[发明专利]应用的可信授权方法、装置及电子设备

权利要求书

1.一种应用的可信授权方法，应用于ARM可信设备，所述ARM可信设备在处理器层包括两个不同权限的保护域：第一保护域和第二保护域，该方法包括以下步骤：

建立所述第一保护域中的可信应用与所述第二保护域中的可信应用之间的关联关系；

控制所述第一保护域中除所述可信应用之外的其他应用通过所述第一保护域中的可信应用进行本地授权。

2.根据权利要求1所述的方法，其中，所述建立所述第一保护域中的可信应用与所述第二保护域中的可信应用之间的关联关系，包括如下至少之一:

将所述第一保护域中的可信应用的授权信息存储在所述第二保护域中；

将用于启动所述第一保护域中的可信应用的根密钥存储在所述第二保护域中。

3.根据权利要求1所述的方法，其中，所述控制所述第一保护域中除所述可信应用之外的其他应用通过所述第一保护域中的可信应用进行本地授权，包括：

控制所述其他应用从所述第一保护域中的可信应用获取进行本地授权的凭证；

依据所述凭证对所述其他应用进行本地授权。

4.根据权利要求3所述的方法，其中，所述控制所述其他应用从所述第一保护域中的可信应用获取进行本地授权的凭证，包括：

通过进程间通信套接字和双向安全传输层协议获取所述凭证。

5.根据权利要求1至4中任意一项所述的方法，还包括：

所述ARM可信设备运行有加密和签名的固件。

6.根据权利要求5所述的方法，其中，所述建立所述第一保护域中的可信应用与所述第二保护域中的可信应用之间的关联关系之前，所述方法还包括：

利用预设私钥对所述固件进行解密，并验证所述固件的签名与预设签名是否一致；

在对所述固件成功解密，且所述固件的签名与所述预设签名一致的情况下，触发执行建立所述第一保护域中的可信应用与所述第二保护域中的可信应用之间的关联关系。

7.一种应用的可信授权装置，包括：

建立模块，设置为建立第一保护域中的可信应用与第二保护域中的可信应用之间的关联关系，其中，所述第一保护域和所述第二保护域为ARM可信设备在处理器层包括的两个不同权限的保护域；

控制模块，设置为控制所述第一保护域中除所述可信应用之外的其他应用通过所述第一保护域中的可信应用进行本地授权。

8.根据权利要求7所述的装置，其中，所述建立模块包括：

第一存储单元，设置为将所述第一保护域中的可信应用的授权信息存储在所述第二保护域中；

第二存储单元，设置为将用于启动所述第一保护域中的可信应用的根密钥存储在所述第二保护域中。

9.根据权利要求7所述的装置，其中，所述控制模块包括：

控制单元，设置为控制所述其他应用从所述第一保护域中的可信应用获取进行本地授权的凭证；

处理单元，设置为依据所述凭证对所述其他应用进行本地授权。

10.根据权利要求9所述的装置，其中，所述控制单元，还设置为通过进程间通信套接字和双向安全传输层协议获取所述凭证。

11.根据权利要求7至10中任意一项所述的装置，所述ARM可信设备运行有加密和签名的固件。

12.根据权利要求11所述的装置，其中，所述装置还包括：

处理模块，设置为利用预设私钥对所述固件进行解密，并验证所述固件的签名与预设签名是否一致；

触发模块，设置为在对所述固件成功解密，且所述固件的签名与所述预设签名一致的情况下，触发执行建立所述第一保护域中的可信应用与所述第二保护域中的可信应用之间的关联关系。