【技术实现步骤摘要】
本专利技术属于网络网关通信,具体涉及一种基于网关的异构tee认证方法。
技术介绍
1、随着信息技术的发展,在当今的数字时代背景下,网络空间的安全性问题不仅成为
的焦点,更深刻影响着社会经济的稳定与发展。随着数据量的爆炸性增长及数据流通的加速,确保网络数据的安全性、隐私性,已成为不容忽视的战略任务。尽管技术进步带来了前所未有的便利,但数据泄露、隐私侵犯等安全事件频发,让个人、企业乃至更广泛的社会层面都深刻意识到数据保护的重要性,对数据传输的加密技术及数据存储的安全性提出了更高要求。
2、在此趋势推动下,硬件层面的安全技术得到了快速发展,如intel的softwareguard extensions(sgx),arm的trust zone,以及海光的crypto secure virtualization(csv)和amd的secure encrypted virtualization(sev)等,均致力于打造可信执行环境(trusted execution environments,tee)。tee通过提供一个隔离且受保护的计算区域,被广泛应用于增强不同类型关键基础设施的安全性,包括可信监控、安全节点构建。目前已经开展了一些利用tee保护关键基础设施的工作,这些技术为用户数据筑起了一道坚实的防线,确保了信息在处理过程中的保密性和完整性。然而,面对多样化且独立运作的tee生态系统,用户在跨环境迁移或交互时,常面临复杂的远程认证流程,这不仅要求用户具备一定的技术知识,还增加了额外的管理和运营负担。虽然这些tee技术的
3、与此同时,transport layer security(tls)协议作为保障数据传输安全的标准,在保护网络通信免遭窃听、篡改和冒充方面发挥着核心作用。但如何高效地将tls与各类tee集成,以实现端到端的无缝安全防护,仍是一个亟待探索的领域。
4、因此,面对数字时代的安全挑战,tee技术的发展为我们提供了强有力的保护手段,但要实现tee技术的广泛应用与深入融合,还需进一步研究如何解决异构tee认证和安全信道建立以及与tls协议集成等难题。
技术实现思路
1、鉴于上述,本专利技术的目的是提供一种基于网关的异构tee认证方法,通过设计和实现一个面向无服务计算的异构认证网关(heterogeneous authentication networkgateway,hang),以确保用户数据在无服务计算环境中的传输和存储的隐私性和安全性。具体目标包括:(1)实现异构认证网关:在客户端和服务端分别部署由hang设计并开源的网关,包括子网关和主网关结构,以支持不同类型的tee;(2)保障数据隐私和安全:利用tee技术和开源代码,确保用户数据在传输和存储过程中的加密和隐私保护;(3)支持无服务计算架构:实现与无服务计算框架的无缝集成,使用户无需修改现有应用程序即可使用hang网关进行安全通信;(4)提供开源审查:通过将网关代码开源,供社区审查,确保系统的安全性和可信度。
2、为实现上述专利技术目的,本专利技术提供的技术方案如下:
3、本专利技术实施例提供的一种基于网关的异构tee认证方法,包括以下步骤:
4、将各客户端应用分别部署在非tee或至少一种类型的tee中,并将各服务端应用分别部署在至少一种类型的tee中或将各服务端应用分别部署在包括非tee和至少一种类型的tee中;
5、对每个部署在tee的客户端应用配置客户端子网关,将所有客户端子网关和部署在非tee的客户端应用均连接到同一客户端主网关,对每个部署在tee的服务端应用配置服务端子网关,将所有服务端子网关和部署在非tee的服务端应用均连接到同一服务端主网关;
6、在客户端和服务端之间基于tls实现单向异构tee认证或基于mtls实现双向异构tee认证,在认证过程中,通过服务端子网关或客户端子网关将各自应用所处tee的tee远程证明相关信息嵌入到tls或mtls中,并通过客户端主网关和服务端主网关进行监听和转发,再由客户端子网关或服务端子网关对接收到的tee远程证明相关信息进行验证,验证通过后即完成了异构tee认证和安全信道建立;其中tee远程证明相关信息包括tee quote和evidence,tee quote包含用于证明服务端tee硬件设备的真实性和安全性的硬件信息,evidence包含应用运行在tee中的状态信息。
7、具体地,在单向异构tee认证场景,对客户端网关进行部署,包括:
8、对于单客户端应用场景,客户端网关部署在与客户端应用相同的环境中,这里的客户端网关包含了客户端主网关和客户端子网关的功能;对于多客户端应用场景,客户端主网关部署在对多个客户端应用均可信的环境;
9、对客户端主网关完成环境部署后,在客户端主网关中进行配置,配置信息包括:用户运行在服务端的应用所支持的tee、应用运行在该tee下的evidence、以及服务端子网关的网络地址。
10、具体地,在单向异构tee认证场景,对服务端网关进行部署,包括:
11、对于单服务端应用场景,服务端网关部署在与服务端应用相同的tee环境中,服务端网关包含了服务端主网关和服务端子网关的功能;对于多服务端应用场景,服务端主网关部署在任意环境,服务端子网关部署在与对应的服务端应用相同的tee环境中;
12、对服务端主网关和子网关完成环境部署后,在服务端子网关中进行配置,配置信息包括:服务端应用所处的tee。
13、具体地,在单向异构tee认证场景的认证过程中,包括:
14、客户端用户发起连接建立请求,流量从客户端应用出发,经过客户端主网关,在客户端主网关中再将流量转发至服务端主网关,由服务端主网关进一步转发至对应的服务端子网关;服务端子网关接收到连接建立请求后,将包含服务端应用的tee远程证明相关信息的流量原路返回给客户端主网关;客户端主网关接收到返回流量后,将接收到的服务端应用的tee远程证明相关信息中的evidence和配置好的evidence进行比对、同时将tee quote交由tee硬件厂商进行验证;验证通过后,继续完成剩下的tls握手连接,客户端和服务端共同协商出一个对称密钥用于后续会话通信。
15、具体地,在双向异构tee认证场景,对客户端网关进行部署,包括:
16、对于单客户端应用场景,客户端网关部署在与客户端应用相同的tee环境中,客户端网关包含了客户端主网关和客户端子网关的功能;对于多客户端应用场景,本文档来自技高网...
【技术保护点】
1.一种基于网关的异构TEE认证方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于网关的异构TEE认证方法,其特征在于,在单向异构TEE认证场景,对客户端网关进行部署,包括:
3.根据权利要求2所述的基于网关的异构TEE认证方法,其特征在于,在单向异构TEE认证场景,对服务端网关进行部署,包括:
4.根据权利要求3所述的基于网关的异构TEE认证方法,其特征在于,在单向异构TEE认证场景的认证过程中,包括:
5.根据权利要求1所述的基于网关的异构TEE认证方法,其特征在于,在双向异构TEE认证场景,对客户端网关进行部署,包括:
6.根据权利要求5所述的基于网关的异构TEE认证方法,其特征在于,在双向异构TEE认证场景,对服务端网关进行部署,包括:
7.根据权利要求6所述的基于网关的异构TEE认证方法,其特征在于,在双向异构TEE认证场景的认证过程中,包括:
8.根据权利要求1所述的基于网关的异构TEE认证方法,其特征在于,在认证过程中,通过对TLS或mTLS中X509证书的扩展字段进行修
9.根据权利要求2所述的基于网关的异构TEE认证方法,其特征在于,在单向异构TEE认证场景,将客户端主网关和子网关的源码开源以供审计。
10.根据权利要求6所述的基于网关的异构TEE认证方法,其特征在于,在双向异构TEE认证场景,将客户端主网关和子网关以及服务端主网关和子网关的源码开源以供审计。
...【技术特征摘要】
1.一种基于网关的异构tee认证方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于网关的异构tee认证方法,其特征在于,在单向异构tee认证场景,对客户端网关进行部署,包括:
3.根据权利要求2所述的基于网关的异构tee认证方法,其特征在于,在单向异构tee认证场景,对服务端网关进行部署,包括:
4.根据权利要求3所述的基于网关的异构tee认证方法,其特征在于,在单向异构tee认证场景的认证过程中,包括:
5.根据权利要求1所述的基于网关的异构tee认证方法,其特征在于,在双向异构tee认证场景,对客户端网关进行部署,包括:
6.根据权利要求5所述的基于网关的异构tee认证方法,其特征在于,在双向异构tee认证场景,对服务端网关进行部署,包括:
7....
【专利技术属性】
技术研发人员:陈文智,吴羽戴翔,魏成坤,张紫徽,
申请(专利权)人:浙江大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。