[001]

[发明公布] 可扩展的可信用户接口、方法和电子设备

申请公布号：CN107066888A

申请公布日：2017.08.18

申请号：2017102661962

申请日：2017.04.21

申请人：北京豆荚科技有限公司

发明人：冯希顺; 仝丽娜; 江涛

地址：100190北京市海淀区知春路紫金数码园3号楼702室

分类号：G06F21/60(2013.01)

摘要： 本发明涉及可扩展的可信用户接口(xTUI)，其包括布置在REE端的应用服务xTUI Agent和布置在TEE端的xTUI Container，其中，xTUI Agent将REE端获取的xTUI布局文件传输至xTUI Container，xTUI Container对该xTUI布局文件进行解析和执行。本发明还涉及一种用于运行可扩展的可信用户接口的方法和一种包括可扩展的可信用户接口的电子设备

[002]

[发明公布] 一种安全指示信息的配置方法及设备

申请公布号：CN107077565A

申请公布日：2017.08.18

申请号：2015800515320

申请日：2015.11.25

申请人：华为技术有限公司

发明人：李国庆; 常新苗; 王梓

地址：518129广东省深圳市龙岗区坂田华为总部办公楼

分类号：G06F21/56(2013.01)I; H04M1/725(2006.01)

摘要： 本发明实施例中提供一种安全指示信息的配置方法及设备，以降低被恶意软件攻击和截获的风险。该方法为，终端检测所述终端是否针对TUI设置有通用安全指示信息;若没有设置，则检测所述终端的运行状态;当检测到所述终端的运行状态为安全状态时，通过第一信息展示界面在显示屏上呈现第一输入接口;通过所述第一输入接口接收输入的通用安全指示信息，并将所述通用安全指示信息保存至终端的可信执行环境TEE中。这样，在设置通用安全指示信息之前，检测终端的运行状态，能够确保终端的运行状态处于安全状态时，才设置通用安全指示信息，这样能够保证设置的通用安全指示信息不被恶意软件或程序攻击或获取，保证用户信息安全。

[003]

[发明公布] 用于提供全球平台兼容可信执行环境的系统和方法

申请公布号：CN107003889A

申请公布日：2017.08.01

申请号：2015800657406

申请日：2015.10.21

申请人：英特尔公司

发明人：S·瓦拉达拉贾恩;

地址：美国加利福尼亚州

分类号：G06F9/455(2006.01)

摘要： 一种提供全球平台(GP)兼容可信执行环境(TEE)的方法，所述方法以主处理器执行存储在存储器设备中的应用开始。应用包括客户端应用(CA)和可信应用(TA)。执行所述应用包括在客户端进程中运行CA并且在TEE主机进程中运行TA。客户端进程与TEE主机进程分开。使用TEE主机进程，从客户端进程中接收用于开启会话的请求，所述请求包括所述TA的标识符。使用包括在TEE主机进程中的GP可信服务飞地，使用所述GP可信服务飞地在所述TEE主机进程中确定和加载与所述标识符相关联的TA飞地，以便建立所述会话。使用TEE主机进程，从客户端进程中接收将在TA飞地中调用的命令以及命令需要的参数集。使用GP内部API，执行与标识符相关联的TA飞地中的命令。还描述了其它实施例。

[004]

[发明公布] 一种TEE下全功能测试系统及测试方法

申请公布号：CN106980574A

申请公布日：2017.07.25

申请号：2017101402087

申请日：2017.03.10

申请人：武汉融卡智能信息科技有限公司

发明人：樊永亮; 朱恒毅

地址：430000湖北省武汉市东湖新技术开发区武大科技园内创业大楼1楼60-1号

分类号：G06F11/36(2006.01)

摘要： 本发明提供了一种TEE下全功能测试系统及测试方法，其中系统，Testsuite端包括服务端和客户端，所述服务端包括第一UI主线程、网络监听线程、处理客户网络事件线程，所述客户端包括第二UI主线程、连接线程、处理服务端事件线程、用例执行线程，所述服务端与客户端之间通过TCP网络通信，本发明的能够为TEE产品提供标准的GP API、IFAA API以及其他扩展API、功能测试方法和手段，可以在较低时间和成本的基础上为TEE厂家，终端厂家等提供测试工具，能够降低TEE厂家GP等其他认证测试的时间和成本，能让终端设备在出厂前测试TEE系统功能，稳定性以及IFAA相关测试，缩短产品开发周期，提高系统性能和稳定性。

[005]

[发明公布] 基于TEE的线下支付方法及其支付系统、移动终端

申请公布号：CN106980972A

申请公布日：2017.07.25

申请号：2016112428419

申请日：2016.12.29

申请人：中国银联股份有限公司

发明人：陈成钱; 周钰; 郭伟

地址：200135上海市浦东新区含笑路36号银联大厦

分类号：G06Q20/20(2012.01)

摘要： 本发明涉及基于TEE的线下支付系统以及支付方法。该系统具备：移动终端，用于实现卡功能并且实现qPBOC的卡流程，提供用户输入界面，对用户输入的数据处理后以二维码形式进行展现;POS终端，用于获取所述移动终端展现的二维码形式的数据并且将该数据转换成卡片数据报文发送到后台系统;以及后台系统，用于根据所述卡片数据报文完成支付并将结果返回POS终端。根据本发明，不需要移动终端和POS终端具备NFC功能就能够在线下实现移动支付。

[006]

[发明公布] 一种TEE下RPC机制下安全时钟的控制方法

申请公布号：CN106970678A

申请公布日：2017.07.21

申请号：2017101450432

申请日：2017.03.10

申请人：武汉融卡智能信息科技有限公司

发明人：樊永亮; 潘朝阳

地址：430000湖北省武汉市东湖新技术开发区武大科技园内创业大楼1楼60-1号

分类号：G06F1/04(2006.01)

摘要： 本发明提供了一种TEE下RPC机制下安全时钟的控制方法，包括以下步骤：CA程序调用Client API;Client API调用Client Driver;Client Driver通过smc call切换到TEE OS，并执行对应TA并通过TA调用TEE SPI通信接口发送/接收数据;调用所述TEE中实现的时钟使能接口并通过RPC，向REE端发送时钟使能请求;Client Driver收到请求，并将请求分发至REE端时钟控制驱动;时钟控制驱动调用Linux时钟接口使能SPI驱动时钟，后经Client Driver返回TEE;安全SPI驱动开始IO操作，向SPI总线发送/接收TA需要的数据，本发明的安全时钟控制的方法相对于常规的方式控制SPI时钟具有调用步骤简单，效率高，以及在不安全环境里的操作也不会降低系统安全性。

[007]

[发明公布] 安全控制方法、及终端

申请公布号：CN106971122A

申请公布日：2017.07.21

申请号：2017100655914

申请日：2017.02.06

申请人：深圳市金立通信设备有限公司

发明人：黄儒鸿; 张柳

地址：518040广东省深圳市福田区深南大道7028号时代科技大厦东座21楼

分类号：G06F21/79(2013.01)I; G06F21/60(2013.01)

摘要： 本发明实施例公开了一种安全控制方法、及终端，该方法应用于包含可信执行环境TEE的终端，包括：所述终端的TEE确定需要对可插拔的存储器进行加密的情况下，获取所述终端的标识信息，依据所述标识信息生成锁密码;使用所述锁密码对所述可插拔的存储器进行加密。本发明实施例中的TEE可以利用终端的标识信息生成锁密码，并利用该锁密码单独对该终端中的可插拔的存储器进行加密和解密，实现方式简单、安全性高。另外，可以自动对该可插拔的存储器进行加密和解密，无需用户的操作。

[008]

[发明公布] 一种安卓操作系统的移动终端使用方法

申请公布号：CN106951771A

申请公布日：2017.07.14

申请号：2017101611523

申请日：2017.03.17

申请人：上海与德科技有限公司

发明人：丁以胜

地址：200233上海市金山区金山工业区亭卫公路65584幢1309室

分类号：G06F21/44(2013.01)I; G06F21/60(2013.01)

摘要： 本发明属于通信设备技术领域，具体涉及一种安卓操作系统的移动终端使用方法，其中，包括移动终端上电并于TEE系统环境运行的状态下，判断处理单元是否与存储单元之间建立有映射关系;于所述处理单元与所述存储单元之间未建立有映射关系的状态下，启动所述操作系统并形成与运行状态相匹配的安卓文件系统以开启所述移动终端。在处理单元与存储单元之间未建立有映射关系的状态下，开启移动终端并进入普通环境运行。即在维修过程中，当移动终端的CPU出现故障时，无需同时更换EMCC即可开启移动终端。反之当移动终端的EMCC出现故障时，无需同时更换CPU即可开启移动终端，大大减少移动终端维修成本，同时提高资源利用率。

[009]

[发明公布] 基于可信执行环境集成虚拟机的方法、终端

申请公布号：CN106940655A

申请公布日：2017.07.11

申请号：2016100060162

申请日：2016.01.04

申请人：中国移动通信集团公司

发明人：刘扬

地址：100032北京市西城区金融大街29号

分类号：G06F9/455(2006.01)I; G06F21/53(2013.01)

摘要： 本发明公开了一种基于可信执行环境集成虚拟机的方法、终端，所述方法包括：基于CA调用OpenSession指令，所述OpenSession指令中携有至少如下参数：虚拟机对应的uuid1、TA对应的uuid2;通过TEE对所述OpenSession指令进行解析，得到所述虚拟机对应的uuid1，并将所述OpenSession指令发送至所述uuid1指向的虚拟机;通过所述虚拟机对所述OpenSession指令进行解析，得到所述TA对应的uuid2，并将所述OpenSession指令发送至所述uuid2指向的TA，以建立所述CA与所述TA之间的连接。

[010]

[发明公布] 一种敏感数据操作方法和移动终端

申请公布号：CN106940776A

申请公布日：2017.07.11

申请号：2016100055499

申请日：2016.01.04

申请人：中国移动通信集团公司

发明人：黄更生; 乐祖晖

地址：100032北京市西城区金融大街29号

分类号：G06F21/62(2013.01)

摘要： 本发明公开了一种敏感数据操作方法和移动终端。在该方案中，移动终端内的TEE执行针对应用程序的操作时，得到应用程序的敏感数据，并将该敏感数据发送到移动终端内置的SE模块中进行存储。与现有技术相比，将敏感数据存储在SE模块中，提高了敏感数据存储的安全性，同时由于SE模块是内置在移动终端中，因此SE模块与TEE之间无需建立安全通道，也能实现SE模块与TEE之间的通信安全。

[011]

[发明公布] 一种数据安全存储方法及装置

申请公布号：CN106909851A

申请公布日：2017.06.30

申请号：201710106872X

申请日：2017.02.27

申请人：努比亚技术有限公司

发明人：吕森

地址：518057广东省深圳市南山区高新区北环大道9018号大族创新大厦A区6-8层、10-11层、B区6层、C区6-10层

分类号：G06F21/60(2013.01)I; G06F21/78(2013.01)

摘要： 本发明提供一种数据安全存储方法及装置。该装置包括：配置单元，用于配置安全数据的属性信息;其中，属性信息包括安全等级以及生命周期;第一确定单元，用于在对安全数据进行存储时，根据数据大小和安全等级确定安全数据存储于可信执行环境TEE还是硬件加密芯片;第二确定单元，用于根据安全等级和生命周期确定将安全数据存储于可信执行环境/硬件加密芯片的固态存储区域还是动态存储区域。本发明通过软件和硬件结合的方式，有效提高硬件加密安全手机的存储效率，对有限的硬件存储空间进行最大的程度使用，从而实现将有限的存储空间应用到“无限的”安全应用上去，有效保证数据的存储安全。

[012]

[发明公布] 可信执行环境TEE初始化方法及设备

申请公布号：CN106888451A

申请公布日：2017.06.23

申请号：2015109384340

申请日：2015.12.15

申请人：中国移动通信集团公司

发明人：沈琦; 王钊

地址：100032北京市西城区金融大街29号

分类号：H04W12/00(2009.01)

摘要： 本发明实施例公开了一种可信执行环境TEE初始化方法及设备，所述方法包括：第一设备从可信管理服务TSM平台接收TSM随机数;其中，至少部分所述TSM随机数是基于所述第一设备内通用引导架构GBA模块向TSM平台发送的信息生成的;从第二设备的TEE模块接收TEE随机数;基于所述TSM随机数和所述TEE随机数判断是否满足TEE初始化条件;当满足所述TEE初始化条件时，所述第一设备作为TSM平台与第二设备的中间节点传输初始化所述第二设备内的TEE模块的信息。

[013]

[发明公布] 一种用于智能操作系统的数字版权管理(DRM)方法和系统

申请公布号：CN106845160A

申请公布日：2017.06.13

申请号：2015108827534

申请日：2015.12.03

申请人：国家新闻出版广电总局广播科学研究院;发明人：盛志凡;

地址：100866北京市西城区复兴门外大街2号

分类号：G06F21/10(2013.01)

摘要： 一种用于智能操作系统的数字版权管理(DRM)方法，包括：获取待播放的媒体数据的播放列表和加密的媒体数据，对在操作系统中注册的一个或多个DRM应用模块进行查询并获取，DRM应用模块包含可信应用模块的标识;DRM应用模块向DRM服务端请求DRM授权，从而判断内容权限并获取加密的内容密钥ECEK，并传送给TEE;在判断内容权限合法后，将加密的媒体数据存储到共享缓存区域;解密可信应用模块标识相对应的TEE中的可信应用模块获取加密的内容密钥ECEK获取内容密钥CEK，并使用CEK解密将共享缓存区中存储的加密的媒体数据;将解密的媒体数据存储在一安全缓存区中，以供解码并输出。

[014]

[发明公布] 一种TEE系统与REE系统配合以实现服务的方法及终端设备

申请公布号：CN106845285A

申请公布日：2017.06.13

申请号：2016112400451

申请日：2016.12.28

申请人：北京握奇智能科技有限公司

发明人：成秋良

地址：100102北京市朝阳区望京利泽中园101号启明国际大厦西侧八层

分类号：G06F21/74(2013.01)

摘要： 本发明实施例中公开了TEE系统与REE系统配合以实现服务的方法及一种终端设备。该方法包括：当TEE系统需要REE系统对其上所运行的第一可信应用TA的服务支持时，TEE系统控制用于运行所述第一可信应用程序TA的虚拟机暂停，并保存所述虚拟机的当前状态信息;TEE系统向REE系统发送第一可信应用TA的服务支持请求，REE系统接收服务支持请求并处理，将处理结果发回到TEE系统;TEE系统接收处理结果，根据所保存的虚拟机的当前设备状态信息，恢复虚拟机的运行，并根据收到的处理结果继续执行可信应用的后续程序。通过该方案，TEE系统需要REE系统提供服务支持时，可以不再依赖REE侧的Listener程序，降低了REE的改造难度，且应用开发者在开发上层应用时，无需关心TEE系统服务的实现细节。

[015]

[发明公布] 一种支持数字版权管理(DRM)的媒体网关/终端实现方法及其设备

申请公布号：CN106851351A

申请公布日：2017.06.13

申请号：2015108847237

申请日：2015.12.03

申请人：国家新闻出版广电总局广播科学研究院;

发明人：盛志凡;

地址：100866北京市西城区复兴门外大街2号

分类号：H04N21/266(2011.01)

摘要： 一种支持数字版权管理(DRM)的媒体网关实现方法，媒体网关包括可信执行环境(TEE)和设置在其中的可信应用，接收从终端发送的频道节目标识，获取相应的节目数据码流;获取节目参数，所述节目参数中包括该频道节目的videoPid、audioPid、casId、ecmPid、emmPid;利用与所述casId相匹配的解析机制对所述ecmPid、emmPid进行解析，从而获得加密层级密钥EK1、EK2和加密控制字ECW;利用所述EK1、EK2、ECW和该频道节目的videoPid、audioPid对加扰的节目数据码流进行解扰;由可信执行环境中的可信应用产生内容密钥CEK，并利用CEK加密所述解扰的节目数据，并发送给终端;从终端获取加密CEK所使用的公钥，并由可信执行环境中的可信应用利用公钥加密所述CEK从而获得加密的内容密钥ECEK，并发送给终端。

[016]

[发明公布] 一种数据处理的方法及终端

申请公布号：CN106815510A

申请公布日：2017.06.09

申请号：2017100402554

申请日：2017.01.18

申请人：珠海市魅族科技有限公司

发明人：陈伟

地址：519000广东省珠海市科技创新海岸魅族科技楼

分类号：G06F21/32(2013.01)I; G06F21/71(2013.01)

摘要： 本发明实施例公开了一种数据处理的方法及终端，用于保护用户的信息以及财产安全。本发明实施例方法包括：终端在可信执行环境TEE中，检测预设的功能指令，其中，所述TEE运行于所述终端的协处理器上;当检测到所述预设的功能指令时，控制与所述功能指令对应的功能模块启动;控制所述协处理器对所述功能模块采集的数据进行处理，以完成相应的功能。本实施例中，由于TEE运行在协处理器上，操作系统OS运行在主处理器上，TEE运行环境与OS的运行环境硬件隔离，黑客在OS中难以向TEE发起攻击和寻找安全漏洞，保护了用户的信息以及财产安全。

[017]

[发明公布] 基于内存遍历的可信执行环境隔离性检测方法及装置

申请公布号：CN106778255A

申请公布日：2017.05.31

申请号：201611056048X

申请日：2016.11.24

申请人：工业和信息化部电信研究院

发明人：焦四辈;

地址：100191北京市海淀区花园北路52号

分类号：G06F21/55(2013.01)

摘要： 本发明提供了一种基于内存遍历的可信执行环境隔离性检测方法及装置，该可信执行环境隔离性检测方法包括：将可信应用的特征加载至可信执行环境的内存中;从富执行环境的操作系统中读取内存信息;根据所述可信应用的特征对所述内存信息进行动态扫描，生成动态扫描结果。利用本发明，可以有效的检测TEE隔离性，为信息安全提供保障。

[018]

[发明公布] 可信执行环境安全认证方法和装置及设备

申请公布号：CN106778342A

申请公布日：2017.05.31

申请号：201611126822X

申请日：2016.12.09

申请人：北京洋浦伟业科技发展有限公司

发明人：阚志刚;

地址：100083北京市海淀区学院路30号天工大厦A座20层

分类号：G06F21/62(2013.01)

摘要： 本申请公开了一种可信执行环境安全认证方法和装置及设备。所述方法包括：接收来自外部访问模块的访问请求，所述访问请求中包含访问操作内容;获取外部访问模块的标识;将获取的外部访问模块的标识发送给认证中心进行外部访问模块的身份认证;如身份认证通过，从访问操作内容中判断访问类型;将所述访问类型发送给认证中心进行外部访问模块的权限认证;如权限认证通过，允许执行所述访问操作内容。本申请提出了一种更灵活的TEE安全认证方法，能够符合目前计算机发展多样化的信息认证需求。

[019]

[发明公布] 一种基于TEE技术和可穿戴设备的私密通话系统和方法

申请公布号：CN106789000A

申请公布日：2017.05.31

申请号：201611145998X

申请日：2016.12.13

申请人：北京握奇智能科技有限公司

发明人：鲁洪成

地址：100102北京市朝阳区望京利泽中园101号启明国际大厦西侧八层

分类号：H04L9/08(2006.01)

摘要： 本发明涉及一种基于TEE技术和可穿戴设备的私密通话系统和方法，所述系统包括两个移动终端、与所述两个移动终端分别关联的两个可穿戴设备、后台系统、及设备管理系统;上述两个可穿戴设备产生并存储密钥，对所述两个移动终端之间的通信进行加密和解密;上述后台系统对上述通信提供安全认证和会话密钥管理;上述设备管理系统管理可穿戴设备的发行和状态。使用本发明的技术方案，保证了通话内容的保密性和安全性，保护了用户的隐私数据，并且由于可穿戴设备已经较为普及，使用携带便捷，从而可以获得广泛应用和巨大社会效益。

[020]

[发明公布] 一种基于TEE和可穿戴设备的手机网银Key方法及系统

申请公布号：CN106789067A

申请公布日：2017.05.31

申请号：2016111437868

申请日：2016.12.13

申请人：北京握奇智能科技有限公司

发明人：鲁洪成

地址：100102北京市朝阳区望京利泽中园101号启明国际大厦西侧八层

分类号：H04L9/32(2006.01)

摘要： 本发明涉及一种基于TEE和可穿戴设备的手机网银Key方法及系统。本发明所述的方法包括以下步骤：(1)应用预置，在可穿戴设备上预装cos操作系统、Key Applet及证书下装根证书，在手机终端进行可信执行环境TEE的预置及预装银行手机银行应用APP;(2)证书生成，证书下装模块向银行服务器端的银行证书中心CA提交证书请求，银行证书中心CA根据证书下装模块提交的证书请求，实时生成证书;(3)证书下发，证书下装模块通过手机终端将银行证书中心CA生成的证书下载并安装到可穿戴设备上。采用本发明所述的方法和系统，用户可以把Key应用和证书下载到可穿戴设备，使可穿戴设备成为一个物理的Key。

[021]

[发明公布] 移动终端和基于该移动终端的嵌入式安全模块的访问方法

申请公布号：CN106650461A

申请公布日：2017.05.10

申请号：201611048948X

申请日：2016.11.23

申请人：北京握奇智能科技有限公司

发明人：孙金刚

地址：100102北京市朝阳区望京利泽中园101号启明国际大厦西侧八层

分类号：G06F21/57(2013.01)

摘要： 本发明公开了一种移动终端和基于该移动终端的嵌入式安全模块访问方法，属于安全通信技术领域。所述移动终端中具备可信运行环境模块TEE，移动终端中内置有嵌入式安全模块eSE，所述可信运行环境模块TEE通过SPI接口与嵌入式安全模块eSE通信，可信运行环境模块TEE为SPI通信的主设备，嵌入式安全模块eSE为从设备。本发明所提供的移动终端和基于该移动终端的嵌入式安全模块eSE的访问方法，实现了一种新的在可信运行环境模块TEE下通过SPI接口访问嵌入式安全模块eSE的方案，通过该方案为移动安全支付领域的应用提供了更多的选择。

[022]

[发明公布] 一种防止移动终端解锁的方法及系统

申请公布号：CN106657551A

申请公布日：2017.05.10

申请号：201611105262X

申请日：2016.12.05

申请人：惠州TCL移动通信有限公司

发明人：姜海辉

地址：516006广东省惠州市仲恺高新区和畅七路西86号

分类号：H04M1/67(2006.01)

摘要： 本发明公开一种防止移动终端解锁的方法及系统，方法包括步骤：A、将用户预先输入的指纹数据传递到TEE TA进行加密，然后写入到RMPB 存储区域;B、当需要解锁时，接收用户当前输入的指纹数据，并获取存储在RPMB存储区域中的指纹数据并进行解密，将当前输入的指纹数据与解密后的指纹数据进行比对，根据比对结果判断是否解锁。本发明将用户的指纹数据预先加密然后写入到RMPB 存储区域，这样即使他人捡到用户手机，也无法窃取用户重要信息，提高了移动终端的设备安全性。

[023]

[发明公布] 实现主机卡模拟的方法、终端、数据路由方法及装置

申请公布号：CN106663017A

申请公布日：2017.05.10

申请号：2015800438771

申请日：2015.09.02

申请人：华为技术有限公司

发明人：李国庆; 常新苗; 梅敬青

地址：518129广东省深圳市龙岗区坂田华为总部办公楼

分类号：G06F9/445(2006.01)I; H04W88/02(2006.01)

摘要： 本发明实施例提供一种实现主机卡模拟的方法及装置，本发明中终端根据HCE应用的类型，将所述HCE应用安装至与所述HCE应用的类型对应的终端环境中，终端环境包括可信执行环境TEE和富执行环境REE;终端解析所述HCE应用的第一标识和所述HCE应用中包含的至少一个第二标识，第一标识用于在终端中唯一标识所述HCE应用，第二标识用于标识读卡设备与所述HCE应用之间的消息流;终端将所述HCE应用的路由信息注册到TEE中，路由信息包括第一标识、至少一个第二标识以及HCE应用安装的终端环境。通过本发明能够在终端上实现支持TEE和REE两种不同安全级别的HCE应用。

[024]

[发明公布] 事件上报方法及装置

申请公布号：CN106603498A

申请公布日：2017.04.26

申请号：2016110217818

申请日：2016.11.15

申请人：华为技术有限公司

发明人：祝锂

地址：518129广东省深圳市龙岗区坂田华为总部办公楼

分类号：H04L29/06(2006.01)I; H04L12/24(2006.01)

摘要： 本发明公开了一种事件上报方法及装置，属于通信技术领域。所述方法包括：可信应用TA接收可信执行环境TEE发送的检测指示，检测指示由TEE在监测到预设事件后发送，预设事件是根据目标对象提供的检测异常事件的需求所设定的事件，目标对象为目标客户应用CA或通信处理器CP;TA根据检测指示检测是否存在异常事件;若存在异常事件，则TA将异常事件的相关信息发送给目标对象，以使得目标对象根据异常事件的相关信息处理异常事件。本发明通过TA在检测到存在异常事件的情况下，主动将异常事件的相关信息发送给目标对象，解决了现有方案中异常事件上报不及时的问题，提高了TA向CA或CP上报异常事件的及时性。

[025]

[发明公布] 一种安全的移动终端电子认证方法及系统

申请公布号：CN106506472A

申请公布日：2017.03.15

申请号：2016109311503

申请日：2016.11.01

申请人：黄付营

发明人：闫春清; 徐超杰

地址：101117北京市通州区武夷花园紫荆园12号楼234单元6A

分类号：H04L29/06(2006.01)

摘要： 本发明提出了一种安全的移动终端电子认证方法及系统，包括内置于移动终端的能够存储密钥的安全单元(SE)以及内置于移动终端中的可信执行环境(TEE)，所述安全单元(SE)中设置有可运行于其中的安全应用程序applet，可产生公私钥对，进行电子签名，私钥存储在安全单元(SE)不可被导出或复制。所述可信执行环境(TEE)中设置有安全回显可信应用程序(TA)，可让用户人工确认交易的正确性，无法被富执行环境(REE)中的木马攻击。本发明大量减少了另外需要生产硬件设备带来的成本高和用户使用携带不方便的问题，有利于节能减排，节约社会资源。

[026]

[发明公布] 一种针对可信执行环境的密钥写入装置、系统及方法

申请公布号：CN106453196A

申请公布日：2017.02.22

申请号：2015104717357

申请日：2015.08.04

申请人：中国移动通信集团公司

发明人：黄更生; 任晓明

地址：100032北京市西城区金融大街29号

分类号：H04L29/06(2006.01)I; H04L9/08(2006.01)

摘要： 本发明涉及计算机技术领域，尤其涉及一种针对可信执行环境TEE的密钥写入装置、系统及方法，用以解决针对TEE的密钥写入方式限制了用户终端的应用的问题。本发明实施例提供的针对TEE的密钥写入装置包括：REE模块，用于接收TEE管理服务平台的TEE初始化触发指令，并触发GBA模块启动与BSF平台的协商流程;GBA模块，用于与BSF平台协商生成GBA根密钥，并基于GBA根密钥生成GBA子密钥，将GBA子密钥传输给TEE模块;TEE模块，用于基于预置的TEE私钥和TEE证书，以及GBA模块生成的GBA子密钥，与TEE管理服务平台进行双向认证，并在认证通过后，在安全域中写入TEE管理服务平台的管理密钥。

[027]

[发明公布] 包含受信执行环境的主机的证明

申请公布号：CN106462438A

申请公布日：2017.02.22

申请号：201580023853X

申请日：2015.05.04

申请人：微软技术许可有限责任公司

发明人：N·T·弗古森;

地址：美国华盛顿州

分类号：G06F9/455(2006.01)

摘要： 证明服务验证从主机接收到的指示，该指示涉及主机包含受信执行环境(TEE)。在成功验证之际，证明服务发放一证书，该证书能够被主机用来向与证明服务具有信任关系的实体进行认证。

[028]

[发明公布] 可信执行环境的动态配置

申请公布号：CN106415564A

申请公布日：2017.02.15

申请号：2014800795670

申请日：2014.11.27

申请人：索尼公司

发明人：P·达尔贝赫拉;

地址：日本东京都

分类号：G06F21/10(2013.01)

摘要： 提供了用于动态的可信执行环境(TEE)硬件配置的系统和方法。接收包括密钥更新信息的密钥更新消息，并且验证针对移动计算装置的TEE中所存储的密钥的该密钥更新消息。所存储的密钥可以限定对移动计算装置的硬件资源的访问。可以基于该密钥更新信息来改变针对TEE中所存储的密钥的硬件配置。

[029]

[发明公布] 硬件配置报告系统

申请公布号：CN106415575A

申请公布日：2017.02.15

申请号：2014800792615

申请日：2014.06.25

申请人：英特尔公司

发明人：姚颉文;

地址：美国加利福尼亚州

分类号：G06F21/53(2006.01)

摘要： 本文中公开了与硬件配置报告和仲裁有关的实施例。例如，一种用于硬件配置报告的装置可以包括：具有受信任的执行环境(TEE)和不受信任的执行环境(非TEE)的处理设备;请求服务逻辑，其存储在存储器中，用以在TEE内操作以从仲裁器逻辑接收请求的指示，其中所述请求表示硬件配置寄存器;以及报告逻辑，其存储在存储器中，用以在TEE内操作并且向仲裁器逻辑报告由所述请求所表示的硬件配置寄存器的值的指示符。可以公开和/或要求保护其它实施例。

[030]

[发明公布] 一种UMTS移动终端电路域语音加密通信技术实现方法

申请公布号：CN106341225A

申请公布日：2017.01.18

申请号：2016108299241

申请日：2016.09.19

申请人：杭州字节信息技术有限公司

发明人：毛伟信

地址：311402浙江省杭州市富阳区银湖街道富闲路9号银湖创新中心15号四层

分类号：H04L9/08(2006.01)

摘要： 本发明公开了一种UMTS移动终端电路域语音加密通信技术实现方法，该UMTS移动终端电路域语音加密通信技术实现方法具体步骤如下：S1系统硬件架构设计、S2系统软件架构设计、S3协议信令层面实现、S4网络模式控制实现、S5语音加密通信流程实现、S6终端密话主叫流程、S7终端被叫流程。本设计控制层面和数据层面都在语音信道带内承载，密钥协商及语音帧加解密逻辑都在TPM硬件单元及TEE执行环境下完成，确保了密钥、算法及系统执行环境的安全，从而确保语音通信从信源存储、处理及传输的安全，确保了语音流在空口中继传输中不做任何语音编解码转换，也保证了语音音质。

[031]

[发明公布] 一种可信执行环境的身份验证方法、装置及终端

申请公布号：CN106295350A

申请公布日：2017.01.04

申请号：2015103041987

申请日：2015.06.04

申请人：联想移动通信软件(武汉)有限公司

发明人：汪岩; 梁超

地址：430079湖北省武汉市东湖新技术开发区东一产业园光谷大道77号金融港一期A16栋

分类号：G06F21/57(2013.01)

摘要： 本发明提供一种可信执行环境的身份验证方法、装置及终端，该可信执行环境的身份验证方法包括：获取用于唯一标识终端普通执行环境中的应用身份的标识;获取终端可信执行环境TEE中的身份验证规则;若所述标识在终端可信执行环境TEE中的身份验证规则中，确定所述终端普通执行环境中的应用合法;产生允许所述终端普通执行环境中的应用访问终端可信应用TA的指令，使所述应用根据所述指令访问所述可信应用TA。该方法可达到允许普通执行环境中经授权的应用通过Client API访问TA，防止未授权的普通执行环境中应用滥用Client API，破坏TA正确逻辑的目的，且不需要在普通执行环境的应用中增加额外逻辑，就可实现身份验证;不需要在TA中增加额外逻辑，就可实现身份验证。

[032]

[发明公布] 一种安全通信的方法、装置、终端及客户识别模块卡

申请公布号：CN106304052A

申请公布日：2017.01.04

申请号：2015103096072

申请日：2015.06.08

申请人：中国移动通信集团公司

发明人：乐祖晖

地址：100032北京市西城区金融大街29号

分类号：H04W12/04(2009.01)I; H04W12/06(2009.01)

摘要： 本发明提供一种安全通信的方法、装置、终端及客户识别模块卡，其中所述安全通信的方法包括：向所述SIM卡发送验证SIM卡证书的请求消息，其中所述SIM卡证书为预先签发的证明SIM卡身份安全的证书信息;接收并验证由所述SIM卡针对所述请求消息返回的所述SIM卡证书;在所述SIM卡证书验证通过后，向所述SIM卡发送TEE证书，其中所述TEE证书为预先签发的证明TEE身份安全的证书信息;接收由所述SIM卡针对所述TEE证书返回的验证通过的指示消息，并与所述SIM卡协商会话密钥，建立与所述SIM卡的安全通道;通过所述安全通道，与所述SIM卡进行安全通信。

[033]

[发明公布] 用于在TEE中的智能卡的文件的管理方法及管理系统

申请公布号：CN106250775A

申请公布日：2016.12.21

申请号：2016105668973

申请日：2016.07.18

申请人：恒宝股份有限公司

发明人：尚玉

地址：212355江苏省镇江市横塘工业区

分类号：G06F21/62(2013.01)I; G06F17/30(2006.01)

摘要： 本发明公开了用于在TEE中的智能卡的文件的管理方法及管理系统，用于增强不同安全文件之间的逻辑性。其中，智能卡的文件的管理方法包括在TEE的内存中创建文件结构和在TEE的磁盘中创建安全文件。在TEE的智能卡的内存中创建文件结构包括：创建树形结构的根目录，获取根目录的节点，确定根目录的节点值;在根目录下创建一次文件，获取一次文件的节点，确定一次文件的节点值。在TEE的智能卡的磁盘中创建安全文件包括：创建与该一次文件对应的一次安全文件，一次安全文件的一次安全文件唯一标识与该一次文件的节点值相同。本发明用于管理智能卡中的文件。

[034]

[发明公布] 一种TA和SE的交互方法、TA、SE及TSM平台

申请公布号：CN106254323A

申请公布日：2016.12.21

申请号：2016106032147

申请日：2016.07.27

申请人：恒宝股份有限公司

发明人：刘春桥

地址：212355江苏省镇江市横塘工业区

分类号：H04L29/06(2006.01)

摘要： 本发明公开了一种TA和SE的交互方法、TA、SE及TSM平台，涉及通信技术领域，用于提高对全终端SIM盾进行处理的过程中的安全性。该交互方法包括：TA将存储于TEE中的敏感数据编译成第一APDU指令;SE对接收到的第一APDU指令进行解析;SE对解析得到的敏感数据进行处理;SE对处理后的敏感数据进行加密;SE将加密后的敏感数据编译成第二APDU指令;TA对接收到的第二APDU指令进行解析;TSM平台对接收到的加密后的敏感数据进行解析。本发明用于对全终端SIM盾的处理。

[035]

[发明公布] 一种通用TA支付平台和支付方法

申请公布号：CN106228072A

申请公布日：2016.12.14

申请号：2016105794478

申请日：2016.07.21

申请人：恒宝股份有限公司

发明人：张志华

地址：212355江苏省镇江市横塘工业区

分类号：G06F21/57(2013.01)

摘要： 本发明公开了一种通用TA支付平台和支付方法，涉及移动支付技术领域，解决了现有技术中TA的开发难度和开发成本高的技术问题。该通用TA支付平台包括：通信模块、存储模块和安全用户交互模块;其中，通信模块用于与TA进行通信，在TA和通用TA支付平台之间建立数据和指令传输的通道;存储模块中封装有基于标准GP TEE规范的TEE OS提供的标准接口，且用于提供多个安全存储空间，不同的安全存储空间用于封装不同的TEE OS的文件和对象操作;安全用户交互模块中封装有基于标准GP TEE规范的TEE OS提供的标准接口，且用于实现TA与用户之间的交互。本发明用于进行移动支付。

[036]

[发明公布] 利用移动设备进行支付的方法和装置

申请公布号：CN106096944A

申请公布日：2016.11.09

申请号：2016103914545

申请日：2016.06.06

申请人：深圳市雪球科技有限公司

发明人：姜波;

地址：518040广东省深圳市福田区竹子林益华综合楼A栋第七层北10#

分类号：G06Q20/32(2012.01)

摘要： 一种利用移动设备进行支付的方法和装置。方法包括：将Java Card底层类库移植到该移动设备的可信执行环境TEE下，以及在该移动设备的可信执行环境TEE中运行用于支付目的的Java Card应用程序。

[037]

[发明公布] 对于数据即服务(DaaS)的内容保护

申请公布号：CN106104542A

申请公布日：2016.11.09

申请号：2013800811518

申请日：2013.12.24

申请人：英特尔公司

发明人：N·M·史密斯;

地址：美国加利福尼亚州

分类号：G06F21/10(2006.01)

摘要： 本发明涉及对于“数据即服务(DaaS)”的内容保护。设备可以通过DaaS，从内容提供器那里接收经加密的数据，所述经加密的数据至少包括用于在设备上呈现的内容。例如，内容提供器可以使用受信任的执行环境(TEE)模块中的安全多路复用转换(SMT)模块来从内容和数字权限管理(DRM)数据，生成已编码的数据，并从已编码的数据，生成经加密的数据。设备也可以包括TEE模块，其中包括安全多路分解转换(SDT)模块，用于从经加密的数据，解密已编码的数据，并从已编码的数据，解码内容以及DRM数据。SMT和SDT模块可以通过安全通信会话进行交互，以验证安全性、分发解密密钥，等等。在一个实施例中，信任代理可以执行TEE模块验证和密钥分发。

[038]

[发明公布] 移动支付风险控制系统以及移动支付风险控制方法

申请公布号：CN106056380A

申请公布日：2016.10.26

申请号：2016103591799

申请日：2016.05.27

申请人：深圳市雪球科技有限公司

发明人：姜波;

地址：518040广东省深圳市福田区竹子林益华综合楼A栋第七层北10#

分类号：G06Q20/32(2012.01)

摘要： 本发明涉及移动支付风险控制方法以及移动支付风险控制系统。该方法包括下述步骤：身份识别步骤，根据支付请求对发起支付的用户身份进行识别，身份识别结果为成功的情况下继续后续步骤，在身份识别结果为失败的情况下结束交易;风险控制步骤，在身份识别结果为成功的情况下，在TEE环境中进行风险控制并输出风险判断结果;以及支付执行步骤，根据所述身份识别结果和所述风险判断结果执行或者拒绝执行支付请求。根据本发明，通过采用可信时间和可信位置等安全信息的组合，能够对交易风险进行预判定，提高交易的安全性。

[039]

[发明公布] 一种数据处理方法

申请公布号：CN105975867A

申请公布日：2016.09.28

申请号：2016102774538

申请日：2016.04.28

申请人：东莞市华睿电子科技有限公司

发明人：向敏明

地址：523073广东省东莞市南城区西平下手新村三巷35号403室

分类号：G06F21/60(2013.01)

摘要： 本发明实施例公开了一种数据处理方法。本发明实施例方法包括：移动终端读取加密数据，所述加密数据是对敏感数据进行加密得到的;所述移动终端对所述加密数据进行解密得到目标数据;若所述目标数据与所述敏感数据不相符，则所述移动终端确定所述目标数据为非法数据;若所述目标数据与所述敏感数据相符，则在可信执行环境TEE中，通过可信用户界面TUI显示所述目标数据。

[040]

[发明公布] 一种用于可信应用安全认证的系统和方法

申请公布号：CN105978917A

申请公布日：2016.09.28

申请号：2016105709598

申请日：2016.07.19

申请人：恒宝股份有限公司

发明人：杨俊

地址：212355江苏省镇江市横塘工业区

分类号：H04L29/06(2006.01)I; H04W12/06(2009.01)

摘要： 本发明提出一种用于可信应用安全认证的系统和方法，涉及移动设备安全技术领域，用于提高用户数据的安全性。该系统包括客户应用、安全管理器、TEE客户端API接口和可信应用，其中客户应用在富执行环境下运行，并处理客户应用中与安全无关的进程和/或数据，当运行到与安全相关的进程和/或数据时，向安全管理器提出TEE客户端API接口的调用请求;安全管理器监控客户应用的授权状态，并根据授权状态的不同对客户应用提出的TEE客户端API接口的调用请求进行分级授权;可信应用在可信执行环境下运行，在对客户应用进行安全认证后，处理客户应用请求中的与安全相关的进程和/或数据。本发明用于提高用户数据的安全性。

[041]

[发明公布] 一种安全应用TA交互的方法及装置

申请公布号：CN105930731A

申请公布日：2016.09.07

申请号：2015109678984

申请日：2015.12.21

申请人：中国银联股份有限公司

发明人：陈成钱; 周钰; 郭伟

地址：200135上海市浦东新区含笑路36号

分类号：G06F21/57(2013.01)

摘要： 本发明公开了一种安全应用TA交互的方法及装置，该方法包括：可信执行环境TEE中的第一TA在执行数据处理请求过程中，生成关于所述TEE中第二TA的第一应用交互数据;所述第一TA向通用执行环境REE发送关于第二TA的应用运行请求后停止运行;所述第二TA接收所述REE转发的所述关于第二TA的应用运行请求后运行所述第二TA;所述第二TA获取所述第一应用交互数据，并根据获取的所述第一应用交互数据，生成关于所述第二TA的结果数据，用以解决现有技术中TA之间的交互方法，在TEE内部频繁发生进程切换，造成TEE系统存在安全隐患的问题。

[042]

[发明公布] 令牌产生方法以及基于该令牌产生方法的通信系统

申请公布号：CN105847000A

申请公布日：2016.08.10

申请号：2016103591731

申请日：2016.05.27

申请人：深圳市雪球科技有限公司

发明人：姜波;

地址：518040广东省深圳市福田区竹子林益华综合楼A栋第七层北10#

分类号：H04L9/08(2006.01)

摘要： 本发明涉及令牌产生方法以及基于该令牌产生方法的通信系统。该令牌产生方法包括下述步骤：令牌计算发起步骤，由应用客户端发起令牌计算并调用可信应用，其中，应用客户端提供客户端信息;可信应用附加信息获取步骤，可信应用在TEE环境中获取可信附加信息;以及令牌计算产生步骤，运行于安全单元中的应用根据所述客户端信息和所述可信附加信息实施令牌计算并获得令牌。根据本发明能够生成安全性更高的令牌，能够提高利用令牌进行的数据交互的安全性。

[043]

[发明公布] 一种获取虚拟用户身份的方法及装置

申请公布号：CN105828324A

申请公布日：2016.08.03

申请号：2016101620301

申请日：2016.03.21

申请人：珠海市魅族科技有限公司

发明人：陆羽凡

地址：519085广东省珠海市科技创新海岸魅族科技楼

分类号：H04W12/02(2009.01)

摘要： 本发明涉及一种获取虚拟用户身份的方法及装置，涉及通信技术领域。其中，获取方法包括生成步骤、请求步骤、获取步骤及鉴权步骤。其中，生成步骤包括在TEE中生成公钥与存储在ESE中的私钥;请求步骤包括向虚拟运营商服务器发送下载号卡资源的请求及上传公钥;获取步骤包括接收虚拟运营商服务器基于上传的公钥进行加密的号卡资源，在TEE中基于存储在ESE的私钥对接收到的号卡资源进行解密，并将解密后的号卡资源存储在ESE中;鉴权步骤包括在TEE中基于接收到的鉴权参数与存储在ESE中的号卡资源对终端用户的接入身份进行鉴权。有效确保号卡资源安全及获取过程的安全性。

[044]

[发明公布] 一种TEE访问控制方法以及实现该方法的移动终端

申请公布号：CN105809036A

申请公布日：2016.07.27

申请号：2016101985438

申请日：2016.04.01

申请人：中国银联股份有限公司

发明人：陈成钱; 周钰; 郭伟

地址：200135上海市浦东新区含笑路36号银联大厦

分类号：G06F21/56(2013.01)

摘要： 本发明涉及多媒体系统对安全操作系统的访问控制方法以及实现该方法的移动终端。该方法包步骤：从多媒体系统的客户端应用对安全操作系统发起用于选择可信应用的应用访问请求;判断当前发起调用的客户端应用是否为恶意应用，若不是恶意应用则继续下述步骤，若是恶意应用，则向客户端应用返回选择失败并中断处理;将所述应用访问请求从多媒体系统发送到安全操作系统;在安全操作系统根据所述应用访问请求获取可信应用并返回到多媒体系统。根据本发明能够在不切换系统的情况下防止恶意应用对安全操作系统中可信应用发起的恶意访问，能够避免恶意访问造成的可信应用不可访问的问题。

[045]

[发明公布] 一种网银交易系统

申请公布号：CN105809419A

申请公布日：2016.07.27

申请号：2014108363624

申请日：2014.12.29

申请人：北京握奇智能科技有限公司

发明人：刘建新; 汪雪林

地址：100102北京市朝阳区望京利泽中园101号启明国际大厦西侧八层

分类号：G06Q20/10(2012.01)I; G06Q20/40(2012.01)

摘要： 本发明公开了一种网银交易系统，属于网银交易领域。该系统首先由网银后台服务器根据PC发送的交易数据生成二维码，并将二维码发送到PC上显示，移动智能终端扫描二维码后通过其可信执行环境TEE对二维码进行解析，得到交易数据;之后移动智能终端提示用户输入第一安全登录码，验证通过后显示交易数据供用户确认，在用户确认后再次提示用户输入第二安全登录码，验证通过后由TEE对交易数据进行数字签名，将签名后的信息通过移动操作系统发送到网银后台服务器，由网银后台服务器进行网银交易。该系统通过移动智能终端的TEE完成交易信息的解析及数字签名，且通过进行两次设备安全验证，大大提高了交易的安全性。

[046]

[发明公布] 一种网银交易方法

申请公布号：CN105809433A

申请公布日：2016.07.27

申请号：2014108364487

申请日：2014.12.29

申请人：北京握奇智能科技有限公司

发明人：刘建新; 汪雪林

地址：100102北京市朝阳区望京利泽中园101号启明国际大厦西侧八层

分类号：G06Q20/32(2012.01)

摘要： 本发明公开了一种网银交易方法，属于网银交易领域。所述方法包括：网银后台服务器根据PC发送的交易数据生成二维码，并将二维码发送到PC上显示;移动智能终端扫描二维码，通过其可信执行环境TEE对二维码进行解析，得到解析后的交易数据;之后移动智能终端提示用户输入第一安全登录码，验证通过后显示交易数据供用户确认，在用户确认后再次提示用户输入第二安全登录码，验证通过后由TEE对交易数据进行数字签名，将签名后的信息通过移动操作系统发送到网银后台服务器，由网银后台服务器进行网银交易。该方法通过移动智能终端的TEE完成交易信息的解析及数字签名，且通过进行两次设备安全验证，大大提高了交易的安全性。

[047]

[发明公布] 一种网银交易方法

申请公布号：CN105809441A

申请公布日：2016.07.27

申请号：2014108364383

申请日：2014.12.29

申请人：北京握奇智能科技有限公司

发明人：刘建新; 汪雪林

地址：100102北京市朝阳区望京利泽中园101号启明国际大厦西侧八层

分类号：G06Q20/34(2012.01)

摘要： 本发明公开了一种网银交易方法，属于网银交易领域。所述方法包括：网银后台服务器根据PC发送的交易数据生成二维码，并将二维码发送到PC上显示;移动智能终端扫描二维码，通过其可信执行环境TEE对二维码进行解析，得到解析后的交易数据;之后移动智能终端提示用户输入安全登录码，验证通过后显示交易数据供用户确认，在用户确认后由TEE根据交易数据生成第一动态口令OTP，之后将所述第一动态口令OTP发送到网银后台服务器，由网银后台服务器对口令验证通过后进行网银交易。该方法通过移动智能终端的TEE完成交易信息的解析及动态口令的生成，大大提高了交易的安全性。

[048]

[发明公布] 一种网银交易系统

申请公布号：CN105809536A

申请公布日：2016.07.27

申请号：2014108363592

申请日：2014.12.29

申请人：北京握奇智能科技有限公司

发明人：刘建新; 汪雪林

地址：100102北京市朝阳区望京利泽中园101号启明国际大厦西侧八层

分类号：G06Q40/04(2012.01)

摘要： 本发明公开了一种网银交易系统，属于网银交易领域。所述系统包括PC、第一移动智能终端和网银后台服务器，网银后台服务器根据PC发送的交易数据生成二维码，并将二维码发送到PC上显示;移动智能终端扫描二维码，通过其可信执行环境TEE对二维码进行解析，得到解析后的交易数据;之后移动智能终端提示用户输入安全登录码，验证通过后显示交易数据供用户确认，在用户确认后由TEE根据交易数据生成第一动态口令OTP，之后将所述第一动态口令OTP发送到网银后台服务器，由网银后台服务器对口令验证通过后进行网银交易。该系统通过移动智能终端的TEE完成交易信息的解析及动态口令的生成，大大提高了交易的安全性。

[049]

[发明公布] 数据保护方法

申请公布号：CN105812332A

申请公布日：2016.07.27

申请号：2014108523784

申请日：2014.12.31

申请人：北京握奇智能科技有限公司

发明人：鲁洪成

地址：100102北京市朝阳区望京利泽中园101号启明国际大厦西侧8层

分类号：H04L29/06(2006.01)

摘要： 本申请涉及数据保护方法。其中，数据保护方法应用于移动设备，所述移动设备中预置可信执行环境TEE和客户应用CA，所述可信执行环境TEE中包含可信应用TA，所述方法包括：客户应用CA接收移动设备或第三方应用发送的待保护数据或待解密数据，并将所述待保护数据或待解密数据发送给可信应用TA;可信应用TA用在可信执行环境TEE的可信存储中预存的密钥对所述待保护数据进行加密或者对所述待解密数据进行解密，将加密或解密后的数据发送给客户应用CA;客户应用CA将所述加密或解密后的数据发送给对应的移动设备或第三方应用。本申请提高了移动设备和移动设备上的应用的数据的安全性。

[050]

[发明公布] 一种获取虚拟用户身份的方法及装置

申请公布号：CN105813060A

申请公布日：2016.07.27

申请号：2016101396876

申请日：2016.03.11

申请人：珠海市魅族科技有限公司

发明人：陆羽凡

地址：519085广东省珠海市科技创新海岸魅族科技楼

分类号：H04W8/18(2009.01)

摘要： 本发明涉及一种获取虚拟用户身份的方法及装置，涉及通信技术领域。其中，获取方法包括生成步骤、请求步骤、获取步骤及鉴权步骤。其中，生成步骤包括在TEE中生成公钥与存储在该TEE中的私钥;请求步骤包括向虚拟运营商服务器发送下载号卡资源的请求及上传生成步骤生成的公钥;获取步骤包括接收虚拟运营商服务器基于上传的公钥进行加密的号卡资源，在TEE中基于存储的私钥对接收到的号卡资源进行解密，并将解密之后的号卡资源存储在该TEE中;鉴权步骤包括在TEE中基于接收到的鉴权参数与存储在该TEE中的号卡资源对终端用户的接入身份进行鉴权。有效确保号卡资源安全及获取过程的安全性。

[051]

[发明公布] 一种数据安全传输装置及方法

申请公布号：CN105791284A

申请公布日：2016.07.20

申请号：2016101136296

申请日：2016.02.29

申请人：华为技术有限公司

发明人：祝锂; 姚英亮

地址：518129广东省深圳市龙岗区坂田华为总部办公楼

分类号：H04L29/06(2006.01)I; G06F15/167(2006.01)

摘要： 本发明实施例公开了一种数据安全传输装置及方法，涉及系统安全技术领域，用以提高该装置的安全性。该数据安全传输装置包括：专用通信信号处理器，用于向应用处理器发送第一安全中断;应用处理器，用于运行富执行环境REE软件，以及在第一安全中断的触发下运行可信执行环境TEE软件，TEE软件包括运行在TEE中的可信应用TA，且在TA的驱动下根据第一安全中断在专用通信信号处理器与应用处理器的共享内存中获取第一信息;专用通信信号处理器，还用于接收应用处理器发送的第二安全中断，并根据第二安全中断在共享内存中获取第二信息;应用处理器，还用于在TA的驱动下向专用通信信号处理器发送第二安全中断。

[052]

[发明公布] 经由本地化个人化的隐私实施

申请公布号：CN105765598A

申请公布日：2016.07.13

申请号：2013800811503

申请日：2013.12.24

申请人：英特尔公司

发明人：N·M·史密斯;

地址：美国加利福尼亚州

分类号：G06F21/60(2006.01)I; G06F17/00(2006.01)

摘要： 本公开案针对经由本地化个人化的隐私实施。示例设备可以至少包括用于呈现内容的用户界面。消息可以被接收到位于设备内或位于远程的受信执行环境(TEE)中，该消息至少包括元数据和内容。TEE可以基于该元数据和用户数据来确定该内容与用户的相关性。基于该相关性，TEE可以使内容经由用户界面被呈现给用户。在一实施例中，TEE可能能够在呈现之前基于用户数据来个人化该内容。如果该内容包括出价，则TEE也可能能够基于与该内容的用户交互来向用户呈现还价。TEE也可能能够使反馈数据被发射至至少该内容提供者。

[053]

[发明公布] 具有增强的隐私的安全的车辆数据管理

申请公布号：CN105745665A

申请公布日：2016.07.06

申请号：2013800810445

申请日：2013.12.19

申请人：英特尔公司

发明人：N·M·史密斯;

地址：美国加利福尼亚州

分类号：G06F21/60(2006.01)I; G06F13/38(2006.01)

摘要： 本公开涉及具有增强的隐私的安全的车辆数据管理。车辆可以包括用于控制此车辆的操作的至少一个车辆控制架构(VCA)以及设备。VCA可以记录标识至少一个车辆操作员的操作数据以及在由所述至少一个车辆操作员对车辆的操作期间被记录的车辆操作数据。设备可至少包括通信模块和受信任的执行环境(TEE)，所述TEE包括隐私实施模块(PEM)。PEM可以经由通信模块来从VCA接收操作数据，可以通过基于隐私设置过滤操作数据来生成经过滤的数据，并且可以使经过滤的数据经由通信模块被传输。可以将经过滤的数据传输到至少一个数据消费方。可以由至少一个操作员在PEM中配置隐私设置。

[054]

[发明公布] 一种视频水印处理的方法及装置

申请公布号：CN105721951A

申请公布日：2016.06.29

申请号：2016100587880

申请日：2016.01.28

申请人：华为技术有限公司

发明人：陈尚松; 吴迪

地址：518129广东省深圳市龙岗区坂田华为总部办公楼

分类号：H04N21/8358(2011.01)

摘要： 本发明公开了一种视频水印处理的方法，应用于视频终端设备的处理器，处理器包括可信任的安全运行环境TEE，TEE中的N个水印标记电路用于分别接收N路视频流，N为大于1的整数，针对N个水印标记电路中的一个水印标记电路，视频水印处理的方法包括：一个水印标记电路接收N路视频流中的一路视频流，N路视频流中的各路视频流分别包含不同的水印策略，根据预先建立的水印策略与水印信息的对应关系，确定接收到的本路视频流中水印策略所对应的水印信息;为本路视频流打上本路视频流对应的水印信息。本发明实施例还提供相应的视频水印处理的方法，可以为不同的视频流加入不同的水印信息，增加了水印信息的种类，提高了安全性。

[055]

[发明公布] 简档改变管理

申请公布号：CN105723760A

申请公布日：2016.06.29

申请号：2013800809753

申请日：2013.11.19

申请人：瑞典爱立信有限公司

发明人：古兰·塞兰德;

地址：瑞典斯德哥尔摩

分类号：H04W8/18(2006.01)

摘要： 公开了启用至少两个简档域之一的受信执行环境(TEE)。接收(816，1102)用于授权TEE应用请求启用至少两个简档域之一的TEE应用的授权令牌。检查(818，1104)所述授权令牌的有效性。如果所述授权令牌有效，则存储(820，1106)关于被授权请求启用至少两个简档域之一的TEE应用的信息。如果接收(822)请求授权的TEE应用请求(824，1108)启用至少两个简档域之一的命令，则启用(826，1110)所述至少两个简档域之一。TEE包括处理器和存储器，该存储器用于存储包括当代码在处理器中运行时用于执行该方法的计算机程序代码的计算机程序。

[056]

[发明公布] 一种进行业务处理的方法、装置和系统

申请公布号：CN105704123A

申请公布日：2016.06.22

申请号：2016100154988

申请日：2016.01.08

申请人：腾讯科技(深圳)有限公司

发明人：卢强; 叶轩

地址：518000广东省深圳市福田区振兴路赛格科技园2栋东403室

分类号：H04L29/06(2006.01)

摘要： 本发明公开了一种进行业务处理的方法、装置和系统，属于计算机技术领域。所述方法包括：向业务服务器发送业务执行请求;接收所述业务服务器发送的携带有签名信息的验证通知;通过终端安全区域TEE系统，验证当前输入的生物特征信息，如果所述生物特征信息与预先存储的基准生物特征信息一致，则使用预先存储的业务私钥，对所述签名信息进行签名处理，得到第一待验签信息;向所述业务服务器发送携带有所述第一待验签信息的验证请求。采用本发明，可以增强安全性。

[057]

[发明公布] 一种提高TEE命令执行速度的方法和系统

申请公布号：CN105653978A

申请公布日：2016.06.08

申请号：2015110089336

申请日：2015.12.29

申请人：北京握奇智能科技有限公司

发明人：胡庆江

地址：100102北京市朝阳区望京利泽中园101号启明国际大厦西侧八层

分类号：G06F21/62(2013.01)

摘要： 本发明涉及一种提高TEE命令执行速度的方法和系统，属于安全存储技术领域。本发明所述方法包括以下步骤：(1)非安全应用传入参数，安全应用保存所述参数;(2)安全应用根据已保存参数判断完整保存标志对象是否存在，如是，则转到步骤(3)，否则转到步骤(4);(3)遍历完整的Applet应用ID、SEID、证书文件索引对象，根据遍历结果获得证书缓存对象名，打开并读取证书缓存内容，返回所述缓存内容给非安全应用，转到步骤(5);(4)安全应用根据缓存策略进行证书内容缓存，缓存结束后，重复一次步骤(3);(5)调用过程结束。本发明在多会话下仍然可以提高读取指令的执行速度，而且一个会话只能对本会话的缓存进行访问。

[058]

[发明公布] 一种基于TEE和无线确认的FIDO认证器及系统及方法

申请公布号：CN105656890A

申请公布日：2016.06.08

申请号：201511026480X

申请日：2015.12.30

申请人：深圳数字电视国家工程实验室股份有限公司

发明人：郭浩;

地址：518057广东省深圳市南山区高新技术产业园高新南一道015号国微研发大楼4层北侧E室

分类号：H04L29/06(2006.01)I; H04L9/32(2006.01)

摘要： 本发明公开了一种基于TEE和无线确认的FIDO认证器及系统及方法。认证器包括在TEE中以TA的形式实现的主运算部件、用于输入用户确认信息的无线终端以及在智能终端中接收用户确认信息的无线适配器。系统包括FIDO认证器、运行在REE中的认证客户端和业务客户端、业务服务器和认证服务器。方法包括步骤：在TEE中加载运行主运算部件，主运算部件接收认证客户端发送的绑定/认证/交易请求等。本发明使用基于FIDO协议实现的认证方式来提高用户体验，可以免去输入用户名和密码的过程;其次，在实现FIDO认证器的过程中运用TEE技术来提高安全性。本发明可广泛应用于各种智能终端认证系统。

[059]

[发明公布] 在POS终端中执行的方法和POS终端

申请公布号：CN105590379A

申请公布日：2016.05.18

申请号：2015105446795

申请日：2015.08.31

申请人：中国银联股份有限公司

发明人：曾望年;

地址：200135上海市浦东新区含笑路36号银联大厦

分类号：G07G1/12(2006.01)

摘要： 根据本发明的一个实施例，一种在POS终端中执行的方法可以包括：在REE操作系统中接收用户关于业务的选择;响应于该选择，切换REE操作系统至TEE，在TEE中处理该业务;在安全模块中执行该业务的与加解密相关的操作。其中，所述业务可以是支付业务。所述安全模块可以存储与该业务相关的密钥和密钥算法。

[060]

[发明公布] 基于NFC的通信方法和装置

申请公布号：CN105591672A

申请公布日：2016.05.18

申请号：2015102152963

申请日：2015.04.30

申请人：中国银联股份有限公司

发明人：陈成钱; 周钰; 郭伟

地址：200135上海市浦东新区含笑路36号银联大厦

分类号：H04B5/00(2006.01)I; H04W4/00(2009.01)

摘要： 本发明涉及基于NFC的通信方法和装置，并且尤其涉及在SE内的基于NFC的通信方法和装置、在智能终端内的基于NFC的通信方法、安全单元和智能终端。本发明提出一种新的与NFC设备的连接方式来达到让TEE应用使用NFC能力的目的。