本发明专利技术涉及令牌产生方法以及基于该令牌产生方法的通信系统。该令牌产生方法包括下述步骤:令牌计算发起步骤,由应用客户端发起令牌计算并调用可信应用,其中,应用客户端提供客户端信息;可信应用附加信息获取步骤,可信应用在TEE环境中获取可信附加信息;以及令牌计算产生步骤,运行于安全单元中的应用根据所述客户端信息和所述可信附加信息实施令牌计算并获得令牌。根据本发明专利技术能够生成安全性更高的令牌,能够提高利用令牌进行的数据交互的安全性。
【技术实现步骤摘要】
本专利技术涉及移动通信技术,特别地涉及一种脱机安全产生令牌(Token)的方法以及基于该令牌产生方法的通信系统。
技术介绍
在诸如智能卡、电子证件等在认证系统中,为了保证数据传输的安全性,会采用令牌(Token)进行认证。当前,作为应用软件在智能设备上产生令牌的方式,一般是在REE(RichExecution Environment,富执行环境)环境中产生,结合软件账号与设备的绑定通过一定的算法来产生令牌。该方式优点是实现较为简单,能实现脱机环境(无需联网)下的令牌的产生。然而,该方案的缺点是由于产生令牌的算法以及密钥是运行于REE环境,容易被反编译,被调试从而泄漏产生令牌的算法以及密钥,对于整个系统的安全性产生极大的影响。
技术实现思路
鉴于上述问题, 本专利技术旨在提供一种安全性高的令牌产生方法以及基于该令牌产生方法的通信系统。本专利技术的在终端设备产生令牌的令牌产生方法,该终端设备包括:应用客户端、位于TEE环境中的可信应用以及运行于安全单元中的应用,其特征在于,包括下述步骤:令牌计算发起步骤,由应用客户端发起令牌计算并调用可信应用,其中,应用客户端提供客户端信息;可信应用附加信息获取步骤,可信应用在TEE环境中获取可信附加信息;以及令牌计算产生步骤,运行于安全单元中的应用根据所述客户端信息和所述可信附加信息实施令牌计算并获得令牌。优选地,在所述令牌计算发起步骤之前还具备:密钥预置步骤,将用于产生令牌的密钥预先写入运行于安全单元中的应用之中。优选地,所述运行于安全单元中的应用利用规定算法对所述客户端信息和可信附加信息使用保存于该应用中的所述密钥进行加密运算得到令牌。优选地,所述可信应用集成在终端设备中或者能够通过在线下载或更新到终端设备中。优选地,所述客户端信息包括帐号信息以及/或者终端信息。优选地,所述可信附加信息包括可信时间、可信地理位置、随机数中的一种或多种。本专利技术的通信系统,该通信系统具备可信服务管理服务器和终端设备,其特征在于,所述终端设备包括:应用客户端,用于提供客户端信息;位于TEE环境中的可信应用,用于获取可信附加信息并且将所述可信附加信息以及由所述应用客户端提供的客户端信息提供给下述的应用;以及运行于安全单元中的应用,用于根据所述客户端信息和所述可信附加信息实施令牌计算并获得令牌。优选地,所述可信服务管理服务器用于签发用于计算令牌的密钥,所述应用用于储存所述密钥并且所述应用利用规定算法对所述客户端信息和所述可信附加信息使用储存于该应用中的所述密钥进行加密运算得到令牌。优选地,所述可信附加信息包括可信时间、可信地理位置、随机数中的一种或多种,所述客户端信息包括帐号信息以及/或者终端信息。优选地,所述可信应用集成在终端设备中或者能够通过在线下载或更新到终端设备中。如上所述,根据本专利技术的令牌产生方法以及基于该令牌产生方法的通信系统,通过在令牌的计算过程中,添加客户端信息以及可信时间可信地址或者随机数等的因此,能够提供一种安全性更高的令牌,由此,能够提高数据传输的安全性。根据本专利技术的令牌产生方法产生的令牌能够应用于安全级别高的应用场景,例如,在线支付、在线身份认证等,能够提高支付的安全性。附图说明图1是示意了基于本专利技术的令牌产生方法的通信系统。图2是本本专利技术的令牌产生方法的流程图。具体实施方式下面介绍的是本专利技术的多个实施例中的一些,旨在提供对本专利技术的基本了解。并不旨在确认本专利技术的关键或决定性的要素或限定所要保护的范围。本专利技术的目的在于,基于可信执行环境(Trusted Execution Environment,TEE)以及安全单元(Security Element,SE)环境,依托于TEE环境的可信时间、可信地理位置及随机数等的因子、以及安全单元的高安全性等能力,实现高安全性的脱机令牌产生方法。本专利技术中,TEE环境中的可信应用产生可信时间以及可信地理位置等的附加信息作为安全因子,同时加上应用软件账号信息以及/终端设备ID(包括但不限于:IMEI,硬件ID等) 等的运算因子,使用保存于安全单元中的密钥和算法对这些因子进行加密运算(这里的算法包含但不限于对称加密、非对称加密、Hash运算等),由此得到令牌。另一方面,可信服务管理服务器使用相同的方法解密令牌进行认证。接着,对于基于本专利技术的令牌产生方法的通信系统进行具体说明。图1是示意了基于本专利技术的令牌产生方法的通信系统。如图1所示,本专利技术的通信系统具备可信服务管理服务器100和终端设备200。其中,终端设备200具备:REE应用客户端210、可信应用220以及安全单元230。终端设备200例如有智能手机、智能手表、平板电脑等等。其中,REE应用客户端210用于提供客户端信息并且用于发起令牌计算并调用可信应用220。REE应用客户端210将获取的客户端信息,例如,帐号信息以及或者终端信息作为令牌运算因子送入可信应用220。在本专利技术中,可信应用220可以是预先集成在终端设备中,也可以是通过在线下载到终端设备200中。而且,在本专利技术中可信应用220设置在TEE环境中。TEE(TrustedExecution Environment,可信执行环境)是指在终端设备内的一个独立的安全运行环境,该环境与正常的应用运行环境REE(Rich Execution Environment)逻辑隔离,只能通过授权的API进行交互。TEE可以支持安全启动、安全应用管理等安全特性。由于TEE环境是安全环境,因此,TEE环境中的可信应用220获取的可信时间、可信位置等信息被认为是安全的。在由REE应用客户端210发起令牌计算的情况下,REE应用客户端210调用可信应用220的接口,可信应用220收到请求后,获取可信时间、可信位置、以及随机数等的可信附加信息作为安全因子,加上从REE应用客户端210提供的帐号信息以及或者终端信息等的运算因子组装成令牌计算因子送入安全单元210的应用211中进行令牌计算。在安全单元210中运行的应用221,其安装与个人化是通过可信服务管理服务器100将应用221下载到安全单元210中而实现的,同时将用于计算令牌的密钥也安全地写入到安全单元210的应用221中。在本专利技术中应用221不仅用于储存计算令牌的密钥,而且还用于实现令牌的计算,同时,也具备更新密钥的能力。这样,在计算令牌时,应用221对于应用软件账号信息和/或终端设备ID(包括但不限于:IMEI,硬件ID等)等的运算因子,加上来自可信应用220的可信时间以及可信位置等的安全因子,使用保存的密钥和算法对这两方面的因子进行加密运算,得到令牌。这里,所采用的算法包含但不限于对称加密、非对称加密、Hash运算等。由于在令牌的计算中除了运算因子还增加了安全因子,由此,能够提高令牌的安全性。而且,计算时采用的密钥也能够被更新,由此,能够更进一步提高安全性。接着,对于本专利技术的令牌产生方法进行说明。图2是本专利技术的令牌产生方法的流程图。如图2所示,本专利技术的令牌产生方法包括下述步骤:令牌计算发起步骤S100:由REE应用客户端210发起令牌计算并调用可信应用220,其中,REE应用客户端210提供客户端信息;可信应用附加信息获取步骤S200,可信应用210在TEE环境中获取可信附加信息;以及令牌本文档来自技高网...
【技术保护点】
一种在终端设备产生令牌的令牌产生方法,该终端设备包括:应用客户端、位于TEE环境中的可信应用以及运行于安全单元中的应用,其特征在于,包括下述步骤:令牌计算发起步骤,由应用客户端发起令牌计算并调用可信应用,其中,应用客户端提供客户端信息作为运算因子;可信应用附加信息获取步骤,可信应用在TEE环境中获取可信应用附加信息作为安全因子;以及令牌计算产生步骤,运行于安全单元中的应用对于所述运算因子增加所述安全因子实施令牌计算并获得令牌。
【技术特征摘要】
1.一种在终端设备产生令牌的令牌产生方法,该终端设备包括:应用客户端、位于TEE环境中的可信应用以及运行于安全单元中的应用,其特征在于,包括下述步骤:令牌计算发起步骤,由应用客户端发起令牌计算并调用可信应用,其中,应用客户端提供客户端信息作为运算因子;可信应用附加信息获取步骤,可信应用在TEE环境中获取可信应用附加信息作为安全因子;以及令牌计算产生步骤,运行于安全单元中的应用对于所述运算因子增加所述安全因子实施令牌计算并获得令牌。2.如权利要求1所述的在终端设备产生令牌的令牌产生方法,其特征在于,在所述令牌计算发起步骤之前还具备:密钥预置步骤,将用于产生令牌的密钥预先写入运行于安全单元中的应用之中。3.如权利要求2所述的在终端设备产生令牌的令牌产生方法,其特征在于,所述运行于安全单元中的应用利用规定算法对所述运算因子和所述安全因子使用保存于该应用中的所述密钥进行加密运算得到令牌。4.如权利要求1~3任意一项所述的在终端设备产生令牌的令牌产生方法,其特征在于,所述可信应用集成在终端设备中或者能够通过在线下载或更新到终端设备中。5.如权利要求1~3任意一项所述的在终端设备产生令牌的令牌产生方法,其特征在于...
【专利技术属性】
技术研发人员:姜波,韩医徽,方琍,李川川,王巨,张海洋,章勇,
申请(专利权)人:深圳市雪球科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。