可信应用认证系统和可信应用认证方法技术方案

本发明专利技术属于通信技术领域，涉及可信应用认证系统和方法。该可信应用认证系统包括：终端本地配置文件辅助模块，至少配置为向可信应用发出合法性认证指令、发送合法性认证结果和空发部署数字证书，以及向终端服务平台发送合法性认证请求；终端服务平台，至少配置为为终端设备生成并分配身份标识，并实现终端本地配置文件辅助模块和终端安全管理商之间、终端本地配置文件辅助模块和证书签发机构之间的消息交互；终端安全管理商，至少配置为根据合法性认证请求验证终端设备的设备信息；证书签发机构，至少配置为根据证书签名请求为可信应用生成数字证书。本发明专利技术实现可靠、安全的实现可信执行环境中可信应用的个人化，保护数字证书及身份标识的安全。

【技术实现步骤摘要】
可信应用认证系统和可信应用认证方法
本专利技术属于通信
，具体涉及可信应用认证系统和可信应用认证方法。
技术介绍
随着eSIM技术的不断发展与普及，传统插拔式SIM卡正面临前所未有的挑战。eSIM卡可以是嵌入到设备中的物理集成实体，也可以是软件应用。在eSIM卡以软件应用形式实现的方案中，终端设备可信执行环境(TrustedExecutionEnvironment，简称TEE)中的可信应用(TrustApplication，简称TA)作为终端设备实现相关功能性操作的主要载体，将模拟出传统插拔式SIM卡的全部功能。在当前的eUICC国际标准及规范当中，证书与身份标识在可信应用编程时以预置的方式部署到可信应用中。在可信应用进行个人化的过程中，可信应用会将证书及身份标识发送至第三方证书签发机构处进行相关合法性验证。现有技术中，证书与身份标识会在设备生产制造阶段于产线上被预置到终端设备当中。在生产环境安全得不到保证的前提下，证书和身份标识有可能在产线上被泄露或窃取。另一方面，可信应用在将证书、身份标识交由第三方证书签发机构处验证的过程中，可能发生中间人攻击，被非法终端设备截获数据从而冒充完成认证，从而引发信息安全等问题。如何可靠、安全的实现可信执行环境中可信应用的个人化，成为目前亟待解决的技术问题。
技术实现思路
本专利技术所要解决的技术问题是针对现有技术中上述不足，提供一种可信应用认证系统和可信应用认证方法，实现了可靠、安全的实现可信执行环境中可信应用的个人化，保护了数字证书及身份标识的安全，使可信应用合法性的认证结果真实可信。解决本专利技术技术问题所采用的技术方案是该可信应用认证系统，用于可信执行环境中的可信应用个人化，包括：终端本地配置文件辅助模块、终端服务平台、终端安全管理商和证书签发机构，其中：所述终端本地配置文件辅助模块，位于终端设备内，至少配置为向可信应用发出合法性认证指令、发送合法性认证结果和空发部署数字证书，以及向所述终端服务平台发送合法性认证请求；所述终端服务平台，至少配置为为所述终端设备生成并分配身份标识，并实现所述终端本地配置文件辅助模块和所述终端安全管理商之间、所述终端本地配置文件辅助模块和所述证书签发机构之间的消息交互；所述终端安全管理商，至少配置为根据合法性认证请求验证所述终端设备的设备信息；所述证书签发机构，至少配置为根据证书签名请求为所述可信应用生成数字证书。优选的是，所述终端本地配置文件辅助模块，还用于：向可信应用发送合法性认证结果的同时发送令牌、发送含令牌的身份标识，向所述终端服务平台发送身份标识申请请求或证书签名请求。优选的是，所述终端设备包括无线通信单元，所述无线通信单元用于将数字证书空发部署到所述可信应用中。一种可信应用认证方法，用于可信执行环境中的可信应用个人化，包括步骤：对所述可信应用进行合法性认证；对所述可信应用的终端设备进行设备信息验证，并为所述可信应用生成并分配身份标识；根据所述可信应用通过认证的认证结果、以及分配的身份标识生成数字证书，并将所述数字证书空发部署至所述可信应用。优选的是，对所述可信应用进行合法性认证以及对所述可信应用的终端设备进行设备信息验证，包括步骤：终端本地配置文件辅助模块向处于可信执行环境中的所述可信应用发出合法性认证指令；所述可信应用在收到认证指令后，生成认证消息集；所述可信应用将由认证消息集组成的合法性认证请求发送至所述终端本地配置文件辅助模块；所述终端本地配置文件辅助模块将合法性认证请求发送至终端服务平台；所述终端服务平台将合法性认证请求发送至终端安全管理商；所述终端安全管理商校验设备信息，生成合法性验证结果；所述终端安全管理商将合法性验证结果以及带有有效期的令牌反馈至所述终端服务平台；所述终端服务平台将合法性验证结果和令牌下发至所述终端本地配置文件辅助模块；所述终端本地配置文件辅助模块将合法性验证结果及令牌发送至所述可信应用。优选的是，为所述可信应用生成并分配身份标识，包括步骤：所述可信应用在令牌的有效期内向所述终端本地配置文件辅助模块申请身份标识；所述终端本地配置文件辅助模块将身份标识申请请求发送至所述终端服务平台；所述终端服务平台生成分配给所述可信应用的身份标识；所述终端服务平台将身份标识下发至所述终端本地配置文件辅助模块；所述终端本地配置文件辅助模块将身份标识发送至所述可信应用。优选的是，根据所述可信应用通过认证的认证结果、以及分配的身份标识生成数字证书，包括步骤：所述可信应用生成申请证书签名请求；所述可信应用向所述终端本地配置文件辅助模块申请数字证书；所述终端本地配置文件辅助模块将证书签名请求发送至所述终端服务平台；所述终端服务平台向证书签发机构申请基于证书签名请求的数字证书；所述证书签发机构颁发基于证书签名请求的数字证书至所述终端服务平台；所述终端服务平台下发数字证书至所述终端本地配置文件辅助模块；所述终端本地配置文件辅助模块将数字证书空发部署到所述可信应用中。优选的是，对所述可信应用进行合法性认证，以及对所述可信应用的终端设备进行设备信息验证，并为所述可信应用生成并分配身份标识，包括步骤：终端本地配置文件辅助模块向处于可信执行环境中的所述可信应用发出合法性认证指令；所述可信应用在收到认证指令后，生成认证消息集；所述可信应用将由认证消息集组成的合法性认证请求发送至所述终端本地配置文件辅助模块；所述终端本地配置文件辅助模块将合法性认证请求发送至终端服务平台；所述终端服务平台生成分配给所述可信应用的身份标识；所述终端服务平台将合法性认证请求发送至终端安全管理商；所述终端安全管理商校验设备信息，生成合法性验证结果；所述终端安全管理商将合法性验证结果反馈至所述终端服务平台；所述终端服务平台将合法性验证结果及生成的身份标识下发至所述终端本地配置文件辅助模块；所述终端本地配置文件辅助模块再将合法性验证结果及身份标识发送至所述可信应用。优选的是，根据所述可信应用通过认证的认证结果、以及分配的身份标识生成数字证书，还包括对可信应用进行合法性认证以及对所述可信应用的终端设备进行设备信息验证的步骤：所述可信应用生成证书签名请求；所述可信应用再次向所述终端本地配置文件辅助模块发送合法性认证请求；所述终端本地配置文件辅助模块上传合法性认证请求至所述终端服务平台；所述终端服务平台将收到的合法性认证请求发送至所述终端安全管理商；所述终端安全管理商再次校验设备信息，生成二次合法性验证结果；所述终端安全管理商将二次合法性验证结果反馈至所述终端服务平台；所述终端服务平台在收到二次合法性验证结果后，向证书签发机构申请基于证书签名请求的数字证书；所述证书签发机构颁发基于证书签名请求的数字证至给所述终端服务平台；所述终端服务平台下发数字证书至所述终端本地配置文件辅助模块；所述终端本地配置文件辅助模块将数字证书空发部署到所述可信应用中。进一步优选的是，还包括：对所述终端安全管理商的地址进行验证的步骤，合法性验证结果还包括地址验证信息。本专利技术的有益效果是：本专利技术提供的可信应用认证方法和相应的系统，采用证书空发(OTA)方式完成对可信执行环境中可信应用个人化的配置，即证书签发机构根据证书签名请求为可信应用签发数字证书，数字证书通过空中下载(空发)的方式一次性本文档来自技高网...

【技术保护点】
1.一种可信应用认证系统，用于可信执行环境中的可信应用个人化，其特征在于，包括：终端本地配置文件辅助模块、终端服务平台、终端安全管理商和证书签发机构，其中：所述终端本地配置文件辅助模块，位于终端设备内，至少配置为向可信应用发出合法性认证指令、发送合法性认证结果和空发部署数字证书，以及向所述终端服务平台发送合法性认证请求；所述终端服务平台，至少配置为为所述终端设备生成并分配身份标识，并实现所述终端本地配置文件辅助模块和所述终端安全管理商之间、所述终端本地配置文件辅助模块和所述证书签发机构之间的消息交互；所述终端安全管理商，至少配置为根据合法性认证请求验证所述终端设备的设备信息；所述证书签发机构，至少配置为根据证书签名请求为所述可信应用生成数字证书。

【技术特征摘要】
1.一种可信应用认证系统，用于可信执行环境中的可信应用个人化，其特征在于，包括：终端本地配置文件辅助模块、终端服务平台、终端安全管理商和证书签发机构，其中：所述终端本地配置文件辅助模块，位于终端设备内，至少配置为向可信应用发出合法性认证指令、发送合法性认证结果和空发部署数字证书，以及向所述终端服务平台发送合法性认证请求；所述终端服务平台，至少配置为为所述终端设备生成并分配身份标识，并实现所述终端本地配置文件辅助模块和所述终端安全管理商之间、所述终端本地配置文件辅助模块和所述证书签发机构之间的消息交互；所述终端安全管理商，至少配置为根据合法性认证请求验证所述终端设备的设备信息；所述证书签发机构，至少配置为根据证书签名请求为所述可信应用生成数字证书。2.根据权利要求1所述的可信应用认证系统，其特征在于，所述终端本地配置文件辅助模块，还用于：向可信应用发送合法性认证结果的同时发送令牌、发送含令牌的身份标识，向所述终端服务平台发送身份标识申请请求或证书签名请求。3.根据权利要求1所述的可信应用认证系统，其特征在于，所述终端设备包括无线通信单元，所述无线通信单元用于将数字证书空发部署到所述可信应用中。4.一种可信应用认证方法，用于可信执行环境中的可信应用个人化，其特征在于，包括步骤：对所述可信应用进行合法性认证；对所述可信应用的终端设备进行设备信息验证，并为所述可信应用生成并分配身份标识；根据所述可信应用通过认证的认证结果、以及分配的身份标识生成数字证书，并将所述数字证书空发部署至所述可信应用。5.根据权利要求4所述的可信应用认证方法，其特征在于，对所述可信应用进行合法性认证以及对所述可信应用的终端设备进行设备信息验证，包括步骤：终端本地配置文件辅助模块向处于可信执行环境中的所述可信应用发出合法性认证指令；所述可信应用在收到认证指令后，生成认证消息集；所述可信应用将由认证消息集组成的合法性认证请求发送至所述终端本地配置文件辅助模块；所述终端本地配置文件辅助模块将合法性认证请求发送至终端服务平台；所述终端服务平台将合法性认证请求发送至终端安全管理商；所述终端安全管理商校验设备信息，生成合法性验证结果；所述终端安全管理商将合法性验证结果以及带有有效期的令牌反馈至所述终端服务平台；所述终端服务平台将合法性验证结果和令牌下发至所述终端本地配置文件辅助模块；所述终端本地配置文件辅助模块将合法性验证结果及令牌发送至所述可信应用。6.根据权利要求5所述的可信应用认证方法，其特征在于，为所述可信应用生成并分配身份标识，包括步骤：所述可信应用在令牌的有效期内向所述终端本地配置文件辅助模块申请身份标识；所述终端本地配置文件辅助模块将身份标识申请请求发送至所述终端服务平台；所述终端服务平台生成分配给所述可信应用的身份标识；所述终端服务平台将身份标识下发至所述终端本地配置文件辅助模块；所...

【专利技术属性】
技术研发人员：仇剑书，胡博，刘牧洲，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：北京,11