一种根安全域的创建方法、装置及终端与流程

本发明涉及数据处理技术领域，特别是指一种根据安全域的创建方法、装置及终端。

背景技术：

可信运行环境tee(trustedexecutionenvironment)是指手机终端内基于安全芯片的一个独立的安全运行环境，可视为一个微型操作系统。tee与正常的应用运行环境ree(richexecutionenvironment)(如android环境)逻辑隔离，只能通过授权的api进行交互。tee可以向ree中的普通应用提供高可靠性的安全服务，如安全输入、安全存储、数据加密等。这些安全特性要求应用服务提供商sp(serviceprovider)在安全终端内建立根安全域rsd(rootsecuritydomain)，并在其中预置相关的密钥，或动态写入相关的应用密钥。

现有的方案中，应用服务提供商一般是采用如下方式在tee中创建自己的rsd：

方式一：在手机生产时让oem厂商在tee中创建rsd，并预置相应应用服务提供商的初始密钥。

方式二：通过tsm(可信服务管理)平台在tee中创建rsd。

1、现有的tee中应用服务提供商创建rsd的方式存在的问题

方式一中应用服务提供商创建rsd的方式存在如下问题：

应用服务提供商需要将rsd创建数据给许多oem厂商，因为它需要将其rsd安装在尽可能多的设备中。但对于开放市场终端，需要事先捆绑某个oem厂商，导致针对不同市场需要不同的终端定制，与开放市场策略相抵触。

由于rsd在手机出厂前就预置进终端，因此应用服务提供商写入rsd中的数据(如密钥信息)必须是统一的，故不能针对不同的用户进行个人化的定制。

方式二中应用服务提供商创建rsd的方式存在如下问题：

不同的tee终端可能链接到不同的tsm平台，因此应用服务提供商需要所有的tsm平台都能够管理rsd，维护某应用所有用户的个人化信息，当tsm平台数目和应用服务提供商数目较多时，将给tsm平台带来难以想象的存储和维护开销。

技术实现要素：

本发明提供了一种根安全域的创建方法、装置及终端，在用户使用过程中根据用户的需要，为某应用创建动态根安全域(rsd)并写入用户的个人化数据。

为解决上述技术问题，本发明的实施例提供如下方案：

一种根安全域的创建方法，包括：

获取用户当前需要使用的应用的用户信息；

将所述用户信息发送给所述应用对应的服务提供商；

获取所述服务提供商返回的与所述用户信息对应的个人化信息；

在具有可信运行环境tee模块的终端中创建根安全域，将所述个人化信息写入所述根安全域。

其中，获取用户当前需要使用的应用的用户信息的步骤包括：

通过具有tee模块的终端的近距离无线通信nfc芯片扫描用户当前需要使用的应用对应的nfc卡，从所述nfc卡中获取用户当前需要使用的应用的用户信息。

其中，通过具有tee模块的终端的nfc芯片扫描用户当前需要使用的应用对应的nfc卡，从所述nfc卡中获取用户当前需要使用的应用的用户信息的步骤包括：

通过具有tee模块的终端的nfc芯片扫描保存有用户当前需要使用的应用对应的用户信息的nfc卡；

通过所述nfc芯片与所述nfc卡，模拟一次交易过程，获取交易信息；

从所述交易信息中，获取所述应用对应的用户信息。

其中，将所述用户信息发送给所述应用对应的服务提供商的步骤包括：

将包括有所述用户信息的交易信息发送给服务提供商。

其中，获取所述服务提供商返回的与所述用户信息对应的个人化信息的步骤包括：

获取所述服务提供商返回的反馈信息；

对所述反馈信息进行验证，验证通过后，获取所述服务提供商返回的与所述用户信息对应的个人化信息。

本发明的实施例还提供一种根安全域的创建装置，包括：

第一获取模块，用于获取用户当前需要使用的应用的用户信息；

发送模块，用于将所述用户信息发送给所述应用对应的服务提供商；

第二获取模块，用于获取所述服务提供商返回的与所述用户信息对应的个人化信息；

创建模块，用于在具有tee模块的终端中创建根安全域，将所述个人化信息写入所述根安全域。

其中，所述第一获取模块具体用于：通过tee终端的nfc芯片扫描用户当前需要使用的应用对应的nfc卡，并从所述nfc卡中获取用户当前需要使用的应用的用户信息。

其中，所述第一获取模块具体用于：

通过tee终端的nfc芯片扫描保存有用户当前需要使用的应用对应的用户信息的nfc卡；

通过所述nfc芯片与所述nfc卡，模拟一次交易过程，获取交易信息；从所述交易信息中，获取所述应用对应的用户信息。

其中，所述发送模块具体用于：将包括有所述用户信息的交易信息发送给服务提供商。

其中，所述第二获取模块具体用于：

获取所述服务提供商返回的反馈信息；

对所述反馈信息进行验证，验证通过后，获取所述服务提供商返回的与所述用户信息对应的个人化信息。

本发明的实施例还提供一种终端，包括可信运行环境tee模块，所述tee模块包括如上所述的根安全域的创建装置。

本发明的上述方案至少包括以下有益效果：

本发明的上述方案，通过获取用户当前需要使用的应用的用户信息；将所述用户信息发送给所述应用对应的服务提供商；获取所述服务提供商返回的与所述用户信息对应的个人化信息；在具有可信运行环境tee模块的终端中创建根安全域，将所述个人化信息写入所述根安全域。能够在rsd中动态的写入和用户身份相关的密钥，实现用户的个人化。

附图说明

图1为本发明的根安全域的创建方法流程图；

图2为图1所示的一具体流程图；

图3为本发明的根安全域的创建装置示意图；

图4为本发明的终端的架构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

如图1所示，本发明的实施例提供一种根安全域的创建方法，包括：

步骤11，获取用户当前需要使用的应用的用户信息；

步骤12，将所述用户信息发送给所述应用对应的服务提供商；

步骤13，获取所述服务提供商返回的与所述用户信息对应的个人化信息；

步骤14，在具有可信运行环境tee模块的终端中创建根安全域，将所述个人化信息写入所述根安全域。

本发明的该实施例通过获取用户当前需要使用的应用的用户信息；将所述用户信息发送给所述应用对应的服务提供商；获取所述服务提供商返回的与所述用户信息对应的个人化信息；在具有可信运行环境tee模块的终端中创建根安全域，将所述个人化信息写入所述根安全域。能够在rsd中动态的写入和用户身份相关的密钥，实现用户的个人化。

本发明的具体实施例中，上述步骤11具体实现时，可以通过具有tee模块的终端的近距离无线通信nfc芯片扫描用户当前需要使用的应用对应的nfc卡，从所述nfc卡中获取用户当前需要使用的应用的用户信息。

具体的：通过具有tee模块的终端的nfc芯片扫描保存有用户当前需要使用的应用对应的用户信息的nfc卡；

通过所述nfc芯片与所述nfc卡，模拟一次交易过程，获取交易信息；

从所述交易信息中，获取所述应用对应的用户信息。

将包括有所述用户信息的交易信息发送给服务提供商。

并进一步的，上述步骤13具体可以包括：获取所述服务提供商返回的反馈信息；对所述反馈信息进行验证，验证通过后，获取所述服务提供商返回的与所述用户信息对应的个人化信息，这里的个人化信息，如密钥信息。

如图2所示，结合具体流程说明上述实施例的具体实现过程：

使用手机终端的nfc芯片扫描nfc卡；

模拟一次交易(比如：模拟一次银行卡或者公交卡交易)；

tee模块获取nfc交易信息；

tee模块通过ree侧连接sp平台，并将交易信息告知sp平台，并向tee提供反馈；

tee模块验证sp的反馈信息，并创建rsd，并根据用户信息将用户的个人化密钥写入rsd中。

本发明的上述实施例提供的tee中动态创建rsd的方法，即通过手机终端的nfc功能识别银行卡等内置应用服务提供商信息和用户信息的卡片，连接应用服务提供商，使其在tee中创建rsd，并写入用户的个人化信息(如个人密钥)。

无需在终端出厂前就创建rsd并预置业务相关的密钥，可以很好的解决开放市场终端定制的问题。

能够在rsd中动态的写入和用户身份相关的密钥，实现用户的个人化。

无需让所有的tsm平台管理维护所有应用的用户的个人化数据，减少了tsm平台的开销。

如图3所示，本发明的实施例还提供一种根安全域的创建装置，包括：

第一获取模块，用于获取用户当前需要使用的应用的用户信息；

发送模块，用于将所述用户信息发送给所述应用对应的服务提供商；

第二获取模块，用于获取所述服务提供商返回的与所述用户信息对应的个人化信息；

创建模块，用于在具有tee模块的终端中创建根安全域，将所述个人化信息写入所述根安全域。

其中，所述第一获取模块具体用于：通过tee终端的nfc芯片扫描用户当前需要使用的应用对应的nfc卡，并从所述nfc卡中获取用户当前需要使用的应用的用户信息。

其中，所述第一获取模块具体用于：通过tee终端的nfc芯片扫描保存有用户当前需要使用的应用对应的用户信息的nfc卡；

通过所述nfc芯片与所述nfc卡，模拟一次交易过程，获取交易信息；从所述交易信息中，获取所述应用对应的用户信息。

其中，所述发送模块具体用于：将包括有所述用户信息的交易信息发送给服务提供商。

其中，所述第二获取模块具体用于：获取所述服务提供商返回的反馈信息；

对所述反馈信息进行验证，验证通过后，获取所述服务提供商返回的与所述用户信息对应的个人化信息。

本发明的实施例还提供一种终端，包括可信运行环境tee模块，所述tee模块包括如上所述的根安全域的创建装置。

如图4所示，为上述终端的具体架构，其中，sp平台：应用服务提供商运营的应用管理平台。rsd:tee中存储应用管理密钥的安全域，可以保证应用密钥的授权使用。nfc卡：支持ncf手机的卡片，如公交卡、银行卡等。

本发明上述实施例中的终端可以为支持nfc功能并集实现了tee的安全终端。

本发明的上述实施例提出的一种基于nfc的teersd动态创建架构，在该架构下，tee终端无需在出厂前为应用服务提供商创建rsd并写入初始化应用管理密钥，而是在用户使用过程中根据用户的需要，利用nfc的识别能力使tee终端关联到应用服务提供商，为某应用创建rsd并写入用户的个人化数据。无需在终端出厂前就创建rsd并预置业务相关的密钥，可以很好的解决开放市场终端定制的问题。能够在rsd中动态的写入和用户身份相关的密钥，实现用户的个人化。无需让所有的tsm平台管理维护所有应用的用户的个人化数据，减少了tsm平台的开销。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。