[发明专利]一种安全实现软SIM卡的设备及方法

权利要求书

1.一种安全实现软SIM卡的设备，包括基带处理器和应用处理器，两者通过物理连接保持通信，其特征在于：还包括一安全单元，所述基带处理器用于实现设备的语音通信和数据业务，所述应用处理器用于向用户提供软SIM卡相关的移动通信服务以及用于实现软SIM卡嵌入式系统软件功能并保存软SIM卡中的非关键数据，所述安全单元用于实现对软SIM卡的鉴权关键数据的安全存储和安全传输；

所述应用处理器中运行富执行环境和可信执行环境，两者并行运行且相互独立；所述富执行环境中运行客户应用程序，客户应用程序以外部接口形式为用户提供软SIM卡相关移动通信服务；

所述可信执行环境中运行可信应用程序；可信执行环境为可信应用程序提供安全执行环境，同时提供保密性和完整性，并对所述可信应用程序的数据提供访问权限的控制；可信应用程序用于实现软SIM卡嵌入式系统软件功能，并保存软SIM卡中的非关键数据；

客户应用程序将从可信应用程序获取的软SIM卡信息和移动通信请求信息最终传递给基带处理器，基带处理器向外部移动网络发出移动通信请求信号和软SIM卡的相关信息；

基带处理器从外部移动网络收到针对软SIM卡的移动网络鉴权认证消息信号后，将移动网络鉴权认证消息传递给客户应用程序，客户应用程序通过TEE Client API接口向可信应用程序请求进行软SIM卡移动网络鉴权认证。

2.根据权利要求1所述的一种安全实现软SIM卡的设备，其特征在于：当客户应用程序运行到与软SIM卡相关的进程或数据时，通过TEE Client API接口，向可信应用程序提出调用请求；当客户应用程序通过TEE Client API接口调用获取可信应用程序的软SIM卡嵌入式软件系统功能服务和获取软SIM卡非关键数据时，可信应用程序独立运行并做出响应；当客户应用程序通过TEE Client API接口对可信应用程序提出软SIM卡的网络鉴权认证请求时，可信应用程序通过TEE SE Interface API访问安全单元，由可信应用程序和安全单元共同完成对软SIM卡的网络鉴权认证请求的响应。

3.根据权利要求2所述的一种安全实现软SIM卡的设备，其特征在于：所述安全单元还包括执行网络鉴权认证算法模块。

4.一种安全实现软SIM卡的方法，其特征在于：包括以下步骤：

S1，用户通过客户应用程序发起基于软SIM卡的移动通信请求；

S2，基带处理器从外部移动网络收到针对软SIM卡的移动网络鉴权认证消息信号后，将移动网络鉴权认证消息传递给客户应用程序，客户应用程序向可信应用程序请求进行软SIM卡移动网络鉴权认证；

S3，可信应用程序请求安全单元进行网络鉴权认证计算，并将鉴权认证计算结果反馈给客户应用程序；

S4，客户应用程序获取针对软SIM的网络鉴权认证响应后，将网络鉴权认证响应通过基带处理器反馈给移动网络；

S5，移动网络鉴权中心进行针对软SIM卡的移动网络鉴权计算，移动网络收到软SIM卡的网络鉴权认证响应后，移动网络鉴权中心将对比认证鉴权中心的计算结果和接收到的软SIM卡的移动网络鉴权认证响应，两个计算结果比对认证成功后，移动网络认为该软SIM卡用户是合法的；

其中，用于实现所述方法的设备包括基带处理器、应用处理器、安全单元；所述基带处理器用于实现设备的语音通信和数据业务，所述应用处理器用于向用户提供软SIM卡相关的移动通信服务以及用于实现软SIM卡嵌入式系统软件功能并保存软SIM卡中的非关键数据，所述安全单元用于实现对软SIM卡的鉴权关键数据的安全存储和安全传输；所述应用处理器中运行富执行环境和可信执行环境，两者并行运行且相互独立；所述富执行环境中运行客户应用程序，客户应用程序以外部接口形式为用户提供软SIM卡相关移动通信服务；所述可信执行环境中运行可信应用程序；可信执行环境为可信应用程序提供安全执行环境，同时提供保密性和完整性，并对所述可信应用程序的数据提供访问权限的控制；可信应用程序用于实现软SIM卡嵌入式系统软件功能，并保存软SIM卡中的非关键数据。