数据授权方法、装置及电子设备制造方法及图纸

本说明书一个或多个实施例提供一种数据授权方法、装置及电子设备，应用于搭载了可信执行环境的电子设备；可信执行环境中部署了至少一个应用程序；可信执行环境中存储了参与可信计算的隐私数据；该方法包括：接收所述数据授权方发送的针对所述隐私数据的数据授权信息；其中，所述数据授权信息包括与所述应用程序对应的授权标识；确定所述数据授权信息中的与所述应用程序对应的授权标识，与所述可信执行环境中存储的与所述应用程序对应的授权标识是否相同；其中，所述可信执行环境中存储的与所述应用程序对应的授权标识，在所述应用程序每次重新启动时进行更新；如果是，授权所述应用程序基于所述隐私数据进行可信计算的权限。限。限。

【技术实现步骤摘要】
数据授权方法、装置及电子设备


[0001]本说明书一个或多个实施例涉及信息安全
，尤其涉及一种数据授权方法、装置及电子设备。

技术介绍

[0002]近年来，互联设备日益普及，迫使设备制造商更加严肃、认真地对待设备运行过程中出现的安全问题，而设备中搭载的可信执行环境（Trusted Execution Environment，TEE）就为这些安全问题提供了解决方案。
[0003]可信执行环境是主处理器中的安全区域，运行在一个独立的环境中，且与常规的操作系统并行运行，从而使可信执行环境中加载的代码和数据的机密性和完整性都可以得到保护。

技术实现思路

[0004]本说明书提出一种数据授权方法，所述方法应用于搭载了可信执行环境的电子设备；所述可信执行环境中部署了至少一个应用程序；以及，所述可信执行环境中存储了参与可信计算的隐私数据；所述方法包括：接收所述数据授权方发送的针对所述隐私数据的数据授权信息；其中，所述数据授权信息包括与所述应用程序对应的授权标识；确定所述数据授权信息中的与所述应用程序对应的授权标识，与所述可信执行环境中存储的与所述应用程序对应的授权标识是否相同；其中，所述可信执行环境中存储的与所述应用程序对应的授权标识，在所述应用程序每次重新启动时进行更新；如果是，授权所述应用程序基于所述隐私数据进行可信计算的权限。
[0005]可选地，所述方法还包括：确定所述可信执行环境中存储的与所述应用程序对应的授权标识是否发生更新；如果是，解除所述应用程序基于所述隐私数据进行可信计算的权限。
[0006]可选地，所述数据授权信息还包括与所述隐私数据对应的授权信息；所述授权所述应用程序基于所述隐私数据进行可信计算的权限，包括：将所述数据授权信息中的与所述隐私数据对应的授权信息存储至所述可信执行环境；或者，将所述数据授权信息中的与所述隐私数据对应的授权信息存储至所述可信执行环境，并将所述授权信息设置为有效状态；所述解除所述应用程序基于所述隐私数据进行可信计算的权限，包括：删除所述可信执行环境中存储的所述授权信息；或者，将所述可信执行环境中存储的所述授权信息设置为无效状态。
[0007]可选地，所述数据授权信息被基于所述数据授权方的私钥进行了数字签名；所述确定所述数据授权信息中的与所述应用程序对应的授权标识，与所述可信执行环境中存储的与所述应用程序对应的授权标识是否相同之前，所述方法还包括：
基于所述可信执行环境中存储的所述数据授权方的公钥，对与所述数据授权信息对应的数字签名进行验证；如果验证通过，则确定所述数据授权信息中的与所述应用程序对应的授权标识，与所述可信执行环境中存储的与所述应用程序对应的授权标识是否相同。
[0008]可选地，所述将所述数据授权信息中的所述授权信息存储至所述可信执行环境，包括：确定所述可信执行环境中是否存储了与所述隐私数据对应的授权信息；如果否，则将所述数据授权信息中的与所述隐私数据对应的授权信息存储至所述可信执行环境；如果是，则基于所述数据授权信息中的与所述隐私数据对应的授权信息，对所述可信执行环境中存储的与所述隐私数据对应的授权信息进行更新。
[0009]可选地，与所述隐私数据对应的授权信息包括与所述数据授权方对应的身份凭证；所述基于所述数据授权信息中的与所述隐私数据对应的授权信息，对所述可信执行环境中存储的与所述隐私数据对应的授权信息进行更新之前，所述方法还包括：确定所述数据授权信息中的与所述数据授权方对应的身份凭证，与所述可信执行环境中存储的与所述数据授权方对应的身份凭证是否相同；如果是，则基于所述数据授权信息中的与所述隐私数据对应的授权信息，对所述可信执行环境中存储的与所述隐私数据对应的授权信息进行更新。
[0010]可选地，所述身份凭证包括所述数据授权方的公钥。
[0011]可选地，与所述隐私数据对应的授权信息包括与所述隐私数据对应的数据标识；所述基于所述数据授权信息中的与所述隐私数据对应的授权信息，对所述可信执行环境中存储的与所述隐私数据对应的授权信息进行更新之前，所述方法还包括：确定所述数据授权信息中的与所述隐私数据对应的数据标识，与所述可信执行环境中存储的与所述隐私数据对应的数据标识是否相同；如果是，则基于所述数据授权信息中的与所述隐私数据对应的授权信息，对所述可信执行环境中存储的与所述隐私数据对应的授权信息进行更新。
[0012]可选地，所述数据标识包括与所述隐私数据对应的数据摘要。
[0013]可选地，与所述隐私数据对应的授权信息包括与所述隐私数据对应的数据版本；所述基于所述数据授权信息中的与所述隐私数据对应的授权信息，对所述可信执行环境中存储的与所述隐私数据对应的授权信息进行更新之前，所述方法还包括：确定所述数据授权信息中的与所述隐私数据对应的数据版本，是否高于所述可信执行环境中存储的与所述隐私数据对应的数据版本；如果是，则基于所述数据授权信息中的与所述隐私数据对应的授权信息，对所述可信执行环境中存储的与所述隐私数据对应的授权信息进行更新。
[0014]可选地，所述方法还包括：接收数据调用方发送的针对所述隐私数据的数据调用请求；确定所述可信执行环境中是否存储了与所述隐私数据对应的授权信息；或者，确定所述可信执行环境中是否存储了与所述隐私数据对应的有效状态的授权信息；
如果是，则触发所述应用程序基于所述隐私数据进行可信计算。
[0015]可选地，所述授权信息包括：授权状态；所述触发所述应用程序基于所述隐私数据进行可信计算，包括：确定所述授权信息中的授权状态是否为已授权状态；如果是，则触发所述应用程序基于所述隐私数据进行可信计算。
[0016]可选地，所述授权信息包括：剩余授权次数；所述触发所述应用程序基于所述隐私数据进行可信计算，包括：确定所述授权信息中的剩余授权次数是否大于0；如果是，则触发所述应用程序基于所述隐私数据进行可信计算，并将所述授权信息中的剩余授权次数减1。
[0017]本说明书还提出一种数据授权装置，所述装置应用于搭载了可信执行环境的电子设备；所述可信执行环境中部署了至少一个应用程序；以及，所述可信执行环境中存储了参与可信计算的隐私数据；所述装置包括：第一接收模块，接收所述数据授权方发送的针对所述隐私数据的数据授权信息；其中，所述数据授权信息包括与所述应用程序对应的授权标识；第一确定模块，确定所述数据授权信息中的与所述应用程序对应的授权标识，与所述可信执行环境中存储的与所述应用程序对应的授权标识是否相同；其中，所述可信执行环境中存储的与所述应用程序对应的授权标识，在所述应用程序每次重新启动时进行更新；授权模块，如果是，授权所述应用程序基于所述隐私数据进行可信计算的权限。
[0018]可选地，所述装置还包括：确定模块，确定所述可信执行环境中存储的与所述应用程序对应的授权标识是否发生更新；解除模块，如果是，解除所述应用程序基于所述隐私数据进行可信计算的权限。
[0019]可选地，所述数据授权信息还包括与所述隐私数据对应的授权信息；所述授权本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据授权方法，所述方法应用于搭载了可信执行环境的电子设备；所述可信执行环境中部署了至少一个应用程序；以及，所述可信执行环境中存储了参与可信计算的隐私数据；所述方法包括：接收所述数据授权方发送的针对所述隐私数据的数据授权信息；其中，所述数据授权信息包括与所述应用程序对应的授权标识；确定所述数据授权信息中的与所述应用程序对应的授权标识，与所述可信执行环境中存储的与所述应用程序对应的授权标识是否相同；其中，所述可信执行环境中存储的与所述应用程序对应的授权标识，在所述应用程序每次重新启动时进行更新；如果是，授权所述应用程序基于所述隐私数据进行可信计算的权限。2.根据权利要求1所述的方法，所述方法还包括：确定所述可信执行环境中存储的与所述应用程序对应的授权标识是否发生更新；如果是，解除所述应用程序基于所述隐私数据进行可信计算的权限。3.根据权利要求2所述的方法，所述数据授权信息还包括与所述隐私数据对应的授权信息；所述授权所述应用程序基于所述隐私数据进行可信计算的权限，包括：将所述数据授权信息中的与所述隐私数据对应的授权信息存储至所述可信执行环境；或者，将所述数据授权信息中的与所述隐私数据对应的授权信息存储至所述可信执行环境，并将所述授权信息设置为有效状态；所述解除所述应用程序基于所述隐私数据进行可信计算的权限，包括：删除所述可信执行环境中存储的所述授权信息；或者，将所述可信执行环境中存储的所述授权信息设置为无效状态。4.根据权利要求3所述的方法，所述数据授权信息被基于所述数据授权方的私钥进行了数字签名；所述确定所述数据授权信息中的与所述应用程序对应的授权标识，与所述可信执行环境中存储的与所述应用程序对应的授权标识是否相同之前，所述方法还包括：基于所述可信执行环境中存储的所述数据授权方的公钥，对与所述数据授权信息对应的数字签名进行验证；如果验证通过，则确定所述数据授权信息中的与所述应用程序对应的授权标识，与所述可信执行环境中存储的与所述应用程序对应的授权标识是否相同。5.根据权利要求4所述的方法，所述将所述数据授权信息中的所述授权信息存储至所述可信执行环境，包括：确定所述可信执行环境中是否存储了与所述隐私数据对应的授权信息；如果否，则将所述数据授权信息中的与所述隐私数据对应的授权信息存储至所述可信执行环境；如果是，则基于所述数据授权信息中的与所述隐私数据对应的授权信息，对所述可信执行环境中存储的与所述隐私数据对应的授权信息进行更新。6.根据权利要求5所述的方法，与所述隐私数据对应的授权信息包括与所述数据授权方对应的身份凭证；所述基于所述数据授权信息中的与所述隐私数据对应的授权信息，对所述可信执行环
境中存储的与所述隐私数据对应的授权信息进行更新之前，所述方法还包括：确定所述数据授权信息中的与所述数据授权方对应的身份凭证，与所述可信执行环境中存储的与所述数据授权方对应的身份凭证是否相同；如果是，则基于所述数据授权信息中的与所述隐私数据对应的授权信息，对所述可信执行环境中存储的与所述隐私数据对应的授权信息进行更新。7.根据权利要求6所述的方法，所述身份凭证包括所述数据授权方的公钥。8.根据权利要求5所述的方法，与所述隐私数据对应的授权信息包括与所述隐私数据对应的数据标识；所述基于所述数据授权信息中的与所述隐私数据对应的授权信息，对所述可信执行环境中存储的与所述隐私数据对应的授权信息进行更新之前，所述方法还包括：确定所述数据授权信息中的与所述隐私数据对应的数据标识，与所述可信执行环境中存储的与所述隐私数据对应的数据标识是否相同；如果是，则基于所述数据授权信息中的与所述隐私数据对应的授权信息，对所述可信执行环境中存储的与所述隐私数据对应的授权信息进行更新。9.根据权利要求8所述的方法，所述数据标识包括与所述隐私数据对应的数据摘要。10.根据权利要求5所述的方法，与所述隐私数据对应的授权信息包括与所述隐私数据对应的数据版本；所述基于所述数据授权信息中的与所述隐私数据对应的授权信息，对所述可信执行环境中存储的与所述隐私数据对应的授权信息进行更新之前，所述方法还包括：确定所述数据授权信息中的与所述隐私数据对应的数据版本，是否高于所述可信执行环境中存储的与所述隐私数据对应的数据版本；如果是，则基于所述数据授权信息中的与所述隐私数据对应的授权信息，对所述可信执行环境中存储的与所述隐私数据对应的授权信息进行更新。11.根据权利要求3所述的方法，所述方法还包括：接收数据调用方发送的针对所述隐私数据的数据调用请求；确定所述可信执行环境中是否存储了与所述隐私数据对应的授权信息；或者，确定所述可信执行环境中是否存储了与所述隐私数据对应的有效状态的授权信息；如果是，则触发所述应用程序基于所述隐私数据进行可信计算。12.根据权利要求11所述的方法，所述授权信息包括：授权状态；所述触发所述应用程序基于所述隐私数据进行可信计算，包括：确定所述授权信息中的授权状态是否为已授权状态；如果是，则触发所述应用程序基于所述隐私数据进行可信计算。13.根据权利要求11所述的方法，所述授权信息包括：剩余授权次数；所述触发所述应用程序基于所述隐私数据进行可信计算，包括：确定所述授权信息中的剩余授权次数是否大于0；如果是，则触发所述应用程序基于所述隐私数据进行可信计算，并将所述授权信息中的剩余授权次数减1。14.一种数据授权装置，所述装置应用于搭载了可信执行环境的电子设备；所述可信执行环境中部署了至少...

【专利技术属性】
技术研发人员：余逸荣，邱鸿霖，陈辰，吴行行，
申请(专利权)人：蚂蚁区块链科技上海有限公司，
类型：发明
国别省市：