本发明专利技术涉及一种基于SGX的对称秘钥生成管理系统、方法、设备及介质,该系统包括智能设备和基于SGX技术的秘钥服务器;所述秘钥服务器包括基于SGX技术构建的应用程序模块,所述应用程序模块用于创建enclave环境,在该enclave环境中进行根秘钥生成和秘钥分散操作。与现有技术相比,本发明专利技术安全性高,且无需智能设备端含有SGX技术的芯片,局限性更小,成本更低。成本更低。成本更低。
【技术实现步骤摘要】
一种基于SGX的对称秘钥生成管理系统、方法、设备及介质
[0001]本专利技术涉及通信安全领域,尤其是涉及一种基于SGX的对称秘钥生成管理系统、方法、设备和介质。
技术介绍
[0002]对称加密算法是一种在数据保护、通信安全领域中的一种常用的技术,对称秘钥的生成与管理是对称加密算法应用中一个重要的技术问题。
[0003]对称加密算法如AES、SM4等为公开的密码算法,在使用对称加密时,数据交互的双方需要持有相同的对称秘钥K,双方使用对称秘钥K进行数据加解密或身份认证。如果双方无法使用非对称会话秘钥协商算法进行会话秘钥(对称秘钥)协商,则需要有第三方系统给通信双方提供对称秘钥的生成与分发。
[0004]非对称会话秘钥协商算法是指通信双方使用非对称加密算法在非安全的通信通道中安全的生成会话秘钥的算法,如ECDH。但是会话秘钥协商算法需要双方持有非对称秘钥,并处于连接通信状态。
[0005]目前,现有方法主要通过加密机生成对称秘钥,智能设备从秘钥服务器(或秘钥系统)获取业务对称秘钥,但是,加密机硬件难以做海量的秘钥存储,所以一般秘钥库中的根秘钥数量较少,需要将根秘钥导入到秘钥服务器进行秘钥分散得到业务对称秘钥。在将根秘钥导出到秘钥服务器的过程中,有两种处理方式:1)将根秘钥明文导出到秘钥服务器;2)给加密机一个加密秘钥,加密机用加密秘钥加密根秘钥,将密文导出到秘钥服务器。这两种导出方式,都存在秘钥泄露的风险,黑客通过截取根秘钥明文或加密秘钥明文,都可以获得根秘钥,从而威胁到所有智能设备的业务对称秘钥。在秘钥服务器上使用应用程序对根秘钥分散操作,根秘钥会明文处于内存中,用于分散运算,黑客通过访问内存中的明文数据从而获取到根秘钥。
[0006]Intel Software Guard eXtensions(SGX)是Intel处理器的指令集扩展,旨在以硬件安全为强制性保障,不依赖于固件和软件的安全状态,提供用户空间的可信执行环境,通过一组新的指令集扩展与访问控制机制,实现不同程序间的隔离运行,保障用户关键代码和数据的机密性与完整性不受恶意软件的破坏。SGX允许应用创建enclave,enclave可以理解为一个数据运行的安全环境,我们可以称它为“小黑匣”。SGX对于软件的保护并不是识别或者隔离系统中出现的恶意软件,而是将合法软件对于敏感数据(如加密密钥、密码、用户数据等)的操作封装在一个“小黑匣”中,使得恶意软件无法对这些数据进行访问。
[0007]经过检索,中国专利技术专利CN109150517A公开了一种基于SGX的秘钥安全管理系统和方法,该专利技术在客户端和秘钥管理服务器端均使用SGX技术对秘钥进行安全存储和安全运算。但是,该专利技术客户端软件也需要使用SGX技术,而SGX技术属于Intel芯片的特性,即客户端也必须使用Intel芯片,限制了客户端的使用载体;且在物联网领域中,客户端数量大,使用Intel芯片成本高。
[0008]针对通信双方在无非对称加密算法和无非对称秘钥情况下进行会话秘钥(对称秘
钥)协商、无连接状态等场景时,为解决根秘钥泄露问题,研发一种安全性高、局限性小、成本较低的向通信双方提供对称秘钥的生成与安全存储的方法和系统,成为需要解决的技术问题。
技术实现思路
[0009]本专利技术的目的就是为了克服上述现有技术存在的缺陷而提供一种安全性高、局限性低、成本较低的基于SGX的对称秘钥生成管理系统、方法、设备及介质。
[0010]本专利技术的目的可以通过以下技术方案来实现:
[0011]根据本专利技术的第一方面,提供了一种基于SGX的对称密钥生成管理系统,该系统包括智能设备和基于SGX技术的秘钥服务器;所述秘钥服务器包括基于SGX技术构建的应用程序模块,所述应用程序模块用于创建enclave环境,在该enclave环境中进行根秘钥生成和秘钥分散操作。
[0012]优选地,所述秘钥分散操作时,相关代码运行在enclave环境中,外部应用程序或具有高优先级的黑客应用程序或操作系统均无法访问enclave环境中的内存和应用程序。
[0013]根据本专利技术的第二方面,提供了一种基于上述基于SGX的对称密钥生成管理系统的方法,该方法包括以下步骤:
[0014]步骤S1:在所述智能设备和秘钥服务器中进行信息预置,即在智能设备和秘钥服务器中分别预置一个相同的加密秘钥K1;
[0015]步骤S2:所智能设备生成一个随机数R,并使用加密秘钥K1将R进行加密,同时将该智能设备的唯一标识号加R发给秘钥服务器;
[0016]步骤S3:所秘钥服务器收到密文后使用加密秘钥K1解密密文得到R明文;
[0017]步骤S4:所秘钥服务器在enclave环境中使用根秘钥Kroot对智能设备的唯一标识号加R明文进行加密和hash运算,得到智能设备的业务对称秘钥Ka,并在enclave环境中安全存储业务对称秘钥Ka,与智能设备的唯一标识号建立绑定关系;
[0018]步骤S5:所述秘钥服务器在enclave环境中使用加密秘钥K1加密业务对称秘钥Ka,并将密文发送给智能设备;
[0019]步骤S6:所述智能设备收到密文后使用K1进行解密,得到业务对称秘钥Ka,并存储Ka。
[0020]优选地,所述步骤S1具体为:在智能设备中预置一个加密秘钥K1,在秘钥服务器中预置一个相同的加密秘钥K1;秘钥服务器首次运行时,基于SGX技术构建的应用程序在enclave环境中生成一个根秘钥Kroot并存储在该环境中,同时进行秘钥分散,其中所述秘钥分散是以根秘钥和智能设备的参数作为运算因子,进行组合、hash算法操作,以得到业务对称秘钥。
[0021]优选地,所述步骤S2中的唯一标识号为SN号。
[0022]优选地,所述智能设备的业务对称秘钥Ka具有有效期,所述业务对称秘钥Ka过期后,所述智能设备重新生成新的业务对称秘钥Ka
’
。
[0023]优选地,所述业务对称秘钥Ka过期后,所述智能设备重新生成新的业务对称秘钥Ka
’
过程,具体包括以下步骤:
[0024]步骤S71:所述智能设备生成一个新的随机数R
’
;
[0025]步骤S72:所述智能设备使用Ka将R
’
进行加密,并将智能设备的唯一标识号加密文发给秘钥服务器;
[0026]步骤S73:所述秘钥服务器根据智能设备的唯一标识号找到匹配的Ka,使用Ka解密得到R
’
明文;
[0027]步骤S74:所述秘钥服务器在enclave环境中使用Ka对智能设备的唯一标识号加R
’
明文进行加密和hash运算,得到智能设备的新的业务对称秘钥Ka
’
,并在enclave环境中安全存储对称秘钥Ka
’
,与SN更新绑定关系;
[0028]步骤S75:所述秘钥服务器在enclave环境中使用业务对称秘钥Ka加密Ka
’
,并本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于SGX的对称密钥生成管理系统,其特征在于,该系统包括智能设备和基于SGX技术的秘钥服务器;所述秘钥服务器包括基于SGX技术构建的应用程序模块,所述应用程序模块用于创建enclave环境,在该enclave环境中进行根秘钥生成和秘钥分散操作。2.根据权利要求1所述的一种基于SGX的对称密钥生成管理系统,其特征在于,所述秘钥分散操作时,相关代码运行在enclave环境中,外部应用程序或具有高优先级的黑客应用程序或操作系统均无法访问enclave环境中的内存和应用程序。3.一种基于权利要求1所述基于SGX技术的对称密钥生成管理系统的方法,其特征在于,该方法包括以下步骤:步骤S1:在所述智能设备和秘钥服务器中进行信息预置,即在智能设备和秘钥服务器中分别预置一个相同的加密秘钥K1;步骤S2:所述智能设备生成一个随机数R,并使用加密秘钥K1将R进行加密,同时将该智能设备的唯一标识号加R发给秘钥服务器;步骤S3:所述秘钥服务器收到密文后使用加密秘钥K1解密密文得到R明文;步骤S4:所述秘钥服务器在enclave环境中使用根秘钥Kroot对智能设备的唯一标识号加R明文进行加密和hash运算,得到智能设备的业务对称秘钥Ka,并在enclave环境中安全存储业务对称秘钥Ka,与智能设备的唯一标识号建立绑定关系;步骤S5:所述秘钥服务器在enclave环境中使用加密秘钥K1加密业务对称秘钥Ka,并将密文发送给智能设备;步骤S6:所述智能设备收到密文后使用K1进行解密,得到业务对称秘钥Ka,并存储Ka。4.根据权利要求3所述的方法,其特征在于,所述步骤S1具体为:在智能设备中预置一个加密秘钥K1,在秘钥服务器中预置一个相同的加密秘钥K1;秘钥服务器首次运行时,基于SGX技术构建的应用程序在enclave环境中生成一个根秘钥Kroot并存储在该环境中,同时进行秘钥分散,其中所述秘钥分散是以根秘钥和智能设备的参数作为运算因子,进行组合、hash算法操作,以得到业务对称秘钥。5.根据权利要求3所述的方法,其特征在于,所述步骤S2中的唯一标识号为SN号。6.根据权利要求3所述的方法,其特征在于,所述智能设备的业务对称秘钥Ka具有有效期,所述业务对称秘钥Ka过期后,所述智能设备重新生成新的业务对称秘钥Ka
’
。7.根据权利要求6所述的方法,其特征在于,所述业务对称秘钥Ka过期后,所述智能设备重新生成新的业务对称秘钥Ka
’...
【专利技术属性】
技术研发人员:邹飞,李子男,利文浩,
申请(专利权)人:上海瓶钵信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。