[发明专利]客户端应用与可信应用的通信方法、装置以及终端

说明书

本发明公开了一种客户端应用与可信应用的通信方法、装置以及终端，涉及通信领域，其中的方法包括：CA生成与可信应用调用命令相对应的CA调用指令，基于预定数据交换格式封装CA调用指令生成第一封装数据并发送给TA；TA基于预定数据交换格式对第一封装数据进行解析，获取CA调用指令，执行基于预定数据交换格式封装操作结果生成第二封装数据并返回CA。本发明的通信方法、装置以及终端，通过使在不同的TEE平台下的CA与TA之间交换的数据格式相同，有利于代码或模块的复用；对于相同的业务或功能，在不同的TEE平台下CA与TA之间交换的数据内容相同，有利于业务功能逻辑的开发调试，并且可以提升CA与TA的开发和部署的效率、通用性和跨平台能力。

技术领域

本发明涉及通信技术领域，尤其涉及一种客户端应用与可信应用的通信方法、装置以及终端。

背景技术

目前，终端大多集成了可信执行环境(TEE，Trusted Execution Environment)，终端中的应用执行环境包括丰富执行环境(REE，Rich Execution Environment)和TEE。REE由客户端应用(CA，Client Application)以及应用操作系统组成。TEE由可信应用(TA，TrustedApplication)、以及可信操作系统(Trusted OS，Trusted Operating System)组成。REE支持丰富的应用，但REE存在一定的安全风险。TEE是终端中一块独立的区域，向该区域安装应用受管理服务器平台控制；该区域可接管关键设备、提供硬件级别的安全隔离、以及保护资源和执行可信代码。REE只能通过专用的ClientAPI访问TA。TA运行在TEE系统中，为相应的CA提供安全服务，如输入密码，生成交易签名等。

例如，在基于ARM的TrustZone技术架构中，目前应用最广泛的可信执行环境OS分别是GP的GP TEE和高通的QSEE，它们都提供了在Normal World(REE)和Secure World(TEE)之间进行数据交互的客户端API。CA通过客户端API向TA发送请求数据并从TA接收响应数据。但是，在不同的TEE OS平台下，CA与TA之间进行数据交互需要遵从TEE OS平台相关的客户端API的参数结构和语义，这就要求CA组织请求数据、TA解析请求数据、TA组织响应数据、CA解析响应数据等功能模块必须针对不同的TEE OS平台做相应的定制开发，导致CA与TA的开发和部署的效率、通用性和跨平台能力都受到明显的制约。

发明内容

有鉴于此，本发明要解决的一个技术问题是提供一种客户端应用与可信应用的通信方法、装置以及终端。

根据本发明的一个方面，提供一种客户端应用与可信应用的通信方法，包括：客户端应用CA响应于接收到的可信应用调用命令，生成与所述可信应用调用命令相对应的CA调用指令；所述CA基于预定数据交换格式封装所述CA调用指令生成第一封装数据，将所述第一封装数据发送给与所述可信应用调用命令相对应的可信应用TA；所述TA基于所述预定数据交换格式对所述第一封装数据进行解析，获取所述CA调用指令；所述TA执行与所述CA调用指令相对应的操作，基于所述预定数据交换格式封装操作结果生成第二封装数据，并将所述第二封装数据返回所述CA。

可选地，所述CA运行在应用执行环境REE中，调用在REE和可信执行环境TEE之间进行数据交互的TEE客户端API将所述第一封装数据发送给所述TA；其中，所述CA确定所述TEE客户端API中与所述第一封装数据相对应的第一参数，并通过所述第一参数传输所述第一封装数据；所述TA运行在TEE中，获取所述第一参数的值，用以接收所述第一封装数据。

可选地，所述TA将所述第二封装数据发送给所述CA；其中，所述TA确定所述TEE客户端API中与所述第二封装数据相对应的第二参数，并通过所述第二参数传输所述第二封装数据；所述CA通过调用所述TEE客户端API获取所述第二参数的值，用以接收所述第二封装数据。