【技术实现步骤摘要】
TEE中可信程序的操作方法及装置
本申请涉及计算机安全
,尤其涉及TEE中可信程序的操作方法及装置。
技术介绍
TEE(TrustedExecutionEnvironment,可信执行环境),是一种基于软硬件协同工作的安全执行环境。TEE是与终端设备上的富应用执行环境(例如,Android等)并存的运行环境。TA(TrustedApplication,可信程序),是一种运行在TEE中运行的可信程序。TA为终端设备上的富应用提供安全服务。由于TA在TEE下运行,因此其存储的数据可以避免遭受攻击者的攻击,可以有效保护隐私。
技术实现思路
本申请提出TEE中可信程序的操作方法,应用于业务服务端;其中,上述业务服务端与OEM终端厂商服务端对接;上述方法包括:接收安装在终端设备的操作系统中的业务客户端发送的,针对上述终端设备搭载的TEE中的可信程序对应的操作请求;其中,上述操作请求携带与所请求的操作对应的操作凭证;响应于上述操作请求,调用与上述TEE所对应的OEM终端厂商服务端,生成针对上述可信程序的操作对应的操作数据;接收上述OEM终端厂商服务端返回的操作数据,并将上述操作数据发送至上述业务客户端,以使上述业务客户端基于上述操作数据向上述TEE发起针对上述可信程序的操作请求,完成对上述可信程序的上述操作。在示出的一实施例中,上述方法还包括:响应于业务客户端发起的针对上述可信程序进行上述操作的注册请求,调用上述OEM终端厂商服务端发起注册操作;接 ...
【技术保护点】
1.TEE中可信程序的操作方法,应用于业务服务端;其中,所述业务服务端与OEM终端厂商服务端对接;所述方法包括:/n接收安装在终端设备的操作系统中的业务客户端发送的,针对所述终端设备搭载的TEE中的可信程序对应的操作请求;其中,所述操作请求携带与所请求的操作对应的操作凭证;/n响应于所述操作请求,调用与所述TEE所对应的OEM终端厂商服务端,生成针对所述可信程序的操作对应的操作数据;/n接收所述OEM终端厂商服务端返回的操作数据,并将所述操作数据发送至所述业务客户端,以使所述业务客户端基于所述操作数据向所述TEE发起针对所述可信程序的操作请求,完成对所述可信程序的所述操作。/n
【技术特征摘要】
1.TEE中可信程序的操作方法,应用于业务服务端;其中,所述业务服务端与OEM终端厂商服务端对接;所述方法包括:
接收安装在终端设备的操作系统中的业务客户端发送的,针对所述终端设备搭载的TEE中的可信程序对应的操作请求;其中,所述操作请求携带与所请求的操作对应的操作凭证;
响应于所述操作请求,调用与所述TEE所对应的OEM终端厂商服务端,生成针对所述可信程序的操作对应的操作数据;
接收所述OEM终端厂商服务端返回的操作数据,并将所述操作数据发送至所述业务客户端,以使所述业务客户端基于所述操作数据向所述TEE发起针对所述可信程序的操作请求,完成对所述可信程序的所述操作。
2.根据权利要求1所述的方法,还包括:
响应于业务客户端发起的针对所述可信程序进行所述操作的注册请求,调用所述OEM终端厂商服务端发起注册操作;
接收所述OEM终端厂商服务端响应于所述注册请求返回的操作凭证,并将所述操作凭证返回至所述业务客户端。
3.根据权利要求1所述的方法,所述操作请求为与可信程序对应的安装操作请求;
所述响应于所述操作请求,调用与所述TEE所对应的OEM终端厂商服务端,生成针对所述可信程序的操作对应的操作数据,包括:
响应于所述安装操作请求,向所述OEM终端厂商服务端发起调用请求;
接收所述OEM终端厂商服务端响应于所述调用请求,返回的获取与所述可信程序对应的安装文件的获取请求;
响应于所述获取请求,将与所述可信程序对应的安装文件发送至所述OEM终端厂商服务端,以使所述OEM终端厂商服务端基于所述安装文件生成针对所述可信程序的操作数据。
4.根据权利要求3所述的方法,所述操作数据被分片远程缓存;所述将所述操作数据发送至所述业务客户端,包括:
向所述业务客户端发送所述操作数据中的第一分片信息,以使所述业务客户的可以基于所述第一分片信息完成针对所述业务数据的下载;其中,所述第一分片信息包括所述操作数据的下载地址。
5.根据权利要求3或4所述的方法,所述响应于所述获取请求,将与所述可信程序对应的安装文件发送至所述OEM终端厂商服务端,包括:
响应于所述获取请求,对与所述可信程序对应的安装文件进行加密;
将加密后的所述安装文件发送至所述OEM终端厂商服务端。
6.TEE中可信程序的操作方法,应用于OEM终端厂商服务端;其中,所述OEM终端厂商服务端与业务服务端对接;所述方法包括:
接收所述业务服务端发起的第一调用请求;其中,所述第一调用请求为所述业务服务端在接收到安装在终端设备的操作系统中的业务客户端发送的,针对所述终端搭载的TEE中的可信程序的操作请求后发起的;其中,所述操作请求携带与所请求的操作对应的操作凭证;
响应于所述第一调用请求,生成针对所述可信程序的操作对应的操作数据;
将所述操作数据返回所述业务服务端,以使所述业务服务端将所述操作数据发送至所述业务客户端,以使所述业务客户端基于所述操作数据向所述TEE发起针对所述可信程序的操作请求,完成对所述可信程序的所述操作。
7.根据权利要求6所述的方法,还包括:
接收所述业务服务端发起的第二调用请求;其中,所述第二调用请求为所述业务服务端在接收到所述业务客户端发起的针对所述可信程序进行所述操作的注册请求后发起的;
响应于所述第二调用请求,生成与所请求的操作对应的操作凭证;
将所述操作凭证返回至所述业务服务端。
8.根据权利要求6所述的方法,所述操作请求为与可信程序对应的安装操作请求;
所述响应于所述第一调用请求,生成针对所述可信程序的操作对应的操作数据,包括:
响应于所述第一调用请求,生成获取与所述可信程序对应的安装文件的获取请求,并将所述获取请求返回至所述业务服务端;
接收所述业务服务端响应于所述获取请求发送的与所述可信程序对应的安装文件;
基于所述安装文件生成针对所述可信程序的操作数据。
9.根据权利要求8所述的方法,所述安装文件为加密文件。
10.根据权利要求8所述的方法,还包括:
响应于所述第一调用请求,发...
【专利技术属性】
技术研发人员:孟飞,王世纪,翁启,杨文波,
申请(专利权)人:支付宝杭州信息技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。