CN108614711A - Ta镜像存储方法、装置以及终端 - Google Patents
Ta镜像存储方法、装置以及终端 Download PDFInfo
- Publication number
- CN108614711A CN108614711A CN201810361784.9A CN201810361784A CN108614711A CN 108614711 A CN108614711 A CN 108614711A CN 201810361784 A CN201810361784 A CN 201810361784A CN 108614711 A CN108614711 A CN 108614711A
- Authority
- CN
- China
- Prior art keywords
- storage
- mirror images
- data store
- mirrored
- mirror
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
- G06F8/63—Image based installation; Cloning; Build to order
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Processing Or Creating Images (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种TA镜像存储方法、装置以及终端,涉及信息安全领域,其中的方法包括:设置与TA镜像的存储形式相对应的数据存储结构,存储形式包括作为TEE中的对象、文件或区块进行存储、作为携带签名的TA镜像进行存储、作为密文TA镜像进行存储等;获取需要存储的TA镜像的存储形式,将与此存储形式相对应的数据存储结构作为TA镜像存储结构,根据TA镜像存储结构以及预设的封装规则对需要存储的TA镜像进行封装处理并存储。本发明的方法、装置以及终端,既适用于通过TAM安装TA的情况,也适用于通过OTA或应用商店下载TA的情况;具有较高的灵活性和通用性,适用于各种TEE平台,而且其安全性也能得到保障。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种TA镜像存储方法、装置以及终端。
背景技术
目前,终端大多集成了可信执行环境(TEE,Trusted Execution Environment)、富执行环境(REE,Rich Execution Environment)。REE由客户端应用(CA,ClientApplication)以及应用操作系统组成。TEE由可信应用(TA,TrustedApplication)、以及可信操作系统(Trusted OS,Trusted Operating System)组成。REE支持丰富的应用,但REE存在一定的安全风险。TEE是基于ARM芯片TrustZone机制的系统软件,TEE可以为终端中一块独立的区域,向该区域安装应用受管理服务器平台控制。在基于ARM的TrustZone技术架构中,运行在Normal World(REE)中的CA和运行在Secure World(TEE)中的TA之间具有进行数据交互的能力。
镜像(Mirroring)是冗余的一种类型,也是一种文件存储形式,TA的一个完全相同的副本即为TA镜像。目前,TA镜像可以存储于TEE的永久对象中,TA镜像不进行额外加密或签名保护。但是,这种TA镜像存储方案要求TA镜像必须通过TAM(Trusted ApplicationManager,可信应用管理服务器)安装到TEE中,无法通过OTA(Over The Air,空中操作)下载的方式部署到TEE中,而且,TA镜像的安全性取决于TEE平台永久对象的安全机制。TA镜像也可以REE侧文件的形式存储,含有签名,签名密钥是TEE厂商私钥。但是,这种TA镜像存储方案必须委托TEE厂商为TA镜像签名。
发明内容
有鉴于此,本发明要解决的一个技术问题是提供一种TA镜像存储方法、装置以及终端。
根据本发明的一个方面,提供一种TA镜像存储方法,包括:设置与TA镜像的存储形式相对应的数据存储结构;其中,所述存储形式包括:作为TEE中的对象、文件或区块进行存储、作为携带签名的TA镜像进行存储、作为密文TA镜像进行存储;当接收到TA镜像存储指令时,获取需要存储的TA镜像的存储形式,将与此存储形式相对应的数据存储结构作为TA镜像存储结构;根据所述TA镜像存储结构以及预设的封装规则对需要存储的TA镜像进行封装处理并存储。
可选地,与所述作为TEE中的对象、文件或区块进行存储的存储形式相对应的第一数据存储结构包括:TA版本域、TA内容域;其中,所述TA版本域用于保存TA镜像存储结构版本标识,所述TA镜像存储结构版本标识采用预设字符串格式;所述TA内容域用于保存TA可执行二进制内容,所述TA可执行二进制内容的格式包括:LV格式。
可选地,所述第一数据存储结构还包括:TA属性域;其中,所述TA属性域用于保存TA属性,所述TA属性的格式包括:LV格式,此LV格式的值为使用TLV格式的数据。
可选地,与所述作为携带签名的TA镜像进行存储的存储形式相对应的第二数据存储结构包括:所述TA版本域、SP-ID域、签名域、所述TA内容域;其中,所述SP-ID域用于保存服务提供商标识信息;所述签名域用于保存签名。
可选地,所述第二数据存储结构还包括:所述TA属性域。
可选地,所述签名为使用服务提供商的私钥对所述TA属性和/或所述TA可执行二进制内容进行签名得到的签名结果;其中,进行签名的算法包括:哈希算法、填充算法、非对称算法。
可选地,与所述作为密文TA镜像进行存储的存储形式相对应的第三数据存储结构包括:所述TA版本域、密钥密文域、TA镜像密文域;其中,所述密钥密文域用于保存使用TEE公钥对加密密钥进行加密的结果;所述TA镜像密文域用于保存使用所述加密密钥对需要存储的TA镜像进行加密的结果。
可选地,所述加密密钥包括:随机数;使用所述加密密钥对需要存储的TA镜像进行加密的算法包括:填充算法、对称算法;使用TEE公钥对所述加密密钥进行加密的算法包括:填充算法、非对称算法。
可选地,在TEE平台部署默认服务提供商私钥;如果TA镜像为明文形式,则在将此TA镜像的存储结构转换为所述第二数据存储结构时,使用所述默认服务提供商私钥对此TA镜像进行签名处理获得签名,确定与此TA镜像的存储结构相对应的TA镜像存储结构版本标识;基于所述签名、此TA镜像存储结构版本标识并根据所述第二数据存储结构对此明文形式的TA镜像进行封装处理。
可选地,当将使用所述第二数据存储结构封装的TA镜像转换为使用所述第三数据存储结构封装时,使用TEE公钥对加密密钥进行加密以获得密钥密文,并通过加密密钥对所述第二数据存储结构封装的此TA镜像进行加密处理获得TA镜像加密结果,确定与此TA镜像加密结果相对应的TA镜像存储结构版本标识;基于此TA镜像存储结构版本标识并根据所述第三数据存储结构对所述TA镜像加密结果进行封装处理。
根据本发明的另一方面,提供一种TA镜像存储装置,包括:存储结构设置模块,用于设置与TA镜像的存储形式相对应的数据存储结构;其中,所述存储形式包括:作为TEE中的对象、文件或区块进行存储、作为携带签名的TA镜像进行存储、作为密文TA镜像进行存储;存储结构确定模块,用于当接收到TA镜像存储指令时,获取需要存储的TA镜像的存储形式,将与此存储形式相对应的数据存储结构作为TA镜像存储结构;镜像数据封装模块,用于根据所述TA镜像存储结构以及预设的封装规则对需要存储的TA镜像进行封装处理并存储。
可选地,与所述作为TEE中的对象、文件或区块进行存储的存储形式相对应的第一数据存储结构包括:TA版本域、TA内容域;其中,所述TA版本域用于保存TA镜像存储结构版本标识,所述TA镜像存储结构版本标识采用预设字符串格式;所述TA内容域用于保存TA可执行二进制内容,所述TA可执行二进制内容的格式包括:LV格式。
可选地,所述第一数据存储结构还包括:TA属性域;其中,所述TA属性域用于保存TA属性,所述TA属性的格式包括:LV格式,此LV格式的值为使用TLV格式的数据。
可选地,与所述作为携带签名的TA镜像进行存储的存储形式相对应的第二数据存储结构包括:所述TA版本域、SP-ID域、签名域、所述TA内容域;其中,所述SP-ID域用于保存服务提供商标识信息;所述签名域用于保存签名。
可选地,所述第二数据存储结构还包括:所述TA属性域。
可选地,所述签名为所述镜像数据封装模块使用服务提供商的私钥对所述TA属性和/或所述TA可执行二进制内容进行签名得到的签名结果;其中,进行签名的算法包括:哈希算法、填充算法、非对称算法。
可选地,与所述作为密文TA镜像进行存储的存储形式相对应的第三数据存储结构包括:所述TA版本域、密钥密文域、TA镜像密文域;其中,所述密钥密文域用于保存所述镜像数据封装模块使用TEE公钥对加密密钥进行加密的结果;所述TA镜像密文域用于保存所述镜像数据封装模块使用所述加密密钥对需要存储的TA镜像进行加密的结果。
可选地,所述加密密钥包括:随机数;所述镜像数据封装模块使用所述加密密钥对需要存储的TA镜像进行加密的算法包括:填充算法、对称算法;所述镜像数据封装模块使用TEE公钥对所述加密密钥进行加密的算法包括:填充算法、非对称算法。
可选地,默认私钥设置模块,用于在TEE平台部署默认服务提供商私钥;存储结构转换模块,用于如果TA镜像为明文形式,则在将此TA镜像的存储结构转换为所述第二数据存储结构时,使用所述默认服务提供商私钥对此TA镜像进行签名处理获得签名,确定与此TA镜像的存储结构相对应的TA镜像存储结构版本标识;基于所述签名、此TA镜像存储结构版本标识并根据所述第二数据存储结构对此明文形式的TA镜像进行封装处理。
可选地,所述存储结构转换模块,用于当将使用所述第二数据存储结构封装的TA镜像转换为使用所述第三数据存储结构封装时,使用TEE公钥对加密密钥进行加密以获得密钥密文,并通过加密密钥对所述第二数据存储结构封装的此TA镜像进行加密处理获得TA镜像加密结果,确定与此TA镜像加密结果相对应的TA镜像存储结构版本标识;基于此TA镜像存储结构版本标识并根据所述第三数据存储结构对所述TA镜像加密结果进行封装处理。
根据本发明的又一方面,提供一种TA镜像存储装置,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如上所述的TA镜像存储方法。
根据本发明的又一方面,提供一种终端,包括如上所述的TA镜像存储装置。
根据本发明的再一方面,提供一种计算机可读存储介质,其上存储有计算机程序指令,该指令被一个或多个处理器执行时实现如上所述的方法的步骤。
本发明的TA镜像存储方法、装置以及终端,设置与TA镜像的存储形式相对应的数据存储结构,获取需要存储的TA镜像的存储形式,将与此存储形式相对应的数据存储结构作为TA镜像存储结构,根据TA镜像存储结构以及预设的封装规则对需要存储的TA镜像进行封装处理并存储;既适用于通过TAM安装TA的情况,也适用于通过OTA或应用商店下载TA的情况;具有较高的灵活性和通用性,适用于各种TEE平台,而且其安全性也能得到保障。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明的TA镜像存储方法的一个实施例的流程示意图;
图2为根据本发明的TA镜像存储方法的一个实施例中的TA镜像作为TEE中的对象、文件或区块进行存储的存储结构示意图;
图3为根据本发明的TA镜像存储方法的一个实施例中的TA镜像作为携带签名的TA镜像进行存储的存储结构示意图;
图4为根据本发明的TA镜像存储方法的一个实施例中的TA镜像作为密文TA镜像进行存储的存储结构示意图;
图5为根据本发明的TA镜像存储装置的一个实施例的模块示意图;
图6为根据本发明的TA镜像存储装置的另一个实施例的模块示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本发明实施例可以应用于计算机系统/服务器,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于:智能手机、个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。
计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
下文中的“第一”、“第二”仅用于描述上相区别,并没有其它特殊的含义。
图1为根据本发明的TA镜像存储方法的一个实施例的流程示意图,如图1所示:
步骤101,设置与TA镜像的存储形式相对应的数据存储结构。
TA镜像的存储形式有多种,例如,作为TEE中的对象、文件或区块进行存储、作为携带签名的TA镜像进行存储、作为密文TA镜像进行存储等。
步骤102,当接收到TA镜像存储指令时,获取需要存储的TA镜像的存储形式,将与此存储形式相对应的数据存储结构作为TA镜像存储结构。数据存储结构可以有多种。
步骤103,根据TA镜像存储结构以及预设的封装规则对需要存储的TA镜像进行封装处理并存储。
在一个实施例中,如图2所示,与作为TEE中的对象、文件或区块进行存储的存储形式相对应的第一数据存储结构包括:TA版本域、TA内容域。TA版本域用于保存TA镜像存储结构版本标识,TA镜像存储结构版本标识可以采用预设字符串格式。TA内容域用于保存TA可执行二进制内容,TA可执行二进制内容是可以在TEE平台上运行的TA程序,TA可执行二进制内容的格式可以为LV格式等。
TA属性域为可选项,TA属性域用于保存TA属性,TA属性的格式包括LV格式,此LV格式的值为使用TLV(标签-长度-值)格式的数据。第一数据存储结构可以不包含TA属性域,即只有TA版本域和TA内容域,TA属性域可以采用默认值处理,此时,第一数据存储结构中的TA版本域内的TA镜像存储结构版本标识需要变更为其它版本标识。TA属性域和TA内容域可以调换顺序,但TA镜像存储结构版本标识需要变更为其它版本标识。
例如,TA镜像存储形式可以是TEE永久对象或者文件,永久对象的对象ID或文件名称格式为“<uuid>.secta”,例如“11223344-5566-7788-8000-000000000001.secta”等。TA镜像存储也可以采用RPMB分区区块等其它方式,TA镜像ID或名称也可以采用其它格式,例如“<ta-name>.sec”等。
TA镜像存储结构版本标识可以标识当前定义的TA镜像存储结构(第一数据存储结构),TA镜像存储结构版本标识可以为字符串格式,以’\0’结尾,格式是“TAx.x”,例如:“TA1.0”。第一数据存储结构的TA版本为“TA1.0”。TA镜像存储结构版本标识也可以采用其它格式(例如“TAx”)或其它类型(例如1个或4个字节表示的版本号)。
TA属性可以包含TA的各个属性名称及其属性值,TA属性为LV(长度-值)结构,Length可以为大端习惯(Big-Endian)的4个字节长度的整数,Length也可以采用小端习惯(Little-Endian),长度也可以不是4个字节。Value使用TLV结构。例如,TA属性可以包括:“gpd.ta.appID”:UUID;“gpd.ta.singleInstance”:Boolean;“gpd.ta.multiSession”:Boolean;“gpd.ta.instanceKeepAlive”:Boolean;“gpd.ta.dataSize”:Integer;“gpd.ta.stackSize”:Integer等。
TA属性还可以采用非TLV结构,例如多组并列LV结构、XML结构、JSON结构等;TA属性值可以支持整型、布尔型、UUID类型、字符串类型等;TA属性列表还可以扩展其它属性,例如:“gpd.ta.version”(String),“gpd.ta.description”(String)等。
在第一数据存储结构中,除了TA属性和TA可执行二进制内容还可以增加TA镜像的其它相关内容,例如TA所关联的SD的UUID等,但TA镜像存储结构版本标识需要变更为其它版本,例如“TA1.1”。
在一个实施例中,如图3所示,与作为携带签名的TA镜像进行存储的存储形式相对应的第二数据存储结构包括:TA版本域、SP-ID域、签名域、TA内容域。TA属性域为可选项。SP-ID域用于保存服务提供商标识信息;签名域用于保存签名。第二数据存储结构的TA版本域与第一数据存储结构的TA版本域的定义等相同。
签名域中保存的签名为使用服务提供商的私钥对TA属性和/或TA可执行二进制内容进行签名得到的签名结果。进行签名的算法包括:哈希算法、填充算法、非对称算法等。例如,当前的第二数据存储结构的TA镜像存储结构版本标识为“TA2.0”,SP-ID为UUID格式,长度为16个字节,签名算法采用SHA-1哈希算法和RSA-2048非对称算法的RSASSA-PKCS1-v1_5算法,签名长度为256个字节。签名算法还可以采用其它哈希算法,例如:SHA256、SHA224;签名算法还可以采用其它填充算法,但TA镜像存储结构版本标识需要变更为其它版本标识,例如“TA2.1”。签名算法还可以采用其它非对称算法,例如:ECC、SM2、DSA,但必须与服务提供商私钥类型相对应,且TA镜像存储结构版本标识需要变更为其它版本标识。
在一个实施例中,如图4所示,与作为密文TA镜像进行存储的存储形式相对应的第三数据存储结构包括:TA版本域、密钥密文域、TA镜像密文域。密钥密文域用于保存使用TEE公钥对加密密钥进行加密的结果。TA镜像密文域用于保存使用加密密钥对需要存储的TA镜像进行加密的结果。
加密密钥可以有多种,例如随机数等。使用加密密钥对需要存储的TA镜像进行加密的算法包括:填充算法、对称算法等。使用TEE公钥对加密密钥进行加密的算法包括:填充算法、非对称算法等。TA镜像密文是用指定的加密密钥对TA镜像进行加密的结果,密钥密文是用TEE公钥对加密密钥进行加密的结果。
例如,TA镜像密文的加密算法是采用PKCS5填充算法的CBC模式的AES-128算法,加密密钥是16个字节长度的随机数。密钥密文的加密算法是RSAES-PKCS1-v1_5。当前第三数据存储结构的TA版本为“TA3.0”。TA镜像密文的加密算法还可以采用其它模式,例如:ECB、CTR、CTS、XTS、CCM、GCM,但TA镜像存储结构版本标识需要变更为其它版本标识,例如“TA3.1”。
TA镜像密文的加密算法还可以采用其它填充算法,例如:ANSI X.923、ISO 10126、ISO9797_1_M2(或ISO/IEC 7816-4),但所采用的填充算法必须能标识出填充内容的长度,此时TA镜像存储结构版本标识需要变更为其它版本标识。TA镜像密文的加密算法还可以采用其它对称算法,例如:AES-192、AES-256、3DES、DES,SM4,但TA镜像存储结构版本标识需要变更为其它版本标识。密钥密文的加密算法还可以采用其它填充算法。密钥密文的加密算法还可以采用其它非对称算法,例如:RSA-1024、ECC-256、ECC-384、SM2、DSA,但必须与TEE平台所部署的私钥类型相对应,且TA镜像存储结构版本标识需要变更为其它版本标识。
在一个实施例中,在TEE平台部署默认服务提供商私钥。如果TA镜像为明文形式,在将此TA镜像的存储结构转换为第二数据存储结构时,使用默认服务提供商私钥对此TA镜像进行签名处理获得签名,确定与此TA镜像的存储结构相对应的TA镜像存储结构版本标识;基于签名、此TA镜像存储结构版本标识并根据第二数据存储结构对此明文形式的TA镜像进行封装处理。
当将使用第二数据存储结构封装的TA镜像转换为使用第三数据存储结构封装时,使用TEE公钥对加密密钥进行加密以获得密钥密文,加密密钥再对第二数据存储结构封装的此TA镜像进行加密处理获得TA镜像加密结果,确定与此TA镜像加密结果相对应的TA镜像存储结构版本标识;基于此TA镜像存储结构版本标识并根据第三数据存储结构对TA镜像加密结果进行封装处理。
例如,TEE平台部署有默认服务提供商私钥,当TA镜像以明文形式存储时(TA镜像存储结构版本标识为“TA1.0”),可以采用默认服务提供商私钥对其进行签名,实现TA镜像版本标识从“TA1.0”转换至“TA2.0”。如果TA镜像版本标识是“TA2.0”,则可以直接用TEE公钥对其进行加密处理,实现TA镜像版本标识从“TA2.0”转换至“TA3.0”。对于OTA方式或应用商店方式部署TA的情况,TA镜像默认采用“TA2.0”版本的存储结构(第二数据存储结构),TA镜像用服务提供商私钥签名,而不做加密处理。
在一个实施例中,本发明提供一种TA镜像存储装置50,包括:存储结构设置模块51、存储结构确定模块52、镜像数据封装模块53、默认私钥设置模块54和存储结构转换模块55。
存储结构设置模块51设置与TA镜像的存储形式相对应的数据存储结构,存储形式包括:作为TEE中的对象、文件或区块进行存储、作为携带签名的TA镜像进行存储、作为密文TA镜像进行存储等。当接收到TA镜像存储指令时,存储结构确定模块52获取需要存储的TA镜像的存储形式,将与此存储形式相对应的数据存储结构作为TA镜像存储结构。镜像数据封装模块53根据TA镜像存储结构以及预设的封装规则对需要存储的TA镜像进行封装处理并存储。
在一个实施例中,与作为TEE中的对象、文件或区块进行存储的存储形式相对应的第一数据存储结构包括:TA版本域、TA内容域。TA版本域用于保存TA镜像存储结构版本标识,TA镜像存储结构版本标识采用预设字符串格式。TA内容域用于保存TA可执行二进制内容,TA可执行二进制内容的格式包括:LV格式等。第一数据存储结构还包括:TA属性域;TA属性域用于保存TA属性,TA属性的格式包括:LV格式,此LV格式的值为使用TLV格式的数据。
在一个实施例中,与作为携带签名的TA镜像进行存储的存储形式相对应的第二数据存储结构包括:TA版本域、SP-ID域、签名域、TA内容域。SP-ID域用于保存服务提供商标识信息,签名域用于保存签名。第二数据存储结构还包括TA属性域。签名为镜像数据封装模块使用服务提供商的私钥对TA属性和/或TA可执行二进制内容进行签名得到的签名结果;进行签名的算法包括:哈希算法、填充算法、非对称算法。
在一个实施例中,与作为密文TA镜像进行存储的存储形式相对应的第三数据存储结构包括:TA版本域、密钥密文域、TA镜像密文域。密钥密文域用于保存镜像数据封装模块53使用TEE公钥对加密密钥进行加密的结果。TA镜像密文域用于保存镜像数据封装模块使用加密密钥对需要存储的TA镜像进行加密的结果。
加密密钥包括:随机数等。镜像数据封装模块53使用加密密钥对需要存储的TA镜像进行加密的算法包括:填充算法、对称算法等。镜像数据封装模块使用TEE公钥对加密密钥进行加密的算法包括:填充算法、非对称算法等。
默认私钥设置模块54在TEE平台部署默认服务提供商私钥。如果TA镜像为明文形式,存储结构转换模块55在将此TA镜像的存储结构转换为第二数据存储结构时,使用默认服务提供商私钥对此TA镜像进行签名处理获得签名,存储结构转换模块55确定与此TA镜像的存储结构相对应的TA镜像存储结构版本标识。存储结构转换模块55基于签名、此TA镜像存储结构版本标识并根据第二数据存储结构对此明文形式的TA镜像进行封装处理。
当将使用第二数据存储结构封装的TA镜像转换为使用第三数据存储结构封装时,存储结构转换模块55使用TEE公钥对加密密钥进行加密,加密密钥再对第二数据存储结构封装的此TA镜像进行加密处理获得TA镜像加密结果,存储结构转换模块55确定与此TA镜像加密结果相对应的TA镜像存储结构版本标识。存储结构转换模块55基于此TA镜像存储结构版本标识并根据第三数据存储结构对TA镜像加密结果进行封装处理。
图6为根据本发明公开的TA镜像存储装置的另一个实施例的模块示意图。如图6所示,该装置可包括存储器61、处理器62、通信接口63以及总线64。存储器61用于存储指令,处理器62耦合到存储器61,处理器62被配置为基于存储器61存储的指令执行实现上述的TA镜像存储方法。
存储器61可以为高速RAM存储器、非易失性存储器(NoN-volatile memory)等,存储器61也可以是存储器阵列。处理器62可以为中央处理器CPU,或专用集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本发明公开的TA镜像存储方法的一个或多个集成电路。
在一个实施例中,本发明提供一种终端,包括如上任一实施例中的TA镜像存储装置。终端可以为智能手机、平板电脑等。
在一个实施例中,本公开还提供一种计算机可读存储介质,其中计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如上任一实施例涉及的TA镜像存储方法。本领域内的技术人员应明白,本公开的实施例可提供为方法、装置、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
上述实施例提供的TA镜像存储方法、装置以及终端,设置与TA镜像的存储形式相对应的数据存储结构,存储形式包括作为TEE中的对象、文件或区块进行存储、作为携带签名的TA镜像进行存储、作为密文TA镜像进行存储等;获取需要存储的TA镜像的存储形式,将与此存储形式相对应的数据存储结构作为TA镜像存储结构,根据TA镜像存储结构以及预设的封装规则对需要存储的TA镜像进行封装处理并存储;既适用于通过TAM安装TA的情况,也适用于通过OTA或应用商店下载TA的情况;具有较高的灵活性和通用性,适用于各种TEE平台,而且其安全性也能得到保障。
可能以许多方式来实现本发明的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (23)
1.一种TA镜像存储方法,其特征在于,包括:
设置与TA镜像的存储形式相对应的数据存储结构;其中,所述存储形式包括:作为TEE中的对象、文件或区块进行存储、作为携带签名的TA镜像进行存储、作为密文TA镜像进行存储;
当接收到TA镜像存储指令时,获取需要存储的TA镜像的存储形式,将与此存储形式相对应的数据存储结构作为TA镜像存储结构;
根据所述TA镜像存储结构以及预设的封装规则对需要存储的TA镜像进行封装处理并存储。
2.如权利要求1所述的方法,其特征在于,
与所述作为TEE中的对象、文件或区块进行存储的存储形式相对应的第一数据存储结构包括:TA版本域、TA内容域;
其中,所述TA版本域用于保存TA镜像存储结构版本标识,所述TA镜像存储结构版本标识采用预设字符串格式;所述TA内容域用于保存TA可执行二进制内容,所述TA可执行二进制内容的格式包括:LV格式。
3.如权利要求2所述的方法,其特征在于,
所述第一数据存储结构还包括:TA属性域;
其中,所述TA属性域用于保存TA属性,所述TA属性的格式包括:LV格式,此LV格式的值为使用TLV格式的数据。
4.如权利要求3所述的方法,其特征在于,
与所述作为携带签名的TA镜像进行存储的存储形式相对应的第二数据存储结构包括:所述TA版本域、SP-ID域、签名域、所述TA内容域;
其中,所述SP-ID域用于保存服务提供商标识信息;所述签名域用于保存签名。
5.如权利要求4所述的方法,其特征在于,
所述第二数据存储结构还包括:所述TA属性域。
6.如权利要求5所述的方法,其特征在于,
所述签名为使用服务提供商的私钥对所述TA属性和/或所述TA可执行二进制内容进行签名得到的签名结果;
其中,进行签名的算法包括:哈希算法、填充算法、非对称算法。
7.如权利要求4所述的方法,其特征在于,
与所述作为密文TA镜像进行存储的存储形式相对应的第三数据存储结构包括:所述TA版本域、密钥密文域、TA镜像密文域;
其中,所述密钥密文域用于保存使用TEE公钥对加密密钥进行加密的结果;所述TA镜像密文域用于保存使用所述加密密钥对需要存储的TA镜像进行加密的结果。
8.如权利要求7所述的方法,其特征在于,所述加密密钥包括:随机数;
使用所述加密密钥对需要存储的TA镜像进行加密的算法包括:填充算法、对称算法;
使用TEE公钥对所述加密密钥进行加密的算法包括:填充算法、非对称算法。
9.如权利要求7所述的方法,其特征在于,还包括:
在TEE平台部署默认服务提供商私钥;
如果TA镜像为明文形式,则在将此TA镜像的存储结构转换为所述第二数据存储结构时,使用所述默认服务提供商私钥对此TA镜像进行签名处理获得签名,确定与此TA镜像的存储结构相对应的TA镜像存储结构版本标识;
基于所述签名、此TA镜像存储结构版本标识并根据所述第二数据存储结构对此明文形式的TA镜像进行封装处理。
10.如权利要求7所述的方法,其特征在于,还包括:
当将使用所述第二数据存储结构封装的TA镜像转换为使用所述第三数据存储结构封装时,使用TEE公钥对加密密钥进行加密以获得密钥密文,并通过加密密钥对所述第二数据存储结构封装的此TA镜像进行加密处理获得TA镜像加密结果,确定与此TA镜像加密结果相对应的TA镜像存储结构版本标识;
基于此TA镜像存储结构版本标识并根据所述第三数据存储结构对所述TA镜像加密结果进行封装处理。
11.一种TA镜像存储装置,其特征在于,包括:
存储结构设置模块,用于设置与TA镜像的存储形式相对应的数据存储结构;其中,所述存储形式包括:作为TEE中的对象、文件或区块进行存储、作为携带签名的TA镜像进行存储、作为密文TA镜像进行存储;
存储结构确定模块,用于当接收到TA镜像存储指令时,获取需要存储的TA镜像的存储形式,将与此存储形式相对应的数据存储结构作为TA镜像存储结构;
镜像数据封装模块,用于根据所述TA镜像存储结构以及预设的封装规则对需要存储的TA镜像进行封装处理并存储。
12.如权利要求11所述的装置,其特征在于,
与所述作为TEE中的对象、文件或区块进行存储的存储形式相对应的第一数据存储结构包括:TA版本域、TA内容域;
其中,所述TA版本域用于保存TA镜像存储结构版本标识,所述TA镜像存储结构版本标识采用预设字符串格式;所述TA内容域用于保存TA可执行二进制内容,所述TA可执行二进制内容的格式包括:LV格式。
13.如权利要求12所述的装置,其特征在于,
所述第一数据存储结构还包括:TA属性域;
其中,所述TA属性域用于保存TA属性,所述TA属性的格式包括:LV格式,此LV格式的值为使用TLV格式的数据。
14.如权利要求13所述的装置,其特征在于,
与所述作为携带签名的TA镜像进行存储的存储形式相对应的第二数据存储结构包括:所述TA版本域、SP-ID域、签名域、所述TA内容域;
其中,所述SP-ID域用于保存服务提供商标识信息;所述签名域用于保存签名。
15.如权利要求14所述的装置,其特征在于,
所述第二数据存储结构还包括:所述TA属性域。
16.如权利要求15所述的装置,其特征在于,
所述签名为所述镜像数据封装模块使用服务提供商的私钥对所述TA属性和/或所述TA可执行二进制内容进行签名得到的签名结果;
其中,进行签名的算法包括:哈希算法、填充算法、非对称算法。
17.如权利要求14所述的装置,其特征在于,
与所述作为密文TA镜像进行存储的存储形式相对应的第三数据存储结构包括:所述TA版本域、密钥密文域、TA镜像密文域;
其中,所述密钥密文域用于保存所述镜像数据封装模块使用TEE公钥对加密密钥进行加密的结果;所述TA镜像密文域用于保存所述镜像数据封装模块使用所述加密密钥对需要存储的TA镜像进行加密的结果。
18.如权利要求17所述的装置,其特征在于,所述加密密钥包括:随机数;
所述镜像数据封装模块使用所述加密密钥对需要存储的TA镜像进行加密的算法包括:填充算法、对称算法;
所述镜像数据封装模块使用TEE公钥对所述加密密钥进行加密的算法包括:填充算法、非对称算法。
19.如权利要求17所述的装置,其特征在于,还包括:
默认私钥设置模块,用于在TEE平台部署默认服务提供商私钥;
存储结构转换模块,用于如果TA镜像为明文形式,则在将此TA镜像的存储结构转换为所述第二数据存储结构时,使用所述默认服务提供商私钥对此TA镜像进行签名处理获得签名,确定与此TA镜像的存储结构相对应的TA镜像存储结构版本标识;基于所述签名、此TA镜像存储结构版本标识并根据所述第二数据存储结构对此明文形式的TA镜像进行封装处理。
20.如权利要求19所述的装置,其特征在于,
所述存储结构转换模块,用于当将使用所述第二数据存储结构封装的TA镜像转换为使用所述第三数据存储结构封装时,使用TEE公钥对加密密钥进行加密以获得密钥密文,并通过加密密钥对所述第二数据存储结构封装的此TA镜像进行加密处理获得TA镜像加密结果,确定与此TA镜像加密结果相对应的TA镜像存储结构版本标识;基于此TA镜像存储结构版本标识并根据所述第三数据存储结构对所述TA镜像加密结果进行封装处理。
21.一种TA镜像存储装置,其特征在于,包括:
存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1至10中任一项所述的TA镜像存储方法。
22.一种终端,其特征在于:
包括如权利要求11至21任一项所述的TA镜像存储装置。
23.一种计算机可读存储介质,其上存储有计算机程序指令,该指令被一个或多个处理器执行时实现权利要求1至10任意一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810361784.9A CN108614711B (zh) | 2018-04-20 | 2018-04-20 | Ta镜像存储方法、装置以及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810361784.9A CN108614711B (zh) | 2018-04-20 | 2018-04-20 | Ta镜像存储方法、装置以及终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108614711A true CN108614711A (zh) | 2018-10-02 |
| CN108614711B CN108614711B (zh) | 2021-12-10 |
Family
ID=63660758
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810361784.9A Active CN108614711B (zh) | 2018-04-20 | 2018-04-20 | Ta镜像存储方法、装置以及终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108614711B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567255A (zh) * | 2003-09-02 | 2005-01-19 | 四川大学 | 一种安全文件系统的存储及访问控制方法 |
| CN103034500A (zh) * | 2011-12-15 | 2013-04-10 | 微软公司 | 基于用户输入的智能推荐模式 |
| CN103747443A (zh) * | 2013-11-29 | 2014-04-23 | 厦门盛华电子科技有限公司 | 一种基于手机用户识别卡多安全域装置及其鉴权方法 |
| CN103973450A (zh) * | 2014-04-24 | 2014-08-06 | 广东华邦技术软件有限公司 | 一种通信方法、系统及终端设备 |
| CN104125216A (zh) * | 2014-06-30 | 2014-10-29 | 华为技术有限公司 | 一种提升可信执行环境安全性的方法、系统及终端 |
| US20160021058A1 (en) * | 2014-07-18 | 2016-01-21 | Comcast Cable Communications, Llc | Network Traffic Classification |
| EP3039602A1 (en) * | 2013-08-29 | 2016-07-06 | Liberty Vaults Limited | System for accessing data from multiple devices |
| CN105787353A (zh) * | 2014-12-17 | 2016-07-20 | 联芯科技有限公司 | 可信应用管理系统及可信应用的加载方法 |
| CN106548412A (zh) * | 2016-09-21 | 2017-03-29 | 广西电网有限责任公司电力科学研究院 | 一种变电站在线监测时序数据的高效压缩存储方法 |
| CN107196932A (zh) * | 2017-05-18 | 2017-09-22 | 北京计算机技术及应用研究所 | 一种基于虚拟化的文档集中管控系统 |
| CN107682159A (zh) * | 2017-10-12 | 2018-02-09 | 北京握奇智能科技有限公司 | 一种智能终端的可信应用管理方法和可信应用管理系统 |
-
2018
- 2018-04-20 CN CN201810361784.9A patent/CN108614711B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567255A (zh) * | 2003-09-02 | 2005-01-19 | 四川大学 | 一种安全文件系统的存储及访问控制方法 |
| CN103034500A (zh) * | 2011-12-15 | 2013-04-10 | 微软公司 | 基于用户输入的智能推荐模式 |
| EP3039602A1 (en) * | 2013-08-29 | 2016-07-06 | Liberty Vaults Limited | System for accessing data from multiple devices |
| CN103747443A (zh) * | 2013-11-29 | 2014-04-23 | 厦门盛华电子科技有限公司 | 一种基于手机用户识别卡多安全域装置及其鉴权方法 |
| CN103973450A (zh) * | 2014-04-24 | 2014-08-06 | 广东华邦技术软件有限公司 | 一种通信方法、系统及终端设备 |
| CN104125216A (zh) * | 2014-06-30 | 2014-10-29 | 华为技术有限公司 | 一种提升可信执行环境安全性的方法、系统及终端 |
| US20160021058A1 (en) * | 2014-07-18 | 2016-01-21 | Comcast Cable Communications, Llc | Network Traffic Classification |
| CN105787353A (zh) * | 2014-12-17 | 2016-07-20 | 联芯科技有限公司 | 可信应用管理系统及可信应用的加载方法 |
| CN106548412A (zh) * | 2016-09-21 | 2017-03-29 | 广西电网有限责任公司电力科学研究院 | 一种变电站在线监测时序数据的高效压缩存储方法 |
| CN107196932A (zh) * | 2017-05-18 | 2017-09-22 | 北京计算机技术及应用研究所 | 一种基于虚拟化的文档集中管控系统 |
| CN107682159A (zh) * | 2017-10-12 | 2018-02-09 | 北京握奇智能科技有限公司 | 一种智能终端的可信应用管理方法和可信应用管理系统 |
Non-Patent Citations (2)
| Title |
|---|
| 安智客: "GP TEE中的几种存储方式介绍", 《HTTPS://CLOUD.TENCENT.COM/DEVELOPER/ARTICLE/1043705》 * |
| 焦四辈 等: "智能终端可信执行环境安全性分析", 《互联网天地》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108614711B (zh) | 2021-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11582303B2 (en) | Multi-tenancy via code encapsulated in server requests | |
| US11757647B2 (en) | Key protection for computing platform | |
| EP3556073B1 (en) | Secure data distribution of sensitive data across content delivery networks | |
| Hummen et al. | A cloud design for user-controlled storage and processing of sensor data | |
| US20180176187A1 (en) | Secure data ingestion for sensitive data across networks | |
| CN107689868B (zh) | 客户端应用与可信应用的通信方法、装置以及终端 | |
| CN108647527B (zh) | 文件打包、文件包解包方法、装置及网络设备 | |
| JP2020502644A (ja) | ネットワークを介した機密データの安全なデータエグレス | |
| CN109844748B (zh) | 托管在虚拟安全环境中的安全服务的计算系统及方法 | |
| WO2018120913A1 (zh) | 一种获取证书、鉴权的方法及网络设备 | |
| US10963593B1 (en) | Secure data storage using multiple factors | |
| US20130039495A1 (en) | Secure key management | |
| US20100275025A1 (en) | Method and apparatus for secure communication | |
| CN114363055B (zh) | 数据传输方法、装置、计算机设备和存储介质 | |
| US11108567B2 (en) | Compute digital signature authentication verify instruction | |
| US20210328783A1 (en) | Decentralized key generation and management | |
| US20200267001A1 (en) | Compute digital signature authentication sign instruction | |
| US11368287B2 (en) | Identification of a creator of an encrypted object | |
| CN108614711A (zh) | Ta镜像存储方法、装置以及终端 | |
| CN111078224A (zh) | 软件包文件数据处理方法、装置、计算机设备及存储介质 | |
| CN114221784B (zh) | 数据传输方法和计算机设备 | |
| CN107968793A (zh) | 一种下载白盒密钥的方法、装置及系统 | |
| CN110009363A (zh) | 为受信任的交易实施安全显示视图 | |
| CN115516454B (zh) | 硬件安全模块和系统 | |
| US11645092B1 (en) | Building and deploying an application |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |