CN108282466A - 用于在tee中提供数字证书功能的方法、*** - Google Patents
用于在tee中提供数字证书功能的方法、*** Download PDFInfo
- Publication number
- CN108282466A CN108282466A CN201711484484.1A CN201711484484A CN108282466A CN 108282466 A CN108282466 A CN 108282466A CN 201711484484 A CN201711484484 A CN 201711484484A CN 108282466 A CN108282466 A CN 108282466A
- Authority
- CN
- China
- Prior art keywords
- servers
- tam
- tee
- certificate
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种用于在TEE中提供数字证书功能的方法、***,其中的方法包括:向TAM服务器发送TA安装请求消息,通过TAM服务器在移动终端中配置的TEE中安装TA;向TSM服务器发送数字证书个人化请求,接收TSM服务器下发的数字证书;完成个人化后,TA基于数字证书对接收到的待处理数据进行相应地处理,提供相应的服务。本发明的方法、***,对硬件要求较低,不需要设备配置有SE芯片模块等,数据存储和算法运算都在TEE中实现,而且通过TUI与用户交互,可以保证业务所需的安全性,可以显著提升数字证书功能的便捷性、易部署性,为数字证书方案在移动终端中的推广提供了极大的便利。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种用于在TEE中提供数字证书功能的方法、***。
背景技术
随着互联设备的移动和消费市场日益成熟、不断壮大,安全性成为越来越引起人们关注的问题。数字证书技术用于银行交易签名,也可以用于内容加密,在移动终端中对于银行交易签名、内容加密等业务提供数字证书服务。目前通常采用两种方式。1、TUI+SE方式:将敏感数据都存入安全元件SE(Secure Element)硬件模块中,敏感数据包括私钥、数字证书、序列号等,TEE中的可信应用TA主要提供TUI功能和SE的通道功能,将接收到的交易报文等发送给SE进行签名、加解密等处理。TEE是基于ARM芯片TrustZone机制的***软件,为实现安全目标并同时满足重要利益相关方的需要提供了最佳的路径。但是,此种提供数字证书功能的方式对硬件要求较高,需要设备配置有SE芯片模块。2、在纯富操作***REE中提供数字证书功能,在REE中对交易报文等进行签名、加解密等处理,但是REE存在一定的安全风险,安全性较低。
发明内容
有鉴于此,本发明要解决的一个技术问题是提供一种用于在TEE中提供数字证书功能的方法、***。
根据本发明的一个方面,提供一种用于在TEE中提供数字证书功能的***,包括:在移动终端中配置可信执行环境TEE;向TAM服务器发送可信应用TA安装请求消息,通过所述TAM服务器在所述TEE中安装TA;所述TA向TSM服务器发送数字证书个人化请求,接收所述TSM服务器下发的数字证书并存储在所述TA中;所述TA基于所述数字证书对接收到的待处理数据进行相应地处理。
可选地,如果确定所述TEE支持创建安全域SD,则在向所述TAM服务器发送所述TA安装请求消息时,向所述TAM服务器发送安全域SD创建请求,通过所述TAM服务器在所述TEE中创建SD并安装所述TA。
可选地,在移动终端中配置富执行环境REE;对运行在所述REE中的APP应用设置能够对所述TEE进行访问的***权限;所述APP应用使用TEE客户端API与所述TA进行数据交互。
可选地,所述TAM服务器通过所述APP应用对所述TA进行管理,包括:安装、更新、删除TA;所述TA通过所述APP应用向所述TSM服务器发送数字证书个人化请求,通过所述APP应用接收所述TSM服务器下发的数字证书。
可选地,在所述TAM服务器部署时,生成TAM公私钥对并自签TAM公钥证书;所述TAM服务器使用所述TAM公私钥对的私钥签发OEM公钥证书;其中,OEM服务器使用OEM公私钥对的私钥签发设备公钥证书;所述OEM服务器向所述移动终端下发与所述TEE相对应的设备公钥证书以及所述OEM公钥证书和所述TAM公钥证书。
可选地,所述OEM服务器向所述移动终端下发与所述TEE相对应的设备公钥证书以及所述OEM公钥证书和所述TAM公钥证书包括:如果对于所述TEE采用OTA部署方式,在所述TAM服务器和所述移动终端之间建立第一安全通道或使用第三方提供的第二安全通道,其中,所述第一安全通道的建立方式包括:采用白盒加密方式建立安全通道;所述移动终端生成与所述TEE相对应的公私钥对,并将所述公私钥对中的公钥通过所述第一安全通道或第二安全通道发送给所述TAM服务器,用以生成与所述TEE相对应的设备公钥证书;所述TAM服务器通过所述第一安全通道或第二安全通道向所述移动终端下发与所述TEE相对应的设备公钥证书以及OTA公钥证书和所述TAM公钥证书。
可选地,所述TSM服务器向签证服务器发送证书申请,从所述签证服务器获取与所述数字证书个人化请求相对应的数字证书,其中,所述数字证书包括:签名证书、加解密公私钥对及其公钥证书;所述TA接收所述TSM服务器发送的所述数字证书,基于所述数字证书对所述待处理数据进行相应的业务处理,包括:签名处理、加解密处理。
可选地,所述TSM服务器获取与所述TA相对应的初始密钥;在进行数字证书个人化处理时,所述TSM将所述初始密钥更换为设备密钥,并基于所述设备密钥在所述TSM服务器与所述移动终端之间建立第三安全通道;所述TSM服务器通过所述第三安全通道向所述TA发送与业务处理相对应的序列号和初始PIN码;所述TSM服务器从所述签证服务器获取所述数字证书并通过所述第三安全通道向所述TA发送。
可选地,所述TA接收到所述待处理数据,基于所述待处理数据生成业务确认信息以及用于提示输入认证信息的提示信息;所述TA将所述业务确认信息和提示信息发送给可信用户接口TUI进行显示;所述TA在确定用户对所述业务确认信息进行确认后,获取用户通过所述TUI输入的认证信息,在对所述认证信息验证成功后,基于所述数字证书对所述待处理数据进行相应的业务处理。
根据本发明的另一方面,提供一种用于在TEE中提供数字证书功能的***,包括:移动终端、TAM服务器和TSM服务器;所述移动终端,用于配置可信执行环境TEE,向TAM服务器发送可信应用TA安装请求消息,通过所述TAM服务器在所述TEE中安装TA;所述TA向TSM服务器发送数字证书个人化请求,接收所述TSM服务器下发的数字证书并存储在所述TA中;所述TA基于所述数字证书对接收到的待处理数据进行相应地处理。
可选地,所述移动终端,用于如果确定所述TEE支持创建安全域SD,则在向所述TAM服务器发送所述TA安装请求消息时,向所述TAM服务器发送安全域SD创建请求,通过所述TAM服务器在所述TEE中创建SD并安装所述TA。
可选地,所述移动终端,用于配置富执行环境REE,对运行在所述REE中的APP应用设置能够对所述TEE进行访问的***权限,通过所述APP应用使用TEE客户端API与所述TA进行数据交互。
可选地,所述TAM服务器通过所述APP应用对所述TA进行管理,包括:安装、更新、删除TA;所述TA通过所述APP应用向所述TSM服务器发送数字证书个人化请求,通过所述APP应用接收所述TSM服务器下发的数字证书。
可选地,所述TAM服务器,用于在其进行部署时,生成TAM公私钥对并自签TAM公钥证书,使用所述TAM公私钥对的私钥签发OEM公钥证书;其中,所述OEM服务器使用OEM公私钥对的私钥签发设备公钥证书;所述OEM服务器,用于向所述移动终端下发与所述TEE相对应的设备公钥证书以及所述OEM公钥证书和所述TAM公钥证书。
可选地,所述TAM服务器,用于如果对于所述TEE采用OTA部署方式,在其和所述移动终端之间建立第一安全通道或使用第三方提供的第二安全通道,其中,所述第一安全通道的建立方式包括:采用白盒加密方式建立安全通道;所述移动终端,用于生成与所述TEE相对应的公私钥对,并将所述公私钥对中的公钥通过所述第一安全通道或第二安全通道发送给所述TAM服务器,用以生成与所述TEE相对应的设备公钥证书;所述TAM服务器还用于通过所述第一安全通道或第二安全通道向所述移动终端下发与所述TEE相对应的设备公钥证书以及OTA公钥证书和所述TAM公钥证书。
可选地,所述TSM服务器,用于向签证服务器发送证书申请,从所述签证服务器获取与所述数字证书个人化请求相对应的数字证书,其中,所述数字证书包括:签名证书、加解密公私钥对及其公钥证书;所述TA接收所述TSM服务器发送的所述数字证书,基于所述数字证书对所述待处理数据进行相应的业务处理,包括:签名处理、加解密处理。
可选地,所述TSM服务器,用于获取所述TA的初始密钥;在进行数字证书个人化处理时,将所述初始密钥更换为设备密钥,并基于所述设备密钥在所述TSM服务器与所述移动终端之间建立第三安全通道;通过所述第三安全通道向所述TA发送与业务处理相对应的序列号和初始PIN码;从所述签证服务器获取所述数字证书并通过所述第三安全通道向所述TA发送。
可选地,所述TA接收到所述待处理数据,基于所述待处理数据生成业务确认信息以及用于提示输入认证信息的提示信息;所述TA将所述业务确认信息和提示信息发送给可信用户接口TUI进行显示;所述TA在确定用户对所述业务确认信息进行确认后,获取用户通过所述TUI输入的认证信息,在对所述认证信息验证成功后,基于所述数字证书对所述待处理数据进行相应的业务处理。
本发明的用于在TEE中提供数字证书功能的方法、***,向TAM服务器发送TA安装请求消息,通过TAM服务器在移动终端中配置的TEE中安装TA;向TSM服务器发送数字证书个人化请求,接收TSM服务器下发的数字证书;完成个人化后,TA基于数字证书对接收到的待处理数据进行相应地处理,提供相应的服务;在TEE中提供的数字证书功能对硬件要求较低,不需要设备配置有SE芯片模块等,数据存储和算法运算都在TEE中实现,而且通过TUI与用户交互,可以保证业务所需的安全性,可以显著的提升移动终端数字签名应用的便捷性、易部署性,为数字证书方案在移动终端中的推广提供了极大的便利。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明的用于在TEE中提供数字证书功能的方法的一个实施例的流程示意图;
图2为根据本发明的用于在TEE中提供数字证书功能的方法的一个实施例中的部件拓扑示意图;
图3为根据本发明的用于在TEE中提供数字证书功能的方法的一个实施例中的TAM服务器架构示意图;
图4为根据本发明的用于在TEE中提供数字证书功能的方法的一个实施例中的TSM服务器架构示意图;
图5为根据本发明的基于移动终端的数字签名***的一个实施例的模块示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本发明实施例可以应用于计算机***/服务器,其可与众多其它通用或专用计算***环境或配置一起操作。适于与计算机***/服务器一起使用的众所周知的计算***、环境和/或配置的例子包括但不限于:智能手机、个人计算机***、服务器计算机***、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的***、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机***﹑大型计算机***和包括上述任何***的分布式云计算技术环境,等等。
计算机***/服务器可以在由计算机***执行的计算机***可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机***/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算***存储介质上。
下文中的“第一”、“第二”等仅用于描述上相区别,并没有其它特殊的含义。
图1为根据本发明的用于在TEE中提供数字证书功能的方法的一个实施例的流程示意图,如图1所示:
步骤101,在移动终端中配置可信执行环境TEE。
移动终端可以是智能手机、平板电脑等多种移动设备。TEE(Trusted ExecutionEnvironment,可信执行环境)是一种隔离的执行环境,TEE与富操作***(REE,RichExecution Environment)并行运行,并为富环境提供安全服务,可以对富环境下的软硬件安全资源和应用程序,实现隔离访问和保护。TEE由可信应用TA(Trusted Application)以及可信操作***Trusted OS(Trusted Operating System)组成。
步骤102,移动终端向TAM(Trusted Application Management,可信应用管理)服务器发送可信应用TA安装请求消息,通过TAM服务器在TEE中安装TA。
步骤103,TA向TSM(Trusted Service Manager,可信服务管理)服务器发送数字证书个人化请求,接收TSM服务器下发的数字证书并存储在TA中。
步骤104,TA基于数字证书对接收到的待处理数据进行相应地处理。
如果确定TEE支持创建安全域SD(Security Domain),则在向TAM服务器发送TA安装请求消息时,向TAM服务器发送安全域SD创建请求,通过TAM服务器在TEE中创建SD并安装TA。
移动终端配置有TEE环境,向TAM服务器申请创建SD和安装TA。在TA安装后,移动终端可以向TSM服务器申请数字证书个人化,颁发签名证书和加密证书,完成个人化后,移动终端可以提供签名服务和/或加解密服务。
在一个实施例中,如果TEE不支持创建SD,可以直接安装TA。如果移动终端没有与其配套的TAM服务器,可以采用预置TA的方式或者与之等效的方式部署TA。在个人化过程中,可以只向TA颁发一个证书,从而只提供一种服务,也可以向TA颁发两个以上的证书,通过证书标识选中某个证书,提供相应的签名服务或者解密服务等。
如图2所示,在TEE中安装的TA包括:Native TA和Java TA。Java TEE基于NativeTEE实现,Native TA在Native TEE上运行,Java TA在Java TEE上运行。在TEE环境中,JavaTEE基于Native TEE实现,TA分为Native TA和Java TA两类,Native TA在Native TEE之上运行,Java TA在Java TEE之上运行。
Native TA可以与Java TEE并列,互相不关联。Native TA也可以嵌入到Java TEE内部,作为Java TEE的预置TA而存在。Java TEE具有TA管理功能,用于管理在其之上运行的Java TA,或嵌入Java TEE中的Native TA。由于Java TEE配置有Java虚拟机和Java API,在其上运行的Java TA具有很好的兼容性,编译后的Java TA可以在任何配置有Java TEE的设备上运行。
在一个实施例中,在REE环境中,底层的TEE Client驱动负责与TEE通信,***服务处理权限问题。APP基于SDK而实现,SDK封装了TEE操作流程接口及各个服务器的操作流程接口,包括TEE服务接口、TAM服务接口、TSM服务接口等。***服务处理的权限问题包括:Android中的SELinux权限、驱动文件的读写权限、APP对TEE的访问控制等。为***服务配置所需的SELinux权限,以避免APP访问TEE时因缺少相关的SELinux权限而出现功能异常。
TEE Client驱动可以为驱动文件形式,驱动文件的读写操作一般不会对其它用户开放,通过***服务(***用户),APP可以访问驱动文件。同时,为了有效控制APP对TEE的访问,***服务可以与TEE配合以实现TEE访问控制。移动终端也可以采用与Java TEE等效的其它中间件,以实现TA的跨平台性。
如果移动设备没有部署Java TEE或等效的其它中间件,则TEE环境中的TA均为Native TA。如果移动设备没有部署相关的***服务,则需开放APP相关的SELinux权限和驱动文件读写权限,或者通过一定的手段提升APP的权限(例如:通过厂商签名,为APP分配***用户角色)。如果APP通过了所需的审核(例如不会非法访问其它TA),并进行了厂商签名,则***服务可以不做TEE访问控制。
在移动终端中配置REE,对运行在REE中的APP应用设置能够对TEE进行访问的***权限,APP应用使用TEE客户端API与TA进行数据交互,并可通过广域网向各个服务器申请相应的服务。例如,TAM服务器通过APP应用对TA进行管理,包括:安装、更新、删除TA等。TA通过APP应用向TSM服务器发送数字证书个人化请求,通过APP应用接收TSM服务器下发的数字证书等。
在一个实施例中,如图3所示,TAM服务器负责TA的管理,同时具备签发OEM公钥证书和SP公钥证书的能力,且有能力替SP管理其SD和TA。TAM服务器被部署时,生成TAM公私钥对并自签TAM公钥证书,以此作为根证书。TAM服务器用TAM私钥签发OEM公钥证书和SP公钥证书。
对于OEM产线服务器部署方式:OEM产线服务器生成公私钥对,TAM服务器为OEM产线签发公钥证书并发放TAM公钥证书。移动终端生成公私钥对并导出公钥,OEM产线服务器为移动终端签发公钥证书,并下发OEM公钥证书与TAM公钥证书,可以通过OEM服务器向移动终端下发与TEE相对应的设备公钥证书以及OEM公钥证书和TAM公钥证书。
移动终端采用三级证书链(Certificate Path)的认证方式,TAM公钥证书是根证书,OEM公钥证书或OTA证书是二级证书,设备证书是末级证书。如果SP委托TAM服务器管理其SD和TA,则TAM服务器生成SP公私钥对,并替SP为TA镜像做签名。如果SP自行管理SP私钥,则TAM服务器不再部署SP私钥,而只存有SP公钥证书。
如果需要支持OTA方式部署移动设备,TAM服务器还需要生成OTA公私钥对,并签发OTA公钥证书。在TAM服务器和移动终端之间建立第一安全通道或使用第三方提供的第二安全通道,第一安全通道的建立方式包括:采用白盒加密方式建立安全通道。例如,在TAM服务器和移动终端上分别部署互相配套的白盒加密库,建立起第一安全通道。第二安全通道可以为银行的个人账户管理通道、电信运营商的个人账户通道、移动设备厂商的个人账户通道等。
TAM服务器生成OTA白盒加密库,TAM服务器生成OTA公私钥对并签发OTA公钥证书。TEE版本发布者通过安全的方式向TAM服务器申请OTA白盒加密库。基于OTA白盒加密库,在移动终端与TAM服务器之间建立起第一安全通道。移动终端生成与TEE相对应的公私钥对,并将公私钥对中的公钥通过第一安全通道或第二安全通道发送给TAM服务器,用以生成与TEE相对应的设备公钥证书。TAM服务器为移动终端签发设备公钥证书并通过第一安全通道或第二安全通道下发OTA公钥证书与TAM公钥证书。
如果移动终端中的TEE不支持SD的创建,则可以将TA安装到TEE发行者的SD下。如果TEE平台不支持对TA进行预个人化,则TA的初始密钥可以用白盒加密库实现。如果TEE平台既不支持SD的创建,也不支持发行者SD,则可以通过预置的方式部署TA,TA的初始密钥可以用白盒加密库实现。
在一个实施例中,如图4所示,TSM服务器主要用于处理个人化流程和交易流程。TSM服务器在部署时,进行组织个人化数据,录入设备根密钥,录入设备初始密钥等操作。移动终端的设备解密私钥用作备份,可以用于恢复移动终端上的密文数据。移动终端的初始密钥只是用作传输密钥,在个人化流程中,初始密钥会被更换为正式的一机一密的设备密钥。设备密钥用于建立TSM服务器与移动终端之间的第三安全通道。
TSM服务器获取与TA相对应的初始密钥,在进行数字证书个人化处理时,TSM将初始密钥更换为设备密钥,并基于设备密钥在TSM服务器与移动终端之间建立第三安全通道,TSM通过第三安全通道向TA发送与业务处理相对应的序列号和初始PIN码。在个人化流程中,生成公私钥对,组织PKCS10证书申请报文并签名,下发PKCS7证书,并发放加解密公私钥对及其公钥证书,以及下发TUI定制图片。如果采用预置方式部署TA,或者TAM服务器不支持TA预个人化功能,则可以在TSM服务器上录入与TA的白盒加密库版本对应的白盒加密库,以替代设备初始密钥的作用,从而据此建立起TSM与TA之间的安全通道。
签证服务器负责签发签名证书,以及发放加解密公私钥对及其公钥证书,并定期向TSM服务器通报证书废止清单。如果业务只支持签名证书,则TSM服务器上不保存移动终端的加解密公私钥与公钥证书,并无需发放加解密公私钥对及其公钥证书。如果不下发TUI定制图片,则移动终端上的TUI界面将采用默认图片。为了实现PIN码对私钥的访问控制,例如基于PIN码对私钥进行加密存储处理,PIN码(默认值)需要优先于相关敏感数据被下发到移动终端,如果PIN码不影响私钥等敏感数据的存储,则PIN码的下发可以延后。序列号、私钥等个人化数据一般被存储到TEE的永久对象中,如果TEE提供了RPMB API接口,则此类个人化数据也可以存储到RPMB分区。
在一个实施例中,TSM服务器向签证服务器发送证书申请,从签证服务器获取与数字证书个人化请求相对应的数字证书,数字证书包括:签名证书、加解密公私钥对及其公钥证书等。TA接收TSM服务器发送的数字证书,基于数字证书对待处理数据进行相应的业务处理,包括:签名处理、加解密处理。
TA接收到待处理数据,基于待处理数据生成业务确认信息以及用于提示输入认证信息的提示信息。TA将业务确认信息和提示信息发送给可信用户接口TUI进行显示。TA在确定用户对业务确认信息进行确认后,获取用户通过TUI输入的认证信息,在对认证信息验证成功后,基于数字证书对待处理数据进行相应的业务处理。
在一个实施例中,如图5所示,本发明提供一种用于在TEE中提供数字证书功能的***,包括:移动终端51、TAM服务器52、TSM服务器54以及签证服务器54。移动终端51配置可信执行环境TEE,向TAM服务器52发送可信应用TA安装请求消息,通过TAM服务器在TEE中安装TA 511。TA 511向TSM服务器53发送数字证书个人化请求,接收TSM服务器53下发的数字证书并存储。TA 511基于数字证书对接收到的待处理数据进行相应地处理。
移动终端51如果确定TEE支持创建安全域SD,则在向TAM服务器52发送TA安装请求消息时,向TAM服务器52发送安全域SD创建请求,通过TAM服务器52在TEE中创建SD并安装TA511。
在TEE中安装的TA 511包括:Native TA和Java TA。Java TEE基于Native TEE实现,Native TA在Native TEE上运行,Java TA在Java TEE上运行。可以将Native TA嵌入Java TEE内,作为Java TEE的预置TA;通过Java TEE对在其上运行的Java TA和预置TA进行管理。
移动终端51配置富执行环境REE,对运行在REE中的APP应用512设置能够对TEE进行访问的***权限,通过APP应用512使用TEE客户端API与TA 511进行数据交互。TAM服务器52通过APP应用512对TA 511进行管理,包括:安装、更新、删除TA等。TA 511通过APP应用512向TSM服务器53发送数字证书个人化请求,通过APP应用511接收TSM服务器53下发的数字证书。
TAM服务器52在其进行部署时,生成TAM公私钥对并自签TAM公钥证书,使用TAM公私钥对的私钥签发OEM公钥证书,然后再由OEM服务器向移动终端51下发与TEE相对应的设备公钥证书以及OEM公钥证书和TAM公钥证书。
如果对于TEE采用OTA部署方式,TAM服务器52在其和移动终端51之间建立第一安全通道或使用第三方提供的第二安全通道。第一安全通道的建立方式包括:采用白盒加密方式建立安全通道等。移动终端51生成与TEE相对应的公私钥对,并将公私钥对中的公钥通过第一安全通道或第二安全通道发送给TAM服务器52,用以生成与TEE相对应的设备公钥证书。TAM服务器52通过第一安全通道或第二安全通道向移动终端51下发与TEE相对应的设备公钥证书以及OTA公钥证书和TAM公钥证书。
TSM服务器53向签证服务器54发送证书申请,从签证服务器54获取与数字证书个人化请求相对应的数字证书,数字证书包括:签名证书、加解密公私钥对及其公钥证书等。TA 511接收TSM服务器53发送的数字证书,基于数字证书对待处理数据进行相应的业务处理,包括:签名处理、加解密处理等。
TSM服务器53获取移动终端51的初始密钥,在进行数字证书个人化处理时,将初始密钥更换为设备密钥,并基于设备密钥在TSM服务器53与移动终端51之间建立第三安全通道,通过第三安全通道向TA 511发送与业务处理相对应的序列号和初始PIN码。TSM服务器53从签证服务器54获取数字证书并通过第三安全通道向TA 511发送。
TA 511接收到待处理数据,基于待处理数据生成业务确认信息以及用于提示输入认证信息的提示信息。TA 511将业务确认信息和提示信息发送给可信用户接口TUI进行显示。TA 511在确定用户对业务确认信息进行确认后,获取用户通过TUI输入的认证信息,在对认证信息验证成功后,基于数字证书对待处理数据进行相应的业务处理。
上述实施例中的用于在TEE中提供数字证书功能的方法、***,向TAM服务器发送TA安装请求消息,通过TAM服务器在移动终端中配置的TEE中安装TA;向TSM服务器发送数字证书个人化请求,接收TSM服务器下发的数字证书;完成个人化后,TA基于数字证书对接收到的待处理数据进行相应地处理,提供相应的服务;在TEE中提供的数字证书功能对硬件要求较低,不需要设备配置有SE芯片模块等,数据存储和算法运算都在TEE中实现,而且通过TUI与用户交互,可以保证业务所需的安全性,可以显著的提升移动终端数字签名应用的便捷性、易部署性,同时节省用户购买额外硬件的成本,为数字证书方案在移动终端中的推广提供了极大的便利。
可能以许多方式来实现本发明的方法和***。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和***。用于方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (18)
1.一种用于在TEE中提供数字证书功能的方法,其特征在于,包括:
在移动终端中配置可信执行环境TEE;
向TAM服务器发送可信应用TA安装请求消息,通过所述TAM服务器在所述TEE中安装TA;
所述TA向TSM服务器发送数字证书个人化请求,接收所述TSM服务器下发的数字证书并将其存储在所述TA中;
所述TA基于所述数字证书对接收到的待处理数据进行相应地处理。
2.如权利要求1所述的方法,其特征在于,还包括:
如果确定所述TEE支持创建安全域SD,则在向所述TAM服务器发送所述TA安装请求消息时,向所述TAM服务器发送安全域SD创建请求,通过所述TAM服务器在所述TEE中创建SD并安装所述TA。
3.如权利要求2所述的方法,其特征在于,还包括:
在移动终端中配置富执行环境REE;
对运行在所述REE中的APP应用设置能够对所述TEE进行访问的***权限;
所述APP应用使用TEE客户端API与所述TA进行数据交互。
4.如权利要求3所述的方法,其特征在于,还包括:
所述TAM服务器通过所述APP应用对所述TA进行管理,包括:安装、更新、删除TA;
所述TA通过所述APP应用向所述TSM服务器发送数字证书个人化请求,通过所述APP应用接收所述TSM服务器下发的数字证书。
5.如权利要求4所述的方法,其特征在于,还包括:
在所述TAM服务器部署时,生成TAM公私钥对并自签TAM公钥证书;
所述TAM服务器使用所述TAM公私钥对的私钥签发OEM公钥证书;
其中,OEM服务器使用OEM公私钥对的私钥签发设备公钥证书;
所述OEM服务器向所述移动终端下发与所述TEE相对应的设备公钥证书以及所述OEM公钥证书和所述TAM公钥证书。
6.如权利要求5所述的方法,其特征在于,还包括:
如果对于所述TEE采用OTA部署方式,在所述TAM服务器和所述移动终端之间建立第一安全通道或使用第三方提供的第二安全通道,其中,所述第一安全通道的建立方式包括:采用白盒加密方式建立安全通道;
所述移动终端生成与所述TEE相对应的公私钥对,并将所述公私钥对中的公钥通过所述第一安全通道或第二安全通道发送给所述TAM服务器,用以生成与所述TEE相对应的设备公钥证书;
所述TAM服务器通过所述第一安全通道或第二安全通道向所述移动终端下发与所述TEE相对应的设备公钥证书以及OTA公钥证书和所述TAM公钥证书。
7.如权利要求2所述的方法,其特征在于,还包括:
所述TSM服务器向签证服务器发送证书申请,从所述签证服务器获取与所述数字证书个人化请求相对应的数字证书,其中,所述数字证书包括:签名证书、加解密公私钥对及其公钥证书;
所述TA接收所述TSM服务器发送的所述数字证书,基于所述数字证书对所述待处理数据进行相应的业务处理,包括:签名处理、加解密处理。
8.如权利要求7所述的方法,其特征在于,还包括:
所述TSM服务器获取与所述TA相对应的初始密钥;
在进行数字证书个人化处理时,所述TSM服务器将所述初始密钥更换为设备密钥,并基于所述设备密钥在所述TSM服务器与所述移动终端之间建立第三安全通道;
所述TSM通过所述第三安全通道向所述TA发送与业务处理相对应的序列号和初始PIN码;
所述TSM服务器从所述签证服务器获取所述数字证书并通过所述第三安全通道向所述TA发送。
9.如权利要求7所述的方法,其特征在于,还包括:
所述TA接收到所述待处理数据,基于所述待处理数据生成业务确认信息以及用于提示输入认证信息的提示信息;
所述TA将所述业务确认信息和提示信息发送给可信用户接口TUI进行显示;
所述TA在确定用户对所述业务确认信息进行确认后,获取用户通过所述TUI输入的认证信息,在对所述认证信息验证成功后,基于所述数字证书对所述待处理数据进行相应的业务处理。
10.一种用于在TEE中提供数字证书功能的***,其特征在于,包括:移动终端、TAM服务器和TSM服务器;
所述移动终端,用于配置可信执行环境TEE,向TAM服务器发送可信应用TA安装请求消息,通过所述TAM服务器在所述TEE中安装TA;所述TA向TSM服务器发送数字证书个人化请求,接收所述TSM服务器下发的数字证书并将其存储在所述TA中;所述TA基于所述数字证书对接收到的待处理数据进行相应地处理。
11.如权利要求10所述的***,其特征在于,
所述移动终端,用于如果确定所述TEE支持创建安全域SD,则在向所述TAM服务器发送所述TA安装请求消息时,向所述TAM服务器发送安全域SD创建请求,通过所述TAM服务器在所述TEE中创建SD并安装所述TA。
12.如权利要求11所述的***,其特征在于,
所述移动终端,用于配置富执行环境REE,对运行在所述REE中的APP应用设置能够对所述TEE进行访问的***权限,通过所述APP应用使用TEE客户端API与所述TA进行数据交互。
13.如权利要求12所述的***,其特征在于,
所述TAM服务器通过所述APP应用对所述TA进行管理,包括:安装、更新、删除TA;所述TA通过所述APP应用向所述TSM服务器发送数字证书个人化请求,通过所述APP应用接收所述TSM服务器下发的数字证书。
14.如权利要求13所述的***,其特征在于,
所述TAM服务器,用于在其进行部署时,生成TAM公私钥对并自签TAM公钥证书,使用所述TAM公私钥对的私钥签发OEM公钥证书;
其中,OEM服务器使用OEM公私钥对的私钥签发设备公钥证书;
所述OEM服务器,用于向所述移动终端下发与所述TEE相对应的设备公钥证书以及所述OEM公钥证书和所述TAM公钥证书。
15.如权利要求14所述的***,其特征在于,
所述TAM服务器,用于如果对于所述TEE采用OTA部署方式,在其和所述移动终端之间建立第一安全通道或使用第三方提供的第二安全通道,其中,所述第一安全通道的建立方式包括:采用白盒加密方式建立安全通道;
所述移动终端,用于生成与所述TEE相对应的公私钥对,并将所述公私钥对中的公钥通过所述第一安全通道或第二安全通道发送给所述TAM服务器,用以生成与所述TEE相对应的设备公钥证书;
所述TAM服务器还用于通过所述第一安全通道或第二安全通道向所述移动终端下发与所述TEE相对应的设备公钥证书以及OTA公钥证书和所述TAM公钥证书。
16.如权利要求11所述的***,其特征在于,
所述TSM服务器,用于向签证服务器发送证书申请,从所述签证服务器获取与所述数字证书个人化请求相对应的数字证书,其中,所述数字证书包括:签名证书、加解密公私钥对及其公钥证书;
所述TA接收所述TSM服务器发送的所述数字证书,基于所述数字证书对所述待处理数据进行相应的业务处理,包括:签名处理、加解密处理。
17.如权利要求16所述的***,其特征在于,
所述TSM服务器,用于获取所述TA的初始密钥;在进行数字证书个人化处理时,将所述初始密钥更换为设备密钥,并基于所述设备密钥在所述TSM服务器与所述移动终端之间建立第三安全通道;通过所述第三安全通道向所述TA发送与业务处理相对应的序列号和初始PIN码;从所述签证服务器获取所述数字证书并通过所述第三安全通道向所述TA发送。
18.如权利要求16所述的***,其特征在于,
所述TA接收到所述待处理数据,基于所述待处理数据生成业务确认信息以及用于提示输入认证信息的提示信息;所述TA将所述业务确认信息和提示信息发送给可信用户接口TUI进行显示;所述TA在确定用户对所述业务确认信息进行确认后,获取用户通过所述TUI输入的认证信息,在对所述认证信息验证成功后,基于所述数字证书对所述待处理数据进行相应的业务处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711484484.1A CN108282466B (zh) | 2017-12-29 | 2017-12-29 | 用于在tee中提供数字证书功能的方法、*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711484484.1A CN108282466B (zh) | 2017-12-29 | 2017-12-29 | 用于在tee中提供数字证书功能的方法、*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108282466A true CN108282466A (zh) | 2018-07-13 |
| CN108282466B CN108282466B (zh) | 2021-02-02 |
Family
ID=62802835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711484484.1A Active CN108282466B (zh) | 2017-12-29 | 2017-12-29 | 用于在tee中提供数字证书功能的方法、*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108282466B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109492371A (zh) * | 2018-10-26 | 2019-03-19 | 中国联合网络通信集团有限公司 | 一种数字证书空发方法及装置 |
| CN109766152A (zh) * | 2018-11-01 | 2019-05-17 | 华为终端有限公司 | 一种交互方法及装置 |
| CN110399714A (zh) * | 2019-04-10 | 2019-11-01 | ***股份有限公司 | 用于验证终端的可信用户界面真实性的方法及其*** |
| CN110535628A (zh) * | 2019-08-29 | 2019-12-03 | 阿里巴巴集团控股有限公司 | 通过证书签发进行多方安全计算的方法及装置 |
| WO2020034907A1 (zh) * | 2018-08-16 | 2020-02-20 | 腾讯科技(深圳)有限公司 | 认证信息传输方法、密钥管理客户端及计算机设备 |
| CN111245620A (zh) * | 2018-11-29 | 2020-06-05 | 北京中金国信科技有限公司 | 一种在终端中的移动安全应用架构及其构建方法 |
| US20200275274A1 (en) * | 2019-02-26 | 2020-08-27 | Samsung Electronics Co., Ltd. | Electronic device and method for storing user identification information |
| CN112866235A (zh) * | 2020-08-28 | 2021-05-28 | 支付宝(杭州)信息技术有限公司 | 一种数据处理方法、装置及设备 |
| US11038699B2 (en) | 2019-08-29 | 2021-06-15 | Advanced New Technologies Co., Ltd. | Method and apparatus for performing multi-party secure computing based-on issuing certificate |
| CN114762290A (zh) * | 2019-12-06 | 2022-07-15 | 三星电子株式会社 | 对数字密钥进行管理的方法和电子装置 |
| CN114969711A (zh) * | 2022-05-13 | 2022-08-30 | 北京百度网讯科技有限公司 | 一种安全认证方法、电子设备及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856485A (zh) * | 2014-02-14 | 2014-06-11 | 武汉天喻信息产业股份有限公司 | 可信用户界面安全指示器的初始化***及方法 |
| US20150271160A1 (en) * | 2014-03-20 | 2015-09-24 | Oracle International Corporation | System and method for provisioning secrets to an application (ta) on a device |
| CN105260663A (zh) * | 2015-09-15 | 2016-01-20 | 中国科学院信息工程研究所 | 一种基于TrustZone技术的安全存储服务***及方法 |
| CN105429760A (zh) * | 2015-12-01 | 2016-03-23 | 神州融安科技(北京)有限公司 | 一种基于tee的数字证书的身份验证方法及*** |
| CN105590051A (zh) * | 2015-11-18 | 2016-05-18 | ***股份有限公司 | 用于可信执行环境的可信应用生成及安装方法 |
| CN105790938A (zh) * | 2016-05-23 | 2016-07-20 | ***股份有限公司 | 基于可信执行环境的安全单元密钥生成***及方法 |
| CN106102054A (zh) * | 2016-05-27 | 2016-11-09 | 深圳市雪球科技有限公司 | 一种对安全单元进行安全管理的方法以及通信*** |
| CN106658350A (zh) * | 2015-10-30 | 2017-05-10 | ***通信集团公司 | 一种进行协同管理的方法及装置 |
| WO2017208064A1 (en) * | 2016-05-30 | 2017-12-07 | Silverleap Technology Limited | System and method for ensuring system integrity against, and detection of, rollback attacks for stored value data in mobile devices |
-
2017
- 2017-12-29 CN CN201711484484.1A patent/CN108282466B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856485A (zh) * | 2014-02-14 | 2014-06-11 | 武汉天喻信息产业股份有限公司 | 可信用户界面安全指示器的初始化***及方法 |
| US20150271160A1 (en) * | 2014-03-20 | 2015-09-24 | Oracle International Corporation | System and method for provisioning secrets to an application (ta) on a device |
| CN105260663A (zh) * | 2015-09-15 | 2016-01-20 | 中国科学院信息工程研究所 | 一种基于TrustZone技术的安全存储服务***及方法 |
| CN106658350A (zh) * | 2015-10-30 | 2017-05-10 | ***通信集团公司 | 一种进行协同管理的方法及装置 |
| CN105590051A (zh) * | 2015-11-18 | 2016-05-18 | ***股份有限公司 | 用于可信执行环境的可信应用生成及安装方法 |
| CN105429760A (zh) * | 2015-12-01 | 2016-03-23 | 神州融安科技(北京)有限公司 | 一种基于tee的数字证书的身份验证方法及*** |
| CN105790938A (zh) * | 2016-05-23 | 2016-07-20 | ***股份有限公司 | 基于可信执行环境的安全单元密钥生成***及方法 |
| CN106102054A (zh) * | 2016-05-27 | 2016-11-09 | 深圳市雪球科技有限公司 | 一种对安全单元进行安全管理的方法以及通信*** |
| WO2017208064A1 (en) * | 2016-05-30 | 2017-12-07 | Silverleap Technology Limited | System and method for ensuring system integrity against, and detection of, rollback attacks for stored value data in mobile devices |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020034907A1 (zh) * | 2018-08-16 | 2020-02-20 | 腾讯科技(深圳)有限公司 | 认证信息传输方法、密钥管理客户端及计算机设备 |
| CN109492371B (zh) * | 2018-10-26 | 2021-01-26 | 中国联合网络通信集团有限公司 | 一种数字证书空发方法及装置 |
| CN109492371A (zh) * | 2018-10-26 | 2019-03-19 | 中国联合网络通信集团有限公司 | 一种数字证书空发方法及装置 |
| CN109766152A (zh) * | 2018-11-01 | 2019-05-17 | 华为终端有限公司 | 一种交互方法及装置 |
| US11709929B2 (en) | 2018-11-01 | 2023-07-25 | Huawei Technologies Co., Ltd. | Interaction method and apparatus |
| CN109766152B (zh) * | 2018-11-01 | 2022-07-12 | 华为终端有限公司 | 一种交互方法及装置 |
| CN111245620B (zh) * | 2018-11-29 | 2023-10-27 | 北京中金国信科技有限公司 | 一种在终端中的移动安全应用架构及其构建方法 |
| CN111245620A (zh) * | 2018-11-29 | 2020-06-05 | 北京中金国信科技有限公司 | 一种在终端中的移动安全应用架构及其构建方法 |
| US11496900B2 (en) * | 2019-02-26 | 2022-11-08 | Samsung Electronics Co., Ltd. | Electronic device and method for storing user identification information |
| US20200275274A1 (en) * | 2019-02-26 | 2020-08-27 | Samsung Electronics Co., Ltd. | Electronic device and method for storing user identification information |
| CN110399714B (zh) * | 2019-04-10 | 2023-08-08 | ***股份有限公司 | 用于验证终端的可信用户界面真实性的方法及其*** |
| CN110399714A (zh) * | 2019-04-10 | 2019-11-01 | ***股份有限公司 | 用于验证终端的可信用户界面真实性的方法及其*** |
| US11038699B2 (en) | 2019-08-29 | 2021-06-15 | Advanced New Technologies Co., Ltd. | Method and apparatus for performing multi-party secure computing based-on issuing certificate |
| US11228450B2 (en) | 2019-08-29 | 2022-01-18 | Advanced New Technologies Co., Ltd. | Method and apparatus for performing multi-party secure computing based-on issuing certificate |
| CN110535628B (zh) * | 2019-08-29 | 2020-07-17 | 阿里巴巴集团控股有限公司 | 通过证书签发进行多方安全计算的方法及装置 |
| CN110535628A (zh) * | 2019-08-29 | 2019-12-03 | 阿里巴巴集团控股有限公司 | 通过证书签发进行多方安全计算的方法及装置 |
| CN114762290A (zh) * | 2019-12-06 | 2022-07-15 | 三星电子株式会社 | 对数字密钥进行管理的方法和电子装置 |
| CN114762290B (zh) * | 2019-12-06 | 2024-04-19 | 三星电子株式会社 | 对数字密钥进行管理的方法和电子装置 |
| CN112866235A (zh) * | 2020-08-28 | 2021-05-28 | 支付宝(杭州)信息技术有限公司 | 一种数据处理方法、装置及设备 |
| CN112866235B (zh) * | 2020-08-28 | 2023-03-24 | 支付宝(杭州)信息技术有限公司 | 一种数据处理方法、装置及设备 |
| CN114969711A (zh) * | 2022-05-13 | 2022-08-30 | 北京百度网讯科技有限公司 | 一种安全认证方法、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108282466B (zh) | 2021-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108282466A (zh) | 用于在tee中提供数字证书功能的方法、*** | |
| US20220417230A1 (en) | Managing credentials of multiple users on an electronic device | |
| CA2961916C (en) | Secure processing of data | |
| CN105391840B (zh) | 自动创建目标应用程序 | |
| CA2830260C (en) | Virtualization and secure processing of data | |
| US9210133B2 (en) | Method and system of providing authentication of user access to a computer resource via a mobile device using multiple separate security factors | |
| US11178124B2 (en) | Secure pairing of a processor and a secure element of an electronic device | |
| US20060078109A1 (en) | Information processing apparatus, information processing method, and program | |
| US10929843B2 (en) | Storage of credential service provider data in a security domain of a secure element | |
| EP3430829B1 (en) | Managing program credentials on electronic devices | |
| US20150095238A1 (en) | Online payments using a secure element of an electronic device | |
| CN108282467B (zh) | 数字证书的应用方法、*** | |
| TW202105284A (zh) | 供應數位支付裝置 | |
| CN104903910A (zh) | 控制移动装置对安全数据的访问 | |
| CA2568990C (en) | Smart card data transaction system and methods for providing storage and transmission security | |
| US20150310432A1 (en) | Secure element architectural services | |
| CN103873241B (zh) | 安全盾、数字证书管理***和方法 | |
| Ahmad et al. | Enhancing the security of mobile applications by using TEE and (U) SIM | |
| CN102118745B (zh) | 一种移动支付数据安全加密方法、装置及手机 | |
| KR101795849B1 (ko) | 핀테크 서비스 연동을 위한 인증 장치 및 방법과 이를 위한 컴퓨터 프로그램 | |
| CN105208031A (zh) | 一种终端认证方法 | |
| WO2015177574A1 (en) | Provisioning of secure host card emulation | |
| TW201347574A (zh) | 空中發行多張近場通訊會員卡系統 | |
| US20230360023A1 (en) | Techniques to process contactless card functions in a multiple banking system environment | |
| KR102380504B1 (ko) | 북마클릿을 이용한 전자 지갑 서비스 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |