密码运算处理方法、装置、系统及度量信任链构建方法制造方法及图纸

本发明专利技术公开了一种密码运算处理方法、装置、系统及度量信任链构建方法。其中，该方法包括：密码运算芯片接收到密码运算请求；密码运算芯片采用密码运算度量根对密码运算算法固件进行度量，得到第一度量结果，并将得到的第一度量结果发送给安全芯片；密码运算芯片接收到安全芯片反馈的比较结果，其中，比较结果为安全芯片确定的第一度量结果与预先存储的第二度量结果是否相同的结果；密码运算芯片在比较结果为相同的情况下，执行密码运算。本发明专利技术解决了相关技术中无法对密码运算算法固件进行度量，导致密码运算可信度较低的技术问题。

Cryptographic operation processing method, device, system and measurement trust chain construction method

【技术实现步骤摘要】
密码运算处理方法、装置、系统及度量信任链构建方法
本专利技术涉及密码运算领域，具体而言，涉及一种密码运算处理方法、装置、系统及度量信任链构建方法。
技术介绍
随着计算机应用的普及，硬件攻击的日益猖獗，保证业务平台及系统的完整性日益受到重视，度量是一种保护平台及系统完整性较新的技术手段：在某些特定的时刻，对目标进行度量，得到目标的某些信息(比如对文件的散列值)，将这些信息的值与事先记录的标准值进行比较，从而判断目标的完整性是否被破坏。传统的可信平台模块(TrustedPlatformModule，TPM)及可信平台控制模块(TrustedPlatformControlModule，TPCM)在可信高速加密卡场景中，现有的度量方法及度量流程，无法保证高速密码运算过程中密码运算算法的完整性，无法保证高速密码运算过程中，密码运算固件的加载可信，及其动态执行可信，从而导致密码运算可信度较低的问题。针对上述的问题，目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种密码运算处理方法、装置、系统及度量信任链构建方法，以至少解决相关技术中无法对密码运算算法固件进行度量，导致密码运算可信度较低的技术问题。根据本专利技术实施例的一个方面，提供了一种密码运算处理方法，包括：密码运算芯片接收到密码运算请求；所述密码运算芯片采用密码运算度量根对密码运算算法固件进行度量，得到第一度量结果，并将得到的所述第一度量结果发送给安全芯片；所述密码运算芯片接收到安全芯片反馈的比较结果，其中，所述比较结果为所述安全芯片确定的所述第一度量结果与预先存储的第二度量结果是否相同的结果；所述密码运算芯片在所述比较结果为相同的情况下，执行密码运算。根据本专利技术实施例的另一方面，还提供了一种密码运算处理方法，包括：安全芯片接收到密码运算芯片发送的第一度量结果，其中，所述第一度量结果为所述密码运算芯片采用密码运算度量根对密码运算算法固件进行度量得到的度量结果；所述安全芯片获取预先存储的第二度量结果；所述安全芯片将所述第一度量结果与所述第二度量结果进行比较，得到是否相同的比较结果，并将所述比较结果发送给所述密码运算芯片，用于所述密码运算芯片在所述比较结果相同的情况下，执行密码运算。根据本专利技术实施例的另一方面，还提供了一种密码运算处理方法，包括：密码运算芯片接收到密码运算请求；所述密码运算芯片采用密码运算度量根对密码运算算法固件进行度量，得到第一度量结果，并将得到的所述第一度量结果发送给安全芯片；所述安全芯片获取预先存储的第二度量结果，并比较所述第一度量结果与所述第二度量结果是否相同，得到比较结果，并将所述比较结果发送给所述密码运算芯片；所述密码运算芯片在所述比较结果为相同的情况下，执行密码运算。根据本专利技术实施例的另一方面，还提供了一种度量信任链构建方法，包括：基于安全芯片建立静态度量信任链，其中，所述静态度量信任链包括：在设备的系统启动时对度量目标所进行的静态的可信度量；基于密码运算芯片建立动态度量信任链，其中，所述动态度量信任链包括：在接收到可信度量请求时，对度量目标所进行的动态的可信度量；基于建立的所述静态度量信任链和所述动态度量信任链，构建所述度量信任链。根据本专利技术实施例的另一方面，还提供了一种密码运算处理装置，应用于密码运算芯片，包括：第一接收模块，用于接收到密码运算请求；度量模块，用于采用密码运算度量根对密码运算算法固件进行度量，得到第一度量结果，并将得到的所述第一度量结果发送给安全芯片；接收模块，用于接收到安全芯片反馈的比较结果，其中，所述比较结果为所述安全芯片确定的所述第一度量结果与预先存储的第二度量结果是否相同的结果；运算模块，用于在所述比较结果为相同的情况下，执行密码运算。根据本专利技术实施例的另一方面，还提供了一种密码运算处理装置，应用于安全芯片，包括：第二接收模块，用于接收到密码运算芯片发送的第一度量结果，其中，所述第一度量结果为所述密码运算芯片采用密码运算度量根对密码运算算法固件进行度量得到的度量结果；获取模块，用于获取预先存储的第二度量结果；比较模块，用于将所述第一度量结果与所述第二度量结果进行比较，得到是否相同的比较结果，并将所述比较结果发送给所述密码运算芯片，用于所述密码运算芯片在所述比较结果相同的情况下，执行密码运算。根据本专利技术实施例的另一方面，还提供了一种密码运算处理系统，包括：密码运算芯片和安全芯片，其中，所述密码运算芯片，用于接收到密码运算请求，采用密码运算度量根对密码运算算法固件进行度量，得到第一度量结果，并将得到的所述第一度量结果发送给安全芯片；所述安全芯片，用于获取预先存储的第二度量结果，并比较所述第一度量结果与所述第二度量结果是否相同，得到比较结果，并将所述比较结果发送给所述密码运算芯片；所述密码运算芯片，还用于在所述比较结果为相同的情况下，执行密码运算。根据本专利技术实施例的另一方面，还提供了一种度量信任链构建系统，包括：静态度量信任链构建子系统和动态度量信任链子系统，其中，所述静态度量信任链构建子系统，用于基于安全芯片建立静态度量信任链，其中，所述静态度量信任链包括：在设备的系统启动时对度量目标所进行的静态的可信度量；动态度量信任链子系统，用于基于密码运算芯片建立动态度量信任链，其中，所述动态度量信任链包括：在接收到可信度量请求时，对度量目标所进行的动态的可信度量；所述静态度量信任链构建子系统和所述动态度量信任链子系统，还用于基于建立的所述静态度量信任链和所述动态度量信任链，构建所述度量信任链。根据本专利技术实施例的另一方面，还提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述中任意一项所述的密码运算处理方法。根据本专利技术实施例的另一方面，还提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行上述中任意一项所述的密码运算处理方法。在本专利技术实施例中，采用密码运算芯片接收到密码运算请求；所述密码运算芯片采用密码运算度量根对密码运算算法固件进行度量，得到第一度量结果，并将得到的所述第一度量结果发送给安全芯片；所述密码运算芯片接收到安全芯片反馈的比较结果，其中，所述比较结果为所述安全芯片确定的所述第一度量结果与预先存储的第二度量结果是否相同的结果；所述密码运算芯片在所述比较结果为相同的情况下，执行密码运算的方式，通过对进行密码运算的算法固件进行度量，达到了使密码运算更可信的目的，从而实现了有效提高密码运算可信度的技术效果，进而解决了相关技术中无法对密码运算算法固件进行度量，导致密码运算可信度较低的技术问题。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本申请的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1示出了一种用于实现密码运算处理方法的计算机终端(或移动设备)的硬件结构框图；图2是根据本专利技术实施例1的一种密码运算处理方法的流程图；图3是根据本专利技术实施例1的另一种密码运算处理方本文档来自技高网...

【技术保护点】
1.一种密码运算处理方法，包括：/n密码运算芯片接收到密码运算请求；/n所述密码运算芯片采用密码运算度量根对密码运算算法固件进行度量，得到第一度量结果，并将得到的所述第一度量结果发送给安全芯片；/n所述密码运算芯片接收到安全芯片反馈的比较结果，其中，所述比较结果为所述安全芯片确定的所述第一度量结果与预先存储的第二度量结果是否相同的结果；/n所述密码运算芯片在所述比较结果为相同的情况下，执行密码运算。/n

【技术特征摘要】
1.一种密码运算处理方法，包括：
密码运算芯片接收到密码运算请求；
所述密码运算芯片采用密码运算度量根对密码运算算法固件进行度量，得到第一度量结果，并将得到的所述第一度量结果发送给安全芯片；
所述密码运算芯片接收到安全芯片反馈的比较结果，其中，所述比较结果为所述安全芯片确定的所述第一度量结果与预先存储的第二度量结果是否相同的结果；
所述密码运算芯片在所述比较结果为相同的情况下，执行密码运算。


2.根据权利要求1所述的方法，其中，在所述密码运算芯片采用密码运算度量根对密码运算算法固件进行度量之前，还包括：
所述密码运算芯片对所述密码运算度量根进行度量，得到第三度量结果；
所述密码运算芯片在所述第三度量结果与预定基准值一致的情况下，确定执行度量密码运算算法固件的度量实体完整。


3.根据权利要求1所述的方法，其中，所述密码运算芯片将得到的所述第一度量结果发送给安全芯片包括：
所述密码运算芯片采用平台密码运算度量密钥对所述第一度量结果进行加密，得到加密数据；
所述密码运算芯片将所述加密数据发送给所述安全芯片。


4.根据权利要求3所述的方法，其中，在所述密码运算芯片采用平台密码运算度量密钥对所述第一度量结果进行加密，得到加密数据之前，还包括：
所述密码运算芯片采用用户平台身份公钥，对密码运算请求进行解密得到用户密码运算度量密钥；
所述密码运算芯片根据所述用户密码运算度量密钥以及平台度量根，生成所述平台密码运算度量密钥。


5.根据权利要求1所述的方法，其中，所述密码运算芯片采用密码运算度量根对密码运算算法固件进行度量，得到第一度量结果包括：
所述密码运算芯片采用所述密码运算度量根对所述密码运算算法固件中的密码运算算法进行哈希计算，得到哈希值，并将所述哈希值作为所述第一度量结果。


6.根据权利要求5所述的方法，其中，在所述密码运算芯片采用所述密码运算度量根对所述密码运算算法固件中的密码运算算法进行哈希计算之前，还包括：
所述密码运算芯片根据密码运算请求中携带的密码运算属性信息确定所述密码运算算法。


7.根据权利要求1至6中任一项所述的方法，其中，在所述密码运算芯片采用密码运算度量根对密码运算算法固件进行度量之前，还包括：
所述密码运算芯片根据所述密码运算请求中携带的用户平台身份证书对所述密码运算请求的合法性进行验证，在验证通过的情况下，允许对密码运算算法固件进行度量。


8.一种密码运算处理方法，包括：
安全芯片接收到密码运算芯片发送的第一度量结果，其中，所述第一度量结果为所述密码运算芯片采用密码运算度量根对密码运算算法固件进行度量得到的度量结果；
所述安全芯片获取预先存储的第二度量结果；
所述安全芯片将所述第一度量结果与所述第二度量结果进行比较，得到是否相同的比较结果，并将所述比较结果发送给所述密码运算芯片，用于所述密码运算芯片在所述比较结果相同的情况下，执行密码运算。


9.根据权利要求8所述的方法，其中，所述安全芯片接收到密码运算芯片发送的第一度量结果包括：
所述安全芯片接收到所述密码运算芯片发送的采用平台密码运算度量密钥对所述第一度量结果进行加密的加密数据；
所述安全芯片采用预置的平台度量根和用户密码运算度量密钥生成所述平台密码运算度量密钥；
所述安全芯片采用生成的所述平台密码运算度量密钥对所述加密数据进行解密，获得所述第一度量结果。


10.一种密码运算处理方法，包括：
密码运算芯片接收到密码运算请求；
所述密码运算芯片采用密码运算度量根对密码运算算法固件进行度量，得到第一度量结果，并将得到的所述第一度量结果发送给安全芯片；
所述安全芯片获取预先存储的第二度量结果，并比较所述第一度量结果与所述第二度量结果是否相同，得到比较结果，并将所述比较结果发送给所述密码运算芯片；
所述密码运算芯片在所述比较结果为相同的情况下，执行密码运算。


11.根据权利要求10所述的方法，其中，
所述密码运算芯片将得到的所述第一度量结果发送给所述安全芯片包括：所述密码运算芯片采用平台密码运算度量密钥对所述第一度量结果进行加密，得到加密数据；所述密码运算芯片将所述加密数据发送给所述安全芯片；
在所述安全芯片比较所述第一度量结果与所述第二度量结果是否相同，得到比较结果之前，还包括：所述安全芯片采用预置的平台度量根和用户密码运算度量密钥生成所述平台密码运算度量密钥；所述安全芯片采用生成的所述平台密码运算度量密钥对所述加密数据进行解密，获得所述第一度量结果。


12.根...

【专利技术属性】
技术研发人员：付颖芳，肖鹏，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY