CN114398618A - 一种设备身份的认证方法、装置、电子设备及存储介质 - Google Patents

一种设备身份的认证方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN114398618A
CN114398618A CN202111370808.5A CN202111370808A CN114398618A CN 114398618 A CN114398618 A CN 114398618A CN 202111370808 A CN202111370808 A CN 202111370808A CN 114398618 A CN114398618 A CN 114398618A
Authority
CN
China
Prior art keywords
trusted
node
certification
authentication
information tree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111370808.5A
Other languages
English (en)
Other versions
CN114398618B (zh
Inventor
麻付强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN202111370808.5A priority Critical patent/CN114398618B/zh
Publication of CN114398618A publication Critical patent/CN114398618A/zh
Priority to US18/696,327 priority patent/US20240267215A1/en
Priority to PCT/CN2022/121850 priority patent/WO2023087930A1/zh
Application granted granted Critical
Publication of CN114398618B publication Critical patent/CN114398618B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种设备身份的认证方法、装置、电子设备及存储介质。方法包括:接收用户设备发送的身份认证请求;调用可信节点集合的各个可信节点执行身份认证请求对应的认证操作,得到可信节点集合对应的初始证明信息树;将初始证明信息树发送至用户设备,以使用户设备对初始证明信息树进行再次认证;接收用户设备发送的目标证明信息树,并将目标证明信息树存储至各个可信节点。本申请构建了树型层级结构的可信节点,并且在进行分布式作业之前,可信节点和用户设备之间进行身份认证操作,不但实现用户设备能够在云计算平台中进行分布式作业。同时使可信节点处于可信环境中,确保作业内容对于云计算平台可用不可见,保护了作业的机密性和完整性。

Description

一种设备身份的认证方法、装置、电子设备及存储介质
技术领域
本申请涉及云计算技术领域,尤其涉及一种设备身份的认证方法、装置、电子设备及存储介质。
背景技术
安全与可信是云计算中极为重要的需求,如何保护用户在云平台上托管的应用程序和数据的安全,防止云服务提供商和其他攻击者窃取用户机密数据,一直是个难题。一个可行的方案是使用机密计算技术实现一个可信执行环境(TEE),使得数据始终保持加密和强隔离状态,从而确保了用户数据的安全和隐私。
2013年,Intel公司提出了新的处理器安全技术SGX(software guardextensions),能够在计算平台上提供一个用户空间的可信执行环境,保证用户关键代码及数据的机密性和完整性。SGX技术自提出以来,已成为云计算安全问题的重要解决方案。
在TEE研究领域,已经出现了诸如库操作系统LibOS、程序自动分割等易用性适配方式。以SGX为例,LibOS实施方案中,比较典型的包括Graphene、SCONE、Occlum等。
SGX提出了两种类型的身份认证方式:一种是平台内部enclave 间的认证,用来认证进行报告的enclave和自己是否运行在同一个平台上;另一种是平台间的远程认证,用于远程的认证者认证enclave的身份信息。
在分布式作业系统(例如MapReduce)中,需要节点之间两两进行远程身份认证,证明节点处于Occlum的可信运行环境中。两两之间需要建立可信通道,通信量大,结构复杂,同时构造可信的分布式作业系统时间长。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本申请提供了一种设备身份的认证方法、装置、电子设备及存储介质。
根据本申请实施例的一个方面,提供了一种设备身份的认证方法,应用于云计算平台,所述方法包括:
接收用户设备发送的身份认证请求,其中,所述身份认证请求用于请求认证部署在所述云计算平台中用于执行分布式计算的可信节点集合,所述可信节点集合中包括多个级联的可信节点;
调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作,得到所述可信节点集合对应的初始证明信息树,其中,所述初始证明信息树包括:各个可信节点对应的证明信息;
将所述初始证明信息树发送至所述用户设备,以使所述用户设备对所述初始证明信息树进行再次认证;
接收所述用户设备发送的目标证明信息树,并将所述目标证明信息树存储至所述各个可信节点,其中,所述目标证明信息树是所述用户设备对所述初始证明信息树进行再次认证后得到的。
进一步的,所述可信节点集合包括:可信根节点、可信中继节点以及可信叶节点,所述可信根节点与至少两个可信中继节点连接,所述可信中继节点用于与至少两个可信叶节点连接;
在调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作之前,所述方法还包括:
基于预设密钥交换协议建立所述用户设备与所述可信根节点之间的第一传输信道,并生成第一密钥;
基于所述预设密钥交换协议建立所述可信根节点与所述可信中继节点之间的第二传输信道,并生成第二密钥;
基于所述预设密钥交换协议建立所述可信中继节点与所述可信叶节点之间移动第三传输信道,并生成第三密钥。
进一步的,所述调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作,得到所述可信节点集合对应的初始证明信息树,包括:
将所述身份认证请求通过所述可信根节点下发至所述可信中继点,以及所述可信叶节点;
所述可信叶节点根据所述身份认证请求执行第一认证操作,得到所述可信叶节点对应的第一认证信息,并使用所述第三密钥对所述第一认证信息进行加密,并通过第三传输信道发送至所述可信中继节点;
所述可信中继节点将所述的所有可信叶节点加密后的第一认证信息解密,将解密的第一认证信息发送至证明中心进行证明,得到第一证明结果,根据所述第一证明结果生成第一证明信息树;
所述可信中继节点根据所述身份认证请求执行第二认证操作,得到所述可信中继节点对应的第二认证信息;
所述可信中继节点使用所述第二密钥对所述第二认证信息和第一证明信息树进行加密,并通过第二传输信道发送至所述可信根节点;
所述可信根节点将所述的所有可信中继节点加密后的第二认证信息和第一证明信息树解密,将解密的第二认证信息发送至证明中心,得到第二证明结果,根据所述第二证明结果和第一证明信息树生成第二证明信息树;
所述可信根节点根据所述身份认证请求执行第三认证操作,得到所述可信根节点对应的第三认证信息,将第三认证信息添加在所述第二证明信息树,得到所述初始证明信息树,并使用所述第一密钥对所述初始证明信息树进行加密,发送给用户设备。
进一步的,所述可信叶节点根据所述身份认证请求执行第一认证操作,得到所述可信叶节点对应的第一认证信息,包括:
所述可信叶节点利用引用飞地的对称密钥生成第一认证码,将所述第一认证码发送至所述引用飞地,以使所述引用飞地对所述第一认证码进行验证;
所述可信叶节点接收所述引用飞地反馈的第一引用结构体和第一签名,其中,所述第一引用结构体和所述第一签名为所述引用飞地对所述第一认证码验证通过后得到的;
将所述第一引用结构体和所述第一签名确定为所述第一认证信息。
进一步的,所述可信中继节点根据所述身份认证请求执行第二认证操作,得到所述可信中继节点对应的第二认证信息,包括:
所述可信中继节点向第三方证明设备发送第一证明请求,得到第一证明结果,其中,所述第一证明请求用于对所述可信叶节点的第一认证信息进行证明;
在根据所述第一证明结果确定所述可信叶节点的第一认证信息证明通过时,所述可信中继节点利用引用飞地的对称密钥生成第二认证码,将所述第二认证码和所述第一证明信息树发送至所述引用飞地,以使所述引用飞地对所述第二认证码进行验证;
所述可信中继节点接收所述引用飞地反馈的第二引用结构体和第二签名,其中,所述第二引用结构体和所述第二签名为所述引用飞地对所述第二认证码验证通过后得到的;
将所述第二引用结构体和所述第二签名确定为所述第二认证信息。
进一步的,所述可信根节点根据所述身份认证请求执行第三认证操作,得到所述可信根节点对应的第三认证信息,包括:
所述可信根节点向第三方证明设备发送第二证明请求,得到第二证明结果,其中,所述第二证明请求用于对所述可信中继节点的第二认证信息进行证明;
在根据所述第二证明结果确定所述可信中继节点的第二认证信息证明通过时,所述可信根节点利用引用飞地的对称密钥生成第三认证码,将所述第三认证码和所述第二证明信息树发送至所述引用飞地,以使所述引用飞地对所述第三认证码进行验证;
所述可信根节点接收所述引用飞地反馈的第三引用结构体和第三签名,其中,所述第三引用结构体和所述第三签名为所述引用飞地对所述第三认证码验证通过后得到的;
将所述第三引用结构体和所述第三签名确定为所述第三认证信息。
进一步的,在接收所述用户设备发送的目标证明信息树,并将所述目标证明信息树存储至所述各个可信节点之后,所述方法还包括:
接收所述用户设备发送的分布式计算请求,其中,所述分布式计算请求中携带所述用户设备发送的目标数据,以及所述目标数据对应的分发方式;
利用所述可信根节点按照所述分发方式将所述目标数据发送至所述可信中继节点,所述可信中继节点按照所述分发方式将所述目标数据发送至所述可信叶节点;
所述可信叶节点对所述目标数据进行分布式计算,得到第一计算结果,将所述第一计算结果发送至所述可信中继节点;
所述可信中继节点对所述第一计算结果进行汇总,得到第二计算结果,并将所述第二计算结果发送至所述可信根节点;
所述可信根节点对所述第二计算结果进行汇总,得到第三计算结果,并将所述第三计算结果发送至所述用户设备。
根据本申请实施例的另一个方面,还提供了一种设备身份的认证装置,包括:
接收模块,用于接收用户设备发送的身份认证请求,其中,所述身份认证请求用于请求认证部署在所述云计算平台中用于执行分布式计算的可信节点集合,所述可信节点集合中包括多个级联的可信节点;
调用模块,用于调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作,得到所述可信节点集合对应的初始证明信息树,其中,所述初始证明信息树包括:各个可信节点对应的证明信息;
发送模块,用于将所述初始证明信息树发送至所述用户设备,以使所述用户设备对所述初始证明信息树进行再次认证;
存储模块,用于接收所述用户设备发送的目标证明信息树,并将所述目标证明信息树存储至所述各个可信节点,其中,所述目标证明信息树是所述用户设备对所述初始证明信息树进行再次认证后得到的。
根据本申请实施例的另一方面,还提供了一种存储介质,该存储介质包括存储的程序,程序运行时执行上述的步骤。
根据本申请实施例的另一方面,还提供了一种电子装置,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;其中:存储器,用于存放计算机程序;处理器,用于通过运行存储器上所存放的程序来执行上述方法中的步骤。
本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述方法中的步骤。
本申请实施例提供的上述技术方案与现有技术相比具有如下优点:本申请构建了树型层级结构的可信节点,并且在进行分布式作业之前,可信节点和用户设备之间进行身份认证操作,不但实现用户设备能够在云计算平台中进行分布式作业。同时使可信节点处于可信环境中,确保作业内容对于云计算平台可用不可见,保护了作业的机密性和完整性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种设备身份的认证方法的流程图;
图2为本申请是实施例提供的一种身份认证框架示意图;
图3为本申请另一实施例提供的一种设备身份的认证方法的流程图;
图4为本申请另一实施例提供的一种设备身份的认证方法的流程图;
图5为本申请另一实施例提供的一种设备身份的认证方法的流程图;
图6为本申请实施例提供的一种设备身份的认证装置的框图;
图7为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个类似的实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本申请实施例提供了一种设备身份的认证方法、装置、电子设备及存储介质。本发明实施例所提供的方法可以应用于任意需要的电子设备,例如,可以为服务器、终端等电子设备,在此不做具体限定,为描述方便,后续简称为电子设备。
根据本申请实施例的一方面,提供了一种设备身份的认证方法的方法实施例。图1为本申请实施例提供的一种设备身份的认证方法的流程图,如图1所示,该方法包括:
步骤S11,接收用户设备发送的身份认证请求,其中,身份认证请求用于请求认证部署在云计算平台中用于执行分布式计算的可信节点集合,可信节点集合中包括多个级联的可信节点。
在本申请实施例中,用户设备存在分布式计算业务的情况下,用户设备会向云计算平台发送是身份认证,其中云计算平台中包括用于执行分布式计算的可信节点集合,可信节点集合包括:多个级联的可信节点,如图2所示,多个级联的可信节点为:可信根节点、可信中继节点以及可信叶节点,可信根节点与至少两个可信中继节点连接,可信中继节点用于与至少两个可信叶节点连接。
在本申请实施例中,在调用可信节点集合的各个可信节点执行身份认证请求对应的认证操作之前,云计算平台与用户设备建立传输信号,以及云计算平台内部的各个节点之间建立传输信道,如图3所示,该方法还包括以下步骤A1-A3:
步骤A1,基于预设密钥交换协议建立用户设备与可信根节点之间的第一传输信道,并生成第一密钥。
步骤A2,基于预设密钥交换协议建立可信根节点与可信中继节点之间的第二传输信道,并生成第二密钥。
步骤A3,基于预设密钥交换协议建立可信中继节点与可信叶节点之间移动第三传输信道,并生成第三密钥。
步骤S12,调用可信节点集合的各个可信节点执行身份认证请求对应的认证操作,得到可信节点集合对应的初始证明信息树,其中,初始证明信息树包括:各个可信节点对应的证明信息。
在本申请实施例中,步骤S12,调用可信节点集合的各个可信节点执行身份认证请求对应的认证操作,得到可信节点集合对应的初始证明信息树,如图4所示,包括以下步骤B1-B5:
步骤B1,将身份认证请求通过可信根节点下发至可信中继点,以及可信叶节点。
步骤B2,可信叶节点根据身份认证请求执行第一认证操作,得到可信叶节点对应的第一认证信息,并使用第三密钥对第一认证信息进行加密,并通过第三传输信道发送至可信中继节点。
在本申请实施例中,步骤B2,可信叶节点根据身份认证请求执行第一认证操作,得到可信叶节点对应的第一认证信息,包括以下步骤B201-B203:
步骤B201,所述可信叶节点利用引用飞地的对称密钥生成第一认证码,将所述第一认证码发送至所述引用飞地,以使所述引用飞地对所述第一认证码进行验证。
步骤B202,可信叶节点接收引用飞地反馈的第一引用结构体和第一签名,其中,第一引用结构体和第一签名为引用飞地对第一认证码验证通过后得到的。
步骤B203,将第一引用结构体和第一签名确定为第一认证信息。
在本申请实施例中,可信叶节点执行身份认证请求,将可信叶节点的身份和附加信息组合生成REPORT结构。可信叶节点利用 Quotingenclave的Report对称密钥生成一个MAC。可信叶节点将 REPORT结构和MAC发送给Quotingenclave。Quotingenclave利用自己Report对称密钥验证可信叶节点是否运行在同一云计算平台上,然后将其封装成一个引用结构体(第一引用体结构),并用在第三方可信证明中心注册的相应可信叶节点的私钥进行签名(第一签名),将第一引用结构体和第一签名确定为第一认证信息。
步骤B3,可信中继节点将的所有可信叶节点加密后的第一认证信息解密,将解密的第一认证信息发送至证明中心进行证明,得到第一证明结果,根据第一证明结果生成第一证明信息树。
步骤B4,可信中继节点根据身份认证请求执行第二认证操作,得到可信中继节点对应的第二认证信息。
在本申请实施例中,步骤B4,可信中继节点根据身份认证请求执行第二认证操作,得到可信中继节点对应的第二认证信息,包括以下步骤B401-B404:
步骤B401,可信中继节点向第三方证明设备发送第一证明请求,得到第一证明结果,其中,第一证明请求用于对可信叶节点的第一认证信息进行证明。
步骤B402,在根据第一证明结果确定可信叶节点的第一认证信息证明通过时,可信中继节点利用引用飞地的对称密钥生成第二认证码,将第二认证码和第一证明信息树发送至引用飞地,以使引用飞地对第二认证码进行验证。
步骤B403,可信中继节点接收引用飞地反馈的第二引用结构体和第二签名,其中,第二引用结构体和第二签名为引用飞地对第二认证码验证通过后得到的。
步骤B404,将第二引用结构体和第二签名确定为第二认证信息。
在本申请实施例中,可信中继节点通过第三方可信证明中心验证可信叶节点的身份,并生成相应的可信叶节点证明信息。可信中继节点构建远程证明Hash树,将其连接的所有可信叶节点证明信息添加到远程证明Hash树上,并计算可信叶节点证明信息Hash树。
可信中继节点执行EREPORT指令,将可信中继节点的身份和附加信息组合生成REPORT结构。可信中继节点利用Quotingenclave 的Report对称密钥生成一个MAC。可信中继节点将REPORT结构和 MAC发送给Quotingenclave。Quotingenclave利用自己Report对称密钥验证可信中继节点是否运行在同一平台上,然后将其封装成一个引用结构体(第二引用结构体),将远程证明Hash树作为用户数据添加到引用结构体上,并用在第三方可信证明中心注册的相应信中继节点的私钥进行签名(第二签名),将第二引用结构体和第二签名确定为第二认证信息。
然后可信中继节点将第二认证信息采用第二密钥加密,并将加密后的认证信息通过第二传输信道发送给可信根节点。
步骤B5,可信中继节点使用第二密钥对第二认证信息和第一证明信息树进行加密,并通过第二传输信道发送至可信根节点。
步骤B6,可信根节点将的所有可信中继节点加密后的第二认证信息和第一证明信息树解密,将解密的第二认证信息发送至证明中心,得到第二证明结果,根据第二证明结果和第一证明信息树生成第二证明信息树。
步骤B7,可信根节点根据身份认证请求执行第三认证操作,得到可信根节点对应的第三认证信息,将第三认证信息添加在第二证明信息树,得到初始证明信息树,并使用第一密钥对初始证明信息树进行加密,发送给用户设备。
在本申请实施例中,步骤B7,可信根节点根据身份认证请求执行第三认证操作,得到可信根节点对应的第三认证信息,包括以下步骤B701-B704:
步骤B701,可信根节点向第三方证明设备发送第二证明请求,得到第二证明结果,其中,第二证明请求用于对可信中继节点的第二认证信息进行证明;
步骤B702,在根据第二证明结果确定可信中继节点的第二认证信息证明通过时,可信根节点利用引用飞地的对称密钥生成第三认证码,将第三认证码和第二证明信息树发送至引用飞地,以使引用飞地对第三认证码进行验证。
步骤B703,可信根节点接收引用飞地反馈的第三引用结构体和第三签名,其中,第三引用结构体和第三签名为引用飞地对第三认证码验证通过后得到的。
步骤B704,将第三引用结构体和第三签名确定为第三认证信息。
在本申请实施例中,可信根节点将其连接的所有可信中继节点证明信息添加到远程证明Hash树上,生成可信中继节点证明信息Hash。可信根节点执行EREPORT指令,将可信根节点的身份和附加信息组合生成REPORT结构。
可信根节点利用Quotingenclave的Report对称密钥生成一个 MAC。可信根节点将REPORT结构和MAC发送给Quotingenclave。 Quotingenclave利用自己Report对称密钥验证可信根节点是否运行在同一平台上,然后将其封装成一个引用结构体(第三引用结构体),将远程证明Hash树作为用户数据添加到引用结构体上,并用在第三方可信证明中心注册的相应可信根节点的私钥进行签名(第三签名),将第三引用结构体和第三签名确定为第三认证信息。
然后将可信根节点将第三认证信息采用以第一密钥加密,并将加密后的认证信息通过第一传输信道发送给可信根节点。
步骤S13,将初始证明信息树发送至用户设备,以使用户设备对初始证明信息树进行再次认证。
在本申请实施例中,用户设备通过第三方可信证明中心验证可信根节点的身份,并生成相应的可信根节点证明信息。用户将可信根节点证明信息添加到远程证明Hash树上,并计算证明信息Hash。用户将远程证明Hash树发送到分布式作业系统中的可信根节点、可信中继节点、可信叶节点。
步骤S14,接收用户设备发送的目标证明信息树,并将目标证明信息树存储至各个可信节点,其中,目标证明信息树是用户设备对初始证明信息树进行再次认证后得到的。
本申请构建了树型层级结构的可信节点,并且在进行分布式作业之前,可信节点和用户设备之间进行身份认证操作,不但实现用户设备能够在云计算平台中进行分布式作业。同时使可信节点处于可信环境中,确保作业内容对于云计算平台可用不可见,保护了作业的机密性和完整性。
在本申请实施例中,在接收用户设备发送的目标证明信息树,并将目标证明信息树存储至各个可信节点之后,如图5所示,方法还包括:
步骤S21,接收用户设备发送的分布式计算请求,其中,分布式计算请求中携带用户设备发送的目标数据,以及目标数据对应的分发方式。
步骤S22,利用可信根节点按照分发方式将目标数据发送至可信中继节点,可信中继节点按照分发方式将目标数据发送至可信叶节点。
步骤S23,可信叶节点对目标数据进行分布式计算,得到第一计算结果,将第一计算结果发送至可信中继节点。
步骤S24,可信中继节点对第一计算结果进行汇总,得到第二计算结果,并将第二计算结果发送至可信根节点。
步骤S25,可信根节点对第二计算结果进行汇总,得到第三计算结果,并将第三计算结果发送至用户设备。
在本申请实施例中,用户设备产生临时密钥,利用临时密钥加密数据和关键代码,并将临时密钥用第一密钥加密,然后发送给可信根节点。可信根节点根据用户设备指定的数据分发方式向可信中继节点分发加密数据。
可信根节点将加密的关键代码发送给可信中继节点。可信根节点利用第一密钥解密临时密钥,分别利用第二密钥加密临时密钥,然后分别分发给可信中继节点。
可信中继节点根据用户设备指定的数据分发方式向可信叶节点分发加密数据。可信中继节点将加密的关键代码发送给可信叶节点。可信中继节点利用第二密钥解密临时密钥,分别利用第三密钥加密临时密钥,然后分别分发给可信叶节点。
可信叶节点分别用各自对应的第三密钥解密临时密钥,利用临时密钥解密数据和关键代码。可信叶节点根据关键代码对数据进行分布式作业运算,并产生相应结果。将结果用第三密钥加密,发送给可信中继节点。可信中继节点利用第三密钥解密,将运算结果进行汇总运算,并利用第二密钥加密发送给可信根节点。可信根节点利用第二密钥解密可信中继节点的运算结果,将运算结果进行汇总运算,并利用第一密钥加密发送给用户设备。用户设备利用第一密钥解密,获得最终的分布式作业结果。
图6为本申请实施例提供的一种设备身份的认证装置的框图,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图6所示,该装置包括:
接收模块51,用于接收用户设备发送的身份认证请求,其中,身份认证请求用于请求认证部署在云计算平台中用于执行分布式计算的可信节点集合,可信节点集合中包括多个级联的可信节点。
调用模块52,用于调用可信节点集合的各个可信节点执行身份认证请求对应的认证操作,得到可信节点集合对应的初始证明信息树,其中,初始证明信息树包括:各个可信节点对应的证明信息。
发送模块53,用于将初始证明信息树发送至用户设备,以使用户设备对初始证明信息树进行再次认证。
存储模块54,用于接收用户设备发送的目标证明信息树,并将目标证明信息树存储至各个可信节点,其中,目标证明信息树是用户设备对初始证明信息树进行再次认证后得到的。
在本申请实施例中,可信节点集合包括:可信根节点、可信中继节点以及可信叶节点,可信根节点与至少两个可信中继节点连接,可信中继节点用于与至少两个可信叶节点连接;
在本申请实施例中,设备身份的认证装置还包括:构建模块,用于基于预设密钥交换协议建立用户设备与可信根节点之间的第一传输信道,并生成第一密钥;基于预设密钥交换协议建立可信根节点与可信中继节点之间的第二传输信道,并生成第二密钥;基于预设密钥交换协议建立可信中继节点与可信叶节点之间移动第三传输信道,并生成第三密钥。
在本申请实施例中,调用模块52,包括:
发送子模块,用于将身份认证请求通过可信根节点下发至可信中继点,以及可信叶节点;
第一执行子模块,用于可信叶节点根据身份认证请求执行第一认证操作,得到可信叶节点对应的第一认证信息,并使用第三密钥对第一认证信息进行加密,并通过第三传输信道发送至可信中继节点;
第一处理子模块,用于可信中继节点将的所有可信叶节点加密后的第一认证信息解密,将解密的第一认证信息发送至证明中心进行证明,得到第一证明结果,根据第一证明结果生成第一证明信息树
第二执行子模块,用于可信中继节点根据身份认证请求执行第二认证操作,得到可信中继节点对应的第二认证信息;
第二处理子模块,用于可信中继节点使用第二密钥对第二认证信息和第一证明信息树进行加密,并通过第二传输信道发送至可信根节点
第三执行子模块,用于可信根节点将的所有可信中继节点加密后的第二认证信息和第一证明信息树解密,将解密的第二认证信息发送至证明中心,得到第二证明结果,根据第二证明结果和第一证明信息树生成第二证明信息树;
第四执行子模块,用于可信根节点根据身份认证请求执行第三认证操作,得到可信根节点对应的第三认证信息,将第三认证信息添加在第二证明信息树,得到初始证明信息树,并使用第一密钥对初始证明信息树进行加密,发送给用户设备。
在本申请实施例中,第一执行子模块,用于可信叶节点利用引用飞地的对称密钥生成第一认证码,将第一认证码发送至引用飞地,以使引用飞地对第一认证码进行验证;可信叶节点接收引用飞地反馈的第一引用结构体和第一签名,其中,第一引用结构体和第一签名为引用飞地对第一认证码验证通过后得到的;将第一引用结构体和第一签名确定为第一认证信息。
在本申请实施例中,第二执行子模块,用于可信中继节点向第三方证明设备发送第一证明请求,得到第一证明结果,其中,第一证明请求用于对可信叶节点的第一认证信息进行证明;在根据第一证明结果确定可信叶节点的第一认证信息证明通过时,可信中继节点利用引用飞地的对称密钥生成第二认证码,将第二认证码和第一证明信息树发送至引用飞地,以使引用飞地对第二认证码进行验证;可信中继节点接收引用飞地反馈的第二引用结构体和第二签名,其中,第二引用结构体和第二签名为引用飞地对第二认证码验证通过后得到的;将第二引用结构体和第二签名确定为第二认证信息。
在本申请实施例中,第三执行子模块,用于可信根节点向第三方证明设备发送第二证明请求,得到第二证明结果,其中,第二证明请求用于对可信中继节点的第二认证信息进行证明;在根据第二证明结果确定可信中继节点的第二认证信息证明通过时,可信根节点利用引用飞地的对称密钥生成第三认证码,将第三认证码和第二证明信息树发送至引用飞地,以使引用飞地对第三认证码进行验证;可信根节点接收引用飞地反馈的第三引用结构体和第三签名,其中,第三引用结构体和第三签名为引用飞地对第三认证码验证通过后得到的;将第三引用结构体和第三签名确定为第三认证信息。
在本申请实施例中,设备身份的认证装置还包括:计算模块,用于接收用户设备发送的分布式计算请求,其中,分布式计算请求中携带用户设备发送的目标数据,以及目标数据对应的分发方式;利用可信根节点按照分发方式将目标数据发送至可信中继节点,可信中继节点按照分发方式将目标数据发送至可信叶节点;可信叶节点对目标数据进行分布式计算,得到第一计算结果,将第一计算结果发送至可信中继节点;可信中继节点对第一计算结果进行汇总,得到第二计算结果,并将第二计算结果发送至可信根节点;可信根节点对第二计算结果进行汇总,得到第三计算结果,并将第三计算结果发送至用户设备。
本申请实施例还提供一种电子设备,如图7所示,电子设备可以包括:处理器1501、通信接口1502、存储器1503和通信总线1504,其中,处理器1501,通信接口1502,存储器1503通过通信总线1504 完成相互间的通信。
存储器1503,用于存放计算机程序;
处理器1501,用于执行存储器1503上所存放的计算机程序时,实现上述实施例的步骤。
上述终端提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述终端与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称 RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称 NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的设备身份的认证方法。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的设备身份的认证方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk)等。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种设备身份的认证方法,其特征在于,应用于云计算平台,所述方法包括:
接收用户设备发送的身份认证请求,其中,所述身份认证请求用于请求认证部署在所述云计算平台中用于执行分布式计算的可信节点集合,所述可信节点集合中包括多个级联的可信节点;
调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作,得到所述可信节点集合对应的初始证明信息树,其中,所述初始证明信息树包括:各个可信节点对应的证明信息;
将所述初始证明信息树发送至所述用户设备,以使所述用户设备对所述初始证明信息树进行再次认证;
接收所述用户设备发送的目标证明信息树,并将所述目标证明信息树存储至所述各个可信节点,其中,所述目标证明信息树是所述用户设备对所述初始证明信息树进行再次认证后得到的。
2.根据权利要求1所述的方法,其特征在于,所述可信节点集合包括:可信根节点、可信中继节点以及可信叶节点,所述可信根节点与至少两个可信中继节点连接,所述可信中继节点用于与至少两个可信叶节点连接;
在调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作之前,所述方法还包括:
基于预设密钥交换协议建立所述用户设备与所述可信根节点之间的第一传输信道,并生成第一密钥;
基于所述预设密钥交换协议建立所述可信根节点与所述可信中继节点之间的第二传输信道,并生成第二密钥;
基于所述预设密钥交换协议建立所述可信中继节点与所述可信叶节点之间移动第三传输信道,并生成第三密钥。
3.根据权利要求2所述的方法,其特征在于,所述调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作,得到所述可信节点集合对应的初始证明信息树,包括:
将所述身份认证请求通过所述可信根节点下发至所述可信中继点,以及所述可信叶节点;
所述可信叶节点根据所述身份认证请求执行第一认证操作,得到所述可信叶节点对应的第一认证信息,并使用所述第三密钥对所述第一认证信息进行加密,并通过第三传输信道发送至所述可信中继节点;
所述可信中继节点将所述的所有可信叶节点加密后的第一认证信息解密,将解密的第一认证信息发送至证明中心进行证明,得到第一证明结果,根据所述第一证明结果生成第一证明信息树;
所述可信中继节点根据所述身份认证请求执行第二认证操作,得到所述可信中继节点对应的第二认证信息;
所述可信中继节点使用所述第二密钥对所述第二认证信息和第一证明信息树进行加密,并通过第二传输信道发送至所述可信根节点;
所述可信根节点将所述的所有可信中继节点加密后的第二认证信息和第一证明信息树解密,将解密的第二认证信息发送至证明中心,得到第二证明结果,根据所述第二证明结果和第一证明信息树生成第二证明信息树;
所述可信根节点根据所述身份认证请求执行第三认证操作,得到所述可信根节点对应的第三认证信息,将第三认证信息添加在所述第二证明信息树,得到所述初始证明信息树,并使用所述第一密钥对所述初始证明信息树进行加密,发送给用户设备。
4.根据权利要求3所述的方法,其特征在于,所述可信叶节点根据所述身份认证请求执行第一认证操作,得到所述可信叶节点对应的第一认证信息,包括:
所述可信叶节点利用引用飞地的对称密钥生成第一认证码,将所述第一认证码发送至所述引用飞地,以使所述引用飞地对所述第一认证码进行验证;
所述可信叶节点接收所述引用飞地反馈的第一引用结构体和第一签名,其中,所述第一引用结构体和所述第一签名为所述引用飞地对所述第一认证码验证通过后得到的;
将所述第一引用结构体和所述第一签名确定为所述第一认证信息。
5.根据权利要求3所述的方法,其特征在于,所述可信中继节点根据所述身份认证请求执行第二认证操作,得到所述可信中继节点对应的第二认证信息,包括:
所述可信中继节点向第三方证明设备发送第一证明请求,得到第一证明结果,其中,所述第一证明请求用于对所述可信叶节点的第一认证信息进行证明;
在根据所述第一证明结果确定所述可信叶节点的第一认证信息证明通过时,所述可信中继节点利用引用飞地的对称密钥生成第二认证码,将所述第二认证码和所述第一证明信息树发送至所述引用飞地,以使所述引用飞地对所述第二认证码进行验证;
所述可信中继节点接收所述引用飞地反馈的第二引用结构体和第二签名,其中,所述第二引用结构体和所述第二签名为所述引用飞地对所述第二认证码验证通过后得到的;
将所述第二引用结构体和所述第二签名确定为所述第二认证信息。
6.根据权利要求3所述的方法,其特征在于,所述可信根节点根据所述身份认证请求执行第三认证操作,得到所述可信根节点对应的第三认证信息,包括:
所述可信根节点向第三方证明设备发送第二证明请求,得到第二证明结果,其中,所述第二证明请求用于对所述可信中继节点的第二认证信息进行证明;
在根据所述第二证明结果确定所述可信中继节点的第二认证信息证明通过时,所述可信根节点利用引用飞地的对称密钥生成第三认证码,将所述第三认证码和所述第二证明信息树发送至所述引用飞地,以使所述引用飞地对所述第三认证码进行验证;
所述可信根节点接收所述引用飞地反馈的第三引用结构体和第三签名,其中,所述第三引用结构体和所述第三签名为所述引用飞地对所述第三认证码验证通过后得到的;
将所述第三引用结构体和所述第三签名确定为所述第三认证信息。
7.根据权利要求2所述的方法,其特征在于,在接收所述用户设备发送的目标证明信息树,并将所述目标证明信息树存储至所述各个可信节点之后,所述方法还包括:
接收所述用户设备发送的分布式计算请求,其中,所述分布式计算请求中携带所述用户设备发送的目标数据,以及所述目标数据对应的分发方式;
利用所述可信根节点按照所述分发方式将所述目标数据发送至所述可信中继节点,所述可信中继节点按照所述分发方式将所述目标数据发送至所述可信叶节点;
所述可信叶节点对所述目标数据进行分布式计算,得到第一计算结果,将所述第一计算结果发送至所述可信中继节点;
所述可信中继节点对所述第一计算结果进行汇总,得到第二计算结果,并将所述第二计算结果发送至所述可信根节点;
所述可信根节点对所述第二计算结果进行汇总,得到第三计算结果,并将所述第三计算结果发送至所述用户设备。
8.一种设备身份的认证装置,其特征在于,包括:
接收模块,用于接收用户设备发送的身份认证请求,其中,所述身份认证请求用于请求认证部署在所述云计算平台中用于执行分布式计算的可信节点集合,所述可信节点集合中包括多个级联的可信节点;
调用模块,用于调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作,得到所述可信节点集合对应的初始证明信息树,其中,所述初始证明信息树包括:各个可信节点对应的证明信息;
发送模块,用于将所述初始证明信息树发送至所述用户设备,以使所述用户设备对所述初始证明信息树进行再次认证;
存储模块,用于接收所述用户设备发送的目标证明信息树,并将所述目标证明信息树存储至所述各个可信节点,其中,所述目标证明信息树是所述用户设备对所述初始证明信息树进行再次认证后得到的。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至7中任一项所述的方法步骤。
10.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;其中:
存储器,用于存放计算机程序;
处理器,用于通过运行存储器上所存放的程序来执行权利要求1-7中任一项所述的方法步骤。
CN202111370808.5A 2021-11-18 2021-11-18 一种设备身份的认证方法、装置、电子设备及存储介质 Active CN114398618B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202111370808.5A CN114398618B (zh) 2021-11-18 2021-11-18 一种设备身份的认证方法、装置、电子设备及存储介质
US18/696,327 US20240267215A1 (en) 2021-11-18 2022-09-27 Equipment identity authentication method and apparatus, electronic device, and storage medium
PCT/CN2022/121850 WO2023087930A1 (zh) 2021-11-18 2022-09-27 一种设备身份的认证方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111370808.5A CN114398618B (zh) 2021-11-18 2021-11-18 一种设备身份的认证方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN114398618A true CN114398618A (zh) 2022-04-26
CN114398618B CN114398618B (zh) 2024-01-30

Family

ID=81225890

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111370808.5A Active CN114398618B (zh) 2021-11-18 2021-11-18 一种设备身份的认证方法、装置、电子设备及存储介质

Country Status (3)

Country Link
US (1) US20240267215A1 (zh)
CN (1) CN114398618B (zh)
WO (1) WO2023087930A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023087930A1 (zh) * 2021-11-18 2023-05-25 苏州浪潮智能科技有限公司 一种设备身份的认证方法、装置、电子设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170357496A1 (en) * 2016-06-12 2017-12-14 Intel Corporation Technologies for secure software update using bundles and merkle signatures
CN113067626A (zh) * 2021-03-15 2021-07-02 西安电子科技大学 基于边缘计算的无人系统蜂群可信证明方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003028284A1 (en) * 2001-09-26 2003-04-03 Synchron Networks Secure broadcast system and method
US9144096B2 (en) * 2012-09-07 2015-09-22 Qualcomm Incorporated Systems, apparatus, and methods for association in multi-hop networks
US9426837B2 (en) * 2012-09-07 2016-08-23 Qualcomm Incorporated Systems, apparatus and methods for association in multi-hop networks
US9825770B2 (en) * 2012-11-08 2017-11-21 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for configuring multicast group
EP3834114A1 (en) * 2018-09-12 2021-06-16 Huawei Technologies Co., Ltd. Device and method for attesting distributed services
CN110046507B (zh) * 2018-12-12 2024-02-06 创新先进技术有限公司 形成可信计算集群的方法及装置
KR102205654B1 (ko) * 2019-05-20 2021-01-21 (주)누리텔레콤 분산 환경에서의 신원 인증 방법
CN113329012B (zh) * 2021-05-28 2022-07-26 交叉信息核心技术研究院(西安)有限公司 一种可信执行环境的快速认证方法及系统
CN114398618B (zh) * 2021-11-18 2024-01-30 苏州浪潮智能科技有限公司 一种设备身份的认证方法、装置、电子设备及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170357496A1 (en) * 2016-06-12 2017-12-14 Intel Corporation Technologies for secure software update using bundles and merkle signatures
CN113067626A (zh) * 2021-03-15 2021-07-02 西安电子科技大学 基于边缘计算的无人系统蜂群可信证明方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
付东来;彭新光;: "基于Chameleon哈希改进的平台配置远程证明机制", 计算机科学, no. 01, pages 118 - 121 *
付东来;彭新光;陈够喜;杨秋翔;: "动态Huffman树平台配置远程证明方案", 计算机应用, no. 08, pages 2275 - 2279 *
徐梓耀;贺也平;邓灵莉;: "一种保护隐私的高效远程验证机制", 软件学报, no. 02, pages 339 - 351 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023087930A1 (zh) * 2021-11-18 2023-05-25 苏州浪潮智能科技有限公司 一种设备身份的认证方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
US20240267215A1 (en) 2024-08-08
CN114398618B (zh) 2024-01-30
WO2023087930A1 (zh) 2023-05-25

Similar Documents

Publication Publication Date Title
CN108512846B (zh) 一种终端与服务器之间的双向认证方法和装置
US10484354B2 (en) Data owner restricted secure key distribution
US9838205B2 (en) Network authentication method for secure electronic transactions
US9231925B1 (en) Network authentication method for secure electronic transactions
CN110336774B (zh) 混合加密解密方法、设备及系统
US20200076606A1 (en) Blockchain key storage on sim devices
JP5980961B2 (ja) マルチファクタ認証局
US10601590B1 (en) Secure secrets in hardware security module for use by protected function in trusted execution environment
US20140096213A1 (en) Method and system for distributed credential usage for android based and other restricted environment devices
US9396339B2 (en) Protecting computers using an identity-based router
CN112926051A (zh) 多方安全计算方法和装置
CN114584306B (zh) 一种数据处理方法和相关装置
CN113726733B (zh) 一种基于可信执行环境的加密智能合约隐私保护方法
CN107483388A (zh) 一种安全通信方法及其终端和云端
CN107040501B (zh) 基于平台即服务的认证方法和装置
CN115134090A (zh) 基于隐私保护的身份认证方法、装置、计算机设备及介质
CN114338091B (zh) 数据传输方法、装置、电子设备及存储介质
WO2022135391A1 (zh) 身份鉴别方法、装置、存储介质、程序、及程序产品
CN113282951B (zh) 一种应用程序的安全校验方法、装置及设备
WO2023087930A1 (zh) 一种设备身份的认证方法、装置、电子设备及存储介质
WO2022041151A1 (zh) 设备验证方法、设备和云端
CN116561820B (zh) 可信数据处理方法及相关装置
CN110771087B (zh) 私钥更新
US11979491B2 (en) Transmission of secure information in a content distribution network
CN108429621B (zh) 一种身份验证方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant