CN113962711A - 一种数据处理方法、装置及设备 - Google Patents

一种数据处理方法、装置及设备 Download PDF

Info

Publication number
CN113962711A
CN113962711A CN202111263534.XA CN202111263534A CN113962711A CN 113962711 A CN113962711 A CN 113962711A CN 202111263534 A CN202111263534 A CN 202111263534A CN 113962711 A CN113962711 A CN 113962711A
Authority
CN
China
Prior art keywords
information
service
signature
verification
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111263534.XA
Other languages
English (en)
Inventor
朱丙营
余付平
文军
辛知
万小飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alipay Hangzhou Information Technology Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN202111263534.XA priority Critical patent/CN113962711A/zh
Publication of CN113962711A publication Critical patent/CN113962711A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/01Customer relationship services
    • G06Q30/012Providing warranty services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/08Insurance

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Finance (AREA)
  • Health & Medical Sciences (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Development Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Marketing (AREA)
  • Economics (AREA)
  • Technology Law (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本说明书实施例提供了一种数据处理方法、装置及设备,包括:向服务器发送与终端设备相关的业务的第一业务请求,并接收服务器针对第一业务请求发送的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识;从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理,得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息;将第一签名信息发送至服务器,以使服务器基于第一签名信息对终端设备的身份进行验证,并基于身份验证结果执行针对第一业务请求的业务处理。

Description

一种数据处理方法、装置及设备
技术领域
本文件涉及计算机技术领域,尤其涉及一种数据处理方法、装置及设备。
背景技术
目前,随着移动通信技术的快速发展,终端设备(如智能手机等)已成为人们日常生活中必不可少的电子消费品,随着智能手机越来越普及化,同时,智能手机的功能不断升级、优化,智能手机已经融入生活的各个方面。
当前在用户为终端设备购买了与该终端设备绑定的服务时(例如碎屏险服务),在用户需要理赔时,通常采用的方法为通过获取终端设备的设备ID号来实现对终端设备的风险评估。然而,随着用户对个人隐私数据的重视程度逐渐增强,通过上述方式获取设备ID,并对该设备的身份信息进行验证的方式受到了严格的限制,因此,需要提供一种在无法获取用户或终端设备隐私数据的前提下,能够实现对终端设备进行风险评估的技术方案。
发明内容
本说明书实施例的目的是提供一种数据处理方法及移动终端,以解决在无法获取用户或终端设备隐私数据的前提下实现对终端设备的进行风险评估的技术问题。
为了解决上述技术问题,本说明书实施例是这样实现的:
第一方面,本说明书实施例提供了一种数据处理方法,应用于终端设备,终端设备中设置有可信执行环境,上述方法包括:向服务器发送与终端设备相关的业务的第一业务请求,并接收服务器针对第一业务请求发送的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理,得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。将第一签名信息发送至服务器,以使服务器基于第一签名信息对终端设备的身份进行验证,并基于身份验证结果执行针对第一业务请求的业务处理。
第二方面,本说明书实施例提供了一种数据处理方法,应用于服务器,上述方法包括:接收终端设备发送的与终端设备相关的业务的第一业务请求。响应于第一业务请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。接收终端设备针对第一签名信息获取请求发送的第一签名信息,对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理,其中,第一签名信息是终端设备从可信执行环境中获取的与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到的,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
第三方面,本说明书实施例提供了一种数据处理方法,应用于管理服务器,上述方法包括:接收业务服务器发送的验证信息验证请求,其中,验证信息验证请求中携带有第一签名信息,第一签名信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第一业务请求后,向终端设备发送针对第一业务请求的第一签名信息获取请求,以使终端设备在接收到第一签名信息获取请求的情况下,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器,以使业务服务器基于验证结果执行针对第一业务请求的业务处理。
第四方面,本说明书实施例提供了一种数据处理***,包括:终端设备和服务器,上述终端设备中设置有可信执行环境。终端设备,向服务器发送与终端设备相关的业务的第一业务请求。上述服务器,接收第一业务请求,响应于第一业务请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。上述终端设备,接收第一签名信息获取请求,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理,得到第一签名信息,将第一签名信息发送至服务器,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。上述服务器,接收第一签名信息,对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理。
第五方面,本说明书实施例提供了一种数据处理***,包括:终端设备、业务服务器和管理服务器,终端设备中设置有可信执行环境。上述终端设备,向业务服务器发送与终端设备相关的业务的第一业务请求。上述业务服务器,接收第一业务请求,响应于第一业务请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。上述终端设备,接收第一签名信息获取请求,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理,得到第一签名信息,将第一签名信息发送至业务服务器,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。上述业务服务器,接收第一签名信息,向管理服务器发送验证信息验证请求,其中,上述验证信息验证请求中携带有第一签名信息。上述管理服务器,接收验证信息验证请求,对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器。上述业务服务器,接收验证结果,并基于验证结果执行针对第一业务请求的业务处理。
第六方面,本说明书实施例提供了一种数据处理方法,应用于区块链***,上述方法包括:接收终端设备发送的与终端设备相关的业务的第一业务请求。响应于第一业务请求,基于预先部署于区块链***中的第一智能合约生成第一签名信息获取请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。基于第一智能合约接收终端设备针对第一签名信息获取请求发送的第一签名信息,基于第一智能合约对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理,其中,第一签名信息是终端设备从可信执行环境中获取的与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到的,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
第七方面,本说明书实施例提供了一种数据处理方法,应用于区块链***,上述方法包括:接收业务服务器发送的验证信息验证请求,其中,验证信息验证请求中携带有第一签名信息,第一签名信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第一业务请求后,向终端设备发送针对第一业务请求的第一签名信息获取请求,以使终端设备在接收到第一签名信息获取请求的情况下,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。基于预先部署于区块链***中的第一智能合约对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器,以使业务服务器基于验证结果执行针对第一业务请求的业务处理。
第八方面,本说明书实施例提供了一种数据处理装置,上述装置中设置有可信执行环境,上述装置包括:第一处理模块,向服务器发送与终端设备相关的业务的第一业务请求,并接收服务器针对第一业务请求发送的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。第二处理模块,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理,得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。第一发送模块,将第一签名信息发送至服务器,以使服务器基于第一签名信息对终端设备的身份进行验证,并基于身份验证结果执行针对第一业务请求的业务处理。
第九方面,本说明书实施例提供了一种数据处理装置,上述装置包括:第一接收模块,接收终端设备发送的与终端设备相关的业务的第一业务请求。第一响应模块,响应于第一业务请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。第五处理模块,接收终端设备针对第一签名信息获取请求发送的第一签名信息,对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理,其中,第一签名信息是终端设备从可信执行环境中获取的与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到的,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
第十方面,本说明书实施例提供了一种数据处理装置,上述装置包括:第三接收模块,接收业务服务器发送的验证信息验证请求,其中,验证信息验证请求中携带有第一签名信息,第一签名信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第一业务请求后,向终端设备发送针对第一业务请求的第一签名信息获取请求,以使终端设备在接收到第一签名信息获取请求的情况下,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。第一验证模块,对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器,以使业务服务器基于验证结果执行针对第一业务请求的业务处理。
第十一方面,本说明书实施例提供了一种数据处理装置,上述装置为区块链***中的装置,上述装置包括:第五接收模块,接收终端设备发送的与终端设备相关的业务的第一业务请求。第三响应模块,响应于第一业务请求,基于预先部署于区块链***中的第一智能合约生成第一签名信息获取请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。第七处理模块,基于第一智能合约接收终端设备针对第一签名信息获取请求发送的第一签名信息,基于第一智能合约对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理,其中,第一签名信息是终端设备从可信执行环境中获取的与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到的,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
第十二方面,本说明书实施例提供了一种数据处理装置,上述装置为区块链***中的装置,上述装置包括:第七接收模块,接收业务服务器发送的验证信息验证请求,其中,验证信息验证请求中携带有第一签名信息,第一签名信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第一业务请求后,向终端设备发送针对第一业务请求的第一签名信息获取请求,以使终端设备在接收到第一签名信息获取请求的情况下,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。第三验证模块,基于预先部署于区块链***中的第一智能合约对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器,以使业务服务器基于验证结果执行针对第一业务请求的业务处理。
第十三方面,本说明书实施例提供了一种数据处理设备,上述设备中设置有可信执行环境,上述设备包括:处理器;以及被安排成存储计算机可执行指令的存储器,可执行指令在被执行时使处理器:向服务器发送与终端设备相关的业务的第一业务请求,并接收服务器针对第一业务请求发送的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理,得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。将第一签名信息发送至服务器,以使服务器基于第一签名信息对终端设备的身份进行验证,并基于身份验证结果执行针对第一业务请求的业务处理。
第十四方面,本说明书实施例提供了一种数据处理设备,上述设备包括:处理器;以及被安排成存储计算机可执行指令的存储器,可执行指令在被执行时使处理器:接收终端设备发送的与终端设备相关的业务的第一业务请求。响应于第一业务请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。接收终端设备针对第一签名信息获取请求发送的第一签名信息,对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理,其中,第一签名信息是终端设备从可信执行环境中获取的与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到的,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
第十五方面,本说明书实施例提供了一种数据处理设备,上述设备包括:处理器;以及被安排成存储计算机可执行指令的存储器,可执行指令在被执行时使处理器:接收业务服务器发送的验证信息验证请求,其中,验证信息验证请求中携带有第一签名信息,第一签名信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第一业务请求后,向终端设备发送针对第一业务请求的第一签名信息获取请求,以使终端设备在接收到第一签名信息获取请求的情况下,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器,以使业务服务器基于验证结果执行针对第一业务请求的业务处理。
第十六方面,本说明书实施例提供了一种数据处理设备,上述设备为区块链***中的设备,上述设备包括:处理器;以及被安排成存储计算机可执行指令的存储器,上述可执行指令在被执行时使处理器:接收终端设备发送的与终端设备相关的业务的第一业务请求。响应于第一业务请求,基于预先部署于区块链***中的第一智能合约生成第一签名信息获取请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。基于第一智能合约接收终端设备针对第一签名信息获取请求发送的第一签名信息,基于第一智能合约对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理,其中,第一签名信息是终端设备从可信执行环境中获取的与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到的,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
第十七方面,本说明书实施例提供了一种数据处理设备,上述设备为区块链***中的设备,上述设备包括:处理器;以及被安排成存储计算机可执行指令的存储器,可执行指令在被执行时使处理器:接收业务服务器发送的验证信息验证请求,其中,验证信息验证请求中携带有第一签名信息,第一签名信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第一业务请求后,向终端设备发送针对第一业务请求的第一签名信息获取请求,以使终端设备在接收到第一签名信息获取请求的情况下,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。基于预先部署于区块链***中的第一智能合约对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器,以使业务服务器基于验证结果执行针对第一业务请求的业务处理。
第十八方面,本说明书实施例提供了一种存储介质,存储介质用于存储计算机可执行指令,可执行指令在被执行时实现以下流程:向服务器发送与终端设备相关的业务的第一业务请求,并接收服务器针对第一业务请求发送的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理,得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。将第一签名信息发送至服务器,以使服务器基于第一签名信息对终端设备的身份进行验证,并基于身份验证结果执行针对第一业务请求的业务处理。
第十九方面,本说明书实施例提供了一种存储介质,存储介质用于存储计算机可执行指令,可执行指令在被执行时实现以下流程:接收终端设备发送的与终端设备相关的业务的第一业务请求。响应于第一业务请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。接收终端设备针对第一签名信息获取请求发送的第一签名信息,对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理,其中,第一签名信息是终端设备从可信执行环境中获取的与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到的,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
第二十方面,本说明书实施例提供了一种存储介质,存储介质用于存储计算机可执行指令,可执行指令在被执行时实现以下流程:接收业务服务器发送的验证信息验证请求,其中,验证信息验证请求中携带有第一签名信息,第一签名信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第一业务请求后,向终端设备发送针对第一业务请求的第一签名信息获取请求,以使终端设备在接收到第一签名信息获取请求的情况下,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器,以使业务服务器基于验证结果执行针对第一业务请求的业务处理。
第二十一方面,本说明书实施例提供了一种存储介质,存储介质用于存储计算机可执行指令,可执行指令在被执行时实现以下流程:接收终端设备发送的与终端设备相关的业务的第一业务请求。响应于第一业务请求,基于预先部署于区块链***中的第一智能合约生成第一签名信息获取请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。基于第一智能合约接收终端设备针对第一签名信息获取请求发送的第一签名信息,基于第一智能合约对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理,其中,第一签名信息是终端设备从可信执行环境中获取的与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到的,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
第二十二方面,本说明书实施例提供了一种存储介质,存储介质用于存储计算机可执行指令,可执行指令在被执行时实现以下流程:接收业务服务器发送的验证信息验证请求,其中,验证信息验证请求中携带有第一签名信息,第一签名信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第一业务请求后,向终端设备发送针对第一业务请求的第一签名信息获取请求,以使终端设备在接收到第一签名信息获取请求的情况下,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。基于预先部署于区块链***中的第一智能合约对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器,以使业务服务器基于验证结果执行针对第一业务请求的业务处理。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书实施例提供的数据处理***的第一种结构示意图;
图2A为本说明书实施例提供的数据处理方法的第一种流程示意图;
图2B为本说明书实施例提供的数据处理过程的第一种示意图;
图3为本说明书实施例提供的数据处理过程的第二种示意图;
图4为本说明书实施例提供的数据处理过程的第三种示意图;
图5A为本说明书实施例提供的数据处理方法的第二种流程示意图;
图5B为本说明书实施例提供的数据处理过程的第四种示意图;
图6为本说明书实施例提供的数据处理***的第二种结构示意图;
图7A为本说明书实施例提供的数据处理方法的第三种流程示意图;
图7B为本说明书实施例提供的数据处理过程的第五种示意图;
图8A为本说明书实施例提供的数据处理方法的第四种流程示意图;
图8B为本说明书实施例提供的数据处理过程的第六种示意图;
图9A为本说明书实施例提供的数据处理方法的第五种流程示意图;
图9B为本说明书实施例提供的数据处理过程的第七种示意图;
图10为本说明书实施例提供的数据处理装置的第一种模块组成示意图;
图11为本说明书实施例提供的数据处理装置的第二种模块组成示意图;
图12为本说明书实施例提供的数据处理装置的第三种模块组成示意图;
图13为本说明书实施例提供的数据处理装置的第四种模块组成示意图;
图14为本说明书实施例提供的数据处理装置的第五种模块组成示意图;
图15为本说明书实施例提供的数据处理设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
目前,随着移动通信技术的快速发展,终端设备(如智能手机等)已成为人们日常生活中必不可少的电子消费品,随着智能手机越来越普及化,同时,智能手机的功能不断升级、优化,智能手机已经融入生活的各个方面。当前在用户为终端设备购买了与该终端设备绑定的服务时(例如碎屏险服务),在用户需要理赔时,通常采用的方法为通过获取终端设备的设备ID号,这样,当业务端基于获取到当前申请理赔服务的终端设备的设备ID号时,在确定出用户购买碎屏险服务时所对应的设备ID号,与当前申请理赔服务时所对应的设备ID号相同的情况下,即可实现对终端设备的风险评估。然而,随着用户对个人隐私数据的重视程度逐渐增强,以及伴随着数据安全法的颁布,通过上述方式获取设备ID,并对该设备的身份信息进行验证的方式受到了严格的限制。
基于此,本说明书实施例提供一种数据处理方法、装置及设备,在本说明书公开的实施例中,通过在用户在发生与终端设备相关的业务时(如购买碎屏险服务时),通过服务器与终端设备的交互操作,在用户完成付款操作后,业务服务器生成验证信息,并对该验证信息进行签名得到第二签名信息,之后,将该第二签名信息发送至终端设备,终端设备可以通过可信执行环境中的可信应用对上述第二签名信息进行验证,在验证通过的情况下,将上述验证信息存储在终端设备的可信执行环境中,其中,上述验证信息可以是服务器与终端设备发生业务行为后,与该业务对应的验证信息,上述验证信息能够验证终端设备的身份且不包含隐私信息的信息。作为示例,该验证信息可以为业务状态信息,以上述业务为碎屏险业务为例,该状态信息可以为已购买状态信息等,该状态信息用于将该业务与该终端设备进行绑定。这样,在服务器接收到终端设备发送的第一业务请求时(如申请碎屏险理赔服务时),服务器可以向该终端设备发送第一签名信息获取请求,该第一签名信息中携带有业务标识,终端设备在接收到上述第一签名信息获取请求时可以从可信执行环境中获取与该业务标识对应的验证信息,并通过上述可信执行环境中的可信应用对该验证信息进行签名处理,得到第一签名信息,并将该第一签名信息发送至服务器,这样,服务器可以基于上述第一签名信息对终端设备的身份进行验证,并基于身份验证结果执行针对第一业务请求的业务处理。
如图1所示,图1为本说明书实施例提供的数据处理***的第一种结构示意图,包括:终端设备和服务器,上述终端设备设置有可信执行环境。在上述数据处理***中,上述终端设备与上述服务器之间的交互过程可以参见以下处理方式:
上述终端设备,向服务器发送与终端设备相关的业务的第一业务请求。上述服务器,接收第一业务请求,响应于第一业务请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。上述终端设备,接收第一签名信息获取请求,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理,得到第一签名信息,将第一签名信息发送至服务器,上述验证信息是能够验证终端设备的身份且不包含隐私信息的信息。上述服务器,接收第一签名信息,对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理。
通过上述方式,服务器通过对接收到的上述第一签名信息进行验证,从而实现了对终端设备进行风险评估。由于上述对终端设备进行风险评估的过程无需获取用户或终端设备的隐私信息(如设备ID),从而实现了即使在无法获取用户或终端设备隐私数据的情况下,也能够对终端设备进行风险评估,进而提高了对终端设备进行风险评估的有效性。
上述可信执行环境是终端设备CPU上的一块区域,这块区域的作用是给数据和代码的执行提供一个更安全的空间,并保证它们的机密性和完整性。该可执行环境提供一个隔离的执行环境,提供的安全特征可以包括:隔离执行、可信应用的完整性、可信数据的机密性以及安全存储等。TEE是与设备上的Rich OS并存的运行环境,并且给Rich OS提供安全服务。TEE具有其自身的执行空间,比Rich OS的安全级别更高,TEE能够满足大多数应用的安全需求。TEE提供了授权安全软件(可信应用,TA)的安全执行环境,同时也保护TA的资源和数据的保密性,完整性和访问权限。为了保证TEE本身的可信根,TEE在安全启动过程中是要通过验证并且与Rich OS隔离的。在TEE中,每个TA是相互独立的,而且在未授权的情况下不能互相访问。
另外,TEE可信执行环境还可以用于提供内容保护机制(Premium contentprotection),如使用TEE加密保护和传送,只有拥有特定密钥的TEE环境才能解密使用这些内容。为了与用户进行友好的交互,TEE还可以提供可信GUI用户接口,供用户验证TEE环境。此外,TEE可信执行环境还可以用于提供认证,具体的:TEE本身可以作为一个ID,如面部识别、指纹传感器和声音授权等。
对应上述实施例提供的数据处理***,基于相同的技术构思,本说明书实施例还提供了一种数据处理方法,图2A为本说明书实施例提供的数据处理方法的第一种流程示意图,图2B为本说明书实施例提供的数据处理方法的处理过程的第一种示意图,该方法的执行主体可以为终端设备,其中,该终端设备可以如个人计算机等设备,也可以如手机、平板电脑等移动终端设备,该终端设备可以为用户使用的终端设备。该终端设备中可以设置有可信执行环境,该方法具体可以包括以下步骤:
在步骤S102中,向服务器发送与终端设备相关的业务的第一业务请求,并接收服务器针对第一业务请求发送的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。
作为示例,上述业务可以是需要与终端设备绑定的业务,如终端设备绑定的碎屏险服务、与终端设备绑定的视频订阅服务等,本说明书实施例对上述业务的具体内容不作具体限定。以上述业务为碎屏险业务为例,上述第一业务请求可以为理赔请求,以上述业务为视频订阅业务为例,上述第一业务请求可以为播放请求等。
在一种可选的实现方式中,以上述业务为碎屏险业务为例,当用户需要申请碎屏险服务时,可以通过安装在终端设备中的某应用程序向服务器发送上述第一业务请求,这样,服务器在接收到终端设备发送的第一业务请求的情况下,可以向该终端设备发送第一签名信息获取请求。
在步骤S104中,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理,得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
作为示例,上述验证信息可以为是服务器与终端设备发生业务行为后,生成的与该业务标识对应的验证信息,上述验证信息能够验证终端设备的身份且不包含隐私信息的信息。作为示例,该隐私信息可以为设备隐私(如设备ID号),或者,也可以包括用户隐私(如身份信息)等。该验证信息可以为业务状态信息,以上述业务为碎屏险业务为例,该状态信息可以为已购买状态信息等,该状态信息用于将该业务与该终端设备进行绑定,具体的,该状态信息的表现形式可以多种多样,例如,可以用字母和数字组合的方式,如A1来标识该业务为碎屏险业务,且该业务状态为已购买状态等,A2标识该业务为碎屏险业务,且该业务状态为已失效状态等,或者,还可以大写字母和小写字母组合的方式,如Aa标识来标识该业务为碎屏险业务,且该业务状态为已购买状态等,Ab标识该业务为碎屏险业务,且该业务状态为已失效状态等,本说明书实施例对上述状态信息的具体表现形式不作具体限定。
需要说明书的是,上述验证信息是用户在发送上述第一业务请求之前,在需要购买上述业务(如碎屏险服务)的情况下,通过终端设备与上述服务器之间的交互操作,在服务器接收到用户针对该碎屏险服务的付款后生成的。为了能够将用户本次购买的该服务与该终端设备进行安全绑定,服务器在生成验证信息后,对该验证信息发送至终端设备,终端设备可以将上述验证信息存储在终端设备的可信执行环境中。上述验证信息存储在终端设备的可信执行环境中,基于可执行环境的安全存储,可以有效防止上述验证信息被恶意窃取、篡改、仿冒等,有效提高了对终端设备风险防控的有效性。此外,经上述验证信息存储在上述可执行环境中还可以起到对该验证信息进行持久化存储的作用,这样即便终端设备发生格式化,依然不会导致验证信息的丢失,进一步提高了对终端设备风险防控的有效性。
在一种可选的实现方式中,终端设备通过上述步骤S102的处理接收到服务器发送的第一签名信息获取请求之后,可以通过可信执行环境中的可信应用获取与上述业务标识对应的验证信息,然后,通过上述可信执行环境中的可信应用采用私钥对上述验证信息进行签名处理,从而得到第一签名信息。
在步骤S106中,将第一签名信息发送至服务器,以使服务器基于第一签名信息对终端设备的身份进行验证,并基于身份验证结果执行针对第一业务请求的业务处理。
在一种可选的实现方式中,在上述终端设备经过上述步骤S104的处理得到第一签名信息之后,可以将上述第一签名信息发送至服务器,以使服务器基于第一签名信息可以采用预置公钥对终端设备的身份进行验证,并基于身份验证结果执行针对上述第一业务请求的业务处理。
进一步的,如图3所示,上述方法还可以包括下述步骤S108-步骤S110的处理过程,具体可以参见下述步骤S108-步骤S110的具体处理过程。
在步骤S108中,向服务器发送与终端设备相关的业务的第二业务请求,并接收服务器针对第二业务请求发送的验证信息处理请求,其中,验证信息处理请求中携带有第二签名信息,第二签名信息是服务器基于生成的验证信息进行签名处理后得到的,验证信息是服务器基于第二业务请求生成的能够验证终端设备的身份的信息。
作为示例,上述第二业务请求可以为需要与终端设备绑定的订阅请求、或购买请求等,以上述业务为碎屏险业务为例,上述第二业务请求可以为购买请求等。上述验证信息处理请求可以包括:验证信息存储请求或验证信息更新请求或验证信息删除请求等,本说明书实施例对上述第二业务请求的具体内容,以及验证信息处理请求的具体内容不作具体限定。
在一种可选的实现方式中,以上述业务为购买碎屏险业务为例,在用户需要购买上述服务(如碎屏险服务)的情况下,可以通过终端设备向服务器发送第二业务请求,这样,服务器在接收到上述第二业务请求的情况下,可以与上述终端设备进行交互操作,在服务器接收到用户针对该碎屏险服务的付款后可以生成验证信息,并对该验证信息进行签名得到第二签名信息,然后,服务器可以向终端设备发送验证信息处理请求,其中,该验证信息处理请求中可以携带有上述第二签名信息,这样,终端设备可以接收到上述验证信息处理请求。
在步骤S110中,通过可信执行环境中的可信应用对第二签名信息的签名进行验证,以验证服务器的身份,并基于身份验证结果执行针对验证信息的处理操作。
作为示例,上述处理操作可以包括验证信息的存储操作或验证信息的更新操作或验证信息的删除操作等,本说明书实施例对上述处理操作的具体内容不作具体限定。
在一种可选的实现方式中,终端设备还可以包括设置在REE环境中的管理模块,以上述处理操作为存储操作为例,终端设备通过上述步骤S108的处理接收到验证信息处理请求后,可以将上述验证信息处理请求发送至可信执行环境中的可信应用,通过该可信应用对上述第二签名信息的签名进行验证,以验证服务器的身份,并在对上述服务器的身份验证通过的情况下,将获取的验证信息存储在可信执行环境中。
进一步的,为了进一步提高上述终端设备与服务器之间进行交互的安全性,防止恶意SDK的恶意干扰,如图4所示,在上述步骤S102之后,上述方法还可以包括对服务器的身份进行验证的处理过程,具体可以参见下述步骤S112的具体处理过程。
在步骤S112中,对服务器的访问权限进行验证,并在确认服务器通过访问权限验证的情况下,将第一签名信息获取请求中所携带的业务标识发送至可信执行环境。
在一种可选的实现方式中,终端设备通过上述步骤S102的处理接收到服务器针对上述第一业务请求发送的第一签名信息获取请求的情况下,可以通过终端设备中的上述管理模块对上述服务器的访问权限进行验证,并在确认服务器通过访问权限验证的情况下,将第一签名信息获取请求中所携带的业务标识发送至可信执行环境。
进一步的,为了进一步提高终端设备与服务器之间的交互操作的安全性,上述方法还可以包括下述步骤A2的处理过程,具体可以参见下述步骤A2的具体处理过程。
在步骤A2中,建立可信执行环境与服务器之间的安全通道。
作为示例,上述安全通道可以为上述终端设备与上述服务器之间进行数据传输的数据通路,或者,上述安全通道也可以是交互双方使用指定的通道协议进行数据交互的交互途径,例如上述服务器与终端设备通过预定安全通道协议SCP02或SCP03等进行数据交互所对应的交互途径。
在一种可选的实现方式中,终端设备通过上述步骤S104的处理得到第一签名信息后,或者,也可以是终端设备在对服务器的身份验证通过后,可以通过终端设备中的上述管理模块分别向服务器和可信执行环境发送身份标识信息获取请求,基于获取的服务器的身份标识信息和可信执行环境的身份标识信息,建立可信执行环境与服务器之间的安全通道。
相应的,上述步骤S106的处理方法可以多种多样,以下再提供一种可选的处理方法,具体可以参见下述步骤B2的具体处理过程。
在步骤B2中,将第一签名信息通过安全通道发送至服务器。
由以上本说明书实施例提供的技术方案可见,本说明书实施例通过向服务器发送与终端设备相关的业务的第一业务请求,并接收服务器针对第一业务请求发送的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理,得到第一签名信息,然后,将第一签名信息发送至服务器,以使服务器基于第一签名信息对终端设备的身份进行验证,并基于身份验证结果执行针对第一业务请求的业务处理的方法。由于上述第一签名信息中所包含的验证信息为能够验证终端设备的身份且不包含隐私信息的信息,这样,当服务器接收到终端设备发送的第一业务请求时,接着向终端设备发送第一签名信息获取请求,通过终端设备在接收到上述第一签名信息获取请求的情况下,将预先存储在可信执行环境中的验证信息进行签名得到第一签名信息,并将上述第一签名信息发送给服务器,这样,服务器就可以通过对接收到的上述第一签名信息进行验证,从而实现了对终端设备进行风险评估。由于上述对终端设备进行风险评估的过程无需获取用户或终端设备的隐私信息(如设备ID),从而实现了即使在无法获取用户或终端设备隐私数据的情况下,也能够对终端设备进行风险评估,进而提高了对终端设备进行风险评估的有效性。
对应上述实施例提供的数据处理方法,基于相同的技术构思,本说明书实施例又提供了一种数据处理方法,图5A为本说明书实施例提供的数据处理方法的第二种流程示意图,图5B为本说明书实施例提供的数据处理方法的处理过程的第四种示意图,该数据处理方法的执行主体可以为服务器,该方法具体可以包括以下步骤:
在步骤S202中,接收终端设备发送的与终端设备相关的业务的第一业务请求。
上述步骤S202的具体处理过程,可以参见前述步骤S102的具体处理过程。
在步骤S204中,响应于第一业务请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。
上述步骤S204的具体处理过程,可以参见前述步骤S102的具体处理过程。
在步骤S206中,接收终端设备针对第一签名信息获取请求发送的第一签名信息,对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理,其中,第一签名信息是终端设备从可信执行环境中获取的与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到的,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
在一种可选的实现方式中,以上述第一业务请求为碎屏险理赔请求为例,当服务器通过上述步骤S204的处理接收到终端设备发送的第一签名信息后,可以对该第一签名信息的签名进行验证,并在签名验证通过的情况下,可以执行针对该碎屏险理赔的业务处理。
进一步的,上述方法还可以包括下述步骤C2-步骤C8的处理过程,具体可以下述步骤C2-步骤C8的具体处理过程。
在步骤C2中,接收终端设备发送的与终端设备相关的业务的第二业务请求,第二业务请求中携带有业务标识。
上述步骤C2的具体处理过程,可以参见前述步骤S108的具体处理过程。
在步骤C4中,响应于第二业务请求,执行针对第二业务请求的业务处理,并生成验证信息。
上述步骤C4的具体处理过程,可以参见前述步骤S108的具体处理过程。
在步骤C6中,对验证信息进行签名处理,得到第二签名信息。
上述步骤C6的具体处理过程,可以参见前述步骤S108的具体处理过程。
在步骤C8中,向终端设备发送携带有第二签名信息的验证信息处理请求,以使终端设备通过可信执行环境中的可信应用对第二签名信息的签名进行验证,以验证服务器的身份,并基于身份验证结果执行针对验证信息的处理操作。
上述步骤C8的具体处理过程,可以参见前述步骤S108的具体处理过程。
由以上本说明书实施例提供的技术方案可见,本说明书实施例通过接收终端设备发送的与终端设备相关的业务的第一业务请求,响应于第一业务请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识;接收终端设备针对第一签名信息获取请求发送的第一签名信息,对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理。由于上述第一签名信息中所包含的验证信息为能够验证终端设备的身份且不包含隐私信息的信息,这样,当服务器接收到终端设备发送的第一业务请求时,接着向终端设备发送第一签名信息获取请求,通过终端设备在接收到上述第一签名信息获取请求的情况下,将预先存储在可信执行环境中的验证信息进行签名得到第一签名信息,并将上述第一签名信息发送给服务器,这样,服务器就可以通过对接收到的上述第一签名信息进行验证,从而实现了对终端设备进行风险评估。由于上述对终端设备进行风险评估的过程无需获取用户或终端设备的隐私信息(如设备ID),从而实现了即使在无法获取用户或终端设备隐私数据的情况下,也能够对终端设备进行风险评估,进而提高了对终端设备进行风险评估的有效性。
如图6所示,图6为本说明书实施例提供的数据处理***的第二种结构示意图,包括:终端设备、业务服务器和管理服务器,上述终端设备设置有可信执行环境。
上述终端设备,向业务服务器发送与终端设备相关的业务的第一业务请求。
上述业务服务器,接收第一业务请求,响应于第一业务请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。
上述终端设备,接收第一签名信息获取请求,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理,得到第一签名信息,将第一签名信息发送至业务服务器,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
上述业务服务器,接收第一签名信息,向管理服务器发送验证信息验证请求,其中,验证信息验证请求中携带有第一签名信息。
上述管理服务器,接收验证信息验证请求,对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器。
上述业务服务器,接收验证结果,并基于验证结果执行针对第一业务请求的业务处理。
由以上本说明书实施例提供的技术方案可见,由于上述第一签名信息中所包含的验证信息为能够验证终端设备的身份且不包含隐私信息的信息,这样,当管理服务器接收到业务服务器发送的验证信息获取请求后,就可以通过对接收到的上述第一签名信息进行验证,从而实现了对终端设备进行风险评估。由于上述对终端设备进行风险评估的过程无需获取用户或终端设备的隐私信息(如设备ID),从而实现了即使在无法获取用户或终端设备隐私数据的情况下,也能够对终端设备进行风险评估,进而提高了对终端设备进行风险评估的有效性。
对应上述实施例提供的数据处理方法,基于相同的技术构思,本说明书实施例提供了一种数据处理方法,图7A为本说明书实施例提供的数据处理方法的第三种流程示意图,图7B为本说明书实施例提供的数据处理方法的处理过程的第五种示意图,该数据处理方法的执行主体可以为管理服务器,该管理服务器可以用于对信息签名或验证,该方法具体可以包括以下步骤:
在步骤S302中,接收业务服务器发送的验证信息验证请求,其中,验证信息验证请求中携带有第一签名信息,第一签名信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第一业务请求后,向终端设备发送针对第一业务请求的第一签名信息获取请求,以使终端设备在接收到第一签名信息获取请求的情况下,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
在步骤S304中,对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器,以使业务服务器基于验证结果执行针对第一业务请求的业务处理。
进一步的,上述方法还可以包括下述步骤D2-步骤D4的处理过程,具体可以参见下述步骤D2-步骤D4的具体处理过程。
在步骤D2中,接收业务服务器发送的验证信息签名请求,验证信息签名请求中携带有验证信息,验证信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第二业务请求,并执行成针对第二业务请求的业务处理的情况下生成的。
在步骤D4中,对验证信息进行签名处理得到第二签名信息,并将第二签名信息发送至业务服务器,以使业务服务器将第二签名信息发送至终端设备,通过终端设备的可信执行环境中的可信应用对第二签名信息的签名进行验证,以验证管理服务器的身份,并基于身份验证结果执行针对验证信息的处理操作。
进一步的,在上述步骤S302之后,上述方法还可以包括下述步骤E2的具体处理过程。
在步骤E2中,对业务服务器的访问权限进行验证。
相应的,上述步骤S304的处理方法可以多种多样,以下再提供一种可选的处理方法,具体可以参见下述步骤F2的具体处理过程。
在步骤F2中,在业务服务器通过访问权限验证的情况下,对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果。
由以上本说明书实施例提供的技术方案可见,由于上述第一签名信息中所包含的验证信息为能够验证终端设备的身份且不包含隐私信息的信息,这样,当管理服务器接收到业务服务器发送的验证信息获取请求后,就可以通过对接收到的上述第一签名信息进行验证,从而实现了对终端设备进行风险评估。由于上述对终端设备进行风险评估的过程无需获取用户或终端设备的隐私信息(如设备ID),从而实现了即使在无法获取用户或终端设备隐私数据的情况下,也能够对终端设备进行风险评估,进而提高了对终端设备进行风险评估的有效性。
对应上述实施例提供的数据处理方法,基于相同的技术构思,本说明书实施例又提供了一种数据处理方法,图8A为本说明书实施例提供的数据处理方法的第四种流程示意图,图8B为本说明书实施例提供的数据处理过程的第六种示意图,该数据处理方法的执行主体可以为服务器,其中,该服务器可以是独立的一个服务器,也可以是由多个服务器组成的服务器集群,而且,该服务器可以基于预先部署于区块链***中的第一智能合约生成第一签名信息获取请求。该方法具体可以包括以下步骤:
在步骤S402中,接收终端设备发送的与终端设备相关的业务的第一业务请求。
上述步骤S402的具体处理过程,可以参见前述步骤S102的具体处理过程。
在步骤S404中,响应于第一业务请求,基于预先部署于区块链***中的第一智能合约生成第一签名信息获取请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识。
在一种可选的实现方式中,第一智能合约中可以设置有生成针对第一业务请求的第一签名信息获取请求的规则,在区块链***接收到第一业务请求后,区块链***可以调用第一智能合约,通过第一智能合约中设置的上述规则生成第一签名信息获取请求,同时,还可以基于第一智能合约将生成的第一签名信息获取请求提供给终端设备,上述步骤S102的其它具体处理过程可以参见前述步骤S102的处理过程。
在步骤S406中,基于第一智能合约接收终端设备针对第一签名信息获取请求发送的第一签名信息,基于第一智能合约对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理,其中,第一签名信息是终端设备从可信执行环境中获取的与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到的,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
在一种可选的实现方式中,第一智能合约中可以设置有针对获取的第一签名信息进行验证的规则,在区块链***接收到第一签名信息后,区块链***可以调用第一智能合约,通过第一智能合约中设置的上述规则对上述第一签名信息进行验证,同时,还可以基于验证结果执行针对第一业务请求的业务处理,上述步骤S406的其它具体处理过程可以参见前述步骤S206的处理过程。
进一步的,上述方法还可以包括下述步骤H2-步骤H8的处理过程,具体可以参见下述步骤H2-步骤H8的具体处理过程。
在步骤H2中,接收终端设备发送的与终端设备相关的业务的第二业务请求,第二业务请求中携带有业务标识。
上述步骤H2的具体处理过程,可以参见前述步骤S108的具体处理过程。
在步骤H4中,响应于第二业务请求,基于预先部署于区块链***中的第二智能合约执行针对第二业务请求的业务处理,并生成验证信息。
在一种可选的实现方式中,第二智能合约中可以设置有生成验证信息的规则,在区块链***接收到第二业务请求后,区块链***可以调用第二智能合约,通过第二智能合约中设置的上述规则生成验证信息,上述步骤H4的其它具体处理过程可以参见前述步骤S108的处理过程。
在步骤H6中,基于第二智能合约对验证信息进行签名处理,得到第二签名信息。
在一种可选的实现方式中,第二智能合约中可以设置有对验证信息进行签名处理的规则,在区块链***基于上述步骤H4的处理生成验证信息之后,区块链***可以调用第二智能合约,通过第二智能合约中设置的上述规则对上述验证信息进行签名处理,上述步骤H6的其它具体处理过程可以参见前述步骤S108的处理过程。
在步骤H8中,基于第二智能合约向终端设备发送携带有第二签名信息的验证信息处理请求,以使终端设备通过可信执行环境中的可信应用对第二签名信息的签名进行验证,以验证服务器的身份,并基于身份验证结果执行针对验证信息的处理操作。
在一种可选的实现方式中,第二智能合约中可以设置有发送携带有第二签名信息的验证信息处理请求的规则,在区块链***基于上述步骤H6的处理得到第二签名信息之后,区块链***可以调用第二智能合约,通过第二智能合约中设置的上述规则向终端设备发送携带有第二签名信息的验证信息处理请求,上述步骤H8的其它具体处理过程可以参见前述步骤S108的处理过程。
由以上本说明书实施例提供的技术方案可见,由于上述第一签名信息中所包含的验证信息为能够验证终端设备的身份且不包含隐私信息的信息,这样,当服务器接收到终端设备发送的第一业务请求时,接着向终端设备发送第一签名信息获取请求,通过终端设备在接收到上述第一签名信息获取请求的情况下,将预先存储在可信执行环境中的验证信息进行签名得到第一签名信息,并将上述第一签名信息发送给服务器,这样,服务器就可以通过对接收到的上述第一签名信息进行验证,从而实现了对终端设备进行风险评估。由于上述对终端设备进行风险评估的过程无需获取用户或终端设备的隐私信息(如设备ID),从而实现了即使在无法获取用户或终端设备隐私数据的情况下,也能够对终端设备进行风险评估,进而提高了对终端设备进行风险评估的有效性。
对应上述实施例提供的数据处理方法,基于相同的技术构思,本说明书实施例又提供了一种数据处理方法,图9A为本说明书实施例提供的数据处理方法的第五种流程示意图,图9B为本说明书实施例提供的数据处理过程的第七种示意图,该数据处理方法的执行主体可以为服务器,其中,该服务器可以是独立的一个服务器,也可以是由多个服务器组成的服务器集群,而且,该服务器可以基于预先部署于区块链***中的第一智能合约生成第一签名信息获取请求。该方法具体可以包括以下步骤:
在步骤S502中,接收业务服务器发送的验证信息验证请求,其中,验证信息验证请求中携带有第一签名信息,第一签名信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第一业务请求后,向终端设备发送针对第一业务请求的第一签名信息获取请求,以使终端设备在接收到第一签名信息获取请求的情况下,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
在步骤S504中,基于预先部署于区块链***中的第一智能合约对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器,以使业务服务器基于验证结果执行针对第一业务请求的业务处理。
进一步的,上述方法还可以包括下述步骤K2-步骤K4的处理过程,具体可以参见下述步骤K2-步骤K4的具体处理过程。/
在步骤K2中,接收业务服务器发送的验证信息签名请求,验证信息签名请求中携带有验证信息,验证信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第二业务请求,并执行成针对第二业务请求的业务处理的情况下生成的。
在步骤K4中,基于预先部署于区块链***中的第二智能合约对验证信息进行签名处理得到第二签名信息,并将第二签名信息发送至业务服务器,以使业务服务器将第二签名信息发送至终端设备,通过终端设备的可信执行环境中的可信应用对第二签名信息的签名进行验证,以验证管理服务器的身份,并基于身份验证结果执行针对验证信息的处理操作。
进一步的,在上述步骤S502之后,上述方法还可以包括下述步骤L2的具体处理过程。
在步骤L2中,对业务服务器的访问权限进行验证。
相应的,上述步骤S504的处理过程可以多种多样,以下再提供一种可选的处理方法,具体可以参见下述步骤M2的具体处理过程。
在步骤M2中,在业务服务器通过访问权限验证的情况下,基于预先部署于区块链***中的第一智能合约对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果。
由以上本说明书实施例提供的技术方案可见,由于上述第一签名信息中所包含的验证信息为能够验证终端设备的身份且不包含隐私信息的信息,这样,当服务器接收到终端设备发送的第一业务请求时,接着向终端设备发送第一签名信息获取请求,通过终端设备在接收到上述第一签名信息获取请求的情况下,将预先存储在可信执行环境中的验证信息进行签名得到第一签名信息,并将上述第一签名信息发送给服务器,这样,服务器就可以通过对接收到的上述第一签名信息进行验证,从而实现了对终端设备进行风险评估。由于上述对终端设备进行风险评估的过程无需获取用户或终端设备的隐私信息(如设备ID),从而实现了即使在无法获取用户或终端设备隐私数据的情况下,也能够对终端设备进行风险评估,进而提高了对终端设备进行风险评估的有效性。
对应上述实施例提供的数据处理方法,基于相同的技术构思,本说明书实施例还提供了一种数据处理装置,图10为本说明书实施例提供的数据处理装置的第一种模块组成示意图,该数据处理装置中设置有可信执行环境,上述装置用于执行上述图1-图4描述的数据处理方法,如图10所示,该装置包括:
第一处理模块1001,向服务器发送与终端设备相关的业务的第一业务请求,并接收服务器针对第一业务请求发送的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识;
第二处理模块1002,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理,得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息;
第一发送模块1003,将第一签名信息发送至服务器,以使服务器基于第一签名信息对终端设备的身份进行验证,并基于身份验证结果执行针对第一业务请求的业务处理。
可选地,上述装置还包括:
第三处理模块,向服务器发送与终端设备相关的业务的第二业务请求,并接收服务器针对第二业务请求发送的验证信息处理请求,其中,验证信息处理请求中携带有第二签名信息,第二签名信息是服务器基于生成的验证信息进行签名处理后得到的,验证信息是服务器基于第二业务请求生成的能够验证终端设备的身份的信息;
第一签名模块,通过可信执行环境中的可信应用对第二签名信息的签名进行验证,以验证服务器的身份,并基于身份验证结果执行针对验证信息的处理操作。
可选地,上述处理操作包括:验证信息的存储操作或验证信息的更新操作或验证信息的删除操作。
可选地,上述装置还包括:
第四处理模块,对服务器的访问权限进行验证,并在确认服务器通过访问权限验证的情况下,将第一签名信息获取请求中所携带的业务标识发送至可信执行环境。
可选地,上述装置还包括:
安全通道建立模块,建立可信执行环境与服务器之间的安全通道;
相应的,第一发送模块,将第一签名信息通过安全通道发送至服务器。
可选地,安全通道建立模块,分别向服务器和可信执行环境发送身份标识信息获取请求,基于获取的服务器的身份标识信息和可信执行环境的身份标识信息,建立可信执行环境与服务器之间的安全通道。
可选地,安全通道为服务器与终端设备通过预定安全通道协议SCP02或SCP03进行数据交互所对应的交互途径。
由以上本说明书实施例提供的技术方案可见,由于上述第一签名信息中所包含的验证信息为能够验证终端设备的身份且不包含隐私信息的信息,这样,当服务器接收到终端设备发送的第一业务请求时,接着向终端设备发送第一签名信息获取请求,通过终端设备在接收到上述第一签名信息获取请求的情况下,将预先存储在可信执行环境中的验证信息进行签名得到第一签名信息,并将上述第一签名信息发送给服务器,这样,服务器就可以通过对接收到的上述第一签名信息进行验证,从而实现了对终端设备进行风险评估。由于上述对终端设备进行风险评估的过程无需获取用户或终端设备的隐私信息(如设备ID),从而实现了即使在无法获取用户或终端设备隐私数据的情况下,也能够对终端设备进行风险评估,进而提高了对终端设备进行风险评估的有效性。
本说明书实施例提供的数据处理装置能够实现上述数据处理方法对应的实施例中的各个过程,为避免重复,这里不再赘述。
需要说明的是,本说明书实施例提供的数据处理装置与本说明书实施例提供的数据处理方法基于同一发明构思,因此该实施例的具体实施可以参见上述数据处理方法的实施,重复之处不再赘述。
对应上述实施例提供的数据处理方法,基于相同的技术构思,本说明书实施例还提供了一种数据处理装置,图11为本说明书实施例提供的数据处理装置的第一种模块组成示意图,上述装置用于执行上述图5A和图5B描述的数据处理方法,如图11所示,该装置包括:
第一接收模块1101,接收终端设备发送的与终端设备相关的业务的第一业务请求;
第一响应模块1102,响应于第一业务请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识;
第五处理模块1103,接收终端设备针对第一签名信息获取请求发送的第一签名信息,对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理,其中,第一签名信息是终端设备从可信执行环境中获取的与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到的,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
可选地,上装置还包括:
第二接收模块,接收终端设备发送的与终端设备相关的业务的第二业务请求,第二业务请求中携带有业务标识;
第二响应模块,响应于第二业务请求,执行针对第二业务请求的业务处理,并生成验证信息;
第二签名模块,对验证信息进行签名处理,得到第二签名信息;
第二发送模块,向终端设备发送携带有第二签名信息的验证信息处理请求,以使终端设备通过可信执行环境中的可信应用对第二签名信息的签名进行验证,以验证服务器的身份,并基于身份验证结果执行针对验证信息的处理操作。
由以上本说明书实施例提供的技术方案可见,由于上述第一签名信息中所包含的验证信息为能够验证终端设备的身份且不包含隐私信息的信息,这样,当服务器接收到终端设备发送的第一业务请求时,接着向终端设备发送第一签名信息获取请求,通过终端设备在接收到上述第一签名信息获取请求的情况下,将预先存储在可信执行环境中的验证信息进行签名得到第一签名信息,并将上述第一签名信息发送给服务器,这样,服务器就可以通过对接收到的上述第一签名信息进行验证,从而实现了对终端设备进行风险评估。由于上述对终端设备进行风险评估的过程无需获取用户或终端设备的隐私信息(如设备ID),从而实现了即使在无法获取用户或终端设备隐私数据的情况下,也能够对终端设备进行风险评估,进而提高了对终端设备进行风险评估的有效性。
本说明书实施例提供的数据处理装置能够实现上述数据处理方法对应的实施例中的各个过程,为避免重复,这里不再赘述。
需要说明的是,本说明书实施例提供的数据处理装置与本说明书实施例提供的数据处理方法基于同一发明构思,因此该实施例的具体实施可以参见上述数据处理方法的实施,重复之处不再赘述。
对应上述实施例提供的数据处理方法,基于相同的技术构思,本说明书实施例还提供了一种数据处理装置,图12为本说明书实施例提供的数据处理装置的第三种模块组成示意图,上述装置用于执行上述图7A和7B描述的数据处理方法,如图12所示,该装置包括:
第三接收模块1201,接收业务服务器发送的验证信息验证请求,其中,验证信息验证请求中携带有第一签名信息,第一签名信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第一业务请求后,向终端设备发送针对第一业务请求的第一签名信息获取请求,以使终端设备在接收到第一签名信息获取请求的情况下,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息;
第一验证模块1202,对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器,以使业务服务器基于验证结果执行针对第一业务请求的业务处理。
可选地,上述装置还包括:
第四接收模块,接收业务服务器发送的验证信息签名请求,验证信息签名请求中携带有验证信息,验证信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第二业务请求,并执行成针对第二业务请求的业务处理的情况下生成的;
第六处理模块,对验证信息进行签名处理得到第二签名信息,并将第二签名信息发送至业务服务器,以使业务服务器将第二签名信息发送至终端设备,通过终端设备的可信执行环境中的可信应用对第二签名信息的签名进行验证,以验证管理服务器的身份,并基于身份验证结果执行针对验证信息的处理操作。
可选地,在接收业务服务器发送的验证信息签名请求之后,上述装置还包括:
第二验证模块,对业务服务器的访问权限进行验证;
相应的,第一验证模块,在业务服务器通过访问权限验证的情况下,对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果。
由以上本说明书实施例提供的技术方案可见,由于上述第一签名信息中所包含的验证信息为能够验证终端设备的身份且不包含隐私信息的信息,这样,当管理服务器接收到业务服务器发送的验证信息获取请求后,就可以通过对接收到的上述第一签名信息进行验证,从而实现了对终端设备进行风险评估。由于上述对终端设备进行风险评估的过程无需获取用户或终端设备的隐私信息(如设备ID),从而实现了即使在无法获取用户或终端设备隐私数据的情况下,也能够对终端设备进行风险评估,进而提高了对终端设备进行风险评估的有效性。
本说明书实施例提供的数据处理装置能够实现上述数据处理方法对应的实施例中的各个过程,为避免重复,这里不再赘述。
需要说明的是,本说明书实施例提供的数据处理装置与本说明书实施例提供的数据处理方法基于同一发明构思,因此该实施例的具体实施可以参见上述数据处理方法的实施,重复之处不再赘述。
对应上述实施例提供的数据处理方法,基于相同的技术构思,本说明书实施例还提供了一种数据处理装置,图13为本说明书实施例提供的数据处理装置的第四种模块组成示意图,上述装置用于执行上述图8A和8B描述的数据处理方法,如图13所示,该装置包括:
第五接收模块1301,接收终端设备发送的与终端设备相关的业务的第一业务请求;
第三响应模块1302,响应于第一业务请求,基于预先部署于区块链***中的第一智能合约生成第一签名信息获取请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识;
第七处理模块1303,基于第一智能合约接收终端设备针对第一签名信息获取请求发送的第一签名信息,基于第一智能合约对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理,其中,第一签名信息是终端设备从可信执行环境中获取的与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到的,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
可选地,上述装置还包括:
第六接收模块,接收终端设备发送的与终端设备相关的业务的第二业务请求,第二业务请求中携带有业务标识;
第四响应模块,响应于第二业务请求,基于预先部署于区块链***中的第二智能合约执行针对第二业务请求的业务处理,并生成验证信息;
第三签名模块,基于第二智能合约对验证信息进行签名处理,得到第二签名信息;
第三发送模块,基于第二智能合约向终端设备发送携带有第二签名信息的验证信息处理请求,以使终端设备通过可信执行环境中的可信应用对第二签名信息的签名进行验证,以验证服务器的身份,并基于身份验证结果执行针对验证信息的处理操作。
由以上本说明书实施例提供的技术方案可见,的信息,这样,当服务器接收到终端设备发送的第一业务请求时,接着向终端设备发送第一签名信息获取请求,通过终端设备在接收到上述第一签名信息获取请求的情况下,将预先存储在可信执行环境中的验证信息进行签名得到第一签名信息,并将上述第一签名信息发送给服务器,这样,服务器就可以通过对接收到的上述第一签名信息进行验证,从而实现了对终端设备进行风险评估。由于上述对终端设备进行风险评估的过程无需获取用户或终端设备的隐私信息(如设备ID),从而实现了即使在无法获取用户或终端设备隐私数据的情况下,也能够对终端设备进行风险评估,进而提高了对终端设备进行风险评估的有效性。
本说明书实施例提供的数据处理装置能够实现上述数据处理方法对应的实施例中的各个过程,为避免重复,这里不再赘述。
需要说明的是,本说明书实施例提供的数据处理装置与本说明书实施例提供的数据处理方法基于同一发明构思,因此该实施例的具体实施可以参见上述数据处理方法的实施,重复之处不再赘述。
对应上述实施例提供的数据处理方法,基于相同的技术构思,本说明书实施例还提供了一种数据处理装置,图14为本说明书实施例提供的数据处理装置的第五种模块组成示意图,上述装置用于执行上述图9A和9B描述的数据处理方法,如图14所示,该装置包括:
第七接收模块1401,接收业务服务器发送的验证信息验证请求,其中,验证信息验证请求中携带有第一签名信息,第一签名信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第一业务请求后,向终端设备发送针对第一业务请求的第一签名信息获取请求,以使终端设备在接收到第一签名信息获取请求的情况下,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
第三验证模块1402,基于预先部署于区块链***中的第一智能合约对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器,以使业务服务器基于验证结果执行针对第一业务请求的业务处理。
可选地,上述装置还包括:
第八接收模块,接收业务服务器发送的验证信息签名请求,验证信息签名请求中携带有验证信息,验证信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第二业务请求,并执行成针对第二业务请求的业务处理的情况下生成的;
第八处理模块,基于预先部署于区块链***中的第二智能合约对验证信息进行签名处理得到第二签名信息,并将第二签名信息发送至业务服务器,以使业务服务器将第二签名信息发送至终端设备,通过终端设备的可信执行环境中的可信应用对第二签名信息的签名进行验证,以验证管理服务器的身份,并基于身份验证结果执行针对验证信息的处理操作。
可选地,上述装置还包括:
第四验证模块,对业务服务器的访问权限进行验证;
相应的,第三验证模块,在业务服务器通过访问权限验证的情况下,基于预先部署于区块链***中的第一智能合约对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果。
由以上本说明书实施例提供的技术方案可见,由于上述第一签名信息中所包含的验证信息为能够验证终端设备的身份且不包含隐私信息的信息,这样,当管理服务器接收到业务服务器发送的验证信息获取请求后,就可以通过对接收到的上述第一签名信息进行验证,从而实现了对终端设备进行风险评估。由于上述对终端设备进行风险评估的过程无需获取用户或终端设备的隐私信息(如设备ID),从而实现了即使在无法获取用户或终端设备隐私数据的情况下,也能够对终端设备进行风险评估,进而提高了对终端设备进行风险评估的有效性。
本说明书实施例提供的数据处理装置能够实现上述数据处理方法对应的实施例中的各个过程,为避免重复,这里不再赘述。
需要说明的是,本说明书实施例提供的数据处理装置与本说明书实施例提供的数据处理方法基于同一发明构思,因此该实施例的具体实施可以参见上述数据处理方法的实施,重复之处不再赘述。
对应上述实施例提供的数据处理方法,基于相同的技术构思,本说明书实施例还提供了一种数据处理设备,如图15所示,图15为本说明书实施例提供的数据处理设备的硬件结构示意图,该数据处理设备用于执行图2A、图2B、图3-图4,或图5A、图5B,或图7A、图7B,或图8A、图8B,或图9A、图9B描述的数据处理方法。
数据处理设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上的处理器1501和存储器1502,存储器1502中可以存储有一个或一个以上存储应用程序或数据。其中,存储器1502可以是短暂存储或持久存储。存储在存储器1502的应用程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对任务的分配设备中的一系列计算机可执行指令。更进一步地,处理器1501可以设置为与存储器1502通信,在数据访问设备上执行存储器1502中的一系列计算机可执行指令。数据访问设备还可以包括一个或一个以上电源1503,一个或一个以上有线或无线网络接口1504,一个或一个以上输入输出接口1505,一个或一个以上键盘1506。
具体在本实施例中,数据处理设备包括有存储器,以及一个或一个以上的程序,其中一个或者一个以上程序存储于存储器中,且一个或者一个以上程序可以包括一个或一个以上模块,且每个模块可以包括对任务的分配设备中的一系列计算机可执行指令,且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令:
向服务器发送与终端设备相关的业务的第一业务请求,并接收服务器针对第一业务请求发送的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识;
从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理,得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息;
将第一签名信息发送至服务器,以使服务器基于第一签名信息对终端设备的身份进行验证,并基于身份验证结果执行针对第一业务请求的业务处理。
或者,被安排成存储计算机可执行指令的存储器,可执行指令在被执行时使处理器:
接收终端设备发送的与终端设备相关的业务的第一业务请求;
响应于第一业务请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识;
接收终端设备针对第一签名信息获取请求发送的第一签名信息,对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理,其中,第一签名信息是终端设备从可信执行环境中获取的与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到的,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
或者,被安排成存储计算机可执行指令的存储器,可执行指令在被执行时使处理器:
接收业务服务器发送的验证信息验证请求,其中,验证信息验证请求中携带有第一签名信息,第一签名信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第一业务请求后,向终端设备发送针对第一业务请求的第一签名信息获取请求,以使终端设备在接收到第一签名信息获取请求的情况下,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息;
对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器,以使业务服务器基于验证结果执行针对第一业务请求的业务处理。
或者,被安排成存储计算机可执行指令的存储器,可执行指令在被执行时使处理器:
接收终端设备发送的与终端设备相关的业务的第一业务请求;
响应于第一业务请求,基于预先部署于区块链***中的第一智能合约生成第一签名信息获取请求,向终端设备发送针对第一业务请求的第一签名信息获取请求,其中,第一签名信息获取请求中携带有业务标识;
基于第一智能合约接收终端设备针对第一签名信息获取请求发送的第一签名信息,基于第一智能合约对第一签名信息的签名进行验证,并基于验证结果执行针对第一业务请求的业务处理,其中,第一签名信息是终端设备从可信执行环境中获取的与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到的,验证信息是能够验证终端设备的身份且不包含隐私信息的信息。
或者,被安排成存储计算机可执行指令的存储器,可执行指令在被执行时使处理器:
接收业务服务器发送的验证信息验证请求,其中,验证信息验证请求中携带有第一签名信息,第一签名信息为业务服务器在接收到终端设备发送的与终端设备相关的业务的第一业务请求后,向终端设备发送针对第一业务请求的第一签名信息获取请求,以使终端设备在接收到第一签名信息获取请求的情况下,从可信执行环境中获取与业务标识对应的验证信息,并通过可信执行环境中的可信应用对验证信息进行签名处理后得到第一签名信息,验证信息是能够验证终端设备的身份且不包含隐私信息的信息;
基于预先部署于区块链***中的第一智能合约对第一签名信息中的签名进行验证,以验证终端设备的身份得到验证结果,并将验证结果返回给业务服务器,以使业务服务器基于验证结果执行针对第一业务请求的业务处理。
由以上本说明书实施例提供的技术方案可见,由于上述第一签名信息中所包含的验证信息为能够验证终端设备的身份且不包含隐私信息的信息,这样,当服务器接收到终端设备发送的第一业务请求时,接着向终端设备发送第一签名信息获取请求,通过终端设备在接收到上述第一签名信息获取请求的情况下,将预先存储在可信执行环境中的验证信息进行签名得到第一签名信息,并将上述第一签名信息发送给服务器,这样,服务器就可以通过对接收到的上述第一签名信息进行验证,从而实现了对终端设备进行风险评估。由于上述对终端设备进行风险评估的过程无需获取用户或终端设备的隐私信息(如设备ID),从而实现了即使在无法获取用户或终端设备隐私数据的情况下,也能够对终端设备进行风险评估,进而提高了对终端设备进行风险评估的有效性。
进一步的,对应上述实施例提供的数据处理方法,本说明书实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器1101执行时实现如上述数据处理方法实施例的各步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
需要说明的是,本说明书实施例提供的数据处理设备和计算机可读存储介质能够实现上述数据处理方法实施例中的各个过程,为避免重复,这里不再赘述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域内的技术人员应明白,本说明书的实施例可提供为方法、***、或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书是参照根据本说明书实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
可以理解的是,本说明书实施例描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个专用集成电路(Application Specific Integrated Circuits,ASIC)、数字信号处理器(Digital SignalProcessing,DSP)、数字信号处理设备(DSP Device,DSPD)、可编程逻辑设备(ProgrammableLogic Device,PLD)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本说明书功能的其它电子单元或其组合中。
对于软件实现,可通过执行本说明书实施例上述功能的模块(例如过程、函数等)来实现本说明书实施例上述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
还需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括上述要素的过程、方法、商品或者设备中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本说明书的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本说明书各个实施例的上述方法。
上面结合附图对本说明书的实施例进行了描述,但是本说明书并不局限于上述的具体实施方式,上述具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本说明书的启示下,在不脱离本说明书宗旨和权利要求所保护的范围情况下,本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。

Claims (24)

1.一种数据处理方法,应用于终端设备,所述终端设备中设置有可信执行环境,所述方法包括:
向服务器发送与所述终端设备相关的业务的第一业务请求,并接收所述服务器针对所述第一业务请求发送的第一签名信息获取请求,其中,所述第一签名信息获取请求中携带有业务标识;
从所述可信执行环境中获取与所述业务标识对应的验证信息,并通过所述可信执行环境中的可信应用对所述验证信息进行签名处理,得到第一签名信息,所述验证信息是能够验证所述终端设备的身份且不包含隐私信息的信息;
将所述第一签名信息发送至所述服务器,以使所述服务器基于所述第一签名信息对所述终端设备的身份进行验证,并基于身份验证结果执行针对所述第一业务请求的业务处理。
2.根据权利要求1所述的方法,所述方法还包括:
向服务器发送与所述终端设备相关的业务的第二业务请求,并接收所述服务器针对所述第二业务请求发送的验证信息处理请求,其中,所述验证信息处理请求中携带有第二签名信息,所述第二签名信息是所述服务器基于生成的所述验证信息进行签名处理后得到的,所述验证信息是所述服务器基于所述第二业务请求生成的能够验证所述终端设备的身份的信息;
通过所述可信执行环境中的可信应用对所述第二签名信息的签名进行验证,以验证所述服务器的身份,并基于身份验证结果执行针对所述验证信息的处理操作。
3.根据权利要求2所述的方法,所述处理操作包括:验证信息的存储操作或验证信息的更新操作或验证信息的删除操作。
4.根据权利要求1-3任一项所述的方法,在接收所述服务器针对所述第一业务请求发送的第一签名信息获取请求之后,所述方法还包括:
对所述服务器的访问权限进行验证,并在确认所述服务器通过所述访问权限验证的情况下,将所述第一签名信息获取请求中所携带的业务标识发送至所述可信执行环境。
5.根据权利要求4所述的方法,所述方法还包括:
建立所述可信执行环境与所述服务器之间的安全通道;
相应的,所述将所述第一签名信息发送至所述服务器,包括:
将所述第一签名信息通过所述安全通道发送至所述服务器。
6.根据权利要求5所述的方法,所述建立所述可信执行环境与所述服务器之间的安全通道,包括:
分别向所述服务器和所述可信执行环境发送身份标识信息获取请求,基于获取的所述服务器的身份标识信息和所述可信执行环境的身份标识信息,建立所述可信执行环境与所述服务器之间的安全通道。
7.根据权利要求6所述的方法,所述安全通道为服务器与终端设备通过预定安全通道协议SCP02或SCP03进行数据交互所对应的交互途径。
8.一种数据处理方法,应用于服务器,所述方法包括:
接收终端设备发送的与所述终端设备相关的业务的第一业务请求;
响应于所述第一业务请求,向所述终端设备发送针对所述第一业务请求的第一签名信息获取请求,其中,所述第一签名信息获取请求中携带有业务标识;
接收所述终端设备针对所述第一签名信息获取请求发送的第一签名信息,对所述第一签名信息的签名进行验证,并基于验证结果执行针对所述第一业务请求的业务处理,其中,所述第一签名信息是所述终端设备从可信执行环境中获取的与所述业务标识对应的验证信息,并通过所述可信执行环境中的可信应用对所述验证信息进行签名处理后得到的,所述验证信息是能够验证所述终端设备的身份且不包含隐私信息的信息。
9.根据权利要求8所述的方法,所述方法还包括:
接收所述终端设备发送的与所述终端设备相关的业务的第二业务请求,所述第二业务请求中携带有业务标识;
响应于所述第二业务请求,执行针对所述第二业务请求的业务处理,并生成验证信息;
对所述验证信息进行签名处理,得到第二签名信息;
向所述终端设备发送携带有所述第二签名信息的验证信息处理请求,以使所述终端设备通过可信执行环境中的可信应用对所述第二签名信息的签名进行验证,以验证所述服务器的身份,并基于身份验证结果执行针对所述验证信息的处理操作。
10.一种数据处理方法,应用于管理服务器,所述方法包括:
接收业务服务器发送的验证信息验证请求,其中,所述验证信息验证请求中携带有第一签名信息,所述第一签名信息为所述业务服务器在接收到终端设备发送的与所述终端设备相关的业务的第一业务请求后,向所述终端设备发送针对所述第一业务请求的第一签名信息获取请求,以使所述终端设备在接收到所述第一签名信息获取请求的情况下,从可信执行环境中获取与所述业务标识对应的验证信息,并通过所述可信执行环境中的可信应用对所述验证信息进行签名处理后得到第一签名信息,所述验证信息是能够验证所述终端设备的身份且不包含隐私信息的信息;
对所述第一签名信息中的签名进行验证,以验证所述终端设备的身份得到验证结果,并将所述验证结果返回给所述业务服务器,以使所述业务服务器基于所述验证结果执行针对所述第一业务请求的业务处理。
11.根据权利要求10所述的方法,所述方法还包括:
接收所述业务服务器发送的验证信息签名请求,所述验证信息签名请求中携带有验证信息,所述验证信息为所述业务服务器在接收到所述终端设备发送的与所述终端设备相关的业务的第二业务请求,并执行成针对所述第二业务请求的业务处理的情况下生成的;
对所述验证信息进行签名处理得到第二签名信息,并将所述第二签名信息发送至所述业务服务器,以使所述业务服务器将所述第二签名信息发送至所述终端设备,通过所述终端设备的所述可信执行环境中的可信应用对所述第二签名信息的签名进行验证,以验证所述管理服务器的身份,并基于身份验证结果执行针对所述验证信息的处理操作。
12.根据权利要求10-11任一项所述方法,在所述接收所述业务服务器发送的验证信息签名请求之后,所述方法还包括:
对所述业务服务器的访问权限进行验证;
相应的,所述对所述第一签名信息中的签名进行验证,以验证所述终端设备的身份得到验证结果,包括:
在所述业务服务器通过所述访问权限验证的情况下,对所述第一签名信息中的签名进行验证,以验证所述终端设备的身份得到验证结果。
13.一种数据处理方法,应用于区块链***,所述方法包括:
接收终端设备发送的与所述终端设备相关的业务的第一业务请求;
响应于所述第一业务请求,基于预先部署于所述区块链***中的第一智能合约生成第一签名信息获取请求,向所述终端设备发送针对所述第一业务请求的第一签名信息获取请求,其中,所述第一签名信息获取请求中携带有业务标识;
基于所述第一智能合约接收所述终端设备针对所述第一签名信息获取请求发送的第一签名信息,基于所述第一智能合约对所述第一签名信息的签名进行验证,并基于验证结果执行针对所述第一业务请求的业务处理,其中,所述第一签名信息是所述终端设备从可信执行环境中获取的与所述业务标识对应的验证信息,并通过所述可信执行环境中的可信应用对所述验证信息进行签名处理后得到的,所述验证信息是能够验证所述终端设备的身份且不包含隐私信息的信息。
14.根据权利要求13所述的方法,所述方法还包括:
接收所述终端设备发送的与所述终端设备相关的业务的第二业务请求,所述第二业务请求中携带有业务标识;
响应于所述第二业务请求,基于预先部署于所述区块链***中的第二智能合约执行针对所述第二业务请求的业务处理,并生成验证信息;
基于所述第二智能合约对所述验证信息进行签名处理,得到第二签名信息;
基于所述第二智能合约向所述终端设备发送携带有所述第二签名信息的验证信息处理请求,以使所述终端设备通过可信执行环境中的可信应用对所述第二签名信息的签名进行验证,以验证服务器的身份,并基于身份验证结果执行针对所述验证信息的处理操作。
15.一种数据处理方法,应用于区块链***,所述方法包括:
接收业务服务器发送的验证信息验证请求,其中,所述验证信息验证请求中携带有第一签名信息,所述第一签名信息为所述业务服务器在接收到终端设备发送的与所述终端设备相关的业务的第一业务请求后,向所述终端设备发送针对所述第一业务请求的第一签名信息获取请求,以使所述终端设备在接收到所述第一签名信息获取请求的情况下,从可信执行环境中获取与所述业务标识对应的验证信息,并通过所述可信执行环境中的可信应用对所述验证信息进行签名处理后得到第一签名信息,所述验证信息是能够验证所述终端设备的身份且不包含隐私信息的信息;
基于预先部署于所述区块链***中的第一智能合约对所述第一签名信息中的签名进行验证,以验证所述终端设备的身份得到验证结果,并将所述验证结果返回给所述业务服务器,以使所述业务服务器基于所述验证结果执行针对所述第一业务请求的业务处理。
16.一种数据处理装置,所述装置中设置有可信执行环境,所述装置包括:
第一处理模块,向服务器发送与终端设备相关的业务的第一业务请求,并接收所述服务器针对所述第一业务请求发送的第一签名信息获取请求,其中,所述第一签名信息获取请求中携带有业务标识;
第二处理模块,从所述可信执行环境中获取与所述业务标识对应的验证信息,并通过所述可信执行环境中的可信应用对所述验证信息进行签名处理,得到第一签名信息,所述验证信息是能够验证所述终端设备的身份且不包含隐私信息的信息;
第一发送模块,将所述第一签名信息发送至所述服务器,以使所述服务器基于所述第一签名信息对所述终端设备的身份进行验证,并基于身份验证结果执行针对所述第一业务请求的业务处理。
17.一种数据处理装置,所述装置包括:
第一接收模块,接收终端设备发送的与所述终端设备相关的业务的第一业务请求;
第一响应模块,响应于所述第一业务请求,向所述终端设备发送针对所述第一业务请求的第一签名信息获取请求,其中,所述第一签名信息获取请求中携带有业务标识;
第五处理模块,接收所述终端设备针对所述第一签名信息获取请求发送的第一签名信息,对所述第一签名信息的签名进行验证,并基于验证结果执行针对所述第一业务请求的业务处理,其中,所述第一签名信息是所述终端设备从可信执行环境中获取的与所述业务标识对应的验证信息,并通过所述可信执行环境中的可信应用对所述验证信息进行签名处理后得到的,所述验证信息是能够验证所述终端设备的身份且不包含隐私信息的信息。
18.一种数据处理装置,所述装置包括:
第三接收模块,接收业务服务器发送的验证信息验证请求,其中,所述验证信息验证请求中携带有第一签名信息,所述第一签名信息为所述业务服务器在接收到终端设备发送的与所述终端设备相关的业务的第一业务请求后,向所述终端设备发送针对所述第一业务请求的第一签名信息获取请求,以使所述终端设备在接收到所述第一签名信息获取请求的情况下,从可信执行环境中获取与所述业务标识对应的验证信息,并通过所述可信执行环境中的可信应用对所述验证信息进行签名处理后得到第一签名信息,所述验证信息是能够验证所述终端设备的身份且不包含隐私信息的信息;
第一验证模块,对所述第一签名信息中的签名进行验证,以验证所述终端设备的身份得到验证结果,并将所述验证结果返回给所述业务服务器,以使所述业务服务器基于所述验证结果执行针对所述第一业务请求的业务处理。
19.一种数据处理设备,所述设备中设置有可信执行环境,所述设备包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
向服务器发送与终端设备相关的业务的第一业务请求,并接收所述服务器针对所述第一业务请求发送的第一签名信息获取请求,其中,所述第一签名信息获取请求中携带有业务标识;
从所述可信执行环境中获取与所述业务标识对应的验证信息,并通过所述可信执行环境中的可信应用对所述验证信息进行签名处理,得到第一签名信息,所述验证信息是能够验证所述终端设备的身份且不包含隐私信息的信息;
将所述第一签名信息发送至所述服务器,以使所述服务器基于所述第一签名信息对所述终端设备的身份进行验证,并基于身份验证结果执行针对所述第一业务请求的业务处理。
20.一种数据处理设备,所述设备包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收终端设备发送的与所述终端设备相关的业务的第一业务请求;
响应于所述第一业务请求,向所述终端设备发送针对所述第一业务请求的第一签名信息获取请求,其中,所述第一签名信息获取请求中携带有业务标识;
接收所述终端设备针对所述第一签名信息获取请求发送的第一签名信息,对所述第一签名信息的签名进行验证,并基于验证结果执行针对所述第一业务请求的业务处理,其中,所述第一签名信息是所述终端设备从可信执行环境中获取的与所述业务标识对应的验证信息,并通过所述可信执行环境中的可信应用对所述验证信息进行签名处理后得到的,所述验证信息是能够验证所述终端设备的身份且不包含隐私信息的信息。
21.一种数据处理设备,所述设备包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收业务服务器发送的验证信息验证请求,其中,所述验证信息验证请求中携带有第一签名信息,所述第一签名信息为所述业务服务器在接收到终端设备发送的与所述终端设备相关的业务的第一业务请求后,向所述终端设备发送针对所述第一业务请求的第一签名信息获取请求,以使所述终端设备在接收到所述第一签名信息获取请求的情况下,从可信执行环境中获取与所述业务标识对应的验证信息,并通过所述可信执行环境中的可信应用对所述验证信息进行签名处理后得到第一签名信息,所述验证信息是能够验证所述终端设备的身份且不包含隐私信息的信息;
对所述第一签名信息中的签名进行验证,以验证所述终端设备的身份得到验证结果,并将所述验证结果返回给所述业务服务器,以使所述业务服务器基于所述验证结果执行针对所述第一业务请求的业务处理。
22.一种存储介质,所述存储介质用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:
向服务器发送与终端设备相关的业务的第一业务请求,并接收所述服务器针对所述第一业务请求发送的第一签名信息获取请求,其中,所述第一签名信息获取请求中携带有业务标识;
从可信执行环境中获取与所述业务标识对应的验证信息,并通过所述可信执行环境中的可信应用对所述验证信息进行签名处理,得到第一签名信息,所述验证信息是能够验证所述终端设备的身份且不包含隐私信息的信息;
将所述第一签名信息发送至所述服务器,以使所述服务器基于所述第一签名信息对所述终端设备的身份进行验证,并基于身份验证结果执行针对所述第一业务请求的业务处理。
23.一种存储介质,所述存储介质用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:
接收终端设备发送的与所述终端设备相关的业务的第一业务请求;
响应于所述第一业务请求,向所述终端设备发送针对所述第一业务请求的第一签名信息获取请求,其中,所述第一签名信息获取请求中携带有业务标识;
接收所述终端设备针对所述第一签名信息获取请求发送的第一签名信息,对所述第一签名信息的签名进行验证,并基于验证结果执行针对所述第一业务请求的业务处理,其中,所述第一签名信息是所述终端设备从可信执行环境中获取的与所述业务标识对应的验证信息,并通过所述可信执行环境中的可信应用对所述验证信息进行签名处理后得到的,所述验证信息是能够验证所述终端设备的身份且不包含隐私信息的信息。
24.一种存储介质,所述存储介质用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:
接收业务服务器发送的验证信息验证请求,其中,所述验证信息验证请求中携带有第一签名信息,所述第一签名信息为所述业务服务器在接收到终端设备发送的与所述终端设备相关的业务的第一业务请求后,向所述终端设备发送针对所述第一业务请求的第一签名信息获取请求,以使所述终端设备在接收到所述第一签名信息获取请求的情况下,从可信执行环境中获取与所述业务标识对应的验证信息,并通过所述可信执行环境中的可信应用对所述验证信息进行签名处理后得到第一签名信息,所述验证信息是能够验证所述终端设备的身份且不包含隐私信息的信息;
对所述第一签名信息中的签名进行验证,以验证所述终端设备的身份得到验证结果,并将所述验证结果返回给所述业务服务器,以使所述业务服务器基于所述验证结果执行针对所述第一业务请求的业务处理。
CN202111263534.XA 2021-10-28 2021-10-28 一种数据处理方法、装置及设备 Pending CN113962711A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111263534.XA CN113962711A (zh) 2021-10-28 2021-10-28 一种数据处理方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111263534.XA CN113962711A (zh) 2021-10-28 2021-10-28 一种数据处理方法、装置及设备

Publications (1)

Publication Number Publication Date
CN113962711A true CN113962711A (zh) 2022-01-21

Family

ID=79467859

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111263534.XA Pending CN113962711A (zh) 2021-10-28 2021-10-28 一种数据处理方法、装置及设备

Country Status (1)

Country Link
CN (1) CN113962711A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114257382A (zh) * 2022-01-30 2022-03-29 支付宝(杭州)信息技术有限公司 密钥管理和业务处理方法、装置及***

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105515768A (zh) * 2016-01-08 2016-04-20 腾讯科技(深圳)有限公司 一种更新密钥的方法、装置和***
US20190075102A1 (en) * 2017-09-04 2019-03-07 Electronics And Telecommunications Research Institute Terminal apparatus, server apparatus, blockchain and method for fido universal authentication using the same
WO2020048241A1 (zh) * 2018-09-04 2020-03-12 阿里巴巴集团控股有限公司 区块链跨链的认证方法、***、服务器及可读存储介质
CN111415163A (zh) * 2020-04-30 2020-07-14 中国银行股份有限公司 基于区块链的业务处理、验证方法、***及验证节点
CN112199661A (zh) * 2020-11-11 2021-01-08 支付宝(杭州)信息技术有限公司 一种基于隐私保护的设备身份处理方法、装置及设备
CN112329071A (zh) * 2020-12-16 2021-02-05 支付宝(杭州)信息技术有限公司 一种隐私数据处理方法、***、装置及设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105515768A (zh) * 2016-01-08 2016-04-20 腾讯科技(深圳)有限公司 一种更新密钥的方法、装置和***
US20190075102A1 (en) * 2017-09-04 2019-03-07 Electronics And Telecommunications Research Institute Terminal apparatus, server apparatus, blockchain and method for fido universal authentication using the same
WO2020048241A1 (zh) * 2018-09-04 2020-03-12 阿里巴巴集团控股有限公司 区块链跨链的认证方法、***、服务器及可读存储介质
CN111415163A (zh) * 2020-04-30 2020-07-14 中国银行股份有限公司 基于区块链的业务处理、验证方法、***及验证节点
CN112199661A (zh) * 2020-11-11 2021-01-08 支付宝(杭州)信息技术有限公司 一种基于隐私保护的设备身份处理方法、装置及设备
CN112329071A (zh) * 2020-12-16 2021-02-05 支付宝(杭州)信息技术有限公司 一种隐私数据处理方法、***、装置及设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114257382A (zh) * 2022-01-30 2022-03-29 支付宝(杭州)信息技术有限公司 密钥管理和业务处理方法、装置及***
CN114257382B (zh) * 2022-01-30 2024-06-11 支付宝(杭州)信息技术有限公司 密钥管理和业务处理方法、装置及***

Similar Documents

Publication Publication Date Title
US8769305B2 (en) Secure execution of unsecured apps on a device
CN108055132B (zh) 一种业务授权的方法、装置及设备
CN111931154B (zh) 基于数字凭证的业务处理方法、装置及设备
CN106899571B (zh) 信息交互方法及装置
CN112329071B (zh) 一种隐私数据处理方法、***、装置及设备
CN110366183B (zh) 短信安全防护方法及装置
EP2736214A1 (en) Controlling application access to mobile device functions
CN113704826A (zh) 一种基于隐私保护的业务风险检测方法、装置及设备
EP3336734B1 (en) Fingerprint information secure call method, apparatus, and mobile terminal
CN110417557B (zh) 智能终端外设数据安全控制方法及装置
CN113704211B (zh) 数据查询方法及装置、电子设备、存储介质
CN113807856B (zh) 一种资源转移方法、装置及设备
Bouzefrane Trusted platforms to secure mobile cloud computing
CN108241798B (zh) 防止刷机的方法、装置及***
CN113962711A (zh) 一种数据处理方法、装置及设备
US10719456B2 (en) Method and apparatus for accessing private data in physical memory of electronic device
CN112182642A (zh) 隐私数据、可信应用处理方法、***、装置及设备
CN107636672A (zh) 电子设备及电子设备中的方法
CN111600882A (zh) 一种基于区块链的账户密码管理方法、装置及电子设备
CN111125705B (zh) 一种能力开放方法及装置
CN108270741B (zh) 移动终端认证方法及***
EP3270310B1 (en) Mobile device applications security protection based on personalization and secured code domains pairing
CN115640589A (zh) 一种安全保护设备以及业务执行方法、装置及存储介质
CN106534047B (zh) 一种基于Trust应用的信息传输方法及装置
CN111046440B (zh) 一种安全区域内容的篡改验证方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination