本發(fā)明提供了一種基于可信執(zhí)行環(huán)境的認(rèn)證方法、裝置，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。方法包括：REE接收EAP?TLS服務(wù)器的EAP請求消息；向TEE發(fā)送TLS握手消息參數(shù)請求；TEE向REE發(fā)送TLS握手消息參數(shù)響應(yīng)；REE將TLS握手消息發(fā)給EAP?TLS服務(wù)器；REE接收EAP?TLS服務(wù)器的加密的身份信息；REE向TEE發(fā)TLS結(jié)束參數(shù)請求；TEE對加密后的身份信息進行解密，利用身份信息對EAP?TLS服務(wù)器進行身份驗證，向REE發(fā)送TLS結(jié)束參數(shù)響應(yīng)；REE向EAP?TLS服務(wù)器發(fā)送EAP響應(yīng)消息；REE接收EAP?TLS服務(wù)器的TLS結(jié)束信息。本發(fā)明的技術(shù)方案能夠確保設(shè)備身份的認(rèn)證安全可信。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是指一種基于可信執(zhí)行環(huán)境的認(rèn)證方法、裝置。

背景技術(shù)

TEE(Trust Execution Environment，可信執(zhí)行環(huán)境)能夠以硬件架構(gòu)背書提供不可被非法訪問、不可篡改的安全執(zhí)行環(huán)境。當(dāng)一臺設(shè)備中部署有TEE架構(gòu)時，該TEE架構(gòu)可被看作該設(shè)備的可信根。現(xiàn)有的TEE架構(gòu)有：TPM(可信平臺模塊)、SGX(軟件保護擴展)、TrustZone等。

EAP(使用可擴展的身份驗證)-TLS(傳輸層安全)協(xié)議是EAP協(xié)議的一種，該協(xié)議可工作于數(shù)據(jù)鏈路層。主要功能為對身份進行認(rèn)證。通常情況下，EAP-TLS協(xié)議只負(fù)責(zé)協(xié)議過程的安全性，對于peer節(jié)點的安全無法保證。也就是說，當(dāng)peer節(jié)點本身被攻破，則所運行的EAP-TLS協(xié)議無法保證安全。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是提供一種基于可信執(zhí)行環(huán)境的認(rèn)證方法、裝置，能夠確保終端在任何狀態(tài)下都可以判斷出小區(qū)廣播消息的真實性。

為解決上述技術(shù)問題，本發(fā)明的實施例提供技術(shù)方案如下：

一方面，提供一種基于可信執(zhí)行環(huán)境的認(rèn)證方法，應(yīng)用于終端，所述終端具有普通執(zhí)行環(huán)境REE和可信執(zhí)行環(huán)境TEE，所述方法包括：

所述REE接收EAP-TLS服務(wù)器發(fā)送的EAP請求消息，指示傳輸層安全TLS開始；

所述REE向所述TEE發(fā)送TLS握手消息參數(shù)請求；

所述TEE向所述REE發(fā)送TLS握手消息參數(shù)響應(yīng)，其中攜帶握手消息所需密鑰；

所述REE將TLS握手消息發(fā)送給EAP-TLS服務(wù)器；

所述REE接收所述EAP-TLS服務(wù)器發(fā)送的加密后的身份信息；

所述REE向所述TEE發(fā)送TLS結(jié)束參數(shù)請求，其中攜帶所述加密后的身份信息；

所述TEE對所述加密后的身份信息進行解密，利用所述身份信息對所述EAP-TLS服務(wù)器進行身份驗證，向所述REE發(fā)送TLS結(jié)束參數(shù)響應(yīng)，其中攜帶驗證結(jié)果和加密后的TEE證書；

所述REE向所述EAP-TLS服務(wù)器發(fā)送EAP響應(yīng)消息；

所述REE接收所述EAP-TLS服務(wù)器發(fā)送的TLS結(jié)束信息。

一些實施例中，所述REE接收EAP-TLS服務(wù)器發(fā)送的EAP請求消息之前，所述方法還包括：

所述REE接收EAP-TLS服務(wù)器發(fā)送的EAP-Request，其中攜帶終端的身份信息；

所述REE向所述EAP-TLS服務(wù)器返回EAP-Response。

一些實施例中，所述REE接收所述EAP-TLS服務(wù)器發(fā)送的TLS結(jié)束信息之后，所述方法還包括：

所述REE將加密的TLS應(yīng)用數(shù)據(jù)發(fā)送給TEE；

所述REE向所述EAP-TLS服務(wù)器發(fā)送空消息。