CN105930730A - 在可信执行环境下终端***安全更新方法及装置 - Google Patents
在可信执行环境下终端***安全更新方法及装置 Download PDFInfo
- Publication number
- CN105930730A CN105930730A CN201510607172.XA CN201510607172A CN105930730A CN 105930730 A CN105930730 A CN 105930730A CN 201510607172 A CN201510607172 A CN 201510607172A CN 105930730 A CN105930730 A CN 105930730A
- Authority
- CN
- China
- Prior art keywords
- update
- terminal
- bag
- system update
- update bag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及一种在可信执行环境下终端***安全更新方法及装置,其中,更新方法包括:在可信执行环境下,终端与更新服务器之间进行双向认证,建立安全通道;所述终端通过所述安全通道从更新服务器上获得***更新包;利用***更新包完成***更新。本方案通过在终端与更新服务器间建立双向认证,确保***更新包来源的合法性。通过在安全引导程序写入***更新包前对***更新包进行签名验证确保***更新包的完整性和真实性,通过安全引导程序在***启动前对***镜像进行签名验证确保***引导镜像的完整性和合法性,确保了多***终端***更新的整个环节中,从***更新包的获取、***更新包写入前及***更新包写入后的***安全。
Description
技术领域
本发明涉及***更新技术领域,特别涉及一种在可信执行环境下终端***安全更新方法及装置。
背景技术
用户购买的智能终端产品,例如笔记本电脑、智能手机等,必然遇到需要进行一定技术性的维护操作。目前终端***更新的主要方法有:基于PC端软件的***软件更新、基于存储卡的***软件更新、基于专用烧写设备的***软件更新、***在线更新等等。
上述现有技术有如下共性的缺点:
1、***软件更新包的获取是完全开放的,导致软件包被非法篡改的风险非常高;
2、大部分智能终端刷机时只验证刷机包的完整性,而不验证刷机包的合法性,给***安全带来极大隐患;
3、现有智能终端启动时基本都不对已安装的***镜像进行验证,不能从根本上杜绝非法的***软件更新。
发明内容
为解决现有技术的问题,本发明提出一种在可信执行环境下终端***安全更新方法及装置。
为实现上述目的,本发明提供了一种在可信执行环境下终端***安全更新方法,包括:
在可信执行环境下,终端与更新服务器之间进行双向认证,建立安全通道;
所述终端通过所述安全通道从更新服务器上获得***更新包;
利用***更新包完成***更新。
优选地,所述利用***更新包完成***更新的步骤包括:
终端***重新启动,进入安全引导程序,所述安全引导程序对所述***更新包进行签名验证;
验证成功后,所述***更新包写入***区,完成***启动。
优选地,所述利用***更新包完成***更新的步骤还包括:
对所述***更新包验证成功之后,所述安全引导程序对***区的***镜像进行签名验证;
验证成功后,在所述***更新包写入***区之后,通过安全引导程序加载***镜像完成***启动。
优选地,所述***更新包存储至终端的安全存储区。
为实现上述目的,本发明还提供了一种在可信执行环境下终端***安全更新装置,包括:
安全通道建立单元,用于在可信执行环境下,终端与更新服务器之间进行双向认证,建立安全通道;
下载***更新包单元,用于所述终端通过所述安全通道从更新服务器上获得***更新包;
***更新单元,用于利用***更新包完成***更新。
优选地,所述***更新单元包括:
第一签名验证模块,用于终端***重新启动,进入安全引导程序,所述安全引导程序对所述***更新包进行签名验证;
第一更新模块,用于验证成功后,所述***更新包写入***区,完成***启动。
优选地,所述***更新单元还包括:
第二签名验证模块,用于对所述***更新包验证成功之后,所述安全引导程序对***区的***镜像进行签名验证;
第二更新模块,用于验证成功后,在所述***更新包写入***区之后,通过安全引导程序加载***镜像完成***启动。
优选地,还包括:安全存储单元;
所述安全存储单元,置于终端上,用于对所述***更新包的存储。
上述技术方案具有如下有益效果:
本方案通过在终端与更新服务器间建立双向认证,确保***更新包来源的合法性。通过在安全引导程序写入***更新包前对***更新包进行签名验证确保***更新包的完整性和真实性,通过安全引导程序在***启动前对***镜像进行签名验证确保***引导镜像的完整性和合法性,确保了多***终端***更新的整个环节中,从***更新包的获取、***更新包写入前及***更新包写入后的***安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种在可信执行环境下终端***安全更新装置框图;
图2为本发明提供的***安全更新装置中***更新单元框图之一;
图3为本发明提供的***安全更新装置中***更新单元框图之二;
图4为本实施例的***架构图;
图5为本发明提供的一种在可信执行环境下终端***安全更新方法流程图;
图6为本实施例的***更新流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本技术方案的工作原理:终端的安全更新服务程序运行在TEE可信执行环境下,终端与更新服务器双向认证,建立安全通道。通过该安全通道获得***更新包,确保***更新包来源的合法性。在此基础上,通过对下载的更新包进行签名验证,确保***更新包的完整性和真实性。进一步地,通过在安全引导程序中对已安装的***镜像进行签名验证,确保终端的运行环境是未被篡改的合法***。
基于上述工作原理,本发明提供了一种在可信执行环境下终端***安全更新装置,如图1所示。包括:
安全通道建立单元101,用于在可信执行环境下,终端与更新服务器之间进行双向认证,建立安全通道;
下载***更新包单元102,用于所述终端通过所述安全通道从更新服务器上获得***更新包;
***更新单元103,用于利用***更新包完成***更新。
在图1展示的***安全更新装置中,终端与更新服务器之间通过双向认证建立了安全通道,终端只有通过安全通道从更新服务器上下载***更新包,获取的***更新包就不是完全开放的,降低***更新包被非法篡改的风险概率,确保***更新包来源的合法性。
进一步地,为确保***更新包的安全,在图1的基础上,终端***安全更新装置还包括:安全存储单元;该安全存储单元置于终端上,用于对所述***更新包的存储。
对于本实施例来说,如图2所示,图1中的***更新单元103包括:
第一签名验证模块1031,用于终端***重新启动,进入安全引导程序,所述安全引导程序对所述***更新包进行签名验证;
第一更新模块1032,用于验证成功后,所述***更新包写入***区,完成***启动。
对于本案例来说,在确保***更新包来源的合法性的基础上,对下载的更新包进行签名验证,不仅验证更新包的完整性,更验证刷机包的合法性,确保***更新包的完整性和真实性,给***安全更新创造安全保障。
更进一步地,在图1和图2的基础上,如图3所示,***更新单元103还包括:
第二签名验证模块1033,用于对所述***更新包验证成功之后,所述安全引导程序对***区的***镜像进行签名验证;
第二更新模块1034,用于验证成功后,在所述***更新包写入***区之后,通过安全引导程序加载***镜像完成***启动。
对于本案例来说,在去报***更新包来源的合法性、完整性和真实性的基础上,终端启动时对已安装的***镜像进行验证,能从根本上杜绝非法的***软件更新。
为进一步详细说明本装置,下面结合实际情况对本装置进行详细阐述。
如图4所示,为本实施例的***架构图。本方案由安全引导程序、安全更新服务桌面端、安全更新服务端三部分组成,安全引导程序运行在安全更新服务桌面端和安全更新服务端。安全更新服务桌面端处于终端的显示屏幕上,具有***更新功能的访问入口,通过对安全更新服务桌面端的操作,通过TEE Client API与安全更新服务端进行通讯。安全更新服务端内的安全通讯模块负责下,让安全更新服务端与更新服务器之间通过双向认证建立安全通道,终端查询通过该安全通道向更新服务器查询是否具有***更新包,如果具有***更新包,则通过安全通道下载***更新包。同时,为确保***更新包的安全,由安全更新服务端的安全存储模块负责***更新包的存储。
基于上述描述,根据图4展示的***架构,安全引导程序、安全更新服务桌面端、安全更新服务端在终端***更新时执行的功能为:
1、用户通过安全更新服务桌面端进入安全更新服务端。***由REE操作***运行环境切换到TEE可信执行环境。
2、安全更新服务端通过安全通讯模块与安全更新服务器之间进行双向认证,认证成功后,安全更新服务端与更新服务器之间建立了安全通道,查询更新服务器上是否有新版本***更新包,如新版本存在,则下载并由安全存储模块负责保存在终端上。
3、安全更新服务端下载***更新包后,通知用户重新启动终端的操作***来完成更新。
4、***启动时,首先进入安全引导程序,安全引导程序检查安全存储区是否有***更新包,如果有,则对***更新包进行签名验证。验证成功,则将***更新包写入***区,完成***更新。
5、终端的操作***启动时,通过安全引导程序加载***镜像完成***启动,在加载***镜像前,安全引导程序对***区的***镜像进行签名验证,确保终端所运行的***是未经篡改的合法***。
基于上述详细介绍的安全引导程序、安全更新服务桌面端、安全更新服务端在终端***更新时执行的功能,本发明还提出一种在可信执行环境下终端***安全更新方法。如图5所示,该方法包括:
步骤501):在可信执行环境下,终端与更新服务器之间进行双向认证,建立安全通道;
步骤502):所述终端通过所述安全通道从更新服务器上获得***更新包;
步骤503):利用***更新包完成***更新。
为了确保***更新包的完整性和真实性,对于步骤503来说,进一步包括:
终端***重新启动,进入安全引导程序,所述安全引导程序对所述***更新包进行签名验证;
验证成功后,所述***更新包写入***区,完成***启动。
在确保***更新包的完整性和真实性的基础上,为了保障终端的运行环境是未被篡改的合法***,对于步骤503来说,更进一步包括:
优选地,所述利用***更新包完成***更新的步骤还包括:
终端***重新启动,进入安全引导程序,所述安全引导程序对所述***更新包进行签名验证;
对所述***更新包验证成功之后,所述安全引导程序对***区的***镜像进行签名验证;
验证成功后,在所述***更新包写入***区之后,通过安全引导程序加载***镜像完成***启动。
为进一步详细说明本方法,下面结合图6,并根据实际情况对本方法进行详细阐述。
步骤1,在终端的REE操作***下,在终端桌面上启动***安全更新服务,***由REE操作***运行环境切换到可信执行环境;
步骤2,在可信执行环境下,终端与更新服务器建立双向认证通道;
步骤3,判断终端***是否需要更新;如果是,则转至步骤4;否则,结束***安全更新服务;
步骤4,通过双向认证通道下载***更新包至终端;
步骤5,确定是否重启终端操作***来完成***更新;如果是,则转至步骤6;否则,结束***安全更新服务;
步骤6,在安全程序引导下,对***更新包进行签名验证;
步骤7,验证成功后,将***更新包写入***分区;
步骤8,判断***镜像建模是否合法;如果是,则转至步骤9;否则,将终端关掉,阻止***更新;
步骤9,终端的操作***运行,完成更新,运行至终端***桌面。
对于本技术方案来说,通过TEE可信执行环境与更新服务器双向认证确保***更新包来源的合法性,通过对下载的更新包进行签名验证确保***更新包的完整性和真实性,通过在安全引导程序中对已安装的***镜像进行签名验证确保终端的运行环境是未被篡改的合法***。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种在可信执行环境下终端***安全更新方法,其特征在于,包括:
在可信执行环境下,终端与更新服务器之间进行双向认证,建立安全通道;
所述终端通过所述安全通道从更新服务器上获得***更新包;
利用***更新包完成***更新。
2.如权利要求1所述的方法,其特征在于,所述利用***更新包完成***更新的步骤包括:
终端***重新启动,进入安全引导程序,所述安全引导程序对所述***更新包进行签名验证;
验证成功后,所述***更新包写入***区,完成***启动。
3.如权利要求2所述的方法,其特征在于,所述利用***更新包完成***更新的步骤还包括:
对所述***更新包验证成功之后,所述安全引导程序对***区的***镜像进行签名验证;
验证成功后,在所述***更新包写入***区之后,通过安全引导程序加载***镜像完成***启动。
4.如权利要求1~3任一权利要求所述的方法,其特征在于,所述***更新包存储至终端的安全存储区。
5.一种在可信执行环境下终端***安全更新装置,其特征在于,包括:
安全通道建立单元,用于在可信执行环境下,终端与更新服务器之间进行双向认证,建立安全通道;
下载***更新包单元,用于所述终端通过所述安全通道从更新服务器上获得***更新包;
***更新单元,用于利用***更新包完成***更新。
6.如权利要求5所述的装置,其特征在于,所述***更新单元包括:
第一签名验证模块,用于终端***重新启动,进入安全引导程序,所述安全引导程序对所述***更新包进行签名验证;
第一更新模块,用于验证成功后,所述***更新包写入***区,完成***启动。
7.如权利要求6所述的装置,其特征在于,所述***更新单元还包括:
第二签名验证模块,用于对所述***更新包验证成功之后,所述安全引导程序对***区的***镜像进行签名验证;
第二更新模块,用于验证成功后,在所述***更新包写入***区之后,通过安全引导程序加载***镜像完成***启动。
8.如权利要求5~7任一权利要求所述的装置,其特征在于,还包括:安全存储单元;
所述安全存储单元,置于终端上,用于对所述***更新包的存储。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510607172.XA CN105930730A (zh) | 2015-09-22 | 2015-09-22 | 在可信执行环境下终端***安全更新方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510607172.XA CN105930730A (zh) | 2015-09-22 | 2015-09-22 | 在可信执行环境下终端***安全更新方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105930730A true CN105930730A (zh) | 2016-09-07 |
Family
ID=56839891
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510607172.XA Pending CN105930730A (zh) | 2015-09-22 | 2015-09-22 | 在可信执行环境下终端***安全更新方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105930730A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109286599A (zh) * | 2017-07-20 | 2019-01-29 | 北京展讯高科通信技术有限公司 | 数据安全防护方法、智能设备、服务器及可读存储介质 |
| CN109472148A (zh) * | 2018-11-15 | 2019-03-15 | 百度在线网络技术(北京)有限公司 | 加载热补丁的方法、装置和存储介质 |
| CN112241284A (zh) * | 2020-12-16 | 2021-01-19 | 支付宝(杭州)信息技术有限公司 | 基于隐私保护的程序数据更新方法、***、装置及设备 |
| CN114185602A (zh) * | 2020-09-15 | 2022-03-15 | 成都鼎桥通信技术有限公司 | 操作***的启动方法、装置和终端 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1808456A (zh) * | 2006-02-24 | 2006-07-26 | 上海方正信息安全技术有限公司 | 在便携式终端主机上添加可信平台的方法 |
| CN1808385A (zh) * | 2006-01-20 | 2006-07-26 | 北京朗通环球科技有限公司 | 一种嵌入式***的引导*** |
| CN102508686A (zh) * | 2011-11-30 | 2012-06-20 | 苏州希图视鼎微电子有限公司 | 一种***安全升级的实现方法及其*** |
| CN102549592A (zh) * | 2009-11-06 | 2012-07-04 | 日本电气英富醍株式会社 | 嵌入信息终端中的软件更新时的认证方法、其***及其程序 |
| CN102945174A (zh) * | 2012-11-08 | 2013-02-27 | 大连捷成实业发展有限公司 | 通过接着片外Flash实现单片机程序升级的方法 |
| CN103257880A (zh) * | 2013-05-30 | 2013-08-21 | 航天恒星科技有限公司 | 一种基于dsp的远程应用程序在线更新方法 |
| CN103955648A (zh) * | 2014-05-15 | 2014-07-30 | 乐视致新电子科技(天津)有限公司 | 校验***镜像合法性的方法及装置 |
-
2015
- 2015-09-22 CN CN201510607172.XA patent/CN105930730A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1808385A (zh) * | 2006-01-20 | 2006-07-26 | 北京朗通环球科技有限公司 | 一种嵌入式***的引导*** |
| CN1808456A (zh) * | 2006-02-24 | 2006-07-26 | 上海方正信息安全技术有限公司 | 在便携式终端主机上添加可信平台的方法 |
| CN102549592A (zh) * | 2009-11-06 | 2012-07-04 | 日本电气英富醍株式会社 | 嵌入信息终端中的软件更新时的认证方法、其***及其程序 |
| CN102508686A (zh) * | 2011-11-30 | 2012-06-20 | 苏州希图视鼎微电子有限公司 | 一种***安全升级的实现方法及其*** |
| CN102945174A (zh) * | 2012-11-08 | 2013-02-27 | 大连捷成实业发展有限公司 | 通过接着片外Flash实现单片机程序升级的方法 |
| CN103257880A (zh) * | 2013-05-30 | 2013-08-21 | 航天恒星科技有限公司 | 一种基于dsp的远程应用程序在线更新方法 |
| CN103955648A (zh) * | 2014-05-15 | 2014-07-30 | 乐视致新电子科技(天津)有限公司 | 校验***镜像合法性的方法及装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109286599A (zh) * | 2017-07-20 | 2019-01-29 | 北京展讯高科通信技术有限公司 | 数据安全防护方法、智能设备、服务器及可读存储介质 |
| CN109472148A (zh) * | 2018-11-15 | 2019-03-15 | 百度在线网络技术(北京)有限公司 | 加载热补丁的方法、装置和存储介质 |
| CN109472148B (zh) * | 2018-11-15 | 2021-04-02 | 百度在线网络技术(北京)有限公司 | 加载热补丁的方法、装置和存储介质 |
| CN114185602A (zh) * | 2020-09-15 | 2022-03-15 | 成都鼎桥通信技术有限公司 | 操作***的启动方法、装置和终端 |
| CN114185602B (zh) * | 2020-09-15 | 2023-08-22 | 成都鼎桥通信技术有限公司 | 操作***的启动方法、装置和终端 |
| CN112241284A (zh) * | 2020-12-16 | 2021-01-19 | 支付宝(杭州)信息技术有限公司 | 基于隐私保护的程序数据更新方法、***、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20130055335A1 (en) | Security enhancement methods and systems | |
| CN103744686B (zh) | 智能终端中应用安装的控制方法和*** | |
| CN105786538B (zh) | 基于安卓***的软件升级方法和装置 | |
| CN103888252A (zh) | 一种基于uid、pid、appid控制应用访问权限方法 | |
| WO2017088135A1 (zh) | 一种安全指示信息的配置方法及设备 | |
| WO2012151152A1 (en) | System and method for transaction security enhancement | |
| US10621335B2 (en) | Method and device for verifying security of application | |
| CN102136049B (zh) | 一种终端应用的安全管理方法及*** | |
| CN105930730A (zh) | 在可信执行环境下终端***安全更新方法及装置 | |
| CN105678192A (zh) | 一种基于智能卡的密钥应用方法及应用装置 | |
| WO2015109668A1 (zh) | 应用程序管理方法、装置、终端及计算机存储介质 | |
| CN111209558A (zh) | 基于区块链的物联网设备身份认证方法以及*** | |
| CN106709281B (zh) | 补丁发放和获取方法、装置 | |
| CN104348616A (zh) | 一种访问终端安全组件的方法、装置及*** | |
| CN108241798B (zh) | 防止刷机的方法、装置及*** | |
| CN103491080A (zh) | 信息安全保护方法及*** | |
| CN102148831B (zh) | 一种终端应用的安全控制方法及*** | |
| US20110107395A1 (en) | Method and apparatus for providing a fast and secure boot process | |
| CN107479923A (zh) | 应用程序升级方法、装置及显示终端 | |
| US9846790B2 (en) | Method for changing an operating mode of a mobile device | |
| CN104158812B (zh) | 一种终端应用的安全控制方法及*** | |
| CN106599619A (zh) | 一种验证方法及装置 | |
| CN107992319B (zh) | 补丁数据更新方法及装置 | |
| KR20160146146A (ko) | 무결성 검증 방법 및 그 장치 | |
| Tzvetanov et al. | A first look at forensic analysis of sailfishos |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160907 |
|
| RJ01 | Rejection of invention patent application after publication |