本發明公開了一種下載方法，所述應用于終端，所述終端支持富執行環境(REE)和可信執行環境(TEE)，所述方法包括：在所述REE中接收服務器發送的下載命令；所述下載命令包含可信應用的第一數據；通過所述REE與TEE之間的數據通道將所述下載命令傳輸至所述TEE中；在所述TEE中對所述下載命令進行安全驗證，并在驗證通過后對所述第一數據進行解密，得到第二數據；在所述TEE中對所述第二數據進行安全處理，得到第三數據；并對所述第三數據進行存儲。

技術領域

本發明涉及可信應用技術，尤其涉及一種下載方法及終端。

背景技術

隨著智能手機軟硬件技術的高速發展，用戶使用智能手機的頻率在顯著提高。智能手機給用戶帶來便利的同時，開放的手機操作系統(如安卓(Android))環境也暴露出越來越多的安全問題。因此提升開放手機操作系統環境的安全性成為了一個亟待解決的問題，尤其是針對高安全應用，比如移動支付、企業應用、內容版權管理等，安全更是重中之重。

基于此，產生了可信執行環境(TEE，Trusted Execution Environment)。TEE是設備上與富執行環境(REE，Rich Execution Environment)((REE，Rich ExecutionEnvironment)并存的運行環境，TEE提供隔離的執行環境。可信應用(TA，TrustedApplication)運行在TEE中，以保證應用的安全性。

在設備上安全、有效地部署TA也是整個安全生態鏈上非常重要的一環。

然而，目前當TA下載到設備中后，不能再單獨下載其他TA，這樣就不能安全、有效地在設備上部署TA。

發明內容

為解決現有存在的技術問題，本發明實施例提供一種下載方法及終端。

為達到上述目的，本發明實施例的技術方案是這樣實現的：

本發明實施例提供了一種下載方法，所述應用于終端，所述終端支持REE和TEE，所述方法包括：

在所述REE中接收服務器發送的下載命令；所述下載命令包含TA的第一數據；

通過所述REE與TEE之間的數據通道將所述下載命令傳輸至所述TEE中；

在所述TEE中對所述下載命令進行安全驗證，并在驗證通過后對所述第一數據進行解密，得到第二數據；

在所述TEE中對所述第二數據進行安全處理，得到第三數據；并對所述第三數據進行存儲。

上述方案中，所述對所述第三數據進行存儲，包括：

通過所述數據通道將所述第三數據傳輸至所述REE中；

在所述REE中，將所述第三數據存儲至所述REE中的第一非易失性存儲器中。

上述方案中，所述在所述TEE中對所述第二數據進行安全處理，包括：

在所述TEE中，使用第一密鑰對所述第二數據進行加密；

并使用第二密鑰對加密后的第二數據進行簽名，得到所述第三數據。

上述方案中，所述方法還包括：

在所述TEE中，從所述TEE中的第二非易失性存儲器中讀取所述第一密鑰和第二密鑰；所述第二非易失性存儲器為只讀存儲器或者驗證通過后可訪問的存儲器。

上述方案中，所述方法還包括：

在所述REE中，生成第一指令；所述第一指令用于在所述TEE中加載TA；

通過所述數據通道將所述第一指令傳輸至所述TEE中；