用于在TEE中提供数字证书功能的方法、系统技术方案

本发明专利技术公开了一种用于在TEE中提供数字证书功能的方法、系统，其中的方法包括：向TAM服务器发送TA安装请求消息，通过TAM服务器在移动终端中配置的TEE中安装TA；向TSM服务器发送数字证书个人化请求，接收TSM服务器下发的数字证书；完成个人化后，TA基于数字证书对接收到的待处理数据进行相应地处理，提供相应的服务。本发明专利技术的方法、系统，对硬件要求较低，不需要设备配置有SE芯片模块等，数据存储和算法运算都在TEE中实现，而且通过TUI与用户交互，可以保证业务所需的安全性，可以显著提升数字证书功能的便捷性、易部署性，为数字证书方案在移动终端中的推广提供了极大的便利。

【技术实现步骤摘要】
用于在TEE中提供数字证书功能的方法、系统
本专利技术涉及信息安全
，尤其涉及一种用于在TEE中提供数字证书功能的方法、系统。
技术介绍
随着互联设备的移动和消费市场日益成熟、不断壮大，安全性成为越来越引起人们关注的问题。数字证书技术用于银行交易签名，也可以用于内容加密，在移动终端中对于银行交易签名、内容加密等业务提供数字证书服务。目前通常采用两种方式。1、TUI+SE方式：将敏感数据都存入安全元件SE(SecureElement)硬件模块中，敏感数据包括私钥、数字证书、序列号等，TEE中的可信应用TA主要提供TUI功能和SE的通道功能，将接收到的交易报文等发送给SE进行签名、加解密等处理。TEE是基于ARM芯片TrustZone机制的系统软件，为实现安全目标并同时满足重要利益相关方的需要提供了最佳的路径。但是，此种提供数字证书功能的方式对硬件要求较高，需要设备配置有SE芯片模块。2、在纯富操作系统REE中提供数字证书功能，在REE中对交易报文等进行签名、加解密等处理，但是REE存在一定的安全风险，安全性较低。
技术实现思路
有鉴于此，本专利技术要解决的一个技术问题是提供一种用于在TEE中提供数字证书功能的方法、系统。根据本专利技术的一个方面，提供一种用于在TEE中提供数字证书功能的系统，包括：在移动终端中配置可信执行环境TEE；向TAM服务器发送可信应用TA安装请求消息，通过所述TAM服务器在所述TEE中安装TA；所述TA向TSM服务器发送数字证书个人化请求，接收所述TSM服务器下发的数字证书并存储在所述TA中；所述TA基于所述数字证书对接收到的待处理数据进行相应地处理。可选地，如果确定所述TEE支持创建安全域SD，则在向所述TAM服务器发送所述TA安装请求消息时，向所述TAM服务器发送安全域SD创建请求，通过所述TAM服务器在所述TEE中创建SD并安装所述TA。可选地，在移动终端中配置富执行环境REE；对运行在所述REE中的APP应用设置能够对所述TEE进行访问的系统权限；所述APP应用使用TEE客户端API与所述TA进行数据交互。可选地，所述TAM服务器通过所述APP应用对所述TA进行管理，包括：安装、更新、删除TA；所述TA通过所述APP应用向所述TSM服务器发送数字证书个人化请求，通过所述APP应用接收所述TSM服务器下发的数字证书。可选地，在所述TAM服务器部署时，生成TAM公私钥对并自签TAM公钥证书；所述TAM服务器使用所述TAM公私钥对的私钥签发OEM公钥证书；其中,OEM服务器使用OEM公私钥对的私钥签发设备公钥证书；所述OEM服务器向所述移动终端下发与所述TEE相对应的设备公钥证书以及所述OEM公钥证书和所述TAM公钥证书。可选地，所述OEM服务器向所述移动终端下发与所述TEE相对应的设备公钥证书以及所述OEM公钥证书和所述TAM公钥证书包括：如果对于所述TEE采用OTA部署方式，在所述TAM服务器和所述移动终端之间建立第一安全通道或使用第三方提供的第二安全通道，其中，所述第一安全通道的建立方式包括：采用白盒加密方式建立安全通道；所述移动终端生成与所述TEE相对应的公私钥对，并将所述公私钥对中的公钥通过所述第一安全通道或第二安全通道发送给所述TAM服务器，用以生成与所述TEE相对应的设备公钥证书；所述TAM服务器通过所述第一安全通道或第二安全通道向所述移动终端下发与所述TEE相对应的设备公钥证书以及OTA公钥证书和所述TAM公钥证书。可选地，所述TSM服务器向签证服务器发送证书申请，从所述签证服务器获取与所述数字证书个人化请求相对应的数字证书，其中，所述数字证书包括：签名证书、加解密公私钥对及其公钥证书；所述TA接收所述TSM服务器发送的所述数字证书，基于所述数字证书对所述待处理数据进行相应的业务处理，包括：签名处理、加解密处理。可选地，所述TSM服务器获取与所述TA相对应的初始密钥；在进行数字证书个人化处理时，所述TSM将所述初始密钥更换为设备密钥，并基于所述设备密钥在所述TSM服务器与所述移动终端之间建立第三安全通道；所述TSM服务器通过所述第三安全通道向所述TA发送与业务处理相对应的序列号和初始PIN码；所述TSM服务器从所述签证服务器获取所述数字证书并通过所述第三安全通道向所述TA发送。可选地，所述TA接收到所述待处理数据，基于所述待处理数据生成业务确认信息以及用于提示输入认证信息的提示信息；所述TA将所述业务确认信息和提示信息发送给可信用户接口TUI进行显示；所述TA在确定用户对所述业务确认信息进行确认后，获取用户通过所述TUI输入的认证信息，在对所述认证信息验证成功后，基于所述数字证书对所述待处理数据进行相应的业务处理。根据本专利技术的另一方面，提供一种用于在TEE中提供数字证书功能的系统，包括：移动终端、TAM服务器和TSM服务器；所述移动终端，用于配置可信执行环境TEE，向TAM服务器发送可信应用TA安装请求消息，通过所述TAM服务器在所述TEE中安装TA；所述TA向TSM服务器发送数字证书个人化请求，接收所述TSM服务器下发的数字证书并存储在所述TA中；所述TA基于所述数字证书对接收到的待处理数据进行相应地处理。可选地，所述移动终端，用于如果确定所述TEE支持创建安全域SD，则在向所述TAM服务器发送所述TA安装请求消息时，向所述TAM服务器发送安全域SD创建请求，通过所述TAM服务器在所述TEE中创建SD并安装所述TA。可选地，所述移动终端，用于配置富执行环境REE，对运行在所述REE中的APP应用设置能够对所述TEE进行访问的系统权限，通过所述APP应用使用TEE客户端API与所述TA进行数据交互。可选地，所述TAM服务器通过所述APP应用对所述TA进行管理，包括：安装、更新、删除TA；所述TA通过所述APP应用向所述TSM服务器发送数字证书个人化请求，通过所述APP应用接收所述TSM服务器下发的数字证书。可选地，所述TAM服务器，用于在其进行部署时，生成TAM公私钥对并自签TAM公钥证书，使用所述TAM公私钥对的私钥签发OEM公钥证书；其中，所述OEM服务器使用OEM公私钥对的私钥签发设备公钥证书；所述OEM服务器，用于向所述移动终端下发与所述TEE相对应的设备公钥证书以及所述OEM公钥证书和所述TAM公钥证书。可选地，所述TAM服务器，用于如果对于所述TEE采用OTA部署方式，在其和所述移动终端之间建立第一安全通道或使用第三方提供的第二安全通道，其中，所述第一安全通道的建立方式包括：采用白盒加密方式建立安全通道；所述移动终端，用于生成与所述TEE相对应的公私钥对，并将所述公私钥对中的公钥通过所述第一安全通道或第二安全通道发送给所述TAM服务器，用以生成与所述TEE相对应的设备公钥证书；所述TAM服务器还用于通过所述第一安全通道或第二安全通道向所述移动终端下发与所述TEE相对应的设备公钥证书以及OTA公钥证书和所述TAM公钥证书。可选地，所述TSM服务器，用于向签证服务器发送证书申请，从所述签证服务器获取与所述数字证书个人化请求相对应的数字证书，其中，所述数字证书包括：签名证书、加解密公私钥对及其公钥证书；所述TA接收所述TSM服务器发送的所述数字证书，基本文档来自技高网...

【技术保护点】
1.一种用于在TEE中提供数字证书功能的方法，其特征在于，包括：在移动终端中配置可信执行环境TEE；向TAM服务器发送可信应用TA安装请求消息，通过所述TAM服务器在所述TEE中安装TA；所述TA向TSM服务器发送数字证书个人化请求，接收所述TSM服务器下发的数字证书并将其存储在所述TA中；所述TA基于所述数字证书对接收到的待处理数据进行相应地处理。

【技术特征摘要】
1.一种用于在TEE中提供数字证书功能的方法，其特征在于，包括：在移动终端中配置可信执行环境TEE；向TAM服务器发送可信应用TA安装请求消息，通过所述TAM服务器在所述TEE中安装TA；所述TA向TSM服务器发送数字证书个人化请求，接收所述TSM服务器下发的数字证书并将其存储在所述TA中；所述TA基于所述数字证书对接收到的待处理数据进行相应地处理。2.如权利要求1所述的方法，其特征在于，还包括：如果确定所述TEE支持创建安全域SD，则在向所述TAM服务器发送所述TA安装请求消息时，向所述TAM服务器发送安全域SD创建请求，通过所述TAM服务器在所述TEE中创建SD并安装所述TA。3.如权利要求2所述的方法，其特征在于，还包括：在移动终端中配置富执行环境REE；对运行在所述REE中的APP应用设置能够对所述TEE进行访问的系统权限；所述APP应用使用TEE客户端API与所述TA进行数据交互。4.如权利要求3所述的方法，其特征在于，还包括：所述TAM服务器通过所述APP应用对所述TA进行管理，包括：安装、更新、删除TA；所述TA通过所述APP应用向所述TSM服务器发送数字证书个人化请求，通过所述APP应用接收所述TSM服务器下发的数字证书。5.如权利要求4所述的方法，其特征在于，还包括：在所述TAM服务器部署时，生成TAM公私钥对并自签TAM公钥证书；所述TAM服务器使用所述TAM公私钥对的私钥签发OEM公钥证书；其中,OEM服务器使用OEM公私钥对的私钥签发设备公钥证书；所述OEM服务器向所述移动终端下发与所述TEE相对应的设备公钥证书以及所述OEM公钥证书和所述TAM公钥证书。6.如权利要求5所述的方法，其特征在于，还包括：如果对于所述TEE采用OTA部署方式，在所述TAM服务器和所述移动终端之间建立第一安全通道或使用第三方提供的第二安全通道，其中，所述第一安全通道的建立方式包括：采用白盒加密方式建立安全通道；所述移动终端生成与所述TEE相对应的公私钥对，并将所述公私钥对中的公钥通过所述第一安全通道或第二安全通道发送给所述TAM服务器，用以生成与所述TEE相对应的设备公钥证书；所述TAM服务器通过所述第一安全通道或第二安全通道向所述移动终端下发与所述TEE相对应的设备公钥证书以及OTA公钥证书和所述TAM公钥证书。7.如权利要求2所述的方法，其特征在于，还包括：所述TSM服务器向签证服务器发送证书申请，从所述签证服务器获取与所述数字证书个人化请求相对应的数字证书，其中，所述数字证书包括：签名证书、加解密公私钥对及其公钥证书；所述TA接收所述TSM服务器发送的所述数字证书，基于所述数字证书对所述待处理数据进行相应的业务处理，包括：签名处理、加解密处理。8.如权利要求7所述的方法，其特征在于，还包括：所述TSM服务器获取与所述TA相对应的初始密钥；在进行数字证书个人化处理时，所述TSM服务器将所述初始密钥更换为设备密钥，并基于所述设备密钥在所述TSM服务器与所述移动终端之间建立第三安全通道；所述TSM通过所述第三安全通道向所述TA发送与业务处理相对应的序列号和初始PIN码；所述TSM服务器从所述签证服务器获取所述数字证书并通过所述第三安全通道向所述TA发送。9.如权利要求7所述的方法，其特征在于，还包括：所述TA接收到所述待处理数据，基于所述待处理数据生成业务确认信息以及用于提示输入认证信息的提示信息；所述TA将所述业务确认信息和提示信息发送给可信用户接口TUI进行显示；所述TA在确定用户对所述业务确认信息进行确认后，获取用户通过所述TUI输入的认证信息，在对所述认证信息验证成功后，基于所述数字证书对所述待处理数据进行相应的业务处理。10.一种用...

【专利技术属性】
技术研发人员：成秋良，
申请(专利权)人：北京握奇智能科技有限公司，北京握奇数据股份有限公司，
类型：发明
国别省市：北京,11