本發明涉及信息安全領域，尤其涉及一種基于可信執行環境的免密認證方法及系統，該方法為終端接收用戶輸入的生物特征，并通過本地認證功能驗證生物特征是否合法，當驗證合法時向智能密鑰設備發送獲取待簽名數據請求，智能密鑰設備生成待簽名數據，并將待簽名數據發送給所述終端；終端在可信執行環境中查找私鑰，使用私鑰對待簽名數據進行簽名得到簽名值，并將簽名值發送給智能密鑰設備；智能密鑰設備使用公鑰對簽名值進行驗簽，當驗簽成功則免密驗證成功，本發明將由智能密鑰設備執行的驗證個人識別碼流程由終端支持的本地認證功能代替，簡化了用戶操作。

技術領域

本發明涉及信息安全領域，尤其涉及一種基于可信執行環境的免密認證方法及系統。

背景技術

目前，隨著計算機技術的快速發展，網上銀行(簡稱網銀)越來越普及，有更多的人開始使用這種方便快捷的網銀服務，如個人網上銀行、企業網上銀行、手機銀行等；

目前，網上銀行在安全認證方面多采用數字證書，數字證書的載體多為智能密鑰設備，而個人識別碼相當于訪問智能密鑰設備的鑰匙；智能密鑰設備需要授權才可以使用，授權過程即為驗證個人識別碼流程，在進行網上交易時，每筆交易都要多次輸入個人識別碼進行驗證，操作比較繁瑣，且手動輸入容易出錯，用戶體驗感較差。

發明內容

本發明的目的是為了克服現有技術的缺陷，提出一種基于可信執行環境的免密認證方法及系統。

一種基于可信執行環境的免密認證方法，包括：

步驟S1、終端接收用戶輸入的生物特征，并通過本地認證功能驗證生物特征是否合法，是則向智能密鑰設備發送獲取待簽名數據請求，執行步驟S2；否則免密認證失敗，結束；

步驟S2、智能密鑰設備生成待簽名數據，并將待簽名數據發送給終端；

步驟S3、終端在可信執行環境中查找私鑰，使用查找到的私鑰對待簽名數據進行簽名得到簽名值，并將簽名值發送給智能密鑰設備；

步驟S4、智能密鑰設備使用公鑰對簽名值進行驗簽，判斷是否驗簽通過，是則向終端發送驗簽通過響應，結束；否則向終端發送驗簽失敗響應，結束。

一種基于可信執行環境的免密認證系統，包括終端和智能密鑰設備；

終端包括第一免密認證模塊；智能密鑰設備包括第二免密認證模塊；

第一免密認證模塊包括：

第一接收單元，用于接收用戶輸入的生物特征；還用于接收智能密鑰設備發送的待簽名數據；

第一生物特征驗證單元，用于通過本地認證功能驗證第一接收單元接收到的所述生物特征是否合法；

第一發送單元，用于當第一生物特征驗證單元驗證所述生物特征合法之后向智能密鑰設備發送獲取待簽名數據請求；還用于向智能密鑰設備發送簽名單元生成的所述簽名值；

簽名單元，用于當第一接收單元接收到待簽名數據時，在可信執行環境中查找私鑰，使用查找到的私鑰對待簽名數據進行簽名得到簽名值；

第二免密認證模塊包括：

第二接收單元，用于接收終端發送的獲取待簽名數據請求；還用于接收所述終端發送的簽名值；

待簽名數據生成單元，用于當第二接收單元接收到獲取待簽名數據請求時生成待簽名數據；

第二發送單元，用于將待簽名數據生成單元生成待簽名數據發送給終端；還用于當驗簽單元判定驗簽通過時，向終端發送驗簽通過響應；還用于當驗簽單元判定驗簽未通過時，向終端發送驗簽失敗響應；

驗簽單元，用于當第二接收單元接收到的簽名值時，使用公鑰對簽名值進行驗簽，判斷是否驗簽通過。