一种通信认证方法、电子设备及存储介质与流程

本技术涉及网络可信安全，特别是涉及一种通信认证方法、电子设备及存储介质。

背景技术：

1、随着计算机技术的日渐成熟和普及，在通信安全上也越来越受到关注，如通信认证方法，为了完成通信两端的可信通信，通常在通信两端的交互流程进行认证。

2、对当前技术的研究和实践过程中，本技术的发明人发现，当前的通信认证仅仅对可信认证流程部分进行设定，并且没有统一的规定，导致通信认证结果不理想，不能形成可信通信环境，影响了通信的稳定性和可靠性。

技术实现思路

1、本技术主要解决的技术问题是提供一种通信认证方法、电子设备及存储介质，能够依据通信两端启动时所获取的可信启动证书和启动度量报告进行通信两端的通信认证，提高了通信认证的可靠性，形成可信通信环境，进而提高了通信的稳定性和可靠性。

2、为解决上述技术问题，本技术采用的一个技术方案是：提供一种通信认证方法，应用于可信管理中心，所述可信管理中心用于对通信两端进行通信认证，所述通信两端包括第一通信端和第二通信端，方法包括：响应于通信两端的通信请求，获取所述第一通信端的第一可信启动证书，以及所述第二通信端的第二可信启动证书；其中，所述第一可信启动证书和所述第二可信启动证书是在所述第一通信端和所述第二通信端在启动时与所述可信管理中心交互得到；根据所述第一可信启动证书和所述第二可信启动证书完成所述第一通信端和所述第二通信端的双向认证；获取所述第一通信端的第一启动度量报告和所述第二通信端的第二启动度量报告；根据所述第一启动度量报告和所述第二启动度量报告进行通信匹配，在匹配成功时，认证所述第一通信端和所述第二通信端可进行可信通信。

3、在本技术的一实施例中，所述第一可信启动证书和所述第二可信启动证书采用以下方式得到：在所述第一通信端和所述第二通信端启动时，获取验证连接公私钥，并通过所述验证连接公私钥和预设的aik证书建立通信两端与可信管理中心的验证连接；在所述验证连接下，获取第一通信端的第一验证信息，以及第二通信端的第二验证信息；对所述第一验证信息和所述第二验证信息进行验证，在验证结果可信时，分别获取所述第一可信启动证书和所述第二可信启动证书。

4、在本技术的一实施例中，所述根据所述第一可信启动证书和所述第二可信启动证书完成所述第一通信端和所述第二通信端的双向认证，包括：接收所述第一可信启动证书，并通过所述第一可信启动证书验证所述第一通信端，得到第一验证结果；接收所述第二可信启动证书，并通过所述第二可信启动证书验证所述第二通信端，得到第二验证结果；根据所述第一验证结果和所述第二验证结果完成所述第一通信端和所述第二通信端的双向认证。

5、在本技术的一实施例中，所述获取所述第一通信端的第一启动度量报告和所述第二通信端的第二启动度量报告，包括：在完成所述第一通信端和所述第二通信端的双向认证之后，获取所述第一通信端所提供的第一启动度量报告，以及所述第二通信端所提供的第二启动度量报告；通过所提供的第一启动度量报告确定所述第一通信端的可信状态，以及通过所提供的第二启动度量报告确定所述第二通信端的可信状态。

6、在本技术的一实施例中，所述根据所述第一启动度量报告和所述第二启动度量报告进行通信匹配，包括：利用所述第一通信端所提供的第一启动度量报告，和所述第一通信端在启动时所保存的第一启动度量报告进行度量报告匹配，得到第一度量报告匹配结果；利用所述第二通信端所提供的第二启动度量报告，和所述第二通信端在启动时所保存的第二启动度量报告进行度量报告匹配，得到第二度量报告匹配结果；在所述第一度量报告匹配结果和所述第二度量报告匹配结果匹配成功时，认证所述第一通信端和所述第二通信端可进行可信通信。

7、在本技术的一实施例中，获取所述第一通信端和所述第二通信端的启动次数；利用所述第一通信端在双向认证时所提供的第一可信启动证书，和所述第一通信端在启动时所获取的第一可信启动证书进行证书匹配，得到第一证书匹配结果；利用所述第二通信端在双向认证时所提供的第二可信启动证书，和所述第二通信端在启动时所获取的第二可信启动证书进行证书匹配，得到第二证书匹配结果；在所述第一度量报告匹配结果和所述第二度量报告匹配结果匹配成功，所述第一证书匹配结果和所述第二证书匹配结果匹配成功，以及在所述启动次数小于次数阈值时，认证所述第一通信端和所述第二通信端可进行可信通信。

8、为了解决上述技术问题，本技术采用的另一技术方案是：提供一种通信认证方法，应用于通信两端中任一通信端，所述通信两端包括第一通信端和第二通信端，所述第一通信端和所述第二通信端通过可信管理中心进行通信认证，所述方法包括：响应于所述第一通信端的通信请求，向所述可信管理中心发送第一可信启动证书，以使所述可信管理中心根据所述第一可信启动证书和所述第二通信端发送的所述第二可信启动证书完成所述第一通信端和所述第二通信端的双向认证；其中，所述第一可信启动证书和所述第二可信启动证书是在所述第一通信端和所述第二通信端在启动时与所述可信管理中心交互得到；响应于所述双向认证通过，向所述可信管理中心发送第一启动度量报告，以使所述可信管理中心根据所述第一启动度量报告和所述第二通信端发送的第二启动度量报告进行通信匹配；响应于所述可信管理中心发送的可信认证，与所述第二通信端进行可信通信。

9、在本技术一实施例中，还包括：获取所述第一通信端在启动时的第一启动度量报告和所述第二通信端在启动时的第二启动度量报告；根据所述第一启动度量报告确定所述第一通信端的第一验证信息，以及根据所述第二启动度量报告确定所述第二通信端的第二验证信息；将所述第一验证信息和所述第二验证信息通过所述可信管理中心进行验证，在验证结果可信时，分别获取所述第一通信端的第一可信启动证书和所述第二通信端的第二可信启动证书。

10、在本技术一实施例中，在将所述第一验证信息和所述第二验证信息通过所述可信管理中心进行验证之前，还包括：构建验证连接公私钥；根据所述验证连接公私钥和预设的aik证书建立通信两端与可信管理中心的验证连接，进而在所述验证连接下进行验证信息的验证。

11、在本技术一实施例中，在获取所述第一通信端的第一可信启动证书和所述第二通信端的第二可信启动证书之后，还包括：获取所述第一通信端的启动次数，以及获取所述第二通信端的启动次数；将所述第一通信端的启动次数、每次启动时所获取的第一可信启动证书和所述第一启动度量报告，以及所述第二通信端的启动次数、每次启动时所获取的第二可信启动证书和所述第二启动度量报告保存至所述可信管理中心。

12、在本技术一实施例中，所述第一通信端或所述第二通信端在每次启动时，需要重新获取对应的所述第一可信启动证书或所述第二可信启动证书。

13、为解决上述技术问题，本技术采用的再一技术方案是：提供一种电子设备，所述电子设备包括存储器以及与所述存储器耦接的处理器，所述存储器存储有至少一计算机程序，所述至少一计算机程序被所述处理器加载并执行时，用于实现如上述的通信认证方法。

14、为解决上述技术问题，本技术采用的又一技术方案是：提供一种计算机可读存储介质，所述计算机可读存储介质有至少一段程序，所述至少一段程序被处理器加载并执行时，用于实现如上述的通信认证方法

15、区别于当前技术，本技术提供的通信认证方法，应用于可信管理中心，可信管理中心用于对通信两端进行通信认证，通信两端包括第一通信端和第二通信端，通信认证方法包括：响应于通信两端的通信请求，获取第一通信端的第一可信启动证书，以及第二通信端的第二可信启动证书；第一可信启动证书和第二可信启动证书是在第一通信端和第二通信端在启动时与可信管理中心交互得到；根据第一可信启动证书和第二可信启动证书完成第一通信端和第二通信端的双向认证；获取第一通信端的第一启动度量报告和第二通信端的第二启动度量报告；根据第一启动度量报告和第二启动度量报告进行通信匹配，在匹配成功时，认证第一通信端和第二通信端可进行可信通信；即本技术能够根据通信两端的可信启动证书和启动度量报告进行通信两端启动时和数据交互前的通信认证，提高了通信认证的可靠性，形成可信通信环境，进而提高了通信的稳定性和可靠性。