CN104125226B - 一种锁定和解锁应用的方法、装置及*** - Google Patents
一种锁定和解锁应用的方法、装置及*** Download PDFInfo
- Publication number
- CN104125226B CN104125226B CN201410364862.2A CN201410364862A CN104125226B CN 104125226 B CN104125226 B CN 104125226B CN 201410364862 A CN201410364862 A CN 201410364862A CN 104125226 B CN104125226 B CN 104125226B
- Authority
- CN
- China
- Prior art keywords
- request instruction
- operational order
- authorization information
- isd
- locking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Lock And Its Accessories (AREA)
- Telephone Function (AREA)
Abstract
本发明提供一种锁定和解锁应用的方法、装置及***,可信服务管理TSM平台接收请求指令,采用双向认证的方法通过可信执行环境TEE代理与主安全域ISD建立安全通道;根据所述请求指令生成操作授权信息以及操作指令,通过所述安全通道将所述操作授权信息以及操作指令通过所述安全通道发送至ISD,ISD接收所述操作授权信息以及操作指令,验证所述操作授权信息是否正确,当所述操作授权信息正确时,执行所述操作指令。利用本发明所提供的方法,可以锁定或解锁所指定的应用软件,锁定后的应用软件不能***作,避免移动终端外借或丢失时,应用软件被使用所造成的信息泄露或财产损失,提高移动终端中所安装的应用软件的安全性。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种锁定和解锁应用的方法、装置及***。
背景技术
目前,Android***以其兼容性好,开放性高逐渐成为移动终端常用的操作***之一。通常情况下,Android***,特别是root后的Android***,用户可以在以其为操作***的移动终端上随意安装或卸载各种各样的应用软件。例如:游戏软件、银行客户端软件、聊天软件以及购物软件等。用户可以通过安装在移动终端上的应用软件,方便的进行娱乐,转账,聊天或者购物等活动。
在生活中,用户时常遇到移动终端外借他人或者丢失等情况。当移动终端被其他人使用时,用户的一些私密信息(如银行客户端信息,聊天记录等)就会被其他人看到。或者将移动终端给他人使用时,应用软件会被其他人不小心删除或损坏,导致应用软件中的信息丢失。尤其是当移动终端丢失时,还有可能会被其他人非法使用移动终端安装的银行客户端等应用软件,给用户的财产带来巨大的损失。
发明内容
本发明解决的技术问题在于提供一种锁定和解锁应用的方法、装置及***,从而用户能够根据实际需要对指定的应用软件执行锁定和解锁,避免移动终端借出或丢失时,应用软件被使用所造成的信息泄露或财产损失。
为此,本发明解决技术问题的技术方案是:
一种锁定和解锁应用的方法,应用于可信服务管理TSM平台,所述方法包括:
接收请求指令,所述请求指令包括用于请求锁定指定应用软件的锁定请求指令或用于请求解锁指定应用软件的解锁请求指令;
采用双向认证的方法通过可信执行环境TEE代理与主安全域ISD建立安全通道;
根据所述请求指令生成操作授权信息以及操作指令,所述操作指令与所述请求指令对应,当所述请求指令为锁定请求指令时,所述操作指令为锁定操作指令,当所述请求指令为解锁请求指令时,所述操作指令为解锁操作指令;
通过所述安全通道将所述操作授权信息以及操作指令通过所述安全通道发送至ISD,以便所述ISD接收所述操作授权信息以及操作指令,验证所述操作授权信息是否正确,当所述操作授权信息正确时,执行所述操作指令。
可选的,所述接收请求指令为:
接收所述ISD通过所述TEE代理发送的请求指令,所述请求指令为可信应用商店根据用户的操作生成并发送至所述ISD。
可选的,所述接收请求指令为:
接收根据TSM平台工作人员的操作生成的请求指令。
可选的,所述根据所述请求指令生成操作授权信息包括:
生成公私钥对;
根据所述请求指令中所携带的客户应用CA标识、可信应用TA标识、TEE标识以及所述ISD标识作为签名对象,利用所述私钥生成授权证书,将所述公钥以及授权证书作为操作授权信息。
可选的,所述双向认证的方法包括:
SCP02、SCP10或SSL。
一种锁定和解锁应用的方法,应用于主安全域ISD,所述方法包括:
接收可信服务管理TSM平台通过安全通道发送的操作授权信息以及操作指令,所述操作授权信息以及操作指令是由TSM平台接收请求指令,根据所述请求指令生成的,所述操作指令与所述请求指令对应,当所述请求指令为锁定请求指令时,所述操作指令为锁定操作指令,当所述请求指令为解锁请求指令时,所述操作指令为解锁操作指令;
验证所述操作授权信息是否正确;
当所述操作授权信息正确时,执行所述操作指令。
可选的,所述方法还包括:
接收可信应用商店根据用户的操作生成的请求指令,所述请求指令包括用于请求锁定指定应用软件的锁定请求指令或用于请求解锁指定应用软件的解锁请求指令;
将所述请求指令通过可信执行环境TEE代理发送至TSM平台。
可选的,所述验证所述操作授权信息是否正确包括:
获取预置的所述TSM平台的根证书;
根据所述根证书验证所述操作授权信息中公钥是否合法;
当所述公钥合法时,利用所述公钥解析所述操作授权信息中的授权证书获得CA标识、TA标识、TEE标识以及ISD标识;
验证所述CA标识、TA标识、TEE标识以及ISD标识是否正确,如果是,所述操作授权信息正确。
一种锁定和解锁应用的授权装置,应用于可信服务管理TSM平台,所述装置包括:
第一接收单元,用于接收请求指令,所述请求指令包括用于请求锁定指定应用软件的锁定请求指令或用于请求解锁指定应用软件的解锁请求指令;
建立单元,用于采用双向认证的方法通过可信执行环境TEE代理与主安全域ISD建立安全通道;
生成单元,用于根据所述请求指令生成操作授权信息以及操作指令,所述操作指令与所述请求指令对应,当所述请求指令为锁定请求指令时,所述操作指令为锁定操作指令,当所述请求指令为解锁请求指令时,所述操作指令为解锁操作指令;
第一发送单元,用于通过所述安全通道将所述操作授权信息以及操作指令通过所述安全通道发送至ISD,以便所述ISD接收所述操作授权信息以及操作指令,验证所述操作授权信息是否正确,当所述操作授权信息正确时,执行所述操作指令。
可选的,所述第一接收单元为:
第一接收子单元,用于接收所述ISD通过所述TEE代理发送的请求指令,所述请求指令为可信应用商店根据用户的操作生成并发送至所述ISD。
可选的,所述第一接收单元为:
第二接收子单元,接收根据TSM平台工作人员的操作生成的请求指令。
可选的,所述生成单元包括:
密钥生成子单元,用于生成公私钥对;
证书生成子单元,用于根据所述请求指令中所携带的客户应用CA标识、可信应用TA标识、TEE标识以及所述ISD标识作为签名对象,利用所述私钥生成授权证书,将所述公钥以及授权证书作为操作授权信息。
一种锁定和解锁应用的执行装置,应用于主安全域ISD,所述装置包括:
第二接收单元,用于接收可信服务管理TSM平台通过安全通道发送的操作授权信息以及操作指令,所述操作授权信息以及操作指令是由TSM平台接收请求指令,根据所述请求指令生成的,所述操作指令与所述请求指令对应,当所述请求指令为锁定请求指令时,所述操作指令为锁定操作指令,当所述请求指令为解锁请求指令时,所述操作指令为解锁操作指令;
验证单元,用于验证所述操作授权信息是否正确;
执行单元,用于当所述操作授权信息正确时,执行所述操作指令。
可选的,所述装置还包括:
第三接收单元,用于接收可信应用商店根据用户的操作生成的请求指令,所述请求指令包括用于请求锁定指定应用软件的锁定请求指令或用于请求解锁指定应用软件的解锁请求指令;
第二发送单元,用于将所述请求指令通过可信执行环境TEE代理发送至TSM平台。
可选的,所述验证单元包括:
获取子单元,用于获取预置的所述TSM平台的根证书;
第一验证子单元,根据所述根证书验证所述操作授权信息中公钥是否合法;
解析子单元,用于当所述公钥合法时,利用所述公钥解析所述操作授权信息中的授权证书获得CA标识、TA标识、TEE标识以及ISD标识;
第二验证子单元,用于验证所述CA标识、TA标识、TEE标识以及ISD标识是否正确,如果是,所述操作授权信息正确。
一种锁定和解锁应用的***,所述***包括:
本发明所述的锁定和解锁应用的授权装置以及本发明所述的锁定和解锁应用的执行装置。
通过上述技术方案可知,本发明有如下有益效果:
本发明提供一种锁定和解锁应用的方法、装置及***,可信服务管理TSM平台接收请求指令,所述请求指令包括用于请求锁定指定应用软件的锁定请求指令或用于请求解锁指定应用软件的解锁请求指令,采用双向认证的方法通过可信执行环境TEE代理与主安全域ISD建立安全通道;根据所述请求指令生成操作授权信息以及操作指令,通过所述安全通道将所述操作授权信息以及操作指令通过所述安全通道发送至ISD,ISD接收所述操作授权信息以及操作指令,验证所述操作授权信息是否正确,当所述操作授权信息正确时,执行所述操作指令。利用本发明所提供的方法,可以锁定或解锁所指定的应用软件,锁定后的应用软件不能***作,避免移动终端外借或丢失时,应用软件被使用所造成的信息泄露或财产损失,提高移动终端中所安装的应用软件的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种锁定和解锁应用的方法实施例一流程图;
图2为本发明一种锁定和解锁应用的方法实施例二流程图;
图3为本发明一种锁定应用的方法第一场景实施例三时序图;
图4为本发明一种锁定应用的方法第二场景实施例四时序图;
图5为本发明一种锁定和解锁应用的授权装置实施例五结构示意图;
图6为本发明一种锁定和解锁应用的执行装置实施例六结构示意图;
图7为本发明一种锁定和解锁应用的***实施例七结构示意图。
具体实施方式
本发明公开了一种锁定和解锁应用的方法、装置及***,可以锁定或解锁所指定的应用软件,锁定后的应用软件不能***作,提高移动终端中所安装的应用软件的安全性。
下面结合附图对本发明具体实施例进行详细说明。
在下述实施例中,请求指令包括用于请求锁定指定应用软件的锁定请求指令或用于请求解锁指定应用软件的解锁请求指令,而操作指令则是与请求指令相对应的指令,当所述请求指令为锁定请求指令时,所述操作指令为锁定操作指令,当所述请求指令为解锁请求指令时,所述操作指令为解锁操作指令。为了描述简便,实施例中采用请求指令和操作指令进行统一描述,不再将锁定和解锁过程分开进行论述。
实施例一
图1为本发明一种锁定和解锁应用的方法实施例一流程图,应用于可信服务管理TSM平台,实施例一主要是对锁定和解锁的授权进行描述,所述方法包括:
步骤101:接收请求指令,所述请求指令包括用于请求锁定指定应用软件的锁定请求指令或用于请求解锁指定应用软件的解锁请求指令。
TSM平台所接收的请求指令,可以是用于锁定一个或全部应用软件的锁定请求指令,也可以是用于解锁一个或全部应用软件的解锁请求指令。例如,当把移动终端外借给别人使用时,可以仅选择将具有隐私信息的几个应用软件进行锁定,当移动终端拿回来后,再将被锁定的几个应用软件进行解锁。当移动终端丢失时,为了防止别人使用任何一个应用软件,可以选择一次性锁定所有应用软件,当移动终端找回后,再将所有应用软件进行解锁。
一般情况下,在锁定和解锁应用软件时,要么一次性锁定全部应用软件,要么一次仅锁定一个应用软件。当需要锁定所有应用软件中的某几个应用软件时,需要对需要锁定的几个应用软件逐一进行锁定。
可信服务管理平台(Trusted Service Management,TSM)在接收请求指令时,有两种可能的实施方式:
第一种可能的实施方式:
接收所述ISD通过所述TEE代理发送的请求指令,所述请求指令为可信应用商店根据用户的操作生成并发送至所述ISD。
用户可以打开可信应用商店,所述可信应用商店中有移动终端安装的所有应用软件的图标,用户通过点击应用软件的图标上所提供的锁定或解锁的操作按钮。可信应用商店接收到用户的点击操作后,向主安全域(Issue Security Domain,ISD)发送锁定请求指令或解锁请求指令。所述ISD将所述锁定请求指令或解锁请求指令通过可信执行环境(Trusted Execution Environment,TEE)代理发送至所述TSM。这里需要说明的是,ISD与TSM之间的所有通信信息,都通过TEE代理转发。
第二种可能的实施方式:
接收根据TSM平台工作人员的操作生成的请求指令。
当用户的移动终端丢失时,用户可以通过电话或网络申请等方式向TSM平台上的工作人员申请锁定或解锁移动终端中的应用软件。TSM平台的工作人员对用户的身份进行验证后,在TSM平台上进行操作,发送对用户的移动终端中的一个或全部应用软件的锁定请求指令或解锁请求指令。
步骤102:采用双向认证的方法通过可信执行环境TEE代理与主安全域ISD建立安全通道。
TSM平台接收到请求指令(锁定请求指令或解锁请求指令)后,通过TEE代理与ISD建立安全通道。所述双向认证的方法包括:SCP02、SCP10以及SSL等方法。
以SCP02为例对建立安全通道的过程进行描述:
TSM平台生成主机挑战值,将所述主机挑战值通过TEE代理发送至ISD,初始化安全通道。ISD接收到主机挑战值后,生成卡片挑战值,并利用序列计数器和静态密钥创建第一安全会话密钥,利用所述第一安全会话密钥生成卡片密文。ISD将所述卡片密文、卡片挑战值、序列计数器以及安全通道协议标识通过TEE代理返回至TSM平台。
TSM平台利用序列计数器和静态密钥创建第一安全会话密钥,利用所述第一安全会话密钥校验所接收到的卡片密文。TSM平台利用序列计数器和静态密钥创建第二安全会话密钥,利用所述第二安全会话密钥生成主机密文,并将主机密文以及MAC值通过TEE代理发送至ISD。
ISD利用序列计数器和静态密钥创建第二安全会话密钥,利用所述第二安全会话密钥校验所接收到的主机密文,ISD验证MAC值,并根据MAC值创建初始链矢量,建立TSM平台与ISD之间的安全通道。
步骤103:根据所述请求指令生成操作授权信息以及操作指令。
所述操作指令与所述请求指令对应,当所述请求指令为锁定请求指令时,所述操作指令为锁定操作指令,当所述请求指令为解锁请求指令时,所述操作指令为解锁操作指令。
所述操作授权信息包括公钥和授权证书,所述根据所述请求指令生成操作授权信息包括:
生成公私钥对;
根据所述请求指令中所携带的客户应用CA标识、可信应用TA标识、TEE标识以及所述ISD标识作为签名对象,利用所述私钥生成授权证书,将所述公钥以及授权证书作为操作授权信息。
这里的授权操作信息可以是锁定操作授权信息或解锁操作授权信息,当所述请求指令为锁定请求指令时,生成锁定操作授权信息以及锁定操作指令;当所述请求指令为解锁请求指令时,生成解锁操作授权信息以及解锁操作指令。
TSM平台生成的公私钥对,密钥强度一般不低于1024位。采用客户应用(ClientApplication,CA)标识、可信应用(Trusted Application,TA)标识、TEE标识以及ISD标识作为签名对象,利用所生成的私钥加密生成授权证书。
步骤104:通过所述安全通道将所述操作授权信息以及操作指令通过所述安全通道发送至ISD,以便所述ISD接收所述操作授权信息以及操作指令,验证所述操作授权信息是否正确,当所述操作授权信息正确时,执行所述操作指令。
将所生成的公钥、授权证书以及操作指令通过安全通道发送至ISD。这里需要说明的是,TSM平台与TEE代理建立安全通道,TEE代理与ISD建立安全通道,相当于TSM平台通过TEE代理与ISD建立安全通道。TSM与ISD之间的交互信息,都需要通过TEE代理转发。
ISD接收到的所述操作授权信息后,验证所述操作授权信息是否正确,如果是,执行所述操作指令。
这里需要说明的是,当所述请求指令是用于锁定或解锁移动终端所有应用软件的请求指令时,相当于锁定或解锁此移动终端设备。
上述步骤101至步骤104可以拆分为锁定和解锁两个方法:
一种锁定应用的方法:
接收锁定请求指令;
采用双向认证的方法通过可信执行环境TEE代理与主安全域ISD建立安全通道;
根据所述锁定请求指令生成第一操作授权信息以及锁定操作指令;
通过所述安全通道将所述第一操作授权信息以及锁定操作指令通过所述安全通道发送至ISD,以便所述ISD接收所述第一操作授权信息以及锁定操作指令,验证所述第一操作授权信息是否正确,当所述第一操作授权信息正确时,执行所述锁定操作指令。
一种解锁应用的方法:
接收解锁请求指令;
采用双向认证的方法通过可信执行环境TEE代理与主安全域ISD建立安全通道;
根据所述解锁请求指令生成第二操作授权信息以及解锁操作指令;
通过所述安全通道将所述第二操作授权信息以及解锁操作指令通过所述安全通道发送至ISD,以便所述ISD接收所述第二操作授权信息以及解锁操作指令,验证所述第二操作授权信息是否正确,当所述第二操作授权信息正确时,执行所述解锁操作指令。
采用本发明所提供的一种锁定和解锁应用的方法,可以根据用户的需要对一个或全部应用软件实现锁定,再根据用户的需要对一个或全部应用软件实现解锁,可以有效的提高移动终端中所安装的应用软件的安全性。
由上述内容可知,本发明有如下有益效果:
可信服务管理TSM平台接收请求指令,所述请求指令包括用于请求锁定指定应用软件的锁定请求指令或用于请求解锁指定应用软件的解锁请求指令,采用双向认证的方法通过可信执行环境TEE代理与主安全域ISD建立安全通道;根据所述请求指令生成操作授权信息以及操作指令,通过所述安全通道将所述操作授权信息以及操作指令通过所述安全通道发送至ISD,ISD接收所述操作授权信息以及操作指令,验证所述操作授权信息是否正确,当所述操作授权信息正确时,执行所述操作指令。利用本发明所提供的方法,可以锁定或解锁所指定的应用软件,锁定后的应用软件不能***作,避免移动终端外借或丢失时,应用软件被使用所造成的信息泄露或财产损失,提高移动终端中所安装的应用软件的安全性。
实施例二
图2为本发明一种锁定和解锁应用的方法实施例二流程图,应用于主安全域ISD,实施例二主要是对锁定和解锁的授权验证的描述,所述方法包括:
步骤201:接收可信服务管理TSM平台通过安全通道发送的操作授权信息以及操作指令。
所述操作授权信息以及操作指令是由TSM平台接收请求指令,根据所述请求指令生成的,所述操作指令与所述请求指令对应,当所述请求指令为锁定请求指令时,所述操作指令为锁定操作指令,当所述请求指令为解锁请求指令时,所述操作指令为解锁操作指令。
TSM平台将操作授权信息以及操作指令通过安全通道发送至ISD,其中,TSM平台先将操作授权信息以及操作指令通过安全通道发送至TEE代理,再由TEE代理将操作授权信息以及操作指令转发至ISD。
操作授权信息以及操作指令是由TSM平台生成的,参考实施例一的描述,这里不再赘述。
步骤202:验证所述操作授权信息是否正确,如果是,执行步骤203;如果否,执行步骤204。
所述验证所述操作授权信息是否正确包括:
获取预置的所述TSM平台的根证书;
根据所述根证书验证所述操作授权信息中公钥是否合法;
当所述公钥合法时,利用所述公钥解析所述操作授权信息中的授权证书获得CA标识、TA标识、TEE标识以及ISD标识;
验证所述CA标识、TA标识、TEE标识以及ISD标识是否正确,如果是,所述操作授权信息正确。
TEE设备在发行过程中,预置有TSM平台的根证书。ISD从TEE设备中获取TSM的根证书,利用所述根证书可以验证操作授权信息中的公钥是否合法,如果公钥是来自TSM平台,则所述公钥合法。用公钥给所述操作授权信息中的授权证书解密,得到CA标识、TA标识、TEE标识以及ISD标识。ISD验证CA标识、TA标识、TEE标识以及ISD标识是否正确,如果是,授权验证通过。验证CA标识、TA标识、TEE标识以及ISD标识是用来验证所授权锁定(解锁)的应用软件是否为用户所需要锁定(解锁)的应用软件,授权执行操作指令的ISD是否为当前验证的ISD。
步骤203:执行所述操作指令。
所述操作指令可以是用于锁定应用软件的锁定操作指令,也可以是解锁应用软件的解锁操作指令。操作指令与实施例一中的请求指令相对应。
ISD需要对TSM平台发来的操作授权信息进行验证,当操作授权信息验证正确后,ISD可以执行对应用软件的锁定或解锁操作。当操作授权信息验证失败后,不执行对应用软件的锁定或解锁操作,向用户返回操作失败的信息。
步骤204:结束操作,返回操作失败的信息。
当请求指令为锁定请求指令时,返回锁定操作失败的信息;当请求指令为解锁请求指令时,返回解锁操作失败的信息。
步骤201至步骤204也可以拆分为锁定和解锁两个方法:
一种锁定应用的方法:
接收可信服务管理TSM平台通过安全通道发送的第一操作授权信息以及锁定操作指令,所述第一操作授权信息以及锁定操作指令是由TSM平台接收锁定请求指令,根据所述锁定请求指令生成的;
验证所述第一操作授权信息是否正确;
当所述第一操作授权信息正确时,执行所述锁定操作指令。
一种解锁应用的方法:
接收可信服务管理TSM平台通过安全通道发送的第二操作授权信息以及解锁操作指令,所述第二操作授权信息以及解锁操作指令是由TSM平台接收解锁请求指令,根据所述解锁请求指令生成的;
验证所述第二操作授权信息是否正确;
当所述第二操作授权信息正确时,执行所述解锁操作指令。
实施例三和实施例四是两个场景实施例,都以锁定应用软件为例进行说明,实施例三和实施例四同样适应于解锁应用软件,将实施例描述中的锁定改为解锁即可,这里不再赘述。
实施例三
图3为本发明一种锁定应用的方法第一场景实施例三时序图,实施例三中,由用户通过在安全应用商店的操作发送锁定操作指令,所述方法包括:
步骤301:用户点击可信应用商店中应用软件的图标上所提供的锁定(解锁)操作按钮。
步骤302:可信应用商店生成锁定(解锁)所述应用软件的锁定(解锁)请求指令发送至ISD。
步骤303:ISD将所述锁定(解锁)请求指令发送至TEE代理。
步骤304:TEE代理将所述锁定(解锁)请求指令转发至TSM平台。
步骤305:TSM平台采用双向认证的方法通过可信执行环境TEE代理与主安全域ISD建立安全通道。
步骤306:TSM平台根据所述锁定(解锁)请求指令生成操作授权信息以及解锁(锁定)操作指令。
步骤307:TSM平台通过所述安全通道将所述操作授权信息以及锁定(解锁)操作指令通过所述安全通道发送至ISD。
步骤308:ISD验证所述操作授权信息是否正确,当所述操作授权信息正确时,ISD执行所述锁定(解锁)操作指令。
步骤309:将锁定(解锁)应用软件的操作结果返回至可信应用商店。
步骤310:可信应用商店向用户显示被锁定(解锁)的应用软件。
步骤301至步骤310与实施例一和实施例二类似,参考实施例一和实施例二的描述,这里不再赘述。
实施例四
图4为本发明一种锁定应用的方法第二场景实施例四时序图,实施例四中,由TSM平台工作人员的操作生成的请求指令,所述方法包括:
步骤401:TSM平台工作人员接收用户的请求进行应用软件的锁定(解锁)操作,将锁定(解锁)操作指令发送至TSM平台。
步骤402:TSM平台采用双向认证的方法通过可信执行环境TEE代理与主安全域ISD建立安全通道。
捕捉403:TSM平台根据所述请求指令生成操作授权信息以及锁定(解锁)操作指令。
步骤404:TSM平台通过所述安全通道将所述操作授权信息以及锁定(解锁)操作指令通过所述安全通道发送至ISD。
步骤405:ISD验证所述操作授权信息是否正确,当所述操作授权信息正确时,执行所述锁定(解锁)操作指令。
步骤406:ISD将锁定(解锁)应用软件的操作结果返回至TSM平台。
步骤407:TSM平台向TSM平台工作人员返回锁定(解锁)应用软件的操作结果。
步骤401至步骤407与实施例一和实施例二类似,参考实施例一和实施例二的描述,这里不再赘述。
实施例三和实施例四的场景实施例不仅适用于锁定应用软件,也适用于解锁应用软件,其中区别在于请求指令和操作指令的不同。
实施例五
图5为本发明一种锁定和解锁应用的授权装置实施例五结构示意图,实施例五所述的装置与实施例一所述的方法对应,所述装置包括:
第一接收单元501,用于接收请求指令,所述请求指令包括用于请求锁定指定应用软件的锁定请求指令或用于请求解锁指定应用软件的解锁请求指令。
所述第一接收单元501有两种可能的结构:
第一种可能的结构,所述第一接收单元501为:
第一接收子单元,用于接收所述ISD通过所述TEE代理发送的请求指令,所述请求指令为可信应用商店根据用户的操作生成并发送至所述ISD。
第二种可能的结构,所述第一接收单元501为:
第二接收子单元,接收根据TSM平台工作人员的操作生成的请求指令。
建立单元502,用于采用双向认证的方法通过可信执行环境TEE代理与主安全域ISD建立安全通道。
生成单元503,用于根据所述请求指令生成操作授权信息以及操作指令,所述操作指令与所述请求指令对应,当所述请求指令为锁定请求指令时,所述操作指令为锁定操作指令,当所述请求指令为解锁请求指令时,所述操作指令为解锁操作指令。
所述生成单元503包括:
密钥生成子单元,用于生成公私钥对;
证书生成子单元,用于根据所述请求指令中所携带的客户应用CA标识、可信应用TA标识、TEE标识以及所述ISD标识作为签名对象,利用所述私钥生成授权证书,将所述公钥以及授权证书作为操作授权信息。
第一发送单元504,用于通过所述安全通道将所述操作授权信息以及操作指令通过所述安全通道发送至ISD,以便所述ISD接收所述操作授权信息以及操作指令,验证所述操作授权信息是否正确,当所述操作授权信息正确时,执行所述操作指令。
实施例五与实施例一类似,参考实施例一的描述,这里不再赘述。‘
实施例六
图6为本发明一种锁定和解锁应用的执行装置实施例六结构示意图,实施例六所述的装置与实施例二所述的方法对应,所述装置包括:
第二接收单元601,用于接收可信服务管理TSM平台通过安全通道发送的操作授权信息以及操作指令,所述操作授权信息以及操作指令是由TSM平台接收请求指令,根据所述请求指令生成的,所述操作指令与所述请求指令对应,当所述请求指令为锁定请求指令时,所述操作指令为锁定操作指令,当所述请求指令为解锁请求指令时,所述操作指令为解锁操作指令。
验证单元602,用于验证所述操作授权信息是否正确。
所述验证单元602包括:
获取子单元,用于获取预置的所述TSM平台的根证书;
第一验证子单元,根据所述根证书验证所述操作授权信息中公钥是否合法;
解析子单元,用于当所述公钥合法时,利用所述公钥解析所述操作授权信息中的授权证书获得CA标识、TA标识、TEE标识以及ISD标识;
第二验证子单元,用于验证所述CA标识、TA标识、TEE标识以及ISD标识是否正确,如果是,所述操作授权信息正确。
执行单元603,用于当所述操作授权信息正确时,执行所述操作指令。
在一具体实施例中,用户通过在可信应用商店的操作生成锁定(解锁)请求指令,所述装置还包括:
第三接收单元,用于接收可信应用商店根据用户的操作生成的请求指令,所述请求指令包括用于请求锁定指定应用软件的锁定请求指令或用于请求解锁指定应用软件的解锁请求指令;
第二发送单元,用于将所述请求指令通过可信执行环境TEE代理发送至TSM平台。
实施例七
图7为本发明一种锁定和解锁应用的***实施例七结构示意图,所述***与实施例三、实施例四所述的方法对应,所述***包括:
实施例五所述的锁定和解锁应用的授权装置701以及实施例六所述的锁定和解锁应用的执行装置702。
参考实施例五的和实施例六,这里不再赘述。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (16)
1.一种锁定和解锁应用的方法,其特征在于,应用于可信服务管理TSM平台,所述方法包括:
接收请求指令,所述请求指令包括用于请求锁定指定应用软件的锁定请求指令或用于请求解锁指定应用软件的解锁请求指令;
采用双向认证的方法通过可信执行环境TEE代理与主安全域ISD建立安全通道;
根据所述请求指令生成操作授权信息以及操作指令,所述操作指令与所述请求指令对应,当所述请求指令为锁定请求指令时,所述操作指令为锁定操作指令,当所述请求指令为解锁请求指令时,所述操作指令为解锁操作指令;
通过所述安全通道将所述操作授权信息以及操作指令通过所述安全通道发送至ISD,以便所述ISD接收所述操作授权信息以及操作指令,验证所述操作授权信息是否正确,当所述操作授权信息正确时,执行所述操作指令。
2.根据权利要求1所述的方法,其特征在于,所述接收请求指令为:
接收所述ISD通过所述TEE代理发送的请求指令,所述请求指令为可信应用商店根据用户的操作生成并发送至所述ISD。
3.根据权利要求1所述的方法,其特征在于,所述接收请求指令为:
接收根据TSM平台工作人员的操作生成的请求指令。
4.根据权利要求1-3任意一项所述的方法,其特征在于,所述根据所述请求指令生成操作授权信息包括:
生成公私钥对;
根据所述请求指令中所携带的客户应用CA标识、可信应用TA标识、TEE标识以及所述ISD标识作为签名对象,利用所述私钥生成授权证书,将所述公钥以及授权证书作为操作授权信息。
5.根据权利要求1-3任意一项所述的方法,其特征在于,所述双向认证的方法包括:
SCP02、SCP10或SSL。
6.一种锁定和解锁应用的方法,其特征在于,应用于主安全域ISD,所述方法包括:
接收可信服务管理TSM平台通过安全通道发送的操作授权信息以及操作指令,所述安全通道是由所述TSM平台采用双向认证的方法通过可信执行环境TEE代理与所述ISD建立的,所述操作授权信息以及操作指令是由TSM平台接收请求指令,根据所述请求指令生成的,所述操作指令与所述请求指令对应,当所述请求指令为锁定请求指令时,所述操作指令为锁定操作指令,当所述请求指令为解锁请求指令时,所述操作指令为解锁操作指令;
验证所述操作授权信息是否正确;
当所述操作授权信息正确时,执行所述操作指令。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
接收可信应用商店根据用户的操作生成的请求指令,所述请求指令包括用于请求锁定指定应用软件的锁定请求指令或用于请求解锁指定应用软件的解锁请求指令;
将所述请求指令通过可信执行环境TEE代理发送至TSM平台。
8.根据权利要求6-7任意一项所述的方法,其特征在于,所述验证所述操作授权信息是否正确包括:
获取预置的所述TSM平台的根证书;
根据所述根证书验证所述操作授权信息中公钥是否合法;
当所述公钥合法时,利用所述公钥解析所述操作授权信息中的授权证书获得CA标识、TA标识、TEE标识以及ISD标识;
验证所述CA标识、TA标识、TEE标识以及ISD标识是否正确,如果是,所述操作授权信息正确。
9.一种锁定和解锁应用的授权装置,其特征在于,应用于可信服务管理TSM平台,所述装置包括:
第一接收单元,用于接收请求指令,所述请求指令包括用于请求锁定指定应用软件的锁定请求指令或用于请求解锁指定应用软件的解锁请求指令;
建立单元,用于采用双向认证的方法通过可信执行环境TEE代理与主安全域ISD建立安全通道;
生成单元,用于根据所述请求指令生成操作授权信息以及操作指令,所述操作指令与所述请求指令对应,当所述请求指令为锁定请求指令时,所述操作指令为锁定操作指令,当所述请求指令为解锁请求指令时,所述操作指令为解锁操作指令;
第一发送单元,用于通过所述安全通道将所述操作授权信息以及操作指令通过所述安全通道发送至ISD,以便所述ISD接收所述操作授权信息以及操作指令,验证所述操作授权信息是否正确,当所述操作授权信息正确时,执行所述操作指令。
10.根据权利要求9所述的装置,其特征在于,所述第一接收单元为:
第一接收子单元,用于接收所述ISD通过所述TEE代理发送的请求指令,所述请求指令为可信应用商店根据用户的操作生成并发送至所述ISD。
11.根据权利要求9所述的装置,其特征在于,所述第一接收单元为:
第二接收子单元,接收根据TSM平台工作人员的操作生成的请求指令。
12.根据权利要求9-11任意一项所述的装置,其特征在于,所述生成单元包括:
密钥生成子单元,用于生成公私钥对;
证书生成子单元,用于根据所述请求指令中所携带的客户应用CA标识、可信应用TA标识、TEE标识以及所述ISD标识作为签名对象,利用所述私钥生成授权证书,将所述公钥以及授权证书作为操作授权信息。
13.一种锁定和解锁应用的执行装置,其特征在于,应用于主安全域ISD,所述装置包括:
第二接收单元,用于接收可信服务管理TSM平台通过安全通道发送的操作授权信息以及操作指令,所述安全通道是由所述TSM平台采用双向认证的方法通过可信执行环境TEE代理与所述ISD建立的,所述操作授权信息以及操作指令是由TSM平台接收请求指令,根据所述请求指令生成的,所述操作指令与所述请求指令对应,当所述请求指令为锁定请求指令时,所述操作指令为锁定操作指令,当所述请求指令为解锁请求指令时,所述操作指令为解锁操作指令;
验证单元,用于验证所述操作授权信息是否正确;
执行单元,用于当所述操作授权信息正确时,执行所述操作指令。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括:
第三接收单元,用于接收可信应用商店根据用户的操作生成的请求指令,所述请求指令包括用于请求锁定指定应用软件的锁定请求指令或用于请求解锁指定应用软件的解锁请求指令;
第二发送单元,用于将所述请求指令通过可信执行环境TEE代理发送至TSM平台。
15.根据权利要求13-14任意一项所述的装置,其特征在于,所述验证单元包括:
获取子单元,用于获取预置的所述TSM平台的根证书;
第一验证子单元,根据所述根证书验证所述操作授权信息中公钥是否合法;
解析子单元,用于当所述公钥合法时,利用所述公钥解析所述操作授权信息中的授权证书获得CA标识、TA标识、TEE标识以及ISD标识;
第二验证子单元,用于验证所述CA标识、TA标识、TEE标识以及ISD标识是否正确,如果是,所述操作授权信息正确。
16.一种锁定和解锁应用的***,其特征在于,所述***包括:
权利要求9-12任意一项所述的锁定和解锁应用的授权装置以及权利要求13-15任意一项所述的锁定和解锁应用的执行装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410364862.2A CN104125226B (zh) | 2014-07-28 | 2014-07-28 | 一种锁定和解锁应用的方法、装置及*** |
PCT/CN2015/084870 WO2016015589A1 (zh) | 2014-07-28 | 2015-07-23 | 一种锁定和解锁应用的方法、装置及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410364862.2A CN104125226B (zh) | 2014-07-28 | 2014-07-28 | 一种锁定和解锁应用的方法、装置及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104125226A CN104125226A (zh) | 2014-10-29 |
CN104125226B true CN104125226B (zh) | 2018-01-26 |
Family
ID=51770490
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410364862.2A Active CN104125226B (zh) | 2014-07-28 | 2014-07-28 | 一种锁定和解锁应用的方法、装置及*** |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN104125226B (zh) |
WO (1) | WO2016015589A1 (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104125226B (zh) * | 2014-07-28 | 2018-01-26 | 北京握奇智能科技有限公司 | 一种锁定和解锁应用的方法、装置及*** |
CN105592019B (zh) * | 2014-11-05 | 2018-12-25 | ***股份有限公司 | 双执行环境之间双向访问应用的方法 |
US9940456B2 (en) * | 2014-12-16 | 2018-04-10 | Intel Corporation | Using trusted execution environments for security of code and data |
US9444627B2 (en) * | 2014-12-24 | 2016-09-13 | Intel Corporation | System and method for providing global platform compliant trusted execution environment |
CN104640075A (zh) * | 2015-02-28 | 2015-05-20 | 深圳市中兴移动通信有限公司 | 移动终端安全管理的方法及移动终端 |
CN106453196B (zh) * | 2015-08-04 | 2020-01-07 | ***通信集团公司 | 一种针对可信执行环境的密钥写入装置、***及方法 |
CN105809036B (zh) * | 2016-04-01 | 2019-05-10 | ***股份有限公司 | 一种tee访问控制方法以及实现该方法的移动终端 |
CN106102054A (zh) * | 2016-05-27 | 2016-11-09 | 深圳市雪球科技有限公司 | 一种对安全单元进行安全管理的方法以及通信*** |
CN106529264B (zh) * | 2016-10-19 | 2019-05-21 | Oppo广东移动通信有限公司 | 应用锁定和解锁方法及装置 |
CN108242997B (zh) * | 2016-12-26 | 2020-12-22 | 联芯科技有限公司 | 安全通信的方法与设备 |
WO2019041143A1 (zh) * | 2017-08-29 | 2019-03-07 | 深圳传音通讯有限公司 | 一种移动终端的安全控制的方法、终端及计算机可读介质 |
US10511575B2 (en) * | 2017-09-18 | 2019-12-17 | Huawei Technologies Co., Ltd. | Securing delegated credentials in third-party networks |
WO2019072039A1 (zh) * | 2017-10-09 | 2019-04-18 | 华为技术有限公司 | 一种业务证书管理方法、终端及服务器 |
CN108319857B (zh) * | 2017-12-29 | 2020-12-18 | 北京握奇智能科技有限公司 | 可信应用的加解锁方法和*** |
CN111046383B (zh) * | 2018-10-12 | 2023-10-13 | 华为技术有限公司 | 终端攻击防御方法、装置、终端及云服务器 |
CN110855426B (zh) * | 2019-11-08 | 2023-04-18 | 北京握奇智能科技有限公司 | 一种用于软件使用授权的方法 |
CN111179476B (zh) * | 2020-01-12 | 2021-08-31 | 杭州复杂美科技有限公司 | 智能锁的配置方法及控制方法、智能锁、设备和存储介质 |
CN111414605B (zh) * | 2020-03-17 | 2023-07-18 | Oppo(重庆)智能科技有限公司 | 嵌入式安全单元的解锁方法、装置、电子设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101511051A (zh) * | 2008-12-31 | 2009-08-19 | 北京握奇数据***有限公司 | 电信智能卡的应用业务下载方法、***及设备 |
WO2013063353A1 (en) * | 2011-10-27 | 2013-05-02 | T-Mobile Usa, Inc. | Mobile device-type locking |
CN103117856A (zh) * | 2012-01-16 | 2013-05-22 | 深圳市家富通汇科技有限公司 | 在移动装置中配置应用的方法和装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102034036A (zh) * | 2010-09-07 | 2011-04-27 | 北京握奇数据***有限公司 | 权限管理的方法及设备 |
CN104125226B (zh) * | 2014-07-28 | 2018-01-26 | 北京握奇智能科技有限公司 | 一种锁定和解锁应用的方法、装置及*** |
-
2014
- 2014-07-28 CN CN201410364862.2A patent/CN104125226B/zh active Active
-
2015
- 2015-07-23 WO PCT/CN2015/084870 patent/WO2016015589A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101511051A (zh) * | 2008-12-31 | 2009-08-19 | 北京握奇数据***有限公司 | 电信智能卡的应用业务下载方法、***及设备 |
WO2013063353A1 (en) * | 2011-10-27 | 2013-05-02 | T-Mobile Usa, Inc. | Mobile device-type locking |
CN103117856A (zh) * | 2012-01-16 | 2013-05-22 | 深圳市家富通汇科技有限公司 | 在移动装置中配置应用的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN104125226A (zh) | 2014-10-29 |
WO2016015589A1 (zh) | 2016-02-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104125226B (zh) | 一种锁定和解锁应用的方法、装置及*** | |
Asokan et al. | Man-in-the-middle in tunnelled authentication protocols | |
CN105530224B (zh) | 终端认证的方法和装置 | |
CN101742499B (zh) | 一种用于移动通讯设备终端的账号保护***及其应用方法 | |
CN101212296B (zh) | 基于证书及sim的wlan接入认证方法及*** | |
CN1855810B (zh) | 动态密码认证***、方法及其用途 | |
CN105847247A (zh) | 一种认证***及其工作方法 | |
CN105187431A (zh) | 第三方应用的登录方法、服务器、客户端及通信*** | |
CN106161032A (zh) | 一种身份认证的方法及装置 | |
CN107040513A (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
CN106664209B (zh) | 基于密码的秘密加密密钥的生成和管理的方法和*** | |
CN109272617B (zh) | 开锁验证方法、服务器、门锁、电子设备和存储介质 | |
CN108040044B (zh) | 一种实现eSIM卡安全认证的管理方法及*** | |
CN109474419A (zh) | 一种活体人像照片加密、解密方法及加解密*** | |
CN106713279A (zh) | 一种视频终端身份认证*** | |
CN110768973A (zh) | 一种基于gb35114标准的信令安全测评***及方法 | |
GB2454640A (en) | Received message verification | |
CN101129014A (zh) | 用于建立多个会话的***和方法 | |
CN102281143B (zh) | 智能卡远程解锁*** | |
CN110401613A (zh) | 一种认证管理方法和相关设备 | |
US20160119317A1 (en) | Secured data channel authentication implying a shared secret | |
CN109462572B (zh) | 基于加密卡和UsbKey的多因子认证方法、***、存储介质及安全网关 | |
CN109285256A (zh) | 基于区块链身份验证的机房进门权限给定方法 | |
CN103902880A (zh) | 基于挑战应答型动态口令的Windows***双因素认证方法 | |
CN104753886B (zh) | 一种对远程用户的加锁方法、解锁方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |