一种基于中央计算平台的数据可信执行方法及装置制造方法及图纸

本发明专利技术公开了一种基于中央计算平台的数据可信执行方法及装置，所述方法包括在控制器中开辟TEE存储空间将板载操作系统与应用操作空间进行镜像隔离，并向TEE存储空间灌装密钥与证书；在可信执行环境TEE中采用加密算法绑定硬件信息生成加密密钥，将所述加密密钥对通信数据加密后作为加密数据，将所述加密数据存储在RPMB重放保护内存块，所述RPMB重放保护内存块可对写入操作鉴权；所述可信执行环境TEE接收来自客户端应用程序的信息请求，调用所述加密数据进行通信包的解密及通信会话。本发明专利技术可以保证低优先级程序不能访问高优先级程序的资源；在独立空间进行存储安全，数据加密，保护了数据安全，避免了数据被窃取或篡改。避免了数据被窃取或篡改。避免了数据被窃取或篡改。

【技术实现步骤摘要】
一种基于中央计算平台的数据可信执行方法及装置


[0001]本专利技术涉及软件开发领域，尤其涉及一种基于中央计算平台的数据可信执行方法及装置。

技术介绍

[0002]设备的CPU(Central Processing Unit，中央处理器)在运行时，CPU的执行环境一般分为富执行环境(Rich Execution Environment，REE)和可信执行环境(Trust Execution Environment，TEE)。其中，富执行环境REE和可信执行环境TEE在物理上是隔离的，富执行环境REE和可信执行环境TEE各自运行独立的软件。但可信执行系统的构建，传统方式是通过板载操作系统开辟空间，且传统方案采用操作系统下的数据存储，数据未经加密，安全性较低。
[0003]因此现有技术还有待于进一步发展。

技术实现思路

[0004]针对上述技术问题，本专利技术提供了一种基于中央计算平台的数据可信执行方法及装置，提供独立于操作系统的保护空间，保障运行环境安全，提供密钥保护。
[0005]本专利技术的第一方面，提供一种基于中央计算平台的数据可信执行方法，包括：在控制器中开辟TEE存储空间将板载操作系统与应用操作空间进行镜像隔离，并向TEE存储空间灌装密钥与证书；在可信执行环境TEE中采用加密算法绑定硬件信息生成加密密钥，将所述加密密钥对通信数据加密后作为加密数据，将所述加密数据存储在RPMB（Replay Protected Memory Block）重放保护内存块，所述RPMB重放保护内存块可对写入操作鉴权；所述可信执行环境TEE接收来自客户端应用程序的信息请求，调用所述加密数据进行通信包的解密及通信会话。
[0006]可选地，所述在可信执行环境TEE中采用加密算法绑定硬件信息生成加密密钥，包括：在可信执行环境TEE中采用非对称性密钥生成算法对芯片相关信息和预设信息进行处理，生成私钥和公钥；所述芯片相关信息包括芯片识别码。
[0007]可选地，所述的基于中央计算平台的数据可信执行方法，还包括：在富执行环境REE中获取所述RPMB重放保护内存块中的加密数据；使用富执行环境REE中的公钥对所述自客户端应用程序的信息请求进行校验；其中所述公钥从所述加密数据中获取。
[0008]可选地，所述在控制器中开辟TEE存储空间将板载操作系统与应用操作空间进行镜像隔离，并向TEE存储空间灌装密钥与证书，包括：利用云端安全管理中心向产线工具推送密钥与证书，将产线工具向所述可信执行环境TEE中的产线应用烧写密钥与证书，其中所述证书为SDK的可信根证书。
可选地，所述RPMB重放保护内存块设有写入计数器与唯一的安全密钥，所述写入计数器与所述唯一的安全密钥用于实现数据读取和写入的重放保护。
[0009]本专利技术的第二方面，提供一种基于中央计算平台的数据可信执行方法装置，包括：预装模块，用于在控制器中开辟TEE存储空间将板载操作系统与应用操作空间进行镜像隔离，并向TEE存储空间灌装密钥与证书；加密通信模块，用于在可信执行环境TEE中采用加密算法绑定硬件信息生成加密密钥，将所述加密密钥对通信数据加密后作为加密数据，将所述加密数据存储在RPMB重放保护内存块，所述RPMB重放保护内存块可对写入操作鉴权；执行模块，用于所述可信执行环境TEE接收来自客户端应用程序的信息请求，调用所述加密数据进行通信包的解密及通信会话。
[0010]可选地，所述加密通信模块包括密钥生成模块，所述密钥生成模块用于在可信执行环境TEE中采用非对称性密钥生成算法对芯片相关信息和预设信息进行处理，生成私钥和公钥；所述芯片相关信息包括芯片识别码。
[0011]可选地，所述的基于中央计算平台的数据可信执行方法装置，还包括获取校验模块，用于在富执行环境REE中获取所述RPMB重放保护内存块中的加密数据；使用富执行环境REE中的公钥对所述自客户端应用程序的信息请求进行校验；其中所述公钥从所述加密数据中获取。
[0012]可选地，所述预装模块还包括云端写入模块，所述云端写入模块用于利用云端安全管理中心向产线工具推送密钥与证书，将产线工具向所述可信执行环境TEE中的产线应用烧写密钥与证书，其中所述证书为SDK的可信根证书。
[0013]可选地，所述RPMB重放保护内存块设有写入计数器与唯一的安全密钥，所述写入计数器与所述唯一的安全密钥用于实现数据读取和写入的重放保护。
[0014]本专利技术的第三方面，提供一种车辆，包括：至少一个处理器；以及与所述处理器通信连接的至少一个存储器，其中：所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如本专利技术第一方面所述的方法。
[0015]本专利技术的第四方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被计算机运行时，执行如本专利技术第一方面所述的方法。
[0016]本专利技术在控制器中开辟TEE存储空间开辟独立空间，提供独立于操作系统的保护空间，可以保证低优先级程序不能访问高优先级程序的资源；在独立空间进行存储安全，数据加密，保护了数据安全，避免了数据被窃取或篡改；与客户端应用程序可以进行加密通信以及身份认证，可避免身份仿冒窃取通信数据等问题。
附图说明
[0017]图1为本专利技术实施例中一种基于中央计算平台的数据可信执行方法的应用示例图；图2为本专利技术实施例中一种基于中央计算平台的数据可信执行方法的流程示意图；图3为本专利技术实施例中TEE层次架构图；
图4为本专利技术实施例中一种指纹解锁数据可信执行方法的流程示意图；图5为本专利技术实施例中一种基于中央计算平台的数据可信执行装置的模块示意图。
具体实施方式
[0018]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0019]在对本专利技术实施例进行详细地解释说明之前，为便于理解，先对本专利技术实施例涉及的内容进行解释：中央计算平台：中央域控制器内部集成ECUs功能的运用；ECU：电子控制单元，泛指车内的控制器；REE ：Rich Execution Environment，富执行环境。指的是操作系统运行时的环境中，可以运行如Android、IOS等通用的OS（Opreating System）；TEE：Trusted Execution Environment，可信执行环境。根据“可信”的定义，可信执行环境指的是满足如下条件的程序执行平台：这个平台里的软硬件资源永远按照预期的方式工作，不会受平台控制者或者其它任何第三方的影响，这些资源包括了寄存器、内存、中断等。因为这些基本资源永远按照设计者预期工作，从而确保了在里面运行的程序行为的可控；RPMB：Replay Protected Memory Block，重放保护内存块；eMMC：MMC协会订立、主要针对本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于中央计算平台的数据可信执行方法，其特征在于，包括：在控制器中开辟TEE存储空间将板载操作系统与应用操作空间进行镜像隔离，并向TEE存储空间灌装密钥与证书；在可信执行环境TEE中采用加密算法绑定硬件信息生成加密密钥，将所述加密密钥对通信数据加密后作为加密数据，将所述加密数据存储在RPMB重放保护内存块，所述RPMB重放保护内存块可对写入操作鉴权；所述可信执行环境TEE接收来自客户端应用程序的信息请求，调用所述加密数据进行通信包的解密及通信会话。2.根据权利要求1所述的基于中央计算平台的数据可信执行方法，其特征在于，所述在可信执行环境TEE中采用加密算法绑定硬件信息生成加密密钥，包括：在可信执行环境TEE中采用非对称性密钥生成算法对芯片相关信息和预设信息进行处理，生成私钥和公钥；所述芯片相关信息包括芯片识别码。3.根据权利要求2所述的基于中央计算平台的数据可信执行方法，其特征在于，所述方法还包括：在富执行环境REE中获取所述RPMB重放保护内存块中的加密数据；使用富执行环境REE中的公钥对所述自客户端应用程序的信息请求进行校验；其中所述公钥从所述加密数据中获取。4.根据权利要求1所述的基于中央计算平台的数据可信执行方法，其特征在于，所述在控制器中开辟TEE存储空间将板载操作系统与应用操作空间进行镜像隔离，并向TEE存储空间灌装密钥与证书，包括：利用云端安全管理中心向产线工具推送密钥与证书，将产线工具向所述可信执行环境TEE中的产线应用烧写密钥与证书，其中所述证书为SDK的可信根证书。5.根据权利要求1所述的基于中央计算平台的数据可信执行方法，其特征在于，所述RPMB重放保护内存块设有写入计数器与唯一的安全密钥，所述写入计数器与所述唯一的安全密钥用于实现数据读取和写入的重放保护。6.一种基于中央计算平台的数据可信执行方法装置，其特征在于，包括：预装模块，用于在控制器中开辟TEE存储空间将板载操作系统与应用操作空间进行镜像隔离，并向TEE存储空间灌装密钥与证书；加...

【专利技术属性】
技术研发人员：张伟捷，任昶伟，高瑞，李波，王飞，
申请(专利权)人：智己汽车科技有限公司，
类型：发明
国别省市：