【技术实现步骤摘要】
一种基于可信执行环境的密钥烧录系统及方法
本专利技术涉及数据安全
,尤其涉及一种基于可信执行环境的密钥烧录系统及方法。
技术介绍
随着机顶盒、手机等智能设备的普及,在线支付、数字权限管理技术(Digitalrightsmanagement,DRM)等应用也越来越广泛,随之而来,终端需要预置大量的密钥来保证应用中数据的安全性。终端厂商通过工厂烧录方式,提供烧录程序以及密钥,将密钥预置在终端内。而应用厂商通过在线获取密钥并烧录至终端内。现有的烧录方式有诸多不足,主要体现在,终端厂商提供的工厂烧录方式容易导致人为泄露密钥,并且终端厂商和应用厂商在REE(富执行环境)烧录的密钥容易遭到破解泄露。一旦密钥遭到泄露,应用内的数据安全受到严重威胁。
技术实现思路
针对现有技术中存在的问题,本专利技术提供了一种基于可信执行环境的密钥烧录系统及方法。本专利技术采用如下技术方案:一种基于可信执行环境的密钥烧录系统,包括后台设备和终端设备,所述后台设备用于对原始密钥数据进行加密以获得待烧录密钥数据并输出,所述终端设备具有基于TrustZone技术的微处理器,所述微处理器物理的内核划分为虚拟的安全核和普通核,所述微处理器提供可信执行环境和富执行环境,所述可信执行环境提供基于所述安全核的安全操作系统,所述富执行环境提供基于所述普通核的普通操作系统,所述微处理器基于自身的监控模式在所述安全操作系统和所述普通操作系统之间切换;所述终端设备开启后启动所述普通操作系统,所述终端设备预置的客户端应用程序接收所述待烧录密钥数据并向所述普通操作系统发出请求,所述普通操作系统输出切换信号和所述待 ...
【技术保护点】
一种基于可信执行环境的密钥烧录系统,其特征在于,包括后台设备和终端设备,所述后台设备用于对原始密钥数据进行加密以获得待烧录密钥数据并输出,所述终端设备具有基于TrustZone技术的微处理器,所述微处理器物理的内核划分为虚拟的安全核和普通核,所述微处理器提供可信执行环境和富执行环境,所述可信执行环境提供基于所述安全核的安全操作系统,所述富执行环境提供基于所述普通核的普通操作系统,所述微处理器基于自身的监控模式在所述安全操作系统和所述普通操作系统之间切换;所述终端设备开启后启动所述普通操作系统,所述终端设备预置的客户端应用程序接收所述待烧录密钥数据并向所述普通操作系统发出请求,所述普通操作系统输出切换信号和所述待烧录密钥数据,所述微处理器监控模式接收所述切换信号并从所述普通操作系统切换至所述安全操作系统,所述安全操作系统接收所述待烧录密钥数据并使用预置的密钥数据通过解密操作对所述待烧录密钥数据进行解密,并在解密成功后获得相应的所述原始密钥数据并将所述原始密钥数据写入所述安全操作系统的安全存储区,以及在失败后输出失败信息。
【技术特征摘要】
1.一种基于可信执行环境的密钥烧录系统,其特征在于,包括后台设备和终端设备,所述后台设备用于对原始密钥数据进行加密以获得待烧录密钥数据并输出,所述终端设备具有基于TrustZone技术的微处理器,所述微处理器物理的内核划分为虚拟的安全核和普通核,所述微处理器提供可信执行环境和富执行环境,所述可信执行环境提供基于所述安全核的安全操作系统,所述富执行环境提供基于所述普通核的普通操作系统,所述微处理器基于自身的监控模式在所述安全操作系统和所述普通操作系统之间切换;所述终端设备开启后启动所述普通操作系统,所述终端设备预置的客户端应用程序接收所述待烧录密钥数据并向所述普通操作系统发出请求,所述普通操作系统输出切换信号和所述待烧录密钥数据,所述微处理器监控模式接收所述切换信号并从所述普通操作系统切换至所述安全操作系统,所述安全操作系统接收所述待烧录密钥数据并使用预置的密钥数据通过解密操作对所述待烧录密钥数据进行解密,并在解密成功后获得相应的所述原始密钥数据并将所述原始密钥数据写入所述安全操作系统的安全存储区,以及在失败后输出失败信息。2.根据权利要求1的密钥烧录系统,其特征在于,后台设备包括:存储模块,所述存储模块用于存储所述原始密钥数据、所述终端设备的预置的所述密钥数据以及所述后台设备生成的所述待烧录密钥数据;加密模块,所述加密模块用于使用所述终端设备的预置的所述密钥数据所述原始密钥数据进行加密操作以获得所述待烧录密钥数据,以及用于输出所述待烧录密钥数据。3.根据权利要求1的密钥烧录系统,其特征在于,所述普通操作系统包括:客户端应用模块,所述客户端应用用于接收所述待烧录密钥数据,以及用于输出所述待烧录密钥数据和用于请求所述普通操作系统输出所述切换信号。4.根据权利要求3的密钥烧录系统,其特征在于,所述硬件模块包括:监控模式模块,所述监控模式模块用于接收所述切换信号,并将所述微处理器切换至所述安全操作系统。5.根据权利要求4的密钥烧录系统,其特征在于,所述安全操作系统包括:可信应用端模块,所述可信应用端模块用于接收所述待烧录密钥数据并使用预置的所述密钥数据通过解密操作...
【专利技术属性】
技术研发人员:朱朋光,蒋培福,
申请(专利权)人:晶晨半导体上海股份有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。