【技术实现步骤摘要】
密钥和证书分发方法、身份信息处理方法、设备、介质
本申请涉及数据处理
,具体涉及一种身份密钥和证书的分发方法、一种身份信息处理方法、一种数据处理方法、一种计算机设备、一种计算机可读存储介质。
技术介绍
可信计算(TrustedComputing)是在计算和通信系统中广泛使用的,基于硬件安全模块支持下的可信计算平台,以提供系统整体的安全性。可信计算芯片是为证据提供完整性和真实性保障的安全芯片,一般通过物理方式被强绑定到计算平台。数据加密(DataEncryption)是通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。高速加密芯片是高性能基础密码设备,能够适用于各类密码运算,满足数据的签名/验证,加密/解密等要求,一般也通过物理方式被强绑定到计算平台。可信计算芯片与高速加密芯片融合后,即可信高速加密卡由高速加密芯片和可信计算芯片两部分组成,集成后的芯片不仅可以进行数据加解密,也可以进行可信计算,但也存在一些问题。申请人经研究发现,现有的高速加密卡均无平台身份密钥及证书分发方法,可信计算芯片和可重构的高速加密芯片融合后,如果仍采用现有的平台身份密钥及证书分发方法,则只能证明可信高速加密卡的可信计算芯片部分的身份及平台的合法性,而高速加密芯片由于可重构,其运算固件是动态加载的,现有的静态平台身份密钥及证书分发方法,无法证明可重构部分的身份及平台的合法性。
技术实现思路
鉴于上述问题,提出了本申请以便提供一种克服上述问题或者至少部分地解...
【技术保护点】
1.一种身份密钥和证书的分发方法,应用于隐私证书颁发机构,其特征在于,包括:/n获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息包括进程身份密钥,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片;/n根据所述第一进程身份信息,确定所述集成芯片的运算固件合法;/n根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的平台身份证书;/n将所述平台身份证书提供给所述用户进程,以用于证明所述用户进程的身份合法。/n
【技术特征摘要】
1.一种身份密钥和证书的分发方法,应用于隐私证书颁发机构,其特征在于,包括:
获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息包括进程身份密钥,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片;
根据所述第一进程身份信息,确定所述集成芯片的运算固件合法;
根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的平台身份证书;
将所述平台身份证书提供给所述用户进程,以用于证明所述用户进程的身份合法。
2.一种身份信息处理方法,其特征在于,所述方法包括:
获取用户进程对集成芯片的定制信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;
根据所述定制信息,确定所述可重构芯片上预加载的目标运算固件;
根据所述目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息;
将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
3.根据权利要求2所述的方法,其特征在于,所述运算固件包括一个或多个运算算法,所述定制信息携带有预加载固件标识,所述预加载固件标识与一个或多个运算算法对应,所述方法还包括:
根据各个运算算法对应的预加载固件标识,生成运算固件的多个运算算法对应的预加载固件标识。
4.根据权利要求2所述的方法,其特征在于,所述定制信息携带有预加载固件标识,所述根据所述目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息包括:
生成用于标记所述目标运算固件和所述不可重构芯片的固化运算固件的固件唯一标识;
根据集成芯片标识、所述预加载固件标识和固件唯一标识,生成第一进程身份信息。
5.根据权利要求4所述的方法,其特征在于,所述定制信息还携带有进程标识和平台标识,所述根据集成芯片标识、所述目标运算固件的预加载固件标识和固件唯一标识,生成第一进程身份信息包括:
采用集成芯片的私钥加密所述固件唯一标识;
利用所述集成芯片生成的进程身份私钥,加密所述集成芯片生成的进程身份公钥、预加载固件标识、集成芯片标识、加密的固件唯一标识、进程标识和平台标识,得到所述第一进程身份信息。
6.根据权利要求5所述的方法,其特征在于,所述定制信息还携带有第一随机数,在所述根据集成芯片标识、所述目标运算固件的预加载固件标识和固件唯一标识,生成第一进程身份信息之前,所述方法还包括:
产生第二随机数;
根据所述第一随机数、第二随机数和进程标识,生成进程身份公钥和进程身份私钥,所述进程身份私钥存储在所述集成芯片上。
7.根据权利要求6所述的方法,其特征在于,所述定制信息采用集成芯片的公钥加密,所述方法还包括:
采用所述集成芯片的私钥,解密所述定制信息;
所述根据所述第一随机数、第二随机数和进程标识,生成进程身份公钥包括:
采用所述集成芯片的私钥加密所述第一随机数、第二随机数和进程标识,生成所述进程身份公钥,并经所述用户进程提供给所述隐私证书颁发机构。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
基于所述集成芯片标识、集成芯片的公钥和芯片生产者标识,生成集成芯片身份信息,并经所述用户进程提供给隐私证书颁发机构。
9.根据权利要求8所述的方法,其特征在于,所述集成芯片身份信息由所述第一随机数加密,所述进程标识以及所述第一随机数解密得到的集成芯片身份信息,由所述用户进程采用隐私证书颁发机构的公钥加密后提供给隐私证书颁发机构。
10.根据权利要求9所述的方法,其特征在于,当所述用户进程采用所述集成芯片的公钥解密进程身份公钥后得到了第一随机数,且利用所述进程身份公钥解密第一进程身份信息得到的第一集成芯片标识与解密所述集成芯片身份信息得到的第二集成芯片标识一致时,所述第一进程身份信息、进程身份公钥、进程标识、平台标识、集成芯片身份信息,由所述用户进程提供给隐私证书颁发机构。
11.根据权利要求2所述的方法,其特征在于,所述定制信息包括第一随机数,所述方法还包括:
获取所述集成芯片的公钥加密的第二进程身份信息;
采用所述集成芯片的私钥解密所述第二进程身份信息;
采用所述第一随机数加密所述第二进程身份信息,并提供给所述用户进程。
12.根据权利要求11所述的方法,其特征在于,所述加密的第二进程身份信息经所述用户进程转发至所述集成芯片,所述用户进程采用所述第一随机数解密所述第二进程身份信息。
13.一种身份信息处理方法,其特征在于,所述方法包括:
获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片;
根据所述第一进程身份信息,确定所述集成芯片的运算固件合法。
14.根据权利要求13所述的方法,其特征在于,在所述根据所述第一进程身份信息,确定所述集成芯片的运算固件合法之后,所述方法还包括:
根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的第二进程身份信息;
将所述第二进程身份信息提供给所述用户进程,以用于证明所述用户进程的身份合法。
15.根据权利要求14所述的方法,其特征在于,所述第一进程身份信息还包括进程标识和平台标识,所述第二进程身份信息包括平台身份证书,所述根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的第二进程身份信息包括:
采用所述隐私证书颁发机构的私钥,加密所述集成芯片生成的进程身份公钥、目标运算固件的预加载固件标识、集成芯片标识、用于标记所述目标运算固件与固化运算固件的固件唯一标识、进程标识和平台标识,得到所述平台身份证书。
16.根据权利要求13所述的方法,其特征在于,所述第一进程身份信息包括预加载固件标识和集成芯片标识,所述根据所述第一进程身份信息,确定所述集成芯片的运算固件合法包括:
根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法。
17.根据权利要求16所述的方法,其特征在于,在所述根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法之前,所述方法还包括:
获取进程身份公钥;
采用所述进程身份公钥解密第一进程身份信息,得到预加载固件标识、...
【专利技术属性】
技术研发人员:付颖芳,肖鹏,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。