本發明公開了一種客戶端認證方法及計算機可讀存儲介質，方法包括：開發主機生成一對對應的公鑰和私鑰，并將公鑰保存到安全操作系統中；使用私鑰對客戶端軟件進行加密和簽名，得到加密后的客戶端軟件以及數字簽名；安全操作系統使用公鑰對加密后的客戶端軟件和數字簽名進行解密，得到客戶端軟件和第一摘要值；對解密得到的客戶端軟件進行摘要運算，得到第二摘要值；若第一摘要值與第二摘要值一致，則判定認證成功。本發明同時通過客戶端軟件和數字簽名進行身份認證，有效保證了安全性；由安全操作系統加載客戶端軟件，并認證和啟動客戶端軟件，可以有效地防止非法客戶端軟件鏈接上服務端軟件。

技術領域

本發明涉及trustzone技術領域，尤其涉及一種客戶端認證方法及計算機可讀存儲介質。

背景技術

Trustzone技術是ARM處理器上的一種可信區域技術，該技術可以把處理器上的硬件資源和軟件資源劃分成兩個運行環境：可信環境和非可信環境。可信環境下運行一個安全操作系統，非可信環境下運行一個普通操作系統。使用trustzone技術可以把重要的資源放在可信環境下，因為非可信環境下的普通操作系統無法訪問可信環境下的資源，這樣可以保證重要資源免受來自普通環境下的惡意攻擊。如果普通操作系統的軟件需要訪問可信環境下的資源，就需要間接的通過可信環境下的安全操作系統的軟件來完成安全資源訪問，這里把運行在普通操作系統的軟件稱為客戶端軟件，而運行在安全操作系統下的軟件稱為服務端軟件，安全操作系統和普通操作系統之間的通信是通過處理器上的共享內存實現。

客戶端軟件在請求服務端軟件完成某種安全操作之前，首先需要鏈接上對應的服務端軟件，同時服務端軟件只接受來自合法身份的客戶端軟件的訪問請求，所以在客戶端軟件鏈接上服務端軟件之前，安全操作系統需要驗證客戶端軟件的身份合法性，認證通過后，客戶端才能和服務端進行通信請求。

目前身份認證方法主要有：

1、密碼方式。即客戶端軟件發送一段密碼給服務端軟件，服務端軟件根據密碼的正確性來判斷客戶端的合法性。如果密碼不是手動方式輸入，就需要在設備上存儲密碼，存儲在設備上的密碼很容易被破解或者盜取。

2、認證中心方式。客戶端軟件需要從網絡認證中心獲取數字證書，再把數字證書發送給服務端，服務端再根據這個數字證書進行認證。這種方式需要引入第三方認證中心，對設備及環境要求較高，認證過程需要處于聯網狀態。

3、客戶端和服務端互相認證方式。這種方法實質上是方式2，客戶端和服務端持有代表各自身份的數字證書(可能是由第三方認證中心頒布給客戶端和服務端的，客戶端和服務端各自保存)，然后客戶端和服務端把各自的數字證書發送給對方，通過接收到的數字證書來驗證彼此之間的合法性。

在公開號為CN105959286A的中國專利公開文件中，公開了基于證書密鑰緩存的快速身份認證方法，客戶端把自身的數字證書發送給服務端，服務端通過存儲的證書鏈來判斷這個數字證書的合法性從而判斷客戶端的合法性，其特征有兩個：其一，客戶端在通過認證之前已經可以運行，即客戶端先運行后認證；其二，客戶端只發送數字證書給服務端，服務端只根據這個數字證書來判斷客戶端的合法性。這種方式適合于遠程認證方式，但是存在一個隱患，就是如果運行客戶端的設備上同時有一個流氓軟件，這個流氓軟件可以竊取客戶端的數字證書，流氓軟件就可以給服務端發送這個數字證書，而服務端可以認為當前的流氓軟件是合法的。因此，該方案無法保證安全性。

發明內容

本發明所要解決的技術問題是：提供一種客戶端認證方法及計算機可讀存儲介質，適用于處于單機狀態下的客戶端身份認證，且不失安全性。

為了解決上述技術問題，本發明采用的技術方案為：一種基于trustzone的客戶端認證方法，包括：

開發主機生成一對對應的公鑰和私鑰，并將所述公鑰保存到安全操作系統中；

使用所述私鑰對客戶端軟件進行加密和簽名，得到加密后的客戶端軟件以及所述客戶端軟件的數字簽名；