[发明专利]一种基于可信执行环境的身份认证方法

权利要求书

1.一种基于可信执行环境的身份认证方法，其特征在于，该方法包

括以下步骤：

S1 在TEE中生成随机序列作为PUF的激励，通过PUF生成保护身份密钥，并创建身份密钥及PUF绑定的挑战/应答对；

S2 在TEE中生成随机数，对随机数、存储密钥、身份ID信息进行加密运算和哈希运算，随机数和加密运算结果生成多个挑战/应答对；

S3 认证服务器从多个挑战/应答对中选择一对未使用过的挑战/应答对发送给设备中的TEE进行认证服务；

S4 认证服务器取出身份密钥密文，将身份密钥密文与挑战/应答对进行比对，若相同，则认证成功，否则为失败；

S5 对挑战/应答对进行更新，当认证服务器上的未使用挑战/应答至少剩余一对时，通过会话密钥session_key保护的会话更新挑战/应答对，会话更新挑战/应答对通过信道安全传输到认证服务器。

2.根据权利要求1所述的基于可信执行环境的身份认证方法，其特征在于，所述S1创建身份密钥进一步包含：

S1.1在TEE中生成随机序列作为PUF的激励，通过PUF生成响应RSP，运用RSP作为AES加密密钥对身份密钥进行加密，将激励和加密模型结构存储到一次性编程存储器OTP上，实现PUF、AES在TEE中的访问。

3.根据权利要求1所述的基于可信执行环境的身份认证方法，其特征在于，所述S2中生成挑战/应答对进一步包含：

S2.1运用RSP作为密钥进行AES加密，随机数和加密运算结果生成多个挑战/应答对，并将生成的多个挑战/应答对上传到认证服务器，同时，所述认证服务器存储着设备身份密钥、ID设备信息。

4.根据权利要求1所述的基于可信执行环境的身份认证方法，其特征在于，所述S3中TEE认证服务进一步包含：

S3.1 TEE认证服务将一次性编辑存储器OTP上的激励取出输入给PUF ，PUF接收到一次性编辑存储器OTP的激励后，再运用PUF响应RSP，使得RSP解密一次性编程存储器OTP上的身份密钥密文，得到身份密钥；

所述S3.1进一步包含：

S3.1.1对随机数、存储密钥、身份ID信息进行加密运算，运用RSP作为密钥进行AES加密，生成信令msg1，再运用身份ID信息对挑战/应答和会话密钥加密，生成信令msg2，并将信令msg1、信令msg2上传到认证服务器。

5.根据权利要求4所述的基于可信执行环境的身份认证方法，其特征在于，所述S4进一步包含：

S4.1 若认证成功，则运用身份密钥对信令msg2解密，将解密结果中的挑战/应答和认证服务器对比，对比结果相等则解密结果中的session_key有效，并在后续的会话中使用，否则身份密钥被篡改，判定认证过程失败。

6.根据权利要求1所述的基于可信执行环境的身份认证方法，其特征在于，所述S5中更新挑战/应答对进一步包含：

S5.1 认证服务器上的挑战/应答对通过安全更新，实现挑战/应答对不重复，防止了重复攻击，保证了整个认证过程的真实性；

S5.2 将PUF与认证服务器配置在TEE中运行，实现认证服务器存储设备物理防克隆。