CN109547451B - 基于tee的可信认证服务认证的方法 - Google Patents

基于tee的可信认证服务认证的方法 Download PDF

Info

Publication number
CN109547451B
CN109547451B CN201811458160.5A CN201811458160A CN109547451B CN 109547451 B CN109547451 B CN 109547451B CN 201811458160 A CN201811458160 A CN 201811458160A CN 109547451 B CN109547451 B CN 109547451B
Authority
CN
China
Prior art keywords
server
client
data
tee
frames
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811458160.5A
Other languages
English (en)
Other versions
CN109547451A (zh
Inventor
杨国东
唐博
刘建敏
张福健
周强强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN201811458160.5A priority Critical patent/CN109547451B/zh
Publication of CN109547451A publication Critical patent/CN109547451A/zh
Application granted granted Critical
Publication of CN109547451B publication Critical patent/CN109547451B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及计算机软件和硬件信息安全技术领域,具体涉及一种基于TEE的可信认证服务认证的方法。其公开了一种基于TEE的可信认证服务认证的方法,有效的解决认证服务的安全性和稳定性的问题。本发明将所有的操作都放到TEE侧执行,包括数据组帧拆帧、随机数生成、加解密、公私钥生成、签名验签、与服务器连接等操作。认证过程中不经过REE侧,直接是通过TEE侧传入到公网,这样就防止了数据在REE侧会被第三方应用攻击而导致数据异常的现象。

Description

基于TEE的可信认证服务认证的方法
技术领域
本发明涉及计算机软件和硬件信息安全技术领域,具体涉及一种基于TEE的可信认证服务认证的方法。
背景技术
常规的认证服务在认证时,要么所有的操作都是在REE侧执行,要么就是私密数据在TEE执行然后再将数据回传到REE侧,最后再通过网络发送到服务端,但是这些方案中,数据都会回到REE侧,这样可能受到第三应用的攻击对数据进行篡改,无法保障数据的安全性。
TEE技术可以保证数据在计算过程中的安全,防止第三方在运算过程中或在存储区修改敏感数据信息,有效抵抗第三方在终端恶意篡改数据,能够做到硬件级安全。
因此,本申请有必要提出一种基于TEE的可信认证服务认证的方法。
发明内容
本发明所要解决的技术问题是:提出一种基于TEE的可信认证服务认证的方法,有效的解决认证服务的安全性和稳定性的问题。
本发明解决上述技术问题所采用的技术方案是:
基于TEE的可信认证服务认证的方法,包括以下步骤:
A、客户端对服务器的认证:
A1、服务器启动认证服务,客户端切换到TEE可信执行环境,并在TEE侧连接服务器;客户端请求服务器的公钥,并组帧数据后发送给服务器;
A2、服务器接收到请求,对请求数据进行拆帧,解析出帧命令,将自己的公钥进行组帧,然后发送给客户端;
A3、客户端在TEE可信执行环境下接收到服务器的数据,进行拆帧,获得服务器的公钥并存储;
A4、客户端在TEE可信执行环境下产生随机数,然后将此随机数组帧后发给服务器;
A5、服务器接收到数据后对数据进行拆帧,解析出命令,对得到的数据进行摘要算法,然后对摘要使用自己的私钥进行签名,最后将签名信息组帧发送给客户端;
A6、客户端在TEE可信执行环境下对服务端的数据进行拆帧,得到签名值,然后对此签名值进行验签,验签成功或者失败返回相应状态给服务器;
B、服务器对客户端的认证:
B1、客户端在其TEE可信执行环境下组帧自己的公钥,组帧完成后发送给服务器;
B2、服务器接收到数据,对数据进行拆帧,解析出帧命令,获得客户端的公钥并存储;
B3、服务器产生随机数,使用摘要算法对数据进行计算得到摘要值,将产生的随机数进行数据组帧并发送给客户端;
B4、客户端在TEE可信执行环境中接收到数据后进行数据拆帧,得到数据,然后客户端将得到的数据使用摘要算法算出摘要值并使用自己的私钥对摘要值进行签名,并将签名值进行组帧发给服务器;
B5、服务器接收到数据后进行拆帧,得到客户端的签名信息,然后对此签名信息进行验签,将验签的结果组帧成数据发送给客户端。
作为进一步优化,步骤A6中,所述客户端对此签名值进行验签,具体为:
客户端通过存储的服务器公钥对签名值进行解密,并将解密结果与客户端采用摘要算法计算其产生的随机数的摘要值进行比对验证。
作为进一步优化,该方法适用于所有端到端的认证服务。
作为进一步优化,步骤B5中,所述服务器对此签名信息进行验签,具体为:
服务器通过存储的客户端公钥对签名信息进行解密,并将解密结果与服务器采用摘要算法计算其产生的随机数的摘要值进行比对验证。
本发明的有益效果是:
使用该方法对服务器和客户端的认证进行保护,能够有效的防止认证过程,私密数据被第三方应用截取;由于整个认证流程都放在TEE侧可信执行环境,可以保证隐私数据的安全性和保持认证过程的稳定性。
附图说明
图1为本发明的可信认证服务认证流程中client验证server的方法流程;
图2为本发明的可信认证服务认证流程中server验证client的方法流程;
图3为本发明的可信认证服务框架图。
具体实施方式
本发明旨在提出一种基于TEE的可信认证服务认证的方法,有效的解决认证服务的安全性和稳定性的问题。为了防止客户端与服务端认证过程中的数据被篡改,防止任何端到端的认证过程被其他第三方应用攻击或者是篡改,保证在认证过程中密钥等相关数据的安全性,本发明将所有的操作都放到TEE侧执行,包括数据组帧拆帧、随机数生成、加解密、公私钥生成、签名验签、与服务器连接等操作。认证过程中不经过REE侧,直接是通过TEE侧传入到公网,这样就防止了数据在REE侧会被第三方应用攻击而导致数据异常的现象。
在具体实现上,本发明中基于TEE的可信认证服务认证的方法,包括以下步骤:
A、客户端(client)对服务器(server)的认证,如图1所示:
A1、服务端启动认证服务,客户端切换到TEE可信执行环境,并在TEE侧连接服务端并组帧数据后发送给服务端,请求服务端的公钥。
A2、服务端接收到请求,对请求数据进行拆帧,解析出帧命令,将自己的公钥进行组帧,然后回给客户端。
A3、客户端在TEE可信执行环境下接收到服务端的数据,进行拆帧,并将得到的公钥存储到TEE侧
A4、客户端在TEE可信执行环境下产生随机数(或者其他方式产生数据),然后将此数据组帧发给服务器
A5、服务器接收到数据后对数据进行拆帧,解析出命令,对得到的数据进行摘要算法,然后对摘要使用自己的私钥进行签名,最后将签名信息组帧回给客户端
A6、客户端在TEE可信执行环境下对服务端的数据进行拆帧,得到签名值,客户端再将签名值和客户端对随机数产生的摘要值进行签名的验签,验签成功或者失败返回相应状态给服务端。
B、服务器(server)对客户端(client)的认证,如图2所示:
B1、客户端在TEE可信执行环境一侧将自己的公钥进行组帧,组帧完成后通过网络发送给服务端;
B2、服务端接收到数据后,对数据进行拆帧,解析出帧命令,得到客户端的公钥,然后将公钥存储起来;
B3、服务端产生随机数(或者其他方式产生数据),使用摘要算法对数据进行计算得到摘要值,将产生的数据进行数据组帧并回给客户端;
B4、客户端在TEE可信执行环境中接收到数据后进行数据拆帧,得到数据,然后客户端将得到的数据使用摘要算法算出摘要值并使用自己的私钥对摘要值进行签名,并将签名值进行组帧发给服务端;
B5、服务端接收到数据后进行拆帧,得到客户端的签名信息,服务端根据自己产生的数据可以得到一个摘要信息,然后根据客户端的返回的签名信息进行验签,此时将验签的结果组帧成数据回给数客户端。
到此服务器和客户端的双向认证都已经认证完成。其认证的整个流程都是在TEE侧完成,最后认证完成以后只是会返回给REE侧一个结果,REE侧不涉及到加密、签名信息、公私钥对等信息。所以在REE侧第三方应用也无法攻击到我们的整个认证过程,这样保证了认证过程的安全性和稳定性。
为实现上述方法,本发明所采用的可信认证服务框架如图3所示,
本发明将认证过程中的流程和加密相关等操作都是在TEE执行,包括数据组帧拆帧、随机数生成、加解密、公私钥生成、签名验签、与服务器连接等操作;可以保证隐私数据的安全性和保持认证过程的稳定性。

Claims (4)

1.基于TEE的可信认证服务认证的方法,其特征在于,包括以下步骤:
A、客户端对服务器的认证:
A1、服务器启动认证服务,客户端切换到TEE可信执行环境,并在TEE侧连接服务器;客户端请求服务器的公钥,并组帧数据后发送给服务器;
A2、服务器接收到请求,对请求数据进行拆帧,解析出帧命令,将自己的公钥进行组帧,然后发送给客户端;
A3、客户端在TEE可信执行环境下接收到服务器的数据,进行拆帧,获得服务器的公钥并存储;
A4、客户端在TEE可信执行环境下产生随机数,然后将此随机数组帧后发给服务器;
A5、服务器接收到数据后对数据进行拆帧,解析出命令,对得到的数据进行摘要算法,然后对摘要使用自己的私钥进行签名,最后将签名信息组帧发送给客户端;
A6、客户端在TEE可信执行环境下对服务器的数据进行拆帧,得到签名值,然后对此签名值进行验签,验签成功或者失败返回相应状态给服务器;
B、服务器对客户端的认证:
B1、客户端在其TEE可信执行环境下组帧自己的公钥,组帧完成后发送给服务器;
B2、服务器接收到数据,对数据进行拆帧,解析出帧命令,获得客户端的公钥并存储;
B3、服务器产生随机数,使用摘要算法对数据进行计算得到摘要值,将产生的随机数进行数据组帧并发送给客户端;
B4、客户端在TEE可信执行环境中接收到数据后进行数据拆帧,得到数据,然后客户端将得到的数据使用摘要算法算出摘要值并使用自己的私钥对摘要值进行签名,并将签名值进行组帧发给服务器;
B5、服务器接收到数据后进行拆帧,得到客户端的签名信息,然后对此签名信息进行验签,将验签的结果组帧成数据发送给客户端。
2.如权利要求1所述的基于TEE的可信认证服务认证的方法,其特征在于,步骤A6中,所述客户端对此签名值进行验签,具体为:
客户端通过存储的服务器公钥对签名值进行解密,并将解密结果与客户端采用摘要算法计算其产生的随机数的摘要值进行比对验证。
3.如权利要求1所述的基于TEE的可信认证服务认证的方法,其特征在于,步骤B5中,所述服务器对此签名信息进行验签,具体为:
服务器通过存储的客户端公钥对签名信息进行解密,并将解密结果与服务器采用摘要算法计算其产生的随机数的摘要值进行比对验证。
4.如权利要求1-3任意一项所述的基于TEE的可信认证服务认证的方法,其特征在于,该方法适用于所有端到端的认证服务。
CN201811458160.5A 2018-11-30 2018-11-30 基于tee的可信认证服务认证的方法 Active CN109547451B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811458160.5A CN109547451B (zh) 2018-11-30 2018-11-30 基于tee的可信认证服务认证的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811458160.5A CN109547451B (zh) 2018-11-30 2018-11-30 基于tee的可信认证服务认证的方法

Publications (2)

Publication Number Publication Date
CN109547451A CN109547451A (zh) 2019-03-29
CN109547451B true CN109547451B (zh) 2021-05-25

Family

ID=65851928

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811458160.5A Active CN109547451B (zh) 2018-11-30 2018-11-30 基于tee的可信认证服务认证的方法

Country Status (1)

Country Link
CN (1) CN109547451B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020220974A1 (zh) * 2019-04-29 2020-11-05 华控清交信息科技(北京)有限公司 面向数据传输的存证方法、传输方法及系统
CN110096881A (zh) * 2019-05-07 2019-08-06 百度在线网络技术(北京)有限公司 恶意调用防护方法、装置、设备及计算机可读介质
CN110661783B (zh) * 2019-08-28 2022-04-26 视联动力信息技术股份有限公司 一种终端的注册方法、装置和存储介质
CN110661784B (zh) * 2019-08-28 2022-03-25 视联动力信息技术股份有限公司 一种用户的认证方法、装置和存储介质
CN110519304A (zh) * 2019-09-30 2019-11-29 四川虹微技术有限公司 基于tee的https双向认证方法
CN110717149B (zh) * 2019-10-09 2022-03-22 湖南国科微电子股份有限公司 一种安全架构及其运行方法、设备及可读存储介质
CN111711863A (zh) * 2020-06-29 2020-09-25 北京数码视讯科技股份有限公司 防止节目插播的方法、装置、电子设备及存储介质
CN111787006A (zh) * 2020-06-30 2020-10-16 北京经纬恒润科技有限公司 一种安全应用的访问控制方法及系统
CN115174125A (zh) * 2022-09-07 2022-10-11 北京笔新互联网科技有限公司 可信执行环境中可信真随机数的获取方法及装置
CN117235693B (zh) * 2023-11-14 2024-02-02 杭州安恒信息技术股份有限公司 一种可信执行环境的可信认证和安全通道建立方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105592071A (zh) * 2015-11-16 2016-05-18 中国银联股份有限公司 一种在设备之间进行授权的方法和装置
CN106899552B (zh) * 2015-12-21 2020-03-20 中国电信股份有限公司 认证方法,认证终端以及系统
CN105721500B (zh) * 2016-04-10 2019-01-15 北京工业大学 一种基于TPM的Modbus/TCP协议的安全增强方法
CN105959287A (zh) * 2016-05-20 2016-09-21 中国银联股份有限公司 一种基于生物特征的安全认证方法及装置
CN106375348B (zh) * 2016-11-17 2019-12-27 新华三技术有限公司 一种Portal认证方法和装置
CN106850209A (zh) * 2017-02-28 2017-06-13 苏州福瑞思信息科技有限公司 一种身份认证方法及装置
CN107066888B (zh) * 2017-04-21 2020-04-21 北京豆荚科技有限公司 可扩展的可信用户接口、方法和电子设备
CN107302541A (zh) * 2017-07-31 2017-10-27 成都蓝码科技发展有限公司 一种基于http协议的数据加密传输方法
CN108418812B (zh) * 2018-02-12 2021-01-12 北京豆荚科技有限公司 一种基于可信执行环境的智能终端安全消息服务方法
CN108809982B (zh) * 2018-06-12 2020-10-27 飞天诚信科技股份有限公司 一种基于可信执行环境的免密认证方法及系统

Also Published As

Publication number Publication date
CN109547451A (zh) 2019-03-29

Similar Documents

Publication Publication Date Title
CN109547451B (zh) 基于tee的可信认证服务认证的方法
WO2022206349A1 (zh) 一种信息验证的方法、相关装置、设备以及存储介质
US9838205B2 (en) Network authentication method for secure electronic transactions
US9824353B2 (en) Key protection method and system
WO2022021992A1 (zh) 一种基于NB-IoT通信的数据传输方法、系统及介质
WO2019020051A1 (zh) 一种安全认证的方法及装置
JP4638912B2 (ja) ディストリビューションcdを使用した、署名されたグループにおけるダイレクトプルーフの秘密鍵を装置に伝達する方法
US20050120203A1 (en) Methods, systems and computer program products for automatic rekeying in an authentication environment
WO2023236720A1 (zh) 设备认证和校验的方法、装置、设备和存储介质
CN113992346B (zh) 一种基于国密加固的安全云桌面的实现方法
CN109508562B (zh) 基于tee的可信远程验证的方法
CN112765626A (zh) 基于托管密钥授权签名方法、装置、系统及存储介质
EP4096147A1 (en) Secure enclave implementation of proxied cryptographic keys
US20220103376A1 (en) Method and apparatus for realizing secure signature
CN109241702A (zh) 一种软件使用授权方法及客户端
CN111130798A (zh) 一种请求鉴权方法及相关设备
CN116484426A (zh) 一种基于可信执行环境的医疗数据联邦学习方法及系统
CN113872992A (zh) 一种在BMC系统中实现远程Web访问强安全认证的方法
US11379572B2 (en) Apparatus, method, and program product for proof of work based authentication
WO2021073224A1 (zh) 数据显示方法、显示终端、服务器、显示系统和存储介质
US20240364523A1 (en) Identity authentication based on time-based one-time password algorithm
CN106713256A (zh) 一种税控专用计算机软硬件绑定的认证方法
CN115549930B (zh) 登录操作系统的验证方法
CN115694833A (zh) 一种协同签名方法
CN117640109B (zh) Api接口安全访问方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant