[发明专利]基于可信执行环境的应用激活方法及装置

说明书

本发明公开了一种可信执行环境的激活方法，可信执行环境部署于终端设备中，该方法包括：将终端设备标识发送至服务端；接收服务端返回的激活信息，激活信息包括加密后的可信身份标识、可信密钥和激活码，可信身份标识、可信密钥与终端设备标识相对应，激活码根据终端设备标识生成；对激活信息进行解密，以得到可信身份标识、可信密钥和激活码；将可信身份标识、可信密钥和激活码加密存储至安全存储空间。本发明一并公开了可信执行环境的激活验证方法、基于可信执行环境的应用激活及激活验证方法、以及相应的装置。

技术领域

本发明涉及应用安全技术领域，尤其涉及一种基于可信执行环境的应用激活方法及装置。

背景技术

软件发布后，需要一种方式来防止软件被破解和盗用，以保证软件开发商自身的利益。目前，通常采用注册码的方式来对软件进行保护，即，用户先下载安装试用版软件，然后通过向服务器申请注册码的方式来激活软件。之后，当用户使用该软件时，软件会读取注册码文件，根据注册码文件来判断该软件是否可用。

上述软件激活方案存在一些问题：

1、注册码文件在设备中未加密存储，导致其可以被明文拷贝至其他设备，使其他设备上安装的软件被非法破解。此外，注册码文件的内容可能被用户篡改，以非法延长软件的使用次数或有效期。

2、注册码文件未与设备绑定，导致注册码文件可以在不同的设备中使用，使其他设备上安装的软件被非法破解。

3、服务器在向设备传输注册码的过程中，注册码文件的内容未加密，导致注册码文件容易被监听或伪造。

因此，需要提供一种更加安全的软件激活方法。

发明内容

为此，本发明提供一种基于可信执行环境的应用激活方法及装置，以力图解决或至少缓解上面存在的问题。

根据本发明的第一个方面，提供一种可信执行环境的激活方法，所述可信执行环境部署于终端设备中，所述方法包括：将终端设备标识发送至服务端；接收服务端返回的激活信息，所述激活信息包括加密后的可信身份标识、可信密钥和激活码，所述可信身份标识、可信密钥与所述终端设备标识相对应，所述激活码根据所述终端设备标识生成；对所述激活信息进行解密，以得到可信身份标识、可信密钥和激活码；将所述可信身份标识、可信密钥和激活码加密存储至安全存储空间。

根据本发明的第二个方面，提供一种可信执行环境的激活方法，所述可信执行环境部署于终端设备中，所述方法包括：接收终端设备发送的终端设备标识；生成与所述终端设备标识相对应的可信身份标识和可信密钥，以及根据所述终端设备标识生成激活码；对所述可信身份标识、可信密钥和激活码进行加密以生成激活信息；将所述激活信息发送至所述终端设备，以便所述终端设备：对所述激活信息进行解密以得到可信身份标识、可信密钥和激活码，以及将所述可信身份标识、可信密钥和激活码加密存储至安全存储空间。

根据本发明的第三个方面，提供一种可信执行环境的激活验证方法，在终端设备的可信执行环境中执行，所述方法包括：获取可信身份标识、可信密钥和可信执行环境的激活码，所述激活码包括可信执行环境的使用权限信息和校验信息，所述校验信息包括采用所述可信密钥对所述可信身份标识、使用权限信息、终端设备标识进行加密所生成的密文；获取终端设备标识，采用可信密钥对所述可信身份标识、使用权限信息、终端设备标识进行加密，生成第一密文；若所述第一密文与所述校验信息一致，且终端设备当前的使用环境与所述使用权限信息匹配，则所述可信执行环境激活成功。

根据本发明的第四个方面，提供一种基于可信执行环境的应用激活方法，所述可信执行环境部署于终端设备中，所述方法包括：将终端设备的可信身份标识发送至服务端：接收服务端返回的注册信息，所述注册信息包括采用所述可信身份标识所对应的可信密钥加密后的注册码，所述注册码根据所述可信身份标识生成；采用可信密钥对所述注册信息进行解密，以得到注册码；将所述注册码加密存储至安全存储空间。