【技术实现步骤摘要】
一种基于SGX的跨域身份认证方法
[0001]本专利技术属于物联网身份认证领域。
技术介绍
[0002]传统的物联网身份认证协议是基于云中心
‑
终端设备的网络架构,而边缘计算环境下网络架构有所改变。在边缘计算环境中设备计算及通信主要是在设备边缘完成从而起到快速数据收集及数据传输的目的,用户端的设备相比云中心更容易被窃取、中间人攻击、假冒以及攻陷等攻击,并且边缘计算节点将终端设备分成多个安全域,域与域之间往往需要协同工作不同安全域间存在设备窃听、假冒、中间人攻击等风险,多个域间设备安全通信需要跨域间身份认证与密钥协商。
[0003]一般的多云域间身份认证方案使用同一种认证架构,对于多个云域各自采用不同身份认证架构进行异构域间身份认证的情况,则需要重新设计各个域的认证架构以此实现使用同一种认证架构方案完成跨域的身份认证。基于密钥分发的跨域认证架构,使用公钥密码证书体系进行身份认证。该架构通过密钥生成中心计算生成密钥并进行分发,经过一系列的密钥计算和证书验证完成安全性保证。近来,利用区块链技术提供的去中心...
【技术保护点】
【技术特征摘要】
1.一种基于SGX的跨域身份认证方法,其特征在于,域代理向中心代理注册过程进行详细阐述;中心代理是在Intel认证服务器上进行注册过的实体,确保其完全可信,新加域代理与现存域代理均可以通过中心代理进行远程证明验证域代理的可信状态;新加入域代理EDP
i
注册是指域代理首先向中心代理CP提出注册请求,两者通过SGX远程证明完成双向认证以确定新加入域代理的可信性;具体流程步骤如下:1)新加入域代理EDP
i
向中心代理提出注册请求2)中心代理CP对新加入域代理EDP
i
的软硬件环境进行验证,确认其能满足SGX应用运行的环境要求3)新加入域代理EDP
i
创建本地Enclave,并向中心代理CP发送远程认证报告4)中心代理CP通过向Intel认证服务器IAS发送新加入域代理EDP
i
的远程认证报告进行认证后,获取验证报告,确认新加入域代理EDP
i
是运行在可信平台上5)中心代理CP与新加入域代理EDP
i
通过椭圆曲线Diffie
‑
Hellman(ECDH)密钥交换算法进行密钥协商沟通会话密钥,建立安全的信息传输通道6)新加入域代理EDP
i
将自身身份标识信息通过会话通道发送给中心代理CP7)中心代理CP在Enclave中对新加入域代理EDP
i
的身份标识信息进行摘要并将摘要进行密封保存,同时将新加入域代理EDP
i
加入域代理注册表,完成新加入域代理EDP
i
的注册两域代理间进行信任构建采用SGX提供的远程证明技术,对于域代理EDP
A
向域代理EDP
B
提出访问请求时需进行双方的可信环境认证,由于域代理EDP
B
是服务提供者应已经通过在中心代理CP完成可信认证及注册,域代理EDP
A
向中心代理CP进行远程认证,证明自身在可信环境中运行,然后域代理EDP
A
向域代理EDP
B
发起验证域代理EDP
B
的可信状态的请求,域代理EDP
B
先向中心代理CP进行远程认证,确定域代理EDP
B
运行在可信的环境中后,再向域代理EDP
A
返回可信认证结果,完成域代理EDP
A
与域代理EDP
B
的双向认证的可信建立;对于域A中域代理EDP
A
向中心代理CP进行远程认证的过程和域B中域代理EDP
B
向中心代理CP进行远程认证的过程相同,以域代理EDP
A
与中心代理CP的认证过程为例,具体流程步骤如下:1)域代理EDP
A
本地Enclave向中心代理CP发送一个初始请求,该请求包括平台声称当前是其成员的增强隐私ID组;中心代理CP向Intel认证服务器IAS请求更新的签名撤销列表SigRL为所声明组的成员提供服务;然后,中心代理CP构造一个挑战消息challenge message发送至域代理EDP
A
应用程序,以证明域代理EDP
A
运行在基于SGX保护的平台上,该挑战消息由服务提供商ID(SPID)、随机动态码nonce、更新的签名撤销列表SigRL和一个可选的basename参数组成;2)域代理EDP
A
应用程序将挑战消息challenge message传递给域代理EDP
A
Enclave;3)域代理EDP
A
Enclave将调用EREPORT指令来创建一个针对平台报告Enclave(Quoting Enclave,QE)的本地可验证报告REPORT;为了在域代理EDP
A
Enclave和域代理CP之间建立经过身份验证的安全通道,可以将新生成的临时公钥添加到本地可验证报告REPORT的用户数据字段中;4)域代理EDP
A
应用程序将本地可验证报告REPORT和中心代理CP的挑战消息challenge message都传递给域代理EDP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。