TWI724326B - 業務授權的方法、裝置及設備 - Google Patents

業務授權的方法、裝置及設備 Download PDF

Info

Publication number
TWI724326B
TWI724326B TW107132057A TW107132057A TWI724326B TW I724326 B TWI724326 B TW I724326B TW 107132057 A TW107132057 A TW 107132057A TW 107132057 A TW107132057 A TW 107132057A TW I724326 B TWI724326 B TW I724326B
Authority
TW
Taiwan
Prior art keywords
execution unit
verification
signature
public key
information
Prior art date
Application number
TW107132057A
Other languages
English (en)
Other versions
TW201923640A (zh
Inventor
孫曦
落紅衛
Original Assignee
開曼群島商創新先進技術有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 開曼群島商創新先進技術有限公司 filed Critical 開曼群島商創新先進技術有限公司
Publication of TW201923640A publication Critical patent/TW201923640A/zh
Application granted granted Critical
Publication of TWI724326B publication Critical patent/TWI724326B/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Accounting & Taxation (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本說明書揭示一種業務授權的方法、裝置及設備,該方法中在獲取到待驗證資訊後,可將該待驗證資訊發送至第一執行單元,以使該第一執行單元對該待驗證資訊進行驗證,並將得到的驗證結果透過該第一執行單元所保存的驗簽私密金鑰進行簽名,得到簽名資訊。而後,業務應用可以獲取到該第一執行單元所返回的該簽名資訊,進而該將簽名資訊發送給第二執行單元,以使該第二執行單元透過該驗簽私密金鑰所對應的驗簽公開金鑰,對該簽名資訊進行驗證,並在確定該簽名資訊驗證通過後,根據該驗證結果進行業務授權。

Description

業務授權的方法、裝置及設備
本說明書係有關電腦技術領域,尤其有關一種業務授權的方法、裝置及設備。
目前,傳統基於密碼的身份驗證方式由於其存在有易被遺忘、易被竊取、不便於輸入等問題,已逐漸無法滿足用戶在進行身份驗證時的便利性和安全性的需求,而基於指紋、聲紋、面部識別等生物特徵的身份驗證方式由於其更為安全、更為便捷,已在各種場景中廣泛應用。   在實際應用中,設備運行的系統中通常包括兩種環境,一種是可信執行環境(Trusted Execution Environment,TEE),一種為安全元件(Secure Element,SE)所提供的執行環境,其中,用以進行業務處理的業務應用通常運行在該TEE中。而用以對用戶所要執行的業務進行授權的安全應用則運行在SE中。在通常情況下,終端需要對使用者輸入的待驗證生物特徵資訊進行驗證,得到驗證結果,該驗證結果需要發送至該安全應用進行驗證,而只有該安全應用確定該驗證結果通過驗證後,該安全應用才會對此次業務應用所執行的業務進行授權,進而使得業務應用執行該業務。   然而,由於驗證結果在從TEE傳遞至SE的過程中可能會存在有被篡改的可能,所以,安全應用如何取信從TEE發來的驗證結果則是一個值得考慮的問題。   基於現有技術,需要更為有效的業務授權方式。
本說明書提供一種業務授權的方法,用以解決現有技術中一種安全環境所產生的身份驗證的驗證結果無法得到另一個安全環境授信認證的問題。   本說明書提供了一種業務授權的方法,設備的系統中至少包括第一安全環境以及第二安全環境,第一執行單元在所述第一安全環境中運行,第二執行單元在所述第二安全環境中運行,所述方法包括:   獲取待驗證資訊,並將所述待驗證資訊發送給所述第一執行單元進行驗證;   接收所述第一執行單元返回的透過驗簽私密金鑰對驗證結果進行簽名得到的簽名資訊;   將所述簽名資訊發送給所述第二執行單元,以使所述第二執行單元透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在確定所述簽名資訊驗證通過後,根據所述驗證結果進行業務授權。   本說明書提供一種業務授權的裝置,用以解決現有技術中一種安全環境所產生的身份驗證的驗證結果無法得到另一個安全環境授信認證的問題。   本說明書提供了一種業務授權的裝置,包含所述裝置的設備的系統中至少包括第一安全環境以及第二安全環境,第一執行單元在所述第一安全環境中運行,第二執行單元在所述第二安全環境中運行,所述裝置包括:   獲取模組,獲取待驗證資訊,並將所述待驗證資訊發送給所述第一執行單元進行驗證;   接收模組,接收所述第一執行單元返回的透過驗簽私密金鑰對驗證結果進行簽名得到的簽名資訊;   發送模組,將所述簽名資訊發送給所述第二執行單元,以使所述第二執行單元透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在確定所述簽名資訊驗證通過後,根據所述驗證結果進行業務授權。   本說明書提供一種業務授權的設備,用以解決現有技術中一種安全環境所產生的身份驗證的驗證結果無法得到另一個安全環境授信認證的問題。   本說明書提供了一種業務授權的設備,包括一個或多個記憶體以及處理器,所述記憶體儲存程式,並且被配置成由所述一個或多個處理器執行以下步驟:   獲取待驗證資訊,並將所述待驗證資訊發送給第一執行單元進行驗證,其中,所述第一執行單元在所述設備的系統包括的第一安全環境中運行;   接收所述第一執行單元返回的透過驗簽私密金鑰對驗證結果進行簽名得到的簽名資訊;   將所述簽名資訊發送給第二執行單元,以使所述第二執行單元透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在確定所述簽名資訊驗證通過後,根據所述驗證結果進行業務授權,其中,所述第二執行單元在所述設備的系統包括的第二安全環境中運行。   本說明書提供一種業務授權的方法,用以解決現有技術中一種安全環境所產生的身份驗證的驗證結果無法得到另一個安全環境授信認證的問題。   本說明書提供了一種業務授權的方法,設備的系統中至少包括第一安全環境以及第二安全環境,第一執行單元在所述第一安全環境中運行,第二執行單元在所述第二安全環境中運行,所述方法包括:   所述第一執行單元接收業務應用發送的待驗證資訊;   對所述待驗證資訊進行驗證,並將得到的驗證結果透過保存的驗簽私密金鑰進行簽名,得到簽名資訊;   將所述簽名資訊透過所述業務應用發送給所述第二執行單元,以使所述第二執行單元透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在所述簽名資訊驗證通過後,根據所述驗證結果進行業務授權。   本說明書提供一種業務授權的裝置,用以解決現有技術中一種安全環境所產生的身份驗證的驗證結果無法得到另一個安全環境授信認證的問題。   本說明書提供了一種業務授權的裝置,設備的系統中至少包括第一安全環境以及第二安全環境,所述裝置在所述第一安全環境中運行,第二執行單元在所述第二安全環境中運行,所述裝置包括:   接收模組,接收業務應用發送的待驗證資訊;   驗證模組,對所述待驗證資訊進行驗證,並將得到的驗證結果透過保存的驗簽私密金鑰進行簽名,得到簽名資訊;   發送模組,將所述簽名資訊透過所述業務應用發送給所述第二執行單元,以使所述第二執行單元透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在所述簽名資訊驗證通過後,根據所述驗證結果進行業務授權。   本說明書提供一種業務授權的設備,用以解決現有技術中一種安全環境所產生的身份驗證的驗證結果無法得到另一個安全環境授信認證的問題。   本說明書提供了一種業務授權的設備,包括一個或多個記憶體以及處理器,所述記憶體儲存程式,並且被配置成由所述一個或多個處理器執行以下步驟:   第一執行單元接收業務應用發送的待驗證資訊,其中,所述第一執行單元在所述設備的系統包括的第一安全環境中運行;   對所述待驗證資訊進行驗證,並將得到的驗證結果透過保存的驗簽私密金鑰進行簽名,得到簽名資訊;   將所述簽名資訊透過所述業務應用發送給第二執行單元,以使所述第二執行單元透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在所述簽名資訊驗證通過後,根據所述驗證結果進行業務授權,其中,所述第二執行單元在所述設備的系統包括的第二安全環境中運行。   本說明書提供一種業務授權的方法,用以解決現有技術中一種安全環境所產生的身份驗證的驗證結果無法得到另一個安全環境授信認證的問題。   本說明書提供了一種業務授權的方法,設備的系統中至少包括第一安全環境以及第二安全環境,第一執行單元在所述第一安全環境中運行,第二執行單元在所述第二安全環境中運行,所述方法包括:   所述第二執行單元獲取所述第一執行單元透過業務應用發送的簽名資訊,所述簽名資訊是所述第一執行單元透過驗簽私密金鑰對驗證結果進行簽名後得到的,所述驗證結果是所述第一執行單元對所述業務應用發送的待驗證資訊進行驗證後得到的;   透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在確定所述簽名資訊通過驗證後,根據從所述簽名資訊中解析出的所述驗證結果進行業務授權。   本說明書提供一種業務授權的裝置,用以解決現有技術中一種安全環境所產生的身份驗證的驗證結果無法得到另一個安全環境授信認證的問題。   本說明書提供了一種業務授權的裝置,設備的系統中至少包括第一安全環境以及第二安全環境,第一執行單元在所述第一安全環境中運行,所述裝置在所述第二安全環境中運行,所述裝置包括:   獲取模組,獲取所述第一執行單元透過業務應用發送的簽名資訊,所述簽名資訊是所述第一執行單元透過驗簽私密金鑰對驗證結果進行簽名後得到的,所述驗證結果是所述第一執行單元對所述業務應用發送的待驗證資訊進行驗證後得到的;   驗證模組,透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在確定所述簽名資訊通過驗證後,根據從所述簽名資訊中解析出的所述驗證結果進行業務授權。   本說明書提供一種業務授權的設備,用以解決現有技術中一種安全環境所產生的身份驗證的驗證結果無法得到另一個安全環境授信認證的問題。   本說明書提供了一種業務授權的設備,包括一個或多個記憶體以及處理器,所述記憶體儲存程式,並且被配置成由所述一個或多個處理器執行以下步驟:   第二執行單元獲取第一執行單元透過業務應用發送的簽名資訊,所述簽名資訊是所述第一執行單元透過驗簽私密金鑰對驗證結果進行簽名後得到的,所述驗證結果是所述第一執行單元對所述業務應用發送的待驗證資訊進行驗證後得到的,其中,所述第一執行單元在所述設備的系統包括的第一安全環境中運行,所述第二執行單元在所述設備的系統包括的第二安全環境中運行;   透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在確定所述簽名資訊通過驗證後,根據從所述簽名資訊中解析出的所述驗證結果進行業務授權。   本說明書採用的上述至少一個技術方案能夠達到以下有益效果:   在本說明書一個或多個實施例中,運行於第一安全環境中的第一執行單元可以對獲取到的待驗證資訊進行驗證,將得到的驗證結果透過保存的驗簽私密金鑰進行簽名,進而將得到的簽名資訊透過業務應用發送給運行在第二安全環境中的第二執行單元,第二執行單元可以透過該驗簽私密金鑰對應的驗簽公開金鑰對該簽名資訊進行驗證,並在確定該簽名資訊驗證通過後,根據該驗證結果進行業務授權。換句話說,利用非對稱加密方式,可以使運行於第二安全環境中的第二執行單元對運行在第一安全環境中的第一執行單元所得到的驗證結果進行授信認證,從而使得第二執行單元能夠基於第一執行單元所得到的驗證結果,確定是否對業務應用所執行的業務進行授權,進而向用戶提供了更為安全、有效的身份驗證方式。
在通常情況下,設備運行的系統中通常包括不同的安全環境,而在實際應用中,往往需要透過不同安全環境中執行單元或應用的相互協作,才能完成整個的業務執行過程。具體地,運行於第一安全環境中的業務應用,可以將設備獲取到的待驗證資訊發送給運行在第一安全環境中的第一執行單元,第一執行單元可以對該待驗證資訊進行驗證,並將得到的驗證結果發送給運行於第二安全環境中的第二執行單元,第二執行單元可以透過該驗證結果,確定是否對業務應用目前執行的業務進行授權。   由於第一執行單元和第二執行單元位於不同的安全環境中,所以,在通常情況下,運行於第二安全環境的第二執行單元通常無法確保運行於第一安全環境的第一執行單元將對待驗證資訊進行驗證後得到的驗證結果發送至第二執行單元的過程中,該驗證結果不會被篡改,所以,第二執行單元如何對第一執行單元所發送的驗證結果進行取信,則是一個值得考慮的問題。   為此,本說明書提供了一種業務授權的方法,在獲取到待驗證資訊後,可將該待驗證資訊發送至第一執行單元,以使該第一執行單元對該待驗證資訊進行驗證,並將得到的驗證結果透過該第一執行單元所保存的驗簽私密金鑰進行簽名,得到簽名資訊。而後,業務應用可以獲取到該第一執行單元所返回的該簽名資訊,進而該將簽名資訊發送給第二執行單元,以使該第二執行單元透過該驗簽私密金鑰所對應的驗簽公開金鑰,對該簽名資訊進行驗證,並在確定該簽名資訊驗證通過後,根據該驗證結果進行業務授權。   由於利用非對稱加密方式,可以使運行於第二安全環境中的第二執行單元對運行於第一安全環境中的第一執行單元所得到的驗證結果進行授信認證,從而使得第二執行單元能夠基於第一執行單元所得到的驗證結果,確定是否對業務應用所執行的業務進行授權,進而向用戶提供了更為安全、有效的身份驗證方式。   為了使本技術領域的人員更佳地理解本說明書的一個或多個實施例中的技術方案,下面將結合本說明書的一個或多個實施例中的附圖,對本說明書的一個或多個實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本說明書的一部分實施例,而不是全部的實施例。基於本說明書中的實施例,本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例,都應當屬於本說明書保護的範圍。   圖1為本說明書提供的業務授權過程的示意圖,具體包括以下步驟:   S100:獲取待驗證資訊,並將所述待驗證資訊發送給所述第一執行單元進行驗證。   在本說明書中,用戶在執行業務時,可以將需要進行身份驗證的待驗證資訊輸入到設備中業務應用,以使該業務應用透過該設備中的第一執行單元對該待驗證資訊進行驗證。其中,這裡提到的設備可以是諸如智慧手機、平板電腦等移動終端設備。而這裡提到的待驗證資訊可以是指諸如指紋、聲紋、面部資訊等待驗證生物特徵資訊,也可以是指字元形式的待驗證資訊。當然,設備也可透過預設的介面,將採集到的待驗證資訊直接發送給第一執行單元。   第一執行單元在獲取到該待驗證資訊後,可以對其進行驗證,並得到相應的驗證結果。例如,第一執行單元在獲取到待驗證指紋後,可以將該待驗證指紋與預先保存的使用者的指紋資訊進行匹配,並根據匹配結果,確定使用者是否通過指紋驗證。   需要說明的是,在本說明書中,第一安全環境可以是指TEE,運行於第一安全環境中的第一執行單元可以是指用來進行資訊驗證的模組,該模組可以是軟體的形式,也可以是硬體的形式。第二安全環境可以是指SE所提供的執行環境,相應地,第二執行單元可以是指運行在SE中的安全應用。   S102:接收所述第一執行單元返回的透過驗簽私密金鑰對驗證結果進行簽名得到的簽名資訊。   第一執行單元對該待驗證資訊進行驗證後,可將得到的驗證結果透過自己所保存的驗簽私密金鑰進行簽名,得到的相應的簽名資訊,並在後續的過程中,將該簽名資訊返回給業務應用。   在本說明書中,第一執行單元可以從該第一執行單元所對應的第一管理伺服器獲取到用以對驗證結果進行簽名的驗簽私密金鑰。其中,該第一管理伺服器可以針對該第一執行單元,產生唯一的一對驗簽私密金鑰和驗簽公開金鑰,並將該驗簽私密金鑰下發至該第一執行單元中。而該驗簽公開金鑰則可由該第一管理伺服器發送給第二執行單元所對應的第二管理伺服器中,以透過該第二管理伺服器,將該驗簽公開金鑰發送至第二執行單元,以在後續過程中,使該第二執行單元透過該驗簽公開金鑰對第一執行單元所產生的簽名資訊進行驗證。   在本說明書中,第一執行單元可以將得到的簽名資訊返回給該業務應用,以使該業務應用在後續將該簽名資訊發送給第二執行單元進行驗證。其中,第一執行單元需要透過該業務應用將該簽名資訊發送給第二執行單元的原因在於,由於第一執行單元和第二執行單元位於不同的安全環境中,且,第二執行單元未對該第一執行單元進行訪問授權,所以,在通常情況下,第一執行單元是無法向運行於第二安全環境中的第二執行單元發送資訊的。而由於第二執行單元需要對業務應用所執行的業務進行授權,所以,通常第二執行單元會對業務應用進行訪問授權,允許業務應用向該第二執行單元進行訪問。基於此,第一執行單元需要透過業務應用,將該簽名資訊發送給該第二執行單元。   S104:將所述簽名資訊發送給所述第二執行單元,以使所述第二執行單元透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在確定所述簽名資訊驗證通過後,根據所述驗證結果進行業務授權。   業務應用可將第一執行單元返回的簽名資訊發送給運行於第二安全環境中的第二執行單元,該第二執行單元可以透過獲取到的驗簽公開金鑰,對該簽名資訊進行驗證,進而在確定該簽名資訊通過驗證後,可以透過解析出的驗證結果,確定是否對該業務應用所執行的業務進行授權。   從上述方法中可以看出,運行於第一安全環境中的第一執行單元可以對獲取到的待驗證資訊進行驗證,將得到的驗證結果透過保存的驗簽私密金鑰進行簽名,進而將得到的簽名資訊透過業務應用發送給運行在第二安全環境中的第二執行單元,第二執行單元可以透過該驗簽私密金鑰對應的驗簽公開金鑰對該簽名資訊進行驗證,並在確定該簽名資訊驗證通過後,根據該驗證結果進行業務授權。換句話說,利用非對稱加密方式,可以使運行於第二安全環境中的第二執行單元對運行在第一安全環境中的第一執行單元所得到的驗證結果進行授信認證,從而使得第二執行單元能夠基於第一執行單元所得到的驗證結果,確定是否對業務應用所執行的業務進行授權,進而向用戶提供了更為安全、有效的身份驗證方式。   在上述說明的業務授權過程中,使用者所使用的設備可能會面臨重放攻擊的可能,即,不法份子獲取到驗證通過的驗證結果後,可以透過該驗證結果不斷的向第二執行單元申請業務授權,從而可能導致使用者的資訊或財產遭到損失。   為了防止上述情況的發生,業務應用可以從該第二執行單元獲取到由該第二執行單元產生的動態參數,並將該動態參數發送給第一執行單元,以使該第一執行單元對該動態參數以及得到的驗證結果一併進行簽名,得到簽名資訊,如圖2所示。   圖2為本說明書提供的業務應用透過第二執行單元發送的動態參數向第二執行單元申請業務授權的過程示意圖。   在圖2中,業務應用可以訪問運行於第二安全環境的第二執行單元,以獲取到諸如亂數、時間資訊等動態參數,其中,該動態參數可以由第二執行單元產生並在該第二執行單元中保存設定時間,在到達設定時間後,該第二執行單元可以將該動態參數刪除。這裡可以理解成,該第二執行單元對產生的動態參數設定了一個有效時間,即,業務應用只有在該有效時間內將第一執行單元對動態參數以及驗證結果進行簽名後得到的簽名資訊發送至第二執行單元中,第二執行單元才可以透過保存的動態參數對從該簽名資訊中解析出的動態參數進行驗證,而一旦超過該有效時間,該動態參數將被作廢,這樣,從該簽名資訊中解析出的動態參數將無法通過第二執行單元的驗證。   第一執行單元可以對業務應用發送的待驗證資訊進行驗證,得到相應的驗證結果,並透過保存的驗簽私密金鑰,對該驗證結果以及獲取到的動態參數進行簽名,得到簽名資訊。   第一執行單元可以將得到的簽名資訊返回給業務應用,由該業務應用將該簽名資訊發送給第二執行單元。第二執行單元可以透過從第二管理伺服器獲取到的驗簽公開金鑰對該簽名資訊進行驗證,並在確定該簽名資訊通過驗證後,根據預先保存的動態參數對從該簽名資訊解析出的動態參數進行驗證,即,對解析出的動態參數與保存的動態參數進行比對,確定兩者是否一致,一致時,確定解析出的動態參數通過驗證,不一致時,確定解析出的動態參數未通過驗證。在確定該動態參數通過驗證後,則可以根據從該簽名資訊中解析出的驗證結果,確定是否對業務應用所執行的業務進行授權。   其中,這裡提到的驗簽公開金鑰以及驗簽私密金鑰是由第一執行單元所對應的第一管理伺服器產生的,該第一管理伺服器可以將產生的驗簽私密金鑰發送給第一執行單元進行保存,並將該驗簽公開金鑰透過第二執行單元所對應的第二管理伺服器而下發給第二執行單元。   由於在每次業務執行過程中,業務應用向第二執行單元獲取的動態參數均不相同,所以,即使不法份子利用某一次驗證通過的驗證結果,也無法透過重放攻擊的方式,不斷向第二執行單元申請業務授權,從而確保了使用者的資訊以及財產的安全。   需要說明的是,第一管理伺服器可以針對不同的第一執行單元,產生唯一的一對驗簽金鑰對,也可以針對一個批次的第一執行單元,產生這一批次第一執行單元所需的驗簽金鑰對。換句話說,第一管理伺服器可以針對每一個設備,產生唯一對應該設備的一對驗簽金鑰對,也可以針對一批次的設備,產生對應這一批次設備的一對驗簽金鑰對。   在本說明書中,業務應用從第二執行單元獲取上述動態參數的時機可以有很多,例如,業務應用可以先從第二執行單元中獲取該動態參數,而後再將該動態參數和獲取到的待驗證資訊發送給第一執行單元,也可以先將該待驗證資訊發送給第一執行單元,而後再從第二執行單元獲取該動態參數併發送給第一執行單元。   在本說明書中,第一管理伺服器產生的驗簽公開金鑰可以被發送至證書授權(Certificate Authority,CA)中心進行公證,並得到相應的公開金鑰證書,而後續第二執行單元可以透過該公開金鑰證書,對業務應用發送的簽名資訊進行驗證,如圖3所示。   圖3為本說明書提供的透過公開金鑰證書對簽名資訊進行驗證的示意圖。   第一執行單元所對應的第一管理伺服器在產生一對驗簽金鑰對後,可以將該驗簽金鑰對中的驗簽公開金鑰發送至CA中心進行公證,該CA中心可以根據該驗簽公開金鑰以及其他資訊(如申請對該驗簽公開金鑰進行公證的申請人的資訊、時間資訊等),產生被自己所保存的CA私密金鑰進行簽名的公開金鑰證書。而後,CA中心可以將該公開金鑰證書透過第一管理伺服器發送給第一執行單元進行保存,同時將該CA私密金鑰所對應的CA公開金鑰透過第二管理伺服器發送給第二執行單元進行保存。   這樣一來,第一執行單元產生簽名資訊後,可以將該簽名資訊以及公開金鑰證書透過業務應用發送給第二執行單元,第二執行單元可以透過獲取到的CA公開金鑰,對該公開金鑰證書進行驗證,並透過從該公開金鑰證書解析出的驗簽公開金鑰,對該簽名資訊進行驗證。在確定該簽名資訊驗證通過後,進一步對從該簽名資訊中解析出的動態參數進行驗證,並在確定該動態參數通過驗證後,根據從該簽名資訊解析出的驗證結果,確定是否對業務應用目前所執行的業務進行授權。   在本說明書中,第一執行單元可以在確定業務應用發送的待驗證資訊通過驗證後,對獲取到的動態參數進行簽名,得到相應的簽名資訊。而第二執行單元透過業務應用接收到該簽名資訊時,則可以確定先前的待驗證資訊已通過第一執行單元的驗證,進而在確定從該簽名資訊中解析出的動態參數通過驗證時,可以對該業務應用目前所執行的業務進行授權。   在本說明書中,業務應用可以透過該業務應用在第一安全環境中運行時所能提供的介面,將從第一執行單元獲取到的簽名資訊等資料展示給使用者。同理,第一執行單元也可以透過該第一執行單元在第一安全環境中運行時所能提供的介面,將對該待驗證資訊進行驗證後的驗證結果進行展示,以使用戶可以對該驗證結果進行查看。   從上述方法中可以看出,透過非對稱加密方式,可以使運行於第二安全環境中的第二執行單元對運行在第一安全環境中的第一執行單元所得到的驗證結果進行授信認證,從而使得第二執行單元能夠基於第一執行單元所得到的驗證結果,確定是否對業務應用所執行的業務進行授權。   並且透過上述方式,第二執行單元可以授信第一執行單元所進行的生物識別驗證,這樣一來,對於需要兩個不同安全環境相互協作完成的業務來說,用戶可以透過生物識別這種簡單、易操作的身份驗證方式,進行身份驗證,從而給用戶在業務執行的過程中,帶來了良好的用戶體驗。   以上為本說明書的一個或多個實施例提供的業務授權方法,基於同樣的思路,本說明書還提供了相應的業務授權的裝置,如圖4、5、6所示。   圖4為本說明書提供的一種業務授權的裝置示意圖,具體包括:   獲取模組401,獲取待驗證資訊,並將所述待驗證資訊發送給所述第一執行單元進行驗證;   接收模組402,接收所述第一執行單元返回的透過驗簽私密金鑰對驗證結果進行簽名得到的簽名資訊;   發送模組403,將所述簽名資訊發送給所述第二執行單元,以使所述第二執行單元透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在確定所述簽名資訊驗證通過後,根據所述驗證結果進行業務授權。   所述第一安全環境包括:可信執行環境TEE;所述第二安全環境包括:安全元件SE提供的執行環境。   所述待驗證資訊包括:待驗證生物特徵資訊。   所述獲取模組401,獲取所述第二執行單元發送的動態參數,所述動態參數包括:亂數、時間資訊中的至少一者;將所述動態參數發送給所述第一執行單元,使所述第一執行單元透過所述驗簽私密金鑰對所述驗證結果和所述動態參數進行簽名。   圖5為本說明書提供的一種業務授權的裝置示意圖,具體包括:   接收模組501,接收業務應用發送的待驗證資訊;   驗證模組502,對所述待驗證資訊進行驗證,並將得到的驗證結果透過保存的驗簽私密金鑰進行簽名,得到簽名資訊;   發送模組503,將所述簽名資訊透過所述業務應用發送給所述第二執行單元,以使所述第二執行單元透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在所述簽名資訊驗證通過後,根據所述驗證結果進行業務授權。   所述業務應用在所述第一安全環境中運行。   所述接收模組501,接收所述第二執行單元透過所述業務應用發送的動態參數。   所述驗證模組502,將所述驗證結果以及所述動態參數透過所述驗簽私密金鑰進行簽名,得到簽名資訊。   所述裝置還包括:   獲取模組504,從所述裝置對應的第一管理伺服器,獲取所述驗簽私密金鑰。   所述獲取模組504,從所述第一管理伺服器獲取所述驗簽公開金鑰的公開金鑰證書,所述公開金鑰證書是所述第一管理伺服器從證書授權CA中心獲取到的,所述公開金鑰證書是所述CA中心根據保存的CA私密金鑰對所述驗簽公開金鑰進行認證後得到的。   所述發送模組503,將所述公開金鑰證書以及所述簽名資訊透過所述業務應用發送給所述第二執行單元,以使所述第二執行單元透過從所述CA中心獲取到的CA公開金鑰,對所述公開金鑰證書進行驗證,並在確定所述公開金鑰證書驗證通過後,透過從所述公開金鑰證書中解析出的驗簽公開金鑰,對所述簽名資訊進行驗證。   圖6為本說明書提供的一種業務授權的裝置示意圖,具體包括:   獲取模組601,獲取所述第一執行單元透過業務應用發送的簽名資訊,所述簽名資訊是所述第一執行單元透過驗簽私密金鑰對驗證結果進行簽名後得到的,所述驗證結果是所述第一執行單元對所述業務應用發送的待驗證資訊進行驗證後得到的;   驗證模組602,透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在確定所述簽名資訊通過驗證後,根據從所述簽名資訊中解析出的所述驗證結果進行業務授權。   所述驗簽公開金鑰是所述裝置透過所述裝置對應的第二管理伺服器,從所述第一執行單元對應的第一管理伺服器獲取到的。   所述獲取模組601,透過所述裝置對應的第二管理伺服器,從證書授權CA中心獲取CA公開金鑰。   所述驗證模組602,透過所述CA公開金鑰,對從所述業務應用發送的公開金鑰證書進行驗證,所述公開金鑰證書是所述CA中心根據所述CA公開金鑰對應的CA私密金鑰對所述驗簽公開金鑰進行認證後得到的,所述公開金鑰證書是所述業務應用從所述第一執行單元獲取到的,所述公開金鑰證書是所述第一執行單元透過所述第一執行單元對應的第一管理伺服器從所述CA中心獲取到的;當確定所述公開金鑰證書通過驗證後,透過從所述公開金鑰證書中解析出的驗簽公開金鑰,對所述簽名資訊進行驗證,並在確定所述簽名資訊通過驗證後,根據從所述簽名資訊中解析出的所述驗證結果進行業務授權。   所述裝置還包括:   發送模組603,發送動態參數至所述業務應用,以使所述第一執行單元透過所述驗簽私密金鑰,對所述驗證結果以及從所述業務應用獲取到的所述動態參數進行簽名,得到簽名資訊。   所述驗證模組602,透過所述CA公開金鑰,對所述公開金鑰證書進行驗證;當確定所述公開金鑰證書通過驗證後,透過從所述公開金鑰證書中解析出的驗簽公開金鑰,對所述簽名資訊進行驗證;當確定所述簽名資訊通過驗證後,對從所述簽名資訊中解析出的動態參數進行驗證,並在確定所述動態參數通過驗證後,根據從所述簽名資訊中解析出的所述驗證結果進行業務授權。   基於上述說明的業務授權的方法,本說明書還對應提供了一種用於業務授權的設備,如圖7所示。該設備包括一個或多個記憶體以及處理器,所述記憶體儲存程式,並且被配置成由所述一個或多個處理器執行以下步驟:   獲取待驗證資訊,並將所述待驗證資訊發送給第一執行單元進行驗證,其中,所述第一執行單元在所述設備的系統包括的第一安全環境中運行;   接收所述第一執行單元返回的透過驗簽私密金鑰對驗證結果進行簽名得到的簽名資訊;   將所述簽名資訊發送給第二執行單元,以使所述第二執行單元透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在確定所述簽名資訊驗證通過後,根據所述驗證結果進行業務授權,其中,所述第二執行單元在所述設備的系統包括的第二安全環境中運行。   基於上述說明的業務授權的方法,本說明書還對應提供了一種用於業務授權的設備,如圖8所示。該設備包括一個或多個記憶體以及處理器,所述記憶體儲存程式,並且被配置成由所述一個或多個處理器執行以下步驟:   第一執行單元接收業務應用發送的待驗證資訊,其中,所述第一執行單元在所述設備的系統包括的第一安全環境中運行;   對所述待驗證資訊進行驗證,並將得到的驗證結果透過保存的驗簽私密金鑰進行簽名,得到簽名資訊;   將所述簽名資訊透過所述業務應用發送給第二執行單元,以使所述第二執行單元透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在所述簽名資訊驗證通過後,根據所述驗證結果進行業務授權,其中,所述第二執行單元在所述設備的系統包括的第二安全環境中運行。   基於上述說明的業務授權的方法,本說明書還對應提供了一種用於業務授權的設備,如圖9所示。該設備包括一個或多個記憶體以及處理器,所述記憶體儲存程式,並且被配置成由所述一個或多個處理器執行以下步驟:   第二執行單元獲取第一執行單元透過業務應用發送的簽名資訊,所述簽名資訊是所述第一執行單元透過驗簽私密金鑰對驗證結果進行簽名後得到的,所述驗證結果是所述第一執行單元對所述業務應用發送的待驗證資訊進行驗證後得到的,其中,所述第一執行單元在所述設備的系統包括的第一安全環境中運行,所述第二執行單元在所述設備的系統包括的第二安全環境中運行;   透過所述驗簽私密金鑰對應的驗簽公開金鑰,對所述簽名資訊進行驗證,並在確定所述簽名資訊通過驗證後,根據從所述簽名資訊中解析出的所述驗證結果進行業務授權。   在本說明書的一個或多個實施例中,在獲取到待驗證資訊後,可將該待驗證資訊發送至第一執行單元,以使該第一執行單元對該待驗證資訊進行驗證,並將得到的驗證結果透過該第一執行單元所保存的驗簽私密金鑰進行簽名,得到簽名資訊。而後,業務應用可以獲取到該第一執行單元所返回的該簽名資訊,進而該將簽名資訊發送給第二執行單元,以使該第二執行單元透過該驗簽私密金鑰所對應的驗簽公開金鑰,對該簽名資訊進行驗證,並在確定該簽名資訊驗證通過後,根據該驗證結果進行業務授權。   由於利用非對稱加密方式,可以使運行於第二安全環境中的第二執行單元對運行於第一安全環境中的第一執行單元所得到的驗證結果進行授信認證,從而使得第二執行單元能夠基於第一執行單元所得到的驗證結果,確定是否對業務應用所執行的業務進行授權,進而向用戶提供了更為安全、有效的身份驗證方式。   在20世紀90年代,對於一個技術的改進可以很明顯地區分是硬體上的改進(例如,對二極體、電晶體、開關等電路結構的改進)還是軟體上的改進(對於方法流程的改進)。然而,隨著技術的發展,當今的很多方法流程的改進已經可以視為硬體電路結構的直接改進。設計人員幾乎都透過將改進的方法流程程式設計到硬體電路中來得到相應的硬體電路結構。因此,不能說一個方法流程的改進就不能用硬體實體模組來實現。例如,可程式設計邏輯裝置(Programmable Logic Device, PLD)(例如,現場可程式設計閘陣列(Field Programmable Gate Array,FPGA))就是這樣一種積體電路,其邏輯功能由使用者對裝置程式設計來確定。由設計人員自行程式設計來把一個數位系統“集成”在一片PLD上,而不需要請晶片製造廠商來設計和製作專用的積體電路晶片。而且,如今,取代手工地製作積體電路晶片,這種程式設計也多半改用“邏輯編譯器(logic compiler)”軟體來實現,它與程式開發撰寫時所用的軟體編譯器相類似,而要編譯之前的原始代碼也得用特定的程式設計語言來撰寫,此稱之為硬體描述語言(Hardware Description Language,HDL),而HDL也並非僅有一種,而是有許多種,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware Description Language)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(Ruby Hardware Description Language)等,目前最普遍使用的是VHDL(Very-High-Speed Integrated Circuit Hardware Description Language)與Verilog。本領域技術人員也應該清楚,只需要將方法流程用上述幾種硬體描述語言稍作邏輯程式設計並程式設計到積體電路中,就可以很容易得到實現該邏輯方法流程的硬體電路。   控制器可以按任何適當的方式來實現,例如,控制器可以採取例如微處理器或處理器以及儲存可由該(微)處理器執行的電腦可讀程式碼(例如,軟體或韌體)的電腦可讀媒體、邏輯閘、開關、特殊應用積體電路(Application Specific Integrated Circuit,ASIC)、可程式設計邏輯控制器和嵌入式微控制器的形式,控制器的例子包括但不限於以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20 以及Silicone Labs C8051F320,記憶體控制器還可以被實現為記憶體的控制邏輯的一部分。本領域技術人員也知道,除了以純電腦可讀程式碼方式來實現控制器以外,完全可以透過將方法步驟進行邏輯程式設計來使得控制器以邏輯閘、開關、特殊應用積體電路、可程式設計邏輯控制器和嵌入式微控制器等的形式來實現相同功能。因此這種控制器可以被認為是一種硬體部件,而對其內包括的用來實現各種功能的裝置也可以視為硬體部件內的結構。或者甚至,可以將用來實現各種功能的裝置視為既可以是實現方法的軟體模組又可以是硬體部件內的結構。   上述實施例闡明的系統、裝置、模組或單元,具體可以由電腦晶片或實體來實現,或者由具有某種功能的產品來實現。一種典型的實現設備為電腦。具體地,電腦例如可以為個人電腦、膝上型電腦、蜂巢式電話、相機電話、智慧型電話、個人數位助理、媒體播放機、導航設備、電子郵件設備、遊戲控制台、平板電腦、可穿戴式設備或者這些設備中的任何設備的組合。   為了描述的方便,描述以上裝置時以功能分為各種單元來分別描述。當然,在實施本說明書時可以把各單元的功能在同一個或多個軟體和/或硬體中實現。   本領域內的技術人員應明白,本說明書的實施例可被提供為方法、系統、或電腦程式產品。因此,本說明書可採用完全硬體實施例、完全軟體實施例、或結合軟體和硬體方面的實施例的形式。而且,本說明書可採用在一個或多個其中包含有電腦可用程式碼的電腦可用儲存媒體(包括但不限於磁碟記憶體、CD-ROM、光學記憶體等)上實施的電腦程式產品的形式。   本說明書是參照根據本說明書的一個或多個實施例的方法、設備(系統)、和電腦程式產品的流程圖和/或方塊圖來描述的。應理解可由電腦程式指令實現流程圖和/或方塊圖中的每一個流程和/或方塊、以及流程圖和/或方塊圖中的流程和/或方塊的結合。可提供這些電腦程式指令到通用電腦、專用電腦、嵌入式處理機或其他可程式設計資料處理設備的處理器以產生一個機器,使得透過電腦或其他可程式設計資料處理設備的處理器執行的指令產生用來實現在流程圖中的一個流程或多個流程和/或方塊圖中的一個方塊或多個方塊中指定的功能的裝置。   這些電腦程式指令也可被儲存在能引導電腦或其他可程式設計資料處理設備以特定方式操作的電腦可讀記憶體中,使得儲存在該電腦可讀記憶體中的指令產生包括指令裝置的製造品,該指令裝置實現在流程圖中的一個流程或多個流程和/或方塊圖中的一個方塊或多個方塊中指定的功能。   這些電腦程式指令也可被裝載到電腦或其他可程式設計資料處理設備上,使得在電腦或其他可程式設計設備上執行一系列操作步驟以產生電腦實現的處理,從而在電腦或其他可程式設計設備上執行的指令提供用來實現在流程圖中的一個流程或多個流程和/或方塊圖中的一個方塊或多個方塊中指定的功能的步驟。   在一個典型的配置中,計算設備包括一個或多個處理器(CPU)、輸入/輸出介面、網路介面和記憶體。   記憶體可能包括電腦可讀媒體中的非永久性記憶體,隨機存取記憶體(RAM)和/或非易失性記憶體等形式,如唯讀記憶體(ROM)或快閃記憶體(flash RAM)。記憶體是電腦可讀媒體的示例。   電腦可讀媒體包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現資訊儲存。資訊可以是電腦可讀指令、資料結構、程式的模組或其他資料。電腦的儲存媒體的例子包括,但不限於相變記憶體(PRAM)、靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、其他類型的隨機存取記憶體(RAM)、唯讀記憶體(ROM)、電可擦除可程式設計唯讀記憶體(EEPROM)、快閃記憶體或其他記憶體技術、唯讀光碟唯讀記憶體(CD-ROM)、數位多功能光碟(DVD)或其他光學儲存、磁盒式磁帶,磁帶磁磁片儲存或其他磁性儲存裝置或任何其他非傳輸媒體,可用於儲存可以被計算設備訪問的資訊。按照本文中的界定,電腦可讀媒體不包括暫態性電腦可讀媒體(transitory media),如調變的資料信號和載波。   還需要說明的是,術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、商品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、商品或者設備所固有的要素。在沒有更多限制的情況下,由語句“包括一個……”限定的要素,並不排除在包括所述要素的過程、方法、商品或者設備中還存在有另外的相同要素。   本說明書可以在由電腦執行的電腦可執行指令的一般上下文中描述,例如程式模組。一般地,程式模組包括執行特定任務或實現特定抽象資料類型的常式、程式、物件、元件、資料結構等等。也可以在分散式運算環境中實踐本說明書的一個或多個實施例,在這些分散式運算環境中,由透過通信網路而被連接的遠端處理設備來執行任務。在分散式運算環境中,程式模組可以位於包括儲存裝置在內的本地和遠端電腦儲存媒體中。   本說明書中的各個實施例均採用漸進的方式來描述,各個實施例之間相同相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處。尤其,對於系統實施例而言,由於其基本類似於方法實施例,所以描述的比較簡單,相關之處參見方法實施例的部分說明即可。   上述對本說明書特定實施例進行了描述。其它實施例在所附申請專利範圍的範疇內。在一些情況下,在申請專利範圍中記載的動作或步驟可以按照不同於實施例中的順序來執行並且仍然可以實現期望的結果。另外,在附圖中描繪的過程不一定要求示出的特定順序或者連續順序才能實現期望的結果。在某些實施方式中,多工處理和並行處理也是可以的或者可能是有利的。   以上所述僅為本說明書的一個或多個實施例而已,並不用來限制本說明書。對於本領域技術人員來說,本說明書的一個或多個實施例可以有各種更改和變化。凡在本說明書的一個或多個實施例的精神和原理之內所作的任何修改、等同替換、改進等,均應包含在本說明書的申請專利範圍的範疇之內。
401‧‧‧獲取模組402‧‧‧接收模組403‧‧‧發送模組501‧‧‧接收模組502‧‧‧驗證模組503‧‧‧發送模組504‧‧‧獲取模組601‧‧‧獲取模組602‧‧‧驗證模組603‧‧‧發送模組
此處所說明的附圖用來提供對本說明書的進一步理解,構成本說明書的一部分,本說明書的示意性實施例及其說明用來解釋本說明書,並不構成對本說明書的不當限定。在附圖中:   圖1為本說明書提供的業務授權過程的示意圖;   圖2為本說明書提供的業務應用透過第二執行單元發送的動態參數向第二執行單元申請業務授權的過程示意圖;   圖3為本說明書提供的透過公開金鑰證書對簽名資訊進行驗證的示意圖;   圖4為本說明書提供的一種業務授權的裝置示意圖;   圖5為本說明書提供的一種業務授權的裝置示意圖;   圖6為本說明書提供的一種業務授權的裝置示意圖;   圖7為本說明書提供的一種業務授權的設備示意圖;   圖8為本說明書提供的一種業務授權的設備示意圖;   圖9為本說明書提供的一種業務授權的設備示意圖。

Claims (31)

  1. 一種業務授權的方法,設備的系統中至少包括第一安全環境以及第二安全環境,第一執行單元在該第一安全環境中運行,第二執行單元在該第二安全環境中運行,該方法包括:獲取待驗證資訊,並將該待驗證資訊發送給該第一執行單元進行驗證;獲取該第二執行單元發送的動態參數,該動態參數包括:亂數、時間資訊中的至少一者;將該動態參數發送給該第一執行單元,使該第一執行單元透過該驗簽私密金鑰對該驗證結果和該動態參數進行簽名;接收該第一執行單元返回的透過驗簽私密金鑰對驗證結果進行簽名得到的簽名資訊;以及將該簽名資訊發送給該第二執行單元,以使該第二執行單元利用非對稱加密方式,透過該驗簽私密金鑰對應的驗簽公開金鑰,對該簽名資訊進行驗證,並在確定該簽名資訊驗證通過後,根據該驗證結果進行業務授權。
  2. 如請求項1所述的方法,該第一安全環境包括:可信執行環境TEE;該第二安全環境包括:安全元件SE提供的執行環境。
  3. 如請求項1或2所述的方法,該待驗證資訊包括:待驗證生物特徵資訊。
  4. 一種業務授權的方法,設備的系統中至少包括第一安全環境以及第二安全環境,第一執行單元在該第一安全環境中運行,第二執行單元在該第二安全環境中運行,該方法包括:該第一執行單元接收業務應用發送的待驗證資訊;接收該第二執行單元透過該業務應用發送的動態參數,該動態參數包括:亂數、時間資訊中的至少一者;對該待驗證資訊進行驗證,並將得到的驗證結果以及該動態參數透過保存的驗簽私密金鑰進行簽名,得到簽名資訊;以及將該簽名資訊透過該業務應用發送給該第二執行單元,以使該第二執行單元利用非對稱加密方式,透過該驗簽私密金鑰對應的驗簽公開金鑰,對該簽名資訊進行驗證,並在該簽名資訊驗證通過後,根據該驗證結果進行業務授權。
  5. 如請求項4所述的方法,該業務應用在該第一安全環境中運行。
  6. 如請求項4所述的方法,在接收業務應用發送的待驗證資訊之前,該方法還包括: 從該第一執行單元對應的第一管理伺服器,獲取該驗簽私密金鑰。
  7. 如請求項6所述的方法,將該簽名資訊透過業務應用發送給該第二執行單元之前,該方法還包括:從該第一管理伺服器獲取該驗簽公開金鑰的公開金鑰證書,該公開金鑰證書是該第一管理伺服器從證書授權CA中心獲取到的,該公開金鑰證書是該CA中心根據保存的CA私密金鑰對該驗簽公開金鑰進行認證後得到的。
  8. 如請求項7所述的方法,將該簽名資訊透過業務應用發送給該第二執行單元,具體包括:將該公開金鑰證書以及該簽名資訊透過該業務應用發送給該第二執行單元,以使該第二執行單元透過從該CA中心獲取到的CA公開金鑰,對該公開金鑰證書進行驗證,並在確定該公開金鑰證書驗證通過後,透過從該公開金鑰證書中解析出的驗簽公開金鑰,對該簽名資訊進行驗證。
  9. 一種業務授權的方法,設備的系統中至少包括第一安全環境以及第二安全環境,第一執行單元在該第一安全環境中運行,第二執行單元在該第二安全環境中運行,該方法包括:該第二執行單元獲取該第一執行單元透過業務應用發 送的簽名資訊,該簽名資訊是該第一執行單元透過驗簽私密金鑰對驗證結果進行簽名後得到的,該驗證結果是該第一執行單元對該業務應用發送的待驗證資訊進行驗證後得到的;以及利用非對稱加密方式,透過該驗簽私密金鑰對應的驗簽公開金鑰,對該簽名資訊進行驗證,並在確定該簽名資訊通過驗證後,根據從該簽名資訊中解析出的該驗證結果進行業務授權。
  10. 如請求項9所述的方法,該驗簽公開金鑰是該第二執行單元透過該第二執行單元對應的第二管理伺服器,從該第一執行單元對應的第一管理伺服器獲取到的。
  11. 如請求項9所述的方法,透過該驗簽私密金鑰對應的驗簽公開金鑰,對該簽名資訊進行驗證之前,該方法還包括:透過該第二執行單元對應的第二管理伺服器,從證書授權CA中心獲取CA公開金鑰。
  12. 如請求項11所述的方法,透過該驗簽私密金鑰對應的驗簽公開金鑰,對該簽名資訊進行驗證,並在確定該簽名資訊通過驗證後,根據從該簽名資訊中解析出的該驗證結果進行業務授權,具體包括:透過該CA公開金鑰,對從該業務應用發送的公開金 鑰證書進行驗證,該公開金鑰證書是該CA中心根據該CA公開金鑰對應的CA私密金鑰對該驗簽公開金鑰進行認證後得到的,該公開金鑰證書是該業務應用從該第一執行單元獲取到的,該公開金鑰證書是該第一執行單元透過該第一執行單元對應的第一管理伺服器從該CA中心獲取到的;以及當確定該公開金鑰證書通過驗證後,透過從該公開金鑰證書中解析出的驗簽公開金鑰,對該簽名資訊進行驗證,並在確定該簽名資訊通過驗證後,根據從該簽名資訊中解析出的該驗證結果進行業務授權。
  13. 如請求項12所述的方法,獲取該第一執行單元透過業務應用發送的簽名資訊之前,該方法還包括:發送動態參數至該業務應用,以使該第一執行單元透過該驗簽私密金鑰,對該驗證結果以及從該業務應用獲取到的該動態參數進行簽名,得到簽名資訊。
  14. 如請求項13所述的方法,透過該驗簽私密金鑰對應的驗簽公開金鑰,對該簽名資訊進行驗證,並在確定該簽名資訊通過驗證後,根據從該簽名資訊中解析出的所述驗證結果進行業務授權,具體包括:透過該CA公開金鑰,對該公開金鑰證書進行驗證;當確定該公開金鑰證書通過驗證後,透過從該公開金鑰證書中解析出的驗簽公開金鑰,對該簽名資訊進行驗 證;以及當確定該簽名資訊通過驗證後,對從該簽名資訊中解析出的動態參數進行驗證,並在確定該動態參數通過驗證後,根據從該簽名資訊中解析出的該驗證結果進行業務授權。
  15. 一種業務授權的裝置,包含該裝置的設備的系統中至少包括第一安全環境以及第二安全環境,第一執行單元在該第一安全環境中運行,第二執行單元在該第二安全環境中運行,該裝置包括:獲取模組,獲取待驗證資訊,並將該待驗證資訊發送給該第一執行單元進行驗證,以及獲取該第二執行單元發送的動態參數,該動態參數包括:亂數、時間資訊中的至少一者;將該動態參數發送給該第一執行單元,使該第一執行單元透過該驗簽私密金鑰對該驗證結果和該動態參數進行簽名;接收模組,接收該第一執行單元返回的透過驗簽私密金鑰對驗證結果進行簽名得到的簽名資訊;以及發送模組,將該簽名資訊發送給該第二執行單元,以使該第二執行單元利用非對稱加密方式,透過該驗簽私密金鑰對應的驗簽公開金鑰,對該簽名資訊進行驗證,並在確定該簽名資訊驗證通過後,根據該驗證結果進行業務授權。
  16. 如請求項15所述的裝置,該第一安全環境包括:可信執行環境TEE;該第二安全環境包括:安全元件SE提供的執行環境。
  17. 如請求項15或16所述的裝置,該待驗證資訊包括:待驗證生物特徵資訊。
  18. 一種業務授權的裝置,設備的系統中至少包括第一安全環境以及第二安全環境,該裝置在該第一安全環境中運行,第二執行單元在該第二安全環境中運行,該裝置包括:接收模組,接收業務應用發送的待驗證資訊,以及接收該第二執行單元透過該業務應用發送的動態參數,該動態參數包括:亂數、時間資訊中的至少一者;驗證模組,對該待驗證資訊進行驗證,並將得到的驗證結果以及該動態參數透過保存的驗簽私密金鑰進行簽名,得到簽名資訊;以及發送模組,將該簽名資訊透過該業務應用發送給該第二執行單元,以使該第二執行單元利用非對稱加密方式,透過該驗簽私密金鑰對應的驗簽公開金鑰,對該簽名資訊進行驗證,並在該簽名資訊驗證通過後,根據該驗證結果進行業務授權。
  19. 如請求項18所述的裝置,該業務應用在該第一安全環 境中運行。
  20. 如請求項18所述的裝置,該裝置還包括:獲取模組,從該裝置對應的第一管理伺服器,獲取該驗簽私密金鑰。
  21. 如請求項20所述的裝置,該獲取模組,從該第一管理伺服器獲取該驗簽公開金鑰的公開金鑰證書,該公開金鑰證書是該第一管理伺服器從證書授權CA中心獲取到的,該公開金鑰證書是該CA中心根據保存的CA私密金鑰對該驗簽公開金鑰進行認證後得到的。
  22. 如請求項21所述的裝置,該發送模組,將該公開金鑰證書以及該簽名資訊透過該業務應用發送給該第二執行單元,以使該第二執行單元透過從該CA中心獲取到的CA公開金鑰,對該公開金鑰證書進行驗證,並在確定該公開金鑰證書驗證通過後,透過從該公開金鑰證書中解析出的驗簽公開金鑰,對該簽名資訊進行驗證。
  23. 一種業務授權的裝置,設備的系統中至少包括第一安全環境以及第二安全環境,第一執行單元在該第一安全環境中運行,該裝置在該第二安全環境中運行,該裝置包括:獲取模組,獲取該第一執行單元透過業務應用發送的 簽名資訊,該簽名資訊是該第一執行單元透過驗簽私密金鑰對驗證結果進行簽名後得到的,該驗證結果是該第一執行單元對該業務應用發送的待驗證資訊進行驗證後得到的;以及驗證模組,利用非對稱加密方式,透過該驗簽私密金鑰對應的驗簽公開金鑰,對該簽名資訊進行驗證,並在確定該簽名資訊通過驗證後,根據從該簽名資訊中解析出的該驗證結果進行業務授權。
  24. 如請求項23所述的裝置,該驗簽公開金鑰是該裝置透過該裝置對應的第二管理伺服器,從該第一執行單元對應的第一管理伺服器獲取到的。
  25. 如請求項23所述的裝置,該獲取模組,透過該裝置對應的第二管理伺服器,從證書授權CA中心獲取CA公開金鑰。
  26. 如請求項25所述的裝置,該驗證模組,透過該CA公開金鑰,對從該業務應用發送的公開金鑰證書進行驗證,該公開金鑰證書是該CA中心根據該CA公開金鑰對應的CA私密金鑰對該驗簽公開金鑰進行認證後得到的,該公開金鑰證書是該業務應用從該第一執行單元獲取到的,該公開金鑰證書是該第一執行單元透過該第一執行單元對應的第一管理伺服器從該CA中心獲取到的;當確定該公開金鑰 證書通過驗證後,透過從該公開金鑰證書中解析出的驗簽公開金鑰,對該簽名資訊進行驗證,並在確定該簽名資訊通過驗證後,根據從該簽名資訊中解析出的該驗證結果進行業務授權。
  27. 如請求項26所述的裝置,該裝置還包括:發送模組,發送動態參數至該業務應用,以使該第一執行單元透過該驗簽私密金鑰,對該驗證結果以及從該業務應用獲取到的該動態參數進行簽名,得到簽名資訊。
  28. 如請求項27所述的裝置,該驗證模組,透過該CA公開金鑰,對該公開金鑰證書進行驗證;當確定該公開金鑰證書通過驗證後,透過從該公開金鑰證書中解析出的驗簽公開金鑰,對該簽名資訊進行驗證;當確定該簽名資訊通過驗證後,對從該簽名資訊中解析出的動態參數進行驗證,並在確定該動態參數通過驗證後,根據從該簽名資訊中解析出的該驗證結果進行業務授權。
  29. 一種業務授權的設備,包括一個或多個記憶體以及處理器,該記憶體儲存程式,並且被配置成由該一個或多個處理器執行以下步驟:獲取待驗證資訊,並將該待驗證資訊發送給第一執行單元進行驗證,其中,該第一執行單元在該設備的系統包括的第一安全環境中運行; 獲取該第二執行單元發送的動態參數,該動態參數包括:亂數、時間資訊中的至少一者;將該動態參數發送給該第一執行單元,使該第一執行單元透過該驗簽私密金鑰對該驗證結果和該動態參數進行簽名;接收該第一執行單元返回的透過驗簽私密金鑰對驗證結果進行簽名得到的簽名資訊;以及將該簽名資訊發送給第二執行單元,以使該第二執行單元利用非對稱加密方式,透過該驗簽私密金鑰對應的驗簽公開金鑰,對該簽名資訊進行驗證,並在確定該簽名資訊驗證通過後,根據該驗證結果進行業務授權,其中,該第二執行單元在該設備的系統包括的第二安全環境中運行。
  30. 一種業務授權的設備,包括一個或多個記憶體以及處理器,該記憶體儲存程式,並且被配置成由該一個或多個處理器執行以下步驟:第一執行單元接收業務應用發送的待驗證資訊,其中,該第一執行單元在該設備的系統包括的第一安全環境中運行;接收該第二執行單元透過該業務應用發送的動態參數,該動態參數包括:亂數、時間資訊中的至少一者;對該待驗證資訊進行驗證,並將得到的驗證結果以及該動態參數透過保存的驗簽私密金鑰進行簽名,得到簽名 資訊;以及將該簽名資訊透過該業務應用發送給第二執行單元,以使該第二執行單元利用非對稱加密方式,透過該驗簽私密金鑰對應的驗簽公開金鑰,對該簽名資訊進行驗證,並在該簽名資訊驗證通過後,根據該驗證結果進行業務授權,其中,該第二執行單元在該設備的系統包括的第二安全環境中運行。
  31. 一種業務授權的設備,包括一個或多個記憶體以及處理器,該記憶體儲存程式,並且被配置成由該一個或多個處理器執行以下步驟:第二執行單元獲取第一執行單元透過業務應用發送的簽名資訊,該簽名資訊是該第一執行單元透過驗簽私密金鑰對驗證結果進行簽名後得到的,該驗證結果是該第一執行單元對該業務應用發送的待驗證資訊進行驗證後得到的,其中,該第一執行單元在該設備的系統包括的第一安全環境中運行,該第二執行單元在該設備的系統包括的第二安全環境中運行;以及利用非對稱加密方式,透過該驗簽私密金鑰對應的驗簽公開金鑰,對該簽名資訊進行驗證,並在確定該簽名資訊通過驗證後,根據從該簽名資訊中解析出的該驗證結果進行業務授權。
TW107132057A 2017-11-16 2018-09-12 業務授權的方法、裝置及設備 TWI724326B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201711135547.2 2017-11-16
??201711135547.2 2017-11-16
CN201711135547.2A CN108055132B (zh) 2017-11-16 2017-11-16 一种业务授权的方法、装置及设备

Publications (2)

Publication Number Publication Date
TW201923640A TW201923640A (zh) 2019-06-16
TWI724326B true TWI724326B (zh) 2021-04-11

Family

ID=62120265

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107132057A TWI724326B (zh) 2017-11-16 2018-09-12 業務授權的方法、裝置及設備

Country Status (7)

Country Link
US (2) US10892900B2 (zh)
EP (1) EP3641218B1 (zh)
KR (1) KR102382928B1 (zh)
CN (1) CN108055132B (zh)
SG (1) SG11202000396QA (zh)
TW (1) TWI724326B (zh)
WO (1) WO2019095864A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI749774B (zh) * 2020-09-17 2021-12-11 瑞昱半導體股份有限公司 驗證系統及用於驗證系統之驗證方法

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108055132B (zh) 2017-11-16 2020-04-28 阿里巴巴集团控股有限公司 一种业务授权的方法、装置及设备
CN109033790B (zh) * 2018-06-22 2023-03-10 徐镠琪 智能兵符两章两次授权使用方法
US11223485B2 (en) * 2018-07-17 2022-01-11 Huawei Technologies Co., Ltd. Verifiable encryption based on trusted execution environment
CN110020513B (zh) * 2018-11-07 2023-08-22 创新先进技术有限公司 签名记录方法、验证方法、装置及存储介质
US11797673B2 (en) 2020-08-27 2023-10-24 Ventana Micro Systems Inc. Processor that mitigates side channel attacks by expeditiously initiating flushing of instructions dependent upon a load instruction that causes a need for an architectural exception
US11868469B2 (en) * 2020-08-27 2024-01-09 Ventana Micro Systems Inc. Processor that mitigates side channel attacks by preventing all dependent instructions from consuming architectural register result produced by instruction that causes a need for an architectural exception
US11907369B2 (en) 2020-08-27 2024-02-20 Ventana Micro Systems Inc. Processor that mitigates side channel attacks by preventing cache memory state from being affected by a missing load operation by inhibiting or canceling a fill request of the load operation if an older load generates a need for an architectural exception
US11733972B2 (en) 2020-10-06 2023-08-22 Ventana Micro Systems Inc. Processor that mitigates side channel attacks by providing random load data as a result of execution of a load operation that does not have permission to access a load address
US11853424B2 (en) 2020-10-06 2023-12-26 Ventana Micro Systems Inc. Processor that mitigates side channel attacks by refraining from allocating an entry in a data TLB for a missing load address when the load address misses both in a data cache memory and in the data TLB and the load address specifies a location without a valid address translation or without permission to read from the location
US11734426B2 (en) 2020-10-06 2023-08-22 Ventana Micro Systems Inc. Processor that mitigates side channel attacks by prevents cache line data implicated by a missing load address from being filled into a data cache memory when the load address specifies a location with no valid address translation or no permission to read from the location
EP4002756B1 (en) * 2020-11-24 2022-11-02 Axis AB Systems and methods of managing a certificate associated with a component located at a remote location
CN113868691B (zh) * 2021-12-02 2022-05-24 北京溪塔科技有限公司 一种基于云原生的区块链的授权运行方法及装置
CN115603943A (zh) * 2022-09-07 2023-01-13 支付宝(杭州)信息技术有限公司(Cn) 一种离线身份验证的方法、装置、存储介质及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130238895A1 (en) * 2012-03-12 2013-09-12 International Business Machines Corporation Renewal processing of digital certificates in an asynchronous messaging environment
TWI567581B (zh) * 2009-12-16 2017-01-21 英特爾股份有限公司 用於在隱藏式執行環境中提供完整性驗證與認證之技術的裝置、方法及系統
CN106850201A (zh) * 2017-02-15 2017-06-13 济南晟安信息技术有限公司 智能终端多因子认证方法、智能终端、认证服务器及***
TWI600307B (zh) * 2011-12-15 2017-09-21 英特爾公司 用於在網路上使用硬體保全引擎之安全通訊的方法及裝置

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060149962A1 (en) 2003-07-11 2006-07-06 Ingrian Networks, Inc. Network attached encryption
US8245052B2 (en) * 2006-02-22 2012-08-14 Digitalpersona, Inc. Method and apparatus for a token
CN101108125B (zh) 2007-08-02 2010-06-16 无锡微感科技有限公司 一种身体体征动态监测***
US20120124369A1 (en) * 2010-11-09 2012-05-17 Jose Castejon Amenedo Secure publishing of public-key certificates
US8806192B2 (en) * 2011-05-04 2014-08-12 Microsoft Corporation Protected authorization for untrusted clients
US9887983B2 (en) * 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US10064240B2 (en) * 2013-09-12 2018-08-28 The Boeing Company Mobile communication device and method of operating thereof
TWI615798B (zh) 2013-12-17 2018-02-21 動聯國際股份有限公司 基於物聯網的健康照護系統
US10129243B2 (en) * 2013-12-27 2018-11-13 Avaya Inc. Controlling access to traversal using relays around network address translation (TURN) servers using trusted single-use credentials
GB201413836D0 (en) * 2014-08-05 2014-09-17 Arm Ip Ltd Device security apparatus and methods
US20160065374A1 (en) * 2014-09-02 2016-03-03 Apple Inc. Method of using one device to unlock another device
WO2016040281A1 (en) 2014-09-09 2016-03-17 Torvec, Inc. Methods and apparatus for monitoring alertness of an individual utilizing a wearable device and providing notification
CN105490997B (zh) * 2014-10-10 2019-05-14 阿里巴巴集团控股有限公司 安全校验方法、装置、终端及服务器
KR102471442B1 (ko) 2014-11-11 2022-11-25 글로벌 스트레스 인덱스 피티와이 엘티디 개인의 스트레스 레벨 및 스트레스 내성 레벨 정보를 생성하기 위한 시스템 및 방법
US20160234176A1 (en) * 2015-02-06 2016-08-11 Samsung Electronics Co., Ltd. Electronic device and data transmission method thereof
TWI540528B (zh) 2015-04-16 2016-07-01 神乎科技股份有限公司 協助使用者進行紀律性操作的證券交易提示方法
CN104900006B (zh) 2015-04-28 2017-10-27 中国科学技术大学先进技术研究院 一种基于可穿戴设备的智能个人安全***及其实现方法
WO2016192774A1 (en) * 2015-06-02 2016-12-08 Huawei Technologies Co., Ltd. Electronic device and method in an electronic device
CN105530099A (zh) * 2015-12-11 2016-04-27 捷德(中国)信息科技有限公司 基于ibc的防伪验证方法、装置、***和防伪凭证
CN105704123B (zh) * 2016-01-08 2017-09-15 腾讯科技(深圳)有限公司 一种进行业务处理的方法、装置和***
CN107126203A (zh) 2016-02-28 2017-09-05 南京全时陪伴健康科技有限公司 人体健康信息实时测量显示***
CN107220246B (zh) 2016-03-21 2020-10-16 创新先进技术有限公司 业务对象的分析方法及装置
CN106373012A (zh) 2016-09-06 2017-02-01 网易乐得科技有限公司 一种理财产品交易控制方法和设备
CN106878280B (zh) * 2017-01-10 2020-07-24 阿里巴巴集团控股有限公司 用户认证的方法和装置、获取用户号码信息的方法和装置
CN107092881B (zh) 2017-04-18 2018-01-09 黄海虹 一种驾驶人员更换***及方法
CN107031653B (zh) 2017-04-18 2018-03-06 黄海虹 一种用于共享汽车的驾驶员身份授权***
CN107203938A (zh) 2017-05-02 2017-09-26 优品财富管理股份有限公司 一种基于心率检测的股民投资指导***及方法
CN108055132B (zh) 2017-11-16 2020-04-28 阿里巴巴集团控股有限公司 一种业务授权的方法、装置及设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI567581B (zh) * 2009-12-16 2017-01-21 英特爾股份有限公司 用於在隱藏式執行環境中提供完整性驗證與認證之技術的裝置、方法及系統
TWI600307B (zh) * 2011-12-15 2017-09-21 英特爾公司 用於在網路上使用硬體保全引擎之安全通訊的方法及裝置
US20130238895A1 (en) * 2012-03-12 2013-09-12 International Business Machines Corporation Renewal processing of digital certificates in an asynchronous messaging environment
CN106850201A (zh) * 2017-02-15 2017-06-13 济南晟安信息技术有限公司 智能终端多因子认证方法、智能终端、认证服务器及***

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
2007-10-20 *
網路文獻作者名稱:"牛的大腦",著作名稱:certification,網址:"http://systw.net/note/af/sblog/more.php?id=24" *
網路文獻作者名稱:"牛的大腦",著作名稱:certification,網址:"http://systw.net/note/af/sblog/more.php?id=24"。 2007-10-20。
網路文獻作者名稱:"維基百科",著作名稱:公開金鑰基礎建設,網址:"https://zh.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E9%87%91%E9%91%B0%E5%9F%BA%E7%A4%8E%E5%BB%BA%E8%A8%AD" *
網路文獻作者名稱:"維基百科",著作名稱:公開金鑰基礎建設,網址:"https://zh.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E9%87%91%E9%91%B0%E5%9F%BA%E7%A4%8E%E5%BB%BA%E8%A8%AD"。

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI749774B (zh) * 2020-09-17 2021-12-11 瑞昱半導體股份有限公司 驗證系統及用於驗證系統之驗證方法

Also Published As

Publication number Publication date
SG11202000396QA (en) 2020-02-27
KR20200013057A (ko) 2020-02-05
WO2019095864A1 (zh) 2019-05-23
US20200204379A1 (en) 2020-06-25
CN108055132A (zh) 2018-05-18
CN108055132B (zh) 2020-04-28
US11316702B2 (en) 2022-04-26
EP3641218B1 (en) 2022-03-30
US10892900B2 (en) 2021-01-12
US20210135882A1 (en) 2021-05-06
EP3641218A4 (en) 2020-12-02
KR102382928B1 (ko) 2022-04-04
TW201923640A (zh) 2019-06-16
EP3641218A1 (en) 2020-04-22

Similar Documents

Publication Publication Date Title
TWI724326B (zh) 業務授權的方法、裝置及設備
US10846696B2 (en) Apparatus and method for trusted execution environment based secure payment transactions
US20200167775A1 (en) Virtual pos terminal method and apparatus
WO2021239104A1 (zh) 基于区块链的业务处理
TW202116040A (zh) 基於區塊鏈的可驗證聲明的創建方法、裝置、設備及系統
KR20190127676A (ko) 인증 방법 및 블록체인 기반의 인증 데이터 처리 방법 및 디바이스
CN110222531B (zh) 一种访问数据库的方法、***及设备
CN111931154B (zh) 基于数字凭证的业务处理方法、装置及设备
CN111680305A (zh) 一种基于区块链的数据处理方法、装置及设备
KR101741917B1 (ko) 음성인식을 활용한 인증 장치 및 방법
US20160086168A1 (en) Establishing communication between a reader application and a smart card emulator
CN113704826A (zh) 一种基于隐私保护的业务风险检测方法、装置及设备
CN109560933B (zh) 基于数字证书的认证方法及***、存储介质、电子设备
TW201937425A (zh) 交易處理方法、伺服器、客戶端及系統
CN115001817B (zh) 一种离线的身份识别方法、装置及设备
KR102071438B1 (ko) 이동 단말의 결제 인증 방법 및 장치 그리고 이동 단말
WO2024051365A1 (zh) 一种离线身份验证的方法、装置、存储介质及电子设备
US8904508B2 (en) System and method for real time secure image based key generation using partial polygons assembled into a master composite image
CN111783071A (zh) 基于密码、基于隐私数据的验证方法、装置、设备及***
CN111600882A (zh) 一种基于区块链的账户密码管理方法、装置及电子设备
CN115834074A (zh) 一种身份认证方法、装置及设备
CN115640589A (zh) 一种安全保护设备以及业务执行方法、装置及存储介质
KR20210133178A (ko) 인증 정보 처리 방법 및 장치와 인증 정보 처리 방법 장치를 포함한 사용자 단말
CN117436875A (zh) 一种业务执行方法、装置、存储介质及电子设备
JP2023507619A (ja) 非接触カードに格納されたパスポートデータに基づく安全な認証