(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111675275.1 (22)申请日 2021.12.31 (71)申请人 飞天诚信科技股份有限公司 地址 100085 北京市海淀区学清路9号汇智 大厦B楼17层 (72)发明人 陆舟　 (51)Int.Cl. G06F 21/44(2013.01) G06F 9/445(2018.01) G06F 21/60(2013.01) G06F 21/64(2013.01) H04L 9/40(2022.01) (54)发明名称 基于SE的tls双向认证方法、 终端设备及可 读存储介质 (57)摘要 本申请提供了一种基于SE的tls双向认证方 法及终端设备， 方法包括： 系统加载调用mbedtl s 函数库的函数， 当第五函数被系统调用时， 将tl s 握手数据发送给SE进行签名处理； 当第六函数被 系统调用时， 指示SE对tls握手数据进行加密签 名处理得到第一数据； 当第一接口被系统调用 时， 将第一数据发送给服务器； 当第二接口被系 统调用时， 接收服务器返回第二通知消息； 当第 十二函数被系统调用时， 将第二通知消息中携带 的签名信息和包含通信对称密钥的密文发送给 SE； 当第十三函数被系统调用时， SE根据获取的 设备端私钥对签名信息进行校验， 对密文进行解 密的到解密信息； 当第十四函数被系统调用时， 解密信息中获取 所述通信对称密钥。 权利要求书2页 说明书19页 附图1页 CN 114297614 A 2022.04.08 CN 114297614 A 1.一种基于SE的tls双向认证方法， 其特征在于， 适用于包括系统和安全芯片SE的终端 设备， 所述系统上配置有mbedtls函数库， 包括： 所述系统加载调用所述函数库， 所述函数库中的函数与所述SE通信， 向所述SE发送相 应的指令； 当所述函数库的第五函数被所述系统加载调用时， 所述第五函数与所述SE进行通信， 将tls握手数据发送给 所述SE进行签名处 理； 当所述函数库的第六函数被所述系统加载调用时， 所述第六函数与所述SE进行通信， 指示所述SE根据提取的服务器公钥对所述tls握手数据进行加密签名处理得到加密的tls 握手数据， 由所述SE将所述加密的tls握 手数据保存为第一数据； 当所述函数库的第 一接口被所述系统加载调用时， 所述第 一接口调用通信 接口与所述 服务器进行通信， 将所述第一数据发送给服 务器； 当所述函数库的第 二接口被所述系统加载调用时， 所述第 二接口调用通信 接口与所述 服务器进行通信， 接收所述 服务器返回的针对所述第一数据的验签成功的第二 通知消息； 当所述函数库的第十二函数被所述系统加载调用时， 所述第十二函数与所述SE进行通 信， 将所述第二 通知消息中携带的签名信息和包 含通信对称密钥的密文发送给 所述SE； 当所述函数库的第十三函数被所述系统加载调用时， 所述第十三函数与所述SE进行通 信， 指示所述SE根据获取 的设备端私钥对所述签名信息进行校验， 对包含通信对称密钥的 密文进行解密的到解密信息； 当所述函数库的第十四函数被所述系统加载调用时， 所述第十四函数与所述SE进行通 信， 从所述 解密信息中获取 所述通信对称密钥； 当自定义的密钥发送函数被所述系统加载调用时， 将 获取到的通信对称密钥发送给所 述SE， 以使所述系统根据所述 通信对称密钥完成通信握 手处理。 2.如权利要求1所述的方法， 其特征在于， 所述指示所述SE根据提取的服务器公钥对所 述tls握手数据进行加密签名处 理得到加密的tls握 手数据之前， 还 包括： 当所述函数库的第二函数被所述系统加载调用时， 所述第二函数与所述SE进行通信， 将服务器证书的存 储编号发给 所述SE； 当所述函数库的第三函数被所述系统加载调用时， 所述第三函数与所述SE进行通信， 指示所述SE根据所述存 储编号从存 储的服务器证书中提取服 务器公钥； 当所述函数库的第 四函数被所述系统加载调用时， 所述第 四函数与所述SE进行通信， 接收所述SE发送的已提取 所述服务器公钥的第一 通知消息 。 3.如权利要求1所述的方法， 其特 征在于， 所述将所述第一数据发送给服 务器， 包括： 当所述函数库的第七函数被所述系统加载调用时， 所述第七函数与所述SE进行通信， 接收所述SE 输出的第一数据； 当所述函数库的第八函数被所述系统加载调用时， 所述第八函数对所述第 一数据设置 填充字符， 得到填充后的数据， 存 储为第二数据； 当所述函数库的第九函数被所述系统加载调用时， 所述第九函数获取所述第 二数据的 数据长度； 当所述函数库的第 一接口被所述系统加载调用时， 所述第 一接口调用通信 接口与所述 服务器进行通信， 根据所述第二数据的数据长度将第二数据发送给服 务器。权　利　要　求　书 1/2 页 2 CN 114297614 A 24.如权利要求1所述的方法， 其特征在于， 所述指示所述SE根据获取的设备端私钥对所 述签名信息进行 校验解密之前， 还 包括： 当所述函数库的第十函数被所述系统加载调用时， 所述第十函数与所述SE进行通信， 将设备端RSA私钥的存储编号 发送给所述S E， 以使所述SE根据该设备端RSA私钥的存储编号 获取到所述设备端RSA私钥并存 储； 当所述函数库的第十一函数被所述系统加载调用时， 所述第十一函数与所述SE进行通 信， 指示所述SE校验 存储的设备端私钥的完整性。 5.如权利要求4所述的方法， 其特征在于， 所述指示所述SE根据获取的设备端RSA私钥 对所述签名信息进行 校验解密， 包括： 所述SE利用服务器公钥对所述签名信 息进行校验处理， 利用所述设备端私钥对所述签 名信息进行解密处 理。 6.如权利要求1 ‑5中任一项所述的方法， 其特 征在于， 所述方法还 包括： 当所述函数库的第一函数被所述系统加载调用时， 所述第一函数与所述SE进行通信， 指示所述SE进行初始化处 理， 以使所述SE进入RSA加密算法状态。 7.如权利要求1 ‑5中任一项所述的方法， 其特 征在于， 所述方法还 包括： 当所述函数库的第十五函数被所述系统加载调用时， 所述第十五函数与所述SE进行通 信， 指示所述SE退 出RSA加密算法状态， 以使所述SE释放有关通信握 手处理的资源数据。 8.一种终端设备， 其特 征在于， 包括： 处 理器和存 储器； 所述存储器， 用于存 储计算机程序； 所述处理器， 用于通过调用所述计算机程序， 执行上述权利要求1至权利要求7中任一 项所述的基于SE的tls双向认证方法。 9.一种计算机可读存储介质， 其特征在于， 所述计算机存储介质用于存储计算机程序， 当其在计算机上运行时， 使得计算机执行上述权利要求 1至权利要求7中任一项 所述的基于 SE的tls双向认证方法。权　利　要　求　书 2/2 页 3 CN 114297614 A 3