一种针对可信执行环境的密钥写入装置、系统及方法制造方法及图纸

本发明专利技术涉及计算机技术领域，尤其涉及一种针对可信执行环境TEE的密钥写入装置、系统及方法，用以解决针对TEE的密钥写入方式限制了用户终端的应用的问题。本发明专利技术实施例提供的针对TEE的密钥写入装置包括：REE模块，用于接收TEE管理服务平台的TEE初始化触发指令，并触发GBA模块启动与BSF平台的协商流程；GBA模块，用于与BSF平台协商生成GBA根密钥，并基于GBA根密钥生成GBA子密钥，将GBA子密钥传输给TEE模块；TEE模块，用于基于预置的TEE私钥和TEE证书，以及GBA模块生成的GBA子密钥，与TEE管理服务平台进行双向认证，并在认证通过后，在安全域中写入TEE管理服务平台的管理密钥。

【技术实现步骤摘要】

本专利技术涉及计算机
，尤其涉及一种针对可信执行环境TEE的密钥写入装置、系统及方法。
技术介绍
可信执行环境(TrustedExecutionEnvironment，TEE)是指在用户终端内的一个独立的安全运行环境，该运行环境与普通的富执行环境(RichExecutionEnvironment，REE)逻辑隔离，两者只能通过授权的应用程序编程接口(ApplicationProgrammingInterface，API)进行交互。TEE可以支持安全启动、安全应用管理等安全特性，实现这些安全特性的前提是在TEE内预置相关的密钥，或动态写入相关密钥，如图1所示。目前，一般通过预先绑定的方式在TEE的安全域内写入密钥，也即，在用户终端出厂之前，将TEE与某个服务方的TEE管理服务平台进行绑定，在TEE内预置该服务方的TEE管理服务平台的管理密钥，在用户终端出厂后，不能再对该密钥进行修改。可见，现有的针对TEE的密钥写入方式中需要捆绑指定服务方的TEE管理服务平台，这样，用户终端便无法接受除捆绑的服务方的TEE管理服务平台之外的其它服务平台的服务，限制了用户终端的应用。
技术实现思路
本专利技术实施例提供一种针对可信执行环境TEE的密钥写入方案，用以解决现有技术针对TEE的密钥写入方式限制了用户终端的应用的问题。本专利技术实施例提供一种针对可信执行环境TEE的密钥写入装置，包括：富执行环境REE模块，用于接收TEE管理服务平台的TEE初始化触发指令，并触发通用引导架构GBA模块启动与引导服务功能BSF平台的协商流程；GBA模块，用于基于GBA，与引导服务功能BSF平台协商生成GBA根密钥，并基于该GBA根密钥生成GBA子密钥，将该GBA子密钥传输给TEE模块；TEE模块，用于基于预置的TEE私钥和TEE证书，以及所述GBA模块生成的GBA子密钥，与所述TEE管理服务平台进行双向认证，并在认证通过后，在安全域中写入所述TEE管理服务平台的管理密钥。可选地，所述TEE模块具体用于：将所述TEE证书公布给所述TEE管理服务平台，以使所述TEE管理服务平台基于所述TEE证书对所述TEE模块采用所述TEE私钥进行的签名进行合法性验证；并，基于所述GBA模块生成的GBA子密钥，对所述TEE管理服务平台进行合法性验证。本专利技术另一实施例提供一种针对可信执行环境TEE的密钥写入装置，包括：发送模块，用于向用户终端发送TEE初始化触发指令；获取模块，用于在确认引导服务功能BSF平台与所述用户终端协商生成通用引导架构GBA根密钥后，向所述BSF平台请求获取GBA子密钥；认证模块，用于基于所述获取模块获取的GBA子密钥，以及所述用户终端公布的TEE证书，与所述用户终端进行双向认证。可选地，所述认证模块具体用于：基于所述用户终端公布的TEE证书，对所述用户终端采用TEE私钥进行的签名进行合法性验证，并基于获取的GBA子密钥接受所述用户终端的认证。本专利技术又一实施例提供一种针对可信执行环境TEE的密钥写入装置，包括：生成模块，用于基于通用引导架构GBA，与用户终端协商生成GBA根密钥；发送模块，用于在接收到TEE管理服务平台发送的获取GBA子密钥的请求消息后，基于所述GBA根密钥生成GBA子密钥，并将生成的GBA子密钥发送给所述TEE管理服务平台。本专利技术实施例还一种针对可信执行环境TEE的密钥写入系统，包括：TEE管理服务平台，用于向用户终端发送TEE初始化触发指令；在确认引导服务功能BSF平台与所述用户终端协商生成通用引导架构GBA根密钥后，向所述BSF平台请求获取GBA子密钥；基于获取的GBA子密钥，以及所述用户终端公布的TEE证书，与所述用户终端进行双向认证；用户终端，用于在接收到所述TEE管理服务平台的TEE初始化触发指令后，基于GBA，与所述BSF平台协商生成GBA根密钥，并基于该GBA根密钥生成GBA子密钥；基于预置的TEE私钥和TEE证书，以及生成的所述GBA子密钥，与所述TEE管理服务平台进行双向认证，并在认证通过后，在TEE的安全域中写入所述TEE管理服务平台的管理密钥；引导服务功能BSF平台，用于基于GBA，与所述用户终端协商生成GBA根密钥；在接收到所述TEE管理服务平台发送的获取GBA子密钥的请求消息后，基于所述GBA根密钥生成GBA子密钥，并将生成的GBA子密钥发送给所述TEE管理服务平台。本专利技术实施例提供一种针对可信执行环境TEE的密钥写入方法，包括：用户终端在接收到TEE管理服务平台的TEE初始化触发指令后，基于通用引导架构GBA，与引导服务功能BSF平台协商生成GBA根密钥，并基于该GBA根密钥生成GBA子密钥；基于预置的TEE私钥和TEE证书，以及生成的所述GBA子密钥，与所述TEE管理服务平台进行双向认证，并在认证通过后，在TEE的安全域中写入所述TEE管理服务平台的管理密钥。本专利技术另一实施例提供一种针对可信执行环境TEE的密钥写入方法，包括：TEE管理服务平台向用户终端发送TEE初始化触发指令；在确认引导服务功能BSF平台与所述用户终端协商生成通用引导架构GBA根密钥后，向所述BSF平台请求获取GBA子密钥；基于获取的GBA子密钥，以及所述用户终端公布的TEE证书，与所述用户终端进行双向认证。本专利技术实施例另一实施例提供一种针对可信执行环境TEE的密钥写入方法，包括：基于通用引导架构GBA，与所述用户终端协商生成GBA根密钥；在接收到TEE管理服务平台发送的获取GBA子密钥的请求消息后，基于所述GBA根密钥生成GBA子密钥，并将生成的所述GBA子密钥发送给所述TEE管理服务平台。本专利技术实施例通过用户终端与BSF平台之间基于GBA的密钥生成过程，以及TEE管理服务平台与用户终端之间的双向认证，建立起TEE管理服务平台与用户终端之间的安全通道，并在建立安全通道后，向TEE的安全域内写入该TEE管理服务平台的管理密钥。由于无需用户终端在出厂之前绑定指定服务方的TEE管理服务平台，从而扩大了用户终端的应用场景，解放了用户终端的应用限制。附图说明图1为现有技术中终端内的REE与TEE的示意图；图2为本专利技术实施例一提供的针对TEE的密钥写入系统结构示意图；图3为本专利技术实施例进行TEE初始化的示意图；图4为本专利技术实施例二提供的针对TEE的密钥写入方法示意图；图5为本专利技术实施例三提供的针对TEE的密钥写入方法示意图；图6为本专利技术实施例四提供的针对TEE的密钥写入方法示意图；图7为本专利技术实施例五提供的针对TEE的密钥写入装置结构示意图；图8为本专利技术实施例六提供的针对TEE的密钥写入装置结构示意图；图9为本专利技术实施例七提供的针对TEE的密钥写入装置结构示意图。具体实施方式本专利技术实施例提出了一种新的安全系统架构，在该系统架构下，用户终端在出厂之前，无需在TEE内预置TEE管理服务平台的管理密钥，而是在用户使用用户终端时，再触发TEE的初始化进程。具体地，通过用户终端与引导服务功能(BootstrappingServiceFunction，BSF)平台之间基于通用引导架构(GeneralBootstrappingArchitecture，GBA)的密钥生成过程，以及TEE管理服务平台与用户本文档来自技高网...

【技术保护点】
一种针对可信执行环境TEE的密钥写入装置，其特征在于，该装置包括：富执行环境REE模块，用于接收TEE管理服务平台的TEE初始化触发指令，并触发通用引导架构GBA模块启动与引导服务功能BSF平台的协商流程；GBA模块，用于基于GBA，与BSF平台协商生成GBA根密钥，并基于该GBA根密钥生成GBA子密钥，将该GBA子密钥传输给TEE模块；TEE模块，用于基于预置的TEE私钥和TEE证书，以及所述GBA模块生成的GBA子密钥，与所述TEE管理服务平台进行双向认证，并在认证通过后，在安全域中写入所述TEE管理服务平台的管理密钥。

【技术特征摘要】
1.一种针对可信执行环境TEE的密钥写入装置，其特征在于，该装置包括：富执行环境REE模块，用于接收TEE管理服务平台的TEE初始化触发指令，并触发通用引导架构GBA模块启动与引导服务功能BSF平台的协商流程；GBA模块，用于基于GBA，与BSF平台协商生成GBA根密钥，并基于该GBA根密钥生成GBA子密钥，将该GBA子密钥传输给TEE模块；TEE模块，用于基于预置的TEE私钥和TEE证书，以及所述GBA模块生成的GBA子密钥，与所述TEE管理服务平台进行双向认证，并在认证通过后，在安全域中写入所述TEE管理服务平台的管理密钥。2.如权利要求1所述的装置，其特征在于，所述TEE模块具体用于：将所述TEE证书公布给所述TEE管理服务平台，以使所述TEE管理服务平台基于所述TEE证书对所述TEE模块采用所述TEE私钥进行的签名进行合法性验证；并，基于所述GBA模块生成的GBA子密钥，对所述TEE管理服务平台进行合法性验证。3.一种针对可信执行环境TEE的密钥写入装置，其特征在于，该装置包括：发送模块，用于向用户终端发送TEE初始化触发指令；获取模块，用于在确认引导服务功能BSF平台与所述用户终端协商生成通用引导架构GBA根密钥后，向所述BSF平台请求获取GBA子密钥；认证模块，用于基于所述获取模块获取的GBA子密钥，以及所述用户终端公布的TEE证书，与所述用户终端进行双向认证。4.如权利要求3所述的装置，其特征在于，所述认证模块具体用于：基于所述用户终端公布的TEE证书，对所述用户终端采用TEE私钥进行的签名进行合法性验证，并基于获取的GBA子密钥接受所述用户终端的认证。5.一种针对可信执行环境TEE的密钥写入装置，其特征在于，该装置包
\t括：生成模块，用于基于通用引导架构GBA，与用户终端协商生成GBA根密钥；发送模块，用于在接收到TEE管理服务平台发送的获取GBA子密钥的请求消息后，基于所述GBA根密钥生成GBA子密钥，并将生成的GBA子密钥发送给所述TEE管理服务平台。6.一种针对可信执行环境TEE的密钥写入系统，其特征在于，该系统包括：TEE管理服务平台，用于向用户终端发送TEE初始化触发指令；在确认引导服务功能BSF平台与所述用户终端协商生成通用引导架构GBA根密钥后，向所述BSF平台请求获取GBA子密钥；基于获取的GBA子密钥，以及所述用户终端公布的TEE证书，与所述用户终端进行双向认证；用户终端，用于在接收到所述TEE管理服务平台的TEE初始化触发指令后，基于GBA，与所述BSF平台协商生成GBA根密钥，并基于该GBA根密钥生成GBA子密钥；基于预置的TEE私钥和TEE证书，以及生成的所述GBA子密钥，与所述TEE管理服务平台进行双向认证，并在认证通过后，在T...

【专利技术属性】
技术研发人员：黄更生，任晓明，
申请(专利权)人：中国移动通信集团公司，
类型：发明
国别省市：北京;11