TW201627908A

TW201627908A - 快速佈署可信任執行環境應用的系統與方法

Info

Publication number: TW201627908A
Application number: TW104101861A
Authority: TW
Inventors: 李殿基; 李正隆; 黃義雄
Original assignee: 動信科技股份有限公司
Priority date: 2015-01-20
Filing date: 2015-01-20
Publication date: 2016-08-01
Also published as: US20160210477A1; TWI543014B; CN105809037A

Abstract

本發明之提供一種快速佈署可信任執行環境應用的系統，本發明之快速佈署可信任執行環境應用的系統包括：一豐富執行環境應用，係安裝至少一應用程式及一中介服務模組，該中介服務模組係提供該至少一應用程式一管理服務，該至少一應用程式透過該中介服務模組傳送一保密數據；一連絡平台，係接收該中介服務模組所傳送的該保密數據，且傳送該保密數據；以及一可信任執行環境應用，係安裝一安全儲存及計算應用模組，該安全儲存及計算應用模組接收該連絡平台傳送的該保密數據，且提供該保密數據一可信任環境，該保密數據在該安全儲存及計算應用模組中被存儲、處理及保護。再者，本發明亦提供一種快速佈署可信任執行環境應用的方法。

Description

快速佈署可信任執行環境應用的系統與方法

本發明涉及電子通信領域，尤指一種用於快速佈署可信任執行環境(Trusted Execution Environment,TEE)應用之系統及方法。

隨著智慧型裝置用戶數量的增加，防禦惡意軟體、病毒的需求也相應增加。在智慧型裝置中，有些應用程式需要具有較高的安全性，例如個人銀行管理相關的應用程式或一些保密信件的收發應用程式等，因為這些應用程式在受到攻擊後會導致相當嚴重的後果，因此這些應用程式不單單需要應用程式自身的保護，還需要更多的安全措施。

可信任執行環境(Trusted Execution Environment,TEE)是一種新的安全保密技術，TEE是存在於智慧型手機、平板電腦或任意移動的設備主機中的一個安全區域，TEE可提供一個安全的執行環境，確保各種敏感、保密數據能在一個可信任環境中被存儲、處理及保護。TEE是與智慧型手機、平板電腦或任意移動設備主機上的豐富作業系統(Rich Operation System,Rich OS，通常是指Android、Symbian、Windows Phone等作業系統)並存的運行環境，並且給Rich OS提供安全服務，TEE具有其自身的執行空間，比Rich OS的安全級別更高，TEE能夠滿足大多數應用程式的安全保密需求。

第1圖為一系統方塊圖，用以說明習知技術的TEE應用。請參照第1圖，行動裝置100包括一豐富執行環境(Rich Execution Environment,REE)應用1、一TEE應用2以及一連絡平台3，REE應用1以及TEE應用2在行動裝置100中是並存的。REE應用1為行動裝置100本身的作業系統(Operation System,OS)，REE應用1包括一客戶端應用模組11、一TEE功能應用程式介面12、一TEE客戶端應用程式介面13以及一豐富作業系統(Rich OS)元件14，其中客戶端應用模組11更包括客戶端自行儲存的各種應用程式，例如一銀行管理應用程式111、一虛擬私人網路應用程式112、一安全簡訊應用程式113以及一安全語音應用程式114，而這些應用程式可根據客戶端的需求自行新增或刪除；因為銀行管理應用程式111、一虛擬私人網路應用程式112、一安全簡訊應用程式113以及一安全語音應用程式114所傳送/接收的數據都是非常敏感且需要保密的，但因為REE應用1本身所具有的安全保密程度較低，會有資料被竊取的風險，因此需要TEE應用2來提供一個安全的執行環境，確保各種敏感、保密數據能在一個可信任環境中被存儲、處理及保護。

TEE應用2包括一可信任應用模組21、一TEE應用程式介面22以及一可信任作業系統元件23，其中可信任應用模組21更包括與客戶端應用模組11相對應的各種可信任應用程式，例如一可信任銀行管理應用程式211、一可信任虛擬私人網路應用程式212、一可信任安全簡訊應用程式213以及可信任一安全語音應用程式214，一但TEE應用2中的各種可信任應程式已經佈署完畢，REE應用1即可將各種需要保密的數據透過連絡平台3 傳送到TEE應用2中的可信任應用模組21的各種對應的可信任應用程式211-214，確保各種敏感、保密數據能在一個可信任環境中被存儲、處理及保護。

然而，TEE應用2中的可信任應用模組21的各種可信任應用程式211-214是對應於REE應用1中的客戶端應用模組11的各種應用程式111-114，在這樣的系統架構下，假如REE應用1中的客戶端應用模組11要將一個新的應用程式加入可信任應用2中的可信任應用模組21中，除了需要熟悉一般的REE應用1開發，亦需要了解TEE應用2的開發方法，甚至是底層的密碼運算呼叫方法，進入門檻甚高。而一組REE應用1搭配一組TEE應用2在開發時程上亦較久，並非一個快速系統軟體佈署的好方法。

因此，對於TEE應用而言，利用習知的TEE技術，在習知的TEE應用端架構一個通用安全儲存及計算應用，並在REE應用端提供安全軟體開發常用的標準介面，例如公鑰加密標準第11號(Public Key Cryptography Standards 11,PKCS#11)，以中介軟體形式，讓REE應用中各類型客戶端應用程式，可以簡單地將其既有系統，快速佈署到TEE應用架構上，乃是待解決的問題。

鑒於上述習知技術之缺點，本發明之主要為提供一種快速佈署可信任執行環境應用的系統，本發明之快速佈署可信任執行環境應用的系統包括：一豐富執行環境應用，係安裝有至少一應用程式及一中介服務模組，其中，該中介服務模組係提供該至少一應用程式一管理服務，該至少一應用程式透過該中介服務模組傳送一保密數據；一連絡平台，係可接收從該豐富執行環境應用之該中介服務模組所傳送的該保密數據，且可傳送該保密數據；以及一可信任執行環境應用，係安裝有一安全儲存及計算應用模組，其中，該可信任執行環境應用之該安全儲存及計算應用模組接收從該連絡平台傳送的該保密數據，且提供該保密數據一可信任環境，該保密數據在該安全儲存及計算應用模組中被存儲、處理及保護。

較佳地，該中介服務模組對該至少一應用程式進行密鑰管理及個人隱私資料的保護。

較佳地，該至少一應用程式包括一使用者在該豐富執行環境應用中新增的一應用程式。

較佳地，該中介服務模組符合公鑰加密標準第11號。

較佳地，該快速佈署可信任執行環境應用的系統係可安裝於智慧型手機、平板電腦及可任意移動的設備主機其中之一者。

本發明之亦提供另一種快速佈署可信任執行環境應用的系統，該快速佈署可信任執行環境應用的系統包括：一豐富執行環境應用，係安裝有至少一應用程式及一中介服務模組，其中，該中介服務模組係提供該至少一應用程式一管理服務，該至少一應用程式透過該中介服務模組傳送一保密數據；一連絡平台，係接收從該豐富執行環境應用之該中介服務模組所傳送的該保密數據，且傳送該保密數據；一可信任執行環境應用，係安裝有一安全儲存及計算應用模組，其中，該可信任執行環境應用之該安全儲存及計算應用模組接收該連絡平台傳送的該保密數據，且進一步傳送該保密數據；以及一安全模組，係接收該保密數據，且提供該保密數據一可信任環境，其中，該保密數據在該安全儲存及計算應用模組中被存儲、處理及保護。

較佳地，該安全模組為microSD、SIM卡、嵌入式感測器、有線連接的外部裝置及無線連接的外部裝置其中之一者。

較佳地，該中介服務模組符合公鑰加密標準第11號。

較佳地，該快速佈署可信任執行環境應用的系統係安裝於智慧型手機、平板電腦及可任意移動的設備主機其中之一者。

依據本發明實施例，本發明亦提供一種快速佈署可信任執行環境應用的方法，包括以下步驟：一豐富執行環境應用中的至少一應用程式傳送一中介指令到一中介服務模組；該中介服務模組將該中介指令轉換成一安全儲存及計算應用模組可以處理的一組指令；藉由一連絡平台將該組指令傳送到該安全儲存及計算應用模組；該安全儲存及計算應用模組處理接收該組指令，並同時處理該組指令直到完整接收該組指令為止；該安全儲存及計算應用模組回傳一回覆指令，並該透過該連絡平台傳送到該中介服務模組；該中介服務模組根據該安全儲存及計算應用模組的該回覆指令準備做回覆；以及該中介服務模組傳送該回覆指令到該豐富執行環境應用中的該至少一應用程式。

依據本發明實施例，本發明亦提供另一種快速佈署可信任執行環境應用的方法，包括以下步驟：一豐富執行環境應用中的至少一應用程式傳送一中介指令到一中介服務模組；該中介服務模組將該中介指令轉換成一安全儲存及計算應用模組可以處理的一組指令；藉由一連絡平台將該組指令傳送到該安全儲存及計算應用模組；藉由該連絡平台，該安全儲存及計算應用模組傳送該組指令到一安全模組；該安全模組處理接收該組指令，並透過該連絡平台回傳一回覆指令到該安全儲存及計算應用模組；該安全儲存及計算應用模組會持續接收該組指令，並持續透過該連絡平台傳送到該安全模組直到該組指令傳送完畢；該安全儲存及計算應用模組傳送該安全模組所回傳的該回覆指令，並透過該連絡平台傳送到該中介服務模組；該中介服務模組根據該安全模組的該回覆指令準備做回覆；以及該中介服務模組傳送該回覆指令到該豐富執行環境應用中的該至少一應用程式。

較佳地，該安全模組為microSD、SIM卡、嵌入式感測器、有線連接的外部裝置及無線連接的外部裝置的其中之一者。

本發明之其它目的、好處與創新特徵將可由以下本發明之詳細範例連同附屬圖式而得知。

1‧‧‧REE應用

11‧‧‧客戶端應用模組

100‧‧‧行動裝置

111‧‧‧銀行管理應用程式

112‧‧‧虛擬私人網路應用程式

113‧‧‧安全簡訊應用程式

114‧‧‧安全語音應用程式

115‧‧‧新增的應用程式

12‧‧‧TEE功能應用程式介面

13‧‧‧TEE客戶端應用程式介面

14‧‧‧豐富作業系統(Rich OS)元件

2‧‧‧TEE應用

21‧‧‧可信任應用模組

200‧‧‧快速佈署TEE應用系統

211‧‧‧可信任銀行管理應用程式

212‧‧‧可信任虛擬私人網路應用程式

213‧‧‧可信任安全簡訊應用程式

214‧‧‧可信任一安全語音應用程式

22‧‧‧TEE應用程式介面

23‧‧‧可信任作業系統元件

3‧‧‧連絡平台

300‧‧‧快速佈署TEE應用系統

4‧‧‧中介服務模組

5‧‧‧安全儲存及計算應用模組

7‧‧‧安全模組

9‧‧‧TEE應用系統的佈署流程

10‧‧‧快速佈署TEE應用系統流程

S1、S5‧‧‧中介指令

S2、S6‧‧‧指令

S3、S4‧‧‧回覆指令

S7、S8‧‧‧回覆指令

S61-S66‧‧‧流程

S81-S88‧‧‧流程

S91-S94‧‧‧流程

S101-S103‧‧‧流程

當併同各隨附圖式而閱覽時，即可更佳瞭解本發明較佳範例之前揭摘要以及上文詳細說明。為達本發明之說明目的，各圖式中繪有現屬較佳之各範例。然應瞭解本發明並不限於所繪之精確排置方式及設備裝置。

第1圖為說明習知技術之TEE應用的系統方塊圖；第2圖為說明本發明之快速佈署TEE應用系統的系統方塊圖；第3圖為說明本發明第一實施例之快速佈署TEE應用系統的系統方塊圖；第4圖為說明本發明第一實施例之快速佈署TEE應用的方法流程圖；第5圖為說明本發明第二實施例之快速佈署TEE應用系統的系統方塊圖；第6圖為說明本發明第二實施例之快速佈署TEE應用的方法流程圖；以及第7圖為說明本發明之快速佈署TEE應用系統與習知技術的TEE應用的佈署流程差別的流程比較圖。

現將詳細參照本發明附圖所示之範例。所有圖式盡可能以相同元件符號來代表相同或類似的部份。請注意該等圖式係以簡化形式繪成，並未依精確比例繪製。

第2圖為一系統方塊圖，用以說明本發明之快速佈署TEE應用系統。請參照第2圖，本發明之快速佈署TEE應用系統200包括一REE應用1、一TEE應用2以及一連絡平台3，REE應用1以及TEE應用2在快速佈署TEE應用系統200中是並存的。REE應用1為一硬體設備的作業系統(Operation System,OS)，REE應用1包括一客戶端應用模組11、一中介服務模組4、一TEE功能應用程式介面12、一TEE客戶端應用程式介面13以及一豐富作業系統(Rich OS)元件14，其中，客戶端應用模組11更包括客戶端自行儲存的各種應用程式，例如一銀行管理應用程式111、一虛擬私人網路應用程式112、一安全簡訊應用程式113以及一安全語音應用程式114，而這些應用程式可根據客戶端的需求自行新增或刪除；中介服務模組4可以提供客戶端應用模組11中的各種應用程式111-114一個管理服務，客戶端應用模組11中的各種應用程式111-114可以統一透過中介服務模組4傳送一保密數據、進行密鑰管理及個人隱私資料的保護，當客戶端在客戶端應用模組11中新增一個新的應用程式時，新的應用程式同樣可以透過中介服務模組4來進行管理。而為了加快佈署TEE應用2的速度，中介服務模組4是利用公鑰加密標準第11號(Public Key Cryptography Standards 11,PKCS#11)，以中介軟體形式，讓REE應用1的客戶端應用模組11中的各類型應用程式111-114，可以簡單地將其既有系統快速佈署到TEE應用2上。

TEE應用2包括一可信任應用模組21、一TEE應用程式介面22以及一可信任作業系統元件23，其中，可信任應用模組21更包括一安全儲存及計算應用模組5，安全儲存及計算應用模組5可以藉由REE應用1的中介服務模組4，提供REE應用1的客戶端應用模組11的各種應用程式111-114多樣化的個人隱私資料管理、密鑰管理及密碼服務；在本發明一實施例中，一但TEE應用2的可信任應用模組21有安裝安全儲存及計算應用模組5，透過連絡平台3，REE應用1即可利用中介服務模組4將各種需要保密的數據傳送到TEE應用2中的可信任應用模組21的安全儲存及計算應用模組5，確保各種敏感、保密數據能在一個可信任環境中被存儲、處理及保護；而在另一實施例中，透過連絡平台3，REE應用1可利用中介服務模組4將各種需要保密的數據傳送到TEE應用2中的可信任應用模組21的安全儲存及計算應用模組5，之後安全儲存及計算應用模組5會再將需要保密的數據透過連絡平台3傳送到一安全模組(未顯示於圖示)，確保各種敏感、保密數據能在一個可信任環境中被存儲、處理及保護。

第3圖為一系統方塊圖，用以說明本發明第一實施例之快速佈署TEE應用系統；第4圖為一流程圖，用以說明本發明第一實施例之快速佈署TEE應用的方法。請參照第3圖及第4圖，本發明第一實施例的快速佈署TEE應用的方法包括流程S61-S66，於流程S61，快速佈署TEE應用系統200的REE應用1的客戶端應用模組11中的各種應用程式111-114及客戶端自行新增的應用程式115的其中之一者傳送一中介指令S1到中介服務模組4，在本發明第一實施例中，本發明是假設新增的應用程式115傳送一中介指令S1到中介服務模組4，而在其他實施例中，傳送一中介指令S1到中介服務模組4的可以是各種應用程式111-114其中之一者。於流程S62，中介服務模組4將中介指令S1轉換成安全儲存及計算應用模組5可以處理的一組指令S2。於流程S63，藉由連絡平台3，轉換完成的指令S2被傳送到安全儲存及計算應用模組5。於流程S64，安全儲存及計算應用模組5處理接收到的指令S2，同時在流程S64中，安全儲存及計算應用模組5會處理於流程S63所傳送的指令S2直到完整接收指令S2為止；之後安全儲存及計算應用模組5回傳一回覆指令S3，並透過連絡平台S3傳送到中介服務模組4。於流程S65，中介服務模組4根據安全儲存及計算應用模組5的回覆指令S3準備做回覆。於流程S66，中介服務模組4傳送回覆指令S4到REE應用1的客戶端應用模組11中的新增的應用程式115。

在本發明第一實施例中，中介指令S1可以是各種應用程式111-114及客戶端自行新增的應用程式115其中之一者所傳送的保密數據，中介服務模組4可以將保密數據轉換成安全儲存及計算應用模組5可以處理的保密數據格式；中介服務模組4可以提供客戶端應用模組11中各種應用程式111-114及客戶端自行新增之應用程式115的一個管理服務，客戶端應用模組11中的各種應用程式111-114及客戶端自行新增的應用程式115可以統一透過中介服務模組4傳送一保密數據、進行密鑰管理及個人隱私資料的保護，透過連絡平台3，REE應用1可利用中介服務模組4將各種需要保密的數據傳送到TEE應用2中的可信任應用模組21的安全儲存及計算應用模組5，確保各種敏感、保密數據能在安全儲存及計算應用模組5中被存儲、處理及保護；此外，本發明第一實施例的快速佈署TEE應用系統200可安裝於智慧型手機、平板電腦或可任意移動的設備主機中。

第5圖為一系統方塊圖，用以說明本發明第二實施例之快速佈署TEE應用系統；第6圖為一流程圖，用以說明本發明第二實施例之快速佈署TEE應用的方法。請參照第5圖及第6圖，本發明第二實施例的快速佈署TEE應用系統300相似於本發明第一實施例的快速佈署TEE應用系統200，差別在於本發明第二實施例的快速佈署TEE應用系統300更包括一安全模組7，安全模組7的類型可以為microSD、SIM卡、嵌入式感測器(embedded SE)、有線連接的外部裝置或無線連接的外部裝置，在本發明第二實施中，安全模組7為一可信任環境，確保各種敏感、保密數據能在安全模組7中被存儲、處理及保護。

本發明第二實施例的快速佈署TEE應用的方法包括流程S81-S88，於流程S81，快速佈署TEE應用系統300的REE應用1的客戶端應用模組11中的各種應用程式111-114及客戶端自行新增的應用程式115的其中之一者傳送一中介指令S5到中介服務模組4，在本發明第二實施例中，本發明是假設新增的應用程式115傳送一中介指令S5到中介服務模組4，而在其他實施例中，傳送一中介指令S5到中介服務模組4的可以是各種應用程式111-114其中之一者。於流程S82，中介服務模組4將中介指令S5轉換成安全模組7可以處理的一組指令S6。於流程S83，藉由連絡平台3，轉換完成的指令S6被傳送到安全儲存及計算應用模組5。於流程S84，藉由連絡平台3，安全儲存及計算應用模組5傳送轉換完成的指令S6到安全模組7。於流程S85，安全模組7處理接收指令S6，並透過連絡平台3回傳一回覆指令S7到安全儲存及計算應用模組5。於流程S86，安全儲存及計算應用模組5會持續接收於流程S83所傳送的指令S6，並持續透過連絡平台3傳送到安全模組7直到指令S6已經傳送完畢；之後安全儲存及計算應用模組5傳送安全模組7所回傳的回覆指令S7並透過連絡平台S3傳送到中介服務模組4。於流程S87，中介服務模組4根據安全模組7的回覆指令S7準備做回覆。於流程S88，中介服務模組4傳送回覆指令S8到REE應用1的客戶端應用模組11中的新增的應用程式115。

在本發明第二實施例中，中介指令S5可以是各種應用程式111-114及客戶端自行新增的應用程式115其中之一者所傳送的保密數據，中介服務模組4可以將保密數據轉換成安全儲存及計算應用模組5可以處理的保密數據格式；中介服務模組4可以提供客戶端應用模組11中的各種應用程式111-114及客戶端自行新增的應用程式115一個管理服務，客戶端應用模組11中的各種應用程式111-114及客戶端自行新增的應用程式115可以統一透過中介服務模組4傳送一保密數據、進行密鑰管理及個人隱私資料的保護，REE應用1可利用中介服務模組4將各種需要保密的數據透過連絡平台3傳送到TEE應用2中的可信任應用模組21的安全儲存及計算應用模組5，之後再藉由安全儲存及計算應用模組5將各種需要保密的數據透過連絡平台3傳送到安全模組7，確保各種敏感、保密數據能在安全模組7中被存儲、處理及保護；此外，本發明第二實施例的快速佈署TEE應用系統300可安裝於智慧型手機、平板電腦或可任意移動的設備主機中。

第7圖為一流程比較圖，用以說明本發明之快速佈署TEE應用系統與習知技術的TEE應用的佈署流程差別。請參照第1圖、第2圖及第7圖，習知技術的TEE應用系統的佈署流程9包括流程S91-S94，於流程S91，TEE應用系統必須先基於TEE架構開發TEE應用1。於流程S92，TEE應用系統再基於TEE架構開發REE應用2。於流程S93，TEE應用系統進行TEE應用2與REE應用1的功能互通性開發。於流程S94，TEE應用系統上線。習知技術的TEE應用系統在進行流程S93的TEE應用2與REE應用1的功能互通性開發時，假如REE應用1中的客戶端要將一個新的應用程式加入TEE應用2中，除了需要熟悉一般的REE應用1開發，亦需要了解TEE應用2的開發方法，甚至是底層的密碼運算呼叫方法，進入門檻甚高。而一組REE應用1搭配一組TEE應用2在開發時程上亦較久，並非屬於一個快速佈署TEE應用的方法。

本發明的快速佈署TEE應用系統流程10包括流程 S101-S103，於流程S101，快速佈署TEE應用系統200必須先安裝中介服務模組4及安全儲存及計算應用模組5。於流程S102，快速佈署TEE應用系統200基於中介服務模組4開發REE應用1。於流程S103，快速佈署TEE應用系統200即可上線。與習知技術的TEE應用系統的佈署流程9相比，本發明的快速佈署TEE應用系統流程10有先在TEE應用2端安裝一個通用安全儲存及計算應用模組5，並在REE應用1端安裝一中介服務模組4，中介服務模組4即可以中介軟體形式，讓REE應用1中的各類型客戶端應用程式111-114，可以簡單地將其既有系統，快速佈署到TEE應用2上，如此可有效降低TEE應用的開發時程，；又因為本發明的中介服務模組4是利用公鑰加密標準第11號(Public Key Cryptography Standards 11,PKCS#11)，且中介服務模組4及安全儲存及計算應用模組5皆符合RSA加密演算法及國際標準ISO7816，因此可有效降低REE應用1及TEE應用2的開發門檻。

在說明本發明之代表性範例時，本說明書已經提出操作本發明之該方法及/或程序做為一特定順序的步驟。但是，某種程度上該方法或程序並不會依賴此處所提出的特定順序的步驟，該方法或程序不應限於所述之該等特定的步驟順序。如本技藝專業人士將可瞭解，其它的步驟順序亦為可行。因此，在本說明書中所提出之特定順序的步驟不應被視為對於申請專利範圍之限制。此外，關於本發明之方法及/或程序之申請專利範圍不應限於所提出順序中之步驟的效能，本技藝專業人士可立即瞭解該等順序可以改變，且仍維持在本發明之精神及範圍內。

熟習此項技藝者應即瞭解可對上述各項範例進行變化，而不致悖離其廣義之發明性概念。因此，應瞭解本發明並不限於本揭之特定範例，而係為涵蓋歸屬如後載各請求項所定義之本發明精神及範圍內的修飾。