买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

龙图腾网获悉北京工业大学申请的专利一种基于SGX的跨域身份认证方法获国家发明授权专利权，本发明授权专利权由国家知识产权局授予，授权公告号为：CN116015970B 。

龙图腾网通过国家知识产权局官网在2025-10-03发布的发明授权授权公告中获悉：该发明授权的专利申请号/专利号为：202310023264.8，技术领域涉及：H04L9/40；该发明授权一种基于SGX的跨域身份认证方法是由王冠;李德成设计研发完成，并于2023-01-09向国家知识产权局提交的专利申请。

本一种基于SGX的跨域身份认证方法在说明书摘要公布了：一种基于SGX的跨域身份认证方法属于物联网身份认证领域，解决了边缘终端结点身份隐私暴露、会话不安全、安全认证复杂度高的技术问题。中心代理在Intel在线身份认证服务器上进行注册、完成可信认证并获得远程认证报告作为整个域间可信网络的可信根。各个可信域根据自身域内相关情况设立各自安全域中的域代理服务器，将边缘域代理与中心代理作为域间可信网络的节点。边缘可信域代理通过向中心代理进行注册与远程认证获得可信认证，两边缘域代理间通过双向远程认证实现可信状态的相互认证，以此实现信任传递和隐私保护。通过两边缘域代理建立的可信安全的通讯通道，完成数据请求终端结点与数据拥有结点的身份认证与密钥协商过程。

本发明授权一种基于SGX的跨域身份认证方法在权利要求书中公布了：1.一种基于SGX的跨域身份认证方法，其特征在于，域代理向中心代理注册过程如下：中心代理是在Intel认证服务器上进行注册过的实体，确保其完全可信，新加域代理与现存域代理均可以通过中心代理进行远程证明验证域代理的可信状态；新加入域代理EDPi注册是指域代理首先向中心代理CP提出注册请求，两者通过SGX远程证明完成双向认证以确定新加入域代理的可信性；具体流程步骤如下： 1新加入域代理EDPi向中心代理提出注册请求2中心代理CP对新加入域代理EDPi的软硬件环境进行验证，确认其能满足SGX应用运行的环境要求3新加入域代理EDPi创建本地Enclave，并向中心代理CP发送远程认证报告4中心代理CP通过向Intel认证服务器IAS发送新加入域代理EDPi的远程认证报告进行认证后，获取验证报告，确认新加入域代理EDPi是运行在可信平台上5中心代理CP与新加入域代理EDPi通过椭圆曲线Diffie‑Hellman即ECDH密钥交换算法进行密钥协商沟通会话密钥，建立安全的信息传输通道6新加入域代理EDPi将自身身份标识信息通过会话通道发送给中心代理CP7中心代理CP在Enclave中对新加入域代理EDPi的身份标识信息进行摘要并将摘要进行密封保存，同时将新加入域代理EDPi加入域代理注册表，完成新加入域代理EDPi的注册两域代理间进行信任构建采用SGX提供的远程证明技术，对于域代理EDPA向域代理EDPB提出访问请求时需进行双方的可信环境认证，由于域代理EDPB是服务提供者应已经通过在中心代理CP完成可信认证及注册，域代理EDPA向中心代理CP进行远程认证，证明自身在可信环境中运行，然后域代理EDPA向域代理EDPB发起验证域代理EDPB的可信状态的请求，域代理EDPB先向中心代理CP进行远程认证，确定域代理EDPB运行在可信的环境中后，再向域代理EDPA返回可信认证结果，完成域代理EDPA与域代理EDPB的双向认证的可信建立； 对于域A中域代理EDPA向中心代理CP进行远程认证的过程和域B中域代理EDPB向中心代理CP进行远程认证的过程相同，以域代理EDPA与中心代理CP的认证过程为例，具体流程步骤如下： 1域代理EDPA本地Enclave向中心代理CP发送一个初始请求，该请求包括平台声称当前是其成员的增强隐私ID组；中心代理CP向Intel认证服务器IAS请求更新的签名撤销列表SigRL为所声明组的成员提供服务；然后，中心代理CP构造一个挑战消息challenge message发送至域代理EDPA应用程序，以证明域代理EDPA运行在基于SGX保护的平台上，该挑战消息由服务提供商ID、随机动态码nonce、更新的签名撤销列表SigRL和一个可选的basename参数组成； 2域代理EDPA应用程序将挑战消息challenge message传递给域代理EDPAEnclave； 3域代理EDPAEnclave将调用EREPORT指令来创建一个针对平台报告Enclave QE的本地可验证报告REPORT；为了在域代理EDPAEnclave和域代理CP之间建立经过身份验证的安全通道，将新生成的临时公钥添加到本地可验证报告REPORT的用户数据字段中； 4域代理EDPA应用程序将本地可验证报告REPORT和中心代理CP的挑战消息challenge message都传递给域代理EDPA报告Enclave QE； 5域代理EDPA报告Enclave QE调用EGETKEY指令来获取本地可验证报告密钥REPORT KEY并验证报告REPORT，判断该Enclave是否运行于同一平台；若成功，则报告Enclave QE将再次调用EGETKEY指令来接收平台的认证密钥密封密钥Provisioning Seal Key，用来解密平台的远程认证密钥j即EPID私钥；并根据相应的签名模式和Intel认证服务器IAS的公钥生成报告QUOTE；其中报告QUOTE包含认证Enclave的身份、执行模式细节和其他数据； 6域代理EDPA应用程序将报告QUOTE转发给中心代理CP来进行验证； 7中心代理CP将报告QUOTE转发给Intel认证服务器IAS进行验证； 8Intel认证服务器IAS首先根据报告QUOTE的身份签名验证其增强隐私ID EPID证明； 然后，通过对身份签名的认证完成平台的有效性检查；然后Intel认证服务器IAS创建一个新的认证验证报告作为对中心代理CP的响应；认证验证报告包括平台为认证Enclave生成的报告QUOTE结构；正确的认证验证报告确认平台运行在SGX上的可信环境内，然后中心代理CP负责验证域代理EDPAEnclave标识，并向域代理EDPA发送认证结果； 对于跨域认证和密钥协商部分的设计，以A、B两个域进行边缘终端节点间的跨域间通讯，假设A域节点DA访问B域节点DB，通过域代理EDPB对域代理EDPA的认证间接实现域代理EDPB对域节点DA的认证，从而实现域节点DA的跨域认证，具体步骤如下： 1A域内域节点DA向B域内域代理EDPB发送访问请求2域代理EDPB收到访问请求后向域代理EDPA发起身份认证请求3域代理EDPA与域代理EDPB按照域代理间双向认证过程进行可信认证，通过椭圆曲线Diffie‑Hellman即ECDH密钥协商协议，沟通会话密钥4域代理EDPA在域内部对域节点DA进行身份验证，生成身份验证结果5域代理EDPA在Enclave中使用会话密钥对域节点DA的身份验证结果进行加密，发送至域代理EDPB6域代理EDPB对域代理EDPA发送的身份验证结果进行解密，确定域节点DA可信后，完成身份认证7域节点DA完成身份认证后可以进行跨域通讯；若域节点DA与域节点DB进行安全通讯，需要进一步进行密钥协商，采用SM2算法实现密钥协商； 8域节点DA生成一个私有的随机数a，通过SM2算法生成私钥ga并将对私钥ga签名后的消息发送至DB9域节点DB收到消息后验证签名得到ga，生成一个私有的随机数b，通过SM2算法生成私钥gb，并将对私钥gb签名后的消息发送给域节点DA10域节点DA收到消息后验证签名得到gb，域节点DA通过SM2算法计算gab得到会话密钥KS11域节点DB通过SM2算法计算gba得到会话密钥KS与域节点DA相同，至此域节点DA与域节点DB的安全会话完成建立。

如需购买、转让、实施、许可或投资类似专利技术，可联系本专利的申请人或专利权人北京工业大学，其通讯地址为：100124 北京市朝阳区平乐园100号；或者联系龙图腾网官方客服，联系龙图腾网可拨打电话0551-65771310或微信搜索“龙图腾网”。

以上内容由龙图腾AI智能生成。