用于证明的系统和方法技术方案

公开了用于证明的设备和方法。一种用于证明的设备，包括：具有处理器的计算电路，所述计算电路用于：从所述处理器获取密封密钥；基于所述密封密钥将加密的私钥解密为私钥；基于所述私钥对来自鉴权器的报告进行签名。该方案不需要使用存储在所述处理器中的所述密钥对所述报告进行签名，并且使任何实体都能够提供可供信任该实体的组织使用的替代证明服务，因此提高了所述证明服务的灵活性。提高了所述证明服务的灵活性。提高了所述证明服务的灵活性。

【技术实现步骤摘要】
【国外来华专利技术】用于证明的系统和方法


[0001]本专利技术的一些实施例涉及网络安全，更具体地但不仅限于，涉及用于证明的系统和方法。

技术介绍

[0002]两个计算设备之间通过网络进行的远程通信容易受到恶意攻击，例如，远程客户端正在访问的服务器上运行的应用程序可能被恶意实体攻击。人们正在努力开发使远程客户端能够验证服务器上运行的应用程序未受到恶意攻击的系统和方法。

技术实现思路

[0003]本专利技术的目的是提供一种用于证明和/或用于提供证明服务的设备、方法、装置、系统和/或代码指令。
[0004]上述和其它目的通过独立权利要求的特征来实现。进一步的实现方式在从属权利要求、具体实施方式和附图中显而易见。
[0005]根据第一方面，一种用于证明的设备，包括：具有处理器的计算电路，所述计算电路用于：从所述处理器获取密封密钥；基于所述密封密钥将加密的私钥解密为私钥；基于所述私钥对来自鉴权器(challenger)的报告进行签名。
[0006]根据所述第一方面，所述设备的优点在于，从所述设备的处理器获取密封密钥，其中，所述密封密钥用于解密加密的私钥，以获取用于对来自鉴权器的报告进行加密的私钥。与现有技术相比，该实施例不需要使用存储在所述处理器中的所述密钥对所述报告进行签名，并且使任何实体都能够提供可供信任该实体的组织使用的替代证明服务，因此提高了所述证明服务的灵活性。
[0007]在第一方面的另一种实现方式中，所述处理器还用于执行安全区(enclave)安全相关模块，用于：从所述处理器获取所述密封密钥；生成所述私钥和公钥，其中，所述公钥用于证明所述报告的真实性；使用所述密封密钥对所述私钥进行加密，以获取加密的私钥；将所述加密的私钥和所述公钥存储在一个或多个证明服务可访问的数据库中。
[0008]该实现方式的优点在于，生成包括私钥和公钥的密钥对，其中，所述私钥用于对来自所述鉴权器的所述报告进行签名，所述公钥可以由任何实体访问并且用于证明所述报告的真实性。与现有技术相比，不需要使用存储在所述处理器中的所述密钥对所述报告进行签名，这使任何实体都能够提供可供信任该实体的组织使用的替代证明服务，因此提高了所述证明服务的灵活性。
[0009]可以将安全区安全相关模块安装在所选处理器上，从而在所选处理器上启用替代证明服务。
[0010]所述安全区安全相关模块无法访问存储在所述处理器中的硬编码密钥。相反，所述安全区安全相关模块创建自己的密钥对。所述公钥被发布并用于验证由所述证明服务(例如，服务器)签名的报告。所述私钥用于对经过本地证明的报告进行签名。
[0011]对所述私钥进行加密会针对不属于所述安全区安全相关模块的任何过程隐藏所述私钥。可选地，只有所述安全区安全相关模块能够访问所述加密的私钥。
[0012]在所述第一方面的另一种实现方式中，所述私钥和所述公钥是随机生成的签名密钥对的一部分。
[0013]在所述第一方面的另一种实现方式中，从所述数据库获取所述加密的私钥。可选地，所述公钥也存储在所述数据库中。
[0014]在所述第一方面的另一种实现方式中，所述设备是服务器。
[0015]在所述第一方面的另一种实现方式中，所述设备还包括：可信基本输入/输出系统(Basic Input/Output System，BIOS)和/或可信极简操作系统(operating system，OS)。
[0016]在所述可信BIOS和/或操作系统中运行的任何安全区都不必证明其真实性。由于所述安全区安全相关模块是在所述可信BIOS和/或OS中执行的，因此不必证明即可信任所述模块。所述可信BIOS和/或可信极简OS的执行(假定为不受攻击)避免了对安全区进行认证(authenticate)的需要。
[0017]根据第二方面，一种用于证明的方法，包括：从执行所述方法的设备的处理器获取密封密钥；基于所述密封密钥将加密的私钥解密为私钥；基于所述私钥对来自鉴权器的报告进行签名。
[0018]所述证明不基于存储在硬件上的预定义数据，例如硬编码加密密钥，这些数据仅对远程服务器已知，所述远程服务器能够验证由使用所述硬编码加密密钥的过程生成的报告的真实性。
[0019]任何第三方实体都能够提供替代证明服务。所述替代证明服务不依赖于所述硬编码密钥信息。信任第三方实体的其它组织可以使用所述第三方实体提供的所述证明服务。所述替代证明服务可以用作基于所述硬编码密钥的单一证明服务的替代方案和/或与单一证明服务组合。
[0020]在所述第二方面的另一种实现方式中，所述方法还包括：执行安全区安全相关模块，用于：从执行所述方法的所述设备的所述处理器获取所述密封密钥；生成所述私钥和公钥，其中，所述公钥用于证明所述报告的真实性；使用所述密封密钥对所述私钥进行加密；将所述加密的私钥和所述公钥存储在一个或多个证明服务可访问的数据库中。
[0021]在所述第二方面的另一种实现方式中，所述方法还包括：随机生成包括所述私钥和所述公钥的密钥对。
[0022]在该实现方式中，所述公钥可以被发布，即所述公钥可以由任何实体访问并用于证明所述报告的真实性。
[0023]在所述第二方面的另一种实现方式中，所述方法还包括：从所述数据库中检索所述加密的私钥。
[0024]在所述第二方面的另一种实现方式中，所述方法还包括：安装可信基本输入/输出系统(Basic Input/Output System，BIOS)。
[0025]在所述第二方面的另一种实现方式中，所述方法还包括：安装可信极简操作系统(operating system，OS)。
[0026]根据第三方面，一种证明服务运营商设备(operator device)，包括：数据库；计算电路，用于执行证明过程；其中，所述计算电路用于存储多个公钥，每个公钥使用多个计算
电路中的不同计算电路的处理器生成；所述计算电路还用于从鉴权器获取报告和公钥并基于所述多个公钥中的所述公钥证明所述报告的真实性。
[0027]所述证明服务独立于并且不访问和/或使用在相应不同计算电路的硬件中编码的任何特殊数据，例如，在硬件中编码的密钥。
[0028]在所述第三方面的另一实现方式中，所述计算电路用于通过所述存储的公钥验证所述报告的真实性。
[0029]根据第四方面，一种证明服务的方法，包括：存储多个公钥，每个公钥使用多个计算电路的不同计算电路的处理器生成；从鉴权器获取报告和公钥并基于所述多个公钥中的所述公钥证明所述报告的真实性。
[0030]在所述第四方面的另一实现方式中，所述方法还包括：在获取所述报告之后通过所述存储的公钥验证所述报告的真实性。
[0031]根据第五方面，一种计算机程序产品，所述计算机程序产品包括计算机可读代码指令，当所述计算机可读代码指令在计算机中运行时，将使所述计算机执行根据本专利技术第二方面和第二方面的其它实现方式中的任一种或本专利技术第四方面和第四方面的其它实现方式中的任一种所述的方法。...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于证明的设备(102)，其特征在于，包括：具有处理器(112)的计算电路，所述计算电路用于：从所述处理器(112)获取密封密钥(112A)；基于所述密封密钥(112A)将加密的私钥(122C)解密为私钥(122A)；基于所述私钥(122A)对来自鉴权器(104)的报告(124A)进行签名。2.根据权利要求1所述的设备(102)，其特征在于，所述处理器(112)还用于执行安全区安全相关模块(116C)，用于：从所述处理器(112)获取所述密封密钥(112A)；生成所述私钥(122A)和公钥(122B)，其中，所述公钥(122B)用于证明所述报告的真实性；使用所述密封密钥(112A)对所述私钥(122A)进行加密，以获取所述加密的私钥(122C)；将所述加密的私钥(122C)和所述公钥(122B)存储在一个或多个证明服务(106)可访问的数据库(126A)中。3.根据权利要求1或2所述的设备(102)，其特征在于，所述私钥(122A)和所述公钥(122B)是随机生成的签名密钥对的一部分。4.根据权利要求2或3所述的设备(102)，其特征在于，从所述数据库(126A)获取所述加密的私钥(122C)和所述公钥。5.根据上述权利要求任一项所述的设备(102)，其特征在于，所述设备(102)是服务器。6.根据上述权利要求任一项所述的设备(102)，其特征在于，所述设备(102)还包括：可信基本输入/输出系统(Basic Input/Output System，BIOS)和/或可信极简操作系统(operating system，OS)(122D)。7.一种用于证明的方法，其特征在于，所述方法包括：从执行所述方法的设备的处理器获取密封密钥(212)；基于所述密封密钥将加密的私钥解密为私钥(214)；基于所述私钥对来自鉴权器的报告进行签名(216)。8.根据权利要求7所述的方法，其特征在于，所述方法还包括：执行安全区安全相关模块，用于：从执行所述方法的所述设备的所述处理器获取所述密封密钥(204)；生成所述私钥和公钥(206)，其中，所述公钥用于证明所述报告的真实性；使用所述密封密钥对所述私钥进行加密(208)；将所述加密的私钥和所述公钥存储在一个或多个证明服务可...

【专利技术属性】
技术研发人员：巴伦，
申请(专利权)人：华为云计算技术有限公司，
类型：发明
国别省市：