[发明专利]用户终端及可信应用管理系统

说明书

本发明涉及一种用户终端，其包括：多媒体执行环境，配置成：设置至少一个客户应用程序；可信执行环境，配置成包括：共享管理模块，用于基于一个客户应用程序的可信服务请求选择相应的可信应用程序模板以及基于来自客户应用程序的个性化请求加载相应的特性数据，以生成一个可信应用程序实例来响应可信服务请求；其中，每个可信应用程序模板与属于相同类的一组客户应用程序相对应。其能够实现对系统资源的充分利用，避免了TEE资源空间浪费、提高了可信应用的开发效率。

技术领域

本发明涉及可信应用程序技术领域，更具体地说，涉及一种用户终端及可信应用管理系统。

背景技术

随着电子商务、移动支付的快速发展，对安全应用的需求也越来越大。安全应用的开发者需要根据自己的实际需求开发特定客户应用(Client Application，简称CA)和可信应用(Trusted Application，简称TA)。CA运行在REE(多媒体执行环境)中，TA运行在TEE(可信执行环境)中，CA一般负责完成Rich OS的用户空间层面的对外接口和发送命令(CMD)给TA的功能，而TA根据CA发送过来的CMD来实现具体的安全功能(例如开启TUI、对数据进行安全处理和保存、加解密数据等)。

在现有技术中，APP、CA和TA都是一一对应的。在如图1所示的用户终端中，APP1只能发送请求给CA1，CA1也只能通过驱动和Monitor发送CMD给TA1。REE中APP之间都是独立的，而CA也都是各自独立的，TEE中的TA之间也是独立的，互不影响。对开发者来说，想要开发基于TEE的可信应用，就不仅仅只需要编写APP本身，CA和TA也需要进行开发。

在同一个移动终端中，按照现有技术方案，有多个APP也就需要部署多个TA，缺点主要如下：

(1)对于一些业务场景一致的应用，这多个TA实现的功能完全一致，会不可避免的造成TEE资源空间浪费；

(2)对于应用开发者来说，每次都要进行TA的重复开发，降低了可信应用的开发效率。

发明内容

本发明的目的在于针对相同业务场景的同类客户应用提供同一可信应用来服务，从而实现对系统资源的充分利用。

为实现上述目的，本发明提供一种技术方案如下：

一种用户终端，用于为客户应用程序调用可信服务，其包括：多媒体执行环境，配置成：设置至少一个客户应用程序；可信执行环境，配置成包括：共享管理模块，用于基于一个客户应用程序的可信服务请求选择相应的可信应用程序模板以及基于来自客户应用程序的个性化请求加载相应的特性数据，以生成一个可信应用程序实例来响应可信服务请求；其中，每个可信应用程序模板与属于相同类的一组客户应用程序相对应。

优选地，共享管理模块为每个客户应用程序分配一个专属管理域，以用于管理客户应用程序的个性化信息，其中，个性化信息基于个性化请求而生成。

优选地，共享管理模块在生成可信应用程序实例之前验证客户应用程序上报的令牌，并基于对令牌的验证来分配专属管理域。

优选地，共享管理模块利用授权密钥对客户应用程序上报的密文进行解密，以获得管理域密钥，并利用管理域密钥来操作专属管理域。

优选地，可信服务请求携带可信应用程序模板的标识信息。

为实现上述目的，本发明还公开一种可信应用管理系统，包括：共享可信应用管理单元，设置于用户终端中；共享可信应用管理后台，与至少一个用户终端通信地耦合；其中，共享可信应用管理单元基于用户终端中客户应用程序的可信服务请求来选择相应的可信应用程序模板，以及基于来自客户应用程序的个性化请求加载相应的特性数据，以生成一个可信应用程序实例来响应可信服务请求；其中，每个可信应用程序模板由共享可信应用管理后台下发至共享可信应用管理单元，并与属于相同类的一组客户应用程序相对应。