一种设备身份的认证方法、装置、电子设备及存储介质与流程

1.本技术涉及云计算技术领域，尤其涉及一种设备身份的认证方法、装置、电子设备及存储介质。


背景技术：

2.安全与可信是云计算中极为重要的需求，如何保护用户在云平台上托管的应用程序和数据的安全，防止云服务提供商和其他攻击者窃取用户机密数据，一直是个难题。一个可行的方案是使用机密计算技术实现一个可信执行环境(tee)，使得数据始终保持加密和强隔离状态，从而确保了用户数据的安全和隐私。
3.2013年,intel公司提出了新的处理器安全技术sgx(softwareguard extensions),能够在计算平台上提供一个用户空间的可信执行环境,保证用户关键代码及数据的机密性和完整性。sgx技术自提出以来,已成为云计算安全问题的重要解决方案。
4.在tee研究领域，已经出现了诸如库操作系统libos、程序自动分割等易用性适配方式。以sgx为例，libos实施方案中，比较典型的包括graphene、scone、occlum等。
5.sgx提出了两种类型的身份认证方式:一种是平台内部enclave 间的认证,用来认证进行报告的enclave和自己是否运行在同一个平台上；另一种是平台间的远程认证,用于远程的认证者认证enclave的身份信息。
6.在分布式作业系统(例如mapreduce)中，需要节点之间两两进行远程身份认证，证明节点处于occlum的可信运行环境中。两两之间需要建立可信通道，通信量大，结构复杂，同时构造可信的分布式作业系统时间长。


技术实现要素：

7.为了解决上述技术问题或者至少部分地解决上述技术问题，本技术提供了一种设备身份的认证方法、装置、电子设备及存储介质。
8.根据本技术实施例的一个方面，提供了一种设备身份的认证方法，应用于云计算平台，所述方法包括：
9.接收用户设备发送的身份认证请求，其中，所述身份认证请求用于请求认证部署在所述云计算平台中用于执行分布式计算的可信节点集合，所述可信节点集合中包括多个级联的可信节点；
10.调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作，得到所述可信节点集合对应的初始证明信息树，其中，所述初始证明信息树包括：各个可信节点对应的证明信息；
11.将所述初始证明信息树发送至所述用户设备，以使所述用户设备对所述初始证明信息树进行再次认证；
12.接收所述用户设备发送的目标证明信息树，并将所述目标证明信息树存储至所述各个可信节点，其中，所述目标证明信息树是所述用户设备对所述初始证明信息树进行再
次认证后得到的。
13.进一步的，所述可信节点集合包括：可信根节点、可信中继节点以及可信叶节点，所述可信根节点与至少两个可信中继节点连接，所述可信中继节点用于与至少两个可信叶节点连接；
14.在调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作之前，所述方法还包括：
15.基于预设密钥交换协议建立所述用户设备与所述可信根节点之间的第一传输信道，并生成第一密钥；
16.基于所述预设密钥交换协议建立所述可信根节点与所述可信中继节点之间的第二传输信道，并生成第二密钥；
17.基于所述预设密钥交换协议建立所述可信中继节点与所述可信叶节点之间移动第三传输信道，并生成第三密钥。
18.进一步的，所述调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作，得到所述可信节点集合对应的初始证明信息树，包括：
19.将所述身份认证请求通过所述可信根节点下发至所述可信中继点，以及所述可信叶节点；
20.所述可信叶节点根据所述身份认证请求执行第一认证操作，得到所述可信叶节点对应的第一认证信息，并使用所述第三密钥对所述第一认证信息进行加密，并通过第三传输信道发送至所述可信中继节点；
21.所述可信中继节点将所述的所有可信叶节点加密后的第一认证信息解密，将解密的第一认证信息发送至证明中心进行证明，得到第一证明结果，根据所述第一证明结果生成第一证明信息树；
22.所述可信中继节点根据所述身份认证请求执行第二认证操作，得到所述可信中继节点对应的第二认证信息；
23.所述可信中继节点使用所述第二密钥对所述第二认证信息和第一证明信息树进行加密，并通过第二传输信道发送至所述可信根节点；
24.所述可信根节点将所述的所有可信中继节点加密后的第二认证信息和第一证明信息树解密，将解密的第二认证信息发送至证明中心，得到第二证明结果，根据所述第二证明结果和第一证明信息树生成第二证明信息树；
25.所述可信根节点根据所述身份认证请求执行第三认证操作，得到所述可信根节点对应的第三认证信息，将第三认证信息添加在所述第二证明信息树，得到所述初始证明信息树，并使用所述第一密钥对所述初始证明信息树进行加密，发送给用户设备。
26.进一步的，所述可信叶节点根据所述身份认证请求执行第一认证操作，得到所述可信叶节点对应的第一认证信息，包括：
27.所述可信叶节点利用引用飞地的对称密钥生成第一认证码，将所述第一认证码发送至所述引用飞地，以使所述引用飞地对所述第一认证码进行验证；
28.所述可信叶节点接收所述引用飞地反馈的第一引用结构体和第一签名，其中，所述第一引用结构体和所述第一签名为所述引用飞地对所述第一认证码验证通过后得到的；
29.将所述第一引用结构体和所述第一签名确定为所述第一认证信息。
30.进一步的，所述可信中继节点根据所述身份认证请求执行第二认证操作，得到所述可信中继节点对应的第二认证信息，包括：
31.所述可信中继节点向第三方证明设备发送第一证明请求，得到第一证明结果，其中，所述第一证明请求用于对所述可信叶节点的第一认证信息进行证明；
32.在根据所述第一证明结果确定所述可信叶节点的第一认证信息证明通过时，所述可信中继节点利用引用飞地的对称密钥生成第二认证码，将所述第二认证码和所述第一证明信息树发送至所述引用飞地，以使所述引用飞地对所述第二认证码进行验证；
33.所述可信中继节点接收所述引用飞地反馈的第二引用结构体和第二签名，其中，所述第二引用结构体和所述第二签名为所述引用飞地对所述第二认证码验证通过后得到的；
34.将所述第二引用结构体和所述第二签名确定为所述第二认证信息。
35.进一步的，所述可信根节点根据所述身份认证请求执行第三认证操作，得到所述可信根节点对应的第三认证信息，包括：
36.所述可信根节点向第三方证明设备发送第二证明请求，得到第二证明结果，其中，所述第二证明请求用于对所述可信中继节点的第二认证信息进行证明；
37.在根据所述第二证明结果确定所述可信中继节点的第二认证信息证明通过时，所述可信根节点利用引用飞地的对称密钥生成第三认证码，将所述第三认证码和所述第二证明信息树发送至所述引用飞地，以使所述引用飞地对所述第三认证码进行验证；
38.所述可信根节点接收所述引用飞地反馈的第三引用结构体和第三签名，其中，所述第三引用结构体和所述第三签名为所述引用飞地对所述第三认证码验证通过后得到的；
39.将所述第三引用结构体和所述第三签名确定为所述第三认证信息。
40.进一步的，在接收所述用户设备发送的目标证明信息树，并将所述目标证明信息树存储至所述各个可信节点之后，所述方法还包括：
41.接收所述用户设备发送的分布式计算请求，其中，所述分布式计算请求中携带所述用户设备发送的目标数据，以及所述目标数据对应的分发方式；
42.利用所述可信根节点按照所述分发方式将所述目标数据发送至所述可信中继节点，所述可信中继节点按照所述分发方式将所述目标数据发送至所述可信叶节点；
43.所述可信叶节点对所述目标数据进行分布式计算，得到第一计算结果，将所述第一计算结果发送至所述可信中继节点；
44.所述可信中继节点对所述第一计算结果进行汇总，得到第二计算结果，并将所述第二计算结果发送至所述可信根节点；
45.所述可信根节点对所述第二计算结果进行汇总，得到第三计算结果，并将所述第三计算结果发送至所述用户设备。
46.根据本技术实施例的另一个方面，还提供了一种设备身份的认证装置，包括：
47.接收模块，用于接收用户设备发送的身份认证请求，其中，所述身份认证请求用于请求认证部署在所述云计算平台中用于执行分布式计算的可信节点集合，所述可信节点集合中包括多个级联的可信节点；
48.调用模块，用于调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作，得到所述可信节点集合对应的初始证明信息树，其中，所述初始证明信息树
包括：各个可信节点对应的证明信息；
49.发送模块，用于将所述初始证明信息树发送至所述用户设备，以使所述用户设备对所述初始证明信息树进行再次认证；
50.存储模块，用于接收所述用户设备发送的目标证明信息树，并将所述目标证明信息树存储至所述各个可信节点，其中，所述目标证明信息树是所述用户设备对所述初始证明信息树进行再次认证后得到的。
51.根据本技术实施例的另一方面，还提供了一种存储介质，该存储介质包括存储的程序，程序运行时执行上述的步骤。
52.根据本技术实施例的另一方面，还提供了一种电子装置，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；其中：存储器，用于存放计算机程序；处理器，用于通过运行存储器上所存放的程序来执行上述方法中的步骤。
53.本技术实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述方法中的步骤。
54.本技术实施例提供的上述技术方案与现有技术相比具有如下优点：本技术构建了树型层级结构的可信节点，并且在进行分布式作业之前，可信节点和用户设备之间进行身份认证操作，不但实现用户设备能够在云计算平台中进行分布式作业。同时使可信节点处于可信环境中，确保作业内容对于云计算平台可用不可见，保护了作业的机密性和完整性。
附图说明
55.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。
56.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
57.图1为本技术实施例提供的一种设备身份的认证方法的流程图；
58.图2为本技术是实施例提供的一种身份认证框架示意图；
59.图3为本技术另一实施例提供的一种设备身份的认证方法的流程图；
60.图4为本技术另一实施例提供的一种设备身份的认证方法的流程图；
61.图5为本技术另一实施例提供的一种设备身份的认证方法的流程图；
62.图6为本技术实施例提供的一种设备身份的认证装置的框图；
63.图7为本技术实施例提供的一种电子设备的结构示意图。
具体实施方式
64.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术的一部分实施例，而不是全部的实施例，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
65.需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个类似的实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
66.本技术实施例提供了一种设备身份的认证方法、装置、电子设备及存储介质。本发明实施例所提供的方法可以应用于任意需要的电子设备，例如，可以为服务器、终端等电子设备，在此不做具体限定，为描述方便，后续简称为电子设备。
67.根据本技术实施例的一方面，提供了一种设备身份的认证方法的方法实施例。图1为本技术实施例提供的一种设备身份的认证方法的流程图，如图1所示，该方法包括：
68.步骤s11，接收用户设备发送的身份认证请求，其中，身份认证请求用于请求认证部署在云计算平台中用于执行分布式计算的可信节点集合，可信节点集合中包括多个级联的可信节点。
69.在本技术实施例中，用户设备存在分布式计算业务的情况下，用户设备会向云计算平台发送是身份认证，其中云计算平台中包括用于执行分布式计算的可信节点集合，可信节点集合包括：多个级联的可信节点，如图2所示，多个级联的可信节点为：可信根节点、可信中继节点以及可信叶节点，可信根节点与至少两个可信中继节点连接，可信中继节点用于与至少两个可信叶节点连接。
70.在本技术实施例中，在调用可信节点集合的各个可信节点执行身份认证请求对应的认证操作之前，云计算平台与用户设备建立传输信号，以及云计算平台内部的各个节点之间建立传输信道，如图3所示，该方法还包括以下步骤a1-a3：
71.步骤a1，基于预设密钥交换协议建立用户设备与可信根节点之间的第一传输信道，并生成第一密钥。
72.步骤a2，基于预设密钥交换协议建立可信根节点与可信中继节点之间的第二传输信道，并生成第二密钥。
73.步骤a3，基于预设密钥交换协议建立可信中继节点与可信叶节点之间移动第三传输信道，并生成第三密钥。
74.步骤s12，调用可信节点集合的各个可信节点执行身份认证请求对应的认证操作，得到可信节点集合对应的初始证明信息树，其中，初始证明信息树包括：各个可信节点对应的证明信息。
75.在本技术实施例中，步骤s12，调用可信节点集合的各个可信节点执行身份认证请求对应的认证操作，得到可信节点集合对应的初始证明信息树，如图4所示，包括以下步骤b1-b5：
76.步骤b1，将身份认证请求通过可信根节点下发至可信中继点，以及可信叶节点。
77.步骤b2，可信叶节点根据身份认证请求执行第一认证操作，得到可信叶节点对应的第一认证信息，并使用第三密钥对第一认证信息进行加密，并通过第三传输信道发送至可信中继节点。
78.在本技术实施例中，步骤b2，可信叶节点根据身份认证请求执行第一认证操作，得到可信叶节点对应的第一认证信息，包括以下步骤b201-b203：
79.步骤b201，所述可信叶节点利用引用飞地的对称密钥生成第一认证码，将所述第一认证码发送至所述引用飞地，以使所述引用飞地对所述第一认证码进行验证。
80.步骤b202，可信叶节点接收引用飞地反馈的第一引用结构体和第一签名，其中，第一引用结构体和第一签名为引用飞地对第一认证码验证通过后得到的。
81.步骤b203，将第一引用结构体和第一签名确定为第一认证信息。
82.在本技术实施例中，可信叶节点执行身份认证请求，将可信叶节点的身份和附加信息组合生成report结构。可信叶节点利用 quotingenclave的report对称密钥生成一个mac。可信叶节点将 report结构和mac发送给quotingenclave。quotingenclave利用自己report对称密钥验证可信叶节点是否运行在同一云计算平台上，然后将其封装成一个引用结构体(第一引用体结构)，并用在第三方可信证明中心注册的相应可信叶节点的私钥进行签名(第一签名)，将第一引用结构体和第一签名确定为第一认证信息。
83.步骤b3，可信中继节点将的所有可信叶节点加密后的第一认证信息解密，将解密的第一认证信息发送至证明中心进行证明，得到第一证明结果，根据第一证明结果生成第一证明信息树。
84.步骤b4，可信中继节点根据身份认证请求执行第二认证操作，得到可信中继节点对应的第二认证信息。
85.在本技术实施例中，步骤b4，可信中继节点根据身份认证请求执行第二认证操作，得到可信中继节点对应的第二认证信息，包括以下步骤b401-b404：
86.步骤b401，可信中继节点向第三方证明设备发送第一证明请求，得到第一证明结果，其中，第一证明请求用于对可信叶节点的第一认证信息进行证明。
87.步骤b402，在根据第一证明结果确定可信叶节点的第一认证信息证明通过时，可信中继节点利用引用飞地的对称密钥生成第二认证码，将第二认证码和第一证明信息树发送至引用飞地，以使引用飞地对第二认证码进行验证。
88.步骤b403，可信中继节点接收引用飞地反馈的第二引用结构体和第二签名，其中，第二引用结构体和第二签名为引用飞地对第二认证码验证通过后得到的。
89.步骤b404，将第二引用结构体和第二签名确定为第二认证信息。
90.在本技术实施例中，可信中继节点通过第三方可信证明中心验证可信叶节点的身份，并生成相应的可信叶节点证明信息。可信中继节点构建远程证明hash树，将其连接的所有可信叶节点证明信息添加到远程证明hash树上，并计算可信叶节点证明信息hash树。
91.可信中继节点执行ereport指令，将可信中继节点的身份和附加信息组合生成report结构。可信中继节点利用quotingenclave 的report对称密钥生成一个mac。可信中继节点将report结构和 mac发送给quotingenclave。quotingenclave利用自己report对称密钥验证可信中继节点是否运行在同一平台上，然后将其封装成一个引用结构体(第二引用结构体)，将远程证明hash树作为用户数据添加到引用结构体上，并用在第三方可信证明中心注册的相应信中继节点的私钥进行签名(第二签名)，将第二引用结构体和第二签名确定为第二认证信息。
92.然后可信中继节点将第二认证信息采用第二密钥加密，并将加密后的认证信息通
过第二传输信道发送给可信根节点。
93.步骤b5，可信中继节点使用第二密钥对第二认证信息和第一证明信息树进行加密，并通过第二传输信道发送至可信根节点。
94.步骤b6，可信根节点将的所有可信中继节点加密后的第二认证信息和第一证明信息树解密，将解密的第二认证信息发送至证明中心，得到第二证明结果，根据第二证明结果和第一证明信息树生成第二证明信息树。
95.步骤b7，可信根节点根据身份认证请求执行第三认证操作，得到可信根节点对应的第三认证信息，将第三认证信息添加在第二证明信息树，得到初始证明信息树，并使用第一密钥对初始证明信息树进行加密，发送给用户设备。
96.在本技术实施例中，步骤b7，可信根节点根据身份认证请求执行第三认证操作，得到可信根节点对应的第三认证信息，包括以下步骤b701-b704：
97.步骤b701，可信根节点向第三方证明设备发送第二证明请求，得到第二证明结果，其中，第二证明请求用于对可信中继节点的第二认证信息进行证明；
98.步骤b702，在根据第二证明结果确定可信中继节点的第二认证信息证明通过时，可信根节点利用引用飞地的对称密钥生成第三认证码，将第三认证码和第二证明信息树发送至引用飞地，以使引用飞地对第三认证码进行验证。
99.步骤b703，可信根节点接收引用飞地反馈的第三引用结构体和第三签名，其中，第三引用结构体和第三签名为引用飞地对第三认证码验证通过后得到的。
100.步骤b704，将第三引用结构体和第三签名确定为第三认证信息。
101.在本技术实施例中，可信根节点将其连接的所有可信中继节点证明信息添加到远程证明hash树上，生成可信中继节点证明信息hash。可信根节点执行ereport指令,将可信根节点的身份和附加信息组合生成report结构。
102.可信根节点利用quotingenclave的report对称密钥生成一个 mac。可信根节点将report结构和mac发送给quotingenclave。 quotingenclave利用自己report对称密钥验证可信根节点是否运行在同一平台上，然后将其封装成一个引用结构体(第三引用结构体)，将远程证明hash树作为用户数据添加到引用结构体上，并用在第三方可信证明中心注册的相应可信根节点的私钥进行签名(第三签名)，将第三引用结构体和第三签名确定为第三认证信息。
103.然后将可信根节点将第三认证信息采用以第一密钥加密，并将加密后的认证信息通过第一传输信道发送给可信根节点。
104.步骤s13，将初始证明信息树发送至用户设备，以使用户设备对初始证明信息树进行再次认证。
105.在本技术实施例中，用户设备通过第三方可信证明中心验证可信根节点的身份，并生成相应的可信根节点证明信息。用户将可信根节点证明信息添加到远程证明hash树上，并计算证明信息hash。用户将远程证明hash树发送到分布式作业系统中的可信根节点、可信中继节点、可信叶节点。
106.步骤s14，接收用户设备发送的目标证明信息树，并将目标证明信息树存储至各个可信节点，其中，目标证明信息树是用户设备对初始证明信息树进行再次认证后得到的。
107.本技术构建了树型层级结构的可信节点，并且在进行分布式作业之前，可信节点
和用户设备之间进行身份认证操作，不但实现用户设备能够在云计算平台中进行分布式作业。同时使可信节点处于可信环境中，确保作业内容对于云计算平台可用不可见，保护了作业的机密性和完整性。
108.在本技术实施例中，在接收用户设备发送的目标证明信息树，并将目标证明信息树存储至各个可信节点之后，如图5所示，方法还包括：
109.步骤s21，接收用户设备发送的分布式计算请求，其中，分布式计算请求中携带用户设备发送的目标数据，以及目标数据对应的分发方式。
110.步骤s22，利用可信根节点按照分发方式将目标数据发送至可信中继节点，可信中继节点按照分发方式将目标数据发送至可信叶节点。
111.步骤s23，可信叶节点对目标数据进行分布式计算，得到第一计算结果，将第一计算结果发送至可信中继节点。
112.步骤s24，可信中继节点对第一计算结果进行汇总，得到第二计算结果，并将第二计算结果发送至可信根节点。
113.步骤s25，可信根节点对第二计算结果进行汇总，得到第三计算结果，并将第三计算结果发送至用户设备。
114.在本技术实施例中，用户设备产生临时密钥，利用临时密钥加密数据和关键代码，并将临时密钥用第一密钥加密，然后发送给可信根节点。可信根节点根据用户设备指定的数据分发方式向可信中继节点分发加密数据。
115.可信根节点将加密的关键代码发送给可信中继节点。可信根节点利用第一密钥解密临时密钥，分别利用第二密钥加密临时密钥，然后分别分发给可信中继节点。
116.可信中继节点根据用户设备指定的数据分发方式向可信叶节点分发加密数据。可信中继节点将加密的关键代码发送给可信叶节点。可信中继节点利用第二密钥解密临时密钥，分别利用第三密钥加密临时密钥，然后分别分发给可信叶节点。
117.可信叶节点分别用各自对应的第三密钥解密临时密钥，利用临时密钥解密数据和关键代码。可信叶节点根据关键代码对数据进行分布式作业运算，并产生相应结果。将结果用第三密钥加密，发送给可信中继节点。可信中继节点利用第三密钥解密，将运算结果进行汇总运算，并利用第二密钥加密发送给可信根节点。可信根节点利用第二密钥解密可信中继节点的运算结果，将运算结果进行汇总运算，并利用第一密钥加密发送给用户设备。用户设备利用第一密钥解密，获得最终的分布式作业结果。
118.图6为本技术实施例提供的一种设备身份的认证装置的框图，该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图6所示，该装置包括：
119.接收模块51，用于接收用户设备发送的身份认证请求，其中，身份认证请求用于请求认证部署在云计算平台中用于执行分布式计算的可信节点集合，可信节点集合中包括多个级联的可信节点。
120.调用模块52，用于调用可信节点集合的各个可信节点执行身份认证请求对应的认证操作，得到可信节点集合对应的初始证明信息树，其中，初始证明信息树包括：各个可信节点对应的证明信息。
121.发送模块53，用于将初始证明信息树发送至用户设备，以使用户设备对初始证明信息树进行再次认证。
122.存储模块54，用于接收用户设备发送的目标证明信息树，并将目标证明信息树存储至各个可信节点，其中，目标证明信息树是用户设备对初始证明信息树进行再次认证后得到的。
123.在本技术实施例中，可信节点集合包括：可信根节点、可信中继节点以及可信叶节点，可信根节点与至少两个可信中继节点连接，可信中继节点用于与至少两个可信叶节点连接；
124.在本技术实施例中，设备身份的认证装置还包括：构建模块，用于基于预设密钥交换协议建立用户设备与可信根节点之间的第一传输信道，并生成第一密钥；基于预设密钥交换协议建立可信根节点与可信中继节点之间的第二传输信道，并生成第二密钥；基于预设密钥交换协议建立可信中继节点与可信叶节点之间移动第三传输信道，并生成第三密钥。
125.在本技术实施例中，调用模块52，包括：
126.发送子模块，用于将身份认证请求通过可信根节点下发至可信中继点，以及可信叶节点；
127.第一执行子模块，用于可信叶节点根据身份认证请求执行第一认证操作，得到可信叶节点对应的第一认证信息，并使用第三密钥对第一认证信息进行加密，并通过第三传输信道发送至可信中继节点；
128.第一处理子模块，用于可信中继节点将的所有可信叶节点加密后的第一认证信息解密，将解密的第一认证信息发送至证明中心进行证明，得到第一证明结果，根据第一证明结果生成第一证明信息树
129.第二执行子模块，用于可信中继节点根据身份认证请求执行第二认证操作，得到可信中继节点对应的第二认证信息；
130.第二处理子模块，用于可信中继节点使用第二密钥对第二认证信息和第一证明信息树进行加密，并通过第二传输信道发送至可信根节点
131.第三执行子模块，用于可信根节点将的所有可信中继节点加密后的第二认证信息和第一证明信息树解密，将解密的第二认证信息发送至证明中心，得到第二证明结果，根据第二证明结果和第一证明信息树生成第二证明信息树；
132.第四执行子模块，用于可信根节点根据身份认证请求执行第三认证操作，得到可信根节点对应的第三认证信息，将第三认证信息添加在第二证明信息树，得到初始证明信息树，并使用第一密钥对初始证明信息树进行加密，发送给用户设备。
133.在本技术实施例中，第一执行子模块，用于可信叶节点利用引用飞地的对称密钥生成第一认证码，将第一认证码发送至引用飞地，以使引用飞地对第一认证码进行验证；可信叶节点接收引用飞地反馈的第一引用结构体和第一签名，其中，第一引用结构体和第一签名为引用飞地对第一认证码验证通过后得到的；将第一引用结构体和第一签名确定为第一认证信息。
134.在本技术实施例中，第二执行子模块，用于可信中继节点向第三方证明设备发送第一证明请求，得到第一证明结果，其中，第一证明请求用于对可信叶节点的第一认证信息进行证明；在根据第一证明结果确定可信叶节点的第一认证信息证明通过时，可信中继节点利用引用飞地的对称密钥生成第二认证码，将第二认证码和第一证明信息树发送至引用
飞地，以使引用飞地对第二认证码进行验证；可信中继节点接收引用飞地反馈的第二引用结构体和第二签名，其中，第二引用结构体和第二签名为引用飞地对第二认证码验证通过后得到的；将第二引用结构体和第二签名确定为第二认证信息。
135.在本技术实施例中，第三执行子模块，用于可信根节点向第三方证明设备发送第二证明请求，得到第二证明结果，其中，第二证明请求用于对可信中继节点的第二认证信息进行证明；在根据第二证明结果确定可信中继节点的第二认证信息证明通过时，可信根节点利用引用飞地的对称密钥生成第三认证码，将第三认证码和第二证明信息树发送至引用飞地，以使引用飞地对第三认证码进行验证；可信根节点接收引用飞地反馈的第三引用结构体和第三签名，其中，第三引用结构体和第三签名为引用飞地对第三认证码验证通过后得到的；将第三引用结构体和第三签名确定为第三认证信息。
136.在本技术实施例中，设备身份的认证装置还包括：计算模块，用于接收用户设备发送的分布式计算请求，其中，分布式计算请求中携带用户设备发送的目标数据，以及目标数据对应的分发方式；利用可信根节点按照分发方式将目标数据发送至可信中继节点，可信中继节点按照分发方式将目标数据发送至可信叶节点；可信叶节点对目标数据进行分布式计算，得到第一计算结果，将第一计算结果发送至可信中继节点；可信中继节点对第一计算结果进行汇总，得到第二计算结果，并将第二计算结果发送至可信根节点；可信根节点对第二计算结果进行汇总，得到第三计算结果，并将第三计算结果发送至用户设备。
137.本技术实施例还提供一种电子设备，如图7所示，电子设备可以包括：处理器1501、通信接口1502、存储器1503和通信总线1504，其中，处理器1501，通信接口1502，存储器1503通过通信总线1504 完成相互间的通信。
138.存储器1503，用于存放计算机程序；
139.处理器1501，用于执行存储器1503上所存放的计算机程序时，实现上述实施例的步骤。
140.上述终端提到的通信总线可以是外设部件互连标准(peripheralcomponent interconnect，简称pci)总线或扩展工业标准结构(extendedindustry standard architecture，简称eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
141.通信接口用于上述终端与其他设备之间的通信。
142.存储器可以包括随机存取存储器(random access memory，简称 ram)，也可以包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。
143.上述的处理器可以是通用处理器，包括中央处理器(centralprocessing unit，简称cpu)、网络处理器(network processor，简称 np)等；还可以是数字信号处理器(digital signal processing，简称dsp)、专用集成电路(application specific integrated circuit，简称asic)、现场可编程门阵列(field－programmable gate array，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
144.在本技术提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的设备身份的认证方法。
145.在本技术提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的设备身份的认证方法。
146.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本技术实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solid state disk)等。
147.以上所述仅为本技术的较佳实施例而已，并非用于限定本技术的保护范围。凡在本技术的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本技术的保护范围内。
148.以上所述仅是本技术的具体实施方式，使本领域技术人员能够理解或实现本技术。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本技术的精神或范围的情况下，在其它实施例中实现。因此，本技术将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。