【技术实现步骤摘要】
本说明书涉及计算机应用,具体地说,涉及计算机应用下的密钥管理技术,更具体地说,涉及一种密钥管理方法、装置、计算设备及计算机可读存储介质。
技术介绍
1、密码引擎是设置于计算设备中的一种用于执行密码运算的硬件设备,相较于传统软件实现的加解密算法,密码引擎可以提供更高效和安全的加密性能。
2、在相关技术中,密码引擎执行密码运算时使用的密钥通常有两种来源,一种是密码引擎内置的内部密钥,比如硬件唯一密钥(hardware uniquekye,huk),这类密钥通常存放在otp(one-time programmable,一次性可编程器件)或者efuse(electricallyerasable programmable read-only memory,电可擦除可编程只读存储器)这类一次性写入的存储器中,且只能由密码引擎读取,安全性能相对较高;另一种则是由用户从外部导入的外部密钥,但由于外部密钥的需要从外部导入的特性,导致外部密钥在注入过程中存在一定的安全风险。
3、有必要提供一种密钥管理方法,提高外部密钥在注入过程中的
【技术保护点】
1.一种密钥管理方法,其特征在于,应用于计算设备,所述计算设备包括富执行环境REE子系统和可信执行环境TEE子系统,所述REE子系统中运行有管理员应用,所述TEE子系统运行有目标可信应用,所述TEE子系统包括安全存储区域,所述密钥管理方法包括:
2.根据权利要求1所述的方法,其特征在于,所述第一会话为建立所述管理员应用与所述目标可信应用之间的会话,所述会话密钥为建立所述第一会话时,所述管理员应用与所述目标可信应用利用预共享密钥和第一随机数协商的密钥。
3.根据权利要求2所述的方法,其特征在于,所述第一随机数包括管理员随机数和可信应用随机数,与所...
【技术特征摘要】
1.一种密钥管理方法,其特征在于,应用于计算设备,所述计算设备包括富执行环境ree子系统和可信执行环境tee子系统,所述ree子系统中运行有管理员应用,所述tee子系统运行有目标可信应用,所述tee子系统包括安全存储区域,所述密钥管理方法包括:
2.根据权利要求1所述的方法,其特征在于,所述第一会话为建立所述管理员应用与所述目标可信应用之间的会话,所述会话密钥为建立所述第一会话时,所述管理员应用与所述目标可信应用利用预共享密钥和第一随机数协商的密钥。
3.根据权利要求2所述的方法,其特征在于,所述第一随机数包括管理员随机数和可信应用随机数,与所述第一会话对应的会话密钥的协商过程包括:
4.根据权利要求2所述的方法,其特征在于,所述ree子系统中还运行有普通应用,所述普通应用与所述管理员应用建立有安全通道,所述第一身份认证码的生成过程包括:
5.根据权利要求4所述的方法,其特征在于,所述目标可信应用响应于所述公钥获取请求,生成加密公钥并通过所述管理员应用返回给所述普通应用包括:
6.根据权利要求4所述的方法,其特征在于,所述响应于密钥注入请求,所述目标可信应用利用与所述第一会话对应的所述会话密钥,对所述管理员应用通过所述第一会话发送的第一身份认证码进行验证包括:
7.根据权利要求4所述的方法,其特征在于,所述将所述密钥注入请求携带的待注入数据存储于所述安全存储区域包括:
8.根据权利要求1所述的方法,其特征在于,所述计算设备还包括:设置于所述tee子系统中的密码引擎;所述tee子系统还包括:安全存...
【专利技术属性】
技术研发人员:张子龙,顾剑,旷小红,孙一品,
申请(专利权)人:飞腾信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。