[发明专利]一种基于TEE的数字证书的身份验证方法及系统

说明书

本申请公开了一种基于TEE的数字证书的身份验证方法，包括终端预先配置数字证书系统、数字证书签名过程和数字证书验签过程，其特征在于，所述终端具备TEE，所述数字证书签名过程，在所述终端上进行，用于针对用户请求使用数字证书私钥进行签名，所述数字证书验签过程用于认证请求的用户的身份，认证方式包括验证所述数字证书的合法性及有效性、所述签名的完整性及正确性；其中，所述数字证书签名过程在TEE下进行；用户的密钥、身份信息、生物特征信息和口令信息等敏感信息在TEE下通过安全存储模块存储，避免了现有技术中的诸多问题，如签名过程在REE中进行、用户敏感信息在REE环境下存储，产生隐私泄露、财产被窃取的隐患等。

技术领域

本申请涉及信息技术领域，具体地说，涉及一种基于TEE的数字证书的身份验证方法及系统。

背景技术

PKI为Public Key Infrastructure的简称，即公钥基础设施，是提供非对称加解密和数字签名验签服务的系统或平台，目的是为了管理密钥和数字证书。PKI是一种遵循标准的利用公钥加密技术为电子商务、电子政务等的开展提供一套安全基础平台的技术和规范。

为了提高网上银行、电话银行、网上证券、电话证券、网上购物、网络游戏等网络应用系统的身份认证安全性，各行业、各企业纷纷推出比传统静态密码具有更高安全性的PKI、OTP、生物特征识别、大数据风控等身份认证系统。

采用PKI、OTP、生物特征识别、大数据风控等身份认证系统进行身份认证，极大提高了网络应用系统的安全性。目前主要的身份认证方式及其优缺点为：

传统的PKI技术和OTP技术，目前多以硬件形式实现，安全性较高，目前有广泛应用；但其需要用户去领取实物、随身携带、且有学习使用过程，用户体验较差；而其中的短信验证码虽然不需要额外的硬件设备，但由于手机平台的开放性，安全性较差，面临问题越来越多；

生物特征的身份认证，用户不需要携带额外硬件，使用体验较好；但由于其多为静态数据，在开放环境、开放网络、开放平台上容易被截获或者进行复制；特别是由于生物特征具备不能更改的特性，容易产生较多安全问题，因此其更适合作为近场身份认证手段；

基于大数据的分析的身份认证，对用户完全是透明的，用户体验更好，但多维度数据的归集和使用尚无相关法律法规，还牵扯隐私保护等问题，同时其识别结果只能是一个概率，而不是一个确定性的判定，因此其更适合作为广告营销和风险控制手段。

因此，急需一种无额外硬件、使用安全便利、抗抵赖性强并且兼容性好的基于TEE的数字证书的身份认证方法。

发明内容

有鉴于此，本申请所要解决的技术问题是现有的身份认证方法不安全、不稳定、不便利和兼容性不高的问题。

为了解决上述技术问题，本发明提供了一种无额外硬件、使用安全便利、抗抵赖性强并且兼容性好的基于TEE的数字证书的身份验证方法及系统，通过在TEE下进行数字证书的签名及验签，避免了现有的身份认证方法不安全、不稳定、不便利和兼容性不高的问题，本申请技术方案如下：

一种基于TEE的数字证书的身份验证方法，包括终端预先配置数字证书系统、数字证书签名过程和数字证书验签过程，其特征在于，所述终端具备TEE，所述数字证书签名过程，在所述终端上进行，用于针对用户请求使用数字证书私钥进行签名，所述数字证书验签过程用于认证请求的用户的身份，认证方式包括验证所述数字证书的合法性及有效性、所述签名的完整性及正确性；其中，所述数字证书签名过程在TEE下进行。

优选的，所述客户端为所述终端内部应用客户端，所述数字证书签名过程包括：