信息认证方法和数据访问方法、系统和电子设备与流程

1.本技术涉及信息处理领域，具体而言，涉及一种信息认证方法和数据访问方法、系统和电子设备。


背景技术：

2.目前，客户端的身份是安全访问服务边界(secure access service edge，简称为sase)系统中保证系统数据安全的核心要素，保护身份的安全是系统整体安全的根基。
3.在相关技术中，通常是由客户端(比如，软件)收集、生成的客户端的登录信息(比如，身份信息)，但是，上述方法生成的登录信息容易被伪造，从而使攻击者骗过基于身份的认证，导致信息服务系统被攻击，进而导致存在信息认证的安全性低的技术问题。
4.针对上述的问题，目前尚未提出有效的解决方案。


技术实现要素：

5.本技术实施例提供了一种信息认证方法和数据访问方法、系统和电子设备，以至少解决信息认证的安全性低的技术问题。
6.根据本技术实施例的一个方面，提供了一种信息认证方法。该方法可以包括：响应于来自信息服务系统的信息验证请求，对信息验证请求中的访问凭据进行验证，得到验证结果，其中，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境；响应于验证结果为登录信息和可信执行环境有效，生成验证通过消息，以使信息服务系统响应于验证通过消息向客户端发送与登录信息相匹配的访问数据。
7.根据本技术实施例的另一方面，还提供了一种数据访问方法。该方法可以包括：向身份源系统发送信息验证请求，其中，信息验证请求包括用于使客户端进行访问的访问凭据，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境；在身份源系统响应于信息验证请求，验证登录信息和可信执行环境有效的情况下，向客户端发送与登录信息相匹配的访问数据。
8.根据本技术实施例的另一方面，还提供了另一种数据访问方法。该方法可以包括：向信息服务系统发送访问凭据，其中，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境，包括访问凭据的信息验证请求由信息服务系统发送至身份源系统；在身份源系统响应于信息验证请求，验证登录信息和可信执行环境有效的情况下，接收来自信息服务系统的与登录信息相匹配的访问数据。
9.根据本技术实施例的另一方面，还提供了一种数据访问系统。该系统可以包括：客户端、信息服务系统和身份源系统，其中，客户端，用于获取访问凭据，其中，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境；信息服务系统，用于向身份源系统发送包括访问凭据的信息验证请求；身份源系统，用于响应于信息验证请求，对访问凭据进行验证，得到验证结果，且响应于验证结果为登录信息和可信执行环境有效，生成验证通过消息；其中，信息服务系统用于响应于验证通过消息，向客户端发送与登录信息相匹配
的访问数据。
10.根据本技术实施例的另一方面，还提供了一种电子设备，电子设备可以包括存储器和处理器；存储器用于存储计算机可执行指令，处理器用于执行计算机可执行指令，上述计算机可执行指令被处理器执行时，实现上述任意一项方法。
11.根据本技术实施例的另一方面，还提供了一种处理器，处理器用于运行程序，其中，在程序运行时执行上述任意一项方法。
12.根据本技术实施例的另一方面，还提供了一种计算机可读存储介质，计算机可读存储介质包括存储的程序，其中，在程序运行时控制存储介质所在设备执行上述任意一项方法。
13.在本技术实施例中，响应于来自信息服务系统的信息验证请求，对信息验证请求中的访问凭据进行验证，得到验证结果，其中，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境；响应于验证结果为登录信息和可信执行环境有效，生成验证通过消息，以使信息服务系统响应于验证通过消息向客户端发送与登录信息相匹配的访问数据。也即，在本技术实施例中，结合可信执行环境、在身份源系统侧，将客户端的登录信息(可以标识用户身份)与可信执行环境(可以为特定硬件执行环境)进行绑定，得到访问信息服务系统的访问凭据，从而为信息服务系统提供可信的身份验证能力，使攻击者即使盗取客户端的访问凭据，也无法在非绑定的环境中通过身份认证，进而达到了提高信息认证的安全性的技术效果，解决了信息认证的安全性低的技术问题。
14.容易注意到的是，上面的通用描述和后面的详细描述仅仅是为了对本技术进行举例和解释，并不构成对本技术的限定。
附图说明
15.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
16.图1是根据本技术实施例的一种用于实现信息认证方法的计算机终端(或移动设备)的硬件结构框图；
17.图2是根据本技术实施例的一种计算环境的结构框图；
18.图3是根据本技术实施例的一种信息认证方法的流程图；
19.图4是根据本技术实施例的一种数据访问方法的流程图；
20.图5是根据本技术实施例的另一种数据访问方法的流程图；
21.图6是根据本技术实施例的一种数据访问系统的示意图；
22.图7是根据本技术实施例的一种增强身份认证方法的流程图；
23.图8是根据本技术实施例的一种信息认证装置的示意图；
24.图9是根据本技术实施例的一种数据访问装置的示意图；
25.图10是根据本技术实施例的另一种数据访问装置的示意图
26.图11是根据本技术实施例的一种计算机终端的结构框图；
27.图12是根据本技术实施例的一种信息认证方法的电子设备的框图。
具体实施方式
28.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
29.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
30.首先，在对本技术实施例进行描述的过程中出现的部分名词或术语适用于如下解释：
31.可信执行环境(trusted execut ion environment，简称为tee)，可以为在设备上一个独立于不可信操作系统而存在的可信的、隔离的、独立的执行环境，用于为不可信环境中的隐私数据和敏感计算提供一个安全而机密的空间；
32.安全访问服务边界(secure access service edge，简称为sase)，可以为一种安全模型或框架，用于将软件定义广域网和零信任安全解决方案整合到一个融合云交付平台；
33.安全加密虚拟化技术(secure encrypted virtual izat ion，简称为sev)，可以用于使主内存控制器具备加密功能以对虚拟机内存数据进行保护；
34.架构扩展(trust domain extens ions，简称为tdx)，可以为可扩展处理器中支持机密计算的新框架扩展，允许在具有加密中央处理器状态和内存中，完整性保护和远程证明的安全仲裁模式中部署虚拟机，可以为基于虚拟化的可信执行环境技术；
35.可信执行环境(trusted execut ion environment，简称为tee)，可以为一种具有运输和储存功能，能提供安全性和完整性保护的独立处理环境；
36.软件防护扩展(software guard extens ions，简称为sgx)，可以为一组安全相关的指令，可以内置于中央处理器中；
37.可信平台模块(trusted platform module，简称为tpm)，可以为一项安全密码处理器的国际标准，用于使用设备中集成的专用微控制器处理设备中的加密密钥。
38.实施例1
39.根据本技术实施例，提供了一种信息认证方法，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
40.本技术实施例一所提供的信息认证方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1是根据本技术实施例的一种用于实现信息认证方法的计算机终端(或移动设备)的硬件结构框图。如图1所示，计算机终端10(或移动设备)可以包括一个
或多个(图中采用102a、102b，
……
，102n来示出)处理器102(处理器102可以包括但不限于微处理器(micro control ler unit，简称为mcu)或可编程逻辑器件(field programmable gate array，简称为fpga)等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。除此以外，还可以包括：显示器、输入/输出接口(i/o接口)、通用串行总线(universal serial bus，简称为usb)端口(可以作为bus总线的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。
41.应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本技术实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
42.存储器104可用于存储应用软件的软件程序以及模块，如本技术实施例中的信息认证方法对应的程序指令/数据存储装置，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的信息认证方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
43.传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(network interface control ler，简称为nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(radio frequency，简称为rf)模块，其用于通过无线方式与互联网进行通讯。
44.显示器可以例如触摸屏式的液晶显示器(liquid crystal display，简称为lcd)，该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。
45.图1示出的硬件结构框图，不仅可以作为上述计算机终端10(或移动设备)的示例性框图，还可以作为上述服务器的示例性框图，一种可选实施例中，图2以框图示出了使用上述图1所示的计算机终端10(或移动设备)作为计算环境201中计算节点的一种实施例。图2是根据本技术实施例的一种计算环境的结构框图，如图2所示，计算环境201包括运行在分布式网络上的多个(图中采用210-1，210-2，
…
,来示出)计算节点(如服务器)。计算节点都包含本地处理和内存资源，终端用户202可以在计算环境201中远程运行应用程序或存储数据。应用程序可以作为计算环境201中的多个服务220-1，220-2，220-3和220-4进行提供，分别代表服务“a”，“d”，“e”和“h”。
46.终端用户202可以通过客户端上的web浏览器或其他软件应用程序提供和访问服务，在一些实施例中，可以将终端用户202的供应和/或请求提供给入口网关230。入口网关230可以包括一个相应的代理来处理针对服务(计算环境201中提供的一个或多个服务)的供应和/或请求。
47.服务是根据计算环境201支持的各种虚拟化技术来提供或部署的。在一些实施例中，可以根据基于虚拟机(virtual machine，简称为vm)的虚拟化、基于容器的虚拟化和/或类似的方式提供服务。基于虚拟机的虚拟化可以是通过初始化虚拟机来模拟真实的计算机，在不直接接触任何实际硬件资源的情况下执行程序和应用程序。在虚拟机虚拟化机器的同时，根据基于容器的虚拟化，可以启动容器来虚拟化整个操作系统(operat ing system，简称为os)，以便多个工作负载可以在单个操作系统实例上运行。
48.在基于容器虚拟化的一个实施例中，服务的若干容器可以被组装成一个计算单元(例如，kubernetes pod)。举例来说，如图2所示，服务220-2可以配备一个或多个计算单元(pod)pod240-1,240-2，
…
，240-n(统称为pod)。pod可以包括代理245和一个或多个容器242-1,242-2，
…
，242-m(统称为容器)。pod中一个或多个容器处理与服务的一个或多个相应功能相关的请求，代理245通常控制与服务相关的网络功能，如路由、负载均衡等。其他服务也可以配备类似于pod的pod。
49.在操作过程中，执行来自终端用户202的用户请求可能需要调用计算环境201中的一个或多个服务，执行一个服务的一个或多个功能可能需要调用另一个服务的一个或多个功能。如图2所示，服务“a”220-1从入口网关230接收终端用户202的用户请求，服务“a”220-1可以调用服务“d”220-2，服务“d”220-2可以请求服务“e”220-3执行一个或多个功能。
50.上述的计算环境可以是云计算环境，资源的分配由云服务提供上管理，允许功能的开发无需考虑实现、调整或扩展服务器。该计算环境允许开发人员在不构建或维护复杂基础设施的情况下执行响应事件的代码。服务可以被分割完成一组可以自动独立伸缩的功能，而不是扩展单个硬件设备来处理潜在的负载。
51.需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),比如，气象预告结果等数据，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准，并提供有相应的操作入口，供用户选择授权或者拒绝。
52.在上述运行环境下，本技术从身份源系统侧提供了一种信息认证方法。图3是根据本技术实施例的一种信息认证方法的流程图。如图3所示，该方法可以包括以下步骤：
53.步骤s302，响应于来自信息服务系统的信息验证请求，对信息验证请求中的访问凭据进行验证，得到验证结果，其中，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境。
54.在本技术上述步骤s304提供的技术方案中，身份源系统可以接收到来自信息服务系统的信息验证请求，响应于信息验证请求，可以对信息验证请求中的访问凭据进行验证，得到验证结果。其中，信息验证请求可以用于请求身份源系统(可以简称为身份源)对访问凭据进行验证，信息验证请求可以包括客户端用于访问信息服务系统(简称为信息系统)的访问凭据。客户端可以为客户端软件、用户的使用端等，此处仅为举例说明，不对客户端做具体限制。访问凭据可以用于表征客户端的登录信息和客户端所处设备的可信执行环境，可以为携带秘密信息指纹的证明，访问凭据的表现形式可以为登录口令、令牌(token)等，此处仅为举例说明，不对访问凭据的名称和表现形式做具体限制。登录信息用于标识用户身份。客户端所处的设备可以为特定硬件设备，比如，可以为支持可信执行环境的设备。可
信执行环境可以为硬件执行环境，在该实施例中，可以为特定硬件执行环境。验证结果可以用于表征对访问凭据验证有效或者验证无效的验证结果。
55.可选地，当身份源系统需要对访问凭据进行验证时，信息服务系统可以向身份源系统发起信息验证请求，以请求验证访问凭据。身份源系统接收来自信息服务系统的信息验证请求。响应于信息验证请求，可以对访问凭据中的登录信息和可信执行环境进行验证，得到验证结果。
56.举例而言，身份源系统接收到来自信息服务系统的信息验证请求，响应于信息验证请求，可以向身份源系统的远程证明服务，比如，可信执行环境证明服务(tee证明服务)，验证访问凭据中的可信执行环境是否有效。
57.步骤s306，响应于验证结果为登录信息和可信执行环境有效，生成验证通过消息，以使信息服务系统响应于验证通过消息向统向客户端发送与登录信息相匹配的访问数据。
58.在本技术上述步骤s306提供的技术方案中，身份源系统对访问凭据进行验证，响应于验证结果为登录信息和可信执行环境有效，则可以生成验证通过消息。信息服务系统响应于验证通过消息，向客户端发送与登录信息相匹配的访问数据。其中，访问数据可以为由客户端在可信执行环境下接收的数据，可以为与客户端的登录信息相匹配的数据，比如，登录信息为“张三”与登录信息相匹配的访问数据可以为“张三”所在小组中的访问数据，此处仅为举例说明，不对访问数据做具体限制。
59.可选地，若身份源系统对访问凭据进行验证，得到的验证结果有效，则可以将有效的验证结果下发至信息服务系统中，以使信息服务系统响应于验证通过消息，向客户端发送与登录信息相匹配的访问数据。
60.举例而言，身份源系统对访问凭据中的登录信息和可信执行环境进行验证，如果登录信息和可信执行环境与验证数据匹配，则可以得到为登录信息和可信执行环境有效的验证结果，可以将验证结果返回至信息服务系统中，信息服务系统可以根据登录信息验证客户端对应的权限，在验证通过后，可以将与登录信息相匹配的访问数据发送至客户端中。其中，验证数据可以为预先设定的数据，此处不对验证数据的内容做具体限制。
61.在该实施例中，可以对访问凭据进行验证，如果访问凭据通过远程证明服务的验证，则可以证明访问凭据中的登录信息时真实有效的，则可以控制信息服务系统向客户端发送与登录信息相匹配的访问数据。
62.在本技术实施例中，结合可信执行环境、在身份源系统侧，将客户端的登录信息与可信执行环境进行绑定，得到访问信息服务系统的访问凭据，从而为信息服务系统提供可信的身份验证能力，使攻击者即使盗取客户端的访问凭据，也无法在非绑定的环境中通过身份认证，进而达到了提高信息认证的安全性的技术效果，解决了信息认证的安全性低的技术问题。
63.下面对该实施例的上述方法进行进一步的介绍。
64.作为一种可选的实施方式，该方法还可以包括：响应于来自客户端的信息创建请求，创建登录信息的第一密钥信息，其中，第一密钥信息用于与可信执行环境进行绑定，绑定后的第一密钥信息用于生成访问凭据。
65.在该实施例中，身份源系统可以接收来自客户端的信息创建请求，当接收到来自客户端的信息创建请求，响应于信息创建请求，可以创建登录信息的第一密钥信息，可以将
第一密钥信息与指定环境进行绑定，以生成访问凭据。其中，信息创建请求可以为用户创建请求，可以用于请求创建客户端的登录信息的第一密钥信息。第一密钥信息可以称为秘密信息或用户密钥，可以为基于客户端的登录信息生成，其可以为指定长度的随机数据，比如，可以为由一串随机数生成的二进制文件0101110，需要说明的是，此处仅为举例说明，不对第一密钥信息的内容、长度和表现形式做具体限制。
66.在该实施例中，身份源系统可以接收来自客户端的信息创建请求，响应于信息创建请求，可以创建登录信息的第一密钥信息，通过第一密钥信息将登录信息与可信执行环境进行绑定，绑定后的第一密钥信息可以用于生成访问凭据，从而使得客户端可以通过访问凭据，在支持可信执行环境的设备上访问信息服务系统，并获取信息服务系统中的访问数据，在这种情况下，即使攻击者盗取了访问凭据，也无法在其他设备上进行使用，进而达到了提高系统整体安全性的目的。
67.举例而言，部署在支持可信执行环境的设备上的客户端向身份源系统发起信息创建请求，用于请求身份源系统创建登录信息的第一密钥信息，响应于信息创建请求，可以创建登录信息的第一密钥信息。
68.作为一种可选的实施方式，将第一密钥信息返回至客户端，其中，第一密钥信息由客户端调用设备的可信执行环境接口与可信执行环境进行绑定。
69.在该实施例中，可以响应于信息创建请求，创建登录信息的第一密钥信息，可以将创建的第一登录信息返回至客户端。客户端可以调用设备的可信执行环境接口(简称为tee接口)对身份源系统返回的第一密钥信息进行密封，从而达到将第一密钥信息与可信执行环境进行绑定的目的。
70.可选地，可以将第一密钥信息返回至客户端。客户端可以调用设备的可信执行环境接口密封身份源系统返回的第一密钥信息，从而将第一密钥信息与可信执行环境进行绑定。
71.需要说明的是，将登录信息与可信执行环境进行绑定的初始化过程，后续使用过程可以不用再重复绑定。
72.作为一种可选的实施方式，获取信息校验端响应信息校验请求，对信息创建请求进行校验而得到的校验结果；响应于校验结果为对信息创建请求校验成功，允许响应于所述信息创建请求，创建所述登录信息的第一密钥信息。
73.在该实施例中，可以向信息校验端发送信息校验请求，信息校验端响应于信息校验请求，可以对信息创建请求进行校验，得到校验结果，确定校验结果是否为对信息创建请求校验成功，响应于校验结果为对信息创建请求校验成功，可以允许响应于信息创建请求，创建登录信息的第一密钥信息。其中，信息校验端可以为管理员、审核员等，此处仅为举例说明，不对信息校验端做具体限制。
74.可选地，当接收到来自客户端的信息创建请求时，身份源系统向信息校验端发送信息校验请求，以通知管理员审核信息创建请求。信息校验端响应于信息校验请求，对信息创建请求进行校验，得到校验结果。如果管理员确认信息创建请求无误后，确定校验结果为对信息创建请求校验成功，响应于校验结果为对信息创建请求校验成功，可以批准信息创建请求，允许响应于信息创建请求，创建登录信息的第一密钥信息。
75.举例而言，可以向信息校验端发送信息校验请求。在信息服务系统中可以以表单
的形式提交信息创建请求(又可以称为用户注册请求)，信息创建请求中可以包含客户端名、邮箱、网卡媒体存取控制(media access control，简称为mac)地址等客户端和设备信息等，管理员响应于信息校验请求，可以在信息服务系统中基于注册信息对信息创建请求进行校验，得到校验结果。响应于校验结果为对信息创建请求校验成功，可以批准信息创建请求创建登录信息的第一密钥信息，响应于校验结果为对信息创建请求校验失败，可以拒绝信息创建请求创建登录信息的第一密钥信息。其中，注册信息可以为客户端在注册时提供的信息，可以包括用户名、设备序列号、网卡媒体存取控制地址等信息，此处仅为举例说明，不对信息创建请求和注册信息中的内容做具体限制。
76.作为一种可选的实施方式，验证通过消息包括登录信息，登录信息用于使信息服务系统匹配登录信息所属访问权限下的访问数据。
77.在该实施例中，响应于接收到来自信息服务系统的信息验证请求，可以对信息服务系统中的访问凭据进行验证，响应于验证结果为登录信息和可信执行环境有效，可以向信息服务系统发送创建的登录信息，可以基于登录信息使信息服务系统匹配登录信息所属访问权限下的访问数据。其中，登录信息所属访问权项可以为客户端权限，又可以称为用户权限或用户身份执行权限。
78.可选地，可以响应于接收到来自信息服务系统的信息验证请求，可以对信息服务系统中的访问凭据进行验证，响应于验证结果为登录信息和可信执行环境有效，可以向信息服务系统发送创建的登录信息，基于登录信息可以使信息服务系统匹配登录信息所属访问权限下的访问数据。比如，登录信息可以用于与客户端的用户身份执行权限进行匹配。
79.举例而言，信息服务系统中的匹配策略为登录信息为张三，则所属访问权限智能为测试组中的数据。获取到验证结果为登录信息和可信执行环境有效，响应于验证结果为登录信息和可信执行环境有效，可以向信息服务系统发送创建的登录信息，信息服务系统可以根据预先设定好的匹配策略，确定与登录信息匹配的访问权限下的访问数据，可以将访问权限下的访问数据发送至客户端中。
80.在该实施例中，由于纯软件方案采集的访问凭据来源缺乏可信度，使攻击者能够很容易的伪造从而绕过对客户端的访问凭据进行验证的过程。在本技术实施例中，结合可信执行环境可以将指定数据与设备(又可以称为硬件)绑定的能力，使客户端的登录信息只能使用特定设备访问，从而避免因访问凭据被盗导致的身份冒用问题，进而达到了提高信息认证的安全性的技术效果，解决了信息认证的安全性低的技术问题。
81.作为一种可选的实施方式，登录信息与访问凭据中的签名数据相匹配，签名数据为基于可信执行环境的第二密钥信息，对与可信执行环境绑定后的第一密钥信息进行数字签名得到。
82.在该实施例中，身份源系统对访问凭据进行验证，得到验证结果，响应于验证结果为登录信息和可信执行环境有效，可以向信息服务系统发送与访问凭据中的签名数据相匹配的登录信息。其中，签名数据可以与登录信息相匹配，可以为秘密信息指纹，可以为由可信执行环境生成的证明，又可以称为数字签名，可以为基于可信执行环境的第二密钥信息对绑定后的第一密钥信息进行数字签名得到的。第二密钥信息可以为硬件密钥。
83.可选地，可以基于可信执行环境的第二密钥信息对绑定后的第一密钥信息进行数字签名，得到签名数据，响应于验证结果为登录信息和可信执行环境有效，可以向信息服务
系统发送与访问凭据中的签名数据相匹配的登录信息，基于登录信息，使信息服务系统匹配登录信息所属访问权限下的访问数据，并将访问数据发送至客户端中。
84.在该实施例中，可以基于可信执行环境的硬件密钥对绑定后的第一密钥信息进行数据签名，得到签名数据，只有验证有效，才可以向信息服务系统发送与访问凭据中的签名数据相匹配的登录信息，以基于登录信息使信息服务系统匹配登录信息所属访问权限下的访问数据，从而使得客户端获取到访问数据，也即，基于可信执行环境的硬件密钥对绑定后的第一密钥信息进行数据签名，得到签名数据，当对访问凭据进行验证，得到的验证结果为登录信息和可信执行环境有效，可以向信息服务系统发送与签名数据相匹配的登录信息，从而达到快速确认可以发送至客户端的访问数据的目的，相比于口令或软件拉取访问数据的方式，可访问的密钥(签名数据)具有更高的安全性。
85.举例而言，客户端可以在访问信息服务系统之前，调用可信执行环境接口使用硬件密钥对指定数据(第一密钥信息)执行数据签名，生成签名数据(又可以称为远程证明)。可信执行环境接口可以生成携带签名数据(秘密信息指纹)的证明作为访问凭据。信息服务系统可以向身份源系统请求验证访问凭据，则信息服务系统可以向身份源系统发起信息验证请求。信息源系统接收到信息服务系统的信息验证请求，则响应于信息验证请求，对访问凭据进行验证，得到验证结果。如果验证结果为登录信息和可信执行环境有效，则身份源系统可以根据访问凭据中携带的签名数据对客户端的登录信息进行匹配，并向信息服务系统发送与访问凭据中的签名数据相匹配的登录信息。信息服务系统可以根据登录信息验证客户端对应的权限，在验证通过后，可以将访问数据返还给客户端。
86.作为一种可选的实施方式，响应于来自信息服务系统的信息验证请求，对信息验证请求中的访问凭据进行验证，得到验证结果，包括：响应于信息验证请求，对访问凭据中的签名数据进行验证，得到验证结果，其中，签名数据为基于第二密钥信息对第一密钥信息进行数字签名得到。
87.在该实施例中，当接收到来自信息服务系统的信息验证请求，响应于信息验证请求，可以对访问凭据中的签名数据进行验证，得到验证结果。
88.可选地，当接收到信息验证请求，响应于信息验证请求，可以对访问凭据进行部分验证，即，可以对访问凭据中的签名数据进行验证，若签名数据与验证数据匹配，则得到登录信息和所述可信执行环境有效的验证结果，若签名数据与验证数据不匹配，则可以得到登录信息和所述可信执行环境无效的验证结果。
89.在该实施例中，第一密钥通过数字签名的方式被密封在可信执行环境中，使用可信执行环境的设备无需在通过客户端口令等方式才能登录信息服务系统，从而可以实现无密码管理，提高数据使用过程中的便捷性和安全性。
90.作为一种可选的实施方式，步骤s304，响应于来自信息服务系统的信息验证请求，对信息验证请求中的访问凭据进行验证，得到验证结果，包括：向与设备的可信执行环境接口对应的第三方服务端，发送信息验证请求；获取第三方服务端响应信息验证请求，对访问凭据进行验证，而得到的验证结果。
91.在该实施例中，响应于信息验证请求可以向与设备的可信执行环境接口对应的第三方服务端，发送信息验证请求，第三方服务端响应信息验证请求，对访问凭据进行验证，得到验证结果。身份源系统可以获取验证结果。其中，第三方服务端可以为可信执行环境证
明服务。
92.举例而言，信息服务系统可以发起信息验证请求，以向身份源系统请求验证访问凭据。身份源系统响应于信息验证请求，可以向与设备的可信执行环境接口对应的远程证明服务，发送信息验证请求，以验证访问凭据是否有效。第三方服务端对访问凭据进行验证，得到验证结果。身份源系统可以获取验证结果。
93.在本技术实施例中，利用可信执行环境，获取将访问凭据与设备绑定的能力。当被绑定的访问凭据脱离指定硬件执行环境(可信执行环境)时，即使具有相同型号的设备也无法正确得到访问数据。同时，可信执行环境具备远程证明功能，即，可信执行环境的第三方服务端(可以简称为第三方服务)可以验证由特定可信执行环境生成的签名数据，验证结果可以证明被验证方是否为一个合法的可信执行环境，从而使攻击者即使盗取客户端的访问凭据，也无法在非绑定的环境中通过验证，从而达到了提高信息认证的安全性的目的，解决了信息认证的安全性低的技术问题。
94.在该实施例中，结合可信执行环境、在身份源系统侧，将客户端的登录信息与可信执行环境进行绑定，得到访问信息服务系统的访问凭据，从而为信息服务系统提供可信的身份验证能力，使攻击者即使盗取客户端的访问凭据，也无法在非绑定的环境中通过身份认证，进而达到了提高信息认证的安全性的技术效果，解决了信息认证的安全性低的技术问题。
95.本技术实施例从信息服务系统侧，还提供了一种数据访问方法。图4是根据本技术实施例的一种数据访问方法的流程图，如图4所示，该方法可以包括以下步骤。
96.步骤s402，向身份源系统发送信息验证请求，其中，信息验证请求包括用于使客户端进行访问的访问凭据，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境。
97.在本技术上述步骤s402提供的技术方案中，信息服务系统可以向身份源系统发起信息验证请求。
98.步骤s404，在身份源系统响应于信息验证请求，验证登录信息和可信执行环境有效的情况下，向客户端发送与登录信息相匹配的访问数据。
99.在本技术上述步骤s404提供的技术方案中，身份源系统获取信息验证请求，响应于信息验证请求，可以对登录信息和可信执行环境进行验证，在验证登录信息和可信执行环境有效的情况下，返回登录信息。信息服务系统可以获取登录信息，并向客户端发送与登录信息相匹配的访问数据。客户端在可信执行环境下接收访问数据。
100.通过本技术上述步骤s402至步骤s404，向身份源系统发送信息验证请求，其中，信息验证请求包括用于使客户端进行访问的访问凭据，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境；在身份源系统响应于信息验证请求，验证登录信息和可信执行环境有效的情况下，向客户端发送与登录信息相匹配的访问数据，从而实现了提高信息认证的安全性的技术效果，解决了信息认证的安全性低的技术问题。
101.作为一种可选的实施方式，步骤s306，向客户端发送与登录信息相匹配的访问数据，包括：确定登录信息所属的访问权限；向客户端发送访问权限下的访问数据。
102.在该实施例中，身份源系统可以获取信息验证请求，响应于信息验证请求，可以对登录信息和可信执行环境进行验证，在验证登录信息和可信执行环境有效的情况下，返回
登录信息。信息服务系统可以获取登录信息，确定登录信息所属的访问权限，并向客户端发送访问权限下的访问数据。
103.作为一种可选的实施方式，接收来自客户端的访问凭据，其中，访问凭据为由客户端向设备的可信执行环境接口请求生成。
104.在该实施例中，访问凭据可以为由客户端向设备的可信执行环境节后请求生成的。
105.可选地，客户端向身份源系统请求创建登录信息，身份源系统响应于来自客户端的信息创建请求，为客户端创建第一密钥信息，客户端可以调用可信服务系统的接口密封第一密钥信息，得到访问凭据，当身份源系统响应于信息验证请求时，可以对由客户端向设备的可信执行环境接口请求生成的访问凭据进行验证，得到验证结果。
106.本技术实施例，向身份源系统发送信息验证请求，其中，信息验证请求包括用于使客户端进行访问的访问凭据，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境；获取身份源系统响应于信息验证请求，在验证登录信息和可信执行环境有效的情况下返回的登录信息；向客户端发送与登录信息相匹配的访问数据，其中，访问数据为由客户端在可信执行环境下接收，从而实现了提高信息认证的安全性的技术效果，解决了信息认证的安全性低的技术问题。
107.本技术实施例从客户端侧，还提供了另一种数据访问方法。图5是根据本技术实施例的另一种数据访问方法的流程图，如图5所示，该方法可以包括以下步骤。
108.步骤s502，向信息服务系统发送访问凭据，其中，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境，包括访问凭据的信息验证请求由信息服务系统发送至身份源系统。
109.在本技术上述步骤s502提供的技术方案中，客户端可以向信息服务系统发送访问凭据。其中，访问凭据可以用于表征客户端的登录信息和客户端所处设备的可信执行环境。
110.可选地，包括访问凭据的信息验证请求可以由信息服务系统发送至身份源系统。进行进一步验证。
111.步骤s504，在身份源系统响应于信息验证请求，在身份源系统响应于信息验证请求，验证登录信息和可信执行环境有效的情况下，接收来自信息服务系统的与登录信息相匹配的访问数据。
112.在本技术上述步骤s504提供的技术方案中，身份源系统获取信息验证请求，响应于信息验证请求，可以对登录信息和可信执行环境进行验证，在验证登录信息和可信执行环境有效的情况下，返回登录信息。信息服务系统可以获取登录信息，并向客户端发送与登录信息相匹配的访问数据。客户端在可信执行环境下接收访问数据。
113.通过本技术上述步骤s502至步骤s504，向信息服务系统发送访问凭据，其中，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境，包括访问凭据的信息验证请求由信息服务系统发送至身份源系统；在身份源系统响应于信息验证请求，验证登录信息和可信执行环境有效的情况下，接收来自信息服务系统的与登录信息相匹配的访问数据，从而实现了提高信息认证的安全性的技术效果，解决了信息认证的安全性低的技术问题。
114.实施例2
115.根据本技术实施例，还提供了一种数据访问系统的实施例，图6是根据本技术实施例的一种数据访问系统的示意图，如图6所示，信息认证系统600可以包括：客户端602、信息服务系统604和身份源系统606。
116.客户端602，用于获取访问凭据，其中，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境。
117.在该实施例中，客户端可以用于获取访问凭据。基于访问凭据可以使客户端访问信息服务系统，且访问凭据可以用于表征客户端的登录信息和客户端所处设备的可信执行环境。其中，客户端可以部署在支持可信执行环境的设备中，可以为用户、软降等，此处仅为举例，不对客户端类型做具体限制。
118.信息服务系统604，用于向身份源系统发送包括访问凭据的信息验证请求。
119.身份源系统606，用于响应于信息验证请求，对访问凭据进行验证，得到验证结果，且响应于验证结果为登录信息和可信执行环境有效，生成验证通过消息；
120.其中，信息服务系统606用于响应于验证通过消息，向客户端发送与登录信息相匹配的访问数据。
121.在该实施例中，身份源系统606可以获取信息验证请求，响应于信息验证请求，对访问凭据进行验证，得到验证结果，且响应于验证结果为登录信息和可信执行环境有效，可以生成验证通过消息。
122.可选地，身份源系统606可以用于为客户端602签发，以身份为基础的访问凭据用于访问信息服务系统604。身份源系统606响应于信息验证请求，可以对访问凭据进行验证，得到验证结果。信息服务系统604可以使用访问凭据，并请求身份源系统606对访问凭据进行验证，从而确定客户端602的访问权限，并向客户端602发送与登录信息相匹配的访问数据。
123.在该实施例中，客户端602可以部署于可信执行环境下，可以在可信执行环境下接收访问数据。
124.作为一种可选的实施例，客户端602用于向身份源系统606发送信息创建请求；身份源系统606用于响应于信息创建请求，创建登录信息的第一密钥信息；其中，客户端602用于调用设备的可信执行环境接口将第一密钥信息与可信执行环境进行绑定，绑定后的第一密钥信息用于生成访问凭据。
125.在该实施例中，客户端602可以向身份源系统606发送信息创建请求。身份源系统606响应于信息创建请求，创建登录信息的第一密钥信息，且可以将第一密钥信息返回至客户端中。客户端602调用设备的可信执行环境接口将第一密钥信息与可信执行环境进行绑定，并基于绑定后的第一密钥信息生成访问凭据。当身份源系统606接收到来自信息服务系统604的信息验证请求时，可以获取客户端602生成的访问凭据，并对访问凭据进行验证，得到验证结果。响应于验证结果为登录信息和可信执行环境有效，身份源系统606可以控制信息服务系统604向客户端602发送与登录信息相匹配的访问数据。
126.作为一种可选的实施例，客户端602用于请求调用设备的可信执行环境接口，基于可信执行环境的第二密钥信息对绑定后的第一密钥信息进行数字签名，得到访问凭据。
127.在该实施例中，客户端602可以请求调用设备的可信执行环境接口，基于可信执行环境的第二密钥信息对绑定后的第一密钥信息进行数字签名，可以得到访问凭据。
128.在该实施例中，提供了一种信息认证系统。该系统通过客户端602，获取访问凭据；通过信息服务系统604，向身份源系统606发送包括访问凭据的信息验证请求；通过身份源系统606，响应于信息验证请求，对访问凭据进行验证，得到验证结果，且响应于验证结果为登录信息和可信执行环境有效，向信息服务系统604发送登录信息，从而实现了提高信息认证的安全性的技术效果，解决了信息认证的安全性低的技术问题。
129.实施例3
130.目前，客户端的登录信息(身份)是安全访问服务边界系统中保证系统数据安全的核心要素，保护身份的安全是系统整体安全的根基。
131.在一种可选的实例中，对身份的识别通常是由客户端软件收集、生成，但是，由客户端软件生成的访问凭据容易被伪造，从而使攻击者骗过基于身份的认证，进而攻击信息服务系统。比如，攻击者在盗取客户端的访问凭据后即可远程冒用客户端身份，即使将客户端所处设备的设备信息与身份绑定，但由于这些信息是由普通软件采集的，导致其很容易被伪造，使得身份认证过程很难区分访问凭据是来自真实的客户端还是攻击者。
132.在另一种可选的实例中，可以将信息服务系统的登录信息与通过软件收集的设备信息，比如，客户端采集的网卡地址(比如，mac地址)、中央处理器序列号、操作系统版本等设备信息进行绑定。系统在认证阶段，可以通过比对设备信息来判断是否存在风险访问。但攻击者可以在远端伪造设备信息以欺骗认证过程，进而实施攻击，因此，仍存在信息认证的安全性低的技术问题。
133.本技术实施例提出了一种结合可信执行环境技术和身份源服务，将登录信息与特定硬件执行环境绑定的方法。该方法可以为常见的信息服务系统提供可信的身份验证能力，并能够抵御诸如凭据盗用等攻击。通过上述方法，使得访问凭据在非绑定的环境中无法使用，使攻击者即使盗取客户端的访问凭据也无法通过身份认证，从而可以阻止攻击者对信息数据系统的入侵，极大提高系统的安全性。
134.通过本技术实施例，可以将第一密钥信息密封在可信执行环境内，使用该方法无需再通过用户口令等方式登录系统，从而可以实现无密码管理，使用过程更加便捷且安全。结合虚拟化弹性计算服务(elast ic compute service，简称为ecs)云服务器的桌面实例，上述方法可以使得云电脑具有硬件可信根，在凭据管理方面相比具备更高的安全性。
135.在本技术实施例中，可以将数据(比如，登录信息)与硬件执行环境(比如，可信执行环境)进行绑定。当被绑定的数据脱离指定硬件执行环境时，即使具有相同型号的硬件也无法正确还原数据。同时，可信执行环境技术具备远程证明功能，即可信的第三方服务可以验证由特定可信执行环境生成的访问凭据(又可以称为证明)，验证得到的验证结果可以证明被验证方是否为一个合法的可信执行环境，从而达到提高信息认证的安全性的技术效果，解决信息认证的安全性低的技术问题。
136.图7是根据本技术实施例的一种增强身份认证方法的流程图，如图7所示，身份认证方法可以涉及管理端71、支持tee的设备72中的tee73和客户端74、身份源75、信息服务系统76和tee证明服务77之间的数据传输过程。身份认证方法可以包括以下步骤。
137.步骤s701，为客户端74创建登录信息。
138.在该实施例中，部署在支持可信执行环境的设备上的客户端74的软件向身份源75发起身份创建请求，请求身份源75创建登录信息。
139.步骤s702，身份源75响应于身份创建请求，创建秘密信息。
140.在该实施例中，身份源75响应于身份创建请求(可以为信息创建请求)，为该身份创建秘密信息。其中，秘密信息可以为一段指定长度的随机数据，比如，可以为由一串随机数生成的二进制数据，可以用于作为密钥。
141.步骤s703，客户端74对秘密信息进行密封。
142.在该实施例中，客户端74可以调用可信执行环境的接口密封身份源返回的秘密信息，从而达到将秘密信息与客户端74发起的身份创建请求的指定设备进行绑定的目的。
143.步骤s704，身份源75通知管理端71对客户端74的身份创建请求进行核实。
144.在该实施例中，身份源75响应于身份创建信息，为该身份创建秘密信息，并通知管理端71(可以为管理员)审核身份创建请求。
145.可选地，信息系统可以以表单的形式提交一个客户端注册请求，客户端注册请求可以包含用户名、邮箱、网卡媒体存取控制位置地址等客户端和设备信息，管理员在信息系统中核对注册信息后批准或拒绝请求，从而完成对身份创建请求的审核。
146.步骤s705，管理端71确定身份创建请求无误后，批准身份创建请求。
147.在该实施例中，管理端71确认身份创建请求无误后，批准身份创建请求。
148.可选地，管理端71根据客户端74在注册时提供的信息，比如，用户名、设备序列号、网卡地址等信息对身份创建请求进行确定，当管理端71确认身份创建请求无误后，可以批准身份创建请求，并将批准请求发送至身份源75。
149.需要说明的是，步骤s701至s705为将登录信息与客户端74所指定设备的可信执行环境进行绑定的初始化过程，后续使用过程无需再重复。
150.步骤s706，客户端74在访问信息服务系统76前请求生成证明。
151.在该实施例中，客户端74在访问信息服务系统76前，可以调用可信执行环境接口请求生成证明。其中，上述证明可以为携带秘密信息指纹的证明，又可以称为远程证明或可信执行环境证明，可以为通过tee接口使用设备密钥对指定数据(携带秘密信息指纹)执行数字签名生成的签名数据。
152.步骤s707，将携带秘密信息指纹的证明作为访问凭据。
153.在该实施例中，可以将tee生成携带秘密信息指纹的证明作为访问凭据，并下发至客户端74中。
154.步骤s708，客户端74访问信息服务系统76。
155.在该实施例中，客户端74获取到tee生成携带秘密信息指纹的证明，可以将携带tee生成的证明作为访问凭据访问信息服务系统76。
156.步骤s709，身份源75验证访问凭据。
157.在该实施例中，客户端74通过访问凭据访问信息服务系统76，信息服务系统76可以将访问凭据下发至身份源75中，以达到信息系统76向身份源75请求验证访问凭据的目的。
158.步骤s710，验证访问凭据的有效性。
159.在该实施例中，身份源75可以向远程证明服务(比如，tee证明服务77)验证访问凭据中的登录信息和可信执行环境，证明是否有效。
160.步骤s711，获取验证结果。
161.在该实施例中，若远程证明服务的验证结果为有效，身份源76可以根据其携带的秘密信息指纹匹配客户端身份，并返回给信息服务系统。
162.可选地，远程证明服务对证明的数字签名部分执行验签，若签名数据与所验证数据匹配，则验证结果为有效，否则验证结果为无效，可以将验证结果下发至身份源75中。
163.步骤s712，信息服务系统76根据登录信息验证客户端74权限。
164.在该实施例中，信息服务系统76可以根据登录信息验证客户端74对应权限，在验证通过后可以将访问数据返回给客户端74。
165.可选地，如果访问凭据通过远程证明验证，则可以认为访问凭据中携带的登录信息时真实有效的，则此时信息服务系统76可以根据匹配策略，与登录信息的执行权限进行匹配。
166.步骤s713，将访问数据下发至客户端74中。
167.在该实施例中，在验证通过后可以将访问数据从信息服务系统中下发给客户端74。
168.由于纯软件采集到的数据来源缺乏可信度，使攻击者能够很容易的伪造从而绕过身份认证过程。本技术实施例，通过利用tee将指定数据与硬件绑定的能力，使用户身份认证数据只能使用特定设备访问，从而避免因用户凭据被盗导致的身份冒用问题。且通过上述方法，用户密钥被密封在tee内，使用该设备无需再通过用户口令等方式登录系统，从而可以实现无密码管理，提高使用过程中的便捷性和安全性。
169.在本技术实施例中，将用户身份与特定的硬件设备进行绑定，使当前用户只有在该设备上才能正常访问信息系统，即使攻击者盗取了用户凭据，比如，登录口令等，也无法在其它设备或环境上使用，从而实现了提高信息认证的安全性的技术效果，解决了信息认证的安全性低的技术问题。
170.需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本技术并不受所描述的动作顺序的限制，因为依据本技术，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本技术所必须的。
171.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本技术各个实施例的方法。
172.实施例4
173.根据本技术实施例，还提供了一种用于实施上述图3所示的信息认证方法的信息认证装置。
174.图8是根据本技术实施例的一种信息认证装置的示意图，如图8所示，该信息认证装置800可以包括：验证单元802和生成单元804。
175.验证单元802，用于响应于来自信息服务系统的信息验证请求，对信息验证请求中
的访问凭据进行验证，得到验证结果，其中，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境。
176.生成单元804，用于响应于验证结果为登录信息和可信执行环境有效，生成验证通过消息，以使信息服务系统响应于验证通过消息向客户端发送与登录信息相匹配的访问数据。
177.此处需要说明的是，上述验证单元802和生成单元804对应于实施例1中的步骤s302至步骤s304，两个单元与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例1所公开的内容。需要说明的是，上述单元可以是存储在存储器(例如，存储器104)中并由一个或多个处理器(例如，处理器102a，102b
……
，102n)处理的硬件组件或软件组件，上述单元也可以作为装置的一部分可以运行在实施例1提供的计算机终端10中。
178.根据本技术实施例，还提供了一种用于实施上述图4所示的数据访问方法的数据访问装置。
179.图9是根据本技术实施例的一种数据访问装置的示意图，如图9所示，该信息认证装置900可以包括：第一发送单元902和第二发送单元904。
180.第一发送单元902，用于向身份源系统发送信息验证请求，其中，信息验证请求包括用于使客户端进行访问的访问凭据，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境。
181.第二发送单元904，用于在身份源系统响应于信息验证请求，验证登录信息和可信执行环境有效的情况下，向客户端发送与登录信息相匹配的访问数据。
182.此处需要说明的是，上述第一发送单元902和第二发送单元904对应于实施例1中的步骤s402至步骤s404，两个单元与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例1所公开的内容。需要说明的是，上述单元可以是存储在存储器(例如，存储器104)中并由一个或多个处理器(例如，处理器102a，102b
……
，102n)处理的硬件组件或软件组件，上述单元也可以作为装置的一部分可以运行在实施例1提供的计算机终端10中。
183.根据本技术实施例，还提供了另一种用于实施上述图5所示的数据访问方法的数据访问装置。
184.图10是根据本技术实施例的另一种数据访问装置的示意图，如图10所示，该信息认证装置1000可以包括：第三发送单元1002和接收单元1004。
185.第三发送单元1002，用于向信息服务系统发送访问凭据，其中，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境，包括访问凭据的信息验证请求由信息服务系统发送至身份源系统。
186.接收单元1004，用于在身份源系统响应于信息验证请求，验证登录信息和可信执行环境有效的情况下，接收来自信息服务系统的与登录信息相匹配的访问数据。
187.此处需要说明的是，上述第三发送单元1002和接收单元1004对应于实施例1中的步骤s502至步骤s504，两个单元与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例1所公开的内容。需要说明的是，上述单元可以是存储在存储器(例如，存储器104)中并由一个或多个处理器(例如，处理器102a，102b
……
，102n)处理的硬件组件或软件组件，上述单元也可以作为装置的一部分可以运行在实施例1提供的计算机终端10中。
188.在上述装置中，结合可信执行环境，将客户端的登录信息与可信执行环境进行绑
定，得到访问信息服务系统的访问凭据，从而为信息服务系统提供可信的身份验证能力，使攻击者即使盗取客户端的访问凭据，也无法在非绑定的环境中通过身份认证，进而达到了提高信息认证的安全性的技术效果，解决了信息认证的安全性低的技术问题。
189.实施例5
190.本技术的实施例可以提供一种计算机终端，该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地，在本实施例中，上述计算机终端也可以替换为移动终端等终端设备。
191.可选地，在本实施例中，上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
192.在本实施例中，上述计算机终端可以执行信息认证方法中以下步骤的程序代码：响应于来自信息服务系统的信息验证请求，对信息验证请求中的访问凭据进行验证，得到验证结果，其中，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境；响应于验证结果为登录信息和可信执行环境有效，生成验证通过消息，以使信息服务系统响应于验证通过消息向客户端发送与登录信息相匹配的访问数据。
193.可选地，图11是根据本技术实施例的一种计算机终端的结构框图。如图11所示，该计算机终端a可以包括：一个或多个(图中仅示出一个)处理器1102、存储器1104以及传输装置1106。
194.其中，存储器可用于存储软件程序以及模块，如本技术实施例中的信息认证方法和装置对应的程序指令/模块，处理器通过运行存储在存储器内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的信息认证方法。存储器可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器可进一步包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端a。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
195.处理器可以通过传输装置调用存储器存储的信息及应用程序，以执行下述步骤：响应于来自信息服务系统的信息验证请求，对信息验证请求中的访问凭据进行验证，得到验证结果，其中，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境；响应于验证结果为登录信息和可信执行环境有效，生成验证通过消息，以使信息服务系统响应于验证通过消息向客户端发送与登录信息相匹配的访问数据。
196.可选地，上述处理器还可以执行如下步骤的程序代码：响应于来自客户端的信息创建请求，创建登录信息的第一密钥信息，其中，第一密钥信息用于与可信执行环境进行绑定，绑定后的第一密钥信息用于生成访问凭据。
197.可选地，上述处理器还可以执行如下步骤的程序代码：将第一密钥信息返回至客户端，其中，第一密钥信息由客户端调用设备的可信执行环境接口与可信执行环境进行绑定。
198.可选地，上述处理器还可以执行如下步骤的程序代码：获取信息校验端响应信息校验请求，对信息创建请求进行校验而得到的校验结果；响应于校验结果为对信息创建请求校验成功，允许响应于所述信息创建请求，创建所述登录信息的第一密钥信息。
199.可选地，上述处理器还可以执行如下步骤的程序代码：验证通过消息包括登录信
息，登录信息用于使信息服务系统匹配登录信息所属访问权限下的访问数据。
200.可选地，上述处理器还可以执行如下步骤的程序代码：登录信息与访问凭据中的签名数据相匹配，签名数据为基于可信执行环境的第二密钥信息，对与可信执行环境绑定后的第一密钥信息进行数字签名得到。
201.可选地，上述处理器还可以执行如下步骤的程序代码：响应于来自信息服务系统的信息验证请求，对信息验证请求中的访问凭据进行验证，得到验证结果，包括：响应于信息验证请求，对访问凭据中的签名数据进行验证，得到验证结果，其中，签名数据为基于第二密钥信息对第一密钥信息进行数字签名得到。
202.可选地，上述处理器还可以执行如下步骤的程序代码：向与设备的可信执行环境接口对应的第三方服务端，发送信息验证请求；获取第三方服务端响应信息验证请求，对访问凭据进行验证，而得到的验证结果。
203.处理器可以通过传输装置调用存储器存储的信息及应用程序，以执行下述步骤：向身份源系统发送信息验证请求，其中，信息验证请求包括用于使客户端进行访问的访问凭据，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境；在身份源系统响应于信息验证请求，验证登录信息和可信执行环境有效的情况下，向客户端发送与登录信息相匹配的访问数据。
204.可选地，上述处理器还可以执行如下步骤的程序代码：确定登录信息所属的访问权限；向客户端发送访问权限下的访问数据。
205.可选地，上述处理器还可以执行如下步骤的程序代码：接收来自客户端的访问凭据，其中，访问凭据为由客户端向设备的可信执行环境接口请求生成。
206.处理器可以通过传输装置调用存储器存储的信息及应用程序，以执行下述步骤：向信息服务系统发送访问凭据，其中，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境，包括访问凭据的信息验证请求由信息服务系统发送至身份源系统；在身份源系统响应于信息验证请求，验证登录信息和可信执行环境有效的情况下，接收来自信息服务系统的与登录信息相匹配的访问数据。
207.采用本技术实施例，提供了一种信息认证方法。将客户端的登录信息与可信执行环境进行绑定，得到访问信息服务系统的访问凭据，从而为信息服务系统提供可信的身份验证能力，使攻击者即使盗取客户端的访问凭据，也无法在非绑定的环境中通过身份认证，进而达到了提高信息认证的安全性的技术效果，解决了信息认证的安全性低的技术问题。
208.本领域普通技术人员可以理解，图11所示的结构仅为示意，计算机终端a也可以是智能手机(如android手机、ios手机等)、平板电脑、掌上电脑以及移动互联网设备(mobi le internet devices，mid)、pad等终端设备。图11其并不对上述计算机终端a的结构造成限定。例如，计算机终端a还可包括比图11中所示更多或者更少的组件(如网络接口、显示装置等)，或者具有与图11所示不同的配置。
209.本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(read-only memory，rom)、随机存取器(random access memory，ram)、磁盘或光盘等。
210.实施例6
211.本技术的实施例还提供了一种计算机可读存储介质。可选地，在本实施例中，上述计算机可读存储介质可以用于保存上述实施例所提供信息认证方法所执行的程序代码。
212.可选地，在本实施例中，上述计算机可读存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中，或者位于移动终端群中的任意一个移动终端中。
213.可选地，在本实施例中，计算机可读存储介质被设置为存储用于执行上述处理器可以通过传输装置调用存储器存储的信息及应用程序所执行的程序代码。
214.在本技术实施例中，将客户端的登录信息与可信执行环境进行绑定，得到访问信息服务系统的访问凭据，从而为信息服务系统提供可信的身份验证能力，使攻击者即使盗取客户端的访问凭据，也无法在非绑定的环境中通过身份认证，进而达到了提高信息认证的安全性的技术效果，解决了信息认证的安全性低的技术问题。
215.实施例7
216.本技术的实施例可以提供一种电子设备，该电子设备可以包括存储器和处理器。
217.图12是根据本技术实施例的一种信息认证方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本技术的实现。
218.如图12所示，设备1200包括计算单元1201，其可以根据存储在只读存储器(read only memory，简称为rom)1202中的计算机程序或者从存储单元1208加载到随机访问存储器(random access memory，简称为ram)1203中的计算机程序，来执行各种适当的动作和处理。在ram1203中，还可存储设备1200操作所需的各种程序和数据。计算单元1201、rom1202以及ram1203通过总线1204彼此相连。输入/输出(input/output，简称为i/o)接口1205也连接至总线1204。
219.设备1200中的多个部件连接至i/o接口1205，包括：输入单元1206，例如键盘、鼠标等；输出单元1204，例如各种类型的显示器、扬声器等；存储单元1208，例如磁盘、光盘等；以及通信单元1209，例如网卡、调制解调器、无线通信收发机等。通信单元1209允许设备1200通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
220.计算单元1201可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元1201的一些示例包括但不限于中央处理单元(central processing unit，简称为cpu)、图形处理单元(graphic processing unit，简称为gpu)、各种专用的人工智能(artificial intelligence，简称为ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(demand side platform，简称为dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元1201执行上文所描述的各个方法和处理，例如信息认证方法。例如，在一些实施例中，信息认证方法可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元1208。在一些实施例中，计算机程序的部分或者全部可以经由rom 1202和/或通信单元12012而被载入和/或安装到设备1200上。当计算机程序加载到ram 1203并由计算单元1201执行时，可以执行上文描述的信息认证方法的一个或多个步骤。备选地，在其他实施例中，计算单元1201可以通过其他任何适当的方式(例如，借助于固件)而
被配置为执行信息认证方法。
221.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(field programmable gate array，简称为fpga)、专用集成电路(appl ication specific integrated circuit，简称为asic)、专用标准产品(application specific standard parts，简称为assp)、芯片上系统的系统(system on chip，简称为soc)、复杂可编程逻辑设备(complex programmable logic device，简称为cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
222.用于实施本技术的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
223.在本技术的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器、只读存储器、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器、光学储存设备、磁储存设备、或上述内容的任何合适组合。
224.为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置(例如，crt(阴极射线管)或者液晶显示器、监测器等；以及键盘和指向装置(例如，鼠标或者路径球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
225.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网、广域网和互联网。
226.计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计
算机程序来产生客户端和服务器的关系。服务器可以是云服务器，也可以为分布式系统的服务器，或者是结合了区块链的服务器。
227.需要说明的是，上述本技术实施例序号仅仅为了描述，不代表实施例的优劣。
228.在本技术的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
229.在本技术所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
230.作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
231.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
232.集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器、随机存取存储器、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
233.以上仅是本技术的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本技术的保护范围。

技术特征：
1.一种信息认证方法，其特征在于，包括：响应于来自信息服务系统的信息验证请求，对所述信息验证请求中的访问凭据进行验证，得到验证结果，其中，所述访问凭据用于表征客户端的登录信息和所述客户端所处设备的可信执行环境；响应于所述验证结果为所述登录信息和所述可信执行环境有效，生成验证通过消息，以使所述信息服务系统响应于所述验证通过消息向所述客户端发送与所述登录信息相匹配的访问数据。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：响应于来自所述客户端的信息创建请求，创建所述登录信息的第一密钥信息，其中，所述第一密钥信息用于与所述可信执行环境进行绑定，绑定后的所述第一密钥信息用于生成所述访问凭据。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：将所述第一密钥信息返回至所述客户端，其中，所述第一密钥信息由所述客户端调用所述设备的可信执行环境接口与所述可信执行环境进行绑定。4.根据权利要求2所述的方法，其特征在于，所述方法还包括：向信息校验端发送信息校验请求；获取信息校验端响应信息校验请求，对所述信息创建请求进行校验而得到的校验结果；响应于所述校验结果为对所述信息创建请求校验成功，允许响应于所述信息创建请求，创建所述登录信息的第一密钥信息。5.根据权利要求1所述的方法，其特征在于，所述验证通过消息包括所述登录信息，所述登录信息用于使所述信息服务系统匹配所述登录信息所属访问权限下的所述访问数据。6.根据权利要求1所述的方法，其特征在于，所述登录信息与所述访问凭据中的签名数据相匹配，所述签名数据为基于所述可信执行环境的第二密钥信息，对与所述可信执行环境绑定的第一密钥信息进行数字签名得到。7.根据权利要求6所述的方法，其特征在于，响应于来自信息服务系统的信息验证请求，对所述信息验证请求中的访问凭据进行验证，得到验证结果，包括：响应于所述信息验证请求，对所述访问凭据中的签名数据进行验证，得到所述验证结果，其中，所述签名数据为基于所述第二密钥信息对所述第一密钥信息进行数字签名得到。8.根据权利要求1所述的方法，其特征在于，响应于来自信息服务系统的信息验证请求，对所述信息验证请求中的访问凭据进行验证，得到验证结果，包括：向与所述设备的可信执行环境接口对应的第三方服务端，发送所述信息验证请求；获取所述第三方服务端响应所述信息验证请求，对所述访问凭据进行验证，而得到的所述验证结果。9.一种数据访问方法，其特征在于，包括：向身份源系统发送信息验证请求，其中，所述信息验证请求包括用于使客户端进行访问的访问凭据，所述访问凭据用于表征所述客户端的登录信息和所述客户端所处设备的可信执行环境；在所述身份源系统响应于所述信息验证请求，验证所述登录信息和所述可信执行环境
有效的情况下，向所述客户端发送与所述登录信息相匹配的访问数据。10.根据权利要求9所述的方法，其特征在于，向所述客户端发送与所述登录信息相匹配的访问数据，包括：确定所述登录信息所属的访问权限；向所述客户端发送所述访问权限下的所述访问数据。11.根据权利要求9所述的方法，其特征在于，所述方法还包括：接收来自所述客户端的所述访问凭据，其中，所述访问凭据为由所述客户端向所述设备的可信执行环境接口请求生成。12.一种数据访问方法，其特征在于，包括：向信息服务系统发送访问凭据，其中，所述访问凭据用于表征客户端的登录信息和所述客户端所处设备的可信执行环境，包括所述访问凭据的信息验证请求由所述信息服务系统发送至身份源系统；在所述身份源系统响应于所述信息验证请求，验证所述登录信息和所述可信执行环境有效的情况下，接收来自所述信息服务系统的与所述登录信息相匹配的访问数据。13.一种数据访问系统，其特征在于，包括：客户端、信息服务系统和身份源系统，其中，所述客户端，用于获取访问凭据，其中，所述访问凭据用于表征所述客户端的登录信息和所述客户端所处设备的可信执行环境；所述信息服务系统，用于向所述身份源系统发送包括所述访问凭据的信息验证请求；所述身份源系统，用于响应于所述信息验证请求，对所述访问凭据进行验证，得到验证结果，且响应于所述验证结果为所述登录信息和所述可信执行环境有效，生成验证通过消息；其中，所述信息服务系统用于响应于所述验证通过消息，向所述客户端发送与所述登录信息相匹配的访问数据。14.根据权利要求13所述的系统，其特征在于，所述客户端用于向所述身份源系统发送信息创建请求；所述身份源系统用于响应于所述信息创建请求，创建所述登录信息的第一密钥信息；其中，所述客户端用于调用所述设备的可信执行环境接口将所述第一密钥信息与所述可信执行环境进行绑定，绑定后的所述第一密钥信息用于生成所述访问凭据。15.根据权利要求14所述的系统，其特征在于，所述客户端用于请求调用所述设备的可信执行环境接口，基于所述可信执行环境的第二密钥信息对绑定后的所述第一密钥信息进行数字签名，得到所述访问凭据。16.一种电子设备，其特征在于，包括：存储器和处理器；所述存储器用于存储计算机可执行指令，所述处理器用于执行所述计算机可执行指令，该计算机可执行指令被处理器执行时实现权利要求1至12中任意一项所述方法的步骤。

技术总结
本申请公开了一种信息认证方法和数据访问方法、系统和电子设备。其中，该方法包括：响应于来自信息服务系统的信息验证请求，对信息验证请求中的访问凭据进行验证，得到验证结果，其中，访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境；响应于验证结果为登录信息和可信执行环境有效，生成验证通过消息，以使信息服务系统响应于验证通过消息向客户端发送与登录信息相匹配的访问数据。本申请解决了信息认证的安全性低的技术问题。本申请解决了信息认证的安全性低的技术问题。本申请解决了信息认证的安全性低的技术问题。


技术研发人员：买宇飞 路放
受保护的技术使用者：阿里云计算有限公司
技术研发日：2023.05.24
技术公布日：2023/8/13