TWI636373B - Method and device for authorizing between devices - Google Patents

Method and device for authorizing between devices Download PDF

Info

Publication number
TWI636373B
TWI636373B TW105137495A TW105137495A TWI636373B TW I636373 B TWI636373 B TW I636373B TW 105137495 A TW105137495 A TW 105137495A TW 105137495 A TW105137495 A TW 105137495A TW I636373 B TWI636373 B TW I636373B
Authority
TW
Taiwan
Prior art keywords
authorization information
authorization
encrypted
tee
ree
Prior art date
Application number
TW105137495A
Other languages
English (en)
Other versions
TW201719476A (zh
Inventor
李定洲
周鈺
郭偉
陳成錢
嚴翔翔
曾望年
Original Assignee
中國銀聯股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中國銀聯股份有限公司 filed Critical 中國銀聯股份有限公司
Publication of TW201719476A publication Critical patent/TW201719476A/zh
Application granted granted Critical
Publication of TWI636373B publication Critical patent/TWI636373B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

在設備之間進行授權的方法的裝置。方法包括授權過程,該授權過程包括:在第一設備的TEE端生成並加密授權信息,在第一設備的REE端將經加密的授權信息傳輸到第二設備,在第二設備的REE端接收經加密的授權信息,在第二設備的TEE端解密並驗證經加密的授權信息,在第二設備存儲該授權信息。

Description

一種在設備之間進行授權的方法和裝置
本發明的實施例涉及在設備之間進行授權的方法和裝置。
授權設備向被授權設備進行授權,從而被授權設備可以代理授權設備進行授權的操作,例如執行授權設備指定的功能、獲取授權設備指定的資源。
目前,授權設備通過伺服器向被授權設備進行授權。由於授權過程涉及伺服器,授權設備在進行授權前需要向伺服器發送申請,然後由伺服器向被授權設備推送授權信息。這會降低授權效率,導致較高成本。另一方面,由於授權過程涉及伺服器,授權信息必須經過網路傳輸,這將降低授權的安全性,而且這還要求被授權設備線上才能接收推送的授權信息。另外,授權設備的不安全的作業系統也會導致授權信息處於風險。
一種在設備之間進行授權的方法,該方法包括授權過 程,該授權過程包括:在第一設備的TEE端生成並加密授權信息,在第一設備的REE端將經加密的授權信息傳輸到第二設備,在第二設備的REE端接收經加密的授權信息,在第二設備的TEE端解密並驗證經加密的授權信息,在第二設備存儲該授權信息。
在設備之間進行授權的裝置,其包括授權過程裝置,該授權裝置包括:用於在第一設備的TEE端生成並加密授權信息的裝置,用於在第一設備的REE端將經加密的授權信息傳輸到第二設備的裝置,用於在第二設備的REE端接收經加密的授權信息的裝置,用於在第二設備的TEE端解密並驗證經加密的授權信息的裝置,用於在第二設備存儲該授權信息的裝置。
本發明的優勢包括:設備間的授權不限於聯網設備與伺服器端的認證;設備授權信息的傳輸、當地語系化存儲的安全通過結合TEE安全技術方案得到保障;支援傳統的伺服器認證方式。
當結合附圖閱讀以下描述時也將理解本發明的實施例的其它特徵和優勢,其中附圖借助於實例示出了本發明的實施例的原理。
201、202、203、204、205、206、207、208、209、301、302、303、304、305、306‧‧‧步驟
圖1是根據本發明實施例的在設備之間進行授權的示意圖。
圖2是根據本發明實施例的在設備之間進行授權的流 程圖。
圖3是根據本發明實施例的在設備之間進行授權的流程圖。
在下文中,將結合實施例描述本發明的原理。應當理解的是,給出的實施例只是為了本領域技術人員更好地理解並且實踐本發明,而不是限制本發明的範圍。例如,本說明書中包含許多具體的實施細節不應被解釋為對發明的範圍或可能被要求保護的範圍的限制,而是應該被視為特定於實施例的描述。例如,在各實施例的上下文描述的特徵可被組合在單一實施例中來實施。在單一實施例的上下文中描述的特可在多個實施例來實施。
圖1是根據本發明實施例的在設備之間進行授權的示意圖。圖1示出了授權設備、被授權設備、伺服器。在該實施例中,伺服器是可選的。授權過程和執行授權操作可以僅通過授權設備和被授權設備之間的交互完成。授權設備和被授權設備各自能夠運行可信執行環境TEE(Trusted Execution Environment)和多媒體執行環境REE(Rich Execution Environment)下。TEE技術能夠為諸如移動通信終端等智慧終端機提供受到硬體隔離保護的作業系統。TEE獨立於REE(例如,Android作業系統),並執行與安全相關的應用。智慧終端機上與安全相關的敏感操作將在TEE中執行,而除安全應用以外的其它應用在REE中 執行。如圖所示,授權設備和被授權設備各自在TEE中設置有可信存儲單元、授權信息驗證單元、授權信息生成單元,以及在REE中設置有TEE代理單元。
在授權設備中,授權信息生成單元中可以根據使用者的指令生成授權信息。授權信息可以包括授權的操作、時間、地點或者設備ID。在一個實例中,授權信息可以包括授權信息生成時的時間和地點。在另一個實例中,授權信息可以進一步限定授權的操作,例如授權的操作可以發送的時間和地點。授權信息驗證單元用於驗證授權信息。可信存儲單元用於在TEE下安全存儲授權信息。TEE代理單元,處於REE下,用於輔助與被授權設備之間的信息傳輸。TEE代理單元例如可以使用移動網路、藍牙、紅外線、近場通信與被授權設備的REE下的TEE代理單元通信。可以理解的是,被授權設備也可以包括類似的單元以便作為扮演授權設備的角色。
圖1中,可選的伺服器可以包括授權信息驗證單元,在被授權設備與授權設備無法完成點對點通信時用於補充驗證授權信息。
在一個實例中,授權設備通過REE下的TEE代理單元向被授權設備發送在TEE下加密的授權信息。被授權設備通過REE下的TEE代理單元接收該加密的授權信息,並且在TEE下解密並且驗證該授權信息。被解密並驗證通過的授權信息被存儲在被授權設備的可信存儲單元中。之後,被授權設備將可以根據該授權信息代理授權設 備執行被授權的操作。由此,在保證安全的前提下,可以提高設備之間的授權與代理的效率。
圖2是根據本發明實施例的在設備之間進行授權的流程圖。該實施例示出在設備之間進行授權的方法的授權過程。該授權過程包括:步驟201:在第一設備的TEE端生成並加密授權信息;步驟202:在第一設備的REE端將經加密的授權信息傳輸到第二設備;步驟203:該步驟是可選的,在該步驟中判斷是否將授權信息備份到伺服器;當在步驟203中判斷不將授權信息備份到伺服器時,進入步驟204:在該步驟中在在第二設備的REE端接收經加密的授權信息;步驟205:在第二設備的TEE端解密並驗證經加密的授權信息;步驟206:在第二設備存儲該授權信息,至此作為授權的設備的第一設備完成了對於作為被授權設備的第二設備的授權;當在步驟203中判斷將授權信息備份到伺服器時,進入步驟207:在該步驟中從第一設備將經加密的授權信息發送並存儲到伺服器;步驟208:在伺服器解密並且驗證經加密的授權信息; 步驟209:在伺服器存儲經驗證的授權信息,至此完成授權信息在伺服器的備份。
在一個實例中,在第一設備的TEE端使用私密金鑰對授權信息進行簽名,在第二設備的TEE端使用公開金鑰解密並驗證經加密的授權信息。
在一個實例中,授權信息包括授權操作,並且還包括以下一個或多個:進行授權操作的時間、地點、設備ID。
圖3是根據本發明實施例的在設備之間進行授權的流程圖。該實施例示出在設備之間進行授權的方法的授權操作的過程。該進行授權操作的過程包括:步驟301:從第一設備向第二設備發送請求,請求第二設備代理第一設備進行授權操作,步驟302:在第二設備的REE端接收該請求,步驟303:在第二設備的TEE端加密授權信息,並通過REE端將經加密的授權信息發送給第一設備,步驟304:在第一設備的REE端接收經加密的授權信息,步驟305:在第一設備的TEE端解密並驗證經加密的授權信息,步驟306:在驗證成功後,在第一設備響應來自第二設備的授權操作。例如,第一設備可以根據來自第二設備的請求進行相應的操作。
在一個實例中,該請求包括設備ID。
在一個實例中,在第二設備的TEE端使用公開金鑰加密授權信息,在第一設備的TEE端使用私密金鑰解密並驗證經加密的授權信息。
在一個實例中,該進行授權操作的過程還包括:在第二設備的TEE端加密授權信息,並通過REE端將經加密的授權信息發送給伺服器,在第一設備的TEE端解密並驗證經加密的授權信息,在驗證成功後,通過伺服器通知第一設備響應來自第二設備的授權操作。
在本發明的上述實施例中,所述第一設備和所述第二設備是移動通信終端。
在本發明的上述實施例中,使用以下方式的一種在第一設備的REE端和第二設備的REE端之間通信:移動網路、藍牙、紅外線、近場通信。
圖2和圖3所示的各個框可被視為方法步驟、和/或被視為由於運行電腦程式代碼而導致的操作、和/或被視為構建為實施相關功能的多個耦合的邏輯電路元件。儘管操作按特定的順序在圖中被描繪,但這不應被理解為要求按照所示的特定順序或按依次順序來執行這些操作,或要求所有例示的操作被執行,以達到理想的結果。在某些情況下,多工並行處理可能是有利的。
以下描述在設備之間進行授權的裝置,其包括授權過程裝置,該授權裝置包括:用於在第一設備的TEE端生成並加密授權信息的裝置,用於在第一設備的REE端將經加密的授權信息傳輸到第二設備的裝置,用於在第二設 備的REE端接收經加密的授權信息的裝置,用於在第二設備的TEE端解密並驗證經加密的授權信息的裝置,用於在第二設備存儲該授權信息的裝置。
在一個實施例中,該授權裝置還包括:用於從第一設備將經加密的授權信息發送並存儲到伺服器的裝置。用於在第一設備的TEE端使用私密金鑰對授權信息進行簽名的裝置,用於在第二設備的TEE端使用公開金鑰解密並驗證經加密的授權信息的裝置。
在一個實施例中,授權信息包括授權操作,並且還包括以下一個或多個:進行授權操作的時間、地點、設備ID。
在一個實施例中,該裝置還包括進行授權操作的裝置,該進行授權操作的裝置包括:用於從第一設備向第二設備發送請求的裝置,請求第二設備代理第一設備進行授權操作,用於在第二設備的REE端接收該請求的裝置,用於在第二設備的TEE端加密授權信息,並通過REE端將經加密的授權信息發送給第一設備的裝置,用於在第一設備的REE端接收經加密的授權信息的裝置,用於在第一設備的TEE端解密並驗證經加密的授權信息的裝置,用於在驗證成功後,在第一設備響應來自第二設備的授權操作的裝置。
在一個實施例中,該請求包括設備ID。
在一個實施例中,該裝置還包括:用於在第二設備的TEE端使用公開金鑰加密授權信息的裝置,用於在第一設 備的TEE端使用私密金鑰解密並驗證經加密的授權信息的裝置。
在一個實施例中,該進行授權操作的裝置還包括:用於在第二設備的TEE端加密授權信息,並通過REE端將經加密的授權信息發送給伺服器的裝置,用於在第一設備的TEE端解密並驗證經加密的授權信息的裝置,用於在驗證成功後,通過伺服器通知第一設備響應來自第二設備的授權操作的裝置。
示例性實施例可在硬體、軟體或其組合中來實施。例如,本發明的某些方面可在硬體中實施,而其它方面則可在軟體中實施。儘管本發明的示例性實施例的方面可被示出和描述為框圖、流程圖,但很好理解的是,這裡描述的這些裝置、或方法可在作為非限制性實例的系統中被實現為功能模組。此外,上述裝置不應被理解為要求在所有的實施例中進行這種分離,而應該被理解為所描述的程式元件和系統通常可以被集成在單一的軟體產品中或打包成多個軟體產品。
相關領域的技術人員當結合附圖閱讀前述說明書時,對本發明的前述示例性實施例的各種修改和變形對於相關領域的技術人員會變得明顯。因此,本發明的實施例不限於所公開的特定實施例,並且變形例和其它實施例意在涵蓋在所附權利要求的範圍內。

Claims (15)

  1. 一種在設備之間進行授權的方法,該方法包括授權過程,該授權過程包括:從第一設備向第二設備發送請求,請求第二設備代理第一設備進行授權操作,在第二設備的REE端接收該請求,在第二設備的TEE端生成並加密授權信息,在第二設備的REE端將經加密的授權信息傳輸到第一設備,在第一設備的REE端接收經加密的授權信息,在第一設備的TEE端解密並驗證經加密的授權信息,在第一設備存儲該授權信息;其中,所述第一設備和所述第二設備是移動通信裝置,所述第一設備不在線上。
  2. 如申請專利範圍第1項所述的方法,其中,該授權過程還包括:從第二設備將經加密的授權信息發送並存儲到伺服器。
  3. 如申請專利範圍第1項所述的方法,其中,在第二設備的TEE端使用私密金鑰對授權信息進行簽名,在第一設備的TEE端使用公開金鑰解密並驗證經加密的授權信息。
  4. 如申請專利範圍第1項所述的方法,其中,授權信息包括授權操作,並且還包括以下一個或多個:進行授權操作的時間、地點、設備ID。
  5. 如申請專利範圍第1項所述的方法,其中,該請求包括設備ID。
  6. 如申請專利範圍第1項所述的方法,其中,在第二設備的TEE端使用公開金鑰加密授權信息,在第一設備的TEE端使用私密金鑰解密並驗證經加密的授權信息。
  7. 如申請專利範圍第1項所述的方法,其中,該進行授權操作的過程還包括:在第二設備的TEE端加密授權信息,並通過REE端將經加密的授權信息發送給伺服器,在第一設備的TEE端解密並驗證經加密的授權信息,在驗證成功後,通過伺服器通知第一設備響應來自第二設備的授權操作。
  8. 如申請專利範圍第1至7項中任意一項所述的方法,其中,使用以下方式的一種在第一設備的REE端和第二設備的REE端之間通信:移動網路、藍牙、紅外線、近場通信。
  9. 一種用於在設備之間進行授權的授權過程裝置,包括:用於在第二設備的TEE端生成並加密授權信息的裝 置,用於在第二設備的REE端將經加密的授權信息傳輸到第一設備的裝置,用於在第一設備的REE端接收經加密的授權信息的裝置,用於在第一設備的TEE端解密並驗證經加密的授權信息的裝置,用於在第一設備存儲該授權信息的裝置;其中,所述第一設備和所述第二設備是移動通信裝置,所述第一設備不在線上。
  10. 如申請專利範圍第9項所述的裝置,其中,還包括:用於從第二設備將經加密的授權信息發送並存儲到伺服器的裝置。
  11. 如申請專利範圍第9項所述的裝置,其中,用於在第二設備的TEE端使用私密金鑰對授權信息進行簽名的裝置,用於在第一設備的TEE端使用公開金鑰解密並驗證經加密的授權信息的裝置。
  12. 如申請專利範圍第9項所述的裝置,其中,授權信息包括授權操作,並且還包括以下一個或多個:進行授權操作的時間、地點、設備ID。
  13. 如申請專利範圍第9項所述的裝置,其中,該請求包括設備ID。
  14. 如申請專利範圍第9項所述的裝置,其中,還包括:用於在第二設備的TEE端使用公開金鑰加密授權信息的裝置,用於在第一設備的TEE端使用私密金鑰解密並驗證經加密的授權信息的裝置。
  15. 如申請專利範圍第9項所述的裝置,其中,該進行授權操作的裝置還包括:用於在第二設備的TEE端加密授權信息,並通過REE端將經加密的授權信息發送給伺服器的裝置,用於在第一設備的TEE端解密並驗證經加密的授權信息的裝置,用於在驗證成功後,通過伺服器通知第一設備響應來自第二設備的授權操作的裝置。
TW105137495A 2015-11-16 2016-11-16 Method and device for authorizing between devices TWI636373B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510785827.2A CN105592071A (zh) 2015-11-16 2015-11-16 一种在设备之间进行授权的方法和装置
??201510785827.2 2015-11-16

Publications (2)

Publication Number Publication Date
TW201719476A TW201719476A (zh) 2017-06-01
TWI636373B true TWI636373B (zh) 2018-09-21

Family

ID=55931286

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105137495A TWI636373B (zh) 2015-11-16 2016-11-16 Method and device for authorizing between devices

Country Status (3)

Country Link
CN (1) CN105592071A (zh)
TW (1) TWI636373B (zh)
WO (1) WO2017084553A1 (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105592071A (zh) * 2015-11-16 2016-05-18 ***股份有限公司 一种在设备之间进行授权的方法和装置
EP3447992B1 (en) * 2016-11-14 2020-09-23 Huawei Technologies Co., Ltd. Message pushing method and terminal
CN108419224B (zh) * 2018-03-16 2020-12-18 上海百联集团股份有限公司 信标设备、待授权设备、服务器以及加密授权方法
CN110858245B (zh) * 2018-08-24 2021-09-21 珠海格力电器股份有限公司 一种授权方法及数据处理设备
CN109547451B (zh) * 2018-11-30 2021-05-25 四川长虹电器股份有限公司 基于tee的可信认证服务认证的方法
CN110011956B (zh) 2018-12-12 2020-07-31 阿里巴巴集团控股有限公司 一种数据处理方法和装置
CN111444528B (zh) * 2020-03-31 2022-03-29 海信视像科技股份有限公司 数据安全保护方法、装置及存储介质
CN111510918B (zh) * 2020-04-28 2022-08-02 拉扎斯网络科技(上海)有限公司 通信方法、***、装置、电子设备和可读存储介质
CN116049913B (zh) * 2022-05-24 2023-11-03 荣耀终端有限公司 数据保存方法、装置、电子设备及计算机可读存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200604546A (en) * 2004-07-26 2006-02-01 Agilent Technologies Inc License proxy process to facilitate license sharing between a plurality of applications
US20080092211A1 (en) * 2006-10-13 2008-04-17 Microsoft Corporation UPNP authentication and authorization
TW201141177A (en) * 2009-12-23 2011-11-16 Intel Corp Hardware attestation techniques
CN102687483A (zh) * 2009-12-29 2012-09-19 通用仪表公司 设备的临时注册
CN103186720A (zh) * 2011-12-28 2013-07-03 北大方正集团有限公司 一种数字版权管理方法、设备及***
CN103621009A (zh) * 2012-06-21 2014-03-05 Sk普兰尼特有限公司 用于基于可信平台认证开放式标识的方法、装置和***
CN103856621A (zh) * 2012-12-06 2014-06-11 北京三星通信技术研究有限公司 用户设备之间授权的方法及装置
US20150261950A1 (en) * 2014-03-13 2015-09-17 Intel Corporation Symmetric keying and chain of trust

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005091553A1 (en) * 2004-03-22 2005-09-29 Nokia Corporation Secure data transfer
KR20080048764A (ko) * 2006-11-29 2008-06-03 삼성전자주식회사 권리객체에 대리 서명하는 방법 및 장치와 대리인증서 발급방법 및 장치
CN104754552B (zh) * 2013-12-25 2018-07-24 ***通信集团公司 一种可信执行环境tee初始化方法及设备
US9520994B2 (en) * 2014-03-20 2016-12-13 Oracle International Corporation System and method for deriving secrets from a master key bound to an application on a device
CN105592071A (zh) * 2015-11-16 2016-05-18 ***股份有限公司 一种在设备之间进行授权的方法和装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200604546A (en) * 2004-07-26 2006-02-01 Agilent Technologies Inc License proxy process to facilitate license sharing between a plurality of applications
US20080092211A1 (en) * 2006-10-13 2008-04-17 Microsoft Corporation UPNP authentication and authorization
TW201141177A (en) * 2009-12-23 2011-11-16 Intel Corp Hardware attestation techniques
CN102687483A (zh) * 2009-12-29 2012-09-19 通用仪表公司 设备的临时注册
CN103186720A (zh) * 2011-12-28 2013-07-03 北大方正集团有限公司 一种数字版权管理方法、设备及***
CN103621009A (zh) * 2012-06-21 2014-03-05 Sk普兰尼特有限公司 用于基于可信平台认证开放式标识的方法、装置和***
CN103856621A (zh) * 2012-12-06 2014-06-11 北京三星通信技术研究有限公司 用户设备之间授权的方法及装置
US20150261950A1 (en) * 2014-03-13 2015-09-17 Intel Corporation Symmetric keying and chain of trust

Also Published As

Publication number Publication date
CN105592071A (zh) 2016-05-18
TW201719476A (zh) 2017-06-01
WO2017084553A1 (zh) 2017-05-26

Similar Documents

Publication Publication Date Title
TWI636373B (zh) Method and device for authorizing between devices
CN109347835B (zh) 信息传输方法、客户端、服务器以及计算机可读存储介质
US11082224B2 (en) Location aware cryptography
EP3518458B1 (en) Method and device for secure communications over a network using a hardware security engine
US10601801B2 (en) Identity authentication method and apparatus
CN108377190B (zh) 一种认证设备及其工作方法
US11501294B2 (en) Method and device for providing and obtaining graphic code information, and terminal
CN111028397B (zh) 认证方法及装置、车辆控制方法及装置
CN107464109B (zh) 可信移动支付装置、***和方法
CN107743067B (zh) 数字证书的颁发方法、***、终端以及存储介质
CN110621014B (zh) 一种车载设备及其程序升级方法、服务器
WO2016201732A1 (zh) 一种虚拟sim卡参数管理方法、移动终端及服务器
CN110198295A (zh) 安全认证方法和装置及存储介质
CN113114668B (zh) 一种信息传输方法、移动终端、存储介质及电子设备
CN107155184B (zh) 一种带有安全加密芯片的wifi模块及其通信方法
CN106411520B (zh) 一种虚拟资源数据的处理方法、装置及***
CN110838919B (zh) 通信方法、存储方法、运算方法及装置
JP2014235753A (ja) データを入力する方法と装置
WO2014117648A1 (zh) 应用访问方法和设备
CN103856938A (zh) 一种加密解密的方法、***及设备
CN107682380B (zh) 一种交叉认证的方法及装置
CN113660285A (zh) 多媒体会议在网终端管控方法、装置、设备及存储介质
CN116033415A (zh) 基准站数据传输方法、装置、基准站、服务器及介质
WO2013189457A2 (zh) 终端和云***服务器以及其交互方法和***
JP2018078592A (ja) 通信システム、通信装置、鍵管理装置、及び通信方法