用于從綁定到設備上的應用的主密鑰獲取秘密的系統與方法技術方案

系統和方法能夠支持設備管理。受信任應用能夠部署在設備上的受信任執行環境中，其中受信任執行環境包括受信任操作系統(OS)并且受信任應用與標識符關聯。然后，系統能夠基于標識符和由受信任OS維護的主密鑰來獲取綁定到所述受信任應用的一個或更多個秘密。此外，秘密獲取能夠將用于受信任應用的二進制代碼/數據考慮在內。因此，系統能夠防止受信任執行環境中的另一個受信任應用使用相同標識符取回所述一個或更多個秘密。

【技術實現步驟摘要】
【國外來華專利技術】版權聲明本專利文檔的公開的部分包含受到版權保護的素材。版權所有人不反對任何人對本專利文檔或者本專利公開按照其在專利商標局的專利文件或記錄中所表現的那樣進行復制，但是在其它情況下無論如何都保留所有的版權。
本專利技術一般而言涉及計算機系統，并且具體地涉及設備管理和安全性。
技術介紹
在后個人計算機(PC)時代，企業經常允許員工攜帶各種移動設備(諸如智能電話、平板電腦和膝上型計算機)到他們的工作場所。員工能夠使用這些個人擁有的設備來存取特許的公司信息和應用。信息技術產業一直在演進，以使用安全芯片技術(例如，基于GlobalPlatform)來促進軟件應用的安全且可互操作的部署和管理。這是專利技術的實施例旨在應對的一般領域。
技術實現思路
本文描述的是能夠支持設備管理的系統和方法。受信任應用能夠部署在設備上的受信任執行環境(TEE)中，其中，受信任執行環境包括受信任操作系統(OS)和與標識符關聯的受信任應用。于是，系統能夠基于標識符和由受信任OS維護的主密鑰來獲取綁定到所述受信任應用的一個或更多個秘密。此外，秘密獲取能夠將用于受信任應用的二進制代碼/數據考慮在內。因此，系統能夠防止受信任執行環境中的另一個受信任應用使用相同的標識符取回所述一個或更多個秘密。根據本專利技術的實施例，提供了一種用于支持設備管理的系統，包括：受信任應用部署單元，被配置成在設備上的受信任執行環境中部署受信任應用，受信任應用與標識符關聯；和受信任操作系統(OS)，被配置成基于標識符獲取綁定到所述受信任應用的一個或更多個秘密，以及防止受信任執行環境中的另一個受信任應用使用相同的標識符取回所述一個或更多個秘密。根據本專利技術的實施例，受信任OS可以與多個受信任應用關聯，其中每一個受信任應用可以與唯一標識符關聯。根據本專利技術的實施例，所述一個或更多個秘密可以是綁定到設備的一個或更多個密鑰。根據本專利技術的實施例，系統還可以包括密鑰獲取單元，其中受信任OS可以操作為使用密鑰獲取單元獲取所述一個或更多個秘密。根據本專利技術的實施例，密鑰獲取單元可以基于與受信任應用關聯的二進制代碼/數據而操作。根據本專利技術的實施例，受信任OS可以操作為使用用于二進制代碼/數據的摘要作為密鑰獲取單元的參數。根據本專利技術的實施例，密鑰獲取單元可以基于由受信任OS維護的主密鑰而操作。根據本專利技術的實施例，所述受信任應用可以被儲存在由受信任執行環境管理的安全文件系統中。根據本專利技術的實施例，可以在設備中提供片上系統，其中片上系統可以支持受信任執行環境，并且提供保證受信任OS是能夠獲取片上系統上的秘密的唯一部件的信任根。根據本專利技術的實施例，提供了一種受信任執行環境，包括受信任應用和受信任操作系統(OS)。受信任應用可以與標識符關聯。受信任OS可以操作為基于標識符獲取綁定到所述受信任應用的一個或更多個秘密以及防止受信任執行環境中的另一個受信任應用使用相同的標識符取回所述一個或更多個秘密。根據本專利技術的實施例，受信任OS可以與多個受信任應用關聯，其中，每一個受信任應用可以與唯一標識符關聯。根據本專利技術的實施例，所述一個或更多個秘密可以是綁定到設備的一個或更多個密碼密鑰。根據本專利技術的實施例，受信任OS可以操作為使用密鑰獲取函數獲取所述一個或更多個秘密。根據本專利技術的實施例，密鑰獲取函數可以基于與受信任應用關聯的二進制代碼/數據。根據本專利技術的實施例，受信任OS可以操作為使用用于二進制代碼/數據的摘要作為密鑰獲取函數的參數。根據本專利技術的實施例，密鑰獲取函數可以基于由受信任OS維護的主密鑰。根據本專利技術的實施例，所述受信任應用可以被儲存在由受信任執行環境管理的安全文件系統中。根據本專利技術的實施例，提供了一種支持上述受信任執行環境的片上系統。根據本專利技術的實施例，片上系統可以提供信任根，該信任根保證受信任OS是能夠獲取片上系統上的秘密的唯一部件。附圖說明圖1示出設備上的示例性片上系統(SoC)架構的圖示。圖2示出在片上系統(SoC)架構中支持受信任執行環境(TEE)的圖示。圖3示出根據本專利技術的實施例在受信任執行環境(TEE)中支持秘密獲取的圖示。圖4示出根據本專利技術的實施例在受信任執行環境(TEE)中獲取綁定到受信任應用(TA)的秘密的圖示。圖5圖示出根據本專利技術的實施例在受信任執行環境(TEE)中獲取綁定到受信任應用(TA)的秘密的示例性流程圖。圖6示出根據本專利技術的實施例在受信任執行環境(TEE)中支持受信任應用(TA)更新機制的圖示。圖7示出根據本專利技術的實施例在受信任執行環境(TEE)中提供安全TA更新的圖示。圖8示出根據本專利技術的實施例在受信任執行環境(TEE)中更新受信任應用的圖示。圖9示出根據本專利技術的實施例在受信任執行環境(TEE)中進一步更新受信任應用的圖示。圖10圖示出根據本專利技術的實施例在受信任執行環境(TEE)中支持TA更新的示例性流程圖。圖11圖示出根據本專利技術的實施例的用于支持設備管理的示例性系統的簡化框圖。具體實施方式本專利技術以示例的方式而不是以限制的方式在附圖的圖中被圖示出，其中類似的引用指示相似的元件。應當注意的是，本公開中對“一”或者“一個”或者“一些”實施例的引用不一定是針對相同實施例，并且這樣的引用意指至少一個。本文所描述的是能夠支持設備管理的系統和方法。示例性設備架構根據實施例，本文所述的系統和方法能夠被實現為設備或者與設備一起使用，該設備諸如是移動設備(例如，智能電話)或者其他設備。根據各種實施例，設備可以基于片上系統(SoC)架構。本文提供的對本專利技術的實施例的描述通常使用ARM SoC架構作為SoC架構的一個示例。對本領域技術人員顯然的是，根據各種實施例，能夠使用其他類型的SoC架構，而沒有限制。根據實施例，包括硬件和軟件部件兩者的SoC架構能夠提供各種類型的功能硬件的片上集成，以便執行不同任務，諸如，電源管理、計算、音頻/視頻、圖形、全球定位系統(GPS)和無線電。SoC架構中的硬件部件可以包括各種模擬、數字和儲存部件。例如，根據實施例，模擬部件可以包括模擬到數字轉換器(ADC)與數控放大器(DCA)部件、鎖相環(PLL)部件、發射(Tx)/接收(Rx)部件和射頻(RF)部件。數字部件可以包括各種處理器、接口和加速器。儲存部件可以包括靜態隨機存取存儲器(SRAM)、動態隨機存取存儲器(DRAM)和非易失儲存部件，諸如閃存和只讀存儲器(ROM)。此外，SoC可以包含可編程硬件，諸如現場可編程門陣列(FPGA)、混合信號塊和傳感器。根據實施例，SoC架構可以包括片上和片外軟件部件兩者。例如，SoC架構中的軟件部件可以包括實時操作系統(RTOS)、設備驅動和軟件應用。此外，根據實施例，SoC架構能夠利用各種可移植/可重用部件和/或電路設計、嵌入式CPU、嵌入式存儲器和真實世界接口，諸如，通用串行總線(USB)、外圍部件互連(PCI)和以太網。圖1示出了根據實施例的設備上的示例性片上系統(SoC)架構的圖示。如圖1所示，用于設備100的SoC 101可以包括高性能片上總線100，其互連一個或更多個處理器102、片上隨機存取存儲器(RAM)103、直接存儲器存取(DMA)控制器104和一個或更多個外部存儲器接口105。根據實施例，SoC 101中的處理器102可以包括單核或多核中央處本文檔來自技高網...

【技術保護點】
一種用于支持設備管理的方法，包括：在設備上的受信任執行環境中部署受信任應用，其中，所述受信任執行環境包括受信任操作系統(OS)并且所述受信任應用與標識符關聯；基于所述標識符獲取綁定到所述受信任應用的一個或更多個秘密；防止所述受信任執行環境中的另一個受信任應用使用相同標識符取回所述一個或更多個秘密。

【技術特征摘要】
【國外來華專利技術】2014.03.20 US 14/220,9881.一種用于支持設備管理的方法，包括：在設備上的受信任執行環境中部署受信任應用，其中，所述受信任執行環境包括受信任操作系統(OS)并且所述受信任應用與標識符關聯；基于所述標識符獲取綁定到所述受信任應用的一個或更多個秘密；防止所述受信任執行環境中的另一個受信任應用使用相同標識符取回所述一個或更多個秘密。2.如權利要求1所述的方法，進一步包括：將多個受信任應用與所述受信任OS關聯，其中，每一個受信任應用與唯一標識符關聯。3.如權利要求1或2所述的方法，其中，所述一個或更多個秘密是綁定到所述設備的一個或更多個密碼密鑰。4.如任意在前權利要求所述的方法，還包括：使用密鑰獲取函數來獲取所述一個或更多個秘密。5.如權利要求4所述的方法，其中，所述密鑰獲取函數基于與所述受信任應用關聯的二進制代碼/數據。6.如權利要求5所述的方法，還包括：使用用于所述二進制代碼/數據的摘要作為所述密鑰獲取函數的參數。7.如權利要求4所述的方法，其中，所述密鑰獲取函數基于由所述受信任OS維護的主密鑰。8.如任意在前權利要求所述的方法，還包括：在由所述受信任執行環境管理的安全文件系統中儲存所述受信任應用。9.如任意在前權利要求所述的方法，還包括：在所述設備中提供片上系統，其中，所述片上系統支持所述受信任執行環境。10.如權利要求9所述的方法，還包括：提供信任根，所述信任根保證所述受信任OS是能夠獲取所述片上系統上的秘密的唯一部件。11.一種計算機程序，包括機器可讀形式的指令，其中，所述指令當由計算機系統執行時使得所述計算機系統執行如任意在前權利要求所述的方法。12.一種計算機程序產品，包括儲存在非瞬態計算機可讀介質上的如權利要求11所述的計算機程序。13.一種用于支持設備管理的系統，包括：一個或更多個微處理器；部署在設備上的受信任執行環境中的受信任應用，...

【專利技術屬性】
技術研發人員：N·蓬森尼，
申請(專利權)人：甲骨文國際公司，
類型：發明
國別省市：美國;US