(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211459452.7 (22)申请日 2022.11.16 (71)申请人 北京锘崴信息科技有限公司 地址 100089 北京市海淀区西四环北路158 号1幢三层3—4 43 (72)发明人 雷枭　王帅　孙琪　王爽　郑灏　 李帜　 (74)专利代理 机构 北京中创云知识产权代理事 务所(普通 合伙) 11837 专利代理师 肖佳 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/01(2022.01) (54)发明名称 服务器以及金融相关服务器的可信安全认 证方法 (57)摘要 本发明实施例涉及隐私数据处理技术领域， 具体涉及一种服务器以及金融相关服务器的可 信安全认证方法， 包括： 接收第一程序发送的证 书写入指令， 以获取第一认证证书； 确定第一程 序是否具有证书写入权限， 若是， 则将第一认证 证书存入安全存储组件的存储区； 接收第二程序 发送的证书读取指令； 确定第二程序是否具有证 书读取权限； 并依据结果 从存储区读取相应的第 一认证证书。 本发明实施例的技术方案， 通过利 用认证证书获取服务器支持的身份认证文件的 方式， 实现客户端与数据库服务器的认证， 使得 与服务器认证方式不兼容的客户端能够获得相 应的认证证书以访问服务器， 提高了客户端与服 务器交互的兼容性； 并在通过安全认证方式提高 了数据交 互的安全性。 权利要求书2页 说明书11页 附图4页 CN 115514584 A 2022.12.23 CN 115514584 A 1.一种服务器的可信安全认证方法， 其特征在于， 应用于客户端， 所述客户端包含有安 全存储组件， 所述安全存储组件包含有指 定位置对应的存储区以及 控制存储区安全写入和 安全读取的程序， 所述方法包括： 安全存储组件接收第 一程序发送的证书写入指令， 所述证书写入指令包含有待写入的 第一认证证书， 所述第一程序用于对服务器的硬件可信环境进行认证， 以获取第一认证证 书； 安全存储组件确定第一程序是否具有证书写入权限， 若是， 则将第一认证证书存入安 全存储组件的存 储区； 安全存储组件接收第 二程序发送的证书读取指令， 所述证书读取指令包含有待读取的 第一认证 证书的证书信息； 安全存储组件确定第二程序是否具有证书读取权限； 若是， 则依据证书信息从存储区 读取相应的第一认证证书， 并发送给第二程序， 以使得第二程序依据第一认证证书与服务 器进行认证。 2.根据权利要求1所述的方法， 其特征在于， 所述确定第一程序是否具有证书写入权 限， 包括以下步骤中的至少一种： 获取写入权限表， 并依据写入权限表与第一程序相关的第一身份信息， 确定第一程序 是否具有证书 写入权限； 接收第一程序采用第 一私钥进行签名后的第 一签名信 息， 并依据第 一私钥对应的第 一 公钥进行第一验签， 以依据第一验签结果确定第一 程序是否具有证书 写入权限。 3.根据权利要求1所述的方法， 其特征在于， 所述确定第二程序是否具有证书读取权 限， 包括以下步骤中的至少一种： 获取读取权限表， 并依据读取权限表与第二程序相关的第二身份信息， 确定第二程序 是否具有证书读取权限； 接收第二程序采用第 二私钥进行签名后的第 二签名信 息， 并依据第 二私钥对应的第 二 公钥进行第二验签， 以依据第二验签结果确定第一 程序是否具有证书读取权限。 4.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 若安全存储组件确定第二 程序不具有证书读取权限， 则发出权限获取信息； 安全存储组件依据用户的反馈信息， 在用户授权时， 安全存储组件从存储区读取相应 的第一认证 证书发送给第二 程序， 并将第二 程序新增到读取权限表。 5.根据权利要求1所述的方法， 其特征在于， 所述依据证书信 息从存储区读取相应的第 一认证证书， 包括： 依据证书信息确定存 储区是否存 储有第一认证 证书； 若是， 则从存 储区读取第一认证 证书； 若否， 则进行用户身份验证， 并在验证通过后， 向第 一程序发送第一认证证书的证书获 取任务， 以使得第一 程序依据证书获取任务对服 务器进行第一认证， 以获取第一认证 证书。 6.根据权利要求1所述的方法， 其特征在于， 所述接收第一程序发送的证书写入指令， 包括以下步骤中的至少一种： 从本地的第一 程序接收证书 写入指令； 与第一认证端的第一程序建立连接， 并接收采取证书加密密钥加密的证书写入指令，权　利　要　求　书 1/2 页 2 CN 115514584 A 2采取证书解密 密钥进行解密， 得到证书 写入指令 。 7.根据权利要求1所述的方法， 其特征在于， 所述第一认证证书包括服务器的SGX硬件 公钥， 所述方法还 包括： 第二程序对服务器发出第二认证请求， 获取采取服务器的SGX硬件私钥签名的第二认 证证书； 依据第一认证证书中服务器的SGX硬件公钥， 对签名的第 二认证证书进行验签， 依据验 签结果是否通过， 确定是否采用服 务器进行 数据处理。 8.一种服 务器的可信安全认证方法， 其特 征在于， 应用在服 务器， 包括： 接收客户端的第一程序的第一认证请求， 发送第一认证证书， 以使得客户端依据第一 认证证书与服 务器进行认证； 第一认证请求是对服 务器的硬件可信环境进行认证的请求； 接收客户端的第二程序的第二认证请求， 发送第二认证证书， 所述第二认证证书采取 服务器的SGX硬件私钥签名， 以使得客户端依据第一认证证书中服务器的SGX硬件公钥， 对 签名的第二认证 证书进行验签， 并在验签通过后发送待分析 数据； 接收客户端的第二程序上传的待分析数据， 并进行分析处理， 反馈处理结果给客户端 的第二程序。 9.一种金融相关服 务器的可信安全认证方法， 其特 征在于， 应用在服 务器， 包括： 接收客户端的第一程序的第一认证请求， 发送第一认证证书， 以使得客户端依据第一 认证证书与金融相关服务器进 行认证； 第一认证请求是对金融相关服务器的硬件可信环境 进行认证的请求； 接收客户端的第二程序的第二认证请求， 发送第二认证证书， 所述第二认证证书采取 服务器的SGX硬件私钥签名， 以使得客户端依据第一认证证书中金融相关服务器的SGX硬件 公钥， 对签名的第二认证证书进 行验签， 并在 验签通过后发送待分析数据； 所述待分析数据 包括金融领域相关数据， 所述金融相关服务器用于对金融领域相关数据进 行分析、 转换、 加 密和存储处理中的至少一项； 接收客户端的第二程序上传的待分析数据， 并进行分析处理， 反馈处理结果给客户端 的第二程序。 10.一种服务器的可信安全认证装置， 其特征在于， 应用于客户端， 所述客户端包含有 安全存储组件， 所述安全存储组件包含有指定位置对应的存储区以及 控制存储区安全写入 和安全读取的程序， 所述装置包括： 证书写入指令接收模块， 安全存储组件接收第一程序发送的证书写入指令， 所述证书 写入指令包含有待写入的第一认证证书， 所述第一程序用于对服务器的硬件可信环境进 行 认证， 以获取第一认证 证书； 证书存储模块， 安全存储组件确定第 一程序是否具有证书写入权限， 若是， 则将第一认 证证书存入安全存储组件的存 储区； 证书读取指令接收模块， 安全存储组件接收第二程序发送的证书读取指令， 所述证书 读取指令包 含有待读取的第一认证 证书的证书信息； 证书读取模块安全存储组件确定第二程序是否具有证书读取权限； 若是， 则依据证书 信息从存储区读取相应的第一认证证书， 并发送给第二程序， 以使得第二程序依据第一认 证证书与服 务器进行认证。权　利　要　求　书 2/2 页 3 CN 115514584 A 3