一种设备身份的认证方法、装置、电子设备及存储介质制造方法及图纸

本申请公开了一种设备身份的认证方法、装置、电子设备及存储介质。方法包括：接收用户设备发送的身份认证请求；调用可信节点集合的各个可信节点执行身份认证请求对应的认证操作，得到可信节点集合对应的初始证明信息树；将初始证明信息树发送至用户设备，以使用户设备对初始证明信息树进行再次认证；接收用户设备发送的目标证明信息树，并将目标证明信息树存储至各个可信节点。本申请构建了树型层级结构的可信节点，并且在进行分布式作业之前，可信节点和用户设备之间进行身份认证操作，不但实现用户设备能够在云计算平台中进行分布式作业。同时使可信节点处于可信环境中，确保作业内容对于云计算平台可用不可见，保护了作业的机密性和完整性。性和完整性。性和完整性。

【技术实现步骤摘要】
一种设备身份的认证方法、装置、电子设备及存储介质


[0001]本申请涉及云计算
，尤其涉及一种设备身份的认证方法、装置、电子设备及存储介质。

技术介绍

[0002]安全与可信是云计算中极为重要的需求，如何保护用户在云平台上托管的应用程序和数据的安全，防止云服务提供商和其他攻击者窃取用户机密数据，一直是个难题。一个可行的方案是使用机密计算技术实现一个可信执行环境(TEE)，使得数据始终保持加密和强隔离状态，从而确保了用户数据的安全和隐私。
[0003]2013年,Intel公司提出了新的处理器安全技术SGX(softwareguard extensions),能够在计算平台上提供一个用户空间的可信执行环境,保证用户关键代码及数据的机密性和完整性。SGX技术自提出以来,已成为云计算安全问题的重要解决方案。
[0004]在TEE研究领域，已经出现了诸如库操作系统LibOS、程序自动分割等易用性适配方式。以SGX为例，LibOS实施方案中，比较典型的包括Graphene、SCONE、Occlum等。
[0005]SGX提出本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种设备身份的认证方法，其特征在于，应用于云计算平台，所述方法包括：接收用户设备发送的身份认证请求，其中，所述身份认证请求用于请求认证部署在所述云计算平台中用于执行分布式计算的可信节点集合，所述可信节点集合中包括多个级联的可信节点；调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作，得到所述可信节点集合对应的初始证明信息树，其中，所述初始证明信息树包括：各个可信节点对应的证明信息；将所述初始证明信息树发送至所述用户设备，以使所述用户设备对所述初始证明信息树进行再次认证；接收所述用户设备发送的目标证明信息树，并将所述目标证明信息树存储至所述各个可信节点，其中，所述目标证明信息树是所述用户设备对所述初始证明信息树进行再次认证后得到的。2.根据权利要求1所述的方法，其特征在于，所述可信节点集合包括：可信根节点、可信中继节点以及可信叶节点，所述可信根节点与至少两个可信中继节点连接，所述可信中继节点用于与至少两个可信叶节点连接；在调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作之前，所述方法还包括：基于预设密钥交换协议建立所述用户设备与所述可信根节点之间的第一传输信道，并生成第一密钥；基于所述预设密钥交换协议建立所述可信根节点与所述可信中继节点之间的第二传输信道，并生成第二密钥；基于所述预设密钥交换协议建立所述可信中继节点与所述可信叶节点之间移动第三传输信道，并生成第三密钥。3.根据权利要求2所述的方法，其特征在于，所述调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作，得到所述可信节点集合对应的初始证明信息树，包括：将所述身份认证请求通过所述可信根节点下发至所述可信中继点，以及所述可信叶节点；所述可信叶节点根据所述身份认证请求执行第一认证操作，得到所述可信叶节点对应的第一认证信息，并使用所述第三密钥对所述第一认证信息进行加密，并通过第三传输信道发送至所述可信中继节点；所述可信中继节点将所述的所有可信叶节点加密后的第一认证信息解密，将解密的第一认证信息发送至证明中心进行证明，得到第一证明结果，根据所述第一证明结果生成第一证明信息树；所述可信中继节点根据所述身份认证请求执行第二认证操作，得到所述可信中继节点对应的第二认证信息；所述可信中继节点使用所述第二密钥对所述第二认证信息和第一证明信息树进行加密，并通过第二传输信道发送至所述可信根节点；所述可信根节点将所述的所有可信中继节点加密后的第二认证信息和第一证明信息
树解密，将解密的第二认证信息发送至证明中心，得到第二证明结果，根据所述第二证明结果和第一证明信息树生成第二证明信息树；所述可信根节点根据所述身份认证请求执行第三认证操作，得到所述可信根节点对应的第三认证信息，将第三认证信息添加在所述第二证明信息树，得到所述初始证明信息树，并使用所述第一密钥对所述初始证明信息树进行加密，发送给用户设备。4.根据权利要求3所述的方法，其特征在于，所述可信叶节点根据所述身份认证请求执行第一认证操作，得到所述可信叶节点对应的第一认证信息，包括：所述可信叶节点利用引用飞地的对称密钥生成第一认证码，将所述第一认证码发送至所述引用飞地，以使所述引用飞地对所述第一认证码进行验证；所述可信叶节点接收所述引用飞地反馈的第一引用结构体和第一签名，其中，所述第一引用结构体和所述第一签名为所述引用飞地对所述第一认证码验证通过后得到的；将所述第一引用结构体和所述第一签名确定为所述第一认证信息。5.根据权利要求3所述的方法，其特征在于，所述可信中继节点根据所述身份认证请求执行第二认证操作，得到所述可信中继节点对应的第二认证信息，包括：所述可信中继节点向第...

【专利技术属性】
技术研发人员：麻付强，
申请(专利权)人：苏州浪潮智能科技有限公司，
类型：发明
国别省市：