本發明公開了一種TA鏡像存儲方法、裝置以及終端，涉及信息安全領域，其中的方法包括：設置與TA鏡像的存儲形式相對應的數據存儲結構，存儲形式包括作為TEE中的對象、文件或區塊進行存儲、作為攜帶簽名的TA鏡像進行存儲、作為密文TA鏡像進行存儲等；獲取需要存儲的TA鏡像的存儲形式，將與此存儲形式相對應的數據存儲結構作為TA鏡像存儲結構，根據TA鏡像存儲結構以及預設的封裝規則對需要存儲的TA鏡像進行封裝處理并存儲。本發明的方法、裝置以及終端，既適用于通過TAM安裝TA的情況，也適用于通過OTA或應用商店下載TA的情況；具有較高的靈活性和通用性，適用于各種TEE平臺，而且其安全性也能得到保障。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種TA鏡像存儲方法、裝置以及終端。

背景技術

目前，終端大多集成了可信執行環境(TEE，Trusted Execution Environment)、富執行環境(REE，Rich Execution Environment)。REE由客戶端應用(CA，ClientApplication)以及應用操作系統組成。TEE由可信應用(TA，TrustedApplication)、以及可信操作系統(Trusted OS，Trusted Operating System)組成。REE支持豐富的應用，但REE存在一定的安全風險。TEE是基于ARM芯片TrustZone機制的系統軟件，TEE可以為終端中一塊獨立的區域，向該區域安裝應用受管理服務器平臺控制。在基于ARM的TrustZone技術架構中，運行在Normal World(REE)中的CA和運行在Secure World(TEE)中的TA之間具有進行數據交互的能力。

鏡像(Mirroring)是冗余的一種類型，也是一種文件存儲形式，TA的一個完全相同的副本即為TA鏡像。目前，TA鏡像可以存儲于TEE的永久對象中，TA鏡像不進行額外加密或簽名保護。但是，這種TA鏡像存儲方案要求TA鏡像必須通過TAM(Trusted ApplicationManager，可信應用管理服務器)安裝到TEE中，無法通過OTA(Over The Air，空中操作)下載的方式部署到TEE中，而且，TA鏡像的安全性取決于TEE平臺永久對象的安全機制。TA鏡像也可以REE側文件的形式存儲，含有簽名，簽名密鑰是TEE廠商私鑰。但是，這種TA鏡像存儲方案必須委托TEE廠商為TA鏡像簽名。

發明內容

有鑒于此，本發明要解決的一個技術問題是提供一種TA鏡像存儲方法、裝置以及終端。

根據本發明的一個方面，提供一種TA鏡像存儲方法，包括：設置與TA鏡像的存儲形式相對應的數據存儲結構；其中，所述存儲形式包括：作為TEE中的對象、文件或區塊進行存儲、作為攜帶簽名的TA鏡像進行存儲、作為密文TA鏡像進行存儲；當接收到TA鏡像存儲指令時，獲取需要存儲的TA鏡像的存儲形式，將與此存儲形式相對應的數據存儲結構作為TA鏡像存儲結構；根據所述TA鏡像存儲結構以及預設的封裝規則對需要存儲的TA鏡像進行封裝處理并存儲。

可選地，與所述作為TEE中的對象、文件或區塊進行存儲的存儲形式相對應的第一數據存儲結構包括：TA版本域、TA內容域；其中，所述TA版本域用于保存TA鏡像存儲結構版本標識，所述TA鏡像存儲結構版本標識采用預設字符串格式；所述TA內容域用于保存TA可執行二進制內容，所述TA可執行二進制內容的格式包括：LV格式。

可選地，所述第一數據存儲結構還包括：TA屬性域；其中，所述TA屬性域用于保存TA屬性，所述TA屬性的格式包括：LV格式，此LV格式的值為使用TLV格式的數據。

可選地，與所述作為攜帶簽名的TA鏡像進行存儲的存儲形式相對應的第二數據存儲結構包括：所述TA版本域、SP-ID域、簽名域、所述TA內容域；其中，所述SP-ID域用于保存服務提供商標識信息；所述簽名域用于保存簽名。

可選地，所述第二數據存儲結構還包括：所述TA屬性域。