本發明專利技術公開了一種訪問可信執行環境、可信應用的系統及方法,涉及移動終端設備領域。該方法包括以下步驟:先將事先開發好或修改好的CA、TA分別部署到REE、TEE中;創建并部署能夠解析CA行為腳本、識別指定行為的TEE訪問模塊到REE中;然后編寫用于描述CA訪問需求、指定CA訪問行為的CA行為腳本;當CA運行到需要訪問TEE中TA時,CA讀取CA行為腳本,并將該CA行為腳本的內容傳遞給TEE訪問模塊;TEE訪問模塊對接收到的CA行為腳本進行解析,并按照所識別的CA行為腳本的指定行為去訪問TEE中的TA。本發明專利技術能夠有效提高CA的通用性,實現TEE及TA的靈活訪問。
【技術實現步驟摘要】
本專利技術涉及移動終端設備領域,具體來講是。
技術介紹
移動通信技術的發展帶來了移動終端技術的快速發展,現代的移動終端設備提供了強大而靈活的REE (Rich Execut1n Environment,富執行環境),但同時也導致設備容易受到安全威脅。TEE (Trusted Execut1n Environment,可信執行環境)是為了解決當前移動終端設備存在的安全風險而提出的技術方案。TEE和REE平行運行于同一個設備上,TEE能夠保證在可信的環境中進行敏感數據的存儲、處理和保護,并為授權的安全軟件(可信軟件)提供了安全的執行環境,通過執行保護、保密、完整和數據訪問權限實現了端到端的安全。TA (Trusted Applicat1n,可信應用)運行于 TEE 上,CA (Client Applicat1n,客戶應用)運行于REE上,CA通過調用位于REE的TEE客戶端API (Applicat1n ProgrammingInterface,應用編程接口 )去訪問TA,從而使用TEE及TA提供的安全功能。由于TEE及TA的運行必須由CA通過調用TEE客戶端API觸發,所以必須要事先制定好CA的程序執行流程、編寫CA調用TEE客戶端API的代碼,并將CA安裝到REE中,然后運行CA,由CA按照已固定的流程去調用TEE客戶端API,從而實現TEE及TA的訪問。但是,現有的訪問方式在遇到應用場景、需求發生變化,或者TA發生改變時,必須要重新開發CA,編寫CA的代碼,才能適應這種變化,操作過程十分繁瑣,效率極低。尤其當需要對TEE及TA進行完整性測試時,更是需要編寫流程非常復雜的CA、或者編寫多個CA,才能達到預定完整測試的目的,操作起來非常不靈活。因此如何提高CA的通用性,靈活訪問TEE及TA是移動終端中一個亟待解決的技術問題。
技術實現思路
本專利技術的目的是為了克服上述
技術介紹
的不足,提供,能夠有效提高CA的通用性,實現TEE及TA的靈活訪問。為達到以上目的,本專利技術提供一種訪問可信執行環境、可信應用的系統,包括富執行環境REE和可信執行環境TEE,所述REE包括客戶應用CA和TEE客戶端應用編程接口API,所述TEE包括TEE內部API和若干可信應用TA ;其中,所述REE還包括CA行為腳本和TEE訪問模塊,所述CA行為腳本用于描述CA訪問需求、指定CA訪問行為,CA行為腳本存儲在CA訪問的介質中;所述TEE訪問模塊用于解析CA行為腳本、識別CA行為腳本的指定行為;當CA運行到需要訪問TEE中的TA時,CA讀取CA行為腳本,并將該CA行為腳本的內容傳遞給TEE訪問模塊;TEE訪問模塊對接收到的CA行為腳本進行解析,識別CA行為腳本的指定行為,并按照CA行為腳本的指定行為去訪問TEE中的TA。在上述技術方案的基礎上,所述CA行為腳本存儲在CA訪問的REE的存儲介質中,或者存儲在CA通過接口訪問的外部設備中,或者直接加載于CA內部。在上述技術方案的基礎上,所述TEE訪問模塊內置于CA中。在上述技術方案的基礎上,所述TEE訪問模塊獨立運行于CA外,并提供接口供CA調用。本專利技術還提供基于上述系統的訪問可信執行環境、可信應用的方法,包括以下步驟:S1、將事先開發好或修改好的客戶應用CA、可信應用TA分別部署到富執行環境REE、可信執行環境TEE中;S2、創建用于解析CA行為腳本、識別CA行為腳本的指定行為的TEE訪問模塊,并將TEE訪問模塊部署到REE中;S3、根據CA訪問TA的流程,編寫用于描述CA訪問需求、指定CA訪問行為的CA行為腳本,并將CA行為腳本存儲到CA訪問的介質;S4、在REE中啟動CA ;當CA運行到需要訪問TEE中的TA時,CA讀取CA行為腳本,并將該CA行為腳本的內容傳遞給TEE訪問模塊;TEE訪問模塊對接收到的CA行為腳本進行解析,識別CA行為腳本的指定行為,并按照CA行為腳本的指定行為去訪問TEE中的TA。在上述技術方案的基礎上,步驟S2中所述將TEE訪問模塊部署到REE中的具體過程為:將TEE訪問模塊內置于CA中;或TEE訪問模塊獨立運行于CA外,提供接口供CA調用。在上述技術方案的基礎上,步驟S3中所述將CA行為腳本存儲到CA訪問的介質的具體過程為:將CA行為腳本存儲到CA訪問的REE的存儲介質;或將CA行為腳本存儲到CA通過接口訪問的外部設備;或將CA行為腳本直接加載到CA內部。在上述技術方案的基礎上,所述CA行為腳本的內容包括CA調用TEE客戶端應用編程接口 API的順序、傳入的參數及參數的值。在上述技術方案的基礎上,所述CA行為腳本的語句包括注冊變量語句、變量賦值語句和調用TEE客戶端API語句。本專利技術的有益效果在于:(I)本專利技術通過編寫具有一定規則的CA行為腳本,利用一個TEE訪問模塊解析該CA行為腳本,并按照CA行為腳本所指定的行為去訪問TEE及TA,從而實現TEE及TA的靈活訪問。由于所編寫的CA行為腳本不依賴于CA的代碼,且易于編寫和修改,所以當應用場景發生改變或TA發生變更時,只需要修改CA行為腳本文件即可,而無需重新開發或修改CA,提高了 CA的通用性,實現了對TEE及TA的任意訪問,尤其適合對TEE及TA進行管理和測試。(2)本專利技術中,CA行為腳本可存儲于REE的存儲介質上、外部設備上或直接加載于CA內部;TEE訪問模塊可內置于CA中或獨立運行于CA外。CA行為腳本和TEE訪問模塊的設置靈活、方便,可根據不同移動終端設備特性進行選擇,適用范圍廣。【附圖說明】圖1是本專利技術實施例中訪問可信執行環境、可信應用的系統的結構框圖;圖2是本專利技術實施例中訪問可信執行環境、可信應用的方法的流程圖。【具體實施方式】下面結合附圖及具體實施例對本專利技術作進一步的詳細描述。參見圖1所示,本專利技術實施例提供一種訪問可信執行環境、可信應用的系統,包括平行運行于同一移動終端設備上的REE和TEE,REE包括CA、CA行為腳本、TEE訪問模塊和TEE客戶端API,TEE包括TEE內部API和若干可信應用TA。本實施例中,REE遵循GlobalPlatform TEE Client API (全球平臺國際標準組織可信執行環境客戶端應用編程接口)規范,TEE遵循GlobalPlatform TEE Internal API (全球平臺國際標準組織可信執行環境內部應用編程接口)規范,GlobalPlatform TEE Client API 規范、GlobalPlatformTEE Internal API規范均是本領域技術人員公知的行業規范。其中,所述CA行為腳本存儲在CA訪問的介質中,該介質可以是CA訪問的REE的存儲介質,也可以是CA通過一定接口訪問的外部設備,還可以是CA內部。CA行為腳本用于描述CA訪問需求、指定CA訪問行為,其內容包括CA調用TEE客戶端API的順序、傳入的參數及參數的值。并且,CA行為腳本的語句包含以下三種類型語句:1、注冊變量語句由于在程序執行時無法新增變量聲明,所以調用TEE客戶端API所需要的參數當前第1頁1 2 本文檔來自技高網...
【技術保護點】
一種訪問可信執行環境、可信應用的系統,包括富執行環境REE和可信執行環境TEE,所述REE包括客戶應用CA和TEE客戶端應用編程接口API,所述TEE包括TEE內部API和若干可信應用TA,其特征在于:所述REE還包括CA行為腳本和TEE訪問模塊,所述CA行為腳本用于描述CA訪問需求、指定CA訪問行為,CA行為腳本存儲在CA訪問的介質中;所述TEE訪問模塊用于解析CA行為腳本、識別CA行為腳本的指定行為;當CA運行到需要訪問TEE中的TA時,CA讀取CA行為腳本,并將該CA行為腳本的內容傳遞給TEE訪問模塊;TEE訪問模塊對接收到的CA行為腳本進行解析,識別CA行為腳本的指定行為,并按照CA行為腳本的指定行為去訪問TEE中的TA。
【技術特征摘要】
【專利技術屬性】
技術研發人員:李紀賽,樊永亮,方明偉,
申請(專利權)人:武漢天喻信息產業股份有限公司,
類型:發明
國別省市:湖北;42
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。