本申请公开了一种可信执行环境的可信认证和安全通道建立方法,涉及计算机技术领域,包括将通道建立请求和挑战认证信息发送至可信执行端,以便可信执行端创建可信执行环境,生成可信执行环境信息;基于可信执行环境信息进行计算验证操作,若验证通过,将可信执行环境信息中的认证报告发送至可信第三方,以便可信第三方对认证报告进行可信验证;获取可信第三方发送的进行可信验证后生成的可信验证结果信息,确定可信验证结果信息的类型,若类型为成功,基于可信验证结果信息建立与可信执行环境之间的安全通道
【技术实现步骤摘要】
一种可信执行环境的可信认证和安全通道建立方法
[0001]本专利技术涉及计算机
,特别涉及一种可信执行环境的可信认证和安全通道建立方法
。
技术介绍
[0002]目前主流的计算芯片厂商如海光
、
兆芯
、
飞腾
、
鲲鹏
、Intel、AMD、ARM
等发布
TEE
(
Trusted Execution Environment
,可信执行环境)技术,尽管各类
TEE
的验证方法会有差异,但远程认证的标准流程是统一的
。
远程认证在技术上采取的是挑战响应的模式:即挑战者先发起认证请求;待认证平台
TEE
根据自身
TEE
技术,生成独特的
TEE
认证报告并返回认证报告给挑战者;挑战者根据待认证平台的
TEE
技术类型,校验认证报告
。
生成的报告内容包含应用的度量值以及相关信任根的签名,验证报告时对度量值以及信任签名做校验即可
。
对于异构
TEE
,只需根据不同
TEE
技术的要求,把生成报告和验证报告的逻辑一一对应即可
。
但是目前的
TEE
技术也存在如下缺点:客户端和
TEE
进行密钥协商需要多轮交互,效率低;度量信息存在被伪造的可能性,不一定是度量信息库中的,需要对其进行验证
。/>[0003]由上可见,如何实现可信执行环境的可信认证和安全通道建立,提高场景兼容的多样性,简化可信执行环境的可信认证和安全通道建立流程的复杂度是本领域有待解决的问题
。
技术实现思路
[0004]有鉴于此,本专利技术的目的在于提供一种可信执行环境的可信认证和安全通道建立方法,能够实现可信执行环境的可信认证和安全通道建立,提高场景兼容的多样性,简化可信执行环境的可信认证和安全通道建立流程的复杂度
。
其具体方案如下:本申请公开了一种可信执行环境的可信认证和安全通道建立方法,应用于客户端,包括:将通道建立请求和挑战认证信息发送至可信执行端,以便所述可信执行端基于所述通道建立请求和所述挑战认证信息创建可信执行环境,并生成相应的可信执行环境信息;基于所述可信执行端发送的所述可信执行环境信息进行计算验证操作,若验证通过,则将所述可信执行环境信息中的认证报告发送至可信第三方,以便所述可信第三方对所述认证报告进行可信验证;获取所述可信第三方发送的进行可信验证后生成的可信验证结果信息,确定所述可信验证结果信息的类型,若所述类型为成功,则基于所述可信验证结果信息建立与所述可信执行环境之间的安全通道
。
[0005]可选的,所述可信执行环境信息包括:公钥
、
认证报告以及基于挑战认证信息计算的共享密钥的摘要
。
[0006]可选的,所述基于所述可信执行端发送的所述可信执行环境信息进行计算验证操
作,包括:对所述可信执行端发送的从所述可信执行环境信息中筛选出的计算认证信息进行计算验证操作
。
[0007]可选的,所述对所述可信执行端发送的从所述可信执行环境信息中筛选出的计算认证信息进行计算验证操作,包括:利用对所述可信执行端发送的从所述可信执行环境信息中筛选出的计算认证信息中的公钥,计算出共享密钥,并进行哈希计算,以得到哈希值;将所述哈希值与所述计算认证信息中的所述共享密钥的摘要进行比对验证
。
[0008]可选的,所述基于所述可信执行端发送的所述可信执行环境信息进行计算验证操作,若验证通过,则将所述可信执行环境信息中的认证报告发送至可信第三方,包括:利用客户端的私钥对所述计算认证信息中的所述公钥进行乘方运算,对结果进行哈希计算,并与所述计算认证信息中的所述共享密钥的摘要进行比对验证,若哈希值相等,并且比对验证成功,则判定计算验证操作通过,将所述可信执行环境信息中的认证报告发送至所述可信第三方
。
[0009]可选的,所述将所述可信执行环境信息中的认证报告发送至可信第三方,以便所述可信第三方对所述认证报告进行可信验证,包括:将所述可信执行环境信息中的认证报告发送至可信第三方,以便所述可信第三方利用硬件底座的公钥对所述认证报告中的签名进行验证,并利用预设度量信息库对所述认证报告中的度量信息进行比对
。
[0010]可选的,所述可信验证结果信息的类型为成功和失败;若验证成功,并且比对成功,则所述可信验证结果信息的类型为成功,否则为失败
。
[0011]可见,本申请提供了一种可信执行环境的可信认证和安全通道建立方法,包括将通道建立请求和挑战认证信息发送至可信执行端,以便所述可信执行端基于所述通道建立请求和所述挑战认证信息创建可信执行环境,并生成相应的可信执行环境信息;基于所述可信执行端发送的所述可信执行环境信息进行计算验证操作,若验证通过,则将所述可信执行环境信息中的认证报告发送至可信第三方,以便所述可信第三方对所述认证报告进行可信验证;获取所述可信第三方发送的进行可信验证后生成的可信验证结果信息,确定所述可信验证结果信息的类型,若所述类型为成功,则基于所述可信验证结果信息建立与所述可信执行环境之间的安全通道
。
本申请应用于客户端,获取可信执行端生成并返回的可信执行环境信息,并对可信执行环境信息进行计算验证,若验证通过,则将可信执行环境信息中的认证报告发送至可信第三方进行可信验证,从而简化可信执行环境的可信认证和安全通道建立流程的复杂度,若进行可信验证后生成的可信验证结果信息的类型为成功,则建立与所述可信执行环境之间的安全通道,实现可信执行环境的可信认证和安全通道建立,提高场景兼容的多样性
。
附图说明
[0012]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据
提供的附图获得其他的附图
。
[0013]图1为本申请公开的一种可信执行环境的可信认证和安全通道建立方法流程图;图2为本申请公开的一种可信执行环境的可信认证和安全通道建立方法流程图;图3为本申请公开的一种可信执行环境的可信认证和安全通道建立方法的具体流程图
。
具体实施方式
[0014]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚
、
完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例
。
基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围
。
[0015]目前主流的计算芯片厂商如海光
、
兆芯...
【技术保护点】
【技术特征摘要】
1.
一种可信执行环境的可信认证和安全通道建立方法,其特征在于,应用于客户端,包括:将通道建立请求和挑战认证信息发送至可信执行端,以便所述可信执行端基于所述通道建立请求和所述挑战认证信息创建可信执行环境,并生成相应的可信执行环境信息;基于所述可信执行端发送的所述可信执行环境信息进行计算验证操作,若验证通过,则将所述可信执行环境信息中的认证报告发送至可信第三方,以便所述可信第三方对所述认证报告进行可信验证;获取所述可信第三方发送的进行可信验证后生成的可信验证结果信息,确定所述可信验证结果信息的类型,若所述类型为成功,则基于所述可信验证结果信息建立与所述可信执行环境之间的安全通道
。2.
根据权利要求1所述的可信执行环境的可信认证和安全通道建立方法,其特征在于,所述可信执行环境信息包括:公钥
、
认证报告以及基于挑战认证信息计算的共享密钥的摘要
。3.
根据权利要求2所述的可信执行环境的可信认证和安全通道建立方法,其特征在于,所述基于所述可信执行端发送的所述可信执行环境信息进行计算验证操作,包括:对所述可信执行端发送的从所述可信执行环境信息中筛选出的计算认证信息进行计算验证操作
。4.
根据权利要求3所述的可信执行环境的可信认证和安全通道建立方法,其特征在于,所述对所述可信执行端发送的从所述可信执行环境信息中筛选出的计算认证信息进行计算验证操作,包括:利用对所述可信执行端发送的从...
【专利技术属性】
技术研发人员:徐东德,郭灿林,刘博,范渊,陶立峰,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。