[发明专利]可信执行环境处理信息的方法、装置、终端及SIM卡

说明书

技术领域

本发明涉及数据业务领域，特别涉及一种可信执行环境处理信息的方法、装置、终端及SIM卡。

背景技术

TEE(TrustedExecutionEnvironment)是指在手机终端内的一个独立的安全运行环境，该环境与正常的应用运行环境REE(RichExecutionEnvironment)逻辑隔离，只能通过授权的应用程序编程接口API进行交互。TEE可以支持安全启动、安全应用管理等安全特性，该特性要求在安全终端内预置相关的密钥，或动态写入相关密钥，如图1所示。

现有的方案中，TEE一般是采用如下方式管理密钥：

TEE中存储TEE管理密钥：在生产过程中写入初始密钥或正式密钥，该密钥由运营商管理(需要与运营商捆绑)，如图2所示。

现有的TEE密钥管理方案中存在如下问题：

终端厂商无法预先捆绑运营商(开放市场终端)；对于开放市场终端，无法预知用户使用哪个运营商的服务，因此无法预先捆绑运营商，因此，目前方案不能满足开放市场终端的发行需求。

终端不能满足多个用户切换运营商的需求；对于切换运营商的情况下，由于已经捆绑了某个运营商，无法过渡到其它的运营商。

发明内容

本发明的目的在于提供一种可信执行环境处理信息的方法、装置、终端及SIM卡，解决了密钥安全存储及不同运营商对终端的捆绑问题。

为了解决上述问题，本发明提供一种可信执行环境处理信息的方法，应用于一终端，包括：

可信执行环境TEE模块发送OS验证请求给所述终端的SIM卡的管理模块，所述SIM卡的管理模块预置用于验证外部平台实体TSM的安全启动公钥；

所述TEE模块接收所述SIM卡的管理模块利用其预置的安全启动公钥返回的验证结果，并根据所述验证结果完成所述TEE模块的安全启动。

进一步的，在TEE模块安全启动后，还包括：

所述TEE模块中的代理模块接收终端的安全客户端REE模块发送的安全应用请求，并转换为对SIM卡中的可信应用模块的访问指令流，发送给所述可信应用模块；

接收所述SIM卡的可信应用模块返回的响应内容，并根据所述响应内容在所述代理模块提供的显示界面中，接收用户输入的数据，并将所述用户输入的数据发送给SIM卡的可信应用模块进行加密处理。

进一步的，SIM卡的可信应用模块进行加密处理的步骤包括：

所述可信应用模块利用其中预置的应用私钥对用户输入的数据进行加密处理。

进一步的，将所述用户输入的数据发送给SIM卡的可信应用模块进行加密处理的步骤后还包括：

接收SIM卡的可信应用模块返回的加密处理后产生的安全指令；

根据所述安全指令与外部实体进行验证。

进一步的，根据所述安全指令与外部实体进行验证的步骤包括：

所述代理模块将所述安全指令发送给所述外部实体进行验证；

所述代理模块接收所述外部实体返回的认证结果，并将认证结果返回给所述REE模块。

本发明实施例还提供一种可信执行环境处理信息的装置，应用于一终端，，包括：

可信执行环境TEE模块，所述TEE模块包括：启动模块，用于发送OS验证请求给所述终端的SIM卡的管理模块，所述SIM卡的管理模块预置用于验证外部平台实体TSM的安全启动公钥；并接收所述SIM卡的管理模块利用其预置的安全启动公钥返回的验证结果，并根据所述验证结果完成所述TEE模块的安全启动。

优选的，所述TEE模块还包括：

代理模块，用于接收终端的安全客户端REE模块发送的安全应用请求，并转换为对SIM卡中的可信应用模块的访问指令流，发送给所述可信应用模块；并接收所述SIM卡的可信应用模块返回的响应内容，并根据所述响应内容在所述代理模块提供的显示界面中，接收用户输入的数据，并将所述用户输入的数据发送给SIM卡的可信应用模块进行加密处理。

优选的，所述代理模块还用于：接收SIM卡的可信应用模块返回的加密处理后产生的安全指令；根据所述安全指令与外部实体进行验证。

优选的，所述代理模块在根据所述安全指令与外部实体进行验证时，具体用于将所述安全指令发送给所述外部实体进行验证；所述代理模块接收所述外部实体返回的认证结果，并将认证结果返回给所述REE模块。

本发明实施例还提供一种终端，包括如上所述的装置。

本发明实施例还提供一种SIM卡，包括：