基于可信执行环境技术的应用受限安装方法、管理器和终端的制作方法

基于可信执行环境技术的应用受限安装方法、管理器和终端的制作方法
【专利摘要】本发明公开了基于可信执行环境技术的应用受限安装方法、管理器和终端，其中，方法包括：可信服务管理器接收用户通过终端发送的下载应用请求；所述可信服务管理器检测所述待下载应用的编号是否为自己授权的应用编号；如果是，所述可信服务管理器利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成签名信息，并向所述终端发送所述签名信息、待下载应用的应用程序以及公钥，以使所述终端利用预存的根证书验证所述公钥的合法性；如果合法，所述终端判断所述签名信息是否正确；如果正确，所述终端安装所述应用程序。如此技术方案，能够保证用户下载安装应用的安全性，以保护用户个人信息和财产安全。
【专利说明】基于可信执行环境技术的应用受限安装方法、管理器和终
【技术领域】
[0001]本发明涉及金融安全【技术领域】，具体涉及基于可信执行环境技术的应用受限安装方法、管理器和终端。
【背景技术】
[0002]目前，人们在终端设备(比如手机、平板电脑等)中下载安装多种类型的应用(比如手机银行、支付宝、愤怒小鸟、保卫萝卜等)，以满足生活娱乐需求。现在市场上出现多种应用商店，(比如运营商自己的应用商店、91、机锋、安智等应用商店)，以供人们下载应用。由于每个应用商店对应用的审核标准和力度都不相同，导致市场上应用的安全性良莠不齐，大部分应用商店都不是可信的，其商店内可能存在众多的木马应用，这些应用会严重威胁用户信息的安全。
[0003]比如:用户在终端设备上下载安装一个支付应用，若该支付应用本身就携带木马程序或者恶意插件，则该用户信息容易木马程序或者恶意插件所盗取；再比如:用户在终端设备上下载安装一个支付应用，该支付应用本身没有问题，但同时该用户还下载安装一个游戏应用，该游戏应用携带恶意插件，则该用户使用支付应用时，其用户信息容易被这个恶意插件所盗取，同样会 给该用户带来不可估计的损失和危害。
[0004]通过上述描述可以看出:目前这种应用下载安装方式是由用户任意选择应用商店，从所选择的应用商店中下载喜欢的应用并安装在设备中，该方式无法保证用户信息的安全，存在一定的安全隐患。

【发明内容】

[0005]本发明实施例的基于可信执行环境技术的应用受限安装方法、管理器和终端，用以解决现有技术中用户下载安装应用的存在安全隐患的问题。
[0006]为此，本发明实施例提供如下技术方案:
[0007]第一方面，本发明提供基于可信执行环境技术的应用受限安装方法，所述方法包括:
[0008]可信服务管理器接收用户通过终端发送的下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号；
[0009]所述可信服务管理器检测所述待下载应用的编号是否为自己授权的应用编号；
[0010]如果是，所述可信服务管理器利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成签名信息，并向所述终端发送所述签名信息、待下载应用的应用程序以及公钥，以使所述终端利用预存的根证书验证所述公钥的合法性；如果合法，所述终端判断所述签名信息是否正确；如果正确，所述终端安装所述应用程序。
[0011]优选的，在所述可信服务管理器检测所述待下载应用的编号是否为自己授权的应用编号之前，所述方法还包括:[0012]所述可信服务管理器判断所述终端是否处于可下载应用的状态；
[0013]如果是，所述可信服务管理器再执行检测所述待下载应用的编号是否为自己授权的应用编号的操作；
[0014]否则，所述可信服务管理器向所述终端发送告警信息通知用户无法下载应用。
[0015]优选的，所述可信服务管理器判断所述终端是否处于可下载应用的状态，包括:
[0016]所述可信服务管理器判断所述终端是否为挂失状态，如果是，所述终端不处于可下载应用的状态，否则，所述终端处于可下载应用的状态；和/或，
[0017]所述可信服务管理器判断所述终端是否有权限下载所述待下载应用，如果是，所述终端处于可下载应用的状态，否则，所述终端不处于可下载应用的状态；和/或，
[0018]所述可信服务管理器判断所述终端是否已安装所述待下载应用；如果是，所述终端不处于可下载应用的状态，否则，所述终端处于可下载应用的状态。
[0019]优选的，所述方法还包括:
[0020]所述可信服务管理器接收应用提供者发送的申请应用编号请求，所述申请应用编号请求包括:应用提供者身份信息和应用名称；
[0021]所述可信服务管理器验证所述应用提供者身份信息是否合法；如果合法，所述可信服务管理器向所述应用提供者分配应用编号；
[0022]所述可信服务管理器接收所述应用提供者发送的应用发布签名信息和应用程序，所述应用发布签名信息是所述应用提供者利用公私钥对待发布应用的相关信息进行签名生成的；所述公私钥是所述应用提供者向所述可信服务管理器申请得到的；所述相关信息包括:应用名称和应用编号；
[0023]所述可信服务管理器对所述应用发布签名信息进行验证，如果验证通过，所述可信服务管理器将所述应用发布在可信应用商店，以使用户通过终端在可信应用商店选择待下载的应用。
[0024]优选的，所述方法还包括:
[0025]所述可信服务管理器通过应用编号判断所述应用程序的类型，所述应用程序的类型为可信应用类型或客户应用类型；
[0026]如果为可信应用类型时，则所述可信服务管理器指示所述终端将所述应用程序安装在可信执行环境中；
[0027]则所述终端安装所述应用程序具体为所述终端根据接收到的指示将所述应用程序安装在可信执行环境中；
[0028]如果为客户应用类型时，则所述可信服务管理器指示所述终端将所述应用程序安装在富执行环境中；
[0029]则所述终端安装所述应用程序具体为所述终端根据接收到的指示将所述应用程序安装在富执行环境中。
[0030]第二方面，本发明提供了基于可信执行环境技术的应用受限安装方法，所述方法包括:
[0031]终端根据用户在可信应用商店中的选择向可信服务管理器发送下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号；
[0032]所述终端接收所述可信服务管理器发送的签名信息、待下载应用的应用程序以及公钥，所述签名信息是所述可信服务管理器在检测所述待下载应用的编号为自己授权的应用编号之后，利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成的；
[0033]所述终端利用预存的根证书验证所述公钥的合法性；如果合法，判断所述签名信息是否正确；如果正确，所述终端安装所述应用程序。
[0034]优选的，所述方法还包括:
[0035]所述终端接收所述可信服务管理器发送的第一指示或者第二指示；所述第一指示用于指示所述终端将所述应用程序安装在可信执行环境中；所述第二指示用于指示所述终端将所述应用程序安装在富执行环境中；
[0036]则所述终端安装所述应用程序具体为:
[0037]所述终端根据接收到的第一指示将所述应用程序安装在可信执行环境中；或者，所述终端根据接收到的第二指示将所述应用程序安装在富执行环境中。
[0038]第三方面，本发明提供了一种可信服务管理器，所述管理器包括:
[0039]第一接收单元，用于接收用户通过终端发送的下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号；
[0040]第一检测单元，用于检测所述待下载应用的编号是否为自己授权的应用编号；如果是，触发第一发送单元；
[0041]所述第一发送单元，用于利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成签名信息，并向所述终端发送所述签名信息、待下载应用的应用程序以及公钥，以使所述终端利用预存的根证书验证所述公钥的合法性；如果合法，所述终端判断所述签名信息是否正确；如果正确，所述终端安装所述应用程序。
[0042]优选的，所述管理器还包括:
[0043]状态判断单元，用于判断所述终端是否处于可下载应用的状态，如果是，触发第一检测单元；否则，触发告警单元；
[0044]所述告警单元，用于向所述终端发送告警信息通知用户无法下载应用。
[0045]优选的，所述状态判断单元包括:
[0046]第一判断子单元，用于判断所述终端是否为挂失状态，如果是，所述终端不处于可下载应用的状态，否则，所述终端处于可下载应用的状态；和/或，
[0047]第二判断子单元，用于判断所述终端是否有权限下载所述待下载应用，如果是，所述终端处于可下载应用的状态，否则，所述终端不处于可下载应用的状态；和/或，
[0048]第三判断子单元，用于判断所述终端是否已安装所述待下载应用；如果是，所述终端不处于可下载应用的状态，否则，所述终端处于可下载应用的状态。
[0049]优选的，所述管理器还包括:
[0050]第二接收单元，用于接收应用提供者发送的申请应用编号请求，所述申请应用编号请求包括:应用提供者身份信息和应用名称；
[0051]第一验证单元，用于验证所述应用提供者身份信息是否合法；如果合法，所述可信服务管理器向所述应用提供者分配应用编号；
[0052]第三接收单元，用于接收所述应用提供者发送的应用发布签名信息和应用程序，所述应用发布签名信息是所述应用提供者利用公私钥对待发布应用的相关信息进行签名生成的；所述公私钥是所述应用提供者向所述可信服务管理器申请得到的；所述相关信息包括:应用名称和应用编号；
[0053]第二验证单元，用于对所述应用发布签名信息进行验证，如果验证通过，将所述应用发布在可信应用商店，以使用户通过终端在可信应用商店选择待下载的应用。
[0054]优选的，所述管理器还包括:
[0055]类型判断单元，用于通过应用编号判断所述应用程序的类型，所述应用程序的类型为可信应用类型或客户应用类型；如果为可信应用类型，触发第一指示单元；如果为客户应用类型，触发第二指示单元；
[0056]第一指示单元，用于指示所述终端将所述应用程序安装在可信执行环境中；
[0057]第二指示单元，用于指示所述终端将所述应用程序安装在富执行环境中。
[0058]第四方面，本发明提供了一种终端，所述终端包括:
[0059]发送单元，用于根据用户在可信应用商店中的选择向可信服务管理器发送下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号；
[0060]接收单元，用于接收所述可信服务管理器发送的签名信息、待下载应用的应用程序以及公钥，所述签名信息是所述可信服务管理器在检测所述待下载应用的编号为自己授权的应用编号之后，利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成的；
[0061]验证单元，用于利用预存的根证书验证所述公钥的合法性；如果合法，触发判断单元；
[0062]所述判断单元，用于判断所述签名信息是否正确；如果正确，触发安装单元；
[0063]所述安装单元，用于安装所述应用程序。
[0064]优选的，所述终端还包括:
[0065]指示接收单元，用于接收所述可信服务管理器发送的第一指示或者第二指示；所述第一指示用于指示所述终端将所述应用程序安装在可信执行环境中；所述第二指示用于指示所述终端将所述应用程序安装在富执行环境中；
[0066]则所述安装单元，包括:
[0067]可信安装子单元，用于根据接收到的第一指示，将所述应用程序安装在可信执行环境中；
[0068]客户安装子单元，用于根据接收到的第二指示，将所述应用程序安装在富执行环境中。
[0069]由上述实施例可以看出，与现有技术相比，本发明的优点在于:
[0070]可信服务管理器接收用户通过终端发送的下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号；所述可信服务管理器检测所述待下载应用的编号是否为自己授权的应用编号；如果是，所述可信服务管理器利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成签名信息，并向所述终端发送所述签名信息、待下载应用的应用程序以及公钥，以使所述终端利用预存的根证书验证所述公钥的合法性；如果合法，所述终端判断所述签名信息是否正确；如果正确，所述终端安装所述应用程序。可见:本发明技术方案利用可信执行环境技术，通过可信服务管理器与终端之间的双向验证，以保证用户待下载的应用是安全可靠的，保证用户待下载的应用是经过T S M授权认证的，并不是随意下载的，以保证应用的安全性。【专利附图】

【附图说明】
[0071]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
[0072]图1是本发明实施例基于可信执行环境技术的应用受限安装方法实施例1的流程图；
[0073]图2是本发明实施例基于可信执行环境技术的应用受限安装方法实施例2的流程图；
[0074]图3是本发明实施例基于可信执行环境技术的应用受限安装方法实施例3的流程图；
[0075]图4是本发明实施例基于可信执行环境技术的应用受限安装方法实施例4的流程图；
[0076]图5是本发明实施例可信服务管理器实施I的结构图；
[0077]图6是本发明实施例可信服务管理器实施2的结构图；
[0078]图7是本发明实施例可信服务管理器实施3的结构图；
[0079]图8是本发明实施例终端实施例1的结构图。
【具体实施方式】
[0080]为了使本【技术领域】的人员更好地理解本发明方案，下面结合附图和实施方式对本发明实施例作进一步的详细说明。
[0081]参见图1，示出了图1是本发明实施例基于可信执行环境技术的应用受限安装方法实施例1的流程图，所述方法可包括:
[0082]步骤101，可信服务管理器接收用户通过终端发送的下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号。
[0083]其中，可信服务管理器(TrustedService Manager,T SM)可以是一个服务器，也可以包括多个服务器以及其他装置。T S M也可以被称之为可信服务管理平台。T S M是基于T E E技术的管理器，T E E不是纯软件的安全构架，实际上是承载在一个应用处理器上隔离的硬件体系构架。终端可以是智能手机、个人数字助理(P D A )、笔记本计算机和/或其它类型的电子计算和/或通信设备。终端可以支持蓝牙、在线、红外近场通讯 (Near Field C O mm u n i c a i t ο η,NFC)通信和/或其它类型的通信。
[0084]T S M为终端提供可信服务商店，用户要下载应用必须通过终端登录该可信服务商店，然后在该可信服务商店选择自己喜欢的应用。用户可以通过点击终端上显示的应用图片、点击下载框、输入待下载应用编号等方式选择待下载应用，一旦用户点击图片、点击下载框、或者通过其他方式选定下载某一应用时，终端后台就会收到用户的下载应用请求，该下载应用请求中包括待下载应用的编号和终端编号，用于告知T S M是哪一个终端请求下载哪一款应用，然后终端将该下载应用请求发送给T SM。[0085]步骤102，所述可信服务管理器检测所述待下载应用的编号是否为自己授权的应用编号。如果是，转至步骤103。
[0086]T S M可以通过以下三种方式验证所述待下载的编号是否为自己授权的应用编号；第一种方式是:τ SM按照授权应用编号规则验证待下载应用的编号是否符合该规贝U。第二种方式是:T S M的数据库中保存着所有已授权的编号，在执行验证时，在该数据库中遍历所有的编号查看是否存在所述待下载应用的编号。第三种方式是:T S M在授权应用编号时，在分配的应用编号中增加校验位，当需要验证待下载应用时，通过验证校验位来判断是否为已授权的编号。在实际应用中，T S M也可以采用其他验证方式，在此不再
列举。
[0087]T S M通过验证所述待下载应用的编号是否为自己授权的应用编号，判断用户要下载的应用是否是安全的，是否是自己发布的可信应用商店里的应用。因为，用户在使用终端时，可能不仅仅通过这一个渠道来下载应用，除了从可信应用商店下载之外，也有可以通过运营商或者其他应用开发商提供的应用下载平台下载应用，如果直接下载这些平台的应用，则无法保证下载应用的安全性，则T S M需要判断用户当前确定下载的应用是否是自己授权的应用，以确保应用来源的安全性。如果T S M判断出所述待下载应用的编号不是自己授权的应用编号，则T S M向终端发送告警信息，禁止用户的下载行为。也就是说，通过T SM禁止了用户通过终端在其他平台上下载应用的操作。
[0088]步骤103，所述可信服务管理器利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成签名信息，并向所述终端发送所述签名信息、待下载应用的应用程序以及公钥，以使所述终端利用预存的根证书验证所述公钥的合法性；如果合法，所述终端判断所述签名信息是否正确；如果正确，所述终端安装所述应用程序。
[0089]其中，公私钥技术的本质是:公私钥顾名思义是指公钥和私钥，公钥和私钥成对出现，公开的密钥叫公钥，只有自己知道的密钥叫私钥；用公钥加密的数据只有对应的私钥可以解密，用私钥加密的数据只有对应的公钥可以解密；如果可以用公钥解密，则必然是对应的私钥加的密，如果可以用私钥解密，则必然是对应的公钥加的密。
[0090]T S M利用公钥钥匙技术是指T S M用私钥加密数据，也称之为数字签名，终端用公钥来验证数字签名。在实际的使用中，公钥不会单独出现，总是以数字证书的方式出现，这样是为了公钥的安全性和有效性。T SM用私钥对待下载应用的编号和终端编号进行加密，即，数字签名，是为了让终端方便确认签名信息是由T S M发送的，而不是其他发送方发送的。
[0091]所述终端是基于T E E的终端，S卩，终端内部安装T E E，并预先在T E E中保存T S M根证书；当所述终端接收到T S M发送的所述签名信息、待下载应用的应用程序以及公钥之后，首先需要验证这个公钥是不是合法的，也就是验证该公钥是不是T S M颁发的，即，所述终端利用预存的根证书验证所述公钥的合法性；该根证书是T S M颁发的根证书，因此可以验证公钥是不是T S M颁发的。如果该公钥合法，则所述终端再判断所述签名信息是否正确；判断所述签名信息是否正确，具体是判断签名信息中的待下载应用的编号是否是用户要下载的哪一个，终端编号是否是自己的设备号。如果这些信息都正确，则终端可以确定当前待下载的应用是安全的，则执行安装应用程序的操作。
[0092]通过上述实施例可以看出:本发明利用可信执行环境技术,通过T S M和终端之间的信息交互，以验证用户待下载应用的安全性，保证用户待下载的应用是经过T S M授权认证的，并不是随意下载的，以保证应用的安全性。
[0093]用户使用终端时，常常会在终端中安装一些涉及个人隐私、财产安全的应用，比如支付宝、手机钱包、重要文件管理软件等等。因此，对于用户来讲，该终端是特别私密的设备，并不希望他人随意操作。基于此，本发明提供了优选方案。
[0094]参阅图2，示出了本发明实施例基于可信执行环境技术的应用受限安装方法实施例2的流程图，所述方法可包括:
[0095]步骤201，可信服务管理器接收用户通过终端发送的下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号。
[0096]此步骤与上述实施例1步骤101相同,在此不再赘述。
[0097]步骤202，所述可信服务管理器判断所述终端是否处于可下载应用的状态；如果是，转至步骤203 ;否则，转至步骤204。
[0098]T S M判断所述终端是否处于可下载应用的状态，实质上是为了验证当前下载操作是否是用户本人发起的，和/或者验证用户的终端是否适合安装此应用。
[0099]优选的，T S M可以通过以下三种实现方式中的任意一种或其组合的方式，判断所述终端是否处于可下载应用的状态。
[0100]第一种实现方式是:所述可信服务管理器判断所述终端是否为挂失状态，如果是，所述终端不处于可下载应用的状态，否则，所述终端处于可下载应用的状态。
[0101]其中，终端可以设置使用权限，比如设置访问密码、指纹验证等。当用户的终端丢失被他人非法使用时，访问密码错误或者指纹验证失败，则终端就设置自身状态为挂失状态并告知T SM。或者，当用户自己发现终端丢失，可以通过其他方式，比如用户可以通过运行商将自己的终端设置为挂失状态，以防止他人非法使用。
[0102]这样处理之后，当T S M发现所述终端是挂失状态，则T S M判断出当前终端的操作为非法操作，即确定所述终端处于不可下载的状态。如果，终端不处于挂失状态，则TS M认为终端的操作为合法操作，则确定所述终端处于可下载的状态。
[0103]第二种实现方式是:所述可信服务管理器判断所述终端是否有权限下载所述待下载应用，如果是，所述终端处于可下载应用的状态，否则，所述终端不处于可下载应用的状态。
[0104]T S M在可信应用商店中发布的应用，分别设置的下载权限，有些应用是所有用户都可以下载的，有些应用是具有权限等级的用户才可以下载的，基于此，T S M需要判断当有用户使用的终端是否具有权限下载所选择的应用，如果有，则T SM，确定所述终端处于可下载应用的状态，否则，T S M确定所述终端不能下载该应用。
[0105]第三种实现方式是:所述可信服务管理器判断所述终端是否已安装所述待下载应用；如果是，所述终端不处于可下载应用的状态，否则，所述终端处于可下载应用的状态。
[0106]由于，现有的应用提供者会定期的对其发布的应用作升级，因此，同一种的应用可能有多种版本，比如支付宝的应用提供者发布的支付宝系列的应用，支付宝1.0、支付宝
2.0、支付宝3.0 ;用户在选择待下载应用的时候可能会忽略版本号，以至于选错。再者，有时候用户在浏览应用时，可以会忘记自己已经安装了某应用，而再次选择某应用。基于此，T SM需要判断所述终端是否已经安装了用户所选择的待下载应用，如果是，则所述终端无需再安装该应用，表示所述终端不处于可下载应用的状态；否则，表示所述终端中没有这个应用，则所述终端处于可下载应用的状态。
[0107]T S M可以采用上述任一一种方式，也可以采用任意两种或者是三种方式，当采用两种或者三种时，只要所有判断结果都是所述终端处于可下载应用的状态，才可以确定所述终端处于可下载应用的状态，否则，只能确定所述终端不处于可下载应用的状态。
[0108]当然，在实际应用中，若考虑到其他因素，比如；终端的电池电量是否足够下载应用，终端的网络是否畅通，是否适合下载应用等其他因素，T S M也可以采用其他方式判断所述终端是否处于可下载应用的状态。
[0109]步骤203，所述可信服务管理器检测所述待下载应用的编号是否为自己授权的应用编号；如果是，转至步骤205。
[0110]本步骤与上述实施例步骤102相同,在此不再赘述。
[0111]步骤204，所述可信服务管理器向所述终端发送告警信息，以通知用户无法下载应用。
[0112]在T S M向所述终端发送的告警信息可以只包含无法下载应用的信息，还可以包含无法下载的具体原因的信息。
[0113]步骤205，所述可信服务管理器利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成签名信息，并向所述终端发送所述签名信息、待下载应用的应用程序以及公钥，以使所述终端利用预存的根证书验证所述公钥的合法性；如果合法，所述终端判断所述签名信息是否正确；如果正确，所述终端安装所述应用程序。
[0114]本步骤与上述实施例步骤103相同，在此不再赘述。
[0115]通过上述实施例可以看出:本发明提供的该优选方案是在上述实施例1方案的基础上，增加了判断用户所使用的终端是否处于可下载应用的状态，以进一步保证下载应用的安全性。
[0116]用户使用终端时，常常会在终端中安装一些涉及个人隐私、财产安全的应用，比如支付宝、手机钱包、重要文件管理软件等等。因此，对于用户来讲，该终端是特别私密的设备，并不希望他人随意操作。基于此，本发明提供了优选方案。
[0117]参阅图3，示出了本发明实施例基于可信执行环境技术的应用受限安装方法实施例3的流程图，所述方法可包括:
[0118]步骤301，可信服务管理器接收应用提供者发送的申请应用编号请求，所述申请应用编号请求包括:应用提供者身份信息和应用名称。
[0119]用户提供者可以是个人或公司或组织等，当用户提供者开发一款应用需要发布在T SM的可信应用商店才能够被用户下载使用，因此，用户提供者首先需要向T SM申请应用编号(I D ),应用编号用于表不应用。
[0120]步骤302，所述可信服务管理器验证所述应用提供者身份信息是否合法；如果合法，所述可信服务管理器向所述应用提供者分配应用编号。
[0121]对于涉及用户名和密码、信用卡信息、银行卡信息等个人财产信息安全的应用，t匕如与银行相关的支付应用，银行系统可能会指定某些应用提供者为其提供支付应用，从而保证应用的可靠性。基于此，T S M只能将这些指定的应用提供者提供的支付应用发布在可信应用商店。在实际应用中，T S M管理员也可以根据各种类型的应用市场调研选择用户认可度较高的一些应用提供者作为合法的应用提供者。
[0122]其中，应用提供者身份信息可以是个人身份证信息、可以是公司代码、公司名称、或者其他能够唯一标识应用提供者身份的信息。T SM中预先保存着所有合法应用提供者的身份信息，因此，当接收到用户提供者发送的身份信息即可遍历其保存的所有合法应用提供者的身份信息中是否有该用户提供者的身份信息，如果有，则表明该应用提供者是合法的；否则，表明该应用提供者不合法。当该应用提供者是合法的，则T S M为其申请的应用分配一个编号，该编号具有唯一性。T S M将分配的应用编号发送给应用提供者。
[0123]步骤303，所述可信服务管理器接收所述应用提供者发送的应用发布签名信息和应用程序，所述应用发布签名信息是所述应用提供者利用公私钥对待发布应用的相关信息进行签名生成的；所述公私钥是所述应用提供者向所述可信服务管理器申请得到的；所述相关信息包括:应用名称和应用编号。
[0124]应用提供者接收到T SM分配的应用编号之后，先向T SM申请公私钥，再利用该公私钥对待发布应用的相关信息进行签名生成应用发布签名信息(签名证书)，然后将该应用发布签名信息和应用程序一起发送给T S M。其中，应用的相关信息包括:应用名称和应用编号。
[0125]步骤304，所述可信服务管理器对所述应用发布签名信息进行验证，如果验证通过，所述可信服务管理器将所述应用发布在可信应用商店，以使用户通过终端在可信应用商店选择待下载的应用。
[0126]T S M接收到应用提供者发送的应用发布签名信息之后，对其进行验证，验证通过之后，可以将该应用发布在可信应用商店，这样，用户可以在可信应用商店随便选择下载应用。在实际应用中，T S M验证应用发布签名信息之后，还可以对应用程序进行测试审核，以确保应用程序安全可行，然后再发布在可信应用商店。
[0127]步骤305，所述可信服务管理器接收用户通过终端发送的下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号；
[0128]步骤306，所述可信服务管理器检测所述待下载应用的编号是否为自己授权的应用编号；如果是，转至步骤307。
[0129]步骤307，所述可信服务管理器利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成签名信息，并向所述终端发送所述签名信息、待下载应用的应用程序以及公钥，以使所述终端利用预存的根证书验证所述公钥的合法性；如果合法，所述终端判断所述签名信息是否正确；如果正确，所述终端安装所述应用程序。
[0130]上述步骤305?307分别与上述实施例1中步骤101?103相同，在此不再赘述。
[0131]需要说明的是，上述步骤301?304与步骤305?307之间并没有严格顺序之分，T S M在执行上述步骤301?304的同时也可以执行步骤305?307。
[0132]通过上述实施例可以看出:本发明提供的该优选方案是在上述实施例1方案的基础上，增加了验证应用提供者身份以及应用发布过程验证等处理，在应用发布这一环境更进一步保证了应用的安全性，从而间接的保证用户下载应用的安全性。
[0133]对于终端而言,其内部既包含本身的操作系统比如A n d r i O d操作系统、wi n d O w s操作系统等基本操作系统,还包括可信执行环境系统；为了进一步保证应用安装的安全性，本发明还提供了另一种优选方案。具体是在上述实施例的基础上，还包括:[0134]所述可信服务管理器通过应用编号判断所述应用程序的类型，所述应用程序的类型为可信应用类型或客户应用类型；
[0135]如果为可信应用类型时，则所述可信服务管理器指示所述终端将所述应用程序安装在可信执行环境中；
[0136]则所述终端安装所述应用程序具体为所述终端根据接收到的指示将所述应用程序安装在可信执行环境中；
[0137]如果为客户应用类型时，则所述可信服务管理器指示所述终端将所述应用程序安装在富执行环境中；
[0138]则所述终端安装所述应用程序具体为所述终端根据接收到的指示将所述应用程序安装在富执行环境中。
[0139]其中，可信应用是指与用户个人信息、财产安全相关的应用；比如支付应用、邮箱应用、个人理财应用等；客户应用是指与用户个人信息、财产安全无关的应用；比如:游戏应用、娱乐应用等。通过将不同类型的应用安装在不同的环境下，以进一步保护可信应用的安全。
[0140]参阅图4，示出了本发明实施例基于可信执行环境技术的应用受限安装方法实施例4的流程图，该方法是从终端的角度描述的，所述方法可包括:
[0141]步骤401，终端根据用户在可信应用商店中的选择向可信服务管理器发送下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号；
[0142]步骤402，所述终端接收所述可信服务管理器发送的签名信息、待下载应用的应用程序以及公钥，所述签名信息是所述可信服务管理器在检测所述待下载应用的编号为自己授权的应用编号之后，利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成的；
[0143]步骤403，所述终端利用预存的根证书验证所述公钥的合法性；如果合法，执行步骤 404 ；
[0144]步骤404，所述终端判断所述签名信息是否正确；如果正确，执行步骤405 ；
[0145]步骤405，所述终端安装所述应用程序。
[0146]可选的，所述方法还包括:
[0147]所述终端接收所述可信服务管理器发送的第一指示或者第二指示；所述第一指示用于指示所述终端将所述应用程序安装在可信执行环境中；所述第二指示用于指示所述终端将所述应用程序安装在富执行环境中；
[0148]则所述终端安装所述应用程序具体为:
[0149]所述终端根据接收到的第一指示将所述应用程序安装在可信执行环境中；或者，所述终端根据接收到的第二指示将所述应用程序安装在富执行环境中。
[0150]通过上述实施例可以看出:用户使用该终端选择待下载的应用，终端通过与T SM交互以保证下载的应用的安全性，从而保证下载安装到该终端的应用都是安全可靠的。
[0151]与上述方法实施例1相对应的，本发明还提供了一种可信服务管理器用于实现上述方法。
[0152]参阅图5，示出了本发明实施例可信服务管理器实施例1的结构图，该管理器可包括:[0153]第一接收单元501，用于接收用户通过终端发送的下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号。
[0154]第一检测单元502，用于检测所述待下载应用的编号是否为自己授权的应用编号；如果是，触发第一发送单元。
[0155]所述第一发送单元503，用于利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成签名信息，并向所述终端发送所述签名信息、待下载应用的应用程序以及公钥，以使所述终端利用预存的根证书验证所述公钥的合法性；如果合法，所述终端判断所述签名信息是否正确；如果正确，所述终端安装所述应用程序。
[0156]通过上述实施例可以看出:本发明利用可信执行环境技术,通过T S M和终端之间的信息交互，以验证用户待下载应用的安全性，保证用户待下载的应用是经过T S M授权认证的，并不是随意下载的，以保证应用的安全性。
[0157]与上述方法实施例2相对应的，本发明还提供了一种可信服务管理器用于实现上述方法。
[0158]参阅图6，示出了本发明实施例可信服务管理器实施例2的结构图，该管理器可包括:
[0159]第一接收单元601，用于接收用户通过终端发送的下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号。
[0160]状态判断单元602，用于判断所述终端是否处于可下载应用的状态，如果是，触发第一检测单元；否则，触发告警单元；
[0161]所述告警单元603，用于向所述终端发送告警信息通知用户无法下载应用。
[0162]第一检测单元604，用于检测所述待下载应用的编号是否为自己授权的应用编号；如果是，触发第一发送单元。
[0163]所述第一发送单元605，用于利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成签名信息，并向所述终端发送所述签名信息、待下载应用的应用程序以及公钥，以使所述终端利用预存的根证书验证所述公钥的合法性；如果合法，所述终端判断所述签名信息是否正确；如果正确，所述终端安装所述应用程序。
[0164]优选的，所述状态判断单元包括:
[0165]第一判断子单元，用于判断所述终端是否为挂失状态，如果是，所述终端不处于可下载应用的状态，否则，所述终端处于可下载应用的状态；和/或，
[0166]第二判断子单元，用于判断所述终端是否有权限下载所述待下载应用，如果是，所述终端处于可下载应用的状态，否则，所述终端不处于可下载应用的状态；和/或，
[0167]第三判断子单元，用于判断所述终端是否已安装所述待下载应用；如果是，所述终端不处于可下载应用的状态，否则，所述终端处于可下载应用的状态。
[0168]通过上述实施例可以看出:本发明提供的该优选方案是在上述管理器实施例1方案的基础上，增加了状态判断单元用于判断用户所使用的终端是否处于可下载应用的状态，以进一步保证下载应用的安全性。
[0169]与上述方法实施例3相对应的，本发明还提供了一种可信服务管理器用于实现上述方法。
[0170]参阅图7，示出了本发明实施例可信服务管理器实施例3的结构图，该管理器可包括:
[0171]第一接收单元701，用于接收用户通过终端发送的下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号；
[0172]第一检测单元702，用于检测所述待下载应用的编号是否为自己授权的应用编号；如果是，触发第一发送单元；
[0173]所述第一发送单元703，用于利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成签名信息，并向所述终端发送所述签名信息、待下载应用的应用程序以及公钥，以使所述终端利用预存的根证书验证所述公钥的合法性；如果合法，所述终端判断所述签名信息是否正确；如果正确，所述终端安装所述应用程序。
[0174]第二接收单元704，用于接收应用提供者发送的申请应用编号请求，所述申请应用编号请求包括:应用提供者身份信息和应用名称。
[0175]第一验证单元705，用于验证所述应用提供者身份信息是否合法；如果合法，所述可信服务管理器向所述应用提供者分配应用编号。
[0176]第三接收单元706，用于接收所述应用提供者发送的应用发布签名信息和应用程序，所述应用发布签名信息是所述应用提供者利用公私钥对待发布应用的相关信息进行签名生成的；所述公私钥是所述应用提供者向所述可信服务管理器申请得到的；所述相关信息包括:应用名称和应用编号。
[0177]第二验证单元707，用于对所述应用发布签名信息进行验证，如果验证通过，将所述应用发布在可信应用商店，以使用户通过终端在可信应用商店选择待下载的应用。
[0178]通过上述实施例可以看出:本发明提供的该优选方案是在上述管理器实施例1方案的基础上，增加了用于验证应用提供者身份以及应用发布过程验证等处理的各功能单元，在应用发布这一环境更进一步保证了应用的安全性，从而间接的保证用户下载应用的安全性。
[0179]本发明还提供了优选方案，具体在上述管理器的基础上，所述管理器还包括:
[0180]类型判断单元，用于通过应用编号判断所述应用程序的类型，所述应用程序的类型为可信应用类型或客户应用类型；如果为可信应用类型，触发第一指示单元；如果为客户应用类型，触发第二指示单元；
[0181]第一指示单元，用于指示所述终端将所述应用程序安装在可信执行环境中；
[0182]第二指示单元，用于指示所述终端将所述应用程序安装在富执行环境中。
[0183]其中，可信应用是指与用户个人信息、财产安全相关的安全敏感性应用；比如支付应用、邮箱应用、个人理财应用、移动银行应用等；客户应用是指与用户个人信息、财产安全无关的应用；比如:游戏应用、娱乐应用等。管理器通过指示终端将不同类型的应用安装在不同的环境下，以进一步保护可信应用的安全。
[0184]对上述方法实施例4相对应的，本发明还提供了一种终端。
[0185]参阅图8，示出了本发明实施例终端实施例1的结构图，该终端可包括:
[0186]发送单元801，用于根据用户在可信应用商店中的选择向可信服务管理器发送下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号；
[0187]接收单元802，用于接收所述可信服务管理器发送的签名信息、待下载应用的应用程序以及公钥，所述签名信息是所述可信服务管理器在检测所述待下载应用的编号为自己授权的应用编号之后，利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成的；
[0188]验证单元803，用于利用预存的根证书验证所述公钥的合法性；如果合法，触发判断单元；
[0189]所述判断单元804，用于判断所述签名信息是否正确；如果正确，触发安装单元；
[0190]所述安装单元805，用于安装所述应用程序。
[0191]可选的，所述终端还包括:
[0192]指示接收单元，用于接收所述可信服务管理器发送的第一指示或者第二指示；所述第一指示用于指示所述终端将所述应用程序安装在可信执行环境中；所述第二指示用于指示所述终端将所述应用程序安装在富执行环境中；
[0193]则所述安装单元，包括:
[0194]可信安装子单元，用于根据接收到的第一指示，将所述应用程序安装在可信执行环境中；
[0195]客户安装子单元，用于根据接收到的第二指示，将所述应用程序安装在富执行环境中。
[0196]终端应用T E E技术相当于终端上有两个环境，相当于一个终端上运行双系统RE E和T E E ；一个是富执行环境(Rich Execution Environm e n t , R E E ),比如A n d r i o d I O S等操作系统。另一个是可信执行环境(Trusted Execution Environment,TEE),可以看
作是具有安全处理能力和提高安全外设操作的可信操作系统；在该终端上T E E是与R EE相互隔离的、独立运行。
[0197]可信执行环境(TrustExecution Environment，T E E )跟普通开放式操作系统是隔离的，通过使用TEE Tursted U I
AP I，使得用户终端的显示屏，也包括键盘的外设与开放式操作系统也是隔离的，将应用承载在T E E上面，实际上就减小了应用被装载在开放式操作系统里的恶意应用攻击的概率，因此，它与开放式操作系统是隔离的，所以用户的可信应用的所有操作都是安全可靠的。T S M与T E E建立安全通道，完成对应用的管理。
[0198]通过上述实施例可以看出:用户使用该终端选择待下载的应用，终端通过与T SM交互以保证下载的应用的安全性，从而保证下载安装到该终端的应用都是安全可靠的。
[0199]本发明方案可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序单元。一般地，程序单元包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明方案，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序单元可以位于包括存储设备在内的本地和远程计算机存储介质中。
[0200]本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0201]以上对本发明实施例进行了详细介绍，本文中应用了【具体实施方式】对本发明进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及设备；同时，对于本领域的一般技术人员，依据本发明的思想，在【具体实施方式】及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
【权利要求】
1.基于可信执行环境技术的应用受限安装方法，其特征在于，所述方法包括: 可信服务管理器接收用户通过终端发送的下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号； 所述可信服务管理器检测所述待下载应用的编号是否为自己授权的应用编号； 如果是，所述可信服务管理器利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成签名信息，并向所述终端发送所述签名信息、待下载应用的应用程序以及公钥，以使所述终端利用预存的根证书验证所述公钥的合法性；如果合法，所述终端判断所述签名信息是否正确；如果正确，所述终端安装所述应用程序。
2.根据权利要求1所述的方法，其特征在于，在所述可信服务管理器检测所述待下载应用的编号是否为自己授权的应用编号之前，所述方法还包括: 所述可信服务管理器判断所述终端是否处于可下载应用的状态； 如果是，所述可信服务管理器再执行检测所述待下载应用的编号是否为自己授权的应用编号的操作； 否则，所述可信服务管理器向所述终端发送告警信息通知用户无法下载应用。
3.根据权利要求2所述的方法，其特征在于，所述可信服务管理器判断所述终端是否处于可下载应用的状 态，包括: 所述可信服务管理器判断所述终端是否为挂失状态，如果是，所述终端不处于可下载应用的状态，否则，所述终端处于可下载应用的状态；和/或， 所述可信服务管理器判断所述终端是否有权限下载所述待下载应用，如果是，所述终端处于可下载应用的状态，否则，所述终端不处于可下载应用的状态；和/或， 所述可信服务管理器判断所述终端是否已安装所述待下载应用；如果是，所述终端不处于可下载应用的状态，否则，所述终端处于可下载应用的状态。
4.根据权利要求1所述的方法，其特征在于，所述方法还包括: 所述可信服务管理器接收应用提供者发送的申请应用编号请求，所述申请应用编号请求包括:应用提供者身份信息和应用名称； 所述可信服务管理器验证所述应用提供者身份信息是否合法；如果合法，所述可信服务管理器向所述应用提供者分配应用编号； 所述可信服务管理器接收所述应用提供者发送的应用发布签名信息和应用程序，所述应用发布签名信息是所述应用提供者利用公私钥对待发布应用的相关信息进行签名生成的；所述公私钥是所述应用提供者向所述可信服务管理器申请得到的；所述相关信息包括:应用名称和应用编号； 所述可信服务管理器对所述应用发布签名信息进行验证，如果验证通过，所述可信服务管理器将所述应用发布在可信应用商店，以使用户通过终端在可信应用商店选择待下载的应用。
5.根据权利要求1所述的方法，其特征在于，所述方法还包括: 所述可信服务管理器通过应用编号判断所述应用程序的类型，所述应用程序的类型为可信应用类型或客户应用类型； 如果为可信应用类型时，则所述可信服务管理器指示所述终端将所述应用程序安装在可信执行环境中；则所述终端安装所述应用程序具体为所述终端根据接收到的指示将所述应用程序安装在可信执行环境中； 如果为客户应用类型时，则所述可信服务管理器指示所述终端将所述应用程序安装在富执行环境中； 则所述终端安装所述应用程序具体为所述终端根据接收到的指示将所述应用程序安装在富执行环境中。
6.基于可信执行环境技术的应用受限安装方法，其特征在于，所述方法包括: 终端根据用户在可信应用商店中的选择向可信服务管理器发送下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号； 所述终端接收 所述可信服务管理器发送的签名信息、待下载应用的应用程序以及公钥，所述签名信息是所述可信服务管理器在检测所述待下载应用的编号为自己授权的应用编号之后，利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成的； 所述终端利用预存的根证书验证所述公钥的合法性；如果合法，判断所述签名信息是否正确；如果正确，所述终端安装所述应用程序。
7.根据权利要求6所述的方法，其特征在于，所述方法还包括: 所述终端接收所述可信服务管理器发送的第一指示或者第二指示；所述第一指示用于指示所述终端将所述应用程序安装在可信执行环境中；所述第二指示用于指示所述终端将所述应用程序安装在富执行环境中； 则所述终端安装所述应用程序具体为: 所述终端根据接收到的第一指示将所述应用程序安装在可信执行环境中；或者，所述终端根据接收到的第二指示将所述应用程序安装在富执行环境中。
8.一种可信服务管理器，其特征在于，所述管理器包括: 第一接收单元，用于接收用户通过终端发送的下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号； 第一检测单元，用于检测所述待下载应用的编号是否为自己授权的应用编号；如果是，触发第一发送单元； 所述第一发送单元，用于利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成签名信息，并向所述终端发送所述签名信息、待下载应用的应用程序以及公钥，以使所述终端利用预存的根证书验证所述公钥的合法性；如果合法，所述终端判断所述签名信息是否正确；如果正确，所述终端安装所述应用程序。
9.根据权利要求8所述的管理器，其特征在于，所述管理器还包括: 状态判断单元，用于判断所述终端是否处于可下载应用的状态，如果是，触发第一检测单元；否则，触发告警单元； 所述告警单元，用于向所述终端发送告警信息通知用户无法下载应用。
10.根据权利要求9所述的管理器，其特征在于，所述状态判断单元包括: 第一判断子单元，用于判断所述终端是否为挂失状态，如果是，所述终端不处于可下载应用的状态，否则，所述终端处于可下载应用的状态；和/或， 第二判断子单元，用于判断所述终端是否有权限下载所述待下载应用，如果是，所述终端处于可下载应用的状态，否则，所述终端不处于可下载应用的状态；和/或，第三判断子单元，用于判断所述终端是否已安装所述待下载应用；如果是，所述终端不处于可下载应用的状态，否则，所述终端处于可下载应用的状态。
11.根据权利要求8所述的管理器，其特征在于，所述管理器还包括: 第二接收单元，用于接收应用提供者发送的申请应用编号请求，所述申请应用编号请求包括:应用提供者身份信息和应用名称； 第一验证单元，用于验证所述应用提供者身份信息是否合法；如果合法，所述可信服务管理器向所述应用提供者分配应用编号； 第三接收单元，用于接收所述应用提供者发送的应用发布签名信息和应用程序，所述应用发布签名信息是所述应用提供者利用公私钥对待发布应用的相关信息进行签名生成的；所述公私钥是所述应用提供者向所述可信服务管理器申请得到的；所述相关信息包括:应用名称和应用编号； 第二验证单元，用于对所述应用发布签名信息进行验证，如果验证通过，将所述应用发布在可信应用商店，以使用户通过终端在可信应用商店选择待下载的应用。
12.根据权利要求8所述的管理器，其特征在于，所述管理器还包括: 类型判断单元，用于 通过应用编号判断所述应用程序的类型，所述应用程序的类型为可信应用类型或客户应用类型；如果为可信应用类型，触发第一指示单元；如果为客户应用类型，触发第二指示单元； 第一指示单元，用于指示所述终端将所述应用程序安装在可信执行环境中； 第二指示单元，用于指示所述终端将所述应用程序安装在富执行环境中。
13.一种终端，其特征在于，所述终端包括: 发送单元，用于根据用户在可信应用商店中的选择向可信服务管理器发送下载应用请求，所述下载应用请求包括:待下载应用的编号和终端编号； 接收单元，用于接收所述可信服务管理器发送的签名信息、待下载应用的应用程序以及公钥，所述签名信息是所述可信服务管理器在检测所述待下载应用的编号为自己授权的应用编号之后，利用公私钥技术对所述待下载应用的编号和终端编号进行签名生成的； 验证单元，用于利用预存的根证书验证所述公钥的合法性；如果合法，触发判断单元； 所述判断单元，用于判断所述签名信息是否正确；如果正确，触发安装单元； 所述安装单元，用于安装所述应用程序。
14.根据权利要求13所述的终端，其特征在于，所述终端还包括: 指示接收单元，用于接收所述可信服务管理器发送的第一指示或者第二指示；所述第一指示用于指示所述终端将所述应用程序安装在可信执行环境中；所述第二指示用于指示所述终端将所述应用程序安装在富执行环境中； 则所述安装单元，包括: 可信安装子单元，用于根据接收到的第一指示，将所述应用程序安装在可信执行环境中； 客户安装子单元，用于根据接收到的第二指示，将所述应用程序安装在富执行环境中。
【文档编号】G06F21/51GK104010044SQ201410262034
【公开日】2014年8月27日 申请日期:2014年6月12日 优先权日:2014年6月12日
【发明者】鲁洪成 申请人:北京握奇数据系统有限公司