[发明专利]基于安全元件的动态口令生成方法和系统

权利要求书

1.一种基于安全元件的动态口令生成方法，其特征在于，包括：

运行在富执行环境REE中的动态口令客户应用OTP CA向运行在可信执行环境TEE中的动态口令可信应用OTP TA发送动态口令生成申请；

OTP TA通过可信用户接口TUI接收OTP许可口令；

所述OTP TA通过运行在安全元件SE模块中的Applet对所述OTP许可口令进行验证，如果通过验证，则通过所述Applet生成OTP动态口令，并通过所述TUI进行显示，所述SE模块包括：eSE模块、inSE模块；

所述可信用户接口TUI为由TEE控制，提供用户信息显示，与REE隔离的用户界面；

所述通过所述Applet生成OTP动态口令包括：

动态口令OTP服务器和所述TEE建立安全通道，如果所述OTP许可口令通过验证，则所述OTP CA向OTP服务器发送用户请求信息以及公钥证书；

所述OTP服务器验证所述公钥证书，如果验证成功，则使用所述公钥证书中的公钥加密所述口令定制信息以及定制类型，并将加密后的所述口令定制信息以及定制类型通过所述OTP CA发送至所述OTP TA；

所述OTP TA生成Applet指令并通过所述Applet指令发送加密后的所述口令定制信息以及定制类型至所述SE模块；

所述Applet使用与所述公钥证书中的公钥相对应的私钥对加密后的所述口令定制信息以及定制类型进行解密处理；

其中，所述公钥私钥产生方法包括：所述Applet通过所述OTP TA接收到TSM服务器发送的密钥生成指令；所述Applet生成公、私密钥对，将公、私密钥对的公钥通过所述OTP TA发送至所述TSM服务器并请求获得数字证书；所述TSM服务器将包含有所述公钥的证书下发请求发送给信任根服务器，所述信任根服务器基于所述公钥生成证书并通过TSM服务器下发给OTP TA；所述OTP TA生成Applet指令并通过所述Applet指令发送所述证书至所述SE模块；所述Applet存储公、私密钥对的私钥以及所述证书。

2.如权利要求1所述的方法，其特征在于，所述通过所述Applet生成OTP动态口令包括：

如果所述OTP许可口令通过验证，则所述OTP TA通过所述TUI接收OTP挑战码；

所述OTP TA生成Applet指令并通过所述Applet指令发送OTP挑战码至所述SE模块；

所述Applet使用OTP挑战码并基于OTP动态口令算法、密钥生成所述OTP动态口令。

3.如权利要求1所述的方法，其特征在于，所述通过所述Applet生成OTP动态口令包括：

动态口令OTP服务器和所述TEE建立安全通道；

如果所述OTP许可口令通过验证，所述OTP服务器通过所述安全通道向所述OTP TA发送用于生成OTP动态口令的口令定制信息；

如果接收到口令定制信息，则所述OTP TA生成Applet指令并通过所述Applet指令发送所述口令定制信息至所述SE模块；

所述Applet基于此口令定制信息生成所述OTP动态口令；

所述口令定制信息包括：挑战码、挑战码与OTP动态口令密钥、加密算法中的至少一项；

所述OTP CA通过所述OTP TA向所述Applet发送REE系统时间；

所述Applet计算APPLET时间和REE系统时间的时间差值并存储；

当生成OTP动态口令时，所述Applet获得当前APPLET时间，基于当前APPLET时间和所述时间偏移获得当前REE系统时间，作为时间因子。

4.如权利要求1所述的方法，其特征在于，还包括：

动态口令OTP服务器和所述TEE建立安全通道；

如果所述OTP许可口令通过验证，则所述OTP CA向OTP服务器发送用户请求信息；

所述OTP服务器对所述用户请求信息验证成功后，通过所述安全通道并经由所述OTPCA向所述OTP TA发送口令定制信息以及定制类型，所述OTP TA生成Applet指令并通过所述Applet指令发送所述口令定制信息以及定制类型至所述SE模块，所述Applet根据所述口令定制信息以及定制类型并使用口令算法、密钥生成所述OTP动态口令。