【技术实现步骤摘要】
本申请涉及处理器,具体涉及一种密钥派生方法、处理器和相关设备。
技术介绍
1、密钥派生技术是指从一个基础密钥或根密钥产生出一个或者多个派生密钥的技术。例如,在采用处理器芯片的手机、桌面机或服务器等计算机设备上,可以以硬件唯一密钥(hand ware unique key,huk)为基础密钥,派生出安全存储密钥(secure storage key,ssk)和可信应用存储密钥(trusted application storage key,tsk)等派生密钥,并通过ssk和tsk等派生密钥保证设备存储的重要数据的安全。虽然派生密钥的正确复现是保证设备安全的基础,但是,在设备受到攻击或恶意访问的情况下,若派生密钥仍被正确复现,就会导致重要数据被泄露,影响设备的安全性。
技术实现思路
1、本申请公开一种密钥派生方法、处理器和相关设备,以在设备受到攻击或恶意访问的情况下,避免派生密钥的正确复现。
2、第一方面,本申请公开了一种密钥派生方法,应用于处理器,所述处理器搭载有至少一种执行环境,所述执行环境包括多个隔离域,所述密钥派生方法包括:接收上层隔离域发送的密钥派生请求;将本层隔离域的状态信息添加到所述密钥派生请求中,所述状态信息包括本层隔离域的软件状态信息和/或硬件状态信息;响应所述密钥派生请求,基于所述状态信息生成派生密钥,或者,将具有所述状态信息的密钥派生请求发送至下层隔离域,以使所述下层隔离域响应所述密钥派生请求生成派生密钥。
3、在一些可选示例中,所述将本层
4、在一些可选示例中,所述软件状态信息包括堆栈信息、软件版本信息、软件生命周期信息、软件开发者信息或软件授权信息;所述硬件状态信息包括设备安全周期状态。
5、在一些可选示例中,所述密钥派生请求包括所述上层隔离域的状态掩码,所述将状态信息添加到所述密钥派生请求中之前,还包括:基于所述上层隔离域的状态掩码和所述本层隔离域的状态掩码确定所述本层隔离域的状态信息,所述上层隔离域的状态掩码和所述本层隔离域的状态掩码分别用于指示所述本层隔离域的至少一种状态信息。
6、在一些可选示例中,所述本层隔离域为派生根隔离域,所述密钥派生请求包括会话密钥密文和算法信息密文,所述基于所述状态信息生成派生密钥包括:基于所述派生根隔离域的私钥,对所述会话密钥密文进行解密获得会话密钥;基于所述会话密钥,对所述算法信息密文进行解密获得算法信息;基于所述状态信息和所述算法信息生成派生密钥。
7、在一些可选示例中,还包括:接收所述上层隔离域发送的信息获取请求;响应所述信息获取请求,将所述派生根隔离域的公钥返回给所述上层隔离域,以便申请者隔离域从所述上层隔离域获取所述派生根隔离域的公钥,基于所述派生根隔离域的公钥对所述会话密钥进行加密,所述会话密钥包括所述申请者隔离域随机生成的密钥。
8、在一些可选示例中,所述基于所述状态信息和所述算法信息生成派生密钥包括:基于所述状态信息、所述算法信息和所述派生根隔离域的身份标识生成派生密钥。
9、在一些可选示例中,所述基于所述状态信息生成派生密钥之后,还包括:基于所述会话密钥,生成所述派生密钥的验证码;利用所述会话密钥,对所述派生密钥和所述验证码进行加密获得派生密钥密文,并将所述派生密钥密文返回给所述上层隔离域,以便申请者隔离域从所述上层隔离域获取所述派生密钥密文。
10、在一些可选示例中,所述密钥派生请求包括所述上层隔离域的身份标识和基于所述上层隔离域的私钥和待签名的数据生成的数字签名,所述响应所述密钥派生请求之前,还包括:基于所述上层隔离域的身份标识,从所述多个隔离域的共享空间中获取所述上层隔离域的公钥,所述上层隔离域的公钥与所述上层隔离域的身份标识绑定并存储在所述共享空间中;基于所述上层隔离域的公钥,对所述数字签名进行验证;若验证通过,则响应所述密钥派生请求。
11、在一些可选示例中,所述将具有所述状态信息的密钥派生请求发送至下层隔离域之前,还包括:基于所述本层隔离域的私钥和待签名的数据,重新生成数字签名;将所述本层隔离域的身份标识和重新生成的数字签名添加到所述密钥派生请求中。
12、在一些可选示例中,所述将具有所述状态信息的密钥派生请求发送至下层隔离域之前,还包括:将所述本层隔离域的状态掩码添加到所述密钥派生请求中。
13、第二方面,本申请公开了一种处理器,被配置为执行如上任一项所述的密钥派生方法。
14、第三方面,本申请公开了一种计算机设备,包括:存储器,用于存储指令;处理器,用于根据所述存储器中存储的指令,执行如上任一项所述的密钥派生方法。
15、第四方面,本申请公开了一种计算机可读存储介质,其上存储有用于执行如上任一项所述的密钥派生方法的指令。
16、本申请公开的密钥派生方法、处理器和相关设备,因为在设备受到攻击或恶意访问的情况下,隔离域的状态信息即软件状态信息和/或硬件状态信息会发生变化,所以,基于设备受到攻击或恶意访问的情况下的状态信息生成的派生密钥与基于设备未受到攻击或恶意访问的情况下的状态信息生成的派生密钥并不相同,也就是说,在设备受到攻击或恶意访问的情况下,无法正确复现派生密钥,进而可以保证设备的重要数据不被泄露,进而可以提高设备的安全性。
本文档来自技高网...【技术保护点】
1.一种密钥派生方法,其特征在于,应用于处理器,所述处理器搭载有至少一种执行环境,所述执行环境包括多个隔离域,所述密钥派生方法包括:
2.根据权利要求1所述的密钥派生方法,其特征在于,所述将本层隔离域的状态信息添加到所述密钥派生请求中包括:将所述本层隔离域的状态信息添加到所述密钥派生请求的路径信息中;
3.根据权利要求1所述的密钥派生方法,其特征在于,所述软件状态信息包括堆栈信息、软件版本信息、软件生命周期信息、软件开发者信息或软件授权信息;所述硬件状态信息包括设备安全周期状态。
4.根据权利要求1所述的密钥派生方法,其特征在于,所述密钥派生请求包括所述上层隔离域的状态掩码,所述将本层隔离域的状态信息添加到所述密钥派生请求中之前,还包括:
5.根据权利要求1所述的密钥派生方法,其特征在于,所述本层隔离域为派生根隔离域,所述密钥派生请求包括会话密钥密文和算法信息密文,所述基于所述状态信息生成派生密钥包括:
6.根据权利要求5所述的密钥派生方法,其特征在于,还包括:
7.根据权利要求5所述的密钥派生方法,其特征在
8.根据权利要求5所述的密钥派生方法,其特征在于,所述基于所述状态信息生成派生密钥之后,还包括:
9.根据权利要求1所述的密钥派生方法,其特征在于,所述密钥派生请求包括所述上层隔离域的身份标识和基于所述上层隔离域的私钥和待签名的数据生成的数字签名,所述响应所述密钥派生请求之前,还包括:
10.根据权利要求1或9所述的密钥派生方法,其特征在于,所述将具有所述状态信息的密钥派生请求发送至下层隔离域之前,还包括:
11.根据权利要求1或4所述的密钥派生方法,其特征在于,所述将具有所述状态信息的密钥派生请求发送至下层隔离域之前,还包括:
12.一种处理器,其特征在于,被配置为执行如权利要求1~11任一项所述的密钥派生方法。
13.一种计算机设备,其特征在于,包括:
14.一种计算机可读存储介质,其特征在于,其上存储有用于执行如权利要求1~11任一项所述的密钥派生方法的指令。
...【技术特征摘要】
1.一种密钥派生方法,其特征在于,应用于处理器,所述处理器搭载有至少一种执行环境,所述执行环境包括多个隔离域,所述密钥派生方法包括:
2.根据权利要求1所述的密钥派生方法,其特征在于,所述将本层隔离域的状态信息添加到所述密钥派生请求中包括:将所述本层隔离域的状态信息添加到所述密钥派生请求的路径信息中;
3.根据权利要求1所述的密钥派生方法,其特征在于,所述软件状态信息包括堆栈信息、软件版本信息、软件生命周期信息、软件开发者信息或软件授权信息;所述硬件状态信息包括设备安全周期状态。
4.根据权利要求1所述的密钥派生方法,其特征在于,所述密钥派生请求包括所述上层隔离域的状态掩码,所述将本层隔离域的状态信息添加到所述密钥派生请求中之前,还包括:
5.根据权利要求1所述的密钥派生方法,其特征在于,所述本层隔离域为派生根隔离域,所述密钥派生请求包括会话密钥密文和算法信息密文,所述基于所述状态信息生成派生密钥包括:
6.根据权利要求5所述的密钥派生方法,其特征在于,还包括:
7.根据...
【专利技术属性】
技术研发人员:孙一品,刘勇鹏,张子龙,粟梁虎,
申请(专利权)人:飞腾信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。