[发明专利]客户端应用与可信应用的通信方法、系统以及终端

权利要求书

1.一种客户端应用与可信应用的通信方法，其特征在于，包括：

在客户端应用CA和可信应用TA中分别部署第一密钥参数和第二密钥参数；

所述CA与所述TA分别基于所述第一密钥参数和所述第二密钥参数进行双向身份认证；

所述第一密钥参数包括：厂商公钥，厂商公钥以及厂商私钥由TA提供商的TA管理根证书签发并在密钥管理中心生成，将所述厂商公钥存储在与所述CA相对应的CA程序中，其中，通过所述CA程序的发行、安装部署所述厂商公钥；

所述第二密钥参数包括：终端公钥、终端私钥、终端公钥签名值，在安装所述TA并进行首次运行时，在可信执行环境TEE环境中生成所述终端公钥、所述终端私钥，其中，所述终端公钥、所述终端私钥以持久化的方式存储在所述TA所处的可信执行环境TEE环境中，所述终端公钥签名值使用厂商私钥对所述终端公钥进行数字签名得到；

所述TA向所述CA发送第一验证信息，其中，所述第一验证信息包括：所述终端公钥和所述终端公钥签名值；

所述CA使用所述厂商公钥对所述终端公钥签名值进行验证，如果验证成功，则生成通道会话密钥；

所述CA使用所述终端公钥对第二验证信息进行加密并发送给所述TA，其中，所述第二验证信息包括：所述通道会话密钥、校验数据；

所述TA使用所述终端私钥对加密后的所述第二验证信息进行解密处理，如果对所述校验数据校验成功，则建立第一安全通道并向所述CA返回通道建立成功消息；

所述CA与所述TA通过所述第一安全通道传输进行数据交互，并基于所述通道会话密钥以及预设的通道传输规则对通过所述第一安全通道传输的数据进行加解密处理。

2.如权利要求1所述的方法，其特征在于，还包括：

在所述TA的个人化阶段中，所述TA和可信服务管理TAM服务器之间建立第二安全通道；

所述TA通过所述第二安全通道将所述终端公钥发送给所述TAM服务器，并通过所述第二安全通道接收所述TAM服务器发送的所述终端公钥签名值，其中，所述TAM服务器使用厂商私钥对所述终端公钥进行数字签名；

所述TA将所述终端公钥签名值采用持久化的方式进行存储。

3.如权利要求1所述的方法，其特征在于，还包括：

所述TA调用白盒加密库获取所述终端公钥签名值，其中，在所述白盒加密库中使用厂商私钥对所述终端公钥进行数字签名；

所述TA将所述终端公钥签名值采用持久化的方式进行存储。

4.如权利要求1所述的方法，其特征在于，还包括：

所述CA向所述TA发送建立安全通道命令，其中，所述建立安全通道命令包含与此CA对应的CA进程实例标识；

所述TA基于所述CA进程实例标识判断是否与所述CA已经建立了安全通道，如果是，则返回建立成功消息，如果否，则向所述CA发送所述第一验证信息，其中，所述第一验证信息还包括：所述CA的通道号。

5.如权利要求4所述的方法，其特征在于，还包括：

所述第二验证信息还包括：所述CA的通道号、所述CA进程实例标识；

所述通道会话密钥包括：随机数。

6.如权利要求1所述的方法，其特征在于，所述基于所述通道会话密钥以及预设的通道传输规则对通过所述第一安全通道传输的数据进行加解密处理包括：

基于所述通道会话密钥并采用预设的加密算法对在所述CA与所述TA之间的交互数据进行加解密处理；

将所述CA的通道号与加密后的交互数据通过所述第一安全通道在所述CA与所述TA之间进行传输。

7.如权利要求6所述的方法，其特征在于，所述基于所述通道会话密钥并采用预设的加密算法对在所述CA与所述TA之间的交互数据进行加解密处理包括：

使用所述通道会话密钥作为密钥，获取通道IV计数器的当前值作为IV，采用所述加密算法对所述交互数据以及校验数据进行加解密处理；

其中，所述加密算法包括：对称加密算法。