本發(fā)明屬于網(wǎng)絡(luò)網(wǎng)關(guān)通信，具體涉及一種基于網(wǎng)關(guān)的異構(gòu)tee認證方法。

背景技術(shù)：

1、隨著信息技術(shù)的發(fā)展，在當(dāng)今的數(shù)字時代背景下，網(wǎng)絡(luò)空間的安全性問題不僅成為技術(shù)領(lǐng)域的焦點，更深刻影響著社會經(jīng)濟的穩(wěn)定與發(fā)展。隨著數(shù)據(jù)量的爆炸性增長及數(shù)據(jù)流通的加速，確保網(wǎng)絡(luò)數(shù)據(jù)的安全性、隱私性，已成為不容忽視的戰(zhàn)略任務(wù)。盡管技術(shù)進步帶來了前所未有的便利，但數(shù)據(jù)泄露、隱私侵犯等安全事件頻發(fā)，讓個人、企業(yè)乃至更廣泛的社會層面都深刻意識到數(shù)據(jù)保護的重要性，對數(shù)據(jù)傳輸?shù)募用芗夹g(shù)及數(shù)據(jù)存儲的安全性提出了更高要求。

2、在此趨勢推動下，硬件層面的安全技術(shù)得到了快速發(fā)展，如intel的softwareguard?extensions(sgx)，arm的trust?zone，以及海光的crypto?secure?virtualization(csv)和amd的secure?encrypted?virtualization(sev)等，均致力于打造可信執(zhí)行環(huán)境(trusted?execution?environments，tee)。tee通過提供一個隔離且受保護的計算區(qū)域，被廣泛應(yīng)用于增強不同類型關(guān)鍵基礎(chǔ)設(shè)施的安全性，包括可信監(jiān)控、安全節(jié)點構(gòu)建。目前已經(jīng)開展了一些利用tee保護關(guān)鍵基礎(chǔ)設(shè)施的工作，這些技術(shù)為用戶數(shù)據(jù)筑起了一道堅實的防線，確保了信息在處理過程中的保密性和完整性。然而，面對多樣化且獨立運作的tee生態(tài)系統(tǒng)，用戶在跨環(huán)境遷移或交互時，常面臨復(fù)雜的遠程認證流程，這不僅要求用戶具備一定的技術(shù)知識，還增加了額外的管理和運營負擔(dān)。雖然這些tee技術(shù)的原理層面十分近似，但是其細節(jié)和認證流程差異較大，并且很難讓各個廠商的tee之間能夠兼容，對于不同tee之間的可信通信是一個較為明顯的問題。即使是使用同一種tee技術(shù)的設(shè)備，它們也可能無法協(xié)同工作。原因是一個組織可以建立具有自己的信任根的證明服務(wù)，以支持所有具有tee功能的設(shè)備，但這種證明服務(wù)無法識別屬于其他組織的設(shè)備。如何完成對異構(gòu)tee之間安全通信信道的建立，是一個亟待解決的問題。

3、與此同時，transport?layer?security(tls)協(xié)議作為保障數(shù)據(jù)傳輸安全的標(biāo)準(zhǔn)，在保護網(wǎng)絡(luò)通信免遭竊聽、篡改和冒充方面發(fā)揮著核心作用。但如何高效地將tls與各類tee集成，以實現(xiàn)端到端的無縫安全防護，仍是一個亟待探索的領(lǐng)域。

4、因此，面對數(shù)字時代的安全挑戰(zhàn)，tee技術(shù)的發(fā)展為我們提供了強有力的保護手段，但要實現(xiàn)tee技術(shù)的廣泛應(yīng)用與深入融合，還需進一步研究如何解決異構(gòu)tee認證和安全信道建立以及與tls協(xié)議集成等難題。

技術(shù)實現(xiàn)思路

1、鑒于上述，本發(fā)明的目的是提供一種基于網(wǎng)關(guān)的異構(gòu)tee認證方法，通過設(shè)計和實現(xiàn)一個面向無服務(wù)計算的異構(gòu)認證網(wǎng)關(guān)(heterogeneous?authentication?networkgateway，hang)，以確保用戶數(shù)據(jù)在無服務(wù)計算環(huán)境中的傳輸和存儲的隱私性和安全性。具體目標(biāo)包括：(1)實現(xiàn)異構(gòu)認證網(wǎng)關(guān)：在客戶端和服務(wù)端分別部署由hang設(shè)計并開源的網(wǎng)關(guān)，包括子網(wǎng)關(guān)和主網(wǎng)關(guān)結(jié)構(gòu)，以支持不同類型的tee；(2)保障數(shù)據(jù)隱私和安全：利用tee技術(shù)和開源代碼，確保用戶數(shù)據(jù)在傳輸和存儲過程中的加密和隱私保護；(3)支持無服務(wù)計算架構(gòu)：實現(xiàn)與無服務(wù)計算框架的無縫集成，使用戶無需修改現(xiàn)有應(yīng)用程序即可使用hang網(wǎng)關(guān)進行安全通信；(4)提供開源審查：通過將網(wǎng)關(guān)代碼開源，供社區(qū)審查，確保系統(tǒng)的安全性和可信度。

2、為實現(xiàn)上述發(fā)明目的，本發(fā)明提供的技術(shù)方案如下：

3、本發(fā)明實施例提供的一種基于網(wǎng)關(guān)的異構(gòu)tee認證方法，包括以下步驟：

4、將各客戶端應(yīng)用分別部署在非tee或至少一種類型的tee中，并將各服務(wù)端應(yīng)用分別部署在至少一種類型的tee中或?qū)⒏鞣?wù)端應(yīng)用分別部署在包括非tee和至少一種類型的tee中；

5、對每個部署在tee的客戶端應(yīng)用配置客戶端子網(wǎng)關(guān)，將所有客戶端子網(wǎng)關(guān)和部署在非tee的客戶端應(yīng)用均連接到同一客戶端主網(wǎng)關(guān)，對每個部署在tee的服務(wù)端應(yīng)用配置服務(wù)端子網(wǎng)關(guān)，將所有服務(wù)端子網(wǎng)關(guān)和部署在非tee的服務(wù)端應(yīng)用均連接到同一服務(wù)端主網(wǎng)關(guān)；

6、在客戶端和服務(wù)端之間基于tls實現(xiàn)單向異構(gòu)tee認證或基于mtls實現(xiàn)雙向異構(gòu)tee認證，在認證過程中，通過服務(wù)端子網(wǎng)關(guān)或客戶端子網(wǎng)關(guān)將各自應(yīng)用所處tee的tee遠程證明相關(guān)信息嵌入到tls或mtls中，并通過客戶端主網(wǎng)關(guān)和服務(wù)端主網(wǎng)關(guān)進行監(jiān)聽和轉(zhuǎn)發(fā)，再由客戶端子網(wǎng)關(guān)或服務(wù)端子網(wǎng)關(guān)對接收到的tee遠程證明相關(guān)信息進行驗證，驗證通過后即完成了異構(gòu)tee認證和安全信道建立；其中tee遠程證明相關(guān)信息包括tee?quote和evidence，tee?quote包含用于證明服務(wù)端tee硬件設(shè)備的真實性和安全性的硬件信息，evidence包含應(yīng)用運行在tee中的狀態(tài)信息。

7、具體地，在單向異構(gòu)tee認證場景，對客戶端網(wǎng)關(guān)進行部署，包括：

8、對于單客戶端應(yīng)用場景，客戶端網(wǎng)關(guān)部署在與客戶端應(yīng)用相同的環(huán)境中，這里的客戶端網(wǎng)關(guān)包含了客戶端主網(wǎng)關(guān)和客戶端子網(wǎng)關(guān)的功能；對于多客戶端應(yīng)用場景，客戶端主網(wǎng)關(guān)部署在對多個客戶端應(yīng)用均可信的環(huán)境；

9、對客戶端主網(wǎng)關(guān)完成環(huán)境部署后，在客戶端主網(wǎng)關(guān)中進行配置，配置信息包括：用戶運行在服務(wù)端的應(yīng)用所支持的tee、應(yīng)用運行在該tee下的evidence、以及服務(wù)端子網(wǎng)關(guān)的網(wǎng)絡(luò)地址。

10、具體地，在單向異構(gòu)tee認證場景，對服務(wù)端網(wǎng)關(guān)進行部署，包括：

11、對于單服務(wù)端應(yīng)用場景，服務(wù)端網(wǎng)關(guān)部署在與服務(wù)端應(yīng)用相同的tee環(huán)境中，服務(wù)端網(wǎng)關(guān)包含了服務(wù)端主網(wǎng)關(guān)和服務(wù)端子網(wǎng)關(guān)的功能；對于多服務(wù)端應(yīng)用場景，服務(wù)端主網(wǎng)關(guān)部署在任意環(huán)境，服務(wù)端子網(wǎng)關(guān)部署在與對應(yīng)的服務(wù)端應(yīng)用相同的tee環(huán)境中；

12、對服務(wù)端主網(wǎng)關(guān)和子網(wǎng)關(guān)完成環(huán)境部署后，在服務(wù)端子網(wǎng)關(guān)中進行配置，配置信息包括：服務(wù)端應(yīng)用所處的tee。

13、具體地，在單向異構(gòu)tee認證場景的認證過程中，包括：

14、客戶端用戶發(fā)起連接建立請求，流量從客戶端應(yīng)用出發(fā)，經(jīng)過客戶端主網(wǎng)關(guān)，在客戶端主網(wǎng)關(guān)中再將流量轉(zhuǎn)發(fā)至服務(wù)端主網(wǎng)關(guān)，由服務(wù)端主網(wǎng)關(guān)進一步轉(zhuǎn)發(fā)至對應(yīng)的服務(wù)端子網(wǎng)關(guān)；服務(wù)端子網(wǎng)關(guān)接收到連接建立請求后，將包含服務(wù)端應(yīng)用的tee遠程證明相關(guān)信息的流量原路返回給客戶端主網(wǎng)關(guān)；客戶端主網(wǎng)關(guān)接收到返回流量后，將接收到的服務(wù)端應(yīng)用的tee遠程證明相關(guān)信息中的evidence和配置好的evidence進行比對、同時將tee?quote交由tee硬件廠商進行驗證；驗證通過后，繼續(xù)完成剩下的tls握手連接，客戶端和服務(wù)端共同協(xié)商出一個對稱密鑰用于后續(xù)會話通信。

15、具體地，在雙向異構(gòu)tee認證場景，對客戶端網(wǎng)關(guān)進行部署，包括：

16、對于單客戶端應(yīng)用場景，客戶端網(wǎng)關(guān)部署在與客戶端應(yīng)用相同的tee環(huán)境中，客戶端網(wǎng)關(guān)包含了客戶端主網(wǎng)關(guān)和客戶端子網(wǎng)關(guān)的功能；對于多客戶端應(yīng)用場景，客戶端主網(wǎng)關(guān)部署在任意環(huán)境，客戶端子網(wǎng)關(guān)部署在與對應(yīng)的客戶端應(yīng)用相同的tee環(huán)境中；

17、對客戶端主網(wǎng)關(guān)和子網(wǎng)關(guān)完成環(huán)境部署后，在客戶端子網(wǎng)關(guān)中進行配置，配置信息包括：用戶運行在服務(wù)端的應(yīng)用所支持的tee、應(yīng)用運行在該tee下的evidence、服務(wù)端子網(wǎng)關(guān)的網(wǎng)絡(luò)地址、以及客戶端應(yīng)用所處的tee。

18、具體地，在雙向異構(gòu)tee認證場景，對服務(wù)端網(wǎng)關(guān)進行部署，包括：

19、對于單服務(wù)端應(yīng)用場景，服務(wù)端網(wǎng)關(guān)部署在與服務(wù)端應(yīng)用相同的tee環(huán)境中，服務(wù)端網(wǎng)關(guān)包含了服務(wù)端主網(wǎng)關(guān)和服務(wù)端子網(wǎng)關(guān)的功能；對于多服務(wù)端應(yīng)用場景，服務(wù)端主網(wǎng)關(guān)部署在任意環(huán)境，服務(wù)端子網(wǎng)關(guān)部署在與對應(yīng)的服務(wù)端應(yīng)用相同的tee環(huán)境中；

20、對服務(wù)端主網(wǎng)關(guān)和子網(wǎng)關(guān)完成環(huán)境部署后，在服務(wù)端子網(wǎng)關(guān)中配置，配置信息包括：服務(wù)端所支持的tee、服務(wù)端應(yīng)用所處的tee。

21、具體地，在雙向異構(gòu)tee認證場景的認證過程中，包括：

22、客戶端用戶發(fā)起連接建立請求，流量從客戶端應(yīng)用出發(fā)，經(jīng)過客戶端子網(wǎng)關(guān)，客戶端子網(wǎng)關(guān)將流量轉(zhuǎn)發(fā)至客戶端主網(wǎng)關(guān)，在客戶端主網(wǎng)關(guān)中再將流量轉(zhuǎn)發(fā)至服務(wù)端主網(wǎng)關(guān)，由服務(wù)端主網(wǎng)關(guān)進一步轉(zhuǎn)發(fā)至對應(yīng)的服務(wù)端子網(wǎng)關(guān)；服務(wù)端子網(wǎng)關(guān)接收到連接建立請求后，將包含服務(wù)端應(yīng)用的tee遠程證明相關(guān)信息的流量原路返回給客戶端子網(wǎng)關(guān)；客戶端子網(wǎng)關(guān)接收到返回流量后，將接收到的服務(wù)端應(yīng)用的tee遠程證明相關(guān)信息中的evidence和配置好的evidence進行比對、同時將tee?quote交由tee硬件廠商進行驗證；驗證通過后，客戶端子網(wǎng)關(guān)將客戶端應(yīng)用的tee遠程證明相關(guān)信息返回給服務(wù)端子網(wǎng)關(guān)，流量經(jīng)客戶端主網(wǎng)關(guān)和服務(wù)端主網(wǎng)關(guān)返回至服務(wù)端子網(wǎng)關(guān)，服務(wù)端子網(wǎng)關(guān)接收到返回流量后，將接收到的客戶端應(yīng)用的tee遠程證明相關(guān)信息中的tee?quote交由tee硬件廠商進行驗證；驗證通過后，繼續(xù)完成剩下的mtls握手連接，客戶端和服務(wù)端共同協(xié)商出一個對稱密鑰用于后續(xù)會話通信。

23、具體地，在認證過程中，通過對tls或mtls中x509證書的擴展字段進行修改，根據(jù)不同的認證場景將包含tee?quote相關(guān)信息的字段嵌入到x509證書的擴展字段中，再將teequote相關(guān)信息從x509證書的擴展字段提取出來完成相關(guān)驗證。

24、具體地，在單向異構(gòu)tee認證場景，將客戶端主網(wǎng)關(guān)和子網(wǎng)關(guān)的源碼開源以供審計。

25、具體地，在雙向異構(gòu)tee認證場景，將客戶端主網(wǎng)關(guān)和子網(wǎng)關(guān)以及服務(wù)端主網(wǎng)關(guān)和子網(wǎng)關(guān)的源碼開源以供審計。

26、與現(xiàn)有技術(shù)相比，本發(fā)明具有的有益效果至少包括：

27、通過在客戶端和服務(wù)器端部署開源的異構(gòu)認證網(wǎng)關(guān)，實現(xiàn)高安全性和隱私保護的無感知通信，用戶無需修改現(xiàn)有應(yīng)用程序，僅需通過包含部署子網(wǎng)關(guān)和主網(wǎng)關(guān)的hang網(wǎng)關(guān)結(jié)構(gòu)進行消息收發(fā)即可完成遠程證明和數(shù)據(jù)加密傳輸。通過修改x509證書的擴展字段，將tee遠程證明相關(guān)信息嵌入其中，確?？蛻舳撕头?wù)端能夠通過證書驗證對方的tee有效性和真實性。在雙向認證場景中，利用tee技術(shù)和mtls雙向認證，能夠?qū)崿F(xiàn)零信任架構(gòu)，確保數(shù)據(jù)傳輸?shù)陌踩院屯暾浴Ｍ瑫r，通過將網(wǎng)關(guān)代碼開源以供審查，能增強系統(tǒng)可信度，并通過優(yōu)化網(wǎng)關(guān)性能，確保在無服務(wù)計算環(huán)境中提供高效穩(wěn)定的運行和靈活的擴展能力。