CN110677261B - 可信二维码生成方法、装置、电子设备及存储介质 - Google Patents
可信二维码生成方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110677261B CN110677261B CN201910938224.XA CN201910938224A CN110677261B CN 110677261 B CN110677261 B CN 110677261B CN 201910938224 A CN201910938224 A CN 201910938224A CN 110677261 B CN110677261 B CN 110677261B
- Authority
- CN
- China
- Prior art keywords
- application
- dimensional code
- information
- public key
- dimension code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/06009—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking
- G06K19/06037—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking multi-dimensional coding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种可信二维码生成方法、装置、电子设备及存储介质。方法包括:通过二维码应用向应用服务器发送二维码业务信息;二维码业务信息为利用应用私钥进行签名后获得的;通过可信二维码应用接收应用服务器发送的二维码信息;二维码信息包括二维码URL,且二维码信息为应用服务器利用应用公钥加密后获得的;通过可信二维码应用根据应用私钥对所述二维码信息进行解密,获得所述二维码URL;通过可信二维码应用根据二维码URL生成对应的二维码。本申请实施例通过TEE中运行的可信二维码应用与应用服务器进行通信,从而实现二维码的生成,由于TEE提供了授权安全软件的安全执行环境,因此提高了二维码生成的安全性。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种可信二维码生成方法、装置、电子设备及存储介质。
背景技术
作为物联网核心感知技术和互联网的重要信息入口,二维码技术迅猛发展,已逐步渗透到国民经济和社会生活的各个领域。目前电视系统中的用户注册、支付等业务也多采用二维码扫描的方式。但是随着二维码的快速普及,二维码安全问题日益增多,因扫描含有木马、病毒等安全风险的二维码而遭受经济损失的报道屡见报端。
目前二维码的安全风险主要有两类,第一类是隐私问题,即是否出现用户的私有信息随着二维码的传播而被泄露。第二类是越权问题,即是否出现违反用户意图的越权操作问题。当前常用的签名认证、发布预审、加密等二维码安全策略虽然可以提高二维码防篡改、反逆向、可溯源等安全支撑能力,但还是不能解决通过攻破网络通路、劫持或篡改数据通信等手段截获替换二维码的安全风险。
发明内容
本申请实施例的目的在于提供一种可信二维码生成方法、装置、电子设备及存储介质,用以提高二维码生成的安全性。
第一方面,本申请实施例提供一种可信二维码生成方法,应用于终端,所述终端包括一般操作环境和可信执行环境TEE,包括:
通过一般操作环境中运行的二维码应用向应用服务器发送二维码业务信息;所述二维码业务信息为利用应用私钥进行签名后获得的;
通过可信执行环境TEE中运行的可信二维码应用接收应用服务器发送的二维码信息;其中,所述二维码信息包括二维码URL,且所述二维码信息为所述应用服务器利用预先存储的应用公钥进行加密后获得的;
通过所述可信二维码应用根据预先存储的应用私钥对所述二维码信息进行解密,解密后获得所述二维码URL;
通过所述可信二维码应用根据所述二维码URL生成对应的二维码。
本申请实施例通过电视终端TEE中运行的可信二维码应用与应用服务器进行通信,从而实现二维码的生成,由于TEE提供了授权安全软件的安全执行环境,因此提高了二维码生成的安全性。
进一步地,在所述可信二维码应用根据所述二维码URL生成对应的二维码之后,所述方法还包括:
通过所述可信二维码应用将所述二维码显示在可信用户界面上。
本申请实施例通过信二维码应用将二维码显示在可信用户界面上,保证了二维码从生成到显示的过程中不被篡改,进而提高了二维码传输的安全性。
进一步地,所述方法还包括:
生成设备私钥和设备公钥;
将所述电视终端对应的设备标识和所述设备私钥存储在TEE中,以及向设备管理服务器发送所述设备标识和所述设备公钥。
本申请实施例通过建立可信根,从电视终端芯片层保障了二维码生成可信根的建立。
进一步地,所述方法还包括:
生成二维码应用对应的应用私钥和应用公钥;
将所述设备标识、所述二维码应用对应的应用标识和所述应用私钥存储至TEE中;
利用所述设备私钥对所述设备标识、所述应用标识和所述应用公钥进行签名,获得应用信息;
向所述应用服务器发送所述应用信息,以使所述应用服务器在接收到所述应用信息后,调用所述设备管理服务器中的设备公钥对所述应用信息进行验签,并在验签通过后保存所述应用标识和所述应用公钥。
本申请实施例通过利用设备私钥来签名应用公钥,并将应用公钥存储至应用服务器,建立了从电视终端、应用服务器、设备管理服务器之间的可信链,从而保障了电视终端、应用服务器、设备管理服务器之间信息传递的安全性。
第二方面,本申请实施例提供一种可信二维码生成方法,应用于应用服务器,包括:
接收电视终端通过二维码应用发送的二维码业务信息;所述二维码业务信息为利用应用私钥进行签名后获得的;
利用预先存储的应用公钥对所述二维码业务信息进行验签,验签通过后根据所述二维码业务信息生成二维码URL;
利用所述应用公钥加密所述二维码URL,获得二维码信息,并向电视终端中的可信二维码应用发送所述二维码信息。
本申请实施例通过电视终端TEE中运行的可信二维码应用与应用服务器进行通信,从而实现二维码的生成,由于TEE提供了授权安全软件的安全执行环境,因此提高了二维码生成的安全性。
进一步地,所述方法还包括:
接收所述电视终端中的二维码应用发送的应用信息,所述应用信息为所述二维码应用利用设备私钥对设备标识、所述二维码应用对应的应用标识和应用公钥进行签名获得;
调用设备管理服务器的设备认证接口,从设备管理服务器中获得预先存储的设备公钥;
利用所述设备公钥对所述应用信息进行验签,在验签通过的情况下,存储所述应用标识和所述应用公钥。
第三方面,本申请实施例提供一种终端,包括:
发送模块,用于通过一般操作环境中运行的二维码应用向应用服务器发送二维码业务信息;所述二维码业务信息为利用应用私钥进行签名后获得的;
第一接收模块,用于接收应用服务器发送的二维码信息;其中,所述二维码信息包括二维码URL,且所述二维码信息为所述应用服务器利用预先存储的应用公钥进行加密后获得的;
解密模块,用于利用预先存储的应用私钥对所述二维码信息进行解密,解密后获得所述二维码URL;
二维码生成模块,用于根据所述二维码URL生成对应的二维码。
第四方面,本申请实施例提供一种应用服务器,包括:
第二接收模块,用于接收电视终端通过二维码应用发送的二维码业务信息;所述二维码业务信息为利用应用私钥进行签名后获得的;
验签模块,用于利用预先存储的应用公钥对所述二维码业务信息进行验签,验签通过后根据所述二维码业务信息生成二维码URL;
加密模块,用于利用所述应用公钥对所述二维码URL进行加密,获得二维码信息,并向电视终端中的可信二维码应用发送所述二维码信息。
第五方面,本申请实施例提供一种二维码生成装置,包括第三方面提供的终端和第四方面提供的应用服务器;所述终端与所述应用服务器之间采用HTTPS通信。
第六方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面或第二方面的方法步骤。
第七方面,本申请实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,当所述计算机指令被计算机运行时,使所述计算机执行第一方面或第二方面的方法步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的可信二维码电视终端架构图;
图2为本申请实施例提供的一种构建可信链的信令交互图;
图3为本申请实施例提供的一种可信二维码生成方法流程示意图;
图4为本申请实施例提供的另一种可信二维码生成方法流程示意图;
图5为本申请实施例提供的终端结构示意图;
图6为本申请实施例提供的应用服务器结构示意图;
图7为本申请实施例提供的电子设备实体结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
图1为本申请实施例提供的可信二维码电视终端架构图,如图1所示,在电视终端中同时运行着一般操作系统应用环境(Rich Execution Environment,REE)和可信执行环境(Trusted Execution Environment,TEE)。智能电子设备中的通用环境为REE。本申请实施例中,二维码应用运行在REE中,可信二维码应用运行在TEE中,例如:第三方通讯应用微信,其网络聊天的功能在REE的微信应用中执行,其在线支付的功能在TEE中的可信微信应用中执行。
TEE是一般操作系统之外的独立运行环境。一般操作系统不能访问未经TEE授权的TEE资源。可信资源仅能由其他可信资源访问,因此TEE与REE隔离形成封闭系统。TEE向被称作可信应用程序(Trusted Application,TA)的安全软件提供安全可执行环境。它同时加强了对这些可信执行程序中数据和资源的机密性、完整性和访问权限的保护。在TEE内部,每一个TA都是独立的,其不能未经授权的访问另一个TA的安全资源。TA由不同的应用提供商提供,从而可以针对不同的应用提供商实现TA定制。REE中的应用和TEE中的TA可以通过TEE客户端接口(TEE Client API)进行互相访问,TEE中的TA之间可以通过TEE内部接口(TEEInternal API)进行互相访问。
因此,为了抵御屏幕获取、钓鱼等供给方式,提高二维码生成的安全性,本申请实施例利用TEE进行二维码的生成,以及后续二维码的传输及展示。图2为本申请实施例提供的一种构建可信链的信令交互图,如图2所示,包括电视TEE、二维码APP、应用服务器、设备管理服务器。构建可信链的过程包括产线阶段和二维码应用初始化阶段,其中步骤201-步骤204为产线阶段的构建,步骤205-步骤210为二维码应用初始化阶段,该构建流程包括:
步骤201:设备公私钥生成;在产线阶段由电视终端TEE生成设备私钥和设备公钥,其中设备私钥和设备公钥可以通过非对称加密算法RSA生成。
步骤202:保存设备私钥和设备标识;电视终端将设备私钥和该设备对应的设备标识存储在TEE中,可以理解的是,设备标识用来标识电视终端的唯一性,在电视终端生成过程中,会为每一台电视终端设置唯一的标识,该标识可以作为设备标识。
步骤203:向设备管理服务器导入设备标识和设备公钥;将电视终端中的设备标识和设备公钥导入到设备管理服务器,其导入的方式可以是离线的方式,离线导入可以提高安全性。其中,离线导入的方式可以是通过U盘从电视终端中拷贝设备标识和设备公钥,然后再利用U盘将设备标识和设备公钥传输到设备管理服务器中,这种方式相对通过网络在线传输的方式的安全性更高。
步骤204:保存设备公钥和设备标识;设备管理服务器将设备公钥和设备标识进行保存。
步骤205:应用公私钥生成;二维码应用在第一次启动时,会生成对应的应用私钥和应用公钥。
步骤206:导入设备标识、应用标识和应用私钥;二维码应用将设备标识、应用标识和应用私钥存储在TEE中,可以理解的是,应用标识用来表示应用的唯一性。
步骤207:保存应用私钥;电视终端在接收到二维码应用发送的设备标识、应用标识和应用私钥之后,将其进行保存。应当说明的是,在保存过程中,设备标识、应用标识和应用私钥应当作为一条记录进行存储。
步骤208:上传设备标识、应用标识、应用公钥;电视终端通过二维码应用向应用服务器发送应用信息,其中,应用信息为利用设备私钥对设备标识、应用标识和应用公钥进行签名获得的。
步骤209:验签;应用服务器在接收到应用信息后,调用设备管理服务器中的设备公钥对应用信息进行验签,在验签通过后,获取应用信息中的设备标识、应用标识和应用公钥。
步骤210:保存应用私钥;应用服务器将设备标识、应用标识和应用公钥进行保存。
通过上述步骤中实现了电视终端、应用服务器和设备管理服务器之间的可信链。通过可信链来保证电视终端、应用服务器和设备管理服务器之间通信的安全性。并且,应当说明的是,上述实施例是为了方案的完整性而做的介绍,其并不是实施本申请二维码生成方法是所必须的步骤。
本申请实施例提供一种可信二维码生成方法,该方法可以应用于电视终端,也可以用于其他需要生成二维码的电子设备上,下面以电视终端为例进行描述,如图3所示,包括:
步骤301:通过一般操作环境中运行的二维码应用向应用服务器发送二维码业务信息;所述二维码业务信息为利用应用私钥进行签名后获得的。
在具体的实施过程中,用户在通过电视终端进行注册或购买商品的操作时,电视终端一般会向用户展示二维码,以使用户通过自己使用的终端扫描后进行相应的操作。以购买商品为例,当用户需要购买某个商品时,可以通过向电视终端发起购买请求。电视终端在接收到该购买请求之后,通过一般操作业务环境中运行的二维码应用向应用服务器发送二维码业务信息,该二维码业务信息中可以包括用户信息、商品信息以及电视终端的标识等信息,其中用户信息主要用来对用户的身份进行标识,可以为用户注册的账号或者手机号等。并且,二维码业务信息是电视终端利用应用私钥进行签名后的。应当说明的是,应用私钥为预先生成并存储在电视终端的。
步骤302:通过可信执行环境TEE中运行的可信二维码应用接收应用服务器发送的二维码信息;其中,所述二维码信息包括二维码URL,且所述二维码信息为所述应用服务器利用预先存储的应用公钥进行加密后获得的。
在具体的实施过程中,应用服务器在接收到电视终端发送的二维码业务信息之后,利用应用公钥对二维码业务信息进行验签,在验签通过之后根据接收到的二维码业务信息生成对应的二维码URL,为了保证二维码URL传输的安全性,将二维码URL再次用应用公钥进行加密,获得二维码信息。并将二维码信息发送给电视终端中TEE中的可信二维码应用,因此,电视终端通过TEE中运行的可信二维码应用接收到的二维码信息中包括二维码URL。
步骤303:通过所述可信二维码应用根据预先存储的应用私钥对所述二维码信息进行解密,解密通过后获得所述二维码URL。
在具体的实施过程中,在电视终端通过可信二维码应用接收到二维码信息之后,根据预先存储的应用私钥对二维码信息进行解密。在解密之后,可以获取到二维码信息中的二维码URL。
步骤304:通过所述可信二维码应用根据所述二维码URL生成对应的二维码。应当说明的是,可以利用二维码生成器将二维码URL生成对应的二维码。
本申请实施例通过电视终端TEE中运行的可信二维码应用与应用服务器进行通信,从而实现二维码的生成,由于TEE提供了授权安全软件的安全执行环境,因此提高了二维码生成的安全性。
在上述实施例的基础上,在所述可信二维码应用根据所述二维码URL生成对应的二维码之后,所述方法还包括:
通过所述可信二维码应用将所述二维码显示在可信用户界面上。
在具体的实施过程中,在生成了二维码之后,可信二维码应用通过调用TEE内部接口访问TEE中的可信用户界面,将二维码显示在可信用户界面上,以便用户可以通过扫描界面上的二维码进行相应的操作。
本申请实施例通过可信二维码应用将二维码显示在可信用户界面上,保证了二维码从生成到显示的过程中不被篡改,进而提高了二维码传输的安全性。
图4为本申请实施例提供的另一种可信二维码生成方法流程示意图,如图4所示,该方法应用于应用服务器,方法包括:
步骤401:接收电视终端通过二维码应用发送的二维码业务信息;所述二维码业务信息为利用应用私钥进行签名后获得的。
在具体的实施过程中,若用户需要通过电视终端进行用户注册或购买商品的操作,电视终端可以向该用户展示一个二维码,用户通过扫描该二维码之后进行相应的注册或支付操作。以用户注册为例,电视终端接收到用户发送的注册请求,注册请求中可以包括要注册用户的用户信息,电视终端根据注册请求生成二维码业务信息,其中,二维码业务信息中可以包括用户信息和业务标识,该业务标识是用户注册业务的标识,并且,二维码业务信息为电视终端利用应用私钥进行签名后获得的。
步骤402:利用预先存储的应用公钥对所述二维码业务信息进行验签,验签通过后根据所述二维码业务信息生成二维码URL。
在具体的实施过程中,应用服务器在接收到二维码业务信息之后,利用预先存储的应用公钥对二维码业务信息进行验签,若二维码业务信息没有被中途篡改或替换,那么可以验签通过;若二维码业务信息被篡改或替换,则通过应用公钥无法进行验签。在验签通过之后,根据二维码业务信息生成对应的二维码URL。
步骤403:利用所述应用公钥加密所述二维码URL,获得二维码信息,并向电视终端中的可信二维码应用发送所述二维码信息。
在具体的实施过程中,应用服务器在生成二维码URL之后,利用应用公钥对二维码URL进行加密,从而获得二维码信息。然后向电视终端的可信二维码应用中发送二维码信息。
可以理解的是,在电视终端的可信二维码应用接收到二维码信息之后,利用应用私钥对二维码信息进行解密,如果二维码信息没有被中途替换或者篡改,那么二维码信息可以解密。在解密之后,电视终端获得二维码URL,并根据二维码URL生成对应的二维码。在生成二维码后,通过TEE内部接口调用可信用户界面,将二维码显示在可信用户界面上,以供用户扫描二维码进行用户的注册。
本申请实施例通过电视终端TEE中运行的可信二维码应用与应用服务器进行通信,从而实现二维码的生成,由于TEE提供了授权安全软件的安全执行环境,因此提高了二维码生成的安全性。
图5为本申请实施例提供的终端结构示意图,该终端可以是电子设备上的模块、程序段或代码。应理解,该终端与上述图3方法实施例对应,能够执行图3方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该终端包括:发送模块501、第一接收模块502、解密模块503和二维码生成模块504,其中:
发送模块501用于通过一般操作环境中运行的二维码应用向应用服务器发送二维码业务信息;所述二维码业务信息为利用应用私钥进行签名后获得的;第一接收模块502用于接收应用服务器发送的二维码信息;其中,所述二维码信息包括二维码URL,且所述二维码信息为所述应用服务器利用预先存储的应用公钥进行加密后获得的;解密模块503用于利用预先存储的应用私钥对所述二维码信息进行解密,解密后获得所述二维码URL;二维码生成模块504用于根据所述二维码URL生成对应的二维码。
在上述实施例的基础上,该终端还包括:
显示模块,用于通过所述可信二维码应用将所述二维码显示在可信用户界面上。
在上述实施例的基础上,该终端还包括公私钥生成模块,用于:
生成设备私钥和设备公钥;将所述电视终端对应的设备标识和所述设备私钥存储在TEE中,以及向设备管理服务器发送所述设备标识和所述设备公钥。
在上述实施例的基础上,该终端还包括应用公私钥生成模块,用于:
生成二维码应用对应的应用私钥和应用公钥;
将所述设备标识、所述二维码应用对应的应用标识和所述应用私钥存储至TEE中;
利用所述设备私钥对所述设备标识、所述应用标识和所述应用公钥进行签名,获得应用信息;
向所述应用服务器发送所述应用信息,以使所述应用服务器在接收到所述应用信息后,调用所述设备管理服务器中的设备公钥对所述应用信息进行验签,并在验签通过后保存所述应用标识和所述应用公钥。
图6为本申请实施例提供的应用服务器结构示意图,该应用服务器可以是电子设备上的模块、程序段或代码。应理解,该应用服务器与上述图4方法实施例对应,能够执行图4方法实施例涉及的各个步骤,该应用服务器具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括:第二接收模块601、验签模块602和加密模块603,其中:
第二接收模块601用于接收电视终端通过二维码应用发送的二维码业务信息;所述二维码业务信息为利用应用私钥进行签名后获得的;验签模块602用于利用预先存储的应用公钥对所述二维码业务信息进行验签,验签通过后根据所述二维码业务信息生成二维码URL;加密模块603用于利用所述应用公钥加密所述二维码URL,获得二维码信息,并向电视终端中的可信二维码应用发送所述二维码信息。
在上述实施例的基础上,该应用服务器还包括应用公钥存储模块,用于:
接收所述电视终端中的二维码应用发送的应用信息,所述应用信息为所述二维码应用利用设备私钥对设备标识、所述二维码应用对应的应用标识和应用公钥进行签名获得;
调用设备管理服务器的设备认证接口,从设备管理服务器中获得预先存储的设备公钥;
利用所述设备公钥对所述应用信息进行验签,在验签通过的情况下,存储所述应用标识和所述应用公钥。
综上所述,本申请实施例通过电视终端TEE中运行的可信二维码应用与应用服务器进行通信,从而实现二维码的生成,由于TEE提供了授权安全软件的安全执行环境,因此提高了二维码生成的安全性。
本申请实施例还提供一种可信二维码生成装置,该装置包括上述各实施例提供的终端以及应用服务器,该装置通过终端和应用服务器之间的HTTPS通信实现二维码的生成以及传输。具体实现方式参见上述实施例,此处不再赘述。
图7为本申请实施例提供的电子设备实体结构示意图,如图7所示,所述电子设备,包括:处理器(processor)701、存储器(memory)702和总线703;其中,
所述处理器701和存储器702通过所述总线703完成相互间的通信;
所述处理器701用于调用所述存储器702中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:通过一般操作环境中运行的二维码应用向应用服务器发送二维码业务信息;所述二维码业务信息为利用应用私钥进行签名后获得的;通过可信执行环境TEE中运行的可信二维码应用接收应用服务器发送的二维码信息;其中,所述二维码信息包括二维码URL,且所述二维码信息为所述应用服务器利用预先存储的应用公钥进行加密后获得的;通过所述可信二维码应用根据预先存储的应用私钥对所述二维码信息进行解密,解密后获得所述二维码URL;通过所述可信二维码应用根据所述二维码URL生成对应的二维码。
处理器701可以是一种集成电路芯片,具有信号处理能力。上述处理器701可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器702可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:通过一般操作环境中运行的二维码应用向应用服务器发送二维码业务信息;所述二维码业务信息为利用应用私钥进行加密后获得的;通过可信执行环境TEE中运行的可信二维码应用接收应用服务器发送的二维码信息;其中,所述二维码信息包括二维码URL,且所述二维码信息为所述应用服务器利用预先存储的应用公钥进行签名后获得的;通过所述可信二维码应用根据预先存储的应用私钥对所述二维码信息进行解密,解密后获得所述二维码URL;通过所述可信二维码应用根据所述二维码URL生成对应的二维码。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:通过一般操作环境中运行的二维码应用向应用服务器发送二维码业务信息;所述二维码业务信息为利用应用私钥进行加密后获得的;通过可信执行环境TEE中运行的可信二维码应用接收应用服务器发送的二维码信息;其中,所述二维码信息包括二维码URL,且所述二维码信息为所述应用服务器利用预先存储的应用公钥进行签名后获得的;通过所述可信二维码应用根据预先存储的应用私钥对所述二维码信息进行解密,解密后获得所述二维码URL;通过所述可信二维码应用根据所述二维码URL生成对应的二维码。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (8)
1.一种可信二维码生成方法,其特征在于,应用于终端,所述终端包括一般操作环境和可信执行环境TEE,包括:
通过一般操作环境中运行的二维码应用向应用服务器发送二维码业务信息;所述二维码业务信息为利用应用私钥进行签名后获得的;所述二维码业务信息包括用户信息、商品信息和终端标识;
通过可信执行环境TEE中运行的可信二维码应用接收应用服务器发送的二维码信息;其中,所述二维码信息包括二维码URL,且所述二维码信息为所述应用服务器利用应用公钥对二维码业务信息进行验签,在验签通过之后根据接收到的二维码业务信息生成对应的二维码URL,并利用预先存储的应用公钥进行加密后获得的;
通过所述可信二维码应用根据预先存储的应用私钥对所述二维码信息进行解密,解密后获得所述二维码URL;
通过所述可信二维码应用根据所述二维码URL生成对应的二维码;
所述方法还包括:
生成设备私钥和设备公钥;
将电视终端对应的设备标识和所述设备私钥存储在TEE中,以及向设备管理服务器发送所述设备标识和所述设备公钥;
生成二维码应用对应的应用私钥和应用公钥;
将所述设备标识、所述二维码应用对应的应用标识和所述应用私钥存储至TEE中;
利用所述设备私钥对所述设备标识、所述应用标识和所述应用公钥进行签名,获得应用信息;
向所述应用服务器发送所述应用信息,以使所述应用服务器在接收到所述应用信息后,调用所述设备管理服务器中的设备公钥对所述应用信息进行验签,并在验签通过后保存所述应用标识和所述应用公钥。
2.根据权利要求1所述的方法,其特征在于,在所述可信二维码应用根据所述二维码URL生成对应的二维码之后,所述方法还包括:
通过所述可信二维码应用将所述二维码显示在可信用户界面上。
3.一种可信二维码生成方法,其特征在于,应用于应用服务器,包括:
接收电视终端通过二维码应用发送的二维码业务信息;所述二维码业务信息为利用应用私钥进行签名后获得的;所述二维码业务信息包括用户信息、商品信息和终端标识;
利用预先存储的应用公钥对所述二维码业务信息进行验签,验签通过后根据所述二维码业务信息生成二维码URL;
利用所述应用公钥加密所述二维码URL,获得二维码信息,并向电视终端中的可信二维码应用发送所述二维码信息;
所述方法还包括:
接收所述电视终端中的二维码应用发送的应用信息,所述应用信息为所述二维码应用利用设备私钥对设备标识、所述二维码应用对应的应用标识和应用公钥进行签名获得;其中,所述设备私钥为所述电视终端生成,并将所述设备标识和所述设备私钥发送给设备管理服务器;
调用设备管理服务器的设备认证接口,从设备管理服务器中获得预先存储的设备公钥;
利用所述设备公钥对所述应用信息进行验签,在验签通过的情况下,存储所述应用标识和所述应用公钥。
4.一种终端,其特征在于,包括:
发送模块,用于通过一般操作环境中运行的二维码应用向应用服务器发送二维码业务信息;所述二维码业务信息为利用应用私钥进行签名后获得的;所述二维码业务信息包括用户信息、商品信息和终端标识;
第一接收模块,用于接收应用服务器发送的二维码信息;其中,所述二维码信息包括二维码URL,且所述二维码信息为所述应用服务器利用应用公钥对二维码业务信息进行验签,在验签通过之后根据接收到的二维码业务信息生成对应的二维码URL,并利用预先存储的应用公钥进行加密后获得的;
解密模块,用于利用预先存储的应用私钥对所述二维码信息进行解密,解密后获得所述二维码URL;
二维码生成模块,用于根据所述二维码URL生成对应的二维码;
公私钥生成模块,用于:生成设备私钥和设备公钥;将电视终端对应的设备标识和所述设备私钥存储在TEE中,以及向设备管理服务器发送所述设备标识和所述设备公钥;
应用公私钥生成模块,用于:
生成二维码应用对应的应用私钥和应用公钥;
将所述设备标识、所述二维码应用对应的应用标识和所述应用私钥存储至TEE中;
利用所述设备私钥对所述设备标识、所述应用标识和所述应用公钥进行签名,获得应用信息;
向所述应用服务器发送所述应用信息,以使所述应用服务器在接收到所述应用信息后,调用所述设备管理服务器中的设备公钥对所述应用信息进行验签,并在验签通过后保存所述应用标识和所述应用公钥。
5.一种应用服务器,其特征在于,包括:
第二接收模块,用于接收电视终端通过二维码应用发送的二维码业务信息;所述二维码业务信息为利用应用私钥进行签名后获得的;所述二维码业务信息包括用户信息、商品信息和终端标识;
验签模块,用于利用预先存储的应用公钥对所述二维码业务信息进行验签,验签通过后根据所述二维码业务信息生成二维码URL;
加密模块,用于利用所述应用公钥对所述二维码URL进行加密,获得二维码信息,并向电视终端中的可信二维码应用发送所述二维码信息;
所述应用服务器还包括应用公钥存储模块,用于:
接收所述电视终端中的二维码应用发送的应用信息,所述应用信息为所述二维码应用利用设备私钥对设备标识、所述二维码应用对应的应用标识和应用公钥进行签名获得;其中,所述设备私钥为所述电视终端生成,并将所述设备标识和所述设备私钥发送给设备管理服务器;
调用设备管理服务器的设备认证接口,从设备管理服务器中获得预先存储的设备公钥;
利用所述设备公钥对所述应用信息进行验签,在验签通过的情况下,存储所述应用标识和所述应用公钥。
6.一种可信二维码生成装置,其特征在于,包括:如权利要求4所述的终端和如权利要求5所述的应用服务器;所述终端与所述应用服务器之间采用HTTPS通信。
7.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-3任一项所述的方法。
8.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,当所述计算机指令被计算机运行时,使所述计算机执行如权利要求1-3任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910938224.XA CN110677261B (zh) | 2019-09-29 | 2019-09-29 | 可信二维码生成方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910938224.XA CN110677261B (zh) | 2019-09-29 | 2019-09-29 | 可信二维码生成方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110677261A CN110677261A (zh) | 2020-01-10 |
| CN110677261B true CN110677261B (zh) | 2023-05-12 |
Family
ID=69080345
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910938224.XA Active CN110677261B (zh) | 2019-09-29 | 2019-09-29 | 可信二维码生成方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110677261B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111522541B (zh) * | 2020-01-17 | 2023-08-01 | 中国银联股份有限公司 | 一种图形化代码生成方法、装置以及计算机可读存储介质 |
| CN111582415B (zh) * | 2020-05-08 | 2023-04-18 | 北京思特奇信息技术股份有限公司 | 设备管理方法、装置、电子设备及存储介质 |
| CN115865539B (zh) * | 2023-03-03 | 2023-06-09 | 新云网科技集团股份有限公司 | 一种安全绑定方法、装置、设备以及存储介质 |
| JP7493859B1 (ja) | 2023-12-13 | 2024-06-03 | 株式会社フォリオ | 二次元コード配布システム及び二次元コード配布方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017147890A1 (zh) * | 2016-03-04 | 2017-09-08 | 华为技术有限公司 | 一种验证码短信显示方法及移动终端 |
| CN107408254A (zh) * | 2015-02-27 | 2017-11-28 | 三星电子株式会社 | 提供电子支付功能的电子装置及其操作方法 |
| WO2017206833A1 (zh) * | 2016-06-01 | 2017-12-07 | 华为技术有限公司 | 支付方法、支付设备和支付服务器 |
| CN108022097A (zh) * | 2016-11-03 | 2018-05-11 | 中国移动通信有限公司研究院 | 一种基于可信执行环境的支付方法及装置 |
| CN109150548A (zh) * | 2015-12-01 | 2019-01-04 | 神州融安科技(北京)有限公司 | 一种数字证书签名、验签方法及系统、数字证书系统 |
| CN109145628A (zh) * | 2018-09-06 | 2019-01-04 | 江苏恒宝智能系统技术有限公司 | 一种基于可信执行环境的数据采集方法及系统 |
| CN109559105A (zh) * | 2018-11-05 | 2019-04-02 | 深圳市恒达移动互联科技有限公司 | 基于tee及加密芯片的数字钱包生成方法及系统 |
| CN109615030A (zh) * | 2018-10-12 | 2019-04-12 | 阿里巴巴集团控股有限公司 | 基于安全应用的二维码防伪方法、设备及系统 |
| CN109657764A (zh) * | 2018-10-22 | 2019-04-19 | 北京握奇智能科技有限公司 | 一种tee环境下生成二维码的方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111615105B (zh) * | 2016-07-18 | 2023-08-04 | 创新先进技术有限公司 | 信息提供、获取方法、装置及终端 |
| US10839391B2 (en) * | 2017-10-12 | 2020-11-17 | Samsung Electronics Co., Ltd. | Method and apparatus for secure offline payment |
-
2019
- 2019-09-29 CN CN201910938224.XA patent/CN110677261B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107408254A (zh) * | 2015-02-27 | 2017-11-28 | 三星电子株式会社 | 提供电子支付功能的电子装置及其操作方法 |
| CN109150548A (zh) * | 2015-12-01 | 2019-01-04 | 神州融安科技(北京)有限公司 | 一种数字证书签名、验签方法及系统、数字证书系统 |
| WO2017147890A1 (zh) * | 2016-03-04 | 2017-09-08 | 华为技术有限公司 | 一种验证码短信显示方法及移动终端 |
| CN107615294A (zh) * | 2016-03-04 | 2018-01-19 | 华为技术有限公司 | 一种验证码短信显示方法及移动终端 |
| WO2017206833A1 (zh) * | 2016-06-01 | 2017-12-07 | 华为技术有限公司 | 支付方法、支付设备和支付服务器 |
| CN108022097A (zh) * | 2016-11-03 | 2018-05-11 | 中国移动通信有限公司研究院 | 一种基于可信执行环境的支付方法及装置 |
| CN109145628A (zh) * | 2018-09-06 | 2019-01-04 | 江苏恒宝智能系统技术有限公司 | 一种基于可信执行环境的数据采集方法及系统 |
| CN109615030A (zh) * | 2018-10-12 | 2019-04-12 | 阿里巴巴集团控股有限公司 | 基于安全应用的二维码防伪方法、设备及系统 |
| CN109657764A (zh) * | 2018-10-22 | 2019-04-19 | 北京握奇智能科技有限公司 | 一种tee环境下生成二维码的方法及系统 |
| CN109559105A (zh) * | 2018-11-05 | 2019-04-02 | 深圳市恒达移动互联科技有限公司 | 基于tee及加密芯片的数字钱包生成方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110677261A (zh) | 2020-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110677418B (zh) | 可信声纹认证方法、装置、电子设备及存储介质 | |
| US10484185B2 (en) | Method and system for distributing attestation key and certificate in trusted computing | |
| US9838205B2 (en) | Network authentication method for secure electronic transactions | |
| CN110677261B (zh) | 可信二维码生成方法、装置、电子设备及存储介质 | |
| US9231925B1 (en) | Network authentication method for secure electronic transactions | |
| TWI734854B (zh) | 資訊安全的驗證方法、裝置和系統 | |
| US8495383B2 (en) | Method for the secure storing of program state data in an electronic device | |
| CN105072125B (zh) | 一种http通信系统及方法 | |
| US10045210B2 (en) | Method, server and system for authentication of a person | |
| CN112765684B (zh) | 区块链节点终端管理方法、装置、设备及存储介质 | |
| CN109660534B (zh) | 基于多商户的安全认证方法、装置、电子设备及存储介质 | |
| CN110611657A (zh) | 一种基于区块链的文件流处理的方法、装置及系统 | |
| CN111683103A (zh) | 信息交互方法及装置 | |
| CN112765626A (zh) | 基于托管密钥授权签名方法、装置、系统及存储介质 | |
| CN111130798A (zh) | 一种请求鉴权方法及相关设备 | |
| CN108449322B (zh) | 身份注册、认证方法、系统及相关设备 | |
| CN114465803A (zh) | 对象授权方法、装置、系统及存储介质 | |
| CN113434882A (zh) | 应用程序的通讯保护方法、装置、计算机设备及存储介质 | |
| CN110399706B (zh) | 授权认证方法、装置和计算机系统 | |
| CN116881936A (zh) | 可信计算方法及相关设备 | |
| CN114584299B (zh) | 数据处理方法、装置、电子设备和存储介质 | |
| CN116528230A (zh) | 验证码处理方法、移动终端及可信服务系统 | |
| CN114172923B (zh) | 数据传输方法、通信系统及通信装置 | |
| CN113783690B (zh) | 基于认证的招标方法和装置 | |
| CN114117388A (zh) | 设备注册方法、设备注册装置、电子设备以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |