一种TEE节点认证方法、装置、设备及介质与流程

一种tee节点认证方法、装置、设备及介质
技术领域
1.本发明涉及计算机与区块链技术领域，特别涉及一种tee节点认证方法、装置、设备及介质。


背景技术：

2.近年来随着大数据、云计算等的快速发展，越来越多的数据在云环境下进行存储、共享和计算，数据的隐私安全也被推到风口浪尖。目前，隐私保护技术基于密码算法及协议(如安全多方计算、同态加密等)的方案还存在一些瓶颈。作为密码学的隐私保护技术的一种替代方案，可信执行环境(trusted execution environment，即tee)基于硬件安全的cpu实现了基于内存隔离的安全计算，也被广泛接受。然而，为保证tee的安全可信，在完成创建后通常需要进行安全认证，方可进行任务的执行。目前不同的硬件厂商推出了不同类型的tee技术，认证方式也不尽相同，没有统一标准。
3.当前的tee认证方式，通过构建中心化的远程认证服务，利用签名验签来实现对tee的认证，该认证方式通过签名实现防篡改的验证，但是在第三方隐私计算平台上，采用中心化的认证方式公信力不够，无法保证远程认证服务是否可信；除此之外，不同的硬件厂商推出了不同类型的tee技术，认证方式也不尽相同，远程认证服务需要对不同的tee选择不同的验证方式，配置繁琐，针对新增tee需要重新修改验证程序，不够灵活。
4.综上，如何提高tee节点安全认证过程中的便捷性、灵活性和可信程度是目前有待解决的问题。


技术实现要素：

5.有鉴于此，本发明的目的在于提供一种tee节点认证方法、装置、设备及介质，能够提高tee节点安全认证过程中的便捷性、灵活性和可信程度。其具体方案如下：
6.第一方面，本技术公开了一种tee节点认证方法，应用于可信计算平台，包括：
7.向tee集群发送tee节点创建指令，以便所述tee集群基于所述tee节点创建指令创建目标tee节点，并通过所述目标tee节点生成密钥对和度量报告；
8.获取所述目标tee节点利用所述密钥对中的第一密钥对所述度量报告进行签名后的签名结果，并将所述签名结果发送至区块链认证和tee厂商；
9.获取所述tee厂商对所述签名结果进行验证后返回的证书链，并将所述证书链发送至所述区块链认证，以便所述区块链认证利用对所述签名结果验证后得到的目标合约地址和所述证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果，并基于预设映射类型将所述验证结果记录至区块链。
10.可选的，所述获取所述tee厂商对所述签名结果进行验证后返回的证书链，并将所述证书链发送至所述区块链认证，以便所述区块链认证利用对所述签名结果验证后得到的目标合约地址和所述证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果之前，还包括：
11.通过所述tee厂商发起部署本地报告验证合约的合约部署请求，或通过所述tee厂商发起更新所述本地报告验证合约的合约更新请求；其中，所述本地报告验证合约包括本地报告和验证结果查询方法；
12.通过预设数据参与方对所述合约部署请求或所述合约更新请求进行审核，并在审核通过后由所述区块链认证基于所述合约部署请求或所述合约更新请求执行相应的合约部署操作或合约更新操作，以及记录tee类型和合约地址。
13.可选的，所述基于预设映射类型将所述验证结果记录至区块链之后，还包括：
14.通过所述预设数据参与方基于所述目标合约地址调用相应的验证结果查询方法得到所述验证结果。
15.可选的，所述通过所述目标tee节点生成密钥对和度量报告，包括：
16.通过所述目标tee节点生成密钥对，以及通过预设的可信度量功能对所述目标tee节点进行度量得到度量报告；其中，所述密钥对包括所述第一密钥和第二密钥。
17.可选的，所述获取所述目标tee节点利用所述密钥对中的第一密钥对所述度量报告进行签名后的签名结果，并将所述签名结果发送至区块链认证和tee厂商，包括：
18.通过所述目标tee节点利用所述密钥对中的第一密钥对所述度量报告进行签名得到签名结果；
19.获取所述目标tee节点发送的所述签名结果、所述第二密钥和与所述目标tee节点对应的目标tee类型；
20.将所述签名结果、所述第二密钥和所述目标tee类型发送至区块链认证和tee厂商。
21.可选的，所述获取所述tee厂商对所述签名结果进行验证后返回的证书链，包括：
22.通过所述tee厂商对所述签名结果进行验证，并在验证通过后根据所述目标tee类型获取对应的证书链；
23.获取所述tee厂商返回的所述证书链。
24.可选的，所述基于预设映射类型将所述验证结果记录至区块链，包括：
25.基于mapping类型对所述验证结果进行映射处理得到映射后验证结果，并将所述映射后验证结果记录至区块链；其中，所述映射后验证结果包括用于表征验证成功的第一标识符和用于表征验证失败的第二标识符。
26.第二方面，本技术公开了一种tee节点认证装置，应用于可信计算平台，包括：
27.节点创建模块，用于向tee集群发送tee节点创建指令，以便所述tee集群基于所述tee节点创建指令创建目标tee节点，并通过所述目标tee节点生成密钥对和度量报告；
28.签名结果获取模块，用于获取所述目标tee节点利用所述密钥对中的第一密钥对所述度量报告进行签名后的签名结果，并将所述签名结果发送至区块链认证和tee厂商；
29.验证模块，用于获取所述tee厂商对所述签名结果进行验证后返回的证书链，并将所述证书链发送至所述区块链认证，以便所述区块链认证利用对所述签名结果验证后得到的目标合约地址和所述证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果，并基于预设映射类型将所述验证结果记录至区块链。
30.第三方面，本技术公开了一种电子设备，包括：
31.存储器，用于保存计算机程序；
32.处理器，用于执行所述计算机程序，以实现前述公开的tee节点认证方法的步骤。
33.第四方面，本技术公开了一种计算机可读存储介质，用于存储计算机程序；其中，所述计算机程序被处理器执行时实现前述公开的tee节点认证方法的步骤。
34.可见，本技术向tee集群发送tee节点创建指令，以便所述tee集群基于所述tee节点创建指令创建目标tee节点，并通过所述目标tee节点生成密钥对和度量报告；获取所述目标tee节点利用所述密钥对中的第一密钥对所述度量报告进行签名后的签名结果，并将所述签名结果发送至区块链认证和tee厂商；获取所述tee厂商对所述签名结果进行验证后返回的证书链，并将所述证书链发送至所述区块链认证，以便所述区块链认证利用对所述签名结果验证后得到的目标合约地址和所述证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果，并基于预设映射类型将所述验证结果记录至区块链。由此可见，本技术在创建目标tee节点后，先通过目标tee节点生成密钥对和度量报告，以及利用密钥对中的第一密钥对度量报告进行签名得到签名结果，然后将签名结果发送至区块链认证和tee厂商，tee厂商对签名结果验证后会返回证书链至区块链认证，区块链认证对签名结果验证后会得到目标合约地址，并根据该目标合约地址和收到的证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证，以及将验证结果记录在区块链上。如此一来，通过利用区块链的去中心化和不可篡改性的特点提高了认证过程的可信程度，并且，合约地址对应着不用的验证方式，提高了验证过程的灵活度和便捷性。
附图说明
35.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
36.图1为本技术公开的一种tee节点认证方法流程图；
37.图2为本技术公开的一种具体的系统架构图；
38.图3为本技术公开的一种具体的tee节点认证方法流程图；
39.图4为本技术公开的一种tee节点认证装置结构示意图；
40.图5为本技术公开的一种电子设备结构图。
具体实施方式
41.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
42.当前的tee认证方式，通过构建中心化的远程认证服务，利用签名验签来实现对tee的认证，该认证方式通过签名实现防篡改的验证，但是在第三方隐私计算平台上，采用中心化的认证方式公信力不够，无法保证远程认证服务是否可信；除此之外，不同的硬件厂商推出了不同类型的tee技术，认证方式也不尽相同，远程认证服务需要对不同的tee选择不同的验证方式，配置繁琐，针对新增tee需要重新修改验证程序，不够灵活。为此，本技术
实施例公开了一种tee节点认证方法、装置、设备及介质，能够提高tee节点安全认证过程中的便捷性、灵活性和可信程度。
43.参见图1所示，本技术实施例公开了一种tee节点认证方法，应用于可信计算平台，该方法包括：
44.步骤s11：向tee集群发送tee节点创建指令，以便所述tee集群基于所述tee节点创建指令创建目标tee节点，并通过所述目标tee节点生成密钥对和度量报告。
45.本实施例中，首先可信计算平台向tee集群发送tee节点创建指令，以便tee集群创建目标tee节点，然后目标tee节点生成密钥对和度量报告。图2为本技术公开的一种系统架构图，图中的区块链认证、tee厂商以及tee集群通过可信计算平台进行数据交互。
46.步骤s12：获取所述目标tee节点利用所述密钥对中的第一密钥对所述度量报告进行签名后的签名结果，并将所述签名结果发送至区块链认证和tee厂商。
47.本实施例中，目标tee节点使用密钥对中的第一密钥对度量报告进行签名得到签名结果，并将签名结果发送至可信计算平台，可信计算平台收到签名结果后，进一步将签名结果发送至区块链认证和tee厂商。
48.步骤s13：获取所述tee厂商对所述签名结果进行验证后返回的证书链，并将所述证书链发送至所述区块链认证，以便所述区块链认证利用对所述签名结果验证后得到的目标合约地址和所述证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果，并基于预设映射类型将所述验证结果记录至区块链。
49.本实施例中，获取tee厂商对签名结果进行验证后返回的证书链，其中，证书链用于存证，并且方便后续查询证书链是否合法，然后将证书链发送至区块链认证，区块链首先对签名结果进行验证，并在验证通过后得到目标合约地址，然后区块链认证根据目标合约地址和获取到的证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证以得到验证结果，待验证内容包括但不限于report字符串、所验证的tee序列号id、证书链字符串，返回值为true/false。
50.进一步的，上述获取所述tee厂商对所述签名结果进行验证后返回的证书链，并将所述证书链发送至所述区块链认证，以便所述区块链认证利用对所述签名结果验证后得到的目标合约地址和所述证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果之前，还包括：通过所述tee厂商发起部署本地报告验证合约的合约部署请求，或通过所述tee厂商发起更新所述本地报告验证合约的合约更新请求；其中，所述本地报告验证合约包括本地报告和验证结果查询方法；通过预设数据参与方对所述合约部署请求或所述合约更新请求进行审核，并在审核通过后由所述区块链认证基于所述合约部署请求或所述合约更新请求执行相应的合约部署操作或合约更新操作，以及记录tee类型和合约地址。可以理解的是，该步骤发生于合约部署阶段，也即首先通过tee厂商申请部署或者更新本地报告验证合约，合约包括本地报告和验证结果查询方法，然后预设数据参与方对合约部署请求或合约更新请求进行审核，审核通过后则由区块链认证部署或更新本地报告验证合约，并记录tee类型和合约地址。需要指出的是，上述预设数据参与方包括数据提供方和使用方。
51.可见，本技术向tee集群发送tee节点创建指令，以便所述tee集群基于所述tee节点创建指令创建目标tee节点，并通过所述目标tee节点生成密钥对和度量报告；获取所述
目标tee节点利用所述密钥对中的第一密钥对所述度量报告进行签名后的签名结果，并将所述签名结果发送至区块链认证和tee厂商；获取所述tee厂商对所述签名结果进行验证后返回的证书链，并将所述证书链发送至所述区块链认证，以便所述区块链认证利用对所述签名结果验证后得到的目标合约地址和所述证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果，并基于预设映射类型将所述验证结果记录至区块链。由此可见，本技术在创建目标tee节点后，先通过目标tee节点生成密钥对和度量报告，以及利用密钥对中的第一密钥对度量报告进行签名得到签名结果，然后将签名结果发送至区块链认证和tee厂商，tee厂商对签名结果验证后会返回证书链至区块链认证，区块链认证对签名结果验证后会得到目标合约地址，并根据该目标合约地址和收到的证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证，以及将验证结果记录在区块链上。如此一来，通过利用区块链的去中心化和不可篡改性的特点提高了认证过程的可信程度，并且，合约地址对应着不用的验证方式，提高了验证过程的灵活度和便捷性。
52.参见图3所示，本技术实施例公开了一种具体的tee节点认证方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体包括：
53.步骤s21：向tee集群发送tee节点创建指令，以便所述tee集群基于所述tee节点创建指令创建目标tee节点，并通过所述目标tee节点生成密钥对，以及通过预设的可信度量功能对所述目标tee节点进行度量得到度量报告；其中，所述密钥对包括所述第一密钥和第二密钥。
54.本实施例中，目标tee节点在生成度量报告时，是利用预设的可信度量功能对创建的目标tee节点进行度量并产生度量报告(即report)。另外，目标tee节点生成的密钥对包括第一密钥和第二密钥，其中，第一密钥可以为私钥(secret key，即sk)，第二密钥可以为公钥(public key，即pk)。
55.步骤s22：通过所述目标tee节点利用所述密钥对中的第一密钥对所述度量报告进行签名得到签名结果；获取所述目标tee节点发送的所述签名结果、所述第二密钥和与所述目标tee节点对应的目标tee类型；将所述签名结果、所述第二密钥和所述目标tee类型发送至区块链认证和tee厂商。
56.本实施例中，目标tee节点利用第一密钥也即私钥对度量报告进行签名得到签名结果，并将签名结果、第二密钥(公钥)、目标tee类型发送至可信计算平台，然后可信计算平台将签名结果、公钥、目标tee类型发送至区块链认证和tee厂商。
57.步骤s23：通过所述tee厂商对所述签名结果进行验证，并在验证通过后根据所述目标tee类型获取对应的证书链；获取所述tee厂商返回的所述证书链，并将所述证书链发送至所述区块链认证，以便所述区块链认证利用对所述签名结果验证后得到的目标合约地址和所述证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果。
58.本实施例中，通过tee厂商对签名结果进行验证，并在验证通过后根据目标tee类型返回相应的证书链，再由可信计算平台将证书链发送至区块链认证；进一步的，证书链认证对签名结果进行验证，并在验证通过后根据tee类型映射相应的目标合约地址，需要注意的是，两次验证过程中，若验证不通过则直接结束流程。然后区块链认证根据目标合约地址和证书链调用相应合约的本地报告以及证书链验证方法对待验证内容进行验证得到验证
结果。
59.步骤s24：基于mapping类型对所述验证结果进行映射处理得到映射后验证结果，并将所述映射后验证结果记录至区块链；其中，所述映射后验证结果包括用于表征验证成功的第一标识符和用于表征验证失败的第二标识符。
60.本实施例中，本地报告以及证书链验证方法将验证结果以mapping类型记录在区块链上，可以理解的是，本实施例对验证结果进行映射处理，并将映射后验证结果记录在区块链上，若验证成功，则为id＝＝》true，若验证成功，则为id＝＝》false。
61.步骤s25：通过所述预设数据参与方基于所述目标合约地址调用相应的验证结果查询方法得到所述验证结果。
62.本实施例中，通过预设数据参与方指定目标合约地址，调用对应的验证结果查询方法，可获得id对应的验证结果。调用验证结果方法的输入参数为所查询的tee序列号id，返回值为true/false。
63.可见，本技术实施例在创建目标tee节点后，目标tee节点会生成密钥对，包括私钥和公钥，以及通过预设的可信度量功能对目标tee节点进行度量得到度量报告，然后利用私钥对度量报告进行签名得到签名结果，并将签名结果、公钥、目标tee类型发送至可信计算平台，再由可信计算平台发送至区块链认证和tee厂商；接着tee厂商对签名结果进行验证，并将与目标tee类型对应的证书链发送给区块链认证，区块链认证对签名结果进行验证得到的目标合约地址，再调用与目标合约地址相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果，并将验证结果以mapping类型记录在区块链上。通过利用区块链的去中心化和不可篡改性的特点提高了认证过程的可信程度，并且，合约地址对应着不用的验证方式，提高了验证过程的灵活度和便捷性。
64.参见图4所示，本技术实施例公开了一种tee节点认证装置，应用于可信计算平台，该装置包括：
65.节点创建模块11，用于向tee集群发送tee节点创建指令，以便所述tee集群基于所述tee节点创建指令创建目标tee节点，并通过所述目标tee节点生成密钥对和度量报告；
66.签名结果获取模块12，用于获取所述目标tee节点利用所述密钥对中的第一密钥对所述度量报告进行签名后的签名结果，并将所述签名结果发送至区块链认证和tee厂商；
67.验证模块13，用于获取所述tee厂商对所述签名结果进行验证后返回的证书链，并将所述证书链发送至所述区块链认证，以便所述区块链认证利用对所述签名结果验证后得到的目标合约地址和所述证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果，并基于预设映射类型将所述验证结果记录至区块链。
68.可见，本技术向tee集群发送tee节点创建指令，以便所述tee集群基于所述tee节点创建指令创建目标tee节点，并通过所述目标tee节点生成密钥对和度量报告；获取所述目标tee节点利用所述密钥对中的第一密钥对所述度量报告进行签名后的签名结果，并将所述签名结果发送至区块链认证和tee厂商；获取所述tee厂商对所述签名结果进行验证后返回的证书链，并将所述证书链发送至所述区块链认证，以便所述区块链认证利用对所述签名结果验证后得到的目标合约地址和所述证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证得到验证结果，并基于预设映射类型将所述验证结果记录至区块链。由此可见，本技术在创建目标tee节点后，先通过目标tee节点生成密钥对和度量报告，
以及利用密钥对中的第一密钥对度量报告进行签名得到签名结果，然后将签名结果发送至区块链认证和tee厂商，tee厂商对签名结果验证后会返回证书链至区块链认证，区块链认证对签名结果验证后会得到目标合约地址，并根据该目标合约地址和收到的证书链调用相应的本地报告和证书链验证方法对待验证内容进行验证，以及将验证结果记录在区块链上。如此一来，通过利用区块链的去中心化和不可篡改性的特点提高了认证过程的可信程度，并且，合约地址对应着不用的验证方式，提高了验证过程的灵活度和便捷性。
69.图5为本技术实施例提供的一种电子设备的结构示意图。具体可以包括：至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中，所述存储器22用于存储计算机程序，所述计算机程序由所述处理器21加载并执行，以实现前述任一实施例公开的由电子设备执行的tee节点认证方法中的相关步骤。
70.本实施例中，电源23用于为电子设备20上的各硬件设备提供工作电压；通信接口24能够为电子设备20创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本技术技术方案的任意通信协议，在此不对其进行具体限定；输入输出接口25，用于获取外界输入数据或向外界输出数据，其具体的接口类型可以根据具体应用需要进行选取，在此不进行具体限定。
71.其中，处理器21可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器21可以采用dsp(digital signal processing，数字信号处理)、fpga(field－programmable gate array，现场可编程门阵列)、pla(programmable logic array，可编程逻辑阵列)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称cpu(central processing unit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器21可以在集成有gpu(graphics processing unit，图像处理器)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器21还可以包括ai(artificial intelligence，人工智能)处理器，该ai处理器用于处理有关机器学习的计算操作。
72.另外，存储器22作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，其上所存储的资源包括操作系统221、计算机程序222及数据223等，存储方式可以是短暂存储或者永久存储。
73.其中，操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222，以实现处理器21对存储器22中海量数据223的运算与处理，其可以是windows、unix、linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的tee节点认证方法的计算机程序之外，还可以进一步包括能够用于完成其他特定工作的计算机程序。数据223除了可以包括电子设备接收到的由外部设备传输进来的数据，也可以包括由自身输入输出接口25采集到的数据等。
74.进一步的，本技术实施例还公开了一种计算机可读存储介质，所述存储介质中存储有计算机程序，所述计算机程序被处理器加载并执行时，实现前述任一实施例公开的由tee节点认证过程中执行的方法步骤。
75.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装
置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
76.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
77.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
78.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
79.以上对本发明所提供的一种tee节点认证方法、装置、设备及存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。