(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112953893A(43)申请公布日2021.06.11(21)申请号202110102470.9(22)申请日2021.01.26(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人胡涌涛张煜龙(74)专利代理机构北京国昊天诚知识产权代理有限公司11315代理人朱文杰(51)Int.Cl.H04L29/06(2006.01)H04L9/08(2006.01)G06F21/31(2013.01)权利要求书4页说明书23页附图8页(54)发明名称基于隐私保护的身份验证方法、装置、设备及系统(57)摘要本说明书实施例提供了多种基于隐私保护的身份验证方法、装置、设备及系统，其中一种方法包括：在接收到针对运行目标应用程序的本地的身份验证请求的情况下，将所述身份验证请求发送至与所述目标应用程序对应的目标服务器，并接收所述目标服务器发送的第一密钥；针对所述身份验证请求，基于所述预设共享密钥算法，生成第二密钥和第三密钥，并基于所述第一密钥和所述第二密钥对第一校验信息进行处理，得到身份验证信息；将所述第三密钥和所述身份验证信息发送给所述目标服务器，并接收所述目标服务器基于所述第三密钥和所述身份验证信息确定的针对所述终端设备的身份验证结果，以在身份验证通过的情况下，与所述目标服务器进行私有数据的传输。CN112953893ACN112953893A权利要求书1/4页1.一种基于隐私保护的身份验证方法，应用于终端设备，包括：在接收到针对运行目标应用程序的本地的身份验证请求的情况下，将所述身份验证请求发送至与所述目标应用程序对应的目标服务器，并接收所述目标服务器发送的第一密钥，所述第一密钥为所述目标服务器基于预设共享密钥生成算法，针对所述身份验证请求生成的密钥；针对所述身份验证请求，基于所述预设共享密钥算法，生成第二密钥和第三密钥，并基于所述第一密钥和所述第二密钥对第一校验信息进行处理，得到身份验证信息，所述第一校验信息为在可信执行环境内对所述终端设备和所述可信执行环境进行完整性校验生成的信息；将所述第三密钥和所述身份验证信息发送给所述目标服务器，并接收所述目标服务器基于所述第三密钥和所述身份验证信息确定的针对所述终端设备的身份验证结果，以在身份验证通过的情况下，与所述目标服务器进行私有数据的传输。2.根据权利要求1所述的方法，在所述基于所述第一密钥和所述第二密钥，对第一校验信息进行处理，得到身份验证信息之前，所述方法还包括：接收所述目标服务器发送的目标可验证信息；所述基于所述第一密钥和所述第二密钥，对第一校验信息进行处理，得到身份验证信息，包括：在所述可信执行环境内，基于所述第一密钥和所述第二密钥，对所述目标可验证信息和所述第一校验信息进行处理，得到所述身份验证信息。3.根据权利要求2所述的方法，所述基于所述第一密钥和所述第二密钥，对所述目标可验证信息和所述第一校验信息进行处理，得到所述身份验证信息，包括：基于所述目标可验证信息和所述第一校验信息，生成第二校验信息；基于所述第一密钥和所述第二密钥，生成目标密钥；基于所述目标密钥，对所述第一密钥、所述第二密钥以及所述第二校验信息进行处理，得到所述身份验证信息；所述将所述第三密钥和所述身份验证信息发送给所述目标服务器，包括：将所述第三密钥、所述第二校验信息以及所述身份验证信息发送给所述目标服务器。4.根据权利要求3所述的方法，所述基于所述目标可验证信息和所述第一校验信息，生成第二校验信息，包括：基于所述目标可验证信息和目标平台寄存器的地址，生成所述第二校验信息，所述目标平台寄存器用于在所述可信执行环境内存储所述第一校验信息。5.根据权利要求3所述的方法，所述可信执行环境包括第一子环境和第二子环境，所述第一子环境用于生成所述第二密钥和所述第三密钥，以及基于所述第一密钥和所述第二密钥，对所述第一校验信息进行处理，得到身份验证信息，所述第二子环境用于运行所述目标应用程序，所述方法还包括：在所述身份验证结果为通过的情况下，在所述第一子环境和所述目标应用程序对应的所述第二子环境之间，建立数据传输通道；在接收到所述目标服务器发送的目标数据后，在所述第一子环境中，基于所述目标密钥对所述目标数据进行解密处理，得到解密处理后的所述目标数据；2CN112953893A权利要求书2/4页将解密处理后的所述目标数据基于所述目标数据传输通道，传输至与所述目标应用程序对应的第二子环境进行处理。6.一种基于隐私保护的身份验证方法，应用于服务器，包括：接收运行目标应用程序的终端设备发送的针对所述终端设备的身份验证请求，并基于预设共享密钥生成算法，针对所述身份验证请求生成第一密钥；将