(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111361687.8 (22)申请日 2021.11.17 (71)申请人 湖南麒麟信安科技股份有限公司 地址 410000 湖南省长 沙市高新 开发区麒 云路20号麒 麟科技园1栋4楼 (72)发明人 王小庆　石勇　孙利杰　杨涛　 刘文清　陈松政　颜跃进　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 王新哲 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 67/141(2022.01) (54)发明名称 一种建立连接的方法、 装置、 终端及存储介 质 (57)摘要 本发明公开一种建立连接的方法、 装置、 终 端及存储介质， 方法包括： 通过SSH客户端获取登 录数据； 将登录数据发送给TEE设备； 若TEE设备 获取用户的生物身份特征， 使用与生物身份特征 对应的私钥对登录数据进行签名， 得到签名数据 并反馈给SSH客户端； 将签名数据发送给SSH服务 器； 在公钥库中查找公钥对签名数据进行验签， 并对验签成功的公钥所对应的用户进行记录， 及 对登录数据进行认证， 若认 证通过， 则允许SSH客 户端建立连接。 本方案通过TEE设备对用户密码 信息利用私钥进行签名， 之后SSH服务器对该签 名数据使用对应的公钥进行签名验证， 提供双因 子认证， 同时通过生物身份特征， 能够对所执行 连接操作的人员进行识别审计 。 权利要求书2页 说明书6页 附图3页 CN 114070571 A 2022.02.18 CN 114070571 A 1.一种建立连接的方法， 其特 征在于， 包括： 通过SSH客户端获取登录数据； 通过所述SSH客户端将所述登录数据发送给TE E设备； 若所述TEE设备获取用户的生物身份特征， 使用与所述生物身份特征对应的私钥对所 述登录数据进行签名， 得到签名数据并反馈给 所述SSH客户端； 通过所述SSH客户端将所述签名数据发送给S SH服务器； 通过所述SSH服务器在公钥库中查找公钥对所述签名数据进行验签， 并对验签成功 的 公钥所对应的用户进 行记录， 以及 对验签成功后得到的登录数据进 行认证， 若认证通过， 则 允许所述SSH客户端建立连接 。 2.如权利要求1所述的方法， 其特 征在于， 还 包括： 获取用户的生物身份特 征； 基于用户的生物身份特 征生成包括私钥与公钥的密钥对； 将所述私钥存 储在所述TE E设备中， 将所述公钥存 储在所述S SH服务器的公钥库中。 3.如权利要求1所述的方法， 其特征在于， 所述生物身份特征包括： 指纹、 虹膜及人脸图 像中的至少一种； 所述登录数据包括用户名与密码； 在通过所述SSH客户端将所述登录数据发送给TE E设备之后， 还 包括： 提示用户在所述TE E设备上输入生物身份特 征。 4.如权利要求1所述的方法， 其特征在于， 若所述TEE设备获取用户的生物身份特征， 使 用与所述 生物身份特 征对应的私钥对所述登录数据进行签名， 包括： 若所述TEE设备获取用户的生物身份特征， 通过所述TEE设备对所述生物身份特征进行 身份验证， 并在身份验证通过后， 使用与所述生物身份特征对应的私钥对所述登录数据进 行签名。 5.如权利要求1所述的方法， 其特征在于， 所述通过所述SSH客户端将所述签名数据发 送给SSH服务器， 包括： 通过所述SSH客户端将所述签名数据加密后得到加密数据发送给S SH服务器； 在通过所述SSH服务器在公钥库中查找公钥对所述签名数据进行验签之前， 还 包括： 通过所述SSH服务器对所述加密数据进行解密， 得到所述签名数据。 6.如权利要求1所述的方法， 其特 征在于， 还 包括： 若遍历公钥库中的公钥进行验签不成功或对登录数据的认证不通过， 则拒绝所述SSH 客户端建立连接 。 7.如权利要求1或6所述的方法， 其特 征在于， 还 包括： 通过所述SSH服务器将验签的结果与对登录数据的认证的结果反馈给 所述SSH客户端。 8.一种建立连接的装置， 其特 征在于， 包括： 获取模块， 用于通过S SH客户端获取登录数据； 第一发送模块， 用于通过 所述SSH客户端将所述登录数据发送给TE E设备； 签名模块， 用于若所述TEE设备获取用户的生物身份特征， 使用与所述生物身份特征对 应的私钥对所述登录数据进行签名， 得到签名数据并反馈给 所述SSH客户端； 第二发送模块， 用于通过 所述SSH客户端将所述签名数据发送给S SH服务器； 验证连接模块， 用于通过所述SSH服务器在公钥库中查找公钥对所述签名数据进行验权　利　要　求　书 1/2 页 2 CN 114070571 A 2签， 并对验签成功的公钥所对应的用户进行记录， 以及对验签成功后得到的登录数据进行 认证， 若认证通过， 则允许 所述SSH客户端建立连接 。 9.一种终端， 其特征在于， 包括存储器以及处理器， 所述存储器存储有计算机程序， 所 述处理器运行所述计算机程序以使所述处理器执行如权利要求1 ‑7中任一项 所述建立连接 的方法。 10.一种存储介质， 其特征在于， 所述存储介质上存储有计算机程序， 所述计算机程序 被处理器执行时实现如权利要求1 ‑7中任一项所述建立连接的方法。权　利　要　求　书 2/2 页 3 CN 114070571 A 3