【技术实现步骤摘要】
基于可信执行环境的密钥管理方法、装置和电子设备
[0001]本申请实施例涉及信息安全
,特别是涉及一种基于可信执行环境的密钥管理方法、一种基于可信执行环境的密钥管理装置、一种电子设备和一种存储介质。
技术介绍
[0002]随着《数据安全法》和《个人信息保护法》等法律法规的颁布实施,保护敏感数据的安全和隐私受到越来越多的重视,数据安全保护措施需要贯穿完整的生命周期(存储态、传输态、计算态)。
[0003]加密系统是数据安全的基石,而密钥安全是加密系统安全的最核心部分,因此在数据全生命周期提供安全可靠又容易工程落地的密钥管理方法,能够提升产品的数据安全合规能力和产品竞争力。
[0004]通过对客户需求的提炼,发现客户有较强烈的保护高价值数据出域到不受信任的环境与第三方数据做融合计算的需求(数据被传输到不受信任的环境中存储和计算),然而,由于存在计算环境不联网、客户不愿承担额外安全硬件成本和运维投入等因素,导致目前仍然无法提供一个有效的密钥管理方法,来保证密钥安全,进而保证数据安全。
技术实现思路
【技术保护点】
【技术特征摘要】
1.一种基于可信执行环境的密钥管理方法,其特征在于,应用于服务器,所述服务器中包括支持机密计算的可信执行环境,所述方法包括:在所述可信执行环境中生成密钥和所述密钥的远程证明材料;将所述密钥和所述远程证明材料传输至终端设备;在所述终端设备基于所述远程证明材料确定所述可信执行环境为受信任环境以及所述密钥为可信密钥时,接收到所述终端设备采用所述密钥对所述用户数据密钥加密后生成的加密的用户数据密钥;采用所述密钥对所述加密的用户数据密钥进行解密,得到所述用户数据密钥,以使所述可信执行环境与所述终端设备基于所述用户数据密钥进行数据传输。2.根据权利要求1所述的方法,其特征在于,所述在所述可信执行环境中生成密钥和所述密钥的远程证明材料,包括:在所述可信执行环境中生成密钥;采用预设摘要算法计算所述密钥的摘要数据,基于所述摘要数据生成所述密钥的远程证明材料。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:基于硬件级安全指令获取持久化数据密钥;所述持久化数据密钥为根据所述服务器中内置的硬件保护的持久化根密钥生成;采用所述持久化数据密钥对所述密钥进行加密,以及采用所述所述持久化数据密钥对所述用户数据密钥进行加密;将加密的密钥和加密的用户数据密钥,存储至所述可信执行环境对应的持久化存储区域中。4.根据权利要求3所述的方法,其特征在于,所述采用所述密钥对所述加密的用户数据密钥进行解密,得到所述用户数据密钥,包括:从所述持久化存储区域中获取所述加密的密钥;采用所述持久化数据密钥对所述加密的密钥进行解密;采用解密后的所述密钥对所述加密的用户数据密钥进行解密,得到解密后的所述用户数据密钥。5.根据权利要求3所述的方法,其特征在于,所述方法还包括:在所述可信执行环境与所述终端设备进行数据传输时,从所述持久化存储区域中获取所述加密的用户数据密钥;采用所述持久化数据密钥对所述加密的用户数据密钥进行解密;采用解密后的所述用户数据密钥,对所述可信执行环境与所述终端设...
【专利技术属性】
技术研发人员:汪溯,路放,买宇飞,初晓博,
申请(专利权)人:阿里云计算有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。