WO2020034907A1

WO2020034907A1 - 认证信息传输方法、密钥管理客户端及计算机设备

Info

Publication number: WO2020034907A1
Application number: PCT/CN2019/100004
Authority: WO
Inventors: 崔齐
Original assignee: 腾讯科技（深圳）有限公司
Priority date: 2018-08-16
Filing date: 2019-08-09
Publication date: 2020-02-20
Also published as: US20200412535A1; EP3754934B1; JP6982199B2; CN109040088B; EP3754934A1; CN109040088A; JP2021516918A; EP3754934A4

Abstract

本申请涉及一种认证信息传输方法、密钥管理客户端及计算机设备，属于通信技术领域。所述方法包括：密钥管理客户端通过预设的硬件抽象层接口，接收应用客户端发送的认证信息；密钥管理客户端，将认证信息发送给密钥管理服务端，以使密钥管理服务端将认证信息发送给可信执行环境中的可信应用；密钥管理客户端，获取密钥管理服务端转发的可信应用签名后的认证信息；密钥管理客户端，通过预设的硬件抽象层接口将签名后的认证信息，发送给与应用客户端对应的应用服务器，以使应用服务器对认证信息进行合法性校验。

Description

认证信息传输方法、密钥管理客户端及计算机设备

本申请要求于2018年08月16日提交的申请号为201810936092.2、发明名称为“认证信息传输方法、密钥管理客户端及计算机设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，特别涉及一种认证信息传输方法、密钥管理客户端及计算机设备。

背景技术

目前，在用户利用手机、电脑等终端设备中的第三方应用进行支付，或打开手机、电脑等终端设备中的隐私文件或应用时，经常会需要采用安全认证技术，对人脸、指纹等生物认证信息进行验证，以验证用户身份。

通常，第三方应用客户端可以将生物认证信息发送给对应的应用服务器进行校验，以在应用服务器验证合法后，实现付款、打开隐私文件或应用等功能。

发明内容

本申请实施例提出一种认证信息传输方法、密钥管理客户端、计算机设备、认证信息传输系统及计算机可读存储介质。

本申请一方面实施例提供一种认证信息传输方法，由计算设备执行，该方法包括：密钥管理客户端通过预设的硬件抽象层接口，接收应用客户端发送的认证信息；所述密钥管理客户端，将所述认证信息发送给密钥管理服务端，以使所述密钥管理服务端将所述认证信息发送给可信执行环境中的可信应用；所述密钥管理客户端，获取所述密钥管理服务端转发的所述可信应用签名后的认证信息；所述密钥管理客户端，通过所述预设的硬件抽象层接口将所述签名后的认证信息，发送给与所述应用客户端对应的应用服务器，以使所述应用服务器对所述认证信息进行合法性校验。

本申请另一方面实施例提供一种密钥管理客户端，该密钥管理客户端包括：接收模块，用于通过预设的硬件抽象层接口，接收应用客户端发送的认证信息；第一发送模块，用于将所述认证信息发送给密钥管理服务端，以使所述密钥管理服务端将所述认证信息发送给可信执行环境中的可信应用；第一获取模块，用于获取所述密钥管理服务端转发的所述可信应用签名后的认证信息；第二发送模块，用于通过所述预设的硬件抽象层接口将所述签名后的认证信息，发送给与所述应用客户端对应的应用服务器，以使所述应用服务器对所述认证信息进行合法性校验。

本申请实施例再一方面实施例提供一种认证信息传输方法，该方法包括：密钥管理客户端通过系统服务接口，接收应用客户端发送的认证信息采集请求；密钥管理客户端，将所述认证信息采集请求封装为硬件抽象层接口指令，并将所述硬件抽象层接口指令通过硬件抽象层接口，发送给密钥管理服务端，以使所述密钥管理服务端将所述认证信息采集请求发送给可信执行环境中的可信应用；密钥管理客户端，从所述密钥管理服务端接收硬件抽象层的指令结果，其中所述硬件抽象层的指令结果中包括所述可信应用签名后的认证信息；所述密钥管理客户端从所述硬件抽象层的指令结果中解析出签名后的认证信息，并将签名后的认证信息发送给与所述应用客户端对应的应用服务器，以使所述应用服务器对所述认证信息进行合法性校验。

本申请又一方面实施例提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，实现前述实施例所述的认证信息传输方法。

本申请再一方面实施例提供一种认证信息传输系统，包括应用客户端、应用服务器、密钥管理服务端、可信应用，及前述实施例所述的密钥管理客户端。

本申请再一方面实施例提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时，实现前述实施例所述的认证信息传输方法。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图简要说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1是根据本申请一个示例性实施例示出的认证信息传输方法的流程示意图；

图2是根据本申请另一个示例性实施例示出的认证信息传输方法的流程示意图；

图3是根据本申请又一个示例性实施例示出的认证信息传输方法的流程示意图；

图4是根据本申请一个示例性实施例示出的认证信息传输方法的信令交互图；

图5是本申请一个示例性实施例示出的认证信息传输方法的应用场景图；

图6A是根据本申请一个示例性实施例示出的认证信息传输方法的流程示意图；

图6B是根据本申请再一个示例性实施例示出的认证信息传输方法的流程示意图；

图7是根据本申请一个示例性实施例示出的密钥管理客户端的结构示意图；

图8是根据本申请一个示例性实施例示出的计算机设备的结构示意图；

图9是根据本申请另一个示例性实施例示出的计算机设备的结构示意图。

通过上述附图，已示出本申请明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围，而是通过参考特定实施例为本领域技术人员说明本申请的概念。

实施本发明的方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

目前，为了提高生物认证信息安全性，可以由终端设备的安全区域(Trusted Execution Environment，简称TEE)中的可信应用(Trusted Application，简称TA)对第三方应用获取的生物认证信息进行签名后，再通过第三方应用对应的应用服务器进行信息校验。而第三方应用在与可信应用进行数据交互时，通常需要经过终端系统中的应用框架层接口，这就需要第三方应用对应用框架层的接口功能进行定义，以使重新定义新的接口可以执行相应的算法，以调用硬件抽象层(Hardware Abstract Layer，HAL)，进而访问TEE中的TA。

由于通常终端系统的更新速度很快，这就导致了传统的信息认证方法，需要随系统中应用框架层的频繁更新，而频繁进行接口定义，且由于应用框架层开放的各接口是碎片化的，互相耦合的，从而导致利用上述方式进行信息认证的通路建立过程复杂、繁琐，且成本高。

本申请实施例提供的认证信息传输方法，可以预先在硬件抽象层定义密钥管理客户端及密钥管理服务端，从而在进行信息认证时，应用客户端可以通过预设的硬件抽象层接口，向密钥管理客户端发送认证信息，进而密钥管理客户端接收到认证信息后，可以通过密钥管理服务端将认证信息发送给可信执行环境中的可信应用。在可信应用对认证信息签名并将签名后的认证信息发送给密钥管理服务端后，密钥管理客户端可以将密钥管理服务端转发的可信应用签名后的认证信息，通过预设的硬件抽象层接口发送给应用客户端对应的应用服务器，以使应用服务器对认证信息进行合法性验证。由此，可以避免由于系统频繁更新造成的信息认证通路建立过程的复杂、繁琐及成本高的问题，减少认证信息的传输时长，提高认证信息的可靠性。

下面结合附图，对本申请提供的认证信息传输方法、密钥管理客户端、计算机设备、认证信息传输系统及计算机可读存储介质进行详细说明。

首先结合图1，对本申请实施例提供的认证信息传输方法进行详细说明。

图1是根据本申请一个示例性实施例示出的认证信息传输方法的流程示意图。

如图1所示，该认证信息传输方法，可以包括以下步骤：

步骤101，密钥管理客户端通过预设的硬件抽象层接口，接收应用客户端发送的认证信息。

可选地，本申请实施例提供的认证信息传输方法，可以由本申请实施例提供的密钥管理客户端执行。其中，密钥管理客户端可以被配置在任意计算机设备中。具体地，本实施例的计算机设备可以是任一具有数据处理功能的硬件设备，比如智能手机、个人数字助理、平板电脑、台式计算机等等。

其中，认证信息，可以是指纹、密码、数字证书等任意能够用于用户身份认证的信息。

应用客户端，可以是终端设备中的第三方应用。第三方应用是指有别于终端设备上的系统应用的应用，例如，可以为即时通信应用、社交应用、支付应用等。

可以理解的是，在用户需要利用第三方应用进行支付(例如，打开第三方应用的支付确认页面)、或打开终端设备中的隐私应用或文件时，可以在终端设备中输入指纹、密码等认证信息。在本申请实施例中，通过预先定义一个硬件抽象层接口，应用客户端即可在获取认证信息后，通过预设的硬件抽象层接口，将认证信息发送给密钥管理客户端。硬件抽象层是位于操作系统内核与硬件电路之间的接口层，其目的在于将硬件抽象化。

需要说明的是，为了使应用客户端可以通过预设的硬件抽象层接口，向密钥管理客户端发送认证信息，需要将硬件抽象层接口开放给应用客户端。那么，在本申请实施例中，步骤101之前，还可以包括：

密钥管理客户端，将预设的硬件抽象层接口的标识发送给应用客户端。

其中，硬件抽象层接口的标识，可以根据需要任意设置。

具体地，密钥管理客户端，将预设的硬件抽象层接口的标识发送给应用客户端后，密钥管理客户端即可根据预设的硬件抽象层接口的标识，识别预设的硬件抽象层接口，并通过预设的硬件抽象层接口，接收应用客户端发送的认证信息。

步骤102，密钥管理客户端，将认证信息发送给密钥管理服务端，以使密钥管理服务端将认证信息发送给可信执行环境中的可信应用。

步骤103，密钥管理客户端，获取密钥管理服务端转发的可信应用签名后的认证信息。

可以理解的是，在终端设备中，通常设置有安全区域，即本申请实施例中的可信执行环境，此区域为一个受信环境，可以保证在其内部存储、处理的数据是独立于外部环境的。终端设备中的某些对保密性、安全性或可靠性要求较高的特殊应用均可在此环境中运行。

本申请实施例中，可信应用即为运行在可信执行环境(TEE)中的应用(TA)。可信应用可以对认证信息进行签名，从而使认证信息不易被其它应用篡改，保证认证信息在传输过程中的安全性和可靠性。

具体地，密钥管理客户端在接收到应用客户端发送的认证信息后，即可将认证信息发送给密钥管理服务端，以使密钥管理服务端将认证信息发送给可信执行环境中的可信应用。可信应用对接收到的认证信息签名后，即可将签名后的认证信息发送给密钥管理服务端，从而密钥管理客户端可以获取密钥管理服务端转发的可信应用签名后的认证信息。

需要说明的是，在本申请实施例中，为了实现密钥管理客户端与密钥管理服务端的通信，还需要密钥管理客户端与密钥管理服务端之间存在链接通路，即，在步骤102之前，还可以包括：

密钥管理客户端与密钥管理服务端在硬件抽象层建立链接通路。

具体地，可以预先建立密钥管理客户端与密钥管理服务端在硬件抽象层的链接通路，链接通路一旦建立，即可永远存在，从而可以通过链接通路，实现密钥管理客户端与密钥管理服务端的通信。

步骤104，密钥管理客户端，通过预设的硬件抽象层接口将签名后的认证信息，发送给与应用客户端对应的应用服务器，以使应用服务器对认证信息进行合法性校验。

具体地，密钥管理客户端接收到密钥管理服务端转发的可信应用签名后的认证信息后，即可通过预设的硬件抽象层接口将签名后的认证信息，发送给与应用客户端对应的应用服务器，从而应用服务器即可对认证信息进行合法性校验。

可以理解的是，在本申请实施例中，应用客户端及应用客户端对应的应用服务器，可以通过预先定义的硬件抽象层接口，与密钥管理客户端通信，密钥管理客户端可以通过在硬件抽象层建立的链接通路，与密钥管理服务端通信，密钥管理服务端可以与可信执行环境(TEE)中的可信应用(TA)进行通信。从而在密钥管理客户端接收到应用客户端发送的认证信息后，可以将认证信息通过密钥管理服务端发送给TA，实现利用TA对应用客户端发送的认证信息进行签名。在TA对认证信息签名后，可以通过密钥管理服务端及密钥管理客户端，将签名后的认证信息发送给应用客户端对应的应用服务器，以使应用服务器对TA签名后的认证信息进行合法性校验，从而实现对认证信息的认证。

由于系统更新的过程通常不涉及硬件抽象层，从而通过直接在硬件抽象层定义密钥管理客户端和密钥管理服务端，来为第三方应用的认证信息传输提供通路，避免了由于系统频繁更新造成的信息认证通路建立过程的复杂、繁琐及成本高的问题。且由于认证信息直接由应用客户端通过硬件抽象层的接口发送给密钥管理客户端，而无需经过应用框架层中的接口进行转发，减少了认证信息的传输时长，且降低了认证信息被篡改的可能性，提高了认证信息的可靠性。

本申请实施例提供的认证信息传输方法，密钥管理客户端通过预设的硬件抽象层接口，接收应用客户端发送的认证信息后，先将认证信息发送给密钥管理服务端，以使密钥管理服务端将认证信息发送给可信执行环境中的可信应用，然后密钥管理客户端再获取密钥管理服务端转发的可信应用签名后的认证信息，最后通过预设的硬件抽象层接口将签名后的认证信息，发送给与应用客户端对应的应用服务器，以使应用服务器对认证信息进行合法性校验。由此，通过直接在硬件抽象层定义密钥管理客户端和密钥管理服务端，来为第三方应用的认证信息传输提供通路，避免了由于系统频繁更新造成的信息认证通路建立过程的复杂、繁琐及成本高的问题。且由于认证信息直接由应用客户端通过硬件抽象层的接口发送给密钥管理客户端，而无需经过应用框架层中的接口进行转发，减少了认证信息的传输时长，且降低了认证信息被篡改的可能性，提高了认证信息的可靠性。

通过上述分析可知，密钥管理客户端在通过预设的硬件抽象层接口，接收应用客户端发送的认证信息，并将认证信息发送给密钥管理服务端后，密钥管理服务端可以将认证信息发送给可信执行环境中的可信应用进行签名，并在可信应用对认证信息签名后，将签名后的认证信息转发给密钥管理客户端，从而密钥管理客户端可以通过预设的硬件抽象层接口，将签名后的认证信息发送给与应用客户端对应的应用服务器，以使应用服务器对认证信息进行合法性校验。在一种可能的实现形式中，应用服务器还需要在获取可信应用签名后的认证信息后，对签名后的认证信息进行验签，以得到认证信息，进而对认证信息进行合法性校验。下面结合图2，针对上述情况，对本申请的认证信息传输方法进行进一步说明。

图2是根据本申请另一个示例性实施例示出的认证信息传输方法的流程示意图。

如图2所示，该认证信息传输方法可以包括以下步骤：

步骤201，密钥管理客户端，将预设的硬件抽象层接口的标识发送给应用客户端。

步骤202，密钥管理客户端通过预设的硬件抽象层接口，接收应用客户端发送的认证信息。

步骤203，密钥管理客户端与密钥管理服务端在硬件抽象层建立链接通路。

需要说明的是，步骤203可以在步骤202之后执行，也可以在步骤202之前执行，还可以与步骤202同时执行，只需在步骤204之前执行即可，本申请对此不作限制。

步骤204，密钥管理客户端，通过硬件抽象层的链接通路，将认证信息发送给密钥管理服务端，以使密钥管理服务端将认证信息发送给可信执行环境中的可信应用。

步骤205，密钥管理客户端，获取密钥管理服务端转发的可信应用签名后的认证信息。

需要说明的是，上述步骤201-步骤205的具体实现过程及原理，可以参照上述实施例的相关描述，此处不再赘述。

步骤206，密钥管理客户端，获取密钥管理服务端发送的应用服务器的签名键值，其中，签名键值是可信应用产生的。

其中，密钥管理客户端可以是在获取密钥管理服务端转发的可信应用签名后的认证信息的同时，获取应用服务器的签名键值。

步骤207，密钥管理客户端，通过预设的硬件抽象层接口将签名键值发送给应用服务器。

步骤208，密钥管理客户端，通过预设的硬件抽象层接口将签名后的认证信息，发送给与应用客户端对应的应用服务器，以使应用服务器对认证信息进行合法性校验。

可以理解的是，应用服务器通过预设的硬件抽象层接口，获取的是可信应用对认证信息签名后的认证信息，为了对认证信息进行合法性校验，应用服务器还需要先对获取的签名后的认证信息进行验签，以得到认证信息。那么，在本申请实施例中，可信应用可以先产生应用服务器的签名键值，并将应用服务器的签名键值发送给密钥管理服务端，从而密钥管理客户端可以从密钥管理服务端获取应用服务器的签名键值，并将签名键值通过预设的硬件抽象层接口发送给应用服务器，以使应用服务器可以根据获取的签名键值，对获取的签名后的认证信息进行验签，从而得到认证信息。

具体地，若应用服务器获取到的可信应用产生的签名键值，与获取到的签名后的认证信息对应的签名匹配，即可完成对获取的签名后的认证信息的验签，从而得到认证信息，进而应用服务器可以对认证信息进行合法性校验。

需要说明的是，步骤206-207可以在步骤205之后执行，也可以在步骤205之前执行，也可以与步骤205同时执行，只需在应用服务器对认证信息进行合法性校验之前执行即可，本申请对此不作限制。

通过密钥管理客户端将可信应用产生的应用服务器的签名键值，通过预设的硬件抽象层接口发送给应用服务器，从而使得应用服务器在获取到密钥管理客户端发送的可信应用签名后的认证信息后，可以根据获取的签名键值，得到认证信息，进而对认证信息进行合法性校验。

本申请实施例提供的认证信息传输方法，密钥管理客户端将预设的硬件抽象层接口的标识发送给应用客户端，并通过预设的硬件抽象层接口，接收应用客户端发送的认证信息后，可以先将认证信息通过预先在硬件抽象层建立的链接通路发送给密钥管理服务端，以使密钥管理服务端将认证信息发送给可信执行环境中的可信应用，然后密钥管理客户端再获取密钥管理服务端转发的可信应用签名后的认证信息，并在密钥管理客户端将从密钥管理服务端获取的应用服务器的签名键值，通过预设的硬件抽象层接口发送给应用服务器后，通过预设的硬件抽象层接口将签名后的认证信息，发送给与应用客户端对应的应用服务器，以使应用服务器对认证信息进行合法性校验。由此，避免了由于系统频繁更新造成的信息认证通路建立过程的复杂、繁琐及成本高的问题，减少了认证信息的传输时长，提高了认证信息的可靠性。

通过上述分析可知，密钥管理客户端在通过预设的硬件抽象层接口，接收应用客户端发送的认证信息，并将认证信息发送给密钥管理服务端后，密钥管理服务端可以将认证信息发送给可信执行环境中的可信应用进行签名，并在可信应用对认证信息签名后，将签名后的认证信息转发给密钥管理客户端，从而密钥管理客户端可以通过预设的硬件抽象层接口，将签名后的认证信息发送给与应用客户端对应的应用服务器，以使应用服务器对认证信息进行合法性校验。在实际应用中，可能存在多个应用客户端需要进行信息认证，从而密钥管理客户端可能会获取到多个应用客户端发送的认证信息。下面结合图3，针对上述情况，对本申请的认证信息传输方法进行进一步说明。

图3是根据本申请又一个示例性实施例示出的认证信息传输方法的流程示意图。

如图3所示，该认证信息传输方法可以包括以下步骤：

步骤301，密钥管理客户端，将预设的硬件抽象层接口的标识发送给应用客户端。

步骤302，密钥管理客户端通过预设的硬件抽象层接口，接收应用客户端发送的认证信息，及认证信息对应的应用客户端的标识。

步骤303，密钥管理客户端与密钥管理服务端在硬件抽象层建立链接通路。

步骤304，密钥管理客户端，将认证信息发送给密钥管理服务端，以使密钥管理服务端将认证信息发送给可信执行环境中的可信应用。

步骤305，密钥管理客户端，获取密钥管理服务端转发的可信应用签名后的认证信息。

其中，步骤301-步骤305的具体实现过程及原理，可以参照上述实施例的相关描述，此处不再赘述。

步骤306，密钥管理客户端，根据应用客户端的标识，确定与应用客户端对应的目标应用服务器。

需要说明的是，步骤306可以在步骤305之后执行，也可以在步骤305之前执行，还可以与步骤305同时执行，只需在步骤307之前执行即可，此处不作限制。

步骤307，密钥管理客户端，通过预设的硬件抽象层接口将签名后的认证信息，发送给目标应用服务器，以使目标应用服务器对认证信息进行合法性校验。

具体地，应用客户端在通过预设的硬件抽象层接口，向密钥管理客户端发送认证信息的同时，可以将认证信息对应的应用客户端的标识同时发送给密钥管理客户端，从而在密钥管理客户端通过密钥管理服务端向可信应用发送认证信息时，可以将认证信息对应的应用客户端的标识同时发送给可信应用。可信应用在对认证信息签名后，可以将签名后的认证信息和认证信息对应的应用客户端的标识同时发送给密钥管理服务端，从而密钥管理客户端在获取到密钥管理服务端转发的可信应用签名后的认证信息，及认证信息对应的应用客户端的标识后，可以根据应用客户端的标识，确定与应用客户端对应的目标应用服务器，并通预设的硬件抽象层接口，将签名后的认证信息发送给目标应用服务器，以使目标应用服务器对认证信息进行合法性校验。

举例来说，假设密钥管理客户端，将预设的硬件抽象层接口的标识发送给应用客户端A和应用客户端B后，应用客户端A通过预设的硬件抽象层接口，向密钥管理客户端发送了认证信息a，同时发送了应用客户端A的标识“A”，应用客户端B通过预设的硬件抽象层接口，向密钥管理客户端发送了认证信息b，同时发送了应用客户端B的标识“B”。

则密钥管理客户端在接收到认证信息a及对应的标识“A”、认证信息b及对应的标识“B”后，可以将认证信息a及对应的标识“A”、认证信息b及对应的标识“B”发送给密钥管理服务端，以使密钥管理服务端将认证信息a及对应的标识“A”、认证信息b及对应的标识“B”发送给可信执行环境中的可信应用，从而可信应用可以分别对认证信息a和认证信息b进行签名。

可信应用分别对认证信息a和认证信息b签名后，可以将认证信息a签名后的认证信息a’及对应的标识“A”、认证信息b签名后的认证信息b’及对应的标识“B”发送给密钥管理服务端，从而密钥管理客户端可以获取密钥管理服务端转发的认证信息a’及对应的标识“A”、认证信息b’及对应的标识“B”，并分别根据标识“A”和“B”，确定应用客户端A和B分别对应的目标应用服务器，从而将签名后的认证信息a’发送给应用客户端A对应的目标应用服务器，将签名后的认证信息b’发送给应用客户端B对应的目标应用服务器，以使应用客户端A对应的目标应用服务器对认证信息a进行合法性校验，应用客户端B对应的目标应用服务器对认证信息b进行合法性校验。

本申请实施例提供的认证信息传输方法，密钥管理客户端将预设的硬件抽象层接口的标识发送给应用客户端，并通过预设的硬件抽象层接口，接收应用客户端发送的认证信息后，可以先将认证信息通过预先在硬件抽象层建立的链接通路发送给密钥管理服务端，以使密钥管理服务端将认证信息发送给可信执行环境中的可信应用，然后密钥管理客户端再获取密钥管理服务端转发的可信应用签名后的认证信息，并在根据应用客户端的标识，确定与应用客户端对应的目标应用服务器后，通过预设的硬件抽象层接口将签名后的认证信息，发送给目标应用服务器，以使目标应用服务器对认证信息进行合法性校验。由此，避免了由于系统频繁更新造成的信息认证通路建立过程的复杂、繁琐及成本高的问题，减少了认证信息的传输时长，提高了认证信息的可靠性。且通过密钥管理客户端根据应用客户端的标识，确定应用客户端对应的目标应用服务器，进而将签名后的认证信息发送给目标应用服务器，以使目标应用服务器对认证信息进行合法性校验，实现了对多个目标客户端发送的认证信息同时进行信息认证，从而提高了信息认证的效率。

下面结合图4所示的认证信息传输方法的信令交互图，对本申请实施例提供的认证信息传输方法进行进一步说明。

图4是根据本申请一个示例性实施例示出的认证信息传输方法的信令交互图。

如图4所示，该认证信息传输方法由应用客户端M、应用客户端M对应的应用服务器N、密钥管理客户端P、密钥管理服务端S及可信执行环境中的可信应用TA执行。

步骤401，P将预设的硬件抽象层接口的标识发送给M。

步骤402，P通过预设的硬件抽象层接口，接收M发送的认证信息。

步骤403，P将认证信息发送给S。

步骤404，S将认证信息发送给可信执行环境中的可信应用TA。

步骤405，TA对认证信息进行签名。

步骤406，TA将签名后的认证信息发送给S。

步骤407，S将签名后的认证信息转发给P。

步骤408，P通过预设的硬件抽象层接口将签名后的认证信息发送给N，以使N对认证信息进行合法性校验。

通过上述过程，即可将应用客户端M发送的认证信息发送给可信执行环境中的可信应用TA进行签名，并在TA对认证信息签名后，将签名后的认证信息发送给应用客户端M对应的应用服务器N，以使应用服务器N对认证信息进行合法性校验，从而避免了由于系统频繁更新造成的信息认证通路建立过程的复杂、繁琐及成本高的问题，减少了认证信息的传输时长，提高了认证信息的可靠性。

上述实施例提供的认证信息传输方法，可以应用于指纹支付、公众号/小程序指纹授权接口等各场景。下面以指纹支付场景为例，对本申请实施例提供的认证信息传输方法进行说明。

图5是本申请一个示例性实施例示出的认证信息传输方法的应用场景图。

如图5所示，假设应用客户端M要使用指纹支付功能进行支付，应用客户端M对应应用服务器N，则在用户通过终端设备中的指纹采集装置，将指纹输入终端设备后(步骤1)，应用客户端M可以通过预先定义的硬件抽象层，将获取的指纹发送给密钥管理客户端P(步骤2-3)，然后由密钥管理客户端P通过预先建立的链接通路将指纹发送给密钥管理服务端S(步骤4)，密钥管理服务端S再将指纹发送给可信执行环境中的可信应用TA(步骤5)。

可信应用TA对获取的指纹进行签名后(步骤6)，可以将签名后的指纹发送给密钥管理服务端S(步骤7)，再由密钥管理服务端S通过预先建立的链接通路，将签名后的指纹转发给密钥管理客户端P(步骤8)，密钥管理客户端P再通过预设的硬件抽象层接口将签名后的指纹发送给应用服务器N(步骤9)。应用服务器N获取到签名后的指纹后，即可对签名后的指纹进行验签，再对验签后得到的指纹进行合法性校验(步骤10)。在应用服务器N确定指纹合法后，即可完成支付。

图6A是根据本申请一个示例性实施例示出的认证信息传输方法的流程示意图。

如图6A所示，该认证信息传输方法可以包括以下步骤：

步骤601，密钥管理客户端通过系统服务接口，接收应用客户端发送的认证信息采集请求。

根据本申请实施例，所述密钥管理客户端可以是设置在终端设备的操作系统中的一个系统服务。所述密钥管理客户端包括所述系统服务接口。所述应用客户端可以调用所述密钥管理客户端的系统服务接口，发起认证信息采集请求。

所述密钥管理客户端和所述应用客户端之间预先通过所述系统服务接口建立了系统服务链接通路。所述系统服务接口可以是通过系统接口定义语言定义的接口，用于通过跨进程(Inter-process Communication，IPC)的方式，在应用客户端与密钥管理客户端之间进行通信。所述系统接口定义语言例如是Android接口定义语言(AIDL)，所述系统服务接口例如是AIDL接口。

其中，所述认证信息采集请求例如可以是指纹采集请求。所述认证信息采集请求可以包括所述应用客户端的标识。

步骤602，密钥管理客户端，将所述认证信息采集请求封装为硬件抽象层接口指令，并将所述硬件抽象层接口指令通过硬件抽象层接口，发送给密钥管理服务端。

根据本申请实施例，所述密钥管理服务端可以包括所述硬件抽象层接口，所述密钥管理客户端可以调用所述密钥管理服务端的硬件抽象层接口，将所述硬件抽象层接口指令发送给所述密钥管理服务端。所述密钥管理服务端例如是设置在终端设备的安全区域内。

所述密钥管理客户端和所述密钥管理服务端之间预先通过所述硬件抽象层接口建立了硬件抽象层链接通路。所述硬件抽象层接口例如是通过硬件抽象层接口定义语言(HIDL)定义的接口。

步骤603，密钥管理服务端从接收的硬件抽象层接口指令中解析出所述认证信息采集请求，发送给可信应用。

根据本申请实施例，所述密钥管理服务端通过透传(Pass-through)的方式，将所述认证信息采集请求发送给可信应用。

步骤604，可信应用根据所述认证信息采集请求，调用认证信息采集设备，采集认证信息，并对采集的认证信息进行签名。

其中，所述认证信息采集设备例如是终端设备中的指纹采集装置。所述签名后的认证信息可以包括所述应用客户端的标识。所述签名后的认证信息还可以具有签名键值。

步骤605，可信应用将所述签名后的认证信息发送给所述密钥管理服务端。

步骤606，所述密钥管理服务端将所述签名后的认证信息封装为硬件抽象层的指令结果，并将所述硬件抽象层的指令结果通过所述硬件抽象层接口，发送给密钥管理客户端。

步骤607，所述密钥管理客户端从所述硬件抽象层的指令结果中解析出所述签名后的认证信息，并将签名后的认证信息发送给与所述应用客户端对应的应用服务器，以使所述应用服务器对所述认证信息进行合法性校验。

具体地，所述密钥管理客户端可以根据所述签名后的认证信息中包括的应用客户端的标识，确定与应用客户端对应的应用服务器，再将签名后的认证信息发送给对应的应用服务器。

通过本申请实施例的认证信息传输方法，可以避免了由于系统频繁更新造成的信息认证通路建立过程的复杂、繁琐及成本高的问题，减少了认证信息的传输时长，提高了认证信息的可靠性。

图6B是根据本申请再一个示例性实施例示出的认证信息传输方法的流程示意图。该流程是在密钥管理客户端的认证信息传输方法。如图6B所示，该方法可以包括以下步骤：

步骤610，密钥管理客户端通过系统服务接口，接收应用客户端发送的认证信息采集请求。

步骤611，密钥管理客户端，将所述认证信息采集请求封装为硬件抽象层接口指令，并将所述硬件抽象层接口指令通过硬件抽象层接口，发送给密钥管理服务端，以使所述密钥管理服务端将所述认证信息采集请求发送给可信执行环境中的可信应用。

步骤612，密钥管理客户端，从所述密钥管理服务端接收硬件抽象层的指令结果，其中所述硬件抽象层的指令结果中包括所述可信应用签名后的认证信息。

步骤613，所述密钥管理客户端从所述硬件抽象层的指令结果中解析出签名后的认证信息，并将签名后的认证信息发送给与所述应用客户端对应的应用服务器，以使所述应用服务器对所述认证信息进行合法性校验。

图6B的各个步骤可以参考图6A的相应步骤的具体描述。

图6A、图6B的认证信息传输方法和本申请其他实施例中的认证信息传输方法可以互为参考使用。

在示例性实施例中，还提供了一种密钥管理客户端。

图7是根据本申请一个示例性实施例示出的密钥管理客户端的结构示意图。

参照图7所示，本申请的密钥管理客户端包括：接收模块110、第一发送模块120、第一获取模块130、第二发送模块140。

其中，接收模块110，用于通过预设的硬件抽象层接口，接收应用客户端发送的认证信息；

第一发送模块120，用于将认证信息发送给密钥管理服务端，以使密钥管理服务端将认证信息发送给可信执行环境中的可信应用；

第一获取模块130，用于获取密钥管理服务端转发的可信应用签名后的认证信息；

第二发送模块140，用于通过预设的硬件抽象层接口将签名后的认证信息，发送给与应用客户端对应的应用服务器，以使应用服务器对认证信息进行合法性校验。

具体地，本申请实施例提供的密钥管理客户端，可以执行本申请实施例提供的认证信息传输方法。该密钥管理客户端可以被配置在任意具有数据处理功能的计算机设备中。

在一种可能的实现形式中，上述密钥管理客户端，还包括：

第二获取模块，用于获取密钥管理服务端发送的应用服务器的签名键值，其中，签名键值是可信应用产生的；

第三发送模块，用于通过预设的硬件抽象层接口将签名键值发送给应用服务器。

在另一种可能的实现形式中，上述密钥管理客户端，还包括：

链接通路建立模块，用于建立密钥管理客户端与密钥管理服务端在硬件抽象层的链接通路。

在另一种可能的实现形式中，接收模块110，还用于：

通过预设的硬件抽象层接口，接收应用客户端发送的所述认证信息对应的应用客户端的标识；

上述密钥管理客户端，还包括：

确定模块，用于根据应用客户端的标识，确定与应用客户端对应的目标应用服务器；

相应的，上述第二发送模块140，具体用于：

通过预设的硬件抽象层接口将签名后的认证信息，发送给目标应用服务器。

第四发送模块，用于将预设的硬件抽象层接口的标识发送给应用客户端。

需要说明的是，前述对认证信息传输方法实施例的解释说明也适用于该实施例的密钥管理客户端，其实现原理类似，此处不再赘述。

本申请实施例提供的密钥管理客户端，通过预设的硬件抽象层接口，接收应用客户端发送的认证信息后，可以先将认证信息发送给密钥管理服务端，以使密钥管理服务端将认证信息发送给可信执行环境中的可信应用，然后密钥管理客户端再获取密钥管理服务端转发的可信应用签名后的认证信息，最后通过预设的硬件抽象层接口将签名后的认证信息，发送给与应用客户端对应的应用服务器，以使应用服务器对认证信息进行合法性校验。由此，避免了由于系统频繁更新造成的信息认证通路建立过程的复杂、繁琐及成本高的问题，减少了认证信息的传输时长，提高了认证信息的可靠性。

在示例性实施例中，还提供了一种计算机设备。

图8是根据本申请一个示例性实施例示出的计算机设备的结构示意图。图8显示的计算机设备仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

参照图8，该计算机设备200包括：存储器210及处理器220，所述存储器210存储有计算机程序，所述计算机程序被处理器220执行时，使得所述处理器220执行如前述实施例所述的认证信息传输方法。

在一种可选的实现形式中，如图9所示，该计算机设备200还可以包括：存储器210及处理器220，连接不同组件(包括存储器210和处理器220)的总线230，存储器210存储有计算机程序，当处理器220执行所述程序时实现本申请实施例所述的认证信息传输方法。

总线230表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(ISA)总线，微通道体系结构(MAC)总线，增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。

计算机设备200典型地包括多种计算机设备可读介质。这些介质可以是任何能够被计算机设备200访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储器210还可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(RAM)240和/或高速缓存存储器250。计算机设备200可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统260可以用于读写不可移动的、非易失性磁介质(图9未显示，通常称为“硬盘驱动器”)。尽管图9中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线230相连。存储器210可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本申请各实施例的功能。

具有一组(至少一个)程序模块270的程序/实用工具280，可以存储在例如存储器210中，这样的程序模块270包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块270通常执行本申请所描述的实施例中的功能和/或方法。

计算机设备200也可以与一个或多个外部设备290(例如键盘、指向设备、显示器291等)通信，还可与一个或者多个使得用户能与该计算机设备200交互的设备通信，和/或与使得该计算机设备200能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口292进行。并且，计算机设备200还可以通过网络适配器293与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。如图9所示，网络适配器293通过总线230与计算机设备200的其它模块通信。应当明白，尽管图9中未示出，可以结合计算机设备200使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

需要说明的是，前述对认证信息传输方法实施例的解释说明也适用于该实施例的计算机设备，其实现原理类似，此处不再赘述。

本申请实施例提供的计算机设备中的密钥管理客户端，通过预设的硬件抽象层接口，接收应用客户端发送的认证信息后，可以先将认证信息发送给密钥管理服务端，以使密钥管理服务端将认证信息发送给可信执行环境中的可信应用，然后密钥管理客户端再获取密钥管理服务端转发的可信应用签名后的认证信息，最后通过预设的硬件抽象层接口将签名后的认证信息，发送给与应用客户端对应的应用服务器，以使应用服务器对认证信息进行合法性校验。由此，避免了由于系统频繁更新造成的信息认证通路建立过程的复杂、繁琐及成本高的问题，减少了认证信息的传输时长，提高了认证信息的可靠性。

在示例性实施例中，本申请还提出了一种认证信息传输系统，包括应用客户端、应用服务器、密钥管理服务端、可信应用，及如前述实施例所述的密钥管理客户端。

本申请实施例提供的认证信息传输系统，包括应用客户端、应用服务器、密钥管理服务端、可信应用，及如前述实施例所述的密钥管理客户端，密钥管理客户端通过预设的硬件抽象层接口，接收到应用客户端发送的认证信息后，可以通过密钥管理服务端，将认证信息发送给可信执行环境中的可信应用进行签名，并在可信应用对认证信息签名后，通过密钥管理服务端，接收签名后的认证信息，并将签名后的认证信息发送给应用客户端对应的应用服务器，以使应用服务器对认证信息进行合法性校验。由此，避免了由于系统频繁更新造成的信息认证通路建立过程的复杂、繁琐及成本高的问题，减少了认证信息的传输时长，提高了认证信息的可靠性。

在示例性实施例中，本申请还提出了一种计算机可读存储介质。

上述计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时，实现所述的认证信息传输方法。

需要说明的是，前述对认证信息传输方法实施例的解释说明也适用于该实施例的计算机可读存储介质，其实现原理类似，此处不再赘述。

本申请实施例提供的计算机可读存储介质，可以被配置在任意能够进行信息认证的计算机设备中，在进行信息认证时，通过执行其上存储的认证信息传输方法，能够避免由于系统频繁更新造成的信息认证通路建立过程的复杂、繁琐及成本高的问题，减少认证信息的传输时长，提高认证信息的可靠性。

在示例性实施例中，本申请还提出了一种计算机程序产品，当计算机程序产品中的指令由处理器执行时，执行如前述实施例中的认证信息传输方法。

本申请实施例提供的计算机程序产品，可以写入任意能够进行信息认证的计算机设备中，在进行信息认证时，通过执行对应认证信息传输方法的程序，能够避免由于系统频繁更新造成的信息认证通路建立过程的复杂、繁琐及成本高的问题，减少认证信息的传输时长，提高认证信息的可靠性。

在本申请的描述中，需要理解的是，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本申请的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本申请的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本申请各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本申请的限制，本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims

一种认证信息传输方法，由计算设备执行，其特征在于，包括：

密钥管理客户端通过预设的硬件抽象层接口，接收应用客户端发送的认证信息；

所述密钥管理客户端，将所述认证信息发送给密钥管理服务端，以使所述密钥管理服务端将所述认证信息发送给可信执行环境中的可信应用；

所述密钥管理客户端，获取所述密钥管理服务端转发的所述可信应用签名后的认证信息；

所述密钥管理客户端，通过所述预设的硬件抽象层接口将所述签名后的认证信息，发送给与所述应用客户端对应的应用服务器，以使所述应用服务器对所述认证信息进行合法性校验。
如权利要求1所述的方法，其特征在于，所述密钥管理客户端，通过所述预设的硬件抽象层接口将所述签名后的认证信息，发送给与所述应用客户端对应的应用服务器之前，还包括：

所述密钥管理客户端，获取所述密钥管理服务端发送的所述应用服务器的签名键值，其中，所述签名键值是所述可信应用产生的；

所述密钥管理客户端，通过所述预设的硬件抽象层接口将所述签名键值发送给所述应用服务器。
如权利要求1所述的方法，其特征在于，所述密钥管理客户端，将所述认证信息发送给密钥管理服务端之前，还包括：

所述密钥管理客户端与所述密钥管理服务端在硬件抽象层建立链接通路。
如权利要求1所述的方法，其特征在于，还包括：密钥管理客户端通过预设的硬件抽象层接口，接收应用客户端发送的所述认证信息对应的应用客户端的标识；

所述密钥管理客户端，通过所述预设的硬件抽象层接口将所述签名后的认证信息，发送给与所述应用客户端对应的应用服务器之前，还包括：

所述密钥管理客户端，根据所述应用客户端的标识，确定与所述应用客户端对应的目标应用服务器；

相应的，所述密钥管理客户端，通过所述预设的硬件抽象层接口将所述签名后的认证信息，发送给与所述应用客户端对应的应用服务器，包括：

所述密钥管理客户端，通过所述预设的硬件抽象层接口将所述签名后的认证信息，发送给所述目标应用服务器。
如权利要求1-4任一所述的方法，其特征在于，所述密钥管理客户端通过预设的硬件抽象层接口，接收应用客户端发送的认证信息之前，还包括：

所述密钥管理客户端，将所述预设的硬件抽象层接口的标识发送给所述应用客户端。
一种密钥管理客户端，其特征在于，包括：

接收模块，用于通过预设的硬件抽象层接口，接收应用客户端发送的认证信息；

第一发送模块，用于将所述认证信息发送给密钥管理服务端，以使所述密钥管理服务端将所述认证信息发送给可信执行环境中的可信应用；

第一获取模块，用于获取所述密钥管理服务端转发的所述可信应用签名后的认证信息；

第二发送模块，用于通过所述预设的硬件抽象层接口将所述签名后的认证信息，发送给与所述应用客户端对应的应用服务器，以使所述应用服务器对所述认证信息进行合法性校验。
如权利要求6所述的密钥管理客户端，其特征在于，还包括：

第二获取模块，用于获取所述密钥管理服务端发送的所述应用服务器的签名键值，其中，所述签名键值是所述可信应用产生的；

第三发送模块，用于通过所述预设的硬件抽象层接口将所述签名键值发送给所述应用服务器。
一种计算机设备，其特征在于，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，以实现如权利要求1-5任一所述的认证信息传输方法。
一种认证信息传输系统，其特征在于，包括应用客户端、应用服务器、密钥管理服务端、可信应用，及如权利要求6或7所述的密钥管理客户端。
一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时，实现如权利要求1-5任一所述的认证信息传输方法。