CN110580420B - 基于集成芯片的数据处理方法、计算机设备、存储介质 - Google Patents
基于集成芯片的数据处理方法、计算机设备、存储介质 Download PDFInfo
- Publication number
- CN110580420B CN110580420B CN201810596085.2A CN201810596085A CN110580420B CN 110580420 B CN110580420 B CN 110580420B CN 201810596085 A CN201810596085 A CN 201810596085A CN 110580420 B CN110580420 B CN 110580420B
- Authority
- CN
- China
- Prior art keywords
- chip
- key
- speed
- trusted computing
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/76—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in application-specific integrated circuits [ASIC] or field-programmable devices, e.g. field-programmable gate arrays [FPGA] or programmable logic devices [PLD]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
Abstract
本申请实施例公开了一种基于集成芯片的数据处理方法。所述方法包括:将可信计算芯片的计算信息提供给高速加密芯片,基于计算信息,调用高速加密芯片进行数据加密或可信计算,使得将两种芯片集成后,可信计算和数据加密这两种安全计算可以共用统一的计算信息,相比于集成前各用一套计算信息来说,减少了相应的硬件成本和管理成本,并且对于数据加密功能来说,可信计算芯片在功能的完整性和可靠性上高于高速加密芯片,由可信计算芯片存储计算信息可以提高数据加密的安全性,而对于可信计算功能来说,增加了对于高速加密芯片的计算能力的利用,提高了可信计算的计算效率。
Description
技术领域
本申请涉及数据处理技术领域,具体涉及一种基于集成芯片的数据处理方法、一种计算机设备、一种计算机可读存储介质。
背景技术
可信计算(Trusted Computing)是在计算和通信系统中广泛使用的,基于硬件安全模块支持下的可信计算平台,以提供系统整体的安全性。可信计算芯片是为证据提供完整性和真实性保障的安全芯片,一般通过物理方式被强绑定到计算平台。
数据加密(Data Encryption)是通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。高速加密芯片是高性能基础密码设备,能够适用于各类密码运算,满足数据的签名/验证,加密/解密等要求,一般也通过物理方式被强绑定到计算平台。
申请人经研究发现,为了能保证业务承载的设备的平台及系统安全,保证业务关键敏感数据(比如,密钥、证书等明文)的安全性,保证业务敏感数据的计算,尤其是关键信息的计算安全、计算能力及存储能力,需要可信计算芯片与高速加密芯片两种芯片支撑功能实现,但是目前,可信计算芯片与高速加密芯片各有一套密钥体系,密钥管理的硬件成本和管理成本较高。
发明内容
鉴于上述问题,提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的基于集成芯片的数据处理方法,以及计算机设备、计算机可读存储介质。
依据本申请的一个方面,提供了一种基于集成芯片的数据处理方法,所述集成芯片包括可信计算芯片和高速加密芯片,所述方法包括:
将所述可信计算芯片的计算信息提供给所述高速加密芯片,所述计算信息包括可信计算和数据加密的密钥信息和密码运算信息;
基于所述计算信息,调用所述高速加密芯片进行数据加密或可信计算。
可选地,所述可信计算芯片和高速加密芯片基于电路进行数据通信。
可选地,所述计算信息包括度量密钥,所述可信计算包括:
根据所述度量密钥校验目标算法的完整性和/或算法执行对象的合法性。
可选地,所述度量密钥包括平台度量密钥,所述根据所述度量密钥校验目标算法的完整性和/或算法执行对象的合法性包括:
对系统或平台进行完整性度量之前,根据所述平台度量密钥校验完整性度量代码的完整性以及算法执行对象的合法性。
可选地,所述度量密钥包括用户度量密钥,所述根据所述度量密钥校验目标算法的完整性和/或算法执行对象的合法性包括:
在执行用户密码运算之前,根据所述用户度量密钥校验用户密码运算的运算算法的完整性。
可选地,所述可信计算芯片上固化存储有至少一种第一密码算法,所述方法还包括:
选取与集成芯片的当前模式匹配的至少一种第一密码算法。
可选地,所述可信计算芯片上固化存储有可信计算系统固件,所述可信计算包括:
采用所述可信计算系统固件调度和执行可信计算任务,对密码运算进行完整性校验。
可选地,所述计算信息包括至少一个用于用户应用密钥的主密钥,所述主密钥固化存储在可信计算芯片上,所述主密钥用于保护用户应用密钥;
所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
所述高速加密芯片从所述可信计算芯片上获取所述主密钥;
所述数据加密包括:
根据所获取的主密钥,对所述用户应用密钥进行加密处理。
可选地,所述计算信息包括高速加密运算固件,所述高速加密运算固件固化存储在可信计算芯片上,所述高速加密运算固件包括至少一种第二密码算法;
所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
所述高速加密芯片从所述可信计算芯片上获取所述第二密码算法;
所述数据加密包括:
采用所述高速加密运算固件的至少一种第二密码算法进行数据加密。
可选地,所述计算信息包括系统安全运算固件,所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
从所述可信计算芯片上获取所述系统安全运算固件,并固化存储在所述高速加密芯片上;
所述可信计算包括:
在所述高速加密芯片上执行系统的安全运算。
可选地,所述计算信息包括用户策略固件,所述用户策略固件用于制定应用的密码算法需求,所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
从所述可信计算芯片上获取所述用户策略固件,并存储在所述高速加密芯片上;
所述方法还包括:
根据用户需求数据重构所述高速加密芯片上的用户策略固件。
可选地,所述计算信息包括运算密钥,所述运算密钥用于保护用户数据,所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
从所述可信计算芯片上获取所述运算密钥,并存储在所述高速加密芯片上;
所述数据加密或可信计算包括:
根据所述运算密钥,进行数据加密或可信计算。
可选地,所述高速加密芯片存储有用户数据,所述方法还包括:
根据用户需求数据重构所述高速加密芯片上的用户数据。
可选地,所述可信计算包括高速计算和低速计算,所述可信计算包括:
调用所述可信计算芯片进行用于平台安全和/或系统安全的低速计算;
和/或,调用所述高速加密芯片进行高速计算。
可选地,所述密钥信息包括平台证书、平台公钥、平台私钥、平台身份证书、平台身份公钥、平台身份私钥、存储密钥、平台度量密钥、用户度量密钥、主密钥和运算密钥。
可选地,所述集成芯片包括存储所述密钥信息的平台密码存储结构、认证密码存储结构、存储密码存储结构和度量密码存储结构,其中,所述平台密码存储结构中有平台证书、平台公钥和平台私钥,所述认证密码存储结构中有平台身份证书、平台身份公钥和平台身份私钥,所述存储密码存储结构中有存储密钥,所述度量密码存储结构中有平台度量密钥和用户度量密钥。
可选地,所述用户度量密钥存储在所述可信计算芯片的非易失存储空间,或者所述高速加密芯片的静态存储区;所述主密钥存储在所述可信计算芯片的非易失存储空间,或者经所述存储密钥加密后存储在所述集成芯片之外的存储空间;所述运算密钥存储在所述可信计算芯片的非易失存储空间,或者所述高速加密芯片的静态存储区,或者经所述主密钥加密后存储在所述集成芯片之外的存储空间。
相应地,根据本申请的另一方面,还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述一个或多个的方法。
相应地,根据本申请的另一方面,还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述一个或多个的方法。
依据本申请实施例,通过将可信计算芯片的计算信息提供给高速加密芯片,基于计算信息,调用高速加密芯片进行数据加密或可信计算,使得将两种芯片集成后,可信计算和数据加密这两种安全计算可以共用统一的计算信息,相比于集成前各用一套计算信息来说,减少了相应的硬件成本和管理成本,并且对于数据加密功能来说,可信计算芯片在功能的完整性和可靠性上高于高速加密芯片,由可信计算芯片存储计算信息可以提高数据加密的安全性,而对于可信计算功能来说,增加了对于高速加密芯片的计算能力的利用,提高了可信计算的计算效率。
进一步,由于可信计算芯片和高速加密芯片基于电路进行数据通信,两个芯片之间相互传数据属于内部传输,不需通过映射主机Host的内存进行,提高了数据的传输速度。
进一步,通过新增度量密钥,在平台及系统的完整性度量过程中,因有密钥参与,保证整个度量过程中的安全性。
进一步,通过调用可信计算芯片进行用于平台安全和/或系统安全的低速计算,和/或,调用高速加密芯片进行高速计算,提供了整体的计算效率和计算安全。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了可信高速数据加密卡的结构框图;
图2示出了可信高速数据加密卡与主板通用部件关系的示意图;
图3示出了可信计算芯片的结构框图;
图4示出了可信高速数据加密卡的密钥层次结构的示意图;
图5示出了基于FPGA的高速加密芯片的结构框图;
图6示出了基于集成芯片的数据处理过程的示意图;
图7示出了根据本申请实施例一的一种基于集成芯片的数据处理方法实施例的流程图;
图8示出了根据本申请实施例二的一种基于集成芯片的数据处理方法实施例的流程图;
图9示出了根据本申请实施例三的一种基于集成芯片的数据处理装置实施例的结构框图;
图10示出了可被用于实现本公开中所述的各个实施例的示例性系统。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为使本领域技术人员更好地理解本申请,以下对本申请涉及的概念进行说明:
集成芯片包括可信计算芯片和高速加密芯片,是将可信计算芯片与高速加密芯片集成在一个集成芯片里,来实现从开机到操作系统内核加载前的平台可信引导功能,对业务敏感数据加解密的计算安全,以及两设备交互,保障彼此的平台及身份的合法性。具体可以采用任意适用的集成方式,本申请实施例对此不做限制。
集成后,可信计算芯片部分不仅可以进行可信计算,也可以进行数据加密,高速加密芯片部分也不仅可以进行数据加密,也可以进行可信计算。一般来说,可信计算芯片在功能的完整性和可靠性上优于高速加密芯片,所以将计算信息存储在可信计算芯片上可以提高安全性,而高速加密芯片一般计算能力由于优于可信计算芯片,可以更快的完成数据加密或可信计算,即便不优于可信计算芯片,但增加了高速加密芯片的计算能力,也可以提高可信计算的效率。
例如,如图1所示的可信高速数据加密卡(Trusted High-Speed Data EncryptionCard,THSDEC)的结构框图,即集成芯片,包括可信计算芯片((Trusted PlatformComputing Module/Trusted Platform Module,TPCM/TPM)和高速加密卡(High-SpeedData Encryption Card,HSDEC),参照《GB/T 29827—2013信息安全技术—可信计算规范—可信平台主板功能接口》标准要求,以及TPCM/TPM的可信芯片设计,将可信计算芯片与高速加密卡集成在一张PCIe卡里。如图2所示的可信高速数据加密卡THSDEC与主板通用部件关系的示意图,可信高速数据加密卡THSDEC与可信软件基TSB(或可信软件栈TSS)通过PCIE或SPI总线进行命令和数据交互,通过使用多路复用器对GPIO/SPI/I2C进行复用的方式,实现对BMC/BIOS的度量以及相关控制器的连接。
可信计算和数据加密都属于安全计算,无论是数据加密,还是可信计算都需要基于计算信息进行。计算信息包括可信计算和数据加密的密钥信息和密码运算信息。其中,密钥信息包括各种密码运算涉及到的密钥,例如,度量密钥、主密钥、运算密钥等,或者其他任意适用的密钥信息,本申请实施例对此不做限制。密码运算信息包括各种密码运算涉及到的算法、运件及数据,例如,密码算法、可信计算系统固件、高速加密运算固件、系统安全运算固件、用户策略固件、用户数据等,或者其他任意适用的密码运算信息,本申请实施例对此不做限制。
在本申请的一种实施例中,可选地,可信计算芯片和高速加密芯片基于电路进行数据通信。例如,如图1所示的可信高速数据加密卡的结构框图,可以通过板卡内部的电路直接通信,不需通过映射主机Host的内存进行,提高了数据的传输速度。
在本申请的一种实施例中,可选地,计算信息包括度量密钥,度量密钥用于校验目标算法的完整性和/或算法执行对象的合法性,也就是说,度量密钥用来保证相应固件的度量是合法的人采用了争取的hash(哈希)函数在度量,例如,度量主体利用HMAC(Hash-basedMessage Authentication Code,哈希消息认证码)函数进行度量。可信计算芯片在平台及系统的完整性度量过程中,因无密钥参与,无法保证整个度量过程中的安全,即没法保证是合法的授权者(即算法执行对象),在用指定的度量算法(即目标算法)在度量,因此,本申请增加度量密钥,保证了整个度量过程中的安全性。目标算法包括完整性度量代码和用户密码运算,或者其他任意适用的算法,本申请实施例对此不做限制。算法执行对象包括系统或平台的当前使用者,或者其他任意适用的执行算法的对象,本申请实施例对此不做限制。
例如,如图3所示的可信计算芯片的结构框图,可信计算芯片主要由主计算区、密码计算区、存储区组成。其中主计算区包括CPU及内存,主要负责对密码计算能力及存储能力要求不高,但安全性要求很高的密码运算以外的通用计算。其中存储区包括度量根(即度量密钥)/存储根/报告根存储区,该存储区中存储有度量密钥。
在本申请的一种实施例中,可选地,度量密钥包括平台度量密钥,具体用于在对系统或平台进行完整性度量之前,校验完整性度量代码的完整性以及算法执行对象的合法性。完整性度量代码用于度量系统或平台的完整性,具体可以包括任意适用的算法,本申请实施例对此不做限制。
在本申请的一种实施例中,可选地,度量密钥包括用户度量密钥,具体用于在执行用户密码运算之前,校验用户密码运算的运算算法的完整性。用户密码运算包括涉及到用户密码的相关运算,具体可以包括任意适用的运算,本申请实施例对此不做限制。
在本申请的一种实施例中,可选地,计算信息包括至少一个用于用户应用密钥的主密钥,具体可以使用主密钥对用户应用密钥进行加密处理,以保护用户应用密钥。主密钥固化存储在可信计算芯片上,相比于存储在高速加密芯片上,提高了主密钥的存储安全。
在本申请的一种实施例中,可选地,计算信息包括运算密钥,运算密钥用于保护用户数据、尤其是用户敏感数据,运算密钥可以存储在可信计算芯片的非易失存储空间,也可以存储在高速加密芯片的静态存储区,也可以使用主密钥加密后,存储在集成芯片之外的存储空间。为了在高速加密芯片上进行可信计算或数据加密,可以从可信计算芯片获取运算密钥后,固化存储在高速加密芯片上,以便高速加密芯片进行数据加密或可信计算。
在本申请的一种实施例中,可选地,可信计算芯片上固化存储有至少一种第一密码算法,第一密码算法包括不同种类密码算法,主要负责密码计算能力及存储功能要求不高的密码运算,具体可以包括任意适用的算法,本申请实施例对此不做限制。第一密码算法一般是固化存储的,也可以提前定制算法,或者为集成芯片设计不同的模式,不同的模式匹配至少一种算法,以使得在进行可信计算或数据加密时按照模式动态选取第一密码算法。
例如,如图3所示的可信计算芯片的密码计算区包括不同种类密码算法的引擎(即第一密码运算),比如SM2(公钥密码引擎)、SM3(杂凑算法引擎)、SM4(对称密码引擎)、RSA(随机数引擎)、AES(国际对称算法引擎)等,主要负责密码计算能力及存储能力要求不高的密码运算。
在本申请的一种实施例中,可选地,密钥信息包括平台证书、平台公钥、平台私钥、平台身份证书、平台身份公钥、平台身份私钥、存储密钥、平台度量密钥、用户度量密钥、主密钥和运算密钥。
可信高速数据加密卡THSDEC(即集成芯片)包括的密钥信息可以如表1所示:
在本申请的一种实施例中,可选地,集成芯片包括存储所述密钥信息的平台密码存储结构、认证密码存储结构、存储密码存储结构和度量密码存储结构,其中,所述平台密码存储结构中有平台证书、平台公钥和平台私钥,所述认证密码存储结构中有平台身份证书、平台身份公钥和平台身份私钥,所述存储密码存储结构中有存储密钥,所述度量密码存储结构中有平台度量密钥和用户度量密钥。
例如,如图4所示的可信高速数据加密卡的密钥层次结构的示意图,THSDEC的KMS(Key Management Service,密钥管理服务)分为了平台密码层、认证密码层、存储密码层、度量密码层等,其中平台密码层包括平台证书、平台公钥、平台私钥,认证密码层包括平台身份证书、平台身份公钥、平台身份私钥,存储密码层包括存储密钥,度量密码层包括平台度量根密钥(即平台度量密钥)和用户运算度量密钥(即用户度量密钥),即度量密钥。
可信高速数据加密卡THSDEC使用了四个持久性(persistent)密钥层结构来支持不同的实例,如图4所示。它们有独立的访问授权控制(授权密码和策略),单独的管理员以及略微不同的操作方法:平台密码层结构(Platform Hierarchy)(即平台密码存储结构)、存储密码层结构(Storage Hierarchy)(即存储密码存储结构)、认证密码层结构(Endorsement Hierarchy)(即认证密码存储结构)、度量密钥密码层结构(即度量密码存储结构)。另外空密码层结构(Null Hierarchy)不同于持久性密钥层,授权密钥为空,策略也为空,同时重启后清空。
授权句柄(标识对象或项目的标识符)访问控制:
平台密码层结构句柄TPM_RH_Platform,提供给平台OEM厂商使用,通常是由BIOS分配,向上不可见。平台密码层包括了平台证书、平台公私钥对、一个平台有唯一一对平台公私对。平台证书包含了TPM/TPCM属性相关信息,比如TPM_id||HSDEC_id,TPM-HSDEC_Public-key等等,其格式符合X.509证书标准。
存储密码层结构句柄TPM_RH_OWNER,授权密钥owner password,提供给平台拥有者、IT运维部门或者业务方使用。落在业务方使用的即是该存储密码层结构,不同的业务方可以在该层次下创建一个属于自己的主密钥(SRK,storage root key),也称之为primarystorage key,用来生成和保护业务密钥。
认证密码层结构句柄TPM_RH_ENDORSEMENT,授权密钥endorse password,主要用作平台认证。认证密码层包括平台身份证书、平台身份公私对,一个平台有多对平台身份公私对。
度量密码层,包括平台度量密钥及用户运算度量密钥(即用户度量密钥)。其中平台度量密钥用来参与验证平台及系统的完整性;用户度量密钥用来参与验证用户在密码运算过程中,用来验证所加载密码运算相关固件的完整性。
在本申请的一种实施例中,可选地,可信计算芯片上固化存储有可信计算系统固件,可信计算系统固件用于调度和执行可信计算任务,对密码运算进行完整性校验。例如,如图3所示,可信计算芯片的存储区包括芯片系统固件存储区,可信计算产品的组成包括可信计算芯片、可信计算系统固件、可信计算支撑软件及辅助工具。可信计算系统固件实际就是可信计算芯片的片内操作系统,具体负责主动度量控制等任务的调度和执行,因此,芯片系统固件存储区存放可信计算系统固件。
在本申请的一种实施例中,可选地,计算信息包括高速加密运算固件,高速加密运算固件用于调度和执行数据加密任务,对数据进行加密。高速加密运算固件包括至少一种第二密码算法,第二密码算法用于进行数据加密,具体可以包括任意适用的算法,本申请实施例对此不做限制。高速加密运算固件还可以包括接口、时序、状态机、缓存等。高速加密运算固件固化存储在可信计算芯片上,可以提高固件的安全性。
例如,如图3所示,可信计算芯片的存储区包括FPGA-密码运算固件存储区,即高速加密运算固件固化存储在可信计算芯片的存储区,在高速加密芯片进行数据加密前,由可信计算芯片提供给高速加密芯片使用,以利用第二密码算法进行数据加密。可信计算芯片的存储区还包括平台配置寄存器PCR(程序控制暂存器),在可信计算芯片中,PCR是一段存储空间,每个PCR是一个256bit的用于保存和更新杂凑结果的区域,它属于易失存储,下电后丢失内容,PCR的log(日志)中保存有度量值的提交顺序。可信计算芯片一般提供27个或更多的PCR,它和可信报告根以及可信存储根一起实现平台身份认证和完整性报告。PCR的设计,必须实现两个基本功能,首先是保证PCR能被复位成默认值,其次是被度量固件特征值与PCR中原有值能进行连接后执行杂凑,再将该结果放回PCR中,即覆盖了杂凑结果。
在本申请的一种实施例中,可选地,计算信息包括系统安全运算固件,系统安全运算固件包括与系统相关的安全运算的固件,可以从flash(缓存)传输来,优选是从可信计算芯片获取,之后固化存储在高速加密芯片的存储区,由从前的从缓存动态加载改为静态存储,减少了从外部加载的时间,并且固化存在在高速加密芯片后,由于不可篡改而保证了安全性。
例如,如图5所示的基于FPGA(Field-Programmable Gate Array,现场可编程门阵列)的高速加密芯片的结构框图,FPGA是一种高性能、低功耗的可编程逻辑器件,可以直接生成电路来进行算法的计算,可以根据算法以及算法指标做针对性的设计,具有非常高的执行和计算效率,适合关注执行效率的在线识别系统。基于FPGA的高速加密芯片主要由主计算区、密码运算区即存储区组成。其中主计算区由内置的FPGA芯片的NIOS软核处理器、及PCI-E硬核组成,分别实现控制器模块和接口模块功能。其中存储区包括系统固件静态存储区,该区只可读不可写,系统安全运算固件固化存储在该区上。
在本申请的一种实施例中,可选地,计算信息包括用户策略固件,用户策略固件用于制定应用的密码算法需求,可以从flash加载,优选是从可信计算芯片获取,之后存储在高速加密芯片上。若高速加密芯片是可重构的,则可以根据用户需要修改用户策略固件,提高制定应用的密码算法需求的灵活性。
例如,如图5所示,基于FPGA的高速加密芯片的存储区包括用户策略固件动态存储区,其中用户策略固件可以根据用户需求数据进行重构。而密码计算区主要负责对密码计算能力及存储能力要求较高的密码运算,其密码算法可以根据用户策略固件动态存储区的用户策略固件制定的实际应用的密码算法需求,进行板内动态加载,从可信计算芯片的密码计算区获取前,平台度量密钥可以验证其完整性及合法性再加载。
在本申请的一种实施例中,可选地,高速加密芯片存储有用户数据,可以从flash加载,存储在靠近高速加密芯片计算的区域,提高安全性和读取速度。集成芯片得到用户需求数据后,高速加密芯片由于是支持可重构的,所以根据用户需求数据,对高速加密芯片上存储的用户数据进行重构。例如,如图5所示,基于FPGA的高速加密芯片的存储区包括用户数据存储区,用于存储用户数据,由于FPGA支持可重构,因此可以随时根据需要更新用户数据。
在本申请的一种实施例中,可选地,可信计算包括高速计算和低速计算,将用于平台安全和/或系统安全的对运算速度要求不高的运算,记为低速运算,相应的,将对运算速度要求高的运算,记为高速运算。具体可以根据实际需要,将可信计算分为任意适用的高速计算和低速计算,本申请实施例对此不做限制。
根据本申请的一个实施例,可信计算芯片与高速加密芯片各有一套密钥体系,密钥管理的硬件成本和管理成本较高。如图6所示的基于集成芯片的数据处理过程的示意图,本申请提供了一种基于集成芯片的数据处理机制,所述过程可以应用在基于集成芯片的可信计算和数据加密过程中,通过将可信计算芯片的计算信息提供给高速加密芯片,基于计算信息,调用高速加密芯片进行数据加密或可信计算,使得将两种芯片集成后,可信计算和数据加密这两种安全计算可以共用统一的计算信息,相比于集成前各用一套计算信息来说,减少了相应的硬件成本和管理成本,并且对于数据加密功能来说,可信计算芯片在功能的完整性和可靠性上高于高速加密芯片,由可信计算芯片存储计算信息可以提高数据加密的安全性,而对于可信计算功能来说,增加了对于高速加密芯片的计算能力的利用,提高了可信计算的计算效率。本申请适用但不局限于上述应用场景。
参照图7,示出了根据本申请实施例一的一种基于集成芯片的数据处理方法实施例的流程图,该方法具体可以包括以下步骤:
步骤101,将所述可信计算芯片的计算信息提供给所述高速加密芯片。
在本申请实施例中,将可信计算芯片和高速加密芯片集成为一个集成芯片,为了让可信计算芯片和高速加密芯片共用同一套密钥体系(包括密钥信息及密码运算信息),而不必各自有一套密钥体系,将计算信息存储在可信计算芯片上,并在高速加密芯片需要时,提供给高速加密芯片使用。
提供给高速加密芯片的方式可以通过集成芯片内部的数据交互实现,例如,通过集成芯片内部的电路直接通信,具体可以包括任意适用的方式,本申请实施例对此不做限制。
在本申请实施例中,将可信计算芯片的计算信息提供给高速加密芯片可以是在集成芯片启动时,也可以是在利用高速加密芯片进行数据加密或可信计算之前进行,本申请实施例对此不做限制。
步骤102,基于所述计算信息,调用所述高速加密芯片进行数据加密或可信计算。
在本申请实施例中,原本可信计算芯片可以进行可信计算,而高速加密芯片可以进行数据加密。对于集成芯片要完成的数据加密或可信计算来说,高速加密芯片获取计算信息后,调用高速加密芯片可以进行数据加密,由于计算信息是从可信加密芯片获取的,提高了数据加密的安全性。而可信计算可以在可信计算芯片进行,也可以调用高速加密芯片进行,具体可以将部分可信计算放在可信计算芯片进行,部分可信计算放在高速加密芯片进行,也可以将全部可信计算放在高速加密芯片进行,以提高可信计算的计算效率。当然,由于计算信息可以被可信计算芯片和高速加密芯片所共用,导致集成芯片减少了相应的硬件成本和管理成本。
依据本申请实施例,通过将可信计算芯片的计算信息提供给高速加密芯片,基于计算信息,调用高速加密芯片进行数据加密或可信计算,使得将两种芯片集成后,可信计算和数据加密这两种安全计算可以共用统一的计算信息,相比于集成前各用一套计算信息来说,减少了相应的硬件成本和管理成本,并且对于数据加密功能来说,可信计算芯片在功能的完整性和可靠性上高于高速加密芯片,由可信计算芯片存储计算信息可以提高数据加密的安全性,而对于可信计算功能来说,增加了对于高速加密芯片的计算能力的利用,提高了可信计算的计算效率。
在本申请的一种实施例中,可选地,可信计算芯片上固化存储有可信计算系统固件,可信计算的一种实现方式可以包括:采用可信计算系统固件调度和执行可信计算任务,对密码运算进行完整性校验。
可信计算任务是针对集成芯片的,可信计算系统固件是在可信计算芯片上工作的,可以调度和执行可信计算任务,对密码运算进行完整性校验,具体需要调度可信计算芯片进行,属于由可信计算芯片执行的可信计算。当然也可以将可信计算任务发送到高速加密芯片进行,本申请实施例对此不做限制。
在本申请的一种实施例中,可选地,可信计算包括高速计算和低速计算,可信计算的一种实现方式可以包括:调用可信计算芯片进行用于平台安全和/或系统安全的低速计算,和/或,调用高速加密芯片进行高速计算。
集成前的体系无法将高速计算和低速计算分离,都是有可信计算芯片进行,由于高速加密芯片的计算速度较快,存储能力较强,可以将对速度要求高的高速计算放在高速加密芯片进行,将对安全要求高,速度要求低的低速计算放在可信计算芯片,提供了整体的计算效率和计算安全。
参照图8,示出了根据本申请实施例二的一种基于集成芯片的数据处理方法实施例的流程图,该方法具体可以包括以下步骤:
步骤201,从所述可信计算芯片上获取所述用户策略固件,并存储在所述高速加密芯片上。
在本申请实施例中,计算信息包括用户策略固件。高速加密芯片从可信计算芯片获取用户策略固件,并存储在高速加密芯片上。
步骤202,根据用户需求数据重构所述高速加密芯片上的用户策略固件。
在本申请实施例中,根据用户需求数据,对高速加密芯片上的用户策略固件进行重构,以根据重构的用户策略数据制定实际应用的密码算法需求,进行板内加载,将密码算法加载到高速加密芯片上。
步骤203,所述高速加密芯片从所述可信计算芯片上获取所述第二密码算法。
在本申请实施例中,高速加密芯片还需要从可信计算芯片上获取第二密码算法,可信计算芯片上固化存储有高速加密运算固件,具体可以将高速加密运算固件加载到高速加密芯片,并从中获取到第二密码算法,或者可以直接从可信计算芯片中获取第二密码算法,本申请实施例对此不做限制。
步骤204,从所述可信计算芯片上获取所述运算密钥,并存储在所述高速加密芯片上。
在本申请实施例中,高速加密芯片还需要从可信计算芯片上获取运算密钥,并存储在高速加密芯片上。
步骤205,采用所述高速加密运算固件的至少一种第二密码算法,根据所述运算密钥,进行数据加密或可信计算。
在本申请实施例中,高速加密芯片在进行数据加密或可信计算时,一种实现方式中,可以采用高速加密运算固件的至少一种第二密码算法,并根据从可信计算芯片获取的运算密钥,进行数据加密或可信计算。
在本申请的一种实施例中,可选地,将所述可信计算芯片的计算信息提供给所述高速加密芯片的一种实现方式可以包括:所述高速加密芯片从所述可信计算芯片上获取所述主密钥。之后数据加密可以包括:根据所获取的主密钥,对所述用户应用密钥进行加密处理。
在本申请的一种实施例中,可选地,将所述可信计算芯片的计算信息提供给所述高速加密芯片的一种实现方式可以包括:从所述可信计算芯片上获取所述系统安全运算固件,并固化存储在所述高速加密芯片上。之后可信计算可以包括:在所述高速加密芯片上执行系统的安全运算。可信计算包括对系统的安全运算,为了提高安全性和计算效率,将系统安全运算固件从可信计算芯片获取来后,进行固化存储,使得高速加密芯片上系统安全运算固件不可篡改,并利用高速加密芯片的计算能力进行安全计算。
依据本申请实施例,通过从所述可信计算芯片上获取所述用户策略固件,并存储在所述高速加密芯片上,根据用户需求数据重构所述高速加密芯片上的用户策略固件,所述高速加密芯片从所述可信计算芯片上获取所述第二密码算法,从所述可信计算芯片上获取所述运算密钥,并存储在所述高速加密芯片上,采用所述高速加密运算固件的至少一种第二密码算法,根据所述运算密钥,进行数据加密或可信计算,使得将两种芯片集成后,可信计算和数据加密这两种安全计算可以共用统一的计算信息,相比于集成前各用一套计算信息来说,减少了相应的硬件成本和管理成本,并且对于数据加密功能来说,可信计算芯片在功能的完整性和可靠性上高于高速加密芯片,由可信计算芯片存储计算信息可以提高数据加密的安全性,而对于可信计算功能来说,增加了对于高速加密芯片的计算能力的利用,提高了可信计算的计算效率。
参照图9,示出了根据本申请实施例三的一种基于集成芯片的数据处理装置实施例的结构框图,所述集成芯片包括可信计算芯片和高速加密芯片,具体可以包括:
信息提供模块301,用于将所述可信计算芯片的计算信息提供给所述高速加密芯片,所述计算信息包括可信计算和数据加密的密钥信息和密码运算信息;
计算模块302,用于基于所述计算信息,调用所述高速加密芯片进行数据加密或可信计算。
在本申请的一种实施例中,可选地,所述可信计算芯片和高速加密芯片基于电路进行数据通信。
在本申请的一种实施例中,可选地,所述计算信息包括度量密钥,所述计算模块包括:
合法校验子模块,用于根据所述度量密钥校验目标算法的完整性和/或算法执行对象的合法性。
在本申请的一种实施例中,可选地,所述度量密钥包括平台度量密钥,所述合法校验子模块包括:
平台度量校验单元,用于对系统或平台进行完整性度量之前,根据所述平台度量密钥校验完整性度量代码的完整性以及算法执行对象的合法性。
在本申请的一种实施例中,可选地,所述度量密钥包括用户度量密钥,所述合法校验子模块包括:
用户度量校验单元,用于在执行用户密码运算之前,根据所述用户度量密钥校验用户密码运算的运算算法的完整性。
在本申请的一种实施例中,可选地,所述可信计算芯片上固化存储有至少一种第一密码算法,所述装置还包括:
算法选取模块,用于选取与集成芯片的当前模式匹配的至少一种第一密码算法。
在本申请的一种实施例中,可选地,所述可信计算芯片上固化存储有可信计算系统固件,所述计算模块包括:
密码运算校验子模块,用于采用所述可信计算系统固件调度和执行可信计算任务,对密码运算进行完整性校验。
在本申请的一种实施例中,可选地,所述计算信息包括至少一个用于用户应用密钥的主密钥,所述主密钥固化存储在可信计算芯片上,所述主密钥用于保护用户应用密钥;
所述信息提供模块包括:
主密钥获取子模块,用于所述高速加密芯片从所述可信计算芯片上获取所述主密钥;
所述计算模块包括:
密钥加密子模块,用于根据所获取的主密钥,对所述用户应用密钥进行加密处理。
在本申请的一种实施例中,可选地,所述计算信息包括高速加密运算固件,所述高速加密运算固件固化存储在可信计算芯片上,所述高速加密运算固件包括至少一种第二密码算法;
所述信息提供模块包括:
第二算法获取子模块,用于所述高速加密芯片从所述可信计算芯片上获取所述第二密码算法;
所述计算模块包括:
数据加密子模块,用于采用所述高速加密运算固件的至少一种第二密码算法进行数据加密。
在本申请的一种实施例中,可选地,所述计算信息包括系统安全运算固件,所述信息提供模块包括:
系统安全固件获取子模块,用于从所述可信计算芯片上获取所述系统安全运算固件,并固化存储在所述高速加密芯片上;
所述计算模块包括:
安全计算子模块,用于在所述高速加密芯片上执行系统的安全运算。
在本申请的一种实施例中,可选地,所述计算信息包括用户策略固件,所述用户策略固件用于制定应用的密码算法需求,所述信息提供模块包括:
策略固件获取模块,用于从所述可信计算芯片上获取所述用户策略固件,并存储在所述高速加密芯片上;
所述装置还包括:
策略固件重构模块,用于根据用户需求数据重构所述高速加密芯片上的用户策略固件。
在本申请的一种实施例中,可选地,所述计算信息包括运算密钥,所述运算密钥用于保护用户数据,所述信息提供模块包括:
运算密钥获取模块,用于从所述可信计算芯片上获取所述运算密钥,并存储在所述高速加密芯片上;
所述计算模块包括:
计算子模块,用于根据所述运算密钥,进行数据加密或可信计算。
在本申请的一种实施例中,可选地,所述高速加密芯片存储有用户数据,所述装置还包括:
数据重构模块,用于根据用户需求数据重构所述高速加密芯片上的用户数据。
在本申请的一种实施例中,可选地,所述可信计算包括高速计算和低速计算,所述计算模块包括:
低速计算子模块,用于调用所述可信计算芯片进行用于平台安全和/或系统安全的低速计算;
和/或,高速计算子模块,用于调用所述高速加密芯片进行高速计算。
在本申请的一种实施例中,可选地,所述密钥信息包括平台证书、平台公钥、平台私钥、平台身份证书、平台身份公钥、平台身份私钥、存储密钥、平台度量密钥、用户度量密钥、主密钥和运算密钥。
在本申请的一种实施例中,可选地,所述集成芯片包括存储所述密钥信息的平台密码存储结构、认证密码存储结构、存储密码存储结构和度量密码存储结构,其中,所述平台密码存储结构中有平台证书、平台公钥和平台私钥,所述认证密码存储结构中有平台身份证书、平台身份公钥和平台身份私钥,所述存储密码存储结构中有存储密钥,所述度量密码存储结构中有平台度量密钥和用户度量密钥。
在本申请的一种实施例中,可选地,所述用户度量密钥存储在所述可信计算芯片的非易失存储空间,或者所述高速加密芯片的静态存储区;所述主密钥存储在所述可信计算芯片的非易失存储空间,或者经所述存储密钥加密后存储在所述集成芯片之外的存储空间;所述运算密钥存储在所述可信计算芯片的非易失存储空间,或者所述高速加密芯片的静态存储区,或者经所述主密钥加密后存储在所述集成芯片之外的存储空间。
依据本申请实施例,通过将可信计算芯片的计算信息提供给高速加密芯片,基于计算信息,调用高速加密芯片进行数据加密或可信计算,使得将两种芯片集成后,可信计算和数据加密这两种安全计算可以共用统一的计算信息,相比于集成前各用一套计算信息来说,减少了相应的硬件成本和管理成本,并且对于数据加密功能来说,可信计算芯片在功能的完整性和可靠性上高于高速加密芯片,由可信计算芯片存储计算信息可以提高数据加密的安全性,而对于可信计算功能来说,增加了对于高速加密芯片的计算能力的利用,提高了可信计算的计算效率。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本公开的实施例可被实现为使用任意适当的硬件,固件,软件,或及其任意组合进行想要的配置的系统。图10示意性地示出了可被用于实现本公开中所述的各个实施例的示例性系统(或装置)400。
对于一个实施例,图10示出了示例性系统400,该系统具有一个或多个处理器402、被耦合到(一个或多个)处理器402中的至少一个的系统控制模块(芯片组)404、被耦合到系统控制模块404的系统存储器406、被耦合到系统控制模块404的非易失性存储器(NVM)/存储设备408、被耦合到系统控制模块404的一个或多个输入/输出设备410,以及被耦合到系统控制模块406的网络接口412。
处理器402可包括一个或多个单核或多核处理器,处理器402可包括通用处理器或专用处理器(例如图形处理器、应用处理器、基频处理器等)的任意组合。在一些实施例中,系统400能够作为本申请实施例中所述的浏览器。
在一些实施例中,系统400可包括具有指令的一个或多个计算机可读介质(例如,系统存储器406或NVM/存储设备408)以及与该一个或多个计算机可读介质相合并被配置为执行指令以实现模块从而执行本公开中所述的动作的一个或多个处理器402。
对于一个实施例,系统控制模块404可包括任意适当的接口控制器,以向(一个或多个)处理器402中的至少一个和/或与系统控制模块404通信的任意适当的设备或组件提供任意适当的接口。
系统控制模块404可包括存储器控制器模块,以向系统存储器406提供接口。存储器控制器模块可以是硬件模块、软件模块和/或固件模块。
系统存储器406可被用于例如为系统400加载和存储数据和/或指令。对于一个实施例,系统存储器406可包括任意适当的易失性存储器,例如,适当的DRAM。在一些实施例中,系统存储器406可包括双倍数据速率类型四同步动态随机存取存储器(DDR4SDRAM)。
对于一个实施例,系统控制模块404可包括一个或多个输入/输出控制器,以向NVM/存储设备408及(一个或多个)输入/输出设备410提供接口。
例如,NVM/存储设备408可被用于存储数据和/或指令。NVM/存储设备408可包括任意适当的非易失性存储器(例如,闪存)和/或可包括任意适当的(一个或多个)非易失性存储设备(例如,一个或多个硬盘驱动器(HDD)、一个或多个光盘(CD)驱动器和/或一个或多个数字通用光盘(DVD)驱动器)。
NVM/存储设备408可包括在物理上作为系统400被安装在其上的设备的一部分的存储资源,或者其可被该设备访问而不必作为该设备的一部分。例如,NVM/存储设备408可通过网络经由(一个或多个)输入/输出设备410进行访问。
(一个或多个)输入/输出设备410可为系统400提供接口以与任意其他适当的设备通信,输入/输出设备410可以包括通信组件、音频组件、传感器组件等。网络接口412可为系统400提供接口以通过一个或多个网络通信,系统400可根据一个或多个无线网络标准和/或协议中的任意标准和/或协议来与无线网络的一个或多个组件进行无线通信,例如接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合进行无线通信。
对于一个实施例,(一个或多个)处理器402中的至少一个可与系统控制模块404的一个或多个控制器(例如,存储器控制器模块)的逻辑封装在一起。对于一个实施例,(一个或多个)处理器402中的至少一个可与系统控制模块404的一个或多个控制器的逻辑封装在一起以形成系统级封装(SiP)。对于一个实施例,(一个或多个)处理器402中的至少一个可与系统控制模块404的一个或多个控制器的逻辑集成在同一模具上。对于一个实施例,(一个或多个)处理器402中的至少一个可与系统控制模块404的一个或多个控制器的逻辑集成在同一模具上以形成片上系统(SoC)。
在各个实施例中,系统400可以但不限于是:浏览器、工作站、台式计算设备或移动计算设备(例如,膝上型计算设备、手持计算设备、平板电脑、上网本等)。在各个实施例中,系统400可具有更多或更少的组件和/或不同的架构。例如,在一些实施例中,系统400包括一个或多个摄像机、键盘、液晶显示器(LCD)屏幕(包括触屏显示器)、非易失性存储器端口、多个天线、图形芯片、专用集成电路(ASIC)和扬声器。
其中,如果显示器包括触摸面板,显示屏可以被实现为触屏显示器,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。
本申请实施例还提供了一种非易失性可读存储介质,该存储介质中存储有一个或多个模块(programs),该一个或多个模块被应用在终端设备时,可以使得该终端设备执行本申请实施例中各方法步骤的指令(instructions)。
在一个示例中提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如本申请实施例的方法。
在一个示例中还提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如本申请实施例的一个或多个的方法。
本申请实施例公开了一种基于集成芯片的数据处理方法和装置,示例1包括一种基于集成芯片的数据处理方法,所述集成芯片包括可信计算芯片和高速加密芯片,所述方法包括:
将所述可信计算芯片的计算信息提供给所述高速加密芯片,所述计算信息包括可信计算和数据加密的密钥信息和密码运算信息;
基于所述计算信息,调用所述高速加密芯片进行数据加密或可信计算。
示例2可包括示例1所述的方法,其中,所述可信计算芯片和高速加密芯片基于电路进行数据通信。
示例3可包括示例1和/或示例2所述的方法,其中,所述计算信息包括度量密钥,所述可信计算包括:
根据所述度量密钥校验目标算法的完整性和/或算法执行对象的合法性。
示例4可包括示例1-示例3一个或多个所述的方法,其中,所述度量密钥包括平台度量密钥,所述根据所述度量密钥校验目标算法的完整性和/或算法执行对象的合法性包括:
对系统或平台进行完整性度量之前,根据所述平台度量密钥校验完整性度量代码的完整性以及算法执行对象的合法性。
示例5可包括示例1-示例4一个或多个所述的方法,其中,所述度量密钥包括用户度量密钥,所述根据所述度量密钥校验目标算法的完整性和/或算法执行对象的合法性包括:
在执行用户密码运算之前,根据所述用户度量密钥校验用户密码运算的运算算法的完整性。
示例6可包括示例1-示例5一个或多个所述的方法,其中,所述可信计算芯片上固化存储有至少一种第一密码算法,所述方法还包括:
选取与集成芯片的当前模式匹配的至少一种第一密码算法。
示例7可包括示例1-示例6一个或多个所述的方法,其中,所述可信计算芯片上固化存储有可信计算系统固件,所述可信计算包括:
采用所述可信计算系统固件调度和执行可信计算任务,对密码运算进行完整性校验。
示例8可包括示例1-示例7一个或多个所述的方法,其中,所述计算信息包括至少一个用于用户应用密钥的主密钥,所述主密钥固化存储在可信计算芯片上,所述主密钥用于保护用户应用密钥;
所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
所述高速加密芯片从所述可信计算芯片上获取所述主密钥;
所述数据加密包括:
根据所获取的主密钥,对所述用户应用密钥进行加密处理。
示例9可包括示例1-示例8一个或多个所述的方法,其中,所述计算信息包括高速加密运算固件,所述高速加密运算固件固化存储在可信计算芯片上,所述高速加密运算固件包括至少一种第二密码算法;
所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
所述高速加密芯片从所述可信计算芯片上获取所述第二密码算法;
所述数据加密包括:
采用所述高速加密运算固件的至少一种第二密码算法进行数据加密。
示例10可包括示例1-示例9一个或多个所述的方法,其中,所述计算信息包括系统安全运算固件,所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
从所述可信计算芯片上获取所述系统安全运算固件,并固化存储在所述高速加密芯片上;
所述可信计算包括:
在所述高速加密芯片上执行系统的安全运算。
示例11可包括示例1-示例10一个或多个所述的方法,其中,所述计算信息包括用户策略固件,所述用户策略固件用于制定应用的密码算法需求,所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
从所述可信计算芯片上获取所述用户策略固件,并存储在所述高速加密芯片上;
所述方法还包括:
根据用户需求数据重构所述高速加密芯片上的用户策略固件。
示例12可包括示例1-示例11一个或多个所述的方法,其中,所述计算信息包括运算密钥,所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
从所述可信计算芯片上获取所述运算密钥,并存储在所述高速加密芯片上;
所述数据加密或可信计算包括:
根据所述运算密钥,进行数据加密或可信计算。
示例13可包括示例1-示例12一个或多个所述的方法,其中,所述高速加密芯片存储有用户数据,所述方法还包括:
根据用户需求数据重构所述高速加密芯片上的用户数据。
示例14可包括示例1-示例13一个或多个所述的方法,其中,所述可信计算包括高速计算和低速计算,所述可信计算包括:
调用所述可信计算芯片进行用于平台安全和/或系统安全的低速计算;
和/或,调用所述高速加密芯片进行高速计算。
示例15可包括示例1-示例14一个或多个所述的方法,其中,所述密钥信息包括平台证书、平台公钥、平台私钥、平台身份证书、平台身份公钥、平台身份私钥、存储密钥、平台度量密钥、用户度量密钥、主密钥和运算密钥。
示例16可包括示例1-示例15一个或多个所述的方法,其中,所述集成芯片包括存储所述密钥信息的平台密码存储结构、认证密码存储结构、存储密码存储结构和度量密码存储结构,其中,所述平台密码存储结构中有平台证书、平台公钥和平台私钥,所述认证密码存储结构中有平台身份证书、平台身份公钥和平台身份私钥,所述存储密码存储结构中有存储密钥,所述度量密码存储结构中有平台度量密钥和用户度量密钥。
示例17可包括示例1-示例16一个或多个所述的方法,其中,所述用户度量密钥存储在所述可信计算芯片的非易失存储空间,或者所述高速加密芯片的静态存储区;所述主密钥存储在所述可信计算芯片的非易失存储空间,或者经所述存储密钥加密后存储在所述集成芯片之外的存储空间;所述运算密钥存储在所述可信计算芯片的非易失存储空间,或者所述高速加密芯片的静态存储区,或者经所述主密钥加密后存储在所述集成芯片之外的存储空间。
示例18包括一种基于集成芯片的数据处理装置,所述集成芯片包括可信计算芯片和高速加密芯片,包括:
信息提供模块,用于将所述可信计算芯片的计算信息提供给所述高速加密芯片,所述计算信息包括可信计算和数据加密的密钥信息和密码运算信息;
计算模块,用于基于所述计算信息,调用所述高速加密芯片进行数据加密或可信计算。
示例19可包括示例18所述的装置,其中,所述可信计算芯片和高速加密芯片基于电路进行数据通信。
示例20可包括示例18和/或示例19所述的装置,其中,所述计算信息包括度量密钥,所述计算模块包括:
合法校验子模块,用于根据所述度量密钥校验目标算法的完整性和/或算法执行对象的合法性。
示例21可包括示例18-示例20一个或多个所述的装置,其中,所述度量密钥包括平台度量密钥,所述合法校验子模块包括:
平台度量校验单元,用于对系统或平台进行完整性度量之前,根据所述平台度量密钥校验完整性度量代码的完整性以及算法执行对象的合法性。
示例22可包括示例18-示例21一个或多个所述的装置,其中,所述度量密钥包括用户度量密钥,所述合法校验子模块包括:
用户度量校验单元,用于在执行用户密码运算之前,根据所述用户度量密钥校验用户密码运算的运算算法的完整性。
示例23可包括示例18-示例22一个或多个所述的装置,其中,所述可信计算芯片上固化存储有至少一种第一密码算法,所述装置还包括:
算法选取模块,用于选取与集成芯片的当前模式匹配的至少一种第一密码算法。
示例24可包括示例18-示例23一个或多个所述的装置,其中,所述可信计算芯片上固化存储有可信计算系统固件,所述计算模块包括:
密码运算校验子模块,用于采用所述可信计算系统固件调度和执行可信计算任务,对密码运算进行完整性校验。
示例25可包括示例18-示例24一个或多个所述的装置,其中,所述计算信息包括至少一个用于用户应用密钥的主密钥,所述主密钥固化存储在可信计算芯片上,所述主密钥用于保护用户应用密钥;
所述信息提供模块包括:
主密钥获取子模块,用于所述高速加密芯片从所述可信计算芯片上获取所述主密钥;
所述计算模块包括:
密钥加密子模块,用于根据所获取的主密钥,对所述用户应用密钥进行加密处理。
示例26可包括示例18-示例25一个或多个所述的装置,其中,所述计算信息包括高速加密运算固件,所述高速加密运算固件固化存储在可信计算芯片上,所述高速加密运算固件包括至少一种第二密码算法;
所述信息提供模块包括:
第二算法获取子模块,用于所述高速加密芯片从所述可信计算芯片上获取所述第二密码算法;
所述计算模块包括:
数据加密子模块,用于采用所述高速加密运算固件的至少一种第二密码算法进行数据加密。
示例27可包括示例18-示例26一个或多个所述的装置,其中,所述计算信息包括系统安全运算固件,所述信息提供模块包括:
系统安全固件获取子模块,用于从所述可信计算芯片上获取所述系统安全运算固件,并固化存储在所述高速加密芯片上;
所述计算模块包括:
安全计算子模块,用于在所述高速加密芯片上执行系统的安全运算。
示例28可包括示例18-示例27一个或多个所述的装置,其中,所述计算信息包括用户策略固件,所述用户策略固件用于制定应用的密码算法需求,所述信息提供模块包括:
策略固件获取模块,用于从所述可信计算芯片上获取所述用户策略固件,并存储在所述高速加密芯片上;
所述装置还包括:
策略固件重构模块,用于根据用户需求数据重构所述高速加密芯片上的用户策略固件。
示例29可包括示例18-示例28一个或多个所述的装置,其中,所述计算信息包括运算密钥,所述信息提供模块包括:
运算密钥获取模块,用于从所述可信计算芯片上获取所述运算密钥,并存储在所述高速加密芯片上;
所述计算模块包括:
计算子模块,用于根据所述运算密钥,进行数据加密或可信计算。
示例30可包括示例18-示例29一个或多个所述的装置,其中,所述高速加密芯片存储有用户数据,所述装置还包括:
数据重构模块,用于根据用户需求数据重构所述高速加密芯片上的用户数据。
示例31可包括示例18-示例30一个或多个所述的装置,其中,所述可信计算包括高速计算和低速计算,所述计算模块包括:
低速计算子模块,用于调用所述可信计算芯片进行用于平台安全和/或系统安全的低速计算;
和/或,高速计算子模块,用于调用所述高速加密芯片进行高速计算。
示例32可包括示例18-示例31一个或多个所述的装置,其中,所述密钥信息包括平台证书、平台公钥、平台私钥、平台身份证书、平台身份公钥、平台身份私钥、存储密钥、平台度量密钥、用户度量密钥、主密钥和运算密钥。
示例33可包括示例18-示例32一个或多个所述的装置,其中,所述集成芯片包括存储所述密钥信息的平台密码存储结构、认证密码存储结构、存储密码存储结构和度量密码存储结构,其中,所述平台密码存储结构中有平台证书、平台公钥和平台私钥,所述认证密码存储结构中有平台身份证书、平台身份公钥和平台身份私钥,所述存储密码存储结构中有存储密钥,所述度量密码存储结构中有平台度量密钥和用户度量密钥。
示例34可包括示例18-示例33一个或多个所述的装置,其中,所述用户度量密钥存储在所述可信计算芯片的非易失存储空间,或者所述高速加密芯片的静态存储区;所述主密钥存储在所述可信计算芯片的非易失存储空间,或者经所述存储密钥加密后存储在所述集成芯片之外的存储空间;所述运算密钥存储在所述可信计算芯片的非易失存储空间,或者所述高速加密芯片的静态存储区,或者经所述主密钥加密后存储在所述集成芯片之外的存储空间。
示例35、一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如示例1-17一个或多个的方法。
示例36、一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如示例1-17一个或多个的方法。
虽然某些实施例是以说明和描述为目的的,各种各样的替代、和/或、等效的实施方案、或计算来达到同样的目的实施例示出和描述的实现,不脱离本申请的实施范围。本申请旨在覆盖本文讨论的实施例的任何修改或变化。因此,显然本文描述的实施例仅由权利要求和它们的等同物来限定。
Claims (19)
1.一种基于集成芯片的数据处理方法,其特征在于,所述集成芯片包括可信计算芯片和高速加密芯片,所述方法包括:
将所述可信计算芯片的计算信息提供给所述高速加密芯片,所述计算信息包括可信计算和数据加密的密钥信息和密码运算信息;
基于所述计算信息,调用所述高速加密芯片进行数据加密或可信计算;
所述计算消息包括高速加密运算固件和/或用户策略固件,所述高速加密运算固件固化存储在可信计算芯片上,所述高速加密运算固件包括至少一种第二密码算法;所述用户策略固件用于制定应用的密码算法需求;
所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
从所述可信计算芯片获取所述高速加密运算固件和/或用户策略固件提供给所述高速加密芯片。
2.根据权利要求1所述的方法,其特征在于,所述可信计算芯片和高速加密芯片基于电路进行数据通信。
3.根据权利要求1所述的方法,其特征在于,所述计算信息包括度量密钥,所述可信计算包括:
根据所述度量密钥校验目标算法的完整性和/或算法执行对象的合法性。
4.根据权利要求3所述的方法,其特征在于,所述度量密钥包括平台度量密钥,所述根据所述度量密钥校验目标算法的完整性和/或算法执行对象的合法性包括:
对系统或平台进行完整性度量之前,根据所述平台度量密钥校验完整性度量代码的完整性以及算法执行对象的合法性。
5.根据权利要求3所述的方法,其特征在于,所述度量密钥包括用户度量密钥,所述根据所述度量密钥校验目标算法的完整性和/或算法执行对象的合法性包括:
在执行用户密码运算之前,根据所述用户度量密钥校验用户密码运算的运算算法的完整性。
6.根据权利要求1所述的方法,其特征在于,所述可信计算芯片上固化存储有至少一种第一密码算法,所述方法还包括:
选取与集成芯片的当前模式匹配的至少一种第一密码算法。
7.根据权利要求1所述的方法,其特征在于,所述可信计算芯片上固化存储有可信计算系统固件,所述可信计算包括:
采用所述可信计算系统固件调度和执行可信计算任务,对密码运算进行完整性校验。
8.根据权利要求1所述的方法,其特征在于,所述计算信息包括至少一个用于用户应用密钥的主密钥,所述主密钥固化存储在可信计算芯片上,所述主密钥用于保护用户应用密钥;
所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
所述高速加密芯片从所述可信计算芯片上获取所述主密钥;
所述数据加密包括:
根据所获取的主密钥,对所述用户应用密钥进行加密处理。
9.根据权利要求1所述的方法,其特征在于,所述计算信息包括高速加密运算固件,所述高速加密运算固件固化存储在可信计算芯片上,所述高速加密运算固件包括至少一种第二密码算法;
所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
所述高速加密芯片从所述可信计算芯片上获取所述第二密码算法;
所述数据加密包括:
采用所述高速加密运算固件的至少一种第二密码算法进行数据加密。
10.根据权利要求1所述的方法,其特征在于,所述计算信息包括系统安全运算固件,所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
从所述可信计算芯片上获取所述系统安全运算固件,并固化存储在所述高速加密芯片上;
所述可信计算包括:
在所述高速加密芯片上执行系统的安全运算。
11.根据权利要求1所述的方法,其特征在于,所述计算信息包括用户策略固件,所述用户策略固件用于制定应用的密码算法需求,所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
从所述可信计算芯片上获取所述用户策略固件,并存储在所述高速加密芯片上;
所述方法还包括:
根据用户需求数据重构所述高速加密芯片上的用户策略固件。
12.根据权利要求1所述的方法,其特征在于,所述计算信息包括运算密钥,所述运算密钥用于保护用户数据,所述将所述可信计算芯片的计算信息提供给所述高速加密芯片包括:
从所述可信计算芯片上获取所述运算密钥,并存储在所述高速加密芯片上;
所述数据加密或可信计算包括:
根据所述运算密钥,进行数据加密或可信计算。
13.根据权利要求1所述的方法,其特征在于,所述高速加密芯片存储有用户数据,所述方法还包括:
根据用户需求数据重构所述高速加密芯片上的用户数据。
14.根据权利要求1所述的方法,其特征在于,所述可信计算包括高速计算和低速计算,所述可信计算包括:
调用所述可信计算芯片进行用于平台安全和/或系统安全的低速计算;
和/或,调用所述高速加密芯片进行高速计算。
15.根据权利要求1所述的方法,其特征在于,所述密钥信息包括平台证书、平台公钥、平台私钥、平台身份证书、平台身份公钥、平台身份私钥、存储密钥、平台度量密钥、用户度量密钥、主密钥和运算密钥。
16.根据权利要求15所述的方法,其特征在于,所述集成芯片包括存储所述密钥信息的平台密码存储结构、认证密码存储结构、存储密码存储结构和度量密码存储结构,其中,所述平台密码存储结构中有平台证书、平台公钥和平台私钥,所述认证密码存储结构中有平台身份证书、平台身份公钥和平台身份私钥,所述存储密码存储结构中有存储密钥,所述度量密码存储结构中有平台度量密钥和用户度量密钥。
17.根据权利要求15所述的方法,其特征在于,所述用户度量密钥存储在所述可信计算芯片的非易失存储空间,或者所述高速加密芯片的静态存储区;所述主密钥存储在所述可信计算芯片的非易失存储空间,或者经所述存储密钥加密后存储在所述集成芯片之外的存储空间;所述运算密钥存储在所述可信计算芯片的非易失存储空间,或者所述高速加密芯片的静态存储区,或者经所述主密钥加密后存储在所述集成芯片之外的存储空间。
18.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-17任一个所述的方法。
19.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-17任一个所述的方法。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810596085.2A CN110580420B (zh) | 2018-06-11 | 2018-06-11 | 基于集成芯片的数据处理方法、计算机设备、存储介质 |
TW108109344A TW202001657A (zh) | 2018-06-11 | 2019-03-19 | 基於整合晶片的資料處理方法、電腦設備、儲存媒體 |
US16/363,815 US11423179B2 (en) | 2018-06-11 | 2019-03-25 | Integrated-chip-based data processing method, computing device, and storage media |
PCT/US2019/023897 WO2019240861A1 (en) | 2018-06-11 | 2019-03-25 | Integrated-chip -based data processing method, computing device, and storage media |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810596085.2A CN110580420B (zh) | 2018-06-11 | 2018-06-11 | 基于集成芯片的数据处理方法、计算机设备、存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110580420A CN110580420A (zh) | 2019-12-17 |
CN110580420B true CN110580420B (zh) | 2023-03-28 |
Family
ID=68763917
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810596085.2A Active CN110580420B (zh) | 2018-06-11 | 2018-06-11 | 基于集成芯片的数据处理方法、计算机设备、存储介质 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11423179B2 (zh) |
CN (1) | CN110580420B (zh) |
TW (1) | TW202001657A (zh) |
WO (1) | WO2019240861A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111125788B (zh) * | 2019-12-26 | 2020-11-10 | 南京星环智能科技有限公司 | 一种加密计算方法、计算机设备及存储介质 |
CN112035900B (zh) * | 2020-08-21 | 2022-03-15 | 郑州信大捷安信息技术股份有限公司 | 一种高性能密码卡以及其通信方法 |
CN112165396A (zh) * | 2020-09-14 | 2021-01-01 | 北京中电华大电子设计有限责任公司 | 一种安全固件更新的方法 |
CN113158201A (zh) * | 2021-02-26 | 2021-07-23 | 云码智能(海南)科技有限公司 | 信息的安全备份方法及装置 |
CN113721983A (zh) * | 2021-08-19 | 2021-11-30 | 支付宝(杭州)信息技术有限公司 | 外部存储器、提供密码服务的方法及业务处理设备 |
CN114880995B (zh) * | 2022-06-30 | 2022-10-04 | 浙江大华技术股份有限公司 | 算法方案部署方法及相关装置、设备和存储介质 |
CN115374739B (zh) * | 2022-10-21 | 2022-12-27 | 中诚华隆计算机技术有限公司 | 基于可信计算平台的可信计算芯片的设计方法及计算设备 |
CN117077220B (zh) * | 2023-10-18 | 2024-01-23 | 北京金科联信数据科技有限公司 | 一种多物理接口和多芯片嵌入式密码模块装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1030237A1 (en) * | 1999-02-15 | 2000-08-23 | Hewlett-Packard Company | Trusted hardware device in a computer |
CN101430747A (zh) * | 2008-09-26 | 2009-05-13 | 武汉大学 | 基于可信嵌入式平台的移动设备及其安全存储方法 |
CN101470783A (zh) * | 2007-12-25 | 2009-07-01 | 中国长城计算机深圳股份有限公司 | 一种基于可信平台模块的身份识别方法及装置 |
CN101986641A (zh) * | 2010-10-20 | 2011-03-16 | 杭州晟元芯片技术有限公司 | 可应用于移动通讯设备的可信计算平台芯片及其认证方法 |
CN102207999A (zh) * | 2010-03-29 | 2011-10-05 | 国民技术股份有限公司 | 一种基于可信计算密码支撑平台的数据保护方法 |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6704871B1 (en) * | 1997-09-16 | 2004-03-09 | Safenet, Inc. | Cryptographic co-processor |
US6708273B1 (en) * | 1997-09-16 | 2004-03-16 | Safenet, Inc. | Apparatus and method for implementing IPSEC transforms within an integrated circuit |
US6816968B1 (en) | 1998-07-10 | 2004-11-09 | Silverbrook Research Pty Ltd | Consumable authentication protocol and system |
US7197642B2 (en) | 2000-02-15 | 2007-03-27 | Silverbrook Research Pty Ltd | Consumable authentication protocol and system |
FR2863076B1 (fr) * | 2003-11-28 | 2006-02-03 | Bull Sa | Systeme cryptographique haut debit a architecture modulaire. |
US8112618B2 (en) | 2004-04-08 | 2012-02-07 | Texas Instruments Incorporated | Less-secure processors, integrated circuits, wireless communications apparatus, methods and processes of making |
US8738932B2 (en) | 2009-01-16 | 2014-05-27 | Teleputers, Llc | System and method for processor-based security |
WO2012122994A1 (en) * | 2011-03-11 | 2012-09-20 | Kreft Heinz | Off-line transfer of electronic tokens between peer-devices |
JP2014099752A (ja) * | 2012-11-14 | 2014-05-29 | Fujitsu Ltd | 通信装置、通信システム、及び通信システムにおける暗号アルゴリズム実行方法 |
US9467425B2 (en) | 2013-03-18 | 2016-10-11 | Intel Corporation | Key refresh between trusted units |
TW201546649A (zh) * | 2014-06-05 | 2015-12-16 | Cavium Inc | 用於基於硬體安全模組的基於雲端的web服務安全管理的系統和方法 |
WO2016081867A1 (en) * | 2014-11-20 | 2016-05-26 | Interdigital Patent Holdings, Inc. | Providing security to computing systems |
US9904805B2 (en) | 2015-09-23 | 2018-02-27 | Intel Corporation | Cryptographic cache lines for a trusted execution environment |
US10031861B2 (en) | 2015-09-25 | 2018-07-24 | Intel Corporation | Protect non-memory encryption engine (non-mee) metadata in trusted execution environment |
US9864879B2 (en) * | 2015-10-06 | 2018-01-09 | Micron Technology, Inc. | Secure subsystem |
US10073981B2 (en) | 2015-10-09 | 2018-09-11 | Microsoft Technology Licensing, Llc | Controlling secure processing of confidential data in untrusted devices |
US10516533B2 (en) | 2016-02-05 | 2019-12-24 | Mohammad Mannan | Password triggered trusted encryption key deletion |
US10412191B1 (en) * | 2016-03-30 | 2019-09-10 | Amazon Technologies, Inc. | Hardware validation |
US10242197B2 (en) * | 2016-09-23 | 2019-03-26 | Intel Corporation | Methods and apparatus to use a security coprocessor for firmware protection |
US10972277B2 (en) * | 2017-03-15 | 2021-04-06 | Intel Corporation | Confidential verification of FPGA code |
WO2018213624A1 (en) * | 2017-05-19 | 2018-11-22 | Swfl, Inc. D/B/A "Filament" | Systems and methods securing an autonomous device |
US11677730B2 (en) * | 2018-01-24 | 2023-06-13 | Intel Corporation | Device authentication |
US11743240B2 (en) | 2019-03-08 | 2023-08-29 | Intel Corporation | Secure stream protocol for serial interconnect |
-
2018
- 2018-06-11 CN CN201810596085.2A patent/CN110580420B/zh active Active
-
2019
- 2019-03-19 TW TW108109344A patent/TW202001657A/zh unknown
- 2019-03-25 WO PCT/US2019/023897 patent/WO2019240861A1/en active Application Filing
- 2019-03-25 US US16/363,815 patent/US11423179B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1030237A1 (en) * | 1999-02-15 | 2000-08-23 | Hewlett-Packard Company | Trusted hardware device in a computer |
CN101470783A (zh) * | 2007-12-25 | 2009-07-01 | 中国长城计算机深圳股份有限公司 | 一种基于可信平台模块的身份识别方法及装置 |
CN101430747A (zh) * | 2008-09-26 | 2009-05-13 | 武汉大学 | 基于可信嵌入式平台的移动设备及其安全存储方法 |
CN102207999A (zh) * | 2010-03-29 | 2011-10-05 | 国民技术股份有限公司 | 一种基于可信计算密码支撑平台的数据保护方法 |
CN101986641A (zh) * | 2010-10-20 | 2011-03-16 | 杭州晟元芯片技术有限公司 | 可应用于移动通讯设备的可信计算平台芯片及其认证方法 |
Non-Patent Citations (1)
Title |
---|
"GB/T 29829-2013信息安全技术-可信计算密码支撑平台功能与接口规范";中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会;《GB/T 29829-2013标准》;20131112;第1-6、11-46、60-70、101-105页 * |
Also Published As
Publication number | Publication date |
---|---|
WO2019240861A1 (en) | 2019-12-19 |
US20190377907A1 (en) | 2019-12-12 |
CN110580420A (zh) | 2019-12-17 |
TW202001657A (zh) | 2020-01-01 |
US11423179B2 (en) | 2022-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110580420B (zh) | 基于集成芯片的数据处理方法、计算机设备、存储介质 | |
US11088846B2 (en) | Key rotating trees with split counters for efficient hardware replay protection | |
CN110677250B (zh) | 密钥和证书分发方法、身份信息处理方法、设备、介质 | |
CN107750363B (zh) | 保护与硬件加速器的通信以增加工作流安全性 | |
US20190334713A1 (en) | Encryption Card, Electronic Device, and Encryption Service Method | |
US11082231B2 (en) | Indirection directories for cryptographic memory protection | |
US20200104528A1 (en) | Data processing method, device and system | |
US20220197825A1 (en) | System, method and apparatus for total storage encryption | |
US11252193B2 (en) | Attestation service for enforcing payload security policies in a data center | |
CN112149144A (zh) | 聚合密码引擎 | |
US9342712B2 (en) | Method and system for accelerating cryptographic processing | |
US11822664B2 (en) | Securely signing configuration settings | |
CN111264044A (zh) | 芯片、生成私钥的方法和可信证明的方法 | |
CN103150523A (zh) | 一种简易的嵌入式可信终端系统及方法 | |
US11829231B2 (en) | Methods and systems for generating core dump in a user equipment | |
CN112733208B (zh) | 一种芯片的安全boot方法、装置、安全芯片和计算机设备 | |
KR102660863B1 (ko) | 구성 설정들의 안전한 서명 | |
Liu et al. | A method of data storage and management of embedded trusted platform module | |
CN117171771A (zh) | 磁盘管理方法、装置、终端设备及存储介质 | |
CN115361132A (zh) | 密钥生成方法、装置、片上系统、设备及存储介质 | |
CN117909980A (zh) | 一种启动验证方法及相关装置 | |
CN115756314A (zh) | Nvram数据处理方法、电子设备和可读存储介质 | |
Constantin et al. | Trusted hardware for partitioned multicore |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40018365 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |