【技术实现步骤摘要】
一种管理方法、终端和服务器
本专利技术设计数据安全领域,尤其涉及一种管理方法、终端和服务器。
技术介绍
随着电子产品的发展,以及用户对数据安全性的需求,目前在硬件的支持下,许多终端,可以同时存在两个执行环境,一个是普通执行环境,或者称之为富执行环境(richexecutionenvironment,REE),普通执行环境泛指不具备特定安全功能的运行环境;另一个是可信执行环境(trustexecutionenvironment,TEE),TEE具有安全功能,满足了一定的安全要求,同时可以实现与REE相隔离的运行机制。TEE独立于REE运行,定义了严格的安全保护措施,比REE的安全级别要高,能够保护可信执行环境中的资源(assets)(如数据、软件等)免受一般的软件攻击(generalsoftwareattacts),抵抗特定类型的安全威胁。只有授权的可信应用(trustedapplication,TA)才能在TEE中执行,保护了安全软件的资源和数据的机密性。由于TEE隔离和权限控制等保护机制,使TEE比REE更好的保护了资源和数据的安全性。开放信任协议(opentr...
【技术保护点】
1.一种管理方法,其特征在于,应用于支持开放信任协议OTrP的可信执行环境TEE的管理,所述管理方法包括:终端获取应用数据包,所述应用数据包包括离线管理指令,所述离线管理指令包括目标安全域SD标识,解密密钥标识和加密数据,所述解密密钥标识对应的解密密钥用于解密所述加密数据,所述加密数据由外部实体OWE使用加密密钥生成,所述解密密钥和所述加密密钥是由外部实体OWE生成的密钥对;所述终端确定所述目标SD标识对应的目标SD中是否包括所述解密密钥标识对应的解密密钥;当所述目标SD中包括所述解密密钥时,所述终端使用所述解密密钥解密所述加密数据,并根据解密后的所述加密数据进行离线管理操作。
【技术特征摘要】
1.一种管理方法,其特征在于,应用于支持开放信任协议OTrP的可信执行环境TEE的管理,所述管理方法包括:终端获取应用数据包,所述应用数据包包括离线管理指令,所述离线管理指令包括目标安全域SD标识,解密密钥标识和加密数据,所述解密密钥标识对应的解密密钥用于解密所述加密数据,所述加密数据由外部实体OWE使用加密密钥生成,所述解密密钥和所述加密密钥是由外部实体OWE生成的密钥对;所述终端确定所述目标SD标识对应的目标SD中是否包括所述解密密钥标识对应的解密密钥;当所述目标SD中包括所述解密密钥时,所述终端使用所述解密密钥解密所述加密数据,并根据解密后的所述加密数据进行离线管理操作。2.根据权利要求1所述的管理方法,其特征在于,所述管理方法还包括:当所述目标SD中不包括所述解密密钥时,所述终端向所述OWE发送第一消息,所述第一消息用于获取所述解密密钥标识对应的解密密钥;所述终端接收所述OWE通过所述OTrP以在线管理方式发送的第二消息,所述第二消息包括所述解密密钥;所述终端使用所述解密密钥解密所述加密数据,并根据解密后的所述加密数据进行离线管理操作。3.根据权利要求1或2所述的管理方法,其特征在于,在所述终端确定所述目标SD标识对应的目标SD中是否包括所述解密密钥标识对应的解密密钥之前,所述管理方法还包括:所述终端根据所述目标SD标识确定所述终端中是否包括所述目标SD标识对应的目标SD。4.根据权利要求3所述的管理方法,其特征在于,所述管理方法还包括:当所述终端中不包括所述目标SD标识对应的目标SD时,所述终端向所述OWE发送第三消息,所述第三消息包括指示信息,所述第三消息用于请求安装所述目标SD标识对应的目标SD,所述指示信息用于指示在请求安装的目标SD中部署所述解密密钥标识对应的解密密钥;所述终端接收所述OWE通过所述OTrP以在线管理方式发送的第四消息,所述第四消息包括安装目标SD指令,所述安装目标SD指令包括所述解密密钥;所述终端根据所述安装目标SD指令安装所述目标SD标识对应的目标SD,将所述解密密钥保存在安装的目标SD中。5.根据权利要求4所述的管理方法,其特征在于,所述第一消息和所述第三消息中分别包括所述离线管理指令中携带的解密密钥标识或者所述离线管理指令的标识,所述安装目标SD指令包括所述解密密钥标识对应的解密密钥。6.根据权利要求2至5任一项所述的管理方法,其特征在于,所述第二消息和所述第四消息中还分别包括解密密钥的属性参数;所述管理方法还包括:所述终端根据所述属性参数更新关联信息,更新后的关联信息包括所述目标SD与所述解密密钥的对应关系。7.根据权利要求1至6任一项所述的管理方法,其特征在于,所述离线管理指令中包括应用信息;在所述终端获取应用数据包之后,所述管理方法还包括:所述终端根据所述应用信息和TEE信息确定是否需要执行所述离线管理指令;其中,所述TEE信息为安装在所述终端的TEE模块中的应用对应的应用信息。8.根据权利要求1至7所述的管理方法,其特征在于,所述离线管理指令还包括密钥计算参数,所述终端使用解密密钥解密所述加密数据,包括:所述终端使用所述解密密钥标识对应的解密密钥和所述密钥计算参数计算会话密钥,并使用所述会话密钥对所述加密数据进行解密。9.根据权利要求1至8所述的管理方法,其特征在于,在所述终端获取应用数据包之前,所述管理方法还包括:所述终端向所述OWE发送第五消息,所述第五消息用于所述OWE向所述终端中的至少一个SD配置解密密钥;所述终端接收所述OWE通过所述OTrP以在线管理方式发送的第六消息,所述第六消息包括至少一个解密密钥和解密密钥的属性参数;所述终端保存所述至少一个解密密钥,并根据解密密钥的属性参数生成关联信息;所述关联信息包括以下方式中的一种或两种:所述至少一个解密密钥与所述至少一个SD存在一一对应关系,或者所述至少一个解密密钥中的每一个解密密钥与所述至少一个SD中的多个SD存在对应关系。10.一种管理方法,其特征在于,应用于支持开放信任协议OTrP的可信执行环境TEE的管理,所述管理方法包括:外部实体OWE生成离线管理指令,所述离线管理指令包括目标安全域SD标识,解密密钥标识和加密数据;其中,所述解密密钥标识对应的解密密钥用于解密所述加密数据,所述加密数据由所述OWE使用加密密钥生成,所述解密密钥和所述加密密钥是由OWE生成的密钥对;所述离线管理指令用于终端获取到包含所述离线管理指令的应用数据包时,使用所述解密密钥标识对应的解密密钥解密所述加密数据,并根据所述解密后的所述加密数据进行离线管理操作。11.根据权利要求10所述的管理方法,其特征在于,所述管理方法还包括:所述OWE接收所述终端发送的第一消息,所述第一消息用于所述终端获取所述解密密钥标识对应的解密密钥;所述OWE通过所述OTrP以在线管理方式与所述终端的TEE进行双向鉴权,并在对TEE鉴权通过后,所述OWE向所述终端发送第二消息,所述第二消息包括所述解密密钥,所述第二消息用于所述终端将所述解密密钥保存在目标SD中,并更新关联信息,所述关联信息包括所述目标SD与所述解密密钥的对应关系。12.根据权利要求10或11所述的管理方法,其特征在于,所述管理方法还包括:所述OWE接收所述终端发送的第三消息,所述第三消息包括指示信息,所述第三消息用于请求安装目标SD标识对应的目标SD,所述指示信息用于指示在请求安装的目标SD中部署所述解密密钥标识对应的解密密钥;所述OWE通过所述OTrP以在线管理方式与所述终端的TEE进行双向鉴权,并在对TEE鉴权通过后,所述OWE向所述终端发送第四消息,所述第四消息包括安装目标SD指令,所述安装目标SD指令包括所述解密密钥;所述第四消息用于所述终端安装所述目标SD,将所述解密密钥保存安装的目标SD中,并更新关联信息,所述关联信息包括所述目标SD与所述解密密钥的对应关系。13.根据权利要求12所述的管理方法,其特征在于,所述所述第一消息或者第三消息分别包括所述离线管理指令中携带的所述解密密钥标识或所述离线管理指令的标识,所述安装目标SD指令中包括所述解密密钥标识对应的解密密钥。14.根据权利要求10至13所述的管理方法,其特征在于,所述管理方法还包括:所述OWE接收所述终端发送的第五消息,所述第五消息用于所述OWE向所述终端中的至少一个SD配置解密密钥;所述OWE与所述终端进行双向鉴权,鉴权通过后,所述OWE向所述终端发送第六消息,所述第六消息包括至少一个解密密钥和解密密钥的属性参数;所述第六消息用于所述终端保存所述至少一个解密密钥,并根据所述解密密钥的属性参数生成关联信息;所述关联信息包括以下方式中的一种或两种:所述至少一个解密密钥与所述至少一个SD存在一一对应关系,或者所述至少一个解密密钥中的每一个解密密钥与所述至少一个SD中的多个SD存在对应关系。15.根据要求10至14任一项所述的管理方法,其特征在于,所述外部实体OWE生成离线管理指令,包括:所述OWE使用生成的加密密钥加密数据得到加密数据,并将所述加密数据和解密密钥标识打包生成所述离线管理指令;或者,所述OWE使用生成的加密密钥和密钥计算参数生成会话密钥,使用所述会话密钥加密数据得到加密数据,并将所述密钥计算参数、所述加密数据和解密密钥标识添加到所述离线管理指令。16.一种管理方法,其特征在于,应用于支持开放信任协议OTrP的可信执行环境TEE的管理,所述管理方法包括:TEE模块接收终端的富执行环境REE模块发送的离线管理指令,所述离线管理指令包括目标安全域SD标识,解密密钥标识和加密数据,所述解密密钥标识对应的解密密钥用于解密所述加密数据,所述加密数据由外部实体OWE使用加密密钥生成,所述解密密钥和所述加密密钥是由外部实体OWE生成的密钥对;所述TEE模块确定所述目标SD标识对应的目标SD中是否包括所述解密密钥标识对应的解密密钥;当所述目标SD中包括所述解密密钥时,所述TEE模块使用所述解密密钥解密所述加密数据,并根据所述解密后的所述加密数据进行离线管理操作。17.根据权利要求16所述的管理方法,其特征在于,所述管理方法还包括:当所述目标SD中不包括所述解密密钥时,所述TEE模块通过所述REE模块向所述OWE发送第一消息,所述第一消息用于获取所述解密密钥标识对应的解密密钥;所述TEE模块通过所述REE模块接收所述OWE通过所述OTrP以在线管理方式发送的第二消息,所述第二消息包括所述解密密钥;所述TEE模块使用所述解密密钥解密所述加密数据,并根据解密后的所述加密数据进行离线管理操作。18.根据权利要求16或17所述的管理方法,其特征在于,在所述TEE模块确定所述目标SD标识对应的目标SD中是否包括所述解密密钥标识对应的解密密钥之前,所述管理方法还包括:所述TEE模块根据所述目标SD标识确定所述TEE模块中是否包括所述目标SD标识对应的目标SD。19.根据权利要求18所述的管理方法,其特征在于,所述管理方法还包括:当所述TEE模块中不包括所述目标SD标识对应的目标SD时,所述TEE模块通过所述REE模块向所述OWE发送第三消息,所述第三消息包括指示信息,所述第三消息用于请求安装所述目标SD标识对应的目标SD,所述指示信息用于指示在请求安装的目标SD中部署所述解密密钥标识对应的解密密钥;所述TEE模块接收所述OWE通过所述OTrP以在线管理方式发送的第四消息,所述第四消息包括安装目标SD指令,所述安装目标SD指令包括所述解密密钥;所述TEE模块根据所述安装目标SD指令安装所述目标SD标识对应的目标SD,并将所述解密密钥保存到安装的目标SD中。20.根据权利要求19所述的管理方法,其特征在于,所述第一消息和所述第三消息分别包括所述离线管理指令中携带的所述解密密钥标识或者所述离线管理指令的标识,所述安装目标SD指令包括所述解密密钥标识对应的解密密钥。21.根据权利要求17至20任一项所述的管理方法,其特征在于,所述第二消息和所述第四消息中还分别包括解密密钥的属性参数;所述管理方法还包括:所述TEE模块根据所述属性参数更新关联信息,更新后的关联信息包括所述目标SD与所述解密密钥的对应关系。22.根据权利要求16至21任一项所述的管理方法,其特征在于,所述离线管理指令还包括应用信息;在所述TEE模块接收终端的富执行环境REE模块发送的离线管理指令之后,所述管理方法还包括:所述TEE模块根据所述应用信息和TEE信息确定是否需要执行所述离线管理指令;其中,所述TEE信息为安装在所述终端的TEE模块中的应用对应的应用信息。23.根据权利要求16至22所述的管理方法,其特征在于,所述离线管理指令还包括密钥计算参数,所述TEE模块使用所述解密密钥解密所述加密数据,包括:所述TEE模块使用所述解密密钥标识对应的解密密钥和所述密钥计算参数计算会话密钥,并使用所述会话密钥对所述加密数据进行解密。24.根据权利要求16至23所述的管理方法,其特征在于,在所述TEE模块接收终端的富执行环境REE模块发送的离线管理指令之前,所述管理方法还包括:所...
【专利技术属性】
技术研发人员:王思善,常新苗,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。