可信执行环境TEE初始化方法及设备技术

本发明专利技术实施例公开了一种可信执行环境TEE初始化方法及设备，所述方法包括：第一设备从可信管理服务TSM平台接收TSM随机数；其中，至少部分所述TSM随机数是基于所述第一设备内通用引导架构GBA模块向TSM平台发送的信息生成的；从第二设备的TEE模块接收TEE随机数；基于所述TSM随机数和所述TEE随机数判断是否满足TEE初始化条件；当满足所述TEE初始化条件时，所述第一设备作为TSM平台与第二设备的中间节点传输初始化所述第二设备内的TEE模块的信息。

Trusted execution environment, TEE initialization method and equipment

The embodiment of the invention discloses a device and a trusted execution environment TEE initialization method, the method comprises: a first device receives a TSM random number from trusted management service TSM platform; wherein at least a portion of the TSM random number is based on the first device within the universal architecture of GBA module to generate information transmitted to the TSM platform TEE; receiving a random number from the TEE module second equipment; whether the TSM random number and the TEE random number judgment to meet the TEE initialization conditions based on the TEE; when the initial conditions, the first intermediate node transmission device as the initialization of TSM platform and the second device, the TEE module in the second device information.

【技术实现步骤摘要】
可信执行环境TEE初始化方法及设备
本专利技术涉及无线通信领域，尤其涉及一种可信执行环境TEE初始化方法及设备。
技术介绍
可信执行环境可信执行环境(TrustedExecutionEnvironment，可信执行环境)是指在移动设备内的一个独立的安全运行环境，该环境与正常的应用运行环境(RichExecutionEnvironment，REE)逻辑隔离。在TEE正常使用之前，需要对TEE进行初始化。TEE初始化过程是使TEE具备安全服务能力的过程。该过程通过安全的方式将TEE与TEE服务方相关联(由TEE服务方的可信服务管理(TrustedServiceManger，TSM)平台在TEE中写入管理密钥或者由TEE生成管理密钥并同步到TEE服务方的TSM平台，以便TSM平台可以对TEE执行各类安全管理操作。这的安全管理操作可包括可信应用(TrustedApplication，TA)的下载，TA与网络中其他设备的信息交互的管理等。在当前的无线系统中，在进行TEE初始化时，必须要通过通用引导(GenericBootstrappingArchitecture，GBA)模块提供受安全通道保护的IMPI，与TSM平台或网络侧的引导服务功能(BootstrappingServerFunction，BSF)网元进行信息交互，获取初始化所述TEE的初始化信息。然而在现有技术中有一些移动设备本身并没有携带GBA模块，从而导致这些设备的TEE无法完成初始化，从而没有办法利用TEE进行安全管理操作，从而会导致移动设备的安全风险。
技术实现思路
有鉴于此，本专利技术实施例期望提供一种TEE初始化方法及设备，至少部分解决上述问题。为达到上述目的，本专利技术的技术方案是这样实现的：本专利技术实施例第一方面提供一种可信执行环境TEE初始化方法，所述方法包括：第一设备从可信管理服务TSM平台接收TSM随机数；其中，至少部分所述TSM随机数是基于所述第一设备内通用引导架构GBA模块向TSM平台发送的信息生成的；从第二设备的TEE模块接收TEE随机数；基于所述TSM随机数和所述TEE随机数判断是否满足TEE初始化条件；当满足所述TEE初始化条件时，所述第一设备作为TSM平台与第二设备的中间节点传输初始化所述第二设备内的TEE模块的信息。基于上述方案，所述基于所述TSM随机数和所述TEE随机数判断是否满足TEE初始化条件，包括：利用TSM随机数和所述TEE随机数对同一加密信息进行解码，获得两个解码信息；当利用所述TSM随机数和所述TEE随机数对同一加密信息解码得到的两个解码信息相同时，确定满足所述TEE初始化条件。基于上述方案，所述第一设备作为TSM平台与第二设备的中间节点传输初始化所述第二设备内的TEE模块的信息，包括：所述第一设备的丰富执行环境REE模块基于所述TSM随机数更新所述TEE随机数，并将更新后的所述TEE随机数发送给第二设备的TEE模块；接收所述第二设备的TEE模块在接收到所述更新后的TEE随机数返回的注册信息；基于所述注册信息向所述TSM平台发送第二设备的TEE模块进行初始化的初始化请求；接收所述TSM基于所述初始化请求返回的响应信息，并将所述响应信息发送给第二设备的TEE模块；所述响应信息用于所述第二设备的TEE模块的初始化。基于上述方案，所述从第二设备的可信执行环境TEE模块接收TEE随机数，包括：利用近场通信NFC从所述第二设备的TEE模块接收所述TEE随机数；所述第一设备作为TSM平台与第二设备的中间节点传输初始化所述第二设备内的TEE模块的信息，包括：利用NFC与所述第二设备进行信息交互。基于上述方案，所述从第二设备的可信执行环境TEE模块接收TEE随机数，包括：从第二设备的TEE模块接收加密后的TEE随机数；所述第一设备作为TSM平台与第二设备的中间节点传输初始化所述第二设备内的TEE模块的信息，包括：第一设备与第二设备进行加密信息的交互。本专利技术实施例第二方面提供一种可信执行环境TEE初始化方法，所述方法包括：向第一设备发送TEE随机数；其中，所述第一设备包括通用引导架构GBA模块；当所述第一设备基于所述TEE随机数及TSM平台提供的TSM随机数确定满足预设TEE初始化条件时，与所述第一设备进行初始化第二设备内TEE模块的信息交互；其中，至少部分所述TSM随机数是基于所述GBA模块发送的信息生成的。基于上述方案，所述向第一设备发送TEE随机数，包括：利用近场通信NFC向所述第一设备发送所述TEE随机数；所述与所述第一设备进行初始化第二设备内TEE模块的信息交互，包括：利用NFC与所述第一设备进行初始化所述TEE模块的信息交互。基于上述方案，所述向第一设备发送TEE随机数，包括：向所述第一设备发送加密后的所述TEE随机数；所述与所述第一设备进行初始化第二设备内TEE模块的信息交互，包括：与所述第一设备进行加密信息的交互。本专利技术实施例第三方面提供一种设备，所述设备为第一设备，所述第一设备包括：第一通信单元，用于从可信管理服务TSM平台接收TSM随机数；其中，至少部分所述TSM随机数是基于所述第一设备内通用引导架构GBA模块向TSM平台发送的信息生成的；从第二设备的TEE模块接收TEE随机数；判断单元，用于基于所述TSM随机数和所述TEE随机数判断是否满足TEE初始化条件；所述第一通信单元，还用于当满足所述TEE初始化条件时，所述第一设备作为TSM平台与第二设备的中间节点传输初始化所述第二设备内的TEE模块的信息。基于上述方案，所述判断单元，具体用于利用TSM随机数和所述TEE随机数对同一加密信息进行解码，获得两个解码信息；当利用所述TSM随机数和所述TEE随机数对同一加密信息解码得到的两个解码信息相同时，确定满足所述TEE初始化条件。基于上述方案，所述判断单元包括丰富执行环境REE模块；所述REE模块，具体用于所述第一设备的丰富执行RE模块E基于所述TSM随机数更新所述TEE随机数；所述第一通信单元，用于将更新后的所述TEE随机数发送给第二设备的TEE模块；接收所述第二设备的TEE模块在接收到所述更新后的TEE随机数返回的注册信息；基于所述注册信息向所述TSM平台发送第二设备的TEE模块进行初始化的初始化请求；及接收所述TSM基于所述初始化请求返回的响应信息，并将所述响应信息发送给第二设备的TEE模块；所述响应信息用于所述第二设备的TEE模块的初始化。基于上述方案，所述第一通信单元包括：第一NFC通信模块，用于利用近场通信NFC从所述第二设备的TEE模块接收所述TEE随机数；所述第一NFC通信模块，还用于利用NFC与所述第二设备进行信息交互。基于上述方案，所述第一通信单元，具体用于从第二设备的TEE模块接收加密后的TEE随机数；所述第一通信单元，具体用于第一设备与第二设备进行加密信息的交互。本专利技术实施例第四方面提供一种设备，所述设备为第二设备，所述第二设备包括：第二通信单元，用于向第一设备发送TEE随机数；其中，所述第一设备包括通用引导架构GBA模块；及当所述第一设备基于所述TEE随机数及TSM平台提供的TSM随机数确定满足预设TEE初始化条件时，与所述第一设备进行初始化第二设备内TEE模块的信息交互；本文档来自技高网...

【技术保护点】
一种可信执行环境TEE初始化方法，其特征在于，所述方法包括：第一设备从可信管理服务TSM平台接收TSM随机数；其中，至少部分所述TSM随机数是基于所述第一设备内通用引导架构GBA模块向TSM平台发送的信息生成的；从第二设备的TEE模块接收TEE随机数；基于所述TSM随机数和所述TEE随机数判断是否满足TEE初始化条件；当满足所述TEE初始化条件时，所述第一设备作为TSM平台与第二设备的中间节点传输初始化所述第二设备内的TEE模块的信息。

【技术特征摘要】
1.一种可信执行环境TEE初始化方法，其特征在于，所述方法包括：第一设备从可信管理服务TSM平台接收TSM随机数；其中，至少部分所述TSM随机数是基于所述第一设备内通用引导架构GBA模块向TSM平台发送的信息生成的；从第二设备的TEE模块接收TEE随机数；基于所述TSM随机数和所述TEE随机数判断是否满足TEE初始化条件；当满足所述TEE初始化条件时，所述第一设备作为TSM平台与第二设备的中间节点传输初始化所述第二设备内的TEE模块的信息。2.根据权利要求1所述的方法，其特征在于，所述基于所述TSM随机数和所述TEE随机数判断是否满足TEE初始化条件，包括：利用TSM随机数和所述TEE随机数对同一加密信息进行解码，获得两个解码信息；当利用所述TSM随机数和所述TEE随机数对同一加密信息解码得到的两个解码信息相同时，确定满足所述TEE初始化条件。3.根据权利要求2所述的方法，其特征在于，所述第一设备作为TSM平台与第二设备的中间节点传输初始化所述第二设备内的TEE模块的信息，包括：所述第一设备的丰富执行环境REE模块基于所述TSM随机数更新所述TEE随机数，并将更新后的所述TEE随机数发送给第二设备的TEE模块；接收所述第二设备的TEE模块在接收到所述更新后的TEE随机数返回的注册信息；基于所述注册信息向所述TSM平台发送第二设备的TEE模块进行初始化的初始化请求；接收所述TSM基于所述初始化请求返回的响应信息，并将所述响应信息发送给第二设备的TEE模块；所述响应信息用于所述第二设备的TEE模块的初始化。4.根据权利要求1、2或3所述的方法，其特征在于，所述从第二设备的可信执行环境TEE模块接收TEE随机数，包括：利用近场通信NFC从所述第二设备的TEE模块接收所述TEE随机数；所述第一设备作为TSM平台与第二设备的中间节点传输初始化所述第二设备内的TEE模块的信息，包括：利用NFC与所述第二设备进行信息交互。5.根据权利要求1、2或3所述的方法，其特征在于，所述从第二设备的可信执行环境TEE模块接收TEE随机数，包括：从第二设备的TEE模块接收加密后的TEE随机数；所述第一设备作为TSM平台与第二设备的中间节点传输初始化所述第二设备内的TEE模块的信息，包括：第一设备与第二设备进行加密信息的交互。6.一种可信执行环境TEE初始化方法，其特征在于，所述方法包括：向第一设备发送TEE随机数；其中，所述第一设备包括通用引导架构GBA模块；当所述第一设备基于所述TEE随机数及TSM平台提供的TSM随机数确定满足预设TEE初始化条件时，与所述第一设备进行初始化第二设备内TEE模块的信息交互；其中，至少部分所述TSM随机数是基于所述GBA模块发送的信息生成的。7.根据权利要求6所述的方法，其特征在于，所述向第一设备发送TEE随机数，包括：利用近场通信NFC向所述第一设备发送所述TEE随机数；所述与所述第一设备进行初始化第二设备内TEE模块的信息交互，包括：利用NFC与所述第一设备进行初始化所述TEE模块的信息交互。8.根据权利要求6或7所述的方法，其特征在于，所述向第一设备发送TEE随机数，包括：向所述第一设...

【专利技术属性】
技术研发人员：沈琦，王钊，
申请(专利权)人：中国移动通信集团公司，
类型：发明
国别省市：北京,11