本申请涉及一种基于可信执行环境的密码功能服务实现方法和设备。所述方法包括:响应于客户端应用发送的密码功能服务请求,执行对应所述密码功能服务请求,得到执行结果;将所述执行结果发送至客户端应用;其中,所述可信应用程序安装于可信执行环境中,所述客户端应用安装于操作系统中。不仅能够在移动智能终端上实现,符合相关规范的智能密码钥匙产品;而且可以显著提升授权机制的用户体验性和安全性。
Implementation method and device of cryptographic function service based on trusted execution environment
【技术实现步骤摘要】
基于可信执行环境的密码功能服务实现方法和设备
本申请涉及移动安全
,特别是涉及一种基于可信执行环境的密码功能服务实现方法和设备。
技术介绍
随着无线宽带技术的日趋成熟和信息化建设的整体推进,通过移动智能终端利用移动互联网及各种信息系统来提高工作处理的效率已成为社会主流。然而,互联网面临病毒、木马、流氓软件和窃听、篡改等各种攻击,移动智能终端在提供更便捷灵活的密码功能服务的同时,安全风险也逐渐显现;网络身份的真实性、信息资源的访问控制和传输信息的机密性等是其中急需解决的主要问题。为了解决上述问题,PKI技术和各种密码模块类产品由此而生。目前,现有的技术方案中可以通过基于Android的组件实现PKI功能和利用第三方或自研的运行在Android下的密码模块实现PKI功能来解决上述问题。然而,上述方法均存在执行过程容易受到恶意攻击、无法保证密码模块关键安全参数的安全以及密码运算的正确性等缺陷。
技术实现思路
基于此,有必要针对上述技术问题,提供一种安全性较高、使用便捷的基于可信执行环境的密码功能服务实现方法和设备。一种基于可信执行环境的密码功能服务实现方法,包括富系统1和可信执行环境2;富系统1中运行客户端应用11,可信执行环境2中运行TA21;TA21实现密码功能服务;可信执行环境的密码功能服务实现方法包括:TA21响应于客户端应用11发送的密码功能服务请求,执行对应密码功能服务,得到执行结果;TA21将执行结果发送至客户端应用11;进一步地,密码功能服务包括安全存储服务;其中,TA21响应于客户端应用11发送的密码功能服务请求,执行对应密码功能服务,得到执行结果,包括:TA21响应于客户端应用11发送的密码功能服务请求,通过调用预设的密码功能服务请求接口执行对应密码功能服务请求的安全存储服务,得到执行结果;其中,TA21通过调用可信执行环境2的TEEInternalAPI获取可信执行环境2的安全存储服务实现文件系统和数据存储。进一步地,密码功能服务包括密码算法服务;其中,TA21响应于客户端应用11发送的密码功能服务请求,执行对应密码功能服务,得到执行结果,包括:TA21响应于客户端应用11发送的密码功能服务请求,通过调用预设的密码功能服务接口执行对应密码功能服务请求的密码算法服务,得到执行结果。其中,TA21通过调用可信执行环境2的TEEInternalAPI获取可信执行环境2核准的密码算法服务实现密码模块的密码算法服务。进一步地,TA21的文件系统是由应用、容器、文件组成,呈“设备―应用―容器―密钥”的树形存储结构;树形存储结构中子节点元素的属性存储在父节点文件体体内,子节点安全存储对象的ID由所在父节点ID+子节点在父节点的存储偏移构成。进一步地,TA21响应于客户端应用11发送的密码功能服务请求,包括:客户端应用11调用可信执行环境2的TEEClientAPI,向TA21发送APDU命令。进一步地,TA21将执行结果发送至客户端应用11,包括:对将执行结果转化为APDU命令格式;将APDU命令格式的执行结果发送至客户端应用11。一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,其特征在于,处理器执行计算机程序时实现上述方法的步骤。一种计算机可读存储介质,其上存储有计算机程序,其特征在于,计算机程序被处理器执行时实现上述方法的步骤。上述基于可信执行环境的密码功能服务实现方法和设备,通过响应于客户端应用发送的密码功能服务请求,执行对应密码功能服务,得到执行结果;将执行结果发送至客户端应用,不仅能够在移动智能终端上实现符合相关规范的智能密码钥匙产品,而且可以显著提升授权机制的用户体验性和安全性。附图说明图1为基于可信执行环境的密码模块实现密码功能方法的软件框架图;图2为基于可信执行环境的密码模块实现密码功能方法的流程示意图;图3为基于可信执行环境的密码模块实现密码功能方法中的存储结构示意图;图4为基于可信执行环境的密码模块实现密码功能方法中的总体文件系统存储结构示意图;图5为基于可信执行环境的密码模块的整体结构框架图;图6为实施例中计算机设备的内部结构图。具体实施方式为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。图1为实施例中用于移动设备的应用环境说明图。移动设备的应用环境由REE1和TEE2构成。TEE2(可信执行环境)是驻留在移动设备的主处理器上的安全区域,TEE2是与移动设备上的REE1(富系统)并存的运行环境,REE1中运行客户端应用11,TEE2中运行可信应用TA21。TEE2向REE1提供例如敏感数据的安全存储、核准的密码算法、可信用户界面等安全服务。TEE2同时提供数据保密性和数据完整性保护,对TA21(即可信应用、或称可信应用程序,下同)访问资源和数据提供访问权限控制,隔离多个TA之间的运行环境和敏感数据。在移动设备上实现智能密码钥匙(基于TEE2的密码模块TA21)的方法,即在TEE中遵循国密规范《GMT0017-2012智能密码钥匙密码应用接口数据格式规范》实现一个软TA,TA通过TEE规范中的TEEInternalAPI来获取安全资源和安全服务的访问权限,提供相应的密码功能。图2示出了基于可信执行环境的密码模块TA21实现密码功能方法的流程示意图,以图1中移动设备为例进行说明,包括以下步骤:步骤202,TA21响应于客户端应用11发送的密码功能服务请求,执行对应所述密码功能,得到执行结果;步骤204,TA21将所述执行结果发送至客户端应用11;其中,所述TA21安装于TEE2中,所述客户端应用11安装于REE1中。上述基于可信执行环境的密码功能服务实现方法,由于密码功能服务的执行是在TEE2中,由TA21执行。因此,本实施方式不仅能够在移动智能终端上实现符合相关规范的智能密码钥匙产品;而且可以显著提升密码服务的安全性。在其中一个实施例中,所述密码功能服务包括安全存储服务;其中,TA21响应客户端应用11发送的密码功能服务请求,执行对应所述密码功能,得到执行结果,包括:TA21响应客户端应用11发送的密码功能服务请求,通过调用预设的密码功能服务接口执行对应密码功能服务请求的安全存储服务,得到执行结果;TA21通过调用TEE2的TEEInternalAPI获取TEE1的安全存储服务实现文件系统和数据存储。在其中一个实施例中,所述密码功能服务包括密码算法服务;其中,TA21响应客户端应用11发送的密码功能服务请求,执行对应密码功能服务,得到执行结果,包括:TA21响应客户端应用11发送的密码功能服务请求,通过调用预设的密码功本文档来自技高网...
【技术保护点】
1.一种基于可信执行环境的密码功能服务实现方法,其特征在于,包括富系统(1)和可信执行环境(2);/n富系统(1)中运行客户端应用(11),可信执行环境(2)中运行TA(21);/nTA(21)实现密码功能服务;/n所述可信执行环境(2)的密码功能服务实现方法包括:/nTA(21)响应于客户端应用(11)发送的密码功能服务请求,执行对应密码功能服务,得到执行结果;/nTA(21)将所述执行结果发送至客户端应用(11)。/n
【技术特征摘要】
1.一种基于可信执行环境的密码功能服务实现方法,其特征在于,包括富系统(1)和可信执行环境(2);
富系统(1)中运行客户端应用(11),可信执行环境(2)中运行TA(21);
TA(21)实现密码功能服务;
所述可信执行环境(2)的密码功能服务实现方法包括:
TA(21)响应于客户端应用(11)发送的密码功能服务请求,执行对应密码功能服务,得到执行结果;
TA(21)将所述执行结果发送至客户端应用(11)。
2.根据权利要求1所述的方法,其特征在于,所述密码功能服务包括安全存储服务;
其中,所述TA(21)响应于客户端应用(11)发送的密码功能服务请求,执行对应密码功能服务,得到执行结果,包括:
TA(21)响应于客户端应用(11)发送的密码功能服务请求,通过调用预设的密码功能服务请求接口执行对应密码功能服务请求的安全存储服务,得到执行结果;
其中,TA(21)通过调用可信执行环境(2)的TEEInternalAPI获取可信执行环境(2)的安全存储服务实现文件系统和数据存储。
3.根据权利要求1所述的方法,其特征在于,所述密码功能服务包括密码算法服务;
其中,TA(21)响应于客户端应用(11)发送的密码功能服务请求,执行对应所述密码功能服务,得到执行结果,包括:
TA(21)响应于客户端应用(11)发送的密码功能服务请求,通过调用密码功能服务接口执行对应密码功能服务...
【专利技术属性】
技术研发人员:刘亚雷,
申请(专利权)人:北京握奇智能科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。