本發明涉及一種用戶終端，其包括：多媒體執行環境，配置成：設置至少一個客戶應用程序；可信執行環境，配置成包括：共享管理模塊，用于基于一個客戶應用程序的可信服務請求選擇相應的可信應用程序模板以及基于來自客戶應用程序的個性化請求加載相應的特性數據，以生成一個可信應用程序實例來響應可信服務請求；其中，每個可信應用程序模板與屬于相同類的一組客戶應用程序相對應。其能夠實現對系統資源的充分利用，避免了TEE資源空間浪費、提高了可信應用的開發效率。

技術領域

本發明涉及可信應用程序技術領域，更具體地說，涉及一種用戶終端及可信應用管理系統。

背景技術

隨著電子商務、移動支付的快速發展，對安全應用的需求也越來越大。安全應用的開發者需要根據自己的實際需求開發特定客戶應用(Client Application，簡稱CA)和可信應用(Trusted Application，簡稱TA)。CA運行在REE(多媒體執行環境)中，TA運行在TEE(可信執行環境)中，CA一般負責完成Rich OS的用戶空間層面的對外接口和發送命令(CMD)給TA的功能，而TA根據CA發送過來的CMD來實現具體的安全功能(例如開啟TUI、對數據進行安全處理和保存、加解密數據等)。

在現有技術中，APP、CA和TA都是一一對應的。在如圖1所示的用戶終端中，APP1只能發送請求給CA1，CA1也只能通過驅動和Monitor發送CMD給TA1。REE中APP之間都是獨立的，而CA也都是各自獨立的，TEE中的TA之間也是獨立的，互不影響。對開發者來說，想要開發基于TEE的可信應用，就不僅僅只需要編寫APP本身，CA和TA也需要進行開發。

在同一個移動終端中，按照現有技術方案，有多個APP也就需要部署多個TA，缺點主要如下：

(1)對于一些業務場景一致的應用，這多個TA實現的功能完全一致，會不可避免的造成TEE資源空間浪費；

(2)對于應用開發者來說，每次都要進行TA的重復開發，降低了可信應用的開發效率。

發明內容

本發明的目的在于針對相同業務場景的同類客戶應用提供同一可信應用來服務，從而實現對系統資源的充分利用。

為實現上述目的，本發明提供一種技術方案如下：

一種用戶終端，用于為客戶應用程序調用可信服務，其包括：多媒體執行環境，配置成：設置至少一個客戶應用程序；可信執行環境，配置成包括：共享管理模塊，用于基于一個客戶應用程序的可信服務請求選擇相應的可信應用程序模板以及基于來自客戶應用程序的個性化請求加載相應的特性數據，以生成一個可信應用程序實例來響應可信服務請求；其中，每個可信應用程序模板與屬于相同類的一組客戶應用程序相對應。

優選地，共享管理模塊為每個客戶應用程序分配一個專屬管理域，以用于管理客戶應用程序的個性化信息，其中，個性化信息基于個性化請求而生成。

優選地，共享管理模塊在生成可信應用程序實例之前驗證客戶應用程序上報的令牌，并基于對令牌的驗證來分配專屬管理域。

優選地，共享管理模塊利用授權密鑰對客戶應用程序上報的密文進行解密，以獲得管理域密鑰，并利用管理域密鑰來操作專屬管理域。

優選地，可信服務請求攜帶可信應用程序模板的標識信息。

為實現上述目的，本發明還公開一種可信應用管理系統，包括：共享可信應用管理單元，設置于用戶終端中；共享可信應用管理后臺，與至少一個用戶終端通信地耦合；其中，共享可信應用管理單元基于用戶終端中客戶應用程序的可信服務請求來選擇相應的可信應用程序模板，以及基于來自客戶應用程序的個性化請求加載相應的特性數據，以生成一個可信應用程序實例來響應可信服務請求；其中，每個可信應用程序模板由共享可信應用管理后臺下發至共享可信應用管理單元，并與屬于相同類的一組客戶應用程序相對應。