快速布署可信任执行环境应用的系统与方法技术方案

本发明专利技术的提供一种快速布署可信任执行环境应用的系统，本发明专利技术的快速布署可信任执行环境应用的系统包括：一丰富执行环境应用，安装至少一应用程序及一中介服务模块，所述中介服务模块提供所述至少一应用程序一管理服务，所述至少一应用程序通过所述中介服务模块传送一保密数据；一连络平台，接收所述中介服务模块所传送的所述保密数据，且传送所述保密数据；以及一可信任执行环境应用，安装一安全储存及计算应用模块，所述安全储存及计算应用模块接收所述连络平台传送的所述保密数据，且提供所述保密数据一可信任环境，所述保密数据在所述安全储存及计算应用模块中被存储、处理及保护。再者，本发明专利技术亦提供一种快速布署可信任执行环境应用的方法。

【技术实现步骤摘要】

本专利技术涉及电子通信领域，尤指一种用于快速布署可信任执行环境(TrustedExecutionEnvironment,TEE)应用的系统及方法。
技术介绍
随着智能型装置用户数量的增加，防御恶意软件、病毒的需求也相应增加。在智能型装置中，有些应用程序需要具有较高的安全性，例如个人银行管理相关的应用程序或一些保密信件的收发应用程序等，因为这些应用程序在受到攻击后会导致相当严重的后果，因此这些应用程序不单单需要应用程序自身的保护，还需要更多的安全措施。可信任执行环境(TrustedExecutionEnvironment,TEE)是一种新的安全保密技术，TEE是存在于智能型手机、平板计算机或任意移动的设备主机中的一个安全区域，TEE可提供一个安全的执行环境，确保各种敏感、保密数据能在一个可信任环境中被存储、处理及保护。TEE是与智能型手机、平板计算机或任意移动设备主机上的丰富操作系统(RichOperationSystem,RichOS，通常是指Android、Symbian、WindowsPhone等操作系统)并存的运行环境，并且给RichOS提供安全服务，TEE具有其自身的执行空间，比RichOS的安全级别更高，TEE能够满足大多数应用程序的安全保密需求。图1为一系统方块图，用以说明现有技术的TEE应用。请参照图1，行动装置100包括一丰富执行环境(RichExecutionEnvironment,REE)应用1、一TEE应用2以及一连络平台3，REE应用1以及TEE应用2在行动装置100中是并存的。REE应用1为行动装置100本身的操作系统(OperationSystem,OS)，REE应用1包括一客户端应用模块11、一TEE功能应用程序编程接口12、一TEE客户端应用程序编程接口13以及一丰富操作系统(RichOS)组件14，其中客户端应用模块11还包括客户端自行储存的各种应用程序，例如一银行管理应用程序111、一虚拟专用网应用程序112、一安全简讯应用程序113以及一安全语音应用程序114，而这些应用程序可根据客户端的需求自行新增或删除；因为银行管理应用程序111、一虚拟专用网应用程序112、一安全简讯应用程序113以及一安全语音应用程序114所传送/接收的数据都是非常敏感且需要保密的，但因为REE应用1本身所具有的安全保密程度较低，会有数据被窃取的风险，因此需要TEE应用2来提供一个安全的执行环境，确保各种敏感、保密数据能在一个可信任环境中被存储、处理及保护。TEE应用2包括一可信任应用模块21、一TEE应用程序编程接口22以及一可信任操作系统组件23，其中可信任应用模块21还包括与客户端应用模块11相对应的各种可信任应用程序，例如一可信任银行管理应用程序211、一可信任虚拟专用网应用程序212、一可信任安全简讯应用程序213以及可信任一安全语音应用程序214，一但TEE应用2中的各种可信任应程序已经布署完毕，REE应用1即可将各种需要保密的数据通过连络平台3传送到TEE应用2中的可信任应用模块21的各种对应的可信任应用程序211-214，确保各种敏感、保密数据能在一个可信任环境中被存储、处理及保护。然而，TEE应用2中的可信任应用模块21的各种可信任应用程序211-214是对应于REE应用1中的客户端应用模块11的各种应用程序111-114，在这样的系统架构下，假如REE应用1中的客户端应用模块11要将一个新的应用程序加入可信任应用2中的可信任应用模块21中，除了需要熟悉一般的REE应用1开发，亦需要了解TEE应用2的开发方法，甚至是底层的密码运算呼叫方法，进入门坎甚高。而一组REE应用1搭配一组TEE应用2在开发时程上亦较久，并非一个快速系统软件布署的好方法。因此，对于TEE应用而言，利用现有的TEE技术，在现有的TEE应用端架构一个通用安全储存及计算应用，并在REE应用端提供安全软件开发常用的标准接口，例如公钥加密标准第11号(PublicKeyCryptographyStandards11,PKCS#11)，以中间件形式，让REE应用中各类型客户端应用程序，可以简单地将其既有系统，快速布署到TEE应用架构上，乃是待解决的问题。
技术实现思路
鉴于上述现有技术的缺点，本专利技术的主要为提供一种快速布署可信任执行环境应用的系统，本专利技术的快速布署可信任执行环境应用的系统包括：一丰富执行环境应用，安装有至少一应用程序及一中介服务模块，其中，所述中介服务模块提供所述至少一应用程序一管理服务，所述至少一应用程序通过所述中介服务模块传送一保密数据；一连络平台，可接收从所述丰富执行环境应用的所述中介服务模块所传送的所述保密数据，且可传送所述保密数据；以及一可信任执行环境应用，安装有一安全储存及计算应用模块，其中，所述可信任执行环境应用的所述安全储存及计算应用模块接收从所述连络平台传送的所述保密数据，且提供所述保密数据一可信任环境，所述保密数据在所述安全储存及计算应用模块中被存储、处理及保护。较佳地，所述中介服务模块对所述至少一应用程序进行密钥管理及个人隐私数据的保护。较佳地，所述至少一应用程序包括一用户在所述丰富执行环境应用中新增的一应用程序。较佳地，所述中介服务模块符合公钥加密标准第11号。较佳地，所述快速布署可信任执行环境应用的系统可安装于智能型手机、平板计算机及可任意移动的设备主机其中之一者。本专利技术的亦提供另一种快速布署可信任执行环境应用的系统，所述快速布署可信任执行环境应用的系统包括：一丰富执行环境应用，安装有至少一应用程序及一中介服务模块，其中，所述中介服务模块提供所述至少一应用程序一管理服务，所述至少一应用程序通过所述中介服务模块传送一保密数据；一连络平台，接收从所述丰富执行环境应用的所述中介服务模块所传送的所述保密数据，且传送所述保密数据；一可信任执行环境应用，安装有一安全储存及计算应用模块，其中，所述可信任执行环境应用的所述安全储存及计算应用模块接收所述连络平台传送的所述保密数据，且进一步传送所述保密数据；以及一安全模块，接收所述保密数据，且提供所述保密数据一可信任环境，其中，所述保密数据在所述安全储存及计算应用模块中被存储、处理及保护。较佳地，所述中介服务模块对所述至少一应用程序进行密钥管理及个人隐私数据的保护。较佳地，所述至少一应用程序包括一用户在所述丰富执行本文档来自技高网...

【技术保护点】
一种快速布署可信任执行环境应用的系统，其特征在于，包括：一丰富执行环境应用，安装有至少一应用程序及一中介服务模块，其中，所述中介服务模块提供所述至少一应用程序一管理服务，所述至少一应用程序通过所述中介服务模块传送一保密数据；一连络平台，可接收从所述丰富执行环境应用的所述中介服务模块传送的所述保密数据，且可传送所述保密数据；以及一可信任执行环境应用，安装有一安全储存及计算应用模块，其中，所述可信任执行环境应用的所述安全储存及计算应用模块接收从所述连络平台传送的所述保密数据，且提供所述保密数据一可信任环境，所述保密数据在所述安全储存及计算应用模块中被存储、处理及保护。

【技术特征摘要】
2015.01.20 TW 1041018611.一种快速布署可信任执行环境应用的系统，其特征在于，包括：
一丰富执行环境应用，安装有至少一应用程序及一中介服务模块，其
中，所述中介服务模块提供所述至少一应用程序一管理服务，所述至少一
应用程序通过所述中介服务模块传送一保密数据；
一连络平台，可接收从所述丰富执行环境应用的所述中介服务模块传
送的所述保密数据，且可传送所述保密数据；以及
一可信任执行环境应用，安装有一安全储存及计算应用模块，其中，
所述可信任执行环境应用的所述安全储存及计算应用模块接收从所述连
络平台传送的所述保密数据，且提供所述保密数据一可信任环境，所述保
密数据在所述安全储存及计算应用模块中被存储、处理及保护。
2.如权利要求1所述的快速布署可信任执行环境应用的系统，其特
征在于，所述中介服务模块对所述至少一应用程序进行密钥管理及个人隐
私数据的保护。
3.如权利要求1所述的快速布署可信任执行环境应用的系统，其特
征在于，所述至少一应用程序包括一用户在所述丰富执行环境应用中新增
的一应用程序。
4.如权利要求1所述的快速布署可信任执行环境应用的系统，其特
征在于，所述中介服务模块符合公钥加密标准第11号。
5.如权利要求1所述的快速布署可信任执行环境应用的系统，其特
征在于，所述快速布署可信任执行环境应用的系统可安装于智能型手机、
平板计算机及可任意移动的设备主机其中之一者。
6.一种快速布署可信任执行环境应用的系统，其特征在于，包括：
一丰富执行环境应用，安装有至少一应用程序及一中介服务模块，其
中，所述中介服务模块提供所述至少一应用程序一管理服务，所述至少一
应用程序通过所述中介服务模块传送一保密数据；
一连络平台，接收从所述丰富执行环境应用的所述中介服务模块所传
送的所述保密数据，且传送所述保密数据；
一可信任执行环境应用，安装有一安全储存及计算应用模块，其中，

\t所述可信任执行环境应用的所述安全储存及计算应用模块接收所述连络
平台传送的所述保密数据，且进一步传送所述保密数据；以及
一安全模块，接收所述保密数据，且提供所述保密数据一可信任环境，
其中，所述保密数据在所述安全储存及计算应用模块中被存储、处理及保
护。
7.如权利要求6所述的快速布署可信任执行环境应用系统，其特征
在于，所述中介服务模块对所述至少一应用程序进行密钥管理及个人隐私
数据的保护。
8.如权利要求6所述的快速布署可信任执行环境应用系统，其特征
在于，所述至少一应用程序包括一用户在所述丰富执行环境应用中新增的
一应用程序。
9.如权利要求6所述的快速布署可信任执行环境应用系统，其特征
在于，所述安全模块为microSD、SIM卡、嵌入式传感器、有线连接的外<...

【专利技术属性】
技术研发人员：李殿基，李正隆，黄义雄，
申请(专利权)人：动信科技股份有限公司，
类型：发明
国别省市：中国台湾;71