安全代码空间的认证方法、装置、存储介质及处理器制造方法及图纸

本发明专利技术公开了一种安全代码空间的认证方法、装置、存储介质及处理器。其中，该方法包括：应用程序接收用于认证安全代码空间的数据请求；通过身份认证密钥响应数据请求，根据安全代码空间，得到用于认证安全代码空间的第一待认证数据；向认证方发送第一待认证数据；接收认证方对第一待认证数据认证后的认证数据，其中，身份认证密钥在认证方密钥数据库中未注册的情况下，将认证数据发给应用程序；通过可信平台背书密钥，根据认证数据，确定用于认证安全代码空间的第二待认证数据；向认证方发送第二待认证数据。本发明专利技术解决了相关技术中安全代码空间认证方法不能验证安全代码空间是否被篡改的技术问题。

Authentication method, device, storage medium and processor of secure code space

【技术实现步骤摘要】
安全代码空间的认证方法、装置、存储介质及处理器
本专利技术涉及计算机领域，具体而言，涉及一种安全代码空间的认证方法、装置、存储介质及处理器。
技术介绍
相关技术中，在对安全代码控件进行验证的情况下，通常采用网络群签的方式进行签名。例如，在InterSGX平台中的可信远程证明安全代码空间，使用本地CPU中的EPID密钥签名，Inter认证服务器通过EPID公钥证书验签，具体由上述平台的引用模块对安全代码空间发出的报告信息进行身份验证，在认证通过后，将报告信息转换为引用信息，使用EPID密钥对其进行签名，将带签名的医用信息发送给认证方进行验证。上述采用EPID密钥进行验证的方式，存在信息泄露和单点失效的风险，而且无法验证安全代码空间所属的平台的完整性，不能验证安全代码空间是否被篡改。针对上述的问题，目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种安全代码空间的认证方法、装置、存储介质及处理器，以至少解决相关技术中安全代码空间认证方法不能验证安全代码空间是否被篡改的技术问题。根据本专利技术实施例的一个方面，提供了一种安全代码空间的认证方法，包括：应用程序接收认证方发送的用于认证所述应用程序的安全代码空间的数据请求；通过应用程序的可信模块的身份认证密钥响应所述数据请求，根据所述安全代码空间，得到用于认证所述安全代码空间的第一待认证数据；向认证方发送所述第一待认证数据，其中，所述第一待认证数据用于认证方认证所述安全代码空间；接收认证方对所述第一待认证数据认证后的认证数据，其中，所述身份认证密钥在所述认证方密钥数据库中未注册的情况下，将所述认证数据发给所述应用程序；通过所述应用程序的所述可信模块的可信平台背书密钥，根据所述认证数据，确定用于认证所述安全代码空间的第二待认证数据；向认证方发送所述第二待认证数据，其中，所述第二待认证数据用于认证方认证所述安全代码空间。根据本专利技术实施例的另一方面，还提供了一种安全代码空间认证方法，包括：认证方发送用于认证应用程序的安全代码空间的数据请求；接收所述应用程序发送的用于认证所述安全代码空间的第一待认证数据，其中，通过所述应用程序的可信模块的身份认证密钥响应所述数据请求，根据所述安全代码空间确定用于认证所述安全代码空间的第一待认证数据，并发送所述第一待认证数据；在所述身份认证密钥在所述认证方密钥数据库中未注册的情况下，根据所述第一待认证数据得到所述认证数据，将所述认证数据发送给应用程序；接收所述应用程序的第二待认证数据，其中，通过所述应用程序的所述可信模块的可信平台背书密钥，根据所述认证数据确定用于认证所述安全代码空间的第二待认证数据；根据所述第二待认证数据认证所述安全代码空间。根据本专利技术实施例的另一方面，还提供了一种安全代码空间认证方法，包括：认证方向应用程序发送用于认证应用程序的安全代码空间的数据请求；应用程序接收所述数据请求，响应该数据请求，通过应用程序的可信模块的身份认证密钥，根据安全代码空间和所述安全代码空间的属性信息，确定用于认证所述安全代码空间的第一待认证数据；向认证方发送所述第一待认证数据；在所述身份认证密钥在所述认证方密钥数据库中未注册的情况下，将所述第一待认证数据发送给应用程序；应用程序接收所述第一待认证数据，通过应用程序的可信模块的可信平台背书密钥，根据所述第一待认证数据，确定用于认证所述第一待认证数据的第二待认证数据；向认证方发送所述第二待认证数据；认证方接收所述应用程序的第二待认证数据，根据所述第二待认证数据认证所述安全代码空间。根据本专利技术实施例的另一方面，还提供了一种安全代码空间认证装置，包括：第一接收模块，用于应用程序接收认证方发送的用于认证安全代码空间的数据请求；第一确定模块，用于响应所述数据请求，通过应用程序的可信模块的身份认证密钥，根据安全代码空间和所述安全代码空间的属性信息，确定用于认证所述安全代码空间的第一待认证数据；第一发送模块，用于向认证方发送所述第一待认证数据，其中，所述第一待认证数据用于认证方认证所述安全代码空间；第二接收模块，用于接收认证方对所述第一待认证数据认证后的认证数据，其中，所述身份认证密钥在所述认证方密钥数据库中未注册的情况下，将所述认证数据发给应用程序；第二确定模块，用于通过所述应用程序的所述可信模块的可信平台背书密钥，根据所述认证数据，确定用于认证所述安全代码空间的第二待认证数据；第二发送模块，用于向认证方发送所述第二待认证数据，其中，所述第二待认证数据用于认证方认证所述安全代码空间。根据本专利技术实施例的另一方面，还提供了另一种安全代码空间认证装置，包括：第三发送模块，用于认证方发送用于认证应用程序的安全代码空间的数据请求；第三接收模块，用于接收所述应用程序发送的用于认证所述安全代码空间的第一待认证数据，其中，通过所述应用程序的可信模块的身份认证密钥响应所述数据请求，根据所述安全代码空间确定用于认证所述安全代码空间的第一待认证数据，并发送所述第一待认证数据；第四发送模块，用于在所述身份认证密钥在所述认证方密钥数据库中未注册的情况下，根据所述第一待认证数据得到所述认证数据，将所述认证数据发送给应用程序；第四接收模块，用于接收所述应用程序的第二待认证数据，其中，通过所述应用程序的所述可信模块的可信平台背书密钥，根据所述认证数据确定用于认证所述安全代码空间的第二待认证数据；认证模块，用于根据所述第二待认证数据认证所述安全代码空间。根据本专利技术实施例的另一方面，还提供了一种存储介质，其特征在于，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述中任意一项所述的方法。根据本专利技术实施例的另一方面，还提供了一种处理器，其特征在于，所述处理器用于运行程序，其中，所述程序运行时执行上述中任意一项所述的方法。在本专利技术实施例中，应用程序响应认证方的数据请求，通过身份认证密钥处理安全代码空间得到第一待认证数据，身份认证密钥在所述认证方的密钥数据库中未注册的情况下，认证方将所述认证数据发给所述应用程序，应用程序接收所述第一待认证数据，通过可信平台背书密钥对认证方返回的认证数据进行处理，得到第二待认证数据，并发送给认证方进行验证。达到了对安全代码控件的双重验证的目的，从而实现了对安全代码控件是否篡改进行验证的技术效果，进而解决了相关技术中安全代码空间认证方法不能验证安全代码空间是否被篡改的技术问题。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本申请的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1示出了一种用于实现安全代码空间认证方法的计算机终端(或移动设备)的硬件结构框图；图2是SGX的可信远程证明模型的示意图；图3是SGX的Enclave可信远程证明方法的流程图；图4是SGX的本地认证方法的流程图；图5是根据本专利技术实施例1的一种安全代码空间认证方法的流程图；图6是根据本专利技术实施1的可信远程证明系统的示意图；图7是本文档来自技高网...

【技术保护点】
1.一种安全代码空间的认证方法，其特征在于，包括：/n应用程序接收认证方发送的用于认证所述应用程序的安全代码空间的数据请求；/n通过应用程序的可信模块的身份认证密钥响应所述数据请求，根据所述安全代码空间，得到用于认证所述安全代码空间的第一待认证数据；/n向认证方发送所述第一待认证数据，其中，所述第一待认证数据用于认证方认证所述安全代码空间；/n接收认证方对所述第一待认证数据认证后的认证数据，其中，所述身份认证密钥在所述认证方密钥数据库中未注册的情况下，将所述认证数据发给所述应用程序；/n通过所述应用程序的所述可信模块的可信平台背书密钥，根据所述认证数据，确定用于认证所述安全代码空间的第二待认证数据；/n向认证方发送所述第二待认证数据，其中，所述第二待认证数据用于认证方认证所述安全代码空间。/n

【技术特征摘要】
1.一种安全代码空间的认证方法，其特征在于，包括：
应用程序接收认证方发送的用于认证所述应用程序的安全代码空间的数据请求；
通过应用程序的可信模块的身份认证密钥响应所述数据请求，根据所述安全代码空间，得到用于认证所述安全代码空间的第一待认证数据；
向认证方发送所述第一待认证数据，其中，所述第一待认证数据用于认证方认证所述安全代码空间；
接收认证方对所述第一待认证数据认证后的认证数据，其中，所述身份认证密钥在所述认证方密钥数据库中未注册的情况下，将所述认证数据发给所述应用程序；
通过所述应用程序的所述可信模块的可信平台背书密钥，根据所述认证数据，确定用于认证所述安全代码空间的第二待认证数据；
向认证方发送所述第二待认证数据，其中，所述第二待认证数据用于认证方认证所述安全代码空间。


2.根据权利要求1所述的方法，其特征在于，根据所述安全代码空间，得到用于认证所述安全代码空间的所述第一待认证数据包括：
通过所述可信模块接收引用信息，其中，所述应用程序的引用模块将所述安全代码空间的报告信息转换成引用信息；
获取用于标识所述应用程序的完整性的PCR值；
通过所述身份认证密钥，根据所述引用信息和所述PCR值确定所述第一待认证数据。


3.根据权利要求2所述的方法，其特征在于，所述可信模块接收引用信息之前包括：
通过所述引用模块接收所述报告信息；
对所述报告信息进行本地认证；
在所述本地认证通过的情况下，将所述报告信息转换为引用信息。


4.根据权利要求2所述的方法，其特征在于，通过所述身份认证密钥，根据所述引用信息和所述PCR值确定所述第一待认证数据包括：
所述可信模块将所述PCR值与所述引用信息结合为结合数据；
根据所述身份认证密钥对所述结合数据进行签名，得到所述第一待认证数据。


5.根据权利要求1所述的方法，其特征在于，向认证方发送所述第一待认证数据之后包括：
所述认证方接收所述第一待认证数据；
确定所述第一待认证数据对应的所述身份认证密钥，是否在所述认证方的密钥数据库中注册；
在所述身份认证密钥在所述密钥数据库中注册的情况下，根据所述第一待认证数据认证所述安全代码空间；
在所述身份认证密钥在所述密钥数据库中没有注册的情况下，根据所述第一待认证数据得到所述认证数据，将所述认证数据发送给应用程序。


6.根据权利要求1所述的方法，其特征在于，通过所述应用程序的所述可信模块的可信平台背书密钥，根据所述认证数据，确定用于认证所述安全代码空间的第二待认证数据包括：
根据所述可信平台背书密钥对所述第一待认证数据进行签名，得到所述第二待认证数据。


7.根据权利要求1所述的方法，其特征在于，向认证方发送所述第二待认证数据之后包括：
所述认证方接收所述第二待认证数据；
根据所述第二待认证数据认证所述安全代码空间。


8.根据权利要求7所述的方法，其特征在于，根据所述第二待认证数据认证所述安全代码空间之后，还包括：
在所述安全代码控件认证通过的情况下，将所述身份认证密钥进行注册。


9.一种安全代码空间认证方法，其特征在于，包括：
认证方发送用于认证应用程序的安全代码空间的数据请求；
接收所述应用程序发送的用于认证所述安全代码空间的第一待认证数据，其中，通过所述应用程序的可信模块的身份认证密钥响应所述数据请求，根据所述安全代码空间确定用于认证所述安全代码空间的第一待认证数据，并发送所述第一待认证数据；
在所述身份认证密钥在所述认证方密钥数据库中未注册的情况下，根据所述第一待认证数据得到所述认证数据，将所述认证数据发送给应用程序；
接收所述应用程序的第二待认证数据，其中，通过所述应用程序的所述可信模块的可信平台背书密钥，根据所述认证数据确定用于认证所述安全代码空间的第二待认证数据；
根据所述第二待认证数据认证所述安全代码空间。


10.根据权利要求9所述的方法，其特征在于，所述身份认证密钥在所述密钥数据库中注册的情况下，根据所述第一待认证数据认证所述安全代码空间。


11.根据权利要求10所述的方法，其特征在于，根据所述第一待认证数据认证所述安全代码空间包括：
确定所述身份认证密钥对应的已注册的公共身份认证密钥，以及所述身份认证密钥对应的可信配置基准值；
根据所述公共身份认证密钥，通过认证所述第一待认证数据中所述身份认证密钥的签名，认证所述应用程序的身份；
根据所述可信配置基准值与所述第一待认证数据中的PCR值进行比对，认...

【专利技术属性】
技术研发人员：肖鹏，付颖芳，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY