[发明专利]一种设备身份的认证方法、装置、电子设备及存储介质

说明书

本申请公开了一种设备身份的认证方法、装置、电子设备及存储介质。方法包括：接收用户设备发送的身份认证请求；调用可信节点集合的各个可信节点执行身份认证请求对应的认证操作，得到可信节点集合对应的初始证明信息树；将初始证明信息树发送至用户设备，以使用户设备对初始证明信息树进行再次认证；接收用户设备发送的目标证明信息树，并将目标证明信息树存储至各个可信节点。本申请构建了树型层级结构的可信节点，并且在进行分布式作业之前，可信节点和用户设备之间进行身份认证操作，不但实现用户设备能够在云计算平台中进行分布式作业。同时使可信节点处于可信环境中，确保作业内容对于云计算平台可用不可见，保护了作业的机密性和完整性。

技术领域

本申请涉及云计算技术领域，尤其涉及一种设备身份的认证方法、装置、电子设备及存储介质。

背景技术

安全与可信是云计算中极为重要的需求，如何保护用户在云平台上托管的应用程序和数据的安全，防止云服务提供商和其他攻击者窃取用户机密数据，一直是个难题。一个可行的方案是使用机密计算技术实现一个可信执行环境(TEE)，使得数据始终保持加密和强隔离状态，从而确保了用户数据的安全和隐私。

2013年,Intel公司提出了新的处理器安全技术SGX(software guardextensions),能够在计算平台上提供一个用户空间的可信执行环境,保证用户关键代码及数据的机密性和完整性。SGX技术自提出以来,已成为云计算安全问题的重要解决方案。

在TEE研究领域，已经出现了诸如库操作系统LibOS、程序自动分割等易用性适配方式。以SGX为例，LibOS实施方案中，比较典型的包括Graphene、SCONE、Occlum等。

SGX提出了两种类型的身份认证方式:一种是平台内部enclave 间的认证,用来认证进行报告的enclave和自己是否运行在同一个平台上；另一种是平台间的远程认证,用于远程的认证者认证enclave的身份信息。

在分布式作业系统(例如MapReduce)中，需要节点之间两两进行远程身份认证，证明节点处于Occlum的可信运行环境中。两两之间需要建立可信通道，通信量大，结构复杂，同时构造可信的分布式作业系统时间长。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本申请提供了一种设备身份的认证方法、装置、电子设备及存储介质。

根据本申请实施例的一个方面，提供了一种设备身份的认证方法，应用于云计算平台，所述方法包括：

接收用户设备发送的身份认证请求，其中，所述身份认证请求用于请求认证部署在所述云计算平台中用于执行分布式计算的可信节点集合，所述可信节点集合中包括多个级联的可信节点；

调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作，得到所述可信节点集合对应的初始证明信息树，其中，所述初始证明信息树包括：各个可信节点对应的证明信息；

将所述初始证明信息树发送至所述用户设备，以使所述用户设备对所述初始证明信息树进行再次认证；

接收所述用户设备发送的目标证明信息树，并将所述目标证明信息树存储至所述各个可信节点，其中，所述目标证明信息树是所述用户设备对所述初始证明信息树进行再次认证后得到的。

进一步的，所述可信节点集合包括：可信根节点、可信中继节点以及可信叶节点，所述可信根节点与至少两个可信中继节点连接，所述可信中继节点用于与至少两个可信叶节点连接；

在调用所述可信节点集合的各个可信节点执行所述身份认证请求对应的认证操作之前，所述方法还包括：

基于预设密钥交换协议建立所述用户设备与所述可信根节点之间的第一传输信道，并生成第一密钥；