[发明专利]基于可信执行环境的应用激活方法及装置

权利要求书

1.一种可信执行环境的激活方法，所述可信执行环境部署于终端设备中，所述方法包括：

将终端设备标识发送至服务端；

接收服务端返回的激活信息，所述激活信息包括加密后的可信身份标识、可信密钥和激活码，所述可信身份标识、可信密钥与所述终端设备标识相对应，所述激活码根据所述终端设备标识生成；

对所述激活信息进行解密，以得到可信身份标识、可信密钥和激活码；

将所述可信身份标识、可信密钥和激活码加密存储至安全存储空间。

2.如权利要求1所述的方法，其中，所述激活信息包括采用会话密钥对所述可信身份标识、可信密钥、激活码密文进行加密所生成的密文，所述激活码密文为采用所述可信密钥对所述激活码进行加密所生成的密文。

3.如权利要求2所述的方法，其中，所述对所述激活信息进行解密，以得到可信身份标识、可信密钥和激活码的步骤包括：

采用会话密钥对所述激活信息进行解密，以得到可信身份标识、可信密钥和激活码密文；

采用可信密钥对所述激活码密文进行解密，以得到激活码。

4.如权利要求1所述的方法，其中，在所述对所述激活信息进行解密的步骤之后，还包括：

根据所述终端设备标识来验证所述激活码，在激活码验证通过后，将所述可信身份标识、可信密钥和激活码加密存储至安全存储空间。

5.如权利要求4所述的方法，其中，所述激活码包括可信执行环境的使用权限信息和校验信息，所述校验信息包括采用所述可信密钥对所述可信身份标识、使用权限信息、终端设备标识进行加密所生成的密文；

所述根据所述终端设备标识来验证所述激活码的步骤包括：

采用可信密钥对所述可信身份标识、使用权限信息、终端设备标识进行加密，生成第一密文；

若所述第一密文与所述校验信息一致，则激活码验证通过。

6.如权利要求5所述的方法，其中，所述使用权限信息包括生效时间、失效时间、可用次数。

7.如权利要求1所述的方法，还包括：

根据终端设备标识生成认证码；

将所述认证码发送至服务端，以便服务端对所述认证码进行验证，并在认证码验证通过后，根据所述终端设备标识生成激活码。

8.如权利要求7所述的方法，其中，所述认证码包括预置密钥、第二密文和第一映射值，所述第二密文为采用预置密钥对会话密钥和终端设备标识进行加密所生成的密文，所述第一映射值为采用预设的映射函数对会话密钥和终端设备标识进行映射所得到的值；

所述服务端适于按照以下方法来对认证码进行验证：

采用所述预置密钥来对所述第二密文进行解密以得到所述会话密钥和所述终端设备标识，采用所述预设的映射函数来计算所述会话密钥和所述终端设备标识的第二映射值，若第二映射值与所述第一映射值一致，则认证码验证通过。

9.如权利要求1所述的方法，由所述可信执行环境中的激活管理应用执行，所述安全存储空间仅能被所述激活管理应用访问。

10.如权利要求9所述的方法，其中，所述激活管理应用经由位于富执行环境中的接口应用与所述服务端通信。

11.一种可信执行环境的激活方法，所述可信执行环境部署于终端设备中，所述方法包括：

接收终端设备发送的终端设备标识；

生成与所述终端设备标识相对应的可信身份标识和可信密钥，以及根据所述终端设备标识生成激活码；

对所述可信身份标识、可信密钥和激活码进行加密以生成激活信息；

将所述激活信息发送至所述终端设备，以便所述终端设备：对所述激活信息进行解密以得到可信身份标识、可信密钥和激活码，以及将所述可信身份标识、可信密钥和激活码加密存储至安全存储空间。