CN111753308A - 一种信息验证方法及电子设备 - Google Patents
一种信息验证方法及电子设备 Download PDFInfo
- Publication number
- CN111753308A CN111753308A CN202010596762.8A CN202010596762A CN111753308A CN 111753308 A CN111753308 A CN 111753308A CN 202010596762 A CN202010596762 A CN 202010596762A CN 111753308 A CN111753308 A CN 111753308A
- Authority
- CN
- China
- Prior art keywords
- trusted execution
- execution environment
- attestation
- report
- electronic device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种信息验证方法及设备,所述方法应用于第一电子设备,所述第一电子设备对应于区块链的第一节点,所述方法包括:生成用于验证所述第一电子设备上的第一可信执行环境的远程证明;验证所述远程证明的合法性,得到第一证明报告;其中,所述第一证明报告表征所述远程证明是否合法;控制所述第一可信执行环境生成用于表征第二可信执行环境是否合法的第二证明报告;其中,所述第一可信执行环境对应至少一个所述第二可信执行环境;将所述第一证明报告、所述第二证明报告和标识信息储存至所述区块链中,以供第二电子设备进行验证,所述第二电子设备对应于所述区块链的第二节点。
Description
技术领域
本申请涉及计算机领域中的信息验证技术,尤其涉及一种信息验证方法和电子设备。
背景技术
随着网络技术的不断发展,数据安全越来越受到人们的重视;其中,因特尔软件保护扩展(Intel Software Guard Extensions,Intel SGX)就是一种基于硬件的计算和数据保护技术。SGX的保护方式就是将合法软件的安全操作封装在对应的Enclave中,保护其不受恶意软件的攻击。在实际应用中,Enclave可以部署在相同管理域中,也可以部署在不同管理域中。不论数据部署在相同管理域中还是不同管理域中,都存在硬件伪造等不可控制的风险;因此需要对Enclave中的数据进行验证。
发明内容
本申请实施例的目的在于提供一种信息验证方法及设备。
本申请的实施例采用了如下技术方案:一种信息验证方法,所述方法应用于第一电子设备,所述第一电子设备对应于区块链的第一节点,所述方法包括:
生成用于验证所述第一电子设备上的第一可信执行环境的远程证明;
验证所述远程证明的合法性,得到第一证明报告;其中,所述第一证明报告表征所述远程证明是否合法;
控制所述第一可信执行环境生成用于表征第二可信执行环境是否合法的第二证明报告;其中,所述第一可信执行环境对应至少一个所述第二可信执行环境;
将所述第一证明报告、所述第二证明报告和标识信息储存至所述区块链中,以供第二电子设备进行验证,所述第二电子设备对应于所述区块链的第二节点。
可选的,所述生成用于验证所述第一电子设备上的第一可信执行环境的远程证明,具体包括:
控制所述第一可信执行环境基于所述第一可信执环境的参数信息生成所述远程证明;
其中,所述第一可信执环境的参数信息包括如下一种或几种:第一可信执行环境对应硬件模组的硬件信息以及所述第一可信执行环境存储的数据信息。
可选的,所述验证所述远程证明的合法性,得到第一证明报告,具体包括:
将所述远程证明发送至目标验证设备;其中,所述目标验证设备的可信等级大于预设等级;
接收所述目标验证设备反馈的针对所述远程证明进行验证后所得到的第一证明报告。
可选的,所述控制所述第一可信执行环境生成用于表征第二可信执行环境是否合法的第二证明报告,具体包括:
控制所述第二可信执行环境基于所述第二可信执行环境的参数信息生成本地证明;其中,所述第二可信执行环境的参数信息包括如下一种或几种:第二可信执行环境对应硬件模组的硬件信息以及所述第二可信执行环境存储的数据信息;
控制所述第一可信执行环境基于所述本地证明生成用于表征第二可信执行环境是否合法的第二证明报告。
可选的,所述标识信息包括:与第一可信执行环境对应的第一标识和与第二可信执行环境对应的第二标识。
可选的,所述将所述第一证明报告、所述第二证明报告和标识信息储存至所述区块链中,具体包括:
调用所述区块链中与所述标识信息对应的智能合约,以将所述第一证明报告、所述第二证明报告以及标识信息存储到所述区块链中。
本申请提供一种信息验证方法,所述方法应用与第二电子设备,所述第二电子设备对应于区块链的第二节点,所述方法包括:
从所述区块链中获取第一电子设备的第一可信执行环境的第一证明报告以及与第一可信执行环境对应的第二可信执行环境的第二证明报告;其中,所述第一可信执行环境至少对应一个所述第二可信执行环境;
对所述第一证明报告以及所述第二证明报告进行合法性的验证,以确定所述第一电子设备的第二可信执行环境是否合法。
可选的,所述从所述区块链中获取第一电子设备的第一可信执行环境的第一证明报告以及与第一可信执行环境对应的第二可信执行环境的第二证明报告,具体包括:
获取标识信息;其中,所述标识信息包括:与第一可信执行环境对应的第一标识和与第二可信执行环境对应的第二标识;
基于所述标识信息以及预设的验证程序调用所述区块链中与所述标识信息对应的智能合约,以从所述区块链中获取所述第一证明报告以及所述第二证明报告。
可选的,所述对所述第一证明报告以及所述第二证明报告进行合法性的验证,以确定所述第一电子设备的第二可信执行环境是否合法,具体包括:
对所述第一证明报告进行处理,获得所述第一证明报告中的第一可信执行环境的参数信息;
对所述第一可信执行环境的参数信息进行验证,获得第一验证结果;
对所述第二证明报告进行处理,获得所述第二证明报告中的第二可信执行环境的参数信息;
对所述第二可信执行环境的参数信息进行验证,获得第二验证结果;
基于所述第一验证结果和所述第二验证结果,确定所述第一电子设备的第二可信执行环境是否合法。
可选的,所述第一可信执行环境的参数信息包括如下一种或几种;第一可信执行环境对应硬件模组的硬件信息以及所述第一可信执行环境存储的数据信息;
所述第二可信执行环境的参数信息包括如下一种或几种:第二可信执行环境的硬件信息以及所述第二可信执行环境存储的数据信息。
本申请提供一种第一电子设备,所述第一电子设备对应于区块链的第一节点,所述第一电子设备包括:
第一生成单元,用于生成用于验证所述第一电子设备上的第一可信执行环境的远程证明;
验证单元,用于验证所述远程证明的合法性,得到第一证明报告;其中,所述第一证明报告表征所述远程证明是否合法;
第二生成单元,用于控制所述第一可信执行环境生成用于表征第二可信执行环境是否合法的第二证明报告;其中,所述第一可信执行环境对应至少一个所述第二可信执行环境;
存储单元,用于将所述第一证明报告、所述第二证明报告和标识信息储存至所述区块链中,以供第二电子设备进行验证,所述第二电子设备对应于所述区块链的第二节点。
本申请通过先对第一电子设备中的第一可信执行环境进行合法性验证,由于第一可信执行环境经过证明为合法,那么基于该合法的第一可信执行环境生成的第二证明报告就可以认为是可以信任的,由此后续就可以直接利用第一可信执行环境来根据第一电子设备中的各第二可信执行环境是否合法生成第二证明报告,即利用第一可信执行环境直接对各第二可信执行环境进行合法性验证,而不需要第三方电子设备或服务的介入,因此提高了对第二可信执行环境的验证效率,并且降低了对第二可信执行环境的验证成本。
附图说明
图1为本申请实施例提供的一种信息验证方法的流程示意图;
图2为本申请又一实施例提供的一种信息验证方法的流程示意图;
图3为本申请另一实施例提供的一种信息验证方法的流程示意图;
图4为本申请又一实施例提供的一种信息验证方法的流程示意图;
图5为本申请一实施例提供的一种第一电子设备的结构示意图;
图6为本申请又一实施例提供的一种第二电子设备的结构示意图。
具体实施方式
此处参考附图描述本申请的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
本申请一实施例提供一种信息验证方法,该方法应用于第一电子设备,所述第一电子设备对应于区块链的第一节点。本实施例中第一电子设备可以是不被其他电子设备信任的电子设备,当其他电子设备与第一电子设备进行通信时,就需要对第一电子设备进行信息验证,以确定第一电子设备中的第一可信执行环境以及第二可信执行环境是否合法、安全,进而保证其他电子设备的安全。如图1所示,本实施例中的信息验证方法包括如下步骤:
步骤S101,生成用于验证所述第一电子设备上的第一可信执行环境的远程证明;
本步骤中第一电子设备中设置有第一可信执行环境以及若干第二可信执行环境,具体的,第一可信执行环境可以是由平台服务提供商开发的Enclave;第二可信执行环境可以是根据应用需要所开发的应用Enclave,用于存放相应应用的程序代码等数据信息。本实施例中第一可信执行环境和第二可信执行环境中存储的数据和代码等信息能被对应的硬件模组和自身访问。在第二电子设备需要和第一电子设备中的第一可信执行环境和第二可信执行环境进行通信之前,就需要对第一电子设备的第一可信执行环境以及第二可信执行环境的合法性进行确认。本步骤中的远程证明可以是第一电子设备根据第一可信执行环境的参数信息生成的。
步骤S102,验证所述远程证明的合法性,得到第一证明报告;其中,所述第一证明报告表征所述远程证明是否合法;
本步骤中,在第一可信执行环境生成远程证明后,第一电子设备可以自己验证该远程证明的合法性以此来获得第一证明报告,也可以通过第三方来验证该远程证明的合法性来获得第一证明报告,例如通过Intel IAS来对该远程证明进行合法性证明,以此来获得第一证明报告。
步骤S103,控制所述第一可信执行环境生成用于表征第二可信执行环境是否合法的第二证明报告;其中,所述第一可信执行环境对应至少一个所述第二可信执行环境;
本步骤中,在第一可信执行环境完成合法性的证明后,并在确定第一可信执行环境为合法时,可以直接基于第一可信执行环境来对第二可信执行环境进行合法性的验证。由于第一可信执行环境经过证明为合法,那么基于该合法的第一可信执行环境生成的第二证明报告就可以认为是可以信任的,由此便于其他电子设备根据第二证明报告来确定第二可信执行环境是否合法。
本步骤在具体实施过程中,第一可信执行环境可以对第二可信执行环境生成的本地证明进行验证,以此来获得用于表征第二可信执行环境是否合法的第二证明报告。
步骤S104,将所述第一证明报告、所述第二证明报告和标识信息储存至所述区块链中,以供第二电子设备进行验证,所述第二电子设备对应于所述区块链的第二节点。
本步骤中,标识信息包括与第一可信执行环境对应的第一标识以及与第二可信执行环境对应的第二标识;第一标识用于唯一标识第一可信执行环境;第二标识用于唯一标识第二可信执行环境。具体的可以基于预定的规则预先为第一可信执行环境以及第二可信执行环境分配相应的标识,也可以基于第一可信执行环境以及第二可信执行环境的自身的特征来生成唯一的标识。
本步骤中在获得第一证明报告、第二证明报告之后,就可以根据第一标识以及第二标识来调用区块链中的相应的智能合约,以此来将第一证明报告、第二证明报告以及标识信息存储到区块链中;以便于其他电子设备根据标识信息来获取相应的第一证明报告和第二证明报告,然后再根据第一证明报告和第二证明报告来确定第一电子设备的第一可信执行环境以及第二可信执行环境会否合法、安全。
本实施例中通过先对第一可信执行环境的远程证明进行合法性的验证来生成第一证明报告,然后再基于第一可信执行环境来直接对第二可信执行环境的是否合法的进行验证生成第二证明报告,由此不需要再利用其他第三方设备或服务来对第二可信执行环境进行合法性的验证,其他第二电子设备在获得第二证明报告以及第二证明报告时就能根据第一证明报告以及第二证明报告来确定第一可信执行环境以及第二可信执行环境是否安全。例如第二电子设备在获得第一证明报告后确定远程证明为合法时,那么就可以确认第一可信执行环境是安全的,第二电子设备进一步就可以直接根据第二证明报告来确定第二可信执行环境是否为安全。
本申请又一实施例提供一种信息验证方法,该方法应用于第一电子设备,所述第一电子设备对应于区块链的第一节点,如图2所示,该方法包括如下步骤:
步骤S201,控制所述第一可信执行环境基于所述第一可信执环境的参数信息生成所述远程证明;
本步骤中,第一可信执环境的参数信息包括如下一种或几种:第一可信执行环境对应硬件模组的硬件信息以及所述第一可信执行环境存储的数据信息。其中,第一可信执行环境对应的硬件模组用于访问第一可信执行环境,第一可信执行环境的硬件信息包括如下一种或几种:硬件环境、硬件型号、硬件的序列号等参数。第一可信执行环境存储的数据信息可以包括软件的二进制内容和软件的代码等信息。
步骤S202,将所述远程证明发送至目标验证设备;
本步骤中,目标验证设备的可信等级大于预设等级。本步骤在具体实施过程中,可以通过将远程证明发送至目标验证设备,利用目标验证设备来对远程证明进验证,具体的目标验证设备可以是服务器或者是可信任的电子设备;其可信等级指的是可被信任的级别,预设等级可以是预先设定的能够保证数据安全性的等级。
步骤S203接收所述目标验证设备反馈的针对所述远程证明进行验证后所得到的第一证明报告。
本步骤在具体实施过程中,可以是服务器或者是可信任的电子设备。以目标验证设备为预设的服务提供商为例:第一电子设备通过将远程证明发送给该服务提供商,该服务提供商可以通过英特尔网络认证服务(Intel Attestation Sevice,Intel IAS)对远程证明的合法性进行验证并生成第一证明报告,之后将该第一证明报告发送给第一电子设备。
步骤S204,控制所述第二可信执行环境基于所述第二可信执行环境的参数信息生成本地证明;
其中,所述第二可信执行环境的参数信息包括如下一种或几种:第二可信执行环境对应硬件模组的硬件信息以及所述第二可信执行环境存储的数据信息。第二可信执行环境对应的硬件模组用于访问第二可信执行环境,第二可信执行环境的硬件信息包括如下一种或几种:硬件环境、硬件型号、硬件的序列号等参数。第二可信执行环境存储的数据信息可以包括软件的二进制内容和软件的代码等信息。
步骤S205,控制所述第一可信执行环境基于所述本地证明生成用于表征第二可信执行环境是否合法的第二证明报告;
本步骤中在第一电设备获得用于表征第一可信执行环境是否合法的第一证明报告后,就可以控制第一可信执行环境来直接对第二可信执行环境的本地证明是否合法进行验证,以此来生成第二证明报告。无需再利用目标验证设备或其他第三方电子设备来对本地证明进行验证,由此能够降低验证成本,并且还能够降低目标验证设备或其他第三方电子设备的验证压力。并且由于是直接基于第一电子设备的中的第一可信执行环境来对本地证明进行验证的,因此提高了验证速度。另外,由于第二可信执行环境不需要与目标验证设备或其他第三方电子设备进行通信,由此能够提高了提升第二可信执行环境的启动速度。
步骤S206,将所述第一证明报告、所述第二证明报告和标识信息储存至所述区块链中,以供第二电子设备进行验证,所述第二电子设备对应于所述区块链的第二节点。
本步骤在具体实施过程中,可以通过调用区块链中与所述标识信息对应的智能合约,以此来将所述第一证明报告、所述第二证明报告以及标识信息存储到所述区块链中。在具体实施过程中,标识信息包括与第一可信执行环境对应的第一标识以及与第二可信执行环境对应的第二标识,在调用智能合约时,也是分别基于第一标识以及第二标识来调用相应的智能合约的。即根据第一标识来调用区块链中的与第一标识对应的第一智能合约,基于第一智能合约将所述第一证明报告以及第一标识存储至区块链中;根据第二标识来调用区块链中的与第二标识对应的第二智能合约,基于第二智能合约将所述第二证明报告以及第二标识存储至区块链中。这样当第二电子设备确认第一电子设备中的第一可信执行环境以及第二可信执行环境是否安全时,就可根据第一标识以及第二标识来从所述区块链中获取到相应的第一证明报告以及第二证明报告,根据第一证明报告以及第二证明报告确定第一可信执行环境以及第二可信执行环境是否安全。
本申请另一实施提供一种信息验证方法,该方法应用于第二电子设备,所述第二电子设备对应于区块链的第二节点。本实施例中第二电子设备是需要与第一电子设备进行通信的电子设备,而第一电子设备不被第二电子设备所信任,因此在与第一电子设备进行通信之前需要对第一电子设备进行信息验证,以确定第一电子设备中的第一可信执行环境以及第二可信执行环境是否合法,进而保证第二电子设备的安全。如图3所示,本实施例中的信息验证方法包括如下步骤:
步骤S301,从所述区块链中获取第一电子设备的第一可信执行环境的第一证明报告以及与第一可信执行环境对应的第二可信执行环境的第二证明报告;
本步骤中第一可信执行环境至少对应一个所述第二可信执行环境;本步骤中第一电子设备中设置有第一可信执行环境以及若干第二可信执行环境,具体的,第一可信执行环境可以是由平台服务提供商开发的Enclave;第二可信执行环境可以是由用户开发的Enclave。第一可信执行环境和第二可信执行环境中存储的数据和代码等信息只能被对应的中央处理器(Center Processing Unit,CPU)和自身访问,其它任何对象都无法访问,在第二电子设备需要和第一电子设备中的第一可信执行环境和第二可信执行环境进行通信之前,可以通过获取第一证明报告以及第二证明报告来对确定第一可信执行环境以及第二可信执行环境的是否合法。
步骤S302,对所述第一证明报告以及所述第二证明报告进行合法性的验证,以确定所述第一电子设备的第二可信执行环境是否合法。
本实施例在具体实施过程中,可以直接基于第一证明报告以及第二证明报告中的内容来确定第二可信执行环境是否安全。或者也可以通过预设的加密算法来对第一证明报告以及第二证明报告进行解密,如果解密成功则验证第二可信执行环境为安全。或者也可以根据解密后从第一证明报告中获得的信息来以及从第二证明报告中获得的信息来确定第二可信执行环境是否为合法。
本申请又一实施例提供一种信息验证方法,该方法应用于第二电子设备,如图4所示,具体包括如下步骤:
步骤S401,获取标识信息;
本步骤中的标识信息包括:与第一可信执行环境对应的第一标识和与第二可信执行环境对应的第二标识。第一标识用于唯一标识第一可信执行环境;第二标识用于唯一标识第二可信执行环境。具体的可以基于预定的规则预先为第一可信执行环境以及第二可信执行环境分配相应的标识,也可以基于第一可信执行环境以及第二可信执行环境的自身的特征来生成唯一的标识。
步骤S402,基于所述标识信息以及预设的验证程序调用所述区块链中与所述标识信息对应的智能合约,以从所述区块链中获取所述第一证明报告以及所述第二证明报告。
本步骤在具体实施过程中,具体可以利用预设的验证程序来获取第一标识以及第二标识,然后该验证程序就可以基于第一标识来从区块链中调用与第一标识对应的第一智能合约,以基于第一智能合约从区块链中获取到第一证明报告;同时该验证程序会基于第二标识来从区块链中调用与第二标识对应的第二智能合约,以基于第二智能合约从区块链中获取到第二证明报告;以此来为后续的基于第一证明报告以及第二证明报告确定第二可信执行环境是否合法奠定了基础。
步骤S403,对所述第一证明报告进行处理,获得所述第一证明报告中的第一可信执行环境的参数信息;
本步骤中具体可以对第一证明报告进行解密或分析,以此来获得第一可信执行环境的参数信息。具体的第一可信执行环境的参数信息包括第一可信执行环境对应硬件模组的硬件信息以及所述第一可信执行环境存储的数据信息,其中,第一可信执行环境对应的硬件模组用于访问第一可信执行环境,第一可信执行环境的硬件信息包括如下一种或几种:硬件环境、硬件型号、硬件的序列号等参数。
步骤S404,对所述第一可信执行环境的参数信息进行验证,获得第一验证结果;
本步骤中在获得第一可信执行环境的参数信息之后,就可以基于获得第一可信执行环境的参数信息与预存第一可信执行环境的参数信息进行比较来,确定二者是否一致,以此来确定第一可信执行环境的参数信息有没有被篡改,从而确定第一可信执行环境是否为安全,这样就可以获得表明第一可信执行环境是否合法的第一验证结果。
步骤S405,对所述第二证明报告进行处理,获得所述第二证明报告中的第二可信执行环境的参数信息;
本步骤中具体可以对第二证明报告进行解密或分析,以此来获得第二可信执行环境的参数信息。具体的第二可信执行环境的参数信息包括第二可信执行环境对应硬件模组的硬件信息以及所述第二可信执行环境存储的数据信息,其中,第二可信执行环境对应的硬件模组用于访问第二可信执行环境,第二可信执行环境的硬件信息包括如下一种或几种:硬件环境、硬件型号、硬件的序列号等参数。
步骤S406,对所述第二可信执行环境的参数信息进行验证,获得第二验证结果;
本步骤中在获得第二可信执行环境的参数信息之后,就可以基于获得第二可信执行环境的参数信息与预存第二可信执行环境的参数信息进行比较来,确定二者是否一致,以此来确定第二可信执行环境的参数信息有没有被篡改,从而确定第二可信执行环境是否为安全,这样就可以获得表明第一可信执行环境是否合法的第二验证结果。
步骤S407,基于所述第一验证结果和所述第二验证结果,确定所述第一电子设备的第二可信执行环境是否合法。
具体的例如当第一验证结果为第一可信执行环境合法,第二验证结果也表明第二可信执行环境为合法时,则可以确定第二可信执行环境是安全、合法的。当第一验证结果为第一可信执行环境为合法,第二验证结果表明第二可信执行环境为非法时,则确定第二可信执行环境为不安全的。
本实施例中,第二电子设备在获得第一验证结果为第一可执行环境为合法、安全时,那么就可以确认基于第一可信执行环境生成的第二证明报告是可以信任的,由此就可以基于第二证明报告来确定第二可信执行环境是否合法、安全。由于是通过第一电子设备的第一可信执行环境来直接对第二可信执行环境生成的本地证明进行验证、获得第二证明报告的,第二证明报告的生成不需要第三方电子设备或服务的介入,因此对于本地证明的验证效率较高,验证成本也较低,即提高了对各第二可信执行环境的验证效率,也降低了对各第二可信执行环境的验证成本。
本申请另一实施提供一种第一电子设备,该第一电子设备对应于区块链的第一节点,第一电子设备可以应用于图1和图2对应的实施例提供的信息验证方法中。如图5所示,该第一电子设备包括:
第一生成单元,用于生成用于验证所述第一电子设备上的第一可信执行环境的远程证明;
验证单元,用于验证所述远程证明的合法性,得到第一证明报告;其中,所述第一证明报告表征所述远程证明是否合法;
第二生成单元,用于控制所述第一可信执行环境生成用于表征第二可信执行环境是否合法的第二证明报告;其中,所述第一可信执行环境对应至少一个所述第二可信执行环境;
存储单元,用于将所述第一证明报告、所述第二证明报告和标识信息储存至所述区块链中,以供第二电子设备进行验证,所述第二电子设备对应于所述区块链的第二节点。
具体的,本实施例中第一生成单元具体用于:控制所述第一可信执行环境基于所述第一可信执环境的参数信息生成所述远程证明,其中,所述第一可信执环境的参数信息包括如下一种或几种:第一可信执行环境对应硬件模组的硬件信息以及所述第一可信执行环境存储的数据信息。
具体的,第一电子设备中的验证单元具体用于:将所述远程证明发送至目标验证设备;其中,所述目标验证设备的可信等级大于预设等级;接收所述目标验证设备反馈的针对所述远程证明进行验证后所得到的第一证明报告。
具体的,第一电子设备中的第二生成单元用于:控制所述第二可信执行环境基于所述第二可信执行环境的参数信息生成本地证明;控制所述第一可信执行环境基于所述本地证明生成用于表征第二可信执行环境是否合法的第二证明报告。其中,所述第二可信执行环境的参数信息包括如下一种或几种:第二可信执行环境对应硬件模组的硬件信息以及所述第二可信执行环境存储的数据信息。
在具体实施过程中,第一电子设备的存储模块用于:调用所述区块链中与所述标识信息对应的智能合约,以将所述第一证明报告、所述第二证明报告以及标识信息存储到所述区块链中。其中,标识信息与第一可信执行环境对应的第一标识和与第二可信执行环境对应的第二标识。
本申请实施例通过先对第一电子设备中的第一可信执行环境进行合法性验证,由于第一可信执行环境经过证明为合法,那么基于该合法的第一可信执行环境生成的第二证明报告就可以认为是可以信任的,由此后续就可以直接利用第一可信执行环境来根据第一电子设备中的各第二可信执行环境是否合法生成第二证明报告,即利用第一可信执行环境直接对各第二可信执行环境进行合法性验证,而不需要第三方电子设备或服务的介入,因此提高了对第二可信执行环境的验证效率,并且降低了对第二可信执行环境的验证成本。
本申请又一实施例提供一种第二电子设备,该第二电子设备对应于区块链的第二节点,第二电子设备可以应用于图3和图4对应的实施例提供的信息验证方法中。如图6所示,该第二电子设备包括:
获取单元,用于从所述区块链中获取第一电子设备的第一可信执行环境的第一证明报告以及与第一可信执行环境对应的第二可信执行环境的第二证明报告;其中,所述第一可信执行环境至少对应一个所述第二可信执行环境;
验证单元,用于对所述第一证明报告以及所述第二证明报告进行合法性的验证,以确定所述第一电子设备的第二可信执行环境是否合法。
在具体实施过程中,第二电子设备中的获取单元具体用于:获取标识信息;其中,所述标识信息包括:与第一可信执行环境对应的第一标识和与第二可信执行环境对应的第二标识;基于所述标识信息以及预设的验证程序调用所述区块链中与所述标识信息对应的智能合约,以从所述区块链中获取所述第一证明报告以及所述第二证明报告。
具体的,第二电子设备的验证单元具体用于:对所述第一证明报告进行处理,获得所述第一证明报告中的第一可信执行环境的参数信息;对所述第一可信执行环境的参数信息进行验证,获得第一验证结果;对所述第二证明报告进行处理,获得所述第二证明报告中的第二可信执行环境的参数信息;对所述第二可信执行环境的参数信息进行验证,获得第二验证结果;基于所述第一验证结果和所述第二验证结果,确定所述第一电子设备的第二可信执行环境是否合法。
本实施例中,第二电子设备在获得第一验证结果为第一可执行环境为合法、安全时,那么就可以确认基于第一可信执行环境生成的第二证明报告是可以信任的,由此就可以基于第二证明报告来确定第二可信执行环境是否合法、安全。本实施中由于不需要再利用第三方Intel IAS对各第二可信执行环境进行合法性验证,因此提高了验证效率,降低了验证成本。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (10)
1.一种信息验证方法,所述方法应用于第一电子设备,所述第一电子设备对应于区块链的第一节点,所述方法包括:
生成用于验证所述第一电子设备上的第一可信执行环境的远程证明;
验证所述远程证明的合法性,得到第一证明报告;其中,所述第一证明报告表征所述远程证明是否合法;
控制所述第一可信执行环境生成用于表征第二可信执行环境是否合法的第二证明报告;其中,所述第一可信执行环境对应至少一个所述第二可信执行环境;
将所述第一证明报告、所述第二证明报告和标识信息储存至所述区块链中,以供第二电子设备进行验证,所述第二电子设备对应于所述区块链的第二节点。
2.如权利要求1所述的方法,所述生成用于验证所述第一电子设备上的第一可信执行环境的远程证明,具体包括:
控制所述第一可信执行环境基于所述第一可信执环境的参数信息生成所述远程证明;
其中,所述第一可信执环境的参数信息包括如下一种或几种:第一可信执行环境对应硬件模组的硬件信息以及所述第一可信执行环境存储的数据信息。
3.如权利要求1所述的方法,所述验证所述远程证明的合法性,得到第一证明报告,具体包括:
将所述远程证明发送至目标验证设备;其中,所述目标验证设备的可信等级大于预设等级;
接收所述目标验证设备反馈的针对所述远程证明进行验证后所得到的第一证明报告。
4.如权利要求1所述的方法,所述控制所述第一可信执行环境生成用于表征第二可信执行环境是否合法的第二证明报告,具体包括:
控制所述第二可信执行环境基于所述第二可信执行环境的参数信息生成本地证明;其中,所述第二可信执行环境的参数信息包括如下一种或几种:第二可信执行环境对应硬件模组的硬件信息以及所述第二可信执行环境存储的数据信息;
控制所述第一可信执行环境基于所述本地证明生成用于表征第二可信执行环境是否合法的第二证明报告。
5.如权利要求1所述的方法,所述标识信息包括:与第一可信执行环境对应的第一标识和与第二可信执行环境对应的第二标识。
6.如权利要求5所述的方法,所述将所述第一证明报告、所述第二证明报告和标识信息储存至所述区块链中,具体包括:
调用所述区块链中与所述标识信息对应的智能合约,以将所述第一证明报告、所述第二证明报告以及标识信息存储到所述区块链中。
7.一种信息验证方法,所述方法应用与第二电子设备,所述第二电子设备对应于区块链的第二节点,所述方法包括:
从所述区块链中获取第一电子设备的第一可信执行环境的第一证明报告以及与第一可信执行环境对应的第二可信执行环境的第二证明报告;其中,所述第一可信执行环境至少对应一个所述第二可信执行环境;
对所述第一证明报告以及所述第二证明报告进行合法性的验证,以确定所述第一电子设备的第二可信执行环境是否合法。
8.如权利要求7所述的方法,所述从所述区块链中获取第一电子设备的第一可信执行环境的第一证明报告以及与第一可信执行环境对应的第二可信执行环境的第二证明报告,具体包括:
获取标识信息;其中,所述标识信息包括:与第一可信执行环境对应的第一标识和与第二可信执行环境对应的第二标识;
基于所述标识信息以及预设的验证程序调用所述区块链中与所述标识信息对应的智能合约,以从所述区块链中获取所述第一证明报告以及所述第二证明报告。
9.如权利要求8所述的方法,所述对所述第一证明报告以及所述第二证明报告进行合法性的验证,以确定所述第一电子设备的第二可信执行环境是否合法,具体包括:
对所述第一证明报告进行处理,获得所述第一证明报告中的第一可信执行环境的参数信息;
对所述第一可信执行环境的参数信息进行验证,获得第一验证结果;
对所述第二证明报告进行处理,获得所述第二证明报告中的第二可信执行环境的参数信息;
对所述第二可信执行环境的参数信息进行验证,获得第二验证结果;
基于所述第一验证结果和所述第二验证结果,确定所述第一电子设备的第二可信执行环境是否合法。
10.一种第一电子设备,所述第一电子设备对应于区块链的第一节点,所述第一电子设备包括:
第一生成单元,用于生成用于验证所述第一电子设备上的第一可信执行环境的远程证明;
验证单元,用于验证所述远程证明的合法性,得到第一证明报告;其中,所述第一证明报告表征所述远程证明是否合法;
第二生成单元,用于控制所述第一可信执行环境生成用于表征第二可信执行环境是否合法的第二证明报告;其中,所述第一可信执行环境对应至少一个所述第二可信执行环境;
存储单元,用于将所述第一证明报告、所述第二证明报告和标识信息储存至所述区块链中,以供第二电子设备进行验证,所述第二电子设备对应于所述区块链的第二节点。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010596762.8A CN111753308B (zh) | 2020-06-28 | 2020-06-28 | 一种信息验证方法及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010596762.8A CN111753308B (zh) | 2020-06-28 | 2020-06-28 | 一种信息验证方法及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111753308A true CN111753308A (zh) | 2020-10-09 |
CN111753308B CN111753308B (zh) | 2023-08-18 |
Family
ID=72677541
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010596762.8A Active CN111753308B (zh) | 2020-06-28 | 2020-06-28 | 一种信息验证方法及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111753308B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113254983A (zh) * | 2021-07-13 | 2021-08-13 | 卓尔智联(武汉)研究院有限公司 | 一种数据处理方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105512576A (zh) * | 2015-12-14 | 2016-04-20 | 联想(北京)有限公司 | 一种数据安全存储的方法及电子设备 |
CN107533609A (zh) * | 2015-05-29 | 2018-01-02 | 英特尔公司 | 用于对系统中的多个可信执行环境进行控制的系统、设备和方法 |
US20190095879A1 (en) * | 2017-09-26 | 2019-03-28 | Cornell University | Blockchain payment channels with trusted execution environments |
CN110971408A (zh) * | 2019-12-25 | 2020-04-07 | 上海沄界信息科技有限公司 | 基于区块链网络的tee节点认证方法及认证系统 |
CN111046440A (zh) * | 2019-12-13 | 2020-04-21 | 支付宝(杭州)信息技术有限公司 | 一种安全区域内容的篡改验证方法及系统 |
-
2020
- 2020-06-28 CN CN202010596762.8A patent/CN111753308B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107533609A (zh) * | 2015-05-29 | 2018-01-02 | 英特尔公司 | 用于对系统中的多个可信执行环境进行控制的系统、设备和方法 |
CN105512576A (zh) * | 2015-12-14 | 2016-04-20 | 联想(北京)有限公司 | 一种数据安全存储的方法及电子设备 |
US20190095879A1 (en) * | 2017-09-26 | 2019-03-28 | Cornell University | Blockchain payment channels with trusted execution environments |
CN111046440A (zh) * | 2019-12-13 | 2020-04-21 | 支付宝(杭州)信息技术有限公司 | 一种安全区域内容的篡改验证方法及系统 |
CN110971408A (zh) * | 2019-12-25 | 2020-04-07 | 上海沄界信息科技有限公司 | 基于区块链网络的tee节点认证方法及认证系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113254983A (zh) * | 2021-07-13 | 2021-08-13 | 卓尔智联(武汉)研究院有限公司 | 一种数据处理方法及装置 |
CN113254983B (zh) * | 2021-07-13 | 2021-10-01 | 卓尔智联(武汉)研究院有限公司 | 一种数据处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111753308B (zh) | 2023-08-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3061027B1 (en) | Verifying the security of a remote server | |
CN109726588B (zh) | 基于信息隐藏的隐私保护方法和系统 | |
US20140223514A1 (en) | Network Client Software and System Validation | |
CN109756446B (zh) | 一种车载设备的访问方法和系统 | |
CN112016106A (zh) | 开放接口的认证调用方法、装置、设备和可读存储介质 | |
CN106295350B (zh) | 一种可信执行环境的身份验证方法、装置及终端 | |
TW201706898A (zh) | 安全軟體認證及驗證 | |
CN111414640B (zh) | 秘钥访问控制方法和装置 | |
CN116248351A (zh) | 一种资源访问方法、装置、电子设备及存储介质 | |
JP2009505196A (ja) | コンピューティング・デバイスにおける安全性を改善するための保護されたソフトウェア識別子 | |
CN112448930A (zh) | 账号注册方法、装置、服务器及计算机可读存储介质 | |
CN111753308B (zh) | 一种信息验证方法及电子设备 | |
CN112153038B (zh) | 一种安全登录的方法、装置、验证终端及可读存储介质 | |
CN112613033A (zh) | 一种可执行文件安全调用的方法及装置 | |
CN109302442B (zh) | 一种数据存储证明方法及相关设备 | |
CN111953477A (zh) | 终端设备及其标识令牌的生成方法和客户端的交互方法 | |
KR20150089696A (ko) | 접근제어와 우선순위기반 무결성 검증 시스템 및 그 방법 | |
KR20160109241A (ko) | 리소스의 안전성 검증 장치와 서버 및 검증방법 | |
CN111651740B (zh) | 一种面向分布式智能嵌入式系统的可信平台共享系统 | |
CN112469035A (zh) | 一种物联网远程设备的安全激活、控制方法及通信系统 | |
CN111209561B (zh) | 终端设备的应用调用方法、装置与终端设备 | |
CN114520735B (zh) | 一种基于可信执行环境的用户身份鉴定方法、系统及介质 | |
CN113946799B (zh) | 应用程序源码保护方法以及服务端 | |
CN111797380A (zh) | 一种信息验证方法和设备 | |
CN116436681B (zh) | 一种基于TrustZone的安全隔离系统、方法、终端及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |