(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210537257.5 (22)申请日 2022.05.13 (71)申请人 北京百度网讯科技有限公司 地址 100085 北京市海淀区上地十街10号 百度大厦2层 (72)发明人 庄园　樊荣　陈兆丰　李康　 (74)专利代理 机构 北京易光知识产权代理有限 公司 11596 专利代理师 王姗姗　武晨燕 (51)Int.Cl. G06F 21/44(2013.01) H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种安全认证方法、 电子设备及存 储介质 (57)摘要 本公开提供了一种安全认证方法、 装置、 电 子设备及存储介质， 涉及人工智 能技术领域， 尤 其涉及深度学习、 云计算、 安全认证等领域。 具体 实现方案为： 第一设备获取待保护的目标对象； 第一设备根据目标对象得到与 目标对象对应的 第一配置文件， 第一配置文件用于对目标对象调 用的应用编程接口进行接口调用的约束； 第一设 备基于非对称加密得到用于认证第一配置文件 的数字签名； 第一设备向第二设备 发送第一配置 文件和数字签名， 触发第二设备执行安全认证。 采用本公开， 可以提高安全性。 权利要求书3页 说明书11页 附图7页 CN 114969711 A 2022.08.30 CN 114969711 A 1.一种安全认证方法， 应用于第一设备， 包括： 所述第一设备获取待保护的目标对象； 所述第一设备根据所述目标对象得到与 所述目标对象对应的第 一配置文件， 所述第 一 配置文件用于对所述目标对象调用的应用编程接口API进行接口调用的约束； 所述第一设备基于非对称加密得到用于认证所述第一配置文件的数字签名； 所述第一设备向第 二设备发送所述第 一配置文件和所述数字签名， 触发所述第 二设备 执行安全认证。 2.根据权利要求1所述的方法， 其中， 所述第 一设备基于非对称加密得到用于认证所述 第一配置文件的数字签名， 包括： 所述第一设备采用所述第 一配置文件对应的文件标识进行所述非对称加密， 得到所述 数字签名。 3.根据权利要求2所述的方法， 其中， 所述非对称加密包括如下任意 一种方式： 采用私钥加密 及公钥解密的非对称加密方式； 采用公钥加密 及私钥解密的非对称加密方式。 4.根据权利要求1 ‑3中任一项所述的方法， 还 包括： 所述第一设备对所述目标对象进行加密， 得到第一加密数据； 所述第一设备发送所述第一加密数据。 5.根据权利要求 4所述的方法， 还 包括： 将所述目标对象的加密方式， 写入所述第一配置文件。 6.根据权利要求4所述的方法， 其中， 所述对所述目标对象调用的API进行接口调用的 约束， 包括： 对所述目标对象调用的API对应功能函数中至少一个命令行和/或数据的调用顺序进 行约束； 在所述第一设备约束所述调用顺序为第一顺序的情况下， 所述第二设备调用TEE应用 程序API的第二 顺序与所述第一 顺序相匹配。 7.一种安全认证方法， 应用于第二设备， 包括： 所述第二设备接收第一设备发送的第一配置文件和数字签名； 所述第二设备对所述数字签名校验成功的情况下， 根据 所述第一配置文件初始化可信 执行环境TEE中的TEE文件， 在所述TEE文件中对 所述目标对象调用的应用编程接口API进行 接口调用的约束； 所述第二设备响应调用TEE应用程序API的第一请求， 在所述第一请求满足所述接口调 用的约束的情况 下安全认证成功。 8.根据权利要求7 所述的方法， 还 包括： 所述第二设备基于非对称加密对所述数字签名进行校验， 校验成功的情况下得到所述 第一配置文件 对应的文件标识。 9.根据权利要求8所述的方法， 还 包括： 所述第二设备根据所述文件标识， 查询与 所述文件标识对应的所述第 一配置文件是否 在配置文件白名单列表中； 所述第一配置文件在所述配置文件白名单列表的情况下， 所述第 二设备加载所述第 一权　利　要　求　书 1/3 页 2 CN 114969711 A 2配置文件。 10.根据权利要求7 ‑9中任一项所述的方法， 其中， 所述第二设备响应调用TEE应用程序 API的第一请求， 在所述第一请求满足所述接口调用的约束的情况 下安全认证成功， 包括： 所述第二设备从所述TEE文件中获取对所述目标对象调用的API对应功能函数中至少 一个命令行和/或数据的调用顺序； 所述调用顺序为第一顺序， 所述第二设备调用TEE应用程序API的第二顺序与所述第一 顺序相匹配的情况 下安全认证成功。 11.根据权利要求7 ‑9中任一项所述的方法， 还 包括： 所述第二设备接收第一加密数据； 所述第二设备从所述TEE文件中获取加密方式， 根据所述加密方式对所述第一加密数 据进行解密， 得到所述目标对象。 12.一种第一设备， 包括： 获取模块， 用于获取待保护的目标对象； 配置模块， 用于根据所述目标对象得到与所述目标对象对应的第一配置文件， 所述第 一配置文件用于对所述目标对象调用的应用编程接口API进行接口调用的约束； 第一加密模块， 用于基于非对称加密得到用于认证所述第一配置文件的数字签名； 发送模块， 用于向第二设备发送所述第一配置文件和所述数字签名， 触发所述第二设 备执行安全认证。 13.根据权利要求12所述的设备， 其中， 所述第一加密模块， 用于： 采用所述第一配置文件 对应的文件标识进行 所述非对称加密， 得到所述数字签名。 14.根据权利要求13所述的设备， 其中， 所述非对称加密包括如下任意 一种方式： 采用私钥加密 及公钥解密的非对称加密方式； 采用公钥加密 及私钥解密的非对称加密方式。 15.根据权利要求12 ‑14中任一项所述的设备， 还 包括第二加密模块， 用于： 对所述目标对象进行加密， 得到第一加密数据； 发送所述第一加密数据。 16.根据权利要求15所述的设备， 还 包括： 写入 模块， 用于： 将所述目标对象的加密方式， 写入所述第一配置文件。 17.根据权利要求15所述的设备， 其中， 所述配置模块， 用于： 对所述目标对象调用的API对应功能函数中至少一个命令行和/或数据的调用顺序进 行约束； 在所述第一设备约束所述调用顺序为第一顺序的情况下， 所述第二设备调用TEE应用 程序API的第二 顺序与所述第一 顺序相匹配。 18.一种第二设备， 包括： 接收模块， 用于 接收第一设备发送的第一配置文件和数字签名； 初始化模块， 用于对所述数字签名校验成功 的情况下， 根据所述第一配置文件初始化 可信执行环 境TEE中的TEE文件， 在所述TEE文件中对 所述目标对象调用的应用编程接口API 进行接口调用的约束； 安全认证模块， 用于响应调用TEE应用程序API的第一请求， 在所述第一请求满足所述权　利　要　求　书 2/3 页 3 CN 114969711 A 3