一种认证方法、装置和用于认证的装置制造方法及图纸

本发明专利技术实施例提供一种认证方法、装置和用于认证的装置，应用于第一服务器。其中的方法包括：接收证明方的第一证书请求，以及接收挑战方的第二证书请求；响应所述第一证书请求，向所述证明方发送第一证书，以及响应所述第二证书请求，向所述挑战方发送第二证书；其中，所述第一证书包括SGX环境的证明方对应的第一扩展证书，或者非SGX环境的证明方对应的第一普通证书，所述第二证书包括SGX环境的挑战方对应的第二扩展证书，或者非SGX环境的挑战方对应的第二普通证书；接收所述挑战方发送的携带所述第一证书的验证请求；响应所述验证请求，对所述第一证书进行验证。本发明专利技术实施例扩展了认证的应用范围，提高了认证的可执行性。

【技术实现步骤摘要】
一种认证方法、装置和用于认证的装置
本专利技术涉及计算机
，尤其涉及一种认证方法、装置和用于认证的装置。
技术介绍
SGX(IntelSoftwareGuardExtensions，指令集扩展)是英特尔指令集架构的一个扩展，通过在计算平台上提供一个Enclave(安全区)，即内存中一个加密的可信执行区域，可以保障关键代码和数据的机密性和完整性。SGX认证是一个在SGX平台上运行的SGX应用程序(证明方)向远程Enclave(挑战方)证明其身份、以及证明其确实是在真实的SGX环境中正确的隔离执行的过程。也即，SGX认证是指Enclave中的程序向其他Enclave证明其完整性和真实性的过程。目前，SGX认证过程中，需要通过IntelIAS(IntelAttestationServer，英特尔认证服务器)验证SGX环境的可信性。因此，需要证明方和挑战方均具有SGX环境。然而，在实际应用中，大多数挑战方并不具备SGX环境，对于不具备SGX环境的挑战方则无法向SGX应用程序发起SGX认证的挑战，导致当前SGX认证的应用范围受限，可执行性较低。
技术实现思路
本专利技术实施例提供一种认证方法、装置和用于认证的装置，在挑战方不具备SGX环境的情况下，也可以实现对证明方的认证，扩展了认证的应用范围，提高了认证的可执行性。为了解决上述问题，本专利技术实施例公开了一种认证方法，应用于第一服务器，所述方法包括：接收证明方的第一证书请求，以及接收挑战方的第二证书请求；响应所述第一证书请求，向所述证明方发送第一证书，以及响应所述第二证书请求，向所述挑战方发送第二证书；其中，所述第一证书包括SGX环境的证明方对应的第一扩展证书，或者非SGX环境的证明方对应的第一普通证书，所述第二证书包括SGX环境的挑战方对应的第二扩展证书，或者非SGX环境的挑战方对应的第二普通证书；接收所述挑战方发送的携带所述第一证书的验证请求；响应所述验证请求，对所述第一证书进行验证。可选地，所述响应所述验证请求，对所述第一证书进行验证，包括：响应所述验证请求，确定所述验证请求携带的第一证书是否包含第一SGX认证报告，所述第一SGX认证报告为SGX环境的证明方基于其SGX本地认证的结果生成的；若确定所述验证请求携带的第一证书包含所述第一SGX认证报告，则确定所述第一证书为第一扩展证书；将所述第一扩展证书发送至第二服务器进行验证。可选地，所述确定所述验证请求携带的第一证书是否包含第一SGX认证报告之后，所述方法还包括：若确定所述验证请求携带的第一证书不包含所述第一SGX认证报告，则确定所述第一证书为第一普通证书；对所述第一普通证书进行验证。可选地，所述接收证明方的第一证书请求，包括：接收SGX环境的证明方发送的携带第一SGX认证报告的第一证书请求，或者，接收非SGX环境的证明方发送的不携带第一SGX认证报告的第一证书请求；所述响应所述第一证书请求，向所述证明方发送第一证书，包括：在接收到SGX环境的证明方发送的携带第一SGX认证报告的第一证书请求时，向所述SGX环境的证明方发送包含所述第一SGX认证报告的第一扩展证书，或者，在接收到非SGX环境的证明方发送的不携带第一SGX认证报告的第一证书请求时，向所述非SGX环境的证明方发送不包含第一SGX认证报告的第一普通证书。可选地，所述接收挑战方的第二证书请求，包括：接收SGX环境的挑战方发送的携带第二SGX认证报告的第二证书请求，或者，接收非SGX环境的挑战方发送的不携带第二SGX认证报告的第二证书请求；其中，所述第二SGX认证报告为SGX环境的挑战方基于其SGX本地认证的结果生成的；所述响应所述第二证书请求，向所述挑战方发送第二证书，包括：在接收到SGX环境的挑战方发送的携带第二SGX认证报告的第二证书请求时，向所述SGX环境的挑战方发送包含所述第二SGX认证报告的第二扩展证书，或者，在接收到非SGX环境的挑战方发送的不携带第二SGX认证报告的第二证书请求时，向所述非SGX环境的挑战方发送不包含第二SGX认证报告的第二普通证书。可选地，所述响应所述验证请求，对所述第一证书进行验证之后，所述方法还包括：在所述第一证书为第一扩展证书的情况下，从第二服务器获取所述第一扩展证书的验证结果，以及将所述第一扩展证书的验证结果发送给所述挑战方；或者在所述第一证书为第一普通证书的情况下，向所述挑战方发送所述第一服务器对所述第一普通证书的验证结果。另一方面，本专利技术实施例公开了一种认证方法，应用于证明方，所述证明方为SGX环境的证明方或者非SGX环境的证明方，所述方法包括：向第一服务器发送第一证书请求；接收所述第一服务器对所述第一证书请求返回的第一证书，所述第一证书包括SGX环境的证明方对应的第一扩展证书，或者非SGX环境的证明方对应的第一普通证书；向挑战方发送所述第一证书，所述挑战方包括SGX环境的挑战方或者非SGX环境的挑战方。可选地，所述证明方为SGX环境的证明方，所述向第一服务器发送第一证书请求，包括：所述SGX环境的证明方进行SGX本地认证，生成第一SGX认证报告；向所述第一服务器发送携带所述第一SGX认证报告的第一证书请求；所述接收所述第一服务器对所述第一证书请求返回的第一证书，包括：接收所述第一服务器对所述第一证书请求返回的包含所述第一SGX认证报告的第一扩展证书，所述第一扩展证书为所述第一服务器在确定所述第一SGX认证报告通过第二服务器的验证后生成的。可选地，所述证明方为非SGX环境的证明方，所述向第一服务器发送第一证书请求，包括：向第一服务器发送不携带第一SGX认证报告的第一证书请求；所述接收所述第一服务器对所述第一证书请求返回的第一证书，包括：接收所述第一服务器对所述第一证书请求返回的不包含第一SGX认证报告的第一普通证书。可选地，所述接收所述第一服务器对所述第一证书请求返回的第一证书之后，所述方法还包括：接收所述挑战方发送的第二证书，所述第二证书包括SGX环境的挑战方对应的第二扩展证书，或者非SGX环境的挑战方对应的第二普通证书；对所述第二证书进行验证。可选地，所述接收所述挑战方发送的第二证书之后，所述方法还包括：接收所述挑战方发送的共享秘钥请求；响应所述共享秘钥请求，生成共享秘钥；利用所述挑战方的第二证书对所述共享秘钥进行加密；向所述挑战方发送加密的共享秘钥，以使所述挑战方利用所述共享秘钥与所述证明方建立加密信道。可选地，所述证明方为SGX环境的证明方，所述响应所述共享秘钥请求，生成共享秘钥，包括：响应所述共享秘钥请求，在可信空间中生成共享秘钥。可选地，所述证明方为隐私数据的发送方，所述挑战方为隐私数据的接收方，所述以使所述挑战方利用所述共享秘钥与所述证明方建立加本文档来自技高网...

【技术保护点】
1.一种认证方法，其特征在于，应用于第一服务器，所述方法包括：/n接收证明方的第一证书请求，以及接收挑战方的第二证书请求；/n响应所述第一证书请求，向所述证明方发送第一证书，以及响应所述第二证书请求，向所述挑战方发送第二证书；其中，所述第一证书包括SGX环境的证明方对应的第一扩展证书，或者非SGX环境的证明方对应的第一普通证书，所述第二证书包括SGX环境的挑战方对应的第二扩展证书，或者非SGX环境的挑战方对应的第二普通证书；/n接收所述挑战方发送的携带所述第一证书的验证请求；/n响应所述验证请求，对所述第一证书进行验证。/n

【技术特征摘要】
1.一种认证方法，其特征在于，应用于第一服务器，所述方法包括：
接收证明方的第一证书请求，以及接收挑战方的第二证书请求；
响应所述第一证书请求，向所述证明方发送第一证书，以及响应所述第二证书请求，向所述挑战方发送第二证书；其中，所述第一证书包括SGX环境的证明方对应的第一扩展证书，或者非SGX环境的证明方对应的第一普通证书，所述第二证书包括SGX环境的挑战方对应的第二扩展证书，或者非SGX环境的挑战方对应的第二普通证书；
接收所述挑战方发送的携带所述第一证书的验证请求；
响应所述验证请求，对所述第一证书进行验证。


2.一种认证方法，其特征在于，应用于证明方，所述证明方为SGX环境的证明方或者非SGX环境的证明方，所述方法包括：
向第一服务器发送第一证书请求；
接收所述第一服务器对所述第一证书请求返回的第一证书，所述第一证书包括SGX环境的证明方对应的第一扩展证书，或者非SGX环境的证明方对应的第一普通证书；
向挑战方发送所述第一证书，所述挑战方包括SGX环境的挑战方或者非SGX环境的挑战方。


3.一种认证方法，其特征在于，应用于挑战方，所述挑战方为SGX环境的挑战方或者非SGX环境的挑战方，所述方法包括：
向第一服务器发送第二证书请求；
接收所述第一服务器对所述第二证书请求返回的第二证书，所述第二证书包括SGX环境的挑战方对应的第二扩展证书，或者非SGX环境的挑战方对应的第二普通证书；
接收证明方发送的第一证书，所述第一证书包括SGX环境的证明方对应的第一扩展证书，或者非SGX环境的证明方对应的第一普通证书；
向所述第一服务器发送携带所述第一证书的验证请求，以通过所述第一服务器对所述证明方的第一证书进行验证。


4.一种认证装置，其特征在于，应用于第一服务器，所述装置包括：
第一接收模块，用于接收证明方的第一证书请求，以及接收挑战方的第二证书请求；
第一响应模块，用于响应所述第一证书请求，向所述证明方发送第一证书，以及响应所述第二证书请求，向所述挑战方发送第二证书；其中，所述第一证书包括SGX环境的证明方对应的第一扩展证书，或者非SGX环境的证明方对应的第一普通证书，所述第二证书包括SGX环境的挑战方对应的第二扩展证书，或者非SGX环境的挑战方对应的第二普通证书；
第二接收模块，用于接收所述挑战方发送的携带所述第一证书的验证请求；
第一证书验证模块，用于响应所述验证请求，对所述第一证书进行验证。


5.一种认证装置，其特征在于，应用于证明方，所述证明方为SGX环境的证明方或者非SGX环境的证明方，所述装置包括：
第一发送模块，用于向第一服务器发送第一证书请求；
第三接收模块，用于接收所述第一服务器对所述第一证书请求返回的第一证书，所述第一证书包括SGX环境的证明方对应的第一扩展证书，或者非SGX环境的证明方对应的第一普通证书；
第二发送模块，用于向挑战方发送所述第一证书，所述挑战方包括SGX环境的挑战方或者非SGX环境的挑战方。


6.一种认证装置，其特征在于，应用于挑战方，所述挑战方为SGX环境的挑战方或者非S...

【专利技术属性】
技术研发人员：张登辉，李艺，王一帆，
申请(专利权)人：华控清交信息科技北京有限公司，
类型：发明
国别省市：北京;11