一種可信應(yīng)用程序的遠(yuǎn)程證明方法，可信應(yīng)用程序中的受保護(hù)代碼被隔離加載在作為可信執(zhí)行環(huán)境的目標(biāo)容器中；受保護(hù)代碼包括待執(zhí)行代碼，和目標(biāo)函數(shù)；包括：調(diào)用所述目標(biāo)函數(shù)在所述目標(biāo)容器中生成私鑰以及公鑰，并對(duì)生成的私鑰進(jìn)行加密，以及對(duì)加密后的私鑰進(jìn)行持久化存儲(chǔ)；加密的私鑰被設(shè)置了僅由目標(biāo)容器進(jìn)行解密的解密策略；通過第三方遠(yuǎn)程證明服務(wù)端向遠(yuǎn)程接收對(duì)象發(fā)起針對(duì)公鑰的遠(yuǎn)程證明，并在公鑰通過遠(yuǎn)程證明時(shí)，將公鑰發(fā)送至遠(yuǎn)程接收對(duì)象進(jìn)行持久化存儲(chǔ)；獲取待執(zhí)行代碼的執(zhí)行結(jié)果；該執(zhí)行結(jié)果由目標(biāo)容器基于解密出的私鑰進(jìn)行了簽名；將執(zhí)行結(jié)果發(fā)送至遠(yuǎn)程接收對(duì)象，由遠(yuǎn)程接收對(duì)象基于存儲(chǔ)的公鑰對(duì)執(zhí)行結(jié)果的簽名進(jìn)行驗(yàn)證。

技術(shù)領(lǐng)域

本說明書一個(gè)或多個(gè)實(shí)施例涉及區(qū)塊鏈技術(shù)領(lǐng)域，尤其涉及一種可信應(yīng)用程序的遠(yuǎn)程證明方法及裝置、電子設(shè)備。

背景技術(shù)

遠(yuǎn)程證明(Remote Attestation)，是一種硬件或者軟硬件獲得遠(yuǎn)程提供者或生產(chǎn)者的信任的方法，是可信計(jì)算的關(guān)鍵技術(shù)之一。例如，在實(shí)際應(yīng)用中，可以將可信應(yīng)用程序中的受保護(hù)代碼在可信執(zhí)行環(huán)境中進(jìn)行隔離，并且可以基于遠(yuǎn)程證明技術(shù)，在不泄露受保護(hù)代碼的基礎(chǔ)上，向遠(yuǎn)程接收對(duì)象證明這些受保護(hù)代碼的執(zhí)行結(jié)果為可信數(shù)據(jù)。

發(fā)明內(nèi)容

本說明書提出一種可信應(yīng)用程序的遠(yuǎn)程證明方法，所述可信應(yīng)用程序中的受保護(hù)代碼被隔離加載在作為可信執(zhí)行環(huán)境的目標(biāo)容器中；其中，所述受保護(hù)代碼包括待執(zhí)行代碼，和用于生成私鑰以及公鑰的目標(biāo)函數(shù)；所述方法包括：

調(diào)用所述目標(biāo)函數(shù)在所述目標(biāo)容器中生成私鑰以及公鑰，并對(duì)生成的私鑰進(jìn)行加密，以及對(duì)加密后的私鑰進(jìn)行持久化存儲(chǔ)；其中，加密的所述私鑰被設(shè)置了僅由所述目標(biāo)容器進(jìn)行解密的解密策略；

通過第三方遠(yuǎn)程證明服務(wù)端向遠(yuǎn)程接收對(duì)象發(fā)起針對(duì)所述公鑰的遠(yuǎn)程證明，并在所述公鑰通過遠(yuǎn)程證明時(shí)，將所述公鑰發(fā)送至所述遠(yuǎn)程接收對(duì)象進(jìn)行持久化存儲(chǔ)；所述遠(yuǎn)程接收對(duì)象為發(fā)布至區(qū)塊鏈的智能合約；

獲取所述待執(zhí)行代碼的執(zhí)行結(jié)果；其中，所述執(zhí)行結(jié)果由所述目標(biāo)容器基于解密出的所述私鑰進(jìn)行了簽名處理；

將所述執(zhí)行結(jié)果發(fā)送至所述遠(yuǎn)程接收對(duì)象，以由所述遠(yuǎn)程接收對(duì)象基于存儲(chǔ)的所述公鑰對(duì)所述執(zhí)行結(jié)果的簽名進(jìn)行驗(yàn)證，來確認(rèn)所述執(zhí)行結(jié)果是否為可信數(shù)據(jù)。

可選的，調(diào)用所述目標(biāo)函數(shù)在所述目標(biāo)容器中生成私鑰以及公鑰，包括：

響應(yīng)于所述待執(zhí)行代碼的執(zhí)行指令，調(diào)用所述目標(biāo)函數(shù)在所述目標(biāo)容器中生成私鑰以及公鑰；或者，

基于預(yù)設(shè)的調(diào)用周期，周期性調(diào)用所述目標(biāo)函數(shù)在所述目標(biāo)容器中生成私鑰以及公鑰。

可選的，通過第三方遠(yuǎn)程證明服務(wù)端向遠(yuǎn)程接收對(duì)象發(fā)起針對(duì)所述公鑰的遠(yuǎn)程證明，并在所述公鑰通過遠(yuǎn)程證明時(shí)，將所述公鑰發(fā)送至所述遠(yuǎn)程接收對(duì)象進(jìn)行持久化存儲(chǔ)，包括：

基于生成的所述公鑰創(chuàng)建遠(yuǎn)程證明憑證；

將所述遠(yuǎn)程證明憑證發(fā)送至所述第三方遠(yuǎn)程證明服務(wù)端，以由所述第三方遠(yuǎn)程證明服務(wù)端對(duì)所述遠(yuǎn)程證明憑證進(jìn)行驗(yàn)證；

獲取所述第三方遠(yuǎn)程證明服務(wù)端返回的驗(yàn)證結(jié)果；其中，所述驗(yàn)證結(jié)果由所述第三方遠(yuǎn)程證明服務(wù)端基于持有的私鑰進(jìn)行了簽名處理；

將所述驗(yàn)證結(jié)果以及生成的所述公鑰發(fā)送至所述遠(yuǎn)程接收對(duì)象，以由所述遠(yuǎn)程接收對(duì)象至少基于所述第三方遠(yuǎn)程證明服務(wù)端的公鑰對(duì)所述驗(yàn)證結(jié)果的簽名進(jìn)行驗(yàn)證，并在所述簽名驗(yàn)證通過后，將生成的所述公鑰在所述遠(yuǎn)程接收對(duì)象本地進(jìn)行持久化存儲(chǔ)。

可選的，所述可信執(zhí)行環(huán)境為基于SGX技術(shù)搭建的可信執(zhí)行環(huán)境；所述目標(biāo)容器為SGX技術(shù)中的Enclave程序；其中，加密后的所述私鑰的解密策略被設(shè)置為keypolicy-MRENCLAVE策略。