[发明专利]一种基于零信任和机密计算的统一身份认证平台

说明书

本发明涉及一种基于零信任和机密计算的统一身份认证平台，包括四个阶段，分别为：通信建立阶段、用户注册阶段、功能平台注册阶段和登陆与密钥协商阶段；其中，通信建立阶段用于对称密钥SK的协商，在用户和统一身份认证平台间建立可靠通信；用户注册阶段和功能平台注册阶段实现经由统一身份认证平台以及机密计算安全区验证的注册功能，构建匿名认证关系表的功能，得到合法用户和合法功能平台；登录和密钥协商阶段实现在合法用户和合法功能平台之间协商对称会话密钥的功能，该对称会话密钥将用于后续传输的隐私数据的加密。本发明的有益效果是：保证了数据在“运行态”的完整性和机密性；保证了认证过程的低开销、低时延，实现快速认证。

技术领域

本发明涉及机密计算领域，尤其涉及一种基于零信任和机密计算的统一身份认证平台。

背景技术

随着网络结构的复杂化和终端设备的多样化，IP网络更加容易受到大量新式攻击。而内部威胁占所有安全漏洞事件近75％，内部威胁的两大来源是数据泄露和特权滥用，带来的威胁分别占比62％和19％。在实际应用中，应用场景网络结构包含用户(U)、统一认证平台(UCP)、功能平台(FP)三个部分。用户向目标FP发送的请求经过UCP的合法认证后转发给FP进行确认接收。在这一过程中，由于用户的地理位置分散较广并且出于灵活性的考虑，无法对用户登录进行有效监管。认证过程一旦遭受中间人攻击、特权用户攻击、重放攻击以及恶意病毒感染攻击等恶意攻击后，用户和功能平台的隐私数据可能遭到窃取，从而对整个系统造成不可估量的损失。并且，通信过程中信道的开放性也给网络的安全性带来了更大的挑战，对数据在传输时的完整性、机密性和实时性也提出了更高的要求。在通信过程中，需要确保消息只能被网络中的合法接收者接收，因此，任何对数据的相关操作都必须经过认证，以确定身份的合法性。除此以外，攻击者可能通过病毒软件植入、劫持攻击等攻击方式来窃取UCP或FP存储的用户隐私数据，所造成的后果也是网络服务商和用户难以承受的，因此，必须为关键业务提供一个可信赖的安全执行环境。由此可见，设计一个能够抵抗内外部攻击、满足信息实时性等要求的身份认证协议，并且基于此构建出适用于IP网络的统一身份认证平台是十分必要的。

发明内容

本发明主要是解决认证过程中用户和功能平台之间的通信的不安全问题，尤其是针对来自内部用户的攻击的问题，提出了一种基于零信任和机密计算的统一身份认证平台。首先，本发明默认通信信道是不安全的，每个用户都是存在安全风险的。在此基础上，本发明自主设计了通信认证协议，在认证平台上部署机密计算环境在机密计算的可信执行环境(TTE)中存储主密钥，加密关键信息。在协议中，用户请求功能平台的注册、认证以及密钥协商过程中的关键数据通过主密钥加密，通信过程中的数据通过对称加密保护，既保证了数据以及认证过程的安全性，也最大限度降低了可信执行环境中的计算过程，有效保证了认证过程中的性能与安全。

此外，本发明还提出了零信任框架，利用机器学习，在原有的协议结构上增加了人脸识别、声音识别，IP以及设备限制等方法等方案，并将其部署在策略引擎中，用户请求过程中需要通过一系列认证限制，才能够与功能平台建立联系。

本发明提出的一种基于零信任和机密计算的统一身份认证平台，具体包括四个阶段，分别为：通信建立阶段、用户注册阶段、功能平台注册阶段和登陆与密钥协商阶段；

其中，通信建立阶段用于对称密钥SK的协商，在用户和统一身份认证平台间建立可靠通信；

用户注册阶段和功能平台注册阶段实现经由统一身份认证平台以及机密计算安全区验证的注册功能，构建匿名认证关系表的功能，得到合法用户和合法功能平台；

登录和密钥协商阶段实现在合法用户和合法功能平台之间协商对称会话密钥的功能，该对称会话密钥将用于后续传输的隐私数据的加密。

所述通信建立阶段，具体流程如下：

S11：在用户端生成随机数r₁，并获取当前时间戳TS₁；