基于可信執行環境技術的應用受限安裝方法、管理器和終端技術

本發明專利技術公開了基于可信執行環境技術的應用受限安裝方法、管理器和終端，其中，方法包括：可信服務管理器接收用戶通過終端發送的下載應用請求；所述可信服務管理器檢測所述待下載應用的編號是否為自己授權的應用編號；如果是，所述可信服務管理器利用公私鑰技術對所述待下載應用的編號和終端編號進行簽名生成簽名信息，并向所述終端發送所述簽名信息、待下載應用的應用程序以及公鑰，以使所述終端利用預存的根證書驗證所述公鑰的合法性；如果合法，所述終端判斷所述簽名信息是否正確；如果正確，所述終端安裝所述應用程序。如此技術方案，能夠保證用戶下載安裝應用的安全性，以保護用戶個人信息和財產安全。

【技術實現步驟摘要】
基于可信執行環境技術的應用受限安裝方法、管理器和終
本專利技術涉及金融安全
，具體涉及基于可信執行環境技術的應用受限安裝方法、管理器和終端。
技術介紹
目前，人們在終端設備(比如手機、平板電腦等)中下載安裝多種類型的應用(比如手機銀行、支付寶、憤怒小鳥、保衛蘿卜等)，以滿足生活娛樂需求。現在市場上出現多種應用商店，(比如運營商自己的應用商店、91、機鋒、安智等應用商店)，以供人們下載應用。由于每個應用商店對應用的審核標準和力度都不相同，導致市場上應用的安全性良莠不齊，大部分應用商店都不是可信的，其商店內可能存在眾多的木馬應用，這些應用會嚴重威脅用戶信息的安全。比如:用戶在終端設備上下載安裝一個支付應用，若該支付應用本身就攜帶木馬程序或者惡意插件，則該用戶信息容易木馬程序或者惡意插件所盜取；再比如:用戶在終端設備上下載安裝一個支付應用，該支付應用本身沒有問題，但同時該用戶還下載安裝一個游戲應用，該游戲應用攜帶惡意插件，則該用戶使用支付應用時，其用戶信息容易被這個惡意插件所盜取，同樣會 給該用戶帶來不可估計的損失和危害。通過上述描述可以看出:目前這種應用下載安裝方式是由用戶任意選擇應用商店，從所選擇的應用商店中下載喜歡的應用并安裝在設備中，該方式無法保證用戶信息的安全，存在一定的安全隱患。
技術實現思路
本專利技術實施例的基于可信執行環境技術的應用受限安裝方法、管理器和終端，用以解決現有技術中用戶下載安裝應用的存在安全隱患的問題。為此，本專利技術實施例提供如下技術方案:第一方面，本專利技術提供基于可信執行環境技術的應用受限安裝方法，所述方法包括:可信服務管理器接收用戶通過終端發送的下載應用請求，所述下載應用請求包括:待下載應用的編號和終端編號；所述可信服務管理器檢測所述待下載應用的編號是否為自己授權的應用編號；如果是，所述可信服務管理器利用公私鑰技術對所述待下載應用的編號和終端編號進行簽名生成簽名信息，并向所述終端發送所述簽名信息、待下載應用的應用程序以及公鑰，以使所述終端利用預存的根證書驗證所述公鑰的合法性；如果合法，所述終端判斷所述簽名信息是否正確；如果正確，所述終端安裝所述應用程序。優選的，在所述可信服務管理器檢測所述待下載應用的編號是否為自己授權的應用編號之前，所述方法還包括:所述可信服務管理器判斷所述終端是否處于可下載應用的狀態；如果是，所述可信服務管理器再執行檢測所述待下載應用的編號是否為自己授權的應用編號的操作；否則，所述可信服務管理器向所述終端發送告警信息通知用戶無法下載應用。優選的，所述可信服務管理器判斷所述終端是否處于可下載應用的狀態，包括:所述可信服務管理器判斷所述終端是否為掛失狀態，如果是，所述終端不處于可下載應用的狀態，否則，所述終端處于可下載應用的狀態；和/或，所述可信服務管理器判斷所述終端是否有權限下載所述待下載應用，如果是，所述終端處于可下載應用的狀態，否則，所述終端不處于可下載應用的狀態；和/或，所述可信服務管理器判斷所述終端是否已安裝所述待下載應用；如果是，所述終端不處于可下載應用的狀態，否則，所述終端處于可下載應用的狀態。優選的，所述方法還包括:所述可信服務管理器接收應用提供者發送的申請應用編號請求，所述申請應用編號請求包括:應用提供者身份信息和應用名稱；所述可信服務管理器驗證所述應用提供者身份信息是否合法；如果合法，所述可信服務管理器向所述應用提供者分配應用編號；所述可信服務管理器接收所述應用提供者發送的應用發布簽名信息和應用程序，所述應用發布簽名信息是所述應用提供者利用公私鑰對待發布應用的相關信息進行簽名生成的；所述公私鑰是所述應用提供者向所述可信服務管理器申請得到的；所述相關信息包括:應用名稱和應用編號；所述可信服務管理器對所述應用發布簽名信息進行驗證，如果驗證通過，所述可信服務管理器將所述應用發布在可信應用商店，以使用戶通過終端在可信應用商店選擇待下載的應用。優選的，所述方法還包括:所述可信服務管理器通過應用編號判斷所述應用程序的類型，所述應用程序的類型為可信應用類型或客戶應用類型；如果為可信應用類型時，則所述可信服務管理器指示所述終端將所述應用程序安裝在可信執行環境中；則所述終端安裝所述應用程序具體為所述終端根據接收到的指示將所述應用程序安裝在可信執行環境中；如果為客戶應用類型時，則所述可信服務管理器指示所述終端將所述應用程序安裝在富執行環境中；則所述終端安裝所述應用程序具體為所述終端根據接收到的指示將所述應用程序安裝在富執行環境中。第二方面，本專利技術提供了基于可信執行環境技術的應用受限安裝方法，所述方法包括:終端根據用戶在可信應用商店中的選擇向可信服務管理器發送下載應用請求，所述下載應用請求包括:待下載應用的編號和終端編號；所述終端接收所述可信服務管理器發送的簽名信息、待下載應用的應用程序以及公鑰，所述簽名信息是所述可信服務管理器在檢測所述待下載應用的編號為自己授權的應用編號之后，利用公私鑰技術對所述待下載應用的編號和終端編號進行簽名生成的；所述終端利用預存的根證書驗證所述公鑰的合法性；如果合法，判斷所述簽名信息是否正確；如果正確，所述終端安裝所述應用程序。優選的，所述方法還包括:所述終端接收所述可信服務管理器發送的第一指示或者第二指示；所述第一指示用于指示所述終端將所述應用程序安裝在可信執行環境中；所述第二指示用于指示所述終端將所述應用程序安裝在富執行環境中；則所述終端安裝所述應用程序具體為:所述終端根據接收到的第一指示將所述應用程序安裝在可信執行環境中；或者，所述終端根據接收到的第二指示將所述應用程序安裝在富執行環境中。第三方面，本專利技術提供了一種可信服務管理器，所述管理器包括:第一接收單元，用于接收用戶通過終端發送的下載應用請求，所述下載應用請求包括:待下載應用的編號和終端編號；第一檢測單元，用于檢測所述待下載應用的編號是否為自己授權的應用編號；如果是，觸發第一發送單元；所述第一發送單元，用于利用公私鑰技術對所述待下載應用的編號和終端編號進行簽名生成簽名信息，并向所述終端發送所述簽名信息、待下載應用的應用程序以及公鑰，以使所述終端利用預存的根證書驗證所述公鑰的合法性；如果合法，所述終端判斷所述簽名信息是否正確；如果正確，所述終端安裝所述應用程序。優選的，所述管理器還包括:狀態判斷單元，用于判斷所述終端是否處于可下載應用的狀態，如果是，觸發第一檢測單元；否則，觸發告警單元；所述告警單元，用于向所述終端發送告警信息通知用戶無法下載應用。優選的，所述狀態判斷單元包括:第一判斷子單元，用于判斷所述終端是否為掛失狀態，如果是，所述終端不處于可下載應用的狀態，否則，所述終端處于可下載應用的狀態；和/或，第二判斷子單元，用于判斷所述終端是否有權限下載所述待下載應用，如果是，所述終端處于可下載應用的狀態，否則，所述終端不處于可下載應用的狀態；和/或，第三判斷子單元，用于判斷所述終端是否已安裝所述待下載應用；如果是，所述終端不處于可下載應用的狀態，否則，所述終端處于可下載應用的狀態。優選的，所述管理器還包括:第二接收單元，用于接收應用提供者發送的申請應用編號請求，所述申請應用編號請求包括:應用提供者身份信息和應用名稱；第一驗證單元，用于驗證所述應用提供者身本文檔來自技高網...

【技術保護點】
基于可信執行環境技術的應用受限安裝方法，其特征在于，所述方法包括：　可信服務管理器接收用戶通過終端發送的下載應用請求，所述下載應用請求包括：待下載應用的編號和終端編號；　所述可信服務管理器檢測所述待下載應用的編號是否為自己授權的應用編號；　如果是，所述可信服務管理器利用公私鑰技術對所述待下載應用的編號和終端編號進行簽名生成簽名信息，并向所述終端發送所述簽名信息、待下載應用的應用程序以及公鑰，以使所述終端利用預存的根證書驗證所述公鑰的合法性；如果合法，所述終端判斷所述簽名信息是否正確；如果正確，所述終端安裝所述應用程序。

【技術特征摘要】
1.基于可信執行環境技術的應用受限安裝方法，其特征在于，所述方法包括: 可信服務管理器接收用戶通過終端發送的下載應用請求，所述下載應用請求包括:待下載應用的編號和終端編號； 所述可信服務管理器檢測所述待下載應用的編號是否為自己授權的應用編號； 如果是，所述可信服務管理器利用公私鑰技術對所述待下載應用的編號和終端編號進行簽名生成簽名信息，并向所述終端發送所述簽名信息、待下載應用的應用程序以及公鑰，以使所述終端利用預存的根證書驗證所述公鑰的合法性；如果合法，所述終端判斷所述簽名信息是否正確；如果正確，所述終端安裝所述應用程序。2.根據權利要求1所述的方法，其特征在于，在所述可信服務管理器檢測所述待下載應用的編號是否為自己授權的應用編號之前，所述方法還包括: 所述可信服務管理器判斷所述終端是否處于可下載應用的狀態； 如果是，所述可信服務管理器再執行檢測所述待下載應用的編號是否為自己授權的應用編號的操作； 否則，所述可信服務管理器向所述終端發送告警信息通知用戶無法下載應用。3.根據權利要求2所述的方法，其特征在于，所述可信服務管理器判斷所述終端是否處于可下載應用的狀 態，包括: 所述可信服務管理器判斷所述終端是否為掛失狀態，如果是，所述終端不處于可下載應用的狀態，否則，所述終端處于可下載應用的狀態；和/或， 所述可信服務管理器判斷所述終端是否有權限下載所述待下載應用，如果是，所述終端處于可下載應用的狀態，否則，所述終端不處于可下載應用的狀態；和/或， 所述可信服務管理器判斷所述終端是否已安裝所述待下載應用；如果是，所述終端不處于可下載應用的狀態，否則，所述終端處于可下載應用的狀態。4.根據權利要求1所述的方法，其特征在于，所述方法還包括: 所述可信服務管理器接收應用提供者發送的申請應用編號請求，所述申請應用編號請求包括:應用提供者身份信息和應用名稱； 所述可信服務管理器驗證所述應用提供者身份信息是否合法；如果合法，所述可信服務管理器向所述應用提供者分配應用編號； 所述可信服務管理器接收所述應用提供者發送的應用發布簽名信息和應用程序，所述應用發布簽名信息是所述應用提供者利用公私鑰對待發布應用的相關信息進行簽名生成的；所述公私鑰是所述應用提供者向所述可信服務管理器申請得到的；所述相關信息包括:應用名稱和應用編號； 所述可信服務管理器對所述應用發布簽名信息進行驗證，如果驗證通過，所述可信服務管理器將所述應用發布在可信應用商店，以使用戶通過終端在可信應用商店選擇待下載的應用。5.根據權利要求1所述的方法，其特征在于，所述方法還包括: 所述可信服務管理器通過應用編號判斷所述應用程序的類型，所述應用程序的類型為可信應用類型或客戶應用類型； 如果為可信應用類型時，則所述可信服務管理器指示所述終端將所述應用程序安裝在可信執行環境中；則所述終端安裝所述應用程序具體為所述終端根據接收到的指示將所述應用程序安裝在可信執行環境中； 如果為客戶應用類型時，則所述可信服務管理器指示所述終端將所述應用程序安裝在富執行環境中； 則所述終端安裝所述應用程序具體為所述終端根據接收到的指示將所述應用程序安裝在富執行環境中。6.基于可信執行環境技術的應用受限安裝方法，其特征在于，所述方法包括: 終端根據用戶在可信應用商店中的選擇向可信服務管理器發送下載應用請求，所述下載應用請求包括:待下載應用的編號和終端編號； 所述終端接收 所述可信服務管理器發送的簽名信息、待下載應用的應用程序以及公鑰，所述簽名信息是所述可信服務管理器在檢測所述待下載應用的編號為自己授權的應用編號之后，利用公私鑰技術對所述待下載應用的編號和終端編號進行簽名生成的； 所述終端利用預存的根證書驗證所述公鑰的合法性；如果合法，判斷所述簽名信息是否正確；如果正確，所述終端安裝所述應用程序。7.根據權利要求6所述的方法，其特征在于，所述方法還包括: 所述終端接收所述可信服務管理器發送的第一指示或者第二指示；所述第一指示用于指示所述終端將所述應用程序安裝在可信執行環境中；所述第二指示用于指示所述終端將所述應用程序安裝在富執行環境中； 則所述終端安裝所述應用程序具體為: 所述終端根據接收到...

【專利技術屬性】
技術研發人員：魯洪成，
申請(專利權)人：北京握奇數據系統有限公司，
類型：發明
國別省市：北京;11