[发明专利]一种业务授权的方法、装置及设备

权利要求书

1.一种业务授权的方法，设备的系统中至少包括第一安全环境以及第二安全环境，第一执行单元在所述第一安全环境中运行，第二执行单元在所述第二安全环境中运行，所述方法包括：

获取待验证信息，并将所述待验证信息发送给所述第一执行单元进行验证；

接收所述第一执行单元返回的通过验签私钥对验证结果进行签名得到的签名信息；

将所述签名信息发送给所述第二执行单元，以使所述第二执行单元通过所述验签私钥对应的验签公钥，对所述签名信息进行验证，并在确定所述签名信息验证通过后，根据所述验证结果进行业务授权。

2.如权利要求1所述的方法，所述第一安全环境包括：可信执行环境TEE；所述第二安全环境包括：安全元件SE提供的执行环境。

3.如权利要求1或2所述的方法，所述待验证信息包括：待验证生物特征信息。

4.如权利要求1或2所述的方法，接收所述第一执行单元返回的通过验签私钥对验证结果进行签名得到的签名信息之前，所述方法还包括：

获取所述第二执行单元发送的动态参数，所述动态参数包括：随机数、时间信息中的至少一种；

将所述动态参数发送给所述第一执行单元，使所述第一执行单元通过所述验签私钥对所述验证结果和所述动态参数进行签名。

5.一种业务授权的方法，设备的系统中至少包括第一安全环境以及第二安全环境，第一执行单元在所述第一安全环境中运行，第二执行单元在所述第二安全环境中运行，所述方法包括：

所述第一执行单元接收业务应用发送的待验证信息；

对所述待验证信息进行验证，并将得到的验证结果通过保存的验签私钥进行签名，得到签名信息；

将所述签名信息通过所述业务应用发送给所述第二执行单元，以使所述第二执行单元通过所述验签私钥对应的验签公钥，对所述签名信息进行验证，并在所述签名信息验证通过后，根据所述验证结果进行业务授权。

6.如权利要求5所述的方法，所述业务应用在所述第一安全环境中运行。

7.如权利要求5所述的方法，将得到的验证结果通过保存的验签私钥进行签名，得到签名信息之前，所述方法还包括：

接收所述第二执行单元通过所述业务应用发送的动态参数。

8.如权利要求7所述的方法，将得到的验证结果通过保存的验签私钥进行签名，得到签名信息，具体包括：

将所述验证结果以及所述动态参数通过所述验签私钥进行签名，得到签名信息。

9.如权利要求5或8所述的方法，在接收业务应用发送的待验证信息之前，所述方法还包括：

从所述第一执行单元对应的第一管理服务器，获取所述验签私钥。

10.如权利要求9所述的方法，将所述签名信息通过业务应用发送给所述第二执行单元之前，所述方法还包括：

从所述第一管理服务器获取所述验签公钥的公钥证书，所述公钥证书是所述第一管理服务器从证书授权CA中心获取到的，所述公钥证书是所述CA中心根据保存的CA私钥对所述验签公钥进行认证后得到的。

11.如权利要求10所述的方法，将所述签名信息通过业务应用发送给所述第二执行单元，具体包括：

将所述公钥证书以及所述签名信息通过所述业务应用发送给所述第二执行单元，以使所述第二执行单元通过从所述CA中心获取到的CA公钥，对所述公钥证书进行验证，并在确定所述公钥证书验证通过后，通过从所述公钥证书中解析出的验签公钥，对所述签名信息进行验证。