WO2019110000A1 - 一种设备数据处理方法及系统 - Google Patents

Abstract

本申请公开了一种设备数据处理方法及系统，其中一种方法应用于包括非可信执行环境和可信执行环境的设备端，所述方法包括：确定对设备数据进行加密的密钥；保存所述密钥至所述可信执行环境的可信存储区域；在所述非可信执行环境接收并保存经所述密钥加密后的设备数据。本申请生产厂家在烧录定制化的设备数据至移动终端之前，利用密钥对定制化的设备数据进行加密，然后再将加密后的设备数据烧录至移动终端。由于移动终端存储的加密后的设备数据，所以即便被其它生产厂家窃取加密后的设备数据，也无法使用的加密后的设备数据。

Description

一种设备数据处理方法及系统

本申请要求2017年12月08日递交的申请号为201711292563.2、发明名称为“一种设备数据处理方法及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种设备数据处理方法及系统。

背景技术

随着移动终端市场的激烈竞争，为了提高自身竞争力，移动终端的生产厂家推出功能库、应用库等设备数据的定制化服务。

由于定制化的设备数据具有特殊优势，所以可能会出现定制化的设备数据被盗用的问题。比如，生产厂家A为移动终端A’定制化的设备数据，被盗用至厂家B生产的移动终端B’上。

因此，现在需要防止一个生产厂家定制化的设备数据，被其它生产厂家的移动终端所使用的方案。

发明内容

鉴于此，本申请提供一种设备数据处理方法及系统，可以防止定制化的设备数据被其它生产厂家的移动终端所使用。

为了实现上述目的，本申请提供了下述技术特征：

一种设备数据处理系统，包括：

主机端，用于确定对设备数据进行加密的密钥，利用所述密钥对设备数据执行加密操作，并将加密后的设备数据烧录至设备端；

设备端，用于确定对设备数据进行加密的密钥，并保存所述密钥至可信执行环境的可信存储区域，在非可信执行环境接收并保存所述主机端烧录的加密后的设备数据。

可选的，所述主机端执行确定对设备数据进行加密的密钥的过程，具体包括：生成对设备数据进行加密的密钥，并将所述密钥烧录至设备端；

所述设备端执行确定对设备数据进行加密的密钥的过程，具体包括：在非可信执行环境接收所述主机端烧录的所述密钥。

可选的，所述设备端执行确定对设备数据进行加密的密钥的过程，具体包括：所述设备端在可信执行环境生成对设备数据进行加密的密钥，发送所述密钥至所述主机端；

所述主机端执行确定对设备数据进行加密的密钥的过程，具体包括：接收所述设备端发送的对设备数据进行加密的密钥，并保存所述密钥。

可选的，所述设备端执行保存所述密钥至可信执行环境的可信存储区域的过程，具体包括：

所述可信执行环境在安全硬件设备中获取根密钥RKEK，并利用所述根密钥RKEK对所述密钥执行加密操作；其中，每个安全硬件设备的根密钥RKEK均不同；

所述可信执行环境存储加密后的密钥至所述可信存储区域。

可选的，所述设备端，还用于在非可信执行环境需使用所述设备数据情况下，发送所述加密后的设备数据至所述可信执行环境，所述可信执行环境利用所述密钥解密所述加密后的设备数据获得所述设备数据，发送所述设备数据至所述非可信执行环境。

可选的，所述密钥包括对称密钥。

一种设备数据处理方法，应用于包括非可信执行环境和可信执行环境的设备端，所述方法包括：

确定对设备数据进行加密的密钥；

保存所述密钥至所述可信执行环境的可信存储区域；

在所述非可信执行环境接收并保存经所述密钥加密后的设备数据。

可选的，所述保存所述密钥至所述可信执行环境，包括：

所述非可信执行环境中的密钥烧录客户应用调用所述可信应用环境的应用程序接口、通过该应用程序接口传输所述密钥至所述可信执行环境的密钥烧录安全应用；

所述可信执行环境的密钥烧录安全应用发送所述密钥至所述可信执行环境的操作系统；

所述可信执行环境的操作系统保存所述密钥至可信存储区域。

可选的，所述可信执行环境的操作系统保存所述密钥至可信存储区域，包括：

所述可信执行环境的操作系统在安全硬件设备中获取根密钥RKEK，并利用所述根密钥RKEK对所述密钥执行加密操作；其中，每个安全硬件设备的根密钥RKEK均不同；

所述可信执行环境的操作系统存储加密后的密钥至所述可信存储区域。

可选的，所述确定对设备数据进行加密的密钥，包括：

在所述非可信执行环境接收主机端烧录至设备端的密钥；或，

在所述可信执行环境生成对设备数据进行加密的密钥。

可选的，所述密钥包括对称密钥。

一种设备数据处理方法，应用于主机端，所述方法包括：

确定对设备数据进行加密的密钥；

利用所述密钥对设备数据执行加密操作，并将加密后的设备数据烧录至设备端。

可选的，所述确定对设备数据进行加密的密钥包括：

生成并保存对设备数据进行加密的密钥；或，

接收设备端发送的对设备数据进行加密的密钥，并保存所述密钥。

可选的，对于一个包含多个部分的文件而言，将所述文件的多个部分或者所述多个部分中的指定部分作为待加密的设备数据。

可选的，所述密钥包括对称密钥。

一种设备数据处理方法，应用于包括非可信执行环境和可信执行环境的设备端，所述方法包括：

在所述非可信执行环境需使用设备数据情况下，发送加密后的设备数据至所述可信执行环境；

所述可信执行环境利用所述密钥解密所述加密后的设备数据获得所述设备数据；

发送所述设备数据至所述非可信执行环境。

可选的，在所述非可信执行环境需使用设备数据情况下，发送加密后的设备数据至所述可信执行环境，包括：

在非可信执行环境需要使用文件的情况下，通过文件中各个部分的状态；

将具有加密状态的各个部分，确定为加密后的设备数据；

发送加密后的设备数据至可信执行环境。

可选的，所述发送所述加密后的设备数据至所述可信执行环境，包括：

所述非可信执行环境中的设备指纹客户应用调用所述可信应用环境的应用程序接口、发送所述加密后的设备数据至所述可信执行环境的设备指纹安全应用；

所述发送所述设备数据至所述非可信执行环境，包括：所述可信执行环境的设备指纹安全应用调用所述应用程序接口、发送所述设备数据至所述非可信执行环境的设备指纹客户应用。

可选的，所述可信执行环境利用所述密钥解密所述加密后的设备数据获得所述设备数据，包括：

所述可信执行环境中的设备指纹安全应用发送加密后的设备数据至所述可信执行环境的操作系统；

所述可信执行环境的操作系统从可信存储区域获取密钥，并利用所述密钥解密所述加密后的设备数据获得所述设备数据。

所述设备指纹安全应用调用所述非可信应用环境的应用程序接口、发送所述设备数据至所述非可信执行环境的设备指纹客户应用。

可选的，所述可信执行环境的操作系统从可信存储区域获取密钥，包括：

所述可信执行环境的操作系统从所述可信存储区域获取加密的密钥，并从所述安全硬件设备获取根密钥RKEK；其中，每个安全硬件设备的根密钥RKEK均不同；

所述可信执行环境的操作系统利用根密钥RKEK对所述加密的密钥执行解密操作，获得解密后的密钥。

可选的，所述密钥包括对称密钥。

一种设备数据处理系统，包括：

主机端，用于确定对设备数据进行加密的密钥，利用所述密钥对所述设备数据执行加密操作，并将加密后的设备数据和表示所述设备数据的数据标识烧录至设备端；

设备端，用于确定对设备数据进行加密的密钥，并保存所述密钥和表示所述设备数据的数据标识至可信执行环境的可信存储区域，在非可信执行环境接收并保存所述主机端烧录的加密后的设备数据和所述数据标识。

可选的，所述主机端执行确定对设备数据进行加密的密钥的过程，具体包括：生成对设备数据进行加密的密钥，并将所述密钥和表示所述设备数据的数据标识烧录至设备端；

所述设备端执行确定对设备数据进行加密的密钥的过程，具体包括：在非可信执行环境接收所述主机端烧录的所述密钥和表示所述设备数据的数据标识。

可选的，所述设备端执行确定对设备数据进行加密的密钥的过程，具体包括：所述设备端在可信执行环境生成对设备数据进行加密的密钥，发送所述密钥和用于表示所述设备数据的数据标识至所述主机端；

所述主机端执行确定对设备数据进行加密的密钥的过程，具体包括：接收所述设备端发送的对设备数据进行加密的密钥和数据标识，并对应保存所述密钥和所述数据标识。

可选的，所述设备端执行对应保存所述密钥和数据标识至可信执行环境的可信存储区域的过程，具体包括：

所述可信执行环境在安全硬件设备中获取根密钥RKEK，并利用所述根密钥RKEK对所述密钥执行加密操作；

所述可信执行环境对应存储加密后的密钥和所述数据标识至所述可信存储区域。

可选的，所述设备端，还用于在非可信执行环境需使用所述设备数据情况下，发送所述加密后的设备数据和所述数据标识至所述可信执行环境，所述可信执行环境查找与所述数据标识对应的密钥，利用该密钥解密所述加密后的设备数据获得所述设备数据，发送所述设备数据至所述非可信执行环境。

可选的，所述密钥包括对称密钥。

一种设备数据处理方法，应用于包括非可信执行环境和可信执行环境的设备端，所述方法包括：

确定对设备数据进行加密的密钥；

保存所述密钥和表示所述设备数据的数据标识至可信执行环境的可信存储区域；

在非可信执行环境接收并保存所述主机端烧录的加密后的设备数据和所述数据标识。

一种设备数据处理方法，应用于主机端，所述方法包括：

确定对设备数据进行加密的密钥；

利用所述密钥对所述设备数据执行加密操作；

将加密后的设备数据和表示所述设备数据的数据标识烧录至设备端。

一种设备数据处理方法，应用于包括非可信执行环境和可信执行环境的设备端，所述方法包括：

在非可信执行环境需使用所述设备数据情况下，发送所述加密后的设备数据和用于表示设备数据的数据标识至所述可信执行环境；

所述可信执行环境查找与所述数据标识对应的密钥，利用该密钥解密所述加密后的设备数据获得设备数据；

发送所述设备数据至所述非可信执行环境。

通过以上技术手段，可以实现以下有益效果：

本申请生产厂家在烧录定制化的设备数据至移动终端之前，利用密钥对定制化的设备数据进行加密，然后再将加密后的设备数据烧录至移动终端。由于移动终端存储的加密后的设备数据，所以即便被其它生产厂家窃取加密后的设备数据，也无法使用的加密后的设备数据。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1a为本申请实施例公开的一种设备数据处理系统的结构示意图；

图1b为本申请实施例公开的一种设备数据处理方法的流程图；

图2a-2b为本申请实施例公开的又一种设备数据处理方法的流程图；

图3a-3b为本申请实施例公开的一种可执行文件的示意图；

图4为本申请实施例公开的又一种设备数据处理方法的流程图；

图5为本申请实施例公开的又一种设备数据处理方法的流程图；

图6a-6b为本申请实施例公开的又一种设备数据处理方法的流程图；

图7为本申请实施例公开的又一种设备数据处理方法的流程图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

术语解释：

对称密钥加密：又称私钥加密，即信息的发送方和接收方使用相同密钥来加密和解密信息。

非可信执行环境：英文全称为Rich Execution Environment，REE。丰富执行环境以提供强大功能和性能为主要设计目标，由于丰富执行环境具有公开性所以又被称为非可信执行环境。

可信执行环境：英文全称Trusted Execution Environment，TEE。可信执行环境与非可信执行环境平行存在却又互相隔离，可信执行环境可以为非可信应用环境中的应用提供安全服务。

客户应用：英文全称Client Application，CA。运行在非可信执行环境REE中的应用 称为客户应用。

安全应用：英文全称Trusted Application，TA。运行在可信执行环境TEE中的应用。客户应用CA可以调用TEE Client API向TA请求安全服务，安全应用TA可以为运行在非可信应用环境REE中的客户应用提供安全服务。

ELF(Executable and Linkable Format)：一种用于二进制文件、可执行文件、目标代码、功能库的文件格式。

根密钥RKEK：在出厂前存储在安全硬件设备中。每个安全硬件设备的根密钥RKEK均不同。

为了便于说明，本实施例中的密钥采用对称密钥描述，可以理解的是，在具体实施时，可以根据实际情况采用非对称密钥也是可以的。即，非对称密钥也在本申请保护范围内。

为了防止定制化的设备数据被盗用至其它生产厂家的移动终端，本申请中生产厂家在烧录定制化的设备数据至移动终端之前，利用对称密钥对定制化的设备数据进行加密，然后再将加密后的设备数据烧录至移动终端的非可信执行环境。

由于非可信执行环境具有开放性，所以可能被其它生产厂家窃取加密后的设备数据。由于设备数据是被加密的，所以其它生产厂家即便盗用加密后的设备数据后，也无法使用的加密后的设备数据。

为了不影响移动终端本身使用定制化的设备数据，将对称密钥保存在移动终端的可信执行环境中。在移动终端需使用设备数据时，便可以利用可信执行环境中的对称密钥解密加密后的设备数据，从而获得并使用设备数据。

本申请之所以将对称密钥设置在可信执行环境，是因为可信执行环境与非可信执行环境具有物理隔离，所以可信执行环境很安全，可以防止其它生产厂家盗取从可信执行环境中盗取对称密钥。

在其它生产厂家无法获得对称密钥的基础上，其它生产厂家是无法解密并使用加密后的设备数据的。因此，本申请可以防止其它生产厂家使用定制化的设备数据。

移动终端包括应用库、功能库等设备数据，设备数据包括很多可执行文件。依据对称密钥与可执行文件的数量对应关系，本申请可以包括两个方面：

第一方面：多个可执行文件共用一个对称密钥。

生产厂家可以对可执行文件进行定制化，从而获得定制化的多个可执行文件。在第一方面中，可以为多个可执行文件设置一个共用的对称密钥。这样，多个可执行文件均采用该对称密钥执行加密操作或解密操作，处理过程简单方便，且便于管理对称密钥。

根据本申请的一个实施例，提供一种设备数据处理系统的实施例一。参见图1a，设备数据处理系统包括：主机端100和设备端200。

根据本申请的一个实施例，提供一种应用于上述设备处理系统的设备数据处理方法。参见图1b，包括以下步骤：

步骤S101：主机端100确定并保存对设备数据进行加密的对称密钥，设备端200的可信执行环境获得对设备数据进行加密的对称密钥。

本步骤具有两种实现方式，下面分别对两种实现方式进行说明。

第一种实现方式：主机端100生成对称密钥。

参见图2a，提供第一种实现方式的实现过程：

S11：主机端100生成对设备数据进行加密的对称密钥并保存对称密钥。

主机端100可以随机生成或者按照预设算法生成对设备数据进行加密的对称密钥，或者，主机端100接收生产厂家构建一个特殊对称密钥。本申请对于生成对称密钥的过程不做限定。

主机端100在确定对称密钥后保存对称密钥，以便后续用于对设备数据执行加密操作。

S12：主机端100将所述对称密钥烧录至设备端200。

设备端200包括非可信执行环境和可信执行环境。为了执行烧录过程，非可信执行环境包括密钥烧录客户应用CA，可信执行环境包括密钥烧录安全应用TA。

主机端100通过烧录软件将对称密钥烧录至设备端200的非可信执行环境中的密钥烧录客户应用CA。

虽然该过程会在开放环境中传输对称密钥，但是因为烧录过程在生产厂家的工厂执行，所以传输对称密钥的过程是安全的。

S13：设备端200将对称密钥传输至可信执行环境。

非可信执行环境中的密钥烧录客户应用CA会调用所述可信应用环境的应用程序接口(TEE Client API)，通过该应用程序接口传输对称密钥至可信执行环境的密钥烧录安全应用TA。

密钥烧录安全应用TA会传输对称密钥至可信执行环境的操作系统(TEE OS)。

第二种实现方式：设备端100生成对称密钥。

参见图2b，提供第二种实现方式的实现过程：

步骤S21：主机端100发送对称密钥的获取请求至设备端200。

设备端200包括非可信执行环境和可信执行环境。非可信执行环境包括传输请求客户应用CA，可信执行环境包括传输请求安全应用TA。

主机端100发送对称密钥的获取请求至设备端200，以触发设备端200生成对设备数据进行加密的对称密钥；设备端200非可信执行环境中的传输请求CA接收对称密钥的获取请求。

步骤S22：设备端200传输对称密钥的获取请求至设备端的可信执行环境。

非可信执行环境中的传输请求客户应用CA会调用所述可信应用环境的应用程序接口(TEE Client API)，通过该应用程序接口传输对称密钥的获取请求至可信执行环境的传输请求安全应用TA。

步骤S23：设备端200在可信执行环境生成对设备数据进行加密的对称密钥，发送所述对称密钥至所述主机端100。

设备端200在可信执行环境的传输请求安全应用TA，传输对称密钥的获取请求至可信执行环境的操作系统(TEE OS)，可信执行环境的操作系统生成对设备数据进行加密的对称密钥。

设备端200的可信执行环境的操作系统发送对称密钥至传输请求安全应用TA，传输请求安全应用TA发送对称密钥至传输请求客户应用CA，再由传输请求客户应用CA发送对称密钥至主机端100。

步骤S22：主机端100保存设备端200发送的对称密钥。

主机端100存储设备端200发送的对称密钥并保存对称密钥，以便后续用于对设备数据执行加密过程。

接着返回图1b，进入步骤S102：设备端200保存所述对称密钥至可信执行环境的可信存储区域。

设备端200的可信执行环境的操作系统获得对称密钥后(在第一种实现方式中获得主机端烧录的对称密钥，在第二种实现方式中生成对称密钥)，可以保存对称密钥至可信存储区域。

可信存储区域可以为可信执行环境中DDR(全称为DDR SDRAM，Double Data Rate SDRAM，双倍速率SDRAM)中的一段区域，可信执行环境中的DDR的控制器可以用来保证非可信执行环境REE不能访问DDR。

由于可信执行环境存储对称密钥的区域较为安全，所以可以保护对称密钥，防止对称密钥被其它生产厂家盗取。

本实施例中，为了更进一步保护对称密钥，在存储对称密钥至可信存储区域之前，还可以对对称密钥进行加密操作。

根据本申请提供的一个实施例，可信执行环境的操作系统可以在安全硬件设备中获取根密钥RKEK。根密钥RKEK在出厂前存储在安全硬件设备中，用于表示该生产厂家生产的移动终端，相当于设备指纹。其中，每个安全硬件设备的根密钥RKEK均不同。

可信执行环境的操作系统利用所述根密钥RKEK对所述对称密钥执行加密操作，然后再存储加密后的对称密钥至所述可信存储区域。这样可以更进一步保护对称密钥。

步骤S103：主机端100确定待加密的设备数据，利用所述对称密钥对设备数据执行加密操作。

以一个需要加密的ELF格式的文件为例(后续称为ELF文件)，参见图3a，ELF文件包括ELF header、.text、.data、.comment、.shstatab、Sec header table多个部分。

本申请可以对ELF文件的各个部分均执行加密操作，这样安全性较高。可以理解的是，在解密时便需要对整个ELF文件均执行解密操作。

由于ELF文件中各个部分并非均具有较高的重要性，所以，可以选择性的对ELF文件中多个部分执行加密操作。

例如，参见图3b，可以仅对重要性较高的.text、.data两个部分进行加密。后续解密时候仅对两个部分执行解密操作，由于两个部分的数据量少，所以解密时间缩短，从而提高响应速度。

可以理解的是，为了便于后续区分加密部分和未加密部分，可以为各个部分设置一个状态，若一个部分为加密状态则表示该部分已加密，需要解密后再使用；若一个部分为未加密状态，则表示该部分未加密，可以直接使用。

由于利用对称密钥对设备数据执行加密操作过程已为成熟技术，在此不再赘述具体执行过程。

步骤S104：主机端100将加密后的设备数据烧录至设备端200。

参见图4，设备端200包括非可信执行环境和可信执行环境。非可信执行环境包括 设备指纹客户应用CA，可信执行环境包括设备指纹安全应用TA。

主机端100在烧录加密后的设备数据至设备端，设备端的非可信执行环境中的设备指纹客户应用CA会接收加密后的设备数据。

延续上述举例，在对重要性较高的.text、.data两个部分进行加密后，可以烧录整体ELF文件至设备端。其中，整体ELF文件中.text、.data两个部分的状态为已加密状态，其余部分的状态为未加密状态。

步骤S105：设备端200在非可信执行环境接收并保存所述主机端烧录的加密后的设备数据。

设备端200的非可信执行环境中的设备指纹客户应用CA会接收加密后的设备数据后，保存加密后的设备数据在非可信执行环境的存储区域内。

步骤S106：设备端200在非可信执行环境需使用所述设备数据情况下，发送所述加密后的设备数据至所述可信执行环境。

在非可信执行环境中的应用(例如，银行客户端、通讯客户端、计算器、日历、时钟等应用)在执行过程中，会使用一些可执行文件。非可信执行环境会在存储区域查找应用所需使用的可执行文件。

然后，判断可执行文件的状态是否有加密状态，若有加密状态则确定加密的设备数据。延续上述举例，在对一个ELF文件的状态进行判断后，发现.text、.data两个部分的状态为已加密状态，则确定.text、.data两个部分为加密后的设备数据。

参见图4，设备端的非可信执行环境中的设备指纹客户应用CA，调用可信执行环境的应用程序接口(TEE Client API)，通过该应用程序接口传输加密后的设备数据至可信执行环境的设备指纹安全应用TA。

步骤S107：所述可信执行环境利用所述对称密钥解密所述加密后的设备数据获得所述设备数据。

参见图4，所述可信执行环境中的设备指纹安全应用TA发送加密后的设备数据至所述可信执行环境的操作系统，可信执行环境的操作系统从可信存储区域获取对称密钥。

若在可信存储区域存储对称密钥时进一步使用根密钥RKEK进行加密，则在从可信存储区域获取加密后的对称密钥，然后，利用根密钥RKEK解密加密后的对称密钥，获得对称密钥。

可信执行环境的操作系统利用所述对称密钥解密所述加密后的设备数据获得所述设备数据。

步骤S108：可信执行环境发送所述设备数据至所述非可信执行环境。

参见图4，可信执行环境的操作系统发送设备数据至设备指纹安全应用TA，设备指纹安全应用TA、发送所述设备数据至所述非可信执行环境的设备指纹客户应用CA，从而到达非可信执行环境。

步骤S109：非可信执行环境正常运行设备数据。

非可信执行环境可以使用解密后的设备数据，在解密后的设备数据使用完毕后，删除解密后的设备数据，以防止其它生产厂家盗用设备数据。

非可信执行环境使用完毕后，依旧保持设备数据为加密后的设备数据。例如，在ELF文件使用完毕后，依旧保持最初时的加密状态，即.data和.text段被加密的状态。

第二方面：各个可执行文件均有各自的对称密钥。

生产厂家还可以为各个可执行文件均设置一个对称密钥，即各个可执行文件分别均采用各自的对称密钥执行加密操作或解密操作，这样安全性更高。

根据本申请的一个实施例，提供一种应用于图1a所示的设备处理系统的设备数据处理方法。参见图5，包括以下步骤：

步骤S501：主机端100确定并对应保存对设备数据进行加密的对称密钥和用于表示设备数据的数据标识，设备端200的可信执行环境获得对设备数据进行加密的对称密钥和用于表示设备数据的数据标识。

本步骤具有两种实现方式，下面分别对两种实现方式进行说明。

第一种实现方式：主机端100生成对称密钥。

参见图6a，提供第一种实现方式的实现过程：

S611：主机端100生成对设备数据进行加密的对称密钥，并对应保存对称密钥和用于表示设备数据的数据标识。

主机端100可以随机生成或者按照预设算法生成对设备数据进行加密的对称密钥，或者，主机端100接收生产厂家构建一个特殊对称密钥。本申请对于生成对称密钥的过程不做限定。

主机端100在确定对称密钥后保存对称密钥，以便后续用于对设备数据执行加密操作。

S612：主机端100将所述对称密钥和数据标识烧录至设备端200。

设备端200包括非可信执行环境和可信执行环境。为了执行烧录过程，非可信执行 环境包括密钥烧录客户应用CA，可信执行环境包括密钥烧录安全应用TA。

主机端100通过烧录软件将对称密钥和数据标识烧录至设备端200的非可信执行环境中的密钥烧录客户应用CA。

虽然该过程会在开放环境中传输对称密钥，但是因为烧录过程在生产厂家的工厂执行，所以传输对称密钥的过程是安全的。

S613：设备端200将对称密钥和数据标识传输至可信执行环境。

非可信执行环境中的密钥烧录客户应用CA会调用所述可信应用环境的应用程序接口(TEE Client API)，通过该应用程序接口传输对称密钥和数据标识至可信执行环境的密钥烧录安全应用TA。

密钥烧录安全应用TA会传输对称密钥和数据标识至可信执行环境的操作系统(TEE OS)。

第二种实现方式：设备端100生成对称密钥。

参见图6b，提供第二种实现方式的实现过程：

步骤S621：主机端100发送用于表示设备数据的数据标识和对称密钥的获取请求至设备端200。

设备端200包括非可信执行环境和可信执行环境。非可信执行环境包括传输请求客户应用CA，可信执行环境包括传输请求安全应用TA。

主机端100发送对称密钥的获取请求和数据标识至设备端200，以触发设备端200生成对设备数据进行加密的对称密钥；设备端200非可信执行环境中的传输请求CA接收对称密钥的获取请求和数据标识。

步骤S622：设备端200传输对称密钥的获取请求和数据标识至设备端的可信执行环境。

非可信执行环境中的传输请求客户应用CA会调用所述可信应用环境的应用程序接口(TEE Client API)，通过该应用程序接口传输对称密钥的获取请求和数据标识至可信执行环境的传输请求安全应用TA。

步骤S623：设备端200在可信执行环境生成对设备数据进行加密的对称密钥，发送所述对称密钥和数据标识至所述主机端100。

设备端200在可信执行环境的传输请求安全应用TA，传输对称密钥和数据标识的获取请求至可信执行环境的操作系统(TEE OS)，可信执行环境的操作系统生成对设备数 据进行加密的对称密钥。

设备端200的可信执行环境的操作系统发送对称密钥和数据标识至传输请求安全应用TA，传输请求安全应用TA发送对称密钥和数据标识至传输请求客户应用CA，再由传输请求客户应用CA发送对称密钥和数据标识至主机端100。

步骤S622：主机端100对应保存设备端200发送的对称密钥和数据标识。

主机端100存储设备端200发送的对称密钥和数据标识，并对应保存对称密钥和数据标识，以便后续用于对设备数据执行加密过程。

接着返回图5，进入步骤S502：设备端200保存所述对称密钥和数据标识至可信执行环境的可信存储区域。

设备端200的可信执行环境的操作系统获得对称密钥和数据标识后(在第一种实现方式中获得主机端烧录的对称密钥，在第二种实现方式中生成对称密钥)，可以对应保存对称密钥和数据标识至可信存储区域。

可信存储区域可以为可信执行环境中DDR(全称为DDR SDRAM，Double Data Rate SDRAM，双倍速率SDRAM)中的一段区域，可信执行环境中的DDR的控制器可以用来保证非可信执行环境REE不能访问DDR。

由于可信执行环境存储对称密钥的区域较为安全，所以可以保护对称密钥，防止对称密钥被其它生产厂家盗取。

本实施例中，为了更进一步保护对称密钥，在存储对称密钥至可信存储区域之前，还可以对对称密钥进行加密操作。

根据本申请提供的一个实施例，可信执行环境的操作系统可以在安全硬件设备中获取根密钥RKEK。根密钥RKEK在出厂前存储在安全硬件设备中，用于表示该生产厂家生产的移动终端，相当于设备指纹。不同生产厂家的移动终端的设备指纹不同。

可信执行环境的操作系统利用所述根密钥RKEK对所述对称密钥执行加密操作，然后再存储加密后的对称密钥和数据标识至所述可信存储区域。这样可以更进一步保护对称密钥。

步骤S503：主机端100确定待加密的设备数据，根据设备数据的数据标识查找到对称密钥利用所述对称密钥对设备数据执行加密操作。

以一个需要加密的ELF格式的文件为例(后续称为ELF文件)，参见图3a，ELF文件包括ELF header、.text、.data、.comment、.shstatab、Sec header table多个部分。

本申请可以对ELF文件的各个部分均执行加密操作，这样安全性较高。可以理解的是，在解密时便需要对整个ELF文件均执行解密操作。

由于ELF文件中各个部分并非均具有较高的重要性，所以，可以选择性的对ELF文件中多个部分执行加密操作。

例如，参见图3b，可以仅对重要性较高的.text、.data两个部分进行加密。后续解密时候仅对两个部分执行解密操作，由于两个部分的数据量少，所以解密时间缩短，从而提高响应速度。

可以理解的是，为了便于后续区分加密部分和未加密部分，可以为各个部分设置一个状态，若一个部分为加密状态则表示该部分已加密，需要解密后再使用；若一个部分为未加密状态，则表示该部分未加密，可以直接使用。

主机端会根据设备数据的数据标识，查找与设备标识对应的对称密钥。由于利用对称密钥对设备数据执行加密操作过程已为成熟技术，在此不再赘述具体执行过程。

步骤S504：主机端100将加密后的设备数据和数据标识烧录至设备端200。

设备端200包括非可信执行环境和可信执行环境。非可信执行环境包括设备指纹客户应用CA，可信执行环境包括设备指纹安全应用TA。

参见图7，主机端100在烧录加密后的设备数据和数据标识至设备端200，设备端的非可信执行环境中的设备指纹客户应用CA会接收加密后的设备数据和数据标识。

延续上述举例，在对重要性较高的.text、.data两个部分进行加密后，可以烧录整体ELF文件至设备端。其中，整体ELF文件中.text、.data两个部分的状态为已加密状态，其余部分的状态为未加密状态。

步骤S505：设备端200在非可信执行环境接收并保存所述主机端烧录的加密后的设备数据和数据标识。

设备端200的非可信执行环境中的设备指纹客户应用CA会接收加密后的设备数据和数据标识后，对应保存加密后的设备数据和数据标识在非可信执行环境的存储区域内。

步骤S506：设备端200在非可信执行环境需使用所述设备数据情况下，发送所述加密后的设备数据和数据标识至所述可信执行环境。

在非可信执行环境中的应用(例如，银行客户端、通讯客户端、计算器、日历、时钟等应用)在执行过程中，会使用一些可执行文件。非可信执行环境会在存储区域查找应用所需使用的可执行文件。

然后，判断可执行文件的状态是否有加密状态，若有加密状态则确定加密的设备数 据。延续上述举例，在对一个ELF文件的状态进行判断后，发现.text、.data两个部分的状态为已加密状态，则确定.text、.data两个部分为加密后的设备数据。

参见图7，设备端的非可信执行环境中的设备指纹客户应用CA，调用可信执行环境的应用程序接口(TEE Client API)，通过该应用程序接口传输加密后的设备数据和数据标识至可信执行环境的设备指纹安全应用TA。

步骤S507：所述可信执行环境查找与数据标识对应的对称密钥，利用所述对称密钥解密所述加密后的设备数据获得所述设备数据。

参见图7，所述可信执行环境中的设备指纹安全应用TA发送加密后的设备数据和数据标识至所述可信执行环境的操作系统，可信执行环境的操作系统从可信存储区域获取与数据标识对应的对称密钥。

若在可信存储区域存储对称密钥时进一步使用根密钥RKEK进行加密，则在从可信存储区域获取加密后的对称密钥，然后，利用根密钥RKEK解密加密后的对称密钥，获得对称密钥。

可信执行环境的操作系统利用所述对称密钥解密所述加密后的设备数据获得所述设备数据。

步骤S508：可信执行环境发送所述设备数据至所述非可信执行环境。

参见图7，可信执行环境的操作系统发送设备数据至设备指纹安全应用TA，设备指纹安全应用TA、发送所述设备数据至所述非可信执行环境的设备指纹客户应用CA，从而到达非可信执行环境。

步骤S509：非可信执行环境正常运行设备数据非可信执行环境可以使用解密后的设备数据，在解密后的设备数据使用完毕后，删除解密后的设备数据，以防止其它生产厂家盗用设备数据。

在ELF文件使用完毕后，依旧保持最初时的状态，即.data和.text段被加密的状态。

通过以上实施例可以实现以下有益效果：

本申请生产厂家在烧录定制化的设备数据至移动终端之前，利用密钥对定制化的设备数据进行加密，然后再将加密后的设备数据烧录至移动终端。由于移动终端存储加密后的设备数据，所以即便被其它生产厂家窃取加密后的设备数据，也无法使用的加密后的设备数据。

本实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或 使用时，可以存储在一个计算设备可读取存储介质中。基于这样的理解，本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一台计算设备(可以是个人计算机，服务器，移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (30)

1. 一种设备数据处理系统，其特征在于，包括：

   主机端，用于确定对设备数据进行加密的密钥，利用所述密钥对设备数据执行加密操作，并将加密后的设备数据烧录至设备端；

   设备端，用于确定对设备数据进行加密的密钥，并保存所述密钥至可信执行环境的可信存储区域，在非可信执行环境接收并保存所述主机端烧录的加密后的设备数据。
2. 如权利要求1所述的系统，其特征在于，

   所述主机端执行确定对设备数据进行加密的密钥的过程，具体包括：生成对设备数据进行加密的密钥，并将所述密钥烧录至设备端；

   所述设备端执行确定对设备数据进行加密的密钥的过程，具体包括：在非可信执行环境接收所述主机端烧录的所述密钥。
3. 如权利要求1所述的系统，其特征在于，

   所述设备端执行确定对设备数据进行加密的密钥的过程，具体包括：所述设备端在可信执行环境生成对设备数据进行加密的密钥，发送所述密钥至所述主机端；

   所述主机端执行确定对设备数据进行加密的密钥的过程，具体包括：接收所述设备端发送的对设备数据进行加密的密钥，并保存所述密钥。
4. 如权利要求2或3所述的系统，其特征在于，所述设备端执行保存所述密钥至可信执行环境的可信存储区域的过程，具体包括：

   所述可信执行环境在安全硬件设备中获取根密钥RKEK，并利用所述根密钥RKEK对所述密钥执行加密操作；其中，每个安全硬件设备的根密钥RKEK均不同；

   所述可信执行环境存储加密后的密钥至所述可信存储区域。
5. 如权利要求1所述的系统，其特征在于，

   所述设备端，还用于在非可信执行环境需使用所述设备数据情况下，发送所述加密后的设备数据至所述可信执行环境，所述可信执行环境利用所述密钥解密所述加密后的设备数据获得所述设备数据，发送所述设备数据至所述非可信执行环境。
6. 如权利要求1所述的系统，其特征在于，所述密钥包括对称密钥。
7. 一种设备数据处理方法，其特征在于，应用于包括非可信执行环境和可信执行环境的设备端，所述方法包括：

   确定对设备数据进行加密的密钥；

   保存所述密钥至所述可信执行环境的可信存储区域；

   在所述非可信执行环境接收并保存经所述密钥加密后的设备数据。
8. 如权利要求7所述的方法，其特征在于，所述保存所述密钥至所述可信执行环境，包括：

   所述非可信执行环境中的密钥烧录客户应用调用所述可信应用环境的应用程序接口、通过该应用程序接口传输所述密钥至所述可信执行环境的密钥烧录安全应用；

   所述可信执行环境的密钥烧录安全应用发送所述密钥至所述可信执行环境的操作系统；

   所述可信执行环境的操作系统保存所述密钥至可信存储区域。
9. 如权利要求8所述的方法，其特征在于，所述可信执行环境的操作系统保存所述密钥至可信存储区域，包括：

   所述可信执行环境的操作系统在安全硬件设备中获取根密钥RKEK，并利用所述根密钥RKEK对所述密钥执行加密操作；其中，每个安全硬件设备的根密钥RKEK均不同；

   所述可信执行环境的操作系统存储加密后的密钥至所述可信存储区域。
10. 如权利要求7所述的方法，其特征在于，所述确定对设备数据进行加密的密钥，包括：

    在所述非可信执行环境接收主机端烧录至设备端的密钥；或，

    在所述可信执行环境生成对设备数据进行加密的密钥。
11. 如权利要求7-10任一项所述的方法，其特征在于，所述密钥包括对称密钥。
12. 一种设备数据处理方法，其特征在于，应用于主机端，所述方法包括：

    确定对设备数据进行加密的密钥；

    利用所述密钥对设备数据执行加密操作，并将加密后的设备数据烧录至设备端。
13. 如权利要求12所述的方法，其特征在于，所述确定对设备数据进行加密的密钥包括：

    生成并保存对设备数据进行加密的密钥；或，

    接收设备端发送的对设备数据进行加密的密钥，并保存所述密钥。
14. 如权利要求12所述的方法，其特征在于，对于一个包含多个部分的文件而言，将所述文件的多个部分或者所述多个部分中的指定部分作为待加密的设备数据。
15. 如权利要求12-14任一项所述的方法，其特征在于，所述密钥包括对称密钥。
16. 一种设备数据处理方法，其特征在于，应用于包括非可信执行环境和可信执行 环境的设备端，所述方法包括：

    在所述非可信执行环境需使用设备数据情况下，发送加密后的设备数据至所述可信执行环境；

    所述可信执行环境利用密钥解密所述加密后的设备数据获得所述设备数据；

    发送所述设备数据至所述非可信执行环境。
17. 如权利要求16所述的方法，其特征在于，在所述非可信执行环境需使用设备数据情况下，发送加密后的设备数据至所述可信执行环境，包括：

    在非可信执行环境需要使用文件的情况下，通过文件中各个部分的状态；

    将具有加密状态的各个部分，确定为加密后的设备数据；

    发送加密后的设备数据至可信执行环境。
18. 如权利要求16所述的方法，其特征在于，

    所述发送所述加密后的设备数据至所述可信执行环境，包括：

    所述非可信执行环境中的设备指纹客户应用调用所述可信应用环境的应用程序接口、发送所述加密后的设备数据至所述可信执行环境的设备指纹安全应用；

    所述发送所述设备数据至所述非可信执行环境，包括：所述可信执行环境的设备指纹安全应用调用所述应用程序接口、发送所述设备数据至所述非可信执行环境的设备指纹客户应用。
19. 如权利要求16所述的方法，其特征在于，所述可信执行环境利用所述密钥解密所述加密后的设备数据获得所述设备数据，包括：

    所述可信执行环境中的设备指纹安全应用发送加密后的设备数据至所述可信执行环境的操作系统；

    所述可信执行环境的操作系统从可信存储区域获取密钥，并利用所述密钥解密所述加密后的设备数据获得所述设备数据；

    所述设备指纹安全应用调用所述非可信应用环境的应用程序接口、发送所述设备数据至所述非可信执行环境的设备指纹客户应用。
20. 如权利要求19所述的方法，其特征在于，所述可信执行环境的操作系统从可信存储区域获取密钥，包括：

    所述可信执行环境的操作系统从所述可信存储区域获取加密的密钥，并从所述安全硬件设备获取根密钥RKEK；其中，每个安全硬件设备的根密钥RKEK均不同；

    所述可信执行环境的操作系统利用根密钥RKEK对所述加密的密钥执行解密操作， 获得解密后的密钥。
21. 如权利要求16-20任一项所述的方法，其特征在于，所述密钥包括对称密钥。
22. 一种设备数据处理系统，其特征在于，包括：

    主机端，用于确定对设备数据进行加密的密钥，利用所述密钥对所述设备数据执行加密操作，并将加密后的设备数据和表示所述设备数据的数据标识烧录至设备端；

    设备端，用于确定对设备数据进行加密的密钥，并保存所述密钥和表示所述设备数据的数据标识至可信执行环境的可信存储区域，在非可信执行环境接收并保存所述主机端烧录的加密后的设备数据和所述数据标识。
23. 如权利要求22所述的系统，其特征在于，

    所述主机端执行确定对设备数据进行加密的密钥的过程，具体包括：生成对设备数据进行加密的密钥，并将所述密钥和表示所述设备数据的数据标识烧录至设备端；

    所述设备端执行确定对设备数据进行加密的密钥的过程，具体包括：在非可信执行环境接收所述主机端烧录的所述密钥和表示所述设备数据的数据标识。
24. 如权利要求22所述的系统，其特征在于，

    所述设备端执行确定对设备数据进行加密的密钥的过程，具体包括：所述设备端在可信执行环境生成对设备数据进行加密的密钥，发送所述密钥和用于表示所述设备数据的数据标识至所述主机端；

    所述主机端执行确定对设备数据进行加密的密钥的过程，具体包括：接收所述设备端发送的对设备数据进行加密的密钥和数据标识，并对应保存所述密钥和所述数据标识。
25. 如权利要求23或24所述的系统，其特征在于，所述设备端执行对应保存所述密钥和数据标识至可信执行环境的可信存储区域的过程，具体包括：

    所述可信执行环境在安全硬件设备中获取根密钥RKEK，并利用所述根密钥RKEK对所述密钥执行加密操作；

    所述可信执行环境对应存储加密后的密钥和所述数据标识至所述可信存储区域。
26. 如权利要求22所述的系统，其特征在于，

    所述设备端，还用于在非可信执行环境需使用所述设备数据情况下，发送所述加密后的设备数据和所述数据标识至所述可信执行环境，所述可信执行环境查找与所述数据标识对应的密钥，利用该密钥解密所述加密后的设备数据获得所述设备数据，发送所述设备数据至所述非可信执行环境。
27. 如权利要求22所述的系统，其特征在于，所述密钥包括对称密钥。
28. 一种设备数据处理方法，其特征在于，应用于包括非可信执行环境和可信执行环境的设备端，所述方法包括：

    确定对设备数据进行加密的密钥；

    保存所述密钥和表示所述设备数据的数据标识至可信执行环境的可信存储区域；

    在非可信执行环境接收并保存主机端烧录的加密后的设备数据和所述数据标识。
29. 一种设备数据处理方法，其特征在于，应用于主机端，所述方法包括：

    确定对设备数据进行加密的密钥；

    利用所述密钥对所述设备数据执行加密操作；

    将加密后的设备数据和表示所述设备数据的数据标识烧录至设备端。
30. 一种设备数据处理方法，其特征在于，应用于包括非可信执行环境和可信执行环境的设备端，所述方法包括：

    在非可信执行环境需使用所述设备数据情况下，发送加密后的设备数据和用于表示设备数据的数据标识至所述可信执行环境；

    所述可信执行环境查找与所述数据标识对应的密钥，利用该密钥解密所述加密后的设备数据获得设备数据；

    发送所述设备数据至所述非可信执行环境。

Images