通信方法、存储方法、运算方法及装置制造方法及图纸

本发明专利技术实施例提供了一种通信方法、存储方法、运算方法及装置，所述通信方法通过可信应用程序对用户应用程序发送的第一运算数据集进行验证，生成针对预设执行客体的验证结果，接着当验证结果为执行客体可信时，可信应用程序对用户应用程序发送的第二运算数据集进行签名，生成针对执行客体的目标数据，然后可信应用程序将目标数据发送至用户应用程序，以使执行主体将目标数据发送至执行客体，从而通过在可信执行环境中对执行客体进行验证，同时对执行主体与执行客体之间的握手数据进行签名，保证了根证书以及私钥的安全性，进而提高了执行主体与执行客体之间通信的安全性。

Communication method, storage method, operation method and device

【技术实现步骤摘要】
通信方法、存储方法、运算方法及装置
本专利技术涉及通信
，特别是涉及一种终端的通信方法及装置、一种存储方法及装置、一种运算方法及装置。
技术介绍
随着车辆逐渐智能化和网联化，车辆上越来越多的应用服务需要联网，它们对通信安全提出了更高要求。例如，车端和服务端通常使用TLS(TransportLayerSecurity，传输层安全性协议)认证，并且是双向认证，以确保通信的保密性、完整性和可信性。车端要验证服务器是否为可信的服务器，服务端也要验证车端是否为可信的车，否则双方不会建立正常通信。在验证过程中，需要服务端和每个车端都要拥有独立的私钥、证书和对方的根证书。在TLS握手过程中，根证书用于验证对方证书的真实，私钥和证书用于协商密钥。因此，如果根证书被替换，攻击者容易伪造服务端，使车辆与一个假的服务器连接，从而控制车辆；如果私钥被提取或者被逆向出来，攻击者就可以伪造车端，与服务端进行认证连接，影响通信安全。
技术实现思路
本专利技术实施例提供了一种终端的通信方法，以解决现有技术中车辆的根证书容易被替换，私钥容易泄露的问题。相应的，本专利技术实施例还提供了一种终端的通信装置，用以保证上述方法的实现及应用。为了解决上述问题，本专利技术实施例公开了一种终端的通信方法，应用于具有可信应用程序以及用户应用程序的执行主体，所述可信应用程序运行于可信执行环境，所述用户应用程序运行于操作系统环境，所述方法包括：所述可信应用程序对所述用户应用程序发送的第一运算数据集进行验证，生成针对预设执行客体的验证结果；当所述验证结果为所述执行客体可信时，所述可信应用程序对所述用户应用程序发送的第二运算数据集进行签名，生成针对所述执行客体的目标数据；所述可信应用程序将所述目标数据发送至所述用户应用程序，以使所述执行主体将所述目标数据发送至所述执行客体。可选地，所述可信执行环境对应于一根密钥；所述第一运算数据集包括适配所述执行客体的目标根证书以及公钥信息；所述可信应用程序对所述用户应用程序发送的第一运算数据集进行验证，生成针对所述执行客体的验证结果，包括：所述可信应用程序采用所述根密钥对所述目标根证书进行解密，得到针对所述公钥信息的初始根密钥；所述可信应用程序采用所述初始根密钥对所述公钥信息进行验证，生成所述验证结果，并将所述验证结果返回所述用户应用程序。可选地，所述可信执行环境对应于一根密钥；所述第二运算数据集包括适配所述执行主体的目标私钥信息以及针对所述执行客体的握手数据；所述可信应用程序对所述用户应用程序发送的第二运算数据集进行签名，生成针对所述执行客体的目标数据，包括：所述可信应用程序采用所述根密钥对所述目标私钥信息进行解密，得到针对所述握手数据的初始私钥信息；所述可信应用程序采用所述初始私钥信息对所述握手数据进行签名，生成目标数据，并将所述目标数据返回所述用户应用程序。可选地，所述可信执行环境对应于一根密钥，所述方法还包括：所述用户应用程序采用预设第一密码对预设的第一信息进行加密，生成第一加密信息；所述第一信息包括适配于所述执行客体的初始根证书，或，适配于所述执行主体的初始私钥信息；所述可信应用程序对所述用户应用程序发送的所述第一加密信息进行解密，得到所述第一信息；所述可信应用程序采用所述根密钥对所述第一信息进行加密，生成第二加密信息，所述第二加密信息包括目标根证书，或，目标私钥信息；所述用户应用程序将所述第二加密信息存储于所述执行主体的文件系统中。可选地，所述可信应用程序对所述用户应用程序发送的第一运算数据集进行验证，生成针对所述执行客体的验证结果，包括：获取所述执行主体与所述执行客体之间的通信类型；当所述通信类型为终端敏感信息通信时，则所述可信应用程序对所述用户应用程序发送的第一运算数据集进行验证，生成针对所述执行客体的验证结果；其中，所述终端敏感信息通信至少包括登录服务、支付服务、在线升级服务、远程控制服务以及敏感信息下发和上传服务中的一种。可选地，所述可信执行环境与所述操作系统环境运行于同一处理器；所述处理器对应于唯一的根密钥。可选地，所述执行主体包括车辆、无人机、移动终端以及PC终端中的至少一种；所述执行客体包括服务器以及数据库中的至少一种。本专利技术实施例还提供了一种通信数据的存储方法，应用于具有可信应用程序以及用户应用程序的执行主体，所述可信应用程序运行于可信执行环境，所述用户应用程序运行于操作系统环境；所述可信执行环境对应于一根密钥，所述方法包括：所述用户应用程序采用预设第一密码对预设的第一信息进行加密，生成第一加密信息，所述第一信息包括适配于预设执行客体的初始根证书，或，适配于所述执行主体的初始私钥信息；所述可信应用程序对所述第一加密信息进行解密，得到所述第一信息；所述可信应用程序采用所述根密钥对所述第一信息进行加密，生成第二加密信息，所述第二加密信息包括目标根证书，或，目标私钥信息；所述用户应用程序将所述第二加密信息存储于所述执行主体的文件系统中。可选地，所述可信执行环境与所述操作系统环境运行于同一处理器；所述处理器对应于唯一的根密钥。可选地，所述执行主体包括车辆、无人机、移动终端以及PC终端中的至少一种；所述执行客体包括服务器以及数据库中的至少一种。本专利技术实施例还提供了一种通信数据的运算方法，应用于具有可信应用程序以及用户应用程序的执行主体，所述可信应用程序运行于可信执行环境，所述用户应用程序运行于操作系统环境，所述可信执行环境对应于一根密钥，所述方法包括：所述可信应用程序接收所述用户应用程序发送的第一运算数据集，所述第一运算数据集包括预设的目标根证书以及针对预设执行客体的公钥信息；所述可信应用程序采用所述根密钥对所述目标根证书进行解密，得到针对所述公钥信息的初始根密钥；所述可信应用程序采用所述初始根密钥对所述公钥信息进行运算，生成第一运算结果；所述可信应用程序将所述第一运算结果返回所述用户应用程序。可选地，还包括：所述可信应用程序接收所述用户应用程序发送的第二运算数据集，所述第二运算数据包括预设的目标私钥信息以及针对所述执行客体的握手数据；所述可信应用程序采用所述根密钥对所述目标私钥信息进行解密，得到针对所述握手数据的初始私钥信息；所述可信应用程序采用所述初始私钥信息对所述握手数据进行运算，生成第二运算结果；所述可信应用程序将所述第二运算结果返回所述用户应用程序。可选地，所述可信执行环境与所述操作系统环境运行于同一处理器；所述处理器对应于唯一的根密钥。可选地，所述执行主体包括车辆、无人机、移动终端以及PC终端中的至少一种；所述执行客体包括服务器以及数据库中的至少一种。本专利技术实施例还提供了一种终端的通信装置，应用于具有可信应用程序以及用户应用程序的执行主体，所述可信应用程序运行于可信执行环境，所述用户应用程序运本文档来自技高网...

【技术保护点】
1.一种终端的通信方法，其特征在于，应用于具有可信应用程序以及用户应用程序的执行主体，所述可信应用程序运行于可信执行环境，所述用户应用程序运行于操作系统环境，所述方法包括：/n所述可信应用程序对所述用户应用程序发送的第一运算数据集进行验证，生成针对预设执行客体的验证结果；/n当所述验证结果为所述执行客体可信时，所述可信应用程序对所述用户应用程序发送的第二运算数据集进行签名，生成针对所述执行客体的目标数据；/n所述可信应用程序将所述目标数据发送至所述用户应用程序，以使所述执行主体将所述目标数据发送至所述执行客体。/n

【技术特征摘要】
1.一种终端的通信方法，其特征在于，应用于具有可信应用程序以及用户应用程序的执行主体，所述可信应用程序运行于可信执行环境，所述用户应用程序运行于操作系统环境，所述方法包括：
所述可信应用程序对所述用户应用程序发送的第一运算数据集进行验证，生成针对预设执行客体的验证结果；
当所述验证结果为所述执行客体可信时，所述可信应用程序对所述用户应用程序发送的第二运算数据集进行签名，生成针对所述执行客体的目标数据；
所述可信应用程序将所述目标数据发送至所述用户应用程序，以使所述执行主体将所述目标数据发送至所述执行客体。


2.根据权利要求1所述的方法，其特征在于，所述可信执行环境对应于一根密钥；所述第一运算数据集包括适配所述执行客体的目标根证书以及公钥信息；所述可信应用程序对所述用户应用程序发送的第一运算数据集进行验证，生成针对所述执行客体的验证结果，包括：
所述可信应用程序采用所述根密钥对所述目标根证书进行解密，得到针对所述公钥信息的初始根密钥；
所述可信应用程序采用所述初始根密钥对所述公钥信息进行验证，生成所述验证结果，并将所述验证结果返回所述用户应用程序。


3.根据权利要求1所述的方法，其特征在于，所述可信执行环境对应于一根密钥；所述第二运算数据集包括适配所述执行主体的目标私钥信息以及针对所述执行客体的握手数据；所述可信应用程序对所述用户应用程序发送的第二运算数据集进行签名，生成针对所述执行客体的目标数据，包括：
所述可信应用程序采用所述根密钥对所述目标私钥信息进行解密，得到针对所述握手数据的初始私钥信息；
所述可信应用程序采用所述初始私钥信息对所述握手数据进行签名，生成目标数据，并将所述目标数据返回所述用户应用程序。


4.根据权利要求1所述的方法，其特征在于，所述可信执行环境对应于一根密钥，所述方法还包括：
所述用户应用程序采用预设第一密码对预设的第一信息进行加密，生成第一加密信息；所述第一信息包括适配于所述执行客体的初始根证书，或，适配于所述执行主体的初始私钥信息；
所述可信应用程序对所述用户应用程序发送的所述第一加密信息进行解密，得到所述第一信息；
所述可信应用程序采用所述根密钥对所述第一信息进行加密，生成第二加密信息，所述第二加密信息包括目标根证书，或，目标私钥信息；
所述用户应用程序将所述第二加密信息存储于所述执行主体的文件系统中。


5.根据权利要求1-4任一所述的方法，其特征在于，所述可信应用程序对所述用户应用程序发送的第一运算数据集进行验证，生成针对所述执行客体的验证结果，包括：
获取所述执行主体与所述执行客体之间的通信类型；
当所述通信类型为终端敏感信息通信时，则所述可信应用程序对所述用户应用程序发送的第一运算数据集进行验证，生成针对所述执行客体的验证结果；
其中，所述终端敏感信息通信至少包括登录服务、支付服务、在线升级服务、远程控制服务以及敏感信息下发和上传服务中的一种。


6.根据权利要求1所述的方法，其特征在于，所述可信执行环境与所述操作系统环境运行于同一处理器；所述处理器对应于唯一的根密钥。


7.根据权利要求1所述的方法，其特征在于，所述执行主体包括车辆、无人机、移动终端以及PC终端中的至少一种；所述执行客体包括服务器以及数据库中的至少一种。


8.一种通信数据的存储方法，其特征在于，应用于具有可信应用程序以及用户应用程序的执行主体，所述可信应用程序运行于可信执行环境，所述用户应用程序运行于操作系统环境，所述可信执行环境对应于一根密钥，所述方法包括：
所述用户应用程序采用预设第一密码对预设的第一信息进行加密，生成第一加密信息，所述第一信息包括适配于预设执行客体的初始根证书，或，适配于所述执行主体的初始私钥信息；
所述可信应用程序对所述第一加密信息进行解密，得到所述第一信息；
所述可信应用程序采用所述根密钥对所述第一信息进行加密，生成第二加密信息，所述第二加密信息包括目标根证书，或，目标私钥信息；
所述用户应用程序将所述第二加密信息存储于所述执行主体的文件系统中。


9.根据权利要求8所述的方法，其特征在于，所述可信执行环境与所述操作系统环境运行于同一处理器；所述处理器对应于唯一的根密钥。


10.根据权利要求8所述的方法，其特征在于，所述执行主体包括车辆、无人机、移动终端以及PC终端中的至少一种；所述执行客体包括服务器以...

【专利技术属性】
技术研发人员：王辉，
申请(专利权)人：广州小鹏汽车科技有限公司，
类型：发明
国别省市：广东;44