CN115396852A

CN115396852A - 基于可信执行环境的移动终端、可信服务系统及可信应用管理方法

Info

Publication number: CN115396852A
Application number: CN202211011007.4A
Authority: CN
Inventors: 潘朝阳; 朱恒毅; 王涛; 朱述波
Original assignee: Wuxi Rongka Technology Co ltd
Current assignee: Wuxi Rongka Technology Co ltd
Priority date: 2022-08-23
Filing date: 2022-08-23
Publication date: 2022-11-25

Abstract

本申请公开了基于可信执行环境的移动终端、可信服务系统及可信应用管理方法。该可信应用管理方法包括：根据用户的操作指令弹出终端管理应用的管理界面，管理界面上显示多个第三方业务应用分别对应的应用信息；经由第三方业务应用发送第三方业务请求和应用信息；获取移动终端内的路由表，路由表包括至少一项路由信息；根据路由信息调用可信执行环境中的与应用信息对应的可信应用以完成第三方业务。该可信应用管理方法采用终端管理系统提供统一的管理界面管理多个第三方业务应用，通过该管理界面采用第三方业务应用发送第三方业务请求，能快速便捷地控制第三方业务应用的功能的打开或关闭以及路由表的更新，以快速完成第三方业务，方便用户使用。

Description

基于可信执行环境的移动终端、可信服务系统及可信应用管理方法

技术领域

本发明涉及移动终端的安全技术领域，特别涉及基于可信执行环境的移动终端、可信服务系统及可信应用管理方法。

背景技术

随着移动互联网的发展，移动终端不断普及，已经成为人们日常工作生活不可或缺的部分，移动终端金融业务的交易量与支付额快速提升，各家支付机构纷纷推出了形式丰富的各类移动金融应用，因此移动终端中的数据安全和隐私保护已经成为公众关注的重要问题。利用隐私计算技术，可以在保障数据安全的前提下实现数据的交换、共享、分析和计算。隐私计算包括基于硬件的可信执行环境(Trusted Execution Environment，缩写为TEE)，利用芯片级的保护方案，具有高安全性、高性能、高通用性等优势，在金融风控、人工智能等众多领域有着广阔的应用前景。在移动终端中的一个重要应用是基于可信执行环境的移动支付，具体包含两种应用场景：手机银行应用和身份认证应用，手机银行应用包括在开通阶段申请证书以及在应用阶段生成数字签名。

在手机支付中，基于二代网银盾UKey的传统金融盾通过USB硬件接口与个人电脑或手机通信，通过人为插拔提供业务打开或关闭的功能。其部署成本高，不便于携带，与移动终端发生交互时用户体验差，不方便升级，出现问题或需升级一般需要去柜台办理。而基于“TEE+SE”、“TEE+安全存储”结合PKI的技术也是手机银行应用的主要方案，但目前基于TEE的身份认证方案，由于没有路由功能，同一方案涉及的组件都要定制化集成到移动终端环境中，在移动终端的部署碎片化严重，基于该技术的安全方案都必须与移动终端厂商配合对系统进行深度定制，集成成本高；且业务功能没有类似传统UKey的插拔功能，不符合用户的使用习惯；而且每个方案商在移动终端上部署的每个应用都有符合自身界面风格的个性化的入口界面，强迫用户记忆，用户体验不好。

发明内容

鉴于上述问题，本发明的目的在于提供基于可信执行环境的移动终端、可信服务系统及可信应用管理方法，以解决现有技术中的问题。

根据本发明的第一方面，提供一种可信应用管理方法，包括：

根据用户的操作指令弹出终端管理应用的管理界面，所述管理界面上显示多个第三方业务应用分别对应的应用信息；

经由所述第三方业务应用发送第三方业务请求和所述应用信息；

获取移动终端内存储的路由表，所述路由表包括至少一项路由信息，所述路由信息为所述第三方业务应用与移动终端内的可信应用的映射关系；以及

根据所述路由信息调用可信执行环境中的与所述应用信息对应的所述可信应用以完成第三方业务。

可选地，根据所述路由信息调用可信执行环境中的与所述应用信息对应的所述可信应用以完成第三方业务的步骤包括：

调用所述路由信息中与所述应用信息一致的所述第三方业务应用对应的所述可信应用，由所述可信应用执行所述第三方业务。

可选地，所述可信应用管理方法还包括：

查询与所述应用信息对应的所述可信应用的路由状态，所述路由状态包括打开和关闭，所述路由状态为打开时才能调用所述可信应用；

当所述路由状态为关闭状态时，根据用户确认打开路由的指令将所述可信应用的路由状态设置为打开。

可选地，所述可信应用管理方法还包括：

将所述可信应用的路由状态设置为打开或关闭以执行或终止所述可信应用对应的所述第三方业务应用的业务功能。

可选地，将所述可信应用的路由状态设置为打开或关闭以执行或终止所述可信应用对应的所述第三方业务应用的业务功能的步骤包括：

在所述管理界面上对应的所述第三方业务应用内弹出请求打开或关闭路由的页面；

接收用户的确认打开或关闭指令完成用户授权；

发送打开或关闭路由的请求和与所述第三方业务应用对应的所述应用信息；

查找所述路由信息，将与所述应用信息对应的所述可信应用的路由状态设置为打开或关闭。

可选地，所述第三方业务请求包括服务提供商提供的以下至少一种业务的请求：数字证书申请、交易签名验签、移动支付、银行账户查询。

可选地，所述应用信息包括：应用中文名和/或应用英文名、应用包名、应用数字证书指纹信息、应用数字证书摘要，不同的所述第三方业务请求对应的所述应用信息不完全相同；

所述路由信息包括：第三方业务标识、应用中文名和/或应用英文名、应用包名、应用数字证书指纹信息、可信应用标识、可信用户界面标识、路由状态，所述第三方业务标识用于区分多个服务提供商的第三方业务，所述可信应用标识用于指示与所述第三方业务相对应的可信应用，所述可信用户界面标识用于指示与所述第三方业务相对应的可信用户界面。

可选地，所述可信应用管理方法还包括：

根据所述路由信息调用可信执行环境中的与所述第三方业务应用对应的所述可信用户界面以完成信息输入和确认业务。

可选地，所述可信应用管理方法还包括：

在移动终端内预置初始化的路由表。

可选地，所述可信应用管理方法还包括：

从所述终端管理应用中获取路由表的签名包以创建所述初始化的路由表；

根据对所述终端管理应用中所述签名包的查询结果更新所述路由表，其中，所述签名包包括路由表的版本信息、路由表和签名信息。

可选地，根据对所述终端管理应用中所述签名包的查询结果更新所述路由表的步骤包括：

根据所述终端管理应用的应用升级安装包获取所述签名包；

根据路由表的同步请求解析所述签名包，获取所述版本信息和签名信息；

将移动终端内的所述路由表的版本信息与所述签名包内的所述版本信息进行比较，以判断是否更新所述路由表；

当所述移动终端内的所述路由表的版本信息低于所述签名包内的所述版本信息时，校验所述签名信息；

存储校验成功后的所述签名包内的所述路由表和版本信息。

根据本发明的第二方面，提供一种移动终端，

所述移动终端的执行环境包括富执行环境和可信执行环境，所述移动终端包括：

客户端应用，安装在所述富执行环境中；

可信应用，安装在所述可信执行环境中；

终端管理应用，安装在所述富执行环境中，所述终端管理应用提供显示多个第三方业务应用的应用信息的管理界面；

第三方业务应用，安装在所述富执行环境中，经由所述第三方业务应用发送第三方业务请求和所述应用信息；以及

应用管理模块，安装在所述可信执行环境中，所述应用管理模块根据移动终端内存储的路由表的至少一项路由信息调用与所述应用信息对应的所述可信应用以完成第三方业务，所述路由信息为所述第三方业务应用与移动终端内的可信应用的映射关系。

可选地，所述移动终端还包括：

路由表，所述路由表包括版本信息，其中，所述应用管理模块根据所述应用信息查询所述路由表，以获取与所述第三方业务相应的可信应用。

可选地，所述路由表存储在所述可信执行环境中的安全文件系统中。

可选地，所述的移动终端还包括：

安全单元，在所述安全单元中部署有与所述可信应用对应的业务小程序以及通信模块，通过所述通信模块接收所述可信执行环境发送的消息并返回响应消息，所述路由表是存储在所述安全元件中的数据文件。

可选地，所述应用管理模块还用于根据所述管理界面上相应的所述第三方业务应用发送的打开或关闭路由的请求将与所述第三方业务应用对应的所述可信应用的路由状态设置为打开或关闭。

可选地，所述终端管理应用根据应用升级安装包获取路由表的签名包，所述签名包包括路由表的版本信息、路由表和签名信息，所述签名包中的所述版本信息高于所述安全文件系统中存储的所述路由表的版本信息时，所述应用管理模块将所述签名包中的所述路由表更新至所述安全文件系统中。

根据本发明的第三方面，提供一种可信服务系统，包括：第三方服务器；以及上述的移动终端，其中，所述移动终端向所述第三方服务器提交业务调用请求，与所述第三方服务器建立安全通道以完成第三方业务。

根据本发明的移动终端，在REE中部署了终端管理应用，以管理REE上的多个第三方业务应用，为多个第三方业务应用提供统一的管理入口和管理界面，通过该统一的管理界面可以发送第三方业务请求和第三方业务应用的应用信息；而部署在移动终端的TEE中的管理应用模块又可以根据内部存储的路由表调用与应用信息指示的第三方业务应用相对应的可信应用来完成第三方业务。因此，移动终端通过在REE中部署终端管理应用可以为移动终端的多种安全方案提供统一的管理入口，方便用户快速高效地定位到第三方业务应用并快速执行第三方业务，而路由表和管理应用模块的设置使得用户可以快速定位到需要的可信应用执行安全方案，可以优化可信应用的部署，同一方案不需要为每个应用定制系统组件，降低了方案设计开发实现与集成的成本和系统运行的内存损耗，减少移动终端厂商的可信应用部署成本。相应的，基于该移动终端的可信服务系统可以显著减少服务提供商的可信应用开发成本。

本发明实施例的可信应用管理方法基于移动终端，根据用户的操作指令打开终端管理应用，可以对其管理界面上显示的多个第三方业务应用进行操作，经由管理界面发送第三方业务请求和应用信息，以及通过管理界面将对应可信应用的路由状态设置为打开或关闭，为用户提供了业务功能打开或关闭的简便操作，统一的管理入口方便用户查找安全方案支持的应用，无需用户强行记忆，提升了用户的使用体验，而统一的业务功能管理又使得用户可根据自己的风险喜好和使用习惯，随时随地打开或关闭指定应用的业务，既提升了用户体验，又提高了系统的安全性。

进一步地，在上述的可信应用管理方法中，移动终端根据可信应用的路由信息选择相应的可信应用，且路由表的升级方式灵活，仅需下载新版本的终端管理应用，就可以获取其中的签名包，解析出对应的路由表和版本信息，从而根据版本信息更新路由表，无需与后台服务器对接，降低了系统架构的复杂度，也增加了系统的稳定性，更不依赖系统OTA(Over-the-Air，空中下载)升级，保证了应用路由表的实时性和有效性。

附图说明

通过以下参照附图对本发明实施例的描述，本发明的上述以及其他目的、特征和优点将更为清楚，在附图中：

图1示出同时具备REE和TEE操作环境的移动终端的示意性框图。

图2示出根据本发明实施例的可信服务系统的示意性框图。

图3示出图2所示的可信服务系统中的移动终端的示意性框图。

图4示出图3所示的移动终端中路由表的数据文件示意图。

图5示出根据本发明实施例的可信应用管理方法的示意性流程图。

图6示出根据本发明实施例的可信应用管理方法中数字证书申请的详细流程图。

图7示出根据本发明实施例的可信应用管理方法中路由状态设置的示意性流程图。

图8示出根据本发明实施例的可信应用管理方法中数字证书使用的详细流程图。

图9示出根据本发明实施例的可信应用管理方法中数字证书使用时移动终端和第三方服务器的交互图。

图10示出根据本发明实施例的可信应用管理方法中路由表更新的详细流程图。

具体实施方式

以下将参照附图更详细地描述本发明。在各个附图中，相同的元件采用类似的附图标记来表示。为了清楚起见，附图中的各个部分没有按比例绘制。此外，可能未示出某些公知的部分。

本文使用的术语仅用于描述特定实施例，除非在上下文中清楚指出，术语本身并非用于限制本申请的公开内容。为了清楚描述特定实施例，以下仅给出一些术语的示例性说明。

术语

“移动终端”，又称为“智能终端”，包括但不限于移动电话、移动电脑、平板电脑、个人数字助理(Personal Digital Assistant，PDA)、媒体播放器、智能电视、智能手表、智能眼镜、智能手环、智能汽车及车载终端等。

“操作系统”(Operating System，OS)，管理计算机硬件与软件资源的计算机程序，计算机系统的内核与基石。移动终端提供了富执行环境(Rich Execution Environment，REE)和可信执行环境(Trusted Execution Environment，TEE)。在REE中运行大处理能力和多媒体功能的主操作系统，如Android、iOS等。TEE是与主操作系统隔离的安全环境，例如TEE中运行高安全级别的安全操作系统。

“可信执行环境”(Trusted Execution Environment，TEE)，是与主操作系统隔离的计算机系统中的环境，使用硬件和软件两者来提供隔离。可信执行环境典型地具有与主操作系统相比更安全并且针对执行应用提供增加的安全等级。在TEE中运行的可信应用具有对设备的主处理器和存储器的完全访问权，同时硬件隔离保护可信应用免受运行在主操作系统中的用户安装的应用影响。TEE内的软件和密码隔离保护TEE内包含的可信应用免受彼此影响。可信执行环境可以由处理器实现，该处理器包括安全执行技术，例如，Intel的SGX技术、Intel的可管理引擎、或者ARM的TrustZone。

“安全单元”(Secure Element，SE)，也是一种安全环境，是一种具有防篡改功能的电子元件，可以安装到移动终端上以提供安全的、机密的数据保存和运行环境。推而广之，提供了用于安装应用的存储空间、具有已安装应用管理功能的硬件设备都可以视为一个安全单元，例如安装了Android系统的智能手机可以安装第三方业务应用，并且安卓操作系统可以管理这些第三方业务应用并提供一定的保护，故而可以视为一个广义的安全单元。SE由软件和防篡改硬件组成，支持高级别的安全性，如SIM卡、金融IC卡、智能SD卡等，可以与TEE一起运行。

“客户端应用”(Client Application，CA)和“可信应用”(Trusted Application，TA)，分别是运行在REE和TEE上的应用。CA是第三方业务应用访问TA的唯一通道，承担了对TA的访问控制管理，将第三方业务应用需要隔离保护的核心代码、关键业务逻辑、敏感数据分离到TA里实现。例如，CA提供TA的管理功能和证书管理功能，包括：TA的下载、安装、更新、删除、访问控制，以及证书的申请、下载、更新及删除。TA可以访问设备主处理器和内存的全部功能，硬件隔离技术保护其不受安装在REE的应用软件的影响。尽管CA和TA分别运行彼此隔离的环境中，但是CA仍然可以通过调用位于REE的TEE客户端的应用编程接口(Application Programming Interface，API)去访问TA，从而使用TEE及TA提供的安全功能。

“可信用户界面”(Trusted User Interface，TUI)是运行在TEE或TVM上的应用界面，用于安全地给用户呈现交互界面，防止钓鱼等形式的攻击，以及将交互结果提供给TA。

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

图1示出同时具备REE和TEE操作环境的移动终端的示意性框图。

如图1所示，移动终端1包括REE101和TEE102以及SE103，在REE101中部署有APP(以及对应的工具包SDK)11、CA12和富执行环境操作系统ROS13，在TEE102中部署有TA21、可信执行环境操作系统TOS23和TUI22，SE103中部署有Applet31，TA21通过驱动器与Applet31实现交互，CA12和TA21共享内存。目前大多数具有TEE的移动终端均包含上述结构。在该移动终端1中，没有路由控制能力，只支持业务能力，那么一个第三方业务供应商对应一对CA和TA，每个第三方业务供应商对应的CA和TA之间具有唯一的连通路径，采用这样的移动终端1实现安全方案例如银行业务时，所有第三方业务供应商涉及的组件都要定制化集成到移动终端环境中，集成成本较高，且每个第三方业务应用APP11均需要打开各自的控制页面，特色各异的多个个性化入口和控制页面会降低用户的操作效率，用户体验不好。

本发明在该移动终端1的基础上进行改进，增加统一的管理入口，经由该统一的管理入口启用第三方业务请求，通过路由信息完成TA的调用以实现第三方业务；而且通过统一的管理入口还可以快捷控制业务功能的打开或关闭以及实现路由表的升级和更新。以下结合具体实施例介绍本发明的基于可信执行环境的移动终端、可信服务系统和可信应用管理方法。

图2示出根据本发明实施例的可信服务系统的示意性框图。

如图2所示，可信服务系统10包括经由网络连接的多个移动终端100和多个第三方服务器200。第三方服务器200是由服务提供商(Service Provider，缩写为SP)在网络环境下为移动终端提供第三方业务服务的专用计算机系统。第三方服务器200包括但不限于CISC(复杂指令集)架构服务器、RISC(精简指令集)架构服务器、EPIC架构服务器。第三方业务例如包括：在线银行业务、在线商务、在线教育、在线投票等。移动终端100支持多个第三方业务的服务提供商，即多个第三方服务器200。在手机盾的应用场景中，移动终端100例如是用户使用的智能手机，第三方服务器200的服务提供商例如是银行，第三方业务例如是银行提供的移动支付服务。

结合图2和图3，移动终端100的操作环境包括REE110和TEE120，以及安全单元SE130。在REE110中部署有富操作系统(Rich Operating System)ROS113以及客户端应用CA112。在可信执行环境TEE中部署有可信操作系统(Trusted Operating System)TOS123以及与客户端应用CA112对应的多个可信应用TA122。在安全单元SE130中部署有与TA对应的业务小程序(Applet)131以及通信模块，安全单元SE130可通过该通信模块接收TEE120发送的消息并返回响应消息。TEE120中还可以包括SE驱动以实现与安全单元SE130的通信能力。REE110中还可以包括SE访问接口以访问安全单元SE130中的小程序131。

客户端应用CA112和富操作系统ROS113之间通过可信执行环境客户端接口通信，可信应用TA122和可信操作系统TOS123之间通过可信执行环境内部接口通信，客户端应用CA112和可信应用TA122之间通过共享内存传输数据。其中，富操作系统ROS113与可信操作系统TOS123具有通信接口，客户端应用CA112和可信应用TA122还可以通过调用富操作系统ROS113与可信操作系统TOS123之间的通信接口通信。该可信执行环境客户端接口和该可信执行环境内部接口均可以是应用程序编程接口(Application Programming Interface，缩写为API)。可以将可信应用TA122的一些通用功能集成到可信操作系统TOS123中，来简化可信应用TA122的复杂度。

另外，在TEE120中还提供可信用户界面TUI 124，TA122通过可信用户界面TUI 124与用户交互完成后，通过SE驱动向安全元件SE130的通信模块发送用户交互的结果。在REE110中还部署有多个第三方业务的服务提供商分别提供的第三方业务应用APP以及与第三方业务应用APP111相对应的工具包(Software Development Kit，缩写为SDK)SDK。第三方业务应用APP111经由相对应的工具包SDK的接口调用客户端应用CA112。CA112可以视为HAL(Hardware Abstract Layer，硬件抽象层)，SDK提供的接口为系统服务，那么，第三方业务应用APP111接收第三方服务器的业务调用请求，通过系统服务调用作为HAL的CA112，从而根据路由信息访问TEE120中对应的TA122，TA122对CA112传输的关键数据进行处理。客户端应用CA112又称为普通应用，用于提供一些基础的算法和接口等，可信应用TA122又称为安全应用。第三方业务的服务提供商的完整应用均包括客户端应用CA112以及与之对应的可信应用TA122，二者协同工作，实现应用程序的完整功能。

在优选的实施例中，本发明的移动终端100还包括终端管理应用114、应用管理模块121和路由表125。终端管理应用114安装在REE110中，提供显示多个第三方业务应用111分别对应的应用信息的管理界面，经由该终端管理应用114提供的统一的管理入口可以快速管理多个APP111，例如经由该管理界面控制第三方业务应用111发送第三方业务请求和应用信息至TEE120。应用管理模块121部署在TEE120中，接收第三方业务请求和应用信息，并根据移动终端内存储的路由表125的至少一项路由信息调用与应用信息对应的可信应用TA122以完成第三方业务。第三方业务请求包括服务提供商提供的以下至少一种业务的请求：数字证书申请、交易签名验签、移动支付、银行账户查询。甚至，第三方业务还可以包括设置路由状态(打开或关闭)。

路由表125是存储在安全环境中的数据文件。例如，该数据文件是可信执行环境TEE120的安全文件系统中的文件，或者是安全元件SE130中保存的文件。当移动终端100不具备SE130时，路由表125是存储在TEE120中的安全文件系统中的文件；而当移动终端100具备SE130时，路由表125根据实际需求选择存储在TEE120的安全文件系统中或存储在SE130中。路由表125包括版本信息和至少一项路由信息，其中，应用管理模块121根据接收到的应用信息查询路由表125，获取对应路由信息，对比应用信息和路由信息，以调用与应用信息对应的第三方业务应用111相应的可信应用122，执行相应的第三方业务。路由信息为第三方业务应用111与移动终端内的可信应用122的映射关系。REE110中的APP111与TEE120中的TA122、TUI124，是通过路由信息进行绑定的，即路由信息是APP111、TA122和TUI124的映射关系集合，这种映射关系中的信息包括但不限于：应用(APP)中文名、应用(APP)英文名，应用(APP)包名，应用(APP)数字证书指纹信息，TA，TUI。例如在调用可信应用时，通过应用包名和应用数字证书指纹信息找到对应TA和TUI，同时，APP111可通过状态决定能否调用，以及调用哪个TA和TUI。

因此，本实施例中，应用信息包括：应用(APP)中文名和/或应用英文名、应用包名、应用数字证书指纹信息、应用数字证书摘要，不同的第三方业务请求对应的应用信息不完全相同。而路由信息包括：第三方业务标识、应用APP中文名和/或应用英文名、应用包名、应用数字证书指纹信息、可信应用标识TA、可信用户界面标识TUI、路由状态，第三方业务标识用于区分多个服务提供商的第三方业务，可信应用标识用于指示与第三方业务相对应的可信应用，可信用户界面标识用于指示与第三方业务相对应的可信用户界面。根据第三方业务标识，应用管理模块121查找路由表125，从而获取第三方业务相应的可信应用的路由信息。客户端应用CA112根据路由信息选择相应的可信应用以执行在安全环境中的业务逻辑。

当用户需要执行第三方业务时，根据用户的操作指令，例如是点击指令，打开终端管理应用114，进入其管理界面，显示多个APP111分别对应的应用信息，应用信息例如是应用的中文名或英文名，根据应用信息选择对应的APP111，显示APP111内的多项业务入口，由APP111调用CA112向应用管理模块121发送第三方业务请求和APP111对应的部分应用信息，应用管理模块121根据路由表125中的路由信息，获取路由信息中与应用信息相对应的TA122，在对应TA122的路由状态为打开的情况下，调用对应的TA122执行第三方业务。通过统一的管理入口显示多个APP111分别对应的应用信息及其内部的业务入口，通过列表形式展示多个业务入口，可以使用户快捷方便地找到需要使用的APP111和对应的业务入口，从而能快速执行第三方业务，不必强迫记忆每种APP111内部原本的个性化业务入口界面。另外，应用管理模块121还用于根据管理界面上相应的第三方业务应用111发送的打开或关闭路由的请求将与第三方业务应用111对应的可信应用122的路由状态设置为打开或关闭。即通过终端管理应用114的管理界面还可以控制APP111对应的TA122的路由状态，当路由状态为打开状态时才能执行对应业务，否则需要先打开路由才能执行第三方业务，通过统一的管理入口管理各应用的路由状态的打开和关闭，从而控制其业务能力的执行与否，实现快捷地业务能力打开或关闭功能，提升了终端的安全性。

进一步地，本实施例的TA122和TUI 124的调用是相互独立的，在REE110内还具有相应的TUI HAL服务以根据路由信息调用相应的TUI 124。

在进一步的实施例中，终端管理应用114还可以根据应用升级安装包获取路由表的签名包，签名包包括路由表的版本信息、路由表和签名信息，当新获取的签名包中的版本信息高于安全文件系统中原先存储的路由表125的版本信息时，应用管理模块121将签名包中的路由表更新至安全文件系统或安全单元中。可以理解，TEE120中最先存储的路由表125也是从移动管理终端114获取的初始化的路由表，当应用的业务场景发生变化，如：有新增的APP111要加入，或者有APP111需要从终端暂停或移除，亦或者应用的业务场景具有定制化的特殊需求时，只需要通过下载终端管理应用114对应的升级安装包，获取其中的签名包，再通过对比签名包中的版本信息和目前存储的路由表的版本信息，根据比较结果更新路由表即可实现，无需修改和另外设计需求的设计实现方案。因此，通过本实施例的移动终端100，路由表的升级无需依赖后台服务器，即无需与第三方服务器建立线上连接和传输，降低了系统架构的复杂度，也增加了系统的稳定性，路由表更新只在移动终端100内部完成，不依赖系统OTA(Over-the-Air，空中下载)升级，缩短更新时间，保证了路由表的实时性和有效性。

图4示出图3所示的移动终端中路由表的数据文件示意图。

如图4所示，图3中的路由表12是存储在安全环境中的数据文件。例如，该数据文件是可信执行环境TEE120的安全文件系统中的文件，或者是安全元件SE130中保存的文件。路由表125包括版本信息以及至少一项路由信息。其中，每项路由信息至少包括应用信息和可信应用TA标识。优选地，每项路由信息还可以包括附加的可信用户界面TUI标识。路由表125还可以包括路由开关状态，指示相应的TA122是否可以执行相应的第三方业务。

该可信应用管理方法包括如下所述的步骤S101至S104。例如，该可信应用管理方法可以应用于图2至图4所示的可信服务系统，以下结合图2至图4，对根据本实施例的可信应用管理方法进行详细说明。

在步骤S101中，根据用户的操作指令弹出终端管理应用的管理界面，管理界面上显示多个第三方业务应用分别对应的应用信息。

本步骤中，根据用户的操作指令(例如是单击或双击等)打开终端管理应用114，弹出管理界面，在其上显示多个APP111分别对应的应用信息，APP111与其应用信息一一对应，或者是在管理界面上显示至少一个APP111的多个应用信息，应用信息例如是应用的中文/英文名称等。通过对应用信息的操作可以进入APP111内部执行相应业务。

在步骤S102中，经由第三方业务应用发送第三方业务请求和应用信息。

本步骤中，找到想要打开的APP111对应的应用信息，进入APP111内部，向TEE120发送第三方业务请求和应用信息(例如是应用包名和应用数字证书指纹信息等)，第三方业务请求例如是数字证书的开通请求或使用请求，甚至路由打开或关闭请求。

在步骤S103中，获取移动终端内存储的路由表，路由表包括至少一项路由信息，路由信息为第三方业务应用与移动终端内的可信应用的映射关系。

本步骤中，TEE120中的应用管理模块121获取预置的路由表125，获取对应的路由信息。因此，在此步骤之前，该可信应用管理方法还包括：在移动终端内预置初始化的路由表，该路由表例如是从终端管理应用114获取的签名包中解析出来的，最初版本的终端管理应用114中签名包对应初始化的路由表，升级版本的终端管理应用114中签名包对应更新版本的路由表。

在步骤S104中，根据路由信息调用可信执行环境中的与应用信息对应的可信应用以完成第三方业务。

本步骤包括：应用管理模块121对比应用信息和路由信息，根据应用信息可以查找对应的路由信息，调用路由信息中与应用信息一致的第三方业务应用对应的可信应用，由可信应用执行第三方业务。第三方业务请求包括服务提供商提供的以下至少一种业务的请求：数字证书申请、交易签名验签、移动支付、银行账户查询、打开或关闭路由功能。

应用信息包括：应用中文名和/或应用英文名、应用包名、应用数字证书指纹信息、应用数字证书摘要，不同的第三方业务请求对应的应用信息不完全相同；路由信息包括：第三方业务标识、应用中文名和/或应用英文名、应用包名、应用数字证书指纹信息、可信应用标识、可信用户界面标识、路由状态。

进一步地，在步骤S104之后还包括：根据路由信息调用可信执行环境中的与第三方业务应用对应的可信用户界面以完成信息输入和确认业务。本步骤适用的是TA和TUI分开管理的系统，先由TA执行相应第三方业务，再由TUI进行信息确认和输入等业务。

在优选的实施例中，该可信应用管理方法在步骤S103之后还包括：查询与应用信息对应的可信应用的路由状态，路由状态包括打开和关闭，路由状态为打开时才能调用可信应用；当路由状态为关闭状态时，根据用户确认打开路由的指令将可信应用的路由状态设置为打开。

本步骤中，在应用管理模块121获取到应用信息和第三方业务请求后，调用路由表125查找到对应的TA122后，还需要先判断此时的TA122的路由状态，仅当路由状态为打开状态下才可以继续执行相应的第三方业务，否则，路由状态为关闭时表示该可信应用暂时关闭了执行第三方业务的能力。只有在路由状态为打开状态下且通过路由信息能调用到对应的TA122时才可以执行相应的第三方业务。因此，在路由状态为关闭状态时，需要打开路由，此时根据用户的确认打开路由的指令将可信应用的路由状态设置为打开。

因此，进一步地，可信应用管理方法还包括：将可信应用的路由状态设置为打开或关闭以执行或终止可信应用对应的第三方业务应用的业务功能。这一步骤中，用户可以根据自身的喜好或习惯等打开或关闭对应可信应用的路由状态，以选择让哪些第三方业务可以执行或终止执行，实现类似二代网银盾的插拔功能，保障系统的安全性，而且该操作通过统一的管理入口执行，快速方便。本步骤例如设置在步骤S103之前的任一步骤前后或在步骤S104之后。

在优选的实施例中，本实施例的可信应用管理方法还包括：从终端管理应用中获取路由表的签名包以创建初始化的路由表；根据对终端管理应用中签名包的查询结果更新路由表，其中，签名包包括路由表的版本信息、路由表和签名信息。而根据对终端管理应用中签名包的查询结果更新路由表的步骤具体包括：根据终端管理应用的应用升级安装包获取签名包；根据路由表的同步请求解析签名包，获取版本信息和签名信息；将移动终端内的路由表的版本信息与签名包内的版本信息进行比较，以判断是否更新路由表；当移动终端内的路由表的版本信息低于签名包内的版本信息时，校验签名信息；存储校验成功后的签名包内的路由表和版本信息。下文中图10示出了路由表更新的详细流程图。

而且本实施例的可信应用管理方法，为基于TEE+SE或TEE的移动终端的数字证书申请、身份认证等方案增加了采用路由表调用可信应用的策略后，同一方案不需要为每个应用定制系统组件，降低了方案设计开发实现难度与集成的成本和系统运行的内存损耗；且路由表的升级方式灵活，仅需下载新版本的终端管理应用，就可以获取其中的签名包，解析出对应的路由表和版本信息，从而根据版本信息更新路由表，无需与后台服务器对接，降低了系统架构的复杂度，也增加了系统的稳定性，更不依赖系统OTA(Over-the-Air，空中下载)升级，保证了应用路由表的实时性和有效性。

图6示出根据本发明实施例的可信应用管理方法中数字证书申请的详细流程图。如图6所示，在本实施例中，用户在第三方业务应用APP中执行以下的数字证书开通流程。

在步骤S10中，预置初始版本的路由表。

应用管理模块121预置初始版本的路由表，存储至移动终端。

在步骤S11中，通过终端管理应用的管理界面显示终端支持的多个第三方业务应用的应用信息。

进入终端管理应用，获取终端所有已支持的第三方业务应用的路由信息，并在管理界面显示已支持的APP的应用信息，如：应用的中文/英文名称等。

在步骤S12中，第三方业务应用请求申请数字证书请求报文。

用户通过终端管理应用114的管理界面开通APP的数字证书功能，由APP调用工具包SDK生成证书请求接口，SDK经由CA112向应用管理模块121发送密钥对请求报文和用户密钥设置指令，密钥对请求报文和用户密钥设置指令分别包括第三方业务标识。

在步骤S13中，根据数字证书的开通请求获取路由表中的路由信息。

通过CA112将APP的应用信息(如应用包名和应用数字证书的指纹信息等)和数字证书的开通请求传送给应用管理模块121。

在步骤S14中，比对应用信息和路由信息。

应用管理模块121将APP的应用信息与路由信息比对，查询到正确的路由信息并且路由处于打开状态后，通过路由信息调用对应的TA122。

在步骤S15中，根据第三方业务的路由信息调用可信应用进行权限验证。

应用管理模块121在接收密钥对请求报文之后，查询路由表125以调用对应的TA122，TA122经由SE驱动与安全单元SE130进行通信，安全元件SE130执行安全或密码学相关的运算以产生密钥对。

在步骤S16中，根据第三方业务的路由信息调用可信用户界面设置用户密钥。

APP111调用CA112的启动可信界面的接口，获取路由信息，找到对应的可信界面的信息(如：可信界面的名称)，继而启动对应的可信界面完成信息确认或输入等功能。用户在可信用户界面中设置用户密钥，调用与可信应用标识相对应的可信应用以保存用户密钥。

在步骤S17中，根据第三方业务的路由信息调用可信应用生成数字证书请求报文。

应用管理模块121在接收报文生成请求之后，调用可信应用，安全元件SE130执行安全或密码学相关的运算，根据用户密钥和密钥对生成公钥和对公钥的签名，可信应用将安全元件SE130产生的公钥和公钥签名生成数字证书请求报文，并且用移动终端的设备密钥签名。

以上步骤都是在移动终端内部执行的。之后由移动终端与第三方服务器通信。

在步骤S18中，提交数字证书签发请求。

移动终端向第三方服务器提交数字证书签发请求。

在步骤S19中，签发数字证书。

第三方服务器采用移动终端的设备公钥验证数字证书请求报文后，请求证书签发机构生成数字证书，然后将数字证书返回移动终端。

在步骤S20中，写入数字证书。

移动终端的第三方业务应用APP接收到数字证书之后，通过CA112控制应用管理模块121调用TA122，TA122将数字证书写入移动终端的可信执行环境TEE的安全文件系统中。

在步骤S201中，在管理界面上对应的第三方业务应用内弹出请求打开或关闭路由的页面。

本步骤中，用户进入终端管理应用114的管理界面，将已开通数字证书的APP111对应的路由状态设置为关闭或打开，主要是通过在管理界面上对应的第三方业务应用111内弹出请求打开或关闭路由的页面。

在步骤S202中，接收用户的确认打开或关闭指令完成用户授权。

本步骤中，在请求打开或关闭路由的页面上进行确认，根据用户的确认指令完成用户授权，授权后才能打开或关闭路由功能。

在步骤S203中，发送打开或关闭路由的请求和与第三方业务应用对应的应用信息。

本步骤中，终端管理应用114调用系统服务的关闭或打开接口，继而将APP111的应用信息和第三方业务应用传输给应用管理模块121。

在步骤S204中，查找路由信息，将与应用信息对应的可信应用的路由状态设置为打开或关闭。

本步骤中，应用管理模块121将APP111的应用信息与路由信息比对，查询到正确的路由后将该路由状态设置为打开或关闭状。

图8示出根据本发明实施例的可信应用管理方法中数字证书使用的详细流程图。如图8所示，数字证书使用流程涉及REE110和TEE120的交互过程。

在步骤S21中，用户通过终端管理应用的管理界面使用第三方业务应用的数字证书功能。

用户通过终端管理应用114的管理界面打开APP111，使用数字证书功能(例如请求交易签名)。

在步骤S22中，发送交易签名请求和应用信息。

APP111调用终端管理应用114的路由状态查询接口，终端管理应用114调用系统服务(APP与CA之间的沟通桥梁)的状态查询接口，继而将APP的应用信息(包括应用包名、应用签名证书的摘要信息)传输给应用管理模块121。

在步骤S23中，对比路由信息和应用信息，查询路由状态。

在步骤S24中，发送路由状态。

应用管理模块121将APP的应用信息与路由信息比对，查询到正确的路由后将路由状态向上层传递，直至返回APP111。

在步骤S25中，路由状态为关闭状态，发送打开路由的请求。

在步骤S26中，将路由状态设置为打开。

若APP111获取到路由状态为关闭时，调用终端管理应用114请求打开路由接口：终端管理应用114核验APP111的应用信息后，显示请求打开路由的界面；用户可以取消打开路由，流程终止；若用户确定要重新打开路由，则需要先进行授权，用户确定重新打开路由后，终端管理应用114调用系统服务的打开路由接口，继而将应用信息和打开路由的请求传输给应用管理模块121；应用管理模块121将应用信息与路由信息列表比对(路由信息包括业务应用的英文名称、应用中文名称、应用包名、应用签名证书的指纹信息、业务TA标识、TUI标识、开关状态等)，路由信息比对结果正确后，应用管理模块121将路由状态设置为打开状态。

在步骤S27中，路由状态为打开状态，对比应用信息和路由信息，获取与第三方业务应用对应的可信应用。

若APP111获取到路由状态为打开状态时，应用管理模块121将应用信息与路由信息列表比对，路由信息比对结果正确后，应用管理模块121检查路由开关状态，通过路由信息调用可信应用完成业务功能，从而APP111完成数字证书功能的使用。

在本实施例中，用户在第三方业务应用APP111中使用第三方业务，则第三方业务应用APP111将执行以下的数字证书使用流程。移动终端100上的第三方业务应用APP111可以支持多个服务提供商的第三方业务，例如，第三方业务应用APP111是支持多个银行机构提供移动支付功能的手机钱包应用。

在步骤S31中，第三方应用请求交易签名。

第三方业务应用APP111调用工具包SDK生成交易签名请求接口。该工具包SDK经由客户端应用CA向应用管理模块121发送交易签名报文和用户密钥校验指令。交易签名和用户密钥校验指令分别包括第三方业务标识。

在步骤S32中，根据第三方业务的路由信息调用相应的可信应用进行权限验证。

移动终端100的应用管理模块121在接收交易签名之后，根据第三方业务标识对路由表125进行数据查询，以获取第三方业务标识相对应的可信应用标识。进一步地，应用管理模块121调用与可信应用标识相对应的可信应用，可信应用进行权限校验，在校验通过后保存签名请求数据。进一步地，可信应用返回至工具包SDK。

在步骤S33中，根据第三方业务的路由信息调用可信用户界面显示待签名内容并请求校验用户密钥。

移动终端100的应用管理模块121在收到用户密钥校验请求指令之后，根据第三方业务标识对本地路由表125进行数据查询，以获取第三方业务标识相对应的可信应用标识和可信用户界面标识。进一步地，应用管理模块121调用与可信用户界面标识相对应的可信用户界面，显示待签名的内容，并提示用户在可信用户界面中输入用户密钥(或称为，用户PIN码)，调用与可信应用标识相对应的可信应用校验用户密钥。进一步地，可信应用将用户密钥校验请求结果返回至工具包SDK。

在步骤S34中，根据第三方业务的路由信息调用相应的可信应用生成签名验签报文。

移动终端100的工具包SDK产生报文生成请求。报文生成请求包括第三方业务标识。应用管理模块121在接收报文生成请求之后，根据第三方业务标识对路由表125进行数据查询，以获取第三方业务标识相对应的可信应用标识。进一步地，应用管理模块121调用与可信应用标识相对应的可信应用，可信应用经由SE驱动与安全单元SE130进行通信，安全元件SE130执行安全或密码学相关的运算，根据用户密钥和待签名的数据完成用户密钥验证并生成签名结果。进一步，可信应用获取签名结果后生成签名验签报文。进一步地，移动终端100的应用管理模块121从可信应用获取签名验签报文，以及移动终端100的第三方业务应用APP111经由客户端应用CA112从应用管理模块121获取签名验签报文。

在步骤S35中，移动终端向第三方业务服务器提交验签请求。其中，移动终端100的第三方业务应用APP111将签名验签报文发送至第三方服务器200。

在步骤S36中，第三方服务器进行签名验证。

在步骤S37中，将签名验证的结果返回移动终端100。

如图10所示，其中S41-S44为线下路由表更新过程，主要是移动终端厂商和方案商之间的交互；步骤S51-S57为移动终端内路由表的更新过程，主要是REE110和TEE120的交互。

在步骤S41中，移动终端提供第三方业务应用对应的应用信息。

移动终端100厂商将第三方业务应用APP111的白名单和应用信息经由网络传输至方案商。

在步骤S42中，方案商根据应用信息生成路由表对应的签名包。签名包包括路由表、版本信息和签名信息。

在步骤S43中，方案商向移动终端厂商提供第三方业务应用对应的路由表的签名包文件。

在步骤S44中，移动终端厂商将签名包导入应用，并发布终端管理应用的升级版本。

在步骤S51中，REE110侧下载终端管理应用114的升级版本，获取签名包。

在步骤S52中，第三方业务应用请求同步路由表。

在步骤S53中，解析签名包，同步路由表，获取签名包中的路由表版本信息。

由APP111获取签名包并解析出路由表和版本信息。

在步骤S54中，对比签名包的路由表的版本信息与预置的路由表的版本信息。

在REE110中，对比移动终端内的路由表的版本信息和刚解析出的路由表的版本信息。

在步骤S55中，版本不一致时请求更新路由表。

版本信息不一致时，需要更新路由表，例如签名包中的版本信息高于移动终端内的路由表的版本信息时，更新移动终端内的路由表。

在步骤S56中，验证签名信息，存储签名包中的高版本的路由表作为更新路由表。

由应用管理模块121验证签名信息，验证完成后将新版的路由表保存作为更新后的路由表125。

在步骤S57中，返回路由表更新完成的指令。

应用管理模块121向APP111返回路由表个更新完成的指令，可以根据更新后的路由表执行第三方业务。

应当说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

依照本发明的实施例如上文所述，这些实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施例。显然，根据以上描述，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地利用本发明以及在本发明基础上的修改使用。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims

1.一种可信应用管理方法，包括：

2.根据权利要求1所述的可信应用管理方法，其中，根据所述路由信息调用可信执行环境中的与所述应用信息对应的所述可信应用以完成第三方业务的步骤包括：

3.根据权利要求1所述的可信应用管理方法，还包括：

4.根据权利要求1所述的可信应用管理方法，还包括：

5.根据权利要求4所述的可信应用管理方法，其中，将所述可信应用的路由状态设置为打开或关闭以执行或终止所述可信应用对应的所述第三方业务应用的业务功能的步骤包括：

接收用户的确认打开或关闭指令完成用户授权；

6.根据权利要求1所述的可信应用管理方法，其中，所述第三方业务请求包括服务提供商提供的以下至少一种业务的请求：数字证书申请、交易签名验签、移动支付、银行账户查询。

7.根据权利要求1所述的可信应用管理方法，其中，

所述应用信息包括：应用中文名和/或应用英文名、应用包名、应用数字证书指纹信息、应用数字证书摘要，不同的所述第三方业务请求对应的所述应用信息不完全相同；

8.根据权利要求7所述的可信应用管理方法，还包括：

9.根据权利要求1所述的可信应用管理方法，还包括：

在移动终端内预置初始化的路由表。

10.根据权利要求9所述的可信应用管理方法，还包括：

11.根据权利要求10所述的可信应用管理方法，其中，根据对所述终端管理应用中所述签名包的查询结果更新所述路由表的步骤包括：

根据所述终端管理应用的应用升级安装包获取所述签名包；

存储校验成功后的所述签名包内的所述路由表和版本信息。

12.一种移动终端，所述移动终端的执行环境包括富执行环境和可信执行环境，所述移动终端包括：

客户端应用，安装在所述富执行环境中；

可信应用，安装在所述可信执行环境中；

13.根据权利要求12所述的移动终端，还包括：

14.根据权利要求13所述的移动终端，其中，所述路由表存储在所述可信执行环境中的安全文件系统中。

15.根据权利要求13所述的移动终端，还包括：

16.根据权利要求12所述的移动终端，其中，所述应用管理模块还用于根据所述管理界面上相应的所述第三方业务应用发送的打开或关闭路由的请求将与所述第三方业务应用对应的所述可信应用的路由状态设置为打开或关闭。

17.根据权利要求13所述的移动终端，其中，所述终端管理应用根据应用升级安装包获取路由表的签名包，所述签名包包括路由表的版本信息、路由表和签名信息，所述签名包中的所述版本信息高于所述安全文件系统中存储的所述路由表的版本信息时，所述应用管理模块将所述签名包中的所述路由表更新至所述安全文件系统中。

18.一种可信服务系统，包括：

第三方服务器；以及

根据权利要求12至17任一项所述的移动终端，

其中，所述移动终端向所述第三方服务器提交业务调用请求，与所述第三方服务器建立安全通道以完成第三方业务。