基于TEE环境的设备间交互授权方法、设备及可读存储介质与流程

基于tee环境的设备间交互授权方法、设备及可读存储介质
技术领域
1.本技术涉及网络安全技术领域，尤其涉及一种基于tee环境的设备间交互授权方法、设备及可读存储介质。


背景技术：

2.随着科技的快速发展，人们对于通信设备的依赖程度越来越高，因而设备间的安全授权问题也愈发成为人们关注的焦点，目前，通常采用wifi以及bt(bluetooth，蓝牙)等交互式授权方式，通过文本密码的验证完成设备间授权，以访问同一网络中的数据和信息，但是，由于文本密码是固定的，一旦具有安全风险的客户端完成授权连接后，极易泄露服务端中的文本密码，进而得以轻松盗取服务端中的数据和信息，所以导致设备间交互授权的安全性低。


技术实现要素：

3.本技术的主要目的在于提供一种基于tee环境的设备间交互授权方法、电子设备及可读存储介质，旨在解决现有技术中设备间交互授权安全性低的技术问题。
4.为实现上述目的，本技术提供一种基于tee环境的设备间交互授权方法，应用于服务端，所述基于tee环境的设备间交互授权方法包括：
5.若所述服务端对应的客户端为第一类客户端，则接收所述第一类客户端上传的第一临时证书；
6.当校验所述第一临时证书为有效证书时，通过判断所述第一类客户端上传的第一权限服务标识是否存在，确定是否授权所述第一类客户端；
7.若所述服务端对应的客户端为第二类客户端，则接收所述第二类客户端上传的第二权限服务标识；
8.依据所述第二权限服务标识和预设授权证书，生成第二临时证书，并将所述第二临时证书发送至所述第二类客户端，以供所述第二类客户端依据所述第二临时证书加密对应的设备信息，得到加密设备信息；
9.接收所述第二类客户端发送的加密设备信息，通过解析所述加密设备信息，确定是否授权所述第二类客户端。
10.可选地，在所述当校验所述第一临时证书为有效证书时，通过判断所述第一类客户端上传的第一权限服务标识是否存在，确定是否授权所述第一类客户端的步骤之前，所述基于tee环境的设备间交互授权方法还包括：
11.依据第一可信应用，校验所述第一临时证书进行是否为有效证书，得到校验结果，并将所述校验结果发送至所述第一类客户端；
12.接收所述第一类客户端上传的所述第一服务权限标识，其中，所述第一服务权限标识由所述第一类客户端确定接收到校验成功结果时上传。
13.可选地，所述接收所述第二类客户端发送的加密设备信息，通过解析所述加密设
备信息，确定是否授权所述第二类客户端的步骤包括：：
14.接收所述第二类客户端发送的加密设备信息，验证所述第二类客户端是否为可授权客户端；
15.若是，则依据所述第一可信应用，对所述加密设备信息进行解密，得到解密结果；
16.当所述解密结果为解密成功结果时，授权所述第二类客户端。
17.可选地，在所述接收所述第一类客户端上传的第一临时证书的步骤之前，所述基于tee环境的设备间交互授权方法还包括：
18.接收所述第一类客户端发送的第一授权请求，依据所述第一授权请求，判断所述第一类客户端对应的第一密钥文件是否解密成功；
19.若是，则建立第一通信通道。
20.可选地，在所述接收所述第二类客户端上传的第二权限服务标识的步骤之前，所述基于tee环境的设备间交互授权方法还包括：
21.接收所述第二类客户端发送的第二授权请求，依据所述第二授权请求，生成第二密钥文件；
22.当所述第二密钥文件发送至所述第二类客户端时，建立第二通信通道。
23.可选地，所述基于tee环境的设备间交互授权方法还包括：
24.依据所述服务端对应的设备信息生成根证书，并将所述根证书发送至所述第一可信应用，以供所述可信应用将所述根证书存储至预设存储分区；或
25.以所述服务端对应的设备信息为索引，查询得到根服务端依据证书链发送的服务端证书；
26.将所述服务端证书发送至所述第一可信应用，以供所述第一可信应用将所述服务端证书存储至所述预设存储分区。
27.为实现上述目的，本技术提供一种基于tee环境的设备间交互授权方法，应用于客户端，所述客户端包括第一类客户端和第二类客户端，所述基于tee环境的设备间交互授权方法包括：
28.若所述客户端为所述第一类客户端，则将第一临时证书发送至服务端，以供所述服务端校验所述第一临时证书是否为有效证书；
29.当接收到所述服务端校验所述第一证书为有效证书时，将第一权限服务标识发送至所述服务端，以供所述服务端通过判断所述第一权限服务标识是否存在，确定是否授权所述第一类客户端；
30.若所述客户端为所述第二类客户端，则将第二权限服务标识发送至所述服务端，以供所述服务端依据所述第二权限服务标识和预设授权证书，生成第二临时证书；
31.接收所述第二临时证书，依据所述第二临时证书对应的设备信息，得到加密设备信息；
32.将所述加密设备信息发送至所述服务端，以供所述服务端通过解析所述加密设备信息，确定是否授权所述第二类客户端。
33.可选地，所述接收所述第二临时证书，依据所述第二临时证书对应的设备信息，得到加密设备信息的步骤包括：
34.接收所述第二临时证书，将所述第二临时证书写入第二可信应用；
35.在所述第二可信应用中对所述第二临时证书对应的设备信息进行加密，得到所述加密设备信息。
36.为实现上述目的，本技术还提供一种基于tee环境的设备间交互授权装置，所述基于tee环境的设备间交互授权装置应用于服务端，所述基于tee环境的设备间交互授权装置包括：
37.第一接收模块，用于若所述服务端对应的客户端为第一类客户端，则接收所述第一类客户端上传的第一临时证书；
38.第一授权模块，用于当校验所述第一临时证书为有效证书时，通过判断所述第一类客户端上传的第一权限服务标识是否存在，确定是否授权所述第一类客户端；
39.第二接收模块，用于若所述服务端对应的客户端为第二类客户端，则接收所述第二类客户端上传的第二权限服务标识。
40.生成模块，用于依据所述第二权限服务标识和预设授权证书，生成第二临时证书，并将所述第二临时证书发送至所述第二类客户端，以供所述第二类客户端依据所述第二临时证书加密对应的设备信息，得到加密设备信息；
41.第二授权模块，用于接收所述第二类客户端发送的加密设备信息，通过解析所述加密设备信息，确定是否授权所述第二类客户端；
42.可选地，所述基于tee环境的设备间交互授权装置还用于：
43.依据第一可信应用，校验所述第一临时证书进行是否为有效证书，得到校验结果，并将所述校验结果发送至所述第一类客户端；
44.接收所述第一类客户端上传的所述第一服务权限标识，其中，所述第一服务权限标识由所述第一类客户端确定接收到校验成功结果时上传。
45.可选地，所述第二授权模块还用于：
46.接收所述第二类客户端发送的加密设备信息，验证所述第二类客户端是否为可授权客户端；
47.若是，则依据所述第一可信应用，对所述加密设备信息进行解密，得到解密结果；
48.当所述解密结果为解密成功结果时，授权所述第二类客户端。
49.可选地，所述基于tee环境的设备间交互授权装置还用于：
50.接收所述第一类客户端发送的第一授权请求，依据所述第一授权请求，判断所述第一类客户端对应的第一密钥文件是否解密成功；
51.若是，则建立第一通信通道。
52.可选地，所述基于tee环境的设备间交互授权装置还用于：
53.接收所述第二类客户端发送的第二授权请求，依据所述第二授权请求，生成第二密钥文件；
54.当所述第二密钥文件发送至所述第二类客户端时，建立第二通信通道。
55.可选地，所述基于tee环境的设备间交互授权装置还用于：
56.依据所述服务端对应的设备信息生成根证书，并将所述根证书发送至所述第一可信应用，以供所述可信应用将所述根证书存储至预设存储分区；或
57.以所述服务端对应的设备信息为索引，查询得到根服务端依据证书链发送的服务端证书；
58.将所述服务端证书发送至所述第一可信应用，以供所述第一可信应用将所述服务端证书存储至所述预设存储分区。
59.为实现上述目的，本技术还提供一种基于tee环境的设备间交互授权装置，所述基于tee环境的设备间交互授权装置应用于客户端，所述客户端包括第一类客户端和第二类客户端，所述基于tee环境的设备间交互授权装置包括：
60.第一发送模块，用于若所述客户端为所述第一类客户端，则将第一临时证书发送至服务端，以供所述服务端校验所述第一临时证书是否为有效证书；
61.第二发送模块，用于当接收到所述服务端校验所述第一证书为有效证书时，将第一权限服务标识发送至所述服务端，以供所述服务端通过判断所述第一权限服务标识是否存在，确定是否授权所述第一类客户端；
62.第三发送模块，用于若所述客户端为所述第二类客户端，则将第二权限服务标识发送至所述服务端，以供所述服务端依据所述第二权限服务标识和预设授权证书，生成第二临时证书；
63.第一接收模块，用于接收所述第二临时证书，依据所述第二临时证书对应的设备信息，得到加密设备信息；
64.第二发送模块，用于将所述加密设备信息发送至所述服务端，以供所述服务端通过解析所述加密设备信息，确定是否授权所述第二类客户端。
65.可选地，所述第一接收模块还用于：
66.接收所述第二临时证书，将所述第二临时证书写入第二可信应用；
67.在所述第二可信应用中对所述第二临时证书对应的设备信息进行加密，得到所述加密设备信息。
68.本技术还提供一种电子设备，所述电子设备包括：存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的所述基于tee环境的设备间交互授权方法的程序，所述基于tee环境的设备间交互授权方法的程序被处理器执行时可实现如上述的基于tee环境的设备间交互授权方法的步骤。
69.本技术还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有实现基于tee环境的设备间交互授权方法的程序，所述基于tee环境的设备间交互授权方法的程序被处理器执行时实现如上述的基于tee环境的设备间交互授权方法的步骤。
70.本技术还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述的基于tee环境的设备间交互授权方法的步骤。
71.本技术提供了一种基于tee环境的设备间交互授权方法、电子设备及可读存储介质，也即，若所述服务端对应的客户端为第一类客户端，则接收所述第一类客户端上传的第一临时证书，进而当校验所述第一临时证书为有效证书时，通过判断所述第一类客户端上传的第一权限服务标识是否存在，确定是否授权所述第一类客户端，即可实现基于验证临时证书的有效性完成服务端与第一类客户端之间的交互授权的目的，若所述服务端对应的客户端为第二类客户端，则接收所述第二类客户端上传的第二权限服务标识，进而依据所述第二权限服务标识和预设授权证书，生成第二临时证书，并将所述第二临时证书发送至所述第二类客户端，以供所述第二类客户端依据所述第二临时证书加密对应的设备信息，得到加密设备信息，进而接收所述第二类客户端发送的加密设备信息，通过解析所述加密
设备信息，确定是否授权所述第二类客户端，即可实现基于服务端的可信应用生成的临时证书完成服务端与第二类端之间的交互授权的目的，由于服务端为授权设备，客户端为待授权设备，其中，第一类客户端为内置证书的待授权设备，第二类客户端为未内置证书的待授权设备，而临时证书的校验或生成都是基于tee(trusted execution environment，可信执行环境)运行的ta(trusted application，可信应用)完成的，而ta能够保证写入的数据无法被篡改，所以克服了现有技术中设备间交互授权过程中服务端的数据信息易被盗取的技术缺陷，所以提升了设备间交互授权的安全性。
附图说明
72.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。
73.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
74.图1为本技术基于tee环境的设备间交互授权方法第一实施例的流程示意图；
75.图2为本技术基于tee环境的设备间交互授权方法第二实施例的流程示意图；
76.图3为本技术实施例中基于tee环境的设备间交互授权方法涉及的硬件运行环境的设备结构示意图。
77.本技术目的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
78.为使本发明的上述目的、特征和优点能够更加明显易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其它实施例，均属于本发明保护的范围。
79.实施例一
80.本技术实施例提供一种基于tee环境的设备间交互授权方法，在本技术基于tee环境的设备间交互授权方法的第一实施例中，参照图1，所述基于tee环境的设备间交互授权方法应用于服务端，包括：
81.步骤s10，若所述服务端对应的客户端为第一类客户端，则接收所述第一类客户端上传的第一临时证书；
82.在本实施例中，需要说明的是，所述服务端和所述客户端均为集成ta(trusted application，可信应用)与应用软件的设备，其中，所述服务端为授权设备，所述服务端的应用包括sa(server application，服务端应用)和ta，其中，所述sa为运行在ree(rich execution environment，丰富应用环境)中的授权应用，ta为运行在tee中的授权应用，所述客户端为待授权设备，所述客户端的应用包括ca(client application，客户端应用)和ta，所述客户端包括第一类客户端以及第二类客户端，其中，第一类客户端为内置证书的待授权设备，第二类客户端为未内置证书的待授权设备，所述第一临时证书为内置证书的客
户端使用存储于ta中的客户端证书生成的临时证书。
83.另外地，需要说明的是，所述服务端用于为客户端进行授权，可以为根服务端或初级服务端，所述根服务端为内置证书的顶级的服务提供设备，所述初级服务端为获得根服务端授权的服务端设备或客户端设备，当初级服务端作为服务端对客户端进行授权，且客户端内置证书时，则客户端为次级服务端，所述服务端在生产过程中烧录了可信任的证书，并且具备配置其授权的下级设备的授权时效、授权能力以及权限等功能，例如，假设服务端未赋予其授权的下级设备授权能力，则所述下级设备无法成为服务端。
84.示例性的，若识别出所述服务端对应的客户端为内置证书的客户端，则接收所述内置证书的客户端上传的第一临时证书，其中，所述识别的方式可以为基于加密通信通道传输的数据信息进行识别的方式，所述加密通信通道可以为https安全通信链接。
85.关于步骤s10，在接收所述第一类客户端上传的第一临时证书的步骤之前，所述基于tee环境的设备间交互授权方法还包括：
86.步骤a10，接收所述第一类客户端发送的第一授权请求，依据所述第一授权请求，判断所述第一类客户端对应的第一密钥文件是否解密成功；
87.步骤a20，若是，则建立第一通信通道。
88.在本实施例中，需要说明的是，所述第一通信通道用于通过rsa公钥加密算法进行服务端和第一类客户端之间的通信，所述第一密钥文件为基于用户的密码和待加密信息生成的一段json，所述第一授权请求为安全授权请求，例如，假设同一厂家生产的设备a和设备b，在生产的过程中均烧录了可信任证书，则设备a作为服务端接收到设备b发送的第一授权请求为安全授权请求。
89.示例性的，当接收内置证书的客户端发送的安全授权请求，则验证所述服务端对应的私钥能够解密所述内置证书的客户端的公钥；若所述服务端应用端对应的私钥能够解密所述内置证书的客户端的公钥，则判定所述客户端对应的待服务端为可信任设备，并建立所述第一通信通道；若所述服务端应用端对应的私钥不能够解密所述内置证书的客户端的公钥，则判定所述客户端对应的待服务端为非法设备，其中，所述接收的方式可以为服务端周期性监听客户端的方式，所述解密的方式可通过编写代码程序的方式。
90.步骤s20，当校验所述第一临时证书为有效证书时，通过判断所述第一类客户端上传的第一权限服务标识是否存在，确定是否授权所述第一类客户端；
91.在本实施例中，需要说明的是，所述有效证书为所述服务端依据服务端证书签发的证书，所述第一权限服务标识用于标识内置证书的客户端向服务端应用端发送的权限服务配置范围，具体可以为pmc(permission code，权限码)等，所述授权的方式可以为服务端应用端为客户端提供权限服务标识对应的服务权限，例如，假设权限服务标识为存储权限，若服务端应用端存在所述权限服务标识，则所述服务端应用端向客户端提供存储权限。
92.示例性的，当校验到所述第一临时证书为有效证书时，通过判断第一权限服务标识是否存在，确定是否授权所述客户端，其中，所述校验的方式可以为通过监听验证结果的方式，所述证书信息包括用户信息、用户公钥以及ca签名等等，所述授权的内容可以为通过授权存储权限、授权权限以及浏览权限等。
93.关于步骤s20，在所述当校验所述第一临时证书为有效证书时，通过判断所述第一类客户端上传的第一权限服务标识是否存在，确定是否授权所述第一类客户端的步骤之
前，所述基于tee环境的设备间交互授权方法还包括：
94.步骤b10，依据第一可信应用，校验所述第一临时证书进行是否为有效证书，得到校验结果，并将所述校验结果发送至所述第一类客户端；
95.步骤b20，接收所述第一类客户端上传的所述第一服务权限标识，其中，所述第一服务权限标识由所述第一类客户端确定接收到校验成功结果时上传。
96.在本实施例中，需要说明的是，所述第一可信应用为服务端的ta，所述校验结果为校验成功结果或校验失败结果。
97.示例性的，调用服务端的ta，在所述ta中验证所述第一临时证书中的证书信息是否一致，若证书信息一致，则判定所述第一临时证书为有效证书，得到校验成功结果，若证书信息不一致，则判定所述第一临时证书为无效证书，得到校验失败结果，并将所述校验成功结果或校验失败结果发送至所述内置证书的客户端；接收所述内置证书的客户端上传的所述第一服务权限标识，其中，所述第一服务权限标识由所述内置证书的客户端确定接收到校验成功结果时上传，其中，所述上传的方式可以为基于第一通信通道通过sa上传的方式。
98.步骤s30，若所述服务端对应的客户端为第二类客户端，则接收所述第二类客户端上传的第二权限服务标识；
99.步骤s40，依据所述第二权限服务标识和预设授权证书，生成第二临时证书，并将所述第二临时证书发送至所述第二类客户端，以供所述第二类客户端依据所述第二临时证书加密对应的设备信息，得到加密设备信息；
100.在本实施例中，需要说明的是，所述第二类客户端为未内置证书的待授权设备，所述第二临时证书为服务端使用存储于ta中的预设授权证书生成的临时证书，所述预设授权证书为服务端在生产过程中烧录的数字设备证书，所述第二权限服务标识用于标识未内置证书的客户端向服务端发送的权限服务配置范围，具体可以为pmc(permission code，权限码)等，所述设备信息用于设备区分于同类设备的信息，所述加密设备信息为加密后的设备信息，例如，假设所述第二类客户端为机顶盒，则所述设备信息可以为stb id(机顶盒生产序列号)、ca id(机顶盒加密序列号)、imei(international mobile equipment identity，国际移动设备识别码)、scid(机顶盒加密卡序列号)等。
101.示例性的，若识别出所述服务端对应的客户端为未内置证书的客户端，则接收所述未内置证书的待服务端上传的第二权限服务标识；调用存储于所述服务端对应的ta中的预设授权证书，依据所述预设授权证书和所述第二权限服务标识，在所述ta中生成第二临时证书，并将所述第二临时证书发送至所述未内置证书的客户端，以供未内置证书的客户端依据所述第二临时证书加密对应的设备信息，得到加密后的设备信息，其中，所述加密的方式可以为通过rsa非对称加密算法加密的方式，所述上传及发送均可通过基于https安全链接通信的方式。
102.关于步骤s30，在所述接收所述第二类客户端上传的第二权限服务标识的步骤之前，所述基于tee环境的设备间交互授权方法还包括：
103.步骤c10，接收所述第二类客户端发送的第二授权请求，依据所述第二授权请求，生成第二密钥文件；
104.步骤c20，当所述第二密钥文件发送至所述第二类客户端时，建立第二通信通道。
105.在本实施例中，需要说明的是，所述第二通信通道用于服务端和第二类客户端之间进行通信，所述第二密钥文件为基于用户的密码和待加密信息生成的一段json，所述第二授权请求为安全连接请求，例如，假设不同厂家生产的设备a和设备b，在生产的过程中设备a烧录了可信任证书，设备b未烧录可信任证书，则设备a作为服务端接收到设备b发送的第二授权请求为安全连接请求。
106.示例性的，当接收未内置证书的客户端发送的安全连接请求，则在所述第一可信应用中依据所述安全连接请求，生成第二密钥文件；当所述第二密钥文件发送至所述未内置证书的客户端时，建立第二通信通道。
107.关于步骤a10或c10，在所述接收所述第一类客户端发送的第一授权请求或所述接收所述第二类客户端发送的第二授权请求的步骤之前，所述基于tee环境的设备间交互授权方法还包括：
108.步骤d10，依据所述服务端对应的设备信息生成根证书，并将所述根证书发送至所述第一可信应用，以供所述可信应用将所述根证书存储至预设存储分区；或
109.步骤d20，以所述服务端对应的设备信息为索引，查询得到根服务端依据证书链发送的服务端证书；
110.步骤d30，将所述服务端证书发送至所述第一可信应用，以供所述第一可信应用将所述服务端证书存储至所述预设存储分区。
111.在本实施例中，需要说明的是，所述证书链包括根证书、中间证书以及用户证书，所述生成的方式可以为通过openssl(open secure socket layer cipher library，公开安全套接字层密码库)的方式生成，所述服务端证书为所述证书链下发的中间证书，所述预设存储分区为所述第一可信应用的rpmb(replay protected memory block，重放保护内存块)分区，所述rpmb分区用于通过加密的方式保证写入的数据信息的安全性，所述是服务端可分为根服务端、第一级证书服务端、第二级证书服务端等等，其中，所述根服务端为最先得到授权的设备。
112.示例性的，当所述服务端为根服务端时，依据所述根服务端的设备信息生成根证书，并将所述根证书发送至所述根服务端对应的可信应用，以供所述可信应用将所述根证书存储至rpmb分区；当所述服务端不为根服务端时，则以所述服务端的设备信息为索引，查询所述服务端对应的根服务端的预设键值对数据库，在所述预设键值对数据库中得到所述根服务端依据证书链发送的服务端证书；将所述服务端证书发送至所述服务端对应的可信应用，以供所述可信应用将所述服务端证书存储至rpmb分区，其中，所述预设键值对数据库用于存储根服务端的根证书与完成授权的子设备的中间证书的映射关系，所述查询的方式可以为通过键值对查询的方式，其中，以所述服务端的设备信息为键，以服务端证书为值。
113.步骤s50，接收所述第二类客户端发送的加密设备信息，通过解析所述加密设备信息，确定是否授权所述第二类客户端。
114.示例性的，基于所述sa接收所述未内置证书的客户端发送的加密设备信息，通过所述第一可信应用解析所述加密后的设备信息，若所述加密后的设备解析成功，则授权所述未内置证书的客户端，若所述加密后的设备信息解析失败，则不授权所述未内置证书的客户端，其中，所述授权的具体内容可以为存储权限以及浏览权限等等，其中，所述服务权限不包括授权权限。
115.关于步骤s50，所述接收所述第二类客户端发送的加密设备信息，通过解析所述加密设备信息，确定是否授权所述第二类客户端的步骤包括：
116.步骤s51，接收所述第二类客户端发送的加密设备信息，验证所述第二类客户端是否为可授权客户端；
117.步骤s52，若是，则依据所述第一可信应用，对所述加密设备信息进行解密，得到解密结果；
118.步骤s53，当所述解密结果为解密成功结果时，授权所述第二类客户端。
119.在本实施例中，需要说明的是，所述可授权客户端为服务端可以授予服务权限的客户端，其中，所述客户端可以为一个或多个，所述解密结果包括解密成功结果或解密失败结果。
120.示例性的，接收所述未内置证书的客户端上传的所述加密后的设备信息，判断所述未内置证书的客户端是否为可以授权的客户端；若所述未内置证书的客户端为可以授权的客户端，则调用所述服务端对应的可信应用对所述加密后的设备信息进行解密，得到所述解密成功结果或解密失败结果；当所述解密结果为解密成功结果时，则授权所述未内置证书的客户端，其中，所述判断的方式可以为判断功能权限以及权限期限等等，所述加密以及解密的方式可通过非对称加密算法的方式，所述授权的内容可以为存储权限以及浏览权限等等，其中，所述服务权限不包括授权权限。
121.本技术提供了一种基于tee环境的设备间交互授权方法、电子设备及可读存储介质，也即，若所述服务端对应的客户端为第一类客户端，则接收所述第一类客户端上传的第一临时证书，进而当校验所述第一临时证书为有效证书时，通过判断所述第一类客户端上传的第一权限服务标识是否存在，确定是否授权所述第一类客户端，即可实现基于验证临时证书的有效性完成服务端与第一类客户端之间的交互授权的目的，若所述服务端对应的客户端为第二类客户端，则接收所述第二类客户端上传的第二权限服务标识，进而依据所述第二权限服务标识和预设授权证书，生成第二临时证书，并将所述第二临时证书发送至所述第二类客户端，以供所述第二类客户端依据所述第二临时证书加密对应的设备信息，得到加密设备信息，进而接收所述第二类客户端发送的加密设备信息，通过解析所述加密设备信息，确定是否授权所述第二类客户端，即可实现基于服务端的可信应用生成的临时证书完成服务端与第二类端之间的交互授权的目的，由于服务端为授权设备，客户端为待授权设备，其中，第一类客户端为内置证书的待授权设备，第二类客户端为未内置证书的待授权设备，而临时证书的校验或生成都是基于tee(trusted execution environment，可信执行环境)运行的ta(trusted application，可信应用)完成的，而ta能够保证写入的数据无法被篡改，所以克服了现有技术中设备间交互授权过程中服务端的数据信息易被盗取的技术缺陷，所以提升了设备间交互授权的安全性。
122.实施例二
123.进一步地，参照图2，在本技术另一实施例中，与上述实施例一相同或相似的内容，可以参考上文介绍，后续不再赘述。在此基础上，应用于客户端，所述客户端包括第一类客户端和第二类客户端，所述基于tee环境的设备间交互授权方法包括：
124.步骤e10，若所述客户端为所述第一类客户端，则将第一临时证书发送至服务端，以供所述服务端校验所述第一临时证书是否为有效证书；
125.步骤e20，当接收到所述服务端校验所述第一证书为有效证书时，将第一权限服务标识发送至所述服务端，以供所述服务端通过判断所述第一权限服务标识是否存在，确定是否授权所述第一类客户端；
126.示例性的，若服务端识别出的所述客户端为内置证书的客户端，则依据所述内置证书的客户端对应的客户端证书，生成第一临时证书，并将所述第一临时证书发送至所述服务端，以供所述服务端校验所述第一临时证书是否为有效证书；当接收到所述服务端校验所述第一证书为有效证书时，将所述第一权限服务标识发送至所述服务端，以供所述服务端通过判断所述第一权限服务标识是否存在，确定是否授权所述第一类客户端。
127.步骤e30，若所述客户端为所述第二类客户端，则将第二权限服务标识发送至所述服务端，以供所述服务端依据所述第二权限服务标识和预设授权证书，生成第二临时证书；
128.步骤e40，接收所述第二临时证书，依据所述第二临时证书对应的设备信息，得到加密设备信息；
129.步骤e50，将所述加密设备信息发送至所述服务端，以供所述服务端通过解析所述加密设备信息，确定是否授权所述第二类客户端。
130.示例性的，若服务端识别出的所述客户端为内置证书的客户端，则将所述第二权限服务标识发送至所述服务端，以供所述服务端依据所述第二权限服务标识和预设授权证书，生成第二临时证书；接收所述第二临时证书，依据所述第二临时证书，对所述未内置证书的客户端的设备信息进行加密，得到加密后的设备信息；将所述加密后的设备信息发送至所述服务端，以供所述服务端通过解析所述加密设备信息，确定是否授权所述第二类客户端。
131.关于步骤e40，在所述接收所述服务端应用端发送的第二临时证书，所述接收所述第二临时证书，依据所述第二临时证书对应的设备信息，得到加密设备信息的步骤包括：
132.步骤e41，接收所述第二临时证书，将所述第二临时证书写入第二可信应用；
133.步骤e42，在所述第二可信应用中对所述第二临时证书对应的设备信息进行加密，得到所述加密设备信息。
134.示例性的，接收所述服务端发送的第二临时证书，将所述第二临时证书和所述未内置证书的客户端的设备信息写入至所述未内置证书的客户端的可信应用，依据所述未内置证书的客户端的可信应用对所述设备信息进行加密，得到加密后设备信息，其中，所述加密的方式可通过rsa非对称加密算法进行加密的方式，所述发送的方式可以为基于所述未内置证书的待授权应用端对应的加密通信通道进行发送的方式，其中，所述第二可信应用为未内置证书的客户端的可信应用。
135.本技术实施例提供了基于tee环境的设备间交互授权方法，也即，若所述客户端为所述第一类客户端，则将第一临时证书发送至服务端，以供所述服务端校验所述第一临时证书是否为有效证书，进而当接收到所述服务端校验所述第一证书为有效证书时，将第一权限服务标识发送至所述服务端，以供所述服务端通过判断所述第一权限服务标识是否存在，确定是否授权所述第一类客户端，若所述客户端为所述第二类客户端，则将第二权限服务标识发送至所述服务端，以供所述服务端依据所述第二权限服务标识和预设授权证书，生成第二临时证书，接收所述第二临时证书，依据所述第二临时证书对应的设备信息，得到加密设备信息，将所述加密设备信息发送至所述服务端，以供所述服务端通过解析所述加
密设备信息，确定是否授权所述第二类客户端，由于临时证书为校验或生成都是基于tee运行的ta完成，且客户端和服务端的交互过程基于加密通信通道进行，所以克服了现有技术中设备间交互授权过程中服务端的数据信息易被盗取的技术缺陷，所以提升了设备间交互授权的安全性。
136.实施例三
137.本技术实施例还提供一种基于tee环境的设备间交互授权装置，所述基于tee环境的设备间交互授权装置应用于服务端，所述基于tee环境的设备间交互授权装置包括：
138.第一接收模块，用于若所述服务端对应的客户端为第一类客户端，则接收所述第一类客户端上传的第一临时证书；
139.第一授权模块，用于当校验所述第一临时证书为有效证书时，通过判断所述第一类客户端上传的第一权限服务标识是否存在，确定是否授权所述第一类客户端；
140.第二接收模块，用于若所述服务端对应的客户端为第二类客户端，则接收所述第二类客户端上传的第二权限服务标识。
141.生成模块，用于依据所述第二权限服务标识和预设授权证书，生成第二临时证书，并将所述第二临时证书发送至所述第二类客户端，以供所述第二类客户端依据所述第二临时证书加密对应的设备信息，得到加密设备信息；
142.第二授权模块，用于接收所述第二类客户端发送的加密设备信息，通过解析所述加密设备信息，确定是否授权所述第二类客户端；
143.可选地，所述基于tee环境的设备间交互授权装置还用于：
144.依据第一可信应用，校验所述第一临时证书进行是否为有效证书，得到校验结果，并将所述校验结果发送至所述第一类客户端；
145.接收所述第一类客户端上传的所述第一服务权限标识，其中，所述第一服务权限标识由所述第一类客户端确定接收到校验成功结果时上传。
146.可选地，所述第二授权模块还用于：
147.接收所述第二类客户端发送的加密设备信息，验证所述第二类客户端是否为可授权客户端；
148.若是，则依据所述第一可信应用，对所述加密设备信息进行解密，得到解密结果；
149.当所述解密结果为解密成功结果时，授权所述第二类客户端。
150.可选地，所述基于tee环境的设备间交互授权装置还用于：
151.接收所述第一类客户端发送的第一授权请求，依据所述第一授权请求，判断所述第一类客户端对应的第一密钥文件是否解密成功；
152.若是，则建立第一通信通道。
153.可选地，所述基于tee环境的设备间交互授权装置还用于：
154.接收所述第二类客户端发送的第二授权请求，依据所述第二授权请求，生成第二密钥文件；
155.当所述第二密钥文件发送至所述第二类客户端时，建立第二通信通道。
156.可选地，所述基于tee环境的设备间交互授权装置还用于：
157.依据所述服务端对应的设备信息生成根证书，并将所述根证书发送至所述第一可信应用，以供所述可信应用将所述根证书存储至预设存储分区；或
158.以所述服务端对应的设备信息为索引，查询得到根服务端依据证书链发送的服务端证书；
159.将所述服务端证书发送至所述第一可信应用，以供所述第一可信应用将所述服务端证书存储至所述预设存储分区。
160.本发明提供的基于tee环境的设备间交互授权装置，采用上述实施例一或实施例二中的基于tee环境的设备间交互授权方法，解决了设备间交互授权安全性低的技术问题。与现有技术相比，本发明实施例提供的基于tee环境的设备间交互授权装置的有益效果与上述实施例提供的基于tee环境的设备间交互授权方法的有益效果相同，且该设备间交互授权装置中的其他技术特征与上述实施例方法公开的特征相同，在此不做赘述。
161.实施例四
162.本技术实施例还提供一种基于tee环境的设备间交互授权装置，所述基于tee环境的设备间交互授权装置应用于客户端，所述基于tee环境的设备间交互授权装置包括：
163.第一发送模块，用于若所述客户端为所述第一类客户端，则将第一临时证书发送至服务端，以供所述服务端校验所述第一临时证书是否为有效证书；
164.第二发送模块，用于当接收到所述服务端校验所述第一证书为有效证书时，将第一权限服务标识发送至所述服务端，以供所述服务端通过判断所述第一权限服务标识是否存在，确定是否授权所述第一类客户端；
165.第三发送模块，用于若所述客户端为所述第二类客户端，则将第二权限服务标识发送至所述服务端，以供所述服务端依据所述第二权限服务标识和预设授权证书，生成第二临时证书；
166.第一接收模块，用于接收所述第二临时证书，依据所述第二临时证书对应的设备信息，得到加密设备信息；
167.第二发送模块，用于将所述加密设备信息发送至所述服务端，以供所述服务端通过解析所述加密设备信息，确定是否授权所述第二类客户端。
168.可选地，所述第一接收模块还用于：
169.接收所述第二临时证书，将所述第二临时证书写入第二可信应用；
170.在所述第二可信应用中对所述第二临时证书对应的设备信息进行加密，得到所述加密设备信息。
171.本发明提供的基于tee环境的设备间交互授权装置，采用上述实施例一或实施例二中的基于tee环境的设备间交互授权方法，解决了设备间交互授权安全性低的技术问题。与现有技术相比，本发明实施例提供的基于tee环境的设备间交互授权装置的有益效果与上述实施例提供的基于tee环境的设备间交互授权方法的有益效果相同，且该设备间交互授权装置中的其他技术特征与上述实施例方法公开的特征相同，在此不做赘述。
172.实施例五
173.本发明实施例提供一种电子设备，电子设备包括：至少一个处理器；以及，与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行上述实施例一中的基于tee环境的设备间交互授权方法。
174.下面参考图3，其示出了适于用来实现本公开实施例的电子设备的结构示意图。本
公开实施例中的电子设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、pda(个人数字助理)、pad(平板电脑)、pmp(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字tv、台式计算机等等的固定终端。图3示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
175.如图3所示，电子设备可以包括处理装置(例如中央处理器、图形处理器等)，其可以根据存储在只读存储器(rom)中的程序或者从存储装置加载到随机访问存储器(ram)中的程序而执行各种适当的动作和处理。在ram中，还存储有电子设备操作所需的各种程序和数据。处理装置、rom以及ram通过总线彼此相连。输入/输出(i/o)接口也连接至总线。
176.通常，以下系统可以连接至i/o接口：包括例如触摸屏、触摸板、键盘、鼠标、图像传感器、麦克风、加速度计、陀螺仪等的输入装置；包括例如液晶显示器(lcd)、扬声器、振动器等的输出装置；包括例如磁带、硬盘等的存储装置；以及通信装置。通信装置可以允许电子设备与其他设备进行无线或有线通信以交换数据。虽然图中示出了具有各种系统的电子设备，但是应理解的是，并不要求实施或具备所有示出的系统。可以替代地实施或具备更多或更少的系统。
177.特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置从网络上被下载和安装，或者从存储装置被安装，或者从rom被安装。在该计算机程序被处理装置执行时，执行本公开实施例的方法中限定的上述功能。
178.本发明提供的电子设备，采用上述实施例一或实施例二中的基于tee环境的设备间交互授权方法，解决了设备间交互授权安全性低的技术问题。与现有技术相比，本发明实施例提供的电子设备的有益效果与上述实施例一提供的基于tee环境的设备间交互授权方法的有益效果相同，且该电子设备中的其他技术特征与上述实施例方法公开的特征相同，在此不做赘述。
179.应当理解，本公开的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式的描述中，具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
180.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。
181.实施例六
182.本实施例提供一种计算机可读存储介质，具有存储在其上的计算机可读程序指令，计算机可读程序指令用于执行上述实施例一中的基于tee环境的设备间交互授权方法。
183.本发明实施例提供的计算机可读存储介质例如可以是u盘，但不限于电、磁、光、电磁、红外线、或半导体的系统、系统或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组
合。在本实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、系统或者器件使用或者与其结合使用。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、rf(射频)等等，或者上述的任意合适的组合。
184.上述计算机可读存储介质可以是电子设备中所包含的；也可以是单独存在，而未装配入电子设备中。
185.上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被电子设备执行时，使得电子设备：若所述服务端对应的客户端为第一类客户端，则接收所述第一类客户端上传的第一临时证书；当校验所述第一临时证书为有效证书时，通过判断所述第一类客户端上传的第一权限服务标识是否存在，确定是否授权所述第一类客户端；若所述服务端对应的客户端为第二类客户端，则接收所述第二类客户端上传的第二权限服务标识；依据所述第二权限服务标识和预设授权证书，生成第二临时证书，并将所述第二临时证书发送至所述第二类客户端，以供所述第二类客户端依据所述第二临时证书加密对应的设备信息，得到加密设备信息；接收所述第二类客户端发送的加密设备信息，通过解析所述加密设备信息，确定是否授权所述第二类客户端。
186.或者若所述客户端为所述第一类客户端，则将第一临时证书发送至服务端，以供所述服务端校验所述第一临时证书是否为有效证书；当接收到所述服务端校验所述第一证书为有效证书时，将第一权限服务标识发送至所述服务端，以供所述服务端通过判断所述第一权限服务标识是否存在，确定是否授权所述第一类客户端；若所述客户端为所述第二类客户端，则将第二权限服务标识发送至所述服务端，以供所述服务端依据所述第二权限服务标识和预设授权证书，生成第二临时证书；接收所述第二临时证书，依据所述第二临时证书对应的设备信息，得到加密设备信息；将所述加密设备信息发送至所述服务端，以供所述服务端通过解析所述加密设备信息，确定是否授权所述第二类客户端。
187.可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c ，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
188.附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令
的组合来实现。
189.描述于本公开实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，模块的名称在某种情况下并不构成对该单元本身的限定。
190.本发明提供的计算机可读存储介质，存储有用于执行上述基于tee环境的设备间交互授权方法的计算机可读程序指令，解决了设备间交互授权安全性低的技术问题。与现有技术相比，本发明实施例提供的计算机可读存储介质的有益效果与上述实施例一或实施例二提供的基于tee环境的设备间交互授权方法的有益效果相同，在此不做赘述。
191.实施例七
192.本技术还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述的基于tee环境的设备间交互授权方法的步骤。
193.本技术提供的计算机程序产品解决了设备间交互授权安全性低的技术问题。与现有技术相比，本发明实施例提供的计算机程序产品的有益效果与上述实施例一或实施例二提供的基于tee环境的设备间交互授权方法的有益效果相同，在此不做赘述。
194.以上仅为本技术的优选实施例，并非因此限制本技术的专利范围，凡是利用本技术说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本技术的专利处理范围内。