CN109547451A - 基于tee的可信认证服务认证的方法 - Google Patents

基于tee的可信认证服务认证的方法 Download PDF

Info

Publication number
CN109547451A
CN109547451A CN201811458160.5A CN201811458160A CN109547451A CN 109547451 A CN109547451 A CN 109547451A CN 201811458160 A CN201811458160 A CN 201811458160A CN 109547451 A CN109547451 A CN 109547451A
Authority
CN
China
Prior art keywords
server
client
data
tee
framing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811458160.5A
Other languages
English (en)
Other versions
CN109547451B (zh
Inventor
杨国东
唐博
刘建敏
张福健
周强强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN201811458160.5A priority Critical patent/CN109547451B/zh
Publication of CN109547451A publication Critical patent/CN109547451A/zh
Application granted granted Critical
Publication of CN109547451B publication Critical patent/CN109547451B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及计算机软件和硬件信息安全技术领域,具体涉及一种基于TEE的可信认证服务认证的方法。其公开了一种基于TEE的可信认证服务认证的方法,有效的解决认证服务的安全性和稳定性的问题。本发明将所有的操作都放到TEE侧执行,包括数据组帧拆帧、随机数生成、加解密、公私钥生成、签名验签、与服务器连接等操作。认证过程中不经过REE侧,直接是通过TEE侧传入到公网,这样就防止了数据在REE侧会被第三方应用攻击而导致数据异常的现象。

Description

基于TEE的可信认证服务认证的方法
技术领域
本发明涉及计算机软件和硬件信息安全技术领域,具体涉及一种基于TEE的可信认证服务认证的方法。
背景技术
常规的认证服务在认证时,要么所有的操作都是在REE侧执行,要么就是私密数据在TEE执行然后再将数据回传到REE侧,最后再通过网络发送到服务端,但是这些方案中,数据都会回到REE侧,这样可能受到第三应用的攻击对数据进行篡改,无法保障数据的安全性。
TEE技术可以保证数据在计算过程中的安全,防止第三方在运算过程中或在存储区修改敏感数据信息,有效抵抗第三方在终端恶意篡改数据,能够做到硬件级安全。
因此,本申请有必要提出一种基于TEE的可信认证服务认证的方法。
发明内容
本发明所要解决的技术问题是:提出一种基于TEE的可信认证服务认证的方法,有效的解决认证服务的安全性和稳定性的问题。
本发明解决上述技术问题所采用的技术方案是:
基于TEE的可信认证服务认证的方法,包括以下步骤:
A、客户端对服务器的认证:
A1、服务器启动认证服务,客户端切换到TEE可信执行环境,并在TEE侧连接服务器;客户端请求服务器的公钥,并组帧数据后发送给服务器;
A2、服务器接收到请求,对请求数据进行拆帧,解析出帧命令,将自己的公钥进行组帧,然后发送给客户端;
A3、客户端在TEE可信执行环境下接收到服务器的数据,进行拆帧,获得服务器的公钥并存储;
A4、客户端在TEE可信执行环境下产生随机数,然后将此随机数组帧后发给服务器;
A5、服务器接收到数据后对数据进行拆帧,解析出命令,对得到的数据进行摘要算法,然后对摘要使用自己的私钥进行签名,最后将签名信息组帧发送给客户端;
A6、客户端在TEE可信执行环境下对服务端的数据进行拆帧,得到签名值,然后对此签名值进行验签,验签成功或者失败返回相应状态给服务器;
B、服务器对客户端的认证:
B1、客户端在其TEE可信执行环境下组帧自己的公钥,组帧完成后发送给服务器;
B2、服务器接收到数据,对数据进行拆帧,解析出帧命令,获得客户端的公钥并存储;
B3、服务器产生随机数,使用摘要算法对数据进行计算得到摘要值,将产生的随机数进行数据组帧并发送给客户端;
B4、客户端在TEE可信执行环境中接收到数据后进行数据拆帧,得到数据,然后客户端将得到的数据使用摘要算法算出摘要值并使用自己的私钥对摘要值进行签名,并将签名值进行组帧发给服务器;
B5、服务器接收到数据后进行拆帧,得到客户端的签名信息,然后对此签名信息进行验签,将验签的结果组帧成数据发送给客户端。
作为进一步优化,步骤A6中,所述客户端对此签名值进行验签,具体为:
客户端通过存储的服务器公钥对签名值进行解密,并将解密结果与客户端采用摘要算法计算其产生的随机数的摘要值进行比对验证。
作为进一步优化,该方法适用于所有端到端的认证服务。
作为进一步优化,步骤B5中,所述服务器对此签名信息进行验签,具体为:
服务器通过存储的客户端公钥对签名信息进行解密,并将解密结果与服务器采用摘要算法计算其产生的随机数的摘要值进行比对验证。
本发明的有益效果是:
使用该方法对服务器和客户端的认证进行保护,能够有效的防止认证过程,私密数据被第三方应用截取;由于整个认证流程都放在TEE侧可信执行环境,可以保证隐私数据的安全性和保持认证过程的稳定性。
附图说明
图1为本发明的可信认证服务认证流程中client验证server的方法流程;
图2为本发明的可信认证服务认证流程中server验证client的方法流程;
图3为本发明的可信认证服务框架图。
具体实施方式
本发明旨在提出一种基于TEE的可信认证服务认证的方法,有效的解决认证服务的安全性和稳定性的问题。为了防止客户端与服务端认证过程中的数据被篡改,防止任何端到端的认证过程被其他第三方应用攻击或者是篡改,保证在认证过程中密钥等相关数据的安全性,本发明将所有的操作都放到TEE侧执行,包括数据组帧拆帧、随机数生成、加解密、公私钥生成、签名验签、与服务器连接等操作。认证过程中不经过REE侧,直接是通过TEE侧传入到公网,这样就防止了数据在REE侧会被第三方应用攻击而导致数据异常的现象。
在具体实现上,本发明中基于TEE的可信认证服务认证的方法,包括以下步骤:
A、客户端(client)对服务器(server)的认证,如图1所示:
A1、服务端启动认证服务,客户端切换到TEE可信执行环境,并在TEE侧连接服务端并组帧数据后发送给服务端,请求服务端的公钥。
A2、服务端接收到请求,对请求数据进行拆帧,解析出帧命令,将自己的公钥进行组帧,然后回给客户端。
A3、客户端在TEE可信执行环境下接收到服务端的数据,进行拆帧,并将得到的公钥存储到TEE侧
A4、客户端在TEE可信执行环境下产生随机数(或者其他方式产生数据),然后将此数据组帧发给服务器
A5、服务器接收到数据后对数据进行拆帧,解析出命令,对得到的数据进行摘要算法,然后对摘要使用自己的私钥进行签名,最后将签名信息组帧回给客户端
A6、客户端在TEE可信执行环境下对服务端的数据进行拆帧,得到签名值,客户端再将签名值和客户端对随机数产生的摘要值进行签名的验签,验签成功或者失败返回相应状态给服务端。
B、服务器(server)对客户端(client)的认证,如图2所示:
B1、客户端在TEE可信执行环境一侧将自己的公钥进行组帧,组帧完成后通过网络发送给服务端;
B2、服务端接收到数据后,对数据进行拆帧,解析出帧命令,得到客户端的公钥,然后将公钥存储起来;
B3、服务端产生随机数(或者其他方式产生数据),使用摘要算法对数据进行计算得到摘要值,将产生的数据进行数据组帧并回给客户端;
B4、客户端在TEE可信执行环境中接收到数据后进行数据拆帧,得到数据,然后客户端将得到的数据使用摘要算法算出摘要值并使用自己的私钥对摘要值进行签名,并将签名值进行组帧发给服务端;
B5、服务端接收到数据后进行拆帧,得到客户端的签名信息,服务端根据自己产生的数据可以得到一个摘要信息,然后根据客户端的返回的签名信息进行验签,此时将验签的结果组帧成数据回给数客户端。
到此服务器和客户端的双向认证都已经认证完成。其认证的整个流程都是在TEE侧完成,最后认证完成以后只是会返回给REE侧一个结果,REE侧不涉及到加密、签名信息、公私钥对等信息。所以在REE侧第三方应用也无法攻击到我们的整个认证过程,这样保证了认证过程的安全性和稳定性。
为实现上述方法,本发明所采用的可信认证服务框架如图3所示,
本发明将认证过程中的流程和加密相关等操作都是在TEE执行,包括数据组帧拆帧、随机数生成、加解密、公私钥生成、签名验签、与服务器连接等操作;可以保证隐私数据的安全性和保持认证过程的稳定性。

Claims (4)

1.基于TEE的可信认证服务认证的方法,其特征在于,包括以下步骤:
A、客户端对服务器的认证:
A1、服务器启动认证服务,客户端切换到TEE可信执行环境,并在TEE侧连接服务器;客户端请求服务器的公钥,并组帧数据后发送给服务器;
A2、服务器接收到请求,对请求数据进行拆帧,解析出帧命令,将自己的公钥进行组帧,然后发送给客户端;
A3、客户端在TEE可信执行环境下接收到服务器的数据,进行拆帧,获得服务器的公钥并存储;
A4、客户端在TEE可信执行环境下产生随机数,然后将此随机数组帧后发给服务器;
A5、服务器接收到数据后对数据进行拆帧,解析出命令,对得到的数据进行摘要算法,然后对摘要使用自己的私钥进行签名,最后将签名信息组帧发送给客户端;
A6、客户端在TEE可信执行环境下对服务器的数据进行拆帧,得到签名值,然后对此签名值进行验签,验签成功或者失败返回相应状态给服务器;
B、服务器对客户端的认证:
B1、客户端在其TEE可信执行环境下组帧自己的公钥,组帧完成后发送给服务器;
B2、服务器接收到数据,对数据进行拆帧,解析出帧命令,获得客户端的公钥并存储;
B3、服务器产生随机数,使用摘要算法对数据进行计算得到摘要值,将产生的随机数进行数据组帧并发送给客户端;
B4、客户端在TEE可信执行环境中接收到数据后进行数据拆帧,得到数据,然后客户端将得到的数据使用摘要算法算出摘要值并使用自己的私钥对摘要值进行签名,并将签名值进行组帧发给服务器;
B5、服务器接收到数据后进行拆帧,得到客户端的签名信息,然后对此签名信息进行验签,将验签的结果组帧成数据发送给客户端。
2.如权利要求1所述的基于TEE的可信认证服务认证的方法,其特征在于,步骤A6中,所述客户端对此签名值进行验签,具体为:
客户端通过存储的服务器公钥对签名值进行解密,并将解密结果与客户端采用摘要算法计算其产生的随机数的摘要值进行比对验证。
3.如权利要求1所述的基于TEE的可信认证服务认证的方法,其特征在于,步骤B5中,所述服务器对此签名信息进行验签,具体为:
服务器通过存储的客户端公钥对签名信息进行解密,并将解密结果与服务器采用摘要算法计算其产生的随机数的摘要值进行比对验证。
4.如权利要求1-3任意一项所述的基于TEE的可信认证服务认证的方法,其特征在于,该方法适用于所有端到端的认证服务。
CN201811458160.5A 2018-11-30 2018-11-30 基于tee的可信认证服务认证的方法 Active CN109547451B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811458160.5A CN109547451B (zh) 2018-11-30 2018-11-30 基于tee的可信认证服务认证的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811458160.5A CN109547451B (zh) 2018-11-30 2018-11-30 基于tee的可信认证服务认证的方法

Publications (2)

Publication Number Publication Date
CN109547451A true CN109547451A (zh) 2019-03-29
CN109547451B CN109547451B (zh) 2021-05-25

Family

ID=65851928

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811458160.5A Active CN109547451B (zh) 2018-11-30 2018-11-30 基于tee的可信认证服务认证的方法

Country Status (1)

Country Link
CN (1) CN109547451B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110096881A (zh) * 2019-05-07 2019-08-06 百度在线网络技术(北京)有限公司 恶意调用防护方法、装置、设备及计算机可读介质
CN110519304A (zh) * 2019-09-30 2019-11-29 四川虹微技术有限公司 基于tee的https双向认证方法
CN110661783A (zh) * 2019-08-28 2020-01-07 视联动力信息技术股份有限公司 一种终端的注册方法、装置和存储介质
CN110661784A (zh) * 2019-08-28 2020-01-07 视联动力信息技术股份有限公司 一种用户的认证方法、装置和存储介质
CN110717149A (zh) * 2019-10-09 2020-01-21 湖南国科微电子股份有限公司 一种安全架构及其运行方法、设备及可读存储介质
CN111711863A (zh) * 2020-06-29 2020-09-25 北京数码视讯科技股份有限公司 防止节目插播的方法、装置、电子设备及存储介质
CN111787006A (zh) * 2020-06-30 2020-10-16 北京经纬恒润科技有限公司 一种安全应用的访问控制方法及***
WO2020220974A1 (zh) * 2019-04-29 2020-11-05 华控清交信息科技(北京)有限公司 面向数据传输的存证方法、传输方法及***
CN115174125A (zh) * 2022-09-07 2022-10-11 北京笔新互联网科技有限公司 可信执行环境中可信真随机数的获取方法及装置
CN117235693A (zh) * 2023-11-14 2023-12-15 杭州安恒信息技术股份有限公司 一种可信执行环境的可信认证和安全通道建立方法

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105592071A (zh) * 2015-11-16 2016-05-18 ***股份有限公司 一种在设备之间进行授权的方法和装置
CN105721500A (zh) * 2016-04-10 2016-06-29 北京工业大学 一种基于TPM的Modbus/TCP协议的安全增强方法
CN105959287A (zh) * 2016-05-20 2016-09-21 ***股份有限公司 一种基于生物特征的安全认证方法及装置
CN106375348A (zh) * 2016-11-17 2017-02-01 杭州华三通信技术有限公司 一种Portal认证方法和装置
CN106850209A (zh) * 2017-02-28 2017-06-13 苏州福瑞思信息科技有限公司 一种身份认证方法及装置
CN106899552A (zh) * 2015-12-21 2017-06-27 中国电信股份有限公司 认证方法,认证终端以及***
CN107066888A (zh) * 2017-04-21 2017-08-18 北京豆荚科技有限公司 可扩展的可信用户接口、方法和电子设备
CN107302541A (zh) * 2017-07-31 2017-10-27 成都蓝码科技发展有限公司 一种基于http协议的数据加密传输方法
CN108418812A (zh) * 2018-02-12 2018-08-17 北京豆荚科技有限公司 一种基于可信执行环境的智能终端安全消息服务方法
CN108809982A (zh) * 2018-06-12 2018-11-13 飞天诚信科技股份有限公司 一种基于可信执行环境的免密认证方法及***

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105592071A (zh) * 2015-11-16 2016-05-18 ***股份有限公司 一种在设备之间进行授权的方法和装置
CN106899552A (zh) * 2015-12-21 2017-06-27 中国电信股份有限公司 认证方法,认证终端以及***
CN105721500A (zh) * 2016-04-10 2016-06-29 北京工业大学 一种基于TPM的Modbus/TCP协议的安全增强方法
CN105959287A (zh) * 2016-05-20 2016-09-21 ***股份有限公司 一种基于生物特征的安全认证方法及装置
CN106375348A (zh) * 2016-11-17 2017-02-01 杭州华三通信技术有限公司 一种Portal认证方法和装置
CN106850209A (zh) * 2017-02-28 2017-06-13 苏州福瑞思信息科技有限公司 一种身份认证方法及装置
CN107066888A (zh) * 2017-04-21 2017-08-18 北京豆荚科技有限公司 可扩展的可信用户接口、方法和电子设备
CN107302541A (zh) * 2017-07-31 2017-10-27 成都蓝码科技发展有限公司 一种基于http协议的数据加密传输方法
CN108418812A (zh) * 2018-02-12 2018-08-17 北京豆荚科技有限公司 一种基于可信执行环境的智能终端安全消息服务方法
CN108809982A (zh) * 2018-06-12 2018-11-13 飞天诚信科技股份有限公司 一种基于可信执行环境的免密认证方法及***

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020220974A1 (zh) * 2019-04-29 2020-11-05 华控清交信息科技(北京)有限公司 面向数据传输的存证方法、传输方法及***
CN110096881A (zh) * 2019-05-07 2019-08-06 百度在线网络技术(北京)有限公司 恶意调用防护方法、装置、设备及计算机可读介质
CN110661783B (zh) * 2019-08-28 2022-04-26 视联动力信息技术股份有限公司 一种终端的注册方法、装置和存储介质
CN110661784A (zh) * 2019-08-28 2020-01-07 视联动力信息技术股份有限公司 一种用户的认证方法、装置和存储介质
CN110661783A (zh) * 2019-08-28 2020-01-07 视联动力信息技术股份有限公司 一种终端的注册方法、装置和存储介质
CN110519304A (zh) * 2019-09-30 2019-11-29 四川虹微技术有限公司 基于tee的https双向认证方法
CN110717149A (zh) * 2019-10-09 2020-01-21 湖南国科微电子股份有限公司 一种安全架构及其运行方法、设备及可读存储介质
CN110717149B (zh) * 2019-10-09 2022-03-22 湖南国科微电子股份有限公司 一种安全架构及其运行方法、设备及可读存储介质
CN111711863A (zh) * 2020-06-29 2020-09-25 北京数码视讯科技股份有限公司 防止节目插播的方法、装置、电子设备及存储介质
CN111787006A (zh) * 2020-06-30 2020-10-16 北京经纬恒润科技有限公司 一种安全应用的访问控制方法及***
CN115174125A (zh) * 2022-09-07 2022-10-11 北京笔新互联网科技有限公司 可信执行环境中可信真随机数的获取方法及装置
CN117235693A (zh) * 2023-11-14 2023-12-15 杭州安恒信息技术股份有限公司 一种可信执行环境的可信认证和安全通道建立方法
CN117235693B (zh) * 2023-11-14 2024-02-02 杭州安恒信息技术股份有限公司 一种可信执行环境的可信认证和安全通道建立方法

Also Published As

Publication number Publication date
CN109547451B (zh) 2021-05-25

Similar Documents

Publication Publication Date Title
CN109547451A (zh) 基于tee的可信认证服务认证的方法
CN109309565B (zh) 一种安全认证的方法及装置
US9838205B2 (en) Network authentication method for secure electronic transactions
CN105007279B (zh) 认证方法和认证***
CN103095456B (zh) 交易报文的处理方法和***
CN110162936A (zh) 一种软件内容的使用授权方法
CN109756485A (zh) 电子合同签署方法、装置、计算机设备及存储介质
CN109614802B (zh) 抗量子计算的签章方法和签章***
CN108092776A (zh) 一种身份认证服务器和身份认证令牌
CN110290102A (zh) 基于应用的业务安全***及方法
CN109560935B (zh) 基于公共非对称密钥池的抗量子计算的签章方法和签章***
CN110620763B (zh) 一种基于移动端app的移动身份认证方法及***
KR101879758B1 (ko) 사용자 단말기별 사용자 디지털 인증서 발급 방법 및 그 인증서에 의한 인증 방법
CN109144552A (zh) 一种引导固件刷新方法和装置
CN106897761A (zh) 一种二维码生成方法及装置
CN107257284A (zh) 一种用于进行虚拟卡交易的方法和装置
TWI526871B (zh) Server, user device, and user device and server interaction method
CN106790045A (zh) 一种基于云环境分布式虚拟机代理架构及数据完整性保障方法
CN109241702A (zh) 一种软件使用授权方法及客户端
CN109995776A (zh) 一种互联网数据验证方法及***
CN109508562A (zh) 基于tee的可信远程验证的方法
CN110300287A (zh) 一种公共安全视频监控联网摄像头接入认证方法
CN110380859A (zh) 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和***
WO2008053279A1 (en) Logging on a user device to a server
JP2001249901A (ja) 認証装置およびその方法、並びに、記憶媒体

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant