TEEOS的实例-在线支付系统

最新推荐文章于 2024-05-13 02:38:57 发布
最新推荐文章于 2024-05-13 02:38:57 发布
阅读量572 收藏
点赞数
分类专栏: TEE-OS 文章标签: 服务器 linux arm开发 kernel 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45264425/article/details/127525024
版权
本文介绍了在线支付系统中TEE(Trusted Execution Environment)如何确保数据安全,通过三次握手建立可信通信通道,并详细阐述了数据交互协议、组包操作和加密过程。重点讨论了数据头部、数据区域和电子签名区域的组成,以及支付请求和反馈的处理流程。支付厂商可以选择将数据操作嵌入到TEE内核,增强支付系统的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

到了我最喜欢的环节了,我其实学习的过程中,对这些应用场景概念是十分的感兴趣的。

下面一起看看老师这本书的最后的一个部分应用篇—在线支付系统

内容来自《手机安全和可信应用开发指南》

1、简介

基于安全考虑,支付系统的最终结算由支付服务提供商银行完成支付结算,而终端设备只为支付系统的服务器提供支付凭据,让支付系统的服务器端触发支付操作完成与银行间的账务清算。

而终端设备的支付凭据就在整个在线支付过程中起到了至关重要的作用。如何确保支付凭据安全且可信的发送到服务器端并被服务器验证通过就尤为重要。

本章将简要介绍在线支付系统中,终端设备中的TEE是如何确保数据安全且可信地被支付系统的服务器端使用。

(原来支付的结算不是终端,而是服务提供商与银行,那支付宝、微信都是服务提供商,难怪要收利息)

2、在线支付系统的基本框架

在线支付系统的支付凭据是由终端产生,该支付凭据包含了产生支付操作所需要的所有信息,支付凭据的组包和加密都是由TEE内核或者运行于TEE中的TA来完成的,至于采取何种方式则需要支付厂商与终端设备厂商协商解决。

一个简单的在线支付系统的大致框架如图24-1所示。(

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Android可信执行环境安全研究(一):TEE、TrustZone和TEEGRIS
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
09-04 1632
在过去的几年内,可信执行环境(TEE,Trusted Execution Environment)在Android生态系统中实现了普及。在这一系列文章中,我们将分析。本文涉及到的全部漏洞均已在当时报告给三星,并且已经在2019年年底完成修复。我们此次研究的目标是评估三星TEE OS的安全性,分析是否可以对其进行攻击以获取运行时控制并提取所有受保护的数据,例如对用户数据进行解密。在分析过程中,我们并没有考虑完整的漏洞利用链,这一系列文章基于我们先前在2020年9月Riscure Workshop的演讲。
【FF-A】第十一章 Memory Management
baron-周贺贺-代码改变世界ctw
12-07 1108
获取和设置内存权限的ABI(参见17.8 FFA_MEM_PERM_GET和17.9 FFA_MEM_PERM_SET)的支持通过FFA_FEATURES ABI进行发现。获取和设置内存权限的ABI(参见17.8 FFA_MEM_PERM_GET和17.9 FFA_MEM_PERM_SET)的支持通过FFA_FEATURES ABI进行发现。支持在动态分配的缓冲区中传输内存事务描述符的合规性要求通过FFA_FEATURES ABI进行发现,如20.2.1中描述的在动态分配的缓冲区中传输事务描述符。
在线支付系统
09-26
在线支付系统 核心文件 编程软件篇 第三方架包
在线支付系统可信通道建立(OP-TEE侧实现)
u013921164的博客
01-29 1337
整理下网上的在线支付其中一种实现方式。通过学习、消化,可借鉴到自己项目重要数据的交互使用。 0 在线支付的模式 在线支付分三块:支付终端、支付服务商服务器支付宝、微信)、银行。 支付终端:如手机、pos机,这些设备通过密码、指纹、面部识别等获取验证,我们得op-tee就是在终端使用; 支付服务商:如支付宝,你通过终端使用支付宝进行交易。这里可以理解为我们公司内部得服务器。 银行:这些最终还需要通过银行进行交易。如何确保支付凭据安全且可信的发送到服务器端并被服务器验证通过就尤为重要。本文...
认识 TEE OS
本末实验室
12-24 3452
关于本文,是一篇,会议主题是《从 Linux Kernel 角度看 TEE》,主讲人是周贺贺。它适用于嵌入式系统开发/驱动开发/内核设计/安全业务设计从业者,目的是让自己掌握 TEE 基本概念,知道大系统软件架构。同时也解答下面几个问题。
可信执行环境(TEE)介绍 与应用
weixin_34137799的博客
06-27 1643
原文:http://blog.csdn.net/wed110/article/details/53894927 可信执行环境(TEE,Trusted Execution Environment) 是Global Platform(GP)提出的概念。针对移动设备的开放环境,安全问题也越来越受到关注,不仅仅是终端用户,还包括服务提供者,移动运营商,以及芯片厂商。TEE是与设备上的Rich OS(通常是...
Confidential Compute Architecture - Arm构架的TEE新模式
baron-周贺贺-代码改变世界ctw
09-22 579
如今,云计算在分布式计算资源按需使用方面起着重要的作用。许多公司,如亚马逊、谷歌或微软都提供云服务,但使用这些服务需要信任服务提供商。这意味着一方面依赖提供商对抗攻击者,但另一方面也要信任提供商本身。恶意的提供商可能最终滥用其客户的敏感数据。使用可信执行环境(TEE)可以帮助增加对提供商的信任。在传输过程中,通常通过数据加密来进行保护,但在目标设备上,数据会被解密,因此暴露于通常被称为Rich执行环境(REE)的不可信环境中。在REE里运行的是设备的操作系统(OS)和应用程序。
TEEOS之鸿蒙
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
07-14 710
作为国内现在很多的操作系统鸿蒙,因为受到美国的制裁,华为自己创新了鸿蒙,通过1+8+N的商业布局,实现了迅速的发展。那么这个操作系统有没有和咱们安全操作系统相关的内容呢?下面来看看。iTrustee安全OS是华为基于TrustZone技术实现的可信执行环境,提供一套完整的TEE解决方案。
【CA-TA实战系列一】如何创建一个CA
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
01-19 1131
之前其实一直打算做这个系列,但是因为不是强相关,就把这个事情拖沓了。这次倒是安排的任务基于之前的老代码就能实现,然后我就是增加一些维测手段,定位问题修改即可。但是对这个CA和TA的学习还是停靠在之前学习《手机安全和可信应用开发指南:TrustZone与OP-TEE技术详解 》这本书的内容,这个专栏的内容也大多数是来自与这本书和一些前辈们的优秀blog。尽量今年今晚能把这个系列写出来,实在不行先写个浅入版本,后续再整个源码版本。
【CA-TA实战系列六】CA与TA背后的故事一:TEE OS
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
01-26 841
TEE OS就是可信环境的操作系统,这里我们的参考资料是前辈的《手机安全和可信应用开发指南》,因此这里我们的TEE OS就是OP TEE。那么为什么在搞TA CA的设计实现要关TEEOS什么事情?关OPTEE什么事情?回想一下我们当时的那个架构图。看到没OP-TEE包含的可多了,咱们这CA和TA开发是绕不开TEEOS的。靓仔们,所以我们来了解了解这玩意的代码结构有什么,关于optee的东西,在这个专栏里面,转载了很多前辈书里面的内容来讲解,这里就不展开了。
TEEOS的术语表
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-26 298
整个TEEOS场景的术语表,可能在你阅读的时候会带来便利。
TEEOS】OP-TEE安全存储
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
11-20 941
OP-TEE安全存储功能是OP-TEE为用户提供的安全存储机制。用户可使用。使用OP-TEE安全存储功能保存数据时,OP-TEE会对需要被保存的数据进行加密,且每次更新安全文件时所用的加密密钥都会使用随机数重新生成,用户只要调用GP标准中定义的安全存储相关接口就能使用OP-TEE安全存储功能对私有数据进行保护。需要被保护的数据被OP-TEE加密后会被保存到、EMMC,至于具体需要将加密后的数据保存到哪里则由芯片提供商决定。(为啥放在REE侧的文件系统?
TEEOS】搞懂TA-CA交互流程
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
11-18 1327
最近一位读者问我CA如何与TA进行匹配的,答案在文中,当然文中也有广告,不介意的话欢迎点击一下退出即可给作者充电成功!TA 是 Trusted Application 的缩写,通常运行在 TEE 环境下的应用简称为 TA。CA 是 Client Application 的缩写,通常运行在 REE 环境下的应用简称为 CA。
TEE OS的一点闲言碎语
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
01-29 2001
伴随着Android的发展,TEEOS已成为端侧的基础安全平台,其提供的安全能力为指纹、人脸、支付等多个安全相关的业务服务,而如今都有哪些厂商在做TEE OS呢?这里列出了18个TEEOS的厂商,在Android手机搭载的TEEOS中,高通的QSEE占比35%Trustonic&TEEgris占比20%华为的iTrustee占比17%。下面就基于各个手机厂商的选型来对比一下各个TEE OS解决方案。
Android物联网应用程序开发基础_基于android的物联网应用开发
最新发布
2401_84010457的博客
05-13 892
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年嵌入式&物联网开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上嵌入式&物联网开发知识点,真正体系化!
TEE OS中断篇(三):中断的向量表
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-04 1194
REE侧、TEE侧以及Monitor模式或EL3都可接收中断信号。在系统中存在两个VBAR寄存器和一个MVBAR寄存器,REE侧的VBAR寄存器中存放的是Linux内核的异常向量表基地址,OP-TEE中的VBAR寄存器存放的是OP-TEE系统的中断向量表基地址,而Monitor或者EL3的MVBAR存放的是Monitor模式或EL3运行时的中断向量表基地址,即在Monitor或者EL3阶段是可以接收外部中断信号的。本节将介绍OP-TEE中断的配置和Monitor或EL3阶段中断的配置。
TEEOS基础特性安全存储技术简介
内核工匠
12-16 2250
1、安全存储简介安全存储是TEEOS重要特性之一,安全存储主要用来为用户保存敏感数据如密钥等信息。用户在使用安全存储功能保存数据时会在TEE内对数据进行加密,然后保存到REE侧的相关存储区域中。根据对数据存储的安全性要求和使用场景TEE常见的安全存储一般分为RPMB安全存储、SFS安全存储。RPMB安全存储是eMMC中的一个具有安全特性的分区,其特点是非安全世界不可见,可以防止重放和回滚攻击,但是...
微信指纹支付原理浅析
weixin_34221036的博客
02-22 4083
微信指纹支付从设备出厂到完成支付大致可以分成4个步骤、3对公私钥:1.设备出厂公私钥及tee适配手机厂商在手机tee的RPMB区域内置私钥A_priv及微信支付的特定ta和SoterKeyStore,然后厂商统一将该设备信息和设备公钥A_pub存储在腾讯服务器(校验设备签名时需要向腾讯服务器发起请求)。2.生成应用公私钥某app想在mobile上使用微信支付,则使用soter API向tee发出请...
OP-TEE使用过程记录
u013921164的博客
02-26 2888
自己20年做的一些研究,不涉及保密部分,文中所有内容均来自开源框架或者代码,自己仅按研究或者实现的过程进行了记录;请忽略附录部分,该部分不存在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TrustZone_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值