[发明专利]身份认证方法、存储介质和电子设备

说明书

本申请提供了一种身份认证的方法、存储介质和电子设备。方法包括IDP根据用户设备的认证请求，确定与用户设备关联的TEE设备；用户设备与TEE设备建立通信连接，向TEE设备发送用户设备的身份认证参数；TEE设备将用户设备的身份认证参数发送至IDP；IDP还接收TEE设备发送的用户设备的身份认证参数，并根据身份认证参数并利用TEE设备对用户设备的用户进行身份认证。本申请的身份认证方法能够部署在非TEE的电子设备上，使得非TEE设备可以借助于TEE设备为用户提供安全的认证服务。

技术领域

本申请的一个或多个实施例通常涉及信息安全技术的身份认证领域，具体涉及一种身份认证方法、存储介质和电子设备。

背景技术

可信执行环境(Trusted Execution Environment，TEE)是主处理器内的安全区域。它可以运行在一个相对独立的环境中且与主操作系统并行运行。在TEE中加载的代码和数据的机密性和完整性都可以得到保护。通过同时使用硬件和软件来保护数据和代码，这个并行系统比传统系统(即Rich Execution Environment，富执行环境)更加安全。在TEE中运行的受信任应用程序可以访问设备主处理器和内存的全部功能，同时通过硬件隔离保护这些TEE中的组件不受主操作系统中运行的由用户安装的应用程序的影响。

当前，智能设备的全场景业务已在全球广泛应用，在全场景业务中，为了提供用户操作的便利性，需要每个智能设备支持用户使用用户账号登录并进行相应的应用安全认证，数据同步，网络浏览，消息应用操作等，这就要求所有的智能设备必须使用TEE芯片，否则将出现数据、账号被篡改或仿冒等问题，进而导致用户的账号信息的泄露和用户账户被恶意控制。

可以理解，如果所有智能设备都使用TEE芯片，这会显著地增加了芯片复杂度和工艺/研发成本。此外，用户之前购买的未配置TEE芯片的智能设备也会在越发普及的全场景业务中带来安全隐患。

发明内容

本申请的一些实施方式提供了一种身份认证方法、存储介质和电子设备。以下从多个方面介绍本申请，以下多个方面的实施方式和有益效果可互相参考。

为了应对上述场景，第一方面，本申请的实施方式提供了一种用于身份认证系统的身份认证方法，其中身份认证系统包括不具有可信执行环境(TEE)单元的用户设备，具有TEE单元的TEE设备，和身份提供方(IDP)，TEE设备将辅助用户设备进行身份认证，该方法包括：IDP根据用户设备发送的认证请求，确定与用户设备关联的TEE设备；在确定用户设备的关联TEE设备之后，用户设备与该关联的TEE设备建立通信连接，向TEE设备发送用户设备的身份认证参数，这些身份认证参数将用于IDP执行的身份认证；TEE设备将用户设备的身份认证参数发送至IDP；IDP接收TEE设备发送的用户设备的身份认证参数，并根据身份认证参数并与TEE设备进行认证协议的认证步骤，从而实现对用户设备的用户进行身份认证。

从上述第一方面的实施方式中可以看出，本申请的实施方式可以部署在非TEE的电子设备上，使得非TEE设备可以借助于诸如智能手机等的TEE设备为用户提供安全的SSO服务，解决了非TEE设备无法获得安全保护的问题。并且通过利用TEE机制，用户设备的整个认证过程的安全性都受TEE的保护。

结合第一方面，在一些实施方式中，用户设备还用于：将指示用户设备不具有TEE单元的标记发送给IDP。

结合第一方面，在一些实施方式中，确定与用户设备关联的TEE设备，包括：IDP接收来自用户设备的身份认证账号与来自TEE设备的身份认证账号；IDP在用户设备的身份认证账号与来自TEE设备的身份认证账号相同或关联的情况下，确定用户设备具有关联的TEE设备。