CN109508562A - 基于tee的可信远程验证的方法 - Google Patents
基于tee的可信远程验证的方法 Download PDFInfo
- Publication number
- CN109508562A CN109508562A CN201811458141.2A CN201811458141A CN109508562A CN 109508562 A CN109508562 A CN 109508562A CN 201811458141 A CN201811458141 A CN 201811458141A CN 109508562 A CN109508562 A CN 109508562A
- Authority
- CN
- China
- Prior art keywords
- data
- tee
- client
- server
- trusted remote
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Abstract
本发明涉及计算机软件和硬件信息安全技术领域,其公开了一种基于TEE的可信远程验证的方法,有效的解决远程验证的安全性和稳定性的问题。本发明将原始数据或关键程序分别存储在客户端和服务器,并在服务器中计算数据摘要并存储。利用终端可信执行环境TEE的安全特性,将密钥生成、摘要生成和签名生成的过程完全置于TEE侧,定期向服务器发送数据摘要及签名,可以在执行的时候保证摘要和签名数据不被截取和不被篡改,防止第三方应用在计算摘要和签名过程中对存储区的敏感数据进行修改,这样有效抵抗了第三方在终端恶意篡改数据,能够完全做到可信远程验证。
Description
技术领域
本发明涉及计算机软件和硬件信息安全技术领域,具体涉及一种基于TEE(可信执行环境)的可信远程验证的方法。
背景技术
通常在对数据完整性和稳定性的校验中,都是在REE(普通执行环境)侧生成校验和或数据摘要来完成的,但是这些校验和、摘要在REE侧生成时就可能会被篡改。从而影响用户隐私数据、密钥数据的安全性。
TEE技术可以保证数据在计算过程中的安全,防止第三方在运算过程中或在存储区修改敏感数据信息,有效抵抗第三方在终端恶意篡改数据,能够做到硬件级安全。
因此,本申请有必要提出一种基于TEE的可信远程验证的方法。
发明内容
本发明所要解决的技术问题是:提供一种基于TEE的可信远程验证的方法,有效的解决远程验证的安全性和稳定性的问题。
本发明解决上述技术问题所采用的技术方案是:
基于TEE的可信远程验证的方法,包括以下步骤:
a.服务器在其TEE侧对数据进行摘要计算并存储;
b.客户端在其TEE侧生成公私钥对后发布公钥;
c.服务器保存客户端的公钥;
d.客户端向服务器发送验证请求;
e.服务器在收到客户端发来的验证请求后向客户端发送本次要验证的数据在客户端的存放地址;
f.客户端根据所述存放地址找到对应数据后,在其TEE侧计算其摘要,并用私钥签名,然后发送到服务器;
g.服务器接收到数据后对数据进行拆帧,在其TEE侧比对摘要是否正确,然后检查签名是否正确,打印并向客户端返回验证结果;
h.客户端在收到验证结果后,间隔一段时间再次发起验证。
作为进一步优化,所述服务器和客户端同时持有相同数据信息。
作为进一步优化,步骤d中,所述客户端循环定时向服务器发起验证请求。
作为进一步优化,该方法适用于所有端到端的验证服务。
作为进一步优化,所述数据为存储的文件数据,或者存在客户端上的所有敏感数据和关键程序。
本发明的有益效果是:
使用该方法对数据完整性和稳定性的远程验证进行保护,验证中的计算和数据生成都放在TEE侧可信执行环境,能够有效的防止远程验证过程中的私密数据被第三方应用截取、篡改,可以保证隐私数据的安全性和认证结果的稳定性。
附图说明
图1为本发明中的基于TEE的可信远程验证的方法流程图;
图2为可信远程验证服务框架图。
具体实施方式
本发明旨在提供一种基于TEE的可信远程验证的方法,有效的解决远程验证的安全性和稳定性的问题。为了防止客户端上的敏感数据和关键程序被篡改,本发明方案对于验证中所需要用到的密钥、文件摘要及签名均在TEE侧生成,保证了这些数据在验证过程中的安全性。
本发明的核心思想是:
将原始数据或关键程序分别存储在客户端和服务器,并在服务器中计算数据摘要并存储。利用终端可信执行环境TEE的安全特性,将密钥生成、摘要生成和签名生成的过程完全置于TEE侧,定期向服务器发送数据摘要及签名,可以在执行的时候保证摘要和签名数据不被截取和不被篡改,防止第三方应用在计算摘要和签名过程中对存储区的敏感数据进行修改,这样有效抵抗了第三方在终端恶意篡改数据,能够完全做到可信远程验证。
在具体实现上,本发明基于TEE可信执行环境技术,提供一种基于TEE的可信远程验证的方法,如图1所示,其包括以下实现步骤:
步骤1、服务端和客户端同时持有相同数据信息,服务器在其TEE侧对数据进行摘要计算并存储,并且服务器知道在客户端中数据存储的地址;
步骤2、客户端在TEE侧生成公私钥对后发布公钥,然后向服务器发送验证请求;
步骤3、服务器保存客户端的公钥,然后在收到客户端发来的验证请求后向客户端发送想要验证的数据存放的地址;
步骤4、客户端找到对应数据后,在TEE侧来计算其摘要、签名,并发送到服务器;
步骤5、服务器接收到数据后对数据进行拆帧,在TEE侧比对摘要是否正确,然后检查签名是否正确,打印并向客户端返回验证结果;
步骤6、客户端在收到验证结果后,间隔一段时间再次发起验证。
至此就完成了一次服务器对客户端存储数据的远程验证。其验证过程中的整个计算流程都是在TEE侧完成的,REE侧不涉及到任何的密钥、摘要计算和加解密过程。所以在REE侧第三方应用也无法攻击到我们的整个远程验证过程,这样保证了远程验证过程的安全性和稳定性。
为实现上述方法,本发明所采用的可信远程验证服务框架如图2所示,在服务器端的TEE侧主要执行的任务有:计算摘要并存储、摘要对比、验签;在服务器端的REE侧,主要执行的任务有:server创建,存储数据,组帧和解帧,计算摘要接口的调用,摘要对比接口的调用,验签接口的调用;
客户端TEE侧主要执行的任务有:密钥对生成、计算摘要、签名生成;客户端REE侧主要执行的任务有:client连接,存储数据,组帧和解帧,密钥对生成接口调用,计算摘要的接口调用,签名生成的接口调用。
可以看出,本发明验证中的计算和数据生成都放在TEE侧可信执行环境,从而提高了数据验证的安全性。
本发明不仅适用于客户端与服务器的远程验证,还适用于端到端的所有远程验证。在所有的远程验证中,完全保证了用户隐私数据、密钥数据等的安全性,不被第三方应用窃取和攻击。
Claims (5)
1.基于TEE的可信远程验证的方法,其特征在于,包括以下步骤:
a.服务器在其TEE侧对数据进行摘要计算并存储;
b.客户端在其TEE侧生成公私钥对后发布公钥;
c.服务器保存客户端的公钥;
d.客户端向服务器发送验证请求;
e.服务器在收到客户端发来的验证请求后向客户端发送本次要验证的数据在客户端的存放地址;
f.客户端根据所述存放地址找到对应数据后,在其TEE侧计算其摘要,并用私钥签名,然后发送到服务器;
g.服务器接收到数据后对数据进行拆帧,在其TEE侧比对摘要是否正确,然后检查签名是否正确,打印并向客户端返回验证结果;
h.客户端在收到验证结果后,间隔一段时间再次发起验证。
2.如权利要求1所述的基于TEE的可信远程验证的方法,其特征在于,所述服务器和客户端同时持有相同数据信息。
3.如权利要求1所述的基于TEE的可信远程验证的方法,其特征在于,步骤d中,所述客户端循环定时向服务器发起验证请求。
4.如权利要求1所述的基于TEE的可信远程验证的方法,其特征在于,所述数据为存储的文件数据,或者存在客户端上的所有敏感数据和关键程序。
5.如权利要求1-4任意一项所述的基于TEE的可信远程验证的方法,其特征在于,该方法适用于所有端到端的验证服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811458141.2A CN109508562B (zh) | 2018-11-30 | 2018-11-30 | 基于tee的可信远程验证的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811458141.2A CN109508562B (zh) | 2018-11-30 | 2018-11-30 | 基于tee的可信远程验证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109508562A true CN109508562A (zh) | 2019-03-22 |
| CN109508562B CN109508562B (zh) | 2022-03-25 |
Family
ID=65749940
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811458141.2A Active CN109508562B (zh) | 2018-11-30 | 2018-11-30 | 基于tee的可信远程验证的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109508562B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110474874A (zh) * | 2019-07-11 | 2019-11-19 | 中国银联股份有限公司 | 数据安全处理终端、系统及方法 |
| CN110555293A (zh) * | 2019-09-10 | 2019-12-10 | 百度在线网络技术(北京)有限公司 | 用于保护数据的方法、装置、电子设备和计算机可读介质 |
| CN111046440A (zh) * | 2019-12-13 | 2020-04-21 | 支付宝(杭州)信息技术有限公司 | 一种安全区域内容的篡改验证方法及系统 |
| CN112422487A (zh) * | 2019-08-23 | 2021-02-26 | 北京小米移动软件有限公司 | 数据传输方法、装置、系统及计算机可读存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105959287A (zh) * | 2016-05-20 | 2016-09-21 | 中国银联股份有限公司 | 一种基于生物特征的安全认证方法及装置 |
| US20160330618A1 (en) * | 2013-12-25 | 2016-11-10 | China Mobile Communications Corporation | Trusted execution environment initialization method and mobile terminal |
| CN106506472A (zh) * | 2016-11-01 | 2017-03-15 | 黄付营 | 一种安全的移动终端电子认证方法及系统 |
| CN106850201A (zh) * | 2017-02-15 | 2017-06-13 | 济南晟安信息技术有限公司 | 智能终端多因子认证方法、智能终端、认证服务器及系统 |
| CN106899552A (zh) * | 2015-12-21 | 2017-06-27 | 中国电信股份有限公司 | 认证方法,认证终端以及系统 |
| CN107483213A (zh) * | 2017-08-23 | 2017-12-15 | 北京华大智宝电子系统有限公司 | 一种安全认证的方法、相关装置及系统 |
| CN107743133A (zh) * | 2017-11-30 | 2018-02-27 | 中国石油大学(北京) | 移动终端及其基于可信安全环境的访问控制方法和系统 |
| CN108242997A (zh) * | 2016-12-26 | 2018-07-03 | 联芯科技有限公司 | 安全通信的方法与设备 |
| CN108418812A (zh) * | 2018-02-12 | 2018-08-17 | 北京豆荚科技有限公司 | 一种基于可信执行环境的智能终端安全消息服务方法 |
| CN108476226A (zh) * | 2016-12-22 | 2018-08-31 | 华为技术有限公司 | 应用程序授权方法、终端及服务器 |
| CN108768664A (zh) * | 2018-06-06 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 密钥管理方法、装置、系统、存储介质和计算机设备 |
-
2018
- 2018-11-30 CN CN201811458141.2A patent/CN109508562B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160330618A1 (en) * | 2013-12-25 | 2016-11-10 | China Mobile Communications Corporation | Trusted execution environment initialization method and mobile terminal |
| CN106899552A (zh) * | 2015-12-21 | 2017-06-27 | 中国电信股份有限公司 | 认证方法,认证终端以及系统 |
| CN105959287A (zh) * | 2016-05-20 | 2016-09-21 | 中国银联股份有限公司 | 一种基于生物特征的安全认证方法及装置 |
| CN106506472A (zh) * | 2016-11-01 | 2017-03-15 | 黄付营 | 一种安全的移动终端电子认证方法及系统 |
| CN108476226A (zh) * | 2016-12-22 | 2018-08-31 | 华为技术有限公司 | 应用程序授权方法、终端及服务器 |
| CN108242997A (zh) * | 2016-12-26 | 2018-07-03 | 联芯科技有限公司 | 安全通信的方法与设备 |
| CN106850201A (zh) * | 2017-02-15 | 2017-06-13 | 济南晟安信息技术有限公司 | 智能终端多因子认证方法、智能终端、认证服务器及系统 |
| CN107483213A (zh) * | 2017-08-23 | 2017-12-15 | 北京华大智宝电子系统有限公司 | 一种安全认证的方法、相关装置及系统 |
| CN107743133A (zh) * | 2017-11-30 | 2018-02-27 | 中国石油大学(北京) | 移动终端及其基于可信安全环境的访问控制方法和系统 |
| CN108418812A (zh) * | 2018-02-12 | 2018-08-17 | 北京豆荚科技有限公司 | 一种基于可信执行环境的智能终端安全消息服务方法 |
| CN108768664A (zh) * | 2018-06-06 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 密钥管理方法、装置、系统、存储介质和计算机设备 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110474874A (zh) * | 2019-07-11 | 2019-11-19 | 中国银联股份有限公司 | 数据安全处理终端、系统及方法 |
| CN110474874B (zh) * | 2019-07-11 | 2023-02-17 | 中国银联股份有限公司 | 数据安全处理终端、系统及方法 |
| CN112422487A (zh) * | 2019-08-23 | 2021-02-26 | 北京小米移动软件有限公司 | 数据传输方法、装置、系统及计算机可读存储介质 |
| CN110555293A (zh) * | 2019-09-10 | 2019-12-10 | 百度在线网络技术(北京)有限公司 | 用于保护数据的方法、装置、电子设备和计算机可读介质 |
| CN111046440A (zh) * | 2019-12-13 | 2020-04-21 | 支付宝(杭州)信息技术有限公司 | 一种安全区域内容的篡改验证方法及系统 |
| CN111046440B (zh) * | 2019-12-13 | 2022-06-14 | 支付宝(杭州)信息技术有限公司 | 一种安全区域内容的篡改验证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109508562B (zh) | 2022-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108337239B (zh) | 电子设备的事件证明 | |
| US11165579B2 (en) | Decentralized data authentication | |
| CN109508562A (zh) | 基于tee的可信远程验证的方法 | |
| CN109547451B (zh) | 基于tee的可信认证服务认证的方法 | |
| CN107742212B (zh) | 基于区块链的资产验证方法、装置及系统 | |
| US10878080B2 (en) | Credential synchronization management | |
| CN112801663B (zh) | 区块链存证方法、装置、系统、设备和介质 | |
| CN110795126A (zh) | 一种固件安全升级系统 | |
| CN109144552A (zh) | 一种引导固件刷新方法和装置 | |
| CN104683354A (zh) | 一种基于标识的动态口令系统 | |
| CN108496323B (zh) | 一种证书导入方法及终端 | |
| CN110336807A (zh) | 一种基于Web服务的身份认证方法、设备以及存储介质 | |
| GB2488310A (en) | A method and system for authenticating a computer user by using an array of elements | |
| CN109995776A (zh) | 一种互联网数据验证方法及系统 | |
| CN109117674A (zh) | 一种客户端验证加密方法、系统、设备及计算机介质 | |
| CN112765626A (zh) | 基于托管密钥授权签名方法、装置、系统及存储介质 | |
| CN109995783A (zh) | 一种可信网络的接入方法、设备以及存储介质 | |
| CN108496194A (zh) | 一种验证终端合法性的方法、服务端及系统 | |
| CN109670289A (zh) | 一种识别后台服务器合法性的方法及系统 | |
| CN111445250B (zh) | 一种区块链密钥测试方法及装置 | |
| WO2023236720A1 (zh) | 设备认证和校验的方法、装置、设备和存储介质 | |
| CN115549930B (zh) | 登录操作系统的验证方法 | |
| CN111600701A (zh) | 一种基于区块链的私钥存储方法、装置及存储介质 | |
| CN115550060B (zh) | 基于区块链的可信证书验证方法、装置、设备和介质 | |
| CN109145543B (zh) | 一种身份认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |