本說明書實施例提供了用于安全通信的信息處理方法及裝置。該方法可以應用于終端設備上的第一安全域，也可以應用于第二安全域。當該方法應用于第一安全域時，該方法包括：從終端設備上的目標應用接收安全通道建立請求，其中包括第二安全域的域標識；響應于建立請求，向第二安全域發送算法信息，其中包括目標應用支持的多個加解密算法的算法標識，多個加解密算法對應安全通道所需的多個算法類型；從第二安全域接收加密策略，加密策略示出多個目標算法的算法標識，以及多個目標算法分別被指定用于加解密的數據類型，多個目標算法對應上述多個算法類型，是目標應用和第二安全域均支持的加解密算法；根據加密策略，執行安全通道初始化操作。

技術領域

本說明書實施例涉及信息安全技術領域，具體地，涉及用于安全通信的信息處理方法及裝置。

背景技術

目前,終端設備上可以安裝有具有安全通信需求的客戶端應用(下文中統稱為目標應用),以及還可以配置有安全域(下文中統稱為第一安全域),例如TEE(TrustedExecution Environment，可信執行環境)等。當目標應用需要與服務端或者其他終端設備上的應用通信時，可以通過第一安全域建立與第二安全域之間的安全通道，通過安全通道進行消息傳輸。其中，第二安全域為該服務端或者其他終端設備上的應用對應的安全域。

實踐中，終端環境基于各種不同的芯片平臺實現，擁有各不相同的算法能力、加密能力，所擁有的安全通道協議互不匹配，如果使用一套加密算法協議，無法滿足客戶端與客戶端、客戶端與服務端交互業務的統一需求。

因此，迫切需要一種合理、可靠的方案，不僅能實現第一安全域與第二安全域之間的安全通信，還能滿足客戶端與客戶端、客戶端與服務端交互業務的統一需求。

發明內容

本說明書實施例提供了用于安全通信的信息處理方法及裝置。

第一方面，本說明書實施例提供了一種用于安全通信的信息處理方法，應用于終端設備中的第一安全域，包括：從所述終端設備上的目標應用接收安全通道建立請求，所述建立請求包括第二安全域的域標識；響應于所述建立請求，向所述第二安全域發送算法信息，所述算法信息包括所述目標應用支持的多個加解密算法的算法標識，所述多個加解密算法對應安全通道所需的多個算法類型；從所述第二安全域接收加密策略，所述加密策略示出多個目標算法的算法標識，以及所述多個目標算法分別被指定用于加解密的數據類型，其中，所述多個目標算法對應所述多個算法類型，并且是所述目標應用和所述第二安全域均支持的加解密算法；根據所述加密策略，執行安全通道初始化操作。

在一些實施例中，所述多個算法類型至少包括對稱加密算法和密碼散列函數；以及所述根據所述加密策略，執行安全通道初始化操作，包括：獲取所述終端設備的設備特征信息，以及所述第二安全域所在設備的設備特征信息；對于所述多個目標算法中第一目標算法對應的數據類型，利用該數據類型對應的目標秘鑰生成算法，根據所獲取的各條設備特征信息，生成該數據類型對應的加密秘鑰，所述第一目標算法屬于對稱加密算法或密碼散列函數，其中，所述第二安全域針對該數據類型，生成與所述加密秘鑰相同的解密秘鑰。

在一些實施例中，所述多個算法類型還包括非對稱加密算法，所述終端設備預置有第二目標算法對應的公私鑰對，所述第二安全域保存有所述公私鑰對中的第一公鑰，所述第二目標算法屬于非對稱加密算法；以及所述根據所述加密策略，執行安全通道初始化操作，還包括：對于所述第二目標算法對應的數據類型，將所述公私鑰對中的第一私鑰確定為該數據類型對應的加密秘鑰，其中，所述第二安全域將所述第一公鑰確定為該數據類型對應的解密秘鑰。

在一些實施例中，在所述向所述第二安全域發送算法信息之前，所述方法還包括：向所述第二安全域發送第一身份信息，所述第一身份信息包括所述終端設備的設備特征信息；從所述第二安全域接收第二身份信息，所述第二身份信息包括所述第二安全域所在設備的設備特征信息。