【技术实现步骤摘要】
本申请涉及处理器,具体涉及一种身份认证方法、处理器和相关设备。
技术介绍
1、密钥派生技术是指从一个基础密钥或根密钥产生出一个或者多个派生密钥的技术。在密钥派生的过程中,密钥申请者会向密钥派生者发送包括派生算法的密钥派生请求,密钥派生者响应密钥派生请求,基于派生算法生成派生密钥,并将派生密钥返回给密钥申请者。虽然在密钥派生的过程中,会基于密钥申请者提供的密钥对派生算法和派生密钥进行加密,但是,在攻击者假冒密钥申请者的情况下,密钥由攻击者提供,因而无法保证派生密钥不被攻击者获得。
技术实现思路
1、本申请公开一种身份认证方法、处理器和相关设备,以对密钥申请者进行身份认证,避免派生密钥被攻击者获得。
2、第一方面,本申请公开了一种身份认证方法,应用于处理器,所述处理器搭载有至少一种执行环境,所述执行环境包括多个隔离域,所述身份认证方法包括:基于所述本层隔离域的私钥和待签名的数据生成数字签名;将所述数字签名和所述本层隔离域的身份标识添加到密钥派生请求中;所述本层隔离域的公钥与所述本层隔离域的身份标识绑定并存储在所述多个隔离域的共享空间中;将所述密钥派生请求发送至下层隔离域,以使所述下层隔离域基于所述本层隔离域的身份标识从所述共享空间中获取所述本层隔离域的公钥,并基于所述本层隔离域的公钥对所述数字签名进行验证,若验证通过,则响应所述密钥派生请求。
3、在一些可选示例中,所述本层隔离域为申请者隔离域,所述将所述数字签名和所述本层隔离域的身份标识添加到密钥派生请求中包括
4、在一些可选示例中,还包括:将所述本层隔离域的状态掩码添加到所述密钥派生请求中,所述本层隔离域的状态掩码用于指示下层隔离域的至少一种状态信息,以便所述下层隔离域基于所述状态信息生成派生密钥,所述状态信息包括软件状态信息和/或硬件状态信息。
5、第二方面,本申请公开了一种身份认证方法,应用于处理器,所述处理器搭载有至少一种执行环境,所述执行环境包括多个隔离域,所述身份认证方法包括:接收上层隔离域发送的密钥派生请求,所述密钥派生请求包括基于所述上层隔离域的私钥和待签名的数据生成的数字签名和所述上层隔离域的身份标识;基于所述上层隔离域的身份标识,从所述多个隔离域的共享空间中获取所述上层隔离域的公钥,所述上层隔离域的公钥与所述上层隔离域的身份标识绑定并存储在所述共享空间中;基于所述上层隔离域的公钥,对所述数字签名进行验证;若验证通过,则响应所述密钥派生请求。
6、在一些可选示例中,所述响应所述密钥派生请求之前,还包括:将本层隔离域的状态信息添加到所述密钥派生请求中,所述状态信息包括软件状态信息和/或硬件状态信息;所述响应所述密钥派生请求之后,还包括:基于所述状态信息生成派生密钥,或者,将具有所述状态信息的密钥派生请求发送至下层隔离域,以使所述下层隔离域响应所述密钥派生请求生成派生密钥。
7、在一些可选示例中,所述将本层隔离域的状态信息添加到所述密钥派生请求中包括:将所述本层隔离域的状态信息添加到所述密钥派生请求的路径信息中;所述基于所述状态信息生成派生密钥包括:基于具有所述状态信息的路径信息生成派生密钥。
8、在一些可选示例中,所述密钥派生请求包括所述上层隔离域的状态掩码,所述将本层隔离域的状态信息添加到所述密钥派生请求中之前,还包括:基于所述上层隔离域的状态掩码和所述本层隔离域的状态掩码确定所述本层隔离域的状态信息,所述上层隔离域的状态掩码和所述本层隔离域的状态掩码分别用于指示所述本层隔离域的至少一种状态信息。
9、在一些可选示例中,所述本层隔离域为派生根隔离域,所述密钥派生请求包括会话密钥密文和算法信息密文,所述基于所述状态信息生成派生密钥包括:基于所述派生根隔离域的私钥,对所述会话密钥密文进行解密获得会话密钥;基于所述会话密钥,对所述算法信息密文进行解密获得算法信息;基于所述状态信息和所述算法信息生成派生密钥。
10、在一些可选示例中,还包括:接收所述上层隔离域发送的信息获取请求;响应所述信息获取请求,将所述派生根隔离域的公钥返回给所述上层隔离域,以便申请者隔离域从所述上层隔离域获取所述派生根隔离域的公钥,基于所述派生根隔离域的公钥对所述会话密钥进行加密,所述会话密钥包括所述申请者隔离域随机生成的密钥。
11、在一些可选示例中,所述基于所述状态信息和所述算法信息生成派生密钥包括:基于所述状态信息、所述算法信息和所述派生根隔离域的身份标识生成派生密钥。
12、在一些可选示例中,所述基于所述状态信息生成派生密钥之后,还包括:基于所述会话密钥,生成所述派生密钥的验证码;利用所述会话密钥,对所述派生密钥和所述验证码进行加密获得派生密钥密文,并将所述派生密钥密文返回给所述上层隔离域,以便申请者隔离域从所述上层隔离域获取所述派生密钥密文。
13、在一些可选示例中,所述将具有所述状态信息的密钥派生请求发送至下层隔离域之前,还包括:基于所述本层隔离域的私钥和待签名的数据,重新生成数字签名;将所述本层隔离域的身份标识和重新生成的数字签名添加到所述密钥派生请求中。
14、在一些可选示例中,所述将具有所述状态信息的密钥派生请求发送至下层隔离域之前,还包括:将所述本层隔离域的状态掩码添加到所述密钥派生请求中。
15、第三方面,本申请公开了一种处理器,被配置为执行如上任一项所述的身份认证方法。
16、第四方面,本申请公开了一种计算机设备,包括:存储器,用于存储指令;处理器,用于根据所述存储器中存储的指令,执行如上任一项所述的身份认证方法。
17、第五方面,本申请公开了一种计算机可读存储介质,其上存储有用于执行如上任一项所述的身份认证方法的指令。
18、本申请公开的身份认证方法、处理器和相关设备,在攻击者假冒密钥申请者的情况下,攻击者无法获得本层隔离域的私钥,或者,攻击者的提供的私钥无法与下层隔离域基于本层隔离域的身份标识从共享空间中获取本层隔离域的公钥匹配,导致数字签名无法通过验证,从而不能生成派生密钥,进而可以避免派生密钥被攻击者获得,进而可以提高设备的安全性。
本文档来自技高网...【技术保护点】
1.一种身份认证方法,其特征在于,应用于处理器,所述处理器搭载有至少一种执行环境,所述执行环境包括多个隔离域,所述身份认证方法包括:
2.根据权利要求1所述的身份认证方法,其特征在于,所述本层隔离域为申请者隔离域,所述将所述数字签名和所述本层隔离域的身份标识添加到密钥派生请求中包括:
3.根据权利要求1或2所述的身份认证方法,其特征在于,还包括:
4.一种身份认证方法,其特征在于,应用于处理器,所述处理器搭载有至少一种执行环境,所述执行环境包括多个隔离域,所述身份认证方法包括:
5.根据权利要求4所述的身份认证方法,其特征在于,所述响应所述密钥派生请求之前,还包括:将本层隔离域的状态信息添加到所述密钥派生请求中,所述状态信息包括软件状态信息和/或硬件状态信息;
6.根据权利要求5所述的身份认证方法,其特征在于,所述将本层隔离域的状态信息添加到所述密钥派生请求中包括:将所述本层隔离域的状态信息添加到所述密钥派生请求的路径信息中;
7.根据权利要求5所述的身份认证方法,其特征在于,所述密钥派生请求包括所述上层隔离
8.根据权利要求5所述的身份认证方法,其特征在于,所述本层隔离域为派生根隔离域,所述密钥派生请求包括会话密钥密文和算法信息密文,所述基于所述状态信息生成派生密钥包括:
9.根据权利要求8所述的身份认证方法,其特征在于,还包括:
10.根据权利要求8所述的身份认证方法,其特征在于,所述基于所述状态信息和所述算法信息生成派生密钥包括:
11.根据权利要求8所述的身份认证方法,其特征在于,所述基于所述状态信息生成派生密钥之后,还包括:
12.根据权利要求5所述的身份认证方法,其特征在于,所述将具有所述状态信息的密钥派生请求发送至下层隔离域之前,还包括:
13.根据权利要求5或12所述的身份认证方法,其特征在于,所述将具有所述状态信息的密钥派生请求发送至下层隔离域之前,还包括:
14.一种处理器,其特征在于,被配置为执行如权利要求1~3或4~13任一项所述的身份认证方法。
15.一种计算机设备,其特征在于,包括:
16.一种计算机可读存储介质,其特征在于,其上存储有用于执行如权利要求1~3或4~13任一项所述的身份认证方法的指令。
...【技术特征摘要】
1.一种身份认证方法,其特征在于,应用于处理器,所述处理器搭载有至少一种执行环境,所述执行环境包括多个隔离域,所述身份认证方法包括:
2.根据权利要求1所述的身份认证方法,其特征在于,所述本层隔离域为申请者隔离域,所述将所述数字签名和所述本层隔离域的身份标识添加到密钥派生请求中包括:
3.根据权利要求1或2所述的身份认证方法,其特征在于,还包括:
4.一种身份认证方法,其特征在于,应用于处理器,所述处理器搭载有至少一种执行环境,所述执行环境包括多个隔离域,所述身份认证方法包括:
5.根据权利要求4所述的身份认证方法,其特征在于,所述响应所述密钥派生请求之前,还包括:将本层隔离域的状态信息添加到所述密钥派生请求中,所述状态信息包括软件状态信息和/或硬件状态信息;
6.根据权利要求5所述的身份认证方法,其特征在于,所述将本层隔离域的状态信息添加到所述密钥派生请求中包括:将所述本层隔离域的状态信息添加到所述密钥派生请求的路径信息中;
7.根据权利要求5所述的身份认证方法,其特征在于,所述密钥派生请求包括所述上层隔离域的状态掩码,所述将本层隔离域的状态信息添加到所述密钥派生请求中之...
【专利技术属性】
技术研发人员:孙一品,刘勇鹏,张子龙,粟梁虎,
申请(专利权)人:飞腾信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。