CN114500054A - 服务访问方法、服务访问装置、电子设备以及存储介质 - Google Patents

服务访问方法、服务访问装置、电子设备以及存储介质 Download PDF

Info

Publication number
CN114500054A
CN114500054A CN202210101061.1A CN202210101061A CN114500054A CN 114500054 A CN114500054 A CN 114500054A CN 202210101061 A CN202210101061 A CN 202210101061A CN 114500054 A CN114500054 A CN 114500054A
Authority
CN
China
Prior art keywords
resource
target service
server
access
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210101061.1A
Other languages
English (en)
Other versions
CN114500054B (zh
Inventor
陈治宇
高迎春
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN202210101061.1A priority Critical patent/CN114500054B/zh
Publication of CN114500054A publication Critical patent/CN114500054A/zh
Application granted granted Critical
Publication of CN114500054B publication Critical patent/CN114500054B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本公开提供了一种服务访问方法、服务访问装置、电子设备以及存储介质,涉及计算机技术领域,尤其涉及数据安全技术领域。具体实现方案为:响应于检测到可信交互页面上针对目标服务的访问操作被触发,生成访问请求,其中,访问请求包括目标服务的访问地址;向服务器发送访问请求,以便服务器根据访问地址,生成握手证书,其中,握手证书包括远程验证信息;响应于接收到来自服务器的握手证书,在确定远程验证信息与预期远程验证信息一致的情况下,确定目标服务满足可信执行环境的远程验证条件;响应于接收到来自服务器的目标服务,访问目标服务。

Description

服务访问方法、服务访问装置、电子设备以及存储介质
技术领域
本公开涉及计算机技术领域,尤其涉及数据安全技术。具体地,涉及一种服务访问方法、服务访问装置、电子设备以及存储介质。
背景技术
随着互联网技术的发展,信息安全问题越来越多。可以利用可信计算来缓解信息安全问题。
可信计算(Trusted Computing,TC)可以是由可信计算组织(Trusted ComputingGroup,TCG)推动和开发的技术。可信计算的基本思想可以是通过信任传递确保整个计算机系统的可信。
发明内容
本公开提供了一种服务访问方法、服务访问装置、电子设备以及存储介质。
根据本公开的一方面,提供了一种服务访问方法,包括:响应于检测到可信交互页面上针对目标服务的访问操作被触发,生成访问请求,其中,上述访问请求包括上述目标服务的访问地址;向服务器发送上述访问请求,以便上述服务器根据上述访问地址,生成握手证书,其中,上述握手证书包括远程验证信息;响应于接收到来自上述服务器的握手证书,在确定上述远程验证信息与预期远程验证信息一致的情况下,确定上述目标服务满足可信执行环境的远程验证条件;以及,响应于接收到来自上述服务器的目标服务,访问上述目标服务。
根据本公开的另一方面,提供了一种服务访问方法,包括:响应于接收到来自客户端的访问请求,根据上述访问请求包括的访问地址,生成握手证书,其中,上述握手证书包括远程验证信息,上述访问请求是上述客户端响应于检测到可信交互页面上针对目标服务的访问操作被触发生成的;向上述客户端发送上述握手证书;响应于接收到来自上述客户端在确定上述远程验证信息和预期远程验证信息一致的情况下,确定上述目标服务满足可信执行环境的远程验证条件,根据上述访问地址获取上述目标服务;以及,向上述客户端发送上述目标服务,以便上述客户端访问上述目标服务。
根据本公开的另一方面,提供了一种服务访问装置,包括:第一生成模块,用于响应于检测到可信交互页面上针对目标服务的访问操作被触发,生成访问请求,其中,上述访问请求包括上述目标服务的访问地址;第一发送模块,用于向服务器发送上述访问请求,以便上述服务器根据上述访问地址,生成握手证书,其中,上述握手证书包括远程验证信息;确定模块,用于响应于接收到来自上述服务器的握手证书,在确定上述远程验证信息与预期远程验证信息一致的情况下,确定上述目标服务满足可信执行环境的远程验证条件;以及,第一访问模块,用于响应于接收到来自上述服务器的目标服务,访问上述目标服务。
根据本公开的另一方面,提供了一种服务访问装置,包括:第二生成模块,用于响应于接收到来自客户端的访问请求,根据上述访问请求包括的访问地址,生成握手证书,其中,上述握手证书包括远程验证信息,上述访问请求是上述客户端响应于检测到可信交互页面上针对目标服务的访问操作被触发生成的;第二发送模块,用于向上述客户端发送上述握手证书;获取模块,用于响应于接收到来自上述客户端在确定上述远程验证信息和预期远程验证信息一致的情况下,确定上述目标服务满足可信执行环境的远程验证条件,根据上述访问地址获取上述目标服务;以及,第三发送模块,用于向上述客户端发送上述目标服务,以便上述客户端访问上述目标服务。
根据本公开的另一方面,提供了一种电子设备,包括:至少一个处理器;以及与上述至少一个处理器通信连接的存储器;其中,上述存储器存储有可被上述至少一个处理器执行的指令,上述指令被上述至少一个处理器执行,以使上述至少一个处理器能够执行如本公开所述的方法。
根据本公开的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,上述计算机指令用于使上述计算机执行如本公开所述的方法。
根据本公开的另一方面,提供了一种计算机程序产品,包括计算机程序,上述计算机程序在被处理器执行时实现如本公开所述的方法。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1示意性示出了根据本公开实施例的可以应用服务访问方法及装置的示例性系统架构;
图2示意性示出了根据本公开实施例的服务访问方法的流程图;
图3示意性示出了根据本公开另一实施例的服务访问方法的流程图;
图4A示例性示出了根据本公开实施例的服务访问过程的示例示意图;
图4B示意性示出了根据本公开实施例的服务器侧的示例示意图;
图4C示意性示出了根据本公开实施例的资源上传服务的示例示意图;
图4D示意性示出了根据本公开实施例的资源下载服务的示例示意图;
图5示意性示出了根据本公开实施例的服务访问装置的框图;
图6示意性示出了根据本公开另一实施例的服务访问装置的框图;以及
图7示意性示出了根据本公开实施例的适于实现服务访问方法的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
为了便于理解,下面首先对本公开实施例所涉及的概念进行说明。
可信可以指计算机系统所提供的服务是可信赖的,而且这种可信赖是可论证的。可信并不等于于安全,但可信是安全的基础。安全方案和安全策略在被运行于未被篡改的环境的情况下,能够确保安全的目的。
基于可信计算,可以衍生出可信执行环境。可信执行环境(Trusted ExecutionEnvironment,TEE)是中央处理器(Central Processing Unit,CPU)上的安全区域,能够保证敏感数据在隔离和可信的环境内被处理,保护其免受来自富操作系统的软件攻击。可信执行环境使受信任的应用(或服务)可被安全地执行,这些应用可以被称为可信应用(Trusted Application,TA),这些服务可以称为可信服务。可信执行环境可以端到端地保护可信应用或可信服务的完整性和机密性。可信执行环境能够提供较强的处理能力和较大的内存空间。
例如,可信执行环境可以包括SGX(Software Guard Extensions,软件防护拓展)、SEV、TrustZone或基于RISC-V的可信执行环境等。
在利用可信执行环境提供的服务执行具有保密性的任务的情况下,为了确保信息的安全,可以利用黑盒方式实现对接可信执行环境中的服务。此外,还可以利用受限的访问方式来实现对接可信执行环境中的服务。利用受限的访问方式可以包括利用命令行方式。即,可以向可信执行环境发送命令,以获取任务的运行状态或执行结果。
上述受限的访问方式的表达能力有限,并且难以保证传输链路的安全性,以及难以验证服务的合法性。
为此,本公开实施例提出了一种服务访问方案。响应于检测到可信交互页面上针对目标服务的访问操作被触发,生成访问请求。访问请求包括目标服务的访问地址。向服务器发送访问请求,以便服务器根据访问地址,生成握手证书。握手证书包括远程验证信息。响应于接收到来自服务器的握手证书,在确定远程验证信息与预期远程验证信息一致的情况下,确定目标服务满足可信执行环境的远程验证条件。响应于接收到来自服务器的目标服务,访问目标服务。
根据本公开的实施例,通过在确定握手证书包括的远程注册信息与预期远程注册信息一致的情况下,确定目标服务满足可信执行环境的远程验证条件,实现了验证目标服务的合法性和验证可信交互页面是可信执行环境提供的。目标服务满足可信执行环境的远程验证条件,可信执行环境可以有效保证目标服务的完整性和机密性,因此,有效缓解了操作环节和传输链路的信息泄漏。此外,在可信交互页面上访问目标服务,实现了在可交互页面上访问目标服务。
图1示意性示出了根据本公开实施例的可以应用服务访问方法及装置的示例性系统架构。
需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括客户端101、102、103,网络104和服务器105。网络104用以在客户端101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线和/或无线通信链路等。
用户可以使用客户端101、102、103通过网络104与服务器105交互,以接收或发送消息等。客户端101、102、103上可以安装有各种通讯客户端应用,例如知识阅读类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端和/或社交平台软件等(仅为示例)。
客户端101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等。
例如,客户端101可以响应于检测到可信交互页面上针对目标服务的访问操作被触发,生成访问请求。访问请求包括目标服务的访问地址。向服务器发送访问请求,以便服务器根据访问地址,生成握手证书。握手证书包括远程验证信息。响应于接收到来自服务器的握手证书,在确定远程验证信息与预期远程验证信息一致的情况下,确定目标服务满足可信执行环境的远程验证条件。响应于接收到来自服务器的目标服务,访问目标服务。
服务器105可以是提供各种服务的服务器。例如,服务器105可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务(Virtual Private Server,VPS)中,存在的管理难度大,业务扩展性弱的缺陷。服务器105也可以为分布式系统的服务器,或者是结合了区块链的服务器。
服务器105可以包括可信执行环境。服务可以运行于可信执行环境中。
服务器105可以响应于接收到来自客户端的访问请求,根据访问请求包括的访问地址,生成握手证书。握手证书包括远程验证信息。访问请求是客户端响应于检测到可信交互页面上针对目标服务的访问操作被触发生成的。向客户端发送握手证书。响应于接收到来自客户端在确定远程验证信息和预期远程验证信息一致的情况下,确定目标服务满足可信执行环境的远程验证条件,根据访问地址获取目标服务。向客户端发送目标服务,以便客户端访问目标服务。
应该理解,图1中的客户端、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的客户端、网络和服务器。
应注意,以下方法中各个操作的序号仅作为该操作的表示以便描述,而不应被看作表示该各个操作的执行顺序。除非明确指出,否则该方法不需要完全按照所示顺序来执行。
图2示意性示出了根据本公开实施例的服务访问方法的流程图。
如图2所示,该方法200包括操作S210~S240。
在操作S210,响应于检测到可信交互页面上针对目标服务的访问操作被触发,生成访问请求。访问请求包括目标服务的访问地址。
在操作S220,向服务器发送访问请求,以便服务器根据访问地址,生成握手证书。握手证书包括远程验证信息。
在操作S230,响应于接收到来自服务器的握手证书,在确定远程验证信息与预期远程验证信息一致的情况下,确定目标服务满足可信执行环境的远程验证条件。
在操作S240,响应于接收到来自服务器的目标服务,访问目标服务。
根据本公开的实施例,可信交互页面可以指用于与可信执行环境对应的可交互页面。可信交互页面可以是可视化页面。可信交互页面可以包括与服务相关的控件。访问操作可以指将在可信交互页面上访问目标服务的操作。访问操作被触发可以包括针对访问控件的触控操作被触发。触控操作可以包括点击操作或选择操作。备选地,访问操作被触发可以是与访问操作相关的访问例程被触发。访问请求可以包括目标服务的访问地址。
根据本公开的实施例,服务可以包括能够向客户端提供的服务。客户端可以包括网页客户端。网页客户端可以包括Web客户端。Web客户端可以包括Web浏览器。服务可以包括以下至少一项:Web服务、后端RESTAPI服务、资源上传服务和资源下载服务。Web服务可以包括Web页面。Web页面可以包括以下至少一项:Web静态页面和Web动态页面。
根据本公开的实施例,REST(REpresentational State Transfer,表现层状态转化)是一种针对网络应用的设计和开发方式,可以降低开发的复杂性,提高系统的可伸缩性。表现层状态转化可以是一组构架约束条件和原则,满足这些约束和原则的应用程序或设计就是RESTful(即REST)。REST是设计风格而不是标准,它可以基于利用超文本传输协议(HyperText Transfer Protocol,HTTP)。可以基于REST定义的约束和原则设计以系统资源为中心的Web服务。
根据本公开的实施例,握手证书可以用于对目标服务的身份、目标服务的完整性和目标服务的运行环境进行验证。完整性可以指未被篡改。握手证书可以是客户端与服务器在执行握手操作的过程生成的。握手证书可以的格式可以包括X.509。X.509可以是由国际电联电信委员会(ITU-T)为单点登录(Single Sign-On,SSO)和授权管理基础设施(Privilege Management Infrastructure,PMI)制定的数字证书标准。可以将基于X.509的证书称为X.509证书。X.509证书也可以称为公钥证书。X.509证书可以包括数字签名(即证书发行者对数字证书的数字签名)和证书持有者的公钥信息。此外,X.509证书还可以包括以下至少一项:证书的版本信息、证书的序列号、证书所利用的签名算法、证书的发行机构名称、证书的有效期、证书持有者的名称和CA(Certificate Authority,证书授权中心)的名称。
根据本公开的实施例,握手证书可以是基于超文本安全传输协议的证书。握手证书可以包括远程验证(Remote Attestation,RA)信息。远程验证信息可以包括测度(即Measurement)信息。测度信息可以包括以下至少一项:实例的身份元数据、配置信息、由平台可信基派生的信任链和与服务相关的附加信息。配置信息可以包括以下至少一项:运行模式和安全版本号。握手证书还可以包括以下至少一项:CA的数字签名(即证书发行者对数字证书的数字签名)和证书所有者的公钥信息。此外,握手证书还可以包括以下至少一项:证书的版本信息、证书的序列号、证书所利用的签名算法、证书的发行机构名称、证书的有效期、证书所有者的名称和CA的名称。
根据本公开的实施例,预期远程验证信息可以用于作为确定目标服务是否满足可信执行环境的远程验证条件的依据。预期远程验证信息可以包括预期测度信息。预期远程验证信息可以通过线下的方式获取。满足远程验证条件可以包括以下至少一项:目标服务是预期版本的服务、目标服务具备完整性和目标服务是运行于可信执行环境中的服务。
根据本公开的实施例,客户端可以在检测到可信交互页面上针对目标服务的访问操作被触发的情况下,生成包括目标服务的访问地址的访问请求。客户端向服务器发送访问请求,服务器可以响应于接收到来自客户端的访问请求,根据访问请求包括的访问地址,确定远程验证信息。根据远程验证信息,生成握手证书。服务器可以向客户端发送握手证书。客户端可以在接收到来自服务器的握手证书的情况下,对握手证书进行解析,得到握手证书包括的远程验证信息。
根据本公开的实施例,客户端可以将远程验证信息与预先获得的预期远程延期信息进行比较,得到比较结果。根据比较结果,确定目标服务是否是运行于可信执行环境中的服务。即,可以在确定远程验证信息与预期远程验证信息一致的情况下,得到一致的比较结果。根据一致的比较结果,确定目标服务满足可信执行环境的远程验证条件。在确定远程验证信息与预期远程验证信息不一致的情况下,得到不一致的比较结果。根据不一致的比较结果,确定目标服务不满足可信执行环境的远程验证条件。
根据本公开的实施例,服务器在响应于接收到来自客户端确定目标服务是运行于可信执行环境中的服务,可以根据访问地址,获取目标服务。例如,客户端可以调用预定接口。利用预定接口向服务器发送确定目标服务是运行于可信执行环境中的服务。服务器可以向客户端发送目标服务。客户端可以响应于接收到来自服务器的根据接收到来自客户端的确定目标服务是运行于可信执行服务中的服务,根据目标地址得到的目标服务,客户端访问目标服务。例如,服务器可以通过预定接口向客户端发送目标服务。客户端可以调用预定接口,利用预定接口接收来自服务器的目标服务目标。服务可以包括目标Web页面、目标RESTAPI服务、资源上传服务或资源下载服务。
根据本公开的实施例,通过在确定握手证书包括的远程注册信息与预期远程注册信息一致的情况下,确定目标服务满足可信执行环境的远程验证条件,实现了验证目标服务的合法性。目标服务满足可信执行环境的远程验证条件,可信执行环境可以有效保证目标服务的完整性和机密性,因此,有效缓解了操作环节和传输链路的信息泄漏。此外,在可信交互页面上访问目标服务,实现了在可交互页面上访问目标服务。
根据本公开的实施例,客户端与服务器之间的数据传输可以基于超文本安全传输协议实现。
根据本公开的实施例,超文本安全传输协议(HyperText Transfer ProtocolSecure,HTTPS)是一种网络安全的应用层传输协议。超文本安全传输协议可以由超文本传输协议装载信息,并利用安全传输层协议(Transport Layer Security,TLS)对数据包进行加解密,使用传输控制协议(Transmission Control Protocol,TCP)作为传输层协议进行数据传输。超文本安全传输协议的安全功能由安全传输层协议提供。安全传输层协议可以包括记录层协议(TLS Record Layer)和握手协议(TLS Handshake)。
根据本公开的实施例,握手证书可以是基于超文本安全传输协议的证书。
根据本公开的实施例,客户端与服务器之间的握手证书可以基于安全传输层协议中的握手协议生成。
根据本公开的实施例,操作S210可以包括如下操作。
响应于检测到可信交互页面上针对目标服务的访问操作被触发,在确定安装有预定插件的情况下,利用预定插件生成访问请求。
根据本公开的实施例,操作S220可以包括如下操作。
利用预定插件向服务器发送访问请求。
根据本公开的实施例,操作S230可以包括如下操作。
利用预定插件响应于接收到来自服务器的握手证书,在确定远程验证信息与预期远程验证信息一致的情况下,确定目标服务满足可信执行环境的远程验证条件。
根据本公开的实施例,操作S240可以包括如下操作。
利用预定插件响应于接收到来自服务器的目标服务,访问目标服务。
根据本公开的实施例,预定插件可以用于实现服务访问操作。预定插件可以适用于不同类型的客户端,即,预定插件可以兼容不同类型的客户端。预定插件可以实现对接运行于服务器的可信执行环境的服务。例如,预定插件可以是利用JS(即JavaScript)语言编写的,能够实现跨平台兼容不同类型的Web浏览器。
根据本公开的实施例,客户端在检测到可信交互页面上针对目标服务的访问操作被触发的情况下,客户端检测是否安装有预定插件。如果检测到安装有预定插件,则可以利用预定插件执行本公开实施例的应用于客户端侧的服务访问方案。即,可以利用客户端的预定插件生成访问请求。利用预定插件向服务器发送访问请求,以便服务器响应于接收到来自客户端的预定插件的访问请求,根据访问请求包括的访问地址,生成握手证书。握手证书可以包括远程验证信息。服务器可以向客户端发送握手证书。
根据本公开的实施例,客户端的预定插件可以响应于接收到来自服务器的握手证书,确定握手证书包括的远程验证信息与预期远程验证信息是否一致。在确定远程验证信息与预期远程信息一致的情况下,预定插件确定目标服务满足可信执行环境的远程验证条件。
根据本公开的实施例,客户端的预定插件可以响应于接收到来自服务器的根据接收到来自客户端的预定插件的确定目标服务是运行于可信执行服务中的服务,根据目标地址得到的目标服务,预定插件访问目标服务。
根据本公开的实施例,客户端如果未检测到安装有预定插件,则可以安装预定插件,即,客户端可以在检测到可信交互页面上针对预定插件的资源下载操作被触发的情况下,生成插件下载请求。插件下载请求可以包括插件资源地址。客户端可以向服务器发送插件下载请求,以便服务器响应于接收到来自客户端的插件下载请求,根据插件资源地址获取待下载插件。客户端响应于接收到来自服务器的待下载插件,下载待下载插件,得到预定插件。客户端安装预定插件。此外,客户端还可以将用户域名和预定远程验证信息进行关联。
根据本公开的实施例,利用客户端的预定插件实现对接可信执行环境中的任意目标服务,而不需要对客户端进行改造。并且,可以兼容各种类型的浏览器。
根据本公开的实施例,操作S240可以包括如下操作。
在确定目标服务满足可信执行环境的远程验证条件的情况下,生成验证成功信息。向服务器发送验证成功信息,以便服务器响应于接收到来自客户端的验证成功信息,根据访问地址获取目标服务。响应于接收到来自服务器的目标服务,访问目标服务。
根据本公开的实施例,客户端如果确定目标服务满足可信执行环境的远程验证条件,则可以生成验证成功信息。客户端向服务器发送验证成功信息,以便服务器可以与客户端建立通信连接。客户端可以调用预定接口,利用预定接口向服务器发送访问地址,以便服务器响应于接收到来自客户端的访问地址,根据访问地址获取目标服务。服务器通过预定接口向客户端发送目标服务。客户端调用预定接口,利用预定接口接收来自服务器的目标服务,访问目标服务。
根据本公开的实施例,操作S240可以包括如下操作。
响应于接收到来自服务器的目标服务,在检测资源上传操作被触发的情况下,获取与待上传资源对应的加密密钥和资源地址。在确定对加密密钥和资源地址的远程验证结果是验证通过的情况下,向服务器发送加密密钥和资源地址,以便服务器将加密密钥和资源地址关联存储于可信执行环境。利用加密密钥对待上传资源进行加密,得到加密资源,以及向服务器发送加密资源,以便服务器将加密资源存储于资源存储平台。
根据本公开的实施例,资源上传操作被触发可以包括针对待上传资源的触控操作被触发。触控操作可以包括点击操作或选择操作。目标服务可以具有与目标服务对应的目标页面。资源可以是与任务相关的资源。例如,任务可以包括以下至少一项:人工智能任务和产品测试任务。从类型方面,资源可以包括以下至少一项:图像资源、音频资源和文本资源。从类型方法,资源可以包括以下至少一项:静态资源和动态资源。从作用方面,资源可以包括输入资源和输出资源。输入资源可以指用于作为任务的输入的资源。输出资源可以指用于作为任务的输出的资源,即,输出资源可以指执行任务得到的任务执行结果。资源的格式可以根据实际业务需求进行配置,在此不作限定。例如,资源的格式可以包括文件。资源地址可以包括统一资源定位符(Universal Resource Locator,URL)。
根据本公开的实施例,客户端可以在检测到资源上传操作被触发的情况下,例如,客户端可以在检测到与目标服务对应的目标页面上的资源上传操作被触发的情况下,获取待上传资源的加密密钥和资源地址。客户端可以包括Web浏览器。客户端可以对加密密钥和资源地址进行远程验证。远程验证结果可以包括验证通过和验证未通过。可以在确定远程验证结果是验证通过的情况下,在确定验证结果是验证通过的情况下,客户端可以向服务器发送资源地址和加密密钥,以便服务器可以将资源地址和加密密钥关联存储于服务器的可信执行环境。
根据本公开的实施例,客户端可以利用加密密钥对待上传资源进行加密,得到加密资源。例如,客户端可以利用加密算法生成加密密钥。加密算法可以包括对称加密算法或非对称加密算法。对称加密算法可以包括分组加密算法。分组加密算法可以包括AES(Advanced Encryption Standard,高级加密标准)。客户端可以利用加密密钥对待上传资源进行加密,得到加密资源。客户端可以向服务器发送加密资源,以便服务器可以将加密资源存储于服务器的资源存储平台。在确定远程验证结果是验证未通过的情况下,可以结束资源上传操作。
根据本公开的实施例,客户端的预定插件可以响应于接收到来自服务器的目标服务,在检测到资源上传操作被触发的情况下,获取与待上传资源对应的加密密钥和资源地址。客户端的预定插件可以在对加密密钥和资源地址的远程验证结果是验证通过的情况下,客户端的预定插件向服务器发送加密密钥和资源地址,以便服务器将加密密钥和资源地址关联存储于可信执行环境。客户端可以利用加密密钥对待上传资源进行加密,得到加密资源。客户端可以向服务器发送加密资源,以便服务器将加密资源存储于资源存储平台。
根据本公开的实施例,客户端与服务器可以基于超文本传输安全协议实现数据传输。
根据本公开的实施例,可以将客户端上传的加密资源存储于服务器的资源存储平台,实现了不需要将加密资源上传客户端,由此简化了上传资源的操作,并且有效保证了数据的安全性。此外,可以实现对加密密钥的远程验证,由此,可以有效保证加密密钥安全存储于预定的可信执行环境中。
根据本公开的实施例,上述服务访问方法还可以包括如下操作。
在检测到资源上传操作被触发的情况下,对待上传资源进行分块处理,得到多个待上传资源块。
根据本公开的实施例,利用加密密钥对待上传资源进行加密,得到加密资源,以及向服务器发送加密资源,以便服务器将加密资源存储于资源存储平台,可以包括如下操作。
针对多个待上传资源块中的每个待上传资源块,利用加密密钥对待上传资源块进行加密,得到与待上传资源块对应的加密资源块,以及向服务器发送加密资源块,以便服务器将加密资源块存储于资源存储平台。
根据本公开的实施例,如果待上传资源的大小较大,较短时间内难以完全上传,则可以选择合适的方法解决较大待上传资源的持续传输问题。为此,可以利用分块处理方法处理待上传资源,得到多个待上传资源块。
根据本公开的实施例,客户端在利用分块处理方法处理待上传资源,得到多个待上传资源块的情况下,可以针对多个待上传资源块中的每个待上传资源块,客户端可以利用加密密钥对待上传资源块进行加密,得到与待上传资源块对应的加密资源块。客户端可以向服务器发送加密资源块,以便服务器可以将加密资源块存储于资源存储平台。即,客户端在每获得一个加密资源块的情况下,可以向服务器发送加密资源块,以便服务器对加密资源块进行存储。服务器可以根据资源地址将获得的多个加密资源块进行关联,得到加密资源。
根据本公开的实施例,与待上传资源对应的加密密钥可以包括一个或多个。即,不同加密资源块的加密密钥可以完全相同、部分相同或完全不同,即,加密密钥可以与待上传资源块一一对应。备选地,加密密钥可以与全部待上传资源块对应。备选地,加密密钥可以包括多个,每个加密密钥可以与多个待上传资源块中的部分待上传资源块对应。
根据本公开的实施例,如果与待上传资源对应的加密密钥包括一个,则密钥上传操作可以执行一次。密钥上传操作可以指客户端可以向服务器发送加密密钥和资源地址,以便服务器将加密密钥和资源地址关联存储于服务器的可信执行环境的操作。
根据本公开的实施例,每个待上传资源块可以具有与待上传资源块对应的加密密钥。
根据本公开的实施例,在确定对加密密钥和资源地址的远程验证结果是验证通过的情况下,向服务器发送加密密钥和资源地址,以便服务器将加密密钥和资源地址关联存储于可信执行环境,可以包括如下操作。
针对多个待上传资源块中的每个待上传资源块,在确定对与待上传资源块对应的加密密钥和资源地址的远程验证结果是验证通过的情况下,向服务器发送与待上传资源块对应的加密密钥和资源地址,以便服务器将与待上传资源块对应的加密密钥和资源地址关联存储于可信执行环境。
根据本公开的实施例,每个待上传资源块可以具有与该待上传资源块对应的加密密钥。不同待上传资源块的加密密钥可以相同或不同。针对多个待上传资源块中的每个待上传资源块,客户端的预定插件可以对与待上传资源块对应的加密密钥和资源地址进行远程验证。客户端的预定插件可以在确定远程验证结果是验证通过的情况下,向服务器发送与待上传资源块对应的加密密钥和资源地址。服务器可以将与待上传资源块对应的加密密钥和资源地址关联存储于服务器的可信执行环境。
根据本公开的实施例,待上传资源块可以与加密密钥一一对应。
根据本公开的实施例,待上传资源块与加密密钥一一对应,可以提高资源传输和存储的安全性。
根据本公开的实施例,操作S240可以包括重复执行以下操作,直至当前解析结果不包括下一依赖资源地址,得到目标页面。
响应于接收到来自服务器的目标服务,在检测到资源下载操作被触发的情况下,生成当前资源下载请求。当前资源下载请求包括当前资源地址。在确定对当前资源地址的远程验证结果是验证通过的情况下,向服务器发送当前资源下载请求,以便服务器根据当前资源地址获取当前响应结果。响应于接收到来自服务器的当前响应结果,对当前响应结果进行解析,得到当前解析结果。根据当前解析结果进行页面渲染,得到当前页面内容。在确定当前解析结果包括至少一个下一依赖资源地址的情况下,针对至少一个下一依赖资源地址中的每个下一依赖资源地址,在确定下一依赖资源地址是静态资源地址的情况下,生成下一资源下载请求。下一资源下载请求包括下一依赖资源地址。在确定下一依赖资源地址是动态资源地址的情况下,根据当前解析结果,得到下一参数信息,以及,生成下一资源下载请求。下一资源下载请求包括下一依赖资源地址和下一参数信息。将下一资源下载请求确定为新的当前资源下载请求。
根据本公开的实施例,资源下载请求可以指用于请求生成目标页面的请求。资源下载操作被触发可以包括针对待下载资源的触控操作被触发。触控操作可以包括点击操作或选择操作。目标服务可以具有与目标服务对应的主页面。参数信息可以是客户端根据当前页面内容得到的信息。
根据本公开的实施例,客户端可以在检测到与目标服务对应的主页面上的资源下载操作被触发的情况下,生成包括当前资源地址的当前资源下载请求。客户端可以包括Web浏览器。客户端的预定插件可以拦截当前资源下载请求,对当前资源下载请求包括的当前资源地址进行远程验证,得到远程验证结果。远程验证结果可以包括验证通过或验证未通过。客户端的预定插件在确定远程验证结果是验证通过的情况下,向服务器发送当前资源下载请求。服务器可以根据当前资源地址,获取当前响应结果。客户端的预定插件在确定远程验证结果是验证未通过的情况下,结束执行资源下载操作。
根据本公开的实施例,服务器可以向客户端返回当前响应结果,客户端可以对当前响应结果进行解析,得到用于进行当前页面渲染的当前解析结果。基于当前解析结果进行页面渲染,得到当前页面内容。客户端可以确定当前解析结果是否包括至少一个下一依赖资源地址。在确定当前解析结果包括至少一个下一依赖资源地址的情况下,针对至少一个下一依赖资源地址中的每个下一依赖资源地址,确定下一依赖资源地址是静态资源地址或动态资源地址。如果确定下一依赖资源地址是静态资源地址,则生成包括下一依赖资源地址的下一资源下载请求。如果确定下一依赖资源地址是动态资源地址,则可以根据当前解析结果,得到包括下一依赖资源地址和下一参数信息的下一资源下载请求。将下一资源下载请求确定为新的当前资源下载请求,下一资源下载请求包括的下一依赖资源地址确定为当前资源地址。继续执行客户端的预定插件可以拦截当前资源下载请求,对当前资源下载请求包括的当前资源地址进行远程验证,得到远程验证结果。远程验证结果可以包括验证通过或验证未通过。客户端的预定插件在确定远程验证结果是验证通过的情况下,向服务器发送当前资源下载请求。服务器可以根据当前资源地址,获取当前响应结果。服务器可以向客户返回当前响应结果,客户端可以对当前响应结果进行解析,得到用于进行当前页面渲染的当前解析结果。基于当前解析结果进行页面渲染,得到当前页面内容。客户端可以确定当前解析结果是否包括至少一个下一依赖资源地址。在确定当前解析结果包括至少一个下一依赖资源地址的情况下,针对至少一个下一依赖资源地址中的每个下一依赖资源地址,确定下一依赖资源地址是静态资源地址或动态资源地址。如果确定下一依赖资源地址是静态资源地址,则生成包括下一依赖资源地址的下一资源下载请求。如果确定下一依赖资源地址是动态资源地址,则可以根据当前解析结果,得到包括下一依赖资源地址和下一参数信息的下一资源下载请求,直至确定当前解析结果不包括下一依赖资源地址,进而得到目标页面,目标页面包括的页面内容均是未发生篡改和替换的,并且目标页面的环境是可信执行环境提供的。
根据本公开的实施例,对动态资源地址进行远程验证的目的在于对计算逻辑进行验证。客户端与服务器可以基于超文本传输安全协议实现数据传输。
根据本公开的实施例,目标页面包括的页面内容可以包括基于资源下载操作得到的下载结果。例如,目标服务可以是人工智能服务。目标页面包括的页面内容可以是人工智能任务的任务执行结果。可以在确定任务执行结果不满足预期结果的情况下,对人工智能任务进行调整。
根据本公开的实施例,目标服务可以包括人工智能服务。
根据本公开的实施例,人工智能服务可以用于实现人工智能任务。人工智能任务可以包括以下至少一项:图像任务、语音任务和文本任务。图像任务可以包括以下至少一项:图像识别任务、图像分割任务、目标分类任务和目标检测任务。语音任务可以包括以下至少一项:语音识别任务和语音翻译任务。文本任务可以包括以下至少一项:文本识别任务、文本检测任务和文本翻译任务。人工智能任务可以具有与其对应的人工智能模型。
根据本公开的实施例,可以在目标页面上,可以利用目标资源执行人工智能任务。例如,可以利用目标资源训练人工智能模型。利用目标资源执行人工智能任务中的特征提取。
根据本公开的实施例,通过将任务执行结果进行可视化展示,即,生成目标页面,便于用户根据任务执行结果对任务或资源进行调整,有助于对人工智能任务进行优化。
根据本公开的实施例,上述服务访问方法还可以包括如下操作。
在确定远程验证信息与预期远程验证信息不一致的情况下,生成风险提示信息。风险提示信息用于提示目标服务不满足可信执行环境的远程验证条件。
根据本公开的实施例,客户端如果确定远程验证信息与预期远程验证信息不一致,则可以说明目标服务并不满足可信执行环境的远程验证条件,由此可以生成用于提示目标服务不满足可信执行环境的远程验证条件的风险提示信息。
图3示意性示出了根据本公开另一实施例的服务访问方法的流程图。
如图3所示,该方法300包括操作S310~S340。
在操作S310,响应于接收到来自客户端的访问请求,根据访问请求包括的访问地址,生成握手证书。握手证书包括远程验证信息。访问请求是客户端响应于检测到可信交互页面上针对目标服务的访问操作被触发生成的。
在操作S320,向客户端发送握手证书。
在操作S330,响应于接收到来自客户端在确定远程验证信息和预期远程验证信息一致的情况下,确定目标服务满足可信执行环境的远程验证条件,根据访问地址获取目标服务。
在操作S340,向客户端发送目标服务,以便客户端访问目标服务。
根据本公开的实施例,服务器可以将服务运行于可信执行环境中。服务器可以向外提供统一的预定接口,以便客户端可以调用预定接口实现服务访问。预定接口可以是安全用户接口。安全用户接口可以实现客户端可以访问可信执行环境提供的服务。
根据本公开的实施例,服务器可以利用PATH方法来确定服务的类型。可以利用ROUTING方法路由到不同服务。服务可以包括以下至少一项:Web页面、后端RESTAPI服务、资源上传服务和资源下载服务。资源下载服务可以包括以下至少一项:预定插件和JS脚本。
根据本公开的实施例,可以根据实际业务需求选择编写运行于可信执行环境中的服务的语言,在此不作限定。例如,可以利用Rust语言编写。
根据本公开的实施例,握手证书可以是基于超文本传输安全协议的证书。
根据本公开的实施例,操作S330可以包括如下操作。
响应于接收到来自客户端的验证成功信息,根据访问地址获取目标服务。验证成功信息是客户端在确定远程验证信息与预期远程验证信息一致的情况下,确定目标服务满足可信执行环境的远程验证条件生成的。
根据本公开的实施例,操作S340可以包括如下操作。
向客户端发送目标服务,以便客户端在检测到资源上传操作被触发的情况下,获取与待上传资源对应的加密密钥和资源地址,在确定对加密密钥和资源地址进行远程验证的远程验证结果是验证通过的情况下,利用加密密钥对待上传资源进行加密,得到加密资源。响应于接收到来自客户端的加密密钥和资源地址,将加密密钥和资源地址关联存储于可信执行环境。响应于接收到来自客户端的加密资源,将加密资源存储于资源存储平台。
根据本公开的实施例,上述服务访问方法还可以包括如下操作。
在检测到资源上传操作被触发的情况下,对待上传资源进行分块处理,得到多个待上传资源块。
根据本公开的实施例,利用加密密钥对待上传资源进行加密,得到加密资源,可以包括如下操作。
针对多个待上传资源块中的每个待上传资源块,利用加密密钥对待上传资源块进行加密,得到与待上传资源块对应的加密资源块。
根据本公开的实施例,响应于接收到来自客户端的加密资源,将加密资源存储于资源存储平台,可以用包括如下操作。
响应于接收到来自客户端的加密资源块,将加密资源块存储于资源存储平台。
根据本公开的实施例,操作S340可以包括重复执行以下操作,直至当前解析结果不包括下一依赖资源地址,得到目标页面。
响应于接收到来自客户端在确定对当前资源下载请求包括的当前资源地址的远程验证结果是验证通过的情况下的当前资源下载请求,根据当前资源地址获取当前响应结果。当前资源下载请求是客户端响应于接收到来自服务器的目标服务,在检测到资源下载操作被触发的情况下的生成的。向客户端返回当前响应结果,以便客户端响应于接收到来自服务器的当前响应结果,对当前响应结果进行解析,得到当前解析结果。根据当前解析结果进行页面渲染,得到当前页面内容。在确定当前解析结果包括至少一个下一依赖资源地址的情况下,针对至少一个下一依赖资源地址中的每个下一依赖资源地址,在确定下一依赖资源地址是静态资源地址的情况下,生成下一资源下载请求。下一资源下载请求包括下一依赖资源地址。在确定下一依赖资源地址是动态资源地址的情况下,根据当前解析结果,得到下一参数信息,以及,生成下一资源下载请求。下一资源下载请求包括下一依赖资源地址和下一参数信息。将下一资源下载请求确定为新的当前资源下载请求。
下面参考图4A、图4B、图4C和图4D,结合具体实施例对根据本公开实施例所述的方法做进一步说明。
图4A示例性示出了根据本公开实施例的服务访问过程的示例示意图。
如图4A所示,在400A中,客户端401可以安装有预定插件4010。预定插件4010可以是浏览器插件。可以向用户提供的服务可以包括Web服务、RESTAPI服务和资源下载服务。RESTAPI服务可以包括安全平台计算、认证服务和资源存储服务。可以基于RESTAPI服务实现资源上传服务。安全平台计算可以运行于可信执行环境。认证服务可以运行于认证协议-可信执行环境(即LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)-TEE)。
客户端401可以响应于检测到可信交互页面4011上针对目标服务的访问操作被触发,在确定安装有预定插件4010的情况下,利用预定插件4010生成访问请求。例如,访问请求包括访问地址“https:tee.cli.xx.com”。利用预定插件4010向服务器402发送访问请求。
服务器402可以根据访问请求包括的访问地址,生成握手证书。握手证书包括远程验证信息。服务器402可以向客户端401发送握手证书。
利用客户端401的预定插件4010可以在确定远程验证信息与预期远程验证信息一致的情况下,确定目标服务满足服务器402的可信执行环境的远程验证条件。利用预定插件4010在确定目标服务满足可信执行环境的远程验证条件的情况下,生成验证成功信息。利用预定插件4010向服务器402发送验证成功信息。
服务器402可以根据访问地址获取目标服务。服务器402向客户端401发送目标服务。客户端401访问目标服务。
图4B示意性示出了根据本公开实施例的服务器侧的示例示意图。
如图4B所示,在400B中,服务器402中的可信执行环境提供的服务可以包括Web服务和RESTAPI服务。Web服务可以包括Web静态页面、JS安装包、安全浏览器和安全客户端。
服务器402还可以提供与认证协议客户端、资源存储客户端、安全客户端和系统日志客户端相关的接口。与认证协议客户端相关的接口可以用于实现认证功能。与资源存储客户端相关的接口可以用于实现资源上传和资源下载。与安全客户端相关的接口可以用于实现执行任务功能。与系统日志客户端相关的接口可以用于实现日志功能。例如,资源存储客户端可以是S3客户端。
图4A和图4B中的可信执行环境可以是基于SGX的可信执行环境。SGX可以包括Enclave(即飞地)的安全内存区域。Enclave可以用于提供扩展指令集。中央处理器可以保证Enclave的安全内存区域与外部程序的内存隔离,并提供内存加密和远程验证机制,从而保护Enclave代码和数据的机密性、完整性与可验证性。
SGX旨在以硬件安全为强制性保障,不依赖于固件和软件的安全状态,通过一组新的指令集扩展与访问控制机制,实现包括敏感数据的程序和普通程序间的隔离运行,并为包括敏感数据的程序提供可信执行环境,保障用户关键代码和数据的机密性与完整性不受恶意软件的破坏。SGX的可信计算基只包括硬件,有效避免了基于软件的可信计算基自身存在软件安全漏洞与威胁的缺陷,提高了对系统安全的保障能量。此外,SGX可以保障可信执行环境运行时的安全,恶意代码难以访问与篡改其他程序在安全区内部运行的内容,增强了系统的安全性。基于指令集的扩展与独立的认证方式,使应用程序可以灵活地调用安全功能并进行验证。
下面参考图4C和图4D,结合具体实施例对图4A中在目标服务是资源上传服务或资源下载服务的情况下的访问操作做进一说明。
图4C示意性示出了根据本公开的实施例的资源上传服务的示例示意图。
如图4C所示,在400C中,客户端401的预定插件4010可以响应于接收到来自服务器的目标服务,在检测与目标服务对应的目标页面上的资源上传操作被触发的情况下,获取与待上传资源对应的加密密钥和资源地址。预定插件4010的远程验证模块可以对加密密钥和资源地址进行远程验证。在确定远程验证结果是验证通过的情况下,向服务器402发送加密密钥和资源地址。服务器402可以将加密密钥和资源地址关联存储于服务器402的可信执行环境4020。
客户端401可以利用加密密钥对待上传资源进行加密,得到加密资源可以向服务器402发送加密资源。服务器402可以将加密资源存储于服务器402的资源存储平台4021。客户端401执行向服务器402发送加密资源的操作可以无需通过预定插件4010。
图4D示意性示出了根据本公开实施例的资源下载服务的示例示意图。
如图4D所示,在400D中,客户端401的浏览器可以响应于接收到来自服务器402的目标服务,在检测到资源下载操作被触发的情况下,生成包括当前资源地址的当前资源下载请求。客户端401的预定插件可以在确定对当前资源地址的远程验证结果是验证通过的情况下,向服务器402发送当前资源下载请求。服务器402可以根据当前资源地址,获取当前响应结果。服务器402可以向客户端401返回当前响应结果。
客户端401的浏览器可以对当前响应结果进行解析,得到当前解析结果。根据当前解析结果进行页面渲染,得到当前页面内容。确定当前解析结果是否包括至少一个下一依赖资源地址。如果确定当前解析结果包括至少一个下一依赖资源地址,则可以针对至少一个下一依赖资源地址中的每个依赖资源地址,确定下一依赖资源地址是静态资源地址或动态资源地址。如果确定下一依赖资源地址是静态资源地址,则生成包括下一依赖资源地址的下一资源下载请求。如果确定下一依赖资源地址是动态资源地址,则可以根据当前解析结果,得到下一参数信息,以及生成包括下一依赖资源地址和下一参数信息的下一资源下载请求。将下一资源下载请求确定为新的当前资源下载请求。重复执行上述过程直至当前资源下载请求不包括下一依赖资源地址,由此得到了目标页面。动态资源地址可以包括与RESTAPI对应的资源地址。
以上仅是示例性实施例,但不限于此,还可以包括本领域已知的其他服务访问方法,只要能够实现验证目标服务的合法性和验证可信交互页面是可信执行环境提供的,以及实现在可交互页面上访问目标服务即可。
图5示意性示出了根据本公开实施例的服务访问装置的框图。
如图5所示,服务访问方法500可以包括第一生成模块510、第一发送模块520、确定模块530和第一访问模块540。
第一生成模块510,用于响应于检测到可信交互页面上针对目标服务的访问操作被触发,生成访问请求。访问请求包括目标服务的访问地址。
第一发送模块520,用于向服务器发送访问请求,以便服务器根据访问地址,生成握手证书。握手证书包括远程验证信息;
确定模块530,用于响应于接收到来自服务器的握手证书,在确定远程验证信息与预期远程验证信息一致的情况下,确定目标服务满足可信执行环境的远程验证条件。
第一访问模块540,用于响应于接收到来自服务器的目标服务,访问目标服务。
根据本公开的实施例,第一生成模块510可以包括第一生成子模块。
第一生成子模块,用于响应于检测到可信交互页面上针对目标服务的访问操作被触发,在确定安装有预定插件的情况下,利用预定插件生成访问请求。
根据本公开的实施例,第一发送模块520可以包括第一发送子模块。
第一发送子模块,用于利用预定插件向服务器发送访问请求。
根据本公开的实施例,确定模块530可以包括第一确定子模块。
第一确定子模块,用于利用预定插件响应于接收到来自服务器的握手证书,在确定远程验证信息与预期远程验证信息一致的情况下,确定目标服务满足可信执行环境的远程验证条件。
根据本公开的实施例,第一访问模块540可以包括第一访问子模块。
第一访问子模块,用于利用预定插件响应于接收到来自服务器的目标服务,访问目标服务。
根据本公开的实施例,第一访问模块540可以包括第二确定子模块、第二发送子模块和第二访问子模块。
第二确定子模块,用于在确定目标服务满足可信执行环境的远程验证条件的情况下,生成验证成功信息。
第二发送子模块,用于向服务器发送验证成功信息,以便服务器响应于接收到来自客户端的验证成功信息,根据访问地址获取目标服务。
第二访问子模块,用于响应于接收到来自服务器的目标服务,访问目标服务。
根据本公开的实施例,第一访问模块540可以包括第一获取子模块、第三发送子模块、第一获得子模块和第四发送子模块。
第一获取子模块,用于响应于接收到来自服务器的目标服务,在检测到资源上传操作被触发的情况下,获取与待上传资源对应的加密密钥和资源地址。
第三发送子模块,用于在确定对加密密钥和资源地址的远程验证结果是验证通过的情况下,向服务器发送加密密钥和资源地址,以便服务器将加密密钥和资源地址关联存储于可信执行环境。
第一获得子模块,用于利用加密密钥对待上传资源进行加密,得到加密资源。
第四发送子模块,用于向服务器发送加密资源,以便服务器将加密资源存储于资源存储平台。
根据本公开的实施例,上述服务访问装置500还可以包括第一获得模块。
第一获得模块,用于在检测到资源上传操作被触发的情况下,对待上传资源进行分块处理,得到多个待上传资源块。
根据本公开的实施例,第一获得子模块可以包括第一获得单元。
第一获得单元,用于针对多个待上传资源块中的每个待上传资源块,利用加密密钥对待上传资源块进行加密,得到与待上传资源块对应的加密资源块。
根据本公开的实施例,第四发送子模块可以包括第一发送单元。
第一发送单元,用于向服务器发送加密资源块,以便服务器将加密资源块存储于资源存储平台。
根据本公开的实施例,每个待上传资源块具有与待上传资源块对应的加密密钥。
根据本公开的实施例,第三发送子模块可以包括第二发送单元。
第二发送单元,用于针对多个待上传资源块中的每个待上传资源块,在确定对与待上传资源块对应的加密密钥和资源地址的远程验证结果是验证通过的情况下,向服务器发送与待上传资源块对应的加密密钥和资源地址,以便服务器将与待上传资源块对应的加密密钥和资源地址关联存储于可信执行环境。
根据本公开的实施例,第一访问模块540可以用于重复执行以下操作,直至当前解析结果不包括下一依赖资源地址,得到目标页面:
响应于接收到来自服务器的目标服务,在检测到资源下载操作被触发的情况下,生成当前资源下载请求。当前资源下载请求包括当前资源地址。
在确定对当前资源地址的远程验证结果是验证通过的情况下,向服务器发送当前资源下载请求,以便服务器根据当前资源地址获取当前响应结果。响应于接收到来自服务器的当前响应结果,对当前响应结果进行解析,得到当前解析结果。根据当前解析结果进行页面渲染,得到当前页面内容。在确定当前解析结果包括至少一个下一依赖资源地址的情况下,针对至少一个下一依赖资源地址中的每个下一依赖资源地址,在确定下一依赖资源地址是静态资源地址的情况下,生成下一资源下载请求。下一资源下载请求包括下一依赖资源地址。在确定下一依赖资源地址是动态资源地址的情况下,根据当前解析结果,得到下一参数信息,以及,生成下一资源下载请求。下一资源下载请求包括下一依赖资源地址和下一参数信息。将下一资源下载请求确定为新的当前资源下载请求。
根据本公开的实施例,上述服务访问装置500还可以包括第三生成模块。
第三生成模块,用于在确定远程验证信息与预期远程验证信息不一致的情况下,生成风险提示信息。风险提示信息用于提示目标服务不满足可信执行环境的远程验证条件。
根据本公开的实施例,目标服务包括人工智能服务。
根据本公开的实施例,握手证书是基于超文本传输安全协议的证书。
图6示意性示出了根据本公开另一实施例的服务访问装置的框图。
如图6所示,服务访问装置600可以包括第二生成模块610、第二发送模块620、获取模块630和第三发送模块640。
第二生成模块610,用于响应于接收到来自客户端的访问请求,根据访问请求包括的访问地址,生成握手证书。握手证书包括远程验证信息,访问请求是客户端响应于检测到可信交互页面上针对目标服务的访问操作被触发生成的。
第二发送模块620,用于向客户端发送握手证书。
获取模块630,用于响应于接收到来自客户端在确定远程验证信息和预期远程验证信息一致的情况下,确定目标服务满足可信执行环境的远程验证条件,根据访问地址获取目标服务。
第三发送模块640,用于向客户端发送目标服务,以便客户端访问目标服务。
根据本公开的实施例,获取模块630可以包括第二获取子模块。
第二获取子模块,用于响应于接收到来自客户端的验证成功信息,根据访问地址获取目标服务。验证成功信息是客户端在确定远程验证信息与预期远程验证信息一致的情况下,确定目标服务满足可信执行环境的远程验证条件生成的。
根据本公开的实施例,第二发送模块640可以包括第五发送子模块、第一存储子模块和第二存储子模块。
第五发送子模块,用于向客户端发送目标服务,以便客户端在检测到资源上传操作被触发的情况下,获取与待上传资源对应的加密密钥和资源地址,在确定对加密密钥和资源地址进行远程验证的远程验证结果是验证通过的情况下,利用加密密钥对待上传资源进行加密,得到加密资源。
第一存储子模块,用于响应于接收到来自客户端的加密密钥和资源地址,将加密密钥和资源地址关联存储于可信执行环境。
第二存储子模块,用于响应于接收到来自客户端的加密资源,将加密资源存储于资源存储平台。
根据本公开的实施例,第三发送模块640可以用于重复执行以下操作,直至当前解析结果不包括下一依赖资源地址,得到目标页面:
响应于接收到来自客户端在确定对当前资源下载请求包括的当前资源地址的远程验证结果是验证通过的情况下的当前资源下载请求,根据当前资源地址获取当前响应结果。当前资源下载请求是客户端响应于接收到来自服务器的目标服务,在检测到资源下载操作被触发的情况下的生成的。向客户端返回当前响应结果,以便客户端响应于接收到来自服务器的当前响应结果,对当前响应结果进行解析,得到当前解析结果。根据当前解析结果进行页面渲染,得到当前页面内容。在确定当前解析结果包括下一依赖资源地址的情况下,在确定下一依赖资源地址是静态资源地址的情况下,生成下一资源下载请求。下一资源下载请求包括下一依赖资源地址。在确定下一依赖资源地址是动态资源地址的情况下,根据当前解析结果,得到下一参数信息,以及,生成下一资源下载请求。下一资源下载请求包括下一依赖资源地址和下一参数信息。将下一资源下载请求确定为新的当前资源下载请求。
根据本公开的实施例,握手证书是基于超文本传输安全协议的证书。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
根据本公开的实施例,一种电子设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如上所述的方法。
根据本公开的实施例,一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行如上所述的方法。
根据本公开的实施例,一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现如上所述的方法。
图7示意性示出了根据本公开实施例的适于实现服务访问方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图7所示,电子设备700包括计算单元701,其可以根据存储在只读存储器(ROM)702中的计算机程序或者从存储单元708加载到随机访问存储器(RAM)703中的计算机程序,来执行各种适当的动作和处理。在RAM 703中,还可存储电子设备700操作所需的各种程序和数据。计算单元701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
电子设备700中的多个部件连接至I/O接口705,包括:输入单元706,例如键盘、鼠标等;输出单元707,例如各种类型的显示器、扬声器等;存储单元708,例如磁盘、光盘等;以及通信单元709,例如网卡、调制解调器、无线通信收发机等。通信单元709允许电子设备700通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元701可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元701的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元701执行上文所描述的各个方法和处理,例如服务访问方法。例如,在一些实施例中,服务访问方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元708。在一些实施例中,计算机程序的部分或者全部可以经由ROM 702和/或通信单元709而被载入和/或安装到电子设备700上。当计算机程序加载到RAM 703并由计算单元701执行时,可以执行上文描述的服务访问方法的一个或多个步骤。备选地,在其他实施例中,计算单元701可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行服务访问方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以是分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。

Claims (20)

1.一种服务访问方法,包括:
响应于检测到可信交互页面上针对目标服务的访问操作被触发,生成访问请求,其中,所述访问请求包括所述目标服务的访问地址;
向服务器发送所述访问请求,以便所述服务器根据所述访问地址,生成握手证书,其中,所述握手证书包括远程验证信息;
响应于接收到来自所述服务器的握手证书,在确定所述远程验证信息与预期远程验证信息一致的情况下,确定所述目标服务满足可信执行环境的远程验证条件;以及
响应于接收到来自所述服务器的目标服务,访问所述目标服务。
2.根据权利要求1所述的方法,其中,所述响应于检测到可信交互页面上针对目标服务的访问操作被触发,生成访问请求,包括:
响应于检测到所述可信交互页面上针对所述目标服务的访问操作被触发,在确定安装有预定插件的情况下,利用所述预定插件生成所述访问请求;
其中,所述向服务器发送所述访问请求,包括:
利用所述预定插件向所述服务器发送所述访问请求;
其中,所述响应于接收到来自所述服务器的握手证书,在确定所述远程验证信息与预期远程验证信息一致的情况下,确定所述目标服务满足可信执行环境的远程验证条件,包括:
利用所述预定插件响应于接收到来自所述服务器的握手证书,在确定所述远程验证信息与所述预期远程验证信息一致的情况下,确定所述目标服务满足可信执行环境的远程验证条件;
其中,所述响应于接收到来自所述服务器的目标服务,访问所述目标服务,包括:
利用所述预定插件响应于接收到来自所述服务器的目标服务,访问所述目标服务。
3.根据权利要求1或2所述的方法,其中,所述响应于接收到来自所述服务器的目标服务,访问所述目标服务,包括:
在确定所述目标服务满足可信执行环境的远程验证条件的情况下,生成验证成功信息;
向所述服务器发送所述验证成功信息,以便所述服务器响应于接收到来自客户端的验证成功信息,根据访问地址获取所述目标服务;以及
响应于接收到来自所述服务器的目标服务,访问所述目标服务。
4.根据权利要求1或3所述的方法,其中,所述响应于接收到来自所述服务器的目标服务,访问所述目标服务,包括:
响应于接收到来自所述服务器的目标服务,在检测到资源上传操作被触发的情况下,获取与待上传资源对应的加密密钥和资源地址;
在确定对所述加密密钥和所述资源地址的远程验证结果是验证通过的情况下,向所述服务器发送所述加密密钥和所述资源地址,以便所述服务器将所述加密密钥和所述资源地址关联存储于所述可信执行环境;以及
利用所述加密密钥对所述待上传资源进行加密,得到加密资源,以及向所述服务器发送所述加密资源,以便所述服务器将所述加密资源存储于资源存储平台。
5.根据权利要求4所述的方法,还包括:
在检测到所述资源上传操作被触发的情况下,对所述待上传资源进行分块处理,得到多个待上传资源块;
其中,所述利用所述加密密钥对所述待上传资源进行加密,得到加密资源,以及向所述服务器发送所述加密资源,以便所述服务器将所述加密资源存储于资源存储平台,包括:
针对所述多个待上传资源块中的每个待上传资源块,利用所述加密密钥对所述待上传资源块进行加密,得到与所述待上传资源块对应的加密资源块,以及向所述服务器发送所述加密资源块,以便所述服务器将所述加密资源块存储于所述资源存储平台。
6.根据权利要求5所述的方法,其中,每个所述待上传资源块具有与所述待上传资源块对应的加密密钥;
其中,所述在确定对所述加密密钥和所述资源地址的远程验证结果是验证通过的情况下,向所述服务器发送所述加密密钥和所述资源地址,以便所述服务器将所述加密密钥和所述资源地址关联存储于所述可信执行环境,包括:
针对所述多个待上传资源块中的每个待上传资源块,在确定对与所述待上传资源块对应的加密密钥和资源地址的远程验证结果是验证通过的情况下,向所述服务器发送与所述待上传资源块对应的加密密钥和资源地址,以便所述服务器将与所述待上传资源块对应的加密密钥和资源地址关联存储于所述可信执行环境。
7.根据权利要求1或3所述的方法,其中,所述响应于接收到来自所述服务器的目标服务,访问所述目标服务,包括重复执行以下操作,直至当前解析结果不包括下一依赖资源地址,得到目标页面:
响应于接收到来自所述服务器的目标服务,在检测到资源下载操作被触发的情况下,生成当前资源下载请求,其中,所述当前资源下载请求包括当前资源地址;
在确定对所述当前资源地址的远程验证结果是验证通过的情况下,向所述服务器发送所述当前资源下载请求,以便所述服务器根据所述当前资源地址获取当前响应结果;
响应于接收到来自所述服务器的当前响应结果,对所述当前响应结果进行解析,得到当前解析结果;
根据所述当前解析结果进行页面渲染,得到当前页面内容;
在确定所述当前解析结果包括至少一个下一依赖资源地址的情况下,
针对至少一个下一依赖资源地址中的每个依赖资源地址,
在确定所述下一依赖资源地址是静态资源地址的情况下,生成下一资源下载请求,其中,所述下一资源下载请求包括所述下一依赖资源地址;
在确定所述下一依赖资源地址是动态资源地址的情况下,根据所述当前解析结果,得到下一参数信息,以及,生成所述下一资源下载请求,其中,所述下一资源下载请求包括所述下一依赖资源地址和所述下一参数信息;以及
将所述下一资源下载请求确定为新的当前资源下载请求。
8.根据权利要求1~7中任一项所述的方法,还包括:
在确定所述远程验证信息与预期远程验证信息不一致的情况下,生成风险提示信息,其中,所述风险提示信息用于提示所述目标服务不满足所述可信执行环境的远程验证条件。
9.根据权利要求1~8中任一项所述的方法,其中,所述目标服务包括人工智能服务。
10.根据权利要求1~9中任一项所述的方法,其中,所述握手证书是基于超文本传输安全协议的证书。
11.一种服务访问方法,包括:
响应于接收到来自客户端的访问请求,根据所述访问请求包括的访问地址,生成握手证书,其中,所述握手证书包括远程验证信息,所述访问请求是所述客户端响应于检测到可信交互页面上针对目标服务的访问操作被触发生成的;
向所述客户端发送所述握手证书;
响应于接收到来自所述客户端在确定所述远程验证信息和预期远程验证信息一致的情况下,确定所述目标服务满足可信执行环境的远程验证条件,根据所述访问地址获取所述目标服务;以及
向所述客户端发送所述目标服务,以便所述客户端访问所述目标服务。
12.根据权利要求11所述的方法,其中,所述响应于接收到来自所述客户端在确定所述远程验证信息和预期远程验证信息一致的情况下,确定所述目标服务满足可信执行环境的远程验证条件,根据所述访问地址获取所述目标服务,包括:
响应于接收到来自所述客户端的验证成功信息,根据所述访问地址获取所述目标服务,其中,所述验证成功信息是所述客户端在确定所述远程验证信息与所述预期远程验证信息一致的情况下,确定所述目标服务满足所述可信执行环境的远程验证条件生成的。
13.根据权利要求11或12所述的方法,其中,所述向所述客户端发送所述目标服务,以便所述客户端访问所述目标服务,包括:
向所述客户端发送所述目标服务,以便所述客户端在检测到资源上传操作被触发的情况下,获取与待上传资源对应的加密密钥和资源地址,在确定对所述加密密钥和所述资源地址进行远程验证的远程验证结果是验证通过的情况下,利用所述加密密钥对所述待上传资源进行加密,得到加密资源;
响应于接收到来自所述客户端的加密密钥和资源地址,将所述加密密钥和所述资源地址关联存储于所述可信执行环境;以及
响应于接收到来自所述客户端的加密资源,将所述加密资源存储于资源存储平台。
14.根据权利要求11或12所述的方法,其中,所述向所述客户端发送所述目标服务,以便所述客户端访问所述目标服务,包括重复执行以下操作,直至当前解析结果不包括下一依赖资源地址,得到目标页面:
响应于接收到来自所述客户端在确定对当前资源下载请求包括的当前资源地址的远程验证结果是验证通过的情况下的当前资源下载请求,根据所述当前资源地址获取当前响应结果,其中,所述当前资源下载请求是所述客户端响应于接收到来自所述服务器的目标服务,在检测到资源下载操作被触发的情况下的生成的;
向所述客户端返回所述当前响应结果,以便所述客户端响应于接收到来自所述服务器的当前响应结果,对所述当前响应结果进行解析,得到当前解析结果;根据所述当前解析结果进行页面渲染,得到当前页面内容;在确定所述当前解析结果包括至少一个下一依赖资源地址的情况下,针对至少一个下一依赖资源地址中的每个下一依赖资源地址,在确定所述下一依赖资源地址是静态资源地址的情况下,生成下一资源下载请求,其中,所述下一资源下载请求包括所述下一依赖资源地址;在确定所述下一依赖资源地址是动态资源地址的情况下,根据所述当前解析结果,得到下一参数信息,以及,生成所述下一资源下载请求,其中,所述下一资源下载请求包括所述下一依赖资源地址和所述下一参数信息;以及,将所述下一资源下载请求确定为新的当前资源下载请求。
15.根据权利要求11~14中任一项所述的方法,其中,所述握手证书是基于超文本传输安全协议的证书。
16.一种服务访问装置,包括:
第一生成模块,用于响应于检测到可信交互页面上针对目标服务的访问操作被触发,生成访问请求,其中,所述访问请求包括所述目标服务的访问地址;
第一发送模块,用于向服务器发送所述访问请求,以便所述服务器根据所述访问地址,生成握手证书,其中,所述握手证书包括远程验证信息;
确定模块,用于响应于接收到来自所述服务器的握手证书,在确定所述远程验证信息与预期远程验证信息一致的情况下,确定所述目标服务满足可信执行环境的远程验证条件;以及
第一访问模块,用于响应于接收到来自所述服务器的目标服务,访问所述目标服务。
17.一种服务访问装置,包括:
第二生成模块,用于响应于接收到来自客户端的访问请求,根据所述访问请求包括的访问地址,生成握手证书,其中,所述握手证书包括远程验证信息,所述访问请求是所述客户端响应于检测到可信交互页面上针对目标服务的访问操作被触发生成的;
第二发送模块,用于向所述客户端发送所述握手证书;
获取模块,用于响应于接收到来自所述客户端在确定所述远程验证信息和预期远程验证信息一致的情况下,确定所述目标服务满足可信执行环境的远程验证条件,根据所述访问地址获取所述目标服务;以及
第三发送模块,用于向所述客户端发送所述目标服务,以便所述客户端访问所述目标服务。
18.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1~10中任一项或权利要求11~15中任一项所述的方法。
19.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1~10中任一项或权利要求11~15中任一项所述的方法。
20.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1~10中任一项或权利要求11~15中任一项所述的方法。
CN202210101061.1A 2022-01-27 2022-01-27 服务访问方法、服务访问装置、电子设备以及存储介质 Active CN114500054B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210101061.1A CN114500054B (zh) 2022-01-27 2022-01-27 服务访问方法、服务访问装置、电子设备以及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210101061.1A CN114500054B (zh) 2022-01-27 2022-01-27 服务访问方法、服务访问装置、电子设备以及存储介质

Publications (2)

Publication Number Publication Date
CN114500054A true CN114500054A (zh) 2022-05-13
CN114500054B CN114500054B (zh) 2024-03-01

Family

ID=81477086

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210101061.1A Active CN114500054B (zh) 2022-01-27 2022-01-27 服务访问方法、服务访问装置、电子设备以及存储介质

Country Status (1)

Country Link
CN (1) CN114500054B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115378677A (zh) * 2022-08-16 2022-11-22 上海交通大学 适用于用户端的个人数据收集方法、系统及其使用方法、系统
CN115525448A (zh) * 2022-09-16 2022-12-27 北京百度网讯科技有限公司 一种基于异构平台的任务处理方法、装置、设备和介质
CN117097487A (zh) * 2023-10-19 2023-11-21 翼方健数(北京)信息科技有限公司 一种利用数字证书认证简化可信执行环境远程认证方法、系统和介质
WO2024000571A1 (en) * 2022-07-01 2024-01-04 Intel Corporation Network architecture for artificial intelligence model protection

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101951388A (zh) * 2010-10-14 2011-01-19 中国电子科技集团公司第三十研究所 一种可信计算环境中的远程证明方法
CN109246211A (zh) * 2018-08-30 2019-01-18 南方科技大学 一种区块链中的资源上传和资源请求方法
US20190251298A1 (en) * 2016-11-15 2019-08-15 Huawei Technologies Co., Ltd. Secure Processor Chip and Terminal Device
CN110519054A (zh) * 2019-08-29 2019-11-29 四川普思科创信息技术有限公司 一种基于可信计算技术进行物联网数据安全保护的方法
US20200028693A1 (en) * 2018-07-17 2020-01-23 Huawei Technologies Co., Ltd. Verifiable Encryption Based on Trusted Execution Environment
CN111046365A (zh) * 2019-12-16 2020-04-21 腾讯科技(深圳)有限公司 人脸图像传输方法、数值转移方法、装置及电子设备
CN111382445A (zh) * 2020-03-03 2020-07-07 首都师范大学 利用可信执行环境系统提供可信服务的方法
CN111429254A (zh) * 2020-03-19 2020-07-17 腾讯科技(深圳)有限公司 一种业务数据处理方法、设备以及可读存储介质
US20210258308A1 (en) * 2018-08-21 2021-08-19 HYPR Corp. Out-of-band authentication to access web-service with indication of physical access to client device
CN113630412A (zh) * 2021-08-05 2021-11-09 百度在线网络技术(北京)有限公司 资源下载方法、资源下载装置、电子设备以及存储介质
CN113949566A (zh) * 2021-10-15 2022-01-18 工银科技有限公司 资源访问方法、装置、电子设备和介质

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101951388A (zh) * 2010-10-14 2011-01-19 中国电子科技集团公司第三十研究所 一种可信计算环境中的远程证明方法
US20190251298A1 (en) * 2016-11-15 2019-08-15 Huawei Technologies Co., Ltd. Secure Processor Chip and Terminal Device
US20200028693A1 (en) * 2018-07-17 2020-01-23 Huawei Technologies Co., Ltd. Verifiable Encryption Based on Trusted Execution Environment
US20210258308A1 (en) * 2018-08-21 2021-08-19 HYPR Corp. Out-of-band authentication to access web-service with indication of physical access to client device
CN109246211A (zh) * 2018-08-30 2019-01-18 南方科技大学 一种区块链中的资源上传和资源请求方法
CN110519054A (zh) * 2019-08-29 2019-11-29 四川普思科创信息技术有限公司 一种基于可信计算技术进行物联网数据安全保护的方法
CN111046365A (zh) * 2019-12-16 2020-04-21 腾讯科技(深圳)有限公司 人脸图像传输方法、数值转移方法、装置及电子设备
CN111382445A (zh) * 2020-03-03 2020-07-07 首都师范大学 利用可信执行环境系统提供可信服务的方法
CN111429254A (zh) * 2020-03-19 2020-07-17 腾讯科技(深圳)有限公司 一种业务数据处理方法、设备以及可读存储介质
CN113630412A (zh) * 2021-08-05 2021-11-09 百度在线网络技术(北京)有限公司 资源下载方法、资源下载装置、电子设备以及存储介质
CN113949566A (zh) * 2021-10-15 2022-01-18 工银科技有限公司 资源访问方法、装置、电子设备和介质

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024000571A1 (en) * 2022-07-01 2024-01-04 Intel Corporation Network architecture for artificial intelligence model protection
CN115378677A (zh) * 2022-08-16 2022-11-22 上海交通大学 适用于用户端的个人数据收集方法、系统及其使用方法、系统
CN115525448A (zh) * 2022-09-16 2022-12-27 北京百度网讯科技有限公司 一种基于异构平台的任务处理方法、装置、设备和介质
CN115525448B (zh) * 2022-09-16 2023-10-17 北京百度网讯科技有限公司 一种基于异构平台的任务处理方法、装置、设备和介质
CN117097487A (zh) * 2023-10-19 2023-11-21 翼方健数(北京)信息科技有限公司 一种利用数字证书认证简化可信执行环境远程认证方法、系统和介质
CN117097487B (zh) * 2023-10-19 2024-01-26 翼方健数(北京)信息科技有限公司 一种利用数字证书认证简化可信执行环境远程认证方法、系统和介质

Also Published As

Publication number Publication date
CN114500054B (zh) 2024-03-01

Similar Documents

Publication Publication Date Title
WO2021136290A1 (zh) 一种身份认证方法、装置及相关设备
CN114500054B (zh) 服务访问方法、服务访问装置、电子设备以及存储介质
KR102182906B1 (ko) 동기화 통신에서의 서버 인증서 에러의 보안 처리 기법
US9258292B2 (en) Adapting federated web identity protocols
US8838951B1 (en) Automated workflow generation
US9130937B1 (en) Validating network communications
CN106412024B (zh) 一种页面获取方法和装置
US20180137303A1 (en) Intercepting sensitive data using hashed candidates
EP3417590B1 (en) Phishing attack detection and mitigation
US10333716B2 (en) Script verification using a digital signature
US10992656B2 (en) Distributed profile and key management
EP3623972A1 (en) Secure data leak detection
CN110958119A (zh) 身份验证方法和装置
US11997210B2 (en) Protection of online applications and webpages using a blockchain
US20230291758A1 (en) Malware Detection Using Document Object Model Inspection
US11443023B2 (en) Distributed profile and key management
CN113630412B (zh) 资源下载方法、资源下载装置、电子设备以及存储介质
CN111049789B (zh) 域名访问的方法和装置
CN112560003A (zh) 用户权限管理方法和装置
US8640189B1 (en) Communicating results of validation services
CN114978934B (zh) 信息脱敏方法和装置、电子设备及计算机可读存储介质
CN112565156B (zh) 信息注册方法、装置和系统
Riesch et al. Audit based privacy preservation for the OpenID authentication protocol
US11936671B1 (en) Zero trust architecture with browser-supported security posture data collection
US11977620B2 (en) Attestation of application identity for inter-app communications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant