TEE相關專利信息
[001][發明公布] 可擴展的可信用戶介面、方法和電子設備
摘要:本發明涉及可擴展的可信用戶介面(xTUI),其包括布置在REE端的應用服務xTUI Agent和布置在TEE端的xTUI Container,其中,xTUI Agent將REE端獲取的xTUI布局文件傳輸至xTUI Container,xTUI Container對該xTUI布局文件進行解析和執行。本發明還涉及一種用於運行可擴展的可信用戶介面的方法和一種包括可擴展的可信用戶介面的電子設備
[002][發明公布] 一種安全指示信息的配置方法及設備
摘要:本發明實施例中提供一種安全指示信息的配置方法及設備,以降低被惡意軟體攻擊和截獲的風險。該方法為,終端檢測所述終端是否針對TUI設置有通用安全指示信息;若沒有設置,則檢測所述終端的運行狀態;當檢測到所述終端的運行狀態為安全狀態時,通過第一信息展示界面在顯示屏上呈現第一輸入介面;通過所述第一輸入介面接收輸入的通用安全指示信息,並將所述通用安全指示信息保存至終端的可信執行環境TEE中。這樣,在設置通用安全指示信息之前,檢測終端的運行狀態,能夠確保終端的運行狀態處於安全狀態時,才設置通用安全指示信息,這樣能夠保證設置的通用安全指示信息不被惡意軟體或程序攻擊或獲取,保證用戶信息安全。
[003][發明公布] 用於提供全球平台兼容可信執行環境的系統和方法
摘要:一種提供全球平台(GP)兼容可信執行環境(TEE)的方法,所述方法以主處理器執行存儲在存儲器設備中的應用開始。應用包括客戶端應用(CA)和可信應用(TA)。執行所述應用包括在客戶端進程中運行CA並且在TEE主機進程中運行TA。客戶端進程與TEE主機進程分開。使用TEE主機進程,從客戶端進程中接收用於開啟會話的請求,所述請求包括所述TA的標識符。使用包括在TEE主機進程中的GP可信服務飛地,使用所述GP可信服務飛地在所述TEE主機進程中確定和載入與所述標識符相關聯的TA飛地,以便建立所述會話。使用TEE主機進程,從客戶端進程中接收將在TA飛地中調用的命令以及命令需要的參數集。使用GP內部API,執行與標識符相關聯的TA飛地中的命令。還描述了其它實施例。
[004][發明公布] 一種TEE下全功能測試系統及測試方法
摘要:本發明提供了一種TEE下全功能測試系統及測試方法,其中系統,Testsuite端包括服務端和客戶端,所述服務端包括第一UI主線程、網路監聽線程、處理客戶網路事件線程,所述客戶端包括第二UI主線程、連接線程、處理服務端事件線程、用例執行線程,所述服務端與客戶端之間通過TCP網路通信,本發明的能夠為TEE產品提供標準的GP API、IFAA API以及其他擴展API、功能測試方法和手段,可以在較低時間和成本的基礎上為TEE廠家,終端廠家等提供測試工具,能夠降低TEE廠家GP等其他認證測試的時間和成本,能讓終端設備在出廠前測試TEE系統功能,穩定性以及IFAA相關測試,縮短產品開發周期,提高系統性能和穩定性。
[005][發明公布] 基於TEE的線下支付方法及其支付系統、移動終端
摘要:本發明涉及基於TEE的線下支付系統以及支付方法。該系統具備:移動終端,用於實現卡功能並且實現qPBOC的卡流程,提供用戶輸入界面,對用戶輸入的數據處理後以二維碼形式進行展現;POS終端,用於獲取所述移動終端展現的二維碼形式的數據並且將該數據轉換成卡片數據報文發送到後台系統;以及後台系統,用於根據所述卡片數據報文完成支付並將結果返回POS終端。根據本發明,不需要移動終端和POS終端具備NFC功能就能夠在線下實現移動支付。
[006][發明公布] 一種TEE下RPC機制下安全時鐘的控制方法
摘要:本發明提供了一種TEE下RPC機制下安全時鐘的控制方法,包括以下步驟:CA程序調用Client API;Client API調用Client Driver;Client Driver通過smc call切換到TEE OS,並執行對應TA並通過TA調用TEE SPI通信介面發送/接收數據;調用所述TEE中實現的時鐘使能介面並通過RPC,向REE端發送時鐘使能請求;Client Driver收到請求,並將請求分發至REE端時鐘控制驅動;時鐘控制驅動調用Linux時鐘介面使能SPI驅動時鐘,後經Client Driver返回TEE;安全SPI驅動開始IO操作,向SPI匯流排發送/接收TA需要的數據,本發明的安全時鐘控制的方法相對於常規的方式控制SPI時鐘具有調用步驟簡單,效率高,以及在不安全環境里的操作也不會降低系統安全性。
[007][發明公布] 安全控制方法、及終端
摘要:本發明實施例公開了一種安全控制方法、及終端,該方法應用於包含可信執行環境TEE的終端,包括:所述終端的TEE確定需要對可插拔的存儲器進行加密的情況下,獲取所述終端的標識信息,依據所述標識信息生成鎖密碼;使用所述鎖密碼對所述可插拔的存儲器進行加密。本發明實施例中的TEE可以利用終端的標識信息生成鎖密碼,並利用該鎖密碼單獨對該終端中的可插拔的存儲器進行加密和解密,實現方式簡單、安全性高。另外,可以自動對該可插拔的存儲器進行加密和解密,無需用戶的操作。
[008][發明公布] 一種安卓操作系統的移動終端使用方法
摘要:本發明屬於通信設備技術領域,具體涉及一種安卓操作系統的移動終端使用方法,其中,包括移動終端上電並於TEE系統環境運行的狀態下,判斷處理單元是否與存儲單元之間建立有映射關係;於所述處理單元與所述存儲單元之間未建立有映射關係的狀態下,啟動所述操作系統並形成與運行狀態相匹配的安卓文件系統以開啟所述移動終端。在處理單元與存儲單元之間未建立有映射關係的狀態下,開啟移動終端並進入普通環境運行。即在維修過程中,當移動終端的CPU出現故障時,無需同時更換EMCC即可開啟移動終端。反之當移動終端的EMCC出現故障時,無需同時更換CPU即可開啟移動終端,大大減少移動終端維修成本,同時提高資源利用率。
[009][發明公布] 基於可信執行環境集成虛擬機的方法、終端
摘要:本發明公開了一種基於可信執行環境集成虛擬機的方法、終端,所述方法包括:基於CA調用OpenSession指令,所述OpenSession指令中攜有至少如下參數:虛擬機對應的uuid1、TA對應的uuid2;通過TEE對所述OpenSession指令進行解析,得到所述虛擬機對應的uuid1,並將所述OpenSession指令發送至所述uuid1指向的虛擬機;通過所述虛擬機對所述OpenSession指令進行解析,得到所述TA對應的uuid2,並將所述OpenSession指令發送至所述uuid2指向的TA,以建立所述CA與所述TA之間的連接。
[010][發明公布] 一種敏感數據操作方法和移動終端
摘要:本發明公開了一種敏感數據操作方法和移動終端。在該方案中,移動終端內的TEE執行針對應用程序的操作時,得到應用程序的敏感數據,並將該敏感數據發送到移動終端內置的SE模塊中進行存儲。與現有技術相比,將敏感數據存儲在SE模塊中,提高了敏感數據存儲的安全性,同時由於SE模塊是內置在移動終端中,因此SE模塊與TEE之間無需建立安全通道,也能實現SE模塊與TEE之間的通信安全。
[011][發明公布] 一種數據安全存儲方法及裝置
摘要:本發明提供一種數據安全存儲方法及裝置。該裝置包括:配置單元,用於配置安全數據的屬性信息;其中,屬性信息包括安全等級以及生命周期;第一確定單元,用於在對安全數據進行存儲時,根據數據大小和安全等級確定安全數據存儲於可信執行環境TEE還是硬體加密晶元;第二確定單元,用於根據安全等級和生命周期確定將安全數據存儲於可信執行環境/硬體加密晶元的固態存儲區域還是動態存儲區域。本發明通過軟體和硬體結合的方式,有效提高硬體加密安全手機的存儲效率,對有限的硬體存儲空間進行最大的程度使用,從而實現將有限的存儲空間應用到「無限的」安全應用上去,有效保證數據的存儲安全。
[012][發明公布] 可信執行環境TEE初始化方法及設備
摘要:本發明實施例公開了一種可信執行環境TEE初始化方法及設備,所述方法包括:第一設備從可信管理服務TSM平台接收TSM隨機數;其中,至少部分所述TSM隨機數是基於所述第一設備內通用引導架構GBA模塊向TSM平台發送的信息生成的;從第二設備的TEE模塊接收TEE隨機數;基於所述TSM隨機數和所述TEE隨機數判斷是否滿足TEE初始化條件;當滿足所述TEE初始化條件時,所述第一設備作為TSM平台與第二設備的中間節點傳輸初始化所述第二設備內的TEE模塊的信息。
[013][發明公布] 一種用於智能操作系統的數字版權管理(DRM)方法和系統
摘要:一種用於智能操作系統的數字版權管理(DRM)方法,包括:獲取待播放的媒體數據的播放列表和加密的媒體數據,對在操作系統中註冊的一個或多個DRM應用模塊進行查詢並獲取,DRM應用模塊包含可信應用模塊的標識;DRM應用模塊向DRM服務端請求DRM授權,從而判斷內容許可權並獲取加密的內容密鑰ECEK,並傳送給TEE;在判斷內容許可權合法後,將加密的媒體數據存儲到共享緩存區域;解密可信應用模塊標識相對應的TEE中的可信應用模塊獲取加密的內容密鑰ECEK獲取內容密鑰CEK,並使用CEK解密將共享緩存區中存儲的加密的媒體數據;將解密的媒體數據存儲在一安全緩存區中,以供解碼並輸出。
[014][發明公布] 一種TEE系統與REE系統配合以實現服務的方法及終端設備
摘要:本發明實施例中公開了TEE系統與REE系統配合以實現服務的方法及一種終端設備。該方法包括:當TEE系統需要REE系統對其上所運行的第一可信應用TA的服務支持時,TEE系統控制用於運行所述第一可信應用程序TA的虛擬機暫停,並保存所述虛擬機的當前狀態信息;TEE系統向REE系統發送第一可信應用TA的服務支持請求,REE系統接收服務支持請求並處理,將處理結果發回到TEE系統;TEE系統接收處理結果,根據所保存的虛擬機的當前設備狀態信息,恢復虛擬機的運行,並根據收到的處理結果繼續執行可信應用的後續程序。通過該方案,TEE系統需要REE系統提供服務支持時,可以不再依賴REE側的Listener程序,降低了REE的改造難度,且應用開發者在開發上層應用時,無需關心TEE系統服務的實現細節。
[015][發明公布] 一種支持數字版權管理(DRM)的媒體網關/終端實現方法及其設備
摘要:一種支持數字版權管理(DRM)的媒體網關實現方法,媒體網關包括可信執行環境(TEE)和設置在其中的可信應用,接收從終端發送的頻道節目標識,獲取相應的節目數據碼流;獲取節目參數,所述節目參數中包括該頻道節目的videoPid、audioPid、casId、ecmPid、emmPid;利用與所述casId相匹配的解析機制對所述ecmPid、emmPid進行解析,從而獲得加密層級密鑰EK1、EK2和加密控制字ECW;利用所述EK1、EK2、ECW和該頻道節目的videoPid、audioPid對加擾的節目數據碼流進行解擾;由可信執行環境中的可信應用產生內容密鑰CEK,並利用CEK加密所述解擾的節目數據,並發送給終端;從終端獲取加密CEK所使用的公鑰,並由可信執行環境中的可信應用利用公鑰加密所述CEK從而獲得加密的內容密鑰ECEK,並發送給終端。
[016][發明公布]一種數據處理的方法及終端
摘要:本發明實施例公開了一種數據處理的方法及終端,用於保護用戶的信息以及財產安全。本發明實施例方法包括:終端在可信執行環境TEE中,檢測預設的功能指令,其中,所述TEE運行於所述終端的協處理器上;當檢測到所述預設的功能指令時,控制與所述功能指令對應的功能模塊啟動;控制所述協處理器對所述功能模塊採集的數據進行處理,以完成相應的功能。本實施例中,由於TEE運行在協處理器上,操作系統OS運行在主處理器上,TEE運行環境與OS的運行環境硬體隔離,黑客在OS中難以向TEE發起攻擊和尋找安全漏洞,保護了用戶的信息以及財產安全。
[017][發明公布] 基於內存遍歷的可信執行環境隔離性檢測方法及裝置
摘要:本發明提供了一種基於內存遍歷的可信執行環境隔離性檢測方法及裝置,該可信執行環境隔離性檢測方法包括:將可信應用的特徵載入至可信執行環境的內存中;從富執行環境的操作系統中讀取內存信息;根據所述可信應用的特徵對所述內存信息進行動態掃描,生成動態掃描結果。利用本發明,可以有效的檢測TEE隔離性,為信息安全提供保障。
[018][發明公布] 可信執行環境安全認證方法和裝置及設備
摘要:本申請公開了一種可信執行環境安全認證方法和裝置及設備。所述方法包括:接收來自外部訪問模塊的訪問請求,所述訪問請求中包含訪問操作內容;獲取外部訪問模塊的標識;將獲取的外部訪問模塊的標識發送給認證中心進行外部訪問模塊的身份認證;如身份認證通過,從訪問操作內容中判斷訪問類型;將所述訪問類型發送給認證中心進行外部訪問模塊的許可權認證;如許可權認證通過,允許執行所述訪問操作內容。本申請提出了一種更靈活的TEE安全認證方法,能夠符合目前計算機發展多樣化的信息認證需求。
[019][發明公布] 一種基於TEE技術和可穿戴設備的私密通話系統和方法
摘要:本發明涉及一種基於TEE技術和可穿戴設備的私密通話系統和方法,所述系統包括兩個移動終端、與所述兩個移動終端分別關聯的兩個可穿戴設備、後台系統、及設備管理系統;上述兩個可穿戴設備產生並存儲密鑰,對所述兩個移動終端之間的通信進行加密和解密;上述後台系統對上述通信提供安全認證和會話密鑰管理;上述設備管理系統管理可穿戴設備的發行和狀態。使用本發明的技術方案,保證了通話內容的保密性和安全性,保護了用戶的隱私數據,並且由於可穿戴設備已經較為普及,使用攜帶便捷,從而可以獲得廣泛應用和巨大社會效益。
[020][發明公布] 一種基於TEE和可穿戴設備的手機網銀Key方法及系統
摘要:本發明涉及一種基於TEE和可穿戴設備的手機網銀Key方法及系統。本發明所述的方法包括以下步驟:(1)應用預置,在可穿戴設備上預裝cos操作系統、Key Applet及證書下裝根證書,在手機終端進行可信執行環境TEE的預置及預裝銀行手機銀行應用APP;(2)證書生成,證書下裝模塊向銀行伺服器端的銀行證書中心CA提交證書請求,銀行證書中心CA根據證書下裝模塊提交的證書請求,實時生成證書;(3)證書下發,證書下裝模塊通過手機終端將銀行證書中心CA生成的證書下載並安裝到可穿戴設備上。採用本發明所述的方法和系統,用戶可以把Key應用和證書下載到可穿戴設備,使可穿戴設備成為一個物理的Key。
[021][發明公布] 移動終端和基於該移動終端的嵌入式安全模塊的訪問方法
摘要:本發明公開了一種移動終端和基於該移動終端的嵌入式安全模塊訪問方法,屬於安全通信技術領域。所述移動終端中具備可信運行環境模塊TEE,移動終端中內置有嵌入式安全模塊eSE,所述可信運行環境模塊TEE通過SPI介面與嵌入式安全模塊eSE通信,可信運行環境模塊TEE為SPI通信的主設備,嵌入式安全模塊eSE為從設備。本發明所提供的移動終端和基於該移動終端的嵌入式安全模塊eSE的訪問方法,實現了一種新的在可信運行環境模塊TEE下通過SPI介面訪問嵌入式安全模塊eSE的方案,通過該方案為移動安全支付領域的應用提供了更多的選擇。
[022][發明公布] 一種防止移動終端解鎖的方法及系統
摘要:本發明公開一種防止移動終端解鎖的方法及系統,方法包括步驟:A、將用戶預先輸入的指紋數據傳遞到TEE TA進行加密,然後寫入到RMPB 存儲區域;B、當需要解鎖時,接收用戶當前輸入的指紋數據,並獲取存儲在RPMB存儲區域中的指紋數據並進行解密,將當前輸入的指紋數據與解密後的指紋數據進行比對,根據比對結果判斷是否解鎖。本發明將用戶的指紋數據預先加密然後寫入到RMPB 存儲區域,這樣即使他人撿到用戶手機,也無法竊取用戶重要信息,提高了移動終端的設備安全性。
[023][發明公布] 實現主機卡模擬的方法、終端、數據路由方法及裝置
摘要:本發明實施例提供一種實現主機卡模擬的方法及裝置,本發明中終端根據HCE應用的類型,將所述HCE應用安裝至與所述HCE應用的類型對應的終端環境中,終端環境包括可信執行環境TEE和富執行環境REE;終端解析所述HCE應用的第一標識和所述HCE應用中包含的至少一個第二標識,第一標識用於在終端中唯一標識所述HCE應用,第二標識用於標識讀卡設備與所述HCE應用之間的消息流;終端將所述HCE應用的路由信息註冊到TEE中,路由信息包括第一標識、至少一個第二標識以及HCE應用安裝的終端環境。通過本發明能夠在終端上實現支持TEE和REE兩種不同安全級別的HCE應用。
[024][發明公布] 事件上報方法及裝置
摘要:本發明公開了一種事件上報方法及裝置,屬於通信技術領域。所述方法包括:可信應用TA接收可信執行環境TEE發送的檢測指示,檢測指示由TEE在監測到預設事件後發送,預設事件是根據目標對象提供的檢測異常事件的需求所設定的事件,目標對象為目標客戶應用CA或通信處理器CP;TA根據檢測指示檢測是否存在異常事件;若存在異常事件,則TA將異常事件的相關信息發送給目標對象,以使得目標對象根據異常事件的相關信息處理異常事件。本發明通過TA在檢測到存在異常事件的情況下,主動將異常事件的相關信息發送給目標對象,解決了現有方案中異常事件上報不及時的問題,提高了TA向CA或CP上報異常事件的及時性。
[025][發明公布] 一種安全的移動終端電子認證方法及系統
摘要:本發明提出了一種安全的移動終端電子認證方法及系統,包括內置於移動終端的能夠存儲密鑰的安全單元(SE)以及內置於移動終端中的可信執行環境(TEE),所述安全單元(SE)中設置有可運行於其中的安全應用程序applet,可產生公私鑰對,進行電子簽名,私鑰存儲在安全單元(SE)不可被導出或複製。所述可信執行環境(TEE)中設置有安全回顯可信應用程序(TA),可讓用戶人工確認交易的正確性,無法被富執行環境(REE)中的木馬攻擊。本發明大量減少了另外需要生產硬體設備帶來的成本高和用戶使用攜帶不方便的問題,有利於節能減排,節約社會資源。
[026][發明公布] 一種針對可信執行環境的密鑰寫入裝置、系統及方法
摘要:本發明涉及計算機技術領域,尤其涉及一種針對可信執行環境TEE的密鑰寫入裝置、系統及方法,用以解決針對TEE的密鑰寫入方式限制了用戶終端的應用的問題。本發明實施例提供的針對TEE的密鑰寫入裝置包括:REE模塊,用於接收TEE管理服務平台的TEE初始化觸髮指令,並觸發GBA模塊啟動與BSF平台的協商流程;GBA模塊,用於與BSF平台協商生成GBA根密鑰,並基於GBA根密鑰生成GBA子密鑰,將GBA子密鑰傳輸給TEE模塊;TEE模塊,用於基於預置的TEE私鑰和TEE證書,以及GBA模塊生成的GBA子密鑰,與TEE管理服務平台進行雙向認證,並在認證通過後,在安全域中寫入TEE管理服務平台的管理密鑰。
[027][發明公布] 包含受信執行環境的主機的證明
摘要:證明服務驗證從主機接收到的指示,該指示涉及主機包含受信執行環境(TEE)。在成功驗證之際,證明服務發放一證書,該證書能夠被主機用來向與證明服務具有信任關係的實體進行認證。
[028][發明公布] 可信執行環境的動態配置
摘要:提供了用於動態的可信執行環境(TEE)硬體配置的系統和方法。接收包括密鑰更新信息的密鑰更新消息,並且驗證針對移動計算裝置的TEE中所存儲的密鑰的該密鑰更新消息。所存儲的密鑰可以限定對移動計算裝置的硬體資源的訪問。可以基於該密鑰更新信息來改變針對TEE中所存儲的密鑰的硬體配置。
[029][發明公布] 硬體配置報告系統
摘要:本文中公開了與硬體配置報告和仲裁有關的實施例。例如,一種用於硬體配置報告的裝置可以包括:具有受信任的執行環境(TEE)和不受信任的執行環境(非TEE)的處理設備;請求服務邏輯,其存儲在存儲器中,用以在TEE內操作以從仲裁器邏輯接收請求的指示,其中所述請求表示硬體配置寄存器;以及報告邏輯,其存儲在存儲器中,用以在TEE內操作並且向仲裁器邏輯報告由所述請求所表示的硬體配置寄存器的值的指示符。可以公開和/或要求保護其它實施例。
[030][發明公布] 一種UMTS移動終端電路域語音加密通信技術實現方法
摘要:本發明公開了一種UMTS移動終端電路域語音加密通信技術實現方法,該UMTS移動終端電路域語音加密通信技術實現方法具體步驟如下:S1系統硬體架構設計、S2系統軟體架構設計、S3協議信令層面實現、S4網路模式控制實現、S5語音加密通信流程實現、S6終端密話主叫流程、S7終端被叫流程。本設計控制層面和數據層面都在語音信道帶內承載,密鑰協商及語音幀加解密邏輯都在TPM硬體單元及TEE執行環境下完成,確保了密鑰、演算法及系統執行環境的安全,從而確保語音通信從信源存儲、處理及傳輸的安全,確保了語音流在空口中繼傳輸中不做任何語音編解碼轉換,也保證了語音音質。
[031][發明公布] 一種可信執行環境的身份驗證方法、裝置及終端
摘要:本發明提供一種可信執行環境的身份驗證方法、裝置及終端,該可信執行環境的身份驗證方法包括:獲取用於唯一標識終端普通執行環境中的應用身份的標識;獲取終端可信執行環境TEE中的身份驗證規則;若所述標識在終端可信執行環境TEE中的身份驗證規則中,確定所述終端普通執行環境中的應用合法;產生允許所述終端普通執行環境中的應用訪問終端可信應用TA的指令,使所述應用根據所述指令訪問所述可信應用TA。該方法可達到允許普通執行環境中經授權的應用通過Client API訪問TA,防止未授權的普通執行環境中應用濫用Client API,破壞TA正確邏輯的目的,且不需要在普通執行環境的應用中增加額外邏輯,就可實現身份驗證;不需要在TA中增加額外邏輯,就可實現身份驗證。
[032][發明公布] 一種安全通信的方法、裝置、終端及客戶識別模塊卡
摘要:本發明提供一種安全通信的方法、裝置、終端及客戶識別模塊卡,其中所述安全通信的方法包括:向所述SIM卡發送驗證SIM卡證書的請求消息,其中所述SIM卡證書為預先簽發的證明SIM卡身份安全的證書信息;接收並驗證由所述SIM卡針對所述請求消息返回的所述SIM卡證書;在所述SIM卡證書驗證通過後,向所述SIM卡發送TEE證書,其中所述TEE證書為預先簽發的證明TEE身份安全的證書信息;接收由所述SIM卡針對所述TEE證書返回的驗證通過的指示消息,並與所述SIM卡協商會話密鑰,建立與所述SIM卡的安全通道;通過所述安全通道,與所述SIM卡進行安全通信。
[033][發明公布] 用於在TEE中的智能卡的文件的管理方法及管理系統
摘要:本發明公開了用於在TEE中的智能卡的文件的管理方法及管理系統,用於增強不同安全文件之間的邏輯性。其中,智能卡的文件的管理方法包括在TEE的內存中創建文件結構和在TEE的磁碟中創建安全文件。在TEE的智能卡的內存中創建文件結構包括:創建樹形結構的根目錄,獲取根目錄的節點,確定根目錄的節點值;在根目錄下創建一次文件,獲取一次文件的節點,確定一次文件的節點值。在TEE的智能卡的磁碟中創建安全文件包括:創建與該一次文件對應的一次安全文件,一次安全文件的一次安全文件唯一標識與該一次文件的節點值相同。本發明用於管理智能卡中的文件。
[034][發明公布] 一種TA和SE的交互方法、TA、SE及TSM平台
摘要:本發明公開了一種TA和SE的交互方法、TA、SE及TSM平台,涉及通信技術領域,用於提高對全終端SIM盾進行處理的過程中的安全性。該交互方法包括:TA將存儲於TEE中的敏感數據編譯成第一APDU指令;SE對接收到的第一APDU指令進行解析;SE對解析得到的敏感數據進行處理;SE對處理後的敏感數據進行加密;SE將加密後的敏感數據編譯成第二APDU指令;TA對接收到的第二APDU指令進行解析;TSM平台對接收到的加密後的敏感數據進行解析。本發明用於對全終端SIM盾的處理。
[035][發明公布] 一種通用TA支付平台和支付方法
摘要:本發明公開了一種通用TA支付平台和支付方法,涉及移動支付技術領域,解決了現有技術中TA的開發難度和開發成本高的技術問題。該通用TA支付平台包括:通信模塊、存儲模塊和安全用戶交互模塊;其中,通信模塊用於與TA進行通信,在TA和通用TA支付平台之間建立數據和指令傳輸的通道;存儲模塊中封裝有基於標準GP TEE規範的TEE OS提供的標準介面,且用於提供多個安全存儲空間,不同的安全存儲空間用於封裝不同的TEE OS的文件和對象操作;安全用戶交互模塊中封裝有基於標準GP TEE規範的TEE OS提供的標準介面,且用於實現TA與用戶之間的交互。本發明用於進行移動支付。
[036][發明公布] 利用移動設備進行支付的方法和裝置
摘要:一種利用移動設備進行支付的方法和裝置。方法包括:將Java Card底層類庫移植到該移動設備的可信執行環境TEE下,以及在該移動設備的可信執行環境TEE中運行用於支付目的的Java Card應用程序。
[037][發明公布] 對於數據即服務(DaaS)的內容保護
摘要:本發明涉及對於「數據即服務(DaaS)」的內容保護。設備可以通過DaaS,從內容提供器那裡接收經加密的數據,所述經加密的數據至少包括用於在設備上呈現的內容。例如,內容提供器可以使用受信任的執行環境(TEE)模塊中的安全多路復用轉換(SMT)模塊來從內容和數字許可權管理(DRM)數據,生成已編碼的數據,並從已編碼的數據,生成經加密的數據。設備也可以包括TEE模塊,其中包括安全多路分解轉換(SDT)模塊,用於從經加密的數據,解密已編碼的數據,並從已編碼的數據,解碼內容以及DRM數據。SMT和SDT模塊可以通過安全通信會話進行交互,以驗證安全性、分發解密密鑰,等等。在一個實施例中,信任代理可以執行TEE模塊驗證和密鑰分發。
[038][發明公布] 移動支付風險控制系統以及移動支付風險控制方法
摘要:本發明涉及移動支付風險控制方法以及移動支付風險控制系統。該方法包括下述步驟:身份識別步驟,根據支付請求對發起支付的用戶身份進行識別,身份識別結果為成功的情況下繼續後續步驟,在身份識別結果為失敗的情況下結束交易;風險控制步驟,在身份識別結果為成功的情況下,在TEE環境中進行風險控制並輸出風險判斷結果;以及支付執行步驟,根據所述身份識別結果和所述風險判斷結果執行或者拒絕執行支付請求。根據本發明,通過採用可信時間和可信位置等安全信息的組合,能夠對交易風險進行預判定,提高交易的安全性。
[039][發明公布] 一種數據處理方法
摘要:本發明實施例公開了一種數據處理方法。本發明實施例方法包括:移動終端讀取加密數據,所述加密數據是對敏感數據進行加密得到的;所述移動終端對所述加密數據進行解密得到目標數據;若所述目標數據與所述敏感數據不相符,則所述移動終端確定所述目標數據為非法數據;若所述目標數據與所述敏感數據相符,則在可信執行環境TEE中,通過可信用戶界面TUI顯示所述目標數據。
[040][發明公布] 一種用於可信應用安全認證的系統和方法
摘要:本發明提出一種用於可信應用安全認證的系統和方法,涉及移動設備安全技術領域,用於提高用戶數據的安全性。該系統包括客戶應用、安全管理器、TEE客戶端API介面和可信應用,其中客戶應用在富執行環境下運行,並處理客戶應用中與安全無關的進程和/或數據,當運行到與安全相關的進程和/或數據時,向安全管理器提出TEE客戶端API介面的調用請求;安全管理器監控客戶應用的授權狀態,並根據授權狀態的不同對客戶應用提出的TEE客戶端API介面的調用請求進行分級授權;可信應用在可信執行環境下運行,在對客戶應用進行安全認證後,處理客戶應用請求中的與安全相關的進程和/或數據。本發明用於提高用戶數據的安全性。
[041][發明公布] 一種安全應用TA交互的方法及裝置
摘要:本發明公開了一種安全應用TA交互的方法及裝置,該方法包括:可信執行環境TEE中的第一TA在執行數據處理請求過程中,生成關於所述TEE中第二TA的第一應用交互數據;所述第一TA向通用執行環境REE發送關於第二TA的應用運行請求後停止運行;所述第二TA接收所述REE轉發的所述關於第二TA的應用運行請求後運行所述第二TA;所述第二TA獲取所述第一應用交互數據,並根據獲取的所述第一應用交互數據,生成關於所述第二TA的結果數據,用以解決現有技術中TA之間的交互方法,在TEE內部頻繁發生進程切換,造成TEE系統存在安全隱患的問題。
[042][發明公布] 令牌產生方法以及基於該令牌產生方法的通信系統
摘要:本發明涉及令牌產生方法以及基於該令牌產生方法的通信系統。該令牌產生方法包括下述步驟:令牌計算髮起步驟,由應用客戶端發起令牌計算並調用可信應用,其中,應用客戶端提供客戶端信息;可信應用附加信息獲取步驟,可信應用在TEE環境中獲取可信附加信息;以及令牌計算產生步驟,運行於安全單元中的應用根據所述客戶端信息和所述可信附加信息實施令牌計算並獲得令牌。根據本發明能夠生成安全性更高的令牌,能夠提高利用令牌進行的數據交互的安全性。
[043][發明公布] 一種獲取虛擬用戶身份的方法及裝置
摘要:本發明涉及一種獲取虛擬用戶身份的方法及裝置,涉及通信技術領域。其中,獲取方法包括生成步驟、請求步驟、獲取步驟及鑒權步驟。其中,生成步驟包括在TEE中生成公鑰與存儲在ESE中的私鑰;請求步驟包括向虛擬運營商伺服器發送下載號卡資源的請求及上傳公鑰;獲取步驟包括接收虛擬運營商伺服器基於上傳的公鑰進行加密的號卡資源,在TEE中基於存儲在ESE的私鑰對接收到的號卡資源進行解密,並將解密後的號卡資源存儲在ESE中;鑒權步驟包括在TEE中基於接收到的鑒權參數與存儲在ESE中的號卡資源對終端用戶的接入身份進行鑒權。有效確保號卡資源安全及獲取過程的安全性。
[044][發明公布] 一種TEE訪問控制方法以及實現該方法的移動終端
摘要:本發明涉及多媒體系統對安全操作系統的訪問控制方法以及實現該方法的移動終端。該方法包步驟:從多媒體系統的客戶端應用對安全操作系統發起用於選擇可信應用的應用訪問請求;判斷當前發起調用的客戶端應用是否為惡意應用,若不是惡意應用則繼續下述步驟,若是惡意應用,則向客戶端應用返回選擇失敗並中斷處理;將所述應用訪問請求從多媒體系統發送到安全操作系統;在安全操作系統根據所述應用訪問請求獲取可信應用並返回到多媒體系統。根據本發明能夠在不切換系統的情況下防止惡意應用對安全操作系統中可信應用發起的惡意訪問,能夠避免惡意訪問造成的可信應用不可訪問的問題。
[045][發明公布] 一種網銀交易系統
[046][發明公布] 一種網銀交易方法
[047][發明公布] 一種網銀交易方法
[048][發明公布] 一種網銀交易系統
[049][發明公布] 數據保護方法
摘要:本申請涉及數據保護方法。其中,數據保護方法應用於移動設備,所述移動設備中預置可信執行環境TEE和客戶應用CA,所述可信執行環境TEE中包含可信應用TA,所述方法包括:客戶應用CA接收移動設備或第三方應用發送的待保護數據或待解密數據,並將所述待保護數據或待解密數據發送給可信應用TA;可信應用TA用在可信執行環境TEE的可信存儲中預存的密鑰對所述待保護數據進行加密或者對所述待解密數據進行解密,將加密或解密後的數據發送給客戶應用CA;客戶應用CA將所述加密或解密後的數據發送給對應的移動設備或第三方應用。本申請提高了移動設備和移動設備上的應用的數據的安全性。
[050][發明公布] 一種獲取虛擬用戶身份的方法及裝置
摘要:本發明涉及一種獲取虛擬用戶身份的方法及裝置,涉及通信技術領域。其中,獲取方法包括生成步驟、請求步驟、獲取步驟及鑒權步驟。其中,生成步驟包括在TEE中生成公鑰與存儲在該TEE中的私鑰;請求步驟包括向虛擬運營商伺服器發送下載號卡資源的請求及上傳生成步驟生成的公鑰;獲取步驟包括接收虛擬運營商伺服器基於上傳的公鑰進行加密的號卡資源,在TEE中基於存儲的私鑰對接收到的號卡資源進行解密,並將解密之後的號卡資源存儲在該TEE中;鑒權步驟包括在TEE中基於接收到的鑒權參數與存儲在該TEE中的號卡資源對終端用戶的接入身份進行鑒權。有效確保號卡資源安全及獲取過程的安全性。
[051][發明公布] 一種數據安全傳輸裝置及方法
摘要:本發明實施例公開了一種數據安全傳輸裝置及方法,涉及系統安全技術領域,用以提高該裝置的安全性。該數據安全傳輸裝置包括:專用通信信號處理器,用於嚮應用處理器發送第一安全中斷;應用處理器,用於運行富執行環境REE軟體,以及在第一安全中斷的觸發下運行可信執行環境TEE軟體,TEE軟體包括運行在TEE中的可信應用TA,且在TA的驅動下根據第一安全中斷在專用通信信號處理器與應用處理器的共享內存中獲取第一信息;專用通信信號處理器,還用於接收應用處理器發送的第二安全中斷,並根據第二安全中斷在共享內存中獲取第二信息;應用處理器,還用於在TA的驅動下向專用通信信號處理器發送第二安全中斷。
[052][發明公布] 經由本地化個人化的隱私實施
摘要:本公開案針對經由本地化個人化的隱私實施。示例設備可以至少包括用於呈現內容的用戶界面。消息可以被接收到位於設備內或位於遠程的受信執行環境(TEE)中,該消息至少包括元數據和內容。TEE可以基於該元數據和用戶數據來確定該內容與用戶的相關性。基於該相關性,TEE可以使內容經由用戶界面被呈現給用戶。在一實施例中,TEE可能能夠在呈現之前基於用戶數據來個人化該內容。如果該內容包括出價,則TEE也可能能夠基於與該內容的用戶交互來向用戶呈現還價。TEE也可能能夠使反饋數據被發射至至少該內容提供者。
[053][發明公布] 具有增強的隱私的安全的車輛數據管理
摘要:本公開涉及具有增強的隱私的安全的車輛數據管理。車輛可以包括用於控制此車輛的操作的至少一個車輛控制架構(VCA)以及設備。VCA可以記錄標識至少一個車輛操作員的操作數據以及在由所述至少一個車輛操作員對車輛的操作期間被記錄的車輛操作數據。設備可至少包括通信模塊和受信任的執行環境(TEE),所述TEE包括隱私實施模塊(PEM)。PEM可以經由通信模塊來從VCA接收操作數據,可以通過基於隱私設置過濾操作數據來生成經過濾的數據,並且可以使經過濾的數據經由通信模塊被傳輸。可以將經過濾的數據傳輸到至少一個數據消費方。可以由至少一個操作員在PEM中配置隱私設置。
[054][發明公布] 一種視頻水印處理的方法及裝置
摘要:本發明公開了一種視頻水印處理的方法,應用於視頻終端設備的處理器,處理器包括可信任的安全運行環境TEE,TEE中的N個水印標記電路用於分別接收N路視頻流,N為大於1的整數,針對N個水印標記電路中的一個水印標記電路,視頻水印處理的方法包括:一個水印標記電路接收N路視頻流中的一路視頻流,N路視頻流中的各路視頻流分別包含不同的水印策略,根據預先建立的水印策略與水印信息的對應關係,確定接收到的本路視頻流中水印策略所對應的水印信息;為本路視頻流打上本路視頻流對應的水印信息。本發明實施例還提供相應的視頻水印處理的方法,可以為不同的視頻流加入不同的水印信息,增加了水印信息的種類,提高了安全性。
[055][發明公布] 簡檔改變管理
摘要:公開了啟用至少兩個簡檔域之一的受信執行環境(TEE)。接收(816,1102)用於授權TEE應用請求啟用至少兩個簡檔域之一的TEE應用的授權令牌。檢查(818,1104)所述授權令牌的有效性。如果所述授權令牌有效,則存儲(820,1106)關於被授權請求啟用至少兩個簡檔域之一的TEE應用的信息。如果接收(822)請求授權的TEE應用請求(824,1108)啟用至少兩個簡檔域之一的命令,則啟用(826,1110)所述至少兩個簡檔域之一。TEE包括處理器和存儲器,該存儲器用於存儲包括當代碼在處理器中運行時用於執行該方法的計算機程序代碼的計算機程序。
[056][發明公布] 一種進行業務處理的方法、裝置和系統
摘要:本發明公開了一種進行業務處理的方法、裝置和系統,屬於計算機技術領域。所述方法包括:向業務伺服器發送業務執行請求;接收所述業務伺服器發送的攜帶有簽名信息的驗證通知;通過終端安全區域TEE系統,驗證當前輸入的生物特徵信息,如果所述生物特徵信息與預先存儲的基準生物特徵信息一致,則使用預先存儲的業務私鑰,對所述簽名信息進行簽名處理,得到第一待驗簽信息;向所述業務伺服器發送攜帶有所述第一待驗簽信息的驗證請求。採用本發明,可以增強安全性。
[057][發明公布] 一種提高TEE命令執行速度的方法和系統
摘要:本發明涉及一種提高TEE命令執行速度的方法和系統,屬於安全存儲技術領域。本發明所述方法包括以下步驟:(1)非安全應用傳入參數,安全應用保存所述參數;(2)安全應用根據已保存參數判斷完整保存標誌對象是否存在,如是,則轉到步驟(3),否則轉到步驟(4);(3)遍歷完整的Applet應用ID、SEID、證書文件索引對象,根據遍歷結果獲得證書緩存對象名,打開並讀取證書緩存內容,返回所述緩存內容給非安全應用,轉到步驟(5);(4)安全應用根據緩存策略進行證書內容緩存,緩存結束後,重複一次步驟(3);(5)調用過程結束。本發明在多會話下仍然可以提高讀取指令的執行速度,而且一個會話只能對本會話的緩存進行訪問。
[058][發明公布] 一種基於TEE和無線確認的FIDO認證器及系統及方法
摘要:本發明公開了一種基於TEE和無線確認的FIDO認證器及系統及方法。認證器包括在TEE中以TA的形式實現的主運算部件、用於輸入用戶確認信息的無線終端以及在智能終端中接收用戶確認信息的無線適配器。系統包括FIDO認證器、運行在REE中的認證客戶端和業務客戶端、業務伺服器和認證伺服器。方法包括步驟:在TEE中載入運行主運算部件,主運算部件接收認證客戶端發送的綁定/認證/交易請求等。本發明使用基於FIDO協議實現的認證方式來提高用戶體驗,可以免去輸入用戶名和密碼的過程;其次,在實現FIDO認證器的過程中運用TEE技術來提高安全性。本發明可廣泛應用於各種智能終端認證系統。
[059][發明公布] 在POS終端中執行的方法和POS終端
摘要:根據本發明的一個實施例,一種在POS終端中執行的方法可以包括:在REE操作系統中接收用戶關於業務的選擇;響應於該選擇,切換REE操作系統至TEE,在TEE中處理該業務;在安全模塊中執行該業務的與加解密相關的操作。其中,所述業務可以是支付業務。所述安全模塊可以存儲與該業務相關的密鑰和密鑰演算法。
[060][發明公布] 基於NFC的通信方法和裝置
摘要:本發明涉及基於NFC的通信方法和裝置,並且尤其涉及在SE內的基於NFC的通信方法和裝置、在智能終端內的基於NFC的通信方法、安全單元和智能終端。本發明提出一種新的與NFC設備的連接方式來達到讓TEE應用使用NFC能力的目的。
敬請關註:
點擊展開全文
TAG:安智客 |