CN105656890B - 一种基于tee和无线确认的fido认证器及系统及方法 - Google Patents
一种基于tee和无线确认的fido认证器及系统及方法 Download PDFInfo
- Publication number
- CN105656890B CN105656890B CN201511026480.XA CN201511026480A CN105656890B CN 105656890 B CN105656890 B CN 105656890B CN 201511026480 A CN201511026480 A CN 201511026480A CN 105656890 B CN105656890 B CN 105656890B
- Authority
- CN
- China
- Prior art keywords
- user
- tee
- module
- wireless adapter
- fido
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于TEE和无线确认的FIDO认证器及系统及方法。认证器包括在TEE中以TA的形式实现的主运算部件、用于输入用户确认信息的无线终端以及在智能终端中接收用户确认信息的无线适配器。系统包括FIDO认证器、运行在REE中的认证客户端和业务客户端、业务服务器和认证服务器。方法包括步骤:在TEE中加载运行主运算部件,主运算部件接收认证客户端发送的绑定/认证/交易请求等。本发明使用基于FIDO协议实现的认证方式来提高用户体验,可以免去输入用户名和密码的过程;其次,在实现FIDO认证器的过程中运用TEE技术来提高安全性。本发明可广泛应用于各种智能终端认证系统。
Description
技术领域
本发明涉及在线认证技术领域,具体涉及到一种应用于智能终端认证的FIDO认证器、基于FIDO认证器的智能终端认证系统和方法。
背景技术
TEE:Trusted Execution Environment,可信运行环境,应用于安全智能终端,安全支付等领域。
REE:Rich Execution Environment,富运行环境或非可信运行环境,如安卓系统等。
TA:Trusted Application,可信应用,指TEE中的安全应用程序。
CA:Client Application,客户端应用程序,在REE中,可调用TA。
FIDO:Fast Identity Online,线上快速身份认证,是一个身份认证标准。
UAF: Universal Authentication Framework,通用认证框架,FIDO协议两种规范的一种。
U2F: Universal Second Factor,通用第二因子,FIDO协议两种规范的一种。
TEE(Trusted Execution Environment)是相对于REE(Rich ExecutionEnvironment,如安卓系统等)来说的。TEE和REE是运行在同一个芯片平台上的“双系统”。因为TEE与REE的隔离性,TEE能有效防止REE下的软件攻击,能提供额外高强度的安全性,且共享主CPU和部分IP,增加的成本很少,已经在市场上大范围流行,如三星的KNOX系统,Windows RT系统,华为一些高端手机上的指纹支付方案等。
FIDO(Fast Identity Online) Alliance,成立于2012年7月。FIDO的目标是创建一套开放的标准协议,保证各厂商开发的强认证技术之间的互操作性,改变目前的主流在线验证的方式(使用口令作为主要验证手段),消除或者减弱用户对口令的依赖。 该联盟目前有220多家企业加入,包括Google、Microsoft、PayPal、ARM、Nok Nok Labs、三星、联想、阿里巴巴等大型国内外企业成员,并在其成立一周年之际发布了FIDO协议的技术规范草案,它包括UAF(Universal Authentication Framework protocol)和U2F(Universal SecondFactor protocol),其中UAF协议支持指纹、语音、虹膜扫描等生物特征身份识别技术,U2F协议则是使用双因子保护用户账户隐私。FIDO标准的出现解决了传统口令认证的各种问题,该技术可以增强身份认证安全系数,还可以避免用户口令泄露、网络攻击等带来的损失,是未来在线身份认证的主流技术之一。
现有的在线认证方式有以下几种:一是用户名+口令密码,它只需要用户在每次认证时输入已记忆的用户名、口令即可完成认证;二是使用UKey来增强认证过程,尤其是在网上银行操作时用得较为普遍;三是使用动态验证码(手机验证码、动态口令等)来增强认证过程。第四种是采用FIDO标准的认证方案或类似的实现,比如三星的KNOX认证系统,苹果手机的指纹认证等。其中,第二种和第三种都依赖于传统的用户名+口令的认证方式,第四种将用户账户和认证器绑定后,在以后的认证过程中无需输入用户名和密码,用户只需将手指放在智能终端的指纹扫描仪上即可完成认证确认。
现在的认证方式前面三种要求用户需要记住大量的用户名和口令,而在轻交互智能终端大量信息的输入将降低用户体验,另外,用户名和口令方式存在容易被钓鱼,泄露,非法盗取和遗忘的风险。使用UKey的方式虽然提供了高级别的安全性,但没有统一的标准,单独的安全硬件设备更没有经济性。使用动态验证码的方式虽然增强了认证过程,但是仍需要用户输入额外的信息,这在一些轻交互的终端中体验不是很好,且需要额外的设备参与。轻交互方式例如电视,通过遥控器输入过多的信息降低了用户体验。
一方面,FIDO 的UAF协议本身目的在于减少对用户名口令的依赖,依赖环境的特征或生物识别特征技术,在不减少安全性的基础上,实现更容易的认证方法,非常适合在智能终端尤其是轻交互设备上实现。第二方面,TEE环境由于安全性强,适合运行认证程序。第三方面,在轻交互智能设备认证过程中,用户输入确认信息要求具备远距离交互功能。基于上述三项考虑,本发明提出一种基于TEE和无线确认的FIDO认证器。
发明内容
为了解决上述技术问题,本发明的目的是提供一种可方便、快捷、安全地进行智能终端认证的FIDO认证器及FIDO认证系统及方法。
本发明所采用的技术方案是:
一种基于TEE和无线确认的FIDO认证器,包括在TEE中以TA的形式实现的主运算部件、用于输入用户确认信息的无线终端以及在智能终端中接收用户确认信息的无线适配器,所述主运算部件、无线适配器和无线终端依次连接;所述主运算部件包括功能模块、用户输入模块和状态提示模块,所述用户输入模块与状态提示模块均与功能模块连接,所述用户输入模块与无线适配器连接;所述功能模块用于FIDO协议实现、算法库实现、密钥管理功能实现、证书存储功能实现、与REE中认证客户端的通信实现、对用户输入模块的控制实现、对状态提示模块的控制实现功能;所述用户输入模块受功能模块控制,用于读取无线适配器的内容并转发给功能模块;所述状态提示模块受功能模块控制,用于提醒用户在无线终端上操作。
优选的,所述用户输入模块通过安全中断或轮询的方式读取无线适配器接收到的内容。
优选的,所述无线终端与无线适配器通过红外、蓝牙或2.4G无线通信方式相连。
一种基于TEE和无线确认的FIDO认证系统,其包括一种基于TEE和无线确认的FIDO认证器、运行在REE中的认证客户端和业务客户端、业务服务器和认证服务器,所述认证客户端与功能模块连接,所述认证客户端、业务客户端、业务服务器和认证服务器依次连接;所述主运算部件、无线适配器、认证客户端和业务客户端均设置在智能终端中。
优选的,所述业务客户端与业务服务器通过Internet连接。
一种基于TEE和无线确认的FIDO认证方法,其应用于一种基于TEE和无线确认的FIDO认证系统,所述方法包括步骤:S1,在TEE中加载运行主运算部件,主运算部件接收认证客户端发送的绑定/认证/交易请求;S2,主运算部件中的功能模块解析绑定/认证/交易请求,判断为对应的操作命令后激活用户输入模块以读取无线适配器将要接收到的信号,并控制状态提示模块提示用户输入用户确认信息;S3,用户输入模块配置无线适配器相关的控制寄存器为TEE环境只读模式;S4,用户输入模块通过安全中断或轮询的方式读取无线适配器接收到的用户确认信息并传给功能模块;S5,功能模块根据对应的操作存储或比对用户确认信息;S6,用户输入模块还原无线适配器相关的控制寄存器为REE环境可读;S7,功能模块执行进一步操作,包括公私钥对生成和/或密钥存储和/或签名步骤;S8,功能模块将步骤S7中的操作执行结果封装后返回给REE中的认证客户端。
优选的,所述步骤S3具体还包括子步骤:S31,用户输入模块清空无线适配器中的键值缓存;S32,用户输入模块根据需要配置无线适配器中断为安全中断;所述步骤S6具体还包括子步骤:S61,用户输入模块清空无线适配器中的键值缓存;S62,用户输入模块根据需要配置还原无线适配器中断的安全属性。
本发明的有益效果是:
首先,本发明使用基于FIDO协议实现的认证方式来提高用户体验,用户在首次使用该认证器时需要绑定认证器到已注册过的账号,在以后的认证过程中则可以免去输入用户名和密码的过程,这样使认证过程更加方便快捷,提高了用户体验;其次,本发明在实现FIDO认证器的过程中运用TEE技术来提高安全性,特别是认证器的主运算部件,由于其安全性基于执行环境,安全强度较高,在本发明中我们将认证器主运算部件实现在TEE中,并且通过轮询或设置安全中断的方式将读取用户确认信息的过程也限制在TEE中进行,从而提高了整个认证过程的安全性;最后,本发明方案优先采用的智能终端自带TEE,相比于采用专门的额外安全硬件的认证方式更具有经济性。
本发明可广泛应用于各种智能终端认证系统,尤其是轻交互智能设备认证系统。
附图说明
下面结合附图对本发明的具体实施方式作进一步说明:
图1是本发明FIDO认证器一种实施例的结构示意图;
图2是本发明认证系统一种实施例的系统框架图;
图3是本发明认证方法一种实施例的方法流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明基于TEE提供一个安全隔离的安全环境实现FIDO UAF的认证器,通过无线远程用户确认方式与TEE进行交互,从而实现更加灵活的在线认证,可应用在包括智能电视和物联网设备的各种智能终端上。
本发明基于TEE技术和FIDO UAF协议设计了一种适用于智能终端的认证器,包含三部分:以TA形式实现在TEE中的主运算部件;用于输入用户确认信息的无线终端;以及智能终端上的无线适配器。如图1所示,一种基于TEE和无线确认的FIDO认证器,包括在TEE中以TA的形式实现的主运算部件、用于输入用户确认信息的无线终端以及在智能终端中接收用户确认信息的无线适配器,所述主运算部件、无线适配器和无线终端依次连接;所述主运算部件包括功能模块、用户输入模块和状态提示模块,所述用户输入模块与状态提示模块均与功能模块连接,所述用户输入模块与无线适配器连接;所述功能模块用于FIDO协议实现、算法库实现、密钥管理功能实现、证书存储功能实现、与REE中认证客户端的通信实现、对用户输入模块的控制实现、对状态提示模块的控制实现功能;所述用户输入模块受功能模块控制,用于读取无线适配器的内容并转发给功能模块;所述状态提示模块受功能模块控制,用于提醒用户在无线终端上操作。
优选的,所述用户输入模块通过安全中断或轮询的方式读取无线适配器接收到的内容。
优选的,所述无线终端与无线适配器通过红外、蓝牙或2.4G无线通信方式相连。
一种智能终端上的认证器,遵循FIDO UAF协议,包含以TEE中TA的形式实现的主运算部件;用于输入用户确认信息的无线终端;以及在智能终端中接收用户确认信息的无线适配器,其结构框架图如图1所示。其中,无线适配器通过系统配置可以只工作在TEE中,或能同时工作在TEE和REE中。认证器在执行认证、注册、交易命令的过程中需要用户的参与,即用户需要通过无线终端输入单向的特定按键值或PIN码以验证用户身份。无线终端与智能终端端上的无线适配器通过红外、蓝牙或2.4G等无线技术相连,主运算部件读取安全状态下的无线适配器上接收到的信号,该适配器信号不可通过软件方式修改。
该实施例中,智能终端以智能电视终端为例,所述无线终端为遥控器,显然,在其它智能终端中,如广告机,无线终端也可以是其它无线设备。
主运算部件各模块的功能具体描述如下。
(1)功能模块负责从REE端接收命令,并解析和执行认证器命令。功能模块基于TEE内部API(Application Programming Interface,应用程序编程接口)实现,遵循FIDO UAF认证器接口标准,需要实现绑定、签名、注销、打开设置界面和获取认证器信息等5类命令操作。其中注册和签名命令需要处理从无线终端读取的用户确认信息。该模块包括FIDO协议实现、算法库实现、密钥管理功能实现、证书存储功能实现、与REE中CA的通信实现、对用户输入模块的控制实现、对状态提示模块的控制实现功能。其中算法库实现中包含哈希算法、数字签名算法、对称加解密算法等。
(2)用户输入模块负责维护智能终端上的无线适配器的信号,将其转换为功能模块可使用的键值序列。该模块受功能模块控制,负责读取无线适配器内容并转发给功能模块。该模块负责维护无线适配器的中断源安全属性和相应片内控制器的安全属性。
(3)状态提示模块将以某种自定义的方式,比如改变无线终端上的LED灯的状态或在无线终端屏幕上弹出消息界面等,提醒用户在无线终端上做确认操作。该模块受功能模块控制。
主运算部件以功能模块为核心,串联其他模块。此外,主运算部件被REE中认证客户端CA调用。
无线终端和智能终端上的无线适配器负责建立通信通道,用于用户确认信息的输入和接收。无线适配器中断可以在认证器工作过程中根据需要被设置为安全中断,以使得主运算部件和无线适配器的交互在TEE中进行(若该中断为非安全中断,则读取用户确认信息的过程需要跳转到REE中进行,这样增加了受到攻击的风险)。
认证器的实现遵循FIDO UAF标准,可以快速兼容符合FIDO标准的其他产品。
如图3所示,认证器的工作流程如下:
(1)TEE中的主运算部件被加载运行,并收到REE中CA发送的绑定/认证/交易请求;
(2)功能模块解析绑定或认证等请求,判断为对应的操作命令后激活用户输入模块以读取无线适配器将要接收到的信号,并控制状态提示模块提示用户输入用户确认信息;
(3)用户输入模块清空无线适配器中的键值缓存,并根据需要配置无线适配器中断为安全中断;
(4)用户输入模块配置无线适配器相关的控制寄存器为安全世界只读。
(5)用户需要在已定义的一段时间内在无线终端上输入确认信息,并发送到无线适配器,否则视为拒绝认证器操作;
(6)用户输入模块通过安全中断或轮询的方式读取无线适配器接收到的用户确认信息并传给功能模块;
(7)功能模块根据对应的操作存储或比对用户确认信息;
(8)用户输入模块还原无线适配器相关的控制寄存器为普通世界可读。
用户输入模块清空无线适配器中的键值缓存,并根据需要配置还原无线适配器中断的安全属性;
(9)功能模块执行进一步操作包括公私钥对生成、密钥存储、签名等步骤;
(10) 功能模块将操作执行结果按照一定的格式封装,并返回给REE中的CA;
基于上述FIDO认证器工作流程,下面具体描述认证器在支付业务中的工作流程及其与REE中认证客户端的交互过程。
(1)REE中的认证客户端使用TEE API调用TEE中的TA, 注册/认证命令参数被封装成TLV字节流;
(2)REE 通信代理调用SMC指令,当前环境跳转至监视器模式;
(3)系统监视器保存REE上下文,并控制当前世界切换至TEE;
(4)TEE中TA 管理程序加载并运行TA,并把接收到的命令绑定/认证命令参数交付给功能模块;
(5)功能模块解析绑定/认证命令参数,判断为对应的操作后激活用户输入模块以读取红外适配器中的收到的信号,并控制状态提示模块提示用户输入用户验证信息;
(6)用户输入模块清空红外无线适配器中相关的寄存器和缓存,并通过配置GIC(Generic Interrupt Controller,是ARM公司提供的一个通用的中断控制器)设置红外适配器中断为安全中断;
(7)用户输入模块配置红外适配器相关的控制寄存器为TEE环境只读。
(8)用户需要在已定义的一段时间内在遥控器上输入PIN码,否则视为拒绝认证器操作,TA将返回操作错误或重新提示用户输入等;
(9)用户输入模块通过安全中断的方式读取红外适配器接收到的键值并传给功能模块;
(10) 如果认证器执行绑定操作,功能模块安全存储PIN码;如果执行认证操作,功能模块将比较读取的键值和已存储的PIN码,二者如不一致,则验证失败,TA返回操作错误;
(11) 功能模块控制用户输入模块还原无线适配器相关的控制寄存器为REE环境可读。
(12) 功能模块控制用户输入模块通过配置GIC还原红外适配器中断的安全属性,并根据需要清空红外适配器中的键值缓存;
(13) 功能模块执行进一步操作包括公私钥对生成、密钥存储、签名等步骤;
(14) 功能模块将操作执行结果按照一定的格式封装,并通过TEE通信代理以消息机制返回给REE中REE通信代理;
(15) 系统监视器保存TEE上下文,恢复REE上下文,控制权交付给REE;
(16) 认证客户端读取REE通信代理中接收到的绑定/认证操作结果;
(17) 认证客户端把收到的绑定/认证操作响应提交给服务端验证。
一种基于TEE和无线确认的FIDO认证系统,其包括一种基于TEE和无线确认的FIDO认证器、运行在REE中的认证客户端和业务客户端、业务服务器和认证服务器,所述认证客户端与功能模块连接,所述认证客户端、业务客户端、业务服务器和认证服务器依次连接;所述主运算部件、无线适配器、认证客户端和业务客户端均设置在智能终端中。
该实施例中,业务客户端以支付客户端为例,业务服务器以支付服务器为例。
优选的,所述业务客户端与业务服务器通过Internet连接。
本实施例中,认证器实现在基于TrustZone的TEE下,即使用ARM公司的TrustZone技术实现TEE下,且该认证器和认证方案优先用于Android智能终端上。参照图2,以认证器应用场景为Android智能终端的支付过程为例,业务前端的认证服务器为FIDO服务器,智能终端REE中实现的认证客户端为FIDO客户端,二者通过支付客户端与支付服务器相连。认证客户端通过TEE API调用TEE中实现形式为TA的FIDO UAF认证器主运算部件。用户确认信息为PIN码,无线终端为遥控器,通过红外与连接在智能电视端中的红外无线适配器相连,认证器以安全中断的方式读取红外适配器中的收到的用户确认信息。
基于FIDO认证系统,支付业务流程如下:
(1)支付客户端发起注册/交易请求,发送给支付服务器,如为注册请求,支付客户端需提交用户名和密码,支付服务器为用户创建账户;
(2)对应地,支付服务器向认证服务器发起绑定/认证流程,认证服务器根据业务请求生成绑定/认证请求,并经过支付服务器转发给支付客户端;
(3)支付客户端启动认证客户端,并转发收到的绑定/认证请求;
(4)认证客户端通过TEE API调用TEE中的认证器,并发送绑定/认证命令;
(5)认证器解析绑定/认证命令,并触发用户确认操作;
(6)用户通过遥控器输入PIN码,并发送给TV端红外接收器;
(7)认证器读取红外适配器中收到的PIN码,如认证器执行绑定操作,则安全存储PIN码,若为认证操作,认证器将读取的值和已存储的PIN码比对,确认一致后继续执行后续命令操作;
(8)认证器将执行结果以一定格式封装后返回给REE中的认证客户端;
(9)认证客户端将收到的认证响应封装成FIDO UAF消息格式经支付客户端转发给支付服务器,支付服务器再转发给认证服务器;
(10) 认证服务器解析并验证收到的认证响应,验证结果即为认证结果,并传递给支付服务器;
(11) 支付服务器根据收到的认证结果完成注册/交易请求后续业务,并将结果返回给支付客户端。
通过本实施例可以明确看到在认证过程中简化了用户输入流程,使得用户在认证时无需输入用户名、口令,操作起来也更为简单、快捷;其次采用了FIDO标准可以很好的兼容市场上的其他符合FIDO标准的产品;再次认证器的操作和对用户确认信息的提取和处理都在TEE中进行,比在REE中的实现具有更高的安全性,而与使用安全硬件实现的认证器相比则花费更少,同时也更利于功能扩展。
综上所述,首先,本发明使用基于FIDO协议实现的认证方式来提高用户体验,用户在首次使用该认证器时需要绑定认证器到已注册过的账号,在以后的认证过程中则可以免去输入用户名和密码的过程,这样使认证过程更加方便快捷,提高了用户体验;其次,本发明在实现FIDO认证器的过程中运用TEE技术来提高安全性,特别是认证器的主运算部件,由于其安全性基于执行环境,安全强度较高,在本发明中我们将认证器主运算部件实现在TEE中,并且通过轮询或设置安全中断的方式将读取用户确认信息的过程也限制在TEE中进行,从而提高了整个认证过程的安全性;最后,本发明方案优先采用的智能终端自带TEE,相比于采用专门的额外安全硬件的认证方式更具有经济性。
本发明可广泛应用于各种智能终端认证系统。
以上是对本发明的较佳实施进行了具体说明,但本发明创造并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可做作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (7)
1.一种基于TEE和无线确认的FIDO认证器,其特征在于,包括在TEE中以可信应用的形式实现的主运算部件、用于输入用户确认信息的无线终端以及在智能终端中接收用户确认信息的无线适配器,所述主运算部件、无线适配器和无线终端依次连接;
所述主运算部件包括功能模块、用户输入模块和状态提示模块,所述用户输入模块与状态提示模块均与功能模块连接,所述用户输入模块与无线适配器连接;
所述功能模块用于FIDO协议实现和算法库实现和密钥管理功能实现和证书存储功能实现和与REE中认证客户端的通信实现和对用户输入模块的控制实现和对状态提示模块的控制实现功能;
所述用户输入模块受功能模块控制,用于读取无线适配器的内容并转发给功能模块;
所述状态提示模块受功能模块控制,用于提醒用户在无线终端上操作;
所述FIDO认证器的工作流程包括步骤:
S1,在TEE中加载运行主运算部件,主运算部件接收认证客户端发送的绑定/认证/交易请求;
S2,主运算部件中的功能模块解析绑定/认证/交易请求,判断为对应的操作命令后激活用户输入模块以读取无线适配器将要接收到的信号,并控制状态提示模块提示用户输入用户确认信息;
S3,用户输入模块配置无线适配器相关的控制寄存器为TEE环境只读模式;
S4,用户输入模块通过安全中断或轮询的方式读取无线适配器接收到的用户确认信息并传给功能模块;
S5,功能模块根据对应的操作存储或比对用户确认信息;
S6,用户输入模块还原无线适配器相关的控制寄存器为REE环境可读模式;
S7,功能模块执行进一步操作,包括公私钥对生成和/或密钥存储和/或签名步骤;
S8,功能模块将步骤S7中的操作执行结果封装后返回给REE中的认证客户端。
2.根据权利要求1所述的一种基于TEE和无线确认的FIDO认证器,其特征在于,所述用户输入模块通过安全中断或轮询的方式读取无线适配器接收到的内容。
3.根据权利要求1或2所述的一种基于TEE和无线确认的FIDO认证器,其特征在于,所述无线终端与无线适配器通过红外、蓝牙或2.4G无线通信方式相连。
4.一种基于TEE和无线确认的FIDO认证系统,其特征在于,其包括如权利要求1至3任一项所述的一种基于TEE和无线确认的FIDO认证器、运行在REE中的认证客户端和业务客户端、业务服务器和认证服务器,所述认证客户端与功能模块连接,所述认证客户端、业务客户端、业务服务器和认证服务器依次连接;
所述主运算部件、无线适配器、认证客户端和业务客户端均设置在智能终端中。
5.根据权利要求4所述的一种基于TEE和无线确认的FIDO认证系统,其特征在于,所述业务客户端与业务服务器通过Internet连接。
6.一种基于TEE和无线确认的FIDO认证方法,其特征在于,其应用于权利要求1或3所述的一种基于TEE和无线确认的FIDO认证器,所述方法包括步骤:
S1,在TEE中加载运行主运算部件,主运算部件接收认证客户端发送的绑定/认证/交易请求;
S2,主运算部件中的功能模块解析绑定/认证/交易请求,判断为对应的操作命令后激活用户输入模块以读取无线适配器将要接收到的信号,并控制状态提示模块提示用户输入用户确认信息;
S3,用户输入模块配置无线适配器相关的控制寄存器为TEE环境只读模式;
S4,用户输入模块通过安全中断或轮询的方式读取无线适配器接收到的用户确认信息并传给功能模块;
S5,功能模块根据对应的操作存储或比对用户确认信息;
S6,用户输入模块还原无线适配器相关的控制寄存器为REE环境可读模式;
S7,功能模块执行进一步操作,包括公私钥对生成和/或密钥存储和/或签名步骤;
S8,功能模块将步骤S7中的操作执行结果封装后返回给REE中的认证客户端。
7.根据权利要求6所述的一种基于TEE和无线确认的FIDO认证方法,其特征在于,所述步骤S3具体还包括子步骤:
S31,用户输入模块清空无线适配器中的键值缓存;
S32,用户输入模块根据需要配置无线适配器中断为安全中断;
所述步骤S6具体还包括子步骤:
S61,用户输入模块清空无线适配器中的键值缓存;
S62,用户输入模块根据需要还原无线适配器中断的安全属性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511026480.XA CN105656890B (zh) | 2015-12-30 | 2015-12-30 | 一种基于tee和无线确认的fido认证器及系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511026480.XA CN105656890B (zh) | 2015-12-30 | 2015-12-30 | 一种基于tee和无线确认的fido认证器及系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105656890A CN105656890A (zh) | 2016-06-08 |
| CN105656890B true CN105656890B (zh) | 2018-11-06 |
Family
ID=56491081
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511026480.XA Active CN105656890B (zh) | 2015-12-30 | 2015-12-30 | 一种基于tee和无线确认的fido认证器及系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105656890B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6918576B2 (ja) * | 2017-05-24 | 2021-08-11 | キヤノン株式会社 | システム、情報処理装置、方法及びプログラム |
| CN109117625B (zh) * | 2017-06-22 | 2020-11-06 | 华为技术有限公司 | Ai软件系统安全状态的确定方法及装置 |
| CN107483213B (zh) * | 2017-08-23 | 2020-02-21 | 北京华大智宝电子系统有限公司 | 一种安全认证的方法、相关装置及系统 |
| CN107634834A (zh) * | 2017-09-05 | 2018-01-26 | 四川中电启明星信息技术有限公司 | 一种基于多终端多场景的可信身份认证方法 |
| US10511575B2 (en) * | 2017-09-18 | 2019-12-17 | Huawei Technologies Co., Ltd. | Securing delegated credentials in third-party networks |
| EP3677005B1 (en) | 2017-09-27 | 2021-03-03 | Huawei Technologies Co., Ltd. | Authentication protocol based on trusted execution environment |
| CN108234509A (zh) * | 2018-01-16 | 2018-06-29 | 国民认证科技(北京)有限公司 | 基于tee和pki证书的fido认证器、认证系统及方法 |
| CN110889698B (zh) * | 2018-09-07 | 2023-07-07 | 深圳市文鼎创数据科技有限公司 | 一种命令处理方法、电子设备及存储介质 |
| CN109815662A (zh) * | 2018-12-06 | 2019-05-28 | 北京握奇智能科技有限公司 | 一种tee环境下的手势密码身份认证方法及系统 |
| CN109784024A (zh) * | 2018-12-14 | 2019-05-21 | 航天信息股份有限公司 | 一种基于多认证器多因子的快速在线身份认证fido方法和系统 |
| CN109739522B (zh) * | 2019-01-03 | 2022-02-18 | 中国—东盟信息港股份有限公司 | 一种适用于eSIM应用的TEE OS适配系统 |
| CN110784395B (zh) * | 2019-11-04 | 2023-02-21 | 航天信息股份有限公司 | 一种基于fido认证的邮件安全登录方法及系统 |
| CN113192237B (zh) * | 2020-01-10 | 2023-04-18 | 阿里巴巴集团控股有限公司 | 支持tee和ree的物联网设备以及实现tee和ree间通信的方法 |
| TWI759968B (zh) | 2020-08-06 | 2022-04-01 | 美商動信安全股份有限公司 | 安全金鑰裝置、安全認證系統以及安全認證方法 |
| CN113162772B (zh) * | 2021-05-08 | 2023-02-03 | 国民认证科技(北京)有限公司 | Pin码身份认证方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856332A (zh) * | 2014-03-22 | 2014-06-11 | 中国科学院信息工程研究所 | 一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法 |
| CN104125216A (zh) * | 2014-06-30 | 2014-10-29 | 华为技术有限公司 | 一种提升可信执行环境安全性的方法、系统及终端 |
| CN104601594A (zh) * | 2015-02-04 | 2015-05-06 | 北京云安世纪科技有限公司 | 基于二维码的otp令牌设备的身份认证装置及方法 |
| CN104992082A (zh) * | 2015-08-10 | 2015-10-21 | 深圳数字电视国家工程实验室股份有限公司 | 软件授权方法、装置及电子设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9280655B2 (en) * | 2013-03-13 | 2016-03-08 | Samsung Electronics Co., Ltd | Application authentication method and electronic device supporting the same |
-
2015
- 2015-12-30 CN CN201511026480.XA patent/CN105656890B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856332A (zh) * | 2014-03-22 | 2014-06-11 | 中国科学院信息工程研究所 | 一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法 |
| CN104125216A (zh) * | 2014-06-30 | 2014-10-29 | 华为技术有限公司 | 一种提升可信执行环境安全性的方法、系统及终端 |
| CN104601594A (zh) * | 2015-02-04 | 2015-05-06 | 北京云安世纪科技有限公司 | 基于二维码的otp令牌设备的身份认证装置及方法 |
| CN104992082A (zh) * | 2015-08-10 | 2015-10-21 | 深圳数字电视国家工程实验室股份有限公司 | 软件授权方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105656890A (zh) | 2016-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105656890B (zh) | 一种基于tee和无线确认的fido认证器及系统及方法 | |
| CN108901022B (zh) | 一种微服务统一鉴权方法及网关 | |
| US10531297B2 (en) | Authentication method and server, and computer storage medium | |
| CN106471783B (zh) | 经由网关的企业系统认证和授权 | |
| CN108462710B (zh) | 认证授权方法、装置、认证服务器及机器可读存储介质 | |
| CN106850201B (zh) | 智能终端多因子认证方法、智能终端、认证服务器及系统 | |
| CN107483418A (zh) | 登录处理方法、业务处理方法、装置及服务器 | |
| CN112769834A (zh) | 身份验证系统、方法和平台 | |
| CN105897668A (zh) | 一种第三方账号授权方法、设备、服务器及其系统 | |
| CN105089367B (zh) | 一种基于远程服务器的电子锁 | |
| CN108234509A (zh) | 基于tee和pki证书的fido认证器、认证系统及方法 | |
| CN101562621A (zh) | 一种用户授权的方法、系统和装置 | |
| CN106230594B (zh) | 一种基于动态口令进行用户认证的方法 | |
| CN105657468B (zh) | 一种fido遥控器及电视支付系统及方法 | |
| CN113360882A (zh) | 集群访问方法、装置、电子设备和介质 | |
| CN105656627A (zh) | 身份验证方法、装置及系统 | |
| CN101986598A (zh) | 认证方法、服务器及系统 | |
| CN105554013A (zh) | 基于usb设备的分离式身份认证装置及系统及方法 | |
| CN103929501B (zh) | 智能遥控服务器及其控制方法 | |
| CN113661699A (zh) | 用于客户支持呼叫的预认证的系统和方法 | |
| CN108632271A (zh) | 身份认证方法及装置 | |
| CN107453872A (zh) | 一种基于Mesos容器云平台的统一安全认证方法及系统 | |
| JP2014211677A (ja) | 認証方法、端末およびプログラム | |
| CN105930732B (zh) | 一种适合vpx设备业务板卡的可信启动方法 | |
| CN105812218A (zh) | 用于实现应用多vpn协议接入的方法、中间件和移动终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |