本發(fā)明實(shí)施例公開(kāi)了一種安全通信方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)，方法包括：預(yù)先通過(guò)普通模塊接收客戶(hù)端的業(yè)務(wù)執(zhí)行程序發(fā)送的配置參數(shù)并轉(zhuǎn)發(fā)給可信模塊，由可信模塊產(chǎn)生會(huì)話ID并根據(jù)配置參數(shù)確定與會(huì)話ID關(guān)聯(lián)的目標(biāo)資源，由普通模塊將會(huì)話ID返回給業(yè)務(wù)執(zhí)行程序，并與服務(wù)端建立通信連接；當(dāng)業(yè)務(wù)執(zhí)行程序需要向服務(wù)端發(fā)送數(shù)據(jù)時(shí)，由普通模塊接收業(yè)務(wù)執(zhí)行程序發(fā)送的數(shù)據(jù)發(fā)送請(qǐng)求，該數(shù)據(jù)發(fā)送請(qǐng)求中包括會(huì)話ID和待發(fā)送數(shù)據(jù)；由可信模塊根據(jù)會(huì)話ID關(guān)聯(lián)的目標(biāo)資源對(duì)待發(fā)送數(shù)據(jù)進(jìn)行安全相關(guān)處理，得到目標(biāo)發(fā)送數(shù)據(jù)。利用通信連接將目標(biāo)發(fā)送數(shù)據(jù)發(fā)送給服務(wù)端。避免了不同業(yè)務(wù)執(zhí)行程序的代碼冗余，減輕了客戶(hù)端的系統(tǒng)運(yùn)行負(fù)擔(dān)。

技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，更具體地說(shuō)，涉及一種安全通信方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)

目前，大部分業(yè)務(wù)會(huì)包括客戶(hù)端的業(yè)務(wù)執(zhí)行程序和服務(wù)端的業(yè)務(wù)執(zhí)行程序，通過(guò)客戶(hù)端的業(yè)務(wù)執(zhí)行程序和服務(wù)器端的業(yè)務(wù)執(zhí)行程序通信實(shí)現(xiàn)業(yè)務(wù)功能。而隨著TrustZone的推廣，為安全起見(jiàn)，客戶(hù)端的業(yè)務(wù)執(zhí)行程序會(huì)基于可信執(zhí)行環(huán)境與服務(wù)端的業(yè)務(wù)執(zhí)行程序進(jìn)行通信。

現(xiàn)有的客戶(hù)端的業(yè)務(wù)執(zhí)行程序基于可信執(zhí)行環(huán)境與服務(wù)端的業(yè)務(wù)執(zhí)行程序進(jìn)行通信的方式是：客戶(hù)端的業(yè)務(wù)執(zhí)行程序包括運(yùn)行在普通執(zhí)行環(huán)境的普通程序部分和運(yùn)行在可信執(zhí)行環(huán)境的可信程序部分，在客戶(hù)端與服務(wù)端通信的過(guò)程中，通過(guò)運(yùn)行可信程序部分可以實(shí)現(xiàn)安全相關(guān)處理，比如，可信程序部分運(yùn)行時(shí)引用算法庫(kù)實(shí)現(xiàn)密鑰的產(chǎn)生、管理和保存，數(shù)據(jù)的加密解密、加簽驗(yàn)簽等。

本申請(qǐng)的發(fā)明人研究發(fā)現(xiàn)，由于不同的業(yè)務(wù)在基于可信執(zhí)行環(huán)境與服務(wù)端通信時(shí)，均需要執(zhí)行可信程序部分，而客戶(hù)端通常會(huì)配置多個(gè)業(yè)務(wù)，這就導(dǎo)致不同業(yè)務(wù)的執(zhí)行程序的代碼冗余，增加客戶(hù)端的系統(tǒng)運(yùn)行負(fù)擔(dān)。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種安全通信方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)，以降低客戶(hù)端的系統(tǒng)運(yùn)行負(fù)擔(dān)。包括如下技術(shù)方案：

一種安全通信方法，包括：

通過(guò)運(yùn)行在普通執(zhí)行環(huán)境的普通模塊接收客戶(hù)端的業(yè)務(wù)執(zhí)行程序發(fā)送的數(shù)據(jù)發(fā)送請(qǐng)求，所述數(shù)據(jù)發(fā)送請(qǐng)求中包括會(huì)話ID和待發(fā)送數(shù)據(jù)；所述會(huì)話ID預(yù)先在通信初始化過(guò)程中產(chǎn)生，所述通信初始化過(guò)程包括：通過(guò)所述普通模塊將接收到的所述業(yè)務(wù)執(zhí)行程序發(fā)送的配置參數(shù)傳輸給運(yùn)行在可信執(zhí)行環(huán)境的可信模塊，以便所述可信模塊產(chǎn)生所述會(huì)話ID并根據(jù)所述配置參數(shù)確定與所述會(huì)話ID關(guān)聯(lián)的目標(biāo)資源；通過(guò)所述普通模塊將所述會(huì)話ID返回給所述業(yè)務(wù)執(zhí)行程序，并與服務(wù)端建立與所述會(huì)話ID相關(guān)聯(lián)的通信連接；

通過(guò)所述普通模塊將所述數(shù)據(jù)發(fā)送請(qǐng)求傳入所述可信模塊，以便所述可信模塊根據(jù)所述目標(biāo)資源對(duì)所述待發(fā)送數(shù)據(jù)進(jìn)行第一安全相關(guān)處理，得到目標(biāo)發(fā)送數(shù)據(jù)并發(fā)送至所述普通模塊；

利用所述通信連接將所述目標(biāo)發(fā)送數(shù)據(jù)由所述普通模塊發(fā)送至所述服務(wù)端。

上述方法，可選的，所述配置參數(shù)包括：安全等級(jí)、安全方案和密鑰產(chǎn)生方式。

上述方法，可選的，所述安全等級(jí)包括：只進(jìn)行加簽處理；只進(jìn)行加密處理；只在初始化連接時(shí)加簽處理，通信過(guò)程中加密處理；以及初始化連接時(shí)加簽和加密處理，通信過(guò)程中加簽和加密處理；

所述安全方案為選定安全等級(jí)下使用的密鑰長(zhǎng)度和算法模式；

所述密鑰產(chǎn)生方式包括：每次通信產(chǎn)生隨機(jī)密鑰；每次通信使用預(yù)先基于業(yè)務(wù)執(zhí)行程序和服務(wù)端的地址產(chǎn)生的隨機(jī)密鑰；以及每次通信使用預(yù)置密鑰；所述預(yù)置密鑰關(guān)聯(lián)固定的業(yè)務(wù)執(zhí)行程序，于設(shè)備出廠前預(yù)置于設(shè)備中。

上述方法，可選的，所述密鑰產(chǎn)生方式為每次通信使用預(yù)置密鑰，或者每次通信使用預(yù)先對(duì)應(yīng)業(yè)務(wù)執(zhí)行程序和服務(wù)端的地址產(chǎn)生的隨機(jī)密鑰時(shí)，所述數(shù)據(jù)發(fā)送請(qǐng)求中還包括：所述業(yè)務(wù)執(zhí)行程序的密鑰令牌和服務(wù)端的地址。

上述方法，可選的，還包括：