一种密钥授权方法和系统技术方案

本说明书实施例公开了一种密钥授权方法和系统，所述方法包括：在可信执行环境中创建可信的密钥托管程序，密钥存放于密钥托管程序对应的存储器中。密钥托管程序接收密钥使用程序发送的用于获取密钥的请求，并判断密钥使用程序是否为可信执行环境中的可信应用程序。若密钥使用程序为可信执行环境中的可信应用程序，密钥托管程序将密钥发送给密钥使用程序。密钥托管程序记录获取密钥的密钥使用程序的身份标识信息，以使得第三方能够获取记录的身份标识信息，并使得第三方能够基于该身份标识信息获取密钥使用程序的代码。可信执行环境可以基于英特尔公司的SGX(software guard extensions)技术实现。

A method and system of key authorization

【技术实现步骤摘要】
一种密钥授权方法和系统
本说明书涉及数据处理领域，特别涉及一种密钥授权方法和系统。
技术介绍
随着信息科技的发展，数据作为其拥有方的重要资源，数据隐私愈来愈受到人们的重视。为了确保数据的使用安全，目前一种方式是在可信执行环境(TEE，TrustedExecutionEnvironment)提供的安全计算环境下对数据进行使用，在可信执行环境下运行的程序行为符合预期，即可以确保用户数据的隐私安全。然而，在实际使用过程中，可信执行环境中的程序必然有修改、订正等程序代码升级的需求。为了确保用户数据的隐私安全，需要对修改、订正代码后的程序再次认证，以确保可信执行环境下运行的程序行为符合预期。因此，有必要提供一种密钥授权方法和系统。
技术实现思路
本说明书实施例的一个方面提供一种密钥授权方法。所述方法包括：可以在可信执行环境中创建可信的密钥托管程序，所述密钥存放于所述密钥托管程序对应的存储器中。所述密钥托管程序接收密钥使用程序发送的用于获取所述密钥的请求，并判断所述密钥使用程序是否为可信执行环境中的可信应用程序。若所述密钥使用程序为可信本文档来自技高网...

【技术保护点】
1.一种密钥授权方法，所述方法包括：/n在可信执行环境中创建可信的密钥托管程序，所述密钥存放于所述密钥托管程序对应的存储器中；/n所述密钥托管程序接收密钥使用程序发送的用于获取所述密钥的请求，并判断所述密钥使用程序是否为可信执行环境中的可信应用程序；/n若所述密钥使用程序为可信执行环境中的可信应用程序，所述密钥托管程序将所述密钥发送给所述密钥使用程序；/n所述密钥托管程序记录获取所述密钥的所述密钥使用程序的身份标识信息，以使得第三方能够获取记录的所述身份标识信息，并使得所述第三方能够基于该身份标识信息获取所述密钥使用程序的代码，以基于该代码在密钥授权后审计该密钥使用程序。/n

【技术特征摘要】
1.一种密钥授权方法，所述方法包括：
在可信执行环境中创建可信的密钥托管程序，所述密钥存放于所述密钥托管程序对应的存储器中；
所述密钥托管程序接收密钥使用程序发送的用于获取所述密钥的请求，并判断所述密钥使用程序是否为可信执行环境中的可信应用程序；
若所述密钥使用程序为可信执行环境中的可信应用程序，所述密钥托管程序将所述密钥发送给所述密钥使用程序；
所述密钥托管程序记录获取所述密钥的所述密钥使用程序的身份标识信息，以使得第三方能够获取记录的所述身份标识信息，并使得所述第三方能够基于该身份标识信息获取所述密钥使用程序的代码，以基于该代码在密钥授权后审计该密钥使用程序。


2.如权利要求1所述的方法，所述判断所述密钥使用程序是否为可信执行环境中的可信应用程序，包括：
所述密钥托管程序接收验证平台关于所述密钥使用程序所使用的硬件信息的验证结果；
基于所述验证结果判断所述密钥使用程序是否为可信执行环境中的可信应用程序。


3.如权利要求1所述的方法，所述密钥托管程序记录获取所述密钥的所述密钥使用程序的身份标识信息，以使得所述第三方能够获取记录的所述身份标识信息，包括：
所述密钥托管程序将获取所述密钥的所述密钥使用程序的身份标识信息发送至所述第三方，以使得所述第三方能够接收到所述身份标识信息，或者将所述身份标识信息存储至目标存储平台，以使得所述第三方能够从所述目标存储平台获取所述身份标识信息。


4.如权利要求3所述的方法，所述目标存储平台为区块链平台，或经过安全认证的数据库。


5.如权利要求1所述的方法，所述密钥托管程序将所述密钥发送给所述密钥使用程序，包括：
所述密钥托管程序利用所述密钥使用程序的公钥对所述密钥加密得到所述密文；
所述密钥托管程序将所述密文发送给所述密钥使用程序，以使得所述密钥使用程序能够利用自身与所述公钥对应的私钥，对所述密文解密得到所述密钥的明文。


6.如权利要求1所述的方法，所述可信执行环境为基于软件保护扩展策略的可信执行环境。


7.一种密钥授权方法，所述方法包括：
所述密钥使用程序发送用于获取所述密钥的请求至密钥托管程序，以使得所述密钥托管程序能够响应于所述请求，并能够确定所述密钥使用程序为可信执行环境中的可信应用程序，其中，所述密钥托管程序为创建于可信执行环境中的可信应用程序，所述密钥存放于所述密钥托管程序对应的内存中；
所述密钥使用程序接收所述密钥托管程序发送的所述密钥加密后的密文；
所述密钥使用程序对所述密文解密得到所述密钥的明文；
所述密钥使用程序将自身的代码或该代码的加密值发送给第三方，以使得所述第三方能够基于所述代码或所述加密值对所述密钥使用程序进行审计；或者，
所述密钥使用程序将自身的代码或该代码的加密值存储至目标存储平台，以使得所述第三方能够从所述目标存储平台获取所述代码或所述加密值，并能够基于所述代码或所述加密值对所述密钥使用程序进行审计。


8.如权利要求7所述的方法，所述目标存储平台为区块链平台，或经过安全认证的数据库。


9.如权利要求7所述的方法，所述可信执行环境为基于软件保护扩展策略的可信执行环境。


10.一种密钥授权系统，应用于密钥托管程序，所述系统包括：
创建模块，用于在可信执行环境中创建可信的密钥托管程序，所述密钥存放于所述...

【专利技术属性】
技术研发人员：周爱辉，余超凡，张宁，王磊，陆宇飞，巫锡斌，
申请(专利权)人：支付宝杭州信息技术有限公司，
类型：发明
国别省市：浙江;33