[发明专利]一种基于可信任环境的认证保护系统及方法

权利要求书

1.一种基于可信任环境的认证保护系统，包括：客户应用端、可信任执行环境处理单元、守护应用端，以及可信应用端，其特征在于，

所述客户应用端，其向所述可信任执行环境处理单元提出安全认证业务请求，调用安全业务；

所述可信任执行环境处理单元，其将所述安全认证业务请求分别转发给所述守护应用端，所述可信应用端，并将验证结果返回给所述客户应用端；为所述客户应用端和所述可信应用端创建会话连接；

其中，所述客户应用端，其将身份认证信息发送给所述可信任执行环境处理单元，申请建立上下文的请求，从接收的KEY中提取出初始秘钥；

所述可信任执行环境处理单元，其向所述守护应用端转发所述申请建立上下文的请求和所述身份认证信息，由所述守护应用端验证客户应用端所提供的身份认证信息；

所述守护应用端，其使用所述客户应用端所提供的身份认证信息中的公钥对秘钥进行加密，并返回给所述可信任执行环境处理单元；

所述可信任执行环境处理单元，其将加密的秘钥返回给所述客户应用端，由所述客户应用端使用与身份信息中的公钥对应的私钥，解密并提取出初始秘钥；客户端应用端，其与可信任执行环境处理单元建立会话；所述守护应用端，其用于对所述安全认证业务请求进行验证；

所述可信应用端，其与所述客户应用端进行会话，并为所述客户应用端提供业务服务。

2.根据权利要求1所述的基于可信任环境的认证保护系统，其特征在于，

所述安全认证业务请求，包括，建立上下文的请求、建立可信连接的请求、调用安全业务请求、结束会话的请求、以及结束上下文的请求。

3.根据权利要求2所述的基于可信任环境的认证保护系统，其特征在于，

所述客户应用端，向所述可信任执行环境处理单元发送建立上下文的请求，并获取加密的初始上下文秘钥；向所述可信任执行环境处理单元发送建立可信连接的请求，接收返回结果及随机数；向所述可信任执行环境处理单元发送调用安全业务请求，接收返回结果更新随机数。

4.一种基于可信任环境的认证保护方法，其特征在于，包括以下步骤：

客户应用端向可信任执行环境处理单元申请建立上下文的步骤；

客户应用端与可信应用端建立会话的步骤；

客户应用端的安全业务调用的步骤；

可信应用端结束会话的步骤；

守护应用端结束上下文的步骤；

其中，客户应用端向可信任执行环境处理单元申请建立上下文的步骤，包括：所述客户应用端其将身份认证信息发送给所述可信任执行环境处理单元，申请建立上下文的请求，从接收的KEY中提取出初始秘钥；

所述可信任执行环境处理单元向所述守护应用端转发所述申请建立上下文的请求和所述身份认证信息，由所述守护应用端验证客户应用端所提供的身份认证信息；

所述守护应用端使用所述客户应用端所提供的身份认证信息中的公钥对秘钥进行加密，并返回给所述可信任执行环境处理单元；

所述可信任执行环境处理单元，将加密的秘钥返回给所述客户应用端，由所述客户应用端使用与身份信息中的公钥对应的私钥，解密并提取出初始秘钥。

5.根据权利要求4所述的基于可信任环境的认证保护方法，其特征在于，

所述客户应用端与可信应用端建立会话的步骤，进一步包括：

可信任执行环境处理单元接收客户应用端发送的目标为通用唯一识别码的建立可信连接的请求；

可信应用端将通用唯一识别码，基于秘钥、采用可信任执行环境处理单元指定的哈希算法，进行计算，并将计算结果与通用唯一识别码一起发送给守护应用端；

守护应用端验证所述计算结果，对通用唯一识别码对应的可信应用端进行检查、验签、执行，并记录对应的连接句柄，生成一次性随机数；

客户应用端接收所述连接句柄和一次性随机数并保存。