CN105429760B - 一种基于tee的数字证书的身份验证方法及*** - Google Patents
一种基于tee的数字证书的身份验证方法及*** Download PDFInfo
- Publication number
- CN105429760B CN105429760B CN201510862638.0A CN201510862638A CN105429760B CN 105429760 B CN105429760 B CN 105429760B CN 201510862638 A CN201510862638 A CN 201510862638A CN 105429760 B CN105429760 B CN 105429760B
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- information
- request
- user
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种基于TEE的数字证书的身份验证方法,包括终端预先配置数字证书***、数字证书签名过程和数字证书验签过程,其特征在于,所述终端具备TEE,所述数字证书签名过程,在所述终端上进行,用于针对用户请求使用数字证书私钥进行签名,所述数字证书验签过程用于认证请求的用户的身份,认证方式包括验证所述数字证书的合法性及有效性、所述签名的完整性及正确性;其中,所述数字证书签名过程在TEE下进行;用户的密钥、身份信息、生物特征信息和口令信息等敏感信息在TEE下通过安全存储模块存储,避免了现有技术中的诸多问题,如签名过程在REE中进行、用户敏感信息在REE环境下存储,产生隐私泄露、财产被窃取的隐患等。
Description
技术领域
本申请涉及信息技术领域,具体地说,涉及一种基于TEE的数字证书的身份验证方法及***。
背景技术
PKI为Public Key Infrastructure的简称,即公钥基础设施,是提供非对称加解密和数字签名验签服务的***或平台,目的是为了管理密钥和数字证书。PKI是一种遵循标准的利用公钥加密技术为电子商务、电子政务等的开展提供一套安全基础平台的技术和规范。
为了提高网上银行、电话银行、网上证券、电话证券、网上购物、网络游戏等网络应用***的身份认证安全性,各行业、各企业纷纷推出比传统静态密码具有更高安全性的PKI、OTP、生物特征识别、大数据风控等身份认证***。
采用PKI、OTP、生物特征识别、大数据风控等身份认证***进行身份认证,极大提高了网络应用***的安全性。目前主要的身份认证方式及其优缺点为:
传统的PKI技术和OTP技术,目前多以硬件形式实现,安全性较高,目前有广泛应用;但其需要用户去领取实物、随身携带、且有学***台的开放性,安全性较差,面临问题越来越多;
生物特征的身份认证,用户不需要携带额外硬件,使用体验较好;但由于其多为静态数据,在开放环境、开放网络、开放平台上容易被截获或者进行复制;特别是由于生物特征具备不能更改的特性,容易产生较多安全问题,因此其更适合作为近场身份认证手段;
基于大数据的分析的身份认证,对用户完全是透明的,用户体验更好,但多维度数据的归集和使用尚无相关法律法规,还牵扯隐私保护等问题,同时其识别结果只能是一个概率,而不是一个确定性的判定,因此其更适合作为广告营销和风险控制手段。
因此,急需一种无额外硬件、使用安全便利、抗抵赖性强并且兼容性好的基于TEE的数字证书的身份认证方法。
发明内容
有鉴于此,本申请所要解决的技术问题是现有的身份认证方法不安全、不稳定、不便利和兼容性不高的问题。
为了解决上述技术问题,本发明提供了一种无额外硬件、使用安全便利、抗抵赖性强并且兼容性好的基于TEE的数字证书的身份验证方法及***,通过在TEE下进行数字证书的签名及验签,避免了现有的身份认证方法不安全、不稳定、不便利和兼容性不高的问题,本申请技术方案如下:
一种基于TEE的数字证书的身份验证方法,包括终端预先配置数字证书***、数字证书签名过程和数字证书验签过程,其特征在于,所述终端具备TEE,所述数字证书签名过程,在所述终端上进行,用于针对用户请求使用数字证书私钥进行签名,所述数字证书验签过程用于认证请求的用户的身份,认证方式包括验证所述数字证书的合法性及有效性、所述签名的完整性及正确性;其中,所述数字证书签名过程在TEE下进行。
优选的,所述客户端为所述终端内部应用客户端,所述数字证书签名过程包括:
步骤1:所述数字证书***安全储存用户身份信息、根CA证书信息和用户数字证书及私钥信息,所述客户端对应的服务器安全存储其数字证书及私钥信息,所述终端收到客户端的应用的身份认证请求及所述服务器对所述请求的签名,启动所述数字证书***,所述数字证书***校验所述服务器数字证书合法有效、所述签名完整正确后,向终端用户发送输入所述用户身份信息的请求;
步骤2:所述数字证书***将输入的信息与所述步骤1中储存的所述用户身份信息进行校验;
步骤3:当所述步骤2中校验的结果为信息一致时,所述数字证书***使用用户数字证书私钥签名步骤1所述的身份认证请求,所述数字证书签名过程完成。
优选的,所述客户端为所述终端外部应用客户端,所述外部应用客户端是指所述应用客户端的载体为所述步骤1中终端之外的设备,所述数字证书签名过程包括:
步骤①:所述数字证书***安全储存用户身份信息、根CA证书信息和用户数字证书及私钥信息,所述客户端对应的服务器安全存储其数字证书及私钥信息,启动所述数字证书***时,所述数字证书***向用户发送输入所述用户身份信息的请求;
步骤②:所述数字证书***将输入的信息与所述步骤①中储存的所述用户身份信息进行校验;
步骤③:当所述步骤②中校验的结果为信息一致时,所述数字证书***通过OTG、NFC、蓝牙、音频、声波、用户输入或扫描条形码、二维码的方式获取所述客户端的应用的身份认证请求及步骤①所述服务器对所述请求的签名信息,所述数字证书***校验所述服务器数字证书合法有效、所述签名完整正确后,所述数字证书***使用用户数字证书私钥签名所述的身份认证请求,所述数字证书签名过程完成。
优选的,所述客户端为终端内部应用客户端,所述数字证书验签过程包括:
步骤A1:所述数字证书***发送所述步骤3中产生的签名至所述终端内部应用客户端;
步骤B1:所述终端内部应用客户端收到所述签名后,发送步骤1中的请求及签名信息至该客户端应用对应的服务器;
步骤C1:步骤B1中所述服务器接收所述请求及签名,校验用户信息和步骤B1中发送的签名的完整正确、及对应的用户数字证书的合法有效,校验结果为正确时,所述服务器处理请求并返回处理结果至所述终端内部应用客户端;
步骤D1:所述终端内部应用客户端接收所述步骤C1中的处理结果,校验相关信息并显示,所述数字证书验签过程完毕。
优选的,所述客户端为终端外部应用客户端,所述数字证书验签过程包括:
步骤A2:所述终端通过OTG、NFC、蓝牙、音频或声波的方式发送所述步骤③产生的签名到所述客户端,或以条形码、二维码的形式显示供所述外部应用客户端扫描读取;
步骤B2:所述外部应用客户端获取该签名后,发送所述步骤③中的请求及签名信息至该客户端应用对应的服务器;
步骤C2:步骤B2中所述服务器接收所述步骤B2中的所述请求及签名,校验用户信息和步骤B2发送的签名的完整正确、及对应的用户数字证书的合法有效,校验结果为正确时,所述服务器处理所述应用请求并返回处理结果至所述外部应用客户端;
步骤D2:所述外部应用客户端接收所述步骤C2中的处理结果,校验相关信息并显示,所述数字证书验签过程完毕。
优选的,还包括所述数字证书***的创建账户、生成密钥对及签发数字证书的过程,其中,包括:
步骤一:终端预先配置基于TEE的数字证书***构成所述数字证书***,在所述数字证书***注册用户账户,注册用户账户包括输入身份信息和设置访问口令,所述数字证书***安全储存所述注册身份信息和访问口令;
步骤二:所述数字证书***读取信任根设备的认证数据或者请求信任根设备签发认证数据;
步骤三:所述数字证书***通过所述客户端应用对应的服务器请求信任根***认证步骤二中所述认证数据和所述注册身份信息,所述信任根***与步骤二中所述信任根设备相对应;
步骤四:所述信任根***校验步骤二中所述认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过所述客户端应用对应的服务器发送至所述数字证书***;
步骤五:当步骤四所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述数字证书***产生第一私钥及其对应的第一公钥,安全存储所述私钥,并向所述客户端应用对应的CA服务器发送数字证书签发请求;
步骤六:所述CA服务器接收步骤五中所述的请求并签发所述数字证书,所述客户端应用对应的服务器绑定用户账户和数字证书对应关系,将签名后的数字证书发送至所述数字证书***;
步骤七:所述数字证书***接收并安全储存所述步骤六中签发的数字证书,所述数字证书***的创建账户、生成密钥对及签发数字证书过程完成;
所述步骤一至三、步骤五和步骤七在TEE下进行。
优选的,还包括所述数字证书***的用户数字证书更新过程,其中,包括:
步骤a:所述数字证书***请求更新用户数字证书,并向用户发送输入所述用户身份信息的请求;
步骤b:所述数字证书***将输入的信息与所述步骤1中储存的所述用户身份信息进行校验;当校验结果为一致时,向用户发送使用信任根设备的请求;
步骤c:所述数字证书***读取信任根设备的认证数据或者请求信任根设备签发认证数据;当信任根设备授权读取或签发相关认证数据后,所述数字证书***通过所述客户端应用对应的服务器请求信任根***认证所述注册身份信息和所述认证数据,所述信任根***与步骤b中所述信任根设备相对应;
步骤d:所述信任根***校验所述步骤c中认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过所述客户端应用对应的服务器发送至所述数字证书***;
步骤e:当步骤d所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述数字证书***产生第二私钥及其对应的第二公钥,安全存储所述私钥,并向所述客户端对应的CA服务器发送数字证书更新和签发请求;
步骤f:所述CA服务器接收步骤e中所述的更新和签发请求并签名所述新数字证书,所述客户端应用对应的服务器绑定用户账户和新数字证书对应关系,将签名后的新数字证书发送至所述数字证书***;
步骤g:所述数字证书***接收并安全储存所述步骤f中的签发的新数字证书,删除旧数字证书,所述数字证书***的用户数字证书更新过程完成;
所述步骤a至c、步骤e和步骤g在TEE下进行。
优选的,所述步骤1中的用户身份信息包括用户基本身份信息和生物特征信息,所述基本身份信息包括姓名和证件号码,所述生物特征信息包括指纹信息、面部特征信息、声纹信息和/或虹膜信息;
所述步骤3中还包括:当所述步骤2中校验的结果为信息一致时,所述数字证书***安全显示所述客户端的应用请求信息,并提请用户确认,在用户确认同意所述请求后,所述数字证书***使用用户数字证书私钥对所述请求进行签名,所述数字证书签名过程完成;
所述步骤③中还包括:当所述步骤②中校验的结果为信息一致时,所述数字证书***安全显示所述客户端的应用请求信息,并提请用户确认,在用户确认同意所述请求后,所述数字证书***使用用户数字证书私钥对所述请求进行签名,所述数字证书签名过程完成。
优选的,所述数字证书***包括:
用户鉴别模块,用于接收安全执行模块的指令鉴别用户,并反馈鉴别结果至所述安全执行模块;
密码运算模块,用于接收安全执行模块的指令进行运算,并发送运算结果至所述安全执行模块;
安全存储模块,用于接收安全执行模块的指令,安全存储用户数据并与所述安全执行模块进行所述用户数据的传递;
安全执行模块,用于向所述安全输入/输出模块、所述用户鉴别模块、所述密码运算模块、安全接口模块和所述安全存储模块资源调度、发送指令并接收相关数据;
安全接口模块,用于通过蓝牙、OTG、NFC,或者二维码、声波,或者TEE与REE的通讯代理机制及共享内存机制,与客户端应用进行数据交互;
所述安全输入/输出模块、安全执行模块、安全接口模块和安全存储模块与所述终端装置内的TEE模块连接。
一种基于TEE的数字证书的身份验证***,包括配置单元、数字证书签名单元和数字证书验签单元,其特征在于,
配置单元,用于在终端预先配置数字证书***;
数字证书签名单元,在所述终端上进行,用于针对用户请求生使用数字证书私钥进行签名;
数字证书验签单元,用于认证请求的用户的身份并保证用户不可抵赖所述请求,认证方式包括所述验证所述数字证书的合法性及有效性、所述签名的完整性及正确性;
其中,所述数字证书签名单元运行于TEE下。
与现有技术相比,本申请所述的方法和***,达到了如下效果:
(1)本发明提供的基于TEE的数字证书的身份验证方法,数字签名与验签过程、密码运算过程及用户鉴别过程在TEE下进行,用户的密钥、身份信息、生物特征信息和口令信息等敏感信息在TEE下通过安全存储模块存储,避免了现有技术中的诸多问题,如数字签名过程在REE中进行、用户敏感信息在REE环境下存储,产生隐私泄露、财产被窃取的隐患等;同时,在TEE环境下,通过安全接口与客户端应用传递身份认证请求,通过安全输入/输出接口管理和调用终端的输入模块和输入模块,身份认证请求信息安全显示并经过用户的确认,避免了REE环境下输入和输出模块被非法应用控制和篡改的风险,确保了身份认证过程能体现用户的真实意愿;
(2)本发明提供的基于TEE的数字证书的身份验证方法,所述终端装置可以为任一具备TEE的智能设备,不需要特定的设备,在用户通常随身携带的智能终端装置上即可进行,如手机、平板电脑等设备,但是其使用的安全性同样非常高;
(3)本发明提供的基于TEE的数字证书的身份验证方法,兼容生物特征鉴别,把人体生物特征这一特有的固定的信息也加以应用,没有通过生物特征鉴别认证便不能进入身份认证的下一个步骤,并且上述过程均在TEE下进行,在使用安全的同时也提高了使用过程中的便利性;
(4)本发明提供的基于TEE的数字证书的身份验证方法,从初始步骤开始即基于TEE进行,从流程上提高身份认证的安全系数;作为数字证书***的数字证书公私钥,其产生过程基于TEE进行,数字证书及公私钥储存于设备的TEE中,从***设置上提高了身份认证的安全系数;
(5)本发明提供的基于TEE的数字证书的身份验证方法,本申请所述的方法不需要亲自去柜台开户和下载数字证书,可以安全便利同时使身份验证具有抗抵赖性,用户使用便利,处理效率高、体验佳、对各应用的兼容性高,整个身份认证过程安全系数也更高;
(6)本发明提供的基于TEE的数字证书的身份验证方法,能够安全便利、高效的进行身份验证过程,并且能够有效的保证验证双方的真实合法性,能够实现请求报文的安全传输、防篡改、防伪造和防抵赖,并且所述数字证书签名过程在TEE下进行,使所述身份验证方法更安全、更便捷,更好保护用户隐私,用户体验更好;
(7)本发明提供的基于TEE的数字证书的身份验证方法,所述数字证书安全***功能综合,运作过程安全,综合了证书鉴别、生物特征鉴别及口令鉴别等方式,使其身份认证方式的兼容性更强,安全性能更好、用户体验更佳;
(8)本发明提供的基于TEE的数字证书的身份验证***,使用时不需要专门的教程,其使用都是针对用户请求进行一一响应,通过终端装置提示来完成,相较于现有技术中的动态口令***,其契合用户的使用习惯,使用非常便利;其保护了用户的密钥、身份信息、生物特征信息和口令信息等,在使用便利的同时也提高了使用过程中的安全性和隐私性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例所述数字证书签名过程的流程图;
图2为本申请实施例所述数字证书签名过程的流程图;
图3为本申请实施例所述数字证书验签过程的流程图;
图4为本申请实施例所述数字证书验签过程的流程图;
图5为本申请实施例所述数字证书***的创建账户的过程的流程图;
图6为本申请实施例所述数字证书***的更新过程的流程图;
图7为本申请实施例所述数字证书***的结构示意图;
图8为本申请实施例所述终端的结构示意图;
图9为本申请实施例所述方法的结构示意图。
具体实施方式
如在说明书及权利要求当中使用了某些词汇来指称特定组件。本领域技术人员应可理解,硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求并不以名称的差异来作为区分组件的方式,而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求当中所提及的“包含”为一开放式用语,故应解释成“包含但不限定于”。“大致”是指在可接收的误差范围内,本领域技术人员能够在一定误差范围内解决所述技术问题,基本达到所述技术效果。此外,“耦接”一词在此包含任何直接及间接的电性耦接手段。因此,若文中描述一第一装置耦接于一第二装置,则代表所述第一装置可直接电性耦接于所述第二装置,或通过其他装置或耦接手段间接地电性耦接至所述第二装置。说明书后续描述为实施本申请的较佳实施方式,然所述描述乃以说明本申请的一般原则为目的,并非用以限定本申请的范围。本申请的保护范围当视所附权利要求所界定者为准。
实施例一:
一种基于TEE的数字证书的身份验证方法,包括终端2预先配置数字证书***1、数字证书签名过程和数字证书验签过程,其特征在于,所述终端2具备TEE,所述数字证书签名过程,在所述终端2上进行,用于针对用户请求使用数字证书私钥进行签名,所述数字证书验签过程用于认证请求的用户的身份,认证方式包括验证所述数字证书的合法性及有效性、所述签名的完整性及正确性;其中,所述数字证书签名过程在TEE下进行。
所述用户请求,具体来说,包括客户端的应用请求,所述应用请求需要进行身份验证。所述数字证书***1位于所述终端2TEE中,TEE为Trusted execution environment的缩写,中文译文为可信执行环境,本发明提供的基于TEE的数字证书的身份验证方法,为一种身份认证方法,所述数字证书签名过程在TEE下进行,避免了现有技术中的诸多问题,如数字证书签名过程在REE中进行,产生隐私泄露、财产存在被窃取的隐患等;同时,在TEE环境下,通过安全接口模块106与客户端应用传递身份认证请求,通过安全输入/输出接口管理和调用终端2的输入模块和输入模块,身份认证请求信息安全显示并经过用户的确认,避免了REE环境下输入模块和输出模块被非法应用控制和篡改的风险,确保了身份认证过程能体现用户的真实意愿;所述终端2可以为任一具备TEE的智能设备,所述数字证书***1为软件形式,设置于所述终端2的TEE执行模块中,不需要特定的设备,在用户通常随身携带的智能终端2上即可进行,如手机、平板电脑等设备,但是其使用的安全性同样非常高;使用时不需要专门的教程,其使用都是针对用户请求进行一一响应,通过终端2提示来完成,符合群众的使用***的安全性能并且契合用户的使用习惯,使用非常便利。
应当注意的是,本申请中所述的身份验证方法并不止是指验证一个用户身份信息的验证,也应当包括其在CA***中是否具有合法有效的数字证书的验证、其对应用请求的签名是否完整正确的验证;所述的身份验证方法包括但不限于下述过程中的身份验证:1、双方经过相互验证数字证书及签名以验证对方身份的真伪,从而与对方进行安全隐私的交流或授予相应的资源访问权限;2、双方经过相互验证数字证书及签名来验证在交易中对方身份,文件、批文、合同、票据,协议、标书等经过数字证书加密后进行传输,发送方用接收方的公钥对报文进行加密,接收方用只有自己才有的私钥进行解密,得到报文明文;发送方用自己的私钥对上述交易信息进行签名,接收方可用发送方的公钥进行验签。
所述数字证书签名具备抗抵赖性,在现实生活中用公章、签字等来实现的抗抵赖性在网上可以借助数字证书的数字签名来实现。数字签名不是书面签字的数字图象,而是在私有密钥控制下对报文本身进行密码变化形成的。数字签名能实现报文的防篡改、防伪造和防抵赖。
因此,本申请提供的身份验证方法,能够安全便利、高效的进行身份验证过程,并且能够有效的保证验证双方的真实合法性,能够实现请求报文的安全传输、防篡改、防伪造和防抵赖,并且所述数字证书签名过程在TEE下进行,使所述身份验证方法更安全、更便利,隐私得以更好保护,用户体验更好。
实施例二:
一种基于TEE的数字证书的身份验证方法,包括终端2预先配置数字证书***1、数字证书签名过程和数字证书验签过程,其特征在于,所述终端2具备TEE,所述数字证书签名过程,在所述终端2上进行,用于针对用户请求使用数字证书私钥进行签名,所述数字证书验签过程用于认证请求的用户的身份,认证方式包括验证所述数字证书的合法性及有效性、所述签名的完整性及正确性;其中,所述数字证书签名过程在TEE下进行。
如图1本申请实施例所述数字证书签名过程的流程图所示,所述客户端为所述终端2内部应用客户端,该内部应用客户端可位于所述终端2REE中,所述数字证书签名过程包括:
步骤1:所述数字证书***1安全储存用户身份信息、根CA证书信息和用户数字证书及私钥信息,所述客户端对应的服务器安全存储其数字证书及私钥信息,所述终端2收到客户端的应用的身份认证请求及所述服务器对所述请求的签名,启动所述数字证书***1,所述数字证书***1校验所述服务器数字证书合法有效、所述签名完整正确后,向终端2用户发送输入所述用户身份信息的请求;用户可根据***的提示进行输入,所述用户身份信息通常包括用户基本身份信息和生物特征信息,所述基本身份信息包括姓名和证件号码,所述生物特征信息包括指纹信息、面部特征信息、声纹信息和/或虹膜信息。
所述客户端的请求包括所有要求进行身份认证的移动应用的请求,如手机银行的交易请求、证券应用的交易请求和游戏应用的操作请求等。所述终端2收到客户端的请求的起因包括但不限于以下几种情况:所述终端2内部应用客户端发送请求至所述终端2;所述终端2的外部应用客户端产生请求并以二维码的形式呈现,所述终端2扫描接受所述外部应用客户端的请求;所述终端2的外部应用客户端产生请求,所述终端2通过蓝牙、NFC、OTG等方式与所述外部应用客户端连接获取所述请求信息从而接受所述外部应用客户端的请求。所述的终端2内部应用客户端是指该应用客户端的硬件载体与所述终端2为同一个设备,所述外部应用客户端是指所述应用客户端的载体为所述步骤1中终端2之外的设备。
步骤2:所述数字证书***1将输入的信息与所述步骤1中储存的所述用户身份信息进行校验,并且验证所述内部应用客户端的合法性;
步骤3:当所述步骤2中校验的结果为信息一致并且所述验证结果为合法时,所述数字证书***1使用用户数字证书私钥签名步骤1所述的身份认证请求,所述数字证书签名过程完成。
终端2是用户用于和主机通信的设备如图7本申请实施例所述终端2的结构示意图所示,所述终端2包括:执行模块202,包括REE执行模块和TEE执行模块;输出模块201,包括显示部件、声音部件和指示部件;输入模块203,包括按键输入部件、麦克风部件、指纹信息采集部件、摄像部件和/或传感器部件;通信模块205,包括移动通讯部件、蓝牙部件、WIFI部件、OTG部件和NFC部件;储存模块204,包括RAM部件和/或FLASH部件。
所述终端2可以为任一具备TEE的智能设备,所述数字证书签名过程在TEE下进行,也即上述步骤1-3在TEE下进行,解决了现有技术中数字证书密钥容易被截获的问题,并且本发明提供的身份认证方法兼容用户身份信息认证的方法,把人体生物特征这一特有的固定的信息也加以应用,没有通过用户身份信息认证便不能进入身份认证的下一个步骤,并且上述过程均在TEE下进行,保护了用户的密钥、身份信息、生物特征信息和口令信息等,在使用便利的同时也提高了使用过程中的安全性和隐私性。
优选的,所述步骤1中的用户身份信息包括用户基本身份信息和生物特征信息,所述基本身份信息包括姓名和证件号码,所述生物特征信息包括指纹信息、面部特征信息、声纹信息、和/或虹膜信息。
优选的,所述步骤3中还包括:当所述步骤2中校验的结果为信息一致时,所述数字证书***1安全显示所述客户端的应用请求信息,并提请用户确认,在用户确认同意所述请求后,所述数字证书***1使用用户数字证书私钥对所述请求进行签名,所述数字证书签名过程完成。其中添加一个提请用户确认的过程,便于用户再次确认请求信息,以免造成失误,用户体验更好。
实施例三:
一种基于TEE的数字证书的身份验证方法,包括终端2预先配置数字证书***1、数字证书签名过程和数字证书验签过程,其特征在于,所述终端2具备TEE和REE,所述数字证书签名过程,在所述终端2上进行,用于针对用户请求生成数字证书,所述数字证书验签过程用于认证请求的用户的身份,认证方式包括所述数字证书;其中,所述数字证书***1位于所述终端2TEE中,所述数字证书签名过程在TEE下进行。
所述客户端为所述终端2外部应用客户端,所述数字证书签名过程包括:
步骤①:所述数字证书***1安全储存用户身份信息、根CA证书信息和用户数字证书及私钥信息,所述客户端对应的服务器安全存储其数字证书及私钥信息,启动所述数字证书***1时,所述数字证书***1向用户发送输入所述用户身份信息的请求;
步骤②:所述数字证书***1将输入的信息与所述步骤①中储存的所述用户身份信息进行校验;
步骤③:当所述步骤②中校验的结果为信息一致时,所述数字证书***1通过OTG、NFC、蓝牙、音频、声波、用户输入或扫描条形码、二维码的方式获取所述客户端的应用的身份认证请求及步骤①所述服务器对所述请求的签名信息,所述数字证书***1校验所述服务器数字证书合法有效、所述签名完整正确后,所述数字证书***1使用用户数字证书私钥签名所述的身份认证请求,所述数字证书签名过程完成。所述外部应用客户端是指所述应用客户端的载体为所述步骤1中终端2之外的设备。
优选的,所述步骤③中还包括:当所述步骤②中校验的结果为信息一致时,所述数字证书***1安全显示所述客户端的应用请求信息,并提请用户确认,在用户确认同意所述请求后,所述数字证书***1生成数字证书,所述数字证书签名过程完成。
本申请提供的身份验证方法,也可以用于外部应用客户端,信息传输方式多样,不同的传输方式可给不同习惯的使用者都带来良好的体验,适用广泛,使用便利。
实施例四:
在实施例一内容或者实施例一加上实施例二内容的基础上,所述客户端为终端2内部应用客户端,如图2本申请实施例所述数字证书验签过程的流程图和图8本申请实施例所述方法的结构示意图所示,所述数字证书验签过程包括:
步骤A1:所述终端2发送所述步骤3中产生的签名至所述终端2内部应用客户端5;所述的终端2内部应用客户端5是指该应用客户端的硬件载体与所述终端2为同一个设备,其发送方式为TEE与REE间的通讯代理机制或共享内存机制等。
步骤B1:所述终端2内部应用客户端收到所述签名后,发送步骤1中的请求及签名信息至该客户端应用对应的服务器;所述内部应用客户端5及所述数字证书***1的认证及服务后台***可均存在于此服务器上。
步骤C1:步骤B1中所述服务器接收所述请求及签名,校验用户信息和步骤B1中发送的签名的完整正确、及对应的用户数字证书的合法有效,校验结果为正确时,所述服务器处理请求并返回处理结果至所述终端2内部应用客户端;校验结果为错误时,所述服务器拒绝请求并返回结果至所述终端2内部应用客户端。
步骤D1:所述内部应用客户端5接收所述步骤C1中的处理结果,校验相关信息并显示,所述数字证书验签过程完毕。
实施例五:
在实施例一内容或者实施例一加上实施例二内容的基础上,所述客户端为终端2外部应用客户端,如图3本申请实施例所述数字证书验签过程的流程图和图8本申请实施例所述方法的结构示意图所示,所述数字证书验签过程包括:
步骤A2:所述终端2通过OTG、NFC、蓝牙、音频或声波的方式发送所述步骤③产生的签名到所述客户端,或以条形码、二维码的形式显示供所述外部应用客户端扫描读取;所述外部应用客户端4是指所述应用客户端的载体为所述步骤1中终端2之外的设备。
步骤B2:所述外部应用客户端获取该签名后,发送所述步骤③中的请求及签名信息至该客户端应用对应的服务器;
步骤C2:步骤B2中所述服务器接收所述步骤B2中的所述请求及签名,校验用户信息和步骤B2发送的签名的完整正确、及对应的用户数字证书的合法有效,校验结果为正确时,所述服务器处理所述应用请求并返回处理结果至所述外部应用客户端;校验结果为错误时,所述服务器拒绝请求并返回结果至所述终端2内部应用客户端。
步骤D2:所述外部应用客户端接收所述步骤C2中的处理结果,校验相关信息并显示,所述数字证书验签过程完毕。
实施例六:
在上述实施例的方法及其相互结合形成的方法的基础上,如图4本申请实施例所述数字证书***1的创建账户的过程的流程图所示,所述基于TEE的数字证书的身份验证方法还包括所述数字证书***1的创建账户、生成密钥对及签发数字证书的过程,其中,包括:
步骤一:终端2预先配置基于TEE的数字证书***1构成所述数字证书***1,在所述数字证书***1注册用户账户,注册用户账户包括输入身份信息和设置访问口令,所述数字证书***1安全储存所述注册身份信息和访问口令;
步骤二:所述数字证书***1读取信任根设备的认证数据或者请求信任根设备签发认证数据;
步骤三:所述数字证书***1通过所述客户端应用对应的服务器请求信任根***认证步骤二中所述认证数据和所述注册身份信息,所述信任根***与步骤二中所述信任根设备相对应;
步骤四:所述信任根***校验步骤二中所述认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过所述客户端应用对应的服务器发送至所述数字证书***1;
步骤五:当步骤四所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述数字证书***1产生第一私钥及其对应的第一公钥,安全存储所述私钥,并向所述客户端应用对应的CA服务器发送数字证书签发请求;
步骤六:所述CA服务器接收步骤五中所述的请求并签发所述数字证书,所述客户端应用对应的服务器绑定用户账户和数字证书对应关系,将签名后的数字证书发送至所述数字证书***1;
步骤七:所述数字证书***1接收并安全储存所述步骤六中签发的数字证书,所述数字证书***1的创建账户、生成密钥对及签发数字证书过程完成;
所述步骤一至三、步骤五和步骤七在TEE下进行。
创建账户是使用***的初始步骤,从初始步骤开始即基于TEE进行,从流程上提高身份认证的安全系数,作为数字证书***1的数字证书公钥及私钥,其产生过程基于TEE进行,数字证书及公私钥储存于设备的TEE中,从***设置上提高了身份认证的安全系数;同时,本申请所述的方法不需要亲自去柜台开户和下载数字证书,安全便利同时使身份验证具有抗抵赖性,用户处理效率高、体验佳、对各应用的兼容性高,整个身份认证过程安全系数也更高。
优选的,如图5本申请实施例所述数字证书***1的数字证书的更新过程的流程图所示,所述基于TEE的数字证书的身份验证方法还包括所述数字证书***1的更新过程,也即所述数字证书***1的用户数字证书的更新过程,其中,包括:
步骤a:所述数字证书***1请求更新用户数字证书,并向用户发送输入所述用户身份信息的请求;
步骤b:所述数字证书***1将输入的信息与所述步骤1中储存的所述用户身份信息进行校验;当校验结果为一致时,向用户发送使用信任根设备的请求;
步骤c:所述数字证书***1读取信任根设备的认证数据或者请求信任根设备签发认证数据;当信任根设备授权读取或签发相关认证数据后,所述数字证书***1通过所述客户端应用对应的服务器请求信任根***认证所述注册身份信息和所述认证数据,所述信任根***与步骤b中所述信任根设备相对应;
步骤d:所述信任根***校验所述步骤c中认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过所述客户端应用对应的服务器发送至所述数字证书***1;
步骤e:当步骤d所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述数字证书***1产生第二私钥及其对应的第二公钥,安全存储所述第二私钥,并向所述客户端对应的CA服务器发送数字证书更新和签发请求;
步骤f:所述CA服务器接收步骤e中所述的更新和签发请求并签名所述新数字证书,所述客户端应用对应的服务器绑定用户账户和新数字证书对应关系,将签名后的新数字证书发送至所述数字证书***1;
步骤g:所述数字证书***1接收并安全储存所述步骤f中的签发的新数字证书,删除旧数字证书,所述数字证书***1的用户数字证书更新过程完成;
所述步骤a至c、步骤e和步骤g在TEE下进行。
数字证书更新,是动态更新,更新指的是现在的数字证书公私钥跟原来的数字证书公私钥不一样。即使之前的数字证书公私钥被破解,窃取的是原来的数字证书,但不知道现在使用的数字证书公私钥是什么。这样一来,数字证书公私钥永远是秘密的。而本发明所提供的基于TEE的数字证书的身份验证方法,其数字证书的更新过程在TEE下进行,安全水平能够达到甚至超越硬件实物智能密码钥匙的安全水平。
实施例七:
如图6本申请实施例所述数字证书***1的结构示意图所示,所述数字证书***1包括:
安全存储模块104、安全输入/输出模块101、用户鉴别模块105、密码运算模块103、安全接口模块106和安全执行模块102,所述用户鉴别模块105、密码运算模块103、安全输入/输出模块101、安全接口模块106和安全存储模块104分别与所述安全执行模块102连接,所述安全输入/输出模块101、安全执行模块102、安全接口模块106和安全存储模块104与所述终端2装置2内的TEE执行模块连接。
所述用户鉴别模块105,用于接收安全执行模块102的指令鉴别用户,并反馈鉴别结果至所述安全执行模块102;
密码运算模块103,用于接收安全执行模块102的指令进行运算,并发送运算结果至所述安全执行模块102;
安全存储模块104,用于接收安全执行模块102的指令,安全存储用户数据并与所述安全执行模块102进行所述用户数据的传递;
安全执行模块102,用于向所述安全输入/输出模块101、所述用户鉴别模块105、所述密码运算模块103、安全接口模块106和所述安全存储模块104资源调度、发送指令并接收相关数据;
所述安全输入/输出模块101用于安全管理并调用所述输出模块和所述输入模块;
安全接口模块106用户安全管理并调用所述通信模块;
所述安全存储模块用于安全管理并调用所述储存模块。
优选的,所述安全接口模块106,用于通过蓝牙、OTG、NFC,或者二维码、声波,或者TEE与REE的通讯代理机制及共享内存机制,与客户端应用进行数据交互;
所述用户鉴别模块105、密码运算模块103、安全输入/输出模块101、安全执行模块102、安全接口模块106和安全存储模块104与所述终端2装置2内的TEE模块连接。
所述终端2装置2可以为任一具备TEE的智能设备,所述数字签名过程在TEE下进行,解决了现有技术中证书密钥容易被截获的问题,保护了用户的密钥、身份信息、生物特征信息和口令信息等,在使用便利的同时也提高了使用过程中的安全性和隐私性。
优选的,所述用户鉴别模块105包括口令鉴别单元、指纹信息鉴别单元、面部特征信息鉴别单元、声纹信息鉴别单元和/或虹膜信息鉴别单元。即所述用户鉴别模块105包括下述单元的任一种及其任意组合:口令鉴别单元、指纹信息鉴别单元、面部特征信息鉴别单元、声纹信息鉴别单元、虹膜信息鉴别单元。
优选的,所述输出模块201包括显示单元、声音单元和/或指示单元;所述输入模块203包括:屏单元、按键单元、指纹信息采集单元、声音采集单元、摄像单元和/或传感器单元。
优选的,所述密码运算模块103包括非对称密码算法单元、HASH算法单元和/或对称密码算法单元。所述密码运算模块103包括下述单元的任一种及其任意组合:非对称密码运算单元、对称密码运算单元、HASH运算单元。
优选的,所述用户数据包括:用户基本信息、用户鉴别信息、数字证书、非对称公私钥、对称密钥和/或字库。即所述用户数据包括下述信息的任一种及其任意组合:用户基本信息、用户鉴别信息、数字证书、非对称公私钥、对称密钥和字库。
所述数字证书安全***1功能综合,运作过程安全,综合了证书鉴别、生物特征鉴别及口令鉴别等方式的优势,使其身份认证方式的兼容性更强,安全性能更好、用户体验更佳。
实施例八:
一种基于TEE的数字证书的身份验证***,包括配置单元数字证书签名单元和数字证书验签单元,其特征在于,
配置单元,用于在终端2预先配置数字证书***1;
数字证书签名单元,在所述终端2上进行,用于针对用户请求生使用数字证书私钥进行签名;
数字证书验签单元,用于认证请求的用户的身份并保证用户不可抵赖所述请求,认证方式包括所述验证所述数字证书的合法性及有效性、所述签名的完整性及正确性;
其中,所述数字证书签名单元运行于TEE下。
本发明提供的基于TEE的数字证书的身份验证***1,符合群众的使用***的安全性能并且契合用户的使用习惯,使用非常便利;保护了用户的密钥、身份信息、生物特征信息和口令信息等,在使用便利的同时也提高了使用过程中的安全性和隐私性。
通过以上各实施例可知,本申请存在的有益效果是:
(1)本发明提供的基于TEE的数字证书的身份验证方法,数字签名与验签过程、密码运算过程及用户鉴别过程在TEE下进行,用户的密钥、身份信息、生物特征信息和口令信息等敏感信息在TEE下通过安全存储模块存储,避免了现有技术中的诸多问题,如数字签名生成过程在REE中进行、用户敏感信息在REE环境下存储,产生隐私泄露、财产被窃取的隐患等;同时,在TEE环境下,通过安全接口与客户端应用传递身份认证请求,通过安全输入/输出接口管理和调用终端的输入模块和输入模块,身份认证请求信息安全显示并经过用户的确认,避免了REE环境下输入和输出模块被非法应用控制和篡改的风险,确保了身份认证过程能体现用户的真实意愿;
(2)本发明提供的基于TEE的数字证书的身份验证方法,所述终端装置可以为任一具备TEE的智能设备,不需要特定的设备,在用户通常随身携带的智能终端装置上即可进行,如手机、平板电脑等设备,但是其使用的安全性同样非常高;
(3)本发明提供的基于TEE的数字证书的身份验证方法,兼容生物特征鉴别,把人体生物特征这一特有的固定的信息也加以应用,没有通过生物特征鉴别认证便不能进入身份认证的下一个步骤,并且上述过程均在TEE下进行,在使用安全的同时也提高了使用过程中的便利性;
(4)本发明提供的基于TEE的数字证书的身份验证方法,从初始步骤开始即基于TEE进行,从流程上提高身份认证的安全系数;作为数字证书***的数字证书公私钥,其产生过程基于TEE进行,数字证书及公私钥储存于设备的TEE中,从***设置上提高了身份认证的安全系数;
(5)本发明提供的基于TEE的数字证书的身份验证方法,本申请所述的方法不需要亲自去柜台开户和下载数字证书,可以安全便利同时使身份验证具有抗抵赖性,用户使用便利,处理效率高、体验佳、对各应用的兼容性高,整个身份认证过程安全系数也更高;
(6)本发明提供的基于TEE的数字证书的身份验证方法,能够安全便利、高效的进行身份验证过程,并且能够有效的保证验证双方的真实合法性,能够实现请求报文的安全传输、防篡改、防伪造和防抵赖,并且所述数字证书签名过程在TEE下进行,使所述身份验证方法更安全、更便捷,更好保护用户隐私,用户体验更好;
(7)本发明提供的基于TEE的数字证书的身份验证方法,所述数字证书安全***功能综合,运作过程安全,综合了证书鉴别、生物特征鉴别及口令鉴别等方式,使其身份认证方式的兼容性更强,安全性能更好、用户体验更佳;
(8)本发明提供的基于TEE的数字证书的身份验证***,使用时不需要专门的教程,其使用都是针对用户请求进行一一响应,通过终端装置提示来完成,相较于现有技术中的动态口令***,其契合用户的使用习惯,使用非常便利;其保护了用户的密钥、身份信息、生物特征信息和口令信息等,在使用便利的同时也提高了使用过程中的安全性和隐私性。
当然,本发明所保护的技术方案并不必须同时达到所有上述有益效果,一个方案没有同时达到所有上述有益效果并不构成对本发明保护范围的限制。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
上述说明示出并描述了本申请的若干优选实施例,但如前所述,应当理解本申请并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本申请的精神和范围,则都应在本申请所附权利要求的保护范围内。
Claims (9)
1.一种基于TEE的数字证书的身份验证方法,包括终端预先配置数字证书***、数字证书签名过程和数字证书验签过程,其特征在于,还包括所述数字证书***的创建账户、生成密钥对及签发数字证书的过程;所述终端具备TEE,所述数字证书签名过程,在所述终端上进行,用于针对用户请求使用数字证书私钥进行签名,所述数字证书验签过程用于认证请求的用户的身份,认证方式包括验证所述数字证书的合法性及有效性、所述签名的完整性及正确性;其中,所述数字证书签名过程在TEE下进行;
所述数字证书***的创建账户、生成密钥对及签发数字证书的过程包括:
步骤一:终端预先配置基于TEE的数字证书***构成所述数字证书***,在所述数字证书***注册用户账户,注册用户账户包括输入身份信息和设置访问口令,所述数字证书***安全储存所述注册身份信息和访问口令;
步骤二:所述数字证书***读取信任根设备的认证数据或者请求信任根设备签发认证数据;
步骤三:所述数字证书***通过客户端应用对应的服务器请求信任根***认证步骤二中所述认证数据和所述注册身份信息,所述信任根***与步骤二中所述信任根设备相对应;
步骤四:所述信任根***校验步骤二中所述认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过所述客户端应用对应的服务器发送至所述数字证书***;
步骤五:当步骤四所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述数字证书***产生第一私钥及其对应的第一公钥,安全存储所述私钥,并向所述客户端应用对应的CA服务器发送数字证书签发请求;
步骤六:所述CA服务器接收步骤五中所述的请求并签发所述数字证书,所述客户端应用对应的服务器绑定用户账户和数字证书对应关系,将签名后的数字证书发送至所述数字证书***;
步骤七:所述数字证书***接收并安全储存所述步骤六中签发的数字证书,所述数字证书***的创建账户、生成密钥对及签发数字证书过程完成;
所述步骤一至三、步骤五和步骤七在TEE下进行。
2.根据权利要求1所述的方法,其特征在于,还包括客户端,所述客户端为所述终端内部应用客户端,所述数字证书签名过程包括:
步骤1:所述数字证书***安全储存用户身份信息、根CA证书信息和用户数字证书及私钥信息,所述客户端对应的服务器安全存储其数字证书及私钥信息,所述终端收到客户端的应用的身份认证请求及所述服务器对所述请求的签名,启动所述数字证书***,所述数字证书***校验所述服务器数字证书合法有效、所述签名完整正确后,向终端用户发送输入所述用户身份信息的请求;
步骤2:所述数字证书***将输入的信息与所述步骤1中储存的所述用户身份信息进行校验;
步骤3:当所述步骤2中校验的结果为信息一致时,所述数字证书***使用用户数字证书私钥签名步骤1所述的身份认证请求,所述数字证书签名过程完成。
3.根据权利要求1所述的方法,其特征在于,还包括客户端,所述客户端为所述终端外部应用客户端,所述外部应用客户端是指所述应用客户端的载体为终端内部应用客户端之外的设备,所述数字证书签名过程包括:
步骤①:所述数字证书***安全储存用户身份信息、根CA证书信息和用户数字证书及私钥信息,所述客户端对应的服务器安全存储其数字证书及私钥信息,启动所述数字证书***时,所述数字证书***向用户发送输入所述用户身份信息的请求;
步骤②:所述数字证书***将输入的信息与所述步骤①中储存的所述用户身份信息进行校验;
步骤③:当所述步骤②中校验的结果为信息一致时,所述数字证书***通过OTG、NFC、蓝牙、音频、声波、用户输入或扫描条形码、二维码的方式获取所述客户端的应用的身份认证请求及步骤①所述服务器对所述请求的签名信息,所述数字证书***校验所述服务器数字证书合法有效、所述签名完整正确后,所述数字证书***使用用户数字证书私钥签名所述的身份认证请求,所述数字证书签名过程完成。
4.根据权利要求2所述的方法,其特征在于,所述客户端为终端内部应用客户端,所述数字证书验签过程包括:
步骤A1:所述数字证书***发送所述步骤3中产生的签名至所述终端内部应用客户端;
步骤B1:所述终端内部应用客户端收到所述签名后,发送步骤1中的请求及签名信息至该客户端应用对应的服务器;
步骤C1:步骤B1中所述服务器接收所述请求及签名,校验用户信息和步骤B1中发送的签名的完整正确、及对应的用户数字证书的合法有效,校验结果为正确时,所述服务器处理请求并返回处理结果至所述终端内部应用客户端;
步骤D1:所述终端内部应用客户端接收所述步骤C1中的处理结果,校验相关信息并显示,所述数字证书验签过程完毕。
5.根据权利要求3所述的方法,其特征在于,所述客户端为终端外部应用客户端,所述数字证书验签过程包括:
步骤A2:所述终端通过OTG、NFC、蓝牙、音频或声波的方式发送所述步骤③产生的签名到所述客户端,或以条形码、二维码的形式显示供所述外部应用客户端扫描读取;
步骤B2:所述外部应用客户端获取该签名后,发送所述步骤③中的请求及签名信息至该客户端应用对应的服务器;
步骤C2:步骤B2中所述服务器接收所述步骤B2中的所述请求及签名,校验用户信息和步骤B2发送的签名的完整正确、及对应的用户数字证书的合法有效,校验结果为正确时,所述服务器处理所述应用请求并返回处理结果至所述外部应用客户端;
步骤D2:所述外部应用客户端接收所述步骤C2中的处理结果,校验相关信息并显示,所述数字证书验签过程完毕。
6.根据权利要求2或4所述方法,其特征在于,还包括所述数字证书***的用户数字证书更新过程,其中,包括:
步骤a:所述数字证书***请求更新用户数字证书,并向用户发送输入所述用户身份信息的请求;
步骤b:所述数字证书***将输入的信息与所述步骤1中储存的所述用户身份信息进行校验;当校验结果为一致时,向用户发送使用信任根设备的请求;
步骤c:所述数字证书***读取信任根设备的认证数据或者请求信任根设备签发认证数据;当信任根设备授权读取或签发相关认证数据后,所述数字证书***通过所述客户端应用对应的服务器请求信任根***认证所述注册身份信息和所述认证数据,所述信任根***与步骤b中所述信任根设备相对应;
步骤d:所述信任根***校验所述步骤c中认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过所述客户端应用对应的服务器发送至所述数字证书***;
步骤e:当步骤d所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述数字证书***产生第二私钥及其对应的第二公钥,安全存储所述第二私钥,并向所述客户端对应的CA服务器发送数字证书更新和签发请求;
步骤f:所述CA服务器接收步骤e中所述的更新和签发请求并签名新数字证书,所述客户端应用对应的服务器绑定用户账户和新数字证书对应关系,将签名后的新数字证书发送至所述数字证书***;
步骤g:所述数字证书***接收并安全储存所述步骤f中的签发的新数字证书,删除旧数字证书,所述数字证书***的用户数字证书更新过程完成;
所述步骤a至c、步骤e和步骤g在TEE下进行。
7.根据权利要求2或4所述方法,其特征在于,所述步骤1中的用户身份信息包括用户基本身份信息和生物特征信息,所述基本身份信息包括姓名和证件号码,所述生物特征信息包括指纹信息、面部特征信息、声纹信息和/或虹膜信息;
所述步骤3中还包括:当所述步骤2中校验的结果为信息一致时,所述数字证书***安全显示所述客户端的应用请求信息,并提请用户确认,在用户确认同意所述请求后,所述数字证书***使用用户数字证书私钥对所述请求进行签名,所述数字证书签名过程完成;
所述步骤③中还包括:当所述步骤②中校验的结果为信息一致时,所述数字证书***安全显示所述客户端的应用请求信息,并提请用户确认,在用户确认同意所述请求后,所述数字证书***使用用户数字证书私钥对所述请求进行签名,所述数字证书签名过程完成。
8.根据权利要求7所述方法,其特征在于,所述数字证书***包括:
用户鉴别模块,用于接收安全执行模块的指令鉴别用户,并反馈鉴别结果至所述安全执行模块;
密码运算模块,用于接收安全执行模块的指令进行运算,并发送运算结果至所述安全执行模块;
安全存储模块,用于接收安全执行模块的指令,安全存储用户数据并与所述安全执行模块进行所述用户数据的传递;
安全执行模块,用于向所述安全输入/输出模块、所述用户鉴别模块、所述密码运算模块、安全接口模块和所述安全存储模块资源调度、发送指令并接收相关数据;
安全接口模块,用于通过蓝牙、OTG、NFC,或者二维码、声波,或者TEE与REE的通讯代理机制及共享内存机制,与客户端应用进行数据交互;
所述安全输入/输出模块、安全执行模块、安全接口模块和安全存储模块与所述终端装置内的TEE模块连接。
9.一种基于权利要求1所述的身份验证方法的身份验证***,包括配置单元、数字证书签名单元和数字证书验签单元,其特征在于,
配置单元,用于在终端预先配置数字证书***;
数字证书签名单元,在所述终端上进行,用于针对用户请求生使用数字证书私钥进行签名;
数字证书验签单元,用于认证请求的用户的身份并保证用户不可抵赖所述请求,认证方式包括所述验证所述数字证书的合法性及有效性、所述签名的完整性及正确性;
其中,所述数字证书签名单元运行于TEE下。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510862638.0A CN105429760B (zh) | 2015-12-01 | 2015-12-01 | 一种基于tee的数字证书的身份验证方法及*** |
| CN201811217413.XA CN109150548B (zh) | 2015-12-01 | 2015-12-01 | 一种数字证书签名、验签方法及***、数字证书*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510862638.0A CN105429760B (zh) | 2015-12-01 | 2015-12-01 | 一种基于tee的数字证书的身份验证方法及*** |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811217413.XA Division CN109150548B (zh) | 2015-12-01 | 2015-12-01 | 一种数字证书签名、验签方法及***、数字证书*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105429760A CN105429760A (zh) | 2016-03-23 |
| CN105429760B true CN105429760B (zh) | 2018-12-14 |
Family
ID=55507713
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510862638.0A Active CN105429760B (zh) | 2015-12-01 | 2015-12-01 | 一种基于tee的数字证书的身份验证方法及*** |
| CN201811217413.XA Active CN109150548B (zh) | 2015-12-01 | 2015-12-01 | 一种数字证书签名、验签方法及***、数字证书*** |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811217413.XA Active CN109150548B (zh) | 2015-12-01 | 2015-12-01 | 一种数字证书签名、验签方法及***、数字证书*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN105429760B (zh) |
Families Citing this family (49)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107315959A (zh) * | 2016-04-27 | 2017-11-03 | 阿里巴巴集团控股有限公司 | 移动终端业务安全的保障方法和装置 |
| CN109997177A (zh) * | 2016-07-13 | 2019-07-09 | 博托索夫特科技有限公司 | 文档认证*** |
| CN107666469B (zh) * | 2016-07-29 | 2020-12-25 | 华为终端有限公司 | 验证码短信的处理方法及终端 |
| CN106130740B (zh) * | 2016-08-31 | 2019-05-24 | 北京信安世纪科技股份有限公司 | 数字证书同步方法、数字签名服务器及数字证书同步*** |
| CN107872320A (zh) * | 2016-09-26 | 2018-04-03 | 中国电信股份有限公司 | 终端数字签名方法和***以及用于数字签名的终端 |
| WO2018068228A1 (zh) * | 2016-10-12 | 2018-04-19 | 华为技术有限公司 | 一种验证码处理方法及移动终端 |
| CN107979469A (zh) * | 2016-10-24 | 2018-05-01 | 福建凯特信息安全技术有限公司 | 一种基于电子证照的数字证书远程发放方法 |
| US10419402B2 (en) * | 2017-01-26 | 2019-09-17 | Microsoft Technology Licensing, Llc | Addressing a trusted execution environment using signing key |
| CN107240157B (zh) * | 2017-05-12 | 2020-08-21 | 南京心视窗信息科技有限公司 | 近场通信安全控制方法、移动终端及计算机可读存储介质 |
| CN109218260B (zh) | 2017-07-03 | 2020-11-06 | 深圳市中兴微电子技术有限公司 | 一种基于可信任环境的认证保护***及方法 |
| US10511575B2 (en) * | 2017-09-18 | 2019-12-17 | Huawei Technologies Co., Ltd. | Securing delegated credentials in third-party networks |
| CN107689964B (zh) * | 2017-09-28 | 2020-10-23 | 深圳市友华通信技术有限公司 | 嵌入式web服务器防重放攻击的方法 |
| CN107786341B (zh) * | 2017-10-11 | 2019-11-29 | Oppo广东移动通信有限公司 | 证书加载方法及移动终端和计算机可读存储介质 |
| WO2019084908A1 (en) * | 2017-11-03 | 2019-05-09 | Nokia Technologies Oy | Method and apparatus for trusted computing |
| CN109753793B (zh) * | 2017-11-07 | 2021-05-18 | 华为终端有限公司 | 一种热补丁方法及热补丁装置 |
| CN107958150A (zh) * | 2017-12-05 | 2018-04-24 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种检测安卓热补丁安全性的方法 |
| CN109922027B (zh) * | 2017-12-13 | 2020-08-28 | ***通信集团公司 | 一种可信身份认证方法、终端及存储介质 |
| CN109981259A (zh) * | 2017-12-27 | 2019-07-05 | 航天信息股份有限公司 | 一种存储数字证书密钥的方法、装置及*** |
| CN108282466B (zh) * | 2017-12-29 | 2021-02-02 | 北京握奇智能科技有限公司 | 用于在tee中提供数字证书功能的方法、*** |
| CN108234509A (zh) * | 2018-01-16 | 2018-06-29 | 国民认证科技(北京)有限公司 | 基于tee和pki证书的fido认证器、认证***及方法 |
| CN108512660B (zh) * | 2018-03-28 | 2021-03-16 | 湖南东方华龙信息科技有限公司 | 虚拟卡的验证方法 |
| CN108768655B (zh) * | 2018-04-13 | 2022-01-18 | 北京握奇智能科技有限公司 | 动态口令生成方法和*** |
| CN110532766B (zh) | 2018-05-25 | 2023-09-08 | 华为技术有限公司 | 一种基于多容器的可信应用程序的处理方法及相关设备 |
| CN110535809B (zh) * | 2018-05-25 | 2021-08-31 | 腾讯科技(深圳)有限公司 | 一种标识码的拉取方法、存储介质及终端设备和服务器 |
| CN110400145A (zh) * | 2018-07-13 | 2019-11-01 | 腾讯科技(深圳)有限公司 | 一种数字身份申请***及方法、身份认证***及方法 |
| CN113642040B (zh) * | 2018-10-10 | 2023-02-10 | 腾讯科技(深圳)有限公司 | 审计项存储方法、装置以及*** |
| CN109903043B (zh) * | 2019-01-17 | 2023-01-10 | 平安科技(深圳)有限公司 | 基于区块链的安全交易方法、装置、设备及存储介质 |
| CN109768865A (zh) * | 2019-01-18 | 2019-05-17 | 深圳市威赫科技有限公司 | 可信执行环境下的区块链上身份数字化实现方法及*** |
| CN109874141A (zh) * | 2019-03-14 | 2019-06-11 | 公安部第一研究所 | 一种手机终端安全接入信息网络的方法及装置 |
| CN110336769A (zh) * | 2019-03-18 | 2019-10-15 | 上海飓金嵘通网络科技有限公司 | 一种基于手机钱包的跨部门电子证件申请方法及装置 |
| CN111953637B (zh) * | 2019-05-16 | 2022-08-26 | 阿里巴巴集团控股有限公司 | 一种应用服务方法与装置 |
| CN111953493A (zh) * | 2019-05-16 | 2020-11-17 | 上海铠射信息科技有限公司 | 一种新型的便携式数字证书应用方法和装置 |
| CN110264197B (zh) * | 2019-05-20 | 2021-05-18 | 创新先进技术有限公司 | 结合事件函数类型和判断条件的收据存储方法和节点 |
| CN110598422A (zh) * | 2019-08-01 | 2019-12-20 | 浙江葫芦娃网络集团有限公司 | 一种基于移动数字证书的可信身份验证***及方法 |
| CN112596802B (zh) * | 2019-09-17 | 2022-07-12 | 华为技术有限公司 | 一种信息处理方法及装置 |
| CN110677261B (zh) * | 2019-09-29 | 2023-05-12 | 四川虹微技术有限公司 | 可信二维码生成方法、装置、电子设备及存储介质 |
| CN111046440B (zh) * | 2019-12-13 | 2022-06-14 | 支付宝(杭州)信息技术有限公司 | 一种安全区域内容的篡改验证方法及*** |
| CN111259362B (zh) * | 2020-01-15 | 2023-07-18 | 北京中金国信科技有限公司 | 一种硬件数字证书载体的身份鉴别方法 |
| CN111489211A (zh) * | 2020-03-31 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 一种开票处理方法、装置以及介质 |
| CN111931154B (zh) * | 2020-10-10 | 2021-01-26 | 支付宝(杭州)信息技术有限公司 | 基于数字凭证的业务处理方法、装置及设备 |
| CN114362951B (zh) * | 2020-10-13 | 2024-05-17 | 花瓣云科技有限公司 | 用于更新证书的方法和装置 |
| CN114692113B (zh) * | 2020-12-31 | 2024-02-13 | 成都鼎桥通信技术有限公司 | 解密方法、装置、移动终端和可读存储介质 |
| CN112801674B (zh) * | 2021-02-02 | 2024-03-01 | 中钞印制技术研究院有限公司 | 防伪方法、防伪***和防伪产品 |
| CN113312597A (zh) * | 2021-07-29 | 2021-08-27 | 北京微芯感知科技有限公司 | 数字身份验证方法、装置、***、设备和存储介质 |
| CN113420277B (zh) * | 2021-08-24 | 2022-02-15 | 北京微芯感知科技有限公司 | 基于智能合约的数字身份管理和验证方法 |
| CN114218548B (zh) * | 2021-12-14 | 2022-08-19 | 北京海泰方圆科技股份有限公司 | 身份验证证书生成方法、认证方法、装置、设备及介质 |
| US20230231712A1 (en) * | 2022-01-14 | 2023-07-20 | Micron Technology, Inc. | Embedded tls protocol for lightweight devices |
| CN115277078A (zh) * | 2022-06-22 | 2022-11-01 | 抖音视界(北京)有限公司 | 用于处理基因数据的方法、装置、设备和介质 |
| CN115603943A (zh) * | 2022-09-07 | 2023-01-13 | 支付宝(杭州)信息技术有限公司(Cn) | 一种离线身份验证的方法、装置、存储介质及电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103793815A (zh) * | 2014-01-23 | 2014-05-14 | 武汉天喻信息产业股份有限公司 | 适用于银行卡和行业卡的移动智能终端收单***及方法 |
| CN104010044A (zh) * | 2014-06-12 | 2014-08-27 | 北京握奇数据***有限公司 | 基于可信执行环境技术的应用受限安装方法、管理器和终端 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340285A (zh) * | 2007-07-05 | 2009-01-07 | 杭州中正生物认证技术有限公司 | 利用指纹USBkey进行身份验证的方法及*** |
| CN101977193B (zh) * | 2010-10-28 | 2013-11-13 | 飞天诚信科技股份有限公司 | 安全下载证书的方法及*** |
| US8966642B2 (en) * | 2011-04-05 | 2015-02-24 | Assured Information Security, Inc. | Trust verification of a computing platform using a peripheral device |
| CN103825744A (zh) * | 2014-03-13 | 2014-05-28 | 上海市数字证书认证中心有限公司 | 非现场个人数字证书申请方法及*** |
| CN104700268B (zh) * | 2015-03-30 | 2018-10-16 | 中科创达软件股份有限公司 | 一种移动支付方法及移动设备 |
-
2015
- 2015-12-01 CN CN201510862638.0A patent/CN105429760B/zh active Active
- 2015-12-01 CN CN201811217413.XA patent/CN109150548B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103793815A (zh) * | 2014-01-23 | 2014-05-14 | 武汉天喻信息产业股份有限公司 | 适用于银行卡和行业卡的移动智能终端收单***及方法 |
| CN104010044A (zh) * | 2014-06-12 | 2014-08-27 | 北京握奇数据***有限公司 | 基于可信执行环境技术的应用受限安装方法、管理器和终端 |
Non-Patent Citations (1)
| Title |
|---|
| 移动智能终端可信环境分析;国炜等;《技术专题》;20121230;1-6 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109150548A (zh) | 2019-01-04 |
| CN109150548B (zh) | 2021-10-08 |
| CN105429760A (zh) | 2016-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105429760B (zh) | 一种基于tee的数字证书的身份验证方法及*** | |
| CN105516104B (zh) | 一种基于tee的动态口令的身份验证方法及*** | |
| CN108777684B (zh) | 身份认证方法、***及计算机可读存储介质 | |
| AU2018333068B2 (en) | Systems and methods for managing digital identities associated with mobile devices | |
| CN107070667B (zh) | 身份认证方法 | |
| US11876807B2 (en) | Secure online access control to prevent identification information misuse | |
| Brainard et al. | Fourth-factor authentication: somebody you know | |
| CN103440444B (zh) | 电子合同的签订方法 | |
| WO2017197974A1 (zh) | 一种基于生物特征的安全认证方法、装置及电子设备 | |
| JP7083892B2 (ja) | デジタル証明書のモバイル認証相互運用性 | |
| CN109150535A (zh) | 一种身份认证方法、设备、计算机可读存储介质及装置 | |
| CN104735065B (zh) | 一种数据处理方法、电子设备及服务器 | |
| JP2018532301A (ja) | 本人認証方法及び装置 | |
| US10050791B2 (en) | Method for verifying the identity of a user of a communicating terminal and associated system | |
| CN107113315A (zh) | 一种身份认证方法、终端及服务器 | |
| CN108684041A (zh) | 登录认证的***和方法 | |
| CN112651036B (zh) | 基于协同签名的身份认证方法及计算机可读存储介质 | |
| CN104660412A (zh) | 一种移动设备无密码安全认证方法及*** | |
| CN106850201A (zh) | 智能终端多因子认证方法、智能终端、认证服务器及*** | |
| CN101652782B (zh) | 通信终端装置、通信装置、电子卡、通信终端装置提供验证的方法和通信装置提供验证的方法 | |
| CN104883367A (zh) | 一种辅助验证登陆的方法、***和应用客户端 | |
| CN108462725A (zh) | 一种电子签名设备、身份验证方法和*** | |
| CN113364597A (zh) | 一种基于区块链的隐私信息证明方法及*** | |
| CN110321682A (zh) | 一种基于uaf和ibc的统一身份认证方法及装置 | |
| Meshram et al. | An efficient remote user authentication with key agreement procedure based on convolution-Chebyshev chaotic maps using biometric |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220211 Address after: Unit 515, floor 5, building 1, No. a 12, Zhongguancun South Street, Haidian District, Beijing 100081 Patentee after: Shenzhou Rongan digital technology (Beijing) Co.,Ltd. Address before: Room 701, 7 / F, block a, digital building, No. 2, Zhongguancun South Street, Haidian District, Beijing 100086 Patentee before: SHENZHOU RONGAN TECHNOLOGY (BEIJING) CO.,LTD. |
|
| TR01 | Transfer of patent right |