本發明涉及計算機軟件和硬件信息安全技術領域，其公開了一種基于TEE的可信遠程驗證的方法，有效的解決遠程驗證的安全性和穩定性的問題。本發明將原始數據或關鍵程序分別存儲在客戶端和服務器，并在服務器中計算數據摘要并存儲。利用終端可信執行環境TEE的安全特性，將密鑰生成、摘要生成和簽名生成的過程完全置于TEE側，定期向服務器發送數據摘要及簽名，可以在執行的時候保證摘要和簽名數據不被截取和不被篡改，防止第三方應用在計算摘要和簽名過程中對存儲區的敏感數據進行修改，這樣有效抵抗了第三方在終端惡意篡改數據，能夠完全做到可信遠程驗證。

技術領域

本發明涉及計算機軟件和硬件信息安全技術領域，具體涉及一種基于TEE(可信執行環境)的可信遠程驗證的方法。

背景技術

通常在對數據完整性和穩定性的校驗中，都是在REE(普通執行環境)側生成校驗和或數據摘要來完成的，但是這些校驗和、摘要在REE側生成時就可能會被篡改。從而影響用戶隱私數據、密鑰數據的安全性。

TEE技術可以保證數據在計算過程中的安全，防止第三方在運算過程中或在存儲區修改敏感數據信息，有效抵抗第三方在終端惡意篡改數據，能夠做到硬件級安全。

因此，本申請有必要提出一種基于TEE的可信遠程驗證的方法。

發明內容

本發明所要解決的技術問題是：提供一種基于TEE的可信遠程驗證的方法，有效的解決遠程驗證的安全性和穩定性的問題。

本發明解決上述技術問題所采用的技術方案是：

基于TEE的可信遠程驗證的方法，包括以下步驟：

a.服務器在其TEE側對數據進行摘要計算并存儲；

b.客戶端在其TEE側生成公私鑰對后發布公鑰；

c.服務器保存客戶端的公鑰；

d.客戶端向服務器發送驗證請求；

e.服務器在收到客戶端發來的驗證請求后向客戶端發送本次要驗證的數據在客戶端的存放地址；

f.客戶端根據所述存放地址找到對應數據后，在其TEE側計算其摘要，并用私鑰簽名，然后發送到服務器；

g.服務器接收到數據后對數據進行拆幀，在其TEE側比對摘要是否正確，然后檢查簽名是否正確，打印并向客戶端返回驗證結果；

h.客戶端在收到驗證結果后，間隔一段時間再次發起驗證。

作為進一步優化，所述服務器和客戶端同時持有相同數據信息。

作為進一步優化，步驟d中，所述客戶端循環定時向服務器發起驗證請求。

作為進一步優化，該方法適用于所有端到端的驗證服務。

作為進一步優化，所述數據為存儲的文件數據，或者存在客戶端上的所有敏感數據和關鍵程序。

本發明的有益效果是：

使用該方法對數據完整性和穩定性的遠程驗證進行保護，驗證中的計算和數據生成都放在TEE側可信執行環境，能夠有效的防止遠程驗證過程中的私密數據被第三方應用截取、篡改，可以保證隱私數據的安全性和認證結果的穩定性。

附圖說明

圖1為本發明中的基于TEE的可信遠程驗證的方法流程圖；

圖2為可信遠程驗證服務框架圖。

具體實施方式