[發(fā)明專利]安全存儲方法及設(shè)備有效
| 申請?zhí)枺?/td> | 201410398123.5 | 申請日: | 2014-08-13 |
| 公開(公告)號: | CN105446713B | 公開(公告)日: | 2019-04-26 |
| 發(fā)明(設(shè)計)人: | 孫元博;林鈞燧 | 申請(專利權(quán))人: | 阿里巴巴集團(tuán)控股有限公司 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57 |
| 代理公司: | 北京鴻德海業(yè)知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) 11412 | 代理人: | 倪志華 |
| 地址: | 英屬開曼群島大開*** | 國省代碼: | 開曼群島;KY |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 安全 存儲 方法 設(shè)備 | ||
1.一種安全存儲方法,適用于終端設(shè)備,其特征在于,所述終端設(shè)備支持富有執(zhí)行環(huán)境REE和可信執(zhí)行環(huán)境TEE,所述方法包括:
位于所述REE中的第一應(yīng)用程序模塊將待存儲的第一數(shù)據(jù)發(fā)送給位于所述REE中的控制管理模塊;
所述控制管理模塊利用第一白名單對所述第一應(yīng)用程序模塊進(jìn)行驗證,以確定所述第一應(yīng)用程序模塊為合法的應(yīng)用程序模塊;
所述控制管理模塊通過所述REE與所述TEE之間的數(shù)據(jù)通道,將所述第一數(shù)據(jù)發(fā)送給位于所述TEE中的可信應(yīng)用模塊;
所述可信應(yīng)用模塊將所述第一數(shù)據(jù)存儲到所述TEE使用的文件系統(tǒng)中;
其中所述第一白名單通過以下方式預(yù)先獲取:
所述控制管理模塊通過REE和TEE之間的數(shù)據(jù)通道,從位于TEE的白名單管理模塊獲取所述第一白名單。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,還包括:
位于所述REE中的第二應(yīng)用程序模塊將數(shù)據(jù)訪問請求發(fā)送給所述控制管理模塊,所述數(shù)據(jù)訪問請求包括待訪問的第二數(shù)據(jù)的標(biāo)識信息;
所述控制管理模塊通過所述REE與所述TEE之間的數(shù)據(jù)通道,將所述數(shù)據(jù)訪問請求發(fā)送給所述可信應(yīng)用模塊;
所述可信應(yīng)用模塊根據(jù)所述第二數(shù)據(jù)的標(biāo)識信息,從所述文件系統(tǒng)中獲取所述第二數(shù)據(jù),并通過所述REE與所述TEE之間的數(shù)據(jù)通道返回給所述控制管理模塊;
所述控制管理模塊將所述第二數(shù)據(jù)發(fā)送給所述第二應(yīng)用程序模塊。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述位于所述REE中的第一應(yīng)用程序模塊將待存儲的第一數(shù)據(jù)發(fā)送給位于所述REE中的控制管理模塊,包括:
所述第一應(yīng)用程序模塊通過調(diào)用所述控制管理模塊提供的且位于所述REE中的對外接口模塊,將所述第一數(shù)據(jù)發(fā)送給所述控制管理模塊;
所述位于所述REE中的第二應(yīng)用程序模塊將數(shù)據(jù)訪問請求發(fā)送給所述控制管理模塊,包括:
所述第二應(yīng)用程序模塊通過調(diào)用所述對外接口模塊,將所述數(shù)據(jù)訪問請求發(fā)送給所述控制管理模塊。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述控制管理模塊通過所述REE與所述TEE之間的數(shù)據(jù)通道,將所述第一數(shù)據(jù)或所述數(shù)據(jù)訪問請求發(fā)送給所述可信應(yīng)用模塊之前,包括:
所述對外接口模塊或者所述控制管理模塊對所述第一數(shù)據(jù)或所述數(shù)據(jù)訪問請求進(jìn)行封裝處理,以使封裝后的所述第一數(shù)據(jù)或所述數(shù)據(jù)訪問請求符合所述可信應(yīng)用模塊所支持的數(shù)據(jù)格式;和/或,
所述控制管理模塊對所述對外接口模塊進(jìn)行驗證,以確定所述對外接口模塊為合法的接口模塊;和/或,
所述控制管理模塊所述第二應(yīng)用程序模塊進(jìn)行驗證,以確定所述第二應(yīng)用程序模塊為合法的應(yīng)用程序模塊。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述控制管理模塊對所述第一應(yīng)用程序模塊或所述第二應(yīng)用程序模塊進(jìn)行驗證,以確定所述第一應(yīng)用程序模塊或所述第二應(yīng)用程序模塊為合法的應(yīng)用程序模塊,包括:
所述控制管理模塊以所述第一應(yīng)用程序模塊或所述第二應(yīng)用程序模塊的名稱作為關(guān)鍵詞,在第一白名單中進(jìn)行匹配,所述第一白名單存儲有合法應(yīng)用程序模塊的名稱和簽名;
如果在所述第一白名單中匹配到與所述第一應(yīng)用程序模塊或所述第二應(yīng)用程序模塊的名稱相同的名稱,所述控制管理模塊將所述第一應(yīng)用程序模塊或所述第二應(yīng)用程序模塊的簽名與匹配到的名稱對應(yīng)的所述第一白名單中的簽名進(jìn)行比較;
所述控制管理模塊在比較結(jié)果為兩者相同時,確定所述第一應(yīng)用程序模塊或所述第二應(yīng)用程序模塊為合法的應(yīng)用程序模塊。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述控制管理模塊通過REE和TEE之間的數(shù)據(jù)通道,從位于TEE的白名單管理模塊獲取所述第一白名單包括:
所述控制管理模塊在每次啟動后,通過所述REE與所述TEE之間的數(shù)據(jù)通道,向位于所述TEE中的白名單管理模塊發(fā)送白名單獲取請求,所述白名單獲取請求包括路徑信息;
所述白名單管理模塊根據(jù)所述路徑信息從本地獲取第二白名單,并通過所述REE與所述TEE之間的數(shù)據(jù)通道,返回給所述控制管理模塊;
所述控制管理模塊利用所述第二白名單更新所述第一白名單。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于阿里巴巴集團(tuán)控股有限公司,未經(jīng)阿里巴巴集團(tuán)控股有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201410398123.5/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計算機(jī)或計算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備,如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計算機(jī)系統(tǒng)或計算機(jī)網(wǎng)絡(luò)中的節(jié)點
G06F21-22 .通過限制訪問或處理程序或過程
- 傳感設(shè)備、檢索設(shè)備和中繼設(shè)備
- 簽名設(shè)備、檢驗設(shè)備、驗證設(shè)備、加密設(shè)備及解密設(shè)備
- 色彩調(diào)整設(shè)備、顯示設(shè)備、打印設(shè)備、圖像處理設(shè)備
- 驅(qū)動設(shè)備、定影設(shè)備和成像設(shè)備
- 發(fā)送設(shè)備、中繼設(shè)備和接收設(shè)備
- 定點設(shè)備、接口設(shè)備和顯示設(shè)備
- 傳輸設(shè)備、DP源設(shè)備、接收設(shè)備以及DP接受設(shè)備
- 設(shè)備綁定方法、設(shè)備、終端設(shè)備以及網(wǎng)絡(luò)側(cè)設(shè)備
- 設(shè)備、主設(shè)備及從設(shè)備
- 設(shè)備向設(shè)備轉(zhuǎn)發(fā)
