[发明专利]一种安全实现软SIM卡的设备及方法

说明书

本发明公开了一种安全实现软SIM卡的设备及方法，通过采用在可信应用程序(TA)中加载软SIM的嵌入式软件操作系统和在安全单元(SE)中安全存储软SIM的关键数据相结合的方法来实现与普通SIM卡的安全强度相类似的高安全解决方法，解决目前软SIM卡实现中的安全性问题。

技术领域

本发明涉及移动通信技术领域，尤其涉及一种软SIM卡安全实现的设备及方法。

背景技术

SIM卡是(Subscriber Identification Module客户识别模块)的缩写，也称为用户身份识别卡、智能卡。目前，绝大部分移动运营商都是把SIM卡作为接入运营商移动蜂窝网络的身份识别卡，用户在使用移动设备接入运营商移动蜂窝网络前须先购买SIM卡，通过SIM卡实现移动设备接入网络的认证鉴权。

目前，由于出境旅游和工作的人数逐年增加，出国用户已经成为一个不容忽视的用户群，在国外方便且便宜地使用移动设备进行通话和上网的业务已经成为出国用户的一大需求。为解决国内用户在国外移动业务的需求，软SIM(也有称为虚拟SIM卡)的解决方法应运而生。软SIM卡通过在移动设备软件中写入国外本地运营商的SIM卡认证鉴权的相关信息，使移动设备接入国外的本地运营商网络。但是，软SIM卡在移动设备软件中的安全性受到广泛的质疑。

发明内容

针对现有技术的问题，本发明提出一种软SIM卡安全实现的设备及方法，通过采用在可信应用程序(TA)中加载软SIM的嵌入式软件操作系统和在安全单元(SE)中安全存储软SIM的关键数据相结合的方法来实现与普通SIM卡的安全强度相类似的高安全解决方法，解决目前软SIM卡实现中的安全性问题。

为实现上述目的，本发明一方面提供一种软SIM卡安全实现的设备，包括基带处理器、应用处理器和安全单元，所述基带处理器与应用处理器通过物理连接保持通信，所述基带处理器用于实现设备的语音通信和数据业务，所述应用处理器用于向用户提供软SIM卡相关的移动通信服务以及用于实现软SIM卡嵌入式系统软件功能并保存软SIM卡中的非关键数据，所述安全单元用于实现对软SIM卡的鉴权关键数据的安全存储和安全传输。

进一步地，所述应用处理器中运行富执行环境和可信执行环境，两者并行运行且相互独立；所述富执行环境中运行客户应用程序，客户应用以外部接口形式为用户提供软SIM卡相关移动通信服务；

所述可信执行环境中运行可信应用程序；可信执行环境为可信应用提供安全执行环境，同时提供保密性和完整性，并对所述可信应用的数据提供访问权限的控制；可信应用程序用于实现软SIM卡嵌入式系统软件功能，并保存软SIM卡中的非关键数据。

当客户应用程序运行到与软SIM卡相关的进程或数据时，通过TEE Client API接口，向可信应用程序提出调用请求；当客户应用程序通过TEE Client API接口调用获取可信应用程序的软SIM卡嵌入式软件系统功能服务和获取软SIM卡非关键数据时，可信应用程序独立运行并做出响应；当客户应用程序通过TEE Client API接口对可信应用程序提出软SIM卡的网络鉴权认证请求时，可信应用程序通过TEE SE Interface API访问安全单元，由可信应用程序和安全单元共同完成对软SIM卡的网络鉴权认证请求的响应。

安全单元实现对软SIM卡的鉴权关键数据的安全存储和安全传输。根据具体的实施例不同，安全单元实现除了含有鉴权关键数据的安全存储和安全传输外，也可能含有执行网络鉴权认证关键算法的功能。

基于上述设备，本发明另一方面还提供一种安全实现软SIM卡的方法，具体包括以下步骤：

S1，用户通过客户应用发起基于软SIM卡的移动通信请求；客户应用通过调用TEEClient API向可信应用请求获取软SIM卡的相关信息，客户应用将从可信应用获取的软SIM卡信息和移动通信请求信息最终传递给基带处理器，基带处理器向外部移动网络发出移动通信请求信号和软SIM卡的相关信息；