[发明专利]基于可信执行环境的认证方法、装置

说明书

本发明提供了一种基于可信执行环境的认证方法、装置，属于网络安全技术领域。方法包括：REE接收EAP‑TLS服务器的EAP请求消息；向TEE发送TLS握手消息参数请求；TEE向REE发送TLS握手消息参数响应；REE将TLS握手消息发给EAP‑TLS服务器；REE接收EAP‑TLS服务器的加密的身份信息；REE向TEE发TLS结束参数请求；TEE对加密后的身份信息进行解密，利用身份信息对EAP‑TLS服务器进行身份验证，向REE发送TLS结束参数响应；REE向EAP‑TLS服务器发送EAP响应消息；REE接收EAP‑TLS服务器的TLS结束信息。本发明的技术方案能够确保设备身份的认证安全可信。

技术领域

本发明涉及网络安全技术领域，特别是指一种基于可信执行环境的认证方法、装置。

背景技术

TEE(Trust Execution Environment，可信执行环境)能够以硬件架构背书提供不可被非法访问、不可篡改的安全执行环境。当一台设备中部署有TEE架构时，该TEE架构可被看作该设备的可信根。现有的TEE架构有：TPM(可信平台模块)、SGX(软件保护扩展)、TrustZone等。

EAP(使用可扩展的身份验证)-TLS(传输层安全)协议是EAP协议的一种，该协议可工作于数据链路层。主要功能为对身份进行认证。通常情况下，EAP-TLS协议只负责协议过程的安全性，对于peer节点的安全无法保证。也就是说，当peer节点本身被攻破，则所运行的EAP-TLS协议无法保证安全。

发明内容

本发明要解决的技术问题是提供一种基于可信执行环境的认证方法、装置，能够确保终端在任何状态下都可以判断出小区广播消息的真实性。

为解决上述技术问题，本发明的实施例提供技术方案如下：

一方面，提供一种基于可信执行环境的认证方法，应用于终端，所述终端具有普通执行环境REE和可信执行环境TEE，所述方法包括：

所述REE接收EAP-TLS服务器发送的EAP请求消息，指示传输层安全TLS开始；

所述REE向所述TEE发送TLS握手消息参数请求；

所述TEE向所述REE发送TLS握手消息参数响应，其中携带握手消息所需密钥；

所述REE将TLS握手消息发送给EAP-TLS服务器；

所述REE接收所述EAP-TLS服务器发送的加密后的身份信息；

所述REE向所述TEE发送TLS结束参数请求，其中携带所述加密后的身份信息；

所述TEE对所述加密后的身份信息进行解密，利用所述身份信息对所述EAP-TLS服务器进行身份验证，向所述REE发送TLS结束参数响应，其中携带验证结果和加密后的TEE证书；

所述REE向所述EAP-TLS服务器发送EAP响应消息；

所述REE接收所述EAP-TLS服务器发送的TLS结束信息。

一些实施例中，所述REE接收EAP-TLS服务器发送的EAP请求消息之前，所述方法还包括：

所述REE接收EAP-TLS服务器发送的EAP-Request，其中携带终端的身份信息；

所述REE向所述EAP-TLS服务器返回EAP-Response。

一些实施例中，所述REE接收所述EAP-TLS服务器发送的TLS结束信息之后，所述方法还包括：

所述REE将加密的TLS应用数据发送给TEE；

所述REE向所述EAP-TLS服务器发送空消息。