WO2021103839A1

WO2021103839A1 - 安全加固架构、加解密方法、车联网终端和车辆

Info

Publication number: WO2021103839A1
Application number: PCT/CN2020/121574
Authority: WO
Inventors: 林乔捷
Original assignee: 广东小鹏汽车科技有限公司
Priority date: 2019-11-29
Filing date: 2020-10-16
Publication date: 2021-06-03
Also published as: EP3885954A1; CN110929266B; EP3885954A4; CN110929266A; EP3885954C0; EP3885954B1

Abstract

本申请公开了一种安全加固架构。增强客户端应用静态库校验应用程序加载的生物识别信息，并在通过校验时向客户端应用申请生成加密请求，客户端应用将加密请求发送至可信执行环境中的可信应用，可信应用在安全区中生成钥匙块并返回至增强客户端应用静态库，以对钥匙块进行加密得到加密钥匙块。本申请中，通过增强客户端应用静态库对生物识别信息的认证，有效地防止了第三方恶意应用调用增强客户端应用静态库的加解密函数库，同时增强客户端应用静态库会对安全区返回的钥匙块进行二次加密保护，使得被加密钥匙块即便被发现，也不能直接给客户端应用使用,从而大大降低敏感数据被解密的风险。本申请还公开了一种加解密方法、车联网终端和车辆。

Description

安全加固架构、加解密方法、车联网终端和车辆

技术领域

本申请涉及汽车技术领域，特别涉及一种安全加固架构、加解密方法、车联网终端和车辆。

背景技术

车联网远程信息处理终端(Telematic Box,TBox)是车联网络的网关和网络出口，TBox的各种应用场景对网络安全有较高的需求。相关技术中，Tbox提供相关的硬件安全区功能来满足加解密安全需求。安全区为富操作系统提供与加解密等客户应用端的应用程序函数接口，用户程序通过调用这些客户应用端应用程序函数接口即可实现对敏感数据的加密和解密，安全区可信执行环境的可信应用会产生一个加密的钥匙块数据返回给富操作系统用户，并将该钥匙块数据存放在文件系统中。然而如此，第三方恶意程序可能在文件系统中找到这个钥匙块文件，进而使用客户应用端的解密函数接口就可以对敏感数据进行解密来获取有价值数据，存在较为严重安全隐患。

申请内容

有鉴于此，本申请的实施例提供了一种安全加固架构、加解密方法、车联网终端和车辆。

本申请提供了一种安全加固架构，用于车联网终端，所述安全加固架构包括应用程序、生物识别信息、增强客户端应用静态库、客户端应用和安全区；

所述应用程序用于加载所述生物识别信息；

所述增强客户端应用静态库用于校验所述生物识别信息；

所述增强客户端应用静态库用于在通过所述生物识别信息校验的情况下，向所述客户端应用申请生成加密请求，所述客户端应用将所述加密请求发送至可信执行环境中的可信应用，所述可信应用在所述安全区中生成钥匙块并返回至所述增强客户端应用静态库，所述增强客户端应用静态库还用于对所述钥匙块进行加密以得到加密钥匙块。

在某些实施方式中，应用程序链接所述生物识别信息和所述增强客户端应用静态库。

在某些实施方式中，所述应用程序调用所述增强客户端应用静态库进行初始化。

在某些实施方式中，所述生物识别信息包括指纹信息、面部信息和/或虹膜信息。

在某些实施方式中，所述增强客户端应用静态库还用于在所述生物识别信息校验失败的情况下，拒绝提供加密服务。

在某些实施方式中，所述增强客户端应用静态库还用于在所述应用程序发送数据明文加密请求时对所述加密钥匙块进行解密，并将解密后的钥匙块和数据明文传输至可信执行环境中的可信应用，所述可信应用用于在所述安全区对所述解密后的钥匙块进行解密并对所述数据明文进行加密以得到数据密文，并将所述数据密文返回至所述应用程序。

在某些实施方式中，所述增强客户端应用静态库还用于在所述应用程序发送数据密文解密请求时对所述加密钥匙块进行解密，并将解密后的钥匙块和数据密文传输至可信执行环境中的可信应用，所述可信应用在所述安全区对所述解密后的钥匙块进行解密并对所述数据密文进行解密以得到数据明文，并将所述数据明文返回至所述应用程序。

本申请提供了一种安全加固架构的加解密方法，用于车联网终端，所述安全加固架构包括应用程序、生物识别信息、增强客户端应用静态库、客户端应用和安全区，所述加解密方法包括步骤：

所述应用程序加载所述生物识别信息；

所述增强客户端应用静态库校验所述生物识别信息，并在通过所述生物识别信息校验的情况下，向所述客户端应用申请生成加密请求；

所述客户端应用将所述加密请求发送至可信执行环境中的可信应用；

所述可信应用在所述安全区中生成钥匙块并返回至所述增强客户端应用静态库；

所述增强客户端应用静态库对所述钥匙块进行加密以得到加密钥匙块。

在某些实施方式中，所述加解密方法包括步骤：

所述增强客户端应用静态库在所述应用程序发送数据明文加密请求时对所述加密钥匙块进行解密，并将解密后的钥匙块和数据明文传输至可信执行环境中的可信应用；

所述可信应用在所述安全区对所述解密后的钥匙块进行解密并对所述数据明文进行加密以得到数据密文，并将所述数据密文返回至所述应用程序。

在某些实施方式中，所述加解密方法包括步骤：

所述增强客户端应用静态库在所述应用程序发送数据密文解密请求时对所述加密钥匙块进行解密，并将解密后的钥匙块和数据密文传输至可信执行环境中的可信应用；

所述可信应用在所述安全区对所述解密后的钥匙块进行解密并对所述数据密文进行解密以得到数据明文，并将所述数据明文返回至所述应用程序。

本申请提供了一种车联网终端，所述车联网终端采用如上所述的安全加固架构。

本申请提供了一种车辆，包括所述的车联网终端

本申请提供了一种车辆，包括一个或多个处理器、存储器；和

一个或多个程序，其中所述一个或多个程序被存储在所述存储器中，并且被所述一个或多个处理器执行，所述程序包括用于执行如上所述的加解密方法的指令。

本申请提供了一种包含计算机可执行指令的非易失性计算机可读存储介质，当所述计算机可执行指令被处理器执行时，使得所述处理器执行如上所述的加解密方法。

本申请实施方式的安全加固架构、加解密方法、车联网终端、车辆及计算机可读存储介质中，通过增强客户端应用静态库对生物识别信息的认证，有效地防止了第三方恶意应用调用增强客户端应用静态库的加解密函数库，同时增强客户端应用静态库会对安全区返回的钥匙块进行二次加密保护，使得被加密钥匙块即便被发现，也不能直接给客户端应用使用,从而大大降低敏感数据被解密的风险。

附图说明

本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1是本申请某些实施方式的加解密方法的流程示意图；

图2是本申请某些实施方式的安全加固架构的模块示意图；

图3是本申请某些实施方式的加解密方法的流程场景示意图。

图4是本申请某些实施方式的加解密方法的流程示意图。

图5是本申请某些实施方式的加解密方法的流程示意图。

具体实施方式

下面详细描述本申请的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。

车联网远程信息处理终端(Telematic Box,TBox)是车辆移动网络的网关和唯一网络出口，因此，TBox的各种应用场景对网络安全有较高的需求。例如，需要保护联网接入点名称的账号密码，后台账号密码以及证书等敏感数据，需要使用安全的加解密功能。相关技术中，Tbox的处理平台提供了相关的硬件安全区功能，例如可通过生成硬件随机数(Random Numeral Generator,RNG)，高级加密标准(Advanced Encryption Standard，AES)，RSA加密算法来满足加解密安全需求。

当前的TBox通常采用富操作系统，例如Linux系统、Android系统等提供丰富资源的操作系统。安全区为富操作系统提供如密钥生成、加密及解密等客户应用端的应用程序函数接口，用户程序通过调用这些客户应用端的应用程序函数接口即可实现对敏感数据的加密和解密。安全区可信执行环境的可信应用会产生一个加密的钥匙块数据返回给用户，并将该钥匙块数据存放在文件系统中。然而如此，第三方恶意程序可能在文件系统中找到这个钥匙块文件，进而使用客户应用端的解密函数接口就可以对敏感数据进行解密来获取有价值数据，存在较为严重安全隐患。

请参阅图1和图3，为解决上述问题，本申请提供了一种安全加固架构的加解密方法，用于车联网终端。安全加固架构包括应用程序、生物识别信息、增强客户端应用静态库、客户端应用和安全区。加解密方法包括：

S10：应用程序加载生物识别信息；

S20：增强客户端应用静态库校验生物识别信息，并在通过生物识别信息校验的情况下向客户端应用申请生成加密请求；

S30：客户端应用将加密请求发送至可信执行环境中的可信应用；

S40：可信应用在安全区中生成钥匙块并返回至增强客户端应用静态库；

S50：增强客户端应用静态库对钥匙块进行加密以得到加密钥匙块。

请参阅图2,本申请实施方式还提供了一种安全加固架构100。本申请实施方式的加解密方法可用于安全加固架构100实现。

本申请实施方式还提供了一种车联网终端200和车辆，车辆采用车联网终端200，车联网终端200的操作系统采用安全加固架构100。

具体地，安全加固架构100包括应用程序10、生物识别信息20、增强客户端应用静态库30、客户端应用40和安全区50。其中，应用程序10用于加载生物识别信息20。增强客户端应用静态库30用于校验生物识别信息20。增强客户端应用静态库30用于在通过生物识别信息校验的情况下，向客户端应用40申请生成加密请求。客户端应用40将加密请求发送至可信执行环境中的可信应用，可信应用在安全区50中生成钥匙块并返回至增强客户端应用静态库30。增强客户端应用静态库30还用于对钥匙块进行加密以得到加密钥匙块。

本申请实施方式的安全加固架构100、加解密方法、车联网终端200和车辆300中，通过增强客户端应用静态库30对生物识别信息20的认证，有效地防止了第三方恶意应用调用增强客户端应用静态库30的加解密函数库，同时增强客户端应用静态库 30会对安全区50返回的钥匙块进行二次加密保护，使得被加密钥匙块即便被发现，也不能直接给客户端应用40使用,从而大大降低敏感数据被解密的风险。对钥匙块进行保护以及提供可防止第三方恶意应用非法调用的加解密的增强客户端应用静态库30来访问客户端应用40，从而提高整个系统的安全可靠性。

在本实施方式中，步骤S10还包括步骤：

应用程序链接生物识别信息和增强客户端应用静态库；

在本实施方式中，应用程序10链接生物识别信息20和增强客户端应用静态库30。

具体地，应用程序10需链接生物识别信息20和增强客户端应用静态库30。在一些示例中，应用程序和生物识别信息均为Linux ELF文件格式。生物识别信息可包括指纹信息、人脸信息以及虹膜信息等生物信息，具体不做限定。以下以指纹信息为例进行说明，指纹信息可以是以.fingerprint命名的代码段链接到到应用程序的ELF文件中。指纹信息里面会包括指纹版本信息、循环冗余校验的校验值、哈希值、密钥等硬编码值。

在本实施方式中，步骤S10还包括步骤：

应用程序调用增强客户端应用静态库进行初始化。

在本实施方式中，应用程序10调用增强客户端应用静态库30进行初始化。

具体地，应用程序10可调用增强客户端应用静态库30的初始化函数进行初始化。初始化可用于将变量赋为默认值，把相关控件设为默认状态，使得增强客户端应用静态库30准备好以用于访问请求。

在本实施方式中，步骤S20包括：

增强客户端应用静态库获取生物识别信息。

在本实施方式中，增强客户端应用静态库30获取生物识别信息20。

具体地，增强客户端应用静态库30获取.fingerprint中的指纹数据，并对指纹数据的合法性进行校验。具体地，校验包括两个阶段，在第一阶段中，首先读取指纹版本信息，然后将指纹版本信息与魔数1做异或运算，得出结果再进行循环冗余校验，并将校验结果跟指纹信息里面的循环冗余校验的校验值比较。如果成功则进入下一步认证。在第二阶段中，读取指纹信息中的密钥信息，将密钥信息取反后再与魔数2做异或运算，把该结果进行SHA256哈希运算，然后将运算的结果与指纹信息里面的哈希值比较，如果成功，则指纹信息认证成功。

在本实施方式中，上述对指纹信息进行校验的两个阶段中的任一个阶段，如果出现计算结果与指纹信息中的相应值不一致的情况则认为指纹认证失败，在指纹认证失败的情况下，拒绝提供加解密服务。

在指纹认证成功后增强客户端应用静态库30会向客户端应用40申请生成AES密钥，客户端应用40将请求转发给可信执行环境(Trusted Execution Environment,TEE)中的可信应用(Trusted Application,TA)，TA在安全区50中生成钥匙块，该钥匙块是由加密的钥匙、非重复随机数和授权便签的长度三部分组成，钥匙块存储在内存当中。生成的钥匙块返回增强客户端应用静态库30，增强客户端应用静态库30对钥匙块进行二次加密。

增强客户端应用静态库30可利用密钥派生函数(Key Derivation Function,KDF)来产生密钥1。具体地，在增强客户端应用静态库30会有硬编码的AES密钥0，密钥0会与魔数3做异或运算可以得到密钥0+，将密钥0+和盐值的取反值输入到KDF产生密钥1，使用得到的密钥1对钥匙块进行AES加密得到加密钥匙块。将加密钥匙块写入到文件系统进行保存，同时擦除内存中的钥匙块、密钥0、密钥0+、密钥1等敏感信息。

如此，通过增强客户端应用静态库30对生物识别信息20例如指纹的认证，有效地防止了第三方恶意应用调用增强客户端应用静态库30的加解密函数库，同时增强客户端应用静态库30会对安全区50返回的钥匙块进行二次加密保护，使得被加密钥匙块即便被发现，也不能直接给客户端应用40使用,从而大大降低敏感数据被解密的风险。

请参阅图3和图4，在某些实施方式中，加解密方法包括步骤：

S60：增强客户端应用静态库在应用程序发送数据明文加密请求时对加密钥匙块进行解密，并将解密后的钥匙块和数据明文传输至可信执行环境中的可信应用；

S70：可信应用在安全区对解密后的钥匙块进行解密并对数据明文进行加密以得到数据密文，并将数据密文返回至应用程序。

在某些实施方式中，增强客户端应用静态库30在应用程序10发送数据明文加密请求时对加密钥匙块进行解密，并将解密后的钥匙块和数据明文传输至可信执行环境中的可信应用。可信应用在安全区50对解密后的钥匙块进行解密并对数据明文进行加密以得到数据密文，并将数据密文返回至应用程序10。

具体地，应用程序10调用增强客户端应用静态库30的加密函数发送数据明文加密请求，增强客户端应用静态库30根据前述方法算出密钥1，并从文件系统中读取加密钥匙块，使用高级加密标准算法对加密钥匙块进行解密得到钥匙块信息，客户端应用40把钥匙块和数据明文传输给TEE中的TA，TA先对钥匙块进行解密，然后在对对明文数据进行加密得到数据密文，最终把数据密文返回给应用程序10，同时擦除内存中的钥匙块、密钥0、密钥0+、密钥1等敏感信息。

请参阅图3和5，加解密方法包括步骤：

S80：增强客户端应用静态库在应用程序发送数据密文解密请求时对加密钥匙块进行解密，并将解密后的钥匙块和数据密文传输至可信执行环境中的可信应用；

S90：可信应用在安全区对解密后的钥匙块进行解密并对数据密文进行解密以得到数据明文，并将数据明文返回至应用程序。

在某些实施方式中，增强客户端应用静态库30在应用程序10发送数据密文解密请求时对加密钥匙块进行解密，并将解密后的钥匙块和数据密文传输至可信执行环境中的可信应用。可信应用在安全区50对解密后的钥匙块进行解密并对数据密文进行解密以得到数据明文，并将数据明文返回至应用程序。

具体地，应用程序10调用增强客户端应用静态库30的解密函数发送解密请求，增强客户端应用静态库30根据前述方法算出密钥1，并从文件系统读出加密钥匙块，使用高级加密标准算法对加密钥匙块进行解密得到钥匙块信息，客户端应用40将钥匙块和数据密文传输给TEE的TA，TA先对钥匙块进行解密，然后对数据密文进行解密密运算得到数据明文，最终把数据明文返回给应用程序10。

如此，在生物识别信息20通过增强客户端应用静态库30的校验后，才能使用增强客户端应用静态库30解密出来的钥匙块在安全区对数据进行加解密，提高了系统的安全可靠性。

本申请实施方式还提供了一种计算机可读存储介质。当计算机可执行指令被一个或多个处理器执行时，使得处理器执行上述任一实施方式的加解密方法。

本申请实施方式还提供了一种车辆。车辆包括一个或多个处理器，一个或多个程序被存储在存储器中，并且被配置成由一个或多个处理器执行。程序包括用于执行上述任意一项实施方式所述的加解密方法。

处理器可用于提供计算和控制能力，支撑整个车辆车载系统的运行。车辆的存储器为存储器其中的计算机可读指令运行提供环境。

车辆的车载系统采用上述提及车联网终端200，车联网终端200采用上述体积的安全加固架构，可以理解地，通过增强客户端应用静态库对生物识别信息的认证，有效地防止了第三方恶意应用调用增强客户端应用静态库的加解密函数库，同时增强客户端应用静态库会对安全区返回的钥匙块进行二次加密保护，使得被加密钥匙块即便被发现，也不能直接给客户端应用使用,从而大大降低敏感数据被解密的风险。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，的程序可存储于一非易失性计算机可读存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)等。

以上实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims

一种安全加固架构，用于车联网终端，其特征在于，所述安全加固架构包括应用程序、生物识别信息、增强客户端应用静态库、客户端应用和安全区；

所述应用程序用于加载所述生物识别信息；

所述增强客户端应用静态库用于校验所述生物识别信息；

所述增强客户端应用静态库用于在通过所述生物识别信息校验的情况下，向所述客户端应用申请生成加密请求，所述客户端应用将所述加密请求发送至可信执行环境中的可信应用，所述可信应用在所述安全区中生成钥匙块并返回至所述增强客户端应用静态库，所述增强客户端应用静态库还用于对所述钥匙块进行加密以得到加密钥匙块。
根据权利要求1所述的安全加固架构，其特征在于，应用程序链接所述生物识别信息和所述增强客户端应用静态库。
根据权利要求1所述的安全加固架构，其特征在于，所述应用程序调用所述增强客户端应用静态库进行初始化。
根据权利要求1所述的安全加固架构，其特征在于，所述生物识别信息包括指纹信息、面部信息和/或虹膜信息。
根据权利要求1所述的安全加固架构，其特征在于，所述增强客户端应用静态库还用于在所述生物识别信息校验失败的情况下，拒绝提供加密服务。
根据权利要求1所述的安全加固架构，其特征在于，所述增强客户端应用静态库还用于在所述应用程序发送数据明文加密请求时对所述加密钥匙块进行解密，并将解密后的钥匙块和数据明文传输至可信执行环境中的可信应用，所述可信应用用于在所述安全区对所述解密后的钥匙块进行解密并对所述数据明文进行加密以得到数据密文，并将所述数据密文返回至所述应用程序。
根据权利要求1所述的安全加固架构，其特征在于，所述增强客户端应用静态库还用于在所述应用程序发送数据密文解密请求时对所述加密钥匙块进行解密，并将解密后的钥匙块和数据密文传输至可信执行环境中的可信应用，所述可信应用在所述安全区对所述解密后的钥匙块进行解密并对所述数据密文进行解密以得到数据明文，并将所述数据明文返回至所述应用程序。
一种安全加固架构的加解密方法，用于车联网终端，其特征在于，所述安全加固架构包括应用程序、生物识别信息、增强客户端应用静态库、客户端应用和安全区，所述加解密方法包括步骤：

所述应用程序加载所述生物识别信息；

所述增强客户端应用静态库校验所述生物识别信息，并在通过所述生物识别信息校验的情况下，向所述客户端应用申请生成加密请求；

所述客户端应用将所述加密请求发送至可信执行环境中的可信应用；

所述可信应用在所述安全区中生成钥匙块并返回至所述增强客户端应用静态库；

所述增强客户端应用静态库对所述钥匙块进行加密以得到加密钥匙块。
根据权利要求8所述的加解密方法，其特征在于，所述加解密方法包括步骤：

所述增强客户端应用静态库在所述应用程序发送数据明文加密请求时对所述加密钥匙块进行解密，并将解密后的钥匙块和数据明文传输至可信执行环境中的可信应用；

所述可信应用在所述安全区对所述解密后的钥匙块进行解密并对所述数据明文进行加密以得到数据密文，并将所述数据密文返回至所述应用程序。
根据权利要求8所述的加解密方法，其特征在于，所述加解密方法包括步骤：

所述增强客户端应用静态库在所述应用程序发送数据密文解密请求时对所述加密钥匙块进行解密，并将解密后的钥匙块和数据密文传输至可信执行环境中的可信应用；

所述可信应用在所述安全区对所述解密后的钥匙块进行解密并对所述数据密文进行解密以得到数据明文，并将所述数据明文返回至所述应用程序。
一种车联网终端，其特征在于，所述车联网终端采用如权利要求1-7任一项所述的安全加固架构。
一种车辆，其特征在于，包括如权利要求11所述的车联网终端。
一种车辆，其特征在于，包括：

一个或多个处理器、存储器；和

一个或多个程序，其中所述一个或多个程序被存储在所述存储器中，并且被所述一个或多个处理器执行，所述程序包括用于执行根据权利要求8-10任意一项所述的加解密方法的指令。
一种包含计算机可执行指令的非易失性计算机可读存储介质，当所述计算机可执行指令被处理器执行时，使得所述处理器执行权利要求8-10中任一项所述的加解密方法。