【技术实现步骤摘要】
本专利技术涉及计算机
,尤其涉及一种针对可信执行环境TEE的密钥写入装置、系统及方法。
技术介绍
可信执行环境(TrustedExecutionEnvironment,TEE)是指在用户终端内的一个独立的安全运行环境,该运行环境与普通的富执行环境(RichExecutionEnvironment,REE)逻辑隔离,两者只能通过授权的应用程序编程接口(ApplicationProgrammingInterface,API)进行交互。TEE可以支持安全启动、安全应用管理等安全特性,实现这些安全特性的前提是在TEE内预置相关的密钥,或动态写入相关密钥,如图1所示。目前,一般通过预先绑定的方式在TEE的安全域内写入密钥,也即,在用户终端出厂之前,将TEE与某个服务方的TEE管理服务平台进行绑定,在TEE内预置该服务方的TEE管理服务平台的管理密钥,在用户终端出厂后,不能再对该密钥进行修改。可见,现有的针对TEE的密钥写入方式中需要捆绑指定服务方的TEE管理服务平台,这样,用户终端便无法接受除捆绑的服务方的TEE管理服务平台之外的其它服务平台的服务,限制了用户终端的应用。
技术实现思路
本专利技术实施例提供一种针对可信执行环境TEE的密钥写入方案,用以解决现有技术针对TEE的密钥写入方式限制了用户终端的应用的问题。本专利技术实施例提供一种针对可信执行环境TEE的密钥写入装置,包括:富执行环境REE模块,用于接收TEE管理服务平台的TEE初始化触发指令,并触发通用引导架构GBA模块启动与引导服务功能BSF平台的协商流程;GBA模块,用于基于GBA,与引导服务功能B ...
【技术保护点】
一种针对可信执行环境TEE的密钥写入装置,其特征在于,该装置包括:富执行环境REE模块,用于接收TEE管理服务平台的TEE初始化触发指令,并触发通用引导架构GBA模块启动与引导服务功能BSF平台的协商流程;GBA模块,用于基于GBA,与BSF平台协商生成GBA根密钥,并基于该GBA根密钥生成GBA子密钥,将该GBA子密钥传输给TEE模块;TEE模块,用于基于预置的TEE私钥和TEE证书,以及所述GBA模块生成的GBA子密钥,与所述TEE管理服务平台进行双向认证,并在认证通过后,在安全域中写入所述TEE管理服务平台的管理密钥。
【技术特征摘要】
1.一种针对可信执行环境TEE的密钥写入装置,其特征在于,该装置包括:富执行环境REE模块,用于接收TEE管理服务平台的TEE初始化触发指令,并触发通用引导架构GBA模块启动与引导服务功能BSF平台的协商流程;GBA模块,用于基于GBA,与BSF平台协商生成GBA根密钥,并基于该GBA根密钥生成GBA子密钥,将该GBA子密钥传输给TEE模块;TEE模块,用于基于预置的TEE私钥和TEE证书,以及所述GBA模块生成的GBA子密钥,与所述TEE管理服务平台进行双向认证,并在认证通过后,在安全域中写入所述TEE管理服务平台的管理密钥。2.如权利要求1所述的装置,其特征在于,所述TEE模块具体用于:将所述TEE证书公布给所述TEE管理服务平台,以使所述TEE管理服务平台基于所述TEE证书对所述TEE模块采用所述TEE私钥进行的签名进行合法性验证;并,基于所述GBA模块生成的GBA子密钥,对所述TEE管理服务平台进行合法性验证。3.一种针对可信执行环境TEE的密钥写入装置,其特征在于,该装置包括:发送模块,用于向用户终端发送TEE初始化触发指令;获取模块,用于在确认引导服务功能BSF平台与所述用户终端协商生成通用引导架构GBA根密钥后,向所述BSF平台请求获取GBA子密钥;认证模块,用于基于所述获取模块获取的GBA子密钥,以及所述用户终端公布的TEE证书,与所述用户终端进行双向认证。4.如权利要求3所述的装置,其特征在于,所述认证模块具体用于:基于所述用户终端公布的TEE证书,对所述用户终端采用TEE私钥进行的签名进行合法性验证,并基于获取的GBA子密钥接受所述用户终端的认证。5.一种针对可信执行环境TEE的密钥写入装置,其特征在于,该装置包
\t括:生成模块,用于基于通用引导架构GBA,与用户终端协商生成GBA根密钥;发送模块,用于在接收到TEE管理服务平台发送的获取GBA子密钥的请求消息后,基于所述GBA根密钥生成GBA子密钥,并将生成的GBA子密钥发送给所述TEE管理服务平台。6.一种针对可信执行环境TEE的密钥写入系统,其特征在于,该系统包括:TEE管理服务平台,用于向用户终端发送TEE初始化触发指令;在确认引导服务功能BSF平台与所述用户终端协商生成通用引导架构GBA根密钥后,向所述BSF平台请求获取GBA子密钥;基于获取的GBA子密钥,以及所述用户终端公布的TEE证书,与所述用户终端进行双向认证;用户终端,用于在接收到所述TEE管理服务平台的TEE初始化触发指令后,基于GBA,与所述BSF平台协商生成GBA根密钥,并基于该GBA根密钥生成GBA子密钥;基于预置的TEE私钥和TEE证书,以及生成的所述GBA子密钥,与所述TEE管理服务平台进行双向认证,并在认证通过后,在T...
【专利技术属性】
技术研发人员:黄更生,任晓明,
申请(专利权)人:中国移动通信集团公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。