[发明专利]一种智能终端的可信应用管理方法和可信应用管理系统

说明书

本发明公开了一种智能终端的可信应用管理方法。移动智能终端1具有TA管理模块4和TEE管理模块5，TEE管理模块5安装在TEE可信执行环境。TEE管理模块5通过TA管理模块4与TA管理服务器2建立传递信息和指令的安全通道100，安全通道100中的信息和指令以密文的形式传递。TA管理服务器2中设置有供下载用的可信应用。TA管理模块4发出下载可信应用请求，通过安全通道100由TA管理服务器2下载可信应用21到TEE管理模块5，用于安装或更新。

技术领域

本发明涉及移动通信技术,特别地涉及一种智能终端的可信应用管理方法和可信应用管理系统。

背景技术

移动通信技术的发展带来了移动终端技术的快速发展，移动智能终端已成为移动终端的发展趋势。移动智能终端已不再是单纯的语音通话工具，移动智能终端的普及给人们带来极大便利的同时，也给人们带来了巨大的安全隐患。

TEE(Trusted Execution Environment，可信执行环境)是为了解决当前移动智能终端存在的安全风险而提出的技术方案。TEE构造了一个与移动智能终端操作系统(如安卓系统)隔离的安全运行环境。TEE为授权的安全软件(可信应用)提供了安全的执行环境。

在现有的基于可信执行环境的技术方案中，可信应用被预置到移动智能终端的镜像中，或者预置到调用可信应用的第三方应用中。

如果可信应用预置到移动智能终端的镜像中，当某个可信应用有变化时，需要重新发布移动智能终端的完整的镜像。对智能终端厂商而言，智能终端镜像的发布工作量巨大，风险较大。因此，内置的可信应用的更新代价巨大。对移动智能终端的最终用户而言，为了更新一个可信应用，需下载的完整的移动智能终端镜像，耗时较长。

如果可信应用预置到第三方应用中，由于可信应用一般是仅针对单一硬件平台(例如ARM平台或者Intel平台)的特定格式编码的应用程序，所以第三方应用需要根据平台打包可信应用，可信应用的下载变的比较复杂。第三方应用下载后，可信应用需要安装才能正常使用，其安装也是一个复杂的过程。

本发明的目的在于提供一种不依靠智能终端镜像和第三方应用就能下载以及更新可信应用的可信应用管理方法和系统。

发明内容

本发明的第一技术方案为一种智能终端的可信应用管理系统，其特征在于包括，终端(1)和TA管理服务器(2)，

所述终端(1)具有预置或通过下载安装的TA管理模块(4)、TEE管理模块(5)，所述TEE管理模块(5)设置在可信执行环境中，所述TA管理模块(4)用于管理可信应用的下载、更新、删除，

所述TA管理服务器(2)中存储有供下载用的可信应用，所述可信应用至少包含可信应用镜像，

所述TA管理模块(4)发出下载可信应用的请求，或响应第三方应用的下载/更新请求，发出下载可信应用的请求，

所述TA管理服务器(2)根据所述TA管理模块(4)的下载可信应用请求，将对应的所述可信应用(21)发送到所述终端(1)，

所述TEE管理模块(5)，执行所述可信应用(21)的安装或更新。

第二技术方案基于第一技术方案，其特征在于包括，

所述TEE管理模块(5)与所述TA管理服务器(2)之间通过所述TA管理模块(4)建立有安全通道(100)，

与所述可信应用(21)的下载、更新、删除相关的信息、指令通过所述安全通道(100)传送。

第三技术方案基于第二技术方案，其特征在于，所述TEE管理模块(5)采用加密的方式由安全通道(100)向TA管理服务器(2)发送报文，解密所述TA管理服务器(2)发送的反馈报文，并根反馈报文的内容，执行相应的操作，