本申請揭示了一種基于可信環境的有卡安全通信方法，應用于具有安全芯片和安全通信元件的移動終端，該方法包括如下步驟：響應于實體卡發送的無線通信信息，安全芯片加密接收的所述無線通信信息；將加密后的所述無線通信信息發送給安全通信元件；安全通信元件將所述無線通信信息轉發到公共應用。本申請的基于可信環境的有卡安全通信方法應用于安全訪問領域。

技術領域

本申請涉及安全訪問領域，尤其涉及一種基于可信環境的有卡安全通信方法及移動終端。

背景技術

隨著移動終端和4G網絡的迅猛發展，使用移動終端進行線上身份認證從而完成用戶身份識別的各種應用井噴式涌出，其中用戶身份的獲得基本都是通過輸入相關信息，之后實現信息綁定從而完成的，但是這種輸入、綁定形式存在個人信息數據泄露、被偽造復制等風險。

發明內容

本申請的目的在于提供一種基于可信環境的有卡安全通信方法及移動終端，用于提升現有移動終端的安全性能。

本申請的第一方面提出一種基于可信環境的有卡安全通信方法，應用于具有安全芯片和安全通信元件的移動終端，該方法包括如下步驟：響應于實體卡發送的無線通信信息，安全芯片加密接收的所述無線通信信息；將加密后的所述無線通信信息發送給安全通信元件；安全通信元件將所述無線通信信息轉發到公共應用。

根據本申請的第一方面，還包括步驟：公共應用將所述無線通信信息發送到業務處理前置服務器進行處理。

根據本申請的第一方面，其中安全芯片以可移動或內嵌的方式放置到移動終端中。

根據本申請的第一方面，其中，安全芯片包括與實體卡進行無線通信的無線天線。

根據本申請的第一方面，還包括如下步驟：業務處理前置服務器將處理結果發送回公共應用；公共應用將其發送給安全通信元件；安全通信元件調用安全芯片解密處理結果。

根據本申請的第一方面，其中公共應用位于非可信執行元件中。

根據本申請的第一方面，其中安全通信元件中安裝可信應用，可信應用和公共應用通過通信接口實現通信。

根據本申請的第一方面，在響應于實體卡發送的無線通信信息之前，還包括如下步驟：業務處理前置服務器與安全元件通過公共應用雙向認證；認證通過之后協商業務處理的主密鑰；將主密鑰保存在安全芯片中。

根據本申請的第一方面，業務處理前置服務器間隔固定時間更新主密鑰。

根據本申請的第一方面，將主密鑰保存在安全芯片中之后，每次安全芯片在接收實體卡發送的無線通信信息之前，還包括步驟：安全芯片和業務處理前置服務器通信以更新工作密鑰。

根據本申請的第一方面，安全芯片和業務處理前置服務器通信以更新工作密鑰包括如下子步驟：獲得安全芯片的設備唯一標識符；將所述設備唯一標識符發送給業務處理前置服務器；業務處理前置服務器通過查詢表，獲得與所述安全芯片的設備唯一標識符相對應的主密鑰；使用所述主密鑰加密工作密鑰；計算加密前的工作密鑰的MAC值，并將其和加密的工作密鑰發送到公共應用；公共應用將所述MAC值和加密的工作密鑰發送到安全通信元件；安全通信元件使用安全芯片中存儲的主密鑰解密所述加密的工作密鑰，并驗證MAC值，獲得工作密鑰。

本申請的安全通信方法，可使得用戶使用實體卡實現各種線上通信，從而在保證通信安全的基礎上兼顧通信的便捷性。

本申請的第二方面還保護一種移動終端，包括如下部件：安全芯片，包括可與實體卡無線通信的無線天線以及存儲主密鑰及工作密鑰的安全存儲單元，使用工作密鑰加密實體卡發送的信息；安全通信元件，與非可信執行元件中的公共應用和安全芯片通信，轉發獲得的加密的實體卡信息到公共應用；非可信執行元件，包括公共應用。

根據本申請的第二方面，其中安全芯片以可移動或內嵌的方式放置到移動終端中。