CN111666560A

CN111666560A - 一种基于可信执行环境的密码管理方法和系统

Info

Publication number: CN111666560A
Application number: CN202010465293.6A
Authority: CN
Inventors: 程明明; 顾宇超
Original assignee: Nankai University
Current assignee: Nankai University
Priority date: 2020-05-28
Filing date: 2020-05-28
Publication date: 2020-09-15
Also published as: GB202107608D0; US20210374227A1; GB2595590A

Abstract

本发明公开了一种基于可信执行环境的密码管理方法和系统。该方法假定移动端存在硬件可信环境，通过用户对硬件可信环境进行授权，可信环境中的独立操作系统将自动地进行密码相关的管理操作。可信执行环境将会为每个账号注册独立的强密码，并将账号和应用(或网站)的对应关系存储在硬件安全区内。应用请求登录时返回该应用对应的账号列表，由用户进行选择。通过点对点加密传输，不同的可信设备间可以同步存储的密码信息。此外，可以通过移动可信端，可以管理其他无可信环境的设备上的应用(或网站)，比如笔记本电脑等。该方法解决了用户难以记忆大量复杂密码的问题，并且确保了密码管理系统自身的安全性。

Description

一种基于可信执行环境的密码管理方法和系统

技术领域

本发明属于信息安全领域，特别涉及到一种基于可信执行环境的密码管理方法和系统。

背景技术

随着智能手机的普及，越来越多的事务可以通过手机应用或网站进行在线处理，包括娱乐，办公，社交，财务等。对于不同的应用或网站，用户需要进行相应的密码设置。由于应用数量增多，用户难以记忆太多复杂的随机密码，因而倾向于设置方便记忆的通用密码，给信息安全带来了威胁。有的用户为不同的应用设置相同的密码，并且泄露的密码会导致一连串应用或网站的密码泄露，其中包括高敏感度的财务应用密码的泄露。这些习惯使得黑客可以通过预测用户密码习惯或者撞库攻击等方式进行破解。

解决密码泄露或被猜出的最简单直接的方式之一就是为每一个应用或网站的每一个账号设置一个独立的随机高强度密码，但这样会极大增加用户的记忆难度。杨振林等人[1]构建的密码管理系统可以将应用以及相应的账号密码进行存储，减少了用户的记忆负担。徐平等人[2]利用智能手机进行密码管理，将密码信息存储在手机的存储卡或SIM卡上。但是密码管理系统本身的安全性至关重要，需要非常高的安全机制进行保护，以防止密码泄露的风险性。上述方法将密码管理系统构建在服务器或者存储卡上，无法做到对密码管理系统进行有效的安全保护。

可信执行环境(Trusted Execution Environment)是移动设备中的一个独特的隔离安全区域。市场上的许多设备都有硬件安全级的可信执行环境。该区域可以确保该环境内部的代码和数据的安全性、机密性、完整性。可信执行环境提供了一个隔离的环境，与设备的操作系统同时存在。其硬件隔离技术可以使其不受安装在移动设备上操作系统的应用影响。

本专利公开了一个基于硬件安全区的密码管理方法和系统，将密码的管理过程由人工记忆转移到硬件可信执行环境管理，因此可以为每个应用设置复杂的强密码，同时无需用户记忆。该密码管理系统基于硬件安全区进行构建，无需上传到服务器或者使用外部存储，减少泄露风险。用户授权安全区进行全部操作，具有较高的实用性和安全性。所述方法和系统，可以在方便用户使用的同时，真正做到硬件安全级的密码管理与保护。

[1]杨振林.一种密码管理方法和系统：中国，201210225542X，2016.01.06.

[2]徐平.用智能手机实现密码管理的方法：中国，2014103451281，2018.03.13.

发明内容

本发明提供一种基于可信执行环境的密码管理方法和系统，要解决的技术问题是如何为大量的应用和网站进行自动的账号管理，包括创建，修改，自动填写以及同步，并确保密码管理系统本身的安全性。

为了实现本发明的目的，我们依靠以下技术方案来实现。

一种基于可信执行环境的密码管理方法，包括：

a)收到应用请求输入密码时，将请求交由可信执行环境进行处理；

b)可信执行环境为应用的账号创建强密码；

c)应用与账号的对应关系存储于硬件安全区内。应用登录时返回存储的账号列表由用户进行选择。

根据本方法的一个方面，应用可以在可信执行环境内为账号创建新的强密码，该应用和账号的绑定信息存储在信任区，支持注册多个新的账号与密码，即支持应用和账号一对多绑定。

根据本方法的另一个方面，应用请求登陆时，在可信执行环境内检索并返回绑定的多个注册账号，由用户进行选择使用哪一个账号进行登录。

根据本方法的另一个方面，涉及可信执行环境的密码操作(读取，写入等)，需要用户对可信执行环境的授权,包括但不限于，指纹识别、虹膜识别、人脸识别、输入超级密码等。对于识别未通过的操作，拒绝其进行密码操作。

根据本方法的另一个方面，除了本地应用的账号，可信执行环境还可以对网站进行管理，仅需通过拍照或复制该网址到管理系统。

根据本方法的另一个方面，可信设备，下文统称手机，同时也可以用于管理其他无可信执行环境的设备，包括但不限于，笔记本电脑，平板电脑等，下文统称电脑。手机可通过加密点对点信道与电脑相连，电脑端的管理系统传递的应用id或者网址，手机可信执行环境授权通过后，可以注册或检索出相应的账号返回电脑端，并由电脑端管理系统进行自动登陆。

一种基于可信执行环境的密码管理系统，包括：

a)生成模块，接收到可信执行环境生成密码的请求，为账号随机生成一个强密码，与存储模块相连；

b)存储模块，接收应用和账号信息，成对存储在硬件安全区内，与生成模块，输出模块和认证模块相连；

c)输出模块，接收应用信息，在存储模块中进行检索相应的账号，经认证模块确认后，返回给请求的应用，与存储模块相连；

d)认证模块，与存储模块相连，所有对存储模块的读写操作均需要进行认证操作，该认证模块包括但不限于手机内部的指纹认证模块、虹膜认证模块、人脸识别模块、超级密码输入等。

根据本系统的一个方面，所述系统还可以支持两台不同可信设备的存储模块间的点对点互联，当双方均通过认证模块认证后，安全区的数据可通过点对点加密信道进行同步，用于更换、备份、或添加设备等场景。

本发明达到的技术效果是：相对于现有密码管理系统，需要将密码上传至服务器存储，本发明通过硬件安全区进行密码管理，确保了密码系统自身的安全性。本系统可以使用手机管理其他设备，同时管理应用和网站，极大地减轻了用户密码的记忆负担，减少密码泄露的风险。

附图说明

图1为基于可信执行环境的密码管理方法示意图。

图2为基于可信执行环境的密码管理系统示意图。

图3为跨设备管理示意图。

具体实施方式

为了更清楚的说明此系统的具体使用实施方式，下面采用解说步骤参照示意图的方式详细说明：

参照图1基于可信执行环境的密码管理方法流程图，包含：

S1.应用请求创建新的账号。

对S1进一步说明，应用请求密码管理系统创建新的账号，密码管理系统的设计分为客户端应用和可信端应用,分别负责非密码部分和密码部分.非密码部分由客户端接口转发至普通操作系统，由用户进行输入，密码部分由可信端接口转发至可信执行环境，由可信执行环境进行自动创建。可信执行环境(TEE)是CPU内的一个安全区域,它运行在一个独立的环境中,且与操作系统并行运行。客户端接口和可信端接口通过通用唯一识别码(uuid)进行识别,只有相同的uuid,双方才能交互.

可信执行环境请求用户进行授权，授权方式可包括但不限于人脸识别，指纹识别，虹膜识别等。通过在可信环境内的指纹模板和用户输入的指纹进行比对,如果比对未通过，则禁止该操作。若比对通过，可信执行环境将应用id以及相应创建的账号信息存储在信任区(Trust Zone)内。信任区是系统级芯片级别的安全技术,其核心理念是将硬件系统隔离出安全环境,信任区中的内存无法直接环境.对于网页端，该应用id可以通过输入或者拍照获取其网址作为应用id，可以为同一个应用id创建多个账号。

S2.客户端应用请求登录。

对S2进一步说明，客户端请求登录，发送应用id至可信执行环境。可信执行环境请求用户进行授权，授权方式可包括但不限于人脸识别，指纹识别，虹膜识别等。通过在可信环境内的指纹模板和用户输入的指纹进行比对,如果比对未通过，则禁止该操作。若比对通过，可信执行环境通过检索该应用id对应的账号，返回由用户点选其中一个账号进行登录。

S3.跨设备管理

参照图2，通过手机等存在可信执行环境(统称手机端)的设备，管理笔记本电脑、平板电脑等不存在可信执行环境的设备(统称电脑端)进行自动密码授权。

对S3进一步说明，在电脑端安装该密码管理客户端，对于电脑端的应用，由电脑端密码管理系统检测其应用id。该应用如果是网页应用，其网址通过SHA-1散列值得到应用id。电脑端密码管理系统将应用id通过加密点对点信道传输至手机端。手机端通过用户授权，选择待登陆的账号，返回给电脑端密码管理系统，由电脑端操控登录。

参照图3基于可信执行环境的密码管理系统示意图，包含以下模块。

S4.生成模块，当请求命令为生成时，可信执行环境通过生成模块生成随机密码。该生成密码以应用id作为随机数种子。

S5.存储模块，当请求命令为写入时，存储模块调用生成模块生成随机密码，与应用id以及账号同时存储在硬件安全区内。

S6.输出模块，当请求命令为读取时，输出模块通过读取存储模块，根据应用id索引到对应的账号列表，返回给用户进行选择由哪个账号进行登录。

S7.认证模块，当对存储模块进行读取和写入的时候，存储模块会调用认证模块，认证模块请求用户进行授权，包括但不限于指纹识别，虹膜识别，面部识别和超级密码。通过身份核验后，授权存储模块可以进行读取和写入密码。

S8.存储模块可通过点对点加密信道进行连接，包括但不限于蓝牙，WLAN连接。当双方均通过认证模块认证后，安全区的数据可通过点对点加密信道进行同步，用于更换、备份、或添加设备等场景。

Claims

1.一种基于可信执行环境的密码管理方法，其特征在于，包括：

b)可信执行环境为应用的账号创建强密码；

c)应用与账号的对应关系存储于硬件安全区内，应用登录时返回存储的账号列表由用户进行选择。

2.根据权利要求1所述的基于可信执行环境的密码管理方法，其特征在于，所述方法还包括：应用可以在可信执行环境内为账号创建新的强密码，该应用和账号的绑定信息存储在信任区，支持注册多个新的账号与密码。

3.根据权利要求1所述的基于可信执行环境的密码管理方法，其特征在于，应用请求登陆时，在可信执行环境内检索并返回绑定的多个注册账号，由用户进行选择使用哪一个账号进行登录。

4.根据权利要求1所述的基于可信执行环境的密码管理方法，其特征在于，涉及可信执行环境的密码操作，需要用户对可信执行环境的授权,包括但不限于，指纹识别、虹膜识别、人脸识别、输入超级密码，对于识别未通过的操作，拒绝其进行密码操作。

5.根据权利要求1所述的基于可信执行环境的密码管理方法，其特征在于，除了本地应用的账号，可信执行环境还可以对网站进行管理，仅需通过拍照或复制该网址到管理系统。

6.根据权利要求1所述的基于可信执行环境的密码管理方法，其特征在于，可信设备，同时也可以用于管理其他无可信执行环境的设备，包括但不限于电脑，可信设备通过加密点对点信道与电脑相连，电脑端的管理系统传递的应用id或者网址，可信设备可信执行环境授权通过后，可以注册或检索出相应的账号返回电脑端，并由电脑端管理系统进行自动登陆；其中的可信设备为手机。

7.一种基于可信执行环境的密码管理系统，其特征在于，包括：

d)认证模块，与存储模块相连，所有对存储模块的读写操作均需要进行认证操作，该认证模块包括但不限于手机内部的指纹认证模块、虹膜认证模块、人脸识别模块、超级密码输入。

8.根据权利要求7所述的基于可信执行环境的密码管理系统，其特征在于，所述系统还可以支持两台不同可信设备的存储模块间的点对点互联，当双方均通过认证模块认证后，安全区的数据可通过点对点加密信道进行同步，用于更换、备份、或添加设备场景。