基于手机盾的移动终端及手机盾管理方法技术

本申请提供一种基于手机盾的移动终端及手机盾管理方法，移动终端包括可信执行环境和富执行环境，富执行环境中安装移动终端用户应用安装包，移动终端用户应用安装包包括手机盾客户应用控件，手机盾客户应用控件为移动终端厂商服务器和终端用户应用程序的后台服务器提供与移动终端的嵌入式安全模块通信的标准接口。本申请通过手机盾CA控件的TSM控件提供移动终端的厂商或终端用户的TSM平台与ESE之间直接交互通讯的标准接口，在移动终端平台上形成统一的系统服务接口，不用关心与哪家移动终端的厂商的TEE适配，极大的方便终端用户应用程序的客户端适配。

Mobile terminal and mobile shield management method based on cell phone shield

This application provides a mobile terminal and mobile shield management method based on mobile shield. The mobile terminal includes a trusted execution environment and a rich execution environment. The mobile terminal installs a mobile terminal user application installation package in the rich execution environment. The mobile terminal user application installation package includes a mobile shield client application control, and the mobile shield client application control is moved. Background servers of mobile terminal vendor servers and end user applications provide standard interfaces for communication with embedded security modules of mobile terminals. This application provides a standard interface for direct interactive communication between TSM platform and ESE of manufacturer or end user of mobile terminal through TSM control of CA control of mobile phone shield. A unified system service interface is formed on the mobile terminal platform, and TEE adapter of manufacturer of mobile terminal is not needed. It is very convenient for end user application. Sequential client adaptation.

【技术实现步骤摘要】
基于手机盾的移动终端及手机盾管理方法
本申请涉及手机盾
，尤其涉及一种基于手机盾的移动终端及手机盾管理方法。
技术介绍
随着android平台的可信执行环境(TrustedExecutionEnvironment，TEE)的普及，基于TEE环境的各种金融支付、身份认证等安全级别要求较高的行业应用的需求越来越多，例如传统PC平台的银行的个人网上银行业务开始逐渐向手机侧迁移。传统PC平台个人网上银行业务需使用USB接口的外接安全认证的物理盾，保证交易的安全。随着智能手机的普及，用户更倾向于手机的个人网上银行操作和使用，但是手机的开放系统导致很多不安全的漏洞和限制，TEE系统的出现，正好可以和手机的个人网上银行业务结合，提供一种安全的，快捷的服务，由于TEE系统支持TUI(trustedUserInterface，可信用户界面)，可提供安全环境的用户操作界面，保证交易的信息不被篡改和PIN码的安全输入，实现PC平台的“所见即所签”的二代usbkey业务。Tee的系统基于GP标准规范实现REE和TEE的通讯，但是具体手机操作系统的TEE实现上，还是有一定差异性。针对TEE环境的银行的手机盾业务，由于银行的客户端需要适配所有的支持TEE系统的手机，手机系统侧又有多家TEE的解决方案，同时手机系统侧又要支持多家终端银行的TEE盾业务。因此，针对TEE的手机盾业务，出现了多对多的适配过程，增加了银行和手机厂商的开发难度，不利于TEE环境的手机盾业务的普及。
技术实现思路
本申请的目的在于提供一种基于手机盾的移动终端及手机盾管理方法，设置了基于TEE环境android系统上手机盾业务的通讯接口规范，减轻了不同行业的终端用户(如银行，保险，证券等)开发手机盾业务APP的适配难度和后期维护，同时也简化了移动终端的厂商针对不同行业的终端用户(如银行，保险，证券等)手机盾业务的系统支持。为达到上述目的，本申请提供一种基于手机盾的移动终端，移动终端包括可信执行环境和富执行环境，富执行环境中安装移动终端用户应用安装包，移动终端用户应用安装包包括手机盾客户应用控件，手机盾客户应用控件为移动终端厂商服务器和终端用户应用程序的后台服务器提供与移动终端的嵌入式安全模块通信的标准接口。如上的，其中，手机盾客户应用控件包括可信服务管理控件，可信服务管理控件为移动终端的厂商的可信服务管理平台与嵌入式安全模块提供创建辅助安全域的标准接口。如上的，其中，可信服务管理控件为终端用户的可信服务管理平台与嵌入式安全模块提供下载小应用程序和创建应用实例的标准接口。如上的，其中，移动终端用户应用安装包包括终端用户应用程序；手机盾客户应用控件包括业务控件，业务控件为终端用户应用程序提供在可信执行环境下完成业务的标准接口。如上的，其中，移动终端的安卓操作系统包括设置在框架内的盾管理模块和设置在内核内的盾管理驱动器，盾管理模块提供业务控件与盾管理驱动器之间通信的标准接口，盾管理驱动器与嵌入式安全模块进行直接通信。如上的，其中，移动终端的安卓操作系统包括设置在框架内的盾服务模块和设置在内核内的盾服务驱动器，盾服务模块提供可信服务管理控件与盾服务驱动器之间通信的标准接口，盾服务驱动器通过富执行环境的通信代理和可信执行环境的通信代理与可信执行环境中的可信应用进行通信。本申请还提供一种移动终端的手机盾管理方法，包括如下步骤：响应于终端用户应用程序发起初始化请求而调用手机盾客户应用控件的初始化接口；手机盾客户应用控件通过移动终端的安卓操作系统向与初始化接口对应的服务器提出初始化请求，使服务器向嵌入式安全模块发送指令；手机盾客户应用控件接收安卓操作系统从嵌入式安全模块获取的指令的处理结果。如上的，其中，初始化请求为创建辅助安全域，初始化接口为辅助安全域创建接口，辅助安全域创建接口设置在手机盾客户应用控件的可信服务管理控件上。如上的，其中，初始化请求为下载小应用程序或创建应用实例，初始化接口为小应用程序下载接口或应用实例创建接口，小应用程序下载接口或应用实例创建接口设置在手机盾客户应用控件的可信服务管理控件上。如上的，其中，还包括如下步骤：响应于终端用户应用程序启动交易而调用手机盾客户应用控件的业务控件的签名接口；业务控件调用安卓操作系统的open接口给可信执行环境加载手机盾的可信应用；业务控件调用安卓操作系统的transimit接口给可信应用发送指令并获取指令的返回结果；业务控件调用安卓操作系统的displayTui接口在可信执行环境下的可信用户界面上显示交易信息及交易PIN码的输入界面；业务控件调用安卓操作系统的transimit接口获取响应于交易PIN码正确而从嵌入式安全模块获取的交易签名结果并将交易签名结果发送给终端用户应用程序；业务控件调用安卓操作系统的close接口卸载可信应用。本申请实现的有益效果如下：(1)本申请通过手机盾CA控件的TSM控件提供移动终端的厂商或终端用户的TSM平台与ESE之间直接交互通讯的标准接口，在移动终端平台上形成统一的系统服务接口，不用关心与哪家移动终端的厂商的TEE适配，极大的方便终端用户应用程序的客户端适配。(2)本申请的TeeKeyService定义了open，close，transmit，displayTui等基本功能，使手机盾CA控件的业务控件通过标准接口与移动终端的安卓操作系统进行交互，屏蔽了TEE系统在具体实现方式的多样性，使得CA侧无需关心TEE系统的开发者和具体实现方式，只需保持CA与TA的正常通讯即可。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域技术人员来讲，还可以根据这些附图获得其他的附图。图1为移动终端的手机盾业务整体框架图；图2为移动终端的手机盾管理方法的流程图；图3为创建辅助安全域的流程图；图4为下载小应用程序的流程图；图5为创建应用实例的流程图；图6为手机盾完成业务的流程图；图7为手机盾完成转账业务的流程图。具体实施方式下面结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。实施例一图1为移动终端的手机盾业务整体框架图，移动终端为手机、平板等便携式终端设备。如图1所示，以手机100为例，移动终端包括可信执行环境、富执行环境以及嵌入式安全模块(Embeddedsecuritymodule，ESE)170。可信执行环境通过安全模块驱动器(ESEDriver)1602与ESE170进行通信。富执行环境中安装移动终端用户应用安装包和安卓操作系统。移动终端用户应用安装包包括终端用户应用程序(Application，APP)和手机盾客户应用(clientapplication，CA)控件120。终端用户应用程序可以是银行、证券或保险等终端用户的客户端应用程序。这里以手机银行APP(图1的110)为例。手机盾CA控件120包括可信服务管理(TrustedServiceMa本文档来自技高网...

【技术保护点】
1.一种基于手机盾的移动终端，其特征在于，所述移动终端包括可信执行环境和富执行环境，所述富执行环境中安装移动终端用户应用安装包，所述移动终端用户应用安装包包括手机盾客户应用控件，所述手机盾客户应用控件为移动终端厂商服务器和终端用户应用程序的后台服务器提供与移动终端的嵌入式安全模块通信的标准接口。

【技术特征摘要】
1.一种基于手机盾的移动终端，其特征在于，所述移动终端包括可信执行环境和富执行环境，所述富执行环境中安装移动终端用户应用安装包，所述移动终端用户应用安装包包括手机盾客户应用控件，所述手机盾客户应用控件为移动终端厂商服务器和终端用户应用程序的后台服务器提供与移动终端的嵌入式安全模块通信的标准接口。2.根据权利要求1所述的基于手机盾的移动终端，其特征在于，所述手机盾客户应用控件包括可信服务管理控件，所述可信服务管理控件为移动终端的厂商的可信服务管理平台与嵌入式安全模块提供创建辅助安全域的标准接口。3.根据权利要求2所述的基于手机盾的移动终端，其特征在于，所述可信服务管理控件为终端用户的可信服务管理平台与嵌入式安全模块提供下载小应用程序和创建应用实例的标准接口。4.根据权利要求1-3中任一项所述的基于手机盾的移动终端，其特征在于，所述移动终端用户应用安装包包括终端用户应用程序；所述手机盾客户应用控件包括业务控件，所述业务控件为所述终端用户应用程序提供在可信执行环境下完成业务的标准接口。5.根据权利要求4所述的基于手机盾的移动终端，其特征在于，所述移动终端的安卓操作系统包括设置在框架内的盾管理模块和设置在内核内的盾管理驱动器，所述盾管理模块提供所述业务控件与所述盾管理驱动器之间通信的标准接口，所述盾管理驱动器与所述嵌入式安全模块进行直接通信。6.根据权利要求5所述的基于手机盾的移动终端，其特征在于，所述移动终端的安卓操作系统包括设置在框架内的盾服务模块和设置在内核内的盾服务驱动器，所述盾服务模块提供所述可信服务管理控件与所述盾服务驱动器之间通信的标准接口，所述盾服务驱动器通过富执行环境的通信代理和可信执行环境的通信代理与所述可信执行环境中的可信应用进行通信。7.一种根据权利要求1-6所述的移...

【专利技术属性】
技术研发人员：王玉岗，郑涛，
申请(专利权)人：江苏恒宝智能系统技术有限公司，
类型：发明
国别省市：江苏,32