TEE相关专利信息 (中篇)
[061]
[发明公布] 双执行环境之间双向访问应用的方法
申请公布号:CN105592019A
申请公布日:2016.05.18
申请号:2014106135483
申请日:2014.11.05
申请人:中国银联股份有限公司
发明人:鲁志军;
地址:200135上海市浦东新区含笑路36号银联大厦
分类号:H04L29/06(2006.01)I; H04L29/08(2006.01)
摘要: 本发明涉及一种双执行环境之间双向访问应用的方法,包括:第一客户应用通过第一通信模块发出对第一安全应用的访问请求;第一安全应用对访问请求进行第一阶段处理,以得到第一结果数据并转送到第二通信模块;第二通信模块根据第一结果数据,在第一通信模块和第二通信模块之间建立至少一双向通信信道,以使第一安全应用分别通过各双向通信信道回访各第二客户应用;第一安全应用基于回访各第二客户应用所得的各回访结果,对访问请求进行第二阶段处理,以生成对应于访问请求的最终结果数据;第一安全应用向第一客户应用返回最终结果数据。其使TEE应用在处理来自REE应用的请求过程中可以并行地回访多个REE应用。
[062]
[发明公布] 一种在设备之间进行授权的方法和装置
申请公布号:CN105592071A
申请公布日:2016.05.18
申请号:2015107858272
申请日:2015.11.16
申请人:中国银联股份有限公司
发明人:李定洲;
地址:200135上海市浦东新区含笑路36号银联大厦
分类号:H04L29/06(2006.01)
摘要: 在设备之间进行授权的方法的装置。方法包括授权过程,该授权过程包括:在第一设备的TEE端生成并加密授权信息,在第一设备的REE端将经加密的授权信息传输到第二设备,在第二设备的REE端接收经加密的授权信息,在第二设备的TEE端解密并验证经加密的授权信息,在第二设备存储该授权信息。
[063]
[发明公布] 将文件加载到电子装置中的随机存取存储器中的方法和相关联电子装置
申请公布号:CN105574414A
申请公布日:2016.05.11
申请号:2015107405291
申请日:2015.11.04
申请人:欧贝特科技公司
发明人:A·弗朗索瓦; M·萨托里
地址:法国科隆贝
分类号:G06F21/57(2013.01)
摘要: 本发明涉及一种将文件加载到一个电子装置中的随机存取存储器中的方法,由于该电子装置的一个处理器执行一个可信操作系统,该电子装置被设计为在一个可信执行环境(TEE)中运行,或者在一个富执行环境(REE)中运行,其特征在于,该方法包括以下多个步骤:-由该可信操作系统接收(E10)标识(L1)至少一个文件的信息(L1);-由该可信操作系统按照至少一个给定标准验证(E11)所标识的该文件的符合性;-如果符合,当运行在该富执行环境(REE)中时,将所标识的该文件加载(E13)到以只读模式访问的随机存取存储器的一个区域(Z2)中。还提出了一种相关联的电子装置。
[064]
[发明公布] 用户界面切换方法和终端
申请公布号:CN105528554A
申请公布日:2016.04.27
申请号:2015108597195
申请日:2015.11.30
申请人:华为技术有限公司
发明人:姚冬冬
地址:518129广东省深圳市龙岗区坂田华为总部办公楼
分类号:G06F21/62(2013.01)I; G06F21/83(2013.01)
摘要: 本发明提供一种用户界面切换方法和终端,终端根据用户在CA界面上的第一操作,触发CA的TUI显示请求后,根据TUI显示请求,将CA的显示环境从REE切换到TEE,然后显示CA在TEE中的TA界面,此时,用户可以在TA界面上进行敏感信息的输入操作,而运行在REE中的恶意程序无法访问硬件设备来获取用户在TEE中的输入操作,从而通过上述方法进行用户输入操作时避免了用户的敏感信息被盗取的可能性,有效的提高了用户输入操作的安全性。
[065]
[发明公布] 一种更新密钥的方法、装置和系统
申请公布号:CN105515768A
申请公布日:2016.04.20
申请号:2016100124431
申请日:2016.01.08
申请人:腾讯科技(深圳)有限公司
发明人:叶轩
地址:518000广东省深圳市福田区振兴路赛格科技园2栋东403室
分类号:H04L9/08(2006.01)I; H04L29/06(2006.01)
摘要: 本发明公开了一种更新密钥的方法、装置和系统,属于电子技术领域。所述方法包括:接收业务服务器发送的密钥更新通知,通过终端安全区域TEE系统,生成一对新私钥和新公钥,将所述新私钥存储在所述TEE系统中,并使用所述新私钥的上级私钥对所述新公钥进行签名处理,得到第一待验签信息,向所述业务服务器发送携带有本地的设备标识、所述新公钥以及所述第一待验签信息的第一存储请求,以使所述业务服务器获取预先存储的所述设备标识对应的上级公钥,基于所述上级公钥对所述第一待验签信息进行验签处理,如果验签成功,则存储所述新公钥。采用本发明,可以增强更新密钥的安全性。
[066]
[发明公布] 一种基于TEE的动态口令的身份验证方法及系统
申请公布号:CN105516104A
申请公布日:2016.04.20
申请号:2015108625284
申请日:2015.12.01
申请人:神州融安科技(北京)有限公司
发明人:李登峰
地址:100086北京市海淀区中关村南大街2号数码大厦A座7层701室
分类号:H04L29/06(2006.01)
摘要: 本申请公开了一种基于TEE的动态口令的身份验证方法,包括终端预先配置动态口令系统、动态口令生成过程和动态口令验证过程,所述终端具备TEE,所述动态口令生成过程,在终端上进行,用于针对用户请求生成动态口令,所述动态口令验证过程用于认证请求的用户的身份,认证方式包括所述动态口令;其中,所述动态口令生成过程在TEE下进行;本发明提供的基于TEE的动态口令系统,动态口令生成过程、密码运算过程及用户鉴别过程在TEE下进行,用户的密钥、身份信息、生物特征信息和口令信息等敏感信息在TEE下通过安全存储模块存储,避免了现有技术中的诸多问题,如动态口令生成过程在REE中进行、用户敏感信息在REE环境下存储,产生隐私泄露、财产被窃取的隐患等。
[067]
[发明公布] 基于生物识别技术的移动支付设备、方法和装置
申请公布号:CN105488679A
申请公布日:2016.04.13
申请号:201510848445X
申请日:2015.11.27
申请人:小米科技有限责任公司
发明人:胡杨; 黄媛媛
地址:100085北京市海淀区清河中街68号华润五彩城购物中心二期13层
分类号:G06Q20/40(2012.01)
摘要: 本公开是关于一种基于生物识别技术的移动支付设备、方法和装置,属于移动支付技术领域。移动支付设备包括:生物信息识别应用和运行在TEE中的通用支付TA;通用支付TA用于供多个第三方支付应用调用,接收第三方支付应用的调用请求,根据调用请求确定需要加密的目标内容和执行加密所需的加密参数,从生物信息识别应用获取生物信息识别结果,根据加密参数和生物信息识别结果对目标内容进行加密,向第三方支付应用返回加密结果,使得第三方支付应用根据加密结果执行支付相关操作。实现了多个第三方支付应用共用一个通用支付TA,一方面有助于减少签名费用,另一方面有效避免移动终端安装到恶意的第三方支付应用,降低TEE的安全风险。
[068]
[发明公布] 用于远程存储的数据的保护方案
申请公布号:CN105493097A
申请公布日:2016.04.13
申请号:2013800791919
申请日:2013.09.27
申请人:英特尔公司
发明人:H·内利特尔塔;
地址:美国加利福尼亚
分类号:G06F21/60(2006.01)I; G06F15/16(2006.01)
摘要: 本公开涉及一种用于远程存储的数据的保护方案。系统可以包括,例如包括至少一个虚拟机(VM)的至少一个设备;以及受信的执行环境(TEE)。TEE可以包括用于对从至少一个VM接收的数据进行加密和解密的加密服务。在一个实施例中,该至少一个虚拟机可以包括用于与加密服务中的接口进行交互的加密代理。例如,加密代理可以向加密服务注册,此时,可以生成与该至少一个VM相对应的加密密钥。在验证加密代理的注册之后,加密服务可以利用于该至少一个VM相对应的加密密钥来对从加密代理接收的数据进行加密和解密。加密服务可以随后将加密后或解密后的数据返回给加密代理。
[069]
[发明公布] 一种提升杀毒应用程序安全性的方法及系统
申请公布号:CN105468969A
申请公布日:2016.04.06
申请号:2015108015847
申请日:2015.11.19
申请人:中科创达软件股份有限公司
发明人:杨光; 王四军
地址:100191北京市海淀区龙翔路甲1号泰翔商务楼4层401-409
分类号:G06F21/55(2013.01)
摘要: 本申请公开了一种提升杀毒应用程序安全性的方法及系统,杀毒应用程序主体将提取的各应用程序的应用信息数据存入文件系统中,处于TEE的杀毒引擎服务端从文件系统获取应用信息数据,然后利用预先加载的病毒库对应用信息数据进行检测,并将检测结果通过杀毒引擎客户端发送给杀毒应用程序主体。本发明将杀毒应用程度中的关键模块杀毒引擎服务端转移到基于TrustZone的安全操作系统的TEE中,从而使杀毒应用程序在Android操作系统中运行到这些关键模块时,自动跳转到基于TrustZone的安全操作系统来执行,由于该安全操作系统本身是为安全设计,因此不会开源出源代码给攻击者研究,从而加大了攻击者分析和研究的难度。
[070]
[发明公布] 一种安全管控的方法、装置及系统
申请公布号:CN105468980A
申请公布日:2016.04.06
申请号:2015107831195
申请日:2015.11.16
申请人:华为技术有限公司
发明人:卫渊
地址:518129广东省深圳市龙岗区坂田华为总部办公楼
分类号:G06F21/57(2013.01)
摘要: 本发明公开了一种安全管控的方法,应用于信任区管理系统,信任区管理系统包括可信执行环境TEE和普通执行环境REE,TEE中包括可信应用装置和安全操作装置,REE中包括验证代理装置和SELinux安全服务装置,所述方法包括:可信应用装置向验证代理装置发送测试命令,测试命令用于验证代理装置对SELinux安全服务装置进行安全性检测;接收验证代理装置返回的检测结果;根据检测结果确定SELinux安全服务装置被攻击,则向安全操作装置发送异常通知,异常通知用于安全操作装置对SELinux安全服务装置进行安全处理操作。本发明实施例的方案,当REE侧的系统被攻击时,可以及时发现,并进行安全处理操作。
[071]
[发明公布] 安全管理的位置和跟踪服务访问
申请公布号:CN105474677A
申请公布日:2016.04.06
申请号:2013800790070
申请日:2013.09.19
申请人:英特尔公司
发明人:N.M.史密斯; A.沙利夫
地址:美国加利福尼亚州
分类号:H04W12/06(2006.01)
摘要: 本文中描述了用于安全管理的位置和跟踪服务(LTS)访问的系统和技术。可信执行环境(TEE)可以建立到LTS的连接。TEE可以将连接起源于TEE的验证提供给LTS。TEE可以使用连接来向LTS请求移动装置的LTS位置。TEE可以将LTS位置提供给移动装置的应用。
[072]
[发明公布] 安全存储方法及设备
申请公布号:CN105446713A
申请公布日:2016.03.30
申请号:2014103981235
申请日:2014.08.13
申请人:阿里巴巴集团控股有限公司
发明人:孙元博; 林钧燧
地址:英属开曼群岛大开曼资本大厦一座四层847号邮箱
分类号:G06F9/44(2006.01)
摘要: 本发明提供一种安全存储方法及设备。安全存储方法适用于终端设备,终端设备支持REE和TEE,该方法包括:位于REE中的第一应用程序模块将待存储的第一数据发送给位于REE中的控制管理模块;控制管理模块通过REE与TEE之间的数据通道,将第一数据发送给位于TEE中的可信应用模块;可信应用模块将第一数据存储到TEE使用的文件系统中。本发明技术方案利用TEE可以提高数据存储的安全性。
[073]
[发明公布] 基于硬件隔离环境的可信应用检测的方法及装置
申请公布号:CN105447387A
申请公布日:2016.03.30
申请号:2015107447218
申请日:2015.11.05
申请人:工业和信息化部电信研究院
发明人:国炜;
地址:100191北京市海淀区花园北路52号
分类号:G06F21/56(2013.01)
摘要: 本发明提供了一种基于硬件隔离环境的可信应用检测的方法及装置,涉及可信执行环境技术领域。该方法包括:对待被检测的可信应用安装包进行信任链检测;若信任链检测合格,将可信应用安装包对应的可信应用安装于TEE环境中;运行可信应用,验证可信应用的执行时间的唯一性和原子性;若验证可信应用的执行时间的唯一性和原子性合格,提取可信应用的预先设置的应用标识,以及可信应用的代码和数据存储的地址空间值,进行应用间隔离检测;若对可信应用进行应用间隔离检测合格,对可信应用进行漏洞检测,确定可信应用是否为风险恶意应用。本发明可以解决TEE执行环境下的可信应用安全性问题。
[074]
[发明公布] 一种基于TEE的数字证书的身份验证方法及系统
申请公布号:CN105429760A
申请公布日:2016.03.23
申请号:2015108626380
申请日:2015.12.01
申请人:神州融安科技(北京)有限公司
发明人:李登峰
地址:100086北京市海淀区中关村南大街2号数码大厦A座7层701室
分类号:H04L9/32(2006.01)
摘要: 本申请公开了一种基于TEE的数字证书的身份验证方法,包括终端预先配置数字证书系统、数字证书签名过程和数字证书验签过程,其特征在于,所述终端具备TEE,所述数字证书签名过程,在所述终端上进行,用于针对用户请求使用数字证书私钥进行签名,所述数字证书验签过程用于认证请求的用户的身份,认证方式包括验证所述数字证书的合法性及有效性、所述签名的完整性及正确性;其中,所述数字证书签名过程在TEE下进行;用户的密钥、身份信息、生物特征信息和口令信息等敏感信息在TEE下通过安全存储模块存储,避免了现有技术中的诸多问题,如签名过程在REE中进行、用户敏感信息在REE环境下存储,产生隐私泄露、财产被窃取的隐患等。
[075]
[发明公布] 可信执行环境处理信息的方法、装置、终端及SIM卡
申请公布号:CN105101169A
申请公布日:2015.11.25
申请号:2014102006820
申请日:2014.05.13
申请人:中国移动通信集团公司
发明人:任晓明; 黄更生
地址:100032北京市西城区金融大街29号
分类号:H04W8/22(2009.01)
摘要: 本发明提供一种可信执行环境处理信息的方法、装置、终端及SIM卡,涉及数据业务领域。其中,该方法应用于一终端,包括:可信执行环境TEE模块发送OS验证请求给所述终端的SIM卡的管理模块,所述SIM卡的管理模块预置用于验证外部平台实体TSM的安全启动公钥;所述TEE模块接收所述SIM卡的管理模块利用其预置的安全启动公钥返回的验证结果,并根据所述验证结果完成所述TEE模块的安全启动。该方法通过在SIM卡的管理模块中预置的安全启动公钥的验证实现可信执行环境TEE模块的安全启动以及所述TEE模块与SIM卡中的可信应用模块的通信,提高了终端的安全性能;同时解决了不同运营商对终端的捆绑问题,满足开放市场终端的需求。
[076]
[发明公布] 基于触摸屏的安全输入方法
申请公布号:CN104899528A
申请公布日:2015.09.09
申请号:2015102259335
申请日:2015.05.06
申请人:深圳市小兵智能科技有限公司
发明人:张炅; 白浪
地址:518000广东省深圳市南山区科智西路3号科苑西27栋101
分类号:G06F21/83(2013.01)
摘要: 本发明提供了一种基于触摸屏的安全输入方法,包括以下步骤:S1、开始;S2、应用申请输入服务;S3、是否为安全PIN的输入,如果不是,则进行普通输入,如果是,则进入下一步;S4、启动安全输入机制;S5、调用随机数字分布虚拟键盘;S6、进入TEE安全通道;S7、输入完毕,提交给相应应用;S8、结束。本发明的有益效果是:调用随机数字分布虚拟键盘进入输入,进入TEE安全通道,可以较好的避免密码被窃取。
[077]
[发明公布] 一种访问可信执行环境、可信应用的系统及方法
申请公布号:CN104765612A
申请公布日:2015.07.08
申请号:2015101739284
申请日:2015.04.10
申请人:武汉天喻信息产业股份有限公司
发明人:李纪赛; 樊永亮; 方明伟
地址:430223湖北省武汉市东湖开发区华中科技大学科技园天喻大厦
分类号:G06F9/44(2006.01)I; G06F13/14(2006.01)
摘要: 本发明公开了一种访问可信执行环境、可信应用的系统及方法,涉及移动终端设备领域。该方法包括以下步骤:先将事先开发好或修改好的CA、TA分别部署到REE、TEE中;创建并部署能够解析CA行为脚本、识别指定行为的TEE访问模块到REE中;然后编写用于描述CA访问需求、指定CA访问行为的CA行为脚本;当CA运行到需要访问TEE中TA时,CA读取CA行为脚本,并将该CA行为脚本的内容传递给TEE访问模块;TEE访问模块对接收到的CA行为脚本进行解析,并按照所识别的CA行为脚本的指定行为去访问TEE中的TA。本发明能够有效提高CA的通用性,实现TEE及TA的灵活访问。
[078]
[发明公布] 一种可信执行环境TEE初始化方法及设备
申请公布号:CN104754552A
申请公布日:2015.07.01
申请号:2013107270628
申请日:2013.12.25
申请人:中国移动通信集团公司
发明人:任晓明; 黄更生
地址:100032北京市西城区金融大街29号
分类号:H04W8/18(2009.01)
摘要: 本发明公开了一种可信执行环境TEE初始化方法,基于在移动终端的TEE中预设的运营商标识的列表或所述运营商标识与公钥的对应关系表,将从SIM卡中获取的运营商标识进行比对并获取公钥,在利用公钥对TSM平台认证通过后完成TEE的加载处理并从所述TSM平台下载所述TEE的管理密钥。从而在对移动终端中的TEE进行初始化之前不再需要额外指定运营商,提升了现有移动终端的开放性以及用户的使用体验。
[079]
[发明公布] 一种移动支付方法及移动设备
申请公布号:CN104700268A
申请公布日:2015.06.10
申请号:2015101449031
申请日:2015.03.30
申请人:中科创达软件股份有限公司
发明人:杨光; 王四军
地址:100191北京市海淀区龙翔路甲1号泰翔商务楼4层401-409
分类号:G06Q20/34(2012.01)I; G06Q20/38(2012.01)
摘要: 本发明实施例公开了一种移动支付方法及移动设备,用于有效地增强移动支付的存储和运算能力。本发明实施例方法包括:移动设备中的RF-SIM卡接收支付请求方发送的支付请求,该支付请求中包含支付数据;移动设备中的支付处理单元从移动设备中的RF-SIM卡中获取支付数据;移动设备中的支付处理单元根据支付数据和用户信息进行支付处理得到支付处理数据,该用户信息从TEE的内存中获取;移动设备中的RF-SIM卡从移动设备中的支付处理单元获取支付处理数据;向支付请求方发送支付处理数据。从而实现将RF-SIM卡的一些存储和运算能力放到移动设备的安全的TEE环境中,有效地增强了安全支付的存储和运算能力。
[080]
[发明公布] 针对具有运行时环境的移动基站的内容管理
申请公布号:CN104704507A
申请公布日:2015.06.10
申请号:2013800509778
申请日:2013.09.10
申请人:德国捷德有限公司
发明人:C.迪策; G.高尔卡
地址:德国慕尼黑
分类号:G06F21/74(2006.01)I; H04L29/06(2006.01)
摘要: 本发明涉及移动基站,该移动基站包括具有安全运行时环境(TEE)和包括可移除的或安全地实现的安全性元件(SE)的移动终端装置(ME)。该安全性元件(SE)配备有终端装置发送服务器(TEE-TSM),该安全性元件(SE)设计为向所述安全运行时环境(TEE)发送终端消息,所述消息可由安全运行时环境(TEE)接收。该终端装置消息由对安全性元件(SE)提供的可信服务管理器(SE-TSM)发送到所述安全性元件(SE),由此确保恒定安全性的更高效率。
[081]
[发明公布] 一种用于移动终端进行安全地信息处理的方法和安全装置
申请公布号:CN104636666A
申请公布日:2015.05.20
申请号:2013105497393
申请日:2013.11.07
申请人:中国移动通信集团公司
发明人:任晓明
地址:100032北京市西城区金融大街29号B座十二层
分类号:G06F21/57(2013.01)I; G06F21/51(2013.01)
摘要: 本发明实施例公开了一种用于移动终端进行安全地信息处理的方法和安全装置,该方法包括:在移动终端的SE中存储预设密钥,在所述移动终端的TEE的OS内存储所述预设密钥以外的其他密钥;所述移动终端的TEE在需要对当前信息处理进行安全操作时,判断所述安全操作的密钥是存储在所述TEE的OS内还是存储在所述SE内;当所述安全操作的密钥存储在所述SE内时,所述TEE向所述SE发送安全操作请求,所述SE接收所述安全操作请求,根据所述安全操作请求采用存储在所述SE内的密钥执行安全操作,将操作结果返回给所述TEE。应用本发明能够提高移动终端进行信息处理的安全性。
[082]
[发明公布] 用于维持安全时间的方法和设备
申请公布号:CN104620253A
申请公布日:2015.05.13
申请号:2013800471215
申请日:2013.09.11
申请人:意法爱立信有限公司
发明人:佩尔·斯塔尔;
地址:瑞士普朗莱乌特尚德菲耶路39号
分类号:G06F21/72(2006.01)I; G06F21/74(2006.01)
摘要: 公开了一种维持计算装置的安全时间的示例性方法,其中,一个或多个处理器实现富执行环境(REE)和独立的可信执行环境(TEE)。所述TEE维持实时时钟(RTC),实时时钟提供RTC时间给所述REE。RTC偏移被存储在非易失性存储器中,其中,所述RTC偏移指示RTC时间和受保护的基准(PR)时间之间的差值。响应于来自所述REE的用于读取RTC时间的请求,当前RTC时间被返回至REE。响应于来自所述REE的用于调节RTC时间的请求,以相同的量调节RTC时间和相应的RTC偏移,使得所述PR时间不被RTC调节所改变。还公开了可操作以执行所述方法的示例性计算装置。
[083]
[发明公布] 一种基于Android系统的安全支付方法
申请公布号:CN104537537A
申请公布日:2015.04.22
申请号:2014108127833
申请日:2014.12.24
申请人:深圳市小兵智能科技有限公司
发明人:张炅; 白浪
地址:518000广东省深圳市南山区科智西路3号科苑西27栋101
分类号:G06Q20/38(2012.01)I; G06Q20/40(2012.01)
摘要: 本发明提供了一种基于Android系统的安全支付方法,包括以下步骤:S1、用户登录;S2、身份验证;S3、支付申请;S4、验证应用程序是否为受信任公司,如果是,则进行下一步,如果不是,则结束;S5、受信任应用程序的支付;S6、进入TEE内核;S7、功能安全及证书安全;S8、提交支付到支付网关;S9、受理;S10、返回数据,如果成功,则进入下一步,如果失败,则返回步骤S3;S11、结束。本发明的有益效果是:把TEE支付规范嵌入到Android系统中,把安全部件的运行与不安全部件的运行分离开来,实现高安全性的支付。
[084]
[发明公布] 具有传感器数据安全性的移动平台
申请公布号:CN104541279A
申请公布日:2015.04.22
申请号:201380042646X
申请日:2013.09.10
申请人:英特尔公司
发明人:G·普拉卡什; J·沃克; S·达杜
地址:美国加利福尼亚
分类号:G06F21/60(2006.01)I; G06F21/30(2006.01)
摘要: 概括而言,本公开描述了用于将上下文传感器数据安全地提供给移动平台应用的设备、方法和系统。所述方法可以包括:将一个或多个传感器配置为提供上下文数据,所述上下文数据与移动设备相关联;将应用编程接口(API)提供给传感器驱动器,所述传感器驱动器被配置为控制所述传感器;提供在所述移动设备上工作的可信执行环境(TEE),所述TEE被配置为托管所述传感器驱动器,并且限制对所述传感器驱动器和对所述传感器的控制访问和数据访问;通过所述API来生成对所述上下文数据的请求,所述请求由与所述移动设备相关联的应用生成;由所述应用通过所述API来接收所请求的上下文数据和有效性指示符;由所述应用基于所述有效性指示符来验证所请求的上下文数据;以及基于验证后的上下文数据来调整与所述应用相关联的策略。
[085]
[发明公布] 移动终端可信用户输入输出接口的检测方法及系统
申请公布号:CN104462942A
申请公布日:2015.03.25
申请号:2014106700873
申请日:2014.11.20
申请人:工业和信息化部电信研究院
发明人:国炜;
地址:100191北京市海淀区花园北路52号
分类号:G06F21/50(2013.01)
摘要: 本发明提供的移动终端可信用户输入输出接口的检测方法及系统,包括移动终端将自身的运行环境从可信任执行环境切换到通用执行环境,或者将自身的运行环境从通用执行环境切换到可信任执行环境;中央处理器状态捕捉器监测移动终端的运行环境变化,生成移动终端的中央处理器当前所处环境的状态信息,并发送给模拟安全键盘系统和模拟显示系统。模拟安全键盘系统根据状态信息生成安全键盘逻辑操作状态;模拟显示系统根据状态信息生成显示逻辑分析信息;数据处理系统根据预先设置的规则信息、安全键盘逻辑操作状态、状态信息确定可信用户输入输出接口是否正常工作。本发明能够解决当前难以对REE和TEE综合的环境下进行可信用户输入输出接口检测的问题。
[086]
[发明公布] 一种提升可信执行环境安全性的方法、系统及终端
申请公布号:CN104125216A
申请公布日:2014.10.29
申请号:2014103086220
申请日:2014.06.30
申请人:华为技术有限公司
发明人:祝锂; 卢志华
地址:518129广东省深圳市龙岗区坂田华为总部办公楼
分类号:H04L29/06(2006.01)I; H04L9/32(2006.01)
摘要: 本发明实施例公开了一种提升可信执行环境TEE安全性的方法、系统及终端,方法包括:获取可信应用向目标服务器发起的连接请求,所述连接请求中包含所述目标服务器的标识;通过调制解调器获取智能卡中存储的服务器列表;根据所述目标服务器的标识判断所述目标服务器是否包含在所述服务器列表中;若是,则允许所述可信应用与所述目标服务器建立连接,若否,则拒绝所述可信应用与所述目标服务器建立连接。本发明实施例能够通过智能卡提升TEE的安全性。
[087]
[发明公布] 一种锁定和解锁应用的方法、装置及系统
申请公布号:CN104125226A
申请公布日:2014.10.29
申请号:2014103648622
申请日:2014.07.28
申请人:北京握奇智能科技有限公司
发明人:鲁洪成
地址:100102北京市朝阳区望京利泽中园101号启明国际大厦西侧7层
分类号:H04L29/06(2006.01)
摘要: 本发明提供一种锁定和解锁应用的方法、装置及系统,可信服务管理TSM平台接收请求指令,采用双向认证的方法通过可信执行环境TEE代理与主安全域ISD建立安全通道;根据所述请求指令生成操作授权信息以及操作指令,通过所述安全通道将所述操作授权信息以及操作指令通过所述安全通道发送至ISD,ISD接收所述操作授权信息以及操作指令,验证所述操作授权信息是否正确,当所述操作授权信息正确时,执行所述操作指令。利用本发明所提供的方法,可以锁定或解锁所指定的应用软件,锁定后的应用软件不能被操作,避免移动终端外借或丢失时,应用软件被使用所造成的信息泄露或财产损失,提高移动终端中所安装的应用软件的安全性。
[088]
[发明公布] 移动装置类型锁定
申请公布号:CN104081403A
申请公布日:2014.10.01
申请号:2012800530628
申请日:2012.10.26
申请人:T移动美国公司
发明人:A·A·奥贝迪
地址:美国华盛顿
分类号:G06F21/00(2013.01)
摘要: 本发明公开了装置类型锁定过程,其中用户装置的可信执行环境(TEE)获取存储在用户装置的标识模块上的电信服务计划类型标识符。用户装置的TEE随后基于所接收的计划类型标识符并与可选服务计划供应进程联合针对用户装置的电信服务提供商发起服务认证过程。由计划类型标识符指示的服务计划随后经由TEE与所指定的用户装置服务计划进行比较。基于所述比较结果,然后根据装置的当前操作状态,作出关于应该对用户装置进行锁定或解锁的确定。
[089]
[发明公布] 可信用户界面安全指示器的初始化系统及方法
申请公布号:CN103856485A
申请公布日:2014.06.11
申请号:2014100511261
申请日:2014.02.14
申请人:武汉天喻信息产业股份有限公司
发明人:熊传光; 方明伟; 吴俊军
地址:430223湖北省武汉市东湖开发区华中科技大学科技园天喻大厦
分类号:H04L29/06(2006.01)I; G06F21/16(2013.01)
摘要: 本发明公开了一种可信用户界面安全指示器的初始化系统及方法,涉及移动智能终端领域,该系统包括TSM服务器、应用商店和移动智能终端,移动智能终端包括移动智能终端操作系统和TEE,移动智能终端操作系统包括客户端应用模块和TEE客户端驱动模块,TEE是与移动智能终端操作系统隔离的安全运行环境,TEE内部在逻辑上被划分为多个安全域,保证可信应用之间的相互隔离和独立性;每个安全域中均设有安全域管理模块和可信应用模块,TEE为安全域管理模块和可信应用模块提供安全的运行环境。本发明能安全实现对可信应用模块提供的可信UI中安全指示器的个人化,有效提高安全指示器显示的可信度,降低被恶意软件攻击和截获的风险。
[090]
[发明公布] 适用于银行卡和行业卡的移动智能终端收单系统及方法
申请公布号:CN103793815A
申请公布日:2014.05.14
申请号:2014100320118
申请日:2014.01.23
申请人:武汉天喻信息产业股份有限公司
发明人:熊传光; 方明伟; 吴俊军
地址:430223湖北省武汉市东湖开发区华中科技大学科技园天喻大厦
分类号:G06Q20/32(2012.01)I; G06Q20/42(2012.01)
摘要: 本发明公开了一种适用于银行卡和行业卡的移动智能终端收单系统及方法,涉及移动智能终端领域,该系统包括银行或行业后台收单系统、移动智能终端和收单外设,移动智能终端包括移动智能终端操作系统和与该操作系统隔离的可信执行环境TEE,移动智能终端操作系统包括收单客户端应用模块,TEE包括收单可信应用模块,TEE提供可信交互界面、密码运算环境、安全存储环境;通过TSM技术远程实现收单可信应用模块的下载、更新、个人化以及删除;收单可信应用模块提供收单可信交互界面。本发明通过移动智能终端提供的TEE为收单业务提供安全的用户交互界面和密码算法运行环境,实现收单业务过程中安全的密码输入、加密处理及消息的可靠显示。
[091]
[发明公布] 访问控制的方法、装置和系统
申请公布号:CN107111511A
申请公布日:2017.08.29
申请号:2016800027317
申请日:2016.03.25
申请人:深圳前海达闼云端智能科技有限公司
发明人:王永辉
地址:518000广东省深圳市前海深港合作区前湾一路1号A栋201室(入驻深圳市前海商务秘书有限公司)
分类号:G06F9/455(2006.01)
摘要: 本发明提供了一种访问控制的方法、装置和系统,属于虚拟化技术领域。所述方法包括:接收应用程序发送的访问TrustZone的访问请求,访问请求包括应用程序所在的虚拟机标识,应用程序的应用标识;根据预设的访问策略、虚拟机标识和应用标识,确定应用程序能够访问TrustZone;将访问请求发送至TrustZone的请求响应模块。本发明接收应用程序发送的访问TrustZone的访问请求;根据预设的访问策略、虚拟机标识和应用标识,确定应用程序能够访问TrustZone;将访问请求发送至TrustZone的请求响应模块,实现了针对不同虚拟机标识和不同应用标识的访问权限进行灵活控制。
[092]
[发明公布] 一种基于TrustZone的资源分配方法及设备
申请公布号:CN107066331A
申请公布日:2017.08.18
申请号:201611184527X
申请日:2016.12.20
申请人:华为技术有限公司
发明人:张永; 熊伟; 柏信
地址:518129广东省深圳市龙岗区坂田华为总部办公楼
分类号:G06F9/50(2006.01)I; G06F9/48(2006.01)
摘要: 本发明实施例公开了一种基于TrustZone的资源调度方法及设备,该方法包括:当需要运行第一程序时,将第一程序的相关数据所占用的内存配置于普通世界normal world,以及将预设的多个程序中除该第一程序外的程序的数据所占用的内存配置于安全世界secure world;当需要运行第二程序时,将第二程序的相关数据所占用的内存配置于该普通世界,以及将该多个程序中除该第二程序外的程序的数据所占用的内存配置于该安全世界;该多个程序至少包括该第一程序和该第二程序,该多个程序的相关数据所占用的内存被配置在同一个CPU上运行。采用本发明,能够实现程序之间的有效隔离。
[093]
[发明公布] 基于TrustZone的数据加解密方法、装置及终端设备
申请公布号:CN106997439A
申请公布日:2017.08.01
申请号:2017102147127
申请日:2017.04.01
申请人:北京元心科技有限公司
发明人:孙国峰
地址:100176北京市北京经济技术开发区科创十四街99号33幢D栋2222号
分类号:G06F21/60(2013.01)I; H04L9/08(2006.01)
摘要: 本申请公开一种基于TrustZone的数据加解密方法、装置及终端设备。该加密方法包括:通过普通执行环境与可信执行环境之间的客户接口,向可信执行环境中的可信应用程序发送数据加密请求,数据加密请求包括:类密钥及待加密数据;可信应用程序根据预先存储于可信执行环境中的主密钥,对类密钥进行解密;可信应用程序根据解密后的类密钥,对待加密数据进行加密;以及可信应用程序通过客户接口,将加密后的待加密数据返回至普通执行环境中。该加密方法具有高度的安全性能及可扩展性。
[094]
[发明公布] 基于TrustZone的数据库文件口令加解密方法、装置及终端设备
申请公布号:CN106992851A
申请公布日:2017.07.28
申请号:2017102147131
申请日:2017.04.01
申请人:北京元心科技有限公司
发明人:孙国峰
地址:100176北京市北京经济技术开发区科创十四街99号33幢D栋2222号
分类号:H04L9/06(2006.01)
摘要: 本申请公开一种基于TrustZone的数据库文件口令加解密方法、装置及终端设备。该方法包括:接收口令创建请求,口令创建请求中包括:数据库文件的第一元数据及类密钥标识;为数据库文件创建用于加密数据库文件的口令,并将第一元数据与口令合并为第二元数据;查找存储的类密钥标识对应的类密钥;通过普通执行环境与可信执行环境之间的客户接口,向可信执行环境中的可信应用程序发送数据加密请求,数据加密请求包括:类密钥及第二元数据;可信应用程序根据预先存储于可信执行环境中的主密钥,对类密钥进行解密;可信应用程序根据解密后的类密钥,对第二元数据进行加密;以及可信应用程序通过客户接口,将加密后的第二元数据返回至普通执行环境中存储。
[094]
[发明公布] 基于TrustZone的通用口令存储及读取方法、装置及终端设备
申请公布号:CN106980793A
申请公布日:2017.07.25
申请号:2017102143592
申请日:2017.04.01
申请人:北京元心科技有限公司
发明人:孙国峰
地址:100176北京市北京经济技术开发区科创十四街99号33幢D栋2222号
分类号:G06F21/60(2013.01)I; H04L9/08(2006.01)
摘要: 本申请公开一种基于TrustZone的通用口令存储及读取方法、装置及终端设备。该通用口令存储方法包括:客户应用程序获取通用口令;客户应用程序向加解密存储服务发送口令存储请求,口令存储请求包括:应用场景及通用口令;加解密存储服务查找存储的应用场景对应的类密钥;通过客户接口,加解密存储服务向可信执行环境中的可信应用程序发送数据加密请求,数据加密请求包括:类密钥及待加密数据,待加密数据包括通用口令;可信应用程序根据预先存储于可信执行环境中的主密钥,对类密钥进行解密;可信应用程序根据解密后的类密钥,对待加密数据进行加密;以及可信应用程序通过客户接口,将加密后的待加密数据返回至加解密存储服务中存储。
[095]
[发明公布] 基于TrustZone的文件加解密方法、装置及终端设备
申请公布号:CN106980794A
申请公布日:2017.07.25
申请号:2017102147108
申请日:2017.04.01
申请人:北京元心科技有限公司
发明人:孙国峰
地址:100176北京市北京经济技术开发区科创十四街99号33幢D栋2222号
分类号:G06F21/60(2013.01)I; G06F21/62(2013.01)
摘要: 本申请公开一种基于TrustZone的文件加解密方法、装置及终端设备。该方法包括:接收文件的元数据加密请求,元数据加密请求包括:文件的元数据及类密钥标识,元数据包括:用于加密文件的文件密钥;查找存储的类密钥标识对应的类密钥;通过普通执行环境与可信执行环境之间的客户接口,向可信执行环境中的可信应用程序发送数据加密请求,数据加密请求包括:类密钥及元数据;可信应用程序根据预先存储于可信执行环境中的主密钥,对类密钥进行解密;可信应用程序根据解密后的类密钥,对元数据进行加密;以及可信应用程序通过客户接口,将加密后的元数据返回至普通执行环境中存储。该方法能够提高文件加密的安全性。
[096]
[发明公布] 基于TrustZone技术的AndroidAuto安全通信方法及系统
申请公布号:CN106899559A
申请公布日:2017.06.27
申请号:2015109692996
申请日:2015.12.21
申请人:上海交通大学
发明人:夏虞斌; 华志超; 陈海波
地址:200240上海市闵行区东川路800号
分类号:H04L29/06(2006.01)I; H04L29/08(2006.01)
摘要: 本发明提供的一种基于TrustZone技术的Android Auto安全通信方法及系统,包括步骤1,建立通信信道;步骤2,提取实时通信内容;步骤1包括:步骤1.1,车载终端经由加密信息提取模块向AndroidAuto发起连接请求;步骤1.2,建立加密信息提取模块与AndroidAuto之间的通信信道;步骤1.3,建立车载终端与加密信息提取模块之间的通信信道;步骤2包括:步骤2.1,加密信息提取模块接收并验证车载终端发出的通信内容;步骤2.2,AndroidAuto接收并验证加密信息提取模块发出的通信内容;步骤2.3,AndroidAuto将数据发送至对应的应用程序进行处理,完成信息传递。本发明能够有效截获AndroidAuto与车载系统间的所有通信内容,同时根据用户自定义的安全准则对通信内容进行实时的安全性审核。
[097]
[发明公布] 一种利用TrustZone技术防止第三方输入法敏感数据泄露的系统与方法
申请公布号:CN106650422A
申请公布日:2017.05.10
申请号:2016108920877
申请日:2016.10.13
申请人:中国科学院信息工程研究所
发明人:田琛;
地址:100093北京市海淀区闵庄路甲89号
分类号:G06F21/53(2013.01)
摘要: 本发明涉及一种利用TrustZone技术防止第三方输入法敏感数据泄露的系统与方法,其特征在于包括:位于普通执行环境中的拦截模块;位于可信执行环境中的安全键盘模块、数据分析模块、重放模块和敏感数据安全返回模块;结合数据分析模块保护普通应用程序中敏感数据的本地敏感数据保护模块;本发明有效地保证移动终端输入系统的安全性,具有通用性、高效且用户友好、强安全性等优势。
[098]
[发明公布] 一种基于TrustZone技术的安全输入系统与方法
申请公布号:CN106650514A
申请公布日:2017.05.10
申请号:2016108921314
申请日:2016.10.13
申请人:中国科学院信息工程研究所
发明人:田琛;
地址:100093北京市海淀区闵庄路甲89号
分类号:G06F21/83(2013.01)I; G06F3/0488(2013.01)
摘要: 本发明涉及一种基于TrustZone技术的安全输入系统与方法,包括:位于普通执行环境中的用户名和密码场景识别模块,位于可信执行环境中的键盘布局检测模块、隔离初始化模块和键值安全返回模块;本发明有效地保证移动终端输入系统的安全性,具有通用性、高效且用户友好、强安全性等优势。
[099]
[发明公布] 一种安全芯片、移动终端和实现移动终端系统安全的方法
申请公布号:CN106156618A
申请公布日:2016.11.23
申请号:2015101855694
申请日:2015.04.17
申请人:国民技术股份有限公司
发明人:翟岳辉
地址:518000广东省深圳市南山区高新南区粤兴三道9号华中科技大学产学研基地A座2-8层
分类号:G06F21/56(2013.01)
摘要: 本发明提供了一种安全芯片包括:存储单元,用于存储验证公钥;判断单元,用于根据验证公钥验证应用程序是否具有正确的私钥签名。该安全芯片应用于应用处理器为具有TrustZone架构的移动终端中,应用处理器的工作模式包括正常模式和安全模式,安全芯片连接应用处理器;当应用处理器从正常模式向安全模式切换时,判断单元判断应用程序是否具有正确的私钥签名,从而确定发起切换请求的程序是否可信;可信时,应用处理器从正常模式向安全模式切换,当不可信时,应用处理器不执行正常模式向安全模式切换,能够有效避免恶意应用程序访问可信执行环境中的可信应用。本发明还提供了对应的移动终端和实现移动终端系统安全的方法。
[100]
[发明公布] 软SIM通信方法、装置及终端
申请公布号:CN106162505A
申请公布日:2016.11.23
申请号:2015101345189
申请日:2015.03.25
申请人:中国移动通信集团公司
发明人:郑庆国; 王小旭
地址:100032北京市西城区金融大街29号
分类号:H04W4/00(2009.01)
摘要: 本发明实施例提供了软SIM通信方法、装置及终端,软SIM功能模块侧接收调用者的调用请求,其中,调用请求用于对软SIM功能模块为所封装的服务提供的调用接口进行调用;根据调用接口对应的SIM功能,从存储器获取实现SIM功能需要的数据,对调用请求进行处理为调用者提供SIM功能;其中,软SIM功能模块设置于信任区TrustZone系统的主处理器中,用于将SIM提供的不同功能对应封装成服务,并为服务提供对应SIM不同功能的调用接口;存储器为TrustZone系统的存储器,用于存储SIM业务数据。更加合理。本发明涉及移动通信技术领域。
[101]
[发明公布] 基于TrustZone硬件的面向任务的安全操作系统
申请公布号:CN105787391A
申请公布日:2016.07.20
申请号:2014108084471
申请日:2014.12.22
申请人:中国科学院信息工程研究所
发明人:于爱民; 马建刚
地址:100093北京市海淀区闵庄路甲89号
分类号:G06F21/74(2013.01)I; G06F9/48(2006.01)
摘要: 本发明涉及一种面向任务的安全操作系统。该面向任务的安全操作系统基于TrustZone硬件框架,具体包括安全引导过程、任务管理模块、信息寄存模块、调度任务、安全API以及应用程序和服务;其中安全引导过程完成软件相关的初始化工作以及调度任务的创建和启动;任务管理模块负责为安全操作系统提供任务管理机制;信息寄存模块负责为安全操作系统提供信息寄存机制;安全API负责为安全操作系统的应用程序和服务提供可调用的接口;调度任务负责安全操作系统与普通操作系统之间的切换,同时负责安全操作系统内部的任务之间的切换。本发明可以达到应用程序执行过程中的关键环节的保护,提升应用程序的抗攻击能力和抗盗版能力。
[102]
[发明公布] 一种智能终端的用户数据管理方法及装置
申请公布号:CN105678183A
申请公布日:2016.06.15
申请号:2015110285204
申请日:2015.12.30
申请人:青岛海信移动通信技术股份有限公司
发明人:程志; 邱绪东
地址:266071山东省青岛市市南区江西路11号
分类号:G06F21/62(2013.01)
摘要: 本发明公开了一种智能终端的用户数据管理方法及装置,用以解决目前将对安全性要求较高的用户数据与其它用户数据一起存储在用户数据分区中,难以保证对安全性要求较高的用户数据的安全性的问题。该方法为:TrustZone模块获取安全分区对应的应用列表,TrustZone模块属于智能终端的中央处理器,应用列表中包含多个允许访问安全分区的应用的应用标识,安全分区为智能终端对用户数据分区划分得到;TrustZone模块分别为应用列表中包含的每个应用分配密钥,将分配的密钥发送给对应的应用,并保存应用列表中每个应用的应用标识与密钥之间的对应关系,对应关系用于TrustZone模块对安全分区的访问请求进行访问控制。
[103]
[发明公布] 基于TrustZone架构的应用程序执行方法、装置和终端
申请公布号:CN105630534A
申请公布日:2016.06.01
申请号:2015102043129
申请日:2015.04.27
申请人:宇龙计算机通信科技(深圳)有限公司
发明人:申泽奇
地址:518040广东省深圳市车公庙天安数码城创新科技广场B座8楼
分类号:G06F9/445(2006.01)I; G06F9/45(2006.01)
摘要: 本发明提供了一种基于TrustZone架构的应用程序执行方法、装置和终端,其中,所述应用程序执行方法,包括:基于终端的TrustZone支持包和终端中的指定系统构建虚拟机;通过虚拟机中的编译器对应用程序的执行源文件进行编译,以形成字节码文件;通过类加载器将字节码文件加载至执行引擎,由执行引擎向指定系统申请分配内存,并通过指定系统将应用程序对应的进程装载至分配的内存中;由虚拟机中的解释器根据与指定系统相对应的指令集,将字节码文件解释为指定系统的执行指令,并将执行指令交由指定系统的内核进行执行。本发明的技术方案使得能够在确保安全系统中运行可信的应用程序的前提下,有效降低安全应用对系统平台的依赖性,提高了安全应用的可移植性。
[104]
[发明公布] 开机验证方法、开机验证装置和终端
申请公布号:CN105631259A
申请公布日:2016.06.01
申请号:2015102086143
申请日:2015.04.28
申请人:宇龙计算机通信科技(深圳)有限公司
发明人:吴科标; 周军
地址:518040广东省深圳市车公庙天安数码城创新科技广场B座8楼
分类号:G06F21/31(2013.01)I; G06F9/445(2006.01)
摘要: 本发明提供了一种开机验证方法、一种开机验证装置和一种终端,其中的开机验证方法包括:根据接收到的开机命令,启动所述终端的验证系统的引导程序,其中,所述验证系统为基于TrustZone的安全系统;通过所述引导程序启动所述验证系统;控制所述验证系统检测接收到的验证密码是否与预设验证密码一致;根据检测结果,确定是否启动所述终端的操作系统。通过本发明的技术方案,使用单独的验证系统进行开机验证,大大提升了终端的开机密码及密码校验程序的安全性,从而进一步保护了用户的隐私安全。
[105]
[发明公布] 安全属性切换方法、安全属性切换装置和终端
申请公布号:CN105631364A
申请公布日:2016.06.01
申请号:2015102599619
申请日:2015.05.20
申请人:宇龙计算机通信科技(深圳)有限公司
发明人:徐玮; 叶瑞权
地址:518040广东省深圳市车公庙天安数码城创新科技广场B座8楼
分类号:G06F21/74(2013.01)
摘要: 本发明提供了一种安全属性切换方法、一种安全属性切换装置和一种终端,其中,安全属性切换方法包括:从所述终端的TrustZone系统或操作系统向所述终端的安全属性切换器发送脉冲,其中,所述安全属性切换器的输出端与所述终端的总线桥接装置的输入端相连;控制所述安全属性切换器根据所述脉冲更改对所述总线桥接装置的输入信号,以供更改与所述终端相连的外设设备的安全属性。通过本发明的技术方案,节省了总线上的外设槽位,避免了使用应用层的软件控制关键设备带来的不安全的弊端,大大提升了终端的安全性。
[106]
[发明公布] 一种基于TrustZone的域空间切换系统及方法
申请公布号:CN105356998A
申请公布日:2016.02.24
申请号:2015106285748
申请日:2015.09.28
申请人:宇龙计算机通信科技(深圳)有限公司
发明人:江跃龙
地址:518057广东省深圳市南山区高新技术工业园北区酷派信息港2栋2层
分类号:H04L9/08(2006.01)
摘要: 本申请公开了一种基于TrustZone的域空间切换系统及方法,该系统包括:切换请求获取模块,用于当多域空间中的第一域空间需要切换至第二域空间时,获取相应的切换请求指令;提取指令生成模块,用于根据切换请求指令,生成密钥提取指令;TrustZone,用于存储切换密钥;域空间切换器,用于在密钥提取指令的控制下,从TrustZone中提取与切换至第二域空间时所对应的切换密钥;并利用该切换密钥完成相应的切换操作。本发明利用TrustZone存储用于切换域空间的切换密钥,由于TrustZone自身采用严格的安全机制进行构建,其内部保存的数据难以被外界盗取,从而提高了切换密钥的安全性。
[107]
[发明公布] 一种基于TrustZone技术的安全存储服务系统及方法
申请公布号:CN105260663A
申请公布日:2016.01.20
申请号:2015105866715
申请日:2015.09.15
申请人:中国科学院信息工程研究所
发明人:田琛;
地址:100093北京市海淀区闵庄路甲89号
分类号:G06F21/60(2013.01)
摘要: 一种基于TrustZone技术的安全存储服务系统及方法,包括数据请求模块、普通应用程序、安全存储服务、可信应用程序;数据请求模块负责普通应用程序与可信应用程序间数据安全存储服务请求的封装与调用,为普通应用程序提供统一的数据存储、数据加载和数据销毁的服务请求接口;安全存储服务包括合法性检测模块、数据处理模块和秘钥管理模块。本发明目的在于为支持TrustZone技术的终端设备上的应用程序提供统一的数据安全存储接口,既解决应用程序敏感数据的安全存储问题,又保证应用程序开发的便捷性。
[108]
[发明公布] 一种基于TrustZone的加密系统及方法
申请公布号:CN105138930A
申请公布日:2015.12.09
申请号:2015104919217
申请日:2015.08.12
申请人:山东超越数控电子有限公司
发明人:陈勇; 陈乃阔
地址:250100山东省济南市高新区孙村镇科航路2877号
分类号:G06F21/74(2013.01)I; G06F21/60(2013.01)
摘要: 本发明公开一种基于TrustZone的加密系统及方法,属于移动设备加密领域;本发明的移动设备系统建立正常模式和安全模式,安全模式下预置安全微内核,安全微内核将安全区内存分为多个任务内存空间,支持独立的安全应用程序同时运行;当上层应用需要加解密时,进入系统监视模式,监视模式备份正常模式的上下文,然后进入安全模式,驱动层接到上层应用的调用命令后,通过TrustZone API调用安全微内核,进入到安全模式的用户运行模式,执行相应的安全服务,安全微内核经过加解密后返回密钥发送给服务器,进行验证;服务器验证通过后,用户程序与服务器开始进行正常的数据交换,恢复正常模式上下文。
[109]
[发明公布] 一种基于ARMTrustZone的手机私密信息保险箱
申请公布号:CN104992122A
申请公布日:2015.10.21
申请号:2015104256596
申请日:2015.07.20
申请人:武汉大学
发明人:王鹃;
地址:430072湖北省武汉市武昌区珞珈山武汉大学
分类号:G06F21/62(2013.01)I; G06F21/74(2013.01)
摘要: 本发明公开了一种基于ARM TrustZone的手机私密信息保险箱,包括普通域操作系统(Rish OS)和安全域操作系统(Security OS);所述的普通域操作系统切换到安全域操作系统时,需使用到ARM TrustZone提供的监控模式(Minitor Mode),用户通过普通域操作系统发送快速中断(FIQ)进入监控模式,在监控模式下修改ARM处理器的安全配置寄存器(SCR)的NS位,将其置为0,使得CPU状态切换到安全域操作系统;在安全域用户能选择进行安全运行程序或进行手机私密文件存储,并在读取内存的时候利用ARM TrustZone CPU提供的加密功能对安全域的私密文件进行加解密。本发明在普通域用户通过简单的操作即能实现手机私密文件和高安全需求的软件保存到安全域中,在安全域中用户的私密文件进行加密存储,同时用户能安全运行高安全需求的应用程序。
[110]
[发明公布] 基于TrustZone技术的移动平台可信用户界面框架
申请公布号:CN104809413A
申请公布日:2015.07.29
申请号:2015102442538
申请日:2015.05.13
申请人:上海瓶钵信息科技有限公司
发明人:梁凉
地址:200120上海市浦东新区书院镇丽正路1628号4幢4056室
分类号:G06F21/74(2013.01)
摘要: 一种属于移动平台安全技术领域的基于TrustZone技术的移动平台可信用户界面框架,包括可信用户界面的定制与实现分离方法,可信UI和普通UI的多缓冲区分层渲染机制。本发明采用可信用户界面的定制与实现分离方法,以及可信UI与普通UI的多缓冲区分层渲染机制,能够提供一种非侵扰式的、部署成本低的、对原应用外观影响小的,基于TrustZone技术的移动平台可信UI框架,能够在原有系统被攻陷的情况下保证用户数据的完整性的保密性。本发明大大降低了可信UI的开发门槛并改善了可信UI的显示效果,在一定程度上提高了可移动应用的安全性,推动了当前移动化办公及移动化生活的进程,进而潜在地增加了社会效益及经济效益。
[111]
[发明公布] 一种TrustZone上的内存管理方法及装置
申请公布号:CN104573565A
申请公布日:2015.04.29
申请号:2015100338262
申请日:2015.01.23
申请人:宇龙计算机通信科技(深圳)有限公司
发明人:申泽奇
地址:518057广东省深圳市南山区高新技术工业园北区酷派信息港1栋6层
分类号:G06F21/74(2013.01)I; G06F12/06(2006.01)
摘要: 本发明提出了一种TrustZone上的内存管理方法及装置,该方法包括:TZASC在内存中设置缓冲安全区,缓冲安全区的安全等级介于内存中的安全区与非安全区之间;中央处理器CPU中的普通核为访存指令设置访问等级,不同访问等级与对缓冲安全区的不同访问权限相对应;在CPU的非安全执行环境下,TZASC针对访问所述缓冲安全区的访存指令,基于所述访存指令的访问等级对应的访问权限,执行访存操作。本发明与现有技术中相比,降低了中断产生的几率,减少了执行环境切换的频率,从而提高了CPU的利用率。
[112]
[发明公布] 基于ARMTrustZone系统的多媒体内容保护方法和装置
申请公布号:CN104581214A
申请公布日:2015.04.29
申请号:2015100446074
申请日:2015.01.28
申请人:三星电子(中国)研发中心; 三星电子株式会社
发明人:叶建隆; 成亮; 吴龙海
地址:210061江苏省南京市高新开发区高新研发大厦B楼9-12层
分类号:H04N21/254(2011.01)
摘要: 本申请公开了基于ARM TrustZone系统的多媒体内容保护方法和装置,ARM TrustZone系统包括非信任执行子系统和可信任执行子系统,所述方法的一具体实施方式包括:获取多媒体内容以及其中的多媒体头信息;获取用户账户信息;利用用户账户信息和多媒体头信息向授权中心请求许可证;解析许可证以获得解密内容密钥;根据解密内容密钥对多媒体内容进行解密;对解密后的多媒体内容进行解码和播放;其中,以下至少一项处理至少部分在可信任执行子系统中执行:获取用户账户信息、请求许可证、解析许可证、解密多媒体内容及解码和播放解密后的多媒体内容。该实施方式可以实现避免敏感数据、关键算法以及内容的非法获取,增加了数字版权管理的可靠性。
[113]
[发明公布] 一种安全数据存储方法和系统
申请公布号:CN104392188A
申请公布日:2015.03.04
申请号:2014106194532
申请日:2014.11.06
申请人:三星电子(中国)研发中心; 三星电子株式会社
发明人:成亮; 叶建隆; 张健康
地址:210061江苏省南京市高新区高新研发大厦9~12层
分类号:G06F21/78(2013.01)I; G06K1/12(2006.01)
摘要: 本发明提出一种安全数据存储方法和系统,适用于支持ARM TrustZone技术的处理器,且使用支持RPMB分区的eMMC作为存储介质,其中方法包括:可信任应用程序,安全存储服务程序及其产生的安全数据对象被可信任执行环境保护;安全存储服务程序向可信任应用程序提供安全数据对象的建立和访问,并调用加解密模块对安全数据对象进行加密和解密处理;加密后的安全数据对象通过共享内存页面与非可信任执行环境中的eMMC RPMB驱动程序共享;非可信任执行环境中的eMMC RPMB驱动程序完成对eMMC RPMB分区的访问和存储。本发明能够保证安全数据对象的可靠存储。
[114]
[发明公布] 针对ARM*TRUSTZONETM实现的基于固件的可信平台模块
申请公布号:CN103748594A
申请公布日:2014.04.23
申请号:2012800379290
申请日:2012.07.11
申请人:微软公司
发明人:S·汤姆;
地址:美国华盛顿州
分类号:G06F21/57(2013.01)
摘要: “基于固件的TPM”或“fTPM”确保安全代码执行被隔离,以防止各种各样的潜在安全违背。与基于常规硬件的可信平台模块(TPM)不同,实现隔离而无需使用专用安全处理器硬件或硅。一般而言,fTPM首先在预OS引导环境中通过从系统固件或固件可访问的存储器或存储中读取fTPM并且将fTPM置于设备的受保护的只读存储器中来实例化。一旦被实例化,fTPM就启用执行隔离以确保安全代码执行。更具体地,fTPM被置于受保护的只读存储器,以使该设备能够使用诸如
体系结构的TrustZoneTM扩展之类的硬件和安全原语(或类似处理器体系结构)以及由此基于这些体系结构的设备,从而在“基于固件的TPM”内提供安全执行隔离,而无需对现有设备进行硬件修改。
[115]
[发明公布] 一种基于ARMTrustZone的加密方法及加密系统
申请公布号:CN103514414A
申请公布日:2014.01.15
申请号:2012102143566
申请日:2012.06.26
申请人:上海盛轩网络科技有限公司
发明人:李炎华; 狄俊龙
地址:201203上海市张江高科技园区郭守敬路356号3幢126室
分类号:G06F21/71(2013.01)I; H04W12/06(2009.01)
摘要: 本发明实施例公开了一种基于ARM TrustZone的加密方法及加密系统。所述方法用于移动设备,所述移动设备具有ARM处理器,所述方法包括:在所述移动设备中预置安全微内核,所述安全微内核用于将安全区内存分为多个任务内存空间,支持多个独立的安全应用程序同时运行,不需要互相检测可信任;进行安全启动,使所述移动设备在系统内核启动的时候即运行在安全区;当上层应用需要加解密时,通过TrustZone API调用所述安全微内核完成加解密。本发明实施例在ARM TrustZone技术基础上构建安全微内核,令安全区域与普通区域隔离,将移动设备上所有安全性相关的应用都放在安全区域,大大提高移动设备的安全性