[发明专利]可信执行环境安全认证方法和装置及设备

说明书

本申请公开了一种可信执行环境安全认证方法和装置及设备。所述方法包括：接收来自外部访问模块的访问请求，所述访问请求中包含访问操作内容；获取外部访问模块的标识；将获取的外部访问模块的标识发送给认证中心进行外部访问模块的身份认证；如身份认证通过，从访问操作内容中判断访问类型；将所述访问类型发送给认证中心进行外部访问模块的权限认证；如权限认证通过，允许执行所述访问操作内容。本申请提出了一种更灵活的TEE安全认证方法，能够符合目前计算机发展多样化的信息认证需求。

技术领域

本公开一般涉及计算机技术领域，具体涉及网络信息安全领域，尤其涉及一种可信执行环境安全认证方法和装置。

背景技术

可信执行环境(TEE)是将高安全敏感的应用与通用的软件环境进行隔离，安全地提供访问硬件资源(如安全存储、安全显示和用户接口等)的能力。TEE为终端产品提供安全支撑，可以加快移动商务的发展速度。

目前的TEE基本上都是通过硬件物理隔离的方式将高安全敏感的应用与通用的软件环境进行隔离。处于隔离区之外的元件一律不许访问处于隔离区之内的受保护应用。但是，随着计算机系统的发展，这种绝对的隔离有可能阻碍元件之间的正常信息获取，例如在一定条件下应当允许隔离区外的元件访问隔离区内的部分元件。

因此，希望有一种更灵活的TEE安全认证方法，能够符合目前计算机发展多样化的信息认证需求。

发明内容

鉴于现有技术中的上述缺陷或不足，期望提供一种更灵活的TEE安全认证方法，能够符合目前计算机发展多样化的信息认证需求。

第一方面，本申请实施例提供了一种可信执行环境安全认证方法，所述方法包括：接收来自外部访问模块的访问请求，所述访问请求中包含访问操作内容；获取外部访问模块的标识；将获取的外部访问模块的标识发送给认证中心进行外部访问模块的身份认证；如身份认证通过，从访问操作内容中判断访问类型；将所述访问类型发送给认证中心进行外部访问模块的权限认证；如权限认证通过，允许执行所述访问操作内容。

第二方面，本申请实施例提供了一种可信执行环境安全认证方法，所述方法包括：接收来自受保护应用的访问该受保护应用的外部访问模块的标识；根据该外部访问模块的标识，执行外部访问模块的身份认证；如果身份认证通过，接收来自受保护应用的访问类型；根据该访问类型，执行外部访问模块的权限认证；如果权限认证通过，向受保护应用发送认证通过消息。

第三方面，本申请实施例提供了一种可信执行环境安全认证装置，所述装置包括：第一接收单元，配置用于接收来自外部访问模块的访问请求，所述访问请求中包含访问操作内容；获取单元，配置用于获取外部访问模块的标识；第一发送单元，配置用于将获取的外部访问模块的标识发送给认证中心进行外部访问模块的身份认证；判断单元，配置用于如身份认证通过，从访问操作内容中判断访问类型；第二发送单元，配置用于将所述访问类型发送给认证中心进行外部访问模块的权限认证；允许单元，配置用于如权限认证通过，允许执行所述访问操作内容。

第四方面，本申请实施例提供了一种可信执行环境安全认证装置，所述装置包括：第二接收单元，配置用于接收来自受保护应用的访问该受保护应用的外部访问模块的标识；第一执行单元，配置用于根据该外部访问模块的标识，执行外部访问模块的身份认证；第三接收单元，配置用于如果身份认证通过，接收来自受保护应用的访问类型；第二执行单元，配置用于根据该访问类型，执行外部访问模块的权限认证；第四发送单元，配置用于如果权限认证通过，向受保护应用发送认证通过消息。

第五方面，本申请实施例提供了一种设备，包括处理器、存储器和显示器；所述存储器包含可由所述处理器执行的指令以使得所述处理器执行：接收来自外部访问模块的访问请求，所述访问请求中包含访问操作内容；获取外部访问模块的标识；将获取的外部访问模块的标识发送给认证中心进行外部访问模块的身份认证；如身份认证通过，从访问操作内容中判断访问类型；将所述访问类型发送给认证中心进行外部访问模块的权限认证；如权限认证通过，允许执行所述访问操作内容。