[发明专利]用于证明分布服务的方法和设备

说明书

本发明涉及与分布在网络中的服务的系统的安全通信。为此，本发明提供了一种用于向网络中的客户端节点提供服务的节点，其中，所述节点用于：执行代码，用于在可信执行环境(Trusted Execution Envoronment，TEE)的飞地(enclave)中向所述客户端节点提供所述服务；执行所述飞地中的代码库，从而向所述客户端节点证明所提供服务的身份。在另一个实施例中，所述提供给所述客户端节点的服务是分布式服务，其中，包括多个邻居节点的协作结果；所述邻居节点直接连接到所述节点或通过其它中间节点连接到所述节点；所述代码库用于向所述客户端节点证明所述分布式服务的身份。

技术领域

本发明涉及通信领域，具体地，涉及与分布在网络中的服务的系统安全通信的方法和设备。

背景技术

可信执行环境，如英特尔的软件保护扩展(software guard extension，SGX)技术，是主处理器内部的一个安全区域，可确保在其中运行的应用具有以下属性：

1.代码不变性——受保护应用的逻辑不能更改。

2.数据保密性——无法访问应用数据。

3.证明——受保护应用能够向与其通信的第三方证明身份，即所述应用确实是在TEE中运行的特定程序。

SGX通过专用协议进行证明，通过该协议基于受保护代码和飞地生成签名报告。所述报告通常包含公钥的哈希，并且可以由英特尔的增强型隐私ID(enhanced privacy ID，EPID)系统进行验证。为了与第三方进行通信，所述飞地可以向所述第三方发送签名报告和公钥，从而验证所述报告的真实性；检查所述公钥的哈希等于所述报告中包含的哈希；然后使用所述公钥与所述飞地之间生成基于共享秘密的信道。

目前，证明协议适用于单个应用，但不适用于基于分布式服务或微服务的系统，正如现有技术的以下网络架构所示。

图1描述了一种网络服务器(web server，WS)。所述网络服务器是客户端可以访问的站点的前端。图中还包括应用服务器(application server，AS)和数据库服务器(database server，DB)。显然，应用提供的功能依赖于所有三个组件，而不仅仅是网络服务器本身。因此，网络服务器执行的与客户端建立信任的任何证明过程必须包括所有组件。换句话说，作为客户端要访问的前端的网络服务器必须说服所连接的客户端，表示所述网络服务器能够区分上述部署和其它部署，其中，组件WS或DB中的一个已被潜在不可信的组件替换。

图2描述了现有技术中分布式服务的另一种部署。这对SGX技术提供的现有证明协议构成了挑战。网络架构201中的TS1和TS2为两种可信服务。在部署时，所述应用应当能够区分上述拓扑和形式202的潜在恶意部署，其中，客户端可能无意中与虚假对TS1和TS2连接，仿效真实服务对TS1和TS2的服务和交互。

图3描述了现有技术中分布式服务的再一种部署。这也对SGX技术提供的现有证明协议构成了挑战。分布式服务的两个部署301和302在功能上是等效的，即使这两个部署具有不同的拓扑。这通常发生在应用的内外扩展过程中，以响应增加的负载，需要额外的模块。在拓扑301中，负载均衡器(load balancer，LB)扮演客户端可访问的前端的角色，在两个网络服务器(web server，WS)上分配负载，而拓扑302使用运行相同代码的额外网络服务器来应对负载增加。因此，两个部署301和302可以是相同应用在两个不同时间的两个实例，因此应被视为相同模式的两个合法实例。

目前唯一现有的证明机制是SGX提供的上述机制，但是仅适用于单个应用。该机制不提供分布式应用的解决方案，其中，所述分布式应用包括一个以上的相互通信的飞地。

发明内容