一种基于tee的数字证书的身份验证方法及系统的制作方法
【技术领域】
[0001]本申请涉及信息技术领域,具体地说,涉及一种基于TEE的数字证书的身份验证方法及系统。
【背景技术】
[0002]PKI为Public Key Infrastructure的简称,即公钥基础设施,是提供非对称加解密和数字签名验签服务的系统或平台,目的是为了管理密钥和数字证书。PKI是一种遵循标准的利用公钥加密技术为电子商务、电子政务等的开展提供一套安全基础平台的技术和规范。
[0003]为了提高网上银行、电话银行、网上证券、电话证券、网上购物、网络游戏等网络应用系统的身份认证安全性,各行业、各企业纷纷推出比传统静态密码具有更高安全性的PK1、0ΤΡ、生物特征识别、大数据风控等身份认证系统。
[0004]采用ΡΚΙ、0ΤΡ、生物特征识别、大数据风控等身份认证系统进行身份认证,极大提高了网络应用系统的安全性。目前主要的身份认证方式及其优缺点为:
[0005]传统的PKI技术和0ΤΡ技术,目前多以硬件形式实现,安全性较高,目前有广泛应用;但其需要用户去领取实物、随身携带、且有学习使用过程,用户体验较差;而其中的短信验证码虽然不需要额外的硬件设备,但由于手机平台的开放性,安全性较差,面临问题越来越多;
[0006]生物特征的身份认证,用户不需要携带额外硬件,使用体验较好;但由于其多为静态数据,在开放环境、开放网络、开放平台上容易被截获或者进行复制;特别是由于生物特征具备不能更改的特性,容易产生较多安全问题,因此其更适合作为近场身份认证手段;
[0007]基于大数据的分析的身份认证,对用户完全是透明的,用户体验更好,但多维度数据的归集和使用尚无相关法律法规,还牵扯隐私保护等问题,同时其识别结果只能是一个概率,而不是一个确定性的判定,因此其更适合作为广告营销和风险控制手段。
[0008]因此,急需一种无额外硬件、使用安全便利、抗抵赖性强并且兼容性好的基于TEE的数字证书的身份认证方法。
【发明内容】
[0009]有鉴于此,本申请所要解决的技术问题是现有的身份认证方法不安全、不稳定、不便利和兼容性不高的问题。
[0010]为了解决上述技术问题,本发明提供了一种无额外硬件、使用安全便利、抗抵赖性强并且兼容性好的基于TEE的数字证书的身份验证方法及系统,通过在TEE下进行数字证书的签名及验签,避免了现有的身份认证方法不安全、不稳定、不便利和兼容性不高的问题,本申请技术方案如下:
[0011]一种基于TEE的数字证书的身份验证方法,包括终端预先配置数字证书系统、数字证书签名过程和数字证书验签过程,其特征在于,所述终端具备TEE,所述数字证书签名过程,在所述终端上进行,用于针对用户请求使用数字证书私钥进行签名,所述数字证书验签过程用于认证请求的用户的身份,认证方式包括验证所述数字证书的合法性及有效性、所述签名的完整性及正确性;其中,所述数字证书签名过程在TEE下进行。
[0012]优选的,所述客户端为所述终端内部应用客户端,所述数字证书签名过程包括:
[0013]步骤1:所述数字证书系统安全储存用户身份信息、根CA证书信息和用户数字证书及私钥信息,所述客户端对应的服务器安全存储其数字证书及私钥信息,所述终端收到客户端的应用的身份认证请求及所述服务器对所述请求的签名,启动所述数字证书系统,所述数字证书系统校验所述服务器数字证书合法有效、所述签名完整正确后,向终端用户发送输入所述用户身份信息的请求;
[0014]步骤2:所述数字证书系统将输入的信息与所述步骤1中储存的所述用户身份信息进行校验;
[0015]步骤3:当所述步骤2中校验的结果为信息一致时,所述数字证书系统使用用户数字证书私钥签名步骤1所述的身份认证请求,所述数字证书签名过程完成。
[0016]优选的,所述客户端为所述终端外部应用客户端,所述外部应用客户端是指所述应用客户端的载体为所述步骤1中终端之外的设备,所述数字证书签名过程包括:
[0017]步骤①:所述数字证书系统安全储存用户身份信息、根CA证书信息和用户数字证书及私钥信息,所述客户端对应的服务器安全存储其数字证书及私钥信息,启动所述数字证书系统时,所述数字证书系统向用户发送输入所述用户身份信息的请求;
[0018]步骤②:所述数字证书系统将输入的信息与所述步骤①中储存的所述用户身份信息进行校验;
[0019]步骤③:当所述步骤②中校验的结果为信息一致时,所述数字证书系统通过0TG、NFC、蓝牙、音频、声波、用户输入或扫描条形码、二维码的方式获取所述客户端的应用的身份认证请求及步骤①所述服务器对所述请求的签名信息,所述数字证书系统校验所述服务器数字证书合法有效、所述签名完整正确后,所述数字证书系统使用用户数字证书私钥签名所述的身份认证请求,所述数字证书签名过程完成。
[0020]优选的,所述客户端为终端内部应用客户端,所述数字证书验签过程包括:
[0021]步骤A1:所述数字证书系统发送所述步骤3中产生的签名至所述终端内部应用客户端;
[0022]步骤B1:所述终端内部应用客户端收到所述签名后,发送步骤1中的请求及签名信息至该客户端应用对应的服务器;
[0023]步骤C1:步骤B1中所述服务器接收所述请求及签名,校验用户信息和步骤B1中发送的签名的完整正确、及对应的用户数字证书的合法有效,校验结果为正确时,所述服务器处理请求并返回处理结果至所述终端内部应用客户端;
[0024]步骤D1:所述终端内部应用客户端接收所述步骤C1中的处理结果,校验相关信息并显示,所述数字证书验签过程完毕。
[0025]优选的,所述客户端为终端外部应用客户端,所述数字证书验签过程包括:
[0026]步骤A2:所述终端通过OTG、NFC、蓝牙、音频或声波的方式发送所述步骤③产生的签名到所述客户端,或以条形码、二维码的形式显示供所述外部应用客户端扫描读取;
[0027]步骤B2:所述外部应用客户端获取该签名后,发送所述步骤③中的请求及签名信息至该客户端应用对应的服务器;
[0028]步骤C2:步骤B2中所述服务器接收所述步骤B2中的所述请求及签名,校验用户信息和步骤B2发送的签名的完整正确、及对应的用户数字证书的合法有效,校验结果为正确时,所述服务器处理所述应用请求并返回处理结果至所述外部应用客户端;
[0029]步骤D2:所述外部应用客户端接收所述步骤C2中的处理结果,校验相关信息并显示,所述数字证书验签过程完毕。
[0030]优选的,还包括所述数字证书系统的创建账户、生成密钥对及签发数字证书的过程,其中,包括:
[0031]步骤一:终端预先配置基于TEE的数字证书系统构成所述数字证书系统,在所述数字证书系统注册用户账户,注册用户账户包括输入身份信息和设置访问口令,所述数字证书系统安全储存所述注册身份信息和访问口令;
[0032]步骤二:所述数字证书系统读取信任根设备的认证数据或者请求信任根设备签发认证数据;
[0033]步骤三:所述数字证书系统通过所述客户端应用对应的服务器请求信任根系统认证步骤二中所述认证数据和所述注册身份信息,所述信任根系统与步骤二中所述信任根设备相对应;
[0034]步骤四:所述信任根系统校验步骤二中所述认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过所述客户端应用对应的服务器发送至所述数字证书系统;
[0035]步骤五:当步骤四所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述数字证书系统产生第一私钥及其对应的第一公钥,安全存储所述私钥,并向所述客户端应用对应的CA服务器发送数字证书签发请求;
[0036]步骤六:所述CA服务器接收步骤五中所述的请求并签发所述数字证书,所述客户端应用对应的服务器绑定用户账户和数字证书对应关系,将签名后的数字证书发送至所述数字证书系统;
[0037]步骤七:所述数字证书系统接收并安全储存所述步骤六中签发的数字证书,所述数字证书系统的创建账户、生成密钥对及签发数字证书过程完成;
[0038]所述步骤一至三、步骤五和步骤七在TEE下进行。
[0039]优选的,还包括所述数字证书系统的用户数字证书更新过程,其中,包括:
[0040]步骤a:所述数字证书系统请求更新用户数字证书,并向用户发送输入所述用户身份信息的请求;
[0041]步骤b:所述数字证书系统将输入的信息与所述步骤1中储存的所述用户身份信息进行校验;当校验结果为一致时,向用户发送使用信任根设备的请求;
[0042]步骤c:所述数字证书系统读取信任根设备的认证数据或者请求信任根设备签发认证数据;当信任根设备授权读取或签发相关认证数据后,所述数字证书系统通过所述客户端应用对应的服务器请求信任根系统认证所述注册身份信息和所述认证数据,所述信任根系统与步骤b中所述信任根设备相对应;
[0043]步骤d:所述信任根系统校验所述步骤c中认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过所述客户端应用对应的服务器发送至所述数字证书系统;
[0044]步骤e:当步骤d所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述数字证书系统产生第二私钥及其对应的第二公钥,安全存储所述私钥,并向所述客户端对应的CA服务器发送数字证书更新和签发请求;
[0045]步骤f:所述CA服务器接收步骤e中所述的更新和签发请求并签名所述新数字证书,所述客户端应用对应的服务器绑定用户账户和新数字证书对应关系,将签名后的新数字证书发送至所述数字证书系统;
[0046]步骤g:所述数字证书系统接收并安全储存所述步骤f中的签发的新数字证书,删除旧数字证书,所述数字证书系统的用户数字证书更新过程完成;
[0047]所述步骤a至c、步骤e和步骤g在TEE下进行。
[0048]优选的,所述步骤1中的用户身份信息包括用户基本身份信息和生物特征信息,所述基本身份信息包括姓名和证件号码,所述生物特征信息包括指纹信息、面部特征信息、声纹信息和/或虹膜信息;
[0049]所述步骤3中还包括:当所述步骤2中校验的结果为信息一致时,所述数字证书系统安全显示所述客户端的应用请求信息,并提请用户确认,在用户确认同意所述请求后,所述数字证书系统使用用户数字证书私钥对所述请求进行签名,所述数字证书签名过程完成;
[0050]所述步骤③中还包括:当所述步骤②中校验的结果为信息