一种终端设备的可信认证方法、装置及终端设备与流程

本发明属于可信通信技术领域，尤其涉及一种终端设备的可信认证方法、装置及终端设备。

背景技术

目前移动设备相当普及，但是随之而来需要考虑各种场景下设备的安全性也越来越多，尤其是访问服务器的安全。如何保证是合法可信任的终端设备访问服务器，是保证设备对外提供业务的基础，那对设备进行可信认证就显得尤其重要。

当前的很多安全架构实现，都是基于os+se(安全芯片硬件)来保证设备上数据的存储安全，实现安全加密通信。然而，这种方案设计的成本较高，实用性较低。

技术实现要素：

有鉴于此，本发明实施例提供了一种终端设备的可信认证方法、装置及终端设备，以解决现有技术中基于os+se(安全芯片硬件)的安全架构的设计的成本较高，实用性较低的问题。

本发明实施例的第一方面提供了一种终端设备的可信认证方法，包括：

获取验证口令并发送至可信ta，以对所述验证口令进行验证；

若所述验证口令验证通过，则获取所述可信ta返回的访问令牌；

通过所述访问令牌获取签名报文；

将待签数据报文和所述签名报文发送至所述服务器，以对所述待签数据报文和所述签名报文进行验证；

若接收到所述服务器发送的验证通过信息，与所述服务器进行可信通信。

可选的，获取验证口令并进行可信验证之前，包括：

通过预设加密算法生成公钥和私钥；

将所述私钥保存在所述可信ta中，将所述公钥和与其匹配的设备编号发送至所述服务器中。

可选的，通过所述访问令牌获取获取签名报文，包括：

通过所述访问令牌访问所述可信ta，以使得所述可信ta通过存储的私钥对所述待签数据报文进行签名，生成所述签名报文；

获取所述可信ta返回的所述签名报文。

可选的，将待签数据报文和所述签名报文发送至服务器，以对所述待签数据报文和所述签名报文进行验证，包括：

将待签数据报文和所述签名报文发送至服务器，以使得所述服务器通过预设验证方式及所述公钥对所述待签数据报文和所述签名报文进行验证。

本发明实施例的第二方面提供了一种终端设备的可信认证装置，包括：

第一获取模块，用于获取验证口令并发送至可信ta，以对所述验证口令进行验证；

第二获取模块，用于若所述验证口令验证通过，则获取所述可信ta返回的访问令牌；

第三获取模块，用于通过所述访问令牌获取签名报文；

第一发送模块，用于将待签数据报文和所述签名报文发送至所述服务器，以对所述待签数据报文和所述签名报文进行验证；

接收模块，用于若接收到所述服务器发送的验证通过信息，与所述服务器进行可信通信。

本发明实施例的第三方面提供了一种终端设备，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述方法的步骤。

本发明实施例的第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如上述方法的步骤。

本发明实施例通过获取验证口令并发送至可信ta以对验证口令进行验证，获取验证口令验证通过时可信ta返回的访问令牌；通过访问令牌获取签名报文；将待签数据报文和签名报文发送至服务器，以对待签数据报文和签名报文进行验证，若接收到服务器发送的验证通过信息，与服务器进行可信通信，能够节省对可信终端设备的进行验证的成本，提高对可信终端设备的进行验证的效率和实用性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一提供的终端设备的可信认证方法的流程示意图；

图2是本发明实施例二提供的终端设备的可信认证方法的流程示意图；

图3是本发明实施例三提供的终端设备的可信认证装置的结构示意图；

图4是本发明实施例四提供的第三获取模块的结构示意图；

图5是本发明实施例五提供的终端设备的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“包括”以及它们任何变形，意图在于覆盖不排他的包含。例如包含一系列步骤或单元的过程、方法或系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。此外，术语“第一”、“第二”和“第三”等是用于区别不同对象，而非用于描述特定顺序。

为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。

实施例一

如图1所示，本实施例提供一种终端设备的可信认证方法，该方法可以应用于如手机、pc、平板电脑等采用富操作系统(richos)的终端设备。本实施例所提供的终端设备的可信认证方法，包括：

s101、获取验证口令并发送至可信ta，以对所述验证口令进行验证。

在具体应用中，获取用户输入的验证口令，并发送至tee可信执行环境中的可信ta，以进行验证口令的验证操作。

s102、若所述验证口令验证通过，则获取所述可信ta返回的访问令牌。

在具体应用中，若上述验证口令验证通过，则该用户具有合法身份(服务器将对该用户进行合法访问的授权)即，并获取可信ta返回的的访问令牌。

s103、通过所述访问令牌获取签名报文。

在具体应用中，通过上述访问令牌和待签数据报文访问tee可信执行环境中提供签名计算的可信ta，以对上述待签数据报文进行签名，并获取签名报文。其中，tee是一个与富操作系统(richos)并行的独立运行环境，为富操作系统提供安全保护。

s104、将待签数据报文和所述签名报文发送至所述服务器，以对所述待签数据报文和所述签名报文进行验证。

在具体应用中，将获取到的待签数据报文与签名报文发送至服务器，以通过服务器对待签数据报文与签名报文进行验证，确认该签名报文是否合法可信。其中，服务器包括本地服务器、远程服务器或其他与当前终端连接的服务器。在本实施例中，设定服务器为远程服务器。

s105、若接收到所述服务器发送的验证通过信息，与所述服务器进行可信通信。

在具体应用中，若接收到服务器发送的验证通过信息，则当前终端设备具有可信的合法身份，可与服务器进行可信通信。其中，可信是指访问服务器资源的终端设备是可信任的。能够保证服务器的接口安全，并且可信通信过程可以保证当前进行可信通信的终端设备的数据安全，避免出现数据泄露现象。

在一个实施例中，步骤s101之前，包括：

通过预设加密算法生成公钥和私钥；

将所述私钥保存在所述可信ta中，将所述公钥和与其匹配的设备编号发送至所述服务器中。

在具体应用中，通过预设加密算法生成公钥和私钥，将私钥保存在可信ta中，以便于后续可信ta通过私钥对待签数据报文进行签名验证，将公钥和与其匹配的设备编号发送至服务器中，以便于后续服务器通过公钥对待签数据报文和签名报文及发送待签数据报文与签名报文的终端设备的编号进行验证。在本实施例中，预设加密算法是指sm2算法。

本实施例通过获取验证口令并发送至可信ta以对验证口令进行验证，获取验证口令验证通过时可信ta返回的访问令牌；通过访问令牌获取签名报文；将待签数据报文和签名报文发送至服务器，以对待签数据报文和签名报文进行验证，若接收到服务器发送的验证通过信息，与服务器进行可信通信，能够节省对可信终端设备的进行验证的成本，提高对可信终端设备的进行验证的效率和实用性。

实施例二

如图2所示，本实施例是对实施例一中的方法步骤的进一步说明。在本实施例中，第三获取模块103，包括：

s1031、通过所述访问令牌访问所述可信ta，以使得所述可信ta通过存储的私钥对所述待签数据报文进行签名，生成所述签名报文。

在具体应用中，通过上述访问令牌和待签数据报文访问tee可信运行环境中提供签名计算可信ta，以使得可信ta可以通过其存储的私钥对待签数据报文进行签名，生成签名报文。

s1032、获取所述可信ta返回的所述签名报文。

在具体应用中，获取上述可信ta返回的签名报文，以向服务器发送并进行验证。

在一个实施例中，步骤s104，包括：

将待签数据报文和所述签名报文发送至服务器，以使得所述服务器通过预设验证方式及所述公钥对所述待签数据报文和所述签名报文进行验证。

在具体应用中，将待签数据报文和签名报文发送至服务器，以使得服务器通过预设验证方式及上述公钥对待签数据报文和签名报文进行验证，生成签名值，服务器通过将其生成的签名值与可信ta中存储的签名值进行匹配验证，若服务器生成的签名值与可信ta中存储的签名值匹配，则待签数据报文和签名报文是合法报文，获取服务器返回的验证通过信息。在本实施例中，服务器通过预设验证方式及上述公钥对待签数据报文和签名报文进行验证包括：采用富操作系统的终端设备提供待签数据报文(在本实施例中，富操作系统包括android操作系统)，通过tee可信运行环境外部访问api，发起可信ta进行验证授权，授权通过后，采用富操作系统的终端设备将待签数据报文发送至可信ta进行签名，获取可信ta返回的签名报文，采用富操作系统的终端设备将签名报文进行处理(如加上待签数据报文的待签数据、body正文字段、时间戳、随机密钥因子)，通过https加密通道ssl发送至服务器，服务器提取随机密钥因子，并与数据库存储的数据进行对比验证，验证该签名报文非重复请求报文，则提取待签数据，并通过body正文字段提取设备标识，通过公钥进行验证该签名报文为合法报文，则确认该采用富操作系统的终端设备为可信终端设备。其中，安全套接层(securesocketslayer，ssl)和其继任者安全传输层协议(transportlayersecurity，tls)是为网络通信提供安全及数据完整性的一种安全协议；tls和ssl在传输层对网络连接进行加密。

本实施例通过访问令牌访问tee可信运行环境中提供签名计算可信ta，以使得可信ta可以通过其存储的私钥对待签数据报文进行签名，生成签名报文，能够保证在传输过程中签名报文具有非重复性，不会被反复进行签名或验证，节省了大量的时间，进一步提高了对终端设备进行可信认证操作的效率。

实施例三

如图3所示，本实施例提供一种终端设备的可信认证装置100，用于执行实施例一中的方法步骤。本实施例提供的终端设备的可信认证装置100，包括：

第一获取模块101，用于获取验证口令并发送至可信ta，以对所述验证口令进行验证；

第二获取模块102，用于若所述验证口令验证通过，则获取所述可信ta返回的访问令牌；

第三获取模块103，用于通过所述访问令牌获取签名报文；

第一发送模块104，用于将待签数据报文和所述签名报文发送至所述服务器，以对所述待签数据报文和所述签名报文进行验证；

接收模块105，用于若接收到所述服务器发送的验证通过信息，与所述服务器进行可信通信。

在一个实施例中，所述装置100，还包括：

生成密钥模块，用于通过预设加密算法生成公钥和私钥；

第二发送模块，用于将所述私钥保存在所述可信ta中，将所述公钥和与其匹配的设备编号发送至所述服务器中。

本实施例通过获取验证口令并发送至可信ta以对验证口令进行验证，获取验证口令验证通过时可信ta返回的访问令牌；通过访问令牌获取签名报文；将待签数据报文和签名报文发送至服务器，以对待签数据报文和签名报文进行验证，若接收到服务器发送的验证通过信息，与服务器进行可信通信，能够节省对可信终端设备的进行验证的成本，提高对可信终端设备的进行验证的效率和实用性。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

实施例四

如图4所示，在本实施例中，实施例三中的第三获取模块103，还包括用于执行实施例二中方法步骤的以下结构:

第一获取单元1031，用于通过所述访问令牌访问所述可信ta，以使得所述可信ta通过存储的私钥对所述待签数据报文进行签名，生成所述签名报文；

第二获取单元1032，用于获取所述可信ta返回的所述签名报文。

在一个实施例中，第一发送模块104，包括：

发送单元，用于将待签数据报文和所述签名报文发送至服务器，以使得所述服务器通过预设验证方式及所述公钥对所述待签数据报文和所述签名报文进行验证。

本实施例通过访问令牌访问tee可信运行环境中提供签名计算可信ta，以使得可信ta可以通过其存储的私钥对待签数据报文进行签名，生成签名报文，能够保证在传输过程中签名报文具有非重复性，不会被反复进行签名或验证，节省了大量的时间，进一步提高了对终端设备进行可信认证操作的效率。

实施例五

图5是本发明一实施例提供的终端设备的示意图。如图5所示，该实施例的终端设备5包括：处理器50、存储器51以及存储在所述存储器51中并可在所述处理器50上运行的计算机程序52，例如终端设备的可信认证程序。所述处理器50执行所述计算机程序52时实现上述各个终端设备的可信认证方法实施例中的步骤，例如图1所示的步骤s101至s105。或者，所述处理器50执行所述计算机程序52时实现上述各装置实施例中各模块/单元的功能，例如图3所示模块101至105的功能。

示例性的，所述计算机程序52可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器51中，并由所述处理器50执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序52在所述终端设备5中的执行过程。例如，所述计算机程序52可以被分割成第一获取模块、第二获取模块、第三获取模块、第一发送模块和接收模块，各模块具体功能如下：

第一获取模块，用于获取验证口令并发送至可信ta，以对所述验证口令进行验证；

第二获取模块，用于若所述验证口令验证通过，则获取所述可信ta返回的访问令牌；

第三获取模块，用于通过所述访问令牌获取签名报文；

第一发送模块，用于将待签数据报文和所述签名报文发送至所述服务器，以对所述待签数据报文和所述签名报文进行验证；

接收模块，用于若接收到所述服务器发送的验证通过信息，与所述服务器进行可信通信。

所述终端设备5可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备可包括，但不仅限于，处理器50、存储器51。本领域技术人员可以理解，图5仅仅是终端设备5的示例，并不构成对终端设备5的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。

所称处理器50可以是中央处理单元(centralprocessingunit，cpu)，还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器51可以是所述终端设备5的内部存储单元，例如终端设备5的硬盘或内存。所述存储器51也可以是所述终端设备5的外部存储设备，例如所述终端设备5上配备的插接式硬盘，智能存储卡(smartmediacard，smc)，安全数字卡(securedigital，sd)，闪存卡(flashcard)等。进一步地，所述存储器51还可以既包括所述终端设备5的内部存储单元也包括外部存储设备。所述存储器51用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器51还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的实施例中，应该理解到，所揭露的装置/终端设备和方法，可以通过其它的方式实现。例如，以上所描述的装置/终端设备实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。