告警。
[0079]更具体的,所述TA身份信息为授信应用的UID等;所述SE身份信息为安全芯片的信号、产商等。
[0080]二、受信应用102,用于与安全芯片101和用户应用103建立连接,并在安全芯片101和用户应用103之间转发信息。
[0081]具体为:所述受信应用102接收安全芯片101发送的确认应用指令,向安全芯片101回复TA身份信息,并向安全芯片101发送确认硬件指令,接收安全芯片101发送的SE身份信息,校验安全芯片101的SE身份信息,受信应用102向安全芯片101发送外部认证指令,接收安全芯片101发送的公钥,生成随机数,并用安全芯片101公钥加密会话秘钥,向安全芯片101发送公钥加密的会话秘钥,接收安全芯片101发送的认证身份信息请求,向安全芯片101发送身份信息;
[0082]所述受信应用102向所述用户应用103发送确认应用指令,接收用户应用103发送的CA身份信息,校验用户应用103的CA身份信息,向用户应用103发送TA身份信息,接收用户应用103发送的外部认证指令,判断是否有公钥,如果没有则生成公私钥对,向用户应用103发送公钥,接收用户应用103发送的发送公钥加密的会话秘钥,用私钥解密得到用户应用103会话秘钥,对解析出的会话密钥进行解析验证,验证失败则对用户应用103身份信息进行再次验证,若验证不符,则中断操作,并告警。
[0083]更具体的,所述TA身份信息为授信应用的UID等;所述SE身份信息为安全芯片的信号、产商等。
[0084]三、用户应用103,用于与受信应用102建立连接,并通过受信应用102与安全芯片101进彳丁通{目。
[0085]具体为:所述用户应用103接收受信应用102发送的确认应用指令,向受信应用102回复CA身份信息,并向受信应用102发送确认应用指令,接收受信应用102发送的TA身份信息,校验受信应用102的TA身份信息,用户应用103向受信应用102发送外部认证指令,接收受信应用102发送的公钥,生成随机数,并用受信应用102公钥加密会话秘钥,向受信应用102发送公钥加密的会话秘钥,接收受信应用102发送的认证身份信息请求,向受信应用102发送CA身份信息。
[0086]更具体的,所述TA身份信息为授信应用的UID等;所述CA身份信息为用户应用的UID 等。
[0087]以上简单介绍了该装置的构成,下面详细介绍部件安全芯片101、受信应用102和用户应用103的具体内部构成。
[0088]其中安全芯片101,其结构如图2所示,包括:SE通信模块201、安全控制模块202和逻辑处理模块203。具体的:
[0089]SE通信模块201:用于向受信应用102发送确认应用指令,接收受信应用102发送的TA身份信息及确认硬件指令,向受信应用102发送SE身份信息,接收受信应用102发送的外部认证指令,受信应用102发送公钥,接收受信应用102发送的发送公钥加密的会话秘钥。
[0090]安全控制模块202:用于校验受信应用102的TA身份信息,对解析出的会话密钥进行解析,对受信应用102身份信息进行再次验证。
[0091]逻辑处理模块203:用于判断是否有公钥,并生成公私钥对,用私钥解密得到受信应用102会话秘钥,中断操作,并告警。
[0092]更具体的,所述TA身份信息为授信应用的UID等;所述SE身份信息为安全芯片的信号、产商等。
[0093]以上结合图2介绍了安全芯片101的结构,以下结合图3介绍受信应用102的结构。
[0094]所述安全通信装置中的受信应用102如图3所示,包括:TA通信模块301、数据加密模块302、安全控制模块303和逻辑处理模块304。具体的:
[0095]TA通信模块301,用于接收安全芯片101发送的确认应用指令,向安全芯片101回复TA身份信息,并发送确认硬件指令,接收安全芯片101发送的SE身份信息,安全芯片101发送外部认证指令,接收安全芯片101发送的公钥,向安全芯片101发送公钥加密的会话秘钥,接收安全芯片101发送的认证身份信息请求,向安全芯片101发送TA身份信息,向用户应用103发送确认应用指令,接收用户应用103发送的CA身份信息及确认应用指令,向用户应用103发送TA身份信息,接收用户应用103发送的外部认证指令,用户应用103发送公钥,接收用户应用103发送的发送公钥加密的会话秘钥。
[0096]更具体的,所述TA身份信息为授信应用的UID等;所述CA身份信息为用户应用的UID 等。
[0097]数据加密模块302,用于生成随机数,并用安全芯片101公钥加密会话秘钥。
[0098]更具体的,随机数发生器生成一个多位随机数作为公钥,所述随机数可以为二进制码、ANS1、GBK、GB2312、UTF-8、GB18030或UNICODE码中的一种或多种组合,以达到无法被普通用户解析得到为准。
[0099]安全控制模块303,用于校验安全芯片101的SE身份信息,用于校验用户应用103的CA身份信息,对解析出的会话密钥进行解析,对用户应用103身份信息进行再次验证。
[0100]更具体的,所述SE身份信息为安全芯片的信号、产商等;所述CA身份信息为用户应用的UID等。
[0101]逻辑处理模块304,用于判断是否有公钥,如果没有则生成公私钥对;用私钥解密得到用户应用103会话秘钥,中断操作,并告警。
[0102]以下结合图4介绍用户应用103的结构。
[0103]所述安全通信装置中的用户应用103如图4所示,包括:CA通信模块401、数据加密模块402和安全控制模块403。具体为:
[0104]CA通信模块401,用于接收受信应用102发送的确认应用指令,向受信应用102回复CA身份信息,并发送确认应用指令,接收受信应用102发送的TA身份信息,受信应用102发送外部认证指令,接收受信应用102发送的公钥,向受信应用102发送公钥加密的会话秘钥,接收受信应用102发送的认证身份信息请求,向受信应用102发送CA身份信息。
[0105]更具体的,所述TA身份信息为授信应用的UID等;所述CA身份信息为用户应用的UID 等。
[0106]数据加密模块402,用于生成随机数,并用受信应用102公钥加密会话秘钥。
[0107]更具体的,随机数发生器生成一个多位随机数作为公钥,所述随机数可以为二进制码、ANS1、GBK、GB2312、UTF-8、GB18030或UNICODE码中的一种或多种组合,以达到无法被普通用户解析得到为准。
[0108]安全控制模块403,用于校验受信应用102的TA身份信息。
[0109]更具体的,所述TA身份信息为授信应用的UID等。
[0110]更具体的,所述安全芯片101与所述受信应用102建立密钥通信,所述受信应用102与所述用户应用103也建立密钥通信,从而保证了当安全芯片101需要与用户应用103通信时,可以借由受信应用102的转发功能建立逻辑相连的虚链路。
[0111]基于上述安全通信装置,本申请还提出一种安全通信方法,如图5所示,包括:
[0112]步骤S1:安全芯片101与受信应用102建立连接。
[0113]具体的,如图6所示,所述步骤S1:安全芯片101与受信应用102建立连接的方法包括:
[0114]步骤S101:安全芯片101与受信应用102进行基本信息认证。
[0115]更具体的,所述步骤S101:安全芯片101与受信应用102进行基本信息认证的方法包括:
[0116]步骤S1011:安全芯片101向受信应用102发送确认应用指令。
[0117]步骤S1012:受信应用102向安全芯片101回复TA身份信息,并发送确认硬件指令。
[0118]步骤S1013:安全芯片101校验受信应用102的TA身份信息,校验成功向受信应用102回复SE身份信息,失败则退出该方法。
[0119]步骤S1014:受信应用102校验安全芯片101的SE身份信息,完成基本认证。
[0120]更具体的,所述TA身份信息为授信应用的UID等;所述SE身份信息为安全芯片的信号、产商等。
[0121]步骤S102:安全芯片101与受信应用102进行外部认证。
[0122]更具体的,所述步骤S102:安全芯片101与受信应用102进行外部认证的方法包括:
[0123]步骤S1021:受信应用102向安全芯片101发送外部认证指令。
[0124]步骤S1022:安全芯片101判断是否有公私钥对,没有则继续,有则执行步骤S1024。
[0125]步骤S1023:安全芯片101生成公钥。
[0126]步骤S1024:安全芯片101向受信应用102发送公钥。
[0127]步骤S1025:受信应用102生成随机数,用作会话秘钥,并用安全芯片101公钥加密会话秘钥。
[0128]更具体的,随机数发生器生成一个多位随机数,所述随机数可以为二进制码、ANS1、GBK、GB2312、UTF-8、GB18030或UNICODE码中的一种或多种组合,以达到无法被普通用户解析得到为准。
[0129]步骤S1026:受信应用102向安全芯片101发送公钥加密的会话秘钥。
[0130]步骤S1027:安全芯片101用私钥解密得到受信应用102会话秘钥,完成外部认证。
[0131]步骤S103:安全芯片101与受信应用102进行二次认证。
[0132]更具体的,所述步骤S103:安全芯片101与受信应用102进行二次认证的方法包括:
[0133]步骤S1031:安全芯片101对解析出的会话密钥进行解析,如果解析匹配建立通信,如果不匹配则继续;
[0134]步骤S1032:安全芯片101向受信应用102发送认证TA身份信息请求;
[0135]步骤S1033:受信应用102向安全芯片101发送TA身份信息;
[