应用验证方法及装置与流程

本说明书实施例涉及计算机，具体地，涉及应用验证方法及装置。

背景技术：

1、远程证明是一种校验可信应用（trusted application，ta）身份的常用方式，但是目前各种tee（trusted execution environment，可信执行环境）方案的远程证明的能力局限于解决对指定应用的信任问题。然而，在实际的业务场景中，往往需要多个可信应用共同合作来满足业务需求。

2、因此，需要一种合理、可靠的方案，能够解决相关联的多个可信应用之间相互信任的问题。

技术实现思路

1、本说明书实施例提供了应用验证方法及装置，使得证明服务端采用可信应用分组验证的方式，能将相关联的多个可信应用归入同一分组，为该同一分组内的可信应用颁发统一格式的身份凭证，以用于该同一分组内的可信应用之间进行通信时的身份认证，如此能够解决相关联的多个可信应用之间相互信任的问题。

2、第一方面，本说明书实施例提供了一种应用验证方法，由证明服务端执行，包括：接收目标分组内任意的第一应用发送的对身份凭证的第一获取请求；其中，所述目标分组包括相关联的多个可信应用，所述第一获取请求包括所述第一应用的应用身份证明；利用预先存储的所述目标分组的分组校验规则中所述第一应用的应用校验规则，对所述应用身份证明进行校验；响应于所述应用身份证明通过校验，生成并返回第一身份凭证，所述第一身份凭证包括所述目标分组的分组标识和所述应用身份证明中的至少部分信息，用于所述第一应用与所述目标分组内的其他应用进行通信时的身份认证。

3、在一些实施例中，在接收目标分组内任意的第一应用发送的对身份凭证的第一获取请求之前，还包括：接收管理员用户对所述目标分组的创建请求，其中包括相关联的多个应用各自的属性信息和应用校验规则，所述多个应用包括所述多个可信应用；为所述目标分组分配所述分组标识；生成并存储所述分组校验规则，其中包括所述分组标识和所述多个应用各自的属性信息和应用校验规则。

4、在一些实施例中，所述方法还包括：为所述目标分组生成第一密钥，所述第一密钥用于所述目标分组内的应用之间进行通信时建立安全通道；将所述第一密钥关联于所述分组标识进行存储。

5、在一些实施例中，所述方法还包括：对于所述目标分组内的各应用各自的开发者，生成对应于所述开发者的第二密钥，所述第二密钥用于所述目标分组内由所述开发者开发的应用之间进行通信时建立安全通道；将所述第二密钥关联于所述分组标识和所述开发者进行存储。

6、在一些实施例中，所述多个可信应用分布在多个可信执行环境tee平台中。

7、在一些实施例中，所述目标分组还包括，与所述多个可信应用相关联的若干非可信应用。

8、在一些实施例中，当所述第一应用为可信应用时，所述应用身份证明包括远程证明报告；当所述第一应用为非可信应用时，所述应用身份证明包括x.509格式的证书。

9、在一些实施例中，所述第一身份凭证的格式为以下中的任一项：x.509格式、jwt格式。

10、在一些实施例中，所述第一应用的应用校验规则包括真实的应用指纹，所述应用身份证明包括待校验的应用指纹；所述对所述应用身份证明进行校验，包括：对所述真实的应用指纹和所述待校验的应用指纹进行比对。

11、在一些实施例中，所述应用身份证明还包括待校验的以下至少一项：应用版本号、应用开发者签名。

12、在一些实施例中，所述返回第一身份凭证，包括：为所述第一身份凭证添加签名，返回添加签名后的所述第一身份凭证。

13、在一些实施例中，所述第一获取请求和所述第一身份凭证还包括所述第一应用的第一公钥；所述第一身份凭证中的所述第一公钥，用于所述第一应用与所述其他应用进行通信时建立安全通道。

14、在一些实施例中，所述目标分组配置有第一密钥；在返回第一身份凭证的同时，还包括：返回所述第一密钥，以用于所述第一应用与所述其他应用进行通信时建立安全通道。

15、在一些实施例中，所述目标分组内的各应用各自的开发者对应第二密钥；在返回第一身份凭证的同时，还包括：返回所述第一应用的开发者对应的第二密钥，以用于所述第一应用与所述目标分组内由该开发者开发的其他应用进行通信时建立安全通道。

16、在一些实施例中，所述方法还包括：接收挑战方的设备发送的对所述目标分组的分组认证报告的第二获取请求；响应于所述第二获取请求，获取所述目标分组内各应用各自的身份信息，所述身份信息基于其对应的应用的应用身份证明而确定；生成并返回分组认证报告，其中包括所述各应用各自的身份信息，以用于对所述各应用进行验证。

17、在一些实施例中，所述分组认证报告还包括所述证明服务端的身份信息，以用于对所述证明服务端进行验证。

18、第二方面，本说明书实施例提供了一种应用验证方法，由目标分组内任意的第一应用执行，所述目标分组包括相关联的多个可信应用，所述方法包括：向证明服务端发送对身份凭证的第一获取请求，其中包括所述第一应用的应用身份证明；接收所述证明服务端返回的第一身份凭证，其由所述证明服务端在利用所述第一应用的应用校验规则对所述应用身份证明校验通过后生成，所述应用校验规则包含在所述证明服务端预先存储的所述目标分组的分组校验规则中；所述第一身份凭证包括所述目标分组的分组标识和所述应用身份证明中的至少部分信息，用于所述第一应用与所述目标分组内的其他应用进行通信时的身份认证。

19、在一些实施例中，所述第一获取请求和所述第一身份凭证还包括所述第一应用的第一公钥；所述方法还包括：向所述目标分组内的第二应用发送对第一数据的获取请求，其中包括所述第一身份凭证；接收所述第二应用返回的密文第一数据和所述第二应用的第二身份凭证，所述密文第一数据由所述第二应用在对所述第一身份凭证校验通过后，利用所述第一公钥对所述第一数据进行加密而获得；在对所述第二身份凭证校验通过后，利用所述第一应用的第一私钥对所述密文第一数据进行解密。

20、在一些实施例中，所述方法还包括：接收所述证明服务端返回的所述目标分组的第一密钥；向所述目标分组内的第二应用发送对第一数据的获取请求，其中包括所述第一身份凭证；接收所述第二应用返回的密文第一数据和所述第二应用的第二身份凭证，所述密文第一数据由所述第二应用在对所述第一身份凭证校验通过后，利用所述第二应用侧的所述第一密钥对所述第一数据进行加密而获得；在对所述第二身份凭证校验通过后，利用所述第一密钥对所述密文第一数据进行解密。

21、在一些实施例中，所述方法还包括：接收所述证明服务端返回的对应于所述第一应用的开发者的第二密钥；向所述目标分组内由所述开发者开发的第三应用发送对第二数据的获取请求，其中包括所述第一身份凭证；接收所述第三应用返回的密文第二数据和所述第三应用的第三身份凭证，所述密文第二数据由所述第三应用在对所述第一身份凭证校验通过后，利用所述第三应用侧的所述第二密钥对所述第二数据进行加密而获得；在对所述第三身份凭证校验通过后，利用所述第二密钥对所述密文第二数据进行解密。

22、第三方面，本说明书实施例提供了一种应用验证装置，应用于证明服务端，包括：接收单元，被配置成接收目标分组内任意的第一应用发送的对身份凭证的第一获取请求；其中，所述目标分组包括相关联的多个可信应用，所述第一获取请求包括所述第一应用的应用身份证明；校验单元，被配置成利用预先存储的所述目标分组的分组校验规则中所述第一应用的应用校验规则，对所述应用身份证明进行校验；生成单元，被配置成响应于所述应用身份证明通过校验，生成并返回第一身份凭证，所述第一身份凭证包括所述目标分组的分组标识和所述应用身份证明中的至少部分信息，用于所述第一应用与所述目标分组内的其他应用进行通信时的身份认证。

23、第四方面，本说明书实施例提供了一种应用验证装置，应用于目标分组内任意的第一应用，所述目标分组包括相关联的多个可信应用，所述装置包括：发送单元，被配置成向证明服务端发送对身份凭证的第一获取请求，其中包括所述第一应用的应用身份证明；接收单元，被配置成接收所述证明服务端返回的第一身份凭证，其由所述证明服务端在利用所述第一应用的应用校验规则对所述应用身份证明校验通过后生成，所述应用校验规则包含在所述证明服务端预先存储的所述目标分组的分组校验规则中；所述第一身份凭证包括所述目标分组的分组标识和所述应用身份证明中的至少部分信息，用于所述第一应用与所述目标分组内的其他应用进行通信时的身份认证。

24、第五方面，本说明书实施例提供了一种计算机可读存储介质，其上存储有计算机程序，其中，当该计算机程序在计算机中执行时，令该计算机执行如第一方面和第二方面中任一实现方式描述的方法。

25、第六方面，本说明书实施例提供了一种计算设备，包括存储器和处理器，其中，该存储器中存储有可执行代码，该处理器执行该可执行代码时，实现如第一方面和第二方面中任一实现方式描述的方法。

26、第七方面，本说明书实施例提供了一种计算机程序产品，包括计算机程序/指令，该计算机程序/指令被处理器执行时实现如第一方面和第二方面中任一实现方式描述的方法。

27、本说明书的上述实施例提供的方案，由证明服务端接收目标分组内任意的第一应用发送的对身份凭证的第一获取请求；其中，目标分组包括相关联的多个可信应用，第一获取请求包括第一应用的应用身份证明。接着，证明服务端在利用预先存储的目标分组的分组校验规则中第一应用的应用校验规则，对该应用身份证明校验通过后，生成并返回第一身份凭证，该第一身份凭证包括目标分组的分组标识和该应用身份证明中的至少部分信息，用于第一应用与目标分组内的其他应用进行通信时的身份认证。由此，该方案使得证明服务端采用可信应用分组验证的方式，能将相关联的多个可信应用归入同一分组，为该同一分组内的可信应用颁发统一格式的身份凭证，以用于该同一分组内的可信应用之间进行通信时的身份认证，如此能够解决相关联的多个可信应用之间相互信任的问题。