一种基于可信执行环境的账号数据交互方法技术

本说明书实施例公开了一种基于可信执行环境的账号数据交互方法，应用于安装有目标应用程序的宿主终端，包括：目标应用程序发起账号登录请求，并将所述请求传输至运行于可信执行环境中的可信应用中；所述可信应用获取所述目标应用程序的应用身份信息，并发送更新后携带所述应用身份信息的账号登录请求至账号服务器；在所述账号服务器对所述应用身份信息验证通过的情况下，所述可信应用接收所述账号服务器发送的令牌信息，并将所述令牌信息传递至所述目标应用程序；所述目标应用程序基于所述令牌信息执行账号登录。相应地，本说明书实施例公开了基于可信执行环境的账号数据交互装置。置。置。

【技术实现步骤摘要】
一种基于可信执行环境的账号数据交互方法


[0001]本说明书实施例涉及一种数据交互方法，尤其涉及一种基于可信执行环境的账号数据交互方法。

技术介绍

[0002]当前，用户授权登录服务可以通过常用的通信协议服务于网页端的用户授权模块，而在移动端，账号管理服务器通过适配网页端使用的协议来支持用户登录服务的过程中存在一定的安全隐患。当前获取账号登录的大体流程为，移动端的商户App向账号管理服务器发起账号登录请求，账号管理服务器确认请求后返回令牌信息，商户服务器根据此令牌信息进行用户认证与登录。然而运营商在外部商户App中的存在形式只是一个三方软件开发工具包，或者说是一段代码，不存在辨别恶意攻击的能力。换言之，攻击者可以在用户无意识的情况下，通过欺骗账户管理服务器窃取到令牌信息，即用户授权凭证，从而在攻击者自己的设备上登录受害者的账号，盗用正常用户在合法App中的身份和利益。
[0003]鉴于此，希望获得一种更可靠的获取用户授权的方案，使得用户取号登录的过程中能够抵御恶意App发起的换端钓鱼攻击，规避潜在的账号盗用风险。

技术实现思路

[0004]本说明书实施例的目的之一在于提供一种基于可信执行环境的账号数据交互方法，该方法利用移动设备中通用的可信执行环境TEE，加固现行存在安全瑕疵的运营商取号登录服务，要求目标应用程序的身份必须经过核实，且TEE为整体链路提供了安全保证，从而有效抵御恶意App发起的换端钓鱼攻击，规避潜在的账号盗用风险。
[0005]基于上述专利技术目的，本说明书实施例提出了一种基于可信执行环境的账号数据交互方法，应用于安装有目标应用程序的宿主终端，所述宿主终端包括可信执行环境，所述方法包括：
[0006]所述目标应用程序发起账号登录请求，并将账号登录请求传输至可信应用，所述可信应用运行于所述可信执行环境中；
[0007]所述可信应用获取所述目标应用程序的应用身份信息，并发送更新后的账号登录请求至账号服务器，其中，所述更新后的账号登录请求中携带所述应用身份信息；
[0008]在所述账号服务器对所述应用身份信息验证通过的情况下，所述可信应用接收所述账号服务器发送的令牌信息，并将所述令牌信息传递至所述目标应用程序；
[0009]所述目标应用程序基于所述令牌信息执行账号登录。
[0010]在本说明书实施例中，通过可信应用TA代理发送账号登录请求，使得运营商后端的账号服务器能够在进行取号登录服务时安全地识别并核实目标应用程序的身份，从而检测到恶意App的攻击意图；由于TEE提供了硬件层的防护，保障了可信应用与账号服务器之间的加密通信，为整体链路提供了安全保证，从而能有效抵御恶意App发起的换端钓鱼攻击，规避潜在的账号盗用风险。
[0011]进一步地，所述可信应用获取所述目标应用程序的应用身份信息，并发送更新后的账号登录请求至账号服务器的步骤包括：
[0012]所述可信应用获取所述目标应用程序的应用身份信息以及所述目标应用程序的应用凭证，并发送更新后的账号登录请求至所述账号服务器，其中，所述更新后的账号登录请求中携带所述应用身份信息以及所述应用凭证，所述账号服务器根据所述应用身份信息以及所述应用凭证的映射关系对所述应用身份信息进行验证。
[0013]进一步地，所述目标应用程序将账号登录请求传输至可信应用之后，所述方法还包括：
[0014]所述可信应用获取所述目标应用程序的应用身份信息，并对更新后的账号登录请求进行加签后发送至账号服务器；
[0015]在所述账号服务器对所述加签的账号登录请求进行解密后，对所述应用身份信息验证通过的情况下，所述可信应用接收所述账号服务器发送的令牌信息，并将所述令牌信息传递至所述目标应用程序；
[0016]所述目标应用程序基于所述令牌信息执行账号登录。
[0017]需要说明的是，可信执行环境TEE中的可信应用TA预置了密钥来支持与账号服务器的加密通信，确保了通信环境的可靠性。
[0018]进一步地，在所述账号服务器对所述应用身份信息验证通过的情况下，所述可信应用接收所述账号服务器发送的令牌信息，并将所述令牌信息传递至所述目标应用程序的步骤包括：
[0019]在所述账号服务器对所述应用身份信息验证通过的情况下，所述可信应用接收所述账号服务器加密后发送的令牌信息；
[0020]对所述加密的令牌信息进行解密后，将所述令牌信息传递至所述目标应用程序。
[0021]进一步地，所述可信应用获取所述宿主终端对应的账号凭证，并将所述令牌信息与所述账号凭证进行对应关联。
[0022]即使攻击者可以事先伪造可信应用的请求并发送给账号服务器，也能通过令牌信息获取关联的账号凭证，从而检测出宿主终端的身份，规避潜在的换端钓鱼攻击。该过程为原子操作，无法被外界干扰和控制，可以作为第二维度的安全检测。其中，账号凭证包括移动设备的SIM卡信息。
[0023]进一步地，所述目标应用程序发起账号登录请求之前，所述方法还包括：
[0024]所述目标应用程序向所述账号服务器发起初始化请求；
[0025]基于所述账号服务器对所述初始化请求的响应，所述目标应用程序接收来自所述账号服务器发送的账号信息；
[0026]基于所述目标应用程序对所述账号信息的确认，发起账号登录请求。
[0027]进一步地，所述目标应用程序基于所述令牌信息执行账号登录的步骤包括：
[0028]所述目标应用程序向目标应用服务器发送所述令牌信息，其中，所述目标应用服务器基于所述令牌信息向所述账号服务器进行账号请求并基于请求到的所述账号执行账号登录。
[0029]本说明书实施例的另一目的在于提供一种基于可信执行环境的账号数据交互装置，该装置利用移动设备中通用的可信执行环境TEE，加固现行存在安全瑕疵的运营商取号
登录服务，要求目标应用程序的身份必须经过核实，且TEE提供了硬件层的防护，为整体链路提供了安全保证，从而有效抵御恶意App发起的换端钓鱼攻击，规避潜在的账号盗用风险。
[0030]基于上述目的，本说明书实施例还提供了一种基于可信执行环境的账号数据交互装置，其包括普通执行环境模块和可信执行环境模块，目标应用程序运行于所述普通执行环境模块中，所述可信应用运行于所述可行执行环境模块，
[0031]所述普通执行环境模块用于发起对应于所述目标应用程序的账号登录请求，并将账号登录请求传输至可信应用；
[0032]所述可信执行环境模块用于获取所述目标应用程序的应用身份信息，并发送更新后的账号登录请求至账号服务器，其中，所述更新后的账号登录请求中携带所述应用身份信息；
[0033]在所述账号服务器对所述应用身份信息验证通过的情况下，所述可信执行环境模块接收所述账号服务器发送的令牌信息，并将所述令牌信息传递至所述普通执行环境模块；
[0034]所述普通执行环境模块基于所述令牌信息执行账号登录。
[0035]进一步地，所述可信执行环境模块本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于可信执行环境的账号数据交互方法，应用于安装有目标应用程序的宿主终端，所述宿主终端包括可信执行环境，所述方法包括：所述目标应用程序发起账号登录请求，并将账号登录请求传输至可信应用，所述可信应用运行于所述可信执行环境中；所述可信应用获取所述目标应用程序的应用身份信息，并发送更新后的账号登录请求至账号服务器，其中，所述更新后的账号登录请求中携带所述应用身份信息；在所述账号服务器对所述应用身份信息验证通过的情况下，所述可信应用接收所述账号服务器发送的令牌信息，并将所述令牌信息传递至所述目标应用程序；所述目标应用程序基于所述令牌信息执行账号登录。2.如权利要求1所述的基于可信执行环境的账号数据交互方法，所述可信应用获取所述目标应用程序的应用身份信息，并发送更新后的账号登录请求至账号服务器的步骤包括：所述可信应用获取所述目标应用程序的应用身份信息以及所述目标应用程序的应用凭证，并发送更新后的账号登录请求至所述账号服务器，其中，所述更新后的账号登录请求中携带所述应用身份信息以及所述应用凭证，所述账号服务器根据所述应用身份信息以及所述应用凭证的映射关系对所述应用身份信息进行验证。3.如权利要求1所述的基于可信执行环境的账号数据交互方法，所述目标应用程序将账号登录请求传输至可信应用之后，所述方法还包括：所述可信应用获取所述目标应用程序的应用身份信息，并对更新后的账号登录请求进行加签后发送至账号服务器；在所述账号服务器对所述加签的账号登录请求进行解密后，对所述应用身份信息验证通过的情况下，所述可信应用接收所述账号服务器发送的令牌信息，并将所述令牌信息传递至所述目标应用程序；所述目标应用程序基于所述令牌信息执行账号登录。4.如权利要求1所述的基于可信执行环境的账号数据交互方法，在所述账号服务器对所述应用身份信息验证通过的情况下，所述可信应用接收所述账号服务器发送的令牌信息，并将所述令牌信息传递至所述目标应用程序的步骤包括：在所述账号服务器对所述应用身份信息验证通过的情况下，所述可信应用接收所述账号服务器加密后发送的令牌信息；对所述加密的令牌信息进行解密后，将所述令牌信息传递至所述目标应用程序。5.如权利要求1所述的基于可信执行环境的账号数据交互方法，所述方法还包括：所述可信应用获取所述宿主终端对应的账号凭证，并将所述令牌信息与所述账号凭证进行对应关联。6.如权利要求1所述的基于可信执行环境的账号数据交互方法，所述目标应用程序发起账号登录请求之前，所述方法还包括：所述目标应用程序向所述账号服务器发起初始化请求；基于所述账号服务器对所述初始化请求的响应，所述目标应用程序接收来自所述账号服务器发送的账号信息；基于所述目标应用程序对所述账号信息的确认，发起账号登录请求。
7.如权利要求1所述的基于可信执行环境的账号数据交互方法，所述目标应用程序基于所述令牌信息执行账号登录的步骤包括：所述目标应用程序向目标应用服务器发送所述令牌信息，其中，所述目标应用服务器基于所述令牌信息向所述账号服务器进行账号请求并基于请求到的所述账号执行账号登录。8.一种基于可信执行环境的账号数据交互装置，其包括普通执行环境...

【专利技术属性】
技术研发人员：施尚成，
申请(专利权)人：支付宝杭州信息技术有限公司，
类型：发明
国别省市：