管理平台的第二公钥和自己的第一私钥生成会话密钥,采用AES算法解密profile。
2.如权利要求1所述的基于TEE的保障虚拟SIM卡远程初始化安全的方法,其特征在于,所述第一公钥、第一私钥、第二公钥和第二私钥均为椭圆曲线秘钥。
3.如权利要求1所述的基于TEE的保障虚拟SIM卡远程初始化安全的方法,其特征在于,所述客户端为手机或平板电脑。
CN202010229472.XA 2020-03-27 2020-03-27 一种基于tee的保障虚拟sim卡远程初始化安全的方法 Active CN111542050B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010229472.XA CN111542050B (zh) 2020-03-27 2020-03-27 一种基于tee的保障虚拟sim卡远程初始化安全的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010229472.XA CN111542050B (zh) 2020-03-27 2020-03-27 一种基于tee的保障虚拟sim卡远程初始化安全的方法

Publications (2)

Publication Number Publication Date
CN111542050A CN111542050A (zh) 2020-08-14
CN111542050B true CN111542050B (zh) 2021-05-18

Family

ID=71978434

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010229472.XA Active CN111542050B (zh) 2020-03-27 2020-03-27 一种基于tee的保障虚拟sim卡远程初始化安全的方法

Country Status (1)

Country Link
CN (1) CN111542050B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112543448A (zh) * 2020-12-21 2021-03-23 中国联合网络通信集团有限公司 电子卡安装方法、设备及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105488433A (zh) * 2016-01-08 2016-04-13 腾讯科技(深圳)有限公司 终端密钥生成方法及装置
CN108566389A (zh) * 2018-03-28 2018-09-21 中国工商银行股份有限公司 一种跨应用的指纹身份认证方法及装置
CN110838919A (zh) * 2019-11-01 2020-02-25 广州小鹏汽车科技有限公司 通信方法、存储方法、运算方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105813060B (zh) * 2016-03-11 2019-06-28 珠海市魅族科技有限公司 一种获取虚拟用户身份的方法及装置
KR102425368B1 (ko) * 2016-05-02 2022-07-27 삼성전자주식회사 가상 sim 운용 방법 및 그 장치
CN108184230B (zh) * 2017-12-14 2021-04-20 中国—东盟信息港股份有限公司 一种软sim实现加密的系统及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105488433A (zh) * 2016-01-08 2016-04-13 腾讯科技(深圳)有限公司 终端密钥生成方法及装置
CN108566389A (zh) * 2018-03-28 2018-09-21 中国工商银行股份有限公司 一种跨应用的指纹身份认证方法及装置
CN110838919A (zh) * 2019-11-01 2020-02-25 广州小鹏汽车科技有限公司 通信方法、存储方法、运算方法及装置

Also Published As

Publication number Publication date
CN111542050A (zh) 2020-08-14

Similar Documents

Publication Publication Date Title
CN110519309B (zh) 数据传输方法、装置、终端、服务器及存储介质
US8495383B2 (en) Method for the secure storing of program state data in an electronic device
CN105812332A (zh) 数据保护方法
CN108712412B (zh) 一种数据库的加密、解密方法、装置、存储介质及终端
CN108768963B (zh) 可信应用与安全元件的通信方法和系统
EP4195583A1 (en) Data encryption method and apparatus, data decryption method and apparatus, terminal, and storage medium
CN110889696A (zh) 一种基于sgx技术的联盟区块链秘钥存储方法、装置、设备及介质
CN204360381U (zh) 移动设备
CN107453880B (zh) 一种云数据安全存储方法和系统
CN108718233B (zh) 一种加密方法、计算机设备及存储介质
CN109218295A (zh) 文件保护方法、装置、计算机设备及存储介质
CN108809936B (zh) 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统
CN104618096A (zh) 保护密钥授权数据的方法、设备和tpm密钥管理中心
WO2024139273A1 (zh) 联邦学习方法、装置、可读存储介质及电子设备
CN114499875A (zh) 业务数据处理方法、装置、计算机设备和存储介质
CN104601820A (zh) 一种基于tf密码卡的手机终端信息保护方法
CN112507296A (zh) 一种基于区块链的用户登录验证方法及系统
CN111542050B (zh) 一种基于tee的保障虚拟sim卡远程初始化安全的方法
EP3193262A1 (en) Database operation method and device
CN105022651B (zh) 一种设备生产过程中的防盗版方法及固件烧写装置
KR101329789B1 (ko) 모바일 디바이스의 데이터베이스 암호화 방법
CN104392153A (zh) 一种软件保护方法及系统
CN104202166A (zh) 一种erp系统数据加密方法
CN105046174A (zh) 磁盘数据的保护方法及系统
CN108184230B (zh) 一种软sim实现加密的系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20201223

Address after: No.18 Pingle Avenue, Liangqing District, Nanning City, Guangxi Zhuang Autonomous Region, 530200

Applicant after: Guangxi Dongxin Yilian Technology Co.,Ltd.

Applicant after: CHINA-ASEAN INFORMATION HARBOR Co.,Ltd.

Address before: No.18 Pingle Avenue, Liangqing District, Nanning City, Guangxi Zhuang Autonomous Region, 530200

Applicant before: Guangxi Dongxin Yilian Technology Co.,Ltd.

GR01 Patent grant
GR01 Patent grant