(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114124434A(43)申请公布日2022.03.01(21)申请号202111128221.3(22)申请日2021.09.26(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人帅峰云(74)专利代理机构北京永新同创知识产权代理有限公司11376代理人林锦辉刘景峰(51)Int.Cl.H04L9/40(2022.01)权利要求书4页说明书16页附图7页(54)发明名称基于TEE的网络通信方法、装置及系统(57)摘要本说明书实施例提供了基于TEE的网络通信方法、装置及系统。在一种网络通信方法中，服务端设备包括的TEE中的第一处理器通过服务端设备包括的REE中的第一套接字从客户端设备接收通信请求，在第一处理器处从通信请求中获取客户端公钥；在第一处理器处基于客户端公钥确定服务端设备包括的TEE中的第一存储介质中未存储对称密钥时，第一处理器通过第一套接字向客户端设备发送请求响应消息，客户端设备与第一处理器之间通过第一套接字进行三次握手，以得到服务端设备和客户端设备共识的对称密钥；以及客户端设备与第一处理器之间通过第一套接字，利用对称密钥进行通信。CN114124434ACN114124434A权利要求书1/4页1.一种基于TEE的网络通信方法，所述网络通信方法由服务端设备来执行，所述服务端设备包括REE中的第一套接字和TEE中的第一处理器以及第一存储介质，所述第一套接字用于连接所述第一处理器与客户端设备，以使所述第一处理器和所述客户端设备之间通信连接；所述网络通信方法包括：所述第一处理器通过所述第一套接字从所述客户端设备接收通信请求，所述通信请求包括所述客户端设备的客户端公钥；在所述第一处理器处从所述通信请求中获取所述客户端公钥；在所述第一处理器处基于所述客户端公钥确定所述第一存储介质中未存储用于所述服务端设备与所述客户端设备之间通信的对称密钥时，所述第一处理器通过所述第一套接字向所述客户端设备发送请求响应消息，所述请求响应消息包括所述服务端设备的服务端公钥；所述客户端设备与所述第一处理器之间通过所述第一套接字进行三次握手，以得到所述服务端设备和所述客户端设备共识的对称密钥；以及所述客户端设备与所述第一处理器之间通过所述第一套接字，利用所述对称密钥进行通信。2.如权利要求1所述的网络通信方法，其中，所述客户端设备与所述第一处理器之间通过所述第一套接字进行三次握手，以得到所述服务端设备和所述客户端设备共识的对称密钥包括：所述第一处理器通过所述第一套接字从所述客户端设备接收第一握手消息，所述第一握手消息包括所述客户端设备生成的第一随机数；所述第一处理器通过所述第一套接字向所述客户端设备发送第二握手消息，所述第二握手消息包括所述第一处理器生成的第二随机数；所述第一处理器通过所述第一套接字从所述客户端设备接收第三握手消息，所述第三握手消息包括所述客户端设备生成的第三随机数；以及在所述第一处理器处，按照指定密钥生成方式基于所述第一随机数、第二随机数和第三随机数生成所述对称密钥。3.如权利要求2所述的网络通信方法，其中，所述第一握手消息还包括所述指定密钥生成方式的信息，或者，所述指定密钥生成方式由所述服务端设备和所述客户端设备预先约定。4.如权利要求2所述的网络通信方法，还包括：所述第一处理器从所述第一存储介质中获取指定特征值，所述指定特征值是经过所述服务端设备和所述客户端设备共识的值；在所述第一处理器处，利用所述对称密钥对所述指定特征值进行加密处理；以及所述第一处理器通过所述第一套接字向所述客户端设备发送经过加密处理的所述指定特征值，以使所述客户端设备利用本地生成的所述对称密钥对所述指定特征值进行验证，以确定所述客户端设备与所述第一处理器各自所生成的对称密钥的一致。5.如权利要求1所述的网络通信方法，还包括：在所述第一处理器处基于所述客户端公钥确定所述第一存储介质中存储有所述对称2CN114124434A权利要求书2/4页密钥时，对所述第一存储介质中的对称密钥与所述客户端设备中的对称密钥的一致性进行校验；以及在所述第一存储介质中的对称密钥与所述客户端设备中的对称密钥一致时，所述客户端设备与所述第一处理器之间通过所述第一套接字，利用所述对称密钥进行通信。6.如权利要求5所述的网络通信方法，其中，在所述第一处理器处基于所述客户端公钥确定所述第一存储介质中存储有所述对称密钥时，对所述第一存储介质中的对称密钥与所述客户端设备中的对称密钥的一致性进行校验包括：在所述第一处理器处基于所述客户端公钥确定所述第一存储介质中存储有所述对称密钥时，所述第一处理器从所述第一存储介质中获取指定特征值，所述指定特