Nothing Special   »   [go: up one dir, main page]

CN110795742B - 高速密码运算的度量处理方法、装置、存储介质及处理器 - Google Patents

高速密码运算的度量处理方法、装置、存储介质及处理器 Download PDF

Info

Publication number
CN110795742B
CN110795742B CN201810872799.1A CN201810872799A CN110795742B CN 110795742 B CN110795742 B CN 110795742B CN 201810872799 A CN201810872799 A CN 201810872799A CN 110795742 B CN110795742 B CN 110795742B
Authority
CN
China
Prior art keywords
measurement
module
root
dynamic
security chip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810872799.1A
Other languages
English (en)
Other versions
CN110795742A (zh
Inventor
付颖芳
肖鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201810872799.1A priority Critical patent/CN110795742B/zh
Priority to US16/529,524 priority patent/US11349651B2/en
Publication of CN110795742A publication Critical patent/CN110795742A/zh
Application granted granted Critical
Publication of CN110795742B publication Critical patent/CN110795742B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/122Hardware reduction or efficient architectures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/127Trusted platform modules [TPM]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种高速密码运算的度量处理方法、装置、存储介质及处理器。其中,该方法包括:安全芯片接收高速密码运算请求;该安全芯片获取度量结果,其中,该度量结果为采用平台度量根对高速密码运算模块中的动态度量模块进行度量的结果;安全芯片在确定度量结果与预先存储的标准值相同的情况下,启动高速密码运算。本发明解决了无法保证高速密码运算的动态度量启动时动态度量代码可信的技术问题。

Description

高速密码运算的度量处理方法、装置、存储介质及处理器
技术领域
本发明涉及可信计算领域,具体而言,涉及一种高速密码运算的度量处理方法、装置、存储介质及处理器。
背景技术
随着计算机应用的普及,硬件攻击的日益猖獗,业务平台及系统的完整性保证日益受到重视,度量是一种保护平台及系统完整性较新的技术手段:在某些特定的时刻,对目标进行度量,得到目标的某些信息(比如对文件的散列值),将这些信息的值与事先记录的标准值进行比较,从而判断目标的完整性是否被破坏。
目前可信计算有国内可信平台控制模块(Trusted Platform Control Module,TPCM)和国际TCG(可信计算组,全称为Trusted Computing Group)标准组织的可信平台模块(Trusted Platform Module,TPM)两种技术路线。
传统的TPM及TPCM在可信高速加密卡场景中,其现有的度量方法及度量流程,存在如下不足:
a)无法保证高速密码运算动态度量启动时的信任链传递。
b)无法保证高速密码运算动态度量启动时的动态度量代码的加载可信,及其动态执行可信。
针对上述无法保证高速密码运算的动态度量启动时动态度量代码可信的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种高速密码运算的度量处理方法、装置、存储介质及处理器,以至少解决无法保证高速密码运算的动态度量启动时动态度量代码可信的技术问题。
根据本发明实施例的一个方面,提供了一种高速密码运算的度量处理方法,包括:安全芯片接收高速密码运算请求;所述安全芯片获取度量结果,其中,所述度量结果为采用平台度量根对高速密码运算模块中的动态度量模块进行度量的结果;所述安全芯片在确定所述度量结果与预先存储的标准值相同的情况下,启动高速密码运算。
根据本发明实施例的另一方面,还提供了一种高速密码运算动态度量方法,包括:主机处理器接收安全芯片加载的平台度量根以及用于启动高速密码运算的动态度量模块;所述主机处理器采用所述平台度量根对所述动态度量模块进行度量,获得度量结果;所述主机处理器将所述度量结果发送给所述安全芯片,以便所述安全芯片根据所述度量结果与预先存储的标准值的比较结果,确定是否启动高速密码运算。
根据本发明实施例的另一方面,还提供了一种高速密码运算动态度量装置,应用于安全芯片中,包括:第一接收模块,用于接收高速密码运算请求;获取模块,用于获取度量结果,其中,所述度量结果为采用平台度量根对高速密码运算模块中的动态度量模块进行度量的结果;启动模块,用于在确定所述度量结果与预先存储的标准值相同的情况下,启动高速密码运算。
根据本发明实施例的另一方面,还提供了一种高速密码运算动态度量装置,应用于主机处理器中,包括:第二接收模块,用于接收安全芯片加载的平台度量根以及用于启动高速密码运算的动态度量模块;度量模块,用于采用所述平台度量根对所述动态度量模块进行度量,获得度量结果;发送模块,用于将所述度量结果发送给所述安全芯片,以便所述安全芯片根据所述度量结果与预先存储的标准值的比较结果,确定是否启动高速密码运算。
根据本发明实施例的另一方面,还提供了一种高速密码运算动态度量系统,其特征在于,包括:安全芯片和主机处理器,其中,所述安全芯片,用于接收高速密码运算请求;响应于所述高速密码运算请求,将平台度量根和高速密码运算模块中用于启动高速密码运算的动态度量模块加载到所述主机处理器;所述主机处理器,用于采用所述平台度量根对所述动态度量模块进行度量,获得度量结果,并将所述度量结果发送给所述安全芯片;所述安全芯片,还用于根据所述度量结果与预先存储的标准值的比较结果,确定是否启动高速密码运算。
根据本发明实施例的另一个方面,数据处理方法,包括:第一处理器接收密码运算请求;所述第一处理器将度量根和待度量对象发送到第二处理器,其中,所述第二处理器采用所述度量根对所述待度量对象进行度量;所述第一处理器接收来自所述第二处理器的度量结果;所述第一处理器确定所述度量结果满足预设条件,启动密码运算。
根据本发明实施例的另一个方面,提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行上述所述的高速密码运算动态度量方法。
根据本发明实施例的另一个方面,提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述所述的高速密码运算动态度量方法。
在本发明实施例中,安全芯片接收高速密码运算请求,再通过平台度量根对高速密码运算模块中的动态度量模块进行度量,得到度量结果,并将度量结果与预先存储的标准值进行比对,然后在度量结果与预先存储的标准值相同的情况下,启动高速密码运算。由于高速密码运算请求是启动高速密码运算的触发指令,因此在安全芯片接收高速密码运算请求,可以先验证高速密码运算模块进行动态度量的度量结果是否符合预先存储的标准值,然后在验证通过后再启动高速密码运算,达到了对高速密码运算模块进行动态度量的度量结果进行验证的目的,从而根据度量结果与预先存储的标准值进行比对,可以确定动态度量的度量结果是否可信,实现了保证高速密码运算的动态度量可信的技术效果,进而解决了无法保证高速密码运算的动态度量启动时动态度量代码可信的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1示出了一种用于实现消息交互方法的计算机终端(或移动设备)的硬件结构框图;
图2是根据本发明实施例1的一种高速密码运算的度量处理方法的流程图;
图3是根据本发明实施例1的一种高速密码运算的度量处理方法的流程图;
图4是根据本发明实施例1的一种数据处理方法的流程图;
图5是根据本发明实施例的一种基于本机CPU高速密码运算动态度量启动方法及流程图的示意图;
图6是根据本发明实施例的一种基于本机CPU高速密码运算动态度量启动方法及流程图的示意图;
图7是根据本发明实施例2的一种高速密码运算的度量处理装置的示意图;
图8是根据本发明实施例2的一种高速密码运算的度量处理装置的示意图;
图9是根据本发明实施例3的一种高速密码运算的度量处理系统的示意图;
图10是根据本申请实施例的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
可信计算:可信计算(Trusted Computing)是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。
可信平台模块(TPM/TPCM):为证据提供完整性和真实性保障的安全芯片,一般通过物理方式被强绑定到计算平台。
可信度量:可信度量的实际方法是完整性度量,完整性度量就是用杂凑函数计算代码的杂凑值,与存储的杂凑值对比,去发现代码是否改变,根据比对结果,系统做出相应的判断。
可信静态度量:在系统启动时参与建立信任链,系统启动完成后,以及系统运行中不再对信任链进行评估。
可信动态度量:在任意接收到可信度量请求的时候,对度量目标进行动态的可信度量。
FPGA(全称为Field-Programmable Gate Array):是一种高性能、低功耗的可编程逻辑器件,不是传统冯诺依曼结构,直接生成电路来进行算法的计算,可以根据算法以及算法指标做针对性的设计,具有非常高的执行和计算的效率,非常适合关注执行效率的在线识别系统。而ASIC芯片是专用芯片,计算性能和效率最高,但开发周期长,研发成本高,很难适配目前正在快速迭代的深度学习算法领域。
可信高速数据加密卡THSDEC(Trusted high-speed data encryption card):具有可信功能的数据加密卡。
实施例1
根据本发明实施例,还提供了一种高速密码运算的度量处理方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例1所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现高速密码运算的度量处理方法的计算机终端(或移动设备)的硬件结构框图。如图1所示,计算机终端10(或移动设备10)可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104。除此以外,还可以包括:传输模块、显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的高速密码运算的度量处理方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的高速密码运算的度量处理方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
其中,上述传输模块,用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输模块包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输模块可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。
此处需要说明的是,在一些可选实施例中,上述图1所示的计算机设备(或移动设备)可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是,图1仅为特定具体实例的一个实例,并且旨在示出可存在于上述计算机设备(或移动设备)中的部件的类型。
在上述运行环境下,本申请提供了如图2所示的高速密码运算的度量处理方法。图2是根据本发明实施例1的一种高速密码运算的度量处理方法的流程图。如图2所示,该方法可以包括如下步骤:
步骤S32,安全芯片接收高速密码运算请求。
具体地,上述高速密码运算请求用于触发高速密码运算模块启动高速密码运算。
具体地,上述安全芯片可以是可信高速加密卡中的TPM/TPCM可信模块。
作为一种可选的实施例,安全芯片接收高速密码运算请求至少包括以下之一:安全芯片通过可信软件基接收高速密码运算请求;安全芯片通过可信软件栈接收高速密码运算请求。
可选地,在安全芯片为TPCM模块的情况下,安全芯片可以通过可信软件基TSB接收高速密码运算请求;在安全芯片为TPM模块的情况下,安全芯片可以通过可信软件栈TSS接收高速密码运算请求。
采用本发明上述实施例,提供了基于可信软件基和可信软件栈接收高速密码运算请求的不同方案,可以满足安全芯片为TPCM模块或TPM模块的不同使用需求,提高上述高速密码运算的度量处理方法的适用范围。
作为一种可选的实施例,在安全芯片接收高速密码运算请求之后,还包括:对高速密码运算请求进行鉴权,在鉴权通过的情况下,进入安全芯片获取采用平台度量根对高速密码运算模块中的动态度量模块进行度量的度量结果的步骤。
采用本发明上述实施例,在接收高速密码运算请求之后,对高速密码运算请求进行鉴权,验证高速密码运算请求的访问权限,并在验证通过的情况下,再获取动态度量模块的度量结果,确保安全芯片接收高速密码运算请求安全、有效。
步骤S34,安全芯片获取度量结果,其中,度量结果为采用平台度量根对高速密码运算模块中的动态度量模块进行度量的结果。
在上述步骤S34中,平台度量根可以存储在安全芯片中,通过平台度量根对高速密码运算模块中的动态度量模块进行度量,实现对高速密码运算模块的动态度量。
需要说明的是,动态度量模块包括:用于进行动态度量的硬件部分和用于进行动态度量的软件部分,其中,硬件部分主要包括一些用于进行动态度量的处理器,显示器,存储器等;软件部分主要包括一些用于进行动态度量的程序代码,该程序代码可以是采用各种预定程序语言编写的功能代码。
作为一种可选的实施例,安全芯片获取采用平台度量根对高速密码运算模块中的动态度量模块进行度量的度量结果包括:安全芯片将平台度量根和动态度量模块加载到主机处理器;安全芯片接收主机处理器采用平台度量根对动态度量模块进行度量的度量结果。
采用本发明上述实施例,可以将平台度量根和动态度量模块加载到主机处理器,由主机服务器执行对动态度量模块的度量,然后接收主机处理器返回的度量结果,从而实现对度量结果的获取。
可选地,安全芯片将平台度量根和动态度量模块加载到主机处理器包括:安全芯片采用度量根密钥的私钥对平台度量和动态度量模块进行加密,获得加密数据;安全芯片将加密数据加载到主机处理器。
作为另一种可选的实施例,安全芯片获取采用平台度量根对高速密码运算模块中的动态度量模块进行度量的度量结果包括:安全芯片将平台度量根和动态度量模块发送到主机处理器;安全芯片接收主机处理器采用平台度量根对动态度量模块进行度量的度量结果。
根据本发明上述实施例,在将平台度量根和动态度量模块加载到主机处理器的过程中,采用度量根密钥的私钥对平台度量和动态度量模块进行加密,然后再传输加密后的数据,从而可以保证安全芯片与主机处理器之间传输平台度量根和动态度量模块的安全性。
可选地,安全芯片接收主机处理器采用平台度量根对动态度量模块进行度量的度量结果包括:安全芯片接收主机处理器采用度量根密钥的公钥对度量结果进行加密的加密度量结果,其中,主机处理器在接收到加密数据后,采用度量根密钥的公钥对加密数据进行解密获得平台度量根和动态度量模块,并采用解密后的平台度量根对动态度量模块进行度量获得度量结果。
根据本发明上述实施例,主机处理器在获取安全芯片发送的加密数据后,采用度量根密钥的公钥对加密数据进行解密获得平台度量根和动态度量模块,并对动态度量模块进行度量,得到度量结果,然后采用度量根密钥的公钥对度量结果进行加密,得到加密度量结果,再将加密度量结果发送至安全芯片,从而可以保证安全芯片与主机处理器之间传输度量结果的安全性。
可选地,安全芯片将加密数据加载到主机处理器包括:安全芯片将加密数据加载到系统内存中,供主机处理器从系统内存中读取加密数据。
具体地,安全芯片在将加密数据加载到主机处理器的过程中,可以先将解密数据加载到主机的系统内存中,再由主机处理器从系统内存中读取该加密数据,从而实现对加密数据的加载。
另一种可选地,安全芯片将加密数据加载到主机处理器包括:安全芯片将加密数据发送到系统内存中,供主机处理器从系统内存中读取加密数据。
作为另一种可选的实施例,安全芯片获取采用平台度量根对高速密码运算模块中的动态度量模块进行度量的度量结果包括:安全芯片采用平台度量根对高速密码运算模块中的动态度量模块进行度量,得到度量结果。
采用本发明上述实施例,可以通过安全芯片直接使用平台度量根对高速密码运算模块中的动态度量模块进行度量,直接度量结果,无需主机处理器的参数,减少度量过程中的数据传输次数,从而使度量的过程更加安全,能够得到准确的度量结果。
步骤S36,安全芯片在确定度量结果与预先存储的标准值相同的情况下,启动高速密码运算。
在上述步骤S36中,安全芯片可以将度量结果与预先存储的标准值进行比对,在度量结果与预先存储的标准值相同的情况下,确定动态度量模块的完整性完好,然后再启用高速密码运算,确保高速密码运算的动态度量可信。
在本发明实施例中,安全芯片接收高速密码运算请求,再通过平台度量根对高速密码运算模块中的动态度量模块进行度量,得到度量结果,并将度量结果与预先存储的标准值进行比对,然后在度量结果与预先存储的标准值相同的情况下,启动高速密码运算。由于高速密码运算请求是启动高速密码运算的触发指令,因此在安全芯片接收高速密码运算请求,可以先验证高速密码运算模块进行动态度量的度量结果是否符合预先存储的标准值,然后在验证通过后再启动高速密码运算,达到了对高速密码运算模块进行动态度量的度量结果进行验证的目的,从而根据度量结果与预先存储的标准值进行比对,可以确定动态度量的度量结果是否可信,实现了保证高速密码运算的动态度量可信的技术效果,进而解决了无法保证高速密码运算的动态度量启动时动态度量代码可信的技术问题。
作为一种可选的实施例,在安全芯片在确定度量结果与预先存储的标准值相同的情况下,启动高速密码运算之前,还包括:安全芯片触发系统平台的可信模块和动态度量模块预置密码运算度量密钥,其中,密码运算度量密钥用于进行高速密码运算。
需要说明的是,如上所述,上述加载的处理方式可以采用一般意义上的发送操作来完成,例如,安全芯片将平台度量根和动态度量模块加载到系统内存时,可以是安全芯片将平台度量根和动态度量模块发送到系统内存;安全芯片将对平台度量根和动态度量模块进行加密后获得的加密数据加载到系统内存时,可以是安全芯片将该加密数据发送给系统内存。
采用本发明上述实施例,在确定度量结果与预先存储的标准值相同的情况下,安全芯片可以触发系统平台和动态度量模块,同步预置密码运算度量密钥,进而根据密码运算度量密钥进行高速密码运算。
在上述运行环境下,本申请提供了如图3所示的高速密码运算的度量处理方法。图3是根据本发明实施例1的一种高速密码运算的度量处理方法的流程图。如图3所示,该方法可以包括如下步骤:
步骤S42,主机处理器接收安全芯片加载的平台度量根以及用于启动高速密码运算的动态度量模块;
步骤S44,主机处理器采用平台度量根对动态度量模块进行度量,获得度量结果;
步骤S46,主机处理器将度量结果发送给安全芯片,以便安全芯片根据度量结果与预先存储的标准值的比较结果,确定是否启动高速密码运算。
在本发明实施例中,主机处理器接收安全芯片加载的平台度量根,以及动态度量模块,然后通过台度量根对动态度量模块进行度量,获得度量结果,并将度量结果发送给安全芯片,由安全芯片将度量结果与预先存储的标准值的进行比较,得到比较结果,然后根据该比较结果确定是否可以启用高速密码运算,达到了对高速密码运算模块进行动态度量的度量结果进行验证的目的,从而根据度量结果与预先存储的标准值进行比对,可以确定动态度量的度量结果是否可信,实现了保证高速密码运算的动态度量可信的技术效果,进而解决了无法保证高速密码运算的动态度量启动时动态度量代码可信的技术问题。
可选地,主机处理器接收安全芯片加载的平台度量根以及用于启动高速密码运算的动态度量模块包括:主机处理器接收安全芯片采用度量根密钥的私钥对平台度量和动态度量模块加密后获得的加密数据。
可选地,在主机处理器采用平台度量根对动态度量模块进行度量,获得度量结果之前,还包括:主机处理器采用度量根密钥的公钥对加密数据进行解密,获得平台度量根和动态度量模块。
可选地,主机处理器将度量结果发送给安全芯片包括:主机处理器采用度量根密钥的公钥对度量结果进行加密获得加密度量结果,并将加密度量结果发送给安全芯片。
根据本发明上述实施例,主机处理器与安全芯片之间传输加密后的加密数据和加密度量结果,可以确保主机处理器与安全芯片之间传输数据的安全。
在上述运行环境下,本申请提供了如图4所示的高速密码运算的度量处理方法。图4是根据本发明实施例1的一种数据处理方法的流程图。如图4所示,该方法可以包括如下步骤:
步骤S51,第一处理器接收密码运算请求;
步骤S53,第一处理器将度量根和待度量对象发送到第二处理器,其中,第二处理器采用度量根对待度量对象进行度量;
步骤S55,第一处理器接收来自第二处理器的度量结果;
步骤S57,第一处理器确定度量结果满足预设条件,启动密码运算。
在本发明实施例中,第一处理器接收密码运算请求后,将度量根和待度量对象发送到第二处理器,由第二处理器根据度量根对待度量对象进行度量,在第二处理器完成对待度量对象的度量后,第一处理器将会结合第二处理器返回的度量结果,并判断该度量结果是否满足预定条件,在度量结果满足预定条件的情况下,启用密码运算,达到了对高速密码运算模块进行动态度量的度量结果进行验证的目的,从而根据度量结果与预定条件进行比对,可以确定动态度量的度量结果是否可信,实现了保证高速密码运算的动态度量可信的技术效果,进而解决了无法保证高速密码运算的动态度量启动时动态度量代码可信的技术问题。
作为一种可选地实施例,度量根用于进行完整性度量的可信值,度量根包括基于可信平台的平台度量根。
具体地,度量根可以是预先根据可信平台确定的平台度量根,根据该度量根可以对平台的完整性进行检测。
作为一种可选的实施例,第一处理器包括:安全芯片,第二处理器包括:系统的主机处理器。
作为一种可选的实施例,采用度量根对待度量对象进行度量包括:采用度量根对待度量对象进行计算得到待度量对象的散列值(例如,进行哈希计算得到hash值),将散列值与预定散列值进行比较获得比较结果,根据比较结果确定待度量对象的完整性是否被破坏。
具体地,可以使用度两根对待度量对象进行的计算,得到待度量对象的散列值,并将该散列值与预定散列值进行比较,得到比较结果,进而可以根据该比较结果确定待度量对象的完整性是否被破坏,实现对待度量对象的度量。
本发明还提供了一种优选实施例,该优选实施例提供了一种高速密码运算动态度量启动方法。
图5是根据本发明实施例的一种基于本机CPU高速密码运算动态度量启动方法及流程图的示意图,如图5所示,步骤如下:
S1,业务通过可信软件基TSB向可信芯片TPCM发出高速密码运算请求(如果是TPM芯片的话,业务是通过可信软件栈TSS向可信模块TPM发出密码运算请求)。
S2,可信模块进行密码运算指令处理,指令处理是指接受密码运算请求并进行鉴权操作。
S3,鉴权通过则执行第S4步,否则执行第S12步。
S4,度量根密钥的私钥加密动态度量模块固件&平台度量根。
S5,将第S4步的加密结果加载到主机的内存空间。
S6,再从内存中加载到主机处理器CPU。
S7,主机处理器CPU做如下工作:
a)利用平台度量根密钥的公钥对加载的加密数据解密;
b)执行平台度量根代码,对动态度量模块固件进行hash计算hash(dm)。
需要说明的是,dm表示动态度量模块固件,计算hash(dm)即为对高速密码运算模块中的动态度量模块进行度量的度量结果。
c)用度量根密钥的公钥加密hash(dm)。
S8,度量根密钥的公钥加密的hash(dm)传输给可信平台模块卡。
S9,可信平台模块卡调用解密模块,获得hash(dm)。
S10,可信平台模块卡将获得的hash值与先存的PCR值做比对。
S11,相等则认为动态度量模块的完整性度完好,可信平台模块与动态度量模块协商同步预置密码运算度量密钥,否则认为动态度量破坏,执行第S12步。
S12,高速密码运算禁止启动。
S13,高速密码运算安全模式启动。
图6是根据本发明实施例的一种基于本机CPU高速密码运算动态度量启动方法及流程图的示意图,如图6所示,步骤如下:
A1,业务通过可信软件基TSB向可信芯片TPCM发出高速密码运算请求(如果是TPM芯片的话,业务是通过可信软件栈TSS向可信模块TPM发出密码运算请求)。
A2,可信模块进行密码运算指令处理,指令处理是指接受密码运算请求并进行鉴权操作。
A3,鉴权通过则执行第A4步,否则执行第A7步。
A4,度量根密钥的私钥加密动态度量模块固件&平台度量根。
A5,可信平台模块卡将获得的hash值与先存的PCR值做比对。
A6,相等则认为动态度量模块的完整性度完好,可信平台模块与动态度量模块协商同步预置密码运算度量密钥,否则认为动态度量破坏,执行第A7步。
A7,高速密码运算禁止启动。
A8,高速密码运算安全模式启动。
本发明提供的高速密码运算动态度量启动方法,可以利用可信模块的平台度量根保证高速密码运算模块中动态度量模块的完整性;可以利用平台度量根公私钥保证高速密码运算动态度量过程中动态度量代码加载的可信和执行可信;还可以利用预置平台度量密钥为后续高速密码运算的动态度量做好准备。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述高速密码运算的度量处理方法的高速密码运算的度量处理装置,如图7所示,该装置包括:第一接收模块81、获取模块83、和启动模块85。
其中,第一接收模块81,用于接收高速密码运算请求;获取模块83,用于安全芯片获取度量结果,其中,度量结果为采用平台度量根对高速密码运算模块中的动态度量模块进行度量的结果;启动模块85,用于在确定度量结果与预先存储的标准值相同的情况下,启动高速密码运算。
此处需要说明的是,上述第一接收模块81对应于实施例1中的步骤S32,上述获取模块83对应于实施例1中的步骤S34,上述启动模块85对应于实施例1中的步骤S36,上述模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例1提供的计算机终端10中。
在本发明实施例中,安全芯片接收高速密码运算请求,再通过平台度量根对高速密码运算模块中的动态度量模块进行度量,得到度量结果,并将度量结果与预先存储的标准值进行比对,然后在度量结果与预先存储的标准值相同的情况下,启动高速密码运算。由于高速密码运算请求是启动高速密码运算的触发指令,因此在安全芯片接收高速密码运算请求,可以先验证高速密码运算模块进行动态度量的的度量结果是否符合预先存储的标准值,然后在验证通过后再启动高速密码运算,达到了对高速密码运算模块进行动态度量的度量结果进行验证的目的,从而根据度量结果与预先存储的标准值进行比对,可以确定动态度量的度量结果是否可信,实现了保证高速密码运算的动态度量可信的技术效果,进而解决了无法保证高速密码运算的动态度量启动时动态度量代码可信的技术问题。
根据本发明实施例,还提供了一种用于实施上述高速密码运算的度量处理方法的高速密码运算的度量处理装置,如图8所示,该装置应用于主机处理器中,包括:第二接收模块91、度量模块93和发送模块95。
其中,第二接收模块91,用于接收安全芯片加载的平台度量根以及用于启动高速密码运算的动态度量模块;度量模块93,用于采用平台度量根对动态度量模块进行度量,获得度量结果;发送模块95,用于将度量结果发送给安全芯片,以便安全芯片根据度量结果与预先存储的标准值的比较结果,确定是否启动高速密码运算。
此处需要说明的是,上述第二接收模块91对应于实施例1中的步骤S42,上述度量模块93对应于实施例1中的步骤S44,上述发送模块95对应于实施例1中的步骤S46,上述模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例1提供的计算机终端10中。
在本发明实施例中,主机处理器接收安全芯片加载的平台度量根,以及动态度量模块,然后通过台度量根对动态度量模块进行度量,获得度量结果,并将度量结果发送给安全芯片,由安全芯片将度量结果与预先存储的标准值的进行比较,得到比较结果,然后根据该比较结果确定是否可以启用高速密码运算,达到了对高速密码运算模块进行动态度量的度量结果进行验证的目的,从而根据度量结果与预先存储的标准值进行比对,可以确定动态度量的度量结果是否可信,实现了保证高速密码运算的动态度量可信的技术效果,进而解决了无法保证高速密码运算的动态度量启动时动态度量代码可信的技术问题。
实施例3
根据本发明实施例,还提供了一种用于实施上述高速密码运算的度量处理方法的高速密码运算的度量处理系统,如图9所示,该系统包括:安全芯片1001和主机处理器1003。
其中,安全芯片1001,用于接收高速密码运算请求;响应于高速密码运算请求,将平台度量根和高速密码运算模块中用于启动高速密码运算的动态度量模块加载到主机处理器;主机处理器1003,用于采用平台度量根对动态度量模块进行度量,获得度量结果,并将度量结果发送给安全芯片;安全芯片1001,还用于根据度量结果与预先存储的标准值的比较结果,确定是否启动高速密码运算。
在本发明实施例中,安全芯片接收高速密码运算请求,再通过平台度量根对高速密码运算模块中的动态度量模块进行度量,得到度量结果,并将度量结果与预先存储的标准值进行比对,然后在度量结果与预先存储的标准值相同的情况下,启动高速密码运算。由于高速密码运算请求是启动高速密码运算的触发指令,因此在安全芯片接收高速密码运算请求,可以先验证高速密码运算模块进行动态度量的度量结果是否符合预先存储的标准值,然后在验证通过后再启动高速密码运算,达到了对高速密码运算模块进行动态度量的度量结果进行验证的目的,从而根据度量结果与预先存储的标准值进行比对,可以确定动态度量的度量结果是否可信,实现了保证高速密码运算的动态度量可信的技术效果,进而解决了无法保证高速密码运算的动态度量启动时动态度量代码可信的技术问题。
作为一种可选的实施例,安全芯片用于采用度量根密钥的私钥对平台度量根和动态度量模块进行加密,获得加密数据,并将加密数据加载到主机处理器;主机处理器用于采用度量根密钥的公钥对加密数据进行解密,获得平台度量根和动态度量模块;主机处理器用于采用度量根密钥的公钥对度量结果进行加密,获得加密度量结果,并将加密度量结果发送给安全芯片;安全芯片用于采用度量根密钥的私钥对加密度量结果进行解密,获得度量结果,并根据解密获得的度量结果确定是否启动高速密码运算。
实施例4
本发明的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。在本实施例中,上述计算机终端可以执行应用程序的高速密码运算的度量处理方法中以下步骤的程序代码:安全芯片接收高速密码运算请求;安全芯片获取采用平台度量根对高速密码运算模块中的动态度量模块进行度量的度量结果;安全芯片在确定度量结果与预先存储的标准值相同的情况下,启动高速密码运算。
可选地,图10是根据本发明实施例的一种计算机终端的结构框图。如图10所示,该计算机终端10可以包括:一个或多个(图中仅示出一个)处理器102、存储器104。
其中,存储器可用于存储软件程序以及模块,如本发明实施例中的高速密码运算的度量处理方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的高速密码运算的度量处理方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端A。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:安全芯片接收高速密码运算请求;安全芯片获取度量结果,其中,度量结果为采用平台度量根对高速密码运算模块中的动态度量模块进行度量的结果;安全芯片在确定度量结果与预先存储的标准值相同的情况下,启动高速密码运算。
可选的,上述处理器还可以执行如下步骤的程序代码:安全芯片将平台度量根和动态度量模块加载到主机处理器;安全芯片接收主机处理器采用平台度量根对动态度量模块进行度量的度量结果。
可选的,上述处理器还可以执行如下步骤的程序代码:安全芯片采用度量根密钥的私钥对平台度量和动态度量模块进行加密,获得加密数据;安全芯片将加密数据加载到主机处理器;安全芯片接收主机处理器采用度量根密钥的公钥对度量结果进行加密的加密度量结果,其中,主机处理器在接收到加密数据后,采用度量根密钥的公钥对加密数据进行解密获得平台度量根和动态度量模块,并采用解密后的平台度量根对动态度量模块进行度量获得度量结果。
可选的,上述处理器还可以执行如下步骤的程序代码:安全芯片将加密数据加载到系统内存中,供主机处理器从系统内存中读取加密数据。
可选的,上述处理器还可以执行如下步骤的程序代码:安全芯片采用平台度量根对高速密码运算模块中的动态度量模块进行度量,得到度量结果。
可选的,上述处理器还可以执行如下步骤的程序代码:对高速密码运算请求进行鉴权,在鉴权通过的情况下,进入安全芯片获取采用平台度量根对高速密码运算模块中的动态度量模块进行度量的度量结果的步骤。
可选的,上述处理器还可以执行如下步骤的程序代码:安全芯片通过可信软件基接收高速密码运算请求;安全芯片通过可信软件栈接收高速密码运算请求。
可选的,上述处理器还可以执行如下步骤的程序代码:安全芯片触发系统平台的可信模块和动态度量模块预置密码运算度量密钥,其中,密码运算度量密钥用于进行高速密码运算。
可选的,上述处理器还可以执行如下步骤的程序代码:主机处理器接收安全芯片加载的平台度量根以及用于启动高速密码运算的动态度量模块;主机处理器采用平台度量根对动态度量模块进行度量,获得度量结果;主机处理器将度量结果发送给安全芯片,以便安全芯片根据度量结果与预先存储的标准值的比较结果,确定是否启动高速密码运算。
可选的,上述处理器还可以执行如下步骤的程序代码:主机处理器接收安全芯片采用度量根密钥的私钥对平台度量和动态度量模块加密后获得的加密数据;主机处理器采用度量根密钥的公钥对加密数据进行解密,获得平台度量根和动态度量模块;主机处理器采用度量根密钥的公钥对度量结果进行加密获得加密度量结果,并将加密度量结果发送给安全芯片。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:第一处理器接收密码运算请求;第一处理器将度量根和待度量对象发送到第二处理器,其中,第二处理器采用度量根对待度量对象进行度量;第一处理器接收来自第二处理器的度量结果;第一处理器确定度量结果满足预设条件,启动密码运算。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:采用度量根对待度量对象进行计算得到待度量对象的散列值,将散列值与预定散列值进行比较获得比较结果,根据比较结果确定待度量对象的完整性是否被破坏。
采用本发明实施例,提供了一种高速密码运算动态度量的方案。由于高速密码运算请求是启动高速密码运算的触发指令,因此在安全芯片接收高速密码运算请求,可以先验证高速密码运算模块进行动态度量的度量结果是否符合预先存储的标准值,然后在验证通过后再启动高速密码运算,达到了对高速密码运算模块进行动态度量的度量结果进行验证的目的,从而根据度量结果与预先存储的标准值进行比对,可以确定动态度量的度量结果是否可信,实现了保证高速密码运算的动态度量可信的技术效果,进而解决了无法保证高速密码运算的动态度量启动时动态度量代码可信的技术问题。
本领域普通技术人员可以理解,图10所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图10其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图10中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图10所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例5
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例1所提供的高速密码运算动态度量方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:安全芯片接收高速密码运算请求;安全芯片获取采用平台度量根对高速密码运算模块中的动态度量模块进行度量的度量结果;安全芯片在确定度量结果与预先存储的标准值相同的情况下,启动高速密码运算。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:安全芯片将平台度量根和动态度量模块加载到主机处理器;安全芯片接收主机处理器采用平台度量根对动态度量模块进行度量的度量结果。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:安全芯片采用度量根密钥的私钥对平台度量和动态度量模块进行加密,获得加密数据;安全芯片将加密数据加载到主机处理器;安全芯片接收主机处理器采用度量根密钥的公钥对度量结果进行加密的加密度量结果,其中,主机处理器在接收到加密数据后,采用度量根密钥的公钥对加密数据进行解密获得平台度量根和动态度量模块,并采用解密后的平台度量根对动态度量模块进行度量获得度量结果。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:安全芯片将加密数据加载到系统内存中,供主机处理器从系统内存中读取加密数据。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:安全芯片采用平台度量根对高速密码运算模块中的动态度量模块进行度量,得到度量结果。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:对高速密码运算请求进行鉴权,在鉴权通过的情况下,进入安全芯片获取采用平台度量根对高速密码运算模块中的动态度量模块进行度量的度量结果的步骤。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:安全芯片通过可信软件基接收高速密码运算请求;安全芯片通过可信软件栈接收高速密码运算请求。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:安全芯片触发系统平台的可信模块和动态度量模块预置密码运算度量密钥,其中,密码运算度量密钥用于进行高速密码运算。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:主机处理器接收安全芯片加载的平台度量根以及用于启动高速密码运算的动态度量模块;主机处理器采用平台度量根对动态度量模块进行度量,获得度量结果;主机处理器将度量结果发送给安全芯片,以便安全芯片根据度量结果与预先存储的标准值的比较结果,确定是否启动高速密码运算。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:主机处理器接收安全芯片采用度量根密钥的私钥对平台度量和动态度量模块加密后获得的加密数据;主机处理器采用度量根密钥的公钥对加密数据进行解密,获得平台度量根和动态度量模块;主机处理器采用度量根密钥的公钥对度量结果进行加密获得加密度量结果,并将加密度量结果发送给安全芯片。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:第一处理器接收密码运算请求;第一处理器将度量根和待度量对象发送到第二处理器,其中,第二处理器采用度量根对待度量对象进行度量;第一处理器接收来自第二处理器的度量结果;第一处理器确定度量结果满足预设条件,启动密码运算。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:采用度量根对待度量对象进行计算得到待度量对象的散列值,将散列值与预定散列值进行比较获得比较结果,根据比较结果确定待度量对象的完整性是否被破坏。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (19)

1.一种高速密码运算的度量处理方法,其特征在于,包括:
安全芯片接收高速密码运算请求;
所述安全芯片获取度量结果,其中,所述度量结果为采用平台度量根对高速密码运算模块中的动态度量模块进行度量的结果;
所述安全芯片在确定所述度量结果与预先存储的标准值相同的情况下,启动高速密码运算,
其中,采用平台度量根对高速密码运算模块中的动态度量模块进行度量,得到所述度量结果,包括:采用所述平台度量根对所述动态度量模块进行计算得到所述动态度量模块的散列值,其中,所述度量结果包括所述散列值;将所述散列值与预定散列值进行比较获得比较结果,其中,所述预先存储的标准值为所述预定散列值;根据比较结果确定所述动态度量模块的完整性是否被破坏,其中,在所述比较结果为所述散列值与所述预定散列值相同的情况下,确定所述动态度量模块的完整性未被破坏。
2.根据权利要求1所述的方法,其特征在于,所述安全芯片获取度量结果包括:
所述安全芯片将所述平台度量根和所述动态度量模块加载到主机处理器;
所述安全芯片接收所述主机处理器采用所述平台度量根对所述动态度量模块进行度量的度量结果。
3.根据权利要求2所述的方法,其特征在于,
所述安全芯片将所述平台度量根和所述动态度量模块加载到主机处理器包括:所述安全芯片采用度量根密钥的私钥对所述平台度量和所述动态度量模块进行加密,获得加密数据;所述安全芯片将所述加密数据加载到主机处理器;
所述安全芯片接收所述主机处理器采用所述平台度量根对所述动态度量模块进行度量的度量结果包括:所述安全芯片接收所述主机处理器采用所述度量根密钥的公钥对所述度量结果进行加密的加密度量结果,其中,所述主机处理器在接收到所述加密数据后,采用度量根密钥的公钥对所述加密数据进行解密获得所述平台度量根和所述动态度量模块,并采用解密后的所述平台度量根对所述动态度量模块进行度量获得所述度量结果。
4.根据权利要求3所述的方法,其特征在于,所述安全芯片将所述加密数据加载到主机处理器包括:
所述安全芯片将所述加密数据加载到系统内存中,供所述主机处理器从所述系统内存中读取所述加密数据。
5.根据权利要求1所述的方法,其特征在于,所述安全芯片获取度量结果包括:
所述安全芯片采用平台度量根对所述高速密码运算模块中的所述动态度量模块进行度量,得到度量结果。
6.根据权利要求1所述的方法,其特征在于,在所述安全芯片接收高速密码运算请求之后,还包括:
对所述高速密码运算请求进行鉴权,在鉴权通过的情况下,进入所述安全芯片获取采用平台度量根对高速密码运算模块中的动态度量模块进行度量的度量结果的步骤。
7.根据权利要求1所述的方法,其特征在于,所述安全芯片接收高速密码运算请求至少包括以下之一:
所述安全芯片通过可信软件基接收所述高速密码运算请求;
所述安全芯片通过可信软件栈接收所述高速密码运算请求。
8.根据权利要求1至7中任一项所述的方法,其特征在于,在所述安全芯片在确定所述度量结果与预先存储的标准值相同的情况下,启动高速密码运算之前,还包括:
所述安全芯片触发系统平台的可信模块和所述动态度量模块预置密码运算度量密钥,其中,所述密码运算度量密钥用于进行高速密码运算。
9.一种高速密码运算动态度量方法,其特征在于,包括:
主机处理器接收安全芯片加载的平台度量根以及用于启动高速密码运算的动态度量模块;
所述主机处理器采用所述平台度量根对所述动态度量模块进行度量,获得度量结果;
所述主机处理器将所述度量结果发送给所述安全芯片,以便所述安全芯片根据所述度量结果与预先存储的标准值的比较结果,确定是否启动高速密码运算,
其中,所述主机处理器采用平台度量根对高速密码运算模块中的动态度量模块进行度量,得到所述度量结果,包括:采用所述平台度量根对所述动态度量模块进行计算得到所述动态度量模块的散列值,其中,所述度量结果包括所述散列值;将所述散列值与预定散列值进行比较获得比较结果,其中,所述预先存储的标准值为所述预定散列值;根据比较结果确定所述动态度量模块的完整性是否被破坏,其中,在所述比较结果为所述散列值与所述预定散列值相同的情况下,确定所述动态度量模块的完整性未被破坏。
10.根据权利要求9所述的方法,其特征在于,
所述主机处理器接收所述安全芯片加载的平台度量根以及用于启动高速密码运算的动态度量模块包括:所述主机处理器接收所述安全芯片采用度量根密钥的私钥对所述平台度量和所述动态度量模块加密后获得的加密数据;
在所述主机处理器采用所述平台度量根对所述动态度量模块进行度量,获得度量结果之前,还包括:所述主机处理器采用度量根密钥的公钥对所述加密数据进行解密,获得所述平台度量根和所述动态度量模块;
所述主机处理器将所述度量结果发送给所述安全芯片包括:所述主机处理器采用所述度量根密钥的公钥对所述度量结果进行加密获得加密度量结果,并将所述加密度量结果发送给所述安全芯片。
11.一种高速密码运算动态度量装置,其特征在于,应用于安全芯片中,包括:
第一接收模块,用于接收高速密码运算请求;
获取模块,用于获取度量结果,其中,所述度量结果为采用平台度量根对高速密码运算模块中的动态度量模块进行度量的结果;
启动模块,用于在确定所述度量结果与预先存储的标准值相同的情况下,启动高速密码运算,
其中,所述获取模块还用于采用所述平台度量根对所述动态度量模块进行计算得到所述动态度量模块的散列值,其中,所述度量结果包括所述散列值;将所述散列值与预定散列值进行比较获得比较结果,其中,所述预先存储的标准值为所述预定散列值;根据比较结果确定所述动态度量模块的完整性是否被破坏,其中,在所述比较结果为所述散列值与所述预定散列值相同的情况下,确定所述动态度量模块的完整性未被破坏。
12.一种高速密码运算动态度量装置,其特征在于,应用于主机处理器中,包括:
第二接收模块,用于接收安全芯片加载的平台度量根以及用于启动高速密码运算的动态度量模块;
度量模块,用于采用所述平台度量根对所述动态度量模块进行度量,获得度量结果;
发送模块,用于将所述度量结果发送给所述安全芯片,以便所述安全芯片根据所述度量结果与预先存储的标准值的比较结果,确定是否启动高速密码运算,
其中,所述度量模块还用于采用所述平台度量根对所述动态度量模块进行计算得到所述动态度量模块的散列值,其中,所述度量结果包括所述散列值;将所述散列值与预定散列值进行比较获得比较结果,其中,所述预先存储的标准值为所述预定散列值;根据比较结果确定所述动态度量模块的完整性是否被破坏,其中,在所述比较结果为所述散列值与所述预定散列值相同的情况下,确定所述动态度量模块的完整性未被破坏。
13.一种高速密码运算动态度量系统,其特征在于,包括:安全芯片和主机处理器,其中,
所述安全芯片,用于接收高速密码运算请求;响应于所述高速密码运算请求,将平台度量根和高速密码运算模块中用于启动高速密码运算的动态度量模块加载到所述主机处理器;
所述主机处理器,用于采用所述平台度量根对所述动态度量模块进行度量,获得度量结果,并将所述度量结果发送给所述安全芯片;
所述安全芯片,还用于根据所述度量结果与预先存储的标准值的比较结果,确定是否启动高速密码运算,
其中,所述主机处理器,还用于采用所述平台度量根对所述动态度量模块进行计算得到所述动态度量模块的散列值,其中,所述度量结果包括所述散列值;将所述散列值与预定散列值进行比较获得比较结果,其中,所述预先存储的标准值为所述预定散列值;根据比较结果确定所述动态度量模块的完整性是否被破坏,其中,在所述比较结果为所述散列值与所述预定散列值相同的情况下,确定所述动态度量模块的完整性未被破坏。
14.根据权利要求13所述的系统,其特征在于,
所述安全芯片用于采用度量根密钥的私钥对所述平台度量根和所述动态度量模块进行加密,获得加密数据,并将加密数据加载到所述主机处理器;
所述主机处理器用于采用度量根密钥的公钥对所述加密数据进行解密,获得所述平台度量根和所述动态度量模块;
所述主机处理器用于采用所述度量根密钥的公钥对所述度量结果进行加密,获得加密度量结果,并将所述加密度量结果发送给所述安全芯片;
所述安全芯片用于采用所述度量根密钥的私钥对所述加密度量结果进行解密,获得所述度量结果,并根据解密获得的度量结果确定是否启动高速密码运算。
15.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至10中任意一项所述的高速密码运算动态度量方法。
16.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至10中任意一项所述的高速密码运算动态度量方法。
17.一种数据处理方法,其特征在于,包括:
第一处理器接收密码运算请求;
所述第一处理器将度量根和待度量对象发送到第二处理器,其中,所述第二处理器采用所述度量根对所述待度量对象进行度量;
所述第一处理器接收来自所述第二处理器的度量结果;
所述第一处理器确定所述度量结果满足预设条件,启动密码运算.
采用所述度量根对所述待度量对象进行度量包括:采用所述度量根对所述待度量对象进行计算得到所述待度量对象的散列值,将所述散列值与预定散列值进行比较获得比较结果,根据所述比较结果确定所述待度量对象的完整性是否被破坏。
18.根据权利要求17所述的方法,其特征在于,所述度量根用于进行完整性度量的可信值,所述度量根包括基于可信平台的平台度量根。
19.根据权利要求17至18中任一项所述的方法,其特征在于,所述第一处理器包括:
安全芯片,所述第二处理器包括:系统的主机处理器。
CN201810872799.1A 2018-08-02 2018-08-02 高速密码运算的度量处理方法、装置、存储介质及处理器 Active CN110795742B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201810872799.1A CN110795742B (zh) 2018-08-02 2018-08-02 高速密码运算的度量处理方法、装置、存储介质及处理器
US16/529,524 US11349651B2 (en) 2018-08-02 2019-08-01 Measurement processing of high-speed cryptographic operation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810872799.1A CN110795742B (zh) 2018-08-02 2018-08-02 高速密码运算的度量处理方法、装置、存储介质及处理器

Publications (2)

Publication Number Publication Date
CN110795742A CN110795742A (zh) 2020-02-14
CN110795742B true CN110795742B (zh) 2023-05-02

Family

ID=69229087

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810872799.1A Active CN110795742B (zh) 2018-08-02 2018-08-02 高速密码运算的度量处理方法、装置、存储介质及处理器

Country Status (2)

Country Link
US (1) US11349651B2 (zh)
CN (1) CN110795742B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110677250B (zh) 2018-07-02 2022-09-02 阿里巴巴集团控股有限公司 密钥和证书分发方法、身份信息处理方法、设备、介质
CN110795774B (zh) 2018-08-02 2023-04-11 阿里巴巴集团控股有限公司 基于可信高速加密卡的度量方法、设备和系统
CN110874478B (zh) 2018-08-29 2023-05-02 阿里巴巴集团控股有限公司 密钥处理方法及装置、存储介质和处理器
CN111310193B (zh) * 2020-02-12 2022-03-15 北京可信华泰信息技术有限公司 数据处理方法、装置、存储介质和处理器
CN111310192B (zh) * 2020-02-12 2022-03-15 北京可信华泰信息技术有限公司 数据处理方法、装置、存储介质和处理器
CN113486353B (zh) * 2021-06-24 2023-08-01 邦彦技术股份有限公司 可信度量方法、系统、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101477602A (zh) * 2009-02-10 2009-07-08 浪潮电子信息产业股份有限公司 一种可信计算环境中远程证明的方法
US8767957B1 (en) * 2008-10-29 2014-07-01 Purdue Research Foundation Communication encryption method and device
CN105205401A (zh) * 2015-09-30 2015-12-30 中国人民解放军信息工程大学 基于安全密码芯片的可信计算机系统及其可信引导方法
CN107665308A (zh) * 2016-07-28 2018-02-06 华大半导体有限公司 用于构建和保持可信运行环境的tpcm系统以及相应方法

Family Cites Families (144)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0974129B1 (en) 1996-09-04 2006-08-16 Intertrust Technologies Corp. Trusted infrastructure support systems, methods and techniques for secure electronic commerce, electronic transactions, commerce process control and automation, distributed computing, and rights management
US7716098B2 (en) 1997-07-15 2010-05-11 Silverbrook Research Pty Ltd. Method and apparatus for reducing optical emissions in an integrated circuit
US6978018B2 (en) 2001-09-28 2005-12-20 Intel Corporation Technique to support co-location and certification of executable content from a pre-boot space into an operating system runtime environment
US20030188146A1 (en) 2002-03-28 2003-10-02 Hale Robert P. Method of ordered execution of firmware modules in a pre-memory execution environment
US8100323B1 (en) * 2002-12-26 2012-01-24 Diebold Self-Service Systems Division Of Diebold, Incorporated Apparatus and method for verifying components of an ATM
US7082509B2 (en) 2003-02-06 2006-07-25 Intel Corporation Method and system for allocating memory during system boot to reduce operating system memory resource consumption at run-time
US20040190721A1 (en) 2003-03-24 2004-09-30 Microsoft Corporation Renewable conditional access system
CN100447763C (zh) 2003-05-29 2008-12-31 联想(北京)有限公司 一种安全芯片及基于该芯片的信息安全处理设备和方法
US7533274B2 (en) 2003-11-13 2009-05-12 International Business Machines Corporation Reducing the boot time of a TCPA based computing system when the core root of trust measurement is embedded in the boot block code
US7930503B2 (en) 2004-01-26 2011-04-19 Hewlett-Packard Development Company, L.P. Method and apparatus for operating multiple security modules
KR101088420B1 (ko) 2004-02-13 2011-12-08 아이비아이 스마트 테크놀로지스 인코포레이티드 데이터 암호 처리 방법 및 장치
US7318150B2 (en) 2004-02-25 2008-01-08 Intel Corporation System and method to support platform firmware as a trusted process
JP2005275467A (ja) 2004-03-22 2005-10-06 Sharp Corp バックアップ装置、被バックアップ装置、バックアップ媒介装置、バックアップシステム、バックアップ方法、データ復元方法、プログラム及び記録媒体
US20050251857A1 (en) 2004-05-03 2005-11-10 International Business Machines Corporation Method and device for verifying the security of a computing platform
US20050283601A1 (en) * 2004-06-22 2005-12-22 Sun Microsystems, Inc. Systems and methods for securing a computer boot
US7364087B2 (en) 2004-06-24 2008-04-29 Intel Corporation Virtual firmware smart card
US20060010326A1 (en) 2004-07-08 2006-01-12 International Business Machines Corporation Method for extending the CRTM in a trusted platform
EP1617587A1 (en) 2004-07-12 2006-01-18 International Business Machines Corporation Method, system and computer program product for privacy-protecting integrity attestation of computing platform
US20060059369A1 (en) 2004-09-10 2006-03-16 International Business Machines Corporation Circuit chip for cryptographic processing having a secure interface to an external memory
US7653819B2 (en) 2004-10-01 2010-01-26 Lenovo Singapore Pte Ltd. Scalable paging of platform configuration registers
US7725703B2 (en) 2005-01-07 2010-05-25 Microsoft Corporation Systems and methods for securely booting a computer with a trusted processing module
JP2007004522A (ja) 2005-06-24 2007-01-11 Renesas Technology Corp 記憶装置
EP1924976A2 (en) 2005-08-18 2008-05-28 IVI Smart Technologies Inc. Biometric identity verification system and method
US7627893B2 (en) 2005-10-20 2009-12-01 International Business Machines Corporation Method and system for dynamic adjustment of computer security based on network activity of users
TWI314686B (en) 2005-12-20 2009-09-11 Power Quotient Int Co Ltd Low profile storage device
US7734934B2 (en) 2005-12-20 2010-06-08 Intel Corporation Seamless data migration
US9277295B2 (en) 2006-06-16 2016-03-01 Cisco Technology, Inc. Securing media content using interchangeable encryption key
US8560863B2 (en) 2006-06-27 2013-10-15 Intel Corporation Systems and techniques for datapath security in a system-on-a-chip device
GB0615015D0 (en) 2006-07-28 2006-09-06 Hewlett Packard Development Co Secure use of user secrets on a computing platform
US8522018B2 (en) 2006-08-18 2013-08-27 Fujitsu Limited Method and system for implementing a mobile trusted platform module
US9794247B2 (en) 2006-08-22 2017-10-17 Stmicroelectronics, Inc. Method to prevent cloning of electronic components using public key infrastructure secure hardware device
US20080072071A1 (en) 2006-09-14 2008-03-20 Seagate Technology Llc Hard disc streaming cryptographic operations with embedded authentication
US20080126779A1 (en) 2006-09-19 2008-05-29 Ned Smith Methods and apparatus to perform secure boot
US8510859B2 (en) 2006-09-26 2013-08-13 Intel Corporation Methods and arrangements to launch trusted, co-existing environments
US7747024B2 (en) 2007-02-09 2010-06-29 Lenovo (Singapore) Pte. Ltd. System and method for generalized authentication
US20080244746A1 (en) 2007-03-28 2008-10-02 Rozas Carlos V Run-time remeasurement on a trusted platform
CN201051744Y (zh) 2007-04-20 2008-04-23 深圳兆日技术有限公司 一种安全的加密网卡装置
US9026771B2 (en) 2007-04-27 2015-05-05 Hewlett-Packard Development Company, L.P. Secure computer system update
US20090070593A1 (en) 2007-09-07 2009-03-12 Authentec, Inc. Finger sensing apparatus using unique session key and associated methods
US9165175B2 (en) 2007-09-07 2015-10-20 Apple Inc. Finger sensing apparatus performing secure software update and associated methods
US20090144046A1 (en) 2007-09-28 2009-06-04 Rothman Michael A Method to encapsulate an option rom for operation in multiple firmware and platform architectures
US8156322B2 (en) 2007-11-12 2012-04-10 Micron Technology, Inc. Critical security parameter generation and exchange system and method for smart-card memory modules
JP5085287B2 (ja) 2007-11-21 2012-11-28 株式会社リコー 情報処理装置、正当性検証方法および正当性検証プログラム
US20090172378A1 (en) 2007-12-28 2009-07-02 Kazmierczak Gregory J Method and system for using a trusted disk drive and alternate master boot record for integrity services during the boot of a computing platform
US20090327741A1 (en) * 2008-06-30 2009-12-31 Zimmer Vincent J System and method to secure boot uefi firmware and uefi-aware operating systems on a mobile internet device (mid)
US8442960B1 (en) 2008-06-30 2013-05-14 Symantec Corporation Systems and methods for process self-elevation
CN101344904B (zh) 2008-09-02 2010-09-01 中国科学院软件研究所 一种动态度量方法
US20100082960A1 (en) 2008-09-30 2010-04-01 Steve Grobman Protected network boot of operating system
US8738932B2 (en) 2009-01-16 2014-05-27 Teleputers, Llc System and method for processor-based security
US8229115B2 (en) 2009-07-15 2012-07-24 Cisco Technology, Inc. Use of copyright text in key derivation function
CN101997834B (zh) 2009-08-10 2015-01-07 北京多思科技发展有限公司 支持高性能安全协议的装置
EP2290873B1 (en) 2009-08-28 2014-01-22 BlackBerry Limited Protocol for protecting content protection data
US8856941B2 (en) 2010-04-12 2014-10-07 Interdigital Patent Holdings, Inc. Staged control release in boot process
US9118666B2 (en) 2010-06-30 2015-08-25 Google Inc. Computing device integrity verification
US20120151223A1 (en) 2010-09-20 2012-06-14 Conde Marques Ricardo Nuno De Pinho Coelho Method for securing a computing device with a trusted platform module-tpm
US8572699B2 (en) 2010-11-18 2013-10-29 Microsoft Corporation Hardware-based credential distribution
US8560845B2 (en) 2011-01-14 2013-10-15 Apple Inc. System and method for tamper-resistant booting
US20120201379A1 (en) 2011-02-04 2012-08-09 Motorola Solutions, Inc. Method and apparatus for protecting security parameters used by a security module
US8984610B2 (en) 2011-04-18 2015-03-17 Bank Of America Corporation Secure network cloud architecture
JP5779434B2 (ja) 2011-07-15 2015-09-16 株式会社ソシオネクスト セキュリティ装置及びセキュリティシステム
US9465755B2 (en) 2011-07-18 2016-10-11 Hewlett Packard Enterprise Development Lp Security parameter zeroization
JP5816373B2 (ja) 2011-09-07 2015-11-18 インテル・コーポレーション デバイスのファームウェア整合性の検証
TWI534610B (zh) 2011-10-21 2016-05-21 系微股份有限公司 用於安全選項唯讀記憶體控制的方法、媒體及計算裝置
TWI546692B (zh) 2011-10-27 2016-08-21 電子戰協會公司 包括與已知電路板資訊有關之電路測試及驗證等特徵的裝置鑑別之系統及方法
EP2798566B1 (en) 2011-12-31 2019-10-09 Intel Corporation Securing device environment for trust provisioning
US9130837B2 (en) 2012-05-22 2015-09-08 Cisco Technology, Inc. System and method for enabling unconfigured devices to join an autonomic network in a secure manner
US8931082B2 (en) 2012-08-17 2015-01-06 Broadcom Corporation Multi-security-CPU system
US9038179B2 (en) 2012-08-28 2015-05-19 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Secure code verification enforcement in a trusted computing device
CN103856477B (zh) 2012-12-06 2018-01-02 阿里巴巴集团控股有限公司 一种可信计算系统及相应的认证方法和设备
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US9223982B2 (en) 2013-03-01 2015-12-29 Intel Corporation Continuation of trust for platform boot firmware
EP3869332B1 (en) 2013-03-06 2023-04-12 INTEL Corporation Roots-of-trust for measurement of virtual machines
US9070251B2 (en) 2013-03-08 2015-06-30 Igt Multi-tiered static chain of trust
US10528767B2 (en) 2013-03-29 2020-01-07 Ologn Technologies Ag Systems, methods and apparatuses for secure storage of data using a security-enhancing chip
CN104158791A (zh) 2013-05-14 2014-11-19 北大方正集团有限公司 一种分布式环境下的安全通信认证方法及系统
US9208105B2 (en) 2013-05-30 2015-12-08 Dell Products, Lp System and method for intercept of UEFI block I/O protocol services for BIOS based hard drive encryption support
GB2514771B (en) 2013-06-03 2015-10-21 Broadcom Corp Methods of securely changing the root key of a chip, and related electronic devices and chips
US9294282B1 (en) 2013-07-01 2016-03-22 Amazon Technologies, Inc. Cryptographically verified repeatable virtualized computing
US9953166B2 (en) 2013-07-04 2018-04-24 Microsemi SoC Corporation Method for securely booting target processor in target system using a secure root of trust to verify a returned message authentication code recreated by the target processor
US10298545B2 (en) 2013-09-12 2019-05-21 International Business Machines Corporation Secure processing environment for protecting sensitive information
US9881162B2 (en) 2013-09-12 2018-01-30 Insyde Software Corp. System and method for auto-enrolling option ROMS in a UEFI secure boot database
US9690602B2 (en) 2013-10-07 2017-06-27 American Megatrends, Inc. Techniques for programming and verifying backplane controller chip firmware
US10305893B2 (en) 2013-12-27 2019-05-28 Trapezoid, Inc. System and method for hardware-based trust control management
EP3127273B1 (en) 2014-03-31 2020-10-14 Irdeto B.V. Cryptographic chip and related methods
JP2016025616A (ja) 2014-07-24 2016-02-08 レノボ・シンガポール・プライベート・リミテッド ディスク・ドライブが記憶するデータを保護する方法および携帯式コンピュータ
US20160065375A1 (en) 2014-08-28 2016-03-03 Qualcomm Incorporated Dynamic integrity validation of a high level operating system
US9246690B1 (en) 2014-09-03 2016-01-26 Amazon Technologies, Inc. Secure execution environment services
US9594927B2 (en) 2014-09-10 2017-03-14 Intel Corporation Providing a trusted execution environment using a processor
US9851985B2 (en) 2014-10-01 2017-12-26 Dell Products L.P. Platform configuration management using a basic input/output system (BIOS)
WO2016081867A1 (en) 2014-11-20 2016-05-26 Interdigital Patent Holdings, Inc. Providing security to computing systems
US9893882B1 (en) 2014-12-12 2018-02-13 Juniper Networks, Inc. Apparatus, system, and method for detecting device tampering
US9965632B2 (en) 2014-12-22 2018-05-08 Capital One Services, Llc System and methods for secure firmware validation
CN104778141B (zh) 2015-02-10 2017-12-26 浙江大学 一种基于控制系统可信架构的tpcm模块及可信检测方法
US10127389B1 (en) 2015-03-30 2018-11-13 Amazon Technologies, Inc. Performing operations on intelligent storage with hardened interfaces
US10469477B2 (en) 2015-03-31 2019-11-05 Amazon Technologies, Inc. Key export techniques
US9703973B2 (en) 2015-04-28 2017-07-11 International Business Machines Corporation Customer load of field programmable gate arrays
KR20160138917A (ko) 2015-05-26 2016-12-06 크루셜텍 (주) 지문 검출 장치를 포함하는 스마트카드 및 이의 구동 방법
US9530002B1 (en) 2015-08-26 2016-12-27 Christopher Luis Hamlin Verifying the integrity of a computing platform
US11026628B1 (en) 2015-09-30 2021-06-08 Apple Inc. Systems and methods of spatial filtering for measuring electrical signals
GB201522244D0 (en) 2015-12-16 2016-01-27 Nagravision Sa Hardware integrity check
CN106027235B (zh) 2016-05-13 2019-05-17 北京三未信安科技发展有限公司 一种pci密码卡和海量密钥密码运算方法及系统
US10102090B2 (en) * 2016-05-16 2018-10-16 International Business Machines Corporation Non-destructive analysis to determine use history of processor
US10331911B2 (en) 2016-06-29 2019-06-25 International Business Machines Corporation Secure crypto module including security layers
CN106230584B (zh) 2016-07-21 2019-09-03 北京可信华泰信息技术有限公司 一种可信平台控制模块的密钥迁移方法
CN106372487A (zh) 2016-08-30 2017-02-01 孙鸿鹏 一种服务器操作系统可信增强方法及系统
US11496285B2 (en) 2016-09-08 2022-11-08 International Business Machines Corporation Cryptographic side channel resistance using permutation networks
CN106656502B (zh) 2016-09-26 2020-09-01 上海兆芯集成电路有限公司 计算机系统及安全执行的方法
US10256981B2 (en) 2016-09-27 2019-04-09 International Business Machines Corporation Secure logging for host security module
CN107959656B (zh) 2016-10-14 2021-08-31 阿里巴巴集团控股有限公司 数据安全保障系统及方法、装置
CN108011716B (zh) 2016-10-31 2021-04-16 航天信息股份有限公司 一种密码装置及实现方法
US10621351B2 (en) 2016-11-01 2020-04-14 Raptor Engineering, LLC. Systems and methods for tamper-resistant verification of firmware with a trusted platform module
US20190268155A1 (en) * 2016-12-02 2019-08-29 Huawei Technologies Co., Ltd. Method for Ensuring Terminal Security and Device
US10374885B2 (en) 2016-12-13 2019-08-06 Amazon Technologies, Inc. Reconfigurable server including a reconfigurable adapter device
CN108234115B (zh) 2016-12-15 2021-03-09 阿里巴巴集团控股有限公司 信息安全的验证方法、装置和系统
US10298553B2 (en) 2017-03-31 2019-05-21 Sprint Communications Company L.P. Hardware trusted data communications over system-on-chip (SOC) architectures
US10819501B2 (en) 2017-05-23 2020-10-27 Centurylink Intellectual Property Llc Validating one or more blockchains without ledger limitations
US10838902B2 (en) 2017-06-23 2020-11-17 Facebook, Inc. Apparatus, system, and method for performing hardware acceleration via expansion cards
US11153289B2 (en) 2017-07-28 2021-10-19 Alibaba Group Holding Limited Secure communication acceleration using a System-on-Chip (SoC) architecture
CN107480986B (zh) 2017-08-14 2019-08-09 飞天诚信科技股份有限公司 一种利用硬件实现数字货币钱包的方法及硬件钱包
US10891366B1 (en) 2017-08-18 2021-01-12 Jonetix Corporation Secure hardware signature and related methods and applications
JP6953947B2 (ja) 2017-09-22 2021-10-27 コニカミノルタ株式会社 情報処理装置、ファームウェア更新プログラム
US10666430B2 (en) * 2017-09-29 2020-05-26 Intel Corporation System and techniques for encrypting chip-to-chip communication links
US20190108332A1 (en) 2017-10-06 2019-04-11 Elwha Llc Taint injection and tracking
CN109714302B (zh) 2017-10-25 2022-06-14 阿里巴巴集团控股有限公司 算法的卸载方法、装置和系统
KR20190057687A (ko) 2017-11-20 2019-05-29 삼성전자주식회사 챗봇 변경을 위한 위한 전자 장치 및 이의 제어 방법
KR102434444B1 (ko) 2017-11-29 2022-08-19 한국전자통신연구원 가상 트러스트 컴퓨팅 베이스를 이용한 기기 보안성 검증 방법 및 장치
US10706179B2 (en) 2018-01-10 2020-07-07 General Electric Company Secure provisioning of secrets into MPSoC devices using untrusted third-party systems
CN108243009A (zh) 2018-01-18 2018-07-03 郑州云海信息技术有限公司 一种基于fpga和密码芯片的tpcm板卡
US11373176B2 (en) 2018-02-22 2022-06-28 Wells Fargo Bank, N.A. Systems and methods for federated identity management
US11347861B2 (en) 2018-04-10 2022-05-31 Raytheon Company Controlling security state of commercial off the shelf (COTS) system
CN110414244B (zh) 2018-04-28 2023-07-21 阿里巴巴集团控股有限公司 加密卡、电子设备及加密服务方法
US11714910B2 (en) 2018-06-13 2023-08-01 Hewlett Packard Enterprise Development Lp Measuring integrity of computing system
TWI684887B (zh) 2018-06-26 2020-02-11 和碩聯合科技股份有限公司 自動驗證方法與系統
CN110677250B (zh) 2018-07-02 2022-09-02 阿里巴巴集团控股有限公司 密钥和证书分发方法、身份信息处理方法、设备、介质
CN110737897B (zh) 2018-07-19 2023-05-02 阿里巴巴集团控股有限公司 基于可信卡的启动度量的方法和系统
CN110795774B (zh) 2018-08-02 2023-04-11 阿里巴巴集团控股有限公司 基于可信高速加密卡的度量方法、设备和系统
EP3644181B1 (en) 2018-08-23 2024-08-07 Shenzhen Goodix Technology Co., Ltd. Embedded program secure boot method, apparatus and device, and storage medium
CN110874478B (zh) 2018-08-29 2023-05-02 阿里巴巴集团控股有限公司 密钥处理方法及装置、存储介质和处理器
CN110874494B (zh) 2018-08-29 2023-05-02 阿里巴巴集团控股有限公司 密码运算处理方法、装置、系统及度量信任链构建方法
CN110875819B (zh) 2018-08-29 2022-09-06 阿里巴巴集团控股有限公司 密码运算处理方法、装置及系统
CN110971398A (zh) 2018-09-28 2020-04-07 阿里巴巴集团控股有限公司 数据处理方法、装置及系统
CN109614799B (zh) 2018-11-28 2021-03-16 北京可信华泰信息技术有限公司 一种信息权鉴方法
CN109784070A (zh) 2018-12-26 2019-05-21 北京可信华泰信息技术有限公司 一种可信硬件结构
US11409872B2 (en) 2019-06-28 2022-08-09 Seagate Technology Llc Confirming a version of firmware loaded to a processor-based device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8767957B1 (en) * 2008-10-29 2014-07-01 Purdue Research Foundation Communication encryption method and device
CN101477602A (zh) * 2009-02-10 2009-07-08 浪潮电子信息产业股份有限公司 一种可信计算环境中远程证明的方法
CN105205401A (zh) * 2015-09-30 2015-12-30 中国人民解放军信息工程大学 基于安全密码芯片的可信计算机系统及其可信引导方法
CN107665308A (zh) * 2016-07-28 2018-02-06 华大半导体有限公司 用于构建和保持可信运行环境的tpcm系统以及相应方法

Also Published As

Publication number Publication date
US11349651B2 (en) 2022-05-31
US20200044841A1 (en) 2020-02-06
CN110795742A (zh) 2020-02-14

Similar Documents

Publication Publication Date Title
CN110795742B (zh) 高速密码运算的度量处理方法、装置、存储介质及处理器
CN110737897B (zh) 基于可信卡的启动度量的方法和系统
US10437985B2 (en) Using a second device to enroll a secure application enclave
CN110874494B (zh) 密码运算处理方法、装置、系统及度量信任链构建方法
CN110795774B (zh) 基于可信高速加密卡的度量方法、设备和系统
US8966642B2 (en) Trust verification of a computing platform using a peripheral device
US9509502B2 (en) Symmetric keying and chain of trust
US9521125B2 (en) Pseudonymous remote attestation utilizing a chain-of-trust
US9768951B2 (en) Symmetric keying and chain of trust
CN110874478B (zh) 密钥处理方法及装置、存储介质和处理器
CN110875819B (zh) 密码运算处理方法、装置及系统
CN106612180A (zh) 实现会话标识同步的方法及装置
CN111259401B (zh) 可信度量方法、装置、系统、存储介质及计算机设备
US10650130B2 (en) System and method for facilitating authentication via a short-range wireless token
CN111371726B (zh) 安全代码空间的认证方法、装置、存储介质及处理器
CN111177709A (zh) 一种终端可信组件的执行方法、装置及计算机设备
CN107026730B (zh) 数据处理方法、装置及系统
US9659177B1 (en) Authentication token with controlled release of authentication information based on client attestation
EP3221996B1 (en) Symmetric keying and chain of trust
CN205160564U (zh) 一种系统的安全启动装置及智能终端
CN110858246B (zh) 安全代码空间的认证方法和系统、及其注册方法
CN107846390B (zh) 应用程序的认证方法及装置
CN108574657B (zh) 接入服务器的方法、装置、系统以及计算设备和服务器
CN112000935B (zh) 远程认证方法、装置、系统、存储介质及计算机设备
CN118260774B (zh) 服务器的启动方法及装置、存储介质及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40023509

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant