一种带有安全存储功能的UICC装置及其指令响应方法与流程

本申请涉及微电子领域，尤其涉及一种带有安全存储功能的uicc装置及其指令响应方法。

背景技术：

随着物联网和5g的业务场景的发展，手机和物联网智能终端（为了描述方便，以下将手机和物联网智能终端统称为智能终端）中的应用不断丰富。因此，智能终端中需要存储的信息量激增。

并且，智能终端的数据安全的需求也越来越高，而目前先进的安全技术，需要硬件的支持。即使在增加存储的基础上，而智能终端的信息泄露事件不断发生，尤其是对个人财产以及隐私等敏感信息保护的安全需求不断增加，而当前智能终端的加密方式均为软件加密，即使是tee安全平台，也需要内嵌se芯片，而目前具有se芯片的智能终端还不普及，完成智能终端本地的敏感信息的保护，还需要进一步加强。

综上所述，在目前，要升级智能终端的存储量和安全性，需要更换智能终端。

技术实现要素：

申请人在研究的过程中发现，智能终端的功能实现离不开智能卡的支持，即智能终端中需要安装智能卡，而智能卡与智能终端相比，具有成本低、体积小、便携等优点，因此，可以通过智能卡升级智能终端的存储量和安全性，而无需更换智能终端。

本申请提供了一种带有安全存储功能的uicc装置及其指令响应方法，目的在于提供存储量更大和安全性更高的智能卡。

为了实现上述目的，本申请提供了以下技术方案：

一种带有安全存储功能的uicc装置，包括：存储器、存储访问接口和安全电路；

所述存储器，用于存储数据；所述存储器为通过3dflash技术将存储空间扩展到预设大小存储空间的存储器；

所述存储访问接口，用于接收第一存储访问指令；所述第一存储访问指令为应用处理器访问所述存储器的指令；

所述安全电路，用于对所述第一存储访问指令进行安全认证；所述安全电路为安全环境se芯片；

所述存储访问接口，还用于在所述第一存储访问指令通过安全认证后，响应所述第一存储访问指令。

可选的，所述带有安全存储功能的uicc装置还包括usim通信接口；

所述安全电路，用于对所述第一存储访问指令进行安全认证，包括：

所述安全电路，具体用于通过所述usim通信接口向预设的云端发送对所述第一存储访问指令进行安全认证的认证请求；接收所述预设的云端对所述第一存储访问指令进行安全认证的认证结果。

可选的，所述安全电路，用于对所述第一存储访问指令进行安全认证，包括：

所述安全电路，具体用于在接收到对所述第一存储访问指令进行安全认证的认证请求的情况下，在本地对所述第一存储访问指令进行安全认证。

可选的，所述第一存储访问指令为写指令；

所述存储访问接口，用于响应第一存储访问指令，包括：

所述存储访问接口，具体用于接收所述应用处理器发送的待写入数据，并向所述安全电路发送所述待写入数据；在接收到加密后的数据后，将所述加密后的数据写入所述存储器；

所述安全电路还用于，对所述待写入数据进行加密，并将所述加密后的数据发给所述存储访问接口。

可选的，所述第一存储访问指令为读指令；

所述存储访问接口，还用于响应所述第一访问存储指令，包括：

所述存储访问接口，具体用于从所述存储器读取数据；向所述安全电路发送读取的数据；在接收到解密后的数据之后，向所述应用处理器发送所述解密后的数据；

所述安全电路，还用于对所述读取的数据进行解密，并将所述解密后的数据发送给所述存储访问接口。

可选的，还包括：usim通信接口；

所述usim通信接口，用于接收基带系统发送的认证指令；

所述usim通信接口，还用于将所述认证指令发送给所述安全电路；

所述安全电路，还用于对所述认证指令进行安全认证，并将认证结果反馈给所述usim通信接口；

所述usim通信接口，还用于向所述基带系统反馈所述认证结果。

可选的，

所述usim通信接口，还用于接收第二存储访问指令；所述第二存储访问指令为基带系统访问所述存储器的指令；

所述usim通信接口，还用于将所述第二存储访问指令发送给所述安全电路；

所述安全电路，还用于对所述第二存储访问指令进行安全认证；

所述usim通信接口，还用于在所述第二存储访指令通过安全认证后，响应所述第二存储访问指令。

一种指令响应方法，包括：

接收第一存储访问指令；所述第一存储访问指令为所述应用处理器访问所述带有安全存储功能的uicc装置中的存储器的指令；所述存储器为通过3dflash技术将存储空间的大小扩展到预设大小的存储空间后的存储器；

采用se芯片中的安全认证算法对所述第一存储访问指令进行安全认证；

在所述第一存储指令的安全认证通过后，响应所述第一存储访问指令。

可选的，所述对所述第一存储访问指令进行安全认证，包括：

向预设的云端发送对所述第一存储访问指令进行安全认证的认证请求；

接收所述预设的云端对所述第一存储访问指令进行安全认证的认证结果。

可选的，所述对第一存储访问指令进行安全认证，包括：

在本地对所述第一存储访问指令进行安全认证。

可选的，所述第一存储访问指令为写指令；

所述响应所述第一存储访问指令，包括：

接收所述应用处理器待写入数据；

对所述待写入数据进行加密，得到加密后的数据；

将所述加密后的数据写入所述存储器。

可选的，所述第一存储访问指令为读指令；

所述响应所述第一存储访问指令，包括：

从所述存储器中读取数据；

对读取的数据进行解密，得到解密后的数据；

向所述应用处理器发送所述解密后的数据。

可选的，所述指令响应方法还包括：

接收所述基带系统的认证指令；

采用se芯片中的安全认证算法中对所述基带系统发送的认证指令进行安全认证，得到认证结果；

将所述认证结果反馈给所述基带系统。

可选的，所述指令响应方法还包括：

接收所述基带系统发送的第二存储访问指令；所述第二存储访问指令为所述基带系统访问所述存储器的指令；

对所述第二存储访问指令进行安全认证；

在所述第二存储访问指令的安全认证通过后，响应所述第二存储访问指令。

本申请所述的uicc装置中，包括存储器、存储访问接口和安全电路，其中，存储器用于存储数据，并且，本申请提供带有安全存储功能的uicc装置的存储器的存储空间是通过3dflash技术扩展到预设大小的存储空间的存储器，本申请提供带有安全存储功能的uicc装置的存储器的存储空间较大，可以满足智能终端需要较大的存储空间的需求。并且，存储访问接口用于接收应用处理器对存储器的存储访问指令，即本申请提供带有安全存储功能的uicc装置为应用处理器访问uicc装置的存储器的提供了访问接口。并且，本申请提供带有安全存储功能的uicc装置中的安全电路为se芯片，由于se芯片本身对指令的安全认证具有较高的安全性。因此，本申请提供带有安全存储功能的uicc装置支持应用处理器对存储器的访问，在满足智能终端对存储空间的需求的同时，保证存储器中数据的安全性。所以，智能终端使用uicc装置即可实现存储量和安全性的升级。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例公开的一种应用场景示意图；

图2为本申请实施例公开的一种带有安全存储功能的uicc装置的结构示意图；

图3为本申请实施例公开的一种存储访问接口响应写指令的过程示意图；

图4为本申请实施例公开的一种存储访问接口响应读指令的过程示意图；

图5为本申请实施例公开的又一种带有安全存储功能的uicc装置的结构示意图；

图6为本申请实施例公开的带有安全存储功能的uicc装置响应基带系统向存储器中写入数据的过程示意图；

图7为本申请实施例公开的带有安全存储功能的uicc装置响应基带系统从存储器中读取数据的过程示意图。

具体实施方式

由于安全环境（securityenvironment，se）芯片具有对sim服务的安全认证、对存储访问指令的安全认证、对待写入存储空间的数据的加密，以及对从存储空间中读取的数据解密的功能，并且，se芯片所具有的这些功能具有较高的安全性能，因此，可以将se芯片配置在智能终端。由于目前配置有se芯片的智能终端还未普及，为了实现未配置se芯片的智能终端也能采用se芯片的功能这一目的，在本申请实施例中，将配置在uicc装置（universalintegratedcircuitcard，uicc）中。

基于在带有安全存储功能的uicc装置中配置se芯片，智能终端可以将数据存储在带有安全存储功能的uicc装置的存储器中，但是，现有的uicc装置的存储器的存储空间极小，不能满足物联网和5g的业务场景的智能终端的应用所需较大的存储空间的需求。因此，本申请实施例将带有安全存储功能的uicc装置的存储空间进行扩展，使得扩展后的存储空间的大小，满足物联网和5g的业务场景的智能终端对存储空间大小的要求。

在本申请实施例提供的带有安全存储功能的uicc装置支持基带系统在通信的过程中访问带有安全存储功能的uicc装置中的存储器，即使得基带系统通信与访问存储器这两个事件在一个时间段内完成。

图1为本申请实施例提供的一种带有安全存储功能的uicc装置的应用场景示意图，包括：基带系统101、应用处理器102和带有安全存储功能的uicc装置103。其中，基带系统101、应用处理器102分别与带有安全存储功能的uicc装置103连接，并且，uicc装置103支持对基带系统101的认证指令进行安全认证、支持基带系统101访问带有安全存储功能的uicc装置103的存储器，支持应用处理器102访问带有安全存储功能的uicc装置103的存储器。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

图2为本申请实施例提供的一种带有安全存储功能的uicc装置的结构示意图，包括：存储访问接口201、安全电路202和存储器203。

存储访问接口201，用于接收第一存储访问指令。

在本实施例中，第一存储访问指令为应用处理器访问带有安全存储功能的uicc装置中的存储器的指令。其中，应用处理器访问uicc装置中的存储器包括：向带有安全存储功能的uicc装置的存储器中写入数据和从带有安全存储功能的uicc装置的存储器中读取数据。

在本申请实施例中，存储访问接口201所使用的协议可以为sd标准协议、emmc标准协议和ufs标准协议中的任意一种。

安全电路202，用于对第一存储访问指令进行安全认证。

为了提高对第一存储访问指令的安全认证的安全性能，在本实施例中，安全电路202可以为se芯片。

具体的，在本申请实施例中，带有安全存储功能的uicc装置中还可以包括sim通信接口204，通过安全电路202对第一存储访问指令进行安全认证的方式包括两种方式：

第一种方式、安全电路202对第一存储访问指令在本地进行安全认证。具体的，通过带有安全存储功能的uicc装置中的se芯片对第一存储访问指令进行安全认证。具体的，se芯片对第一存储访问指令的安全认证过程为现有技术，这里不再赘述。

第二种方式、通过预设的云端对第一存储访问指令进行安全认证。

在该方式中，预设的云端具有对第一存储访问指令进行安全认证的功能。具体的，安全电路202在接收到对第一存储访问指令的安全认证的认证请求后，通过sim通信接口204向云端发送对第一存储访问指令进行安全认证的认证请求。云端在接收到对第一存储访问指令进行安全认证的认证请求后，对第一存储指令进行安全认证，得到安全认证结果。其中，安全认证结果为通过安全认证或未通过安全认证。云端将得到的安全认证结果发送给安全电路202。

存储器203，用于存储数据。

为了满足智能终端对存储器的存储空间的大小的需求，在本实施例中，存储器是通过3dflash技术对存储空间扩展后的存储器。具体的，通过3dflash技术可以将存储器的存储空间扩展到gb级别，例如，将存储器的存储空间扩展到8gb~512gb之间或以上，本实施例不对存储器的存储空间被扩展到的上限值作限定。

具体的，在本实施例中，带有安全存储功能的uicc装置响应应用处理器访问存储器203的方式包括两种：

第一种、响应应用处理器向存储器203中写入数据。

第二种、响应应用处理器从存储器203中读取数据。

在本实施例中，在响应应用处理器向存储器203中写数据的情况下，存储访问接口201接收的第一存储指令为写指令。在响应应用处理器从存储器203中读取数据的情况下，存储访问接口201接收的第一存储指令为读指令。

以下针对第一存储访问指令为写指令的情况和第一存储访问指令为读指令的情况，分别对带有安全存储功能的uicc装置响应应用处理器访问存储器203的过程进行介绍。

在第一存储访问指令为写指令的情况下，首先通过安全电路202对存储访问接口201接收的写指令进行安全认证，安全电路202对写指令进行安全认证的过程，参考上述安全电路202对第一存储访问指令的安全认证过程，这里不再赘述。在写指令通过安全认证后，存储访问接口201可以响应写指令，例如，存储访问接口201接收到安全电路202发送的第一许可信息后，存储访问接口201可以响应写指令。其中，第一许可信息表示允许应用处理器访问存储器的信息。具体的，存储访问接口201响应写指令的过程，如图3所示。

图3为本申请实施例提供的一种存储访问接口响应写指令的过程示意图，包括以下步骤：

s301、存储访问接口获取应用处理器的待写入数据。

s302、存储访问接口向安全电路发送待写入数据。

s303、安全电路对待写入数据进行加密，得到加密后的数据。

在本步骤中，可以采用se芯片对待写入数据进行加密。其中，se芯片中存在用于对数据进行加解密的密钥。具体的，se芯片对待写入数据加密的过程为现有技术，这里不再赘述。

s304、安全电路向存储访问接口发送加密后的数据。

s305、存储访问接口将加密后的数据写入存储器。

在本步骤中，存储访问接口将加密后的数据写入存储器的过程为现有技术，这里不再赘述。

在第一存储访问指令为读指令的情况下，首先通过安全电路202对存储访问接口201接收的读指令进行安全认证，安全电路202对读指令进行安全认证的过程，参考上述对安全电路202对第一存储访问指令的安全认证过程，这里不再赘述。在读指令通过安全认证后，存储访问接口201可以响应读指令，例如，存储访问接口201接收到安全电路202发送的第一许可信息后，存储访问接口201可以响应读指令。其中，第一许可信息表示允许应用处理器访问存储器的信息。具体的，存储访问接口201响应读指令的过程（包括从存储器203中读取数据和将读取的数据反馈给应用处理器），如图4所示。

图4为本申请实施例提供的一种存储访问接口响应读指令的过程示意图，包括以下步骤：

s401、存储访问接口从存储器中读取应用处理器所需读取的数据。

在本实施例中，写入存储器中的数据都是经过se芯片加密后的数据，因此，带有安全存储功能的uicc装置的存储器中所存储的数据都是加密后的数据。因此，在本步骤中，存储访问接口从存储器中读取到的数据是加密后的数据。

s402、存储访问接口向安全电路发送所读取的数据。

s403、安全电路对存储访问接口发送的数据进行解密，得到解密后的数据。

在本步骤中，安全电路对存储访问接口发送的数据进行解密，具体为se芯片对存储访问接口发送的数据进行解密。具体的，se芯片对存储访问接口发送的数据进行解密的实现过程为现有技术，这里不再赘述。

s404、安全电路向存储访问接口发送解密后的数据。

s405、存储访问接口向应用处理器发送解密后的数据。

本实施例具有以下有益效果：

有益效果一、

在本实施例中，主要介绍的是带有安全存储功能的uicc装置响应应用处理器访问存储器的过程。由于se芯片对存储访问指令的安全认证、对写入存储器的数据的加密，以及对从存储器中读取的数据的解密，都具有较高的安全性，因此，本实施例提供的带有安全存储功能的uicc装置的存储器中存储的数据具有较高的安全性，进而可以保证对智能终端存储的数据的安全性。

有益效果二、

在本实施例中，对于未配置se芯片的智能终端，只需使用本实施例提供的带有安全存储功能的uicc装置，即可满足对数据具有较高的安全性的要求。与通过更换为配置有se芯片的智能终端相比，本实施例可以在保证存储的数据的安全性的同时，还可以节省成本。

在图2对应的实施例中，介绍了带有安全存储功能的uicc装置响应应用处理器访问存储器的过程。本申请实施例提供的带有安全存储功能的uicc装置除了支持应用处理器访问存储器外，还支持对基带系统认证指令的安全认证，以及支持基带系统访问存储器。对于带有安全存储功能的uicc装置对基带系统的认证指令进行安全认证的过程，以及带有安全存储功能的uicc装置响应基带系统访问存储器的过程，在图5对应的实施例中进行介绍。

图5为本申请实施例提供的又一种带有安全存储功能的uicc装置的结构示意图，包括：全球通用用户识别（universalsubscriberidentitymodule，usim）通信接口501、安全电路502、存储器503和存储访问接口504。

在本实施例中，usim通信接口501，用于接收基带系统发送的认证指令。

其中，基带系统为智能终端中用于电话通信的基带设备。基带系统发送的认证指令可以为sim认证指令。

usim通信接口501，还用于将基带系统发送的认证指令发送给安全电路502。

安全电路502，用于对所接收的认证指令进行安全认证。

具体的，安全电路502为se芯片，其中，se芯片对认证指令进行安全认证包括：对pin码和身份识别等安全相关的运算，具体的运算过程为现有技术，这里不再赘述。

se芯片对认证指令进行安全认证后，得到认证结果，其中，认证结果为通过安全认证或未通过安全认证。

安全电路502，还用于将认证结果发送给usim通信接口501。

usim通信接口501，还用于将认证结果反馈给基带系统。

在本实施例中，带有安全存储功能的uicc装置响应基带系统访问存储器503包括：响应基带系统向存储器503中写入数据和响应基带系统从存储器503中读取数据。其中，针对响应基带系统向存储器503中写入数据的情况，usim通信接口501接收的第二存储访问指令为写指令。对于响应基带系统从存储器503中读取数据的情况，usim通信接口501接收的第二存储访问指令为读指令。

具体的，带有安全存储功能的uicc装置响应基带系统向存储器503中写入数据的过程如图6所示，带有安全存储功能的uicc装置响应基带系统从存储器503中读取数据的过程如图7所示。

图6为本申请实施例提供的带有安全存储功能的uicc装置响应基带系统向存储器中写入数据的过程示意图，包括以下步骤：

s601、usim通信接口接收基带系统发送的写指令。

s602、usim通信接口向安全电路发送写指令。

s603、安全电路对写指令进行安全认证，得到认证结果。

具体的，本步骤中，安全电路为se芯片，其中，se芯片对写指令的认证过程为现有技术，这里不再赘述。

在本步骤中，认证结果为通过安全认证或未通过安全认证。

s604、安全电路在认证结果为通过安全认证后，向存储访问接口发送第二许可信息。

在本步骤中，第二许可信息表示允许基带系统访问存储器的信息。

s605、usim通信接口获取基带系统的待写入数据。

在本步骤中，基带系统的待写入数据为基带系统需写入存储器的数据。

s606、usim通信接口向安全电路发送待写入数据。

s607、安全电路对待写入数据进行加密，得到加密后的数据。

s608、安全电路向存储访问接口发送加密后的数据。

s609、存储访问接口将加密后的数据写入存储器。

具体的，本步骤中存储访问接口向存储器中写入加密后的数据的过程为现有技术，这里不再赘述。

上述s605~s609是usim通信接口响应写指令的过程。

需要说明的是，图6对应的实施例的目的是以下思路：基带系统向usim通信接口发送写指令，安全电路对写指令进行安全认证，在写指令通过安全电路的安全认证后，通过存储访问接口将加密数据写入存储器，其中，加密后的数据为安全电路对待写入数据进行加密得到的数据。图6仅为一种具体的实现方式，不申请实施例不对具体的实现方式作限定。

图7为本申请实施例提供的带有安全存储功能的uicc装置响应基带系统从存储器中读取数据的过程示意图，包括以下步骤：

s701、usim通信接口接收基带系统发送的读指令。

在本步骤中，基带系统发送的读指令表示基带系统需要从带有安全存储功能的uicc装置的存储器中读取数据的指令。

s702、usim通信接口向安全电路发送读指令。

在本步骤中，读指令中包含目标信息，其中，目标信息为表示基带系统待读取的数据在存储器中的位置的信息。

s703、安全电路对读指令进行安全认证，得到认证结果。

本步骤中，认证结果为通过安全认证或未通过安全认证。

s704、在认证结果为通过安全认证的情况下，安全电路向存储访问接口发送第二许可信息。

在本步骤中，第二许可信息表示允许基带系统访问存储器的信息。

在本步骤中，安全电路向存储访问接口发送的第二许可信息中包括：基带系统待读取的数据在存储器中的位置信息。

s705、存储访问接口从存储器中读取数据。

在本实施例中，由于带有安全存储功能的uicc装置中存储的数据是加密后的数据，因此，在本步骤中，存储访问接口从存储器中读取的数据是加密后的数据。

s706、存储访问接口向安全电路发送读取的数据。

s707、安全电路对存储访问接口发送的数据进行解密，得到解密后的数据。

s708、安全电路向usim通信接口发送解密后的数据。

s709、usim通信接口向基带系统发送解密后的数据。

需要说明的是，图7对应的实施例的目的是以下思路：基带系统向usim通信接口发送读指令，安全电路对读指令进行安全认证，在读指令通过安全电路的安全认证后，通过usim通信接口将解密后的数据发送给基带系统，其中，解密后的数据是安全电路对存储访问接口从存储器中读取的数据进行解密得到的数据。图7对应的过程仅为一种具体的实现方式，本申请实施例不对具体的实现方式作限定。

本申请实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算设备可读取存储介质中。基于这样的理解，本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一台计算设备（可以是个人计算机，服务器，移动计算设备或者网络设备等）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（rom，read-onlymemory）、随机存取存储器（ram，randomaccessmemory）、磁碟或者光盘等各种可以存储程序代码的介质。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。