本发明专利技术提供一种可信执行环境处理信息的方法、装置、终端及SIM卡,涉及数据业务领域。其中,该方法应用于一终端,包括:可信执行环境TEE模块发送OS验证请求给所述终端的SIM卡的管理模块,所述SIM卡的管理模块预置用于验证外部平台实体TSM的安全启动公钥;所述TEE模块接收所述SIM卡的管理模块利用其预置的安全启动公钥返回的验证结果,并根据所述验证结果完成所述TEE模块的安全启动。该方法通过在SIM卡的管理模块中预置的安全启动公钥的验证实现可信执行环境TEE模块的安全启动以及所述TEE模块与SIM卡中的可信应用模块的通信,提高了终端的安全性能;同时解决了不同运营商对终端的捆绑问题,满足开放市场终端的需求。
【技术实现步骤摘要】
本专利技术涉及数据业务领域,特别涉及一种可信执行环境处理信息的方法、装置、终端及S頂卡。
技术介绍
TEE (Trusted Execut1n Environment)是指在手机终端内的一个独立的安全运行环境,该环境与正常的应用运行环境REE(Rich Execut1n Environment)逻辑隔离,只能通过授权的应用程序编程接口 API进行交互。TEE可以支持安全启动、安全应用管理等安全特性,该特性要求在安全终端内预置相关的密钥,或动态写入相关密钥,如图1所示。现有的方案中,TEE 一般是采用如下方式管理密钥:TEE中存储TEE管理密钥:在生产过程中写入初始密钥或正式密钥,该密钥由运营商管理(需要与运营商捆绑),如图2所示。现有的TEE密钥管理方案中存在如下问题:终端厂商无法预先捆绑运营商(开放市场终端);对于开放市场终端,无法预知用户使用哪个运营商的服务,因此无法预先捆绑运营商,因此,目前方案不能满足开放市场终端的发行需求。终端不能满足多个用户切换运营商的需求;对于切换运营商的情况下,由于已经捆绑了某个运营商,无法过渡到其它的运营商。
技术实现思路
本专利技术的目的在于提供一种可信执行环境处理信息的方法、装置、终端及S頂卡,解决了密钥安全存储及不同运营商对终端的捆绑问题。为了解决上述问题,本专利技术提供一种可信执行环境处理信息的方法,应用于一终端,包括:可信执行环境TEE模块发送OS验证请求给所述终端的S頂卡的管理模块,所述SIM卡的管理模块预置用于验证外部平台实体TSM的安全启动公钥;所述TEE模块接收所述S頂卡的管理模块利用其预置的安全启动公钥返回的验证结果,并根据所述验证结果完成所述TEE模块的安全启动。进一步的,在TEE模块安全启动后,还包括:所述TEE模块中的代理模块接收终端的安全客户端REE模块发送的安全应用请求,并转换为对S頂卡中的可信应用模块的访问指令流,发送给所述可信应用模块;接收所述SIM卡的可信应用模块返回的响应内容,并根据所述响应内容在所述代理模块提供的显示界面中,接收用户输入的数据,并将所述用户输入的数据发送给S頂卡的可信应用模块进行加密处理。进一步的,SIM卡的可信应用模块进行加密处理的步骤包括:所述可信应用模块利用其中预置的应用私钥对用户输入的数据进行加密处理。进一步的,将所述用户输入的数据发送给S頂卡的可信应用模块进行加密处理的步骤后还包括:接收S頂卡的可信应用模块返回的加密处理后产生的安全指令;根据所述安全指令与外部实体进行验证。进一步的,根据所述安全指令与外部实体进行验证的步骤包括: 所述代理模块将所述安全指令发送给所述外部实体进行验证;所述代理模块接收所述外部实体返回的认证结果,并将认证结果返回给所述REE模块。本专利技术实施例还提供一种可信执行环境处理信息的装置,应用于一终端,,包括:可信执行环境TEE模块,所述TEE模块包括:启动模块,用于发送OS验证请求给所述终端的S頂卡的管理模块,所述S頂卡的管理模块预置用于验证外部平台实体TSM的安全启动公钥;并接收所述S頂卡的管理模块利用其预置的安全启动公钥返回的验证结果,并根据所述验证结果完成所述TEE模块的安全启动。优选的,所述TEE模块还包括:代理模块,用于接收终端的安全客户端REE模块发送的安全应用请求,并转换为对S頂卡中的可信应用模块的访问指令流,发送给所述可信应用模块;并接收所述S頂卡的可信应用模块返回的响应内容,并根据所述响应内容在所述代理模块提供的显示界面中,接收用户输入的数据,并将所述用户输入的数据发送给SIM卡的可信应用模块进行加密处理。优选的,所述代理模块还用于:接收S頂卡的可信应用模块返回的加密处理后产生的安全指令;根据所述安全指令与外部实体进行验证。优选的,所述代理模块在根据所述安全指令与外部实体进行验证时,具体用于将所述安全指令发送给所述外部实体进行验证;所述代理模块接收所述外部实体返回的认证结果,并将认证结果返回给所述REE模块。本专利技术实施例还提供一种终端,包括如上所述的装置。本专利技术实施例还提供一种S頂卡,包括:管理模块,用于接收可信执行环境TEE模块发送OS验证请求,并利用其预置的安全启动公钥返回验证结果,并根据所述验证结果完成所述TEE模块的安全启动。较佳的,上述S頂卡还包括:可信应用模块,用于接收终端的所述TEE模块中的代理模块发送的访问指令流,并返向所述代理模块返回响应内容,并接收所述代理模块发送的用户输入的数据,并对所述用户输入的数据进行加密处理。较佳的,所述可信应用模块具体用于利用其中预置的应用私钥对用户输入的数据进行加密处理。本专利技术的上述技术方案至少具有如下有益效果:本专利技术实施例的可信执行环境处理信息的方法中,通过在S頂卡的管理模块中预置的安全启动公钥的验证实现可信执行环境TEE模块的安全启动,提高了终端的安全性能;同时解决了不同运营商对终端的捆绑问题,满足开放市场终端的需求。【附图说明】图1表示现有技术中手机终端中REE与TEE的交互原理图;图2表示现有技术中TEE中存储TEE管理密钥的方式;图3表示本专利技术实施例的可信执行环境处理信息的方法的安全启动流程图;图4表示本专利技术实施例的TEE安全启动的过程示意图;图5表示本专利技术实施例的可信执行环境处理信息的方法的具体流程图;图6表示本专利技术实施例的可信执行环境下的安全应用交互流程图示意图;图7表示本专利技术实施例的终端发行过程中的预置数据示意图;图8表示本专利技术实施例的初始化过程中向S頂卡中写入TSM公钥的过程示意图;图9表示本专利技术实施例的可信执行环境处理信息的装置结构示意图;图10表示本专利技术实施例的SIM卡的结构示意图。【具体实施方式】为使本专利技术要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。本专利技术针对现有技术中终端厂商无法预先捆绑运营商及终端不能满足多个用户切换运营商的问题,提供一种可信执行环境处理信息的方法中,通过从S頂卡中调用相应的密钥及安全应用,解决了不同运营商对终端的捆绑问题,满足开放市场终端的需求;同时由于业务密钥都存储在S頂卡中,解决了密钥安全存储的问题,提高了安全性能。当前第1页1 2 3 本文档来自技高网...
【技术保护点】
一种可信执行环境处理信息的方法,应用于一终端,其特征在于,包括:可信执行环境TEE模块发送OS验证请求给所述终端的SIM卡的管理模块,所述SIM卡的管理模块预置用于验证外部平台实体TSM的安全启动公钥;所述TEE模块接收所述SIM卡的管理模块利用其预置的安全启动公钥返回的验证结果,并根据所述验证结果完成所述TEE模块的安全启动。
【技术特征摘要】
【专利技术属性】
技术研发人员:任晓明,黄更生,
申请(专利权)人:中国移动通信集团公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。