CN106415564B - 移动计算装置、计算装置、用于配置可信执行环境的方法 - Google Patents
移动计算装置、计算装置、用于配置可信执行环境的方法 Download PDFInfo
- Publication number
- CN106415564B CN106415564B CN201480079567.0A CN201480079567A CN106415564B CN 106415564 B CN106415564 B CN 106415564B CN 201480079567 A CN201480079567 A CN 201480079567A CN 106415564 B CN106415564 B CN 106415564B
- Authority
- CN
- China
- Prior art keywords
- key
- computing device
- mobile computing
- key updating
- stored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 230000008859 change Effects 0.000 claims description 23
- 230000004044 response Effects 0.000 claims description 9
- 238000013475 authorization Methods 0.000 claims description 5
- 238000004891 communication Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 11
- 238000012545 processing Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 4
- 238000010168 coupling process Methods 0.000 description 4
- 238000005859 coupling reaction Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000027455 binding Effects 0.000 description 1
- 238000009739 binding Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 238000007430 reference method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Mathematical Physics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
移动计算装置、计算装置、用于配置可信执行环境的方法。提供了用于动态的可信执行环境(TEE)硬件配置的系统和方法。接收包括密钥更新信息的密钥更新消息,并且验证针对移动计算装置的TEE中所存储的密钥的该密钥更新消息。所存储的密钥可以限定对移动计算装置的硬件资源的访问。可以基于该密钥更新信息来改变针对TEE中所存储的密钥的硬件配置。
Description
技术领域
本发明的实施方式涉及电子装置和应用服务的安全。
背景技术
可信执行环境(TEE)为移动装置的处理器的安全部分,其确保了敏感数据在受保护且可信的环境中处理。TEE可以提供可信应用的安全执行和对数据、软件以及硬件资源的访问的端到端安全性。TEE是移动装置的安全架构的一部分。图1示出了具有富操作系统(富OS)或富执行环境(REE)102、TEE 104以及安全要素(SE)106的安全架构100。富OS102执行可从第三方获得的应用。SE 106包括用于近距离支付应用、电子签名以及PIN号码的高安全等级的软件和防篡改硬件。
TEE 104帮助控制访问权限并针对可能源于富OS102环境的软件攻击提供保护。例如,TEE 104提供用于高清晰度(HD)视频供应商的环境以保持它们的优质内容安全使得优质内容无法被复制或被共享。
然而,针对TEE 104中所存储的密钥可用的硬件资源的配置是静态的且是由制造商硬编码的。针对密钥的硬件资源的TEE使用的任何变化都要求TEE 104的全部软件被闪写(flashed)或改写。为了针对硬件资源的使用添加新使用情况或修改旧使用情况而改变所存储的密钥的配置是相当昂贵的。
发明内容
这里所述的各种实施方式提供更好地处理TEE硬件配置的密钥管理的重新设计。根据一些实施方式,一种移动计算装置可以包括:处理器;和存储器,该存储器耦接到处理器,并且包括在存储器中实现的计算机可读程序代码,当该计算机可读程序代码由处理器执行时使得处理器执行操作。该操作可以包括:从另一个计算装置接收包括密钥更新信息的密钥更新消息;以及验证针对存储在移动计算装置的可信执行环境(TEE)中的密钥的密钥更新消息。所存储的密钥可以限定配置,该配置由处理器使用以控制TEE中或来自TEE的对移动计算装置的资源的访问。该密钥更新信息可以识别移动计算装置的被授权以由TEE中的可信应用使用的硬件资源。操作还可以包括响应于肯定验证,基于密钥更新信息来改变针对TEE中所存储的密钥的配置。可以针对所存储的密钥来改变对硬件资源的访问。
根据一些实施方式,密钥更新信息可以为第一密钥更新信息,并且硬件资源可以为由所存储的密钥授权以由可信应用使用的第一硬件资源。密钥更新消息可以包括第二密钥更新信息,该第二密钥更新信息对应于移动电子装置的不同于第一硬件资源的由所存储的密钥授权以由可信应用使用的第二硬件资源。
根据一些实施方式,密钥更新信息可以包括密钥更新标志,并且操作可以包括基于密钥更新标志来更新配置以允许或拒绝对硬件资源的访问。
根据一些实施方式,密钥更新消息可以为由移动计算装置从另一个计算装置接收的空中(OTA)消息。该操作还可以包括基于响应于密钥更新信息对配置的改变来控制可信应用对硬件资源的访问。
根据一些实施方式,密钥更新消息可以为已加密密钥二进制大对象(密钥BLOB)。该操作还可以包括:使用TEE中所存储的密钥的私钥来解密已加密密钥BLOB;以及基于密钥更新信息更新限定TEE中的可信应用对硬件资源的访问的所存储的密钥的配置。可以使用密钥二进制大对象(密钥BLOB)来存储所存储的密钥。
根据一些实施方式,该操作可以包括:仅针对所存储的密钥来更新配置。所存储的密钥可以为TEE中的多个已经存储密钥中的一个。
根据一些实施方式,一种方法可以包括以下步骤:由移动计算装置从另一个计算装置接收包括密钥更新信息的密钥更新消息;以及验证针对存储在移动计算装置的可信执行环境(TEE)中的密钥的密钥更新消息。所存储的密钥可以限定配置,该配置由处理器使用以控制TEE中或来自TEE的对移动计算装置的硬件资源的访问。密钥更新信息可以识别移动计算装置的被授权以由TEE中的可信应用使用的硬件资源。该方法还可以包括以下步骤:响应于肯定验证,基于密钥更新信息改变针对TEE中所存储的密钥的配置。可以针对所存储的密钥来改变对硬件资源的访问。
根据一些实施方式,密钥更新信息可以为第一密钥更新信息,并且硬件资源可以为由所存储的密钥授权以由可信应用使用的第一硬件资源。密钥更新消息可以包括第二密钥更新信息,该第二密钥更新信息对应于移动电子装置的不同于第一硬件资源的由所存储的密钥授权以由可信应用使用的第二硬件资源。
根据一些实施方式,密钥更新信息可以包括密钥更新标志,并且方法可以包括基于密钥更新标志更新配置以允许或拒绝对硬件资源的访问。
根据一些实施方式,密钥更新消息可以为由移动计算装置从另一个计算装置接收的空中(OTA)消息。方法还可以包括基于响应于密钥更新信息对配置的改变来控制可信应用对硬件资源的访问。
根据一些实施方式,密钥更新消息可以为已加密密钥二进制大对象(密钥BLOB)。方法可以包括以下步骤:使用TEE中所存储的密钥的私钥来解密已加密密钥BLOB;以及基于密钥更新信息来更新限定TEE中的可信应用对硬件资源的访问的所存储的密钥的配置。可以使用密钥二进制大对象(密钥BLOB)来存储所存储的密钥。
根据一些实施方式,可以仅对于所存储的密钥更新配置。所存储的密钥可以为TEE中的多个已存储密钥中的一个。
根据一些实施方式,一种计算装置可以包括:处理器;和存储器,该存储器耦接到处理器,并且包括在存储器中实现的计算机可读程序代码,当该计算机可读程序代码由处理器执行时使得处理器执行操作。该操作可以包括:生成包括密钥更新信息的密钥更新消息,该密钥更新信息与在移动计算装置的可信执行环境(TEE)中存储的密钥对应。密钥更新信息可以由移动计算装置使用以重新配置TEE硬件配置,该TEE硬件配置由处理器使用以控制来自TEE的对移动计算装置的硬件资源的访问。操作还可以包括:加密针对所存储的密钥的密钥更新消息;以及向移动计算装置发送密钥更新消息。密钥更新信息可以识别移动计算装置的被授权以由TEE中的可信应用使用的硬件资源。
根据一些实施方式,密钥更新信息可以包括密钥更新标志以使得处理器基于密钥更新标志更新配置以允许或拒绝可信应用对硬件资源的访问。
根据一些实施方式,密钥更新消息为包括已加密密钥二进制大对象(密钥BLOB)的空中(OTA)消息,并且密钥更新消息向TEE发送且定址仅在TEE中所存储的密钥,该所存储的密钥为多个已存储密钥中的一个所存储的密钥。
根据本发明的实施方式的其他装置、方法和/或计算机程序产品将在查核以下附图和实现方式时对本领域一个技术人员清晰或变得清晰。预期所有这种另外的装置、方法和/或计算机程序产品包括在该说明书中、在本发明的范围内且可以由本发明来保护。而且,预期这里所公开的所有实施方式可以单独实施或以任何方式和/或组合来组合。
附图说明
被包括为提供本发明的进一步理解且并入并构成该申请的一部分的附图例示了本发明的特定实施方式。
[图1]图1例示了移动装置的安全架构。
[图2]图2是根据各种实施方式的计算装置的示意框图。
[图3]图3例示了根据各种实施方式的TEE硬件配置的更新。
[图4]图4是例示了根据各种实施方式的用于更新TEE硬件配置的处理的流程图。
[图5]图5是根据各种实施方式的更新消息的图。
[图6]图6是根据各种实施方式的与TEE的配置中的硬件资源对应的密钥更新标志的图。
[图7]图7是例示了根据各种实施方式的、用于更新TEE硬件配置的另一个处理的流程图。
具体实施方式
现在将参照示出本发明的实施方式的附图更完全地描述本发明。然而,本发明不应被解释为限于这里阐述的实施方式。相反,这些实施方式被提供为使得本公开将为彻底且完整的,并且将本发明的范围完全传达给本领域技术人员。同样的附图标记自始至终提及同样的元件。
如这里所用的,术语“包括”为开放式的,并且包括一个或更多个所陈述的特征、整数、元件、步骤、部件或功能,但不排除一个或更多个其他特征、整数、元件、步骤、部件、功能或其组的存在或添加。如这里所用的,术语“和/或”包括关联列出项中的一个或更多个的任意组合和全部组合。此外,如这里所用的,源于拉丁语短语“exempli gratia”的常见缩写“例如(e.g.)”可以用于引入或指定之前提及项的一般示例,并且不旨在限制这种项。如果这里使用,则源于拉丁语短语“id est”的常见缩写“即(i.e.)”可以用于指定来自更一般详述的特定项。
这里所用的术语仅用于描述特定实施方式的目的且不旨在限制本发明。如这里所用的,单数形式“一个”也旨在包括复数形式,除非上下文另外清楚指示。
除非另外定义,这里所用的所有术语(包括科技术语)具有与本发明属于的领域中的普通技术人员通常理解的意义相同的意义。还将理解,术语(诸如通常使用的字典中定义的术语)应被解释为具有与它们在本公开和相关领域的语境中的意义一致的意义,并且不将在理想化或过于正式的意义上解释,除非这里明确这样定义。
将理解,当元件被称为“耦接”或“连接”到另一个元件时,该元件可以直接耦接或连接到另一个元件,或者介入元件也可以存在。相反,当元件被称为“直接耦接”或“直接连接”到另一个元件时,没有介入元件存在。此外,如这里所用的“耦接”或“连接”可以包括无线耦接或连接。
这里所述的实施方式提供更好地处理用于TEE中所存储的密钥的硬件配置变化的TEE密钥管理的重新设计。这种密钥可以使用密钥绑定。移动装置的TEE可以被配置为使得它可以基于在密钥更新消息中接收的密钥更新信息来改变针对TEE中所存储的密钥的硬件配置。这种消息可以包括例如针对TEE硬件的已签名配置的空中(OTA)消息。密钥更新信息可以包括一个或更多个密钥更新标志,该一个或更多个密钥更新标志与在TEE中或由TEE使得可用的硬件资源对应。
密钥二进制大对象(密钥BLOB)可以安装在移动装置上,以限定针对在移动装置的TEE中所存储的密钥的硬件使用。密钥BLOB可以通常包括已加密密钥、公用数据以及基于哈希的消息验证码(HMAC)。已加密密钥可以为利用仅在TEE中可用的密钥加密的私钥。公用数据可以包括数字证书。HMAC可以用于具有仅在TEE中可用的密钥的整个(或几乎整个)密钥BLOB。
根据一些实施方式,安装在电话上的已签名密钥BLOB可以被扩展为针对TEE硬件使用而可配置。密钥BLOB可以附加地包括TEE配置,该TEE配置限定针对所存储的密钥,应如何配置TEE硬件。例如,HD内容供应商采用数字版权管理(DRM)来使他们的内容免于被装置自由分发。在这种情况下,移动装置可以包括仅可以由特定TEE应用访问的私钥。该私钥无法被输出到TEE外部,并且用该私钥加密的数据可以被传递到TEE中的安全视频输出路径。这使视频内容免于被从装置中的视频路径窃取。然而,如果内容所有方可能作为合同变化或许可交易的结果而希望针对给定密钥改变对硬件资源的使用,内容所有方可以利用到移动装置的TEE的密钥更新消息来改变针对密钥的硬件配置。该密钥更新消息可以为OTA消息或可以被包括在OTA消息中。
根据一些实施方式,密钥更新消息可以改变在移动装置的TEE中所存储的密钥的TEE硬件配置,因为移动装置的TEE现在可以被配置为允许这种安全变化。例如,图2是根据各种实施方式的包括用于管理TEE硬件配置的软件和/或硬件在内的计算装置的示意框图。计算装置200可以为移动计算装置或移动通信终端,但不限于这种装置。装置200可以与蜂窝网络、广域网、无线局域网、互联网或使用通信协议的其他装置通信。例如,通信协议可以包括IEEE 802.11a、802.11b、802.11g、802.11n、802.11ac和/或其他无线局域网协议。
在一些实施方式中,装置200包括各种部件,诸如用于借助有线或无线网络连接到互联网或其他装置的通信接口216。通信接口216还可以包括天线系统214和蜂窝和/或Wi-Fi收发器212(例如,多频带收发器)。装置200可以包括处理器210、存储器220以及多个硬件资源,诸如显示器260、视频输出270(例如,HDMI端口)、摄像头280和/或传感器290。一些实施方式提供了显示器260可以包括触敏显示器或屏幕等。
存储器220存储可以由处理器210执行的软件,并且可以包括一个或更多个可擦可编程只读存储器(EPROM或闪速EPROM)、电池支持的随机存取存储器(RAM)、磁、光或其他数字存储装置,并且可以与处理器210分离或至少部分在处理器210内。处理器210可以包括可以装入普通包装中或彼此分离隔开的多于一个处理器,诸如,例如,通用处理器和数字信号处理器。具体地,处理器210可以被配置为控制装置200的各种功能,包括从触敏屏或其他传感器接收输入。
装置200可以使用射频信号与网络的基站通信,射频信号可以借助天线系统214来传达。例如,装置200可以被配置为除了别的之外使用一个或更多个蜂窝通信协议(诸如,例如,高级移动电话服务(AMPS)、ANSI-136、全球移动通信(GSM)标准、通用分组无线业务(GPRS)、增强数据率的GSM演进(EDGE)、码分多址(CDMA)、宽带CDMA、CDMA2000和/或通用移动通信系统(UMTS))经由蜂窝收发器212来通信。如这里所用的通信协议可以指定用于建立和/或维持通信连接的所传达信息、时刻、频率、调制和/或操作。在一些实施方式中,天线系统346可以为单个天线。
要理解,本发明不限于图2所示的特定配置,但旨在包含能够进行这里所述操作的任何配置。虽然用例示的方式在特定块中示出了特定功能,但可以组合、划分和/或取消不同块和/或其部分的功能。而且,硬件/软件架构的功能根据本发明的各种实施方式可以被实施为单个处理器系统或多处理器系统。
本发明的实施方式可以包括方法、电子装置和/或计算机程序产品。本发明的一些实施方式参照方法和电子装置的框图和/或操作图来描述。在这一点上,各块可以表示包括用于实施指定逻辑功能的一个或更多个可执行指令的模块、片段或代码的一部分。要理解,框图和/或操作图的各块以及框图和/或操作图中块的组合可以在模拟电路和/或数字电路上实现。这些程序指令可以被提供给控制器电路,该控制器电路可以包括一个或更多个通用处理器、专用处理器、ASIC和/或其他可编程数据处理设备,使得经由控制器执行的指令产生用于实施框图和/或操作块中指定的功能/动作的装置。在一些另选实施方案中,块中所注释的功能/动作可以发生在操作图中注释的顺序之外。例如,连续示出的两个块事实上可以大致同时执行,或者块有时可以以相反顺序来执行,这取决于所涉及的功能/动作。
这些计算机程序指令还可以存储在可以引导控制器电路以特定方式起作用的计算机可用或计算机可读存储器中,使得存储在计算机可用或计算机可读存储器中的指令产生包括指令的制品,该指令实施在流程图和/或框图块中指定的功能。计算机可用或计算机可读介质例如可以为但不限于电子、磁、光、电磁或半导体系统、设备或装置。计算机可读介质的更多具体示例(非详尽列表)包括以下内容:硬盘装置、光存储装置、磁存储装置、随机存取存储器(RAM)装置、只读存储器(ROM)装置、可擦可编程只读存储器(EPROM或闪速存储器)装置以及光盘只读存储器(CD-ROM)。
图2示出了可以为装置200的安全架构的一部分的TEE 230。TEE 230可以用于处理敏感数据的存储和可信应用的执行。TEE 230基于由TEE配置管理器240存储和/或管理的TEE配置向可信应用提供对数据和硬件资源的访问。图2用于说明性目的,并且在一些实施方式中,TEE配置管理器240可以位于TEE 230中。TEE 230和TEE配置管理器240可以位于处理器210或另一个处理器或芯片集中。TEE 230可以通过硬件与操作系统分开。
TEE 230可以存储提供对资源的访问的密钥,并且可以用于验证可信应用的操作或旨在针对可信应用的消息。这种消息可以从云服务器接收。例如,图3示出了密钥更新消息,该密钥更新消息为从密钥更新服务器320到移动计算装置200的空中(OTA)消息302或被包括在该消息中。
根据一些实施方式,将参照图4中的流程图400和图7中的流程图700描述图3、图5以及图6。图4可以表示从移动计算装置(诸如装置200)的角度进行的操作,而图7可以表示从密钥更新服务器320的角度进行的操作。在一些实施方式中,密钥更新服务器320可以包括存储器、处理器以及通信接口,诸如由图2中的装置200的存储器220、处理器210以及通信接口216示出。密钥更新服务器320可以为在云中的服务器或应用服务器或基于云的服务的服务器。
在块702处,生成密钥更新消息。该密钥更新消息可以包括与装置200的TEE 230中存储的密钥对应的密钥更新信息,诸如密钥更新标志。密钥更新信息由装置200使用以重新配置或改变配置,该配置由处理器使用以控制来自TEE 230或在TEE 230中的对装置200的硬件资源的访问。配置可以包括可信应用标识符、硬件资源标识符以及针对可信应用允许还是拒绝硬件资源。可以存在用于打开或关闭特定硬件能力的超过一个密钥更新标志。标志的组合可以提供具体配置或能力。标志和硬件资源配置的特定配置资料(profile)可以由密钥更新服务器320来存储。这些配置资料可以使存储在装置200的TEE 230中的对应配置资料帮助装置200的TEE 230中的密钥的动态配置。在该示例中使用了标志,但可以使用其他类型的信息,诸如代码、编号、字符串或其他缩写形式的信息。
对针对装置200上的所存储的密钥的密钥更新消息加密(块704)。该加密可以涉及仅在特定移动装置的TEE中可用的私钥。然后向装置200发送密钥更新消息(块706)。从密钥更新服务器320向装置200传递密钥更新消息可以包括用于由装置200进行的对密钥更新消息的加密、解密以及验证的已知安全措施。密钥更新消息可以被发送给装置200的TEE 230。在一些情况下,密钥更新消息可以被定址到仅所存储的密钥,并且该所存储的密钥可以为多个已存储密钥中的一个。
图5示出了根据一些实施方式的示例密钥更新消息。在该示例中,密钥更新消息为OTA消息510。OTA消息510包括密钥标志、标志512以及标志514。这些密钥更新标志对应于装置200的TEE 230中的硬件资源。例如,图6是根据各种实施方式的与TEE的配置中的硬件资源对应的密钥更新标志的图。在图6中,标志1512对应于硬件资源602,并且标志2对应于硬件资源2604。
在图4的块402处,从计算装置(诸如密钥更新服务器320)接收密钥更新消息。在块404处,验证针对移动计算装置(诸如装置200)的TEE 230中所存储的密钥的密钥更新消息。所存储的密钥限定用于来自TEE 230或TEE 230中的对装置200的硬件资源的访问的配置。
根据一些实施方式,使用TEE 230中所存储的密钥的私钥可以对已加密密钥BLOB解密。然后基于密钥更新信息可以更新所存储的密钥的配置,该配置限定处理器可以如何控制TEE 230中的可信应用对硬件资源的访问。
在对密钥更新消息的肯定验证后,基于密钥更新标志来改变或重新配置TEE硬件配置(块406)。肯定验证可以包括已签名公用和/或私有证书的成功匹配或使用安全地验证消息的一般方法进行的任何其他成功认证。TEE硬件配置可以包括允许或拒绝对特定资源的访问。对硬件资源的访问针对所存储的密钥来改变。通过在所存储的密钥和TEE配置管理器240中添加TEE配置来使得这一点可能,该TEE配置管理器240操作以响应于密钥更新消息或密钥更新信息中的指令来改变所存储的密钥的TEE配置,该密钥更新消息或密钥更新信息可以包括密钥更新标志。
根据一些实施方式,仅更新该所存储的密钥,并且不更新或不改变其他所存储的密钥。密钥更新消息可以仅被引导向TEE 230中的单个可信应用或TEE 230中的可信应用的子集。仅对单个硬件资源或硬件资源的子集的访问可以改变。在一些情况下,TEE 230中的可信应用可以具有多个已存储密钥,并且针对TEE 230中的可信应用的这些所存储的密钥中的仅一个或全部可以进行基于密钥更新消息的配置改变。
在示例中,HD内容可以需要从内容源到视频显示器的在TEE中的安全视频路径。用于针对这种HD内容的密钥的TEE硬件配置可以允许对显示器(诸如显示器260)的访问,但拒绝对视频输出270或任何其他应用的访问。然而,由于内容所有方与另一方之间达成的协议,HD视频内容现在应被提供给提供了私钥的、安装在装置200上的另一个应用。当前,该另一个应用即使具有私钥也无法接收HD视频内容,因为TEE 230中所存储的密钥的TEE硬件配置不允许。密钥更新消息可以被发送给TEE 230,以改变针对该私钥的硬件配置,以允许向可以利用私钥验证的特定应用输出该HD视频内容。这允许内容所有方针对已有移动装置所有方来改变它们的安全硬件能力,而不是仅针对新购买移动装置的所有方。
在另一个示例中,SD内容可以具有仅由装置200上的特定TEE应用访问的私钥,并且该私钥无法被输出到TEE 230外部。利用该私钥加密的SD内容可以被允许传递到安全空间之外的正常操作系统上。拒绝对视频输出270的访问。然而,由于许可改变,应使得对视频输出270的访问可用。可以向装置200发送密钥更新消息。装置200的TEE 230的TEE配置管理器240接收该密钥更新消息并识别密钥更新信息中的密钥更新标志。基于密钥更新消息的密钥更新标志,TEE配置管理器240改变与该密钥更新消息对应的所存储的密钥的TEE硬件配置,使得针对TEE 230中所存储的密钥,对视频输出270的访问可用。
虽然在特定示例中引用了硬件配置改变,但可以对与所存储的密钥相关的TEE软件进行改变。在另外的示例中,应用验证标识符可以被TEE 230中的应用或源于TEE 230的应用使用。应用验证标识符可以包括仅可以由特定TEE应用访问的私钥。然而,可以使用密钥更新消息来改变TEE 230中所存储的密钥的软件配置,使得可以将该私钥输出到TEE 230之外。
在一些实施方式中,其他配置示例可以包括启用、停用或控制用于与应用或硬件通信而提供的服务质量(QoS)。
根据一些实施方式,TEE的密钥BLOB可以为OTA,其被更新使得不需要每次在假设所存储TEE密钥的使用情况改变时向移动装置推送新软件。因为是收费内容或DRM受保护内容的所有方可能希望进行针对收费内容的安全硬件改变,所以提供独立于移动装置制造商和移动装置软件更新团队的这种灵活性可以是更有用的。虽然移动装置制造商确保了移动装置上所有应用的安全,但可以给予内容所有方改变如何保护其的内容的机会。
这里已经公开了许多不同的实施方式,并且不同的应用/变体将对具有本公开知识的技术人员清晰。在附图和规范中,已经公开了本发明的典型实施方式,并且虽然采用具体术语,但术语仅在一般描述意义上使用且不是为了限制的目的。将理解,逐字描述并例示这些实施方式的每一个组合和子组合将是过度重复且模糊的。因此,包括附图的本规范应被解释为构成这里所述的本发明的实施方式、以及进行并使用实施方式的方式和处理的所有组合和子组合的完整书面描述。
在说明书中,已经公开了本发明的实施方式,并且虽然采用具体术语,但术语仅在一般描述意义上使用且不是为了限制的目的。
Claims (20)
1.一种移动计算装置,该移动计算装置包括:
处理器;和
存储器,该存储器耦接到所述处理器,并且存储计算机可读程序代码,当该计算机可读程序代码由所述处理器执行时使得所述处理器执行操作,所述操作包括:
从另一个计算装置接收针对在所述移动计算装置的可信执行环境中存储的密钥的包括密钥更新信息的密钥更新消息,其中,所述处理器使用由所述可信执行环境中存储的密钥限定的配置来控制所述可信执行环境中的可信应用是否被允许访问所述移动计算装置的资源;
验证针对在所述移动计算装置的所述可信执行环境中存储的密钥的所述密钥更新消息;以及
响应于对所述密钥更新消息的肯定验证,基于所述密钥更新信息来改变由所述可信执行环境中存储的密钥限定的所述配置,其中,响应于所述密钥更新信息而对所述配置进行的改变改变所述处理器许可所述可信应用访问所述移动计算装置的资源中的哪些资源。
2.根据权利要求1所述的移动计算装置,其中,所述密钥更新信息识别所述移动计算装置的被授权以由所述可信执行环境中的所述可信应用使用的资源。
3.根据权利要求2所述的移动计算装置,其中,所述密钥更新信息为第一密钥更新信息,并且所述资源为由所述可信执行环境中存储的密钥授权以由所述可信应用使用的第一硬件资源,并且其中,所述密钥更新消息包括第二密钥更新信息,该第二密钥更新信息对应于所述移动计算装置的不同于所述第一硬件资源的由所述可信执行环境中存储的密钥授权以由所述可信应用使用的第二硬件资源。
4.根据权利要求2所述的移动计算装置,其中,所述密钥更新消息为由所述移动计算装置从所述另一个计算装置接收的空中OTA消息,并且其中,所述操作还包括基于响应于所述密钥更新信息对所述配置的所述改变来控制所述可信应用是否被许可对所述资源的访问。
5.根据权利要求2所述的移动计算装置,
其中,所述密钥更新消息包括已加密密钥二进制大对象,其中,所述操作还包括使用所述可信执行环境中存储的密钥的私钥来解密所述已加密密钥二进制大对象;以及
其中,改变由所述可信执行环境中存储的密钥限定的配置包括基于所述密钥更新信息来更新由所述处理器使用以控制所述可信执行环境中的所述可信应用是否被许可对所述资源的访问的所述配置。
6.根据权利要求5所述的移动计算装置,其中,所述密钥更新信息包括密钥更新标志,并且其中,更新由所述可信执行环境中存储的密钥限定的所述配置包括基于所述密钥更新标志来更新所述配置以允许或拒绝对所述资源的访问。
7.根据权利要求5所述的移动计算装置,其中,更新由所述可信执行环境中存储的密钥限定的所述配置包括将密钥二进制大对象存储在所述可信执行环境中。
8.根据权利要求5所述的移动计算装置,其中,更新所述配置包括仅针对所存储的密钥来更新所述配置,并且其中,所存储的密钥为所述可信执行环境中的多个已存储密钥中的一个。
9.一种用于配置可信执行环境的方法,该方法包括以下步骤:
由移动计算装置从另一个计算装置接收针对在所述移动计算装置的可信执行环境中存储的密钥的包括密钥更新信息的密钥更新消息,其中,所述移动计算装置的处理器使用由所述移动计算装置的所述可信执行环境中存储的密钥限定的配置来控制所述可信执行环境中的可信应用是否被允许访问所述移动计算装置的资源;
验证针对存储在所述移动计算装置的可信执行环境中的密钥的所述密钥更新消息;以及
响应于对所述密钥验证消息的肯定验证,基于所述密钥更新信息改变由所述可信执行环境中存储的密钥限定的所述配置,其中,响应于所述密钥更新信息而对所述配置进行的改变改变所述处理器许可所述可信应用访问所述移动计算装置的资源中的哪些资源。
10.根据权利要求9所述的方法,其中,所述密钥更新信息识别所述移动计算装置的被授权以由所述可信执行环境中的所述可信应用使用的资源。
11.根据权利要求10所述的方法,其中,所述密钥更新信息为第一密钥更新信息,并且所述资源为被授权以由所述可信应用使用的第一硬件资源,并且其中,所述密钥更新消息包括第二密钥更新信息,该第二密钥更新信息对应于所述移动计算装置的不同于所述第一硬件资源的被授权以由所述可信应用使用的第二硬件资源。
12.根据权利要求10所述的方法,其中,所述密钥更新消息为由所述移动计算装置从所述另一个计算装置接收的空中OTA消息,并且其中,所述方法还包括基于响应于所述密钥更新信息对所述配置的所述改变来控制所述可信应用是否被许可对所述资源的访问。
13.根据权利要求10所述的方法,
其中,所述密钥更新消息包括已加密密钥二进制大对象,
其中,所述方法还包括使用所述可信执行环境中存储的密钥的私钥来解密已加密密钥二进制大对象;以及
其中,改变由所述可信执行环境中存储的密钥限定的配置包括基于所述密钥更新信息来更新由所述处理器使用以控制所述可信执行环境中的所述可信应用是否被许可对所述资源的访问的所述配置。
14.根据权利要求13所述的方法,其中,所述密钥更新信息包括密钥更新标志,并且其中,更新由所述可信执行环境中存储的密钥限定的所述配置的步骤包括基于所述密钥更新标志来更新所述配置以允许或拒绝对所述资源的访问。
15.根据权利要求13所述的方法,其中,更新由所述可信执行环境中存储的密钥限定的所述配置的步骤包括将密钥二进制大对象存储在所述可信执行环境中。
16.根据权利要求13所述的方法,其中,更新所述配置的步骤包括仅针对所存储的密钥来更新所述配置,并且其中,所存储的密钥为所述可信执行环境中的多个已存储密钥中的一个。
17.一种计算装置,该计算装置包括:
处理器;和
存储器,该存储器耦接到所述处理器,并且存储计算机可读程序代码,当该计算机可读程序代码由所述处理器执行时使得所述处理器执行操作,所述操作包括:
生成包括密钥更新信息的密钥更新消息,该密钥更新信息与在移动计算装置的可信执行环境中存储的密钥对应,其中,所述密钥更新信息由所述移动计算装置使用以重新配置可信执行环境配置,该可信执行环境配置由所述移动计算装置的处理器使用以控制所述可信执行环境中的可信应用是否被许可对所述移动计算装置的资源的访问;
加密针对所存储的密钥的所述密钥更新消息;以及
向所述移动计算装置的所述可信执行环境发送所述密钥更新消息。
18.根据权利要求17所述的计算装置,其中,所述密钥更新信息识别所述移动计算装置的被授权以由所述可信执行环境中的所述可信应用使用的资源。
19.根据权利要求18所述的计算装置,其中,所述密钥更新信息包括密钥更新标志以使得所述移动计算装置的所述处理器基于所述密钥更新标志来更新所述配置以允许或拒绝所述可信应用对所述资源的访问。
20.根据权利要求17所述的计算装置,其中,所述密钥更新消息为包括已加密密钥二进制大对象的空中OTA消息,并且其中,所述密钥更新消息的所述密钥更新信息仅对应于在所述可信执行环境中的存储的密钥中的一个密钥。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/296,885 US9264410B2 (en) | 2014-06-05 | 2014-06-05 | Dynamic configuration of trusted executed environment resources |
US14/296,885 | 2014-06-05 | ||
PCT/JP2014/005948 WO2015186162A1 (en) | 2014-06-05 | 2014-11-27 | Dynamic configuration of trusted executed environment |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106415564A CN106415564A (zh) | 2017-02-15 |
CN106415564B true CN106415564B (zh) | 2019-06-28 |
Family
ID=52146568
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480079567.0A Active CN106415564B (zh) | 2014-06-05 | 2014-11-27 | 移动计算装置、计算装置、用于配置可信执行环境的方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9264410B2 (zh) |
EP (1) | EP3152698B1 (zh) |
CN (1) | CN106415564B (zh) |
WO (1) | WO2015186162A1 (zh) |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160234176A1 (en) * | 2015-02-06 | 2016-08-11 | Samsung Electronics Co., Ltd. | Electronic device and data transmission method thereof |
US9722775B2 (en) * | 2015-02-27 | 2017-08-01 | Verizon Patent And Licensing Inc. | Network services via trusted execution environment |
CN105700876B (zh) * | 2016-01-05 | 2017-07-21 | 腾讯科技(深圳)有限公司 | 操作方式修改方法及装置 |
US10326603B2 (en) * | 2016-05-06 | 2019-06-18 | Blackberry Limited | Inter-workspace communications |
JP2018007215A (ja) * | 2016-07-08 | 2018-01-11 | キヤノン株式会社 | 情報処理装置とその制御方法、及びプログラム |
US10177910B2 (en) * | 2016-08-31 | 2019-01-08 | Microsoft Technology Licensing, Llc | Preserving protected secrets across a secure boot update |
CN106909851A (zh) * | 2017-02-27 | 2017-06-30 | 努比亚技术有限公司 | 一种数据安全存储方法及装置 |
US10528749B2 (en) * | 2017-03-20 | 2020-01-07 | Huawei Technologies Co., Ltd. | Methods and apparatus for containerized secure computing resources |
CN107274183B (zh) * | 2017-03-21 | 2020-05-22 | 中国银联股份有限公司 | 交易验证方法及系统 |
CN107465504A (zh) * | 2017-08-15 | 2017-12-12 | 上海与德科技有限公司 | 一种提高密钥安全性的方法及装置 |
US10972445B2 (en) * | 2017-11-01 | 2021-04-06 | Citrix Systems, Inc. | Dynamic crypto key management for mobility in a cloud environment |
EP3764258B1 (en) * | 2018-04-27 | 2023-07-26 | Huawei Technologies Co., Ltd. | Constructing common trusted application for a plurality of applications |
WO2019206315A1 (zh) * | 2018-04-28 | 2019-10-31 | Li Jinghai | 一种包括tee的系统及其电子签名系统 |
CN111105777B (zh) * | 2018-10-25 | 2023-10-31 | 阿里巴巴集团控股有限公司 | 语音数据的采集和播放方法和装置、密钥包的更新方法和装置以及存储介质 |
CN109491712B (zh) * | 2018-11-01 | 2021-09-10 | 北京京航计算通讯研究所 | 一种适用于VxWorks环境的可信引导方法 |
US11263318B2 (en) * | 2018-11-05 | 2022-03-01 | Red Hat, Inc. | Monitoring a process in a trusted execution environment to identify a resource starvation attack |
US11297100B2 (en) | 2019-01-14 | 2022-04-05 | Red Hat, Inc. | Concealed monitor communications from a task in a trusted execution environment |
CN109922056B (zh) * | 2019-02-26 | 2021-09-10 | 创新先进技术有限公司 | 数据安全处理方法及其终端、服务器 |
EP3720039A1 (de) * | 2019-04-05 | 2020-10-07 | Siemens Aktiengesellschaft | Verfahren für das konfigurieren eines sicherheitsmoduls mit mindestens einem abgeleiteten schlüssel |
US11336684B2 (en) * | 2019-06-07 | 2022-05-17 | Lookout, Inc. | Mobile device security using a secure execution context |
US20210240801A1 (en) * | 2020-02-03 | 2021-08-05 | Arris Enterprises Llc | Digital rights management system resource manager |
US20210350020A1 (en) * | 2020-05-10 | 2021-11-11 | Eiko Onishi | De-identified Identity Proofing Methods and Systems |
US11475140B1 (en) | 2020-11-24 | 2022-10-18 | Amazon Technologies, Inc. | Enclave-based cryptography services in edge computing environments |
CN113268742B (zh) * | 2021-04-07 | 2022-05-24 | 支付宝(杭州)信息技术有限公司 | 数据授权方法、装置及电子设备 |
US20210328779A1 (en) * | 2021-06-25 | 2021-10-21 | Intel Corporation | Method and apparatus for fast symmetric authentication and session key establishment |
CN113821821B (zh) * | 2021-11-24 | 2022-02-15 | 飞腾信息技术有限公司 | 安全架构系统、安全架构系统的密码运算方法和计算设备 |
CN116049812B (zh) * | 2022-06-28 | 2023-10-20 | 荣耀终端有限公司 | 访问硬件资源的方法和电子设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102763111A (zh) * | 2010-01-22 | 2012-10-31 | 交互数字专利控股公司 | 用于可信联合身份管理和数据接入授权的方法和设备 |
CN103793815A (zh) * | 2014-01-23 | 2014-05-14 | 武汉天喻信息产业股份有限公司 | 适用于银行卡和行业卡的移动智能终端收单系统及方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9369867B2 (en) | 2012-06-29 | 2016-06-14 | Intel Corporation | Mobile platform software update with secure authentication |
WO2014040724A1 (de) | 2012-09-11 | 2014-03-20 | Giesecke & Devrient Gmbh | Inhalteverwaltung für mobilstation mit laufzeitumgebung |
US8959331B2 (en) | 2012-11-19 | 2015-02-17 | At&T Intellectual Property I, Lp | Systems for provisioning universal integrated circuit cards |
US8984592B1 (en) * | 2013-03-15 | 2015-03-17 | Sprint Communications Company L.P. | Enablement of a trusted security zone authentication for remote mobile device management systems and methods |
-
2014
- 2014-06-05 US US14/296,885 patent/US9264410B2/en active Active
- 2014-11-27 EP EP14819090.3A patent/EP3152698B1/en active Active
- 2014-11-27 WO PCT/JP2014/005948 patent/WO2015186162A1/en active Application Filing
- 2014-11-27 CN CN201480079567.0A patent/CN106415564B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102763111A (zh) * | 2010-01-22 | 2012-10-31 | 交互数字专利控股公司 | 用于可信联合身份管理和数据接入授权的方法和设备 |
CN103793815A (zh) * | 2014-01-23 | 2014-05-14 | 武汉天喻信息产业股份有限公司 | 适用于银行卡和行业卡的移动智能终端收单系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
EP3152698A1 (en) | 2017-04-12 |
CN106415564A (zh) | 2017-02-15 |
US9264410B2 (en) | 2016-02-16 |
EP3152698B1 (en) | 2019-07-24 |
US20150358301A1 (en) | 2015-12-10 |
WO2015186162A1 (en) | 2015-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106415564B (zh) | 移动计算装置、计算装置、用于配置可信执行环境的方法 | |
US10356070B2 (en) | Method for transferring profile and electronic device supporting the same | |
ES2802265T3 (es) | Método de autorización de una operación que va a realizarse en un dispositivo informático objetivo | |
JP6392879B2 (ja) | モバイル通信装置およびその動作方法 | |
US8064598B2 (en) | Apparatus, method and computer program product providing enforcement of operator lock | |
US20180359099A9 (en) | Method and system for distributing attestation key and certificate in trusted computing | |
US9137662B2 (en) | Method and apparatus for access credential provisioning | |
KR101743161B1 (ko) | 액세스 제어를 관리하는 정책-기반 기법들 | |
US8990883B2 (en) | Policy-based development and runtime control of mobile applications | |
US9053332B2 (en) | Policy for secure packet transmission using required node paths and cryptographic signatures | |
US20160070656A1 (en) | Write protection management systems | |
KR102281782B1 (ko) | 무선 통신 시스템에서 단말의 어플리케이션을 원격으로 관리하는 방법 및 장치 | |
JP2017501498A (ja) | モバイル通信装置およびその動作方法 | |
CN110050437A (zh) | 分布式证书注册的装置和方法 | |
US9977888B2 (en) | Privacy protected input-output port control | |
WO2018112482A1 (en) | Method and system for distributing attestation key and certificate in trusted computing | |
US20130073840A1 (en) | Apparatus and method for generating and managing an encryption key | |
EP3048553B1 (en) | Method for distributing applets, and entities for distributing applets | |
US20220014353A1 (en) | Method by which device shares digital key | |
WO2019226510A1 (en) | Methods and systems for multiple independent roots of trust | |
US20180275979A1 (en) | Secure reprogramming of smart devices to alter device functionality based on license rights | |
JP6318250B2 (ja) | ポリシー制御機能の管理メカニズムのためのシステム及び方法 | |
US20180144142A1 (en) | Secure Data Protection and Encryption Techniques for Computing Devices and Information Storage | |
US20210173902A1 (en) | Terminal hardware configuration system | |
CN104715192A (zh) | 限制软件于授权无线环境 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |