可信执行环境中的认证方法和系统技术方案

本发明专利技术公开了一种可信执行环境中的认证方法和系统，涉及移动终端技术领域。其中的认证方法包括：系统通信驱动获取客户端应用CA的特征信息，并发送给可信应用TA对CA进行身份认证；和/或，系统通信驱动获取TA的特征信息，并发送给CA对TA进行身份认证，实现了一种由系统通信驱动配合完成的客户端应用与可信应用间的身份认证，提高安全性。

【技术实现步骤摘要】
可信执行环境中的认证方法和系统
本专利技术涉及移动终端
，特别涉及一种可信执行环境中的认证方法和系统。
技术介绍
移动互联网高速发展，移动应用的种类和数量越来越多。移动终端中处理的业务、存储的数据的安全性也受到越来越多的威胁，尤其是支付、办公、版权保护等高安全需求的行业应用。然而智能终端的操作系统的设计侧重于功能性，同时具备开放性，且庞大复杂而存在许多的系统漏洞，使得恶意应用不断出现，威胁用户的数据安全。为满足移动应用的高安全需求，业界研究提出了TEE(TrustedExecutionEnvironment,可信执行环境)的解决方案。此方案提出，从终端硬件设备的划为两个硬件隔离的执行环境：REE(RichExecutionEnvironment,富执行环境)和可信执行环境。终端中软、硬件资源分别被标为两种执行环境的标识，标识为安全状态的软硬件资源只能由可信执行环境访问控制。另外，富执行环境通常为Android等操作系统，而可信执行环境通常为一个封闭、功能相对简单的安全操作系统，可部署业务应用核心加解密、认证模块，即业务应用的TA(TrustedApplication,可信应用)，为普通应用调用。目前在可信执行环境技术标准中，未对可信应用与客户端应用之间的双向认证作定义。客户端应用未对可信应用进行身份验证，易造成客户端应用无法识别被伪造、篡改的可信应用，或被误用的可信应用，让黑客通过伪造或篡改可信应用，攻击业务应用。可信应用未对客户端应用调用进行身份验证，易造成可信应用可被非法客户端应用访问，导致可信执行环境内存储的数据泄漏和被盗用。
技术实现思路
本专利技术所要解决的一个技术问题是：如何实现可信应用TA与客户端应用CA的身份认证。根据本专利技术的一个方面，提供了一种可信执行环境中的认证方法，包括：客户端应用CA向系统通信驱动发起创建会话请求；系统通信驱动响应于创建会话请求，获取CA的特征信息，并将创建会话请求以及CA的特征信息发送给可信应用TA；TA接收到创建会话请求之后，根据CA的特征信息对CA进行身份认证。可选的，该认证方法还包括：所述TA向所述系统通信驱动返回创建会话响应；所述系统通信驱动响应于所述创建会话响应，获取所述TA的特征信息，并将所述创建会话响应以及所述TA的特征信息发送给所述CA；所述CA接收到所述创建会话响应之后，根据所述TA的特征信息对所述TA进行身份认证。优选的，如果对所述CA认证通过并且对所述TA认证通过，CA与TA之间建立会话通道，使得CA能够对TA进行安全调用。示例性的，所述CA的特征信息包括CA的私钥签名信息和包名信息。或者，所述TA的特征信息包括TA的业务方私钥签名信息或者通用唯一识别码UUID。优选的，可信应用TA在发布时由可信执行环境TEE提供商进行签名，用于所述TA在可信执行环境中的授权验证；和/或可信应用TA在发布时进行业务方私钥签名，用于客户端应用CA对所述TA的身份认证。根据本专利技术的另一个方面，提供了一种可信执行环境中的认证方法，包括：客户端应用CA向系统通信驱动发起创建会话请求；系统通信驱动响应于创建会话请求，将创建会话请求发送给可信应用TA；TA接收到创建会话请求之后，向系统通信驱动返回创建会话响应；系统通信驱动响应于创建会话响应，获取TA的特征信息，并将创建会话响应以及TA的特征信息发送给CA；CA接收到创建会话响应之后，根据TA的特征信息对TA进行身份认证。根据本专利技术的又一个方面，提供了一种可信执行环境中的认证系统，包括客户端应用CA、系统通信驱动以及可信应用TA，其中，客户端应用CA用于向系统通信驱动发起创建会话请求；系统通信驱动用于响应于创建会话请求，获取CA的特征信息，并将创建会话请求以及CA的特征信息发送给可信应用TA；可信应用TA用于接收到创建会话请求之后，根据CA的特征信息对CA进行身份认证。可选的，所述TA还用于向所述系统通信驱动返回创建会话响应；所述系统通信驱动还用于响应于所述创建会话响应，获取所述TA的特征信息，并将所述创建会话响应以及所述TA的特征信息发送给所述CA；所述CA还用于接收到所述创建会话响应之后，根据所述TA的特征信息对所述TA进行身份认证。优选的，如果对所述CA认证通过并且对所述TA认证通过，CA与TA之间建立会话通道，使得CA能够对TA进行安全调用。根据本专利技术的再一个方面，提供了一种可信执行环境中的认证系统，包括客户端应用CA、系统通信驱动以及可信应用TA，其中，客户端应用CA用于向系统通信驱动发起创建会话请求；系统通信驱动用于响应于创建会话请求，将创建会话请求发送给可信应用TA；TA用于接收到创建会话请求之后，向系统通信驱动返回创建会话响应；系统通信驱动还用于响应于创建会话响应，获取TA的特征信息，并将创建会话响应以及TA的特征信息发送给CA；CA还用于接收到创建会话响应之后，根据TA的特征信息对TA进行身份认证。本专利技术至少具有以下优点：通过系统通信驱动获取客户端应用CA的特征信息，并发送给可信应用TA对CA进行身份认证；和/或，系统通信驱动获取TA的特征信息，并发送给CA对TA进行身份认证。实现了一种由系统通信驱动配合完成的客户端应用与可信应用间的身份认证，提高安全性。通过以下参照附图对本专利技术的示例性实施例的详细描述，本专利技术的其它特征及其优点将会变得清楚。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1示出本专利技术可信执行环境中的认证方法的一个实施例的流程示意图。图2示出本专利技术可信执行环境中的认证方法的另一个实施例的流程示意图。图3示出本专利技术可信应用TA与客户端应用CA的部署示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本专利技术及其应用或使用的任何限制。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。基于可信应用TA与客户端应用CA间的身份认证问题，提出本专利技术。图3是本专利技术的可信应用TA与客户端应用CA的部署示意图。如图3所示，从终端硬件设备划为两个硬件隔离的执行环境：REE(RichExecutionEnvironment,富执行环境)和TEE(TrustedExecutionEnvironment,可信执行环境)。终端中软、硬件资源分别被标为两种执行环境的标识，标识为安全状态的软硬件资源只能由可信执行环境访问控制。其中的富执行环境通常为Android等操作系统，而可信执行环境通常为一个封闭、功能相对简单的安全操作系统，可部署业务应用核心加解密、认证模块。在终端硬件设备中还包括系统通信驱动，可进一步细分为REE通信驱动和TEE通信驱动，REE通信驱动可以被客户端应用CA调用，TEE通信驱动可以被可信应用TA调用，REE通信驱动与TEE通本文档来自技高网...

【技术保护点】
一种可信执行环境中的认证方法，包括：客户端应用CA向系统通信驱动发起创建会话请求；所述系统通信驱动响应于所述创建会话请求，获取所述CA的特征信息，并将所述创建会话请求以及所述CA的特征信息发送给可信应用TA；所述TA接收到所述创建会话请求之后，根据所述CA的特征信息对所述CA进行身份认证。

【技术特征摘要】
1.一种可信执行环境中的认证方法，包括：客户端应用CA向系统通信驱动发起创建会话请求；所述系统通信驱动响应于所述创建会话请求，获取所述CA的特征信息，并将所述创建会话请求以及所述CA的特征信息发送给可信应用TA；所述TA接收到所述创建会话请求之后，根据所述CA的特征信息对所述CA进行身份认证。2.根据权利要求1所述的认证方法，其特征在于，还包括：所述TA向所述系统通信驱动返回创建会话响应；所述系统通信驱动响应于所述创建会话响应，获取所述TA的特征信息，并将所述创建会话响应以及所述TA的特征信息发送给所述CA；所述CA接收到所述创建会话响应之后，根据所述TA的特征信息对所述TA进行身份认证。3.根据权利要求2所述的认证方法，其特征在于，还包括：如果对所述CA认证通过并且对所述TA认证通过，CA与TA之间建立会话通道，使得CA能够对TA进行安全调用。4.根据权利要求2所述的认证方法，其特征在于，所述CA的特征信息包括CA的私钥签名信息和包名信息。或者，所述TA的特征信息包括TA的业务方私钥签名信息或者通用唯一识别码UUID。5.根据权利要求1或2所述的认证方法，其特征在于，还包括：可信应用TA在发布时由可信执行环境TEE提供商进行签名，用于所述TA在可信执行环境中的授权验证；和/或可信应用TA在发布时进行业务方私钥签名，用于客户端应用CA对所述TA的身份认证。6.一种可信执行环境中的认证方法，包括：客户端应用CA向系统通信驱动发起创建会话请求；所述系统通信驱动响应于所述创建会话请求，将所述创建会话请求发送给可信应用TA；所述TA接收到所述创建会话请求之后，向所述系统通信驱动返回创建会话响应；所述系统通信驱动响应于所述创建会话响应，获取所述TA的特征信息，并将所述创建会话响应以及所述TA的特征信息发送给所述CA；所述CA接收到所述创建会话响应之后，根据所述TA的特征信息对所述TA进行身份认证。7.根据权利要求6所述的认证方法，其特征在于，还包括：如果对所述TA认证通过，CA与TA之间建立会话通道，使得CA能够对TA进行安全调用。8.根据权利要求6所述的认证方法，其特征在于，所述TA的特征信息包括TA的业务方私钥签名信息或者通用唯一识别码UUID。9.根据权利要求6所述的认证方法，还包括：可信应用TA在发布时由可信执行环境TEE提供商进行签名，用于所述TA在可信执行环境中的授权验证；和/或可信应用TA在发布时进行业务方私钥签名，用于客户端应用CA对所述TA的身份认证。10.一种可信执行环境中的认证系统，包括客户端应用CA、系统通信驱动以...

【专利技术属性】
技术研发人员：陈平辉，郭茂文，何峣，王磊，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京,11