本技術(shù)涉數(shù)據(jù)加密，特別是涉及一種遠(yuǎn)程安全驗(yàn)證方法、系統(tǒng)及電子設(shè)備。

背景技術(shù)：

1、在服務(wù)器和客戶端之間建立安全信道的過(guò)程中，雙方需要進(jìn)行安全認(rèn)證，以驗(yàn)證對(duì)方的身份準(zhǔn)確性以及執(zhí)行環(huán)境的安全性，在驗(yàn)證通過(guò)的情況下方能建立兩者之間的安全信道。然而，目前服務(wù)器與客戶端之間的驗(yàn)證依賴于第三方的安全驗(yàn)證平臺(tái)，不同的驗(yàn)證平臺(tái)可能會(huì)帶來(lái)一定的安全隱患，導(dǎo)致服務(wù)器與客戶端之間進(jìn)行安全驗(yàn)證的安全性較低。

技術(shù)實(shí)現(xiàn)思路

1、基于上述問(wèn)題，為了提高服務(wù)器與客戶端之間安全驗(yàn)證的安全性，本技術(shù)實(shí)施例提供了一種遠(yuǎn)程安全驗(yàn)證方法、系統(tǒng)及電子設(shè)備。

2、本技術(shù)實(shí)施例公開了如下技術(shù)方案：

3、第一方面，本技術(shù)實(shí)施例提供了一種遠(yuǎn)程安全驗(yàn)證方法，應(yīng)用于服務(wù)器，所述方法，包括：

4、接收來(lái)自于客戶端的注冊(cè)數(shù)據(jù)；所述客戶端基于可信執(zhí)行環(huán)境運(yùn)行；

5、響應(yīng)于所述客戶端的安全驗(yàn)證請(qǐng)求，向所述客戶端發(fā)送所述服務(wù)器的簽名算法驗(yàn)證數(shù)據(jù)以及交換協(xié)議驗(yàn)證數(shù)據(jù)，以便于所述客戶端對(duì)所述服務(wù)器進(jìn)行身份安全性驗(yàn)證；所述簽名算法驗(yàn)證數(shù)據(jù)用于表征所述服務(wù)器的第一簽名公鑰的完整性；所述交換協(xié)議驗(yàn)證數(shù)據(jù)用于表征所述服務(wù)器的身份合法性；

6、在所述客戶端驗(yàn)證所述服務(wù)器的身份具備合法性后，根據(jù)來(lái)自于所述客戶端針對(duì)所述可信執(zhí)行環(huán)境的遠(yuǎn)程安全證明報(bào)告和所述注冊(cè)數(shù)據(jù)，對(duì)所述客戶端的所述可信執(zhí)行環(huán)境進(jìn)行安全驗(yàn)證。

7、在一種可能的實(shí)現(xiàn)方式中，所述注冊(cè)數(shù)據(jù)包括：目標(biāo)完整性度量值和所述客戶端的設(shè)備公鑰；所述遠(yuǎn)程安全證明報(bào)告包括：針對(duì)所述遠(yuǎn)程安全證明報(bào)告的報(bào)告簽名、針對(duì)所述報(bào)告簽名的驗(yàn)簽公鑰以及實(shí)際完整性度量值；

8、所述根據(jù)來(lái)自于所述客戶端針對(duì)所述可信執(zhí)行環(huán)境的遠(yuǎn)程安全證明報(bào)告和所述注冊(cè)數(shù)據(jù)，對(duì)所述客戶端的所述可信執(zhí)行環(huán)境進(jìn)行安全驗(yàn)證，包括：

9、根據(jù)所述客戶端的設(shè)備公鑰，驗(yàn)證所述實(shí)際完整性度量值和所述驗(yàn)簽公鑰的完整性；

10、在所述實(shí)際完整性度量值和所述驗(yàn)簽公鑰的完整性驗(yàn)證通過(guò)時(shí)，通過(guò)所述驗(yàn)簽公鑰驗(yàn)證所述報(bào)告簽名的完整性；

11、在所述報(bào)告簽名的完整性驗(yàn)證通過(guò)時(shí)，判斷所述實(shí)際完整性度量值與所述目標(biāo)完整性度量值是否相同。

12、在一種可能的實(shí)現(xiàn)方式中，所述判斷所述實(shí)際完整性度量值與所述目標(biāo)完整性度量值是否相同之后，所述方法還包括：

13、若所述實(shí)際完整性度量值與所述目標(biāo)完整性度量值相同，則確定所述可信執(zhí)行環(huán)境的環(huán)境狀態(tài)為安全狀態(tài)。

14、在一種可能的實(shí)現(xiàn)方式中，所述可信執(zhí)行環(huán)境包括：keystone可信執(zhí)行環(huán)境；在所述可信執(zhí)行環(huán)境為所述keystone時(shí)，所述遠(yuǎn)程安全報(bào)告的生成步驟，包括：

15、確定用于生成所述報(bào)告簽名的報(bào)告簽名私鑰、所述驗(yàn)簽公鑰以及第二協(xié)議公鑰；所述第二協(xié)議公鑰通過(guò)與所述服務(wù)器相同的交換協(xié)議生成；

16、計(jì)算所述客戶端的實(shí)際完整性度量值，以及所述設(shè)備私鑰對(duì)所述實(shí)際完整性度量值和所述第二簽名公鑰的第一驗(yàn)證簽名；

17、計(jì)算所述報(bào)告簽名私鑰對(duì)所述第一驗(yàn)證簽名、所述實(shí)際完整性度量值以及所述第二簽名公鑰，得到所述報(bào)告簽名；

18、基于所述報(bào)告簽名、所述第一驗(yàn)證簽名、所述實(shí)際完整性度量值以及所述第二簽名公鑰，確定所述遠(yuǎn)程安全證明報(bào)告。

19、在一種可能的實(shí)現(xiàn)方式中，所述簽名算法驗(yàn)證數(shù)據(jù)包括簽名算法密鑰對(duì)的所述第一簽名公鑰，以及針對(duì)所述第一簽名公鑰的第二驗(yàn)證簽名；所述交換協(xié)議驗(yàn)證數(shù)據(jù)包括交換協(xié)議密鑰對(duì)的第一協(xié)議公鑰，以及針對(duì)所述第一協(xié)議公鑰的第三驗(yàn)證簽名；

20、所述第二驗(yàn)證簽名為所述客戶端的設(shè)備私鑰針對(duì)所述第一簽名公鑰的簽名；所述第三驗(yàn)證簽名為所述服務(wù)器的第一協(xié)議私鑰針對(duì)所述第一協(xié)議公鑰的簽名；所述第一協(xié)議私鑰為所述協(xié)議密鑰對(duì)的私鑰；

21、在一種可能的實(shí)現(xiàn)方式中，所述客戶端對(duì)所述服務(wù)器進(jìn)行身份安全驗(yàn)證的執(zhí)行步驟，包括：

22、根據(jù)所述客戶端的設(shè)備公鑰，驗(yàn)證所述第一簽名公鑰以及所述第二驗(yàn)證簽名的完整性；

23、在所述第一簽名公鑰以及所述第二驗(yàn)證簽名的完整性驗(yàn)證通過(guò)時(shí)，根據(jù)所述第一簽名公鑰，驗(yàn)證所述第一協(xié)議公鑰以及所述第三驗(yàn)證簽名的完整性。

24、在一種可能的實(shí)現(xiàn)方式中，所述向所述客戶端發(fā)送所述服務(wù)器的簽名算法驗(yàn)證數(shù)據(jù)以及交換協(xié)議驗(yàn)證數(shù)據(jù)之前，所述方法還包括：

25、根據(jù)隨機(jī)生成的隨機(jī)數(shù)序列，對(duì)所述簽名算法驗(yàn)證數(shù)據(jù)和所述交換協(xié)議驗(yàn)證數(shù)據(jù)進(jìn)行數(shù)據(jù)優(yōu)化。

26、在一種可能的實(shí)現(xiàn)方式中，所述完整性度量值包括：sm度量值和enclave度量值；所述客戶端為risc-v設(shè)備。

27、第二方面，本技術(shù)實(shí)施例提供了一種遠(yuǎn)程安全驗(yàn)證系統(tǒng)，應(yīng)用于服務(wù)器，所述系統(tǒng)，包括：

28、接收模塊，用于接收來(lái)自于客戶端的注冊(cè)數(shù)據(jù)；所述客戶端基于可信執(zhí)行環(huán)境運(yùn)行；

29、發(fā)送模塊，用于響應(yīng)于所述客戶端的安全驗(yàn)證請(qǐng)求，向所述客戶端發(fā)送所述服務(wù)器的簽名算法驗(yàn)證數(shù)據(jù)?以及交換協(xié)議驗(yàn)證數(shù)據(jù)?，以便于所述客戶端對(duì)所述服務(wù)器進(jìn)行身份安全性驗(yàn)證；所述簽名算法驗(yàn)證數(shù)據(jù)用于表征所述服務(wù)器的第一簽名公鑰的完整性；所述交換協(xié)議驗(yàn)證數(shù)據(jù)用于表征所述服務(wù)器的身份合法性；

30、驗(yàn)證模塊，用于在所述客戶端驗(yàn)證所述服務(wù)器的身份具備合法性后，根據(jù)來(lái)自于所述客戶端針對(duì)所述可信執(zhí)行環(huán)境的遠(yuǎn)程安全證明報(bào)告和所述注冊(cè)數(shù)據(jù)，對(duì)所述客戶端的所述可信執(zhí)行環(huán)境進(jìn)行安全驗(yàn)證。

31、第三方面，本技術(shù)實(shí)施例提供了一種電子設(shè)備，所述設(shè)備包括：處理器、存儲(chǔ)器以及系統(tǒng)總線；

32、所述處理器以及所述存儲(chǔ)器通過(guò)所述系統(tǒng)總線相連；

33、所述存儲(chǔ)器用于存儲(chǔ)一個(gè)或多個(gè)程序，所述一個(gè)或多個(gè)程序包括指令，所述指令當(dāng)被所述處理器執(zhí)行時(shí)使所述處理器執(zhí)行第一方面中任一可能的遠(yuǎn)程安全驗(yàn)證方法。

34、相較于現(xiàn)有技術(shù)，本技術(shù)具有以下有益效果：本技術(shù)實(shí)施例提供了一種遠(yuǎn)程安全驗(yàn)證方法、系統(tǒng)及電子設(shè)備。其方法應(yīng)用于服務(wù)器中，首先，服務(wù)器接收來(lái)自于客戶端的注冊(cè)數(shù)據(jù)，當(dāng)服務(wù)器對(duì)客戶端的安全驗(yàn)證請(qǐng)求響應(yīng)時(shí)，向客戶端發(fā)送服務(wù)器的簽名算法驗(yàn)證數(shù)據(jù)以及交換協(xié)議驗(yàn)證數(shù)據(jù)。其中，簽名算法驗(yàn)證數(shù)據(jù)可以表征服務(wù)器的第一簽名公鑰的完整性，且交換協(xié)議驗(yàn)證數(shù)據(jù)能夠表征服務(wù)器的身份合法性。因此，客戶端通過(guò)第一簽名公鑰，可以先確定服務(wù)器所發(fā)送的第一簽名公鑰是否完整。當(dāng)?shù)谝缓灻€完整時(shí)，進(jìn)一步通過(guò)第一簽名公鑰來(lái)驗(yàn)證交換協(xié)議驗(yàn)證數(shù)據(jù)，從而驗(yàn)證服務(wù)器的身份合法性，完成針對(duì)服務(wù)器的安全驗(yàn)證。

35、在客戶端驗(yàn)證服務(wù)器的身份具備合法性的情況下，服務(wù)器根據(jù)來(lái)自于客戶端的遠(yuǎn)程安全證明報(bào)告和注冊(cè)階段客戶端發(fā)送的注冊(cè)數(shù)據(jù)，對(duì)其內(nèi)部的可信執(zhí)行環(huán)境進(jìn)行安全驗(yàn)證。以此，服務(wù)器客戶端已注冊(cè)的情況下，通過(guò)簽名算法驗(yàn)證數(shù)據(jù)和交換協(xié)議驗(yàn)證數(shù)據(jù)向客戶端證明自身的身份安全性。同時(shí)，由于客戶端基于可信執(zhí)行環(huán)境運(yùn)行，利用可信執(zhí)行環(huán)境的遠(yuǎn)程證明機(jī)制，服務(wù)器還可以通過(guò)客戶端所反饋的遠(yuǎn)程安全證明報(bào)告以及注冊(cè)階段的注冊(cè)數(shù)據(jù)，直接驗(yàn)證客戶端的執(zhí)行環(huán)境的安全性，從而實(shí)現(xiàn)服務(wù)器與客戶端的遠(yuǎn)程雙向安全驗(yàn)證，不再需要依賴第三方安全驗(yàn)證平臺(tái)，消除了服務(wù)器與客戶端之間安全驗(yàn)證的安全隱患。