本申请涉及通信,特别是涉及一种通信方法、装置、计算机设备和存储介质。
背景技术:
1、针对移动终端设备操作系统的开放环境产生的安全问题,为保障用户方便、快捷且安全可靠地进行移动支付交易,业界提出tee(trusted execution environment,可信执行环境)概念。tee是与移动终端设备上的ree(rich execution environment,多媒体执行环境)并存的运行环境,由手机处理器核、安全存储器、可信用户接口界面、可信操作系统、sd(secure domain,安全域)、及ta(trusted application,可信应用)等可信软硬件资源组成,构造一个可信执行空间。tee比ree更安全。为了保障tee的安全,ree与tee之间有硬件隔离,采用软件方式进行通信。任何ree环境的ca(client application,客户端应用)访问其tee环境的ta必须经过授权或认证。
2、传统技术中的ree环境的ca访问tee环境的ta的方式主要通过比较终端厂商预置的tee访问控制签名的方式进行安全访问控制,这种安全访问控制方式比较简单,但安全性较差。
技术实现思路
1、基于此,有必要针对上述技术问题,提供一种能够提高ree环境的ca访问tee环境的ta之间的通信安全性的通信方法、装置、计算机设备和存储介质。
2、第一方面,本申请提供了一种通信方法,由可信执行环境tee访问控制器执行,且tee访问控制器部署在终端的多媒体执行环境ree中,该方法包括:
3、获取客户端应用ca访问目标可信应用ta的访问请求,且访问请求在ca使用tee客户端接口来建立与目标ta之间的通信通道的情况下获取;
4、获取tee访问控制签名和目标ta的访问规则;
5、根据tee访问控制签名和目标访问规则,确定是否允许ca访问目标ta。
6、在其中一个实施例中,tee访问控制签名包括第一访问控制签名和第二访问控制签名;根据tee访问控制签名和目标ta访问规则,确定是否允许ca访问目标ta,包括:
7、向tee管理平台发送请求,接收第一访问控制签名;
8、获取预置于安全域sd中的第二访问控制签名,第二访问控制签名是在终端开机的时候获取的;
9、若第一访问控制签名和第二访问控制签名一致,则根据目标ta访问规则,确定是否允许ca访问目标ta。
10、在其中一个实施例中,根据目标ta访问规则,确定是否允许ca访问目标ta,包括:
11、从tee管理平台查询目标ta对应的访问规则库;
12、若ca属于目标ta对应的访问规则库中的白名单,则确定允许ca访问目标ta;
13、若ca不属于目标ta对应的访问规则库中的黑名单,则确定不允许ca访问目标ta。
14、在其中一个实施例中,从tee管理平台查询目标ta对应的访问规则库,包括:
15、将目标ta与tee管理平台查询中的ta名单列表进行匹配;
16、若匹配成功,则调取目标ta对应的访问规则库。
17、在其中一个实施例中,多媒体执行环境ree与可信执行环境tee之间通过硬件隔离。
18、在其中一个实施例中,多媒体执行环境ree与可信执行环境tee通过共享内存方式或通信代理方式进行通信。
19、第二方面,本申请还提供了一种通信装置,该装置包括:
20、请求获取模块,用于获取客户端应用ca访问目标可信应用ta的访问请求,且访问请求在ca使用tee客户端接口来建立与目标ta之间的通信通道的情况下获取;
21、规则获取模块,用于获取tee访问控制签名和目标ta的访问规则;
22、验证模块,用于根据tee访问控制签名和目标访问规则,确定是否允许ca访问目标ta。
23、第三方面,本申请还提供了一种计算机设备,该计算机设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:
24、获取客户端应用ca访问目标可信应用ta的访问请求,且访问请求在ca使用tee客户端接口来建立与目标ta之间的通信通道的情况下获取;
25、获取tee访问控制签名和目标ta的访问规则;
26、根据tee访问控制签名和目标访问规则,确定是否允许ca访问目标ta。
27、第四方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
28、获取客户端应用ca访问目标可信应用ta的访问请求,且访问请求在ca使用tee客户端接口来建立与目标ta之间的通信通道的情况下获取;
29、获取tee访问控制签名和目标ta的访问规则;
30、根据tee访问控制签名和目标访问规则,确定是否允许ca访问目标ta。
31、第五方面,本申请还提供了一种计算机程序产品,该计算机程序产品包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
32、获取客户端应用ca访问目标可信应用ta的访问请求,且访问请求在ca使用tee客户端接口来建立与目标ta之间的通信通道的情况下获取;
33、获取tee访问控制签名和目标ta的访问规则;
34、根据tee访问控制签名和目标访问规则,确定是否允许ca访问目标ta。
35、上述通信方法、装置、计算机设备和存储介质,本申请中tee访问控制签名和目标ta的访问规则这两个维度,确定是否允许ca访问目标ta,相比于传统技术中,只是比较tee的访问控制签名,根据访问控制签名来确定是否允许ca访问ta,提高了ca与ta之间安全访问控制的安全性;通过管理目标ta的访问规则,能够实现对ca与ta之间安全访问控制的灵活配置。
1.一种通信方法,其特征在于,由可信执行环境tee访问控制器执行,且tee访问控制器部署在终端的多媒体执行环境ree中,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述tee访问控制签名包括第一访问控制签名和第二访问控制签名;所述根据所述tee访问控制签名和所述目标ta访问规则,确定是否允许所述ca访问所述目标ta,包括:
3.根据权利要求2所述的方法,其特征在于,所述根据所述目标ta访问规则,确定是否允许所述ca访问所述目标ta,包括:
4.根据权利要求3所述的方法,其特征在于,所述从所述tee管理平台查询所述目标ta对应的访问规则库,包括:
5.根据权利要求1所述的方法,其特征在于,所述多媒体执行环境ree与所述可信执行环境tee之间通过硬件隔离。
6.根据权利要求1所述的方法,其特征在于,所述多媒体执行环境ree与所述可信执行环境tee通过共享内存方式或通信代理方式进行通信。
7.一种通信装置,其特征在于,所述装置包括:
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。