【技术实现步骤摘要】
【国外来华专利技术】用于为处理设备建立安全数据通信的方法和用于生成密码密钥的信任模块以及现场设备
[0001]本公开涉及一种用于为处理设备建立安全数据通信的方法和计算机程序产品。此外,公开了一种用于生成密码密钥的信任模块以及一种现场设备。
[0002]安全元件(或信任模块)用于密码密钥的安全存储以及用于在安全执行环境中执行密码操作。常规地,信任模块可以被实现为分离的硬件组件,诸如密码控制器或硬件安全模块,或者可以被集成在现场可编程门阵列(FPGA)上或者在分离的执行环境、诸如可信执行环境(TEE)内。
[0003]上述类型的信任模块的主要要求是保护或确保对信任模块的访问,以便避免例如处理设备(或实体)的未授权应用可以获得密码密钥或能够操控信任模块。
[0004]如果用户或处理设备想要得到对信任模块的访问,则处理设备必须执行访问认证。传统上,访问认证例如借助于口令、PIN、生物ID等来执行。在成功访问认证的情况下,信任模块认证处理设备,并允许访问信任模块的密码密钥和操作。
[0005]然而,上述类型的访问认证需要访问认证函数的明确实现和相应安全元件的配置。
[0006]本专利技术的一个目的是提供用于简化对信任模块的访问认证的手段。
[0007]根据第一方面,提出了一种用于基于密码密钥为处理设备建立安全数据通信的方法。所述方法包括以下步骤:向信任模块提交密码密钥请求,所述密码密钥请求包括由处理设备提供的密钥标识符,其中密钥请求受处理设备的数字签名保护;在信任模块处,基于分配给处理设备的公共密钥来验证数字签名;在信任模块处,基于 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于基于密码密钥(KD)为处理设备(CPU)建立安全数据通信的方法,包括:向信任模块(LTAF)提交(S101)密码密钥请求(getKey),所述密码密钥请求(getKey)包括由所述处理设备(CPU)提供的密钥标识符(devP),并且所述密码密钥请求(getKey)受所述处理设备(CPU)的数字签名(sig)保护;在所述信任模块(LTAF)处,基于分配给所述处理设备(CPU)的公共密钥(Kpub
‑
caller)验证(S102)所述数字签名(sig);在所述信任模块(LTAF)处,基于分配给所述处理设备(CPU)的所述公共密钥(Kpub
‑
caller)和分配给所述信任模块(LTAF)的秘密密钥(SK)生成(S103)内部密码密钥(Ki
‑
caller);在所述信任模块(LTAF)处,基于所述内部密码密钥(Ki
‑
caller)和由所述处理设备(CPU)提供的所述密钥标识符(devP)生成(S104)所述密码密钥(KD);在所述信任模块(LTAF)处,使用分配给所述处理设备(CPU)的所述公共密钥(Kpub
‑
caller)对所述密码密钥(KD)进行加密(S105);以及将加密的密码密钥(Enc(KD))传输(S106)到所述处理设备(CPU);其中所述信任模块(LTAF)被实现为无状态Lambda信任锚。2.根据权利要求1所述的方法,进一步包括:在所述处理设备(CPU)处,使用分配给所述处理设备(CPU)的秘密密钥(Kpriv
‑
caller)对加密的密码密钥(Enc(KD))进行解密;以及使用所述密码密钥(KD)在所述处理设备(CPU)和另一设备之间建立安全数据通信。3.根据权利要求1或2所述的方法,其中分配给所述处理设备(CPU)的所述公共密钥(Kpub
‑
caller)作为所述数字签名(sig)的一部分或作为原始密钥或通过引用所述公共密钥(Kpub
‑
caller)被提交给所述信任模块(LTAF)。4.根据权利要求1
ꢀ‑ꢀ
3中任一项所述的方法,进一步包括:使用第一密钥推导函数(KDF1)生成(S103)所述内部密码密钥(Ki
‑
caller),其中所述第一密钥推导函数(KDF1)将分配给所述处理设备(CPU)的所述公共密钥(Kpub
‑
caller)和分配给所述信任模块(LTAF)的所述秘密密钥(SK)映射到所述内部密码密钥(Ki
‑
caller)。5.根据权利要求1
ꢀ‑ꢀ
3中任一项所述的方法,进一步包括:使用密钥生成函数生成(S103)所述内部密码密钥(Ki
‑
caller),在所述密钥生成函数处,基于初级种子生成公共
‑
私有密钥对。6.根据权利要求1
ꢀ‑ꢀ
5中任一项所述的方法,进一步包括:使用第二密钥推导函数(KDF2)生成(S104)所述密码密钥(KD),其中所述第二密钥推导函数(KDF2)将所述内部密码密钥(Ki
‑
caller)和所述处理设备(CPU)的所述密钥标识符(devP)映射到所述密码密钥(KD)。7.根据权利要求1
ꢀ‑ꢀ
6中任一项所述的方法,进一步包括:由分配给所述信任模块(LTAF)的所述秘密密钥(SK)对数据结构进行解密,所述数据结构作为所述密码密钥请求(getKey)的一部分从所述处理...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。