[发明专利]终端设备的专用密码加密方法和装置

说明书

本申请公开了一种终端设备的专用密码加密方法和装置，包括：当终端设备检测到应用层的密码操作指令时，将所述密码操作指令发送给安全执行环境TEE客户端；所述TEE客户端将所述密码操作指令，发送给TEE系统中用于处理密码操作指令的可信应用TA；所述TA对所述密码操作指令进行解析，根据所述解析结果通过调用TEE系统中专用密码算法库内的相应算法，执行所述密码操作指令，并通过所述TEE客户端将所述执行的结果，反馈给所述应用层。应用本申请公开的技术方案，利用TEE系统保障专用密码算法调用的安全性，能够在利用专用密码保障安全强度的前提下，降低实现成本、减少功耗以及提高终端设备的整体性能。

技术领域

本申请涉及信息安全技术领域，特别涉及一种终端设备的专用密码加密方法和装置。

背景技术

目前，为了满足一些信息安全要求较高的客户需要，很多终端设备上采用了专用密码的加密方法，该加密方法是经过第三方权威机构认可的，以保证终端的信息安全强度。

为了保障加密方法的安全性，现有的专用密码的加密方法通常采用增加硬件模块的方式实现。具体为，将专用密码的加密方法预置于专用的密码硬件模块(如TF密码卡、simkey、贴膜卡等)中，密码硬件模块通过适配终端驱动，以及集成密码卡商提供的密码服务，向应用层提供专用密码的操作处理接口，终端设备应用层通过调用这些接口，实现相应的基于专用密码的加解密处理功能。在实际应用中，有些厂商会将上述密码硬件模块置于终端设备外，也有些厂商会将上述密码硬件模块内置于终端设备中。

发明人在实现本发明的过程中发现：上述现有的专用密码的加密方法存在硬件成本高、功耗大、降低终端的整体业务性能的问题。通过对上述现有方案的认真研究分析，发明人发现上述问题存在的主要原因如下：

1、上述现有方案依赖于密码硬件模块的实现，这样，由于增加了终端设备本的硬件，因此，会大幅增加硬件成本。业界的密码卡通常都在几百元，这相对于大多数手机终端而言，增加的成本比例是非常高的。

2、密码硬件模块的引入，需要终端设备为其供电，这样，就会大幅度增加终端的功耗，尤其是外置的密码硬件模块。由于使用密码硬件模块的终端设备通常用于行业客户的移动办公，这些客户对终端设备的可持续使用时间要求较高，而上述功耗的增加会导致终端的可持续使用时间的明显减少，从而无法满足上述较长持续使用时间的需要。

3、现有的密码硬件模块，无论是采用何种形式实现，其芯片计算能力普遍很低，运行内存也很小，这样，有限的运算能力将会导致密码硬件模块的处理效率低，从而往往成为整个业务的性能瓶颈，不能满足一些有高性能要求的业务，如视频业务等。

发明内容

有鉴于此，本发明的主要目的在于提供一种终端设备的专用密码加密方法和装置，能够在利用专用密码保障安全强度的前提下，降低实现成本、减少功耗以及提高终端设备的整体性能。

一种终端设备的专用密码加密方法，包括：

当终端设备检测到应用层的密码操作指令时，将所述密码操作指令发送给安全执行环境TEE客户端；

所述TEE客户端将所述密码操作指令，发送给TEE系统中用于处理密码操作指令的可信应用TA；

所述TA对所述密码操作指令进行解析，根据所述解析的结果，通过调用TEE系统中专用密码算法库内的相应算法，执行所述密码操作指令，并通过所述TEE客户端将所述执行的结果，反馈给所述应用层。

较佳地，将所述密码操作指令发送给安全执行环境TEE客户端包括：

所述终端设备通过预设的专用密码的标准接口，将所述密码操作指令发送给安全执行环境TEE客户端。

一种终端设备的专用密码加密装置，包括：

应用层模块，用于当检测到应用层的密码操作指令时，将所述密码操作指令发送给安全执行环境TEE客户端；