(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115801270A(43)申请公布日2023.03.14(21)申请号202211358241.4(22)申请日2022.11.01(71)申请人中国农业银行股份有限公司地址100005北京市东城区建国门内大街69号(72)发明人李磊安睿(74)专利代理机构北京品源专利代理有限公司11332专利代理师岳晓萍(51)Int.Cl.H04L9/32(2006.01)H04L9/40(2022.01)权利要求书2页说明书8页附图3页(54)发明名称信息认证方法、装置、电子设备和存储介质(57)摘要本发明公开了一种信息认证系统和方法。其特征包括：终端设备，所述终端设备上部署有客户端应用、可信执行环境和安全元件；其中，所述客户端应用，用于生成服务请求，并向可信执行环境发送服务请求，其中，所述服务请求携带有服务请求用户的用户标识；所述可信执行环境，用于接收所述服务请求，基于初始私钥在所述安全元件中创建安全域，将所述初始密钥写入所述安全域中，并获取所述安全元件的元件标识，基于所述用户标识和所述元件标识更新所述安全元件中存储的所述初始密钥，得到私有密钥，以基于所述私有密钥访问所述安全域。本发明实施例实现了在安全元件中创建了可信赖的安全域，提高了终端设备的安全等级。CN115801270ACN115801270A权利要求书1/2页1.一种信息认证系统，其特征在于，包括：终端设备，所述终端设备上部署有客户端应用、可信执行环境和安全元件；其中，所述客户端应用，用于生成服务请求，并向可信执行环境发送服务请求，其中，所述服务请求携带有服务请求用户的用户标识；所述可信执行环境，用于接收所述服务请求，基于初始私钥在所述安全元件中创建安全域，将所述初始密钥写入所述安全域中，并获取所述安全元件的元件标识，基于所述用户标识和所述元件标识更新所述安全元件中存储的所述初始密钥，得到私有密钥，以基于所述私有密钥访问所述安全域。2.根据权利要求1所述的信息认证系统，其特征在于，所述信息认证系统还包括证书颁发机构；其中，所述客户端应用，还用于生成证书下载请求，将所述证书下载请求发送给所述可信执行环境；所述可信执行环境，用于接收证书下载请求，并生成与所述证书下载请求对应的申请证书，并将所述申请证书发送至所述客户端应用；所述客户端应用，还用于接收所述可信执行环境发送的所述申请证书，并将所述申请证书发送给证书颁发机构；所述证书颁发机构，用于对所述申请证书进行验证，在所述申请证书验证通过的情况下，生成数字证书，并将所述数字证书反馈给所述客户端应用；所述客户端应用，还用于接收所述数字证书，并将所述数字证书传输给所述可信执行环境；所述可信执行环境，还用于接收所述客户端应用传输的所述数字证书，对所述数字证书进行校验，在所述数字证书校验通过的情况下，将所述数字证书通过所述私有密钥写入所述安全域中。3.根据权利要求2所述的信息认证系统，其特征在于，所述可信执行环境，具体用于基于所述证书下载请求对应的设备公钥，基于所述设备公钥、所述用户标识和所述元件标识生成与所述证书下载请求对应的申请证书。4.根据权利要求2所述的信息认证系统，其特征在于，所述客户端应用，具体用于对所述终端设备进行下载环境检测，确定终端设备是否具备下载条件，若具备，则生成证书下载请求。5.根据权利要求2所述的方法，其特征在于，所述可信执行环境，具体用基于所述私有密钥访问所述安全域，以获取所述安全域中存储的设备公钥、所述用户标识和所述安全标识，基于所述安全域中存储的设备公钥对所述数字证书中的设备公钥进行校验，基于所述安全域中存储的所述用户标识对所述数字证书中的申请用户进行校验，基于预先设置的受信任的证书颁发机构对所述数字证书对应的证书颁发机构进行校验，基于所述安全标识对所述数字证书中的设备身份标识进行校验。6.根据权利要求5所述的方法，其特征在于，所述可信执行环境，还用于基于所述私有密钥将所述用户标识、所述元件标识、所述设备公钥存储于所述安全域中。7.根据权利要求1所述的方法，其特征在于，所述可信执行环境，用于在通过所述私有密钥创建安全域后，下载运行于所述安全元件上的应用程序，并通过所述私有密钥将所述2CN115801270A权利要求书2/2页应用程序安装到所述安全元件中，并初始化所述应用程序，使所述应用程序运行于所述安全元件上。8.根据权利要求1所述的方法，其特征在于，所述可信执行环境，还用于生成可视化界面，并基于可信安全接口展示所述可视化界面，其中，所述可视化界面中包括与所述服务请求对应的服务关联信息。9.根据权利要求8所述的方法，其特征在于，所述可信执行环境，还用于基于所述私有密钥将个人识别密码存储于所述安全域中，以及，接收服务请求用户基于所述可视化界面输