TEE中可信程序的操作方法及装置制造方法及图纸

本申请提出TEE中可信程序的操作方法及装置，应用于业务服务端。其中，上述业务服务端与OEM终端厂商服务端对接。上述方法可以包括，接收安装在终端设备的操作系统中的业务客户端发送的，针对上述终端设备搭载的TEE中的可信程序对应的操作请求。其中，上述操作请求携带与所请求的操作对应的操作凭证。然后，响应于上述操作请求，调用与上述TEE所对应的OEM终端厂商服务端，生成针对上述可信程序的操作对应的操作数据。最后，接收上述OEM终端厂商服务端返回的操作数据，并将上述操作数据发送至上述业务客户端，以使上述业务客户端基于上述操作数据向上述TEE发起针对上述可信程序的操作请求，在保障隐私数据安全的情形下，完成对上述可信程序的所述操作。

【技术实现步骤摘要】
TEE中可信程序的操作方法及装置
本申请涉及计算机安全
，尤其涉及TEE中可信程序的操作方法及装置。
技术介绍
TEE(TrustedExecutionEnvironment，可信执行环境)，是一种基于软硬件协同工作的安全执行环境。TEE是与终端设备上的富应用执行环境(例如，Android等)并存的运行环境。TA(TrustedApplication，可信程序)，是一种运行在TEE中运行的可信程序。TA为终端设备上的富应用提供安全服务。由于TA在TEE下运行，因此其存储的数据可以避免遭受攻击者的攻击，可以有效保护隐私。
技术实现思路
本申请提出TEE中可信程序的操作方法，应用于业务服务端；其中，上述业务服务端与OEM终端厂商服务端对接；上述方法包括：接收安装在终端设备的操作系统中的业务客户端发送的，针对上述终端设备搭载的TEE中的可信程序对应的操作请求；其中，上述操作请求携带与所请求的操作对应的操作凭证；响应于上述操作请求，调用与上述TEE所对应的OEM终端厂商服务端，生成针对上述可信程序的操作对应的操作数据；接收上述OEM终端厂商服务端返回的操作数据，并将上述操作数据发送至上述业务客户端，以使上述业务客户端基于上述操作数据向上述TEE发起针对上述可信程序的操作请求，完成对上述可信程序的上述操作。在示出的一实施例中，上述方法还包括：响应于业务客户端发起的针对上述可信程序进行上述操作的注册请求，调用上述OEM终端厂商服务端发起注册操作；接收上述OEM终端厂商服务端响应于上述注册请求返回的操作凭证，并将上述操作凭证返回至上述业务客户端。在示出的一实施例中，上述操作请求为与可信程序对应的安装操作请求；上述响应于上述操作请求，调用与上述TEE所对应的OEM终端厂商服务端，生成针对上述可信程序的操作对应的操作数据，包括：响应于上述安装操作请求，向上述OEM终端厂商服务端发起调用请求；接收上述OEM终端厂商服务端响应于上述调用请求，返回的获取与上述可信程序对应的安装文件的获取请求；响应于上述获取请求，将与上述可信程序对应的安装文件发送至上述OEM终端厂商服务端，以使上述OEM终端厂商服务端基于上述安装文件生成针对上述可信程序的操作数据。在示出的一实施例中，上述操作数据被分片远程缓存；上述将上述操作数据发送至上述业务客户端，包括：向上述业务客户端发送上述操作数据中的第一分片信息，以使上述业务客户的可以基于上述第一分片信息完成针对上述业务数据的下载；其中，上述第一分片信息包括上述操作数据的下载地址。在示出的一实施例中，上述响应于上述获取请求，将与上述可信程序对应的安装文件发送至上述OEM终端厂商服务端，包括：响应于上述获取请求，对与上述可信程序对应的安装文件进行加密；将加密后的上述安装文件发送至上述OEM终端厂商服务端。本申请提出TEE中可信程序的操作方法，应用于OEM终端厂商服务端；其中，上述OEM终端厂商服务端与业务服务端对接；上述方法包括：接收上述业务服务端发起的第一调用请求；其中，上述第一调用请求为上述业务服务端在接收到安装在终端设备的操作系统中的业务客户端发送的，针对上述终端搭载的TEE中的可信程序的操作请求后发起的；其中，上述调用请求携带与所请求的操作对应的操作凭证；响应于上述第一调用请求，生成针对上述可信程序的操作对应的操作数据；将上述操作数据返回上述业务服务端，以使上述业务服务端将上述操作数据发送至上述业务客户端，以使上述业务客户端基于上述操作数据向上述TEE发起针对上述可信程序的操作请求，完成对上述可信程序的上述操作。在示出的一实施例中，上述方法还包括：接收上述业务服务端发起的第二调用请求；其中，上述第二调用请求为上述业务服务端在接收到上述业务客户端发起的针对上述可信程序进行上述操作的注册请求后发起的；响应于上述第二调用请求，生成与所请求的操作对应的操作凭证；将上述操作凭证返回至上述业务服务端。在示出的一实施例中，上述操作请求为与可信程序对应的安装操作请求；上述响应于上述第一调用请求，生成针对上述可信程序的操作对应的操作数据，包括：响应于上述第一调用请求，生成获取与上述可信程序对应的安装文件的获取请求，并将上述获取请求返回至上述业务服务端；接收上述业务服务端响应于上述获取请求发送的与上述可信程序对应的安装文件；基于上述安装文件生成针对上述可信程序的操作数据。在示出的一实施例中，上述安装文件为加密文件。在示出的一实施例中，上述方法还包括：响应于上述第一调用请求，发起获取上述TEE状态信息的请求，并通过上述业务服务端发送至上述业务客户端；接收上述业务服务端返回的，上述业务客户端响应于上述获取上述TEE状态信息的请求，返回至上述业务服务端的上述TEE状态信息；基于上述TEE状态信息确定是否在上述TEE中安装安全域；如果是，则发起安装上述安全域的操作请求。本申请提出TEE中可信程序的操作方法，应用于业务客户端；其中，上述业务客户端对应的业务服务端与OEM终端厂商服务端对接；上述方法包括：向上述业务服务端发起针对上述终端设备搭载的TEE中的可信程序对应的操作请求，以使上述业务服务端响应于上述操作请求，向上述OEM终端厂商服务端发起调用请求，生成针对上述可信程序的操作对应的操作数据；其中，上述操作请求携带与所请求的操作对应的操作凭证；接收上述业务服务端返回的上述操作数据；基于上述操作数据向上述TEE发起针对上述可信程序的操作请求，完成对上述可信程序的上述操作。在示出的一实施例中，上述向上述业务服务端发起针对上述终端设备搭载的TEE中的可信程序对应的操作请求，包括：获取上述TEE对应的状态信息，并将获取的上述状态信息发送至上述业务服务端，以使上述业务服务端基于上述状态信息确定是否针对上述TEE中的可信程序进行操作；如果上述业务服务端返回需要针对上述TEE中的可信程序进行操作的指令，则向上述业务服务端发起针对上述终端设备搭载的TEE中的可信程序对应的操作请求。在示出的一实施例中，上述方法还包括：响应于上述业务服务端返回需要针对上述TEE中的可信程序进行操作的指令，发起的针对上述可信程序进行上述操作的注册请求，以使上述业务服务端调用上述OEM终端厂商服务端发起注册操作。接收上述OEM终端厂商服务端响应于上述注册请求返回的操作凭证，并将上述操作凭证返回至上述业务客户端。本申请提出TEE中可信程序的操作装置，应用于业务服务端；其中，上述业务服务端与OEM终端厂商服务端对接；上述装置包括：接收模块，接收安装在终端设备的操作系统中的业务客户端发送的，针对上述终端设备搭载的TEE中的可信程序对应的操作请求；其中，上述操作请求携带与所请求的操作对应的操作凭证；调用模本文档来自技高网...

【技术保护点】
1.TEE中可信程序的操作方法，应用于业务服务端；其中，所述业务服务端与OEM终端厂商服务端对接；所述方法包括：/n接收安装在终端设备的操作系统中的业务客户端发送的，针对所述终端设备搭载的TEE中的可信程序对应的操作请求；其中，所述操作请求携带与所请求的操作对应的操作凭证；/n响应于所述操作请求，调用与所述TEE所对应的OEM终端厂商服务端，生成针对所述可信程序的操作对应的操作数据；/n接收所述OEM终端厂商服务端返回的操作数据，并将所述操作数据发送至所述业务客户端，以使所述业务客户端基于所述操作数据向所述TEE发起针对所述可信程序的操作请求，完成对所述可信程序的所述操作。/n

【技术特征摘要】
1.TEE中可信程序的操作方法，应用于业务服务端；其中，所述业务服务端与OEM终端厂商服务端对接；所述方法包括：
接收安装在终端设备的操作系统中的业务客户端发送的，针对所述终端设备搭载的TEE中的可信程序对应的操作请求；其中，所述操作请求携带与所请求的操作对应的操作凭证；
响应于所述操作请求，调用与所述TEE所对应的OEM终端厂商服务端，生成针对所述可信程序的操作对应的操作数据；
接收所述OEM终端厂商服务端返回的操作数据，并将所述操作数据发送至所述业务客户端，以使所述业务客户端基于所述操作数据向所述TEE发起针对所述可信程序的操作请求，完成对所述可信程序的所述操作。


2.根据权利要求1所述的方法，还包括：
响应于业务客户端发起的针对所述可信程序进行所述操作的注册请求，调用所述OEM终端厂商服务端发起注册操作；
接收所述OEM终端厂商服务端响应于所述注册请求返回的操作凭证，并将所述操作凭证返回至所述业务客户端。


3.根据权利要求1所述的方法，所述操作请求为与可信程序对应的安装操作请求；
所述响应于所述操作请求，调用与所述TEE所对应的OEM终端厂商服务端，生成针对所述可信程序的操作对应的操作数据，包括：
响应于所述安装操作请求，向所述OEM终端厂商服务端发起调用请求；
接收所述OEM终端厂商服务端响应于所述调用请求，返回的获取与所述可信程序对应的安装文件的获取请求；
响应于所述获取请求，将与所述可信程序对应的安装文件发送至所述OEM终端厂商服务端，以使所述OEM终端厂商服务端基于所述安装文件生成针对所述可信程序的操作数据。


4.根据权利要求3所述的方法，所述操作数据被分片远程缓存；所述将所述操作数据发送至所述业务客户端，包括：
向所述业务客户端发送所述操作数据中的第一分片信息，以使所述业务客户的可以基于所述第一分片信息完成针对所述业务数据的下载；其中，所述第一分片信息包括所述操作数据的下载地址。


5.根据权利要求3或4所述的方法，所述响应于所述获取请求，将与所述可信程序对应的安装文件发送至所述OEM终端厂商服务端，包括：
响应于所述获取请求，对与所述可信程序对应的安装文件进行加密；
将加密后的所述安装文件发送至所述OEM终端厂商服务端。


6.TEE中可信程序的操作方法，应用于OEM终端厂商服务端；其中，所述OEM终端厂商服务端与业务服务端对接；所述方法包括：
接收所述业务服务端发起的第一调用请求；其中，所述第一调用请求为所述业务服务端在接收到安装在终端设备的操作系统中的业务客户端发送的，针对所述终端搭载的TEE中的可信程序的操作请求后发起的；其中，所述操作请求携带与所请求的操作对应的操作凭证；
响应于所述第一调用请求，生成针对所述可信程序的操作对应的操作数据；
将所述操作数据返回所述业务服务端，以使所述业务服务端将所述操作数据发送至所述业务客户端，以使所述业务客户端基于所述操作数据向所述TEE发起针对所述可信程序的操作请求，完成对所述可信程序的所述操作。


7.根据权利要求6所述的方法，还包括：
接收所述业务服务端发起的第二调用请求；其中，所述第二调用请求为所述业务服务端在接收到所述业务客户端发起的针对所述可信程序进行所述操作的注册请求后发起的；
响应于所述第二调用请求，生成与所请求的操作对应的操作凭证；
将所述操作凭证返回至所述业务服务端。


8.根据权利要求6所述的方法，所述操作请求为与可信程序对应的安装操作请求；
所述响应于所述第一调用请求，生成针对所述可信程序的操作对应的操作数据，包括：
响应于所述第一调用请求，生成获取与所述可信程序对应的安装文件的获取请求，并将所述获取请求返回至所述业务服务端；
接收所述业务服务端响应于所述获取请求发送的与所述可信程序对应的安装文件；
基于所述安装文件生成针对所述可信程序的操作数据。


9.根据权利要求8所述的方法，所述安装文件为加密文件。


10.根据权利要求8所述的方法，还包括：
响应于所述第一调用请求，发...

【专利技术属性】
技术研发人员：孟飞，王世纪，翁启，杨文波，
申请(专利权)人：支付宝杭州信息技术有限公司，
类型：发明
国别省市：浙江;33