[发明专利]基于手机盾的移动终端及手机盾管理方法

说明书

本申请提供一种基于手机盾的移动终端及手机盾管理方法，移动终端包括可信执行环境和富执行环境，富执行环境中安装移动终端用户应用安装包，移动终端用户应用安装包包括手机盾客户应用控件，手机盾客户应用控件为移动终端厂商服务器和终端用户应用程序的后台服务器提供与移动终端的嵌入式安全模块通信的标准接口。本申请通过手机盾CA控件的TSM控件提供移动终端的厂商或终端用户的TSM平台与ESE之间直接交互通讯的标准接口，在移动终端平台上形成统一的系统服务接口，不用关心与哪家移动终端的厂商的TEE适配，极大的方便终端用户应用程序的客户端适配。

技术领域

本申请涉及手机盾技术领域，尤其涉及一种基于手机盾的移动终端及手机盾管理方法。

背景技术

随着android平台的可信执行环境(Trusted Execution Environment，TEE)的普及，基于TEE环境的各种金融支付、身份认证等安全级别要求较高的行业应用的需求越来越多，例如传统PC平台的银行的个人网上银行业务开始逐渐向手机侧迁移。传统PC平台个人网上银行业务需使用USB接口的外接安全认证的物理盾，保证交易的安全。

随着智能手机的普及，用户更倾向于手机的个人网上银行操作和使用，但是手机的开放系统导致很多不安全的漏洞和限制，TEE系统的出现，正好可以和手机的个人网上银行业务结合，提供一种安全的，快捷的服务，由于TEE系统支持TUI(trusted UserInterface，可信用户界面)，可提供安全环境的用户操作界面，保证交易的信息不被篡改和PIN码的安全输入，实现PC平台的“所见即所签”的二代usbkey业务。

Tee的系统基于GP标准规范实现REE和TEE的通讯，但是具体手机操作系统的TEE实现上，还是有一定差异性。针对TEE环境的银行的手机盾业务，由于银行的客户端需要适配所有的支持TEE系统的手机，手机系统侧又有多家TEE的解决方案，同时手机系统侧又要支持多家终端银行的TEE盾业务。因此，针对TEE的手机盾业务，出现了多对多的适配过程，增加了银行和手机厂商的开发难度，不利于TEE环境的手机盾业务的普及。

发明内容

本申请的目的在于提供一种基于手机盾的移动终端及手机盾管理方法，设置了基于TEE环境android系统上手机盾业务的通讯接口规范，减轻了不同行业的终端用户(如银行，保险，证券等)开发手机盾业务APP的适配难度和后期维护，同时也简化了移动终端的厂商针对不同行业的终端用户(如银行，保险，证券等)手机盾业务的系统支持。

为达到上述目的，本申请提供一种基于手机盾的移动终端，移动终端包括可信执行环境和富执行环境，富执行环境中安装移动终端用户应用安装包，移动终端用户应用安装包包括手机盾客户应用控件，手机盾客户应用控件为移动终端厂商服务器和终端用户应用程序的后台服务器提供与移动终端的嵌入式安全模块通信的标准接口。

如上的，其中，手机盾客户应用控件包括可信服务管理控件，可信服务管理控件为移动终端的厂商的可信服务管理平台与嵌入式安全模块提供创建辅助安全域的标准接口。

如上的，其中，可信服务管理控件为终端用户的可信服务管理平台与嵌入式安全模块提供下载小应用程序和创建应用实例的标准接口。

如上的，其中，移动终端用户应用安装包包括终端用户应用程序；手机盾客户应用控件包括业务控件，业务控件为终端用户应用程序提供在可信执行环境下完成业务的标准接口。

如上的，其中，移动终端的安卓操作系统包括设置在框架内的盾管理模块和设置在内核内的盾管理驱动器，盾管理模块提供业务控件与盾管理驱动器之间通信的标准接口，盾管理驱动器与嵌入式安全模块进行直接通信。

如上的，其中，移动终端的安卓操作系统包括设置在框架内的盾服务模块和设置在内核内的盾服务驱动器，盾服务模块提供可信服务管理控件与盾服务驱动器之间通信的标准接口，盾服务驱动器通过富执行环境的通信代理和可信执行环境的通信代理与可信执行环境中的可信应用进行通信。