CN110138799B - 一种基于sgx的安全云存储方法 - Google Patents
一种基于sgx的安全云存储方法 Download PDFInfo
- Publication number
- CN110138799B CN110138799B CN201910461789.3A CN201910461789A CN110138799B CN 110138799 B CN110138799 B CN 110138799B CN 201910461789 A CN201910461789 A CN 201910461789A CN 110138799 B CN110138799 B CN 110138799B
- Authority
- CN
- China
- Prior art keywords
- server
- enclave
- client
- sgx
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 4
- 238000005259 measurement Methods 0.000 claims description 18
- 238000012795 verification Methods 0.000 claims description 4
- 238000004806 packaging method and process Methods 0.000 claims description 2
- 238000005538 encapsulation Methods 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 15
- 230000006399 behavior Effects 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于可信云计算技术领域,尤其涉及一种基于SGX的安全云存储方法。该方法适用于基于SGX的客户端/服务器端架构的系统,包括:可信身份认证步骤:客户端通过服务器端的可信身份认证模块与服务器端进行可信身份的双向认证,完成可信身份认证后,客户端建立与服务器端之间的会话;可信运行环境认证步骤:客户端经过可信身份认证后,通过服务器端的可信运行环境认证模块向服务器端证实服务器端运行环境的合法性;可信执行步骤:客户端通过可信通道将数据传输至服务器端的enclave,enclave对数据进行加密;云存储步骤:服务器端将加密后的数据发送至云存储服务商。该方法解决了客户端和服务器的可信认证和密钥封装的问题。
Description
技术领域
本发明属于可信云计算技术领域,尤其涉及一种基于SGX的安全云存储方法。
背景技术
在大数据浪潮的的冲击下,云存储作为云计算衍生和发展的概念,正在引领传统的存储方式向云存储方式过度。它将资源数据存储在云上,解决了传统存储不能满足的各种问题,让使用者可以在任何时间、任何地方,透过任何可连网的装置连接到云上方便地存取数据。
但是,云存储服务本身的特性就决定了会产生一系列的根本安全问题。第一,使用云存储时,用户需要上传、下载、存储数据,数据存储在服务器上的时候,有可能会遭受非法窃取或篡改;第二,云存储系统是一个相同的物理系统,没有物理的隔离和防护边界,就存在虚拟系统被越界访问等问题;第三,运行在云存储平台之上的云应用,其本身未遵循安全规则或存在应用安全漏洞,就可能导致云存储数据被非法访问或破坏等问题。
现阶段有许多针对安全云存储的解决方案,比如结合传统可信计算技术,利用硬件TPM(可信平台模块)信任链的逐级传递,为云搭建一个可信空间,只执行信任的操作,与外界不可信的空间进行隔离。它保证了可信平台内的数据不受非法窃取或篡改和不可信者的访问,同时也支持远程的身份认证和平台的完整性认证。
但是,目前只能保证程序在平台加载时的静态完整性认证,不能保证平台的运行环境可信;无法保证内存的隔离,内存泄露攻击无法防备;可信执行环境不能灵活搭建,且没有CPU层次的保护。
发明内容
(一)要解决的技术问题
针对现有存在的技术问题,本发明提供一种基于SGX的安全云存储方法,解决了客户端和服务器的可信认证和密钥封装的问题。
(二)技术方案
本发明提供一种基于SGX的安全云存储方法,其适用于基于SGX的客户端/服务器端架构的系统,该方法包括:
A1、可信身份认证步骤:客户端通过服务器端的可信身份认证模块与服务器端进行可信身份的双向认证,完成可信身份认证后,客户端建立与服务器端之间的会话;
A2、可信运行环境认证步骤:客户端经过可信身份认证后,通过服务器端的可信运行环境认证模块向服务器端证实服务器端运行环境的合法性;
A3、可信执行步骤:客户端通过可信通道将数据传输至服务器端的enclave,enclave对数据进行加密;
A4、云存储步骤:服务器端将加密后的数据发送至云存储服务商。
进一步地,所述可信身份认证步骤包括:客户端和服务器端双方共同完成身份认证,通过SGX自带的具有DAA扩展的身份认证形式,利用引用enclave访问EPID对身份信息做签名并连同身份信息结构发送给验证方,验证方接收信息,且无法得知签名方的信息,即签名方是匿名,且通过名称基模式的EPID签名能得知不同的签名是否由同一个签名者所签,在EPID被破坏攻击时能够拒绝此身份验证。
进一步地,在进行可信身份认证步骤之后,可信运行环境认证步骤之前,在服务器端创建enclave并进行初始化操作;
所述初始化操作包括将用于加密的对称加密函数、用于生成秘钥的随机数生成函数和用于认证的程序代码输入enclave,并对创建enclave的行为进行度量获得度量结果,所述度量结果存储在MRENCLAVE寄存器中。
进一步地,所述可信运行环境认证步骤包括:客户端通过SGX的扩展指令调用SGX中的SIGSTRUCT证书中的度量值与所述度量结果进行对比;
若匹配,则将SIGSTRUCT证书中的公钥进行哈希与所述度量结果一起输入SGX的控制结构中,客户端请求服务器端进行运行环境的认证,服务器端将控制结构利用平台秘钥签名发给客户端进行完整性验证;
若不匹配,则销毁当前创建的enclave,重新创建新的enclave,并重新验证运行环境。
进一步地,所述可信执行步骤包括:客户端将用户上传的数据通过可信通道传输给服务器端的enclave中后,调用已加载在enclave中的随机数生成函数生成一个对称秘钥,再调用已加载在enclave中的对称加密函数将数据进行加密,并调用SGX中seal key的公钥对所述对称秘钥和执行到此的对enclave的度量结果一起封装到磁盘中。
进一步地,该方法还包括:
A5、解密步骤:将加密的数据从云存储服务商处取出,先取出封装时的seal key的私钥,再取出封装的对称秘钥,解密出对称秘钥后,调用预先加载在enclave中的对称解密函数对数据进行解密,最后通过可信通道传给客户端,用户成功下载。
进一步地,所述用于加密的对称加密函数采用AES算法或3-DES算法。
进一步地,所述可信通道采用TNC。
(三)有益效果
本发明的有益效果是:
Intel SGX(Software Guard Extensions)的出现为增强云存储的安全性提供了有效的方法。SGX在原有的Intel架构下扩展了新的一组指令集和内存访问机制,它允许程序在一个enclave的容器中实现,利用SGX中对enclave创建前的度量,验证程序运行时的运行环境完整性,利用内存加密技术和访问控制使内存泄露的难度大大增高,将可信基缩小到CPU领域,且可创建多个enclave时相互不影响,更加方便。
enclave提供内存地址的保护,保证程序和数据的完整性和机密性,保护数据加密流程免受恶意软件的攻击。enclave的安全边界包括CPU和其自身,可以理解成从CPU层次保护的可信执行环境TEE,为云储存中数据的加密提供了更安全的执行环境。
运用Intel SGX进行可信认证,不仅完成静态平台的认证,还有满足动态运行环境的认证和身份认证,并且不需要用到可信第三方的参与。对于数据加解密的过程来说,利用SGX生成的秘钥进行秘钥封装,保证了秘钥的安全存储和加解密的安全性。
附图说明
图1为本发明方法的整体执行示意图;
图2为本发明方法的整体架构图。
具体实施方式
为了更好的解释本发明,以便于理解,下面结合附图,通过具体实施方式,对本发明作详细描述。
客户端和服务器端均部署好SGX(软件防护扩展)环境,服务器端包括三个模块:可信身份认证模块,可信运行环境认证模块,可信执行模块。
可信身份认证模块:客户端和服务器端双方共同完成身份认证,通过SGX自带的具有DAA(Direct Anonymous Attention)扩展的身份认证形式,利用引用enclave访问EPID(Enhanced Privacy ID)对身份信息做签名和身份信息结构发送给验证方,验证方接收信息,且无法得知签名方的信息,即签名方是匿名,且通过名称基模式的EPID签名能得知不同的签名是否由同一个签名者所签,在EPID被破坏攻击时能够拒绝此身份验证。
可信运行环境认证模块:客户端向服务器端发起平台运行环境的认证,服务器端接收认证请求后进行创建enclave(飞地)前的初始化,应用程序将用于加密的对称加密函数、用于生成秘钥的随机数生成函数和用于认证的程序代码输入enclave中,并在创建enclave时一步步地度量,最终得到一个创建行为序列的度量,引用飞地中的签名证书,将度量结果与签名证书的度量值比对,将度量值连同签名证书中的公钥的摘要值输入控制结构,一并发送给客户端完成完整性验证。
可信执行模块:客户端将用户上传的数据通过可信通道传输给平台的enclave中后,调用已加载在enclave中的随机数生成函数生成一个对称秘钥,再调用已加载到enclave中的对称加密算法将数据进行加密,并利用SGX的seal key的公钥对对称秘钥和执行到此的对enclave的度量值一起封装到磁盘中,使其不到解密时不能取出对称秘钥使用,保证了机密性和完整性。
实施例1
本实施例提供的基于SGX的安全云存储方法,其适用于基于SGX的客户端/服务器端架构的系统,该方法包括:
A1、可信身份认证步骤:客户端通过服务器端的可信身份认证模块与服务器端进行可信身份的双向认证,完成可信身份认证后,客户端建立与服务器端之间的会话。
服务器端接收客户端的身份认证请求,调用引用enclave的身份信息和认证请求发给应用enclave,应用enclave调用EREPORT指令把身份信息和认证请求生成一个REPORT,再利用引用enclave的报告秘钥对REPORT生成一个MAC,连同REPORT一并发给引用enclave。引用enclave通过MAC和REPORT验证其完整性和enclave是否在同一个SGX平台内,完成SGX平台内的身份认证。引用enclave调用EGETKEY指令,生成EPID对REPORT进行签名生成QUOTE报告结构,将QUOTE报告发送给客户端,同时发送身份认证请求,客户端利用EPID的公钥证书验证其身份信息。
客户端接收服务器端身份认证请求,调用引用enclave的身份信息和认证请求发给应用enclave,应用enclave调用EREPORT指令把身份信息和认证请求生成一个REPORT,再利用引用enclave的报告秘钥对REPORT生成一个MAC,连同REPORT一并发给引用enclave。引用enclave通过MAC和REPORT验证其完整性和enclave是否在同一个SGX平台内,完成SGX平台内的身份认证。引用enclave调用EGETKEY指令,生成EPID对REPORT进行签名生成QUOTE报告结构,将QUOTE报告发送给服务器端,服务器端利用EPID的公钥证书验证其身份信息,双方完成身份认证。
其次,在服务器端创建enclave并进行初始化操作:将用于加密的对称加密函数、用于生成秘钥的随机数生成函数和用于认证的程序代码输入enclave,并对创建enclave的行为进行度量获得度量结果,所述度量结果存储在MRENCLAVE寄存器中。
A2、可信运行环境认证步骤:客户端通过服务器端的可信运行环境认证模块向服务器端证实服务器端运行环境的合法性。
客户端通过SGX的扩展指令调用SGX中的SIGSTRUCT证书中的度量值与度量结果进行比对,若匹配,则将SIGSTRUCT证书中的公钥进行哈希与度量结果一起输入SGX的控制结构中,客户端请求平台端进行运行环境的认证,平台端将控制结构利用平台秘钥签名发给客户端进行完整性验证;若不匹配,则销毁当前创建的enclave,重新创建新的enclave,并重新验证运行环境。
其中,用于加密的对称加密函数采用AES算法或3-DES算法等通用安全加密文件的算法。
A3、可信执行步骤:客户端通过可信通道将数据传输至服务器端的enclave,enclave对数据进行加密。
客户端将用户上传的数据通过可信通道传输给平台端的enclave中后,调用已加载在enclave中的随机数生成函数生成一个对称秘钥,再调用已加载到enclave中的对称加密函数将数据进行加密,并调用EGETKEY指令生成seal key,用seal key的公钥对对称秘钥和执行到此的对enclave的度量结果一起封装到磁盘中,使其不到解密时不能取出对称秘钥使用,保证了机密性和完整性。
其中,所述可信通道采用TNC。
A4、云存储步骤:服务器端将加密后的数据发送至云存储服务商进行存储。
A5、解密步骤:解密时,将加密的数据从云存储服务商处取出,先取出封装的sealkey的私钥,再取出封装的对称秘钥,解密出对称秘钥后,调用加载到enclave中的对称解密函数对数据进行解密,最后通过可信通道传给客户端,用户可以成功下载。
可以想见的是,本发明也可以在服务器端同时创建多个enclave,多个enclave之间互不影响。
以上结合具体实施例描述了本发明的技术原理,这些描述只是为了解释本发明的原理,不能以任何方式解释为对本发明保护范围的限制。基于此处解释,本领域的技术人员不需要付出创造性的劳动即可联想到本发明的其它具体实施方式,这些方式都将落入本发明的保护范围之内。
Claims (6)
1.一种基于SGX的安全云存储方法,其特征在于,其适用于基于SGX的客户端/服务器端架构的系统,该方法包括:
A1、可信身份认证步骤:客户端通过服务器端的可信身份认证模块与服务器端进行可信身份的双向认证,完成可信身份认证后,客户端建立与服务器端之间的会话;
在服务器端创建enclave并进行初始化操作;
所述初始化操作包括将用于加密的对称加密函数、用于生成秘钥的随机数生成函数和用于认证的程序代码输入enclave,并对创建enclave的行为进行度量获得度量结果,所述度量结果存储在MRENCLAVE寄存器中;
A2、可信运行环境认证步骤:客户端经过可信身份认证后,通过服务器端的可信运行环境认证模块向服务器端证实服务器端运行环境的合法性;
A3、可信执行步骤:客户端通过可信通道将数据传输至服务器端的enclave,enclave对数据进行加密;
具体地,客户端将用户上传的数据通过可信通道传输给服务器端的enclave中后,调用已加载在enclave中的随机数生成函数生成一个对称秘钥,再调用已加载在enclave中的对称加密函数将数据进行加密,并调用SGX中sealkey的公钥对所述对称秘钥和执行到此的对enclave的度量结果一起封装到磁盘中;
A4、云存储步骤:服务器端将加密后的数据发送至云存储服务商。
2.根据权利要求1所述的基于SGX的安全云存储方法,其特征在于,所述可信身份认证步骤包括:客户端和服务器端双方共同完成身份认证,通过SGX自带的具有DAA扩展的身份认证形式,利用引用enclave访问EPID对身份信息做签名并连同身份信息结构发送给验证方,验证方接收信息,且无法得知签名方的信息,即签名方是匿名,且通过名称基模式的EPID签名能得知不同的签名是否由同一个签名者所签,在EPID被破坏攻击时能够拒绝此身份验证。
3.根据权利要求2所述的基于SGX的安全云存储方法,其特征在于,所述可信运行环境认证步骤包括:客户端通过SGX的扩展指令调用SGX中的SIGSTRUCT证书中的度量值与所述度量结果进行对比;
若匹配,则将SIGSTRUCT证书中的公钥进行哈希与所述度量结果一起输入SGX的控制结构中,客户端请求服务器端进行运行环境的认证,服务器端将控制结构利用平台秘钥签名发给客户端进行完整性验证;
若不匹配,则销毁当前创建的enclave,重新创建新的enclave,并重新验证运行环境。
4.根据权利要求3所述的基于SGX的安全云存储方法,其特征在于,该方法还包括:
A5、解密步骤:将加密的数据从云存储服务商处取出,先取出封装时的seal key的私钥,再取出封装的对称秘钥,解密出对称秘钥后,调用预先加载在enclave中的对称解密函数对数据进行解密,最后通过可信通道传给客户端,用户成功下载。
5.根据权利要求1所述的基于SGX的安全云存储方法,其特征在于,所述用于加密的对称加密函数采用AES算法或3-DES算法。
6.根据权利要求1所述的基于SGX的安全云存储方法,其特征在于,所述可信通道采用TNC。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910461789.3A CN110138799B (zh) | 2019-05-30 | 2019-05-30 | 一种基于sgx的安全云存储方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910461789.3A CN110138799B (zh) | 2019-05-30 | 2019-05-30 | 一种基于sgx的安全云存储方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110138799A CN110138799A (zh) | 2019-08-16 |
| CN110138799B true CN110138799B (zh) | 2020-07-17 |
Family
ID=67582920
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910461789.3A Expired - Fee Related CN110138799B (zh) | 2019-05-30 | 2019-05-30 | 一种基于sgx的安全云存储方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110138799B (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110750803B (zh) * | 2019-10-18 | 2021-04-09 | 支付宝(杭州)信息技术有限公司 | 数据提供和融合的方法及装置 |
| CN110889696A (zh) * | 2019-11-27 | 2020-03-17 | 杭州趣链科技有限公司 | 一种基于sgx技术的联盟区块链秘钥存储方法、装置、设备及介质 |
| CN111049825B (zh) * | 2019-12-12 | 2021-11-30 | 支付宝(杭州)信息技术有限公司 | 一种基于可信执行环境的安全多方计算方法和系统 |
| CN111090865B (zh) * | 2019-12-17 | 2022-01-25 | 支付宝(杭州)信息技术有限公司 | 一种密钥授权方法和系统 |
| CN111404896B (zh) * | 2020-03-06 | 2022-03-04 | 杭州云象网络技术有限公司 | 一种基于sgx的非中心身份认证方法 |
| CN113556230B (zh) * | 2020-04-24 | 2024-05-31 | 华控清交信息科技(北京)有限公司 | 数据安全传输方法、证书相关方法、服务端、系统及介质 |
| CN111611625B (zh) * | 2020-05-26 | 2023-04-07 | 牛津(海南)区块链研究院有限公司 | 云端数据完整性审计方法、装置及计算机可读存储介质 |
| CN111611620B (zh) * | 2020-05-26 | 2023-07-25 | 牛津(海南)区块链研究院有限公司 | 一种访问平台的访问请求处理方法及相关装置 |
| CN111741008B (zh) * | 2020-07-08 | 2020-12-04 | 南京红阵网络安全技术研究院有限公司 | 一种基于拟态防御原理的双向匿名认证系统及方法 |
| CN111859467B (zh) * | 2020-07-23 | 2024-03-26 | 中国工商银行股份有限公司 | 一种基于sgx的云数据完整性审计方法及装置 |
| CN112087304B (zh) * | 2020-09-18 | 2021-08-17 | 湖南红普创新科技发展有限公司 | 可信计算环境的异构融合方法、装置及相关设备 |
| CN112532380B (zh) * | 2020-11-12 | 2023-01-31 | 北京工业大学 | 一种基于sgx技术的云存储数据确定性删除方法 |
| CN112613048A (zh) * | 2020-12-18 | 2021-04-06 | 武汉科技大学 | 云存储模式下基于sgx的密钥使用次数管理方法及系统 |
| CN114884647B (zh) * | 2021-01-22 | 2024-02-20 | 腾讯科技(深圳)有限公司 | 网络访问管理方法及相关设备 |
| CN113139213A (zh) * | 2021-05-13 | 2021-07-20 | 中国工商银行股份有限公司 | 多版本数据完整性云审计方法及系统 |
| CN113282967B (zh) * | 2021-06-08 | 2022-06-10 | 湖南思码智链教育科技有限责任公司 | 基于区块链存储的法律文件电子签名方法及系统 |
| CN113810382B (zh) * | 2021-08-24 | 2023-07-11 | 东北大学秦皇岛分校 | 一种用于抵御sgx侧信道攻击的密文加载方法 |
| CN115828249A (zh) * | 2021-09-18 | 2023-03-21 | 华为云计算技术有限公司 | 基于云技术的计算节点及基于云技术的实例管理方法 |
| CN113676494B (zh) * | 2021-10-21 | 2022-01-07 | 深圳致星科技有限公司 | 集中式数据处理方法及装置 |
| CN114338201B (zh) * | 2021-12-30 | 2024-04-02 | 北京可信华泰信息技术有限公司 | 数据处理方法及其装置、电子设备及存储介质 |
| CN114553590B (zh) * | 2022-03-17 | 2023-08-22 | 抖音视界有限公司 | 数据传输方法及相关设备 |
| CN114726878B (zh) * | 2022-03-28 | 2024-02-23 | 广州广电运通金融电子股份有限公司 | 一种云端存储系统、设备和方法 |
| CN114826625B (zh) * | 2022-07-01 | 2022-09-02 | 广东电力交易中心有限责任公司 | 基于sgx的区块链密钥存储方法及评价方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109150517A (zh) * | 2018-09-04 | 2019-01-04 | 大唐高鸿信安(浙江)信息科技有限公司 | 基于sgx的密钥安全管理系统及方法 |
| CN109561110A (zh) * | 2019-01-19 | 2019-04-02 | 北京工业大学 | 一种基于sgx的云平台审计日志保护方法 |
| CN109756492A (zh) * | 2018-12-28 | 2019-05-14 | 中国人民解放军战略支援部队信息工程大学 | 基于sgx的云平台可信执行方法、装置、设备及介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10706143B2 (en) * | 2017-05-19 | 2020-07-07 | Intel Corporation | Techniques for secure-chip memory for trusted execution environments |
| US20190065406A1 (en) * | 2017-11-17 | 2019-02-28 | Intel Corporation | Technology For Establishing Trust During A Transport Layer Security Handshake |
| CN109543401B (zh) * | 2018-11-23 | 2021-05-04 | 中国人民解放军战略支援部队信息工程大学 | 基于控制流锁的sgx侧信道攻击防御方法 |
-
2019
- 2019-05-30 CN CN201910461789.3A patent/CN110138799B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109150517A (zh) * | 2018-09-04 | 2019-01-04 | 大唐高鸿信安(浙江)信息科技有限公司 | 基于sgx的密钥安全管理系统及方法 |
| CN109756492A (zh) * | 2018-12-28 | 2019-05-14 | 中国人民解放军战略支援部队信息工程大学 | 基于sgx的云平台可信执行方法、装置、设备及介质 |
| CN109561110A (zh) * | 2019-01-19 | 2019-04-02 | 北京工业大学 | 一种基于sgx的云平台审计日志保护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110138799A (zh) | 2019-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110138799B (zh) | 一种基于sgx的安全云存储方法 | |
| CN107743133B (zh) | 移动终端及其基于可信安全环境的访问控制方法和系统 | |
| CN109361668B (zh) | 一种数据可信传输方法 | |
| US11432150B2 (en) | Method and apparatus for authenticating network access of terminal | |
| Wang et al. | Enabling security-enhanced attestation with Intel SGX for remote terminal and IoT | |
| CN108418691B (zh) | 基于sgx的动态网络身份认证方法 | |
| CN110401615B (zh) | 一种身份认证方法、装置、设备、系统及可读存储介质 | |
| US20080077592A1 (en) | method and apparatus for device authentication | |
| WO2019020051A1 (zh) | 一种安全认证的方法及装置 | |
| US20220114249A1 (en) | Systems and methods for secure and fast machine learning inference in a trusted execution environment | |
| CN111683103B (zh) | 信息交互方法及装置 | |
| Wang et al. | EIDM: A ethereum-based cloud user identity management protocol | |
| CN110889696A (zh) | 一种基于sgx技术的联盟区块链秘钥存储方法、装置、设备及介质 | |
| US20220245631A1 (en) | Authentication method and apparatus of biometric payment device, computer device, and storage medium | |
| CN112087304B (zh) | 可信计算环境的异构融合方法、装置及相关设备 | |
| CN109756492A (zh) | 基于sgx的云平台可信执行方法、装置、设备及介质 | |
| CN113726733B (zh) | 一种基于可信执行环境的加密智能合约隐私保护方法 | |
| CN113037477A (zh) | 一种基于Intel SGX的Kerberos安全增强方法 | |
| CN107483388A (zh) | 一种安全通信方法及其终端和云端 | |
| CN113918967A (zh) | 基于安全校验的数据传输方法、系统、计算机设备、介质 | |
| Keleman et al. | Secure firmware update in embedded systems | |
| US20240113898A1 (en) | Secure Module and Method for App-to-App Mutual Trust Through App-Based Identity | |
| CN115834149A (zh) | 一种基于国密算法的数控系统安全防护方法及装置 | |
| CN115333779A (zh) | 一种验证数据的方法、装置及电子设备 | |
| CN114329522A (zh) | 一种私钥保护方法、装置、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200717 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |