本申请实施例公开了一种密码管理方法及相关装置,通过将TPM所有者密码以密文的形式存储在芯片内,能够提高TPM所有者密码在存储过程中的安全性。本申请实施例方法包括:芯片通过第一密钥以及预置的加密算法对第一TPM所有者密码进行加密,得到该第一TPM所有者密码对应的第一密文;在得到第一密文之后,芯片将该第一密文存储在芯片中的安全存储区域中。
A password management method and related devices
【技术实现步骤摘要】
一种密码管理方法及相关装置
本申请涉及信息安全
,尤其涉及一种密码管理方法及相关装置。
技术介绍
可信平台模块(trustedplatformmodule,TPM)可以应用于计算机、服务器等设备上,还可以应用于路由器或交换机等网络设备上,能够起到保障设备信息安全的作用。对于TPM而言,每个TPM都会存在有一个TPM所有者密码(TPMownerpassword),该TPM所有者密码能够影响TPM大部分功能的使用。在网络设备中,当网络设备上的软件程序需要使用TPM的一些功能时,往往需要向该TPM传递TPM所有者密码,只有在TPM所有者密码正确的情况下,软件程序才能够使用TPM的相关功能。目前,网络设备上的软件程序往往是将TPM所有者密码以明文的形式存储在闪存(FlashMemory)上,仅仅依靠闪存上的权限访问控制机制来限制读取TPM所有者密码的进程。然而,目前的TPM所有者密码存储方式存在有非法进程绕过权限访问控制机制而直接获取TPM所有者密码的风险,TPM所有者密码的安全性较低。
技术实现思路
本申请实施例提供了一种密码管理方法及相关装置,通过芯片对TPM所有者密码进行加密,并且将加密后所得到的密文存储在芯片内,使得TPM所有者密码以密文的形式存储在芯片内,提高了TPM所有者密码在存储过程中的安全性,有效保证了TPM所有者密码的安全使用。本申请实施例第一方面提供了一种密码管理方法,该方法包括:在需要安全存储TPM所有者密码的情况下,芯片可以通过第一密钥以及预置的加密算法对第一TPM所有者密码进行加密,得到第一密文;芯片将第一密文存储在芯片中的安全存储区域,其中,该安全存储区域可以是不对芯片的外部实体提供有访问接口的存储区域,即芯片不支持外部的实体访问该安全存储区域。本实施例中,通过芯片对TPM所有者密码进行加密,并且将加密后所得到的密文存储在芯片内,使得TPM所有者密码以密文的形式安全地存储在芯片内,降低了TPM所有者密码泄露的风险,提高了TPM所有者密码在存储过程中的安全性,可以有效保证TPM所有者密码的安全使用。在一种可能的实现方式中,第一密钥是由芯片生成的密钥,第一密钥明文存储在芯片中。这样,在芯片通过第一密钥对第一TPM所有者密码进行加密之前,芯片先从存储第一密钥的区域中获取第一密钥,然后再对第一TPM所有者密码进行加密。在一种可能的实现方式中,第一密钥为由芯片生成的密钥,第一密钥加密存储在芯片中。这样,在芯片通过第一密钥对第一TPM所有者密码进行加密之前,芯片可以先从存储第一密钥对应的密文的区域中获取该密文,对该密文进行解密后得到第一密钥,然后再通过第一密钥对第一TPM所有者密码进行加密。在一种可能的实现方式中,第一密钥可以是由芯片的根密钥派生得到的密钥,第一密钥也可以是基于物理不可克隆技术(physicalunclonablefunction,PUF)生成的密钥。在一种可能的实现方式中,芯片通过第一密钥对第一TPM所有者密码进行加密之前,方法还包括:芯片获取第一请求,该第一请求可以是由实体向芯片发送的,第一请求中携带有第一TPM所有者密码,用于指示芯片存储第一TPM所有者密码;根据第一请求,芯片存储第一TPM所有者密码,即芯片通过第一密钥对第一TPM所有者密码进行加密得到第一密文之后,将第一密文存储在芯片的安全存储区域。在一种可能的实现方式中,芯片将第一密文存储在芯片中的安全存储区域之后,方法还包括:芯片获取第一实体发送的第二请求,该第二请求用于请求芯片解密第一TPM所有者密码对应的第一密文,以及将解密得到的第一TPM所有者密码返回给第一实体;根据第二请求,芯片通过第一密钥对第一密文进行解密,得到第一TPM所有者密码;芯片向第一实体发送第一TPM所有者密码,以使得第一实体能够在接收到第一TPM所有者密码之后,调用TPM中需要验证第一TPM所有者密码的相关功能。本实施例中,在芯片获取到第一实体的第二请求之后,由芯片通过第一密钥对第一密文进行解密,得到第一TPM所有者密码,并且向第一实体发送该第一TPM所有者密码,确保了第一实体能够安全地使用在芯片中所存储的TPM所有者密码。在一种可能的实现方式中,芯片将第一密文存储在芯片中的安全存储区域之后,方法还包括:芯片获取第二实体发送的第三请求,第三请求中携带有第二TPM所有者密码,用于指示芯片将第一TPM所有者密码更新为第二TPM所有者密码;芯片通过第一密钥对第二TPM所有者密码进行加密,得到第二密文;芯片将安全存储区域中的第一密文替换为第二密文。本实施例中,通过由芯片获取第二实体发送的第三请求,以及通过第一密钥对更新后的第二TPM所有者密码进行加密,得到第二密文,并且将第二密文存储在安全存储区域中,从而实现TPM所有者密码的更新,保证TPM所有者密码的安全性。在一种可能的实现方式中,芯片将第一密文存储在安全存储区域之后,方法还包括:在需要迁移TPM所有者密码的情况下,例如需要将TPM迁移到其他的设备上时,可以由第三实体向芯片发送第四请求;芯片获取第三实体发送的第四请求,第四请求中携带有第二密钥,该第二密钥为非该芯片生成的密钥;芯片通过第一密钥对第一密文进行解密,得到第一TPM所有者密码;芯片通过第二密钥对第一TPM所有者密码进行加密,得到第三密文;芯片向第三实体发送第三密文。在本实施例中,在芯片获取到第三实体发送的第四请求的情况下,芯片对第一密文进行解密,得到第一TPM所有者密码,并且基于第三实体所提供的外部密钥对第一TPM所有者密码进行加密,将加密后的第三密文返回给第三实体,从而实现将TPM所有者密码以密文的方式进行迁移,提高了方案的灵活性。在一种可能的实现方式中,芯片通过第一密钥对第一TPM所有者密码进行加密,包括:芯片通过第一密钥和明文信息对第一TPM所有者密码进行加密,其中,明文信息为芯片中以明文形式存储的加密信息。加密信息是指用于对所述第一TPM所有者密码进行加密所使用的信息。明文信息例如可以包括salt和初始化向量(initializationvector,IV)中的一种或多种。本申请实施例第二方面提供了一种芯片,该芯片包括:处理器和存储器;处理器,用于通过第一密钥对第一TPM所有者密码进行加密,得到第一密文;存储器,用于将第一密文存储在安全存储区域。在一种可能的实现方式中,第一密钥是由芯片生成的密钥,第一密钥明文存储在芯片中。在一种可能的实现方式中,第一密钥为由芯片生成的密钥,第一密钥加密存储在芯片中。在一种可能的实现方式中,第一密钥是由芯片的根密钥派生得到的密钥。在一种可能的实现方式中,芯片还包括通信接口,通信接口用于获取第一请求,第一请求中携带有第一TPM所有者密码;存储器还用于存储第一TPM所有者密码。在一种可能的实现方式中,通信接口获取第一实体发送的第二请求;处理器,还用于根据第二请求,通过第一密钥对第一密文进行解密,得到第一TPM所有者密码;通信接口,还用于向第一实体发送第一TPM本文档来自技高网...
【技术保护点】
1.一种密码管理方法,其特征在于,所述方法包括:/n芯片通过第一密钥对第一可信平台模块TPM所有者密码进行加密,得到第一密文;/n所述芯片将所述第一密文存储在所述芯片中的安全存储区域。/n
【技术特征摘要】
1.一种密码管理方法,其特征在于,所述方法包括:
芯片通过第一密钥对第一可信平台模块TPM所有者密码进行加密,得到第一密文;
所述芯片将所述第一密文存储在所述芯片中的安全存储区域。
2.根据权利要求1所述的方法,其特征在于,所述第一密钥是由所述芯片生成的密钥,所述第一密钥明文存储在所述芯片中。
3.根据权利要求1所述的方法,其特征在于,所述第一密钥为由所述芯片生成的密钥,所述第一密钥加密存储在所述芯片中。
4.根据权利要求2或3所述的方法,其特征在于,所述第一密钥是由所述芯片的根密钥派生得到的密钥。
5.根据权利要求1至4任意一项所述的方法,其特征在于,所述芯片通过第一密钥对第一TPM所有者密码进行加密之前,所述方法还包括:
所述芯片获取第一请求,所述第一请求中携带有所述第一TPM所有者密码;
根据所述第一请求,所述芯片存储所述第一TPM所有者密码。
6.根据权利要求1至5任意一项所述的方法,其特征在于,所述芯片将所述第一密文存储在所述芯片中的安全存储区域之后,所述方法还包括:
所述芯片获取第一实体发送的第二请求;
根据所述第二请求,所述芯片通过所述第一密钥对所述第一密文进行解密,得到所述第一TPM所有者密码;
所述芯片向所述第一实体发送所述第一TPM所有者密码。
7.根据权利要求1至6任意一项所述的方法,其特征在于,所述芯片将所述第一密文存储在所述芯片中的安全存储区域之后,所述方法还包括:
所述芯片获取第二实体发送的第三请求,所述第三请求中携带有第二TPM所有者密码;
所述芯片通过所述第一密钥对所述第二TPM所有者密码进行加密,得到第二密文;
所述芯片将所述安全存储区域中的所述第一密文替换为所述第二密文。
8.根据权利要求1至5任意一项所述的方法,其特征在于,所述芯片将所述第一密文存储在安全存储区域之后,所述方法还包括:
所述芯片获取第三实体发送的第四请求,所述第四请求中携带有第二密钥;
所述芯片通过所述第一密钥对所述第一密文进行解密,得到所述第一TPM所有者密码;
所述芯片通过所述第二密钥对所述第一TPM所有者密码进行加密,得到第三密文;
所述芯片向所述第三实体发送所述第三密文。
9.根据权利要求1至8任意一项所述的密码管理方法,其特征在于,所述芯片通过第一密钥对所述第一TPM所有者密码进行加密,包括:
所述芯片通过所述第一密钥和明文信息对所述第一TPM所有者密码进行加密,其中,所述明文信息为所述芯片中以明文形式存储的加密信息。
10.一种芯片,其特征在于,包括:...
【专利技术属性】
技术研发人员:高鹏,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。