【技术实现步骤摘要】
一种手机盾访问记录存证和告警方法及计算机系统
[0001]本申请涉及计算机领域,具体的涉及支付安全。
技术介绍
[0002]目前移动支付已经普及,当用户需要使用手机执行需要较高安全级别的金融支付操作时,例如大额度的转账操作,用户需将手机连接U盾(USB keys)保证支付的安全性。
[0003]而手机盾是指将U盾的功能内置在手机中,从而在移动终端上实现较高安全级别的金融支付功能。对于内置有手机盾的手机,具有三个不同安全级别的、独立的操作系统运行环境,如图1所示:三个独立的操作系统运行环境分别是:富执行环境(rich execution environment,REE)、可信执行环境(trusted execution environment,TEE)和内置安全组件(Inside secure element,inSE)。REE(例如Android系统)运行安全性要求低的客户端应用程序(client application,CA),比如银行类应用等第三方支付应用;TEE则运行需要保障其安全性的可信应用程序(trusted application,TA),比如执行签名、加密、解密计算等关键服务的应用,TEE为授权的可信应用程序TA提供安全的执行环境。TEE的内存空间与REE的内存空间是隔离的。inSE,则指的是手机内置的U盾,简称手机盾。
[0004]出于安全性考虑,客户端应用程序CA无法直接访问inSE,可通过TEE间接访问inSE。在TEE中,可信应用程序TA提供接口供客户端应用程序CA访问,可信应用 ...
【技术保护点】
【技术特征摘要】
1.一种计算机系统,所述计算机系统包括终端设备和服务器,所述终端设备上部署有TEE可信执行环境和REE富执行环境以及内置安全组件,所述内置安全组件用于根据用户密钥执行金融交易,所述TEE部署有TA可信应用程序,所述REE部署有CA客户端应用程序,其特征在于,所述CA上部署有第一区块链客户端模块,所述TA上部署有第二区块链客户端模块,所述服务器上部署有智能合约单元,所述第一区块链客户端模块用于:向所述TA发送对所述内置安全组件的访问请求;向所述服务器发送所述访问请求;所述访问请求包括所述CA的信息;所述第二区块链客户端模块用于:将接收到的所有的对所述内置安全组件的访问请求发送至所述服务器;所述智能合约单元用于:将所述第二区块链客户端模块发送的所述所有的对所述内置安全组件的访问请求以及所述第一区块链客户端模块发送的访问请求记录到存储在所述服务器上的区块链中;对比接收到的所述第二区块链客户端模块发送的访问请求与接收到的所述第一区块链客户端模块发送的访问请求,判断是否存在恶意的CA发起对所述内置安全组件的访问请求;若确定存在所述恶意的CA发起对所述内置安全组件的访问请求,向所述第一区块链客户端模块发送告警信息,所述告警信息用于提示存在恶意的CA发起访问所述内置安全组件。2.根据权利要求1所述的计算机系统,其特征在于,所述智能合约单元还用于:根据合法名单效验所述访问请求的合法性,并将效验结果发送给所述TA;所述效验结果表示发起所述访问请求的所述CA是否为恶意的;所述合法名单中存储有多个合法的CA的信息;所述第二区块链客户端模块还用于:从所述智能合约单元接收所述效验结果;当所述效验结果表示发起所述访问请求的CA为恶意的时,拒绝所述恶意的CA的访问请求。3.根据权利要求1所述的计算机系统,其特征在于,所述第二区块链客户端模块还用于:向所述CA发送所述恶意的CA的信息。4.一种终端设备,所述终端设备上部署有TEE可信执行环境和REE富执行环境以及内置安全组件,所述内置安全组件用于根据用户密钥执行金融交易,所述TEE部署有TA可信应用程序,所述REE部署有CA客户端应用程序,其特征在于,所述CA上部署有第一区块链客户端模块,所述TA上部署有第二区块链客户端模块,所述第一区块链客户端模块用于:向所述TA发送对所述内置安全组件的访问请求;向所述服务器发送所述访问请求;所述访问请求包括所述CA的信息;所述第一区块链客户端模块向所述服务器发送的访问请求被所述服务器存储在区块链中;所述第二区块链客户端模块用于:将接收到的所有的对所述内置安全组件的访问请求发送至所述服务器;所述第二区块链客户端模块向所述服务器发送的所有的对所述内置安全组件的访问请求被所述服务器存储在区块链中;所述第一区块链客户端模块还用于:接收所述服务器发送的告警信息,所述告警信息用于提示存在恶意的CA发起访问所述内置安全组件,所述告警信息为所述服务器对比接收到的所述第二区块链客户端模块发送的访问请求与接收到的所述第一区块链客户端模块发送的访问请求,确定存在恶意的CA发起对所述内置安全组件的访问请求后发送给所述CA的。
5.根据权利要求4所述的终端设备,其特征在于,所述第二区块链客户端模块还用于:从所述服务器接收所述效验结果;当所述效验结果表示发起所述访问请求的CA为恶意的时,拒绝所述恶意的CA的访问请求;所述效验结果为所述服务器根据合法名单效验所述访问请求的合法性得到的结果;所述效验结果表示发起所述访问请求的所述CA是否为恶意的;所述合法名单中存储有多个合法的CA的信息。6.根据权利要求5所述的终端设备,其特征在于,所述CA接收到所述服务器发送的所述恶意的CA的信息。7.一种手机盾访问记录存证和告警方法,所述方法应用于终端设备,所述终端设备...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。