CN118734347A - 数据处理方法、装置、终端及存储介质 - Google Patents

数据处理方法、装置、终端及存储介质 Download PDF

Info

Publication number
CN118734347A
CN118734347A CN202310332319.3A CN202310332319A CN118734347A CN 118734347 A CN118734347 A CN 118734347A CN 202310332319 A CN202310332319 A CN 202310332319A CN 118734347 A CN118734347 A CN 118734347A
Authority
CN
China
Prior art keywords
public key
application
trusted application
trusted
storage area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310332319.3A
Other languages
English (en)
Inventor
潘蓝兰
邱若男
杨明慧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Oppo Mobile Telecommunications Corp Ltd
Original Assignee
Guangdong Oppo Mobile Telecommunications Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Oppo Mobile Telecommunications Corp Ltd filed Critical Guangdong Oppo Mobile Telecommunications Corp Ltd
Priority to CN202310332319.3A priority Critical patent/CN118734347A/zh
Publication of CN118734347A publication Critical patent/CN118734347A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供了一种数据处理方法、装置、终端及存储介质,属于计算机技术领域。方法包括:响应于第一可信应用程序的数据访问请求,基于数据访问请求携带的第一可信应用程序的应用标识和应用名称,确定数据访问请求所请求访问的目标安全存储区域;获取第一公钥,第一公钥为第一可信应用程序的应用签名公钥,应用签名公钥用于校验可信应用程序的真伪;基于第二公钥对第一公钥进行校验,在第一公钥与第二公钥一致的情况下,向第一可信应用程序授予目标安全存储区域的访问权限,第二公钥为目标安全存储区域相关联存储的应用签名公钥,第二公钥为第二可信应用程序的应用签名公钥。该方法能够提高安全存储区域内数据的安全性。

Description

数据处理方法、装置、终端及存储介质
技术领域
本申请涉及计算机技术领域,特别涉及一种数据处理方法、装置、终端及存储介质。
背景技术
随着计算机技术的发展,终端上安装的应用程序也越来越多。应用程序可以在终端的存储空间中存储数据。其他应用程序也能够访问上述应用程序在存储空间中存储的数据。因此,对于一些对数据的安全性要求较高的应用程序,如支付类应用程序和管理密码类应用程序,如何保证上述应用程序存储的数据的安全性,是一个需要解决的技术问题。
相关技术中,通常终端会提供可信执行环境(Trusted Execution Environment,TEE)和富执行环境(Rich Execution Environment,REE)两种执行环境。富执行环境用于运行主操作系统,如Android和Linux。可信执行环境用于运行安全级别较高的TEE系统。在可信执行环境中安装的应用程序为可信应用程序。终端能够将上述应用程序安装在可信执行环境中。终端根据可信应用程序的应用标识,在存储空间中为可信应用程序分配一个独立的安全存储区域。可信应用程序能够通过应用标识访问安全存储区域内的数据。其他可信应用程序不能访问该安全存储区域,提高了存储的数据的安全性。
但是,采用上述方法,恶意应用程序很容易伪造可信应用程序的应用标识,并通过伪造的应用标识访问可信应用程序的安全存储区域,导致可信应用存储的数据具有泄露的风险,降低了存储的数据的安全性。
发明内容
本申请实施例提供了一种数据处理方法、装置、终端及存储介质,能够避免恶意应用程序恶意访问目标安全存储区域,提高了数据的安全性。技术方案如下:
根据本申请实施例的一方面,提供了一种数据处理方法,所述方法包括:
响应于第一可信应用程序的数据访问请求,基于所述数据访问请求携带的所述第一可信应用程序的应用标识和应用名称,确定所述数据访问请求所请求访问的目标安全存储区域,所述第一可信应用程序为运行在可信执行环境中的应用程序,所述目标安全存储区域用于存储所述可信执行环境中的第二可信应用程序的数据;
获取第一公钥,所述第一公钥为所述第一可信应用程序的公钥,所述公钥用于校验可信应用程序的真伪;
基于第二公钥对所述第一公钥进行校验,在所述第一公钥与所述第二公钥一致的情况下,向所述第一可信应用程序授予所述目标安全存储区域的访问权限,所述第二公钥为所述目标安全存储区域相关联的公钥,所述第二公钥为所述第二可信应用程序的公钥。
根据本申请实施例的另一方面,提供了一种数据处理装置,所述装置包括:
确定模块,用于响应于第一可信应用程序的数据访问请求,基于所述数据访问请求携带的所述第一可信应用程序的应用标识和应用名称,确定所述数据访问请求所请求访问的目标安全存储区域,所述第一可信应用程序为运行在可信执行环境中的应用程序,所述目标安全存储区域用于存储所述可信执行环境中的第二可信应用程序的数据;
第一获取模块,用于获取第一公钥,所述第一公钥为所述第一可信应用程序的公钥,所述公钥用于校验可信应用程序的真伪;
校验模块,用于基于第二公钥对所述第一公钥进行校验,在所述第一公钥与所述第二公钥一致的情况下,向所述第一可信应用程序授予所述目标安全存储区域的访问权限,所述第二公钥为所述目标安全存储区域相关联的公钥,所述第二公钥为所述第二可信应用程序的公钥。
根据本申请实施例的另一方面,提供了一种终端,所述终端包括处理器和存储器;所述存储器存储有至少一条程序代码,所述至少一条程序代码用于被所述处理器执行以实现如上述方面所述的数据处理方法。
根据本申请实施例的另一方面,提供了一种芯片,所述芯片包括可编程逻辑电路和/或程序指令,当所述芯片在终端上运行时,用于实现上述方面所述的数据处理方法。
根据本申请实施例的另一方面,提供了一种计算机可读存储介质,所述存储介质存储有至少一条程序代码,所述至少一条程序代码用于被处理器执行以实现如上述方面所述的数据处理方法。
根据本申请实施例的另一方面,提供了一种计算机程序产品,该计算机程序产品存储有至少一条程序代码,所述至少一条程序代码用于被处理器执行以实现上述方面所述的数据处理方法。
本申请实施例提供了一种数据处理方案,在终端接收到第一可信应用程序对目标安全存储区域的数据访问请求时,终端可以获取第一可信应用程序的公钥和第二可信应用程序的公钥,也即是第一公钥和第二公钥。由于公钥不能伪造,因此在第一公钥和第二公钥一致的情况下,表明第一可信应用程序和第二可信应用程序是相同的应用程序,是可信的,不是恶意应用程序伪装的。因此,终端向第一可信应用程序授予目标安全存储区域的访问权限,从而能够避免恶意应用程序恶意访问目标安全存储区域,提高了数据的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种实施环境的示意图;
图2是本申请实施例提供的一种数据处理方法的流程图;
图3是本申请实施例提供的另一种数据处理方法的流程图;
图4是本申请实施例提供的一种数据处理装置的结构示意图;
图5是本申请实施例提供的另一种数据处理装置的结构示意图;
图6是本申请实施例提供的一种终端的结构方框图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
在本文中提及的“至少一个”是指一个或多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
需要说明的是,本申请所涉及的信息(包括但不限于无线音频的设备信息、用户个人信息等)、数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)以及信号,均为经用户授权或者经过各方充分授权的,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。例如,本申请中涉及到的可信应用程序和可信应用程序的程序代码等都是在充分授权的情况下获取的。
图1是本申请实施例提供的一种实施环境的示意图。参见图1,该实施环境包括终端101和服务器102。
可选地,该终端101可以为手机、台式电脑、笔记本电脑、平板电脑、智能手表等多种类型的终端。终端101提供有可信执行环境(Trusted Execution Environment,TEE)和富执行环境(Rich Execution Environment,REE)两种执行环境。富执行环境用于运行终端101的主操作系统,如Android、iOS和Linux等操作系统。可信执行环境是与终端101的主操作系统隔离的安全环境。可信执行环境用于运行安全级别较高的TEE系统。
终端101在可信执行环境中安装和运行的应用程序为可信应用程序(TrustedApplication,TA)。终端101能够通过TEE系统,为可信应用程序分配独立的安全存储区域。可选地,在可信应用程序请求访问安全存储区域时,可信应用程序可以通过服务器102向终端发送数据访问请求。在终端101接收到可信应用程序对目标安全存储区域的数据访问请求时,终端101通过TEE系统校验可信应用程序,并在校验通过时才授予可信应用程序访问权限。该可信应用程序与服务器102关联,由服务器102提供后台服务。
可选地,服务器102是独立的物理服务器,也能够是多个物理服务器构成的服务器集群或者分布式系统,还能够是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)以及大数据和人工智能平台等基础云计算服务的云服务器。在一些实施例中,服务器102承担主要计算工作,终端101承担次要计算工作;或者,服务器102承担次要计算工作,终端101承担主要计算工作;或者,服务器102和终端101二者之间采用分布式计算架构进行协同计算。
图2是本申请实施例提供的一种数据处理方法的流程图。该方法由终端执行,参见图2,该方法包括:
201、响应于第一可信应用程序的数据访问请求,终端基于数据访问请求携带的第一可信应用程序的应用标识和应用名称,确定数据访问请求所请求访问的目标安全存储区域,第一可信应用程序为运行在可信执行环境中的应用程序,目标安全存储区域用于存储可信执行环境中的第二可信应用程序的数据。
在本申请实施例中,终端包括可信执行环境(Trusted Execution Environment,TEE)和富执行环境(Rich Execution Environment,REE)。富执行环境用于运行终端的主操作系统,如Android、iOS和Linux等操作系统。可信执行环境是终端中与主操作系统隔离的安全环境。可信执行环境用于运行安全级别较高的TEE系统。在可信执行环境中安装和运行的应用程序为可信应用程序(Trusted Application,TA)。由于可信执行环境的安全级别较高,因此终端能够将对数据安全要求性较高的应用程序安装在可信执行环境中。例如,支付类应用程序、管理密码类应用程序和数字版权管理类应用程序。
在一些实施例中,终端能够通过TEE系统,为可信执行环境中的可信应用程序分配独立的安全存储区域。以任一可信应用程序为例,下面对终端为该可信应用程序分配安全存储区域的过程进行说明。在可信应用程序首次请求在底层安全存储分区内存储数据时,或者在终端在可信执行环境中安装可信应用程序时,终端根据可信应用程序的应用标识和应用名称,在底层安全存储分区,如RPMB(Replay Protected Memory Bloc,重放保护内存块)分区为可信应用程序分配一个独立的安全存储区域。可信应用程序能够访问终端为其分配的安全存储区域。例如,向安全存储区域写入数据,或者读取安全存储区域内的数据。可信应用程序不能访问其他可信应用程序的安全存储区域。相应地,可信执行环境中的其他可信应用程序也只能够访问终端为其分配的安全存储区域,从而保证了安全存储区域内存储的数据不会被其他可信应用程序读取,提高了数据的安全性。在一些实施例中,在终端为可信应用程序分配安全存储区域之后,终端能够建立安全存储区域与可信应用程序的公钥之间的关联关系。由于公钥不能伪造,因此在可信应用程序请求访问安全存储区域时,终端能够通过校验可信应用程序的公钥与安全存储区域关联的公钥是否一致,确定是否授予可信应用程序的访问权限。
在本申请实施例中,在第一可信应用程序请求访问目标安全存储区域时,第一可信应用程序向终端发送数据访问请求。在终端接收到数据访问请求时,终端获取数据访问请求中携带的第一可信应用程序的应用标识和应用名称。然后,终端通过应用标识和应用名称,能够确定第一可信应用程序请求访问的目标安全存储区域。
需要说明的是,应用标识和应用名称很容易被伪造。如果恶意应用程序通过伪造的应用标识和应用名称安装在终端的可信执行环境中,则恶意应用程序能够凭借伪造的应用标识和应用名称向终端发送数据访问请求。相应地,终端通过恶意应用程序伪造的应用标识和应用名称,确定该恶意应用程序请求访问目标安全存储区域。因此,终端需要对第一可信应用程序进行校验,避免恶意应用程序恶意访问目标安全存储区域。
202、终端获取第一公钥,第一公钥为第一可信应用程序的公钥,公钥用于校验可信应用程序的真伪。
在本申请实施例中,终端确定第一可信应用程序请求访问目标安全存储区域之后,终端获取第一可信应用程序公开的公钥,将该公钥作为第一公钥。由于公钥不可被伪造,因此终端能够通过校验第一公钥确定第一可信应用程序的真伪。下面步骤203对终端校验第一公钥的过程进行说明。
203、终端基于第二公钥对第一公钥进行校验,在第一公钥与第二公钥一致的情况下,向第一可信应用程序授予目标安全存储区域的访问权限,第二公钥为目标安全存储区域相关联的公钥,第二公钥为第二可信应用程序的公钥。
在本申请实施例中,以第一可信应用程序请求访问的目标安全存储区域是第二可信应用程序对应的安全存储区域为例进行说明。由于终端在为第二可信应用程序分配目标安全存储区域的过程中,终端建立了目标安全存储区域与第二可信应用程序的公钥之间的关联关系。因此,终端获取目标安全存储区域相关联的公钥,将该公钥作为第二公钥。终端通过第二公钥校验第一公钥。由于公钥不可伪造,在第一公钥与第二公钥一致的情况下,第一可信应用程序即为第二可信应用程序。终端向第一可信应用程序授予访问目标安全存储区域的权限。在第一公钥与第二公钥不一致的情况下,第一可信应用程序为其他可信应用程序或者恶意应用程序。第一可信应用程序不能访问目标安全存储区域。因此终端拒绝第一可信应用程序对目标安全存储区域的数据访问请求。通过在可信应用程序的公钥与目标安全存储区域关联的公钥一致的情况下才授予可信应用程序的访问权限,能够保证目标安全存储区域内的数据不会被恶意读取,保证了数据的安全性。
本申请实施例提供了一种数据处理方法,在终端接收到第一可信应用程序对目标安全存储区域的数据访问请求时,终端可以获取第一可信应用程序的公钥和第二可信应用程序的公钥,也即是第一公钥和第二公钥。由于公钥不能伪造,因此在第一公钥和第二公钥一致的情况下,表明第一可信应用程序和第二可信应用程序是相同的应用程序,是可信的,不是恶意应用程序伪装的。因此,终端向第一可信应用程序授予目标安全存储区域的访问权限,从而能够避免恶意应用程序恶意访问目标安全存储区域,提高了数据的安全性。
图3是本申请实施例提供的一种数据处理方法的流程图。该方法由终端执行,参见图3,该方法包括:
301、响应于任一可信应用程序的安全存储区域创建请求,终端获取该可信应用程序的应用标识和应用名称。
在本申请实施例中,终端包括可信执行环境(Trusted Execution Environment,TEE)和富执行环境(Rich Execution Environment,REE)。富执行环境用于运行终端的主操作系统,如Android、iOS和Linux等操作系统。可信执行环境是终端中与主操作系统隔离的安全环境。可信执行环境用于运行安全级别较高的TEE系统。在可信执行环境中安装和运行的应用程序为可信应用程序(Trusted Application,TA)。可信执行环境提供有底层安全存储分区,如RPMB(Replay Protected Memory Bloc,重放保护内存块)分区。RPMB分区用于存储对安全性要求较高,防止非法读取和非法篡改的数据。例如,支付类应用程序中的生物支付数据,密码管理类应用程序中记录的密码以及应用程序的密钥等数据。终端能够在底层安全存储分区中为可信应用程序分配独立的安全存储区域。相应地,可信应用程序能够访问终端为其分配的安全存储区域,不能访问其他可信应用程序的安全存储区域。
在终端通过TEE系统在可信执行环境中安装可信应用程序时,或者可信应用程序首次请求向底层安全存储分区内存储数据时,可信应用程序向终端发送存储区域创建请求。存储区域创建请求用于请求终端在RPMB分区或者其他底层安全存储分区中为可信应用程序分配一个独立的安全存储区域,以存储可信应用的数据。在终端接收到可信应用程序的安全存储区域创建请求时,终端获取安全存储区域创建请求中携带的可信应用程序的应用标识和应用名称。其中,应用标识和应用名称可以由应用程序的开发者设定。应用标识可以为应用程序的序列号,也可以为应用程序的ID(Identity Document,身份标识号码),本申请实施例对此不进行限制。
302、终端基于可信应用程序的应用标识和应用名称,为可信应用程序生成区域标识。
在本申请实施例中,终端通过派生函数对可信应用程序的应用标识和应用名称进行处理,能够生成与上述应用标识和应用名称对应的序列。终端将该序列作为可信应用程序的区域标识。区域标识用于指示终端为可信应用程序分配的安全存储区域。其中,派生函数可以为HMAC(Hash-based Message Authentication Code,基于哈希的消息认证码),也可以为HKDF(HMAC-based Key Derivation Function,基于HMAC的密钥推导函数),本申请实施例对此不进行限制。
例如,终端通过TEE系统读取<ta_id,ta_name>。其中,ta_id为可信应用程序的应用标识,ta_name为可信应用程序的应用名称。然后,终端通过下述公式(1),为可信应用程序生成区域标识。
ta_sanid = derive_func(ta_id, ta_name ) (1)
其中,ta_sanid为可信应用程序的区域标识。ta_id和ta_name分别为可信应用程序的应用标识和应用名称。derive_func为派生函数。
在一些实施例中,终端能够建立可信应用程序的公钥和可信应用程序的区域标识之间的关联关系。终端获取可信应用程序公开的公钥。终端基于该公钥,对可信应用程序的第一数字签名进行校验。其中,第一数字签名通过第一私钥对可信应用程序的程序代码进行加密得到。第一私钥为可信应用程序的公钥对应的私钥。第一私钥用于加密可信应用程序的数据。终端在第一数字签名通过校验的情况下,表明可信应用程序的程序代码未经篡改,可信应用程序为真实的可信应用程序。终端建立可信应用程序的公钥和区域标识之间的关联关系。
在一些实施例中,由可信应用程序的开发者通过第一私钥加密可信应用程序的程序代码。例如,开发者通过Hash(哈希)函数,对可信应用程序的程序代码进行处理,得到Hash值。Hash值为一串固定长度的数据。然后,开发者通过第一私钥(ta_signer_private_key)对Hash值进行加密,得到第一数字签名(ta_sig)。由于第一私钥是可信应用程序的公钥(ta_signer_public_key)对应的私钥,因此终端能够通过可信应用程序的公钥,对通过第一私钥进行加密得到的第一数字签名进行解密,得到第一Hash值。终端还能够通过相同的Hash函数,对可信应用程序的程序代码进行处理,得到第二Hash值。终端通过比对第一Hash值和第二Hash值是否一致,就能够确定可信应用程序的程序代码是否被篡改。在两个Hash值一致的情况下,表明可信应用程序的程序代码未被篡改。在两个Hash值不一致的情况下,表明可信应用程序的程序代码已经被篡改。需要说明的是,开发者也能够通过第一私钥,采用其他签名函数对可信应用程序的程序代码进行加密,本申请实施例对此不进行限制。
例如,开发者通过下述公式(2)加密可信应用程序的程序代码,得到第一数字签名。终端通过下述公式(3)校验第一数字签名。
ta_sig = sign(ta_signer_private_key,ta_code ) (2)
ta_sig_verify_result=sig_verify(ta_signer_public_key,ta_code,ta_sig)(3)
其中,ta_signer_private_key为第一私钥。ta_signer_public_key为可信应用程序的公钥。ta_code为可信应用程序的程序代码。ta_sig为第一数字签名。sign为用于加密的签名函数。sig_verify为签名函数对应的校验函数。ta_sig_verify_result为第一数字签名的校验结果。
在第一数据签名通过校验的情况下,终端建立可信应用程序的公钥和区域标识之间的关联关系。其中,终端能够通过<ta_sanid,ta_signer_public_key>表示上述关联关系。
303、终端建立区域标识与任一空闲的安全存储区域之间的关联关系。
在本申请实施例中,终端在底层安全存储分区中确定任一空闲的安全存储区域。其中,空闲的安全存储区域是指安全存储区域没有被终端分配给可信应用程序。终端通过建立区域标识与安全存储区域之间的关联关系,能够将区域标识作为安全存储区域的标识。实现了将安全存储区域分配给可信应用程序。可信应用程序能够访问安全存储区域,在安全存储区域内存储数据和读取数据。
在一些实施例中,终端也可以在建立上述关联关系之后,建立可信应用程序的公钥和区域标识之间的关联关系。本申请实施例对终端建立可信应用程序的公钥和区域标识之间的关联关系的时机不进行限制。其中,可信应用程序的公钥和区域标识之间的关联关系用于指示安全存储区域与可信应用程序的公钥相关联。
上述步骤301-303是终端为任一可信应用程序分配安全存储区域的过程。下述步骤304-307是以第一可信应用程序请求访问目标安全存储区域,目标安全存储区域是终端为第二可信应用程序分配的安全存储区域为例,对终端校验第一可信应用程序的过程进行说明。
304、响应于第一可信应用程序的数据访问请求,终端基于数据访问请求携带的第一可信应用程序的应用标识和应用名称,确定数据访问请求所请求访问的目标安全存储区域,第一可信应用程序为运行在可信执行环境中的应用程序,目标安全存储区域用于存储可信执行环境中的第二可信应用程序的数据。
在本申请实施例中,在第一可信应用程序请求访问目标安全存储区域时,第一可信应用程序向终端发送数据访问请求。在终端接收到数据访问请求时,终端获取数据访问请求中携带的第一可信应用程序的应用标识和应用名称。终端通过应用标识和应用名称,能够确定第一可信应用请求访问的目标安全存储区域。
在一些实施例中,响应于第一可信应用程序的数据访问请求,终端获取数据访问请求携带的第一可信应用程序的应用标识和应用名称。终端根据应用标识和应用名称,生成区域标识。其中,终端通过派生函数对第一可信应用程序的应用标识和应用名称进行处理,生成与上述应用标识和应用名称对应的序列,将该序列作为第一可信应用程序的区域标识。终端生成区域标识之后,在底层安全存储分区的多个安全存储区域中,确定该区域标识所指示的安全存储区域即为第一可信应用程序请求访问的目标安全存储区域。例如,终端通过上述公式(1)所示的派生函数derive_func对第一可信应用程序的应用标识和应用名称进行处理,得到第一可信应用程序的区域标识。
305、终端获取第一公钥,第一公钥为第一可信应用程序的公钥,公钥用于校验可信应用程序的真伪。
在本申请实施例中,终端获取第一可信应用程序公开的公钥,终端将该公钥作为第一公钥。由于公钥不能伪造,且应用程序和应用程序的公钥一一对应。由于公钥不可被伪造,因此终端能够通过校验第一公钥确定第一可信应用程序的真伪。
306、终端获取第二公钥,第二公钥为目标安全存储区域相关联的公钥,第二公钥为第二可信应用程序的公钥。
在本申请实施例中,由于目标安全存储区域与第二可信应用程序的公钥相关联。因此,终端获取目标安全存储区域相关联的公钥,将该公钥作为第二公钥。第二公钥也即是第二可信应用程序的公钥。
在一些实施例中,终端获取目标安全存储区域的区域标识。终端将与区域标识关联的公钥获取为第二公钥。例如,终端通过目标安全存储区域的区域标识(ta_sanid),在<ta_sanid,ta_signer_public_key>所示的关联关系中,将与区域标识(ta_sanid)关联的公钥(ta_signer_public_key)获取为第二公钥。
在一些实施例中,由于目标安全存储区域为第二可信应用对应的安全存储区域。第二可信应用能够将第二可信应用程序的公钥存储在目标安全存储区域中。相应地,终端能够将目标安全存储区域内存储的公钥获取为第二公钥。
307、终端基于第二公钥对第一公钥进行校验,在第一公钥与第二公钥一致的情况下,向第一可信应用程序授予目标安全存储区域的访问权限。
在本申请实施例中,终端通过第二公钥校验第一公钥。在第一公钥与第二公钥一致的情况下,第一可信应用程序即为第二可信应用程序,终端向第一可信应用程序授予访问目标安全存储区域的权限。在第一公钥与第二公钥不一致的情况下,第一可信应用程序为其他可信应用程序或者恶意应用程序。第一可信应用程序不能访问目标安全存储区域。因此终端拒绝第一可信应用程序对目标安全存储区域的数据访问请求。通过在可信应用程序的公钥与目标安全存储区域关联的公钥一致的情况下才授予可信应用程序的访问权限,能够保证目标安全存储区域内的数据不会被恶意读取,保证了数据的安全性。
在一些实施例中,终端能够在第二可信应用程序的公钥发生更新的情况下,更新目标安全存储区域关联的公钥。响应于第二可信应用程序的公钥发生更新,终端获取第二可信应用程序的密钥数字签名。其中,密钥数字签名通过第一私钥对第三公钥进行加密得到。第一私钥与第二公钥相对应。第一私钥和第二公钥是第二可信应用程序更新前的密钥。第三公钥为第二可信应用程序更新后的公钥。因此,第二应用程序的开发者在更新第二可信应用程序的公钥时,使用旧的私钥(第一私钥)加密更新后的公钥(第三公钥),得到密钥数字签名。相应地,终端获取到密钥数字签名之后,使用旧的公钥(第二公钥)对密钥数字签名进行校验。在密钥数字签名通过校验的情况下,表明第三公钥是经过旧的公钥签名认证的合法的新的公钥。因此,终端将目标安全存储区域相关联的公钥由第二公钥更新为第三公钥。
为了更清楚的说明终端更新目标安全存储区域关联的公钥,以及通过新的公钥校验第二可信应用程序的程序代码的过程,下面通过步骤(1)-(5)对上述过程进行更详细的说明。其中,第二可信应用程序的旧的密钥对为<old_ta_signer_private_key,old_ta_signer_public_key>。第二可信应用程序更新后的密钥对为<new_ta_signer_private_key,new_ta_signer_public_key>。
在上述两个密钥对中,old_ta_signer_private_key为第二可信应用程序旧的私钥,也即是第一私钥。old_ta_signer_public_key为第二可信应用程序旧的公钥,也即是第二公钥。new_ta_signer_public_key为第二可信应用程序新的公钥,也即是第三公钥。new_ta_signer_private_key为第二可信应用程序新的私钥。
(1)第二可信应用程序的开发者通过下述公式(4)对第二可信应用程序的程序代码进行加密,得到第二可信应用程序的数字签名。
ta_sig1 = sign(new_ta_signer_private_key,ta_code1 ) (4)
其中,ta_code1可以为第二可信应用程序的程序代码,ta_code1也可以为用于更新第二可信应用程序的程序代码。new_ta_signer_private_key为第二可信应用程序新的私钥。ta_sig1为第二可信应用程序的数字签名。sign为用于加密的签名函数。其中,签名函数可以为ECDSA(Elliptic Curve Digital Signature Algorithm,椭圆曲线数字签名算法),也可以为RSASSA-PSS(RSASSA-Probabilistic Signature Scheme,基于RSASSA的概率签名算法),本申请实施例对此不进行限制。
在一些实施例中,开发者通过Hash函数,对第二可信应用程序的程序代码进行处理,得到Hash值。Hash值为一串固定长度的数据。然后,开发者通过新的私钥(new_ta_signer_private_key)对Hash值进行加密,得到第二可信应用程序的数字签名(ta_sig1)。
(2)第二可信应用程序的开发者通过下述公式(5),通过第一私钥对第二可信应用程序更新后的第三公钥进行加密,得到密钥数字签名。
ta_key_sig=sign(old_ta_signer_private_key,new_ta_signer_public_key)(5)
其中,ta_key_sig为密钥数字签名。sign为签名函数。old_ta_signer_private_key为第一私钥。new_ta_signer_public_key为被加密的第三公钥。
(3)终端通过TEE系统,使用<ta_sanid,old_ta_signer_public_key>所示的关联关系中与第二可信应用程序的区域标识ta_sanid相关联的old_ta_signer_public_key,也即是第二公钥,校验密钥数字签名ta_key_sig。在密钥数字签名通过校验的情况下,表明第三公钥是经过旧的公钥签名认证的,合法的新的公钥。终端将目标安全存储区域相关联的公钥由第二公钥更新为第三公钥。也即是将<ta_sanid,old_ta_signer_public_key>更新为<ta_sanid,new_ta_signer_public_key>,实现了在关联关系中将旧的公钥替换为新的公钥。
例如,终端通过下述公式(6)校验密钥数字签名ta_key_sig。
ta_key_sig_verify_result=sig_verify(old_ta_signer_public_key,
new_ta_signer_public_key,ta_key__sig)(6)
其中,ta_key_sig_verify_result为密钥数字签名的校验结果。sig_verify为与签名函数对应的校验函数。其余参数与上述公式一致,在此不再赘述。
在一些实施例中,终端能够通过第二可信应用程序的旧的公钥,对密钥数字签名进行解密,得到第一Hash值。终端通过相同的Hash函数,对第二可信应用程序的第三公钥进行处理,得到第二Hash值。终端通过比对第一Hash值和第二Hash值是否一致,就能够确定第三公钥是否被篡改。在两个Hash值一致的情况下,表明第三公钥未被篡改。第三公钥是经过就的公钥合法认证的,合法的新公钥。在两个Hash值不一致的情况下,表明第三公钥已经被篡改。
(4)终端确定第三公钥为合法的新的公钥的情况下,终端通过第三公钥对第二可信应用程序的数字签名进行校验,以确定程序代码是否被篡改。例如,终端通过下述公式(7)对第二可信应用程序的程序代码进行校验。
ta_sig_verify_result1=sig_verify(new_ta_signer_public_key,ta_code1,ta_sig1)(7)
其中,ta_sig_verify_result1为校验结果。sig_verify为与签名函数对应的校验函数。new_ta_signer_public_key为第三公钥。其余参数与上述公式(4)一致,在此不再赘述。
在一些实施例中,在ta_code1为用于更新第二可信应用程序的程序代码,且数字签名通过校验的情况下,终端授予第二可信应用程序执行ta_code1的权限,以升级第二可信应用程序。
(5)在终端将目标安全存储区域相关联的公钥由第二公钥更新为第三公钥之后,终端基于第三公钥,对请求访问目标存储区域的应用程序的公钥进行校验。在应用程序的公钥与第三公钥一致的情况下,终端授予应用程序访问目标安全存储区域的访问权限。
本申请实施例提供了一种数据处理方法,在终端接收到第一可信应用程序对目标安全存储区域的数据访问请求时,终端可以获取第一可信应用程序的公钥和第二可信应用程序的公钥,也即是第一公钥和第二公钥。由于公钥不能伪造,因此在第一公钥和第二公钥一致的情况下,表明第一可信应用程序和第二可信应用程序是相同的应用程序,是可信的,不是恶意应用程序伪装的。因此,终端向第一可信应用程序授予目标安全存储区域的访问权限,从而能够避免恶意应用程序恶意访问目标安全存储区域,提高了数据的安全性。
上述所有可选技术方案,可以采用任意结合形成本申请的可选实施例,在此不再一一赘述。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图4是本申请实施例提供的一种数据处理装置的结构示意图。参见图4,该装置包括:确定模块401、第一获取模块402以及校验模块403。
确定模块401,用于响应于第一可信应用程序的数据访问请求,基于数据访问请求携带的第一可信应用程序的应用标识和应用名称,确定数据访问请求所请求访问的目标安全存储区域,第一可信应用程序为运行在可信执行环境中的应用程序,目标安全存储区域用于存储可信执行环境中的第二可信应用程序的数据;
第一获取模块402,用于获取第一公钥,第一公钥为第一可信应用程序的公钥,公钥用于校验可信应用程序的真伪;
校验模块403,用于基于第二公钥对第一公钥进行校验,在第一公钥与第二公钥一致的情况下,向第一可信应用程序授予目标安全存储区域的访问权限,第二公钥为目标安全存储区域相关联的公钥,第二公钥为第二可信应用程序的公钥。
在一些实施例中,确定模块401,用于响应于第一可信应用程序的数据访问请求,获取数据访问请求携带的第一可信应用程序的应用标识和应用名称;根据应用标识和应用名称,生成区域标识;确定区域标识所指示的目标安全存储区域。
在一些实施例中,图5是本申请实施例提供的另一种数据处理装置的结构示意图,参见图5,装置还包括:
第二获取模块404,用于获取目标安全存储区域的区域标识;
第三获取模块405,用于将与区域标识关联的公钥获取为第二公钥。
在一些实施例中,装置还包括:
第四获取模块406,用于将目标安全存储区域内存储的公钥获取为第二公钥。
在一些实施例中,装置还包括:
第五获取模块407,用于响应于第二可信应用程序的安全存储区域创建请求,获取第二可信应用程序的应用标识和应用名称;
区域标识生成模块408,用于基于第二可信应用程序的应用标识和应用名称,为第二可信应用程序生成区域标识;
区域分配模块409,用于建立区域标识与任一空闲的安全存储区域之间的关联关系。
在一些实施例中,区域标识生成模块408,用于获取第二可信应用程序的公钥;基于公钥,对第二可信应用程序的第一数字签名进行校验,第一数字签名通过第一私钥对第二可信应用程序的程序代码进行加密得到,第一私钥为第二可信应用程序的公钥对应的私钥,第一私钥用于加密第二可信应用程序的数据;在第一数字签名通过校验的情况下,建立第二可信应用程序的公钥和区域标识之间的关联关系。
在一些实施例中,装置还包括:
第六获取模块410,用于响应于第二可信应用程序的公钥发生更新,获取第二可信应用程序的密钥数字签名,密钥数字签名通过第一私钥对第三公钥进行加密得到,第一私钥为第二公钥对应的私钥,第三公钥为第二可信应用程序更新后的公钥;
数字签名校验模块411,用于基于第二公钥,对密钥数字签名进行校验;
更新模块412,用于在密钥数字签名通过校验的情况下,将目标安全存储区域相关联的公钥由第二公钥更新为第三公钥。
本申请实施例提供了一种数据处理装置,在终端接收到第一可信应用程序对目标安全存储区域的数据访问请求时,终端可以获取第一可信应用程序的公钥和第二可信应用程序的公钥,也即是第一公钥和第二公钥。由于公钥不能伪造,因此在第一公钥和第二公钥一致的情况下,表明第一可信应用程序和第二可信应用程序是相同的应用程序,是可信的,不是恶意应用程序伪装的。因此,终端向第一可信应用程序授予目标安全存储区域的访问权限,从而能够避免恶意应用程序恶意访问目标安全存储区域,提高了数据的安全性。
需要说明的是,上述实施例提供的数据处理装置,在实现其功能时,仅以上述各功能模块的划分进行举例说明,实际应用程序中,可以根据需要而将上述功能分配由不同的功能模块完成,即将终端的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的数据处理装置与数据处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本申请实施例提供了一种终端,该终端包括处理器和存储器;该存储器存储有至少一条程序代码,该至少一条程序代码用于被处理器执行以实现如上述各个方法实施例提供的数据处理方法。
图6是本申请实施例提供的一种终端的结构方框图。在一些实施例中,终端600是智能手机、平板电脑、可穿戴设备等能够作为无线站点接入无线局域网的终端。本申请中的终端600至少包括一个或多个以下部件:处理器610、存储器620和至少两个无线链路630。
在一些实施例中,处理器610包括一个或者多个处理核心。处理器610利用各种接口和线路连接整个终端600内的各个部分,通过运行或执行存储在存储器620内的程序代码,以及调用存储在存储器620内的数据,执行终端600的各种功能和处理数据。在一些实施例中,处理器610采用数字信号处理(Digital Signal Processing,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable LogicArray,PLA)中的至少一种硬件形式来实现。处理器610能集成中央处理器(CentralProcessing Unit,CPU)、图像处理器(Graphics Processing Unit,GPU)、神经网络处理器(Neural-network Processing Unit,NPU)和调制解调器等中的一种或几种的组合。其中,CPU主要处理操作系统、用户界面和应用程序程序等;GPU用于负责显示屏所需要显示的内容的渲染和绘制;NPU用于实现人工智能(Artificial Intelligence,AI)功能;调制解调器用于处理无线通信。能够理解的是,上述调制解调器也能不集成到处理器610中,单独通过一块芯片进行实现。
在一些实施例中,该处理器610用于控制至少两个无线链路630的工作状况,相应的,该处理器610为集成了无线保真(Wireless Fidelity,Wi-Fi)芯片的处理器。其中,该Wi-Fi芯片为具有双Wi-Fi处理能力的芯片。例如,该Wi-Fi芯片为双频双发(Dual BandDual Concurrent,DBDC)芯片,或者,双频同步(Dual Band Simultaneous,DBS)芯片等。
在一些实施例中,存储器620包括随机存储器(Random Access Memory,RAM),在一些实施例中,存储器620包括只读存储器(Read-Only Memory,ROM)。在一些实施例中,该存储器620包括非瞬时性计算机可读介质(non-transitory computer-readable storagemedium)。存储器620可用于存储程序代码。存储器620可包括存储程序区和存储数据区,其中,存储程序区可存储用于实现操作系统的指令、用于至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现下述各个方法实施例的指令等;存储数据区可存储根据终端600的使用所创建的数据(比如音频数据、电话本)等。
在一些实施例中,存储器620中存储有不同的无线链路630的接收信标帧的接收方案。以及,不同的无线链路630连接的接入节点的标识、无线链路630的标识等。
该至少两个无线链路630用于连接不同的接入节点(Access Point,AP)。接收AP下发的下行数据。其中,该不同的接入节点为同一路由器中的接入节点或者不同路由器中的接入节点。
在一些实施例中,终端600中还包括显示屏。显示屏是用于显示用户界面的显示组件。在一些实施例中,该显示屏为具有触控功能的显示屏,通过触控功能,用户可以使用手指、触摸笔等任何适合的物体在显示屏上进行触控操作。在一些实施例中,显示屏通常设置在终端600的前面板。在一些实施例中,显示屏被设计成为全面屏、曲面屏、异型屏、双面屏或折叠屏。在一些实施例中,显示屏还被设计成为全面屏与曲面屏的结合,异型屏与曲面屏的结合等,本实施例对此不加以限定。
除此之外,本领域技术人员能够理解,上述附图所示出的终端600的结构并不构成对终端600的限定,终端600包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。比如,终端600中还包括麦克风、扬声器、输入单元、传感器、音频电路、模块、电源、蓝牙模块等部件,在此不再赘述。
本申请还提供一种计算机可读存储介质,该存储介质存储有至少一条程序代码,该至少一条程序代码由该处理器加载并执行以实现如上各个实施例示出的数据处理方法。
本申请还提供一种芯片,该芯片包括可编程逻辑电路和/或程序指令,当该芯片在终端上运行时,用于实现如上各个实施例示出的数据处理方法。
本申请还提供了一种计算机程序产品,该计算机程序产品存储有至少一条程序代码,该至少一条程序代码用于被处理器执行以实现如上各个实施例示出的数据处理方法。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的数据处理方法中全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (12)

1.一种数据处理方法,其特征在于,所述方法包括:
响应于第一可信应用程序的数据访问请求,基于所述数据访问请求携带的所述第一可信应用程序的应用标识和应用名称,确定所述数据访问请求所请求访问的目标安全存储区域,所述第一可信应用程序为运行在可信执行环境中的应用程序,所述目标安全存储区域用于存储所述可信执行环境中的第二可信应用程序的数据;
获取第一公钥,所述第一公钥为所述第一可信应用程序的公钥,所述公钥用于校验可信应用程序的真伪;
基于第二公钥对所述第一公钥进行校验,在所述第一公钥与所述第二公钥一致的情况下,向所述第一可信应用程序授予所述目标安全存储区域的访问权限,所述第二公钥为所述目标安全存储区域相关联的公钥,所述第二公钥为所述第二可信应用程序的公钥。
2.根据权利要求1所述的方法,其特征在于,所述响应于第一可信应用程序的数据访问请求,基于所述数据访问请求携带的所述第一可信应用程序的应用标识和应用名称,确定所述数据访问请求所请求访问的目标安全存储区域,包括:
响应于所述第一可信应用程序的数据访问请求,获取所述数据访问请求携带的所述第一可信应用程序的应用标识和应用名称;
根据所述应用标识和所述应用名称,生成区域标识;
确定所述区域标识所指示的所述目标安全存储区域。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述目标安全存储区域的区域标识;
将与所述区域标识关联的公钥获取为第二公钥。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述目标安全存储区域内存储的公钥获取为所述第二公钥。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于所述第二可信应用程序的安全存储区域创建请求,获取所述第二可信应用程序的应用标识和应用名称;
基于所述第二可信应用程序的应用标识和应用名称,为所述第二可信应用程序生成区域标识;
建立所述区域标识与任一空闲的安全存储区域之间的关联关系。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
获取所述第二可信应用程序的公钥;
基于所述公钥,对所述第二可信应用程序的第一数字签名进行校验,所述第一数字签名通过第一私钥对所述第二可信应用程序的程序代码进行加密得到,所述第一私钥为所述第二可信应用程序的公钥对应的私钥,所述第一私钥用于加密所述第二可信应用程序的数据;
在所述第一数字签名通过校验的情况下,建立所述第二可信应用程序的公钥和所述区域标识之间的关联关系。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于所述第二可信应用程序的公钥发生更新,获取所述第二可信应用程序的密钥数字签名,所述密钥数字签名通过第一私钥对第三公钥进行加密得到,所述第一私钥为所述第二公钥对应的私钥,所述第三公钥为所述第二可信应用程序更新后的公钥;
基于所述第二公钥,对所述密钥数字签名进行校验;
在所述密钥数字签名通过校验的情况下,将所述目标安全存储区域相关联的公钥由所述第二公钥更新为所述第三公钥。
8.一种数据处理装置,其特征在于,所述装置包括:
确定模块,用于响应于第一可信应用程序的数据访问请求,基于所述数据访问请求携带的所述第一可信应用程序的应用标识和应用名称,确定所述数据访问请求所请求访问的目标安全存储区域,所述第一可信应用程序为运行在可信执行环境中的应用程序,所述目标安全存储区域用于存储所述可信执行环境中的第二可信应用程序的数据;
第一获取模块,用于获取第一公钥,所述第一公钥为所述第一可信应用程序的公钥,所述公钥用于校验可信应用程序的真伪;
校验模块,用于基于第二公钥对所述第一公钥进行校验,在所述第一公钥与所述第二公钥一致的情况下,向所述第一可信应用程序授予所述目标安全存储区域的访问权限,所述第二公钥为所述目标安全存储区域相关联的公钥,所述第二公钥为所述第二可信应用程序的公钥。
9.一种终端,其特征在于,所述终端包括处理器和存储器;所述存储器存储有至少一条程序代码,所述至少一条程序代码用于被所述处理器执行以实现如权利要求1至7任一所述的数据处理方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有至少一条程序代码,所述至少一条程序代码用于被处理器执行以实现如权利要求1至7任一所述的数据处理方法。
11.一种芯片,其特征在于,所述芯片包括可编程逻辑电路和/或程序指令,当所述芯片在终端上运行时,用于实现如权利要求1至7任一所述的数据处理方法。
12.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序产品存储有至少一条程序代码,所述至少一条程序代码用于被处理器执行以实现如权利要求1至7任一所述的数据处理方法。
CN202310332319.3A 2023-03-29 2023-03-29 数据处理方法、装置、终端及存储介质 Pending CN118734347A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310332319.3A CN118734347A (zh) 2023-03-29 2023-03-29 数据处理方法、装置、终端及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310332319.3A CN118734347A (zh) 2023-03-29 2023-03-29 数据处理方法、装置、终端及存储介质

Publications (1)

Publication Number Publication Date
CN118734347A true CN118734347A (zh) 2024-10-01

Family

ID=92853415

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310332319.3A Pending CN118734347A (zh) 2023-03-29 2023-03-29 数据处理方法、装置、终端及存储介质

Country Status (1)

Country Link
CN (1) CN118734347A (zh)

Similar Documents

Publication Publication Date Title
US11115418B2 (en) Registration and authorization method device and system
US11239994B2 (en) Techniques for key provisioning in a trusted execution environment
CN109074466B (zh) 用于服务器的平台证明和注册
CN105447406B (zh) 一种用于访问存储空间的方法与装置
CN113039544B (zh) 应用程序完整性证实
US10536271B1 (en) Silicon key attestation
CN113557703B (zh) 网络摄像机的认证方法和装置
US11757877B1 (en) Decentralized application authentication
CN110177124A (zh) 基于区块链的身份认证方法及相关设备
CN110908786A (zh) 一种智能合约调用方法、装置及介质
CN113169866A (zh) 使用同时密钥发布来防止共谋的技术
CN112131021A (zh) 一种访问请求处理方法及装置
CN113612770A (zh) 一种跨域安全交互方法、系统、终端以及存储介质
TW202046143A (zh) 資料儲存方法、裝置及設備
US20190227784A1 (en) Secure delivery of assets to a trusted device
CN111241492A (zh) 一种产品多租户安全授信方法、系统及电子设备
WO2022193494A1 (zh) 权限控制方法及服务器、终端、存储介质和计算机程序
CA3217688A1 (en) Multi-factor authentication using blockchain
CN117786758A (zh) 基于可信执行环境的密态数据库系统和电子设备
CN114168923A (zh) 一种基于数字证书的群ca证书生成方法和系统
CN103559430A (zh) 基于安卓系统的应用账号管理方法和装置
CN115037549B (zh) 应用防护方法、装置及存储介质
CN118734347A (zh) 数据处理方法、装置、终端及存储介质
CN116761168A (zh) 一种分配网络切片的方法、系统及电子设备
CN111046440B (zh) 一种安全区域内容的篡改验证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination