[发明专利]数据处理

说明书

一种方法，包括：第一数据处理设备请求对第二数据处理设备的鉴证；第二数据处理设备根据设备特定密钥、第二数据处理设备的硬件配置以及在第二数据处理设备上运行的软件的软件配置，来生成设备特定鉴证消息；第二数据处理设备根据第一数据处理设备与第二数据处理设备借以进行交互的交互协议，来生成应用特定鉴证消息；第二数据处理设备将应用特定鉴证消息与设备特定鉴证消息以密码学方式绑定；第一数据处理设备对应用特定鉴证消息进行验证，验证步骤包括：通过验证与应用特定鉴证消息以密码学方式绑定的设备特定鉴证消息，来检测应用特定鉴证消息的受信任状态；并且第一数据处理设备根据经验证的应用特定鉴证消息，而依据交互协议与第二数据处理设备建立交互。

技术领域

本公开涉及数据处理。

背景技术

鉴证(Attestation)是一种数据处理技术，允许验证实体(例如数据处理设备)确定与该验证实体交互的另一个实体或数据处理设备的可信度和/或能力。例如，连接到运行特定软件服务的另一个设备的客户端设备可能需要能够验证该服务已经被正确实体化(instantiate)并且正在受信任的硬件实现的背景脉络下运行。类似地，IoT(物联网)服务可能需要能够确定连接到它的IoT设备的能力和/或可信度。

在以往提出的鉴证实施方式中，使用了需要在整个交互实体系统内整合(可能包括专用的硬件整合)的专用协议。目前存在大量这样的鉴证协议和系统，其中的每一者都依据个别的交互实体系统的具体需要来定制。这些垂直整合的协议被认为不大可能标准化、协调、或替换，并且可能甚至表示竞争系统之间的市场进入障碍。

随着安全系统变得越大越来且越来越普遍，此布置对于设备供应商而言要适应不断改变的市场可能变得昂贵且麻烦，此布置在不可改变的信任根是设备硬件的一部分且因此鉴证需要鉴证客户端的硬件特定的移植和实现时，对于软件供应商而言可能变得昂贵且麻烦，并且/或者此布置对于需要潜在地支持多种协议和交互系统的验证实体而言可能变得昂贵且麻烦。

发明内容

在一个示例布置中，提供了一种方法，包括：

第一数据处理设备请求对第二数据处理设备的鉴证；

该第二数据处理设备根据设备特定密钥、该第二数据处理设备的硬件配置以及在该第二数据处理设备上运行的软件的软件配置，来生成设备特定鉴证消息；

该第二数据处理设备根据该第一数据处理设备与该第二数据处理设备借以进行交互的交互协议，来生成应用特定鉴证消息；

该第二数据处理设备将该应用特定鉴证消息与该设备特定鉴证消息以密码学方式绑定；

该第一数据处理设备验证该应用特定鉴证消息，该验证步骤包括：通过验证与该应用特定鉴证消息以密码学方式绑定的该设备特定鉴证消息，来检测该应用特定鉴证消息的受信任状态；并且

该第一数据处理设备根据经验证的应用特定鉴证消息，根据该交互协议与该第二数据处理设备建立交互。

在另一个示例布置中，提供了一种数据处理设备，包括：

电路，用以存储设备特定密钥；

电路，用以响应于请求由第二数据处理设备进行鉴证的请求，而根据该设备特定密钥、该数据处理设备的硬件配置以及在该数据处理设备上运行的软件的软件配置来生成设备特定鉴证消息；

电路，用以根据该数据处理设备与该第二数据处理设备借以进行交互的交互协议，来生成应用特定鉴证消息；

电路，用以将该应用特定鉴证消息与该设备特定鉴证消息以密码学方式绑定。

在另一个示例布置中，提供了一种数据处理设备，包括：