CN109347629B - 基于共享安全应用的密钥传递方法及系统、存储介质、设备 - Google Patents

基于共享安全应用的密钥传递方法及系统、存储介质、设备 Download PDF

Info

Publication number
CN109347629B
CN109347629B CN201811187142.8A CN201811187142A CN109347629B CN 109347629 B CN109347629 B CN 109347629B CN 201811187142 A CN201811187142 A CN 201811187142A CN 109347629 B CN109347629 B CN 109347629B
Authority
CN
China
Prior art keywords
application
key
shared
mobile
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811187142.8A
Other languages
English (en)
Other versions
CN109347629A (zh
Inventor
孙曦
落红卫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Advanced New Technologies Co Ltd
Advantageous New Technologies Co Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201811187142.8A priority Critical patent/CN109347629B/zh
Publication of CN109347629A publication Critical patent/CN109347629A/zh
Priority to SG11202100274PA priority patent/SG11202100274PA/en
Priority to EP19870109.6A priority patent/EP3866383A4/en
Priority to PCT/CN2019/096852 priority patent/WO2020073711A1/zh
Priority to TW108126183A priority patent/TWI706660B/zh
Application granted granted Critical
Publication of CN109347629B publication Critical patent/CN109347629B/zh
Priority to US17/158,719 priority patent/US11101985B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Telephone Function (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本说明书一个或多个实施例提供基于共享安全应用的密钥传递方法,置于安全芯片中的共享安全应用存储有被多个移动应用调用的应用密钥,同时每个移动应用独立的专有应用密钥由共享安全应用提供安全隔离保护。本说明书一个或多个实施例还涉及基于共享安全应用的密钥传递系统、电子设备、存储介质。本说明书一个或多个实施例采用一种轻量级的基于安全芯片的安全运算解决方案,使不同应用方业务密钥安全下载到共享安全应用时可避免后台对接成本;本说明书一个或多个实施例特别针对需要通过安全芯片实现简单、通用的安全运算需求的移动应用。

Description

基于共享安全应用的密钥传递方法及系统、存储介质、设备
技术领域
本说明书一个或多个实施例涉及移动端密钥通信领域,尤其涉及基于共享安全应用的密钥传递方法及系统、存储介质、设备。
背景技术
随着移动智能终端功能的不断强大和处理性能的日益提高,安全芯片越来越多的为移动智能终端所集成,并应用于越来越多的具有较高安全性要求的业务场景。传统的使用安全芯片进行安全运算的移动应用的做法是每个移动应用需要在安全芯片中安装对应的独立安全应用,并由该独立的安全应用负责完成该移动应用的安全运算需求。
对于一些移动应用,特别是对于安全运算的需求较为统一,例如主要使用对应的业务密钥进行加解密操作或者签名操作时,如采用传统的分别安装对应的安全芯片,将耗费较高的开发成本和推广成本,需要提供更快速或者更可靠的方案,用于实现基于共享安全应用的密钥传递。
发明内容
本说明书一个或多个实施例正是基于上述技术问题至少之一,提出了基于共享安全应用的密钥传递方法及系统、电子设备、存储介质,采用一种轻量级的基于安全芯片的安全运算解决方案,使不同应用方业务密钥安全下载到共享安全应用时可避免后台对接成本;同时将通讯安全保护密钥和业务密钥相结合,在通过通讯安全保护密钥可以实现移动应用与共享安全应用之间的安全通讯的同时通过业务密钥实现业务层面上的流程处理。
为达到上述目的,本说明书一个或多个实施例提供基于共享安全应用的密钥传递方法,包括以下步骤:
S1、移动应用管理服务器生成应用于移动终端内执行环境中移动应用的应用密钥,所述应用密钥包括业务密钥,移动应用管理服务器将所述应用密钥下发至移动终端;
共享安全应用管理服务器接收所述应用密钥并将所述应用密钥下发至移动终端内安全芯片中的共享安全应用;
所述共享安全应用内存储若干移动应用的应用密钥,用于响应各自移动应用业务操作的调用。
优选地,所述应用密钥包括通讯安全保护密钥,移动应用管理服务器将所述通讯安全保护密钥下发至移动终端,移动终端内执行环境中的移动应用存储所述通讯安全保护密钥。
优选地,移动终端内执行环境中配置有共享安全应用代理,所述共享安全应用代理提供移动终端内移动应用与共享安全应用内对应应用密钥的接口,所述业务密钥通过共享安全应用管理服务器与移动终端内执行环境中的共享安全应用代理下发至移动终端内安全芯片中的共享安全应用。。
进一步地,应用密钥的生成具体包括以下子步骤:
S11、共享安全应用管理服务器将其公钥分发至若干移动应用管理服务器;
S12、若干移动应用管理服务器为若干对应的移动应用生成各自应用密钥,应用密钥包括通讯安全保护密钥和业务密钥;
S13、若干移动应用管理服务器使用共享安全应用管理服务器公钥对要写入共享安全应用的应用密钥进行加密,并下发至移动终端中对应的移动应用;
进一步地,应用密钥下发至移动终端内安全芯片中的共享安全应用具体包括以下步骤:
S15、若干移动应用调用移动终端中共享安全应用代理提供的对应接口,传入各自使用共享安全应用管理服务器公钥进行加密保护的应用密钥;
S16、共享安全应用代理将传入的加密后若干移动应用的应用密钥发送至共享安全应用管理服务器;
S17、共享安全应用管理服务器使用其私钥解密得到要写入共享安全应用的若干移动应用的应用密钥;
S18、共享安全应用管理服务器将若干移动应用的应用密钥下发至移动终端安全芯片的共享安全应用中;
进一步地,共享安全应用安全存储若干移动应用的应用密钥,不同移动应用的应用密钥相互隔离。
优选地,所述移动应用置于移动终端的富执行环境中和或者或可信执行环境中。
优选地,所述共享安全应用代理置于移动终端的富执行环境中和或者或可信执行环境中。
优选地,所述共享安全应用管理服务器公钥与私钥为非对称密钥对。
基于共享安全应用的密钥传递方法,包括以下步骤:
S2:移动终端内执行环境中移动应用通过移动终端内执行环境中共享安全应用代理提供的接口调用共享安全应用内对应的移动应用的通讯安全保护密钥先将业务数据进行解密,再使用业务密钥进行业务处理,并将业务处理结果返回至对应的移动应用中。
进一步地,所述步骤S2包括以下子步骤:
S21、移动应用发起业务操作请求,移动应用使用通讯保护密钥对需要使用业务密钥处理的业务数据进行加密;
S22、移动应用通过调用共享安全应用代理提供的接口发送加密后的所述业务数据至共享安全应用;
S23、共享安全应用使用对应的移动应用的通讯安全保护密钥将业务数据解密后,再使用业务密钥进行处理,并将处理结果返回至移动应用。
优选地,所述移动应用置于移动终端的富执行环境中和或者或可信执行环境中。
优选地,所述共享安全应用代理置于移动终端的富执行环境中和或者或可信执行环境中。
基于共享安全应用的密钥传递系统,包括内置于移动终端安全芯片中的共享安全应用、内置于移动终端执行环境中的若干移动应用与共享安全应用代理、移动应用管理服务器;所述移动应用管理服务器用于为若干对应的移动应用生成各自应用密钥,所述应用密钥包括业务密钥;
所述共享安全应用安全存储若干所述应用密钥,所述共享安全应用代理提供若干所述移动应用与所述共享安全应用内对应应用密钥的接口;
所述移动应用通过所述共享安全应用代理提供的接口调用共享安全应用内对应的所述业务密钥进行业务处理,并将业务处理结果返回至对应的所述移动应用中。基于共享安全应用的密钥传递系统提高移动终端业务产品的安全等级,如可在智能门锁业务、二维码防伪场景中应用。
优选地,所述应用密钥还包括通讯安全保护密钥,移动应用管理服务器将所述通讯安全保护密钥下发至移动终端,移动终端内执行环境中的移动应用存储所述通讯安全保护密钥。
优选地,基于共享安全应用的密钥传递系统还包括共享安全应用管理服务器,所述共享安全应用管理服务器用于将其公钥分发至若干所述移动应用管理服务器;若干所述移动应用管理服务器使用所述共享安全应用管理服务器的公钥对要写入共享安全应用的所述应用密钥进行加密,并下发至移动终端对应的所述移动应用中;若干所述移动应用调用所述共享安全应用代理提供的对应接口,传入各自使用所述共享安全应用管理服务器进行加密保护的应用密钥;所述共享安全应用代理将传入加密后的若干应用密钥发送至所述共享安全应用管理服务器;所述共享安全应用管理服务器使用所述共享安全应用管理服务器的私钥解密得到要写入所述共享安全应用的若干所述应用密钥;所述共享安全应用管理服务器将若干所述应用密钥下发至所述共享安全应用中;所述共享安全应用安全存储若干所述应用密钥,不同移动应用的所述应用密钥相互隔离。
优选地,所述移动应用发起业务操作请求,所述移动应用使用所述通讯保护密钥对需要使用所述业务密钥处理的业务数据进行加密;所述移动应用通过调用所述共享安全应用代理提供的接口发送加密后的所述业务数据至共享安全应用;所述共享安全应用使用对应的所述通讯安全保护密钥将所述业务数据解密后,再使用所述业务密钥对解密后的业务数据进行处理,并将处理结果返回至所述移动应用。
优选地,所述移动应用置于所述移动终端的富执行环境和或者或可信执行环境中。
优选地,所述共享安全应用代理置于所述移动终端的富执行环境和或者或可信执行环境中。
优选地,所述共享安全应用管理服务器的公钥与私钥为非对称密钥对,所述非对称密钥对的加密算法包括RSA、Elgamal、背包算法、Rabin、D-H、ECC 中的任一种。
一种电子设备,包括存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述基于共享安全应用的密钥传递方法。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述基于共享安全应用的密钥传递方法。
与现有技术相比,本说明书一个或多个实施例的优势在于:
本说明书一个或多个实施例提供基于共享安全应用的密钥传递方法,置于安全芯片中的共享安全应用存储有被多个移动应用调用的应用密钥,同时每个移动应用独立的专有应用密钥由共享安全应用提供安全隔离保护。本说明书一个或多个实施例还涉及基于共享安全应用的密钥传递系统、电子设备、存储介质。本说明书一个或多个实施例提供了一种新型的安全应用的解决方案架构,特别是面向具有共性安全运算需求的移动应用,采用一种轻量级的基于安全芯片的安全运算解决方案,使不同应用方业务密钥安全下载到共享安全应用时可避免后台对接成本;同时将通讯安全保护密钥和业务密钥相结合,在通过通讯安全保护密钥可以实现移动应用与共享安全应用之间的安全通讯的同时通过业务密钥实现业务层面上的流程处理,特别针对需要通过安全芯片实现简单、通用的安全运算需求的移动应用,实现无需独立开发应用软件开发包,并下载、安装、个人化到安全芯片中,极大降低移动应用使用安全芯片进行安全运算的成本。
上述说明仅是本说明书一个或多个实施例技术方案的概述,为了能够更清楚了解本说明书一个或多个实施例的技术手段,并可依照说明书的内容予以实施,以下以本说明书一个或多个实施例的较佳实施例并配合附图详细说明如后。本说明书一个或多个实施例的具体实施方式由以下实施例及其附图详细给出。
附图说明
下面结合附图和本说明书一个或多个实施例的实施方式作进一步详细说明。
图1为本说明书一个或多个实施例的基于共享安全应用的密钥传递方法流程图;
图2为本说明书一个或多个实施例的基于共享安全应用的密钥传递方法的步骤S1的子步骤流程图;
图3为本说明书一个或多个实施例的基于共享安全应用的密钥传递方法的步骤S2的子步骤流程图;
图4为本说明书一个或多个实施例基于共享安全应用的密钥传递系统示意图;
图5为本说明书基于共享安全应用的密钥传递系统在实施例1的示意图;
图6为本说明书基于共享安全应用的密钥传递系统在实施例2的示意图;
图7为本说明书基于共享安全应用的密钥传递系统在实施例3的示意图;
图8为本说明书基于共享安全应用的密钥传递系统在实施例4的示意图;
图9为本说明书基于共享安全应用的密钥传递系统在实施例5的示意图;
图10为本说明书基于共享安全应用的密钥传递系统在实施例6的示意图;
图11为本说明书基于共享安全应用的密钥传递系统在实施例7的示意图。
具体实施方式
为了使本说明书一个或多个实施例的目的、技术方案及优点更加清除明白,以下结合附图及实施例,对本说明书一个或多个实施例进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本说明书一个或多个实施例,并不用于限定本说明书一个或多个实施例。
基于共享安全应用的密钥传递方法,如图1所示,包括以下步骤:
S1、移动应用管理服务器生成应用于移动终端内执行环境中移动应用的应用密钥,所述应用密钥包括业务密钥,移动应用管理服务器将所述应用密钥下发至移动终端;共享安全应用管理服务器接收所述应用密钥并将所述应用密钥下发至移动终端内安全芯片中的共享安全应用;所述共享安全应用内存储若干移动应用的应用密钥,用于响应各自移动应用业务操作的调用。
在一实施例或多实施例中(图未示),业务密钥可通过移动应用管理服务器生成后直接下发回共享安全应用管理服务器中,并通过共享安全应用管理服务器下发至移动终端内安全芯片中的共享安全应用,若干移动应用的应用密钥存储于所述共享安全应用内,以供业务操作调用。相较于传统的安全应用认证,使不同第三方应用方业务密钥安全下载到共享安全应用时可避免后台(服务器端)对接成本,为具有共性安全运算需求的移动应用提供一种轻量级的基于安全芯片的安全运算解决方案。
在一实施例或多实施例中,所述应用密钥还包括通讯安全保护密钥,移动应用管理服务器将所述通讯安全保护密钥下发至移动终端,移动终端内执行环境中的移动应用存储所述通讯安全保护密钥。其中,通讯安全保护密钥用于保护移动应用通讯过程,使其不被窃取;业务密钥用于保护各移动应用发起业务请求后的业务下发与执行过程,使其不被窃取。
在一实施例或多实施例中,移动终端内执行环境中配置有共享安全应用代理,所述共享安全应用代理提供移动终端内移动应用与共享安全应用内对应应用密钥的接口,所述业务密钥通过共享安全应用管理服务器与移动终端内执行环境中的共享安全应用代理下发至移动终端内安全芯片中的共享安全应用。应当理解,步骤S1可独立存在,即在一实施例或多实施例中可被实施为应用密钥的下发配置阶段,已有的移动应用管理服务器生成对应的应用密钥,并将全部的应用密钥部署在共享安全应用内,其中,不同移动应用的应用密钥相互隔离存储于共享安全应用中,为后续响应移动应用的业务请求做准备;还应当理解,应用密钥包括通讯安全保护密钥和/或业务密钥,通讯安全保护密钥用于保护移动应用通讯过程,使其不被窃取;业务密钥用于保护各移动应用发起业务请求后的业务下发与执行过程,使其不被窃取;在一实施例或多实施例中,相较于传统的安全应用认证,使不同第三方应用方业务密钥安全下载到共享安全应用时可避免后台(服务器端)对接成本,为具有共性安全运算需求的移动应用提供一种轻量级的基于安全芯片的安全运算解决方案。
具体的,在一实施例或多实施例中,应用密钥仅包括通讯安全保护密钥时,应用密钥仅通过通讯安全保护密钥实现移动应用与共享安全应用之间的安全通讯;在一实施例或多实施例中,应用密钥仅包括业务密钥时,应用密钥仅通过业务密钥实现业务层面上的流程处理的保护;在一实施例或多实施例中,应用密钥包括通讯安全保护密钥和业务密钥时,应用密钥通过通讯安全保护密钥实现移动应用与共享安全应用之间的安全通讯,通过业务密钥实现业务层面上的流程处理的保护。
如图2所示,所述步骤S1包括以下子步骤:
S11、共享安全应用管理服务器将其公钥分发至若干移动应用管理服务器;
S12、若干移动应用管理服务器为若干对应的移动应用生成各自应用密钥,应用密钥包括通讯安全保护密钥和业务密钥;
S13、若干移动应用管理服务器使用共享安全应用管理服务器公钥对要写入共享安全应用的应用密钥进行加密,并下发至移动终端中对应的移动应用;
S14、若干移动应用存储各自的通讯安全保护密钥;
S15、若干移动应用调用移动终端中共享安全应用代理提供的对应接口,传入各自使用共享安全应用管理服务器公钥进行加密保护的应用密钥;
S16、共享安全应用代理将传入的加密后若干移动应用的应用密钥发送至共享安全应用管理服务器;
S17、共享安全应用管理服务器使用其私钥解密得到要写入共享安全应用的若干移动应用的应用密钥;
S18、共享安全应用管理服务器将若干移动应用的应用密钥下发至移动终端安全芯片的共享安全应用中;
S19、共享安全应用安全存储若干移动应用的应用密钥,不同移动应用的应用密钥相互隔离。
如图1所示,基于共享安全应用的密钥传递方法还包括步骤S2:移动终端内执行环境中移动应用通过移动终端内执行环境中共享安全应用代理提供的接口调用共享安全应用内对应的移动应用的通讯安全保护密钥先将业务数据进行解密,再使用业务密钥进行业务处理,并将业务处理结果返回至对应的移动应用中。应当理解,步骤S2在一个或多个实施例中实施成移动终端内共享安全应用响应移动应用业务请求,并应用共享安全应用中的应用密钥对业务请求进行处理。
如图3所示,所述步骤S2包括以下子步骤:
S21、移动应用发起业务操作请求,移动应用使用通讯保护密钥对需要使用业务密钥处理的业务数据进行加密;
S22、移动应用通过调用共享安全应用代理提供的接口发送加密后的所述业务数据至共享安全应用;
S23、共享安全应用使用对应的移动应用的通讯安全保护密钥将业务数据解密后,再使用业务密钥进行处理,并将处理结果返回至移动应用,用以完成后续的业务流程。
在一实施例或多实施例中,通讯安全保护密钥可被配置为对称密钥,例如采用加密算法包括但不限于DES、3DES、IDEA、FEAL、BLOWFISH中的任一种,将通讯安全保护密钥配置成对称密钥;在此应用场景下,共享安全应用中若干移动应用的通讯安全保护密钥可配置成同一密钥或不同密钥;同样的,所述通讯安全保护密钥也可被配置为非对称密钥,例如采用非对称密钥的加密算法包括但不限于RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种,将移动终端中的移动应用内的通讯安全保护密钥配置成公钥用于进行加密封装,共享安全应用中的通讯安全保护密钥配置成私钥用于进行解密,在此应用场景下,共享安全应用中若干移动应用的通讯安全保护密钥配置成不同密钥。
在一实施例或多实施例中,业务密钥可被配置为对称密钥,例如采用加密算法包括但不限于DES、3DES、IDEA、FEAL、BLOWFISH中的任一种,将业务配置成对称密钥;在此应用场景下,共享安全应用中若干移动应用的业务密钥可配置成同一密钥或不同密钥;同样的,所述业务密钥也可被配置为非对称密钥,例如采用非对称密钥的加密算法包括但不限于RSA、Elgamal、背包算法、Rabin、 D-H、ECC中的任一种,共享安全应用中的业务密钥配置成公钥用于进行处理封装,在此应用场景下,共享安全应用中若干移动应用的业务密钥配置成不同密钥。
基于共享安全应用的密钥传递系统,如图4所示,包括内置于移动终端安全芯片中的共享安全应用、内置于移动终端执行环境中的若干移动应用(如移动应用A、移动应用B)与共享安全应用代理、移动应用管理服务器(如移动应用A管理服务器、移动应用B管理服务器);所述移动应用管理服务器用于为若干对应的移动应用生成各自应用密钥,所述应用密钥包括通讯安全保护密钥和业务密钥,移动终端内执行环境中的移动应用存储所述通讯安全保护密钥,所述共享安全应用安全存储若干所述应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥),所述共享安全应用代理提供若干所述移动应用与所述共享安全应用内对应应用密钥的接口(如共享安全应用代理提供移动应用A与共享安全应用内移动应用A的应用密钥的接口、共享安全应用代理提供移动应用B 与共享安全应用内移动应用B的应用密钥的接口);所述移动应用通过所述共享安全应用代理提供的接口调用共享安全应用内对应的所述通讯安全保护密钥先将业务数据进行解密,再使用所述业务密钥进行业务处理,并将业务处理结果返回至对应的所述移动应用中,用以完成后续的业务流程。其中,安全芯片为能够提供一个更加安全的数据存储和运算环境,共享安全应用位于安全芯片中,能够允许移动应用下载其应用密钥(包括通讯安全保护密钥和业务密钥),并为该移动应用提供标准的安全运算功能;共享安全应用代理负责为移动应用提供访问接口,实现移动应用业务密钥在共享应用中的生命周期管理,如下载、安装、使用以及删除等操作。应当理解,在本实施中,应用秘钥仅包括业务秘钥时,应用于对通讯安全不做要求的场景中或者采用其他通讯安全保护机制进行保护。
优选地,如图4所示,基于共享安全应用的密钥传递系统还包括共享安全应用管理服务器,所述共享安全应用管理服务器用于将其公钥分发至若干所述移动应用管理服务器;若干所述移动应用管理服务器使用所述共享安全应用管理服务器的公钥对要写入共享安全应用的所述应用密钥进行加密,并下发至移动终端对应的所述移动应用中;若干所述移动应用调用所述共享安全应用代理提供的对应接口,传入各自使用所述共享安全应用管理服务器进行加密保护的应用密钥;所述共享安全应用代理将传入加密后的若干应用密钥发送至所述共享安全应用管理服务器;所述共享安全应用管理服务器使用所述共享安全应用管理服务器的私钥解密得到要写入所述共享安全应用的若干所述应用密钥;所述共享安全应用管理服务器将若干所述应用密钥下发至所述共享安全应用中;所述共享安全应用安全存储若干所述应用密钥,不同移动应用的所述应用密钥相互隔离。
优选地,所述移动应用发起业务操作请求,所述移动应用使用所述通讯保护密钥对需要使用所述业务密钥处理的业务数据进行加密;所述移动应用通过调用所述共享安全应用代理提供的接口发送加密后的所述业务数据至共享安全应用;所述共享安全应用使用对应的所述通讯安全保护密钥将所述业务数据解密后,再使用所述业务密钥对解密后的业务数据进行处理,并将处理结果返回至所述移动应用。
优选地,移动终端的执行环境为存在于移动设备中的软硬件集合,能够为应用程序在移动设备中的运行提供必要的能力支持,一般包括硬件处理单元、易失性存储单元、非易失性存储单元、操作系统、调用接口等组件,一般地,执行环境包括富执行环境、可信执行环境,其中,富执行环境为运行在移动设备中的开放执行环境,为运行其中的应用程序提供开放、丰富的运行能力支持,但安全保护能力相对较弱;可信执行环境为运行在移动设备中的隔离执行环境,相对于富执行环境,具备较强的安全能力,以确保运行其中的应用程序、敏感数据等在相对可信的环境中得到存储、处理和保护;所述移动应用置于移动终端的富执行环境中和或者或可信执行环境中;所述共享安全应用代理置于移动终端的富执行环境中和或者或可信执行环境中;在本实施例中,共享安全应用管理服务器密钥对(公钥与私钥)被配置成非对称密钥,例如采用非对称密钥的加密算法包括但不限于RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种,将享安全应用管理服务器密钥对配置成公钥与私钥用于进行加密或解密的封装。
下面结合图5-图11,通过实施例1-7来分别描述移动应用置于移动终端的富执行环境中和或者或可信执行环境中与共享安全应用代理置于移动终端的富执行环境中和或者或可信执行环境中的情况。应当理解,在实施例1-7中,应用密钥被配置成通讯安全保护密钥和业务密钥,应用密钥通过通讯安全保护密钥实现移动应用与共享安全应用之间的安全通讯,通过业务密钥实现业务层面上的流程处理的保护。
实施例1
如图5所示,共享安全应用管理服务器将其公钥分发至移动应用A管理服务器、移动应用B管理服务器;移动应用A管理服务器生成移动应用A的应用密钥、移动应用B管理服务器生成移动应用B的应用密钥,应用密钥包括通讯安全保护密钥和业务密钥;移动应用A管理服务器与移动应用B管理服务器分别使用共享安全应用管理服务器公钥对要写入共享安全应用的应用密钥进行加密,并下发至移动终端富执行环境中对应的移动应用(如移动应用A、移动应用 B)中;移动应用(如移动应用A、移动应用B)存储各自的通讯安全保护密钥;富执行环境中移动应用调用同在富执行环境中共享安全应用代理提供的对应接口,传入各自使用共享安全应用管理服务器进行加密保护的应用密钥;富执行环境中共享安全应用代理将传入的加密后移动应用的应用密钥(如移动应用A 的应用密钥、移动应用B的应用密钥)发送至共享安全应用管理服务器;共享安全应用管理服务器使用其私钥解密得到要写入共享安全应用的移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥);共享安全应用管理服务器将移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥)下发至移动终端安全芯片的共享安全应用中;共享安全应用安全存储移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥),移动应用A的应用密钥与移动应用B的应用密钥相互隔离存储,等待响应富执行环境中移动应用的业务请求。
富执行环境中移动应用A或移动应用B发起业务操作请求,移动应用A或移动应用B使用通讯保护密钥对需要使用业务密钥处理的业务数据进行加密;移动应用A或移动应用B通过调用富执行环境中共享安全应用代理提供的接口发送加密后的所述业务数据至共享安全应用;共享安全应用使用对应的移动应用的通讯安全保护密钥将业务数据解密后,再使用业务密钥进行处理,并将处理结果返回至富执行环境中移动应用A或移动应用B,用以完成富执行环境中移动应用A或移动应用B的业务流程。相较于传统的安全应用认证,使富执行环境中移动应用业务密钥安全下载到共享安全应用时可避免后台(服务器端)对接成本,为具有共性安全运算需求的富执行环境中移动应用提供一种轻量级的基于安全芯片的安全运算解决方案。
实施例2
如图6所示,共享安全应用管理服务器将其公钥分发至移动应用A管理服务器、移动应用B管理服务器;移动应用A管理服务器生成移动应用A的应用密钥、移动应用B管理服务器生成移动应用B的应用密钥,应用密钥包括通讯安全保护密钥和业务密钥;移动应用A管理服务器与移动应用B管理服务器分别使用共享安全应用管理服务器公钥对要写入共享安全应用的应用密钥进行加密,并下发至移动终端可信执行环境中对应的移动应用(如移动应用A、移动应用B)中;可信执行环境中移动应用(如移动应用A、移动应用B)存储各自的通讯安全保护密钥;可信执行环境中移动应用(如移动应用A、移动应用B)调用同在富执行环境中共享安全应用代理提供的对应接口,传入各自使用共享安全应用管理服务器进行加密保护的应用密钥;富执行环境中共享安全应用代理将传入的加密后移动应用的应用密钥(如移动应用A的应用密钥、移动应用B 的应用密钥)发送至共享安全应用管理服务器;共享安全应用管理服务器使用其私钥解密得到要写入共享安全应用的移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥);共享安全应用管理服务器将移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥)下发至移动终端安全芯片的共享安全应用中;共享安全应用安全存储移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥),移动应用A的应用密钥与移动应用B的应用密钥相互隔离存储,等待响应可信执行环境中移动应用的业务请求。
可信执行环境中移动应用A或移动应用B发起业务操作请求,移动应用A 或移动应用B使用通讯保护密钥对需要使用业务密钥处理的业务数据进行加密;移动应用A或移动应用B通过调用富执行环境中共享安全应用代理提供的接口发送加密后的所述业务数据至共享安全应用;共享安全应用使用对应的移动应用的通讯安全保护密钥将业务数据解密后,再使用业务密钥进行处理,并将处理结果返回至可信执行环境中移动应用A或移动应用B,用以完成可信执行环境中移动应用A或移动应用B的业务流程。相较于传统的安全应用认证,使可信执行环境中移动应用业务密钥安全下载到共享安全应用时可避免后台(服务器端)对接成本,为具有共性安全运算需求的可信执行环境中移动应用提供一种轻量级的基于安全芯片的安全运算解决方案。
实施例3
如图7所示,共享安全应用管理服务器将其公钥分发至移动应用A管理服务器、移动应用B管理服务器;移动应用A管理服务器生成移动应用A的应用密钥、移动应用B管理服务器生成移动应用B的应用密钥,应用密钥包括通讯安全保护密钥和业务密钥;移动应用A管理服务器与移动应用B管理服务器分别使用共享安全应用管理服务器公钥对要写入共享安全应用的应用密钥进行加密,并下发至移动终端可信执行环境中移动应用A、富执行环境中移动应用B中;可信执行环境中移动应用A、富执行环境中移动应用B存储各自的通讯安全保护密钥;可信执行环境中移动应用A、富执行环境中移动应用B分别调用在富执行环境中共享安全应用代理提供的对应接口,传入各自使用共享安全应用管理服务器进行加密保护的应用密钥;富执行环境中共享安全应用代理将传入的加密后移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥) 发送至共享安全应用管理服务器;共享安全应用管理服务器使用其私钥解密得到要写入共享安全应用的移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥);共享安全应用管理服务器将移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥)下发至移动终端安全芯片的共享安全应用中;共享安全应用安全存储移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥),移动应用A的应用密钥与移动应用B的应用密钥相互隔离存储,分别等待响应可信执行环境中移动应用的业务请求或富执行环境中移动应用的业务请求。其中,在本实施中移动应用A代表可信执行环境中的一类移动应用,移动应用B代表富执行环境中的一类移动应用。
可信执行环境中移动应用A或富执行环境中移动应用B发起业务操作请求,移动应用A或移动应用B使用通讯保护密钥对需要使用业务密钥处理的业务数据进行加密;移动应用A或移动应用B通过调用富执行环境中共享安全应用代理提供的接口发送加密后的所述业务数据至共享安全应用;共享安全应用使用对应的移动应用的通讯安全保护密钥将业务数据解密后,再使用业务密钥进行处理,并将处理结果返回至可信执行环境中移动应用A或富执行环境中移动应用B,用以完成可信执行环境中移动应用A或富执行环境中移动应用B的业务流程。相较于传统的安全应用认证,使可信执行环境中移动应用或富执行环境中的移动应用业务密钥安全下载到共享安全应用时可避免后台(服务器端)对接成本,为具有共性安全运算需求的可信执行环境中移动应用与富执行环境中的移动应用提供一种轻量级的基于安全芯片的安全运算解决方案。
实施例4
如图8所示,共享安全应用管理服务器将其公钥分发至移动应用A管理服务器、移动应用B管理服务器;移动应用A管理服务器生成移动应用A的应用密钥、移动应用B管理服务器生成移动应用B的应用密钥,应用密钥包括通讯安全保护密钥和业务密钥;移动应用A管理服务器与移动应用B管理服务器分别使用共享安全应用管理服务器公钥对要写入共享安全应用的应用密钥进行加密,并下发至移动终端可信执行环境中对应的移动应用(如移动应用A、移动应用B)中;移动应用(如移动应用A、移动应用B)存储各自的通讯安全保护密钥;可信执行环境中移动应用调用同在可信执行环境中共享安全应用代理提供的对应接口,传入各自使用共享安全应用管理服务器进行加密保护的应用密钥;可信执行环境中共享安全应用代理将传入的加密后移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥)发送至共享安全应用管理服务器;共享安全应用管理服务器使用其私钥解密得到要写入共享安全应用的移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥);共享安全应用管理服务器将移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥)下发至移动终端安全芯片的共享安全应用中;共享安全应用安全存储移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥),移动应用A的应用密钥与移动应用B的应用密钥相互隔离存储,等待响应可信执行环境中移动应用的业务请求。
可信执行环境中移动应用A或移动应用B发起业务操作请求,移动应用A 或移动应用B使用通讯保护密钥对需要使用业务密钥处理的业务数据进行加密;移动应用A或移动应用B通过调用可信执行环境中共享安全应用代理提供的接口发送加密后的所述业务数据至共享安全应用;共享安全应用使用对应的移动应用的通讯安全保护密钥将业务数据解密后,再使用业务密钥进行处理,并将处理结果返回至可信执行环境中移动应用A或移动应用B,用以完成可信执行环境中移动应用A或移动应用B的业务流程。相较于传统的安全应用认证,使可信执行环境中移动应用业务密钥安全下载到共享安全应用时可避免后台(服务器端)对接成本,为具有共性安全运算需求的可信执行环境中移动应用提供一种轻量级的基于安全芯片的安全运算解决方案。
实施例5
如图9所示,共享安全应用管理服务器将其公钥分发至移动应用A管理服务器、移动应用B管理服务器;移动应用A管理服务器生成移动应用A的应用密钥、移动应用B管理服务器生成移动应用B的应用密钥,应用密钥包括通讯安全保护密钥和业务密钥;移动应用A管理服务器与移动应用B管理服务器分别使用共享安全应用管理服务器公钥对要写入共享安全应用的应用密钥进行加密,并下发至移动终端富执行环境中对应的移动应用(如移动应用A、移动应用 B)中;富执行环境中移动应用(如移动应用A、移动应用B)存储各自的通讯安全保护密钥;富执行环境中移动应用(如移动应用A、移动应用B)调用在可信执行环境中共享安全应用代理提供的对应接口,传入各自使用共享安全应用管理服务器进行加密保护的应用密钥;可信执行环境中共享安全应用代理将传入的加密后移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥)发送至共享安全应用管理服务器;共享安全应用管理服务器使用其私钥解密得到要写入共享安全应用的移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥);共享安全应用管理服务器将移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥)下发至移动终端安全芯片的共享安全应用中;共享安全应用安全存储移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥),移动应用A的应用密钥与移动应用B的应用密钥相互隔离存储,等待响应富执行环境中移动应用的业务请求。
富执行环境中移动应用A或移动应用B发起业务操作请求,移动应用A或移动应用B使用通讯保护密钥对需要使用业务密钥处理的业务数据进行加密;移动应用A或移动应用B通过调用可信执行环境中共享安全应用代理提供的接口发送加密后的所述业务数据至共享安全应用;共享安全应用使用对应的移动应用的通讯安全保护密钥将业务数据解密后,再使用业务密钥进行处理,并将处理结果返回至富执行环境中移动应用A或移动应用B,用以完成富执行环境中移动应用A或移动应用B的业务流程。相较于传统的安全应用认证,使富执行环境中移动应用业务密钥安全下载到共享安全应用时可避免后台(服务器端) 对接成本,为具有共性安全运算需求的富执行环境中移动应用提供一种轻量级的基于安全芯片的安全运算解决方案。
实施例6
如图10所示,共享安全应用管理服务器将其公钥分发至移动应用A管理服务器、移动应用B管理服务器;移动应用A管理服务器生成移动应用A的应用密钥、移动应用B管理服务器生成移动应用B的应用密钥,应用密钥包括通讯安全保护密钥和业务密钥;移动应用A管理服务器与移动应用B管理服务器分别使用共享安全应用管理服务器公钥对要写入共享安全应用的应用密钥进行加密,并下发至移动终端富执行环境中移动应用A、可信执行环境中移动应用B中;富执行环境中移动应用A、可信执行环境中移动应用B存储各自的通讯安全保护密钥;富执行环境中移动应用A、可信执行环境中移动应用B分别调用在可信执行环境中共享安全应用代理提供的对应接口,传入各自使用共享安全应用管理服务器进行加密保护的应用密钥;可信执行环境中共享安全应用代理将传入的加密后移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥)发送至共享安全应用管理服务器;共享安全应用管理服务器使用其私钥解密得到要写入共享安全应用的移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥);共享安全应用管理服务器将移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥)下发至移动终端安全芯片的共享安全应用中;共享安全应用安全存储移动应用的应用密钥(如移动应用A 的应用密钥、移动应用B的应用密钥),移动应用A的应用密钥与移动应用B的应用密钥相互隔离存储,分别等待响应富执行环境中移动应用的业务请求或可信执行环境中移动应用的业务请求。其中,在本实施中移动应用A代表富执行环境中的一类移动应用,移动应用B代表可信执行环境中的一类移动应用。
富执行环境中移动应用A或可信执行环境中移动应用B发起业务操作请求,移动应用A或移动应用B使用通讯保护密钥对需要使用业务密钥处理的业务数据进行加密;移动应用A或移动应用B通过调用可信执行环境中共享安全应用代理提供的接口发送加密后的所述业务数据至共享安全应用;共享安全应用使用对应的移动应用的通讯安全保护密钥将业务数据解密后,再使用业务密钥进行处理,并将处理结果返回至富执行环境中移动应用A或可信执行环境中移动应用B,用以完成富执行环境中移动应用A或可信执行环境中移动应用B的业务流程。相较于传统的安全应用认证,使富执行环境中移动应用或可信执行环境中移动应用业务密钥安全下载到共享安全应用时可避免后台(服务器端)对接成本,为具有共性安全运算需求的富执行环境中移动应用或可信执行环境中移动应用提供一种轻量级的基于安全芯片的安全运算解决方案。
实施例7
如图11所示,共享安全应用管理服务器将其公钥分发至移动应用A管理服务器、移动应用B管理服务器;移动应用A管理服务器生成移动应用A的应用密钥、移动应用B管理服务器生成移动应用B的应用密钥,应用密钥包括通讯安全保护密钥和业务密钥;移动应用A管理服务器与移动应用B管理服务器分别使用共享安全应用管理服务器公钥对要写入共享安全应用的应用密钥进行加密,并下发至移动终端富执行环境中移动应用A、可信执行环境中移动应用B中;富执行环境中移动应用A、可信执行环境中移动应用B存储各自的通讯安全保护密钥;富执行环境中移动应用A调用在富执行环境中共享安全应用代理C提供的对应接口、可信执行环境中移动应用B调用在可信执行环境中共享安全应用代理D提供的对应接口,传入各自使用共享安全应用管理服务器进行加密保护的应用密钥;富执行环境中共享安全应用代理C、可信执行环境中共享安全应用代理D分别将传入的加密后移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥)发送至共享安全应用管理服务器;共享安全应用管理服务器使用其私钥解密得到要写入共享安全应用的移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥);共享安全应用管理服务器将移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥)下发至移动终端安全芯片的共享安全应用中;共享安全应用安全存储移动应用的应用密钥(如移动应用A的应用密钥、移动应用B的应用密钥),移动应用A的应用密钥与移动应用B的应用密钥相互隔离存储,分别等待响应富执行环境中移动应用A的业务请求或可信执行环境中移动应用B的业务请求。其中,在本实施中移动应用A代表富执行环境中的一类移动应用,移动应用B代表可信执行环境中的一类移动应用。
富执行环境中移动应用A或可信执行环境中移动应用B发起业务操作请求,移动应用A或移动应用B使用通讯保护密钥对需要使用业务密钥处理的业务数据进行加密;移动应用A通过调用富执行环境中共享安全应用代理C提供的接口发送加密后的所述业务数据至共享安全应用,移动应用B通过调用可信执行环境中共享安全应用代理D提供的接口发送加密后的所述业务数据至共享安全应用;共享安全应用使用对应的移动应用的通讯安全保护密钥将业务数据解密后,再使用业务密钥进行处理,并将处理结果返回至富执行环境中移动应用A 或可信执行环境中移动应用B,用以完成富执行环境中移动应用A或可信执行环境中移动应用B的业务流程。相较于传统的安全应用认证,使富执行环境中移动应用或可信执行环境中移动应用业务密钥通过各自的共享安全应用代理安全下载到共享安全应用时可避免后台(服务器端)对接成本,为具有共性安全运算需求的富执行环境中移动应用或可信执行环境中移动应用提供一种轻量级的基于安全芯片的安全运算解决方案。
一种电子设备,包括存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现上述基于共享安全应用的密钥传递方法。应当理解,电子设备可包括单独移动终端或移动终端与服务器端的组合。
一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述基于共享安全应用的密钥传递方法。应当理解,计算机程序存储于单独移动终端或移动终端与服务器端的组合。
本说明书一个或多个实施例提供基于共享安全应用的密钥传递方法,置于安全芯片中的共享安全应用存储有被多个移动应用调用的应用密钥,同时每个移动应用独立的专有应用密钥由共享安全应用提供安全隔离保护。本说明书一个或多个实施例还涉及基于共享安全应用的密钥传递系统、电子设备、存储介质。本说明书一个或多个实施例提供了一种新型的安全应用的解决方案架构,特别是面向具有共性安全运算需求的移动应用,本说明书一个或多个实施例采用一种轻量级的基于安全芯片的安全运算解决方案,使不同应用方业务密钥安全下载到共享安全应用时可避免后台对接成本;同时将通讯安全保护密钥和业务密钥相结合,在通过通讯安全保护密钥可以实现移动应用与共享安全应用之间的安全通讯的同时通过业务密钥实现业务层面上的流程处理,特别针对需要通过安全芯片实现简单、通用的安全运算需求的移动应用,实现无需独立开发应用软件开发包,并下载、安装、个人化到安全芯片中,极大降低移动应用使用安全芯片进行安全运算的成本。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、非易失性计算机存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书实施例提供的装置、电子设备、非易失性计算机存储介质与方法是对应的,因此,装置、电子设备、非易失性计算机存储介质也具有与对应方法类似的有益技术效果,由于上面已经对方法的有益技术效果进行了详细说明,因此,这里不再赘述对应装置、电子设备、非易失性计算机存储介质的有益技术效果。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA)) 就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而 HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL (Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书一个或多个实施例时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本说明书实施例可提供为方法、系统、或计算机程序产品。因此,本说明书实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本说明书实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和 /或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM) 和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD) 或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践说明书,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本说明书实施例而已,并不用于限制本说明书一个或多个实施例。对于本领域技术人员来说,本说明书一个或多个实施例可以有各种更改和变化。凡在本说明书一个或多个实施例的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书一个或多个实施例的权利要求范围之内。本说明书一个或多个实施例本说明书一个或多个实施例本说明书一个或多个实施例本说明书一个或多个实施例。

Claims (17)

1.基于共享安全应用的密钥传递方法,其特征在于包括以下步骤:
移动应用管理服务器生成应用于移动终端内执行环境中移动应用的应用密钥,所述应用密钥包括业务密钥,移动应用管理服务器将所述应用密钥下发至移动终端;
共享安全应用管理服务器接收所述应用密钥并将所述应用密钥下发至移动终端内安全芯片中的共享安全应用,其中,所述共享安全应用管理服务器接收所述应用密钥是由若干移动应用管理服务器使用共享安全应用管理服务器公钥对要写入共享安全应用的应用密钥进行加密,并下发至所述移动终端中对应的移动应用,进一步由共享安全应用代理将所述应用密钥发送至共享安全应用管理服务器的;
所述共享安全应用内存储若干移动应用的应用密钥,用于响应各自移动应用业务操作的调用。
2.如权利要求1所述的基于共享安全应用的密钥传递方法,其特征在于:所述应用密钥还包括通讯安全保护密钥,移动应用管理服务器将所述通讯安全保护密钥下发至移动终端,移动终端内执行环境中的移动应用存储所述通讯安全保护密钥。
3.如权利要求1所述的基于共享安全应用的密钥传递方法,其特征在于:移动终端内执行环境中配置有共享安全应用代理,所述共享安全应用代理提供移动终端内移动应用与共享安全应用内对应应用密钥的接口,所述业务密钥通过共享安全应用管理服务器与移动终端内执行环境中的共享安全应用代理下发至移动终端内安全芯片中的共享安全应用。
4.如权利要求1-3任一项所述的基于共享安全应用的密钥传递方法,其特征在于,应用密钥的生成具体包括以下步骤:
共享安全应用管理服务器将其公钥分发至若干移动应用管理服务器;
若干移动应用管理服务器为若干对应的移动应用生成各自应用密钥,应用密钥包括通讯安全保护密钥和业务密钥;
若干移动应用管理服务器使用共享安全应用管理服务器公钥对要写入共享安全应用的应用密钥进行加密,并下发至移动终端中对应的移动应用。
5.如权利要求3所述的基于共享安全应用的密钥传递方法,其特征在于,应用密钥下发至移动终端内安全芯片中的共享安全应用具体包括以下步骤:
若干移动应用调用移动终端中共享安全应用代理提供的对应接口,传入各自使用共享安全应用管理服务器公钥进行加密保护的应用密钥;
共享安全应用代理将传入的加密后的若干移动应用的应用密钥发送至共享安全应用管理服务器;
共享安全应用管理服务器使用其私钥解密得到要写入共享安全应用的若干移动应用的应用密钥;
共享安全应用管理服务器将若干移动应用的应用密钥下发至移动终端安全芯片的共享安全应用中。
6.如权利要求1-3任一项所述的基于共享安全应用的密钥传递方法,其特征在于:共享安全应用安全存储若干移动应用的应用密钥,不同移动应用的应用密钥相互隔离。
7.如权利要求4所述的基于共享安全应用的密钥传递方法,其特征在于:所述共享安全应用管理服务器公钥与私钥为非对称密钥对。
8.如权利要求1-3任一项所述的基于共享安全应用的密钥传递方法,其特征在于:所述移动应用置于移动终端的富执行环境中或可信执行环境中。
9.如权利要求3所述的基于共享安全应用的密钥传递方法,其特征在于:所述共享安全应用代理置于移动终端的富执行环境中或可信执行环境中。
10.一种电子设备,包括存储器,处理器,其中存储器上存储有可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1所述的方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1所述的方法。
12.基于共享安全应用的密钥传递系统,其特征在于:包括内置于移动终端安全芯片中的共享安全应用、内置于移动终端执行环境中的若干移动应用与共享安全应用代理、移动应用管理服务器和共享安全应用管理服务器;
所述移动应用管理服务器用于为若干对应的移动应用生成各自应用密钥,所述应用密钥包括业务密钥;
所述共享安全应用安全存储若干所述应用密钥,所述共享安全应用代理提供若干所述移动应用与所述共享安全应用内对应应用密钥的接口;
所述移动应用通过所述共享安全应用代理提供的接口调用共享安全应用内对应的所述业务密钥进行业务处理,并将业务处理结果返回至对应的所述移动应用中;
所述共享安全应用管理服务器用于将其公钥分发至若干所述移动应用管理服务器;
若干所述移动应用管理服务器使用所述共享安全应用管理服务器的公钥对要写入共享安全应用的所述应用密钥进行加密,并下发至移动终端对应的所述移动应用中;若干所述移动应用调用所述共享安全应用代理提供的对应接口,传入各自使用所述共享安全应用管理服务器公钥进行加密保护的应用密钥;所述共享安全应用代理将传入的加密后的若干应用密钥发送至所述共享安全应用管理服务器;所述共享安全应用管理服务器使用所述共享安全应用管理服务器的私钥解密得到要写入所述共享安全应用的若干所述应用密钥;所述共享安全应用管理服务器将若干所述应用密钥下发至所述共享安全应用中;所述共享安全应用安全存储若干所述应用密钥,不同移动应用的所述应用密钥相互隔离。
13.如权利要求12所述的基于共享安全应用的密钥传递系统,其特征在于:所述应用密钥还包括通讯安全保护密钥,移动应用管理服务器将所述通讯安全保护密钥下发至移动终端,移动终端内执行环境中的移动应用存储所述通讯安全保护密钥。
14.如权利要求13所述的基于共享安全应用的密钥传递系统,其特征在于:所述移动应用发起业务操作请求,所述移动应用使用所述通讯保护密钥对需要使用所述业务密钥处理的业务数据进行加密;所述移动应用通过调用所述共享安全应用代理提供的接口发送加密后的所述业务数据至共享安全应用;所述共享安全应用使用对应的所述通讯安全保护密钥将所述业务数据解密后,再使用所述业务密钥对解密后的业务数据进行处理,并将处理结果返回至所述移动应用。
15.如权利要求12-14任一项所述的基于共享安全应用的密钥传递系统,其特征在于:所述移动应用置于所述移动终端的富执行环境或可信执行环境中。
16.如权利要求12-14任一项所述的基于共享安全应用的密钥传递系统,其特征在于:所述共享安全应用代理置于所述移动终端的富执行环境或可信执行环境中。
17.如权利要求12所述的基于共享安全应用的密钥传递系统,其特征在于:所述共享安全应用管理服务器的公钥与私钥为非对称密钥对,所述非对称密钥对的加密算法包括RSA、Elgamal、背包算法、Rabin、D-H、ECC中的任一种。
CN201811187142.8A 2018-10-12 2018-10-12 基于共享安全应用的密钥传递方法及系统、存储介质、设备 Active CN109347629B (zh)

Priority Applications (6)

Application Number Priority Date Filing Date Title
CN201811187142.8A CN109347629B (zh) 2018-10-12 2018-10-12 基于共享安全应用的密钥传递方法及系统、存储介质、设备
SG11202100274PA SG11202100274PA (en) 2018-10-12 2019-07-19 Key transfer method and system based on shared security application, storage medium, and device thereof
EP19870109.6A EP3866383A4 (en) 2018-10-12 2019-07-19 KEY TRANSMISSION METHOD AND SYSTEM BASED ON A SHARED SECURITY APPLICATION, STORAGE MEDIA, AND DEVICE
PCT/CN2019/096852 WO2020073711A1 (zh) 2018-10-12 2019-07-19 基于共享安全应用的密钥传递方法及系统、存储介质、设备
TW108126183A TWI706660B (zh) 2018-10-12 2019-07-24 基於共享安全應用的密鑰傳遞方法及系統、儲存媒體、設備
US17/158,719 US11101985B2 (en) 2018-10-12 2021-01-26 Key transfer method and system based on shared security application, storage medium, and device thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811187142.8A CN109347629B (zh) 2018-10-12 2018-10-12 基于共享安全应用的密钥传递方法及系统、存储介质、设备

Publications (2)

Publication Number Publication Date
CN109347629A CN109347629A (zh) 2019-02-15
CN109347629B true CN109347629B (zh) 2020-10-16

Family

ID=65308874

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811187142.8A Active CN109347629B (zh) 2018-10-12 2018-10-12 基于共享安全应用的密钥传递方法及系统、存储介质、设备

Country Status (6)

Country Link
US (1) US11101985B2 (zh)
EP (1) EP3866383A4 (zh)
CN (1) CN109347629B (zh)
SG (1) SG11202100274PA (zh)
TW (1) TWI706660B (zh)
WO (1) WO2020073711A1 (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109347629B (zh) * 2018-10-12 2020-10-16 阿里巴巴集团控股有限公司 基于共享安全应用的密钥传递方法及系统、存储介质、设备
CN109450620B (zh) * 2018-10-12 2020-11-10 创新先进技术有限公司 一种移动终端中共享安全应用的方法及移动终端
CN110427274B (zh) * 2019-07-16 2020-07-17 阿里巴巴集团控股有限公司 Tee系统中的数据传输方法和装置
US11003785B2 (en) 2019-07-16 2021-05-11 Advanced New Technologies Co., Ltd. Data transmission method and apparatus in tee systems
CN110704137B (zh) * 2019-09-30 2022-02-11 郑州信大捷安信息技术股份有限公司 一种基于双系统的安全芯片调用系统及方法
CN111159742A (zh) * 2019-12-26 2020-05-15 Oppo广东移动通信有限公司 密钥管理方法、服务代理、终端设备、系统以及存储介质
CN114826676B (zh) * 2022-03-30 2022-11-25 深圳市天盈隆科技有限公司 一种网络安全数据共享与管控方法及系统
CN114584307B (zh) * 2022-05-07 2022-09-02 腾讯科技(深圳)有限公司 一种可信密钥管理方法、装置、电子设备和存储介质

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04143881A (ja) * 1990-10-05 1992-05-18 Toshiba Corp 相互認証方式
US7356697B2 (en) * 2003-06-20 2008-04-08 International Business Machines Corporation System and method for authentication to an application
JP4097623B2 (ja) * 2004-04-26 2008-06-11 システムニーズ株式会社 本人認証インフラストラクチャシステム
CN100375102C (zh) * 2004-11-30 2008-03-12 国际商业机器公司 非接触卡读卡器和信息处理系统
US20110219427A1 (en) * 2010-03-04 2011-09-08 RSSBus, Inc. Smart Device User Authentication
WO2014145039A1 (en) * 2013-03-15 2014-09-18 Oracle International Corporation Intra-computer protected communications between applications
CN104301102B (zh) * 2013-07-19 2019-03-15 中国移动通信集团北京有限公司 Widget通信方法、装置及系统
US9413759B2 (en) * 2013-11-27 2016-08-09 At&T Intellectual Property I, Lp Apparatus and method for secure delivery of data from a communication device
JP6223884B2 (ja) * 2014-03-19 2017-11-01 株式会社東芝 通信装置、通信方法およびプログラム
US9654463B2 (en) * 2014-05-20 2017-05-16 Airwatch Llc Application specific certificate management
US10205710B2 (en) * 2015-01-08 2019-02-12 Intertrust Technologies Corporation Cryptographic systems and methods
TWI543014B (zh) * 2015-01-20 2016-07-21 動信科技股份有限公司 快速佈署可信任執行環境應用的系統與方法
CN105488679B (zh) * 2015-11-23 2019-12-03 北京小米支付技术有限公司 基于生物识别技术的移动支付设备、方法和装置
CN106102054A (zh) * 2016-05-27 2016-11-09 深圳市雪球科技有限公司 一种对安全单元进行安全管理的方法以及通信系统
CN106326966A (zh) * 2016-08-09 2017-01-11 武汉天喻信息产业股份有限公司 一种基于多芯片卡安全认证的方法
US10447681B2 (en) * 2016-12-07 2019-10-15 Vmware, Inc. Secure asymmetric key application data sharing
EP3635912B1 (en) * 2017-05-31 2023-06-28 Crypto4A Technologies Inc. Integrated multi-level network appliance, platform and system, and remote management method and system therefor
US10686769B2 (en) * 2017-08-07 2020-06-16 Fortanix, Inc. Secure key caching client
CN108055129B (zh) * 2017-12-22 2019-08-27 恒宝股份有限公司 一种实现手机盾密钥统一管理的方法、设备及系统
CN109308406B (zh) * 2018-07-09 2021-10-22 中国银联股份有限公司 用户终端及可信应用管理系统
CN109347629B (zh) * 2018-10-12 2020-10-16 阿里巴巴集团控股有限公司 基于共享安全应用的密钥传递方法及系统、存储介质、设备
CN109450620B (zh) * 2018-10-12 2020-11-10 创新先进技术有限公司 一种移动终端中共享安全应用的方法及移动终端

Also Published As

Publication number Publication date
EP3866383A4 (en) 2022-06-22
EP3866383A1 (en) 2021-08-18
TWI706660B (zh) 2020-10-01
TW202015380A (zh) 2020-04-16
SG11202100274PA (en) 2021-02-25
US11101985B2 (en) 2021-08-24
CN109347629A (zh) 2019-02-15
US20210152339A1 (en) 2021-05-20
WO2020073711A1 (zh) 2020-04-16

Similar Documents

Publication Publication Date Title
CN109347629B (zh) 基于共享安全应用的密钥传递方法及系统、存储介质、设备
CN108932297B (zh) 一种数据查询、数据共享的方法、装置及设备
US9590963B2 (en) System and method for key management for issuer security domain using global platform specifications
CN110008735B (zh) 区块链中实现合约调用的方法及节点、存储介质
CN109886682B (zh) 区块链中实现合约调用的方法及节点、存储介质
CN112714117B (zh) 业务处理方法、装置、设备及系统
CN109840436A (zh) 数据处理方法、可信用户界面资源数据的应用方法及装置
TWI724473B (zh) 移動終端中共享安全應用的方法及移動終端
US20200104528A1 (en) Data processing method, device and system
CN111538995B (zh) 一种数据存储方法、装置及电子设备
CN113709696B (zh) 车辆远程控制方法及装置、密钥初始化方法及装置
CN113037764B (zh) 一种业务执行的系统、方法及装置
CN115544538A (zh) 一种数据传输方法、装置、设备及可读存储介质
CN108319872B (zh) 一种封闭容器生成方法、装置及设备
US20230388279A1 (en) Data processing methods, apparatuses, and devices
CN115859339A (zh) 一种云存储数据的加密和解密的方法、装置、介质及设备
CN118041548A (zh) 一种账户登录方法、装置、存储介质及电子设备
CN113986342A (zh) 数据处理方法、装置和电子设备
CN114510359A (zh) 一种基于标识解析的api调用方法、装置、设备及介质
CN115455447A (zh) 基于区块链的通信处理方法、装置及区块链系统
CN115733672A (zh) 数据处理方法、装置及设备
CN117955680A (zh) 数据处理方法及相关装置
CN113645209A (zh) 一种基于白盒的车机端软件加解密方法及装置
CN117014213A (zh) 基于区块链系统的证书存储方法、装置及节点
CN112561523A (zh) 区块链系统、方法、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20201010

Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Patentee after: Innovative advanced technology Co.,Ltd.

Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Patentee before: Advanced innovation technology Co.,Ltd.

Effective date of registration: 20201010

Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Patentee after: Advanced innovation technology Co.,Ltd.

Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands

Patentee before: Alibaba Group Holding Ltd.