CN108769043B - 可信应用认证系统和可信应用认证方法 - Google Patents
可信应用认证系统和可信应用认证方法 Download PDFInfo
- Publication number
- CN108769043B CN108769043B CN201810574655.8A CN201810574655A CN108769043B CN 108769043 B CN108769043 B CN 108769043B CN 201810574655 A CN201810574655 A CN 201810574655A CN 108769043 B CN108769043 B CN 108769043B
- Authority
- CN
- China
- Prior art keywords
- terminal
- trusted application
- authentication
- service platform
- configuration file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000004891 communication Methods 0.000 claims abstract description 6
- 230000003993 interaction Effects 0.000 claims abstract description 4
- 238000012795 verification Methods 0.000 claims description 53
- 230000008520 organization Effects 0.000 claims description 4
- 230000007246 mechanism Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 description 13
- 238000004519 manufacturing process Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Abstract
本发明属于通信技术领域,涉及可信应用认证系统和方法。该可信应用认证系统包括:终端本地配置文件辅助模块,至少配置为向可信应用发出合法性认证指令、发送合法性认证结果和空发部署数字证书,以及向终端服务平台发送合法性认证请求;终端服务平台,至少配置为为终端设备生成并分配身份标识,并实现终端本地配置文件辅助模块和终端安全管理商之间、终端本地配置文件辅助模块和证书签发机构之间的消息交互;终端安全管理商,至少配置为根据合法性认证请求验证终端设备的设备信息;证书签发机构,至少配置为根据证书签名请求为可信应用生成数字证书。本发明实现可靠、安全的实现可信执行环境中可信应用的个人化,保护数字证书及身份标识的安全。
Description
技术领域
本发明属于通信技术领域,具体涉及可信应用认证系统和可信应用认证方法。
背景技术
随着eSIM技术的不断发展与普及,传统插拔式SIM卡正面临前所未有的挑战。eSIM卡可以是嵌入到设备中的物理集成实体,也可以是软件应用。在eSIM卡以软件应用形式实现的方案中,终端设备可信执行环境(Trusted Execution Environment,简称TEE)中的可信应用(Trust Application,简称TA)作为终端设备实现相关功能性操作的主要载体,将模拟出传统插拔式SIM卡的全部功能。
在当前的eUICC国际标准及规范当中,证书与身份标识在可信应用编程时以预置的方式部署到可信应用中。在可信应用进行个人化的过程中,可信应用会将证书及身份标识发送至第三方证书签发机构处进行相关合法性验证。
现有技术中,证书与身份标识会在设备生产制造阶段于产线上被预置到终端设备当中。在生产环境安全得不到保证的前提下,证书和身份标识有可能在产线上被泄露或窃取。另一方面,可信应用在将证书、身份标识交由第三方证书签发机构处验证的过程中,可能发生中间人攻击,被非法终端设备截获数据从而冒充完成认证,从而引发信息安全等问题。
如何可靠、安全的实现可信执行环境中可信应用的个人化,成为目前亟待解决的技术问题。
发明内容
本发明所要解决的技术问题是针对现有技术中上述不足,提供一种可信应用认证系统和可信应用认证方法,实现了可靠、安全的实现可信执行环境中可信应用的个人化,保护了数字证书及身份标识的安全,使可信应用合法性的认证结果真实可信。
解决本发明技术问题所采用的技术方案是该可信应用认证系统,用于可信执行环境中的可信应用个人化,包括:终端本地配置文件辅助模块、终端服务平台、终端安全管理商和证书签发机构,其中:
所述终端本地配置文件辅助模块,位于终端设备内,至少配置为向可信应用发出合法性认证指令、发送合法性认证结果和空发部署数字证书,以及向所述终端服务平台发送合法性认证请求;
所述终端服务平台,至少配置为为所述终端设备生成并分配身份标识,并实现所述终端本地配置文件辅助模块和所述终端安全管理商之间、所述终端本地配置文件辅助模块和所述证书签发机构之间的消息交互;
所述终端安全管理商,至少配置为根据合法性认证请求验证所述终端设备的设备信息;
所述证书签发机构,至少配置为根据证书签名请求为所述可信应用生成数字证书。
优选的是,所述终端本地配置文件辅助模块,还用于:向可信应用发送合法性认证结果的同时发送令牌、发送含令牌的身份标识,向所述终端服务平台发送身份标识申请请求或证书签名请求。
优选的是,所述终端设备包括无线通信单元,所述无线通信单元用于将数字证书空发部署到所述可信应用中。
一种可信应用认证方法,用于可信执行环境中的可信应用个人化,包括步骤:
对所述可信应用进行合法性认证;
对所述可信应用的终端设备进行设备信息验证,并为所述可信应用生成并分配身份标识;
根据所述可信应用通过认证的认证结果、以及分配的身份标识生成数字证书,并将所述数字证书空发部署至所述可信应用。
优选的是,对所述可信应用进行合法性认证以及对所述可信应用的终端设备进行设备信息验证,包括步骤:
终端本地配置文件辅助模块向处于可信执行环境中的所述可信应用发出合法性认证指令;
所述可信应用在收到认证指令后,生成认证消息集;
所述可信应用将由认证消息集组成的合法性认证请求发送至所述终端本地配置文件辅助模块;
所述终端本地配置文件辅助模块将合法性认证请求发送至终端服务平台;
所述终端服务平台将合法性认证请求发送至终端安全管理商;
所述终端安全管理商校验设备信息,生成合法性验证结果;
所述终端安全管理商将合法性验证结果以及带有有效期的令牌反馈至所述终端服务平台;
所述终端服务平台将合法性验证结果和令牌下发至所述终端本地配置文件辅助模块;
所述终端本地配置文件辅助模块将合法性验证结果及令牌发送至所述可信应用。
优选的是,为所述可信应用生成并分配身份标识,包括步骤:
所述可信应用在令牌的有效期内向所述终端本地配置文件辅助模块申请身份标识;
所述终端本地配置文件辅助模块将身份标识申请请求发送至所述终端服务平台;
所述终端服务平台生成分配给所述可信应用的身份标识;
所述终端服务平台将身份标识下发至所述终端本地配置文件辅助模块;
所述终端本地配置文件辅助模块将身份标识发送至所述可信应用。
优选的是,根据所述可信应用通过认证的认证结果、以及分配的身份标识生成数字证书,包括步骤:
所述可信应用生成申请证书签名请求;
所述可信应用向所述终端本地配置文件辅助模块申请数字证书;
所述终端本地配置文件辅助模块将证书签名请求发送至所述终端服务平台;
所述终端服务平台向证书签发机构申请基于证书签名请求的数字证书;
所述证书签发机构颁发基于证书签名请求的数字证书至所述终端服务平台;
所述终端服务平台下发数字证书至所述终端本地配置文件辅助模块;
所述终端本地配置文件辅助模块将数字证书空发部署到所述可信应用中。
优选的是,对所述可信应用进行合法性认证,以及对所述可信应用的终端设备进行设备信息验证,并为所述可信应用生成并分配身份标识,包括步骤:
终端本地配置文件辅助模块向处于可信执行环境中的所述可信应用发出合法性认证指令;
所述可信应用在收到认证指令后,生成认证消息集;
所述可信应用将由认证消息集组成的合法性认证请求发送至所述终端本地配置文件辅助模块;
所述终端本地配置文件辅助模块将合法性认证请求发送至终端服务平台;
所述终端服务平台生成分配给所述可信应用的身份标识;
所述终端服务平台将合法性认证请求发送至终端安全管理商;
所述终端安全管理商校验设备信息,生成合法性验证结果;
所述终端安全管理商将合法性验证结果反馈至所述终端服务平台;
所述终端服务平台将合法性验证结果及生成的身份标识下发至所述终端本地配置文件辅助模块;
所述终端本地配置文件辅助模块再将合法性验证结果及身份标识发送至所述可信应用。
优选的是,根据所述可信应用通过认证的认证结果、以及分配的身份标识生成数字证书,还包括对可信应用进行合法性认证以及对所述可信应用的终端设备进行设备信息验证的步骤:
所述可信应用生成证书签名请求;
所述可信应用再次向所述终端本地配置文件辅助模块发送合法性认证请求;
所述终端本地配置文件辅助模块上传合法性认证请求至所述终端服务平台;
所述终端服务平台将收到的合法性认证请求发送至所述终端安全管理商;
所述终端安全管理商再次校验设备信息,生成二次合法性验证结果;
所述终端安全管理商将二次合法性验证结果反馈至所述终端服务平台;
所述终端服务平台在收到二次合法性验证结果后,向证书签发机构申请基于证书签名请求的数字证书;
所述证书签发机构颁发基于证书签名请求的数字证至给所述终端服务平台;
所述终端服务平台下发数字证书至所述终端本地配置文件辅助模块;
所述终端本地配置文件辅助模块将数字证书空发部署到所述可信应用中。
进一步优选的是,还包括:对所述终端安全管理商的地址进行验证的步骤,合法性验证结果还包括地址验证信息。
本发明的有益效果是:
本发明提供的可信应用认证方法和相应的系统,采用证书空发(OTA)方式完成对可信执行环境中可信应用个人化的配置,即证书签发机构根据证书签名请求为可信应用签发数字证书,数字证书通过空中下载(空发)的方式一次性部署到终端可信执行环境内的可信应用中,避免了预置证书方式下证书在产线上被泄露或窃取,同时也有效防止了认证过程中证书及身份标识由可信应用发送至证书签发机构验证过程中遭受中间人攻击的可能,保护了数字证书及身份标识的安全,使可信应用合法性的认证结果真实可信。
附图说明
图1为本发明实施例中可信应用认证方法的流程图;
图2为本发明实施例中可信应用认证方法的一种示例实现图;
图3为本发明实施例中可信应用认证方法的另一种示例实现图;
附图标识中:
1-可信应用;2-终端本地配置文件辅助模块;3-终端服务平台;4-终端安全管理商;5-证书签发机构。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面结合附图和具体实施方式对本发明可信应用认证系统和可信应用认证方法作进一步详细描述。
本发明提供了一种可信执行环境中可信应用个人化的方案,包括可信应用认证系统和可信应用认证方法。
该可信应用认证系统,用于可信执行环境中的可信应用个人化,参考图2或图3,包括:终端本地配置文件辅助模块2、终端服务平台3、终端安全管理商4和证书签发机构5,其中:
终端本地配置文件辅助模块2,位于终端设备内,至少配置为向可信应用发出合法性认证指令、发送合法性认证结果和空发部署数字证书,以及向终端服务平台3发送合法性认证请求;
终端服务平台3,至少配置为为终端设备生成并分配身份标识,并实现终端本地配置文件辅助模块2和终端安全管理商之间、终端本地配置文件辅助模块2和证书签发机构5之间的消息交互;
终端安全管理商4,至少配置为根据合法性认证请求验证终端设备的设备信息;
证书签发机构5,至少配置为根据证书签名请求为可信应用生成数字证书。
其中,终端本地配置文件辅助模块2,还用于:向可信应用发送合法性认证结果的同时发送令牌、发送含令牌的身份标识,向终端服务平台3发送身份标识申请请求或证书签名请求。
终端设备包括无线通信单元,无线通信单元用于将数字证书空发部署到可信应用中。
相应的,该可信应用认证方法的一种实施示例中,在终端安全管理商对可信应用身份认证后,返回带有有效期的令牌(token)。可信应用在令牌有效期内向终端服务平台申请身份标识(Electronic IDentity,简称EID);在获取身份标识后,可信应用生成证书签名请求(Certification Signing Request),简称CSR)(含身份标识)携有效令牌向证书签发机构(Certification Authority,简称CA)申请基于此证书签名请求的数字证书。数字证书通过空中下载的方式部署到可信执行环境内可信应用中,完成对可信应用个人化部署的整体流程。
如图1所示,并结合图2,该可信应用认证方法具体包括如下步骤:
在对可信应用进行合法性认证的过程中:
步骤S1)终端本地配置文件辅助模块2(Local Profile Assistant,简称LPA)向处于可信执行环境中的可信应用1发出合法性认证指令。其中终端本地配置文件辅助模块2位于终端设备内。
步骤S2)可信应用1在收到认证指令后,生成认证消息集。
步骤S3)可信应用1将由此认证消息集组成的合法性认证请求发送至终端本地配置文件辅助模块2处。
步骤S4)终端本地配置文件辅助模块2随后将合法性认证请求发送至终端服务平台3。
步骤S5)终端服务平台3将合法性认证请求发送至终端安全管理商4(TerminalSecurity Management,简称TSM)。
步骤S6)终端安全管理商4校验终端安全管理商4的地址及设备信息,生成合法性验证结果。
这里的设备信息包括终端设备本身的设备属性信息,例如IMEI号码等。另外,若可信应用1所对应的终端安全管理商4的地址信息在可信应用1签名的认证请求消息集中,则终端安全管理商4在收到终端服务平台3发送的可信应用1认证请求后,需要对可信应用1所签名的内容进行逐一验证。
若可信应用1所对应终端安全管理商4的地址消息不在可信应用1签名的认证请求中,则终端安全管理商4验证其收到的地址信息可以视为是可选性验证。因终端服务平台3在收到可信应用1上传的认证请求(可信应用1签名过的)及终端安全管理商4的地址后,会根据此地址与终端安全管理商4建立连接。一旦连接成功,则证明此地址正确无误,而再次由终端安全管理商4验证地址就成了提高安全性的非必要选项。
步骤S7)终端安全管理商4将合法性验证结果以及带有有效期的令牌反馈至终端服务平台3。
步骤S8)终端服务平台3将收到的合法性验证结果和令牌下发至终端本地配置文件辅助模块2。
步骤S9)终端本地配置文件辅助模块2将合法性验证结果及令牌发送至可信应用1。
在对可信应用的终端设备进行设备信息验证,并为可信应用生成并分配身份标识的过程中:
步骤S10)可信应用1在令牌的有效期内向终端本地配置文件辅助模块2申请身份标识EID。
步骤S11)终端本地配置文件辅助模块2将身份标识申请请求发送至终端服务平台3;
步骤S12)终端服务平台3生成分配给可信应用1的身份标识EID。
步骤S13)终端服务平台3将身份标识EID下发至终端本地配置文件辅助模块2。
步骤S14)终端本地配置文件辅助模块2将身份标识EID发送至可信应用1。
在根据可信应用通过认证的认证结果、以及分配的身份标识生成数字证书,并将数字证书空发部署至可信应用的过程中:
步骤S15)可信应用1生成申请证书签名请求CSR。
在申请数字证书之前,先生成证书私钥和证书签名请求文件,证书签名请求CSR是公钥证书原始文件,包含了服务器信息和单位信息,需要提交给证书签发机构5,在该步骤中,该证书签名请求CSR中含身份标识EID。
步骤S16)可信应用1在令牌的有效期内向终端本地配置文件辅助模块2申请数字证书。
步骤S17)终端本地配置文件辅助模块2将证书签名请求发送至终端服务平台3。
步骤S18)终端服务平台3向证书签发机构5申请基于证书签名请求的数字证书。
步骤S19)证书签发机构5颁发基于证书签名请求的数字证书至终端服务平台3。
步骤20)终端服务平台3下发数字证书至终端本地配置文件辅助模块2。
步骤S21)终端本地配置文件辅助模块2将数字证书空发部署到可信应用1中。
在该实施示例的可信应用认证方法中,通过终端安全管理商对可信应用的单次单向认证后,可信应用携带终端安全管理商生成的令牌在其有效期内向终端服务平台申请身份标识,再以含此身份标识的证书签名请求向证书签发机构申请证书。该可信应用认证方法加入了令牌机制,减少了终端安全管理商参与认证校验的次数,且有效地提高了安全性。
在该可信应用认证方法的另一种实施示例中,与上一实施示例相比,区别仅在于可信应用获取身份标识的时序上存在差异,数字证书仍然通过空中下载的方式空发部署到可信执行环境内可信应用中,完成对可信应用个人化部署的整体流程。
如图3所示,该可信应用认证方法具体包括如下步骤:
相对上一实施示例,本实施示例将可信应用合法性认证和第一次设备信息验证穿插在一起进行。
在对可信应用进行合法性认证,以及对可信应用的终端设备进行设备信息验证,并为可信应用生成并分配身份标识的过程中:
步骤S1)终端本地配置文件辅助模块2向处于可信执行环境中的可信应用1发出合法性认证指令。
步骤S2)可信应用1在收到认证指令后,生成认证消息集。
步骤S3)可信应用1将由此认证消息集组成的合法性认证请求发送至终端本地配置文件辅助模块2处。
步骤S4)终端本地配置文件辅助模块2随后将合法性认证请求发送至终端服务平台3。
步骤S5)终端服务平台3生成身份标识EID。
步骤S6)终端服务平台3将合法性认证请求发送至终端安全管理商4。这里的设备信息包括终端设备本身的设备属性信息,例如IMEI号码等。
步骤S7)终端安全管理商4校验终端安全管理商4的地址及设备信息,生成合法性验证结果。
步骤S8)终端安全管理商4将合法性验证结果反馈至终端服务平台3。
步骤S9)终端服务平台3将收到的合法性验证结果及生成的身份标识EID下发至终端本地配置文件辅助模块2。
步骤S10)终端本地配置文件辅助模块2将合法性验证结果及身份标识EID发送至可信应用1。
在根据可信应用通过认证的认证结果、以及分配的身份标识生成数字证书,并将数字证书空发部署至可信应用的过程中:
步骤S11)可信应用1生成证书签名请求CSR。
步骤S12)可信应用1再次向终端本地配置文件辅助模块2发送合法性认证请求。
步骤S13)终端本地配置文件辅助模块2上传合法性认证请求至终端服务平台3。
步骤S14)终端服务平台3将收到的合法性认证请求发送至终端安全管理商4。
步骤S15)终端安全管理商4再次校验终端安全管理商4的地址及设备信息,生成二次合法性验证结果。
步骤S16)终端安全管理商4将二次合法性验证结果反馈至终端服务平台3。
步骤S17)终端服务平台3在收到二次合法性验证结果后,向证书签发机构5申请基于证书签名请求的数字证书。
步骤S18)证书签发机构5颁发基于此证书签名请求的数字证至给终端服务平台3;
步骤S19)终端服务平台3下发数字证书至终端本地配置文件辅助模块2。
步骤S20)终端本地配置文件辅助模块2将数字证书空发部署到可信应用1中。
在图3对应的可信应用认证方法中,身份标识EID是在终端服务平台收到可信应用认证请求后,由终端服务平台生成,并在终端安全管理商认证通过后,终端服务平台将分配给可信应用的身份标识及认证结果消息一起下发回到可信应用中;在图2对应的可信应用认证方法中,在对可信应用完成认证后,由可信应用发起要求获取身份标识的请求至终端服务平台。
本发明提供的可信应用认证方法和相应的系统,采用证书空发(OTA)方式完成对可信执行环境中可信应用个人化的配置,即证书签发机构根据证书签名请求为可信应用签发数字证书,数字证书通过空中下载(空发)的方式一次性部署到终端可信执行环境内的可信应用中,避免了预置证书方式下证书在产线上被泄露或窃取,同时也有效防止了认证过程中证书及身份标识由可信应用发送至证书签发机构验证过程中遭受中间人攻击的可能,保护了数字证书及身份标识的安全,使可信应用合法性的认证结果真实可信。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (9)
1.一种可信应用认证系统,用于可信执行环境中的可信应用个人化,其特征在于,包括:终端本地配置文件辅助模块、终端服务平台、终端安全管理商和证书签发机构,其中:
所述终端本地配置文件辅助模块,位于终端设备内,至少配置为向可信应用发出合法性认证指令、发送合法性认证结果和空发部署数字证书,以及向所述终端服务平台发送合法性认证请求;
所述终端服务平台,至少配置为为所述终端设备生成并分配身份标识,并实现所述终端本地配置文件辅助模块和所述终端安全管理商之间、所述终端本地配置文件辅助模块和所述证书签发机构之间的消息交互;
所述终端安全管理商,至少配置为根据合法性认证请求验证所述终端设备的设备信息;
所述证书签发机构,至少配置为根据证书签名请求为所述可信应用生成数字证书。
2.根据权利要求1所述的可信应用认证系统,其特征在于,所述终端本地配置文件辅助模块,还用于:向可信应用发送合法性认证结果的同时发送令牌、发送含令牌的身份标识,向所述终端服务平台发送身份标识申请请求或证书签名请求。
3.根据权利要求1所述的可信应用认证系统,其特征在于,所述终端设备包括无线通信单元,所述无线通信单元用于将数字证书空发部署到所述可信应用中。
4.一种可信应用认证方法,用于可信执行环境中的可信应用个人化,其特征在于,包括步骤:
对所述可信应用进行合法性认证;
对所述可信应用的终端设备进行设备信息验证,并为所述可信应用生成并分配身份标识;
根据所述可信应用通过认证的认证结果、以及分配的身份标识生成数字证书,并将所述数字证书空发部署至所述可信应用;
对所述可信应用进行合法性认证以及对所述可信应用的终端设备进行设备信息验证,包括步骤:
终端本地配置文件辅助模块向处于可信执行环境中的所述可信应用发出合法性认证指令;
所述可信应用在收到认证指令后,生成认证消息集;
所述可信应用将由认证消息集组成的合法性认证请求发送至所述终端本地配置文件辅助模块;
所述终端本地配置文件辅助模块将合法性认证请求发送至终端服务平台;
所述终端服务平台将合法性认证请求发送至终端安全管理商;
所述终端安全管理商校验设备信息,生成合法性验证结果;
所述终端安全管理商将合法性验证结果以及带有有效期的令牌反馈至所述终端服务平台;
所述终端服务平台将合法性验证结果和令牌下发至所述终端本地配置文件辅助模块;
所述终端本地配置文件辅助模块将合法性验证结果及令牌发送至所述可信应用。
5.根据权利要求4所述的可信应用认证方法,其特征在于,为所述可信应用生成并分配身份标识,包括步骤:
所述可信应用在令牌的有效期内向所述终端本地配置文件辅助模块申请身份标识;
所述终端本地配置文件辅助模块将身份标识申请请求发送至所述终端服务平台;
所述终端服务平台生成分配给所述可信应用的身份标识;
所述终端服务平台将身份标识下发至所述终端本地配置文件辅助模块;
所述终端本地配置文件辅助模块将身份标识发送至所述可信应用。
6.根据权利要求5所述的可信应用认证方法,其特征在于,根据所述可信应用通过认证的认证结果、以及分配的身份标识生成数字证书,包括步骤:
所述可信应用生成申请证书签名请求;
所述可信应用向所述终端本地配置文件辅助模块申请数字证书;
所述终端本地配置文件辅助模块将证书签名请求发送至所述终端服务平台;
所述终端服务平台向证书签发机构申请基于证书签名请求的数字证书;
所述证书签发机构颁发基于证书签名请求的数字证书至所述终端服务平台;
所述终端服务平台下发数字证书至所述终端本地配置文件辅助模块;
所述终端本地配置文件辅助模块将数字证书空发部署到所述可信应用中。
7.根据权利要求4所述的可信应用认证方法,其特征在于,对所述可信应用进行合法性认证,以及对所述可信应用的终端设备进行设备信息验证,并为所述可信应用生成并分配身份标识,包括步骤:
终端本地配置文件辅助模块向处于可信执行环境中的所述可信应用发出合法性认证指令;
所述可信应用在收到认证指令后,生成认证消息集;
所述可信应用将由认证消息集组成的合法性认证请求发送至所述终端本地配置文件辅助模块;
所述终端本地配置文件辅助模块将合法性认证请求发送至终端服务平台;
所述终端服务平台生成分配给所述可信应用的身份标识;
所述终端服务平台将合法性认证请求发送至终端安全管理商;
所述终端安全管理商校验设备信息,生成合法性验证结果;
所述终端安全管理商将合法性验证结果反馈至所述终端服务平台;
所述终端服务平台将合法性验证结果及生成的身份标识下发至所述终端本地配置文件辅助模块;
所述终端本地配置文件辅助模块再将合法性验证结果及身份标识发送至所述可信应用。
8.根据权利要求7所述的可信应用认证方法,其特征在于,根据所述可信应用通过认证的认证结果、以及分配的身份标识生成数字证书,还包括对可信应用进行合法性认证以及对所述可信应用的终端设备进行设备信息验证的步骤:
所述可信应用生成证书签名请求;
所述可信应用再次向所述终端本地配置文件辅助模块发送合法性认证请求;
所述终端本地配置文件辅助模块上传合法性认证请求至所述终端服务平台;
所述终端服务平台将收到的合法性认证请求发送至所述终端安全管理商;
所述终端安全管理商再次校验设备信息,生成二次合法性验证结果;
所述终端安全管理商将二次合法性验证结果反馈至所述终端服务平台;
所述终端服务平台在收到二次合法性验证结果后,向证书签发机构申请基于证书签名请求的数字证书;
所述证书签发机构颁发基于证书签名请求的数字证至给所述终端服务平台;
所述终端服务平台下发数字证书至所述终端本地配置文件辅助模块;
所述终端本地配置文件辅助模块将数字证书空发部署到所述可信应用中。
9.根据权利要求4-8任一项所述的可信应用认证方法,其特征在于,还包括:对所述终端安全管理商的地址进行验证的步骤,合法性验证结果还包括地址验证信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810574655.8A CN108769043B (zh) | 2018-06-06 | 2018-06-06 | 可信应用认证系统和可信应用认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810574655.8A CN108769043B (zh) | 2018-06-06 | 2018-06-06 | 可信应用认证系统和可信应用认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108769043A CN108769043A (zh) | 2018-11-06 |
| CN108769043B true CN108769043B (zh) | 2021-02-02 |
Family
ID=63999207
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810574655.8A Active CN108769043B (zh) | 2018-06-06 | 2018-06-06 | 可信应用认证系统和可信应用认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108769043B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110213246B (zh) * | 2019-05-16 | 2021-11-12 | 南瑞集团有限公司 | 一种广域多因子身份认证系统 |
| CN115037480A (zh) * | 2022-06-07 | 2022-09-09 | 抖音视界(北京)有限公司 | 设备认证和校验的方法、装置、设备和存储介质 |
| CN117176362B (zh) * | 2023-11-03 | 2024-04-02 | 荣耀终端有限公司 | 一种认证方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103248481A (zh) * | 2012-02-10 | 2013-08-14 | 工业和信息化部电信传输研究所 | 一种基于应用数字签名认证的开放api公共授权访问控制的方法 |
| CN108200078A (zh) * | 2018-01-18 | 2018-06-22 | 中国建设银行股份有限公司 | 签名认证工具的下载安装方法及终端设备 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101861607B1 (ko) * | 2008-01-18 | 2018-05-29 | 인터디지탈 패튼 홀딩스, 인크 | M2m 통신을 인에이블하는 방법 및 장치 |
| CN101330420A (zh) * | 2008-07-24 | 2008-12-24 | 中兴通讯股份有限公司 | 鉴权方法及装置、移动终端 |
| DE102009026953A1 (de) * | 2009-06-16 | 2010-12-23 | Bundesdruckerei Gmbh | Verfahren zum Einbuchen eines Mobilfunkgeräts in ein Mobilfunknetz |
| US8898769B2 (en) * | 2012-11-16 | 2014-11-25 | At&T Intellectual Property I, Lp | Methods for provisioning universal integrated circuit cards |
| CN103856477B (zh) * | 2012-12-06 | 2018-01-02 | 阿里巴巴集团控股有限公司 | 一种可信计算系统及相应的认证方法和设备 |
| CN104123488A (zh) * | 2014-08-14 | 2014-10-29 | 北京网秦天下科技有限公司 | 应用程序的验证方法和装置 |
| US10193700B2 (en) * | 2015-02-27 | 2019-01-29 | Samsung Electronics Co., Ltd. | Trust-zone-based end-to-end security |
| CN105095696B (zh) * | 2015-06-25 | 2018-10-16 | 三星电子(中国)研发中心 | 对应用程序进行安全认证的方法、系统及设备 |
| CN106789067B (zh) * | 2016-12-13 | 2022-04-22 | 北京握奇智能科技有限公司 | 一种基于TEE和可穿戴设备的手机网银Key方法及系统 |
-
2018
- 2018-06-06 CN CN201810574655.8A patent/CN108769043B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103248481A (zh) * | 2012-02-10 | 2013-08-14 | 工业和信息化部电信传输研究所 | 一种基于应用数字签名认证的开放api公共授权访问控制的方法 |
| CN108200078A (zh) * | 2018-01-18 | 2018-06-22 | 中国建设银行股份有限公司 | 签名认证工具的下载安装方法及终端设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108769043A (zh) | 2018-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109359691B (zh) | 基于区块链的身份验证方法和系统 | |
| US20210226802A1 (en) | Digital Certificate Application Method | |
| CN110769393B (zh) | 一种车路协同的身份认证系统及方法 | |
| CN109417545B (zh) | 下载网络接入简档的方法、安全模块、移动终端和介质 | |
| CN109547464B (zh) | 用于存储和执行访问控制客户端的方法及装置 | |
| CN108512862A (zh) | 基于无证书标识认证技术的物联网终端安全认证管控平台 | |
| US20060039564A1 (en) | Security for device management and firmware updates in an operator network | |
| CN108769043B (zh) | 可信应用认证系统和可信应用认证方法 | |
| CN103685138A (zh) | 移动互联网上的Android平台应用软件的认证方法和系统 | |
| US20100266128A1 (en) | Credential provisioning | |
| KR20040096264A (ko) | 컨텐츠 제공자 인증 및 컨텐츠 무결성 보장 방법 | |
| CN103560889B (zh) | 一种x509数字证书与证书应用之间的精确化身份认证方法 | |
| CN111083670A (zh) | 一种基于智能钥匙的车辆使用方法及装置 | |
| KR20130085545A (ko) | 어플리케이션 서명 장치 및 방법 | |
| CN108848496A (zh) | 基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台 | |
| CN112291064A (zh) | 认证系统,注册及认证方法、装置,存储介质及电子设备 | |
| CN110650478A (zh) | Ota方法、系统、设备、se模块、程序服务器和介质 | |
| CN108683506B (zh) | 一种数字证书申请方法、系统、雾节点和证书授权中心 | |
| CN112533211A (zh) | eSIM卡的证书更新方法和系统以及存储介质 | |
| CN113536284A (zh) | 一种数字证书的验证方法、装置、设备和存储介质 | |
| CN116232766B (zh) | 一种基于ota的数据加密系统及方法 | |
| CN107171814A (zh) | 一种数字证书更新方法及装置 | |
| GB2526619A (en) | Service provisioning | |
| CN110891067A (zh) | 一种可撤销的多服务器隐私保护认证方法及系统 | |
| CN113098933B (zh) | 一种远程安装认证应用的方法、eUICC及SM-SR |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |