一种安全可扩展的可信应用开发方法技术

本发明专利技术公开了一种安全可扩展的可信应用开发方法，包括以下步骤：S11使用JavaScript脚本语言开发并调试TA‑Script；S12在TA‑Script程序检测服务器上对TA‑Script进行性能检测和安全性检测；S13利用TA‑Script签名服务器对通过检测的TA‑Script进行签名及加密；S14将签名后的TA‑Script内置在Android端的APK中。本发明专利技术的有益效果：通过将TA‑Script内置于Android端应用中，在REE端与TEE端分别进行部署，使得TA‑Script的开发与TEE平台无关，增加了可扩展性及开发更新的便利性；同时，通过采用签名服务器对TA‑Script进行签名和加密，使只有通过TEE端校验后的TA‑Script可在TEE环境下执行，保证了TA‑Script的安全性与一致性。

A secure and extensible method for trusted application development

The invention discloses a secure and extensible development method for trusted applications, which comprises the following steps: S11 develops and debugs TA_Script using JavaScript scripting language; S12 performs performance and security testing for TA_Script on the TA_Script program detection server; S13 uses TA_Script signature server to detect TA_Script passing through the detection. (Script) sign and encrypt; S14 will sign the TA Script to be built in the APK of the Android side. The beneficial effect of the invention is that the development of TA_Script has nothing to do with TEE platform by embedding TA_Script in Android application and deploying it on REE side and TEE side respectively, which increases the extensibility and convenience of development and update; at the same time, the TA_Script is signed and encrypted by using signature server, so that only the TA_Script is deployed on REE side and TEE side. The TA_Script can be executed in TEE environment after TEE side checking, which ensures the security and consistency of TA_Script.

【技术实现步骤摘要】
一种安全可扩展的可信应用开发方法
本专利技术涉及可信应用的开发
，具体来说，涉及一种安全可扩展的可信应用开发方法。
技术介绍
TEE（TrustedExecutionEnvironment）是可信执行环境的简称。当前的可信执行环境主要是基于智能终端（如智能手机）中处理器的安全区域构建的可信执行环境。TEE是一个独立的执行区域，它提供了很多安全属性，如隔离性，TA的完整性等，同时TEE也确保了加载到TEE中代码和数据的安全性。传统的TEE技术包含ARM的TrustZone等。GP组织（GlobalPlatform，全球平台国际标准组织）公布了TEE的基本保护范围，相关API和安全属性，符合该标准的TEE被称为GPTEE。同时还有其他的TEE，如N3TEE等。TEE的安全级别介于REE（RichExecutionEnvironment）和SE（SecureElement）之间。运行在TEE的应用称为可信应用（TrustedApps），以下简称TA。TA可以访问设备主处理器和内存的全部功能，硬件隔离技术保护其不受安装在主操作系统环境（REE环境）的用户Apps影响。而TEE内部的软件和密码隔离技术可以保护每个TA不相互影响，这样可以为多个不同的服务提供商同时使用，而不影响安全性。TA的开发与用户Apps的开发不同，通常TA需要使用C语言在可信环境下开发，开发难度较大；由于TEE之间的实现不同，通常需要针对TEE系统分别开发。APK是AndroidPackage的缩写，即Android安装包(apk)。Android，即安卓系统，主要用于移动设备的一种操作系统。针对相关技术中的问题，目前尚未提出有效的解决方案。
技术实现思路
针对相关技术中的上述技术问题，本专利技术提出一种安全可扩展的可信应用开发方法，能够保证开发的安全性及可扩展性。为实现上述技术目的，本专利技术的技术方案是这样实现的：一种安全可扩展的可信应用开发方法，包括以下步骤：S11使用JavaScript脚本语言开发并调试TA-Script；S12在TA-Script程序检测服务器上对TA-Script进行性能检测和安全性检测；S13利用TA-Script签名服务器对通过检测的TA-Script进行签名及加密；S14将签名后的TA-Script内置在Android端的APK中。进一步的，TA-Script脚本文件包括应用ID、脚本签名、脚本加密标识及脚本程序体。进一步的，TA-Script签名服务器对TA-Script加密后，将TA-Script的脚本加密标识设置为加密状态。进一步的，所述TA-Script按照以下步骤被调用及执行：S21Android端应用调用TA-Script客户端服务中的invoke方法，将脚本和请求参数传入；S22TA-Script客户端服务将所述脚本和请求参数转发到TA-Script宿主可信应用中；S23TA-Script宿主可信应用解析并执行所述脚本和请求参数；S24TA-Script宿主可信应用将处理结果打包成响应返回给TA-Script客户端服务；S25TA-Script客户端服务将响应转发给Android端应用。进一步的，所述Android端应用和TA-Script客户端服务部署在REE端。进一步的，所述TA-Script宿主可信应用部署在TEE端，在不同的TEE系统上进行相应的适配及实现。进一步的，TA-Script宿主可信应用校验TA-Script签名后，解析并执行脚本和请求参数。进一步的，TA-Script宿主可信应用解析并执行脚本和请求参数时，将调用TEE系统库。本专利技术的有益效果：通过将TA-Script内置于Android端应用中，在REE端与TEE端分别进行部署，使得TA-Script的开发与TEE平台无关，增加了可扩展性及开发更新的便利性；同时，通过采用签名服务器对TA-Script进行签名和加密，使只有通过TEE端校验后的TA-Script可在TEE环境下执行，保证了TA-Script的安全性与一致性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是根据本专利技术实施例所述的一种安全可扩展的可信应用开发方法的流程示意图；图2是根据本专利技术实施例所述的TA-Script的一种简要架构示意图；图3是根据本专利技术实施例所述的TA-Script在应用时的一种架构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本专利技术保护的范围。如图1和2所示，根据本专利技术实施例所述的一种安全可扩展的可信应用开发方法，包括以下步骤：S11使用JavaScript脚本语言开发并调试TA-Script；S12在TA-Script程序检测服务器上对TA-Script进行性能检测和安全性检测；S13利用TA-Script签名服务器对通过检测的TA-Script进行签名及加密；S14将签名后的TA-Script内置在Android端的APK中。进一步的，TA-Script脚本文件包括应用ID、脚本签名、脚本加密标识及脚本程序体。进一步的，TA-Script签名服务器对TA-Script加密后，将TA-Script的脚本加密标识设置为加密状态。进一步的，所述TA-Script按照以下步骤被调用及执行：S21Android端应用调用TA-Script客户端服务中的invoke方法，将脚本和请求参数传入；S22TA-Script客户端服务将所述脚本和请求参数转发到TA-Script宿主可信应用中；S23TA-Script宿主可信应用解析并执行所述脚本和请求参数；S24TA-Script宿主可信应用将处理结果打包成响应返回给TA-Script客户端服务；S25TA-Script客户端服务将响应转发给Android端应用。进一步的，所述Android端应用和TA-Script客户端服务部署在REE端。进一步的，所述TA-Script宿主可信应用部署在TEE端，在不同的TEE系统上进行相应的适配及实现。进一步的，TA-Script宿主可信应用校验TA-Script签名后，解析并执行脚本和请求参数。进一步的，TA-Script宿主可信应用解析并执行脚本和请求参数时，将调用TEE系统库。为了方便理解本专利技术的上述技术方案，以下通过具体使用方式上对本专利技术的上述技术方案进行详细说明。在具体使用时，根据本专利技术所述的一种安全可扩展的可信应用开发方法，开发者在进行开发时的具体流程如下：1.开发者使用JavaScript脚本语言开发TA-Script程序。2.开发者使用TA-ScriptLibforJavaScript调试TA-Script程序。3.在TA-Script程序检测服务器上对TA-Script进行性能检测和安全性检测。4.签名服务器对通过检测的TA-Script进行签名并返本文档来自技高网...

【技术保护点】
1.一种安全可扩展的可信应用开发方法，其特征在于，包括以下步骤：S11 使用JavaScript脚本语言开发并调试TA‑Script；S12 在TA‑Script程序检测服务器上对TA‑Script进行性能检测和安全性检测；S13 利用TA‑Script签名服务器对通过检测的TA‑Script进行签名及加密；S14将签名后的TA‑Script内置在Android端的APK中。

【技术特征摘要】
1.一种安全可扩展的可信应用开发方法，其特征在于，包括以下步骤：S11使用JavaScript脚本语言开发并调试TA-Script；S12在TA-Script程序检测服务器上对TA-Script进行性能检测和安全性检测；S13利用TA-Script签名服务器对通过检测的TA-Script进行签名及加密；S14将签名后的TA-Script内置在Android端的APK中。2.根据权利要求1所述的安全可扩展的可信应用开发方法，其特征在于，TA-Script脚本文件包括应用ID、脚本签名、脚本加密标识及脚本程序体。3.根据权利要求2所述的安全可扩展的可信应用开发方法，其特征在于，TA-Script签名服务器对TA-Script加密后，将TA-Script的脚本加密标识设置为加密状态。4.根据权利要求1所述的安全可扩展的可信应用开发方法，其特征在于，所述TA-Script按照以下步骤被调用及执行：S21Android端应用调用TA-Script客户端服务中的invoke方法，将脚本和请求参数传入；S2...

【专利技术属性】
技术研发人员：刘万里，阚宇，仝丽娜，
申请(专利权)人：南京微可信信息技术有限公司，
类型：发明
国别省市：江苏,32