[发明专利]一种基于TEE和无线确认的FIDO认证器及系统及方法

权利要求书

1.一种基于TEE和无线确认的FIDO认证器，其特征在于，包括在TEE中以可信应用的形式实现的主运算部件、用于输入用户确认信息的无线终端以及在智能终端中接收用户确认信息的无线适配器，所述主运算部件、无线适配器和无线终端依次连接；

所述主运算部件包括功能模块、用户输入模块和状态提示模块，所述用户输入模块与状态提示模块均与功能模块连接，所述用户输入模块与无线适配器连接；

所述功能模块用于FIDO协议实现和算法库实现和密钥管理功能实现和证书存储功能实现和与REE中认证客户端的通信实现和对用户输入模块的控制实现和对状态提示模块的控制实现功能；

所述用户输入模块受功能模块控制，用于读取无线适配器的内容并转发给功能模块；

所述状态提示模块受功能模块控制，用于提醒用户在无线终端上操作；

所述FIDO认证器的工作流程包括步骤：

S1，在TEE中加载运行主运算部件，主运算部件接收认证客户端发送的绑定/认证/交易请求；

S2，主运算部件中的功能模块解析绑定/认证/交易请求，判断为对应的操作命令后激活用户输入模块以读取无线适配器将要接收到的信号，并控制状态提示模块提示用户输入用户确认信息；

S3，用户输入模块配置无线适配器相关的控制寄存器为TEE环境只读模式；

S4，用户输入模块通过安全中断或轮询的方式读取无线适配器接收到的用户确认信息并传给功能模块；

S5，功能模块根据对应的操作存储或比对用户确认信息；

S6，用户输入模块还原无线适配器相关的控制寄存器为REE环境可读模式；

S7,功能模块执行进一步操作，包括公私钥对生成和/或密钥存储和/或签名步骤；

S8，功能模块将步骤S7中的操作执行结果封装后返回给REE中的认证客户端。

2.根据权利要求1所述的一种基于TEE和无线确认的FIDO认证器，其特征在于，所述用户输入模块通过安全中断或轮询的方式读取无线适配器接收到的内容。

3.根据权利要求1或2所述的一种基于TEE和无线确认的FIDO认证器，其特征在于，所述无线终端与无线适配器通过红外、蓝牙或2.4G无线通信方式相连。

4.一种基于TEE和无线确认的FIDO认证系统，其特征在于，其包括如权利要求1至3任一项所述的一种基于TEE和无线确认的FIDO认证器、运行在REE中的认证客户端和业务客户端、业务服务器和认证服务器，所述认证客户端与功能模块连接，所述认证客户端、业务客户端、业务服务器和认证服务器依次连接；

所述主运算部件、无线适配器、认证客户端和业务客户端均设置在智能终端中。

5.根据权利要求4所述的一种基于TEE和无线确认的FIDO认证系统，其特征在于，所述业务客户端与业务服务器通过Internet连接。

6.一种基于TEE和无线确认的FIDO认证方法，其特征在于，其应用于权利要求1或3所述的一种基于TEE和无线确认的FIDO认证器，所述方法包括步骤：

S1，在TEE中加载运行主运算部件，主运算部件接收认证客户端发送的绑定/认证/交易请求；

S2，主运算部件中的功能模块解析绑定/认证/交易请求，判断为对应的操作命令后激活用户输入模块以读取无线适配器将要接收到的信号，并控制状态提示模块提示用户输入用户确认信息；

S3，用户输入模块配置无线适配器相关的控制寄存器为TEE环境只读模式；

S4，用户输入模块通过安全中断或轮询的方式读取无线适配器接收到的用户确认信息并传给功能模块；

S5，功能模块根据对应的操作存储或比对用户确认信息；

S6，用户输入模块还原无线适配器相关的控制寄存器为REE环境可读模式；

S7,功能模块执行进一步操作，包括公私钥对生成和/或密钥存储和/或签名步骤；

S8，功能模块将步骤S7中的操作执行结果封装后返回给REE中的认证客户端。

7.根据权利要求6所述的一种基于TEE和无线确认的FIDO认证方法，其特征在于，所述步骤S3具体还包括子步骤：

S31，用户输入模块清空无线适配器中的键值缓存；

S32，用户输入模块根据需要配置无线适配器中断为安全中断；

所述步骤S6具体还包括子步骤：

S61，用户输入模块清空无线适配器中的键值缓存；

S62，用户输入模块根据需要还原无线适配器中断的安全属性。