CN108076023B - 一种根安全域的创建方法、装置及终端 - Google Patents
一种根安全域的创建方法、装置及终端 Download PDFInfo
- Publication number
- CN108076023B CN108076023B CN201611022046.9A CN201611022046A CN108076023B CN 108076023 B CN108076023 B CN 108076023B CN 201611022046 A CN201611022046 A CN 201611022046A CN 108076023 B CN108076023 B CN 108076023B
- Authority
- CN
- China
- Prior art keywords
- user
- information
- application
- security domain
- service provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的实施例提供一种根安全域的创建方法、装置及终端,其中方法包括:获取用户当前需要使用的应用的用户信息;将所述用户信息发送给所述应用对应的服务提供商;获取所述服务提供商返回的与所述用户信息对应的个人化信息;在具有可信运行环境TEE模块的终端中创建根安全域,将所述个人化信息写入所述根安全域。本发明的方案实现了在用户使用过程中根据用户的需要,为某应用创建动态根安全域(rSD)并写入用户的个人化数据。
Description
技术领域
本发明涉及数据处理技术领域,特别是指一种根据安全域的创建方法、装置及终端。
背景技术
可信运行环境TEE(Trusted Execution Environment)是指手机终端内基于安全芯片的一个独立的安全运行环境,可视为一个微型操作系统。TEE与正常的应用运行环境REE(Rich Execution Environment)(如Android环境)逻辑隔离,只能通过授权的API进行交互。TEE可以向REE中的普通应用提供高可靠性的安全服务,如安全输入、安全存储、数据加密等。这些安全特性要求应用服务提供商SP(Service Provider)在安全终端内建立根安全域rSD(Root Security Domain),并在其中预置相关的密钥,或动态写入相关的应用密钥。
现有的方案中,应用服务提供商一般是采用如下方式在TEE中创建自己的rSD:
方式一:在手机生产时让OEM厂商在TEE中创建rSD,并预置相应应用服务提供商的初始密钥。
方式二:通过TSM(可信服务管理)平台在TEE中创建rSD。
1、现有的TEE中应用服务提供商创建rSD的方式存在的问题
方式一中应用服务提供商创建rSD的方式存在如下问题:
应用服务提供商需要将rSD创建数据给许多OEM厂商,因为它需要将其rSD安装在尽可能多的设备中。但对于开放市场终端,需要事先捆绑某个OEM厂商,导致针对不同市场需要不同的终端定制,与开放市场策略相抵触。
由于rSD在手机出厂前就预置进终端,因此应用服务提供商写入rSD中的数据(如密钥信息)必须是统一的,故不能针对不同的用户进行个人化的定制。
方式二中应用服务提供商创建rSD的方式存在如下问题:
不同的TEE终端可能链接到不同的TSM平台,因此应用服务提供商需要所有的TSM平台都能够管理rSD,维护某应用所有用户的个人化信息,当TSM平台数目和应用服务提供商数目较多时,将给TSM平台带来难以想象的存储和维护开销。
发明内容
本发明提供了一种根安全域的创建方法、装置及终端,在用户使用过程中根据用户的需要,为某应用创建动态根安全域(rSD)并写入用户的个人化数据。
为解决上述技术问题,本发明的实施例提供如下方案:
一种根安全域的创建方法,包括:
获取用户当前需要使用的应用的用户信息;
将所述用户信息发送给所述应用对应的服务提供商;
获取所述服务提供商返回的与所述用户信息对应的个人化信息;
在具有可信运行环境TEE模块的终端中创建根安全域,将所述个人化信息写入所述根安全域。
其中,获取用户当前需要使用的应用的用户信息的步骤包括:
通过具有TEE模块的终端的近距离无线通信NFC芯片扫描用户当前需要使用的应用对应的NFC卡,从所述NFC卡中获取用户当前需要使用的应用的用户信息。
其中,通过具有TEE模块的终端的NFC芯片扫描用户当前需要使用的应用对应的NFC卡,从所述NFC卡中获取用户当前需要使用的应用的用户信息的步骤包括:
通过具有TEE模块的终端的NFC芯片扫描保存有用户当前需要使用的应用对应的用户信息的NFC卡;
通过所述NFC芯片与所述NFC卡,模拟一次交易过程,获取交易信息;
从所述交易信息中,获取所述应用对应的用户信息。
其中,将所述用户信息发送给所述应用对应的服务提供商的步骤包括:
将包括有所述用户信息的交易信息发送给服务提供商。
其中,获取所述服务提供商返回的与所述用户信息对应的个人化信息的步骤包括:
获取所述服务提供商返回的反馈信息;
对所述反馈信息进行验证,验证通过后,获取所述服务提供商返回的与所述用户信息对应的个人化信息。
本发明的实施例还提供一种根安全域的创建装置,包括:
第一获取模块,用于获取用户当前需要使用的应用的用户信息;
发送模块,用于将所述用户信息发送给所述应用对应的服务提供商;
第二获取模块,用于获取所述服务提供商返回的与所述用户信息对应的个人化信息;
创建模块,用于在具有TEE模块的终端中创建根安全域,将所述个人化信息写入所述根安全域。
其中,所述第一获取模块具体用于:通过TEE终端的NFC芯片扫描用户当前需要使用的应用对应的NFC卡,并从所述NFC卡中获取用户当前需要使用的应用的用户信息。
其中,所述第一获取模块具体用于:
通过TEE终端的NFC芯片扫描保存有用户当前需要使用的应用对应的用户信息的NFC卡;
通过所述NFC芯片与所述NFC卡,模拟一次交易过程,获取交易信息;从所述交易信息中,获取所述应用对应的用户信息。
其中,所述发送模块具体用于:将包括有所述用户信息的交易信息发送给服务提供商。
其中,所述第二获取模块具体用于:
获取所述服务提供商返回的反馈信息;
对所述反馈信息进行验证,验证通过后,获取所述服务提供商返回的与所述用户信息对应的个人化信息。
本发明的实施例还提供一种终端,包括可信运行环境TEE模块,所述TEE模块包括如上所述的根安全域的创建装置。
本发明的上述方案至少包括以下有益效果:
本发明的上述方案,通过获取用户当前需要使用的应用的用户信息;将所述用户信息发送给所述应用对应的服务提供商;获取所述服务提供商返回的与所述用户信息对应的个人化信息;在具有可信运行环境TEE模块的终端中创建根安全域,将所述个人化信息写入所述根安全域。能够在rSD中动态的写入和用户身份相关的密钥,实现用户的个人化。
附图说明
图1为本发明的根安全域的创建方法流程图;
图2为图1所示的一具体流程图;
图3为本发明的根安全域的创建装置示意图;
图4为本发明的终端的架构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
如图1所示,本发明的实施例提供一种根安全域的创建方法,包括:
步骤11,获取用户当前需要使用的应用的用户信息;
步骤12,将所述用户信息发送给所述应用对应的服务提供商;
步骤13,获取所述服务提供商返回的与所述用户信息对应的个人化信息;
步骤14,在具有可信运行环境TEE模块的终端中创建根安全域,将所述个人化信息写入所述根安全域。
本发明的该实施例通过获取用户当前需要使用的应用的用户信息;将所述用户信息发送给所述应用对应的服务提供商;获取所述服务提供商返回的与所述用户信息对应的个人化信息;在具有可信运行环境TEE模块的终端中创建根安全域,将所述个人化信息写入所述根安全域。能够在rSD中动态的写入和用户身份相关的密钥,实现用户的个人化。
本发明的具体实施例中,上述步骤11具体实现时,可以通过具有TEE模块的终端的近距离无线通信NFC芯片扫描用户当前需要使用的应用对应的NFC卡,从所述NFC卡中获取用户当前需要使用的应用的用户信息。
具体的:通过具有TEE模块的终端的NFC芯片扫描保存有用户当前需要使用的应用对应的用户信息的NFC卡;
通过所述NFC芯片与所述NFC卡,模拟一次交易过程,获取交易信息;
从所述交易信息中,获取所述应用对应的用户信息。
将包括有所述用户信息的交易信息发送给服务提供商。
并进一步的,上述步骤13具体可以包括:获取所述服务提供商返回的反馈信息;对所述反馈信息进行验证,验证通过后,获取所述服务提供商返回的与所述用户信息对应的个人化信息,这里的个人化信息,如密钥信息。
如图2所示,结合具体流程说明上述实施例的具体实现过程:
使用手机终端的NFC芯片扫描NFC卡;
模拟一次交易(比如:模拟一次银行卡或者公交卡交易);
TEE模块获取NFC交易信息;
TEE模块通过REE侧连接SP平台,并将交易信息告知SP平台,并向TEE提供反馈;
TEE模块验证SP的反馈信息,并创建rSD,并根据用户信息将用户的个人化密钥写入rSD中。
本发明的上述实施例提供的TEE中动态创建rSD的方法,即通过手机终端的NFC功能识别银行卡等内置应用服务提供商信息和用户信息的卡片,连接应用服务提供商,使其在TEE中创建rSD,并写入用户的个人化信息(如个人密钥)。
无需在终端出厂前就创建rSD并预置业务相关的密钥,可以很好的解决开放市场终端定制的问题。
能够在rSD中动态的写入和用户身份相关的密钥,实现用户的个人化。
无需让所有的TSM平台管理维护所有应用的用户的个人化数据,减少了TSM平台的开销。
如图3所示,本发明的实施例还提供一种根安全域的创建装置,包括:
第一获取模块,用于获取用户当前需要使用的应用的用户信息;
发送模块,用于将所述用户信息发送给所述应用对应的服务提供商;
第二获取模块,用于获取所述服务提供商返回的与所述用户信息对应的个人化信息;
创建模块,用于在具有TEE模块的终端中创建根安全域,将所述个人化信息写入所述根安全域。
其中,所述第一获取模块具体用于:通过TEE终端的NFC芯片扫描用户当前需要使用的应用对应的NFC卡,并从所述NFC卡中获取用户当前需要使用的应用的用户信息。
其中,所述第一获取模块具体用于:通过TEE终端的NFC芯片扫描保存有用户当前需要使用的应用对应的用户信息的NFC卡;
通过所述NFC芯片与所述NFC卡,模拟一次交易过程,获取交易信息;从所述交易信息中,获取所述应用对应的用户信息。
其中,所述发送模块具体用于:将包括有所述用户信息的交易信息发送给服务提供商。
其中,所述第二获取模块具体用于:获取所述服务提供商返回的反馈信息;
对所述反馈信息进行验证,验证通过后,获取所述服务提供商返回的与所述用户信息对应的个人化信息。
本发明的实施例还提供一种终端,包括可信运行环境TEE模块,所述TEE模块包括如上所述的根安全域的创建装置。
如图4所示,为上述终端的具体架构,其中,SP平台:应用服务提供商运营的应用管理平台。rSD:TEE中存储应用管理密钥的安全域,可以保证应用密钥的授权使用。NFC卡:支持NCF手机的卡片,如公交卡、银行卡等。
本发明上述实施例中的终端可以为支持NFC功能并集实现了TEE的安全终端。
本发明的上述实施例提出的一种基于NFC的TEE rSD动态创建架构,在该架构下,TEE终端无需在出厂前为应用服务提供商创建rSD并写入初始化应用管理密钥,而是在用户使用过程中根据用户的需要,利用NFC的识别能力使TEE终端关联到应用服务提供商,为某应用创建rSD并写入用户的个人化数据。无需在终端出厂前就创建rSD并预置业务相关的密钥,可以很好的解决开放市场终端定制的问题。能够在rSD中动态的写入和用户身份相关的密钥,实现用户的个人化。无需让所有的TSM平台管理维护所有应用的用户的个人化数据,减少了TSM平台的开销。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1.一种根安全域的创建方法,其特征在于,包括:
获取用户当前需要使用的应用的用户信息;
将所述用户信息发送给所述应用对应的服务提供商;
获取所述服务提供商返回的与所述用户信息对应的个人化信息;
在具有可信运行环境TEE模块的终端中创建根安全域,将所述个人化信息写入所述根安全域,包括:在根安全域rSD中动态的写入和用户身份相关的密钥。
2.根据权利要求1所述的根安全域的创建方法,其特征在于,获取用户当前需要使用的应用的用户信息的步骤包括:
通过具有TEE模块的终端的近距离无线通信NFC芯片扫描用户当前需要使用的应用对应的NFC卡,从所述NFC卡中获取用户当前需要使用的应用的用户信息。
3.根据权利要求2所述的根安全域的创建方法,其特征在于,通过具有TEE模块的终端的NFC芯片扫描用户当前需要使用的应用对应的NFC卡,从所述NFC卡中获取用户当前需要使用的应用的用户信息的步骤包括:
通过具有TEE模块的终端的NFC芯片扫描保存有用户当前需要使用的应用对应的用户信息的NFC卡;
通过所述NFC芯片与所述NFC卡,模拟一次交易过程,获取交易信息;
从所述交易信息中,获取所述应用对应的用户信息。
4.根据权利要求3所述的根安全域的创建方法,其特征在于,将所述用户信息发送给所述应用对应的服务提供商的步骤包括:
将包括有所述用户信息的交易信息发送给服务提供商。
5.根据权利要求4所述的根安全域的创建方法,其特征在于,获取所述服务提供商返回的与所述用户信息对应的个人化信息的步骤包括:
获取所述服务提供商返回的反馈信息;
对所述反馈信息进行验证,验证通过后,获取所述服务提供商返回的与所述用户信息对应的个人化信息。
6.一种根安全域的创建装置,其特征在于,包括:
第一获取模块,用于获取用户当前需要使用的应用的用户信息;
发送模块,用于将所述用户信息发送给所述应用对应的服务提供商;
第二获取模块,用于获取所述服务提供商返回的与所述用户信息对应的个人化信息;
创建模块,用于在具有TEE模块的终端中创建根安全域,将所述个人化信息写入所述根安全域,包括:在根安全域rSD中动态的写入和用户身份相关的密钥。
7.根据权利要求6所述的根安全域的创建装置,其特征在于,所述第一获取模块具体用于:通过TEE终端的NFC芯片扫描用户当前需要使用的应用对应的NFC卡,并从所述NFC卡中获取用户当前需要使用的应用的用户信息。
8.根据权利要求7所述的根安全域的创建装置,其特征在于,所述第一获取模块具体用于:
通过TEE终端的NFC芯片扫描保存有用户当前需要使用的应用对应的用户信息的NFC卡;
通过所述NFC芯片与所述NFC卡,模拟一次交易过程,获取交易信息;从所述交易信息中,获取所述应用对应的用户信息。
9.根据权利要求8所述的根安全域的创建装置,其特征在于,所述发送模块具体用于:将包括有所述用户信息的交易信息发送给服务提供商。
10.根据权利要求9所述的根安全域的创建装置,其特征在于,所述第二获取模块具体用于:
获取所述服务提供商返回的反馈信息;
对所述反馈信息进行验证,验证通过后,获取所述服务提供商返回的与所述用户信息对应的个人化信息。
11.一种终端,包括可信运行环境TEE模块,其特征在于,还包括:所述TEE模块包括如权利要求6-权利要求9任一项所述的根安全域的创建装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611022046.9A CN108076023B (zh) | 2016-11-16 | 2016-11-16 | 一种根安全域的创建方法、装置及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611022046.9A CN108076023B (zh) | 2016-11-16 | 2016-11-16 | 一种根安全域的创建方法、装置及终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108076023A CN108076023A (zh) | 2018-05-25 |
| CN108076023B true CN108076023B (zh) | 2021-01-15 |
Family
ID=62160814
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611022046.9A Active CN108076023B (zh) | 2016-11-16 | 2016-11-16 | 一种根安全域的创建方法、装置及终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108076023B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101164086A (zh) * | 2005-03-07 | 2008-04-16 | 诺基亚公司 | 能够使用无线网络实现信用卡个人化的方法、系统和移动设备 |
| CN103856485A (zh) * | 2014-02-14 | 2014-06-11 | 武汉天喻信息产业股份有限公司 | 可信用户界面安全指示器的初始化系统及方法 |
| EP2851838A1 (en) * | 2013-09-24 | 2015-03-25 | Samsung Electronics Co., Ltd | Method and apparatus for security domain management in trusted execution environment |
| CN104602224A (zh) * | 2014-12-31 | 2015-05-06 | 浙江融创信息产业有限公司 | 一种基于nfc手机swp-sim卡的空中开卡方法 |
| CN105719391A (zh) * | 2016-01-10 | 2016-06-29 | 深圳市可秉资产管理合伙企业(有限合伙) | 支持多个支付卡的移动装置和方法 |
-
2016
- 2016-11-16 CN CN201611022046.9A patent/CN108076023B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101164086A (zh) * | 2005-03-07 | 2008-04-16 | 诺基亚公司 | 能够使用无线网络实现信用卡个人化的方法、系统和移动设备 |
| EP2851838A1 (en) * | 2013-09-24 | 2015-03-25 | Samsung Electronics Co., Ltd | Method and apparatus for security domain management in trusted execution environment |
| CN103856485A (zh) * | 2014-02-14 | 2014-06-11 | 武汉天喻信息产业股份有限公司 | 可信用户界面安全指示器的初始化系统及方法 |
| CN104602224A (zh) * | 2014-12-31 | 2015-05-06 | 浙江融创信息产业有限公司 | 一种基于nfc手机swp-sim卡的空中开卡方法 |
| CN105719391A (zh) * | 2016-01-10 | 2016-06-29 | 深圳市可秉资产管理合伙企业(有限合伙) | 支持多个支付卡的移动装置和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108076023A (zh) | 2018-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2988470B1 (en) | Automatic purposed-application creation | |
| US9880830B2 (en) | On-board applet migration | |
| KR101354804B1 (ko) | 추가 요소를 이용한 이동 장치의 갱신 | |
| CN102149083B (zh) | 个人化写卡方法、系统和装置 | |
| US20140143108A1 (en) | Mobile device provisioning framework system | |
| CN103973444A (zh) | 安全令牌和服务访问系统 | |
| WO2013098117A1 (en) | A method to manage contactless communication in a user device | |
| CN107924516B (zh) | 一种移动终端的支付认证方法、装置及移动终端 | |
| EP2563057A1 (en) | Method for data exchange between a secure element and a terminal, secure element, and terminal | |
| JP2007206893A (ja) | Icカード及びインストールシステム | |
| JP5277888B2 (ja) | アプリケーション発行システム、装置及び方法 | |
| KR102652762B1 (ko) | 페이지를 통해 연동하는 뱅킹앱을 이용한 간편 가입 방법 | |
| CN101006461A (zh) | 电子货币系统、信息存储介质及移动终端装置 | |
| CN108076023B (zh) | 一种根安全域的创建方法、装置及终端 | |
| CN105871840A (zh) | 一种证书管理方法及系统 | |
| CN101156146B (zh) | 用于在装置管理中安全地发送自举消息的方法与装置 | |
| CN108322907B (zh) | 一种开卡方法及终端 | |
| KR20050028851A (ko) | 전자 정보 인증 시스템, 휴대 정보 단말기 및 이들에이용하는 전자 정보 인증 방법 | |
| KR20110005615A (ko) | 사용자 매체를 이용한 무선 오티피 운영 방법 및 시스템과 이를 위한 무선단말 및 기록매체 | |
| JP6977477B2 (ja) | 携帯端末へのサービスアプリケーション発行システムおよびサービスアプリケーション発行方法 | |
| CN106412881B (zh) | 终端设备及卡片管理方法 | |
| KR20100096934A (ko) | 모바일 학생증 운용방법과 이를 위한 기록매체 | |
| KR100963920B1 (ko) | 학생증 보안 출력 방법 및 이를 위한 기록매체 | |
| JP2016092507A (ja) | サービスアプリケーション発行システム | |
| KR102652761B1 (ko) | 뱅킹앱을 이용한 간편 가입 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |