[发明专利]基于可信执行环境的认证方法、装置

权利要求书

1.一种基于可信执行环境的认证方法，其特征在于，应用于终端，所述终端具有普通执行环境REE和可信执行环境TEE，所述方法包括：

所述REE接收EAP-TLS服务器发送的EAP请求消息，指示传输层安全TLS开始；

所述REE向所述TEE发送TLS握手消息参数请求；

所述TEE向所述REE发送TLS握手消息参数响应，其中携带握手消息所需密钥；

所述REE将TLS握手消息发送给EAP-TLS服务器；

所述REE接收所述EAP-TLS服务器发送的加密后的身份信息；

所述REE向所述TEE发送TLS结束参数请求，其中携带所述加密后的身份信息；

所述TEE对所述加密后的身份信息进行解密，利用所述身份信息对所述EAP-TLS服务器进行身份验证，向所述REE发送TLS结束参数响应，其中携带验证结果和加密后的TEE证书；

所述REE向所述EAP-TLS服务器发送EAP响应消息；

所述REE接收所述EAP-TLS服务器发送的TLS结束信息。

2.根据权利要求1所述的基于可信执行环境的认证方法，其特征在于，所述REE接收EAP-TLS服务器发送的EAP请求消息之前，所述方法还包括：

所述REE接收EAP-TLS服务器发送的EAP-Request，其中携带终端的身份信息；

所述REE向所述EAP-TLS服务器返回EAP-Response。

3.根据权利要求1所述的基于可信执行环境的认证方法，其特征在于，所述REE接收所述EAP-TLS服务器发送的TLS结束信息之后，所述方法还包括：

所述REE将加密的TLS应用数据发送给TEE；

所述REE向所述EAP-TLS服务器发送空消息。

4.一种基于可信执行环境的认证方法，其特征在于，应用于EAP-TLS服务器，所述方法包括：

向终端的REE发送EAP请求消息，指示传输层安全TLS开始，所述终端具有普通执行环境REE和可信执行环境TEE；

接收所述REE发送的TLS握手消息；

向所述REE发送加密后的身份信息；

接收所述REE发送的EAP响应消息；

向所述REE发送TLS结束信息。

5.根据权利要求4所述的基于可信执行环境的认证方法，其特征在于，所述向终端的REE发送EAP请求消息之前，所述方法还包括：

向所述REE发送EAP-Request，其中携带终端的身份信息；

接收所述REE发送的EAP-Response。

6.根据权利要求4所述的基于可信执行环境的认证方法，其特征在于，所述向所述REE发送TLS结束信息之后，所述方法还包括：

接收所述REE发送的空消息；

发送验证成功消息。

7.一种基于可信执行环境的认证装置，其特征在于，应用于终端，包括处理器和收发器，

所述收发器用于接收EAP-TLS服务器发送的EAP请求消息，指示传输层安全TLS开始；将TLS握手消息发送给EAP-TLS服务器；接收所述EAP-TLS服务器发送的加密后的身份信息；向所述EAP-TLS服务器发送EAP响应消息；接收所述EAP-TLS服务器发送的TLS结束信息。

8.一种基于可信执行环境的认证装置，其特征在于，应用于EAP-TLS服务器，包括处理器和收发器，

所述收发器用于向终端的REE发送EAP请求消息，指示传输层安全TLS开始，所述终端具有普通执行环境REE和可信执行环境TEE；接收所述REE发送的TLS握手消息；向所述REE发送加密后的身份信息；接收所述REE发送的EAP响应消息；向所述REE发送TLS结束信息。