可信应用的加解锁方法和系统技术方案

本发明专利技术公开了一种可信应用的加解锁方法和系统，涉及通信技术领域，其中的方法包括：运行在终端上的TEE管理模块接收到对于可信应用的操作指令；TEE管理模块确定是否通过安全通道接收操作指令，如果否，则对操作指令进行验证；如果验证通过或通过安全通道接收到操作指令，则TEE管理模块执行操作指令，对与操作指令相对应的可信应用进行处理。本发明专利技术的加解锁方法、装置、终端以及系统，能够根据实际需要对指定的可信应用执行锁定和解锁，锁定后的可信应用不能被操作，避免在终端借出、丢失等情况下，安装在终端中的可信应用被调用所造成的信息泄露或财产损失，可以提高终端中TEE侧的可信应用的安全性，提高用户使用的感受度。

【技术实现步骤摘要】
可信应用的加解锁方法和系统
本专利技术涉及通信
，尤其涉及一种可信应用的加解锁方法和系统。
技术介绍
随着移动通信技术的发展，移动智能终端已成为移动终端的发展趋势。目前，智能终端大多集成了可信执行环境(TEE，TrustedExecutionEnvironment)，终端中的应用执行环境包括多样执行环境(REE，RichExecutionEnvironment)和TEE。TEE由可信应用(TA，TrustedApplication)、内部应用程序编辑接口以及可信操作系统(TrustedOS，TrustedOperatingSystem)组成。TEE是终端中一块独立的区域，向该区域安装应用受管理服务器平台控制；该区域可接管关键设备、提供硬件级别的安全隔离、以及保护资源和执行可信代码。TA运行在TEE系统中的可信应用，为相应的CA提供安全服务，如输入密码，保存交易记录等。TEE技术能够解决当前移动智能终端存在的安全风险，构造了一个与移动智能终端操作系统隔离的安全运行环境，为授权的安全软件(可信应用)提供了安全的执行环境。但是，在日常生活中，用户时常遇到移动终端外借他人或者丢失等情况本文档来自技高网...

【技术保护点】
1.一种可信应用的加解锁方法，其特征在于，包括：运行在终端上的TEE管理模块接收到对于可信应用的操作指令，其中，所述操作指令包括：对于可信应用的锁定指令、解锁指令；所述TEE管理模块确定是否通过安全通道接收所述操作指令，如果否，则对所述操作指令进行验证；如果通过验证或通过安全通道接收到所述操作指令，则所述TEE管理模块执行所述操作指令，对所述可信应用进行相应地处理，其中，所述处理包括：加锁处理、解锁处理。

【技术特征摘要】
1.一种可信应用的加解锁方法，其特征在于，包括：运行在终端上的TEE管理模块接收到对于可信应用的操作指令，其中，所述操作指令包括：对于可信应用的锁定指令、解锁指令；所述TEE管理模块确定是否通过安全通道接收所述操作指令，如果否，则对所述操作指令进行验证；如果通过验证或通过安全通道接收到所述操作指令，则所述TEE管理模块执行所述操作指令，对所述可信应用进行相应地处理，其中，所述处理包括：加锁处理、解锁处理。2.如权利要求1所述的方法，其特征在于，还包括：所述TAM服务器生成所述操作指令，并通过运行在终端上的可信服务管理TAM代理模块将所述操作指令发送至所述TEE管理模块。3.如权利要求2所述方法，其特征在于，还包括：所述TEE管理模块接收到第三方应用通过所述TAM代理模块发送的对于可信应用的操作请求；所述TEE管理模块基于所述操作请求生成对于可信应用的第一操作请求指令，并通过所述TAM代理模块向所述TAM服务器发送，其中，所述第一操作请求指令包括：对于可信应用的锁定请求指令、解锁请求指令；或者，所述TAM服务器通过其提供的外部接口接收到对于可信应用的第二操作请求指令；其中，所述第二操作请求指令包括：对于可信应用的锁定请求指令、解锁请求指令；所述TAM服务器根据所述第一操作请求指令或所述第二操作请求指令生成所述操作指令。4.如权利要求3所述的方法，其特征在于，所述TAM服务器通过其提供的外部接口接收到对于可信应用的第二操作请求指令包括：所述TAM服务器接收客户端发送的可信应用操作网页访问请求，将可信应用操作网页发送给所述客户端；所述TAM服务器接收到通过所述可信应用操作网页提交的所述第二操作请求指令。5.如权利要求3所述的方法，其特征在于，还包括；所述TAM服务器不对所述操作指令进行加密处理，采用明文方式将所述操作指令通过所述TAM代理模块发送给所述TEE管理模块。6.如权利要求3所述的方法，其特征在于，还包括：所述TAM服务器通过所述TAM代理模块与所述TEE管理模块建立安全通道，通过安全通道将所述操作指令发送给所述TEE管理模块；或者，所述TAM服务器生成带有认证信息的所述操作指令,并通过所述TAM代理模块发送给所述TEE管理模块；如果所述TEE管理模块对带有认证信息的所述操作指令认证成功，则执行所述操作指令。7.如权利要求6所述的方法，其特征在于，所述TAM服务器通过所述TAM代理模块与所述TEE管理模块建立安全通道、通过安全通道将所述操作指令发送给所述TEE管理模块包括：所述TEE管理模块接收到第三方应用发送的所述操作请求,通过所述TAM代理模块与所述TAM服务器进行双向认证，如果双向认证成功，则建立安全通道；或者，所述TAM服务器接收到所述第二操作请求指令，通过所述TAM代理模块与所述TEE管理模块进行双向认证，如果双向认证成功，则建立安全通道；所述TAM服务器通过安全通道将所述操作指令发送给所述TEE管理模块；所述TEE管理模块执行所述操作指令，将执行结果通过安全通道发送给所述TAM服务器，或者通过所述TAM代理模块发送给第三方应用。8.如权利要求6所述的方法，其特征在于，还包括：如果所述TEE管理模块接收到第三方应用发送的所述操作请求，则所述TEE管理模块将所述第一操作请求指令和服务器端认证信息通过所述TAM代理模块发送给所述TAM服务器；在所述TAM服务器对所述第一操作请求指令和服务器端认证信息验证成功后，所述TAM服务器根据所述操作请求指令生成所述操作指令。9.如权利要求6所述的方法，其特征在于，所述TAM服务器生成带有认证信息的所述操作指令、并通过所述TAM代理模块发送给所述TEE管理模块包括：所述TAM服务器生成一组随机数，使用随机数加密所述操作指令；所述TAM服务器获取与所述TEE管理模块共享的公钥，使用所述公钥加密所述随机数；所述TAM服务器将所述操作指令的加密结果、随机数的加密结果、服务端证书链通过所述TAM代理模块发给所述TEE管理模块。10.如权利要求9所述的方法，其特征在于，所述如果所述TEE管理模块对带有认证信息的所述操作指令认证成功、则执行所述操作指令包括：所述TEE管理模块对所述服务端证书链进行验证，如果通过验证，所述TEE管理模块获取与此公钥对应的私钥，使用此私钥解密所述随机数的加密结果，获取所述随机数；所述TEE管理模块通过所述随机数解密所述操作指令的加密结果获取所述操作指令。11.如权利要求10所述的方法，其特征在于，还包括：所述TEE管理模块执行所述操作指令，将执行结果通过...

【专利技术属性】
技术研发人员：高雁，贾建明，
申请(专利权)人：北京握奇智能科技有限公司，北京握奇数据股份有限公司，
类型：发明
国别省市：北京,11