一种TEE节点认证方法、装置、设备及介质制造方法及图纸

技术编号:34540461 阅读:51 留言:0更新日期:2022-08-13 21:36
本申请公开了一种TEE节点认证方法、装置、设备及介质,应用于可信计算平台,包括:向TEE集群发送TEE节点创建指令,以便TEE集群基于TEE节点创建指令创建目标TEE节点,并通过目标TEE节点生成密钥对和度量报告;获取目标TEE节点利用密钥对中的第一密钥对度量报告进行签名后的签名结果,将签名结果发送至区块链认证和TEE厂商;获取TEE厂商对签名结果进行验证后返回的证书链,将证书链发送至区块链认证,以便区块链认证利用对签名结果验证后得到的目标合约地址和证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果,并基于预设映射类型将验证结果记录至区块链。本申请能够在TEE节点创建后进行安全认证,并提高验证过程的灵活度和便捷性。并提高验证过程的灵活度和便捷性。并提高验证过程的灵活度和便捷性。

【技术实现步骤摘要】
一种TEE节点认证方法、装置、设备及介质


[0001]本专利技术涉及计算机与区块链
,特别涉及一种TEE节点认证方法、装置、设备及介质。

技术介绍

[0002]近年来随着大数据、云计算等的快速发展,越来越多的数据在云环境下进行存储、共享和计算,数据的隐私安全也被推到风口浪尖。目前,隐私保护技术基于密码算法及协议(如安全多方计算、同态加密等)的方案还存在一些瓶颈。作为密码学的隐私保护技术的一种替代方案,可信执行环境(Trusted execution environment,即TEE)基于硬件安全的CPU实现了基于内存隔离的安全计算,也被广泛接受。然而,为保证TEE的安全可信,在完成创建后通常需要进行安全认证,方可进行任务的执行。目前不同的硬件厂商推出了不同类型的TEE技术,认证方式也不尽相同,没有统一标准。
[0003]当前的TEE认证方式,通过构建中心化的远程认证服务,利用签名验签来实现对TEE的认证,该认证方式通过签名实现防篡改的验证,但是在第三方隐私计算平台上,采用中心化的认证方式公信力不够,无法保证远程认证服务是否可信;除此之外,不同的硬件厂商推出了不同类型的TEE技术,认证方式也不尽相同,远程认证服务需要对不同的TEE选择不同的验证方式,配置繁琐,针对新增TEE需要重新修改验证程序,不够灵活。
[0004]综上,如何提高TEE节点安全认证过程中的便捷性、灵活性和可信程度是目前有待解决的问题。

技术实现思路

[0005]有鉴于此,本专利技术的目的在于提供一种TEE节点认证方法、装置、设备及介质,能够提高TEE节点安全认证过程中的便捷性、灵活性和可信程度。其具体方案如下:
[0006]第一方面,本申请公开了一种TEE节点认证方法,应用于可信计算平台,包括:
[0007]向TEE集群发送TEE节点创建指令,以便所述TEE集群基于所述TEE节点创建指令创建目标TEE节点,并通过所述目标TEE节点生成密钥对和度量报告;
[0008]获取所述目标TEE节点利用所述密钥对中的第一密钥对所述度量报告进行签名后的签名结果,并将所述签名结果发送至区块链认证和TEE厂商;
[0009]获取所述TEE厂商对所述签名结果进行验证后返回的证书链,并将所述证书链发送至所述区块链认证,以便所述区块链认证利用对所述签名结果验证后得到的目标合约地址和所述证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果,并基于预设映射类型将所述验证结果记录至区块链。
[0010]可选的,所述获取所述TEE厂商对所述签名结果进行验证后返回的证书链,并将所述证书链发送至所述区块链认证,以便所述区块链认证利用对所述签名结果验证后得到的目标合约地址和所述证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果之前,还包括:
[0011]通过所述TEE厂商发起部署本地报告验证合约的合约部署请求,或通过所述TEE厂商发起更新所述本地报告验证合约的合约更新请求;其中,所述本地报告验证合约包括本地报告和验证结果查询方法;
[0012]通过预设数据参与方对所述合约部署请求或所述合约更新请求进行审核,并在审核通过后由所述区块链认证基于所述合约部署请求或所述合约更新请求执行相应的合约部署操作或合约更新操作,以及记录TEE类型和合约地址。
[0013]可选的,所述基于预设映射类型将所述验证结果记录至区块链之后,还包括:
[0014]通过所述预设数据参与方基于所述目标合约地址调用相应的验证结果查询方法得到所述验证结果。
[0015]可选的,所述通过所述目标TEE节点生成密钥对和度量报告,包括:
[0016]通过所述目标TEE节点生成密钥对,以及通过预设的可信度量功能对所述目标TEE节点进行度量得到度量报告;其中,所述密钥对包括所述第一密钥和第二密钥。
[0017]可选的,所述获取所述目标TEE节点利用所述密钥对中的第一密钥对所述度量报告进行签名后的签名结果,并将所述签名结果发送至区块链认证和TEE厂商,包括:
[0018]通过所述目标TEE节点利用所述密钥对中的第一密钥对所述度量报告进行签名得到签名结果;
[0019]获取所述目标TEE节点发送的所述签名结果、所述第二密钥和与所述目标TEE节点对应的目标TEE类型;
[0020]将所述签名结果、所述第二密钥和所述目标TEE类型发送至区块链认证和TEE厂商。
[0021]可选的,所述获取所述TEE厂商对所述签名结果进行验证后返回的证书链,包括:
[0022]通过所述TEE厂商对所述签名结果进行验证,并在验证通过后根据所述目标TEE类型获取对应的证书链;
[0023]获取所述TEE厂商返回的所述证书链。
[0024]可选的,所述基于预设映射类型将所述验证结果记录至区块链,包括:
[0025]基于mapping类型对所述验证结果进行映射处理得到映射后验证结果,并将所述映射后验证结果记录至区块链;其中,所述映射后验证结果包括用于表征验证成功的第一标识符和用于表征验证失败的第二标识符。
[0026]第二方面,本申请公开了一种TEE节点认证装置,应用于可信计算平台,包括:
[0027]节点创建模块,用于向TEE集群发送TEE节点创建指令,以便所述TEE集群基于所述TEE节点创建指令创建目标TEE节点,并通过所述目标TEE节点生成密钥对和度量报告;
[0028]签名结果获取模块,用于获取所述目标TEE节点利用所述密钥对中的第一密钥对所述度量报告进行签名后的签名结果,并将所述签名结果发送至区块链认证和TEE厂商;
[0029]验证模块,用于获取所述TEE厂商对所述签名结果进行验证后返回的证书链,并将所述证书链发送至所述区块链认证,以便所述区块链认证利用对所述签名结果验证后得到的目标合约地址和所述证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果,并基于预设映射类型将所述验证结果记录至区块链。
[0030]第三方面,本申请公开了一种电子设备,包括:
[0031]存储器,用于保存计算机程序;
[0032]处理器,用于执行所述计算机程序,以实现前述公开的TEE节点认证方法的步骤。
[0033]第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的TEE节点认证方法的步骤。
[0034]可见,本申请向TEE集群发送TEE节点创建指令,以便所述TEE集群基于所述TEE节点创建指令创建目标TEE节点,并通过所述目标TEE节点生成密钥对和度量报告;获取所述目标TEE节点利用所述密钥对中的第一密钥对所述度量报告进行签名后的签名结果,并将所述签名结果发送至区块链认证和TEE厂商;获取所述TEE厂商对所述签名结果进行验证后返回的证书链,并将所述证书链发送至所述区块链认证,以便所述区块链认证利用对所述签名结果验证后得到的目标合约本文档来自技高网
...

【技术保护点】

【技术特征摘要】
1.一种TEE节点认证方法,其特征在于,应用于可信计算平台,包括:向TEE集群发送TEE节点创建指令,以便所述TEE集群基于所述TEE节点创建指令创建目标TEE节点,并通过所述目标TEE节点生成密钥对和度量报告;获取所述目标TEE节点利用所述密钥对中的第一密钥对所述度量报告进行签名后的签名结果,并将所述签名结果发送至区块链认证和TEE厂商;获取所述TEE厂商对所述签名结果进行验证后返回的证书链,并将所述证书链发送至所述区块链认证,以便所述区块链认证利用对所述签名结果验证后得到的目标合约地址和所述证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果,并基于预设映射类型将所述验证结果记录至区块链。2.根据权利要求1所述的TEE节点认证方法,其特征在于,所述获取所述TEE厂商对所述签名结果进行验证后返回的证书链,并将所述证书链发送至所述区块链认证,以便所述区块链认证利用对所述签名结果验证后得到的目标合约地址和所述证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果之前,还包括:通过所述TEE厂商发起部署本地报告验证合约的合约部署请求,或通过所述TEE厂商发起更新所述本地报告验证合约的合约更新请求;其中,所述本地报告验证合约包括本地报告和验证结果查询方法;通过预设数据参与方对所述合约部署请求或所述合约更新请求进行审核,并在审核通过后由所述区块链认证基于所述合约部署请求或所述合约更新请求执行相应的合约部署操作或合约更新操作,以及记录TEE类型和合约地址。3.根据权利要求2所述的TEE节点认证方法,其特征在于,所述基于预设映射类型将所述验证结果记录至区块链之后,还包括:通过所述预设数据参与方基于所述目标合约地址调用相应的验证结果查询方法得到所述验证结果。4.根据权利要求1所述的TEE节点认证方法,其特征在于,所述通过所述目标TEE节点生成密钥对和度量报告,包括:通过所述目标TEE节点生成密钥对,以及通过预设的可信度量功能对所述目标TEE节点进行度量得到度量报告;其中,所述密钥对包括所述第一密钥和第二密钥。5.根据权利要求2所述的TEE节点认证方法,其特征在于,所述获取所述目标TEE节点利用所述密钥对中的第一密钥对所述度量报告进行签名后的签...

【专利技术属性】
技术研发人员:袁国平张月明
申请(专利权)人:杭州安恒信息安全技术有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1