CN110519304A - 基于tee的https双向认证方法 - Google Patents

Abstract

本发明公开了一种基于TEE的HTTPS双向认证方法，包括：利用终端可信执行环境TEE的安全特性，将客户端的私钥信息存放在TEE环境中，在进行HTTPS认证的时候，服务器端需预置客户端证书；客户端首先认证服务器端，认证通过后，服务器端还需要认证客户端，而且对称加密的方式是要使用客户端证书进行加密，客户端TEE里使用私钥进行解密，这样可以保证双方认证完全可信，恶意软件无法从中间仿冒服务器或者是仿冒客户端。本发明可以有效的解决HTTPS通信过程中的安全性认证。

Description

基于TEE的HTTPS双向认证方法

技术领域

本发明涉及计算机软件和硬件信息安全技术领域，特别是一种基于TEE的HTTPS双向认证方法。

背景技术

目前常规的认证都是单向认证，可以保证数据传输的过程是加密的数据，但是这种方式也很容易被仿冒，有第三方恶意软件从中截取数据，向服务器仿冒客户端，向客户端仿冒服务器，可以完全拿到中间的明文数据。所以针对安全性要求比较高的业务，比如说跟金融相关的业务，就必须完全防止这样的情况。

发明内容

为解决现有技术中存在的问题，本发明的目的是提供一种基于TEE的HTTPS双向认证方法，本发明可以有效的解决HTTPS通信过程中的安全性认证。

为实现上述目的，本发明采用的技术方案是：一种基于TEE的HTTPS双向认证方法，包括以下步骤：

步骤1、将客户端私钥存储在客户端可信执行环境TEE中，将客户端证书预置到服务器端；

步骤2、客户端发送SSL版本信息请求到服务器端，服务器端接收请求，返回SSL版本和服务器证书到客户端；

步骤3、客户端接收到服务器证书，在信任库里面验证服务器证书的有效性和合法性，验证通过则将客户端证书和可支持的所有对称加密方案发给服务器端；

步骤4、服务器端验证客户端证书的有效性和合法性，并在预置库中匹配客户端证书，如果匹配通过，则服务器端选择加密程度高的对称加密方案并使用客户端证书将其加密传给客户端；

步骤5、客户端接收到数据，使用可信执行环境TEE下面存储的客户端私钥对加密数据进行解密，得到服务器端选择的对称加密方案；

步骤6、客户端产生随机数码作为对称加密方案的密钥，并使用服务器证书对对称密钥进行加密，发送给服务器端；

步骤7、服务器端接收到数据后，使用服务器端私钥对数据进行解密，得到对称加密的密钥，通过此密钥进行数据交互。

本发明的有益效果是：

本发明对服务器端和客户端的认证进行保护，能够有效的防止认证过程中私密数据被第三方应用截取；整个认证流程都放在TEE侧可信执行环境，可以保证隐私数据的安全性和保持认证过程的稳定性；本发明的HTTPS认证方式不仅限于客户端与服务器端的认证服务，也可以应用于所有的端到端的认证服务，防止任何端到端的HTTPS认证过程被其他第三方应用攻击或者是篡改，终端包括所有的移动设备。

附图说明

图1为本发明实施例的双向认证流程框图。

具体实施方式

下面结合附图对本发明的实施例进行详细说明。

实施例

如图1所示，一种基于TEE的HTTPS双向认证方法，包括以下步骤：

步骤1、将客户端私钥存储在客户端可信执行环境TEE中，将客户端证书预置到服务器端，预置方式不限；

步骤2、客户端发送SSL版本信息请求到服务器端，服务器端接收请求，返回SSL版本和服务器证书到客户端；

步骤3、客户端接收到服务器证书，在信任库里面验证服务器证书的有效性和合法性，验证通过则将客户端证书和可支持的所有对称加密方案发给服务器端；

步骤4、服务器端验证客户端证书的有效性和合法性，并在预置库中匹配客户端证书，如果匹配通过，则服务器端选择加密程度高的对称加密方案并使用客户端证书将其加密传给客户端；

步骤5、客户端接收到数据，使用可信执行环境TEE下面存储的客户端私钥对加密数据进行解密，得到服务器端选择的对称加密方案；

步骤6、客户端产生随机数码作为对称加密方案的密钥，并使用服务器证书对对称密钥进行加密，发送给服务器端；

步骤7、服务器端接收到数据后，使用服务器端私钥对数据进行解密，得到对称加密的密钥，通过此密钥进行数据交互。

到此客户端和服务器端的HTTPS双向认证都已经完成，包括客户端认证服务器端，服务器端认证客户端，认证完成后协商出密钥对称加密的密钥，服务器端在认证客户端时必须验证客户端证书的有效性，而且还必须在信任库里面匹配客户端证书，否则验证失败；客户端的私钥存放在TEE可信执行环境里面，防止密钥丢失，防止客户端被其他客户端仿冒可以完全的保证私钥的安全性。，

采用双向认证，服务器端认证客户端需匹配信任库里的证书，匹配通过后才算认证通过，保证只有通过服务器认证过的客户端才可以访问服务器；TEE可信执行环境主要用来保护客户端的私钥信息，在HTTPS双向认证的过程中，服务器需要认证客户端是否合法是否可信，认证通过才可以进行后续的对称密钥的协商。

以上所述实施例仅表达了本发明的具体实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。

Claims (1)

1.一种基于TEE的HTTPS双向认证方法，其特征在于，包括以下步骤：

步骤1、将客户端私钥存储在客户端可信执行环境TEE中，将客户端证书预置到服务器端；

步骤2、客户端发送SSL版本信息请求到服务器端，服务器端接收请求，返回SSL版本和服务器证书到客户端；

步骤3、客户端接收到服务器证书，在信任库里面验证服务器证书的有效性和合法性，验证通过则将客户端证书和可支持的所有对称加密方案发给服务器端；

步骤4、服务器端验证客户端证书的有效性和合法性，并在预置库中匹配客户端证书，如果匹配通过，则服务器端选择加密程度高的对称加密方案并使用客户端证书将其加密传给客户端；

步骤5、客户端接收到数据，使用可信执行环境TEE下面存储的客户端私钥对加密数据进行解密，得到服务器端选择的对称加密方案；

步骤6、客户端产生随机数码作为对称加密方案的密钥，并使用服务器证书对对称密钥进行加密，发送给服务器端；

步骤7、服务器端接收到数据后，使用服务器端私钥对数据进行解密，得到对称加密的密钥，通过此密钥进行数据交互。