CN116321175A - 一种移动终端操作系统身份标识生成及可信认证方法 - Google Patents

一种移动终端操作系统身份标识生成及可信认证方法 Download PDF

Info

Publication number
CN116321175A
CN116321175A CN202310194713.5A CN202310194713A CN116321175A CN 116321175 A CN116321175 A CN 116321175A CN 202310194713 A CN202310194713 A CN 202310194713A CN 116321175 A CN116321175 A CN 116321175A
Authority
CN
China
Prior art keywords
osid
data segment
data
signature
identity identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310194713.5A
Other languages
English (en)
Inventor
赵荣辉
樊子民
卢煜
于炳虎
皮文超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
First Research Institute of Ministry of Public Security
Original Assignee
First Research Institute of Ministry of Public Security
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by First Research Institute of Ministry of Public Security filed Critical First Research Institute of Ministry of Public Security
Priority to CN202310194713.5A priority Critical patent/CN116321175A/zh
Publication of CN116321175A publication Critical patent/CN116321175A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/66Trust-dependent, e.g. using trust scores or trust relationships
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种移动终端操作系统身份标识生成及可信认证方法,基于国密数字证书、国密SM2/SM3算法、随机选择算法和可信计算技术,能够对智能手机型移动终端或扩展类移动终端实现身份标识OSID的生成、全生命周期管理及可信认证,加快和提升海量互联移动智能终端操作系统身份可信认证效率,消除数字证书单一体系认证的流程和数据交互冗余以及证书验证服务的单点故障风险。通过身份标识OSID数据标准结构化,将OSID身份标识生成和可信认证过程的运算故障显著降低,具备和数字证书认证体系同等身份识别认证功能,适合大量智能物联网移动终端操作系统身份的快速认证,同时具备防范安全风险,弥补当前移动终端操作系统全生命周期身份的安全管理和可信认证的空白。

Description

一种移动终端操作系统身份标识生成及可信认证方法
技术领域
本发明涉及安全通讯技术领域,具体涉及一种移动终端操作系统身份标识生成及可信认证方法。
背景技术
现阶段,公共安全领域的移动终端装备所搭载的操作系统主要以Android系统为主。近些年,随着5G、移动互联网和人工智能等新技术迅速发展,移动操作系统已发展到第三代,以微内核、面向全场景(人、设备、业务)、面向万物互联业务协同为主要特点。相关配套的移动终端装备也逐步在公共安全行业推广应用。
当前新一代移动公共安全体系基于网络安全等级保护和内生防御可信计算体系,构建移动终端及公共安全业务系统的安全防护架构,有力防范移动公共安全业务过程中带来的系统安全风险。移动终端装备安全方面已基本完成公共安全PKI基础设施建设,完善移动公共安全用户身份认证体系,解决了用户使用用户证书和移动公共安全装备从事公共安全业务的需求。
与此同时,随着5G快速推进,海量设备接入、系统异构纷杂和系统复杂度急剧攀升,还有很多亟待解决的安全问题。如何基于现有公共安全PKI体系构建5G场景下的“人员、设备、系统”快速身份认证接入,是横亘在当前阶段亟待解决的棘手问题之一。海量“物”的接入认证以及分类繁杂、庞大异构的移动终端操作系统的可信身份认证,成为当前新一代移动公共安全体系遗留未完善、新技术发展又必须面对和解决的难点和问题之一。
PKI体系是一种通过使用公钥密码技术和数字签名来确保信息安全、实现验证数字证书持有者身份可信的一种常用技术。PKI主要包括公钥密码体系、数字证书、CA(授权机构)以及RA(注册机构)等逻辑单元。表征用户身份的数字证书通常包含使用者的公钥、使用者的身份标识信息、有效期(数字证书的有效期限)、颁发者的标识信息和颁发者的数字签名等信息。数字证书可作为身份标识,在网络世界中进行。交互时证书持有人只需出示数字证书,对方通过判断该证书是否伪造、持证人是否拥有对应的私钥、该证书是否被作废或冻结等内容即可验证该持证人的身份是否合法,从而很方便地实现高强度的身份认证功能。
然而,以上方案实现移动终端操作系统身份认证据具有如下缺点:
1.数字证书有效性检查需要频繁的和机构CA交互,流程冗余,在端侧身份认证时,中心式架构网络联通时效性无法保证;
2.数字证书信息携带数据量较大(单证书大于2K),在海量移动互联时代,高并发业务证书认证增大网络和计算开销,降低服务质量;
3.数字证书不具备端端、端边场景的快速认证和校验特性,不支持与可信计算体系联动,不支持通过身份标识构建快速协同的账号身份认证和派生机制。其次,数字证书和密码服务接口对上层移动应用的开发调用不太友好(SKF接口频繁调用)。
发明内容
针对现有技术的不足,本发明旨在提供一种移动终端操作系统身份标识生成及可信认证方法。
为了实现上述目的,本发明采用如下技术方案:
一种移动终端操作系统身份标识生成及可信认证方法,包括OSID标识码生成和OSID标识码可信认证两个部分:
一、OSID标识码生成的具体流程为:
1.1、移动终端操作系统出厂后首次开机上电启动,完成数字签名证书申请、可信度量、设备管理系统服务组件启动之后,工作于操作系统框架层的身份标识OSID可信认证模块初始化;
1.2、身份标识OSID可信认证模块调用国密SKF接口获取操作系统数字签名证书信息,调用设备管理系统服务组件获取移动终端指纹特征;所述指纹特征由设备IMEI、MAC地址信息及序列号等硬件信息经密码接口按既定规则SM3杂凑运算生成;
1.3、身份标识OSID可信认证模块根据步骤1.2的操作系统数字签名证书信息和移动终端指纹特征,采用随机选择算法生成校验位,调用国密SKF接口生成UAIC数据的数据段1、数据段2、数据段4,其中所述数据段4即为所述校验位;
1.4、身份标识OSID可信认证模块根据步骤1.3生成的UAIC数据段,调用国密SKF接口生成未签名的UAIC数据的数据段3;
1.5、身份标识OSID可信认证模块申请CA根证书SM2签名,获取UAIC数据的数据段3的签名信息,通过运算生成含签名的UAIC数据的数据段3;身份标识OSID可信认证模块生成UAIC数据;
1.6、身份标识OSID可信认证模块调用SKF接口获取UAIC数据,据此生成OSID的数据段1、数据段2和数据段4,调用设备管理系统服务组件接口,按照随机选择算法获取操作系统特征信息,调用SKF接口将UAIC数据的数据段1、数据段2以及操作系统特征信息生成SM3杂凑结果,生成未签名和校验的OSID的数据段3;
1.7、身份标识OSID可信认证模块针对步骤1.6生成的数据段3,调用SKF接口经操作系统数字签名证书私钥签名生成第一签名数据段;
1.8、身份标识OSID可信认证模块申请CA根证书SM2签名,针对步骤1.7生成的第一签名数据段的签名信息,生成第二签名数据段;
1.9、身份标识OSID可信认证模块将步骤1.7生成的第一签名数据段和步骤1.8中生成的第二签名数据段拼接,生成含签名和校验信息的数据段3;
1.10、身份标识OSID可信认证模块生成最终OSID数据;
二、OSID可信认证流程具体为:
2.1、身份标识OSID可信认证模块解析认证请求,获取OSID数据信息和认证方移动终端指纹特征;
2.2、身份标识OSID可信认证模块调用SKF接口获取预置的CA验签根证书,验签步骤2.1中OSID数据信息中数据段3的第二签名数据段数据;CA验签根证书为移动终端在初始过程时通过在线或离线方式向CA获取的;
2.3、如步骤2.2中的验签通过,则向CA获取认证方的验签证书,验签OSID数据的数据段3的第一签名数据段;
2.4、如步骤2.3中的验签通过,则解析OSID数据中的数据段4,根据随机选择算法校验步骤2.1中获取的认证方移动终端指纹特征的真伪;
2.5、如步骤2.4校验通过,则返回认证结果true;
2.6、认证流程结束。
进一步地,步骤1.5中,身份标识OSID可信认证模块生成UAIC数据并导入硬件密码模块、TCM或TPCM存储。
进一步地,步骤1.10中,身份标识OSID可信认证模块生成最终OSID数据并存入或导入安全存储模块。
更进一步地,步骤1.10中,安全存储模块为TEE或硬件密码模块。
本发明的有益效果在于:本发明方基于国密数字证书、国密SM2/SM3算法、随机选择算法和可信计算技术等,能够对智能手机型移动终端或扩展类移动终端(智能手表、智能手环、智能网关、智能车载移动终端或其他搭载智能移动操作系统的可穿戴及扩展类终端)实现身份标识OSID的生成、全生命周期管理及可信认证,加快和提升海量互联移动智能终端操作系统可信认证效率,消除数字证书单一体系认证的流程和数据交互冗余以及证书验证服务的单点故障风险。通过身份标识OSID数据标准结构化,在OSID身份标识生成和可信认证过程的运算故障显著降低,具备和数字证书认证体系同等身份识别认证功能,适合大量智能物联网移动终端操作系统身份的快速认证,同时具备防范非法篡改、恶意利用、恶意攻击等安全风险,弥补了当前移动终端操作系统全生命周期身份的安全管理和可信认证的空白,能够满足公共安全行业针对移动终端安全可信和风险监测的急迫需求。
附图说明
图1为本发明操作系统OSID身份标识码逻辑结构图;
图2为本发明UAIC和OSID数据段结构逻辑示意图;
图3为本发明实施例1中OSID标识生成流程示意图;
图4为本发明实施例1中OSID可信认证流程示意图;
图5为本发明实施例2中OSID标识生成流程示意图;
图6为本发明实施例2中OSID可信认证流程示意图。
具体实施方式
以下将结合附图对本发明作进一步的描述,需要说明的是,本实施例以本技术方案为前提,给出了详细的实施方式和具体的操作过程,但本发明的保护范围并不限于本实施例。
实施例1
本实施例提供一种移动终端操作系统身份标识生成及可信认证方法,将移动终端启动过程各个阶段(操作系统证书申请阶段、可信度量阶段、终端UAIC生成以及OSID生成阶段)按照时序过程建立关联关系,以移动终端操作系统的硬件密码模块、可信密码模块TCM或可信平台控制模块TPCM和可信执行环境TEE为安全链启示,据此构建移动终端操作系统初始化、启动及运行阶段的身份标识OSID体系,实现基于移动终端操作系统身份标识的可信身份认证。由于操作系统身份标识与终端数字证书、终端指纹信息、终端可信状态以及硬件密码模块强相关,即便遭受外部攻击获取操作系统权限,也无法针对OSID身份标识进行随意篡改和窃取敏感身份信息,一方面可消除单一数字证书认证方式带来身份验证流程冗余、数据信息交互低效的问题,另一方面使用OSID身份标识可快速实现端端、端边场景的身份可信验证,符合移动互联时代海量移动终端业务场景操作系统可信身份认证的需求。
本实施例方法的实现依赖以下三个条件:
(1)移动终端在初始过程已通过在线或离线方式获取机构CA验签根证书以及官方CA签发的对应移动终端操作系统的数字证书;
(2)移动终端开机初始过程已实现基于可信根(TCM、TPCM或硬件密码模块或TEE)构建完整可信链并生成可信度量报告;
(3)移动终端已预置最高系统权限的设备管理系统服务组件(如MDM)且通过接口形式提供系统功能调用(如系统信息获取)。
本实施例方法总体过程为:通过设备管理系统服务组件(如MDM)获取硬件指纹信息;通过国密SKF接口获取操作系统数字签名证书信息;通过可信计算平台获取终端可信度量报告;通过TCM、TPCM或硬件密码模块实施国密密码运算和数据段SM3杂凑;经官方CA中心获申请签名数据生成对应移动终端操作系统唯一身份标识OSID,并在OSID数据结构中支持添加自定义扩展信息。
操作系统OSID身份标识码逻辑结构如图1所示。移动终端侧支撑模块包含可信根(TCM、TPCM或硬件密码模块)、TEE可信运行环境,除此之外基于OSID面向应用提供App标识ID信任链派生服务;系统服务网元包含官方机构CA、密码管理中心、操作系统OSID支撑和安全管理系统服务(以下简称“身份标识管理服务”)等。UAIC为移动终端、操作系统以及数字证书绑定关系的唯一认证标识码,OSID为对应移动终端操作系统身份的唯一标识,其中,UAIC和OSID数据段结构逻辑如图2所示。
其中,UAIC数据段包括数据段1时间戳信息(timestamp)、数据段2设备指纹信息(fingerprint)、数据段3根CA签名信息(sig)和数据段4校验信息(check);OSID数据段包括数据段1时间戳信息(timestamp)、数据段2统一认证标识码(uaic)、数据段3根CA签名信息(sig)和数据段4校验信息(check)。
本实施例中,UAIC和OSID还具有如下特性:
UAIC与终端硬件指纹、终端TCM/TPCM硬件密码模块以及操作系统身份证书(签名证书)强相关,证书更换必须重新生成UAIC。OSID与UAIC、操作系统信息(如版本号、安全补丁信息等)以及操作系统身份证书(数字证书)强相关,操作系统版本升级或恢复出厂重置、证书更换将重新生成OSID信息。
具体地,本实施例方法包括OSID标识码生成和OSID标识码可信认证两个部分:
一、如图3所示,OSID标识码生成的具体流程为:
1.1、移动终端操作系统出厂后首次开机上电启动,完成数字签名证书申请、可信度量、设备管理系统服务组件启动之后,工作于操作系统框架层的身份标识OSID可信认证模块初始化;
1.2、身份标识OSID可信认证模块调用国密SKF接口获取操作系统数字签名证书信息,调用设备管理系统服务组件获取移动终端指纹特征;所述指纹特征由设备IMEI、MAC地址信息及序列号等硬件信息经密码接口按设定规则SM3杂凑运算生成;
1.3、身份标识OSID可信认证模块根据步骤1.2的操作系统数字签名证书信息和移动终端指纹特征,采用随机选择算法生成校验位,调用国密SKF接口生成UAIC数据的数据段1、数据段2、数据段4,其中所述数据段4即为所述校验位;
1.4、身份标识OSID可信认证模块根据步骤1.3生成的UAIC数据段,调用国密SKF接口生成未签名的UAIC数据的数据段3;
1.5、身份标识OSID可信认证模块申请CA根证书SM2签名,获取UAIC数据的数据段3的签名信息,通过运算生成含签名的UAIC数据的数据段3;身份标识OSID可信认证模块生成UAIC数据并导入硬件密码模块存储、TCM或TPCM;
1.6、身份标识OSID可信认证模块调用SKF接口获取UAIC数据,据此生成OSID的数据段1、数据段2和数据段4,调用设备管理系统服务组件接口,按照随机选择算法获取操作系统特征信息,调用SKF接口将UAIC数据的数据段1、数据段2以及操作系统特征信息生成SM3杂凑结果,生成未签名和校验的OSID的数据段3;
1.7、身份标识OSID可信认证模块针对步骤1.6生成的数据段3,调用SKF接口经操作系统数字签名证书私钥签名(即图3中的OS证书)生成第一签名数据段;
1.8、身份标识OSID可信认证模块申请CA根证书SM2签名,针对步骤1.7生成的第一签名数据段的签名信息,生成第二签名数据段;
1.9、身份标识OSID可信认证模块将步骤1.7生成的第一签名数据段和步骤1.8中生成的第二签名数据段拼接,生成含签名和校验信息的数据段3;
1.10、身份标识OSID可信认证模块生成最终OSID数据并存入或导入安全存储模块(TEE或硬件密码模块等)。
二、如图4所示,OSID可信认证流程具体为:
2.1、身份标识OSID可信认证模块解析认证请求,获取OSID数据信息和认证方移动终端指纹特征;
2.2、身份标识OSID可信认证模块调用SKF接口获取预置的CA验签根证书,验签步骤2.1中OSID数据信息中数据段3的第二签名数据段数据;CA验签根证书为移动终端在初始过程时通过在线或离线方式向CA获取的;
2.3、如步骤2.2中的验签通过,则向CA获取认证方的验签证书,验签OSID数据的数据段3的第一签名数据段。需要说明的是,本步骤仅在OSID在线认证(面向系统侧服务的OSID可信认证场景)生效,其它场景则跳过;
2.4、如步骤2.3中的验签通过,则解析OSID数据中的数据段4,根据随机选择算法校验步骤2.1中获取的认证方移动终端指纹特征的真伪;
2.5、如步骤2.4校验通过,则返回认证结果true;
2.6、认证流程结束。
实施例2
本实施例提供一种实施例1所述方法中OSID标识生成的应用实例。
本实施例以一种移动终端A(型号为HUAWEI Mate50,搭载Harmony OS操作系统)首次开机激活过程,操作系统UAIC、OSID身份标识的生成为例表述。该终端支持双系统容器级隔离和双体系架构(Android和Harmony OS)。身份标识OSID可信认证模块工作在系统框架层,使用了当前主流的开发架构和技术,具有一定的通用性和代表性。
前置条件所包括的移动终端A的操作系统启动和运行阶段可信度量、终端TCM/TPCM/硬件密码模块(内置安全芯片形态)初始化和操作系统数字签名证书流程、设备管理系统服务组件启动等全部完成。
如图5所示,所述操作系统身份标识OSID生成流程包括以下步骤:
步骤1:身份标识OSID可信认证模块初始化,通过SKF接口获取操作系统数字签名证书sig_cer的证书信息,通过SM3杂凑运算计算得到fingerprint;
步骤2:生成UAIC数据的数据段1(timestamp,long类型,8字节),同时调用MDM设备管理系统服务组件,根据随机选择算法得到UAIC数据的数据段4的check标识(int类型,4字节);
步骤3:调用SKF接口输入sig_cer、fingerprint,SM3杂凑生成数据段2(16字节);
步骤4:申请data数据段的根CA签名信息,其中data为UAIC数据的数据段1、数据段2、数据段4的SM3杂凑值,长度为16字节;
步骤5:系统服务侧身份标识管理服务受理步骤4签名请求,校验请求合法性,转发至CA申请签名信息;
步骤6:CA生成签名信息sig_ca,系统服务侧身份标识管理服务转发sig_ca至移动终端A,身份标识OSID可信认证模块解析获取sig_ca作为UAIC数据段3(长度72字节);
步骤7:身份标识OSID可信认证模块生成UAIC统一认证标识码,其值为Hex{数据段1:数据段2:数据段3:数据段4}后的字符串;调用SKF接口导入存储至TCM/TPCM或硬件密码模块;
步骤9:身份标识OSID可信认证模块获取步骤7生成的UAIC,调用SKF接口生成SM3杂凑值作为OSID数据段2 16字节,并生成OSID数据段1(timestamp,long类型,8字节),然后根据随机选择算法得到OSID数据段4的check标识(int类型,4字节);
步骤10:身份标识OSID可信认证模块调用SKF接口获取操作系统数字签名证书对数据段data1[{数据段1:数据段2:数据段3}|SM3]的签名值sig_os,并将其作为OSID数据段3的第一签名数据段;
步骤11:身份标识OSID可信认证模块申请data1[{数据段1:数据段2:数据段3}|SM3]的根CA签名,其中data为数据段1、2、4的SM3杂凑值,长度为16字节;
步骤12:系统服务侧身份标识管理服务受理签名请求,校验请求合法性,转发至CA申请签名信息;
步骤13:CA生成签名信息sig_ca,系统服务侧身份标识管理服务转发签名数据sig_ca至移动终端A,身份标识OSID可信认证模块解析获取sig_ca并将其作为OSID数据段3的第二签名数据段(长度72字节);
步骤14:生成OSID身份标识码,其值为Hex{数据段1:数据段2:数据段3:数据段4}后的字符串,其中数据段3为步骤10、13中生成的[第一签名数据段:第二前面数据段]。
步骤15:OSID生成流程结束。
实施例3
本实施例提供一种实施例1所述方法中OSID可信认证的应用实例。
本实施例以第三方系统服务针对移动终端B(型号为HUAWEI Mate50,搭载HarmonyOS操作系统)OSID在线可信身份认证为例,所表述的在线场景特指移动终端能够正常接入和访问系统侧服务,且由第三方系统服务A(或在网移动终端)发起的针对移动终端操作系统的OSID可信认证。本实施例中,终端支持双系统隔离/双体系架构(Android和HarmonyOS),可安全接入移动公共安全系统。身份标识OSID可信认证模块采用终端操作系统系统应用服务形式,工作在系统框架层,使用了当前主流的开发架构和技术,具有一定的通用性和代表性。
前置条件所包括的移动终端B的操作系统启动和运行阶段可信度量、TCM/TPCM/硬件密码模块(内置安全芯片形态)初始化和操作系统签名证书流程、设备管理系统服务组件启动、OSID生成流程等全部完成。
如图6所示,本实施例所述终端B操作系统身份标识OSID的在线认证流程,主要包括以下步骤:
步骤1:部署在移动公务系统的第三方系统应用服务(或移动终端A)发起面向被认证方移动终端B的操作系统身份OSID可信认证请求,携带认证类型参数type值为1。(type为1表示发起在线认证,2表示发起离线认证)
步骤2:终端B接收到OSID可信认证请求,调用终端的身份标识OSID可信认证模块获取osid_b信息、终端B的指纹信息fingerprint_b;
步骤3:终端B返回请求响应至认证方第三方系统应用服务(或移动终端A),携带osid_b和fingerprint_b;
步骤4:认证方第三方系统应用服务(或移动终端A)向身份认证管理服务中心发起在线OSID认证校验,携带终端B返回的osid_b和fingerprint_b;
步骤5:身份认证管理服务中心调用根CA验签公钥验证osid_b的签名数据段3第二签名数据段的合法性;
步骤6:身份认证管理服务中心解析osid_b、fingerprint_b,根据osid标识获取管理服务中心数据库中对应osid_b的终端信息;
步骤7:身份认证管理服务中心有解析osid_b的check数据段,采用随机选择算法对应策略,计算SM杂凑值并与请求中的osid_b对应数据段进行校验比对;
步骤8:步骤5、步骤6、步骤7均校验通过,返回校验结果(true:可信认证校验通过,false:不通过)至认证方第三方系统应用服务(或移动终端A);
步骤9:认证方第三方系统应用服务(或移动终端A)返回在线OSID可信认证结果至终端B;
步骤10:OSID在线可信认证流程结束。
对于本领域的技术人员来说,可以根据以上的技术方案和构思,给出各种相应的改变和变形,而所有的这些改变和变形,都应该包括在本发明权利要求的保护范围之内。

Claims (4)

1.一种移动终端操作系统身份标识生成及可信认证方法,其特征在于,包括OSID标识码生成和OSID标识码可信认证两个部分:
一、OSID标识码生成的具体流程为:
1.1、移动终端操作系统出厂后首次开机上电启动,完成数字签名证书申请、可信度量、设备管理系统服务组件启动之后,工作于操作系统框架层的身份标识OSID可信认证模块初始化;
1.2、身份标识OSID可信认证模块调用国密SKF接口获取操作系统数字签名证书信息,调用设备管理系统服务组件获取移动终端指纹特征;所述指纹特征由设备IMEI、MAC地址信息及序列号等硬件信息经密码接口按既定规则SM3杂凑运算生成;
1.3、身份标识OSID可信认证模块根据步骤1.2的操作系统数字签名证书信息和移动终端指纹特征,采用随机选择算法生成校验位,调用国密SKF接口生成UAIC数据的数据段1、数据段2、数据段4,其中所述数据段4即为所述校验位;
1.4、身份标识OSID可信认证模块根据步骤1.3生成的UAIC数据段,调用国密SKF接口生成未签名的UAIC数据的数据段3;
1.5、身份标识OSID可信认证模块申请CA根证书SM2签名,获取UAIC数据的数据段3的签名信息,通过运算生成含签名的UAIC数据的数据段3;身份标识OSID可信认证模块生成UAIC数据;
1.6、身份标识OSID可信认证模块调用SKF接口获取UAIC数据,据此生成OSID的数据段1、数据段2和数据段4,调用设备管理系统服务组件接口,按照随机选择算法获取操作系统特征信息,调用SKF接口将UAIC数据的数据段1、数据段2以及操作系统特征信息生成SM3杂凑结果,生成未签名和校验的OSID的数据段3;
1.7、身份标识OSID可信认证模块针对步骤1.6生成的数据段3,调用SKF接口经操作系统数字签名证书私钥签名生成第一签名数据段;
1.8、身份标识OSID可信认证模块申请CA根证书SM2签名,针对步骤1.7生成的第一签名数据段的签名信息,生成第二签名数据段;
1.9、身份标识OSID可信认证模块将步骤1.7生成的第一签名数据段和步骤1.8中生成的第二签名数据段拼接,生成含签名和校验信息的数据段3;
1.10、身份标识OSID可信认证模块生成最终OSID数据;
二、OSID可信认证流程具体为:
2.1、身份标识OSID可信认证模块解析认证请求,获取OSID数据信息和认证方移动终端指纹特征;
2.2、身份标识OSID可信认证模块调用SKF接口获取预置的CA验签根证书,验签步骤2.1中OSID数据信息中数据段3的第二签名数据段数据;CA验签根证书为移动终端在初始过程时通过在线或离线方式向CA获取;
2.3、如步骤2.2中的验签通过,则向CA获取认证方的验签证书,验签OSID数据的数据段3的第一签名数据段;
2.4、如步骤2.3中的验签通过,则解析OSID数据中的数据段4,根据随机选择算法校验步骤2.1中获取的认证方移动终端指纹特征的真伪;
2.5、如步骤2.4校验通过,则返回认证结果true;
2.6、认证流程结束。
2.根据权利要求1所述的方法,其特征在于,步骤1.5中,身份标识OSID可信认证模块生成UAIC数据并导入硬件密码模块、TCM或TPCM存储。
3.根据权利要求1所述的方法,其特征在于,步骤1.10中,身份标识OSID可信认证模块生成最终OSID数据并存入或导入安全存储模块。
4.根据权利要求3所述的方法,其特征在于,步骤1.10中,安全存储模块为TEE或硬件密码模块。
CN202310194713.5A 2023-03-03 2023-03-03 一种移动终端操作系统身份标识生成及可信认证方法 Pending CN116321175A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310194713.5A CN116321175A (zh) 2023-03-03 2023-03-03 一种移动终端操作系统身份标识生成及可信认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310194713.5A CN116321175A (zh) 2023-03-03 2023-03-03 一种移动终端操作系统身份标识生成及可信认证方法

Publications (1)

Publication Number Publication Date
CN116321175A true CN116321175A (zh) 2023-06-23

Family

ID=86789944

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310194713.5A Pending CN116321175A (zh) 2023-03-03 2023-03-03 一种移动终端操作系统身份标识生成及可信认证方法

Country Status (1)

Country Link
CN (1) CN116321175A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117749528A (zh) * 2024-02-19 2024-03-22 新联协同通信技术(北京)有限公司 一种基于tcm的终端设备通信方法、装置及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117749528A (zh) * 2024-02-19 2024-03-22 新联协同通信技术(北京)有限公司 一种基于tcm的终端设备通信方法、装置及系统
CN117749528B (zh) * 2024-02-19 2024-04-16 新联协同通信技术(北京)有限公司 一种基于tcm的终端设备通信方法、装置及系统

Similar Documents

Publication Publication Date Title
CN111027036B (zh) 一种基于区块链的身份关联方法
US20210144017A1 (en) Method and apparatus for replacing identity certificate in blockchain network, storage medium, and computer device
CN109474437B (zh) 一种基于生物识别信息来应用数字证书的方法
CN105306490A (zh) 支付验证系统、方法及装置
CN112436940B (zh) 一种基于零知识证明的物联网设备可信启动管理方法
CN110381075B (zh) 基于区块链的设备身份认证方法和装置
CN109245899B (zh) 一种基于sm9密码算法信任链设计方法
EP3017580A1 (en) Signatures for near field communications
CN115021958B (zh) 一种雾计算与区块链融合的智能家居身份认证方法与系统
CN112448946B (zh) 基于区块链的日志审计方法及装置
CN112311779B (zh) 应用于区块链系统的数据访问控制方法及装置
CN108599961A (zh) 一种通信方法、车载终端、汽车服务平台及系统
CN116321175A (zh) 一种移动终端操作系统身份标识生成及可信认证方法
CN114900316B (zh) 一种基于区块链的物联网设备快速身份认证方法及系统
CN101789939B (zh) 一种有效的可信OpenSSH的实现方法
CN116112187A (zh) 一种远程证明方法、装置、设备及可读存储介质
CN108496194A (zh) 一种验证终端合法性的方法、服务端及系统
CN114499876A (zh) 基于区块链以及NB-IoT芯片的物联网数据存证方法
CN109951416B (zh) 一种可信验证方法及终端
CN113591103A (zh) 一种电力物联网智能终端间的身份认证方法和系统
CN113328854A (zh) 基于区块链的业务处理方法及系统
CN111371555A (zh) 一种签名认证方法及系统
CN107846390B (zh) 应用程序的认证方法及装置
CN114090963A (zh) 一种微服务间授信调用方法与系统
CN113852628A (zh) 一种去中心化的单点登录方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination