远程证明方法、装置、系统、存储介质及计算机程序产品制造方法及图纸

本申请公开了一种远程证明方法、装置、系统、存储介质及计算机程序产品，属于信息安全技术领域。在远程证明过程中，被验证端向验证端提供的证明报告包括目标TA的第一度量信息，第一度量信息由被验证端在运行目标TA的过程中对目标TA运行时的数据进行度量得到，即第一度量信息能够用于表征目标TA运行时的状态。如果目标TA运行时被恶意程序攻击，第一度量信息很有可能表征有恶意程序的相关数据，那么验证端对第一度量信息进行验证之后，即可证明目标TA的运行不安全。由此可见，本方案通过在远程证明过程中对目标TA运行时的数据进行度量，从而减少错误证明的情况，提高了远程证明的可靠性。

【技术实现步骤摘要】

本申请涉及信息安全，特别涉及一种远程证明方法、装置、系统、存储介质及计算机程序产品。

技术介绍

1、随着信息技术的不断发展，信息安全问题成为关注重点。为了提高信息安全，机密计算(confidential computing，cc)应运而生。远程证明(remote attestation，ra)是机密计算的重要部分。远程证明发生在验证端与被验证端之间。被验证端用于在可信执行环境(trusted execution environment，tee)中运行验证端的一个或多个可信应用程序(trusted application，ta)。在远程证明过程中，验证端可以请求被验证端证明验证端的任一ta是否在被验证端的tee中安全运行。如何保证远程证明的可靠性是当前研究的重点。

技术实现思路

1、本申请提供了一种远程证明方法、装置、系统、存储介质及计算机程序产品，能够减少错误证明的情况，并提高远程证明的可靠性。所述技术方案如下：

2、第一方面，提供了一种远程证明方法，该方法包括：

3、被验证端接收来自本文档来自技高网...

【技术保护点】

1.一种远程证明方法，其特征在于，所述方法包括：

2.如权利要求1所述的方法，其特征在于，所述目标TA的度量信息还包括第二度量信息，所述第二度量信息用于表征所述目标TA启动时的状态，所述第二度量信息由所述被验证端从安全存储空间中读取得到。

3.如权利要求1或2所述的方法，其特征在于，所述被验证端还用于在富执行环境REE中运行辅助客户端应用程序CA，以及在所述TEE中运行可信模块；

4.如权利要求1-3任一所述的方法，其特征在于，所述第一证明报告还包括第一签名信息和证明密钥AK的证书，所述第一签名信息是所述被验证端使用所述AK对所述目标TA的度量信息进行...

【技术特征摘要】

1.一种远程证明方法，其特征在于，所述方法包括：

2.如权利要求1所述的方法，其特征在于，所述目标ta的度量信息还包括第二度量信息，所述第二度量信息用于表征所述目标ta启动时的状态，所述第二度量信息由所述被验证端从安全存储空间中读取得到。

3.如权利要求1或2所述的方法，其特征在于，所述被验证端还用于在富执行环境ree中运行辅助客户端应用程序ca，以及在所述tee中运行可信模块；

4.如权利要求1-3任一所述的方法，其特征在于，所述第一证明报告还包括第一签名信息和证明密钥ak的证书，所述第一签名信息是所述被验证端使用所述ak对所述目标ta的度量信息进行签名得到的签名信息，所述ak的证书用于所述验证端对所述第一签名信息进行验证。

5.如权利要求4所述的方法，其特征在于，所述方法还包括：

6.如权利要求5所述的方法，其特征在于，所述密钥生成请求携带第一指示信息，所述第一指示信息用于指示密钥生成过程中无需证明服务器as的参与。

7.如权利要求4所述的方法，其特征在于，所述方法还包括：

8.如权利要求7所述的方法，其特征在于，所述密钥生成请求携带第二指示信息，所述第二指示信息用于指示密钥生成过程中需要所述as的参与。

9.如权利要求8所述的方法，其特征在于，所述第二指示信息还用于指示密钥生成过程采用非匿名密钥生成协议。

10.如权利要求1-9任一所述的方法，其特征在于，所述第一证明报告还包括所述被验证端的tcb和第三签名信息，所述第三签名信息是所述被验证端使用ak对所述tcb进行签名得到的签名信息。

11.如权利要求1-9任一所述的方法，其特征在于，所述第一证明报告还包括as对第三签名信息和所述被验证端的tcb验证通过的验证结果，以及第四签名信息；

12.如权利要求1-11任一所述的方法，其特征在于，所述被验证端采用trustzone架构。

13.一种远程证明方法，其特征在于，所述方法包括：

14.如权利要求13所述的方法，其特征在于，所述目标ta的度量信息还包括第二度量信息，所述第二度量信息用于表征所述目标ta启动时的状态，所述第二度量信息由所述被验证端从安全存储空间中读取得到。

15.如权利要求13或14所述的方法，其特征在于，所述第一证明报告还包括所述被验证端的可信计算基tcb和第三签名信息，所述第三签名信息是所述被验证端使用证明密钥ak对所述tcb进行签名得到的签名信息。

16.如权利要求13或14所述的方法，其特征在于，所述第一证明报告还包括证明服务器as对所述被验证端的tcb和第三签名信息验证通过的验证结果，以及第四签名信息，所述第三签名信息是所述被验证端使用ak对所述tcb进行签名得到的签名信息，所述第四签名信息是所述as使用所述as的私钥对所述验证结果进行签名得到的签名信息，所述验证结果包括所述tcb。

17.一种远程证明装置，其特征在于，所述装置应用于被验证端，所述装置包括：

18.如权利要求17所述的装置，其特征在于，所述目标ta的度量信息还包括第二度量信息，所述第二度量信息用于表征所述目标ta启动时的状态，所述第二度量信息由所述获取模块从安全存储空间中读取得到。

19.如权利要求17或18所述的装置，其特征在于，所...

【专利技术属性】
技术研发人员：罗武，张林浩，孙康，张广禹，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：