[发明专利]安全通信的方法与设备

权利要求书

1.一种安全通信的方法，其特征在于，应用于同一终端设备的客户应用CA及与所述CA对应的可信应用TA，包括：

验证所述CA的公钥是否完整及所述CA的数字签名是否有效，具体包括：所述CA保存公钥及根据所述CA的私钥生成的数字签名，其中，所述公钥与所述私钥为根据预设数字签名算法生成的公私钥对；富执行环境操作系统根据预设摘要算法，计算CA的公钥的第一摘要，并将所述CA的公钥的第一摘要发送至所述可信执行环境操作系统；可信执行环境操作系统检测所述CA的公钥的第一摘要是否与所述TA中存储的第二摘要相同，其中，所述第二摘要为根据所述预设摘要算法生成的所述公钥的第二摘要；如果所述第一摘要与所述第二摘要相同，则富执行环境操作系统根据所述公钥，验证所述CA的数字签名是否有效；如果所述CA的数字签名有效，则所述CA完整；

如果所述CA的公钥完整且所述CA的数字签名有效，则所述CA与所述TA通过三次握手生成对称密钥，并根据所述对称密钥进行加密通信。

2.根据权利要求1所述的安全通信的方法，其特征在于，所述CA与所述TA通过三次握手生成对称密钥，具体包括：

所述CA发送生成的第一随机数及对称加密算法与消息认证码算法的算法清单；

所述TA发送选择的所述算法清单中算法的标识、生成的RSA公私钥对的公钥及生成的第二随机数；

所述CA发送根据所述RSA公钥加密的第三随机数；

所述CA与所述TA分别根据所述第一随机数、所述第二随机数与所述第三随机数生成所述对称密钥。

3.一种安全通信设备，其特征在于，应用于同一终端设备的客户应用CA及与所述CA对应的可信应用TA，包括：

验证模块，用于验证所述CA的公钥是否完整及所述CA的数字签名是否有效；

生成对称密钥模块，用于当验证所述CA的公钥完整且所述CA的数字签名有效后，通过三次握手生成所述CA与所述TA的对称密钥；

通信模块，用于根据所述对称密钥进行所述CA与所述TA的加密通信；

其中所述验证模块具体包括：摘要检测子模块、数字签名验证子模块与确定子模块；

所述摘要检测子模块，用于可信执行环境操作系统检测所述CA的公钥的第一摘要是否与所述TA中存储的第二摘要相同；

所述数字签名验证子模块，用于当所述第一摘要与所述第二摘要相同时，富执行环境操作系统根据所述公钥，验证所述CA的数字签名是否有效；

确定子模块，用于当所述CA的数字签名验证有效时，确定所述CA完整；

所述设备还包括：第一摘要计算模块、第一摘要发送模块和CA保存模块；

所述第一摘要计算模块，用于所述富执行环境操作系统根据预设摘要算法，计算所述CA的公钥的第一摘要；

所述第一摘要发送模块，用于将所述CA的公钥的第一摘要发送至所述可信执行环境操作系统；

所述CA保存模块，用于所述CA保存所述公钥及根据所述CA的私钥生成的数字签名，其中，所述公钥与所述私钥为根据预设数字签名算法生成的公私钥对。

4.根据权利要求3所述的安全通信设备，其特征在于，所述生成对称密钥模块具体包括：第一CA发送子模块、TA发送子模块、第二CA发送子模块、CA密钥生成子模块与TA密钥生成子模块；

所述第一CA发送子模块，用于所述CA发送生成的第一随机数及对称加密算法与消息认证码算法的算法清单；

所述TA发送子模块，用于所述TA发送选择的所述算法清单中算法的标识、生成的RSA公私钥对的公钥及生成的第二随机数；

所述第二CA发送子模块，用于所述CA发送根据所述RSA公钥加密的第三随机数；

所述CA密钥生成子模块，用于根据所述第一随机数、所述第二随机数与所述第三随机数生成所述对称密钥的CA密钥；

所述TA密钥生成子模块，用于根据所述第一随机数、所述第二随机数与所述第三随机数生成所述对称密钥的TA密钥。