The invention discloses a control method for accessing a trusted execution environment, which comprises the following steps: S11 CA initiates a request to TEE to verify the validity of CA in REE; S12 verifies the validity of CA in REE after verifying the validity of CA in REE, and then verifies the validity of CA in TEE again; and S13 TA processes the request from a verifying CA. The beneficial effect of the invention is that the TEE daemon holds the TEE entrance security credentials, the TA holds the TA entrance security credentials, and the TA carries out double authentication when the CA accesses the TA to ensure that the malicious CA can not run in the TEE and TA; at the same time, the security credentials are deployed in the cloud, even if the CA version is upgraded, the mobile terminal can adaptively enter without modification. Line security authentication.
【技术实现步骤摘要】
一种访问可信执行环境的控制方法
本专利技术涉及移动终端安全领域,具体来说,涉及一种访问可信执行环境的控制方法。
技术介绍
TEE是可信执行环境的简称。当前的可信执行环境主要是基于智能终端(如智能手机)中处理器的安全区域构建的可信执行环境。TEE是一个独立的执行区域,它提供了很多安全属性,如隔离性,完整性等,同时TEE也确保了加载到TEE中代码和数据的安全性。传统的TEE技术包含ARM的TrustZone等。GP组织(GlobalPlatform,全球平台国际标准组织)公布了TEE的基本保护范围,相关API和安全属性,符合该标准的TEE被称为GPTEE。TEE的安全级别介于REE(RichExecutionEnvironment)和SE(SecureElement)之间。随着应用对安全的重视,越来越多的应用把敏感业务和信息放在TEE执行。在TEE内运行的应用称为TA(TrustedApplication),与之对应,在REE内运行的应用成为CA(ClientApplication)。TEE和TA作为一个安全目标,被CA访问时,存在如下安全隐患:伪造:恶意CA伪装成合法CA、并向TA发起请求,从而获取到TA输出的敏感数据,造成数据泄漏。DoS:恶意CA持续向TEE或TA发起请求,导致TEE或TA无法提供正常服务。而当前没有相关标准和规范对这些存在的安全隐患进行约束和定义。针对相关技术中的问题,目前尚未提出有效的解决方案。
技术实现思路
针对相关技术中的上述技术问题,本专利技术提出一种访问可信执行环境的控制方法,能够提升TEE和TA的安全性。为实现上述技术目的,本专 ...
【技术保护点】
1.一种访问可信执行环境的控制方法,其特征在于,包括以下步骤:S11 CA向TEE发起请求,在REE中校验CA的合法性;S12 在REE中校验CA为合法后,在TEE内再次校验CA的合法性。
【技术特征摘要】
1.一种访问可信执行环境的控制方法,其特征在于,包括以下步骤:S11CA向TEE发起请求,在REE中校验CA的合法性;S12在REE中校验CA为合法后,在TEE内再次校验CA的合法性。2.根据权利要求1所述的访问可信执行环境的控制方法,其特征在于,进一步包括S13TA对来自校验通过的CA的请求进行处理。3.根据权利要求2所述的访问可信执行环境的控制方法,其特征在于,该方法具体包括:S21CA通过系统服务TEE守护进程向TEE发起请求;S22TEE守护进程收到请求后,从云端获取TEE入口安全凭证;S23TEE守护进程计算CA的特征值,并与TEE入口安全凭证中的特征值信息进行比对,如果匹配,则进入TEE,并将CA标识发送给TA;S24TA收到请求后,将CA标识与TA入口安全凭证中的标识信息进行比对,如果匹配,则处理请求...
【专利技术属性】
技术研发人员:韩鹏,刘涛,杨子光,孙琛,
申请(专利权)人:北京豆荚科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。