一种TEE环境下生成二维码的方法及系统与流程

本发明涉及信息安全领域，具体涉及一种tee环境下生成二维码的方法及系统。

背景技术：

二维码是用某种特定的几何图形按一定规律在平面(二维方向上)分布的黑白相闻的图形来记录数据符号信息的条码。具有信息容量大、可靠性高、编码方式灵活、保密防伪性强等优点。

二维码是信息的载体，也是信息采集、传播的重要方法和手段，在各个领域能够起到提高效率的作用。随着智能终端的推广与移动网络的快速普及，使得二维码成为未来数据时代的窗口。二维码技术在移动电子商务、文字快速录入、食品安全管理等领域得到广泛的使用。

二维码是信息的载体，现有技术中，根据信息源的不同，生成二维码的方式包括以下几种：

(1)用于生成二维码的信息因子存储于ree的app中，app端生成二维码通过ui界面显示。

(2)用于生成二维码的信息因子从服务器端获取，app端生成二维码通过ui界面显示。

(3)app提供ui采集用户进行输入的信息因子，app端生成二维码通过ui界面显示，二维码中包含用户输入的信息。

但是，现有技术中二维码的显示都是在ree中，相比于tee环境，ree环境下的数据不安全，进而导致用户输入的信息和呈现出的二维码都有被截获、篡改的危险。

技术实现要素：

针对现有技术中存在的缺陷，本发明的目的在于提供一种tee环境下生成二维码的方法及系统，与传统生成二维码方式相比，在安全性上进行了增强，在tee环境下实现二维码的应用，可以显著降低信息被攻击的风险。

为实现上述目的，本发明采用的技术方案如下：

一种tee环境下生成二维码的方法，包括：

s1、tee环境下的ta获取用于生成二维码的关键信息；

s2、通过ta中的密钥因子对所述关键信息进行运算，生成鉴别码；

s3、将所述关键信息和所述鉴别码生成二维码，通过tui界面进行显示。

进一步，如上所述的一种tee环境下生成二维码的方法，步骤s1包括：

a1、通过客户端的app向tee环境下的ta发起应用请求；

a2、ta接收所述应用请求后，发起tui服务请求；

a3、ta接收并存储用户在tui界面上输入的关键信息。

进一步，如上所述的一种tee环境下生成二维码的方法，步骤s1包括：

b1、在服务器与tee之间建立安全通道；

b2、通过客户端的app向tee环境下的ta发起请求，ta通过app向所述服务器发起应用请求；

b3、所述服务器根据所述应用请求将关键信息通过所述安全通道发送至tee环境下的ta；

b4、在ta中对所述关键信息进行解密，存储解密后的所述关键信息。

进一步，如上所述的一种tee环境下生成二维码的方法，步骤b1具体包括：通过gp协议、密钥体系方法或白盒加密方法在服务器与tee之间建立安全通道。

进一步，如上所述的一种tee环境下生成二维码的方法，所述密钥体系方法包括数字证书和数字信封。

本发明实施例中还提供了一种tee环境下生成二维码的系统，包括：

获取模块，用于tee环境下的ta获取用于生成二维码的关键信息；

运算模块，用于通过ta中的密钥因子对所述关键信息进行运算，生成鉴别码；

生成模块，用于将所述关键信息和所述鉴别码生成二维码，通过tui界面进行显示。

进一步，如上所述的一种tee环境下生成二维码的系统，所述获取模块包括：

第一发起子模块，用于通过客户端的app向tee环境下的ta发起应用请求；

第二发起子模块，用于ta接收所述应用请求后，发起tui服务请求；

接收存储子模块，用于ta接收并存储用户在tui界面上输入的关键信息。

进一步，如上所述的一种tee环境下生成二维码的系统，所述获取模块还包括：

建立子模块，用于在服务器与tee之间建立安全通道；

第一发送子模块，用于通过客户端的app向tee环境下的ta发起请求，ta通过app向所述服务器发起应用请求；

第二发送子模块，用于所述服务器根据所述应用请求将关键信息通过所述安全通道发送至tee环境下的ta；

解密存储子模块，用于在ta中对所述关键信息进行解密，存储解密后的所述关键信息。

进一步，如上所述的一种tee环境下生成二维码的系统，所述建立子模块具体用于：通过gp协议、密钥体系方法或白盒加密方法在服务器与tee之间建立安全通道。

进一步，如上所述的一种tee环境下生成二维码的系统，所述密钥体系方法包括数字证书和数字信封。

本发明的有益效果在于：本发明所提供的方法及系统，在tee环境下预制密钥因子,在tee环境下通过密钥因子对关键信息进行运算，运算结果作为信息的鉴别码，将关键信息和鉴别码生成二维码，扫描该二维码时可以通过鉴别码鉴别信息的真伪，防止二维码中的关键信息被篡改，与传统生成二维码方式相比，在安全性上进行了增强，还可以显著降低信息被攻击的风险。

附图说明

图1为本发明实施例中提供的一种tee环境下生成二维码的方法的流程示意图；

图2为本发明实施例中提供的一种tee环境下生成二维码的系统的结构示意图。

具体实施方式

下面结合说明书附图与具体实施方式对本发明做进一步的详细说明。

如图1所示，一种tee环境下生成二维码的方法，包括：

s1、tee环境下的ta获取用于生成二维码的关键信息；

s2、通过ta中的密钥因子对关键信息进行运算，生成鉴别码；

s3、将关键信息和鉴别码生成二维码，通过tui界面进行显示。

步骤s1包括：

a1、通过客户端的app向tee环境下的ta发起应用请求；

a2、ta接收应用请求后，发起tui服务请求；

a3、ta接收并存储用户在tui界面上输入的关键信息。

步骤s1包括：

b1、在服务器与tee之间建立安全通道；

b2、通过客户端的app向tee环境下的ta发起请求，ta通过app向服务器发起应用请求；

b3、服务器根据应用请求将关键信息通过安全通道发送至tee环境下的ta；

b4、在ta中对关键信息进行解密，存储解密后的关键信息。

步骤b1具体包括：通过gp协议、密钥体系方法或白盒加密方法在服务器与tee之间建立安全通道。密钥体系方法包括数字证书和数字信封。

实施例一

s101、通过客户端的app向tee环境下的ta发起应用请求；

s102、ta接收应用请求后，发起tui服务请求；

s103、ta接收并存储用户在tui界面上输入的关键信息；

s104、通过ta中的密钥因子对关键信息进行运算，生成鉴别码；

s105、将关键信息和鉴别码生成二维码，通过tui界面进行显示。

本实施例中，在tee环境下预制密钥因子，app发起请求，在tee环境下密钥因子对用户输入的关键信息进行运算，运算结果作为关键信息的鉴别码，生成的二维码除了具有敏感信息(即关键信息)外，还增加了信息的鉴别码，扫描该二维码时可以通过鉴别码鉴别信息的真伪，防止二维码中的关键信息被篡改。

tee(可信执行环境，trustedexecutionenvironment)是存在于移动终端设备内，与富执行环境相分离的安全区域。它与富执行环境以及富执行环境上面的应用相分离，确保各种敏感数据在一个可信环境中被存储、处理和受到保护，同时可信执行环境为装载在其中的可信应用提供一个安全的执行环境。

ta是运行在tee内的应用，通过调用tee提供的api访问tee控制的硬件资源。ta可通过调用seapi使用se内的安全应用，调用tuiapi与用户进行可信的交互。

tui(可信用户接口，trusteduserinterface)是由tee控制的ta应用，提供用户信息显示，与ree隔离的用户界面。

实施例二

s201、通过gp协议、密钥体系方法或白盒加密方法在服务器与tee之间建立安全通道；

s202、通过客户端的app向tee环境下的ta发起请求，ta通过app向服务器发起应用请求；

s203、服务器将应用请求中的关键信息通过安全通道发送至tee环境下的ta；

s204、在ta中对关键信息进行解密，存储解密后的关键信息；

s205、通过ta中的密钥因子对关键信息进行运算，生成鉴别码；

s206、将关键信息和鉴别码生成二维码，通过tui界面进行显示。

本实施例中，在服务器与ta之间建立安全通道，app在服务器和ta之间起到数据透传的作用，服务器发送的关键信息在ta中解密，ta中密钥因子对关键信息运算产生鉴别码，将关键信息和鉴别码生成二维码，通过tui呈现。

服务器和tee之间建立安全通道的方法有多种：通过gp协议、密钥体系方法(如数字证书、数字信封等)、安全级更高的白盒加密方式等。

实施例三

以移动端二维码收款的业务为例，对现有技术和本发明进行对比说明：

a.采用现有技术实现二维码收款的业务逻辑：

1.用户在ree环境下输入收款金额、收款账号等信息；

2.app生成二维码；

3.付款方扫描二维码付款。

该过程中的敏感信息(账号、金额等)都会以明文或密文方式缓存在内存中，有被人截获、篡改的风险，app端在呈现二维码的过程中也有被截获、篡改的风险。

b.采用本发明提供的实施例一实现二维码收款的业务逻辑：

1.用户通过app发起收款请求；

2.ta接收到请求，发起tui服务请求，供用户输入收款账号、金额等信息；

3.ta中密钥因子对用户输入的信息运算产生鉴别码，将信息和鉴别码生成二维码，通过tui呈现；

4.付款方扫描二维码，同时通过鉴别码验证信息的真伪，进行付款。

app运行过程中，用户信息的输入和二维码的呈现都是在tee环境下通过tui完成，并在二维码中增加了信息的鉴别码，减小了信息被人截获、篡改的风险。在ree和tee并存的环境下，将密钥因子及敏感信息安置于安全的tee环境中，和ca数据隔离开,从而防止敏感信息被攻击或篡改。

ree(富执行环境，richexecutionenvironment)是由富操作系统管理和控制的环境，与tee对应，富执行环境、以及运行在其内的应用具有不安全、不可信的特点，如安卓、苹果等操作系统。

ca(clientapplication)是运行在ree内的普通应用，通过调用tee提供的clientapi可请求运行在tee内的ta安全服务。

如图2所示，本发明实施例中还提供了一种tee环境下生成二维码的系统，包括：

获取模块1，用于tee环境下的ta获取用于生成二维码的关键信息；

运算模块2，用于通过ta中的密钥因子对关键信息进行运算，生成鉴别码；

生成模块3，用于将关键信息和鉴别码生成二维码，通过tui界面进行显示。

获取模块1包括：

第一发起子模块，用于通过客户端的app向tee环境下的ta发起应用请求；

第二发起子模块，用于ta接收应用请求后，发起tui服务请求；

接收存储子模块，用于ta接收并存储用户在tui界面上输入的关键信息。

获取模块还包括：

建立子模块，用于在服务器与tee之间建立安全通道；

第一发送子模块，用于通过客户端的app向tee环境下的ta发起请求，ta通过app向服务器发起应用请求；

第二发送子模块，用于服务器根据应用请求将关键信息通过安全通道发送至tee环境下的ta；

解密存储子模块，用于在ta中对关键信息进行解密，存储解密后的关键信息。

建立子模块具体用于：通过gp协议、密钥体系方法或白盒加密方法在服务器与tee之间建立安全通道。密钥体系方法包括数字证书和数字信封。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其同等技术的范围之内，则本发明也意图包含这些改动和变型在内。