本发明涉及移动终端安全领域,具体来说,涉及一种访问可信执行环境的控制方法。
背景技术:
tee是可信执行环境的简称。当前的可信执行环境主要是基于智能终端(如智能手机)中处理器的安全区域构建的可信执行环境。tee是一个独立的执行区域,它提供了很多安全属性,如隔离性,完整性等,同时tee也确保了加载到tee中代码和数据的安全性。传统的tee技术包含arm的trustzone等。gp组织(globalplatform,全球平台国际标准组织)公布了tee的基本保护范围,相关api和安全属性,符合该标准的tee被称为gptee。tee的安全级别介于ree(richexecutionenvironment)和se(secureelement)之间。
随着应用对安全的重视,越来越多的应用把敏感业务和信息放在tee执行。在tee内运行的应用称为ta(trustedapplication),与之对应,在ree内运行的应用成为ca(clientapplication)。
tee和ta作为一个安全目标,被ca访问时,存在如下安全隐患:
伪造:恶意ca伪装成合法ca、并向ta发起请求,从而获取到ta输出的敏感数据,造成数据泄漏。
dos:恶意ca持续向tee或ta发起请求,导致tee或ta无法提供正常服务。
而当前没有相关标准和规范对这些存在的安全隐患进行约束和定义。
针对相关技术中的问题,目前尚未提出有效的解决方案。
技术实现要素:
针对相关技术中的上述技术问题,本发明提出一种访问可信执行环境的控制方法,能够提升tee和ta的安全性。
为实现上述技术目的,本发明的技术方案是这样实现的:
一种访问可信执行环境的控制方法,包括以下步骤:
s11ca向tee发起请求,在ree中校验ca的合法性;
s12在ree中校验ca为合法后,在tee内再次校验ca的合法性。
s13ta对来自校验通过的ca的请求进行处理。
进一步的,该方法具体包括:
s21ca通过系统服务tee守护进程向tee发起请求;
s22tee守护进程收到请求后,从云端获取tee入口安全凭证;
s23tee守护进程计算ca的特征值,并与tee入口安全凭证中的特征值信息进行比对,如果匹配,则进入tee,并将ca标识发送给ta;
s24ta收到请求后,将ca标识与ta入口安全凭证中的标识信息进行比对,如果匹配,则处理请求。
进一步的,ca在打包发布阶段,向云端填写注册信息,注册信息包含tee入口安全凭证的基本信息。
进一步的,云端持有tee入口安全凭证,所述tee入口安全凭证包括但不限于合法ca的别名、特征值和标识。
进一步的,ta持有ta入口安全凭证,所述ta入口安全凭证包括但不限于如下信息:合法ca的标识。
进一步的,s23中ca特征值若与tee入口安全凭证中特征值不匹配,则拒绝服务,返回错误。
进一步的,s24中如果ca标识与ta入口安全凭证中的标识信息不匹配,则返回。
本发明的有益效果:通过tee守护进程持有tee入口安全凭证,ta持有ta入口安全凭证,在ca访问ta时进行双重认证,确保恶意ca无法在tee和ta中运行;同时,将安全凭证部署在云端,即使ca版本升级,移动终端无需修改就可以自适应进行安全认证。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例所述的一种访问可信执行环境的控制方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,根据本发明实施例所述的一种访问可信执行环境的控制方法,包括以下步骤:
s11ca向tee发起请求,在ree中校验ca的合法性;
s12在ree中校验ca为合法后,在tee内再次校验ca的合法性;
s13ta对来自校验通过的ca的请求进行处理。
进一步的,该方法具体包括:
s21ca通过系统服务tee守护进程向tee发起请求;
s22tee守护进程收到请求后,从云端获取tee入口安全凭证;
s23tee守护进程计算ca的特征值,并与tee入口安全凭证中的特征值信息进行比对,如果匹配,则进入tee,并将ca标识发送给ta;
s24ta收到请求后,将ca标识与ta入口安全凭证中的标识信息进行比对,如果匹配,则处理请求。
进一步的,ca在打包发布阶段,向云端填写注册信息,注册信息包含tee入口安全凭证的基本信息。
进一步的,云端持有tee入口安全凭证,所述tee入口安全凭证包括但不限于合法ca的别名、特征值和标识。
进一步的,ta持有ta入口安全凭证,所述ta入口安全凭证包括但不限于如下信息:合法ca的标识。
进一步的,s23中ca特征值若与tee入口安全凭证中特征值不匹配,则拒绝服务,返回错误。
进一步的,s24中如果ca标识与ta入口安全凭证中的标识信息不匹配,则返回。
为了方便理解本发明的上述技术方案,以下通过具体使用方式上对本发明的上述技术方案进行详细说明。
在具体使用时,根据本发明所述的一种访问可信执行环境的控制方法,主要分为两部分:
1.ca向tee发起请求时,首先校验ca的合法性,只有校验通过才能进入tee;
2.ta收到ca请求时,首先校验ca的合法性,只有校验通过才会处理请求。
具体的实现流程如下:
1.云端持有tee入口安全凭证,包括但不限于如下信息:合法ca的别名、特征值、标识。ta持有ta入口安全凭证,包括但不限于如下信息:合法ca的标识;
2.ca在打包发布阶段,需要向云端填写注册信息,注册信息必须包含tee入口安全凭证的基本信息;
3.ca通过系统服务tee守护进程向tee发起请求;
4.tee守护进程收到请求后,从云端获取tee入口安全凭证;
5.tee守护进程计算ca的特征值,并与tee入口安全凭证中的信息进行比对。如果不匹配,则拒绝服务、返回错误;如果匹配,进入tee,并把ca标识发送给ta;
6.ta收到请求后,把ca标识与ta入口安全凭证中的信息进行比对。如果不匹配,则返回;如果匹配,则处理请求。
由于恶意ca无法向云端注册信息,云端的tee入口安全凭证里没有恶意ca的基本信息,所以如果恶意ca尝试访问tee,tee守护进程在校验时拒绝服务、返回错误。
综上所述,借助于本发明的上述技术方案,通过tee守护进程持有tee入口安全凭证,ta持有ta入口安全凭证,在ca访问ta时进行双重认证,确保恶意ca无法在tee和ta中运行;同时,将安全凭证部署在云端,即使ca版本升级,移动终端无需修改就可以自适应进行安全认证。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。