【技术实现步骤摘要】
一种身份验证方法、装置及存储介质
[0001]本申请涉及通信领域,尤其涉及一种身份验证方法、装置及存储介质。
技术介绍
[0002]在数据共享场景下,“数据不出机房”已经成为主流的数据共享趋势。当进行数据共享业务时,存在分散的多个数据提供方,数据需求方只能得到使用数据进行运算的结果,而无法得到这些数据的真正内容,即。这些由数据运算得到的结果的可信性是由数据可信性决定的。目前,数据提供方的数据使用可信执行环境(Trusted Execution Environment,TEE)进行数据的可信存储。得益于可信执行环境的安全特性,在进行数据共享时,只需确认可信执行环境的身份,即可同时确认其中存储数据的可信性。
[0003]目前的可信执行环境的身份认证方法主要依托于TEE的制造商或对TEE签发证书的背书机构进行身份验证,并将验证结果返回至TEE环境中。这种方法大量依托于公共网络,因此,即使执行可信执行环境、背书机构和TEE环境的服务器处于一个机房中,也无法使用内网进行身份认证。
[0004]当可信执行环境TEE的特征信息通过公网发送至中心化的背书机构时,背书机构将获得可信执行环境当前所有的特征信息,这就加大了数据存储的安全隐患。同时,可信执行环境的TEE特征信息需要先在本地环境中进行本地身份认证,认证通过后生成数据包再发送至远程背书机构进行身份验证,也增加了业务时间成本。甚至对一些可信执行环境而言,认证所用网络经常无法连通,导致身份认证无法完成,使得后续数据共享无法完成。
技术实现思路
[00...
【技术保护点】
【技术特征摘要】
1.一种身份验证方法,其特征在于,所述方法包括:获取硬件和业务数据;其中,所述硬件和业务数据包括:第一TEE初始化硬件数据、第二TEE初始化硬件数据、第一TEE实时硬件数据、第一TEE上次调用后环境状态数据、第一TEE实时环境状态数据;所述第二TEE为与第一TEE进行身份互验的TEE;生成第一身份验证信息;其中,所述第一身份验证信息用于表征根据所述第一TEE实时硬件数据和第一TEE初始化硬件数据的比对结果,以及所述第一TEE实时环境状态数据和所述第一TEE上次调用后环境状态数据的比对结果,对第一处理信息进行选择输出的结果;所述第一处理信息为所述第一TEE根据触发器对所述第一TEE实时硬件数据和所述第二TEE初始化硬件数据处理后确定的信息;接收来自所述第二TEE的第二身份验证信息;所述第二身份验证信息为所述第二TEE根据触发器对第二TEE实时硬件数据和所述第一TEE初始化硬件数据处理后确定的信息;在所述第一身份验证信息与所述第二身份验证信息相同的情况下,确定对所述第二TEE的身份验证成功;若接收到来自所述第二TEE的第一指示信息,且所述第一TEE对所述第二TEE身份验证成功,则确定与所述第二TEE的身份互验成功;其中,所述第一指示信息用于指示所述第二TEE对所述第一TEE的身份验证成功。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:获取第一随机数和第二随机数;所述第一随机数为所述第一TEE生成的随机数,所述第二随机数为所述第二TEE生成的随机数;根据哈希hash算法,确定所述硬件和业务数据的hash值;所述硬件和业务数据的hash值包括:所述第一TEE初始化硬件数据、所述第二TEE初始化硬件数据、所述第一TEE实时硬件数据、所述第一TEE上次调用后环境状态数据、所述第一TEE实时环境状态数据的hash值;对所述硬件和业务数据的hash值执行第一操作,以确定第一数组序列、第二数组序列、第三数组序列、第四数组序列和第五数组序列;其中,所述第一操作为:将所述hash值的每一位数字与所述第一随机值进行对比,若该位数字大于或等于所述第一随机值,则重新将此位数字记为1;若该位数字小于所述第一随机值,则重新将此位数字记为0;对所述第一TEE实时硬件数据和所述第二TEE初始化硬件数据的hash值执行第二操作,以确定第六数组序列和第七数组序列;其中,所述第二操作为:将所述hash值每一位数字与所述第二随机值进行对比,若该位数字大于或等于所述第二随机值,则重新将此位数字记为1;若该位数字小于所述第二随机值,则重新将此位数字记为0;对所述第一数组序列、所述第二数组序列、所述第三数组序列、所述第四数组序列、所述第五数组序列、所述第六数组序列和所述第七数组序列执行第三操作,以确定第一电平序列、第二电平序列、第三电平序列、第四电平序列、第五电平序列、第六电平序列和第七电平序列;其中,所述第三操作为:将所述数组序列的每一位数字逐位与第一数值的时刻进行一一对应,所述第一数值与所述数组序列的数位长度值相同,所述数组序列的第一位数字对应的时刻为初始时刻t0,所述第一数值的时刻中每两个相邻时刻之间的时间间隔为d;对所述第一电平序列、所述第二电平序列、所述第三电平序列、所述第四电平序列、所述第五电平序列、所述第六电平序列和所述第七电平序列进行第四操作,以确定第一电平信号、第二电平信号、第三电平信号、第四电平信号、第五电平信号、第六电平信号和第七电
平信号;其中,所述第四操作为:若所述电平序列的数位上的数字为1,则将此数位对应的时刻在所述时序电路上输入的电平信号确定高电平信号;若所述电平序列的数位上的数字为0,则将此数位对应的时刻在所述时序电路上输入的电平信号确定为低电平信号;其中,所述第一电平信号、所述第二电平信号、所述第三电平信号、所述第四电平信号和所述第五电平信号分别为所述第一TEE对所述第一TEE实时硬件数据、所述第二TEE初始化硬件数据、所述第一TEE初始化硬件数据、所述第一TEE实时环境状态数据和所述第一TEE上次调用后环境状态数据执行所述第一操作、所述第三操作和所述第四操作后得到的电平信号;所述第六电平信号和所述第七电平信号分别为对所述第一TEE实时硬件数据和所述第二TEE初始化硬件数据执行所述第二操作、所述第三操作和所述第四操作后得到的电平信号。3.根据权利要求2所述的方法,其特征在于,所述生成所述第一身份验证信息,具体包括:将所述时间间隔d、所述第一电平信号和所述第二电平信号输入到所述触发器中,确定所述第一处理信息;将所述第一电平信号和第三电平信号输入第一同或逻辑门,确定所述第一电平信号和所述第三电平信号的第一比对结果;将所述第四电平信号和第五电平信号输入第二同或逻辑门,确定所述第四电平信号和所述第五电平信号的第二比对结果;将所述第一处理信息,所述第一比对结果和所述第二比对结果输入数据选择器,确定所述第一身份验证信息。4.根据权利要求3所述的方法,其特征在于,在所述第一身份验证信息与所述第二身份验证信息相同的情况下,确定对所述第二TEE的身份验证成功,具体包括:将所述第一身份验证信息和所述第二身份验证信息输入第三同或逻辑门,确定所述第一身份验证信息和所述第二身份验证信息的比对结果;若所述第一身份验证信息和所述第二身份验证信息相同,则确定对所述第二TEE的身份验证成功。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:将所述时间间隔d、所述第六电平信号和所述第七电平信号输入所述触发器,确定第三身份验证信息;所述第三身份验证信息为所述第一TEE根据触发器对所述第一TEE实时硬件数据和所述第二TEE初始化硬件数据处理后确定的信息;向所述第二TEE发送所述第三身份验证信息;向所述第二TEE发送对所述第二TEE身份验证的验证结果。6.一种身份验证装置,其特征在于,所述身份验证装置包括:获取单元、处理单元和接收单元;所述获取单元,用于获取硬件和业务数据;其中,所述硬件和业务数据包括:第一TEE初始化硬件数据、第二TEE初始化硬件数据、第一TEE实时硬件数据、第一TEE上次调用后环境状态数据、第一TEE实时环境状态数据;所述第二TEE为与所述第一TEE进行身份互验的TEE;所述处理单元,用于生成第一身份验证信息;其中,所述第一身份验证信息用于表征根
据所述第一TEE实时硬件数据和第一TEE初始化硬件数据的比对结果,以及所述第一TEE实时环境状态数据和所述第一TEE上次调用后环境状态数据的比对结果对第一处理信息进行选择输出的结果;所述第一处理信息为所述第一TEE根据触发器对所述第一TEE实时硬件数据和所述第二TEE初始化硬件数据处理后确定的信息;所述接收单元,用于接收来自所述第二TEE的第二身份验证信息;所述第二身份验证信息为所述第二TEE根据触发器对第二TEE实时硬件数据和所述第一TEE初始化硬件数据处理后确定的信息;所述处理单元,还用于在所述第一身份验证信息与所述第二身份验证信息相同的情况下,确定对所述第二TEE的身份验证成功;所述处理单元,还用于在接收到来自所述第二TEE的第一指示信息,且所述第一TEE对所述第二TEE身份验证成功时,确定与所述第二TEE的身份互验成功;其中,所述...
【专利技术属性】
技术研发人员:任杰,王光全,薛淼,刘千仞,任梦璇,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。