[发明专利]用于安全服务器通信的节点和方法

权利要求书

1.一种节点(100)，用于使客户端节点访问由网络中的另一个节点提供的可信服务，其特征在于，所述节点(100)用于：

签署(101)证书以证明公钥的所有权，

其中，所述公钥由所述另一个节点中的可信执行环境(trusted executionenvironment，TEE)的飞地拥有，并且待执行的用于向所述客户端节点提供所述可信服务的代码在所述飞地中受到保护；

使(102)签署证书对所述客户端节点可用。

2.根据权利要求1所述的节点(100)，其特征在于，所述证书的格式包括在根据X.509标准的认证协议之上的附加协议层。

3.一种系统(200)，用于使客户端节点访问由网络中的另一个节点提供的可信服务，其特征在于，所述系统(200)包括：

根据权利要求1或2所述的节点(202)；

另一个节点(203)，其中，所述另一个节点包括可信执行环境(trusted executionenvironment，TEE)，并且数据和待执行的用于向所述客户端节点提供所述可信服务的代码在所述飞地中受到保护；

所述另一个节点的管理员节点(204)；

认证颁发机构节点(201)。

4.根据权利要求3所述的系统(200)，其特征在于，

所述管理员节点(204)用于：

连接到所述飞地；

验证所述飞地的真实性；

向所述飞地提供所述另一个节点的证书的私钥；

所述另一个节点(203)用于：

生成随机公钥，并创建包括所述公钥哈希的签署报告；

连接到所述节点，并使用所述另一个节点的所述私钥向所述节点指示所述飞地属于所述另一个节点；

向所述节点提供所述签署报告；

所述节点(202)还用于：

通过在所述认证颁发机构节点(201)中使用增强隐私ID(enhanced privacy ID，EPID)算法，验证所述签署报告的真实性；

使用命名主题签署所述证书，其中，所述命名主题包括所述飞地的哈希值。

5.一种方法(300)，用于使客户端节点 访问由网络中的另一个节点提供的可信服务，其特征在于，所述方法(300)包括以下步骤：

节点签署(301)证书以证明公钥的所有权，其中，所述公钥由所述另一个节点中的可信执行环境(trusted execution environment，TEE)的飞地拥有，并且数据和待执行的用于向所述客户端节点提供所述可信服务的代码在所述飞地中受到保护；

所述节点使(302)签署证书对所述客户端节点可用。

6.根据权利要求5所述的方法(300)，其特征在于，还包括以下步骤：

所述另一个节点的管理员节点连接(401)到所述飞地；

所述管理员节点验证所述飞地的真实性；

所述管理员节点向所述飞地提供所述另一个节点的证书的私钥；

所述飞地生成(402)随机公钥，并创建包括所述公钥哈希的签署报告；

所述飞地连接(403)到所述节点，并使用所述另一个节点的所述私钥向所述节点指示所述飞地属于所述另一个节点；

所述飞地向所述节点提供(404)所述签署报告；

所述节点通过在认证颁发机构节点中使用增强隐私ID(enhanced privacy ID，EPID)算法，验证(405)所述签署报告的真实性；

所述节点签署所述证书以证明公钥的所有权的步骤包括使用命名主题签署(406)所述证书，其中，所述命名主题包括所述飞地的哈希值。

7.根据权利要求6所述的方法(300)，其特征在于，所述创建包括所述公钥哈希的签署报告是通过引用飞地执行的。

8.一种计算机程序产品，其特征在于，包括程序代码，用于控制根据权利要求1至4中任一项所述的节点，或者用于当在处理器上实施时执行根据权利要求5至7中任一项所述的方法。