CN110768791B - 一种零知识证明的数据交互方法、节点、设备 - Google Patents
一种零知识证明的数据交互方法、节点、设备 Download PDFInfo
- Publication number
- CN110768791B CN110768791B CN201910906993.1A CN201910906993A CN110768791B CN 110768791 B CN110768791 B CN 110768791B CN 201910906993 A CN201910906993 A CN 201910906993A CN 110768791 B CN110768791 B CN 110768791B
- Authority
- CN
- China
- Prior art keywords
- trusted
- node
- data
- challenged
- challenge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
- H04L9/3221—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供一种零知识证明的数据交互方法,用于信任挑战节点,包括:向信任被挑战节点发送零知识挑战请求;所述挑战请求,包括:随机数、指定位置数据,以便所述信任被挑战节点利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据;接收所述信任被挑战节点发送的所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书;验证所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符;根据验证结果,确定所述信任被挑战节点是否可信,以便确定是否运用TEE安全区存储的零知识验证应用程序中的(pk,vk)发送到所述信任被挑战节点。
Description
技术领域
本发明实施例涉及信息安全技术领域,具体涉及一种零知识证明的数据交互方法、节点、设备。
背景技术
比特币的确有一定的匿名性,但比特币的匿名性并非无懈可击。众所周知,由于区块链账本的公开及可追溯性,任何一个人都可以通过比特币区块链浏览器的公开信息,顺藤摸瓜查出来所有和它有往来关系的比特币账户。任何人输入一个钱包地址就能查找到这个地址发生的所有交易往来明细(金额、数量、时间、从哪里收来钱,转出去到哪里),造成个人隐私泄露。匿名币让与交易无关的闲杂人等无法窥探交易的具体信息:比如交易金额大小、参与交易双方的信息。
“零知识”证明允许一方(证明者)向另一方(验证者)证明陈述是真实的,而不会泄露超出陈述本身有效性的任何信息。例如,给定随机数的散列,证明者可以说服验证者确实存在具有该散列值的数字,而不会揭示它是什么。
在零知识的“知识证明”中,证明者不仅可以使验证者相信该数字存在(当然,他们自己也确实知道那个数字)——而且,不会泄露有关该数字的任何信息。
目前的零知识证明方案中是这样实现的,公开参数为(pk,vk),秘密参数为sk;公开参数会以明文方式分发给每一个节点,节点利用pk和原始信息x生成proof,而基于vk来验证proof。其安全是建立在(pk,vk,proof)被公开后,如果不知道sk就无法恢复原始信息x。由于sk保密,因此就保证了x的机密性。
实际上在区块链应用中因为pk,vk的公开,攻击者可以用自己定制的程序不断地进行试错,每次验证器利用pk生成可能的proof,利用vk给出是或者非的二值信息。这样结合一定技巧的暴力破解,完全有可能在已知pk,vk的前提下实现唯密文攻击,即攻击思路并不是恢复sk,而是直接基于pk,vk,proof来恢复x等。
因此,如何应用零知识证明机制,实现数据在节点间的安全传输,防止非法节点获取保护数据进行暴力破解等不正当应用,更好的保护用户隐私,是本领域技术人员亟待解决的技术问题。
发明内容
为此,本发明实施例提供一种零知识证明的数据交互方法、节点、设备,实现数据在节点间的安全传输,防止非法节点获取保护数据进行暴力破解等不正当应用,保护了用户隐私。
为了实现上述目的,本发明实施例提供如下技术方案:
第一方面,本发明实施例提供一种零知识证明的数据交互方法,用于信任挑战节点,包括:
向信任被挑战节点发送零知识挑战请求;所述挑战请求,包括:随机数、指定位置数据,以便所述信任被挑战节点利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据;
接收所述信任被挑战节点发送的所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书;
验证所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符;
根据验证结果,确定所述信任被挑战节点是否可信,以便确定是否运用TEE安全区存储的零知识验证应用程序中的(pk,vk)发送到所述信任被挑战节点。
优选地,所述验证所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML、所述AIK证书是否相符,包括:
利用所述可信平台模块TPM记录的度量日志ML,重新计算所述指定位置的签名期望数据;
判断所述指定位置签名数据是否与所述签名期望数据相符;
如果相符,则判断所述信任被挑战节点为可信节点,如果不相符则判断所述信任被挑战节点为不可信节点。
优选地,所述验证所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符,包括:
验证所述AIK证书是否为可信CA签发;
如果所述AIK证书为可信CA签发,则继续判断所述AIK证书是否在有效期内;
如果是,则判断所述信任被挑战节点为可信节点,如果否,则判断所述信任被挑战节点为不可信节点。
第二方面,本发明实施例提供一种零知识证明的数据交互方法,用于信任被挑战节点,包括:
接收信任挑战节点发送的零知识挑战请求;所述零知识挑战请求,包括:随机数、指定位置数据;
利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据;
将所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书发送到所述信任挑战节点,以便所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符,并根据验证结果,确定所述信任被挑战节点是否可信,以便确定是否将TEE安全区存储的零知识验证应用程序中的(pk,vk)发送到所述信任挑战节点。
第三方面,本发明实施例提供一种零知识证明的信任被挑战节点,应用于如第一方面任一种所述的零知识证明的数据交互方法,包括:
挑战请求发送模块,用于向信任被挑战节点发送零知识挑战请求;所述挑战请求,包括:随机数、指定位置数据,以便所述信任被挑战节点利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据;
返回数据接收模块,用于接收所述信任被挑战节点发送的所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书;
证书验证模块,用于验证所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符;
保密数据处理模块,用于根据验证结果,确定所述信任被挑战节点是否可信,以便确定是否将TEE安全区存储的零知识验证应用程序中的(pk,vk)发送到所述信任被挑战节点。
优选地,所述证书验证模块,包括:
期望数据计算单元,用于利用所述可信平台模块TPM记录的度量日志ML,重新计算所述指定位置的签名期望数据;
数据相符判断单元,用于判断所述指定位置签名数据是否与所述签名期望数据相符;
信任确定单元,用于如果相符,则判断所述信任被挑战节点为可信节点,如果不相符则判断所述信任被挑战节点为不可信节点。
优选地,所述证书验证模块,包括:
证书可信验证单元,用于验证所述AIK证书是否为可信CA签发;
有效期验证单元,用于如果所述AIK证书为可信CA签发,则继续判断所述AIK证书是否在有效期内;
可信确定单元,用于如果所述AIK证书在有效期内,则判断所述信任被挑战节点为可信节点,如果否,则判断所述信任被挑战节点为不可信节点。
第四方面,本发明实施例提供一种信任被挑战节点,应用于如上述第二方面所述的零知识证明的数据交互方法,包括:
挑战接收模块,用于接收信任挑战节点发送的零知识挑战请求;所述挑战请求,包括:随机数、指定位置数据;
签名数据得到模块,用于利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据;
返回数据发送模块,用于将所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书发送到所述信任挑战节点,以便所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符,并根据验证结果,确定所述信任被挑战节点是否可信,以便确定是否将TEE安全区存储的零知识验证应用程序中的(pk,vk)发送到所述信任挑战节点。
第五方面,本发明实施例提供一种零知识证明的数据交互设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述第一方面任一种所述的一种零知识证明的数据交互方法的步骤。
第六方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述第一方面任一种所述的一种零知识证明的数据交互方法的步骤。
本发明实施例提供一种零知识证明的数据交互方法,用于信任挑战节点,包括:向信任被挑战节点发送零知识挑战请求;所述挑战请求,包括:随机数、指定位置数据,以便所述信任被挑战节点利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据;接收所述信任被挑战节点发送的所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书;验证所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符;根据验证结果,确定所述信任被挑战节点是否可信,以便确定是否运用TEE安全区存储的零知识验证应用程序中的(pk,vk)发送到所述信任被挑战节点。本发明实施例利用TPM进行设备之间的信任交互验证,保证单个节点从上电开始的数据都存在记录,并且保证信任链从TPM模块传递到应用程序,并且应用TPM记录的数据进行节点间的信任验证,从而将信任链有设备自身延展到节点之间,在进行后续区块链交易时,应用TEE对关键的保护数据进行保护,从而实现数据在节点间的安全传输,防止非法节点获取保护数据进行暴力破解等不正当应用,保护了用户隐私。
本发明实施例提供的一种零知识证明的数据交互方法、节点、设备,具有相同的上述有益效果,在此不再一一赘述。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引申获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容得能涵盖的范围内。
图1为本发明实施例提供一种零知识证明的数据交互方法的信任挑战节点流程图;
图2为本发明实施例提供一种零知识证明的数据交互方法的签名数据验证流程图;
图3为本发明实施例提供一种零知识证明的数据交互方法的AIK证书验证流程图;
图4为本发明实施例提供一种零知识证明的数据交互方法的信任被挑战节点流程图;
图5为本发明实施例提供一种节点的组成简图;
图6为本发明一种具体实施方式中所提供的一种零知识证明的数据交互设备的结构示意图;
图7为本发明一种具体实施方式中所提供的一种计算机可读存储介质的结构示意图;
图8为本发明实施例提供一种零知识证明的信任被挑战节点的组成示意图;
图9为本发明实施例提供本发明实施例提供一种信任被挑战节点的组成示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1、图2、图3,图1为本发明实施例提供一种零知识证明的数据交互方法的信任挑战节点流程图;图2为本发明实施例提供一种零知识证明的数据交互方法的签名数据验证流程图;图3为本发明实施例提供一种零知识证明的数据交互方法的AIK证书验证流程图。
在本发明实施例的一个方面,作为单侧撰写的信任挑战节点,本发明实施例提供一种零知识证明的数据交互方法,用于信任挑战节点,包括:
步骤S11:向信任被挑战节点发送挑战请求;所述挑战请求,包括:随机数、指定位置数据,以便所述信任被挑战节点利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据;
步骤S12:接收所述信任被挑战节点发送的所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书;
步骤S13:验证所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符;
步骤S14:根据验证结果,确定所述信任被挑战节点是否可信,以便确定是否运用TEE安全区存储的零知识验证应用程序中的(pk,vk)发送到所述信任被挑战节点。
在本发明实施例中,信任挑战节点作为挑战节点,信任被挑战节点作为被挑战节点,在区块链中只有通过挑战的节点之间,才会认可proof和验证结果,否则是不会将正常的proof发给没有通过远程认证的节点进行验证,也不会对无法通过远程认证的节点发来的proof进行接受和验证。
首先,可以进行TEE、TPM可信计算,通过远程证明建立平台间的信任,最后将信任延伸到整个网络。远程证明是一个综合完整性校验和身份认证的过程,向验证者提供了一份可信的平台状态报告。具体远程证实流程为:
远程挑战者(也就是信任挑战节点)产生一个随机数nonce对信任被挑战节点,也就是可信平台客户端发起挑战请求,指定要求的PCR寄存器编号,该寄存器编号也就是制定位置,具体地也就实现了信任被挑战节点发送挑战请求;所述挑战请求,包括:随机数、指定位置数据,以便所述信任被挑战节点利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据。
在信任被挑战节点中,配备TPM的客户端与TSS交互,载入AIK(平台身份认证密钥,AttestationIdentityKey),调用Tspi_TPM_Quote接口对指定的PCR(也就是指定位置)的数据进行签名。Tspi_TPM_Quote接口的输入包括TPM对象句柄、签名密钥对象的句柄、PCR组件对象(含需要签名的PCR索引号)以及对PCR签名的相关信息。对PCR签名的相关信息包含输入数据和输出数据,输入数据指定完成签名需要的额外数据如nonce,输出数据记录签名成功后获取到的TSS_PCRS_STRUCT_INFO结构和签名的PCR值。然后将经过签名的PCR值和对应的度量日志ML和AIK证书被反馈给挑战者,此时,信任挑战节点接收所述信任被挑战节点发送的所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书。
挑战者信任挑战节点验证摘要数据块的签名也就是指定位置签名数据,检查nonce是否为自己发送的随机数。并且需要验证AIK签名的合法性,具体地,挑战者可以从TSS_PCRS_STRUCT_INFO中获取到PCR值,与nonce串联后计算其哈希值,得到SHA1(PCR||nonce);另外使用AIK证书的公钥解密已签名的PCR值,得到RSA_DecAIK,如果SHA1(PCR||nonce)==RSA_DecAIK则AIK签名是合法的,否则PCR值是已被篡改的或者nonce不是新鲜的,此时则说明信任被挑战节点不可信。其次,还需要挑战者验证AIK证书的合法性,是否为可信CA所签发;AIK证书是否仍在有效期内。挑战者信任挑战节点基于客户端状态做出下一步动作的决定。
进一步地,在本发明实施例中,为了验证所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML、所述AIK证书是否相符,具体可以实施以下步骤:
步骤S21:利用所述可信平台模块TPM记录的度量日志ML,重新计算所述指定位置的签名期望数据;
步骤S22:判断所述指定位置签名数据是否与所述签名期望数据相符;
步骤S23:如果相符,则判断所述信任被挑战节点为可信节点,如果不相符则判断所述信任被挑战节点为不可信节点。
也就是说,在此步骤中,纪要采集度量日志ML,并运用ML对指定位置PCR寄存器的数据进行签名,得到签名期望数据(次数据为信任挑战节点计算得到),也要对比PCR摘要值(也就是指定位置签名数据,此数据为信任被挑战节点计算得到)是否与期望值相符,其关键是用户读取度量日志(ML)重新计算期望值的过程。
更进一步地,为了验证所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符,包括:
步骤S31:验证所述AIK证书是否为可信CA签发;
步骤S32:如果所述AIK证书为可信CA签发,则继续判断所述AIK证书是否在有效期内;
步骤S33:如果是,则判断所述信任被挑战节点为可信节点,如果否,则判断所述信任被挑战节点为不可信节点。
具体地,可以将AIK证书发送到CA中心,验证该AIK证书是否为CA中心所签发,并且,判断所述AIK证书是否在有效期内;如果所述AIK证书在有效期内,则判断所述信任被挑战节点为可信节点,如果所述AIK证书不在有效期内,则判断所述信任被挑战节点为不可信节点。
请参考图4,图4为本发明实施例提供一种零知识证明的数据交互方法的信任被挑战节点流程图。
作为单侧撰写的有一个方面,本实施例中对信任被挑战节点进行描述。本发明实施例提供一种零知识证明的数据交互方法,用于信任被挑战节点,包括:
步骤S41:接收信任挑战节点发送的挑战请求;所述挑战请求,包括:随机数、指定位置数据;
步骤S42:利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据;
步骤S43:将所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书发送到所述信任挑战节点,以便所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符,并根据验证结果,确定所述信任被挑战节点是否可信,以便确定是否将TEE安全区存储的零知识验证应用程序中的(pk,vk)发送到所述信任挑战节点。
与信任挑战节点相对于,由于其为节点之间的数据交互方法,因此,在信任被挑战节点中,也有一些相对应的动作,主要是在接收信任挑战节点发送的挑战请求;所述挑战请求,包括:随机数、指定位置数据;利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据;将所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书发送到所述信任挑战节点,从而方便信任挑战节点进行后续动作。
本发明实施例提供一种零知识证明的数据交互方法,用于信任挑战节点、信任被挑战节点,利用TPM进行设备之间的信任交互验证,保证单个节点从上电开始的数据都存在记录,并且保证信任链从TPM模块传递到应用程序,并且应用TPM记录的数据进行节点间的信任验证,从而将信任链有设备自身延展到节点之间,在进行后续区块链交易时,应用TEE对关键的保护数据进行保护,从而实现数据在节点间的安全传输,防止非法节点获取保护数据进行暴力破解等不正当应用,保护了用户隐私。
请参考图5,图5为本发明实施例提供一种节点的组成简图。
本发明实施例提供一种节点500,应用于如上述任一种具体实施方式中所述的零知识证明的数据交互方法,用作信任挑战节点或信任被挑战节点,包括:可信平台模块TPM510,TPM控制器520;TEE安全区530,TEE控制器540;
所述TPM控制器,用于当所述节点上电时,将所述可信平台模块TPM作为信任根,建立物理硬件层到应用层的信任链,以便所述节点运行可信的应用程序,记录的度量日志ML;
所述TEE安全区,用于存储所述应用程序的预设保护数据;
所述TEE控制器,用于根据预设判断条件,判断是否发送所述预设保护数据到指定设备。
进一步地,所述TPM控制器,具体用于在CPU上电后,所述CPU度量BIOS,所述BIOS度量物理硬件,所述物理硬件度量MBR,所述MBR度量OSLoader,逐级存储度量结果到所述TPM;所述OSLoader度量应用程序的加载项,逐级存储度量结果到所述可信平台模块TPM。
更进一步地,所述TEE控制器,具体用于通过TEE内部接口访问安全核心管理下的计算资源,进行安全应用的加载和调度管理;接收安全核心转发的来自普通应用的安全功能请求,并返回相应的计算结果。
也就是说,区块链中的每个节点都可以采用本实施例中的节点500的技术方案,而每个节点都基于TPM,确保每一个节点都运行给定的应用程序,实现节点可信。对于物理平台的完整性而言,可信计算技术提供了一种基于硬件的平台完整性保护方案,以TCG组织提出的可信平台模块TPM为信任根,从主机上电开始,到BIOS启动、GRUB及操作系统内核加载的整个过程中逐级建立信任链,通过完整性度量架构(IntegrityMeasurementArchitecture,IMA)将信任链扩展到应用层,并借助远程证实协议允许远程用户证实平台的完整性。而实现的可信安全监控可以被本地和远程实体信任,实体包括用户,软件,实现了系统行为的完整性和系统的完整性。通过TPM硬件级底层加载实现信息系统可信白名单HASH码证实从而实现对异常进程加载感知。
在上述具体实施方式的基础上,本实施例中,可以将节点中运行的应用程序设定为零知识验证应用程序;所述预设保护数据为零知识验证应用程序中的(pk,vk)。也就是说,将零知识验证过程中使用到的程序使用TPM模块保证其受信任,而采用TEE安全区保护(pk,vk)等一些需要保护的数据,从而实现数据的安全保护。
为安全代码提供可信执行环境实现安全目标,将pk和vk存放在被保护的TEE安全区内,确保pk、vk不会被泄露,同时又可以正常使用。TEE安全包括:TEE执行环境的构建和将TEE安全功能安全地提供给依赖方等两个方面的安全要求。
TEE硬件安全基础主要表现在两个方面:运行环境的隔离机制和信任根。
1)硬件安全隔离机制:CPU被隔离为安全域和非安全域。每个域都支持用户模式和特权模式。计算资源控制器的隔离策略可以通过操作对应的寄存器实现配置。只有安全特权代码才有权限操作这些控制寄存器,进行隔离策略配置。
2)TEE的信任根:安全隔离提供了TEE动态运行环境安全保护。TEE动态运行环境的构建和安全功能的可信提供还需安全根的支持。验证安全根通过预置验证证书和可信的验证算法,实现对发送到终端设备的信息的验证。度量安全根是一组度量函数。这些函数能够对度量对象进行计算,形成度量结果。
不同的安全应用需要不同安全策略的TEE支持。安全应用运行在安全域的用户模式,通过TEE内部接口访问安全核心管理下的各种计算资源,并在安全核心的控制下进行安全应用的加载和调度管理。安全应用作为服务提供方,接收安全核心转发的来自普通应用的安全功能请求,并返回相应的计算结果。
请参考图6、图7,图6为本发明一种具体实施方式中所提供的一种零知识证明的数据交互设备的结构示意图;图7为本发明一种具体实施方式中所提供的一种计算机可读存储介质的结构示意图。
本发明实施例提供的零知识证明的数据交互设备600,包括:
存储器610,用于存储计算机程序;
处理器620,用于执行所述计算机程序时实现如上述第一方面所述任一种零知识证明的数据交互方法的步骤。该计算机程序存储于存储器610中的用于程序代码存储的空间中,该计算机程序有处理器620执行时实现任一种本发明实施例中的方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一种具体实施方式所述任一种零知识证明的数据交互方法的步骤。
请参考图8、图9;图8为本发明实施例提供一种零知识证明的信任被挑战节点的组成示意图;图9为本发明实施例提供本发明实施例提供一种信任被挑战节点的组成示意图。
本发明实施例提供一种零知识证明的信任被挑战节点800,应用于上述任一种实施例中所述的零知识证明的数据交互方法,包括:
挑战请求发送模块810,用于向信任被挑战节点发送零知识挑战请求;所述挑战请求,包括:随机数、指定位置数据,以便所述信任被挑战节点利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据;
返回数据接收模块820,用于接收所述信任被挑战节点发送的所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书;
证书验证模块830,用于验证所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符;
保密数据处理模块840,用于根据验证结果,确定所述信任被挑战节点是否可信,以便确定是否将TEE安全区存储的零知识验证应用程序中的(pk,vk)发送到所述信任被挑战节点。
优选地,所述证书验证模块830,包括:
期望数据计算单元,用于利用所述可信平台模块TPM记录的度量日志ML,重新计算所述指定位置的签名期望数据;
数据相符判断单元,用于判断所述指定位置签名数据是否与所述签名期望数据相符;
信任确定单元,用于如果相符,则判断所述信任被挑战节点为可信节点,如果不相符则判断所述信任被挑战节点为不可信节点。
优选地,所述证书验证模块830,包括:
证书可信验证单元,用于验证所述AIK证书是否为可信CA签发;
有效期验证单元,用于如果所述AIK证书为可信CA签发,则继续判断所述AIK证书是否在有效期内;
可信确定单元,用于如果所述AIK证书在有效期内,则判断所述信任被挑战节点为可信节点,如果否,则判断所述信任被挑战节点为不可信节点。
本发明实施例提供一种信任被挑战节点900,应用于上述任一实施例所述的零知识证明的数据交互方法,包括:
挑战接收模块910,用于接收信任挑战节点发送的零知识挑战请求;所述挑战请求,包括:随机数、指定位置数据;
签名数据得到模块920,用于利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据;
返回数据发送模块930,用于将所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书发送到所述信任挑战节点,以便所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符,并根据验证结果,确定所述信任被挑战节点是否可信,以便确定是否将TEE安全区存储的零知识验证应用程序中的(pk,vk)发送到所述信任挑战节点。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置,设备和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,功能调用设备,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (7)
1.一种零知识证明的数据交互方法,用于信任挑战节点,其特征在于,包括:
向信任被挑战节点发送零知识挑战请求;所述挑战请求,包括:随机数、指定位置数据,以便所述信任被挑战节点利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据;
接收所述信任被挑战节点发送的所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书;
验证所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符;
根据验证结果,确定所述信任被挑战节点是否可信,以便确定是否运用TEE安全区存储的零知识验证应用程序中的(pk,vk)发送到所述信任被挑战节点;
所述验证所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML、所述AIK证书是否相符,包括:
利用所述可信平台模块TPM记录的度量日志ML,重新计算所述指定位置的签名期望数据;
判断所述指定位置签名数据是否与所述签名期望数据相符;
如果相符,则判断所述信任被挑战节点为可信节点,如果不相符则判断所述信任被挑战节点为不可信节点;
所述验证所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符,包括:
验证所述AIK证书是否为可信CA签发;
如果所述AIK证书为可信CA签发,则继续判断所述AIK证书是否在有效期内;
如果是,则判断所述信任被挑战节点为可信节点,如果否,则判断所述信任被挑战节点为不可信节点;
用于信任被挑战节点,包括:
接收信任挑战节点发送的零知识挑战请求;所述零知识挑战请求,包括:随机数、指定位置数据;
利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据;
将所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书发送到所述信任挑战节点,以便所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符,并根据验证结果,确定所述信任被挑战节点是否可信,以便确定是否将TEE安全区存储的零知识验证应用程序中的(pk,vk)发送到所述信任挑战节点。
2.一种零知识证明的信任被挑战节点,应用于如权利要求1所述的零知识证明的数据交互方法,其特征在于,包括:
挑战请求发送模块,用于向信任被挑战节点发送零知识挑战请求;所述挑战请求,包括:随机数、指定位置数据,以便所述信任被挑战节点利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据;
返回数据接收模块,用于接收所述信任被挑战节点发送的所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书;
证书验证模块,用于验证所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符;
保密数据处理模块,用于根据验证结果,确定所述信任被挑战节点是否可信,以便确定是否将TEE安全区存储的零知识验证应用程序中的(pk,vk)发送到所述信任被挑战节点。
3.根据权利要求2所述的信任被挑战节点,其特征在于,
所述证书验证模块,包括:
期望数据计算单元,用于利用所述可信平台模块TPM记录的度量日志ML,重新计算所述指定位置的签名期望数据;
数据相符判断单元,用于判断所述指定位置签名数据是否与所述签名期望数据相符;
信任确定单元,用于如果相符,则判断所述信任被挑战节点为可信节点,如果不相符则判断所述信任被挑战节点为不可信节点。
4.根据权利要求2所述的信任被挑战节点,其特征在于,
所述证书验证模块,包括:
证书可信验证单元,用于验证所述AIK证书是否为可信CA签发;
有效期验证单元,用于如果所述AIK证书为可信CA签发,则继续判断所述AIK证书是否在有效期内;
可信确定单元,用于如果所述AIK证书在有效期内,则判断所述信任被挑战节点为可信节点,如果否,则判断所述信任被挑战节点为不可信节点。
5.一种信任被挑战节点,应用于如权利要求1所述的零知识证明的数据交互方法,其特征在于,包括:
挑战接收模块,用于接收信任挑战节点发送的零知识挑战请求;所述挑战请求,包括:随机数、指定位置数据;
签名数据得到模块,用于利用自身的可信平台模块TPM、所述随机数对所述指定位置的数据进行签名,得到指定位置签名数据;
返回数据发送模块,用于将所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和AIK证书发送到所述信任挑战节点,以便所述信任挑战节点验证所述指定位置签名数据、所述可信平台模块TPM记录的度量日志ML和所述AIK证书是否相符,并根据验证结果,确定所述信任被挑战节点是否可信,以便确定是否将TEE安全区存储的零知识验证应用程序中的(pk,vk)发送到所述信任挑战节点。
6.一种零知识证明的数据交互设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1所述一种零知识证明的数据交互方法的步骤。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1所述一种零知识证明的数据交互方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910906993.1A CN110768791B (zh) | 2019-09-24 | 2019-09-24 | 一种零知识证明的数据交互方法、节点、设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910906993.1A CN110768791B (zh) | 2019-09-24 | 2019-09-24 | 一种零知识证明的数据交互方法、节点、设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110768791A CN110768791A (zh) | 2020-02-07 |
| CN110768791B true CN110768791B (zh) | 2022-11-04 |
Family
ID=69330370
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910906993.1A Active CN110768791B (zh) | 2019-09-24 | 2019-09-24 | 一种零知识证明的数据交互方法、节点、设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110768791B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111444541B (zh) * | 2020-03-27 | 2022-09-09 | 苏州链原信息科技有限公司 | 用于生成数据均值零知识证明的方法、设备及存储介质 |
| CN111447072B (zh) * | 2020-03-27 | 2022-04-15 | 苏州链原信息科技有限公司 | 用于生成数据等价零知识证明的方法、设备及存储介质 |
| CN111600844A (zh) * | 2020-04-17 | 2020-08-28 | 丝链(常州)控股有限公司 | 一种基于零知识证明的身份分发和认证方法 |
| CN112165399B (zh) * | 2020-09-24 | 2023-07-14 | 北京八分量信息科技有限公司 | 基于可信根度量进行区块链节点故障的处理方法、装置及相关产品 |
| CN112235379B (zh) * | 2020-09-30 | 2021-09-24 | 电子科技大学 | 一种区块链底层共享存储方法 |
| CN112804203B (zh) * | 2020-12-30 | 2022-10-11 | 北京八分量信息科技有限公司 | 互联网节点的认证方法、装置及相关产品 |
| CN113364583B (zh) * | 2021-05-31 | 2024-05-21 | 山东中科好靓基础软件技术有限公司 | 一种基于去中心化网络的远程验证方法 |
| CN113289344A (zh) * | 2021-06-04 | 2021-08-24 | 杭州复杂美科技有限公司 | 一种区块链游戏方法、设备及储存介质 |
| CN115208585B (zh) * | 2022-09-07 | 2022-11-18 | 环球数科集团有限公司 | 一种基于零知识证明的数据交互方法与系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1717895A (zh) * | 2002-11-27 | 2006-01-04 | 英特尔公司 | 用于在不泄露身份的情况下建立信任的系统和方法 |
| CN101477602A (zh) * | 2009-02-10 | 2009-07-08 | 浪潮电子信息产业股份有限公司 | 一种可信计算环境中远程证明的方法 |
| CN102970682A (zh) * | 2012-12-10 | 2013-03-13 | 北京航空航天大学 | 一种应用于可信移动终端平台的直接匿名证明方法 |
| CN104333451A (zh) * | 2014-10-21 | 2015-02-04 | 广东金赋信息科技有限公司 | 一种可信自助服务系统 |
| CN107104804A (zh) * | 2017-05-10 | 2017-08-29 | 成都麟成科技有限公司 | 一种平台完整性验证方法和装置 |
| CN110224837A (zh) * | 2019-06-06 | 2019-09-10 | 西安纸贵互联网科技有限公司 | 基于分布式身份标识的零知识证明方法及终端 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1617587A1 (en) * | 2004-07-12 | 2006-01-18 | International Business Machines Corporation | Method, system and computer program product for privacy-protecting integrity attestation of computing platform |
| CN109714168B (zh) * | 2017-10-25 | 2022-05-27 | 阿里巴巴集团控股有限公司 | 可信远程证明方法、装置和系统 |
-
2019
- 2019-09-24 CN CN201910906993.1A patent/CN110768791B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1717895A (zh) * | 2002-11-27 | 2006-01-04 | 英特尔公司 | 用于在不泄露身份的情况下建立信任的系统和方法 |
| CN101477602A (zh) * | 2009-02-10 | 2009-07-08 | 浪潮电子信息产业股份有限公司 | 一种可信计算环境中远程证明的方法 |
| CN102970682A (zh) * | 2012-12-10 | 2013-03-13 | 北京航空航天大学 | 一种应用于可信移动终端平台的直接匿名证明方法 |
| CN104333451A (zh) * | 2014-10-21 | 2015-02-04 | 广东金赋信息科技有限公司 | 一种可信自助服务系统 |
| CN107104804A (zh) * | 2017-05-10 | 2017-08-29 | 成都麟成科技有限公司 | 一种平台完整性验证方法和装置 |
| CN110224837A (zh) * | 2019-06-06 | 2019-09-10 | 西安纸贵互联网科技有限公司 | 基于分布式身份标识的零知识证明方法及终端 |
Non-Patent Citations (2)
| Title |
|---|
| 基于ZKV方法的远程证明AIK证书生成协议;彭新光等;《计算机工程与科学》;20121115;第34卷(第11期);第55-61页 * |
| 新的可重置的单轮零知识证明;赵建;《计算机应用》;20130630;第33卷;第151-153页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110768791A (zh) | 2020-02-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110768791B (zh) | 一种零知识证明的数据交互方法、节点、设备 | |
| JP6151402B2 (ja) | データセンタへのプラットフォームの内包検証 | |
| US10397005B2 (en) | Using a trusted execution environment as a trusted third party providing privacy for attestation | |
| EP2080142B1 (en) | Attestation of computing platforms | |
| Poritz et al. | Property attestation—scalable and privacy-friendly security assessment of peer computers | |
| US7526649B2 (en) | Session key exchange | |
| US20150113618A1 (en) | Verifying the security of a remote server | |
| US20090019285A1 (en) | Establishing a Trust Relationship Between Computing Entities | |
| JP2004508619A (ja) | トラステッド・デバイス | |
| CN110061842A (zh) | 带外远程认证 | |
| WO2006002282A1 (en) | Systems and methods for performing secure communications between an authorized computing platform and a hardware component | |
| US20040010686A1 (en) | Apparatus for remote working | |
| Hernandez-Ardieta et al. | A taxonomy and survey of attacks on digital signatures | |
| Leicher et al. | Implementation of a trusted ticket system | |
| US20020120876A1 (en) | Electronic communication | |
| Salvakkam et al. | MESSB–LWE: multi-extractable somewhere statistically binding and learning with error-based integrity and authentication for cloud storage | |
| Vinh et al. | Property‐based token attestation in mobile computing | |
| CN111147233B (zh) | Abe属性加密可信实现方法及节点 | |
| Stumpf et al. | Towards secure e-commerce based on virtualization and attestation techniques | |
| CN118300814A (zh) | 一种跨平台登录方法及系统 | |
| Cheng et al. | Per-user network access control kernel module with secure multifactor authentication | |
| Faxö | Trusted terminal-based systems | |
| CN115549948A (zh) | 一种基于可信计算的去中心信任链认证方法、系统及介质 | |
| Sheng et al. | An online user authentication scheme for web-based services | |
| Leicher et al. | Trusted Ticket Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |