移动终端及其基于可信安全环境的访问控制方法和系统技术方案
Mobile terminal and its access control method and system based on trusted security environment
The embodiment of the invention provides a mobile terminal and a trusted security environment access control method and system based on this method, including: Advance in the trusted security environment, private files with encryption key is stored, and encrypted access structure CPABE and the private files of the stored key; when the trusted security environment received common access the execution environment client initiated request, to verify the identity of the client; when receiving the client initiated through the authentication of the file access request, according to the CPABE private key file access set to generate the client client attribute carried in the request; in the client access structure corresponding to meet the attribute set file the ciphertext, according to the CPABE private key to obtain the corresponding private files; return the confidential files to the client. This application example can improve the information security of the mobile terminal.
【技术实现步骤摘要】
移动终端及其基于可信安全环境的访问控制方法和系统
本申请涉及移动终端的访问控制
,尤其是涉及一种移动终端及其基于可信安全环境的访问控制方法和系统。
技术介绍
随着互联网和移动通信技术的快速发展,诸如智能手机等移动终端的应用越来越普及。以智能手机为例,目前的智能手机不仅可以通话,拍照、听音乐、玩游戏、网购、电子支付,而且可以实现包括导航定位、信息处理、指纹扫描、身份证扫描、二维码扫描等丰富的功能。相应的,随着移动终端的功能及应用越来越多,其面临的信息安全也越来越受到人们的广泛关注。针对移动终端所面临的信息安全问题,目前已经出现一种TrustZone技术,其旨在提供安全框架,以使移动终端能够抵御众多特定威胁。TrustZone技术提供了两个相互物理隔离的环境:普通环境(NW,NormalWorld)和安全环境(SW,SecureWorld)。NW致力于满足普通应用的需求,在普通执行环境(REE,RichExecutionEnvironment)中运行;而SW则用于提供安全服务及执行安全的操作,在可信执行环境(TEE,TrustedExecutionEnviron...
【技术保护点】
一种基于可信安全环境的访问控制方法,其特征在于,包括:预先在可信安全环境下,用存储密钥加密私密文件,并用CPABE及所述私密文件的访问结构加密所述存储密钥;当收到普通执行环境下的客户端发起的可信安全环境访问请求时,验证所述客户端的身份;当收到所述客户端在通过身份验证后发起的文件访问请求时,根据所述文件访问请求中携带的客户端属性集生成所述客户端的CPABE私钥;在所述客户端属性集满足对应文件密文的访问结构时,根据所述CPABE私钥获得对应私密文件;向所述客户端返回所述私密文件。
【技术特征摘要】
1.一种基于可信安全环境的访问控制方法,其特征在于,包括:预先在可信安全环境下,用存储密钥加密私密文件,并用CPABE及所述私密文件的访问结构加密所述存储密钥;当收到普通执行环境下的客户端发起的可信安全环境访问请求时,验证所述客户端的身份;当收到所述客户端在通过身份验证后发起的文件访问请求时,根据所述文件访问请求中携带的客户端属性集生成所述客户端的CPABE私钥;在所述客户端属性集满足对应文件密文的访问结构时,根据所述CPABE私钥获得对应私密文件;向所述客户端返回所述私密文件。2.如权利要求1所述的基于可信安全环境的访问控制方法,其特征在于,所述用存储密钥加密私密文件,并用CPABE及所述私密文件的访问结构加密所述存储密钥,包括:在可信安全环境下生成存储密钥;基于所述存储密钥加密私密文件,获得文件密文;基于CPABE生成可信安全环境下的公钥及主密钥;根据所述可信安全环境下的公钥和所述私密文件的访问结构,并利用CPABE的加密功能对所述存储密钥进行加密。3.如权利要求1所述的基于可信安全环境的访问控制方法,其特征在于,所述当收到普通执行环境下的客户端发起的可信安全环境访问请求时,验证所述客户端的身份,包括:在收到普通执行环境下的客户端发起的授权请求时,对所述授权请求进行PIN码认证;接收所述客户端在通过PIN码认证后发送的随机密钥密文;利用可信安全环境下的私钥解密所述随机密钥密文,获得带有RSA签名的随机密钥;所述带有RSA签名的随机密钥是由所述客户端,基于自身私钥对自身生成的随机密钥进行RSA签名而得到的;利用所述客户端的公钥对所述带有RSA签名的随机密钥进行验证,获得所述客户端的随机密钥;针对所述客户端生成一次性会话密钥,利用HMAC算法将所述客户端的随机密钥作为密钥,并将所述一次性会话密钥作为消息,生成消息摘要;向所述客户端返回所述消息摘要,以便于所述客户端利用自身的随机密钥验证所述消息摘要中携带的一次性会话密钥的完整性,从而获得所述一次性会话密钥。4.如权利要求1所述的基于可信安全环境的访问控制方法,其特征在于,所述当收到所述客户端在通过身份验证后发起的文件访问请求时,根据所述文件访问请求中携带的客户端属性集生成所述客户端的CPABE私钥,包括:当收到所述客户端在通过身份验证后发起的文件访问请求时,对所述文件访问请求进行验证;在确认所述文件访问请求通过验证后,根据所述文件访问请求中携带的客户端属性集生成所述客户端的CPABE私钥。5.如权利要求4所述的基于可信安全环境的访问控制方法,其特征在于,所述对所述文件访问请求进行验证,包括:根据所述文件访问请求中的一次性会话密钥所携带的ID,确认此前针对所述客户端生成的一次性会话密钥是否存在;如果存在,则根据所述一次性会话密钥解析所述文件访问请求,并验证解析后的文件访问请求的合法性和完整性。6.如权利要求1所述的基于可信安全环境的访问控制方法,其特征在于,所述在所述客户端属性集满足对应文件密文的访问结构时,根据所述CPABE私钥获得对应私密文件,包括:在所述客户端属性集满足对应文件密文的访问结构时,根据所述CPABE私钥解密对应文件密文的存储密钥密文,获得存储秘钥;利用获得的存储秘钥解密对应文件密文,获得对应私密文件。7.一种基于可信安全环境的访问控制系统,其特征在于,所述基于可信安全环境的访问控制系统包括位于可信安全环境下的认证服务器及文件管理器;所述认证服务器,用于当收到普通执行环境下的客户端发起的可信安全环境访问请求时,验证所述客户端的身份;所述文件管理器,用于预先在可信安全环境下,用存储密钥加密私密文件,并用CPABE及所述私密文件的访问结构加密所述存储密钥;当收到所述客户端在通过...
【专利技术属性】
技术研发人员:范永开,刘声乐,林晓东,白建蓉,赵冠群,
申请(专利权)人:中国石油大学北京,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。