[发明专利]基于可信执行环境的密码功能服务实现方法和设备在审
| 申请号: | 201911121952.8 | 申请日: | 2019-11-15 |
| 公开(公告)号: | CN110868416A | 公开(公告)日: | 2020-03-06 |
| 发明(设计)人: | 刘亚雷 | 申请(专利权)人: | 北京握奇智能科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L9/08;H04L29/08 |
| 代理公司: | 北京国帆知识产权代理事务所(普通合伙) 11334 | 代理人: | 刘小哲 |
| 地址: | 100102 北京市朝阳*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 可信 执行 环境 密码 功能 服务 实现 方法 设备 | ||
本申请涉及一种基于可信执行环境的密码功能服务实现方法和设备。所述方法包括:响应于客户端应用发送的密码功能服务请求,执行对应所述密码功能服务请求,得到执行结果;将所述执行结果发送至客户端应用;其中,所述可信应用程序安装于可信执行环境中,所述客户端应用安装于操作系统中。不仅能够在移动智能终端上实现,符合相关规范的智能密码钥匙产品;而且可以显著提升授权机制的用户体验性和安全性。
技术领域
本申请涉及移动安全技术领域,特别是涉及一种基于可信执行环境的密码功能服务实现方法和设备。
背景技术
随着无线宽带技术的日趋成熟和信息化建设的整体推进,通过移动智能终端利用移动互联网及各种信息系统来提高工作处理的效率已成为社会主流。然而,互联网面临病毒、木马、流氓软件和窃听、篡改等各种攻击,移动智能终端在提供更便捷灵活的密码功能服务的同时,安全风险也逐渐显现;网络身份的真实性、信息资源的访问控制和传输信息的机密性等是其中急需解决的主要问题。为了解决上述问题,PKI技术和各种密码模块类产品由此而生。
目前,现有的技术方案中可以通过基于Android的组件实现PKI功能和利用第三方或自研的运行在Android下的密码模块实现PKI功能来解决上述问题。
然而,上述方法均存在执行过程容易受到恶意攻击、无法保证密码模块关键安全参数的安全以及密码运算的正确性等缺陷。
发明内容
基于此,有必要针对上述技术问题,提供一种安全性较高、使用便捷的基于可信执行环境的密码功能服务实现方法和设备。
一种基于可信执行环境的密码功能服务实现方法,包括富系统1和可信执行环境2;
富系统1中运行客户端应用11,可信执行环境2中运行TA21;
TA21实现密码功能服务;
可信执行环境的密码功能服务实现方法包括:
TA21响应于客户端应用11发送的密码功能服务请求,执行对应密码功能服务,得到执行结果;
TA21将执行结果发送至客户端应用11;
进一步地,密码功能服务包括安全存储服务;
其中,TA21响应于客户端应用11发送的密码功能服务请求,执行对应密码功能服务,得到执行结果,包括:
TA21响应于客户端应用11发送的密码功能服务请求,通过调用预设的密码功能服务请求接口执行对应密码功能服务请求的安全存储服务,得到执行结果;
其中,TA21通过调用可信执行环境2的TEE Internal API获取可信执行环境2的安全存储服务实现文件系统和数据存储。
进一步地,密码功能服务包括密码算法服务;
其中,TA21响应于客户端应用11发送的密码功能服务请求,执行对应密码功能服务,得到执行结果,包括:
TA21响应于客户端应用11发送的密码功能服务请求,通过调用预设的密码功能服务接口执行对应密码功能服务请求的密码算法服务,得到执行结果。
其中,TA21通过调用可信执行环境2的TEE Internal API获取可信执行环境2核准的密码算法服务实现密码模块的密码算法服务。
进一步地,TA21的文件系统是由应用、容器、文件组成,呈“设备―应用―容器―密钥”的树形存储结构;树形存储结构中子节点元素的属性存储在父节点文件体体内,子节点安全存储对象的ID由所在父节点ID+子节点在父节点的存储偏移构成。
进一步地,TA21响应于客户端应用11发送的密码功能服务请求,包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京握奇智能科技有限公司,未经北京握奇智能科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201911121952.8/2.html,转载请声明来源钻瓜专利网。
