在可信執(zhí)行環(huán)境下終端系統(tǒng)安全更新方法及裝置的制造方法
【專利摘要】本發(fā)明涉及一種在可信執(zhí)行環(huán)境下終端系統(tǒng)安全更新方法及裝置，其中，更新方法包括：在可信執(zhí)行環(huán)境下，終端與更新服務(wù)器之間進(jìn)行雙向認(rèn)證，建立安全通道；所述終端通過所述安全通道從更新服務(wù)器上獲得系統(tǒng)更新包；利用系統(tǒng)更新包完成系統(tǒng)更新。本方案通過在終端與更新服務(wù)器間建立雙向認(rèn)證，確保系統(tǒng)更新包來源的合法性。通過在安全引導(dǎo)程序?qū)懭胂到y(tǒng)更新包前對系統(tǒng)更新包進(jìn)行簽名驗證確保系統(tǒng)更新包的完整性和真實性，通過安全引導(dǎo)程序在系統(tǒng)啟動前對系統(tǒng)鏡像進(jìn)行簽名驗證確保系統(tǒng)引導(dǎo)鏡像的完整性和合法性，確保了多系統(tǒng)終端系統(tǒng)更新的整個環(huán)節(jié)中，從系統(tǒng)更新包的獲取、系統(tǒng)更新包寫入前及系統(tǒng)更新包寫入后的系統(tǒng)安全。
【專利說明】
在可信執(zhí)行環(huán)境下終端系統(tǒng)安全更新方法及裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及系統(tǒng)更新技術(shù)領(lǐng)域，特別涉及一種在可信執(zhí)行環(huán)境下終端系統(tǒng)安全更新方法及裝置。
【背景技術(shù)】
[0002]用戶購買的智能終端產(chǎn)品，例如筆記本電腦、智能手機(jī)等，必然遇到需要進(jìn)行一定技術(shù)性的維護(hù)操作。目前終端系統(tǒng)更新的主要方法有:基于PC端軟件的系統(tǒng)軟件更新、基于存儲卡的系統(tǒng)軟件更新、基于專用燒寫設(shè)備的系統(tǒng)軟件更新、系統(tǒng)在線更新等等。
[0003]上述現(xiàn)有技術(shù)有如下共性的缺點:
[0004]1、系統(tǒng)軟件更新包的獲取是完全開放的，導(dǎo)致軟件包被非法篡改的風(fēng)險非常高；
[0005]2、大部分智能終端刷機(jī)時只驗證刷機(jī)包的完整性，而不驗證刷機(jī)包的合法性，給系統(tǒng)安全帶來極大隱患；
[0006]3、現(xiàn)有智能終端啟動時基本都不對已安裝的系統(tǒng)鏡像進(jìn)行驗證，不能從根本上杜絕非法的系統(tǒng)軟件更新。

【發(fā)明內(nèi)容】

[0007]為解決現(xiàn)有技術(shù)的問題，本發(fā)明提出一種在可信執(zhí)行環(huán)境下終端系統(tǒng)安全更新方法及裝置。
[0008]為實現(xiàn)上述目的，本發(fā)明提供了一種在可信執(zhí)行環(huán)境下終端系統(tǒng)安全更新方法，包括:
[0009]在可信執(zhí)行環(huán)境下，終端與更新服務(wù)器之間進(jìn)行雙向認(rèn)證，建立安全通道；
[0010]所述終端通過所述安全通道從更新服務(wù)器上獲得系統(tǒng)更新包；
[0011]利用系統(tǒng)更新包完成系統(tǒng)更新。
[0012]優(yōu)選地，所述利用系統(tǒng)更新包完成系統(tǒng)更新的步驟包括:
[0013]終端系統(tǒng)重新啟動，進(jìn)入安全引導(dǎo)程序，所述安全引導(dǎo)程序?qū)λ鱿到y(tǒng)更新包進(jìn)行簽名驗證；
[0014]驗證成功后，所述系統(tǒng)更新包寫入系統(tǒng)區(qū)，完成系統(tǒng)啟動。
[0015]優(yōu)選地，所述利用系統(tǒng)更新包完成系統(tǒng)更新的步驟還包括:
[0016]對所述系統(tǒng)更新包驗證成功之后，所述安全引導(dǎo)程序?qū)ο到y(tǒng)區(qū)的系統(tǒng)鏡像進(jìn)行簽名驗證；
[0017]驗證成功后，在所述系統(tǒng)更新包寫入系統(tǒng)區(qū)之后，通過安全引導(dǎo)程序加載系統(tǒng)鏡像完成系統(tǒng)啟動。
[0018]優(yōu)選地，所述系統(tǒng)更新包存儲至終端的安全存儲區(qū)。
[0019]為實現(xiàn)上述目的，本發(fā)明還提供了一種在可信執(zhí)行環(huán)境下終端系統(tǒng)安全更新裝置，包括:
[0020]安全通道建立單元，用于在可信執(zhí)行環(huán)境下，終端與更新服務(wù)器之間進(jìn)行雙向認(rèn)證，建立安全通道；
[0021]下載系統(tǒng)更新包單元，用于所述終端通過所述安全通道從更新服務(wù)器上獲得系統(tǒng)更新包；
[0022]系統(tǒng)更新單元，用于利用系統(tǒng)更新包完成系統(tǒng)更新。
[0023]優(yōu)選地，所述系統(tǒng)更新單元包括:
[0024]第一簽名驗證模塊，用于終端系統(tǒng)重新啟動，進(jìn)入安全引導(dǎo)程序，所述安全引導(dǎo)程序?qū)λ鱿到y(tǒng)更新包進(jìn)行簽名驗證；
[0025]第一更新模塊，用于驗證成功后，所述系統(tǒng)更新包寫入系統(tǒng)區(qū)，完成系統(tǒng)啟動。
[0026]優(yōu)選地，所述系統(tǒng)更新單元還包括:
[0027]第二簽名驗證模塊，用于對所述系統(tǒng)更新包驗證成功之后，所述安全引導(dǎo)程序?qū)ο到y(tǒng)區(qū)的系統(tǒng)鏡像進(jìn)行簽名驗證；
[0028]第二更新模塊，用于驗證成功后，在所述系統(tǒng)更新包寫入系統(tǒng)區(qū)之后，通過安全引導(dǎo)程序加載系統(tǒng)鏡像完成系統(tǒng)啟動。
[0029]優(yōu)選地，還包括:安全存儲單元；
[0030]所述安全存儲單元，置于終端上，用于對所述系統(tǒng)更新包的存儲。
[0031]上述技術(shù)方案具有如下有益效果:
[0032]本方案通過在終端與更新服務(wù)器間建立雙向認(rèn)證，確保系統(tǒng)更新包來源的合法性。通過在安全引導(dǎo)程序?qū)懭胂到y(tǒng)更新包前對系統(tǒng)更新包進(jìn)行簽名驗證確保系統(tǒng)更新包的完整性和真實性，通過安全引導(dǎo)程序在系統(tǒng)啟動前對系統(tǒng)鏡像進(jìn)行簽名驗證確保系統(tǒng)引導(dǎo)鏡像的完整性和合法性，確保了多系統(tǒng)終端系統(tǒng)更新的整個環(huán)節(jié)中，從系統(tǒng)更新包的獲取、系統(tǒng)更新包寫入前及系統(tǒng)更新包寫入后的系統(tǒng)安全。
【附圖說明】
[0033]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0034]圖1為本發(fā)明提供的一種在可信執(zhí)行環(huán)境下終端系統(tǒng)安全更新裝置框圖；
[0035]圖2為本發(fā)明提供的系統(tǒng)安全更新裝置中系統(tǒng)更新單元框圖之一；
[0036]圖3為本發(fā)明提供的系統(tǒng)安全更新裝置中系統(tǒng)更新單元框圖之二 ；
[0037]圖4為本實施例的系統(tǒng)架構(gòu)圖；
[0038]圖5為本發(fā)明提供的一種在可信執(zhí)行環(huán)境下終端系統(tǒng)安全更新方法流程圖；
[0039]圖6為本實施例的系統(tǒng)更新流程圖。
【具體實施方式】
[0040]下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護(hù)的范圍。
[0041]本技術(shù)方案的工作原理:終端的安全更新服務(wù)程序運行在TEE可信執(zhí)行環(huán)境下，終端與更新服務(wù)器雙向認(rèn)證，建立安全通道。通過該安全通道獲得系統(tǒng)更新包，確保系統(tǒng)更新包來源的合法性。在此基礎(chǔ)上，通過對下載的更新包進(jìn)行簽名驗證，確保系統(tǒng)更新包的完整性和真實性。進(jìn)一步地，通過在安全引導(dǎo)程序中對已安裝的系統(tǒng)鏡像進(jìn)行簽名驗證，確保終端的運行環(huán)境是未被篡改的合法系統(tǒng)。
[0042]基于上述工作原理，本發(fā)明提供了一種在可信執(zhí)行環(huán)境下終端系統(tǒng)安全更新裝置，如圖1所示。包括:
[0043]安全通道建立單元101，用于在可信執(zhí)行環(huán)境下，終端與更新服務(wù)器之間進(jìn)行雙向認(rèn)證，建立安全通道；
[0044]下載系統(tǒng)更新包單元102，用于所述終端通過所述安全通道從更新服務(wù)器上獲得系統(tǒng)更新包；
[0045]系統(tǒng)更新單元103，用于利用系統(tǒng)更新包完成系統(tǒng)更新。
[0046]在圖1展示的系統(tǒng)安全更新裝置中，終端與更新服務(wù)器之間通過雙向認(rèn)證建立了安全通道，終端只有通過安全通道從更新服務(wù)器上下載系統(tǒng)更新包，獲取的系統(tǒng)更新包就不是完全開放的，降低系統(tǒng)更新包被非法篡改的風(fēng)險概率，確保系統(tǒng)更新包來源的合法性。
[0047]進(jìn)一步地，為確保系統(tǒng)更新包的安全，在圖1的基礎(chǔ)上，終端系統(tǒng)安全更新裝置還包括:安全存儲單元；該安全存儲單元置于終端上，用于對所述系統(tǒng)更新包的存儲。
[0048]對于本實施例來說，如圖2所示，圖1中的系統(tǒng)更新單元103包括:
[0049]第一簽名驗證模塊1031，用于終端系統(tǒng)重新啟動，進(jìn)入安全引導(dǎo)程序，所述安全引導(dǎo)程序?qū)λ鱿到y(tǒng)更新包進(jìn)行簽名驗證；
[0050]第一更新模塊1032，用于驗證成功后，所述系統(tǒng)更新包寫入系統(tǒng)區(qū)，完成系統(tǒng)啟動。
[0051]對于本案例來說，在確保系統(tǒng)更新包來源的合法性的基礎(chǔ)上，對下載的更新包進(jìn)行簽名驗證，不僅驗證更新包的完整性，更驗證刷機(jī)包的合法性，確保系統(tǒng)更新包的完整性和真實性，給系統(tǒng)安全更新創(chuàng)造安全保障。
[0052]更進(jìn)一步地，在圖1和圖2的基礎(chǔ)上，如圖3所示，系統(tǒng)更新單元103還包括:
[0053]第二簽名驗證模塊1033，用于對所述系統(tǒng)更新包驗證成功之后，所述安全引導(dǎo)程序?qū)ο到y(tǒng)區(qū)的系統(tǒng)鏡像進(jìn)行簽名驗證；
[0054]第二更新模塊1034，用于驗證成功后，在所述系統(tǒng)更新包寫入系統(tǒng)區(qū)之后，通過安全引導(dǎo)程序加載系統(tǒng)鏡像完成系統(tǒng)啟動。
[0055]對于本案例來說，在去報系統(tǒng)更新包來源的合法性、完整性和真實性的基礎(chǔ)上，終端啟動時對已安裝的系統(tǒng)鏡像進(jìn)行驗證，能從根本上杜絕非法的系統(tǒng)軟件更新。
[0056]為進(jìn)一步詳細(xì)說明本裝置，下面結(jié)合實際情況對本裝置進(jìn)行詳細(xì)闡述。
[0057]如圖4所示，為本實施例的系統(tǒng)架構(gòu)圖。本方案由安全引導(dǎo)程序、安全更新服務(wù)桌面端、安全更新服務(wù)端三部分組成，安全引導(dǎo)程序運行在安全更新服務(wù)桌面端和安全更新服務(wù)端。安全更新服務(wù)桌面端處于終端的顯示屏幕上，具有系統(tǒng)更新功能的訪問入口，通過對安全更新服務(wù)桌面端的操作，通過TEE Client API與安全更新服務(wù)端進(jìn)行通訊。安全更新服務(wù)端內(nèi)的安全通訊模塊負(fù)責(zé)下，讓安全更新服務(wù)端與更新服務(wù)器之間通過雙向認(rèn)證建立安全通道，終端查詢通過該安全通道向更新服務(wù)器查詢是否具有系統(tǒng)更新包，如果具有系統(tǒng)更新包，則通過安全通道下載系統(tǒng)更新包。同時，為確保系統(tǒng)更新包的安全，由安全更新服務(wù)端的安全存儲模塊負(fù)責(zé)系統(tǒng)更新包的存儲。
[0058]基于上述描述，根據(jù)圖4展示的系統(tǒng)架構(gòu)，安全引導(dǎo)程序、安全更新服務(wù)桌面端、安全更新服務(wù)端在終端系統(tǒng)更新時執(zhí)行的功能為:
[0059]1、用戶通過安全更新服務(wù)桌面端進(jìn)入安全更新服務(wù)端。系統(tǒng)由REE操作系統(tǒng)運行環(huán)境切換到TEE可信執(zhí)行環(huán)境。
[0060]2、安全更新服務(wù)端通過安全通訊模塊與安全更新服務(wù)器之間進(jìn)行雙向認(rèn)證，認(rèn)證成功后，安全更新服務(wù)端與更新服務(wù)器之間建立了安全通道，查詢更新服務(wù)器上是否有新版本系統(tǒng)更新包，如新版本存在，則下載并由安全存儲模塊負(fù)責(zé)保存在終端上。
[0061]3、安全更新服務(wù)端下載系統(tǒng)更新包后，通知用戶重新啟動終端的操作系統(tǒng)來完成更新。
[0062]4、系統(tǒng)啟動時，首先進(jìn)入安全引導(dǎo)程序，安全引導(dǎo)程序檢查安全存儲區(qū)是否有系統(tǒng)更新包，如果有，則對系統(tǒng)更新包進(jìn)行簽名驗證。驗證成功，則將系統(tǒng)更新包寫入系統(tǒng)區(qū)，完成系統(tǒng)更新。
[0063]5、終端的操作系統(tǒng)啟動時，通過安全引導(dǎo)程序加載系統(tǒng)鏡像完成系統(tǒng)啟動，在加載系統(tǒng)鏡像前，安全引導(dǎo)程序?qū)ο到y(tǒng)區(qū)的系統(tǒng)鏡像進(jìn)行簽名驗證，確保終端所運行的系統(tǒng)是未經(jīng)篡改的合法系統(tǒng)。
[0064]基于上述詳細(xì)介紹的安全引導(dǎo)程序、安全更新服務(wù)桌面端、安全更新服務(wù)端在終端系統(tǒng)更新時執(zhí)行的功能，本發(fā)明還提出一種在可信執(zhí)行環(huán)境下終端系統(tǒng)安全更新方法。如圖5所示，該方法包括:
[0065]步驟501):在可信執(zhí)行環(huán)境下，終端與更新服務(wù)器之間進(jìn)行雙向認(rèn)證，建立安全通道；
[0066]步驟502):所述終端通過所述安全通道從更新服務(wù)器上獲得系統(tǒng)更新包；
[0067]步驟503):利用系統(tǒng)更新包完成系統(tǒng)更新。
[0068]為了確保系統(tǒng)更新包的完整性和真實性，對于步驟503來說，進(jìn)一步包括:
[0069]終端系統(tǒng)重新啟動，進(jìn)入安全引導(dǎo)程序，所述安全引導(dǎo)程序?qū)λ鱿到y(tǒng)更新包進(jìn)行簽名驗證；
[0070]驗證成功后，所述系統(tǒng)更新包寫入系統(tǒng)區(qū)，完成系統(tǒng)啟動。
[0071]在確保系統(tǒng)更新包的完整性和真實性的基礎(chǔ)上，為了保障終端的運行環(huán)境是未被篡改的合法系統(tǒng)，對于步驟503來說，更進(jìn)一步包括:
[0072]優(yōu)選地，所述利用系統(tǒng)更新包完成系統(tǒng)更新的步驟還包括:
[0073]終端系統(tǒng)重新啟動，進(jìn)入安全引導(dǎo)程序，所述安全引導(dǎo)程序?qū)λ鱿到y(tǒng)更新包進(jìn)行簽名驗證；
[0074]對所述系統(tǒng)更新包驗證成功之后，所述安全引導(dǎo)程序?qū)ο到y(tǒng)區(qū)的系統(tǒng)鏡像進(jìn)行簽名驗證；
[0075]驗證成功后，在所述系統(tǒng)更新包寫入系統(tǒng)區(qū)之后，通過安全引導(dǎo)程序加載系統(tǒng)鏡像完成系統(tǒng)啟動。
[0076]為進(jìn)一步詳細(xì)說明本方法，下面結(jié)合圖6，并根據(jù)實際情況對本方法進(jìn)行詳細(xì)闡述。
[0077]步驟1，在終端的REE操作系統(tǒng)下，在終端桌面上啟動系統(tǒng)安全更新服務(wù)，系統(tǒng)由REE操作系統(tǒng)運行環(huán)境切換到可信執(zhí)行環(huán)境；
[0078]步驟2，在可信執(zhí)行環(huán)境下，終端與更新服務(wù)器建立雙向認(rèn)證通道；
[0079]步驟3，判斷終端系統(tǒng)是否需要更新；如果是，則轉(zhuǎn)至步驟4 ;否則，結(jié)束系統(tǒng)安全更新服務(wù)；
[0080]步驟4，通過雙向認(rèn)證通道下載系統(tǒng)更新包至終端；
[0081]步驟5，確定是否重啟終端操作系統(tǒng)來完成系統(tǒng)更新；如果是，則轉(zhuǎn)至步驟6 ;否貝1J，結(jié)束系統(tǒng)安全更新服務(wù)；
[0082]步驟6，在安全程序引導(dǎo)下，對系統(tǒng)更新包進(jìn)行簽名驗證；
[0083]步驟7，驗證成功后，將系統(tǒng)更新包寫入系統(tǒng)分區(qū)；
[0084]步驟8，判斷系統(tǒng)鏡像建模是否合法；如果是，則轉(zhuǎn)至步驟9 ;否則，將終端關(guān)掉，阻止系統(tǒng)更新；
[0085]步驟9，終端的操作系統(tǒng)運行，完成更新，運行至終端系統(tǒng)桌面。
[0086]對于本技術(shù)方案來說，通過TEE可信執(zhí)行環(huán)境與更新服務(wù)器雙向認(rèn)證確保系統(tǒng)更新包來源的合法性，通過對下載的更新包進(jìn)行簽名驗證確保系統(tǒng)更新包的完整性和真實性，通過在安全引導(dǎo)程序中對已安裝的系統(tǒng)鏡像進(jìn)行簽名驗證確保終端的運行環(huán)境是未被篡改的合法系統(tǒng)。
[0087]以上所述的【具體實施方式】，對本發(fā)明的目的、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步詳細(xì)說明，所應(yīng)理解的是，以上所述僅為本發(fā)明的【具體實施方式】而已，并不用于限定本發(fā)明的保護(hù)范圍，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【主權(quán)項】
1.一種在可信執(zhí)行環(huán)境下終端系統(tǒng)安全更新方法，其特征在于，包括: 在可信執(zhí)行環(huán)境下，終端與更新服務(wù)器之間進(jìn)行雙向認(rèn)證，建立安全通道； 所述終端通過所述安全通道從更新服務(wù)器上獲得系統(tǒng)更新包； 利用系統(tǒng)更新包完成系統(tǒng)更新。2.如權(quán)利要求1所述的方法，其特征在于，所述利用系統(tǒng)更新包完成系統(tǒng)更新的步驟包括: 終端系統(tǒng)重新啟動，進(jìn)入安全引導(dǎo)程序，所述安全引導(dǎo)程序?qū)λ鱿到y(tǒng)更新包進(jìn)行簽名驗證； 驗證成功后，所述系統(tǒng)更新包寫入系統(tǒng)區(qū)，完成系統(tǒng)啟動。3.如權(quán)利要求2所述的方法，其特征在于，所述利用系統(tǒng)更新包完成系統(tǒng)更新的步驟還包括: 對所述系統(tǒng)更新包驗證成功之后，所述安全引導(dǎo)程序?qū)ο到y(tǒng)區(qū)的系統(tǒng)鏡像進(jìn)行簽名驗證； 驗證成功后，在所述系統(tǒng)更新包寫入系統(tǒng)區(qū)之后，通過安全引導(dǎo)程序加載系統(tǒng)鏡像完成系統(tǒng)啟動。4.如權(quán)利要求1?3任一權(quán)利要求所述的方法，其特征在于，所述系統(tǒng)更新包存儲至終端的安全存儲區(qū)。5.一種在可信執(zhí)行環(huán)境下終端系統(tǒng)安全更新裝置，其特征在于，包括: 安全通道建立單元，用于在可信執(zhí)行環(huán)境下，終端與更新服務(wù)器之間進(jìn)行雙向認(rèn)證，建立安全通道； 下載系統(tǒng)更新包單元，用于所述終端通過所述安全通道從更新服務(wù)器上獲得系統(tǒng)更新包； 系統(tǒng)更新單元，用于利用系統(tǒng)更新包完成系統(tǒng)更新。6.如權(quán)利要求5所述的裝置，其特征在于，所述系統(tǒng)更新單元包括: 第一簽名驗證模塊，用于終端系統(tǒng)重新啟動，進(jìn)入安全引導(dǎo)程序，所述安全引導(dǎo)程序?qū)λ鱿到y(tǒng)更新包進(jìn)行簽名驗證； 第一更新模塊，用于驗證成功后，所述系統(tǒng)更新包寫入系統(tǒng)區(qū)，完成系統(tǒng)啟動。7.如權(quán)利要求6所述的裝置，其特征在于，所述系統(tǒng)更新單元還包括: 第二簽名驗證模塊，用于對所述系統(tǒng)更新包驗證成功之后，所述安全引導(dǎo)程序?qū)ο到y(tǒng)區(qū)的系統(tǒng)鏡像進(jìn)行簽名驗證； 第二更新模塊，用于驗證成功后，在所述系統(tǒng)更新包寫入系統(tǒng)區(qū)之后，通過安全引導(dǎo)程序加載系統(tǒng)鏡像完成系統(tǒng)啟動。8.如權(quán)利要求5?7任一權(quán)利要求所述的裝置，其特征在于，還包括:安全存儲單元； 所述安全存儲單元，置于終端上，用于對所述系統(tǒng)更新包的存儲。
【文檔編號】G06F21/51GK105930730SQ201510607172
【公開日】2016年9月7日
【申請日】2015年9月22日
【發(fā)明人】曾望年, 周鈺, 郭偉, 陳成錢, 李定洲, 嚴(yán)翔翔
【申請人】中國銀聯(lián)股份有限公司