CN110677250B - 密钥和证书分发方法、身份信息处理方法、设备、介质 - Google Patents

密钥和证书分发方法、身份信息处理方法、设备、介质 Download PDF

Info

Publication number
CN110677250B
CN110677250B CN201810707787.3A CN201810707787A CN110677250B CN 110677250 B CN110677250 B CN 110677250B CN 201810707787 A CN201810707787 A CN 201810707787A CN 110677250 B CN110677250 B CN 110677250B
Authority
CN
China
Prior art keywords
firmware
identity information
integrated chip
chip
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810707787.3A
Other languages
English (en)
Other versions
CN110677250A (zh
Inventor
付颖芳
肖鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201810707787.3A priority Critical patent/CN110677250B/zh
Priority to US16/457,650 priority patent/US11347857B2/en
Publication of CN110677250A publication Critical patent/CN110677250A/zh
Application granted granted Critical
Publication of CN110677250B publication Critical patent/CN110677250B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例公开了一种身份信息处理方法和装置。所述方法包括:获取用户进程对集成芯片的定制信息,并根据定制信息,确定可重构芯片上预加载的目标运算固件,再根据目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息,之后将第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定用户进程的身份合法,从而使得集成芯片为用户进程生成的第一进程身份信息,既可以证明不可重构部分的固化运算固件的合法性,又可以证明可重构部分的目标运算固件的合法性,在集成芯片的运算固件实现动态变更的情况下,解决了整个集成芯片的合法性无法得到验证的问题。

Description

密钥和证书分发方法、身份信息处理方法、设备、介质
技术领域
本申请涉及数据处理技术领域,具体涉及一种身份密钥和证书的分发方法、一种身份信息处理方法、一种数据处理方法、一种计算机设备、一种计算机可读存储介质。
背景技术
可信计算(Trusted Computing)是在计算和通信系统中广泛使用的,基于硬件安全模块支持下的可信计算平台,以提供系统整体的安全性。可信计算芯片是为证据提供完整性和真实性保障的安全芯片,一般通过物理方式被强绑定到计算平台。
数据加密(Data Encryption)是通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。高速加密芯片是高性能基础密码设备,能够适用于各类密码运算,满足数据的签名/验证,加密/解密等要求,一般也通过物理方式被强绑定到计算平台。
可信计算芯片与高速加密芯片融合后,即可信高速加密卡由高速加密芯片和可信计算芯片两部分组成,集成后的芯片不仅可以进行数据加解密,也可以进行可信计算,但也存在一些问题。
申请人经研究发现,现有的高速加密卡均无平台身份密钥及证书分发方法,可信计算芯片和可重构的高速加密芯片融合后,如果仍采用现有的平台身份密钥及证书分发方法,则只能证明可信高速加密卡的可信计算芯片部分的身份及平台的合法性,而高速加密芯片由于可重构,其运算固件是动态加载的,现有的静态平台身份密钥及证书分发方法,无法证明可重构部分的身份及平台的合法性。
发明内容
鉴于上述问题,提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的一种身份密钥和证书的分发方法,一种身份信息处理方法,一种数据处理方法以及计算机设备、计算机可读存储介质。
依据本申请的一个方面,提供了一种身份密钥和证书的分发方法,应用于隐私证书颁发机构,包括:
获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息包括进程身份密钥,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片;
根据所述第一进程身份信息,确定所述集成芯片的运算固件合法;
根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的平台身份证书;
将所述平台身份证书提供给所述用户进程,以用于证明所述用户进程的身份合法。
相应地,根据本申请的另一方面,还提供了一种身份信息处理方法,所述方法包括:
获取用户进程对集成芯片的定制信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;
根据所述定制信息,确定所述可重构芯片上预加载的目标运算固件;
根据所述目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息;
将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
可选地,所述运算固件包括一个或多个运算算法,所述定制信息携带有预加载固件标识,所述预加载固件标识与一个或多个运算算法对应,所述方法还包括:
根据各个运算算法对应的预加载固件标识,生成运算固件的多个运算算法对应的预加载固件标识。
可选地,所述定制信息携带有预加载固件标识,所述根据所述目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息包括:
生成用于标记所述目标运算固件和所述不可重构芯片的固化运算固件的固件唯一标识;
根据集成芯片标识、所述预加载固件标识和固件唯一标识,生成第一进程身份信息。
可选地,所述定制信息还携带有进程标识和平台标识,所述根据集成芯片标识、所述目标运算固件的预加载固件标识和固件唯一标识,生成第一进程身份信息包括:
采用集成芯片的私钥加密所述固件唯一标识;
利用所述集成芯片生成的进程身份私钥,加密所述集成芯片生成的进程身份公钥、预加载固件标识、集成芯片标识、加密的固件唯一标识、进程标识和平台标识,得到所述第一进程身份信息。
可选地,所述定制信息还携带有第一随机数,在所述根据集成芯片标识、所述目标运算固件的预加载固件标识和固件唯一标识,生成第一进程身份信息之前,所述方法还包括:
产生第二随机数;
根据所述第一随机数、第二随机数和进程标识,生成进程身份公钥和进程身份私钥,所述进程身份私钥存储在所述集成芯片上。
可选地,所述定制信息采用集成芯片的公钥加密,所述方法还包括:
采用所述集成芯片的私钥,解密所述定制信息;
所述根据所述第一随机数、第二随机数和进程标识,生成进程身份公钥包括:
采用所述集成芯片的私钥加密所述第一随机数、第二随机数和进程标识,生成所述进程身份公钥,并经所述用户进程提供给所述隐私证书颁发机构。
可选地,所述方法还包括:
基于所述集成芯片标识、集成芯片的公钥和芯片生产者标识,生成集成芯片身份信息,并经所述用户进程提供给隐私证书颁发机构。
可选地,所述集成芯片身份信息由所述第一随机数加密,所述进程标识以及所述第一随机数解密得到的集成芯片身份信息,由所述用户进程采用隐私证书颁发机构的公钥加密后提供给隐私证书颁发机构。
可选地,当所述用户进程采用所述集成芯片的公钥解密进程身份公钥后得到了第一随机数,且利用所述进程身份公钥解密第一进程身份信息得到的第一集成芯片标识与解密所述集成芯片身份信息得到的第二集成芯片标识一致时,所述第一进程身份信息、进程身份公钥、进程标识、平台标识、集成芯片身份信息,由所述用户进程提供给隐私证书颁发机构。
可选地,所述定制信息包括第一随机数,所述方法还包括:
获取所述集成芯片的公钥加密的第二进程身份信息;
采用所述集成芯片的私钥解密所述第二进程身份信息;
采用所述第一随机数加密所述第二进程身份信息,并提供给所述用户进程。
可选地,所述加密的第二进程身份信息经所述用户进程转发至所述集成芯片,所述用户进程采用所述第一随机数解密所述第二进程身份信息。
相应地,根据本申请的另一方面,还提供了一种身份信息处理方法,所述方法包括:
获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片;
根据所述第一进程身份信息,确定所述集成芯片的运算固件合法。
可选地,在所述根据所述第一进程身份信息,确定所述集成芯片的运算固件合法之后,所述方法还包括:
根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的第二进程身份信息;
将所述第二进程身份信息提供给所述用户进程,以用于证明所述用户进程的身份合法。
可选地,所述第一进程身份信息还包括进程标识和平台标识,所述第二进程身份信息包括平台身份证书,所述根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的第二进程身份信息包括:
采用所述隐私证书颁发机构的私钥,加密所述集成芯片生成的进程身份公钥、目标运算固件的预加载固件标识、集成芯片标识、用于标记所述目标运算固件与固化运算固件的固件唯一标识、进程标识和平台标识,得到所述平台身份证书。
可选地,所述第一进程身份信息包括预加载固件标识和集成芯片标识,所述根据所述第一进程身份信息,确定所述集成芯片的运算固件合法包括:
根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法。
可选地,在所述根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法之前,所述方法还包括:
获取进程身份公钥;
采用所述进程身份公钥解密第一进程身份信息,得到预加载固件标识、集成芯片标识和用于标记所述目标运算固件与固化运算固件的固件唯一标识。
可选地,所述根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法包括:
根据所述预加载固件标识和集成芯片标识,查找所述隐私证书颁发机构上的固件唯一标识;
比对解密得到的固件唯一标识和查找的固件唯一标识,校验所述目标运算固件和固化运算固件的合法性。
可选地,所述方法还包括:
获取集成芯片身份信息;
采用芯片生产私钥验证所述集成芯片身份信息的合法性。
可选地,所述集成芯片身份信息和进程标识由所述用户进程采用隐私证书颁发机构的公钥加密后提供给隐私证书颁发机构,所述获取集成芯片身份信息包括:
采用所述隐私证书颁发机构的私钥解密,得到集成芯片身份信息和第一进程标识,
所述方法还包括:
采用集成芯片的公钥解密进程身份公钥,得到第二进程标识;
比对所述第一进程标识和第二进程标识,确定所述进程身份公钥和集成芯片身份信息是为同一用户进程生成的。
可选地,所述第一进程身份信息包括进程标识,所述方法还包括:
采用所述进程身份公钥解密第一进程身份信息,得到所述预加载固件标识、集成芯片标识和第三进程标识;
比对所述第一进程标识和第三进程标识,以及比对所述集成芯片身份信息和第一进程身份信息中解密得到的预加载固件标识与集成芯片标识,确定所述进程身份公钥和进程身份私钥是由合法的集成芯片为所述进程标识产生的。
相应地,根据本申请的另一方面,还提供了一种身份信息处理方法,所述方法包括:
将定制信息提供给集成芯片,以根据所述定制信息,确定可重构芯片上预加载的目标运算固件,并根据所述目标运算固件和不可重构芯片的固化运算固件,生成用于验证用户进程的第一进程身份信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;
获取所述集成芯片反馈的第一进程身份信息;
将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
可选地,所述定制信息携带有第一随机数,所述方法还包括:
获取所述集成芯片提供的集成芯片身份信息,所述集成芯片身份信息由所述第一随机数加密;
采用所述第一随机数解密所述集成芯片身份信息;
采用所述隐私证书颁发机构的公钥加密所述集成芯片身份信息后提供给隐私证书颁发机构。
可选地,所述方法还包括:
采用集成芯片的公钥解密进程身份公钥后得到所述第一随机数;
利用所述进程身份公钥解密第一进程身份信息得到第一集成芯片标识;
解密所述集成芯片身份信息得到的第二集成芯片标识;
若所述第一集成芯片标识与第二集成芯片标识一致,则将所述第一进程身份信息、进程身份公钥、进程标识、平台标识、集成芯片身份信息提供给隐私证书颁发机构。
相应地,根据本申请的另一方面,还提供了一种数据处理方法,包括:
第一计算设备确定目标处理器,其中,所述目标处理器包括第一子处理器和第二子处理器;
所述第一计算设备获取对应于目标进程的所述目标处理器的元数据;
所述第一计算设备根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件;
所述第一计算设备根据所述目标运算固件和固化运算固件,生成所述目标进程的身份信息,其中,所述身份信息用于进行固化运算固件或目标运算固件的第一验证;
所述第一计算设备发送所述身份信息到第二计算设备。
相应地,根据本申请的另一方面,还提供了一种数据处理方法,包括:
第二计算设备获取目标进程的身份信息,其中,所述身份信息由第一计算设备确定目标处理器,获取对应于目标进程的所述目标处理器的元数据,根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件,并根据所述目标运算固件和固化运算固件生成;
所述第二计算设备根据所述身份信息,对所述固化运算固件或目标运算固件进行第一验证;
所述第二计算设备根据所述第一验证的结果,确定所述身份信息是否满足预设条件。
相应地,根据本申请的另一方面,还提供了一种数据处理方法,包括:
确定目标处理器,其中,所述目标处理器包括第一子处理器和第二子处理器,所述目标处理器包括对应于目标进程的元数据;
根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件;
根据所述目标运算固件和固化运算固件,生成所述目标进程的身份信息;
根据所述身份信息,对所述固化运算固件或目标运算固件进行第一验证;
根据所述第一验证的结果,确定所述身份信息是否满足预设条件。
相应地,根据本申请的另一方面,还提供了一种身份信息的分发系统,所述分发系统包括集成芯片、用户进程和隐私证书颁发机构;
所述集成芯片,用于获取用户进程对集成芯片的定制信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;根据所述定制信息,确定所述可重构芯片上预加载的目标运算固件;根据所述目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息;将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法;
所述隐私证书颁发机构,用于获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片;根据所述第一进程身份信息,确定所述集成芯片的运算固件合法;
所述用户进程,用于将定制信息提供给集成芯片,以根据所述定制信息,确定可重构芯片上预加载的目标运算固件,并根据所述目标运算固件和不可重构芯片的固化运算固件,生成用于验证用户进程的第一进程身份信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;获取所述集成芯片反馈的第一进程身份信息;将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
相应地,根据本申请的另一方面,还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述一个或多个的方法。
相应地,根据本申请的另一方面,还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述一个或多个的方法。
依据本申请实施例,通过获取用户进程对集成芯片的定制信息,并根据定制信息,确定可重构芯片上预加载的目标运算固件,再根据目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息,之后将第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定用户进程的身份合法,从而使得集成芯片为用户进程生成的第一进程身份信息,既可以证明不可重构部分的固化运算固件的合法性,又可以证明可重构部分的目标运算固件的合法性,在集成芯片的运算固件实现动态变更的情况下,解决了整个集成芯片的合法性无法得到验证的问题。
进一步,通过获取集成芯片的公钥加密的第二进程身份信息,采用集成芯片的私钥解密第二进程身份信息,采用第一随机数加密第二进程身份信息,并提供给用户进程,在隐私证书颁发机构验证了整个集成芯片的运算固件的合法性后,集成芯片将隐私证书颁发机构提供的第二进程身份信息解密出来,以供用户进程使用第二进程身份信息证明整个集成芯片的合法性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了可信高速数据加密卡的结构框图;
图2示出了身份信息分发过程的示意图;
图3示出了根据本申请实施例一的一种身份信息处理方法实施例的流程图;
图4示出了根据本申请实施例二的一种身份信息处理方法实施例的流程图;
图5示出了根据本申请实施例三的一种身份信息处理方法实施例的流程图;
图6示出了根据本申请实施例四的一种身份信息处理方法实施例的流程图;
图7示出了根据本申请实施例五的一种身份密钥和证书的分发方法实施例的流程图;
图8示出了根据本申请实施例六的一种数据处理方法实施例的流程图;
图9示出了根据本申请实施例七的一种数据处理方法实施例的流程图;
图10示出了根据本申请实施例八的一种数据处理方法实施例的流程图;
图11示出了根据本申请实施例九的一种身份信息处理装置实施例的结构框图;
图12示出了根据本申请实施例十的一种身份信息处理装置实施例的结构框图;
图13示出了根据本申请实施例十一的一种身份信息处理装置实施例的结构框图;
图14示出了根据本申请实施例十二的一种身份密钥和证书的分发装置实施例的结构框图;
图15示出了根据本申请实施例十三的一种数据处理装置实施例的结构框图;
图16示出了根据本申请实施例十四的一种数据处理装置实施例的结构框图;
图17示出了根据本申请实施例十五的一种数据处理装置实施例的结构框图;
图18示出了根据本申请实施例十六的一种身份信息的分发系统实施例的结构框图;
图19示出了可被用于实现本公开中所述的各个实施例的示例性系统。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为使本领域技术人员更好地理解本申请,以下对本申请涉及的概念进行说明:
集成芯片包括不可重构芯片和可重构芯片,是将不可重构芯片与可重构芯片集成在一个集成芯片里,来实现将两个部分的功能集成在一个芯片中的目的,具体可以采用任意适用的集成方式,本申请实施例对此不做限制。其中,可重构芯片上的运算固件是可以动态加载的,根据需要生成电路来进行计算,而不可重构芯片上的运算固件是固化的,出厂后即无法再变更。
集成芯片上加载或固化有运算固件,运算固件用于进行各种运算,例如,负责可信计算的运算固件、负责高速加解密的运算固件等,或者其他任意适用的运算固件,本申请实施例对此不做限制。
例如,如图1所示的可信高速数据加密卡(Trusted High-Speed Data EncryptionCard,THSDEC)的结构框图,即集成芯片,包括可信计算芯片((Trusted PlatformComputing Module/Trusted Platform Module,TPCM/TPM)和高速加密卡(High-SpeedData Encryption Card,HSDEC),参照《GB/T 29827—2013信息安全技术—可信计算规范—隐私证书颁发机构主板功能接口》标准要求,以及TPCM/TPM的可信芯片设计,将可信计算芯片与高速加密卡集成在一张PCIe卡里。可信计算芯片和高速加密芯片可以通过板卡内部的电路直接通信,不需通过映射主机Host的内存进行,提高了数据的传输速度。其中,高速加密卡可以是基于FPGA(Field-Programmable Gate Array,现场可编程门阵列)的实现的,FPGA是一种高性能、低功耗的可编程逻辑器件,具有可重构的特征,可以直接生成电路来进行算法的计算,可以根据算法以及算法指标做针对性的设计,具有非常高的执行和计算效率,适合关注执行效率的在线识别系统。
集成芯片上的运算固件可以分为两类,其中,可重构芯片上加载的运算固件,记为目标运算固件,可以根据需要进行动态加载,而不可重构芯片上固化的运算固件,记为固化运算固件,是静态固化在芯片上的。
例如,可信高速数据加密卡THSDEC(即集成芯片)的高速加密芯片(即可重构芯片)部分负责高速加解密,其密码加解密性能,跟其密码运算固件很有关系,比如配置一种密码运算算法比配置多种密码运算算法的加解密性能要好,本申请提出了一种定制化加载密码运算固件的方案,来满足业务定制化的密码运算需求,即可以根据业务需求加载不同的密码运算固件。
调用集成芯片的用户进程可以向集成芯片发出定制信息,用于请求集成芯片为用户进程生成用于验证用户进程的第一进程身份信息。其中,定制信息可以用来确定集成芯片上的可重构芯片上预加载的目标运算固件,例如,定制信息可以携带有预加载固件标识、还可以携带有用户进程的标识、平台标识、第一随机数等,或者其他任意适用的信息,本申请实施例对此不做限制。
例如,用户进程可以采用集成芯片的公钥EK加密信息集,加密的信息集中包括用户进程的标识L、预加载固件标识H_ID、隐私证书颁发机构标识PCA、第一随机数N1,将加密信息集(即定制信息)发送给可信高速数据加密卡THSDEC(即集成芯片)。
集成芯片为用户进程生成第一进程身份信息,用于验证用户进程的合法性,具体需要将第一进程身份信息提供给隐私证书颁发机构,由隐私证书颁发机构根据第一进程身份信息对集成芯片的运算固件的合法性进行验证,若集成芯片的运算固件合法,则表明调用集成芯片的用户进程的身份合法,可以为其发放由隐私证书颁发机构颁发的平台证书。第一进程身份信息用于证明用户进程的身份,可以包括目标运算固件和固化运算固件的固件唯一标识,还可以包括集成芯片标识、预加载固件标识、进程身份公钥、平台标识、进程标识等,具体可以包括任意适用的信息,本申请实施例对此不做限制。
隐私证书颁发机构用于验证用户进程的合法性,具体可以根据集成芯片为用户进程生成的第一进程身份信息确定集成芯片的运算固件合法,也就是确定了调用集成芯片的用户进程的身份合法。隐私证书颁发机构为可信第三方,可以由企业管控平台实现,也可以有第三方CA(证书颁发者)中心实现,或者其他任意适用的平台,本申请实施例对此不做限制。
由用户进程、集成芯片和隐私证书颁发机构可以组成一个身份信息分发系统,用于完成用户进程的身份信息的分发,具体由集成芯片为用户进程生成第一进程身份信息,用户进程将第一进程身份信息提供给隐私证书颁发机构,隐私证书颁发机构可以根据第一进程身份信息确定用户进程的身份合法。隐私证书颁发机构还可以为用户进程生成第二进程身份信息(例如,平台颁发的平台身份证书),再返回给用户进程用于用户进程向其他方证明身份合法。
在本申请的一种实施例中,可选地,隐私证书颁发机构可以为用户进程生成第二进程身份信息,第二进程身份信息用于证明用户进程的身份被隐私证书颁发机构验证为合法的。第二进程身份信息可以包括目标运算固件和固化运算固件的固件唯一标识,还可以包括集成芯片标识、预加载固件标识、进程身份公钥、平台标识、进程标识等,具体可以包括任意适用的信息,本申请实施例对此不做限制。第二进程身份信息与第一进程身份信息中可以包括相同的信息,但加密所用的密钥是不同的,第一进程身份信息是由进程身份私钥加密的,而第二进程身份信息是由隐私证书颁发机构的私钥加密的。
第二进程身份信息包括平台身份证书,平台身份证书用于验证用户进程的身份。平台身份证书包括以隐私证书颁发机构的私钥加密的第一进程身份信息得到的证书,或者其他任意适用的可以用于证明进程身份的证书,本申请实施例对此不做限制。
在本申请的一种实施例中,可选地,运算固件包括一个或多个运算算法,例如,SM2(公钥密码引擎)、SM3(杂凑算法引擎)、SM4(对称密码引擎)、RSA(随机数引擎)、AES(国际对称算法引擎)等运算算法,或者其他任意适用的运算算法,本申请实施例对此不做限制。定制信息携带有预加载固件标识,是可重构芯片加载的运算固件所对应的身份标签,即可重构芯片部分可以包含一个或多个运算固件,一个或多个运算固件对应不同的预加载固件标识。
例如,如果可信高速数据加密卡THSDEC(即集成芯片)的高速加密芯片(即可重构芯片)只含有SM1密码运算固件,其预加载固件标识为H_1;如果高速加密芯片含有SM2密码运算固件,其预加载固件标识为H_2;如果高速加密芯片同时含有SM2和SM3两种密码运算算法的密码运算固件,其预加载固件标识为H_2||4等,以此类推,不同的密码运算固件会有不同的预加载固件标识。
在本申请的一种实施例中,可选地,预加载固件标识与一个或多个运算算法对应,其中,一种运算算法设计一个预加载固件标识,多个运算算法对应的预加载固件标识可以由单个运算算法对应的预加载固件标识生成而来。例如,包含多个运算算法的运算固件的预加载固件标识是其中各个运算算法对应的预加载固件标识按某种算法规则计算而来,比如SM2密码运算算法对应的预加载固件标识为H_2,SM4密码运算算法对应的预加载固件标识为H_4,一种运算举例为将两个数字相乘,那么具有SM2和SM4的密码运算固件的预加载固件标识为H_8。
在本申请的一种实施例中,可选地,固件唯一标识包括对固件进行哈希运算得到的哈希值,或者其他任意适用的可以唯一地标识运算固件的标识,本申请实施例对此不做限制。例如,T-H_ID-T-Firmware表示可信高速数据加密卡THSDEC(即集成芯片)T-H_ID(即集成芯片标识)出厂时不可重构的固化运算固件,该固件在出厂的时候就确定了,H_ID-Firmware是指集成芯片的可重构的目标运算固件,与要加载的密码运算固件有关系,即由预加载固件标识H_ID来确定固件内容,对固化运算固件T-H_ID-T-Firmware和目标运算固件H_ID-Firmware进行哈希,得到固件唯一标识hash(T-H_ID-T-Firmware||H_ID-Firmware)。
集成芯片标识为集成芯片的唯一标识,但无论集成芯片的可重构芯片部分加载的目标运算固件如何变更,集成芯片标识都是不变的,因此,实质上集成芯片标识仅可以作为不可重构芯片部分固化的固化运算固件的标识。
例如,集成芯片标识、预加载固件标识及其固件映射关系数据库可以如下表所示:
Figure GDA0003616101440000151
在本申请的一种实施例中,可选地,集成芯片可以为用户进程生成进程身份私钥和进程身份公钥,其中进程身份私钥保留在集成芯片上,用于加密第一进程身份信息,而进程身份公钥可以提供给隐私证书颁发机构,以用于解密第一进程身份信息。
在本申请的一种实施例中,可选地,除了第一进程身份信息提供给隐私证书颁发机构外,还可以将隐私证书颁发机构提供集成芯片身份信息。集成芯片身份信息包括用于证明集成芯片的身份合法,实质仅能证明不可重构部分的合法性。集成芯片身份信息可以基于集成芯片标识、集成芯片的公钥和芯片生产者标识(即厂商标识)生成,例如,可信高速数据加密卡THSDEC(即集成芯片)的背书证书Cert_EK=[T-H_ID,EK,MF]SK(MF),其中T-H_ID是集成芯片标识,MF是身份生产者标识(即厂商标识),EK是集成芯片的公钥(也即是芯片出厂时,芯片厂商为集成芯片产生的背书公钥),SK(MF)是厂商的私钥,表示用厂商的私钥SK(MF)加密T-H_ID,EK,MF三种信息。
根据本申请的一个实施例,集成芯片中的高速加密芯片由于可重构,其运算固件是动态加载的,现有的静态平台身份密钥及证书分发方法,无法证明可重构部分的身份及平台的合法性。如图2所示的身份信息分发过程的示意图,本申请提供了一种集成芯片的第一进程身份信息处理机制,通过获取用户进程对集成芯片的定制信息,并根据定制信息,确定可重构芯片上预加载的目标运算固件,再根据目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息,之后将第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定用户进程的身份合法,从而使得集成芯片为用户进程生成的第一进程身份信息,既可以证明不可重构部分的固化运算固件的合法性,又可以证明可重构部分的目标运算固件的合法性,在集成芯片的运算固件实现动态变更的情况下,解决了整个集成芯片的合法性无法得到验证的问题。本申请适用但不局限于上述应用场景。
参照图3,示出了根据本申请实施例一的一种身份信息处理方法实施例的流程图,该方法具体可以包括以下步骤:
步骤101,获取用户进程对集成芯片的定制信息。
在本申请实施例中,用户进程可以将定制信息发送给集成芯片,可以通过加密方式或非加密方式发送,或者其他任意适用的方式,本申请实施例对此不做限制。例如,用户进程U采用集成芯片的公钥EK(即芯片厂商为集成芯片生成的背书公钥)加密信息集[L,H_ID,PCA,N1(即第一随机数)]发送给可信高速数据加密卡THSDEC(即集成芯片),也就是像集成芯片发起定制信息。
步骤102,根据所述定制信息,确定所述可重构芯片上预加载的目标运算固件。
在本申请实施例中,定制信息中包括有用户进程对可重构芯片上预加载的目标运算固件的需求,例如,定制信息中携带的预加载固件标识H_ID,集成芯片据此可以确定对应的目标运算固件,实现运算固件的动态加载。
步骤103,根据所述目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息。
在本申请实施例中,目标运算固件是动态加载的,要想证明整个集成芯片的合法性,就需要根据目标运算固件和固化运算固件,生成第一进程身份信息,而在现有的静态平台身份密钥及证书分发方法中,身份信息的生成与动态加载的可重构部分无关,导致仅能证明不可重构部分的合法性的问题。
第一进程身份信息生成的方式可以包括多种,例如,根据集成芯片标识、预加载固件标识和固件唯一标识,生成第一进程身份信息,或者根据集成芯片生成的进程身份公钥、预加载固件标识、集成芯片标识、加密的固件唯一标识、进程标识和平台标识,生成第一进程身份信息,或者其他任意适用的生成方式,本申请实施例对此不做限制。
步骤104,将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
在本申请实施例中,第一进程身份信息由集成芯片生成后,提供给隐私证书颁发机构,具体可以是经用户进程提供给隐私证书颁发机构,或者其他任意适用的方式,本申请实施例对此不做限制。隐私证书颁发机构存储有合法的集成芯片上的运算固件的相关信息,通过比对第一进程身份信息包括的信息,就可以确定为用户进程调用的集成芯片上的运算固件是否合法,如果合法,则用户进程的身份合法。
例如,隐私证书颁发机构PCA存储有集成芯片标识、预加载固件标识及其固件映射关系数据库,根据第一进程身份信息中包括的集成芯片标识和预加载固件标识,就可以在数据库中查询到隐私证书颁发机构上存储的集成芯片(可重构芯片和不可重构芯片)的固件唯一标识,如果第一进程身份信息中的固件唯一标识与查询到的固件唯一标识一致,则确定运算固件合法,否则,运算固件不合法,身份信息分发流程终止。
依据本申请实施例,通过获取用户进程对集成芯片的定制信息,并根据定制信息,确定可重构芯片上预加载的目标运算固件,再根据目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息,之后将第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定用户进程的身份合法,从而使得集成芯片为用户进程生成的第一进程身份信息,既可以证明不可重构部分的固化运算固件的合法性,又可以证明可重构部分的目标运算固件的合法性,在集成芯片的运算固件实现动态变更的情况下,解决了整个集成芯片的合法性无法得到验证的问题。
参照图4,示出了根据本申请实施例二的一种身份信息处理方法实施例的流程图,该方法具体可以包括以下步骤:
步骤201,获取用户进程对集成芯片的定制信息。
在本申请实施例中,此步骤的具体实现方式可以参见前述实施例中的描述,此处不另赘述。
步骤202,根据所述定制信息,确定所述可重构芯片上预加载的目标运算固件。
在本申请实施例中,此步骤的具体实现方式可以参见前述实施例中的描述,此处不另赘述。
步骤203,生成用于标记所述目标运算固件和所述不可重构芯片的固化运算固件的固件唯一标识。
在本申请实施例中,根据目标运算固件和固化运算固件,也就是集成芯片上的运算固件,生成固件唯一标识,也就是用于标记集成芯片的固件唯一标识。固件唯一标识可以对目标运算固件和固化运算固件的整体进行哈希运算,得到的哈希值作为固件唯一标识,也可以分别对目标运算固件和固化运算固件进行哈希运算,将得到的两个哈希值一起作为固件唯一标识,或者其他任意适用的方式,本申请实施例对此不做限制。
步骤204,根据集成芯片标识、所述预加载固件标识和固件唯一标识,生成第一进程身份信息。
在本申请实施例中,定制信息携带有预加载固件标识,集成芯片标识为集成芯片自身已知的。将集成芯片标识、预加载固件标识和固件唯一标识一起打包加密,就可以得到第一进程身份信息。
例如,采用集成芯片T-H生成的进程身份私钥AIK-1,加密集成芯片生成的进程身份公钥AIK、预加载固件标识H_ID、集成芯片标识T-H_ID、集成芯片的私钥EK-1加密的固件唯一标识[hash(T-H_ID-T-Firmware||H_ID-Firmware)]EK -1、进程标识L和平台标识PCA,得到第一进程身份信息I。
在本申请的一种实施例中,可选地,定制信息还携带有进程标识和平台标识,根据集成芯片标识、所述目标运算固件的预加载固件标识和固件唯一标识,生成第一进程身份信息的一种实现方式可以包括:采用集成芯片的私钥加密固件唯一标识;利用集成芯片生成的进程身份私钥,加密集成芯片生成的进程身份公钥、预加载固件标识、集成芯片标识、加密的固件唯一标识、进程标识和平台标识,得到第一进程身份信息。
按照TCG(Ttrusted Computing Group,可信计算组织)规范,集成芯片的公钥和私钥用于身份密钥和身份证书的分发中,假设用户进程U,集成芯片T-H,隐私证书颁发机构PCA在身份密钥及身份证书交互之前,已获得集成芯片的公钥EK。
集成芯片上有集成芯片的私钥,可以用于加密固件唯一标识,然后利用集成芯片生成的进程身份私钥,加密集成芯片生成的进程身份公钥、预加载固件标识、集成芯片标识、加密的固件唯一标识、进程标识和平台标识,将加密后得到的信息作为第一进程身份信息,表示为I={AIK,L,T-H_ID,H_ID,[hash(T-H_ID-T-Firmware||H_ID-Firmware)]EK -1,PCA]}AIK -1
在本申请的一种实施例中,可选地,定制信息还携带有第一随机数,在根据集成芯片标识、所述目标运算固件的预加载固件标识和固件唯一标识,生成第一进程身份信息之前,还可以包括:产生第二随机数,根据第一随机数、第二随机数和进程标识,生成进程身份公钥和进程身份私钥,所述进程身份私钥存储在所述集成芯片上。
集成芯片收到用户进程U提供的定制信息,即加密的信息集后,产生第二随机数N2,然后依据第一随机数N1,第二随机数N2,进程标识L为用户进程U产生身份公私钥对,即进程身份公钥AIK和进程身份私钥AIK-1,其中AIK=[N1||N2||L]EK -1,表示集成芯片的私钥EK-1加密第一随机数N1,第二随机数N2,进程标识L得到AIK,而AIK-1保留在集成芯片中。
进程身份私钥AIK-1可以依据第一随机数N1,第二随机数N2,以及特定算法生成,也可以依据其他任意适用的随机数生成,本申请实施例对此不做限制。
在本申请的一种实施例中,可选地,定制信息采用集成芯片的公钥加密,还可以包括:采用所述集成芯片的私钥,解密所述定制信息;所述根据所述第一随机数、第二随机数和进程标识,生成进程身份公钥的一种实现方式可以包括:采用所述集成芯片的私钥加密所述第一随机数、第二随机数和进程标识,生成进程身份公钥,并经用户进程提供给隐私证书颁发机构。
在本申请的一种实施例中,可选地,集成芯片身份信息由第一随机数加密,进程标识以及第一随机数解密得到的集成芯片身份信息,由用户进程采用隐私证书颁发机构的公钥加密后提供给隐私证书颁发机构。
集成芯片得到集成芯片身份信息(例如,可信高速数据加密卡THSDEC(即集成芯片)的背书证书Cert_EK=[T-H_ID,EK,MF]SK(MF))后,用第一随机数N1进行加密,得到[Cert_EK]N1并返回给用户进程。
在本申请的一种实施例中,可选地,当用户进程采用集成芯片的公钥解密进程身份公钥后得到了第一随机数,且利用进程身份公钥解密第一进程身份信息得到的第一集成芯片标识与解密集成芯片身份信息得到的第二集成芯片标识一致时,第一进程身份信息、进程身份公钥、进程标识、平台标识、集成芯片身份信息,由用户进程提供给隐私证书颁发机构。
集成芯片将采用第一随机数加密的集成芯片身份信息、进程身份公钥、第一进程身份信息发送给用户进程。用户进程收到信息后,用第一随机数N1解密加密的集成芯片身份信息[Cert_EK]N1,得到集成芯片身份信息Cert_EK,依据Cert_EK得到集成芯片的公钥EK,并验证Cert_EK的合法性。
用集成芯片的公钥EK解密进程身份公钥AIK,如果解密的信息中包含有第一随机数N1,且利用进程身份公钥AIK解密第一进程身份信息I中包含的第一集成芯片标识T-H_ID和解密集成芯片身份信息得到Cert_EK中的第二集成芯片标识T-H_ID一致,则认为AIK和I是合法的集成芯片发给用户进程的进程身份公钥和第一进程身份信息,流程继续,用户进程可以将第一进程身份信息、进程身份公钥、进程标识、平台标识、集成芯片身份信息提供给隐私证书颁发机构,否则终止。
步骤205,将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
在本申请实施例中,此步骤的具体实现方式可以参见前述实施例中的描述,此处不另赘述。
步骤206,获取所述集成芯片的公钥加密的第二进程身份信息。
在本申请实施例中,当隐私证书颁发机构根据第一进程身份信息,确定集成芯片的运算固件合法,即用户进程的身份合法后,可以为用户进程生成第二进程身份信息,并会用集成芯片的公钥加密后,提供给用户进程,用户进程无法自己解密,需要将集成芯片的公钥加密的第二进程身份信息发送给集成芯片,集成芯片上有集成芯片的私钥,可以完成解密。
步骤207,采用所述集成芯片的私钥解密所述第二进程身份信息。
在本申请实施例中,集成芯片采用集成芯片的私钥EK-1解密加密的第二进程身份信息[Cert_AIK]EK,得到第二进程身份信息Cert_AIK。
步骤208,采用所述第一随机数加密所述第二进程身份信息,并提供给所述用户进程。
在本申请实施例中,定制信息包括第一随机数,集成芯片为了安全的将解密后的第二进程身份信息提供给用户进程,可以利用用户进程发给自身的第一随机数N1加密第二进程身份信息,得到[Cert_AIK]N1,并发送给用户进程U。
在本申请的一种实施例中,可选地,加密的第二进程身份信息经用户进程转发至集成芯片,用户进程采用第一随机数解密第二进程身份信息。
集成芯片将采用第一随机数加密的第二进程身份信息返回给用户进程后,用户进程可以用第一随机数解密,得到第二进程身份信息,这样就完成了整个身份信息的分发过程。
依据本申请实施例,通过获取用户进程对集成芯片的定制信息,并根据定制信息,确定可重构芯片上预加载的目标运算固件,再生成用于标记目标运算固件和固化运算固件的固件唯一标识,根据集成芯片标识、预加载固件标识和固件唯一标识,生成第一进程身份信息,之后将第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定用户进程的身份合法,从而使得集成芯片为用户进程生成的第一进程身份信息,既可以证明不可重构部分的固化运算固件的合法性,又可以证明可重构部分的目标运算固件的合法性,在集成芯片的运算固件实现动态变更的情况下,解决了整个集成芯片的合法性无法得到验证的问题。
进一步,通过获取集成芯片的公钥加密的第二进程身份信息,采用集成芯片的私钥解密第二进程身份信息,采用第一随机数加密第二进程身份信息,并提供给用户进程,在隐私证书颁发机构验证了整个集成芯片的运算固件的合法性后,集成芯片将隐私证书颁发机构提供的第二进程身份信息解密出来,以供用户进程使用第二进程身份信息证明整个集成芯片的合法性。
参照图5,示出了根据本申请实施例三的一种身份信息处理方法实施例的流程图,该方法具体可以包括以下步骤:
步骤301,获取第一进程身份信息。
在本申请实施例中,隐私证书颁发机构获取第一进程身份信息,具体可以由集成芯片提供给隐私证书颁发机构,或者集成芯片将第一进程身份信息发送给用户进程,再由用户进程发送给隐私证书颁发机构,或者其他任意适用的方式,本申请实施例对此不做限制。
步骤302,根据所述第一进程身份信息,确定所述集成芯片的运算固件合法。
在本申请实施例中,隐私证书颁发机构存储有合法的集成芯片上的运算固件的相关信息,通过比对第一进程身份信息包括的信息,就可以确定为用户进程调用的集成芯片上的运算固件是否合法,如果合法,则用户进程的身份合法。
依据本申请实施例,通过获取第一进程身份信息,根据所述第一进程身份信息,确定所述集成芯片的运算固件合法,从而使得集成芯片为用户进程生成的第一进程身份信息,既可以证明不可重构部分的固化运算固件的合法性,又可以证明可重构部分的目标运算固件的合法性,在集成芯片的运算固件实现动态变更的情况下,解决了整个集成芯片的合法性无法得到验证的问题。
在本申请的一种实施例中,可选地,在根据所述第一进程身份信息,确定所述集成芯片的运算固件合法之后,还可以包括:根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的第二进程身份信息,将所述第二进程身份信息提供给所述用户进程,以用于证明所述用户进程的身份合法。
要想证明整个集成芯片的合法性,就需要根据目标运算固件和固化运算固件,生成第二进程身份信息,而在现有的静态平台身份密钥及证书分发方法中,身份信息的生成与动态加载的可重构部分无关,导致仅能证明不可重构部分的合法性的问题。
第二进程身份信息生成的方式可以包括多种,例如,根据集成芯片标识、预加载固件标识和固件唯一标识,生成第二进程身份信息,或者根据集成芯片生成的进程身份公钥、预加载固件标识、集成芯片标识、加密的固件唯一标识、进程标识和平台标识,生成第二进程身份信息,或者其他任意适用的生成方式,本申请实施例对此不做限制。
在本申请的一种实施例中,可选地,第一进程身份信息还包括进程标识和平台标识,所述第二进程身份信息包括平台身份证书,根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的第二进程身份信息的一种实现方式可以包括:采用隐私证书颁发机构的私钥,加密集成芯片生成的进程身份公钥、目标运算固件的预加载固件标识、集成芯片标识、用于标记所述目标运算固件与固化运算固件的固件唯一标识、进程标识和平台标识,得到所述平台身份证书。
与第一进程身份信息不同的是,平台身份证书不是采用集成芯片生成的进程身份私钥加密,而是采用隐私证书颁发机构的私钥进行加密的,产生Cert_AIK=[L,AIK,T-H_ID,H_ID,hash(T-H_ID-T-Firmware||H-Firmware),PCA]SK(PCA),即平台身份证书。
在本申请的一种实施例中,可选地,第一进程身份信息包括预加载固件标识和集成芯片标识,根据所述第一进程身份信息,确定所述集成芯片的运算固件合法的一种实现方式可以包括:根据预加载固件标识和集成芯片标识,确定目标运算固件和固化运算固件合法。
隐私证书颁发机构可以根据第一进程身份信息中预加载固件标识和集成芯片标识,确定隐私证书颁发机构上存储的合法的目标运算固件和固化运算固件的相关信息,再与第一进程身份信息中的相关信息进行比对,确定集成芯片的运算固件是否合法。
在本申请的一种实施例中,可选地,在根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法之前,还可以包括:获取进程身份公钥,采用进程身份公钥解密第一进程身份信息,得到预加载固件标识、集成芯片标识和用于标记所述目标运算固件与固化运算固件的固件唯一标识。
第一进程身份信息是被进程身份私钥加密过的,隐私证书颁发机构收到后,可以采用进程身份公钥解密第一进程身份信息,解密出的信息包括预加载固件标识、集成芯片标识和固件唯一标识。
在本申请的一种实施例中,可选地,根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法的一种实现方式可以包括:根据预加载固件标识和集成芯片标识,查找隐私证书颁发机构上的固件唯一标识;比对解密得到的固件唯一标识和查找的固件唯一标识,校验目标运算固件和固化运算固件的合法性。
例如,用进程身份公钥AIK解密第一进程身份信息I,得到hash(T-H_ID-T-Firmware||H_ID-Firmware)]EK -1,用集成芯片的公钥EK解密,获得hash(T-H_ID-T-Firmware||H_ID-Firmware),依据隐私证书颁发机构上存储的集成芯片标识、预加载固件标识及其固件映射关系数据库,查询数据库中预加载固件标识和集成芯片标识所映射的固件唯一标识hash(T-H_ID-T-Firmware||H_ID-Firmware),对比两个哈希值是否相等,若相等则目标运算固件和固化运算固件的合法。
在本申请的一种实施例中,可选地,还可以包括:获取集成芯片身份信息,采用芯片生产私钥验证所述集成芯片身份信息的合法性。
例如,通过芯片生产私钥SK(MF),即厂商的私钥,可以验证集成芯片身份信息(即集成芯片的证书Cert_EK)的合法性。由于集成芯片身份信息(即集成芯片的证书Cert_EK)是由芯片生产私钥加密,如果解密成功,表明集成芯片身份信息合法。
在本申请的一种实施例中,可选地,集成芯片身份信息和进程标识由用户进程采用隐私证书颁发机构的公钥加密后提供给隐私证书颁发机构,获取集成芯片身份信息的一种实现方式可以包括:采用隐私证书颁发机构的私钥解密,得到集成芯片身份信息和第一进程标识。还可以包括:采用集成芯片的公钥解密进程身份公钥,得到第二进程标识;比对所述第一进程标识和第二进程标识,确定所述进程身份公钥和集成芯片身份信息是为同一用户进程生成的。
用户进程将集成芯片身份信息和进程标识(为了区分,记为第一进程标识)一起采用隐私证书颁发机构的公钥PK(PCA)加密,再提供给隐私证书颁发机构。隐私证书颁发机构需要采用隐私证书颁发机构的私钥SK(PCA)解密,得到集成芯片身份信息和第一进程标识。再采用集成芯片的公钥EK解密进程身份公钥AIK,得到第二进程标识,如果第一进程标识和第二进程标识一致,则确定进程身份公钥和集成芯片身份信息是为同一用户进程生成的。
在本申请的一种实施例中,可选地,第一进程身份信息包括进程标识,还可以包括:采用进程身份公钥解密第一进程身份信息,得到预加载固件标识、集成芯片标识和第三进程标识;比对第一进程标识和第三进程标识,以及比对集成芯片身份信息和第一进程身份信息中解密得到的预加载固件标识与集成芯片标识,确定进程身份公钥和进程身份私钥是由合法的集成芯片为进程标识产生的。
隐私证书颁发机构采用进程身份公钥AIK解密第一进程身份信息I,得到预加载固件标识、集成芯片标识和第三进程标识,比对第一进程标识和第三进程标识,以及比对集成芯片身份信息和第一进程身份信息中解密得到的预加载固件标识与集成芯片标识,如果第一进程标识和第三进程标识一致,且预加载固件标识与集成芯片标识也一致,则确定进程身份公钥和进程身份私钥是由合法的集成芯片为进程标识产生的。
值得说明的是,当采用芯片生产私钥验证集成芯片身份信息合法,且确定进程身份公钥和集成芯片身份信息是为同一用户进程生成的,且确定进程身份公钥和进程身份私钥是由合法的集成芯片为进程标识产生的,且校验目标运算固件和固化运算固件的合法,以上都满足的情况下,则流程继续,否则终止,确保用户进程的身份合法,才能为其提供第二进程身份信息。
参照图6,示出了根据本申请实施例四的一种身份信息处理方法实施例的流程图,该方法具体可以包括以下步骤:
步骤401,将定制信息提供给集成芯片。
在本申请实施例中,用户进程将定制信息提供给集成芯片。
步骤402,获取所述集成芯片反馈的第一进程身份信息。
在本申请实施例中,集成芯片应用户进程的请求为其生成第一进程身份信息,并反馈给用户进程。
步骤403,将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
依据本申请实施例,通过获取集成芯片反馈的第一进程身份信息,将第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定用户进程的身份合法,从而使得集成芯片为用户进程生成的第一进程身份信息,既可以证明不可重构部分的固化运算固件的合法性,又可以证明可重构部分的目标运算固件的合法性,在集成芯片的运算固件实现动态变更的情况下,解决了整个集成芯片的合法性无法得到验证的问题。
在本申请的一种实施例中,可选地,定制信息携带有第一随机数,还可以包括:获取集成芯片提供的集成芯片身份信息,所述集成芯片身份信息由所述第一随机数加密,采用所述第一随机数解密所述集成芯片身份信息,采用所述隐私证书颁发机构的公钥加密所述集成芯片身份信息后提供给隐私证书颁发机构。
在本申请的一种实施例中,可选地,还可以包括:采用所述集成芯片的公钥解密进程身份公钥后得到所述第一随机数;利用所述进程身份公钥解密第一进程身份信息得到第一集成芯片标识;解密所述集成芯片身份信息得到的第二集成芯片标识;若所述第一集成芯片标识与第二集成芯片标识一致,则将所述第一进程身份信息、进程身份公钥、进程标识、平台标识、集成芯片身份信息提供给隐私证书颁发机构。
在本申请实施例中,具体实现方式可以参见前述实施例中的描述,此处不另赘述。
参照图7,示出了根据本申请实施例五的一种平台身份密钥和证书的分发方法实施例的流程图,该方法具体可以包括以下步骤:
步骤501,获取第一进程身份信息。
其中,所述第一进程身份信息用于验证用户进程,第一进程身份信息包括进程身份密钥,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片。
值得说明的是,进程身份密钥包括进程身份公钥和进程身份私钥,进程身份私钥存储在集成芯片上,因此,此处获取的是进程身份公钥。
步骤502,根据所述第一进程身份信息,确定所述集成芯片的运算固件合法。
步骤503,根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的平台身份密钥和平台身份证书。
在本申请实施例中,根据目标运算固件和固化运算固件,生成平台身份证书,例如,采用隐私证书颁发机构的私钥,加密集成芯片生成的进程身份公钥、目标运算固件的预加载固件标识、集成芯片标识、用于标记目标运算固件与固化运算固件的固件唯一标识、进程标识和平台标识,得到平台身份证书。
步骤504,将所述平台身份证书提供给所述用户进程,以用于证明所述用户进程的身份合法。
依据本申请实施例,通过获取第一进程身份信息,根据所述第一进程身份信息,确定所述集成芯片的运算固件合法,根据目标运算固件和固化运算固件,生成用于验证用户进程的平台身份证书,将平台身份证书提供给用户进程,以用于证明用户进程的身份合法,从而使得集成芯片为用户进程生成的第一进程身份信息,既可以证明不可重构部分的固化运算固件的合法性,又可以证明可重构部分的目标运算固件的合法性,在集成芯片的运算固件实现动态变更的情况下,解决了整个集成芯片的合法性无法得到验证的问题,进一步隐私证书颁发机构在验证用户进程身份合法后,为用户进程颁发平台身份证书,以供用户进程使用平台身份证书证明整个集成芯片的合法性。
参照图8,示出了根据本申请实施例六的一种数据处理方法实施例的流程图,该方法具体可以包括以下步骤:
步骤601,第一计算设备确定目标处理器。
在本申请实施例中,第一计算设备和第二计算设备相对应,第一计算设备为目标进程所在的计算设备,可以使用目标处理器,还可以将目标进程的身份信息发送给第二计算设备。第二计算设备可以根据身份信息对固化运算固件或目标运算固件进行第一验证,并根据第一验证的结果,确定身份信息是否满足预设条件。目标进程包括用户进程,或者其他任意适用的进程,本申请实施例对此不做限制。
第一计算设备在为目标进程生成身份信息时,需要利用到目标处理器。目标处理器包括第一子处理器和第二子处理器,目标处理器包括集成芯片,第一子处理器包括不可重构芯片,第二子处理器包括可重构芯片,具体可以包括任意适用的目标处理器以及第一子处理器和第二子处理器,本申请实施例对此不做限制。
步骤602,所述第一计算设备获取对应于目标进程的所述目标处理器的元数据。
在本申请实施例中,元数据是目标进程给目标处理器的,用于确定目标处理器的第一子处理器的固化运算固件,和第二子处理器的目标运算固件,元数据包括用户进程对集成芯片的定制信息,或者其他任意适用的数据,本申请实施例对此不做限制。
步骤603,所述第一计算设备根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件。
在本申请实施例中,根据元数据可以确定固化运算固件和目标运算固件。
步骤604,所述第一计算设备根据所述目标运算固件和固化运算固件,生成所述目标进程的身份信息。
在本申请实施例中,身份信息用于进行固化运算固件或目标运算固件的第一验证,由于目标进程在第一计算设备上,所以根据第一计算设备的目标处理器上的目标运算固件和固化运算固件,可以为目标进程生成身份信息。身份信息包括第一进程身份信息,或者其他任意适用的身份信息,本申请实施例对此不做限制。
根据目标运算固件和固化运算固件,生成目标进程的身份信息的具体实现方式可以参见前述实施例中的描述,此处不另赘述。
步骤605,所述第一计算设备发送所述身份信息到第二计算设备。
依据本申请实施例,通过第一计算设备确定目标处理器,获取对应于目标进程的所述目标处理器的元数据,根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件,根据所述目标运算固件和固化运算固件,生成所述目标进程的身份信息,发送所述身份信息到第二计算设备,以供第二计算设备根据身份信息进行第一验证,并确定身份信息是否满足预设条件,从而使得第一计算设备为目标进程生成的身份信息,既可以验证固化运算固件,又可以验证目标运算固件,在目标处理器的运算固件实现动态变更的情况下,解决了无法得到验证整个目标处理器的问题。
参照图9,示出了根据本申请实施例七的一种数据处理方法实施例的流程图,该方法具体可以包括以下步骤:
步骤701,第二计算设备获取目标进程的身份信息。
在本申请实施例中,身份信息由第一计算设备确定目标处理器,获取对应于目标进程的所述目标处理器的元数据,根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件,并根据所述目标运算固件和固化运算固件生成。
步骤702,所述第二计算设备根据所述身份信息,对所述固化运算固件或目标运算固件进行第一验证。
在本申请实施例中,第一验证包括根据第一进程身份信息,验证集成芯片的运算固件是否合法,或者其他任意适用的验证,本申请实施例对此不做限制。
步骤703,所述第二计算设备根据所述第一验证的结果,确定所述身份信息是否满足预设条件。
在本申请实施例中,第一验证的结果是对根据所述第一进程身份信息,确定所述集成芯片的运算固件合法进行的验证,身份信息是根据固化运算固件和目标运算固件生成的,所以第一验证的结果可以用来确定身份信息是否满足预设条件,例如,隐私证书颁发机构(即第二计算设备)进行运算固件的固件合法验证(即第一验证),验证结果为固件合法,则确定用户进程的身份合法,否则不合法。预设条件包括身份是否合法,或者其他任意适用的条件,本申请实施例对此不做限制。
依据本申请实施例,通过第二计算设备获取目标进程的身份信息,根据所述身份信息,对所述固化运算固件或目标运算固件进行第一验证,根据所述第一验证的结果,确定所述身份信息是否满足预设条件,从而使得第一计算设备为目标进程生成的身份信息,既可以验证固化运算固件,又可以验证目标运算固件,在目标处理器的运算固件实现动态变更的情况下,解决了无法得到验证整个目标处理器的问题。
参照图10,示出了根据本申请实施例八的一种数据处理方法实施例的流程图,该方法具体可以包括以下步骤:
步骤801,确定目标处理器。
其中,所述目标处理器包括第一子处理器和第二子处理器,所述目标处理器包括对应于目标进程的元数据;
步骤802,根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件。
步骤803,根据所述目标运算固件和固化运算固件,生成所述目标进程的身份信息。
步骤804,根据所述身份信息,对所述固化运算固件或目标运算固件进行第一验证。
步骤805,根据所述第一验证的结果,确定所述身份信息是否满足预设条件。
在本申请实施例中,上述各步骤也可以在同一设备上执行,本申请实施例对此不做限制。
依据本申请实施例,通过确定目标处理器,获取对应于目标进程的所述目标处理器的元数据,根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件,根据所述目标运算固件和固化运算固件,生成所述目标进程的身份信息,以供根据身份信息进行第一验证,并确定身份信息是否满足预设条件,从而使得为目标进程生成的身份信息,既可以验证固化运算固件,又可以验证目标运算固件,在目标处理器的运算固件实现动态变更的情况下,解决了无法得到验证整个目标处理器的问题。
参照图11,示出了根据本申请实施例九的一种身份信息处理装置实施例的结构框图,具体可以包括:
定制信息获取模块901,用于获取用户进程对集成芯片的定制信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;
固件确定模块902,用于根据所述定制信息,确定所述可重构芯片上预加载的目标运算固件;
第一信息生成模块903,用于根据所述目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息;
信息提供模块904,用于将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
在本申请的一种实施例中,可选地,所述运算固件包括一个或多个运算算法,所述定制信息携带有预加载固件标识,所述预加载固件标识与一个或多个运算算法对应,所述装置还包括:
标识生成模块,用于根据各个运算算法对应的预加载固件标识,生成运算固件的多个运算算法对应的预加载固件标识。
在本申请的一种实施例中,可选地,所述定制信息携带有预加载固件标识,所述第一信息生成模块包括:
唯一标识生成子模块,用于生成用于标记所述目标运算固件和所述不可重构芯片的固化运算固件的固件唯一标识;
信息生成子模块,用于根据集成芯片标识、所述预加载固件标识和固件唯一标识,生成第一进程身份信息。
在本申请的一种实施例中,可选地,所述定制信息还携带有进程标识和平台标识,所述信息生成子模块包括:
标识加密单元,用于采用集成芯片的私钥加密所述固件唯一标识;
信息加密单元,用于利用所述集成芯片生成的进程身份私钥,加密所述集成芯片生成的进程身份公钥、预加载固件标识、集成芯片标识、加密的固件唯一标识、进程标识和平台标识,得到所述第一进程身份信息。
在本申请的一种实施例中,可选地,所述定制信息还携带有第一随机数,所述装置还包括:
第二随机数产生模块,用于在所述根据集成芯片标识、所述目标运算固件的预加载固件标识和固件唯一标识,生成第一进程身份信息之前,产生第二随机数;
公私钥生成模块,用于根据所述第一随机数、第二随机数和进程标识,生成进程身份公钥和进程身份私钥,所述进程身份私钥存储在所述集成芯片上。
在本申请的一种实施例中,可选地,所述定制信息采用集成芯片的公钥加密,所述装置还包括:
定制信息解密模块,用于采用所述集成芯片的私钥,解密所述定制信息;
所述公私钥生成模块包括:
公钥生成子模块,用于采用所述集成芯片的私钥加密所述第一随机数、第二随机数和进程标识,生成所述进程身份公钥,并经所述用户进程提供给所述隐私证书颁发机构。
在本申请的一种实施例中,可选地,所述装置还包括:
集成芯片身份信息生成模块,用于基于所述集成芯片标识、集成芯片的公钥和芯片生产者标识,生成集成芯片身份信息,并经所述用户进程提供给隐私证书颁发机构。
在本申请的一种实施例中,可选地,所述集成芯片身份信息由所述第一随机数加密,所述进程标识以及所述第一随机数解密得到的集成芯片身份信息,由所述用户进程采用隐私证书颁发机构的公钥加密后提供给隐私证书颁发机构。
在本申请的一种实施例中,可选地,当所述用户进程采用所述集成芯片的公钥解密进程身份公钥后得到了第一随机数,且利用所述进程身份公钥解密第一进程身份信息得到的第一集成芯片标识与解密所述集成芯片身份信息得到的第二集成芯片标识一致时,所述第一进程身份信息、进程身份公钥、进程标识、平台标识、集成芯片身份信息,由所述用户进程提供给隐私证书颁发机构。
在本申请的一种实施例中,可选地,所述定制信息包括第一随机数,所述装置还包括:
平台信息获取模块,用于获取所述集成芯片的公钥加密的第二进程身份信息;
平台信息解密模块,用于采用所述集成芯片的私钥解密所述第二进程身份信息;
平台信息加密模块,用于采用所述第一随机数加密所述第二进程身份信息,并提供给所述用户进程。
在本申请的一种实施例中,可选地,所述加密的第二进程身份信息经所述用户进程转发至所述集成芯片,所述用户进程采用所述第一随机数解密所述第二进程身份信息。
依据本申请实施例,通过获取用户进程对集成芯片的定制信息,并根据定制信息,确定可重构芯片上预加载的目标运算固件,再根据目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息,之后将第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定用户进程的身份合法,从而使得集成芯片为用户进程生成的第一进程身份信息,既可以证明不可重构部分的固化运算固件的合法性,又可以证明可重构部分的目标运算固件的合法性,在集成芯片的运算固件实现动态变更的情况下,解决了整个集成芯片的合法性无法得到验证的问题。
参照图12,示出了根据本申请实施例十的一种身份信息处理装置实施例的结构框图,具体可以包括:
进程信息获取模块1001,用于获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片;
合法确定模块1002,用于根据所述第一进程身份信息,确定所述集成芯片的运算固件合法。
在本申请的一种实施例中,可选地,所述装置还包括:
第二信息生成模块,用于在所述根据所述第一进程身份信息,确定所述集成芯片的运算固件合法之后,根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的第二进程身份信息;
第二信息提供模块,用于将所述第二进程身份信息提供给所述用户进程,以用于证明所述用户进程的身份合法。
在本申请的一种实施例中,可选地,所述第一进程身份信息还包括进程标识和平台标识,所述第二进程身份信息包括平台身份证书,所述第二信息生成模块包括:
证书生成子模块,采用所述隐私证书颁发机构的私钥,加密所述集成芯片生成的进程身份公钥、目标运算固件的预加载固件标识、集成芯片标识、用于标记所述目标运算固件与固化运算固件的固件唯一标识、进程标识和平台标识,得到所述平台身份证书。
在本申请的一种实施例中,可选地,所述第一进程身份信息包括预加载固件标识和集成芯片标识,所述合法确定模块包括:
合法确定子模块,用于根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法。
在本申请的一种实施例中,可选地,所述装置还包括:
公钥获取模块,用于在所述根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法之前,获取进程身份公钥;
进程信息解密模块,用于采用所述进程身份公钥解密第一进程身份信息,得到预加载固件标识、集成芯片标识和用于标记所述目标运算固件与固化运算固件的固件唯一标识。
在本申请的一种实施例中,可选地,所述合法确定子模块包括:
标识查找单元,用于根据所述预加载固件标识和集成芯片标识,查找所述隐私证书颁发机构上的固件唯一标识;
合法性校验单元,用于比对解密得到的固件唯一标识和查找的固件唯一标识,校验所述目标运算固件和固化运算固件的合法性。
在本申请的一种实施例中,可选地,所述装置还包括:
芯片信息获取模块,用于获取集成芯片身份信息;
合法性验证模块,用于采用芯片生产私钥验证所述集成芯片身份信息的合法性。
在本申请的一种实施例中,可选地,所述集成芯片身份信息和进程标识由所述用户进程采用隐私证书颁发机构的公钥加密后提供给隐私证书颁发机构,所述芯片信息获取模块包括:
解密子模块,用于采用所述隐私证书颁发机构的私钥解密,得到集成芯片身份信息和第一进程标识,
所述装置还包括:
公钥解密模块,用于采用所述集成芯片的公钥解密进程身份公钥,得到第二进程标识;
第一标识比对模块,用于比对所述第一进程标识和第二进程标识,确定所述进程身份公钥和集成芯片身份信息是为同一用户进程生成的。
在本申请的一种实施例中,可选地,所述第一进程身份信息包括进程标识,所述装置还包括:
信息解密模块,用于采用所述进程身份公钥解密第一进程身份信息,得到所述预加载固件标识、集成芯片标识和第三进程标识;
第二标识比对模块,用于比对所述第一进程标识和第三进程标识,以及比对所述集成芯片身份信息和第一进程身份信息中解密得到的预加载固件标识与集成芯片标识,确定所述进程身份公钥和进程身份私钥是由合法的集成芯片为所述进程标识产生的。
依据本申请实施例,通过获取第一进程身份信息,根据所述第一进程身份信息,确定所述集成芯片的运算固件合法,从而使得集成芯片为用户进程生成的第一进程身份信息,既可以证明不可重构部分的固化运算固件的合法性,又可以证明可重构部分的目标运算固件的合法性,在集成芯片的运算固件实现动态变更的情况下,解决了整个集成芯片的合法性无法得到验证的问题。
参照图13,示出了根据本申请实施例十一的一种身份信息处理装置实施例的结构框图,具体可以包括:
定制信息提供模块1101,用于将定制信息提供给集成芯片,以根据所述定制信息,确定可重构芯片上预加载的目标运算固件,并根据所述目标运算固件和不可重构芯片的固化运算固件,生成用于验证用户进程的第一进程身份信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;
信息获取模块1102,用于获取所述集成芯片反馈的第一进程身份信息;
信息提供模块1103,用于将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
在本申请的一种实施例中,可选地,所述定制信息携带有第一随机数,所述装置还包括:
信息获取模块,用于获取所述集成芯片提供的集成芯片身份信息,所述集成芯片身份信息由所述第一随机数加密;
信息解密模块,用于采用所述第一随机数解密所述集成芯片身份信息;
身份信息加密模块,用于采用所述隐私证书颁发机构的公钥加密所述集成芯片身份信息后提供给隐私证书颁发机构。
在本申请的一种实施例中,可选地,所述装置还包括:
第一解密模块,用于采用所述集成芯片的公钥解密进程身份公钥后得到所述第一随机数;
第二解密模块,用于利用所述进程身份公钥解密第一进程身份信息得到第一集成芯片标识;
第三解密模块,用于解密所述集成芯片身份信息得到的第二集成芯片标识;
提供模块,用于若所述第一集成芯片标识与第二集成芯片标识一致,则将所述第一进程身份信息、进程身份公钥、进程标识、平台标识、集成芯片身份信息提供给隐私证书颁发机构。
依据本申请实施例,通过获取集成芯片反馈的第一进程身份信息,将第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定用户进程的身份合法,从而使得集成芯片为用户进程生成的第一进程身份信息,既可以证明不可重构部分的固化运算固件的合法性,又可以证明可重构部分的目标运算固件的合法性,在集成芯片的运算固件实现动态变更的情况下,解决了整个集成芯片的合法性无法得到验证的问题。
参照图14,示出了根据本申请实施例十二的一种身份密钥和证书的分发装置实施例的结构框图,具体可以包括:
信息获取模块1201,用于获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息包括进程身份密钥,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片。
合法确定模块1202,用于根据所述第一进程身份信息,确定所述集成芯片的运算固件合法。
证书生成模块1203,用于根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的平台身份证书。
证书提供模块1204,用于将所述平台身份证书提供给所述用户进程,以用于证明所述用户进程的身份合法。
依据本申请实施例,通过获取第一进程身份信息,根据所述第一进程身份信息,确定所述集成芯片的运算固件合法,根据目标运算固件和固化运算固件,生成用于验证用户进程的平台身份证书,将平台身份证书提供给用户进程,以用于证明用户进程的身份合法,从而使得集成芯片为用户进程生成的第一进程身份信息,既可以证明不可重构部分的固化运算固件的合法性,又可以证明可重构部分的目标运算固件的合法性,在集成芯片的运算固件实现动态变更的情况下,解决了整个集成芯片的合法性无法得到验证的问题,进一步隐私证书颁发机构在验证用户进程身份合法后,为用户进程颁发平台身份证书,以供用户进程使用平台身份证书证明整个集成芯片的合法性。
参照图15,示出了根据本申请实施例十三的一种数据处理装置实施例的结构框图,具体可以包括:
处理器确定模块1301,用于第一计算设备确定目标处理器。
在本申请实施例中,第一计算设备和第二计算设备相对应,第一计算设备为目标进程所在的计算设备,可以使用目标处理器,还可以将目标进程的身份信息发送给第二计算设备。第二计算设备可以根据身份信息对固化运算固件或目标运算固件进行第一验证,并根据第一验证的结果,确定身份信息是否满足预设条件。
第一计算设备在为目标进程生成身份信息时,需要利用到目标处理器。目标处理器包括第一子处理器和第二子处理器,目标处理器包括集成芯片,第一子处理器包括不可重构芯片,第二子处理器包括可重构芯片,具体可以包括任意适用的目标处理器以及第一子处理器和第二子处理器,本申请实施例对此不做限制。
元数据获取模块1302,用于所述第一计算设备获取对应于目标进程的所述目标处理器的元数据。
在本申请实施例中,
固件确定模块1303,用于所述第一计算设备根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件。
信息生成模块1304,用于所述第一计算设备根据所述目标运算固件和固化运算固件,生成所述目标进程的身份信息。
其中,所述身份信息用于进行固化运算固件或目标运算固件的第一验证;
信息发送模块1305,用于所述第一计算设备发送所述身份信息到第二计算设备。
参照图16,示出了根据本申请实施例十四的一种数据处理装置实施例的结构框图,具体可以包括:
信息获取模块1401,用于第二计算设备获取目标进程的身份信息。
其中,所述身份信息由第一计算设备确定目标处理器,获取对应于目标进程的所述目标处理器的元数据,根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件,并根据所述目标运算固件和固化运算固件生成;
验证模块1402,用于所述第二计算设备根据所述身份信息,对所述固化运算固件或目标运算固件进行第一验证。
确定模块1403,用于所述第二计算设备根据所述第一验证的结果,确定所述身份信息是否满足预设条件。
参照图17,示出了根据本申请实施例十五的一种数据处理装置实施例的结构框图,具体可以包括:
处理器确定模块1501,用于确定目标处理器。
其中,所述目标处理器包括第一子处理器和第二子处理器,所述目标处理器包括对应于目标进程的元数据;
固件确定模块1502,用于根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件。
信息生成模块1503,用于根据所述目标运算固件和固化运算固件,生成所述目标进程的身份信息。
验证模块1504,用于根据所述身份信息,对所述固化运算固件或目标运算固件进行第一验证。
确定模块1505,用于根据所述第一验证的结果,确定所述身份信息是否满足预设条件。
参照图18示出了根据本申请实施例十六的一种身份信息的分发系统实施例的结构框图,具体可以包括:
所述分发系统1600包括集成芯片1601、用户进程1602和隐私证书颁发机构1603;
所述集成芯片,用于获取用户进程对集成芯片的定制信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;根据所述定制信息,确定所述可重构芯片上预加载的目标运算固件;根据所述目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息;将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法;
所述隐私证书颁发机构,用于获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片;根据所述第一进程身份信息,确定所述集成芯片的运算固件合法;
所述用户进程,用于将定制信息提供给集成芯片,以根据所述定制信息,确定可重构芯片上预加载的目标运算固件,并根据所述目标运算固件和不可重构芯片的固化运算固件,生成用于验证用户进程的第一进程身份信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;获取所述集成芯片反馈的第一进程身份信息;将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
依据本申请实施例,通过获取用户进程对集成芯片的定制信息,并根据定制信息,确定可重构芯片上预加载的目标运算固件,再根据目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息,之后将第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定用户进程的身份合法,从而使得集成芯片为用户进程生成的第一进程身份信息,既可以证明不可重构部分的固化运算固件的合法性,又可以证明可重构部分的目标运算固件的合法性,在集成芯片的运算固件实现动态变更的情况下,解决了整个集成芯片的合法性无法得到验证的问题。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本公开的实施例可被实现为使用任意适当的硬件,固件,软件,或及其任意组合进行想要的配置的系统。图19示意性地示出了可被用于实现本公开中所述的各个实施例的示例性系统(或装置)1700。
对于一个实施例,图19示出了示例性系统1700,该系统具有一个或多个处理器1702、被耦合到(一个或多个)处理器1702中的至少一个的系统控制模块(芯片组)1704、被耦合到系统控制模块1704的系统存储器1706、被耦合到系统控制模块1704的非易失性存储器(NVM)/存储设备1708、被耦合到系统控制模块1704的一个或多个输入/输出设备1710,以及被耦合到系统控制模块1706的网络接口1712。
处理器1702可包括一个或多个单核或多核处理器,处理器1702可包括通用处理器或专用处理器(例如图形处理器、应用处理器、基频处理器等)的任意组合。在一些实施例中,系统1700能够作为本申请实施例中所述的浏览器。
在一些实施例中,系统1700可包括具有指令的一个或多个计算机可读介质(例如,系统存储器1706或NVM/存储设备1708)以及与该一个或多个计算机可读介质相合并被配置为执行指令以实现模块从而执行本公开中所述的动作的一个或多个处理器1702。
对于一个实施例,系统控制模块1704可包括任意适当的接口控制器,以向(一个或多个)处理器1702中的至少一个和/或与系统控制模块1704通信的任意适当的设备或组件提供任意适当的接口。
系统控制模块1704可包括存储器控制器模块,以向系统存储器1706提供接口。存储器控制器模块可以是硬件模块、软件模块和/或固件模块。
系统存储器1706可被用于例如为系统1700加载和存储数据和/或指令。对于一个实施例,系统存储器1706可包括任意适当的易失性存储器,例如,适当的DRAM。在一些实施例中,系统存储器1706可包括双倍数据速率类型四同步动态随机存取存储器(DDR4SDRAM)。
对于一个实施例,系统控制模块1704可包括一个或多个输入/输出控制器,以向NVM/存储设备1708及(一个或多个)输入/输出设备1710提供接口。
例如,NVM/存储设备1708可被用于存储数据和/或指令。NVM/存储设备1708可包括任意适当的非易失性存储器(例如,闪存)和/或可包括任意适当的(一个或多个)非易失性存储设备(例如,一个或多个硬盘驱动器(HDD)、一个或多个光盘(CD)驱动器和/或一个或多个数字通用光盘(DVD)驱动器)。
NVM/存储设备1708可包括在物理上作为系统1700被安装在其上的设备的一部分的存储资源,或者其可被该设备访问而不必作为该设备的一部分。例如,NVM/存储设备1708可通过网络经由(一个或多个)输入/输出设备1710进行访问。
(一个或多个)输入/输出设备1710可为系统1700提供接口以与任意其他适当的设备通信,输入/输出设备1710可以包括通信组件、音频组件、传感器组件等。网络接口1712可为系统1700提供接口以通过一个或多个网络通信,系统1700可根据一个或多个无线网络标准和/或协议中的任意标准和/或协议来与无线网络的一个或多个组件进行无线通信,例如接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合进行无线通信。
对于一个实施例,(一个或多个)处理器1702中的至少一个可与系统控制模块1704的一个或多个控制器(例如,存储器控制器模块)的逻辑封装在一起。对于一个实施例,(一个或多个)处理器1702中的至少一个可与系统控制模块1704的一个或多个控制器的逻辑封装在一起以形成系统级封装(SiP)。对于一个实施例,(一个或多个)处理器1702中的至少一个可与系统控制模块1704的一个或多个控制器的逻辑集成在同一模具上。对于一个实施例,(一个或多个)处理器1702中的至少一个可与系统控制模块1704的一个或多个控制器的逻辑集成在同一模具上以形成片上系统(SoC)。
在各个实施例中,系统1700可以但不限于是:浏览器、工作站、台式计算设备或移动计算设备(例如,膝上型计算设备、手持计算设备、平板电脑、上网本等)。在各个实施例中,系统1700可具有更多或更少的组件和/或不同的架构。例如,在一些实施例中,系统1700包括一个或多个摄像机、键盘、液晶显示器(LCD)屏幕(包括触屏显示器)、非易失性存储器端口、多个天线、图形芯片、专用集成电路(ASIC)和扬声器。
其中,如果显示器包括触摸面板,显示屏可以被实现为触屏显示器,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。
本申请实施例还提供了一种非易失性可读存储介质,该存储介质中存储有一个或多个模块(programs),该一个或多个模块被应用在终端设备时,可以使得该终端设备执行本申请实施例中各方法步骤的指令(instructions)。
在一个示例中提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如本申请实施例的方法。
在一个示例中还提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如本申请实施例的一个或多个的方法。
本申请实施例公开了一种身份信息分发方法和装置,示例1包括一种身份密钥和证书的分发方法,应用于隐私证书颁发机构,包括:
获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息包括进程身份密钥,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片;
根据所述第一进程身份信息,确定所述集成芯片的运算固件合法;
根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的平台身份证书;
将所述平台身份证书提供给所述用户进程,以用于证明所述用户进程的身份合法。
示例2包括一种身份信息处理方法,所述方法包括:
获取用户进程对集成芯片的定制信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;
根据所述定制信息,确定所述可重构芯片上预加载的目标运算固件;
根据所述目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息;
将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
示例3可包括示例2所述的方法,其中,所述运算固件包括一个或多个运算算法,所述定制信息携带有预加载固件标识,所述预加载固件标识与一个或多个运算算法对应,所述方法还包括:
根据各个运算算法对应的预加载固件标识,生成运算固件的多个运算算法对应的预加载固件标识。
示例4可包括示例2和/或示例3所述的方法,其中,所述定制信息携带有预加载固件标识,所述根据所述目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息包括:
生成用于标记所述目标运算固件和所述不可重构芯片的固化运算固件的固件唯一标识;
根据集成芯片标识、所述预加载固件标识和固件唯一标识,生成第一进程身份信息。
示例5可包括示例3-示例4一个或多个所述的方法,其中,所述定制信息还携带有进程标识和平台标识,所述根据集成芯片标识、所述目标运算固件的预加载固件标识和固件唯一标识,生成第一进程身份信息包括:
采用集成芯片的私钥加密所述固件唯一标识;
利用所述集成芯片生成的进程身份私钥,加密所述集成芯片生成的进程身份公钥、预加载固件标识、集成芯片标识、加密的固件唯一标识、进程标识和平台标识,得到所述第一进程身份信息。
示例6可包括示例2-示例5一个或多个所述的方法,其中,所述定制信息还携带有第一随机数,在所述根据集成芯片标识、所述目标运算固件的预加载固件标识和固件唯一标识,生成第一进程身份信息之前,所述方法还包括:
产生第二随机数;
根据所述第一随机数、第二随机数和进程标识,生成进程身份公钥和进程身份私钥,所述进程身份私钥存储在所述集成芯片上。
示例7可包括示例2-示例6一个或多个所述的方法,其中,所述定制信息采用集成芯片的公钥加密,所述方法还包括:
采用所述集成芯片的私钥,解密所述定制信息;
所述根据所述第一随机数、第二随机数和进程标识,生成进程身份公钥包括:
采用所述集成芯片的私钥加密所述第一随机数、第二随机数和进程标识,生成所述进程身份公钥,并经所述用户进程提供给所述隐私证书颁发机构。
示例8可包括示例2-示例7一个或多个所述的方法,其中,所述方法还包括:
基于所述集成芯片标识、集成芯片的公钥和芯片生产者标识,生成集成芯片身份信息,并经所述用户进程提供给隐私证书颁发机构。
示例9可包括示例2-示例8一个或多个所述的方法,其中,所述集成芯片身份信息由所述第一随机数加密,所述进程标识以及所述第一随机数解密得到的集成芯片身份信息,由所述用户进程采用隐私证书颁发机构的公钥加密后提供给隐私证书颁发机构。
示例10可包括示例2-示例9一个或多个所述的方法,其中,当所述用户进程采用所述集成芯片的公钥解密进程身份公钥后得到了第一随机数,且利用所述进程身份公钥解密第一进程身份信息得到的第一集成芯片标识与解密所述集成芯片身份信息得到的第二集成芯片标识一致时,所述第一进程身份信息、进程身份公钥、进程标识、平台标识、集成芯片身份信息,由所述用户进程提供给隐私证书颁发机构。
示例11可包括示例2-示例10一个或多个所述的方法,其中,所述定制信息包括第一随机数,所述方法还包括:
获取所述集成芯片的公钥加密的第二进程身份信息;
采用所述集成芯片的私钥解密所述第二进程身份信息;
采用所述第一随机数加密所述第二进程身份信息,并提供给所述用户进程。
示例12可包括示例2-示例11一个或多个所述的方法,其中,所述加密的第二进程身份信息经所述用户进程转发至所述集成芯片,所述用户进程采用所述第一随机数解密所述第二进程身份信息。
示例13包括一种身份信息处理方法,所述方法包括:
获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片;
根据所述第一进程身份信息,确定所述集成芯片的运算固件合法。
示例14可包括示例13所述的方法,其中,在所述根据所述第一进程身份信息,确定所述集成芯片的运算固件合法之后,所述方法还包括:
根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的第二进程身份信息;
将所述第二进程身份信息提供给所述用户进程,以用于证明所述用户进程的身份合法。
示例15可包括示例13和/或示例14所述的方法,其中,所述第一进程身份信息还包括进程标识和平台标识,所述第二进程身份信息包括平台身份证书,所述根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的第二进程身份信息包括:
采用所述隐私证书颁发机构的私钥,加密所述集成芯片生成的进程身份公钥、目标运算固件的预加载固件标识、集成芯片标识、用于标记所述目标运算固件与固化运算固件的固件唯一标识、进程标识和平台标识,得到所述平台身份证书。
示例16可包括示例13-示例15一个或多个所述的方法,其中,所述第一进程身份信息包括预加载固件标识和集成芯片标识,所述根据所述第一进程身份信息,确定所述集成芯片的运算固件合法包括:
根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法。
示例17可包括示例13-示例16一个或多个所述的方法,其中,在所述根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法之前,所述方法还包括:
获取进程身份公钥;
采用所述进程身份公钥解密第一进程身份信息,得到预加载固件标识、集成芯片标识和用于标记所述目标运算固件与固化运算固件的固件唯一标识。
示例18可包括示例13-示例17一个或多个所述的方法,其中,所述根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法包括:
根据所述预加载固件标识和集成芯片标识,查找所述隐私证书颁发机构上的固件唯一标识;
比对解密得到的固件唯一标识和查找的固件唯一标识,校验所述目标运算固件和固化运算固件的合法性。
示例19可包括示例13-示例18一个或多个所述的方法,其中,所述方法还包括:
获取集成芯片身份信息;
采用芯片生产私钥验证所述集成芯片身份信息的合法性。
示例20可包括示例13-示例19一个或多个所述的方法,其中,所述集成芯片身份信息和进程标识由所述用户进程采用隐私证书颁发机构的公钥加密后提供给隐私证书颁发机构,所述获取集成芯片身份信息包括:
采用所述隐私证书颁发机构的私钥解密,得到集成芯片身份信息和第一进程标识,
所述方法还包括:
采用所述集成芯片的公钥解密进程身份公钥,得到第二进程标识;
比对所述第一进程标识和第二进程标识,确定所述进程身份公钥和集成芯片身份信息是为同一用户进程生成的。
示例21可包括示例13-示例20一个或多个所述的方法,其中,所述第一进程身份信息包括进程标识,所述方法还包括:
采用所述进程身份公钥解密第一进程身份信息,得到所述预加载固件标识、集成芯片标识和第三进程标识;
比对所述第一进程标识和第三进程标识,以及比对所述集成芯片身份信息和第一进程身份信息中解密得到的预加载固件标识与集成芯片标识,确定所述进程身份公钥和进程身份私钥是由合法的集成芯片为所述进程标识产生的。
示例22包括一种身份信息处理方法,所述方法包括:
将定制信息提供给集成芯片,以根据所述定制信息,确定可重构芯片上预加载的目标运算固件,并根据所述目标运算固件和不可重构芯片的固化运算固件,生成用于验证用户进程的第一进程身份信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;
获取所述集成芯片反馈的第一进程身份信息;
将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
示例23可包括示例22所述的方法,其中,所述定制信息携带有第一随机数,所述方法还包括:
获取所述集成芯片提供的集成芯片身份信息,所述集成芯片身份信息由所述第一随机数加密;
采用所述第一随机数解密所述集成芯片身份信息;
采用所述隐私证书颁发机构的公钥加密所述集成芯片身份信息后提供给隐私证书颁发机构。
示例24可包括示例22和/或示例23所述的方法,其中,所述方法还包括:
采用集成芯片的公钥解密进程身份公钥后得到所述第一随机数;
利用所述进程身份公钥解密第一进程身份信息得到第一集成芯片标识;
解密所述集成芯片身份信息得到的第二集成芯片标识;
若所述第一集成芯片标识与第二集成芯片标识一致,则将所述第一进程身份信息、进程身份公钥、进程标识、平台标识、集成芯片身份信息提供给隐私证书颁发机构。
示例25包括一种数据处理方法,包括:
第一计算设备确定目标处理器,其中,所述目标处理器包括第一子处理器和第二子处理器;
所述第一计算设备获取对应于目标进程的所述目标处理器的元数据;
所述第一计算设备根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件;
所述第一计算设备根据所述目标运算固件和固化运算固件,生成所述目标进程的身份信息,其中,所述身份信息用于进行固化运算固件或目标运算固件的第一验证;
所述第一计算设备发送所述身份信息到第二计算设备。
示例26包括一种数据处理方法,包括:
第二计算设备获取目标进程的身份信息,其中,所述身份信息由第一计算设备确定目标处理器,获取对应于目标进程的所述目标处理器的元数据,根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件,并根据所述目标运算固件和固化运算固件生成;
所述第二计算设备根据所述身份信息,对所述固化运算固件或目标运算固件进行第一验证;
所述第二计算设备根据所述第一验证的结果,确定所述身份信息是否满足预设条件。
示例27包括一种数据处理方法,包括:
确定目标处理器,其中,所述目标处理器包括第一子处理器和第二子处理器,所述目标处理器包括对应于目标进程的元数据;
根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件;
根据所述目标运算固件和固化运算固件,生成所述目标进程的身份信息;
根据所述身份信息,对所述固化运算固件或目标运算固件进行第一验证;
根据所述第一验证的结果,确定所述身份信息是否满足预设条件。
示例28包括一种平台身份密钥和证书的分发装置,包括:
信息获取模块,用于获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息包括进程身份密钥,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片。
合法确定模块,用于根据所述第一进程身份信息,确定所述集成芯片的运算固件合法。
证书生成模块,用于根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的平台身份证书。
证书提供模块,用于将所述平台身份证书提供给所述用户进程,以用于证明所述用户进程的身份合法。
示例29包括一种身份信息处理装置,所述装置包括:
定制信息获取模块,用于获取用户进程对集成芯片的定制信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;
固件确定模块,用于根据所述定制信息,确定所述可重构芯片上预加载的目标运算固件;
第一信息生成模块,用于根据所述目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息;
信息提供模块,用于将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
示例30可包括示例29所述的装置,其中,所述运算固件包括一个或多个运算算法,所述定制信息携带有预加载固件标识,所述预加载固件标识与一个或多个运算算法对应,所述装置还包括:
标识生成模块,用于根据各个运算算法对应的预加载固件标识,生成运算固件的多个运算算法对应的预加载固件标识。
示例31可包括示例29和/或示例30所述的装置,其中,所述定制信息携带有预加载固件标识,所述第一信息生成模块包括:
唯一标识生成子模块,用于生成用于标记所述目标运算固件和所述不可重构芯片的固化运算固件的固件唯一标识;
信息生成子模块,用于根据集成芯片标识、所述预加载固件标识和固件唯一标识,生成第一进程身份信息。
示例32可包括示例29-示例31一个或多个所述的装置,其中,所述定制信息还携带有进程标识和平台标识,所述信息生成子模块包括:
标识加密单元,用于采用集成芯片的私钥加密所述固件唯一标识;
信息加密单元,用于利用所述集成芯片生成的进程身份私钥,加密所述集成芯片生成的进程身份公钥、预加载固件标识、集成芯片标识、加密的固件唯一标识、进程标识和平台标识,得到所述第一进程身份信息。
示例33可包括示例29-示例32一个或多个所述的装置,其中,所述定制信息还携带有第一随机数,所述装置还包括:
第二随机数产生模块,用于在所述根据集成芯片标识、所述目标运算固件的预加载固件标识和固件唯一标识,生成第一进程身份信息之前,产生第二随机数;
公私钥生成模块,用于根据所述第一随机数、第二随机数和进程标识,生成进程身份公钥和进程身份私钥,所述进程身份私钥存储在所述集成芯片上。
示例34可包括示例29-示例33一个或多个所述的装置,其中,所述定制信息采用集成芯片的公钥加密,所述装置还包括:
定制信息解密模块,用于采用所述集成芯片的私钥,解密所述定制信息;
所述公私钥生成模块包括:
公钥生成子模块,用于采用所述集成芯片的私钥加密所述第一随机数、第二随机数和进程标识,生成所述进程身份公钥,并经所述用户进程提供给所述隐私证书颁发机构。
示例35可包括示例29-示例34一个或多个所述的装置,其中,所述装置还包括:
集成芯片身份信息生成模块,用于基于所述集成芯片标识、集成芯片的公钥和芯片生产者标识,生成集成芯片身份信息,并经所述用户进程提供给隐私证书颁发机构。
示例36可包括示例29-示例35一个或多个所述的装置,其中,所述集成芯片身份信息由所述第一随机数加密,所述进程标识以及所述第一随机数解密得到的集成芯片身份信息,由所述用户进程采用隐私证书颁发机构的公钥加密后提供给隐私证书颁发机构。
示例37可包括示例29-示例37一个或多个所述的装置,其中,当所述用户进程采用所述集成芯片的公钥解密进程身份公钥后得到了第一随机数,且利用所述进程身份公钥解密第一进程身份信息得到的第一集成芯片标识与解密所述集成芯片身份信息得到的第二集成芯片标识一致时,所述第一进程身份信息、进程身份公钥、进程标识、平台标识、集成芯片身份信息,由所述用户进程提供给隐私证书颁发机构。
示例38可包括示例29-示例37一个或多个所述的装置,其中,所述定制信息包括第一随机数,所述装置还包括:
平台信息获取模块,用于获取所述集成芯片的公钥加密的第二进程身份信息;
平台信息解密模块,用于采用所述集成芯片的私钥解密所述第二进程身份信息;
平台信息加密模块,用于采用所述第一随机数加密所述第二进程身份信息,并提供给所述用户进程。
示例39可包括示例29-示例38一个或多个所述的装置,其中,所述加密的第二进程身份信息经所述用户进程转发至所述集成芯片,所述用户进程采用所述第一随机数解密所述第二进程身份信息。
示例40包括一种身份信息处理装置,所述装置包括:
进程信息获取模块,用于获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片;
合法确定模块,用于根据所述第一进程身份信息,确定所述集成芯片的运算固件合法。
示例41可包括示例40所述的装置,其中,所述装置还包括:
第二信息生成模块,用于在所述根据所述第一进程身份信息,确定所述集成芯片的运算固件合法之后,根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的第二进程身份信息;
第二信息提供模块,用于将所述第二进程身份信息提供给所述用户进程,以用于证明所述用户进程的身份合法。
示例42可包括示例40和/或示例41所述的装置,其中,所述第一进程身份信息还包括进程标识和平台标识,所述第二信息生成模块包括:
证书生成子模块,采用所述隐私证书颁发机构的私钥,加密所述集成芯片生成的进程身份公钥、目标运算固件的预加载固件标识、集成芯片标识、用于标记所述目标运算固件与固化运算固件的固件唯一标识、进程标识和平台标识,得到所述平台身份证书。
示例43可包括示例40-示例42一个或多个所述的装置,其中,所述第一进程身份信息包括预加载固件标识和集成芯片标识,所述合法确定模块包括:
合法确定子模块,用于根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法。
示例44可包括示例40-示例43一个或多个所述的装置,其中,所述装置还包括:
公钥获取模块,用于在所述根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法之前,获取进程身份公钥;
进程信息解密模块,用于采用所述进程身份公钥解密第一进程身份信息,得到预加载固件标识、集成芯片标识和用于标记所述目标运算固件与固化运算固件的固件唯一标识。
示例45可包括示例40-示例44一个或多个所述的装置,其中,所述合法确定子模块包括:
标识查找单元,用于根据所述预加载固件标识和集成芯片标识,查找所述隐私证书颁发机构上的固件唯一标识;
合法性校验单元,用于比对解密得到的固件唯一标识和查找的固件唯一标识,校验所述目标运算固件和固化运算固件的合法性。
示例46可包括示例40-示例45一个或多个所述的装置,其中,所述装置还包括:
芯片信息获取模块,用于获取集成芯片身份信息;
合法性验证模块,用于采用芯片生产私钥验证所述集成芯片身份信息的合法性。
示例47可包括示例40-示例46一个或多个所述的装置,其中,所述集成芯片身份信息和进程标识由所述用户进程采用隐私证书颁发机构的公钥加密后提供给隐私证书颁发机构,所述芯片信息获取模块包括:
解密子模块,用于采用所述隐私证书颁发机构的私钥解密,得到集成芯片身份信息和第一进程标识,
所述装置还包括:
公钥解密模块,用于采用所述集成芯片的公钥解密进程身份公钥,得到第二进程标识;
第一标识比对模块,用于比对所述第一进程标识和第二进程标识,确定所述进程身份公钥和集成芯片身份信息是为同一用户进程生成的。
示例48可包括示例40-示例47一个或多个所述的装置,其中,所述第一进程身份信息包括进程标识,所述装置还包括:
信息解密模块,用于采用所述进程身份公钥解密第一进程身份信息,得到所述预加载固件标识、集成芯片标识和第三进程标识;
第二标识比对模块,用于比对所述第一进程标识和第三进程标识,以及比对所述集成芯片身份信息和第一进程身份信息中解密得到的预加载固件标识与集成芯片标识,确定所述进程身份公钥和进程身份私钥是由合法的集成芯片为所述进程标识产生的。
示例49包括一种身份信息处理装置,所述装置包括:
定制信息提供模块,用于将定制信息提供给集成芯片,以根据所述定制信息,确定可重构芯片上预加载的目标运算固件,并根据所述目标运算固件和不可重构芯片的固化运算固件,生成用于验证用户进程的第一进程身份信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;
信息获取模块,用于获取所述集成芯片反馈的第一进程身份信息;
信息提供模块,用于将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
示例50可包括示例49所述的装置,其中,所述定制信息携带有第一随机数,所述装置还包括:
信息获取模块,用于获取所述集成芯片提供的集成芯片身份信息,所述集成芯片身份信息由所述第一随机数加密;
信息解密模块,用于采用所述第一随机数解密所述集成芯片身份信息;
身份信息加密模块,用于采用所述隐私证书颁发机构的公钥加密所述集成芯片身份信息后提供给隐私证书颁发机构。
示例51可包括示例49和/或示例50所述的装置,其中,所述装置还包括:
第一解密模块,用于采用集成芯片的公钥解密进程身份公钥后得到所述第一随机数;
第二解密模块,用于利用所述进程身份公钥解密第一进程身份信息得到第一集成芯片标识;
第三解密模块,用于解密所述集成芯片身份信息得到的第二集成芯片标识;
提供模块,用于若所述第一集成芯片标识与第二集成芯片标识一致,则将所述第一进程身份信息、进程身份公钥、进程标识、平台标识、集成芯片身份信息提供给隐私证书颁发机构。
示例52包括一种数据处理装置,包括:
处理器确定模块,用于第一计算设备确定目标处理器。其中,所述目标处理器包括第一子处理器和第二子处理器;
元数据获取模块,用于所述第一计算设备获取对应于目标进程的所述目标处理器的元数据。
固件确定模块,用于所述第一计算设备根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件。
信息生成模块,用于所述第一计算设备根据所述目标运算固件和固化运算固件,生成所述目标进程的身份信息。其中,所述身份信息用于进行固化运算固件或目标运算固件的第一验证;
信息发送模块,用于所述第一计算设备发送所述身份信息到第二计算设备。
示例53包括一种数据处理装置,包括:
信息获取模块,用于第二计算设备获取目标进程的身份信息。其中,所述身份信息由第一计算设备确定目标处理器,获取对应于目标进程的所述目标处理器的元数据,根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件,并根据所述目标运算固件和固化运算固件生成;
验证模块,用于所述第二计算设备根据所述身份信息,对所述固化运算固件或目标运算固件进行第一验证。
确定模块,用于所述第二计算设备根据所述第一验证的结果,确定所述身份信息是否满足预设条件。
示例54包括一种数据处理装置,包括:
处理器确定模块,用于确定目标处理器,其中,所述目标处理器包括第一子处理器和第二子处理器,所述目标处理器包括对应于目标进程的元数据;
固件确定模块,用于根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件。
信息生成模块,用于根据所述目标运算固件和固化运算固件,生成所述目标进程的身份信息。
验证模块,用于根据所述身份信息,对所述固化运算固件或目标运算固件进行第一验证。
确定模块,用于根据所述第一验证的结果,确定所述身份信息是否满足预设条件。
示例55包括一种身份信息的分发系统,其所述分发系统包括集成芯片、用户进程和隐私证书颁发机构;
所述集成芯片,用于获取用户进程对集成芯片的定制信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;根据所述定制信息,确定所述可重构芯片上预加载的目标运算固件;根据所述目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息;将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法;
所述隐私证书颁发机构,用于获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片;根据所述第一进程身份信息,确定所述集成芯片的运算固件合法;
所述用户进程,用于将定制信息提供给集成芯片,以根据所述定制信息,确定可重构芯片上预加载的目标运算固件,并根据所述目标运算固件和不可重构芯片的固化运算固件,生成用于验证用户进程的第一进程身份信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;获取所述集成芯片反馈的第一进程身份信息;将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
示例56、一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如示例1-27一个或多个的方法。
示例57、一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如示例1-27一个或多个的方法。
虽然某些实施例是以说明和描述为目的的,各种各样的替代、和/或、等效的实施方案、或计算来达到同样的目的实施例示出和描述的实现,不脱离本申请的实施范围。本申请旨在覆盖本文讨论的实施例的任何修改或变化。因此,显然本文描述的实施例仅由权利要求和它们的等同物来限定。

Claims (30)

1.一种身份密钥和证书的分发方法,应用于隐私证书颁发机构,其特征在于,包括:
获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息包括进程身份密钥,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片;
根据所述第一进程身份信息,确定所述集成芯片的运算固件合法;
根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的平台身份证书;
将所述平台身份证书提供给所述用户进程,以用于证明所述用户进程的身份合法。
2.一种身份信息处理方法,其特征在于,所述方法包括:
获取用户进程对集成芯片的定制信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;
根据所述定制信息,确定所述可重构芯片上预加载的目标运算固件;
根据所述目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息;
将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
3.根据权利要求2所述的方法,其特征在于,所述运算固件包括一个或多个运算算法,所述定制信息携带有预加载固件标识,所述预加载固件标识与一个或多个运算算法对应,所述方法还包括:
根据各个运算算法对应的预加载固件标识,生成运算固件的多个运算算法对应的预加载固件标识。
4.根据权利要求2所述的方法,其特征在于,所述定制信息携带有预加载固件标识,所述根据所述目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息包括:
生成用于标记所述目标运算固件和所述不可重构芯片的固化运算固件的固件唯一标识;
根据集成芯片标识、所述预加载固件标识和固件唯一标识,生成第一进程身份信息。
5.根据权利要求4所述的方法,其特征在于,所述定制信息还携带有进程标识和平台标识,所述根据集成芯片标识、所述目标运算固件的预加载固件标识和固件唯一标识,生成第一进程身份信息包括:
采用集成芯片的私钥加密所述固件唯一标识;
利用所述集成芯片生成的进程身份私钥,加密所述集成芯片生成的进程身份公钥、预加载固件标识、集成芯片标识、加密的固件唯一标识、进程标识和平台标识,得到所述第一进程身份信息。
6.根据权利要求5所述的方法,其特征在于,所述定制信息还携带有第一随机数,在所述根据集成芯片标识、所述目标运算固件的预加载固件标识和固件唯一标识,生成第一进程身份信息之前,所述方法还包括:
产生第二随机数;
根据所述第一随机数、第二随机数和进程标识,生成进程身份公钥和进程身份私钥,所述进程身份私钥存储在所述集成芯片上。
7.根据权利要求6所述的方法,其特征在于,所述定制信息采用集成芯片的公钥加密,所述方法还包括:
采用所述集成芯片的私钥,解密所述定制信息;
所述根据所述第一随机数、第二随机数和进程标识,生成进程身份公钥包括:
采用所述集成芯片的私钥加密所述第一随机数、第二随机数和进程标识,生成所述进程身份公钥,并经所述用户进程提供给所述隐私证书颁发机构。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
基于所述集成芯片标识、集成芯片的公钥和芯片生产者标识,生成集成芯片身份信息,并经所述用户进程提供给隐私证书颁发机构。
9.根据权利要求8所述的方法,其特征在于,所述集成芯片身份信息由所述第一随机数加密,所述进程标识以及所述第一随机数解密得到的集成芯片身份信息,由所述用户进程采用隐私证书颁发机构的公钥加密后提供给隐私证书颁发机构。
10.根据权利要求9所述的方法,其特征在于,当所述用户进程采用所述集成芯片的公钥解密进程身份公钥后得到了第一随机数,且利用所述进程身份公钥解密第一进程身份信息得到的第一集成芯片标识与解密所述集成芯片身份信息得到的第二集成芯片标识一致时,所述第一进程身份信息、进程身份公钥、进程标识、平台标识、集成芯片身份信息,由所述用户进程提供给隐私证书颁发机构。
11.根据权利要求2所述的方法,其特征在于,所述定制信息包括第一随机数,所述方法还包括:
获取所述集成芯片的公钥加密的第二进程身份信息;
采用所述集成芯片的私钥解密所述第二进程身份信息;
采用所述第一随机数加密所述第二进程身份信息,并提供给所述用户进程。
12.根据权利要求11所述的方法,其特征在于,所述加密的第二进程身份信息经所述用户进程转发至所述集成芯片,所述用户进程采用所述第一随机数解密所述第二进程身份信息。
13.一种身份信息处理方法,其特征在于,所述方法包括:
获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片;
根据所述第一进程身份信息,确定所述集成芯片的运算固件合法。
14.根据权利要求13所述的方法,其特征在于,在所述根据所述第一进程身份信息,确定所述集成芯片的运算固件合法之后,所述方法还包括:
根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的第二进程身份信息;
将所述第二进程身份信息提供给所述用户进程,以用于证明所述用户进程的身份合法。
15.根据权利要求14所述的方法,其特征在于,所述第一进程身份信息还包括进程标识和平台标识,所述第二进程身份信息包括平台身份证书,所述根据所述目标运算固件和固化运算固件,生成用于验证所述用户进程的第二进程身份信息包括:
采用隐私证书颁发机构的私钥,加密所述集成芯片生成的进程身份公钥、目标运算固件的预加载固件标识、集成芯片标识、用于标记所述目标运算固件与固化运算固件的固件唯一标识、进程标识和平台标识,得到所述平台身份证书。
16.根据权利要求13所述的方法,其特征在于,所述第一进程身份信息包括预加载固件标识和集成芯片标识,所述根据所述第一进程身份信息,确定所述集成芯片的运算固件合法包括:
根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法。
17.根据权利要求16所述的方法,其特征在于,在所述根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法之前,所述方法还包括:
获取进程身份公钥;
采用所述进程身份公钥解密第一进程身份信息,得到预加载固件标识、集成芯片标识和用于标记所述目标运算固件与固化运算固件的固件唯一标识。
18.根据权利要求17所述的方法,其特征在于,所述根据所述预加载固件标识和集成芯片标识,确定所述目标运算固件和固化运算固件合法包括:
根据所述预加载固件标识和集成芯片标识,查找隐私证书颁发机构上的固件唯一标识;
比对解密得到的固件唯一标识和查找的固件唯一标识,校验所述目标运算固件和固化运算固件的合法性。
19.根据权利要求17所述的方法,其特征在于,所述方法还包括:
获取集成芯片身份信息;
采用芯片生产私钥验证所述集成芯片身份信息的合法性。
20.根据权利要求19所述的方法,其特征在于,所述集成芯片身份信息和进程标识由所述用户进程采用隐私证书颁发机构的公钥加密后提供给隐私证书颁发机构,所述获取集成芯片身份信息包括:
采用所述隐私证书颁发机构的私钥解密,得到集成芯片身份信息和第一进程标识,
所述方法还包括:
采用集成芯片的公钥解密进程身份公钥,得到第二进程标识;
比对所述第一进程标识和第二进程标识,确定所述进程身份公钥和集成芯片身份信息是为同一用户进程生成的。
21.根据权利要求20所述的方法,其特征在于,所述第一进程身份信息包括进程标识,所述方法还包括:
采用所述进程身份公钥解密第一进程身份信息,得到所述预加载固件标识、集成芯片标识和第三进程标识;
比对所述第一进程标识和第三进程标识,以及比对所述集成芯片身份信息和第一进程身份信息中解密得到的预加载固件标识与集成芯片标识,确定所述进程身份公钥和进程身份私钥是由合法的集成芯片为所述进程标识产生的。
22.一种身份信息处理方法,其特征在于,所述方法包括:
将定制信息提供给集成芯片,以根据所述定制信息,确定可重构芯片上预加载的目标运算固件,并根据所述目标运算固件和不可重构芯片的固化运算固件,生成用于验证用户进程的第一进程身份信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;
获取所述集成芯片反馈的第一进程身份信息;
将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
23.根据权利要求22所述的方法,其特征在于,所述定制信息携带有第一随机数,所述方法还包括:
获取所述集成芯片提供的集成芯片身份信息,所述集成芯片身份信息由所述第一随机数加密;
采用所述第一随机数解密所述集成芯片身份信息;
采用所述隐私证书颁发机构的公钥加密所述集成芯片身份信息后提供给隐私证书颁发机构。
24.根据权利要求23所述的方法,其特征在于,所述方法还包括:
采用集成芯片的公钥解密进程身份公钥后得到所述第一随机数;
利用所述进程身份公钥解密第一进程身份信息得到第一集成芯片标识;
解密所述集成芯片身份信息得到的第二集成芯片标识;
若所述第一集成芯片标识与第二集成芯片标识一致,则将所述第一进程身份信息、进程身份公钥、进程标识、平台标识、集成芯片身份信息提供给隐私证书颁发机构。
25.一种数据处理方法,其特征在于,包括:
第一计算设备确定目标处理器,其中,所述目标处理器包括第一子处理器和第二子处理器;
所述第一计算设备获取对应于目标进程的所述目标处理器的元数据;
所述第一计算设备根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件;
所述第一计算设备根据所述目标运算固件和固化运算固件,生成所述目标进程的身份信息,其中,所述身份信息用于进行固化运算固件或目标运算固件的第一验证;
所述第一计算设备发送所述身份信息到第二计算设备。
26.一种数据处理方法,其特征在于,包括:
第二计算设备获取目标进程的身份信息,其中,所述身份信息由第一计算设备确定目标处理器,获取对应于目标进程的所述目标处理器的元数据,根据所述元数据,确定第一子处理器的固化运算固件和第二子处理器的目标运算固件,并根据所述目标运算固件和固化运算固件生成;
所述第二计算设备根据所述身份信息,对所述固化运算固件或目标运算固件进行第一验证;
所述第二计算设备根据所述第一验证的结果,确定所述身份信息是否满足预设条件。
27.一种数据处理方法,其特征在于,包括:
确定目标处理器,其中,所述目标处理器包括第一子处理器和第二子处理器,所述目标处理器包括对应于目标进程的元数据;
根据所述元数据,确定所述第一子处理器的固化运算固件和所述第二子处理器的目标运算固件;
根据所述目标运算固件和固化运算固件,生成所述目标进程的身份信息;
根据所述身份信息,对所述固化运算固件或目标运算固件进行第一验证;
根据所述第一验证的结果,确定所述身份信息是否满足预设条件。
28.一种身份信息的分发系统,其特征在于,所述分发系统包括集成芯片、用户进程和隐私证书颁发机构;
所述集成芯片,用于获取用户进程对集成芯片的定制信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;根据所述定制信息,确定所述可重构芯片上预加载的目标运算固件;根据所述目标运算固件和所述不可重构芯片的固化运算固件,生成用于验证所述用户进程的第一进程身份信息;将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法;
所述隐私证书颁发机构,用于获取第一进程身份信息,其中,所述第一进程身份信息用于验证用户进程,所述第一进程身份信息根据可重构芯片上预加载的目标运算固件和不可重构芯片的固化运算固件生成,所述不可重构芯片和可重构芯片组成集成芯片;根据所述第一进程身份信息,确定所述集成芯片的运算固件合法;
所述用户进程,用于将定制信息提供给集成芯片,以根据所述定制信息,确定可重构芯片上预加载的目标运算固件,并根据所述目标运算固件和不可重构芯片的固化运算固件,生成用于验证用户进程的第一进程身份信息,其中,所述集成芯片包括不可重构芯片和可重构芯片;获取所述集成芯片反馈的第一进程身份信息;将所述第一进程身份信息提供给隐私证书颁发机构进行运算固件的固件合法验证,以根据固件合法验证结果确定所述用户进程的身份合法。
29.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-27一个或多个的方法。
30.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-27一个或多个的方法。
CN201810707787.3A 2018-07-02 2018-07-02 密钥和证书分发方法、身份信息处理方法、设备、介质 Active CN110677250B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201810707787.3A CN110677250B (zh) 2018-07-02 2018-07-02 密钥和证书分发方法、身份信息处理方法、设备、介质
US16/457,650 US11347857B2 (en) 2018-07-02 2019-06-28 Key and certificate distribution method, identity information processing method, device, and medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810707787.3A CN110677250B (zh) 2018-07-02 2018-07-02 密钥和证书分发方法、身份信息处理方法、设备、介质

Publications (2)

Publication Number Publication Date
CN110677250A CN110677250A (zh) 2020-01-10
CN110677250B true CN110677250B (zh) 2022-09-02

Family

ID=69008160

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810707787.3A Active CN110677250B (zh) 2018-07-02 2018-07-02 密钥和证书分发方法、身份信息处理方法、设备、介质

Country Status (2)

Country Link
US (1) US11347857B2 (zh)
CN (1) CN110677250B (zh)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11238181B2 (en) * 2018-02-14 2022-02-01 Roku, Inc. Production console authorization permissions
CN110795742B (zh) 2018-08-02 2023-05-02 阿里巴巴集团控股有限公司 高速密码运算的度量处理方法、装置、存储介质及处理器
CN110795774B (zh) 2018-08-02 2023-04-11 阿里巴巴集团控股有限公司 基于可信高速加密卡的度量方法、设备和系统
CN110874478B (zh) 2018-08-29 2023-05-02 阿里巴巴集团控股有限公司 密钥处理方法及装置、存储介质和处理器
WO2019120322A2 (en) * 2019-03-29 2019-06-27 Alibaba Group Holding Limited Managing cryptographic keys based on identity information
JP6871411B2 (ja) 2019-03-29 2021-05-12 アドバンスド ニュー テクノロジーズ カンパニー リミテッド 暗号動作のセキュアな実行
AU2019204723C1 (en) 2019-03-29 2021-10-28 Advanced New Technologies Co., Ltd. Cryptographic key management based on identity information
CA3058012C (en) * 2019-03-29 2021-05-11 Alibaba Group Holding Limited Cryptography chip with identity verification
US10997297B1 (en) * 2019-12-06 2021-05-04 Western Digital Technologies, Inc. Validating firmware for data storage devices
CN111475799A (zh) * 2020-04-02 2020-07-31 北京云迹科技有限公司 一种用于机器人身份认证的装置和机器人
CN111556072B (zh) * 2020-05-12 2020-12-08 深圳市汇智通咨询有限公司 一种改进索引加密算法与系统
CN112165396A (zh) * 2020-09-14 2021-01-01 北京中电华大电子设计有限责任公司 一种安全固件更新的方法
CN112765684B (zh) * 2021-04-12 2021-07-30 腾讯科技(深圳)有限公司 区块链节点终端管理方法、装置、设备及存储介质
CN113364583B (zh) * 2021-05-31 2024-05-21 山东中科好靓基础软件技术有限公司 一种基于去中心化网络的远程验证方法
US11907373B2 (en) * 2021-10-22 2024-02-20 Dell Products, L.P. Validation of fixed firmware profiles for information handling systems
CN116090031B (zh) * 2023-03-08 2023-06-20 上海泰矽微电子有限公司 一种基于芯片uuid的固件加密方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1553349A (zh) * 2003-05-29 2004-12-08 联想(北京)有限公司 一种安全芯片及基于该芯片的信息安全处理设备和方法
CN201051744Y (zh) * 2007-04-20 2008-04-23 深圳兆日技术有限公司 一种安全的加密网卡装置
CN102438013A (zh) * 2010-11-18 2012-05-02 微软公司 基于硬件的证书分发
CN103856478A (zh) * 2012-12-06 2014-06-11 阿里巴巴集团控股有限公司 一种可信网络的证书签发、认证方法及相应的设备
CN108234115A (zh) * 2016-12-15 2018-06-29 阿里巴巴集团控股有限公司 信息安全的验证方法、装置和系统

Family Cites Families (138)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2264819C (en) 1996-09-04 2010-03-23 Intertrust Technologies Corp. Trusted infrastructure support systems, methods and techniques for secure electronic commerce, electronic transactions, commerce process control and automation, distributed computing, and rights management
US7716098B2 (en) 1997-07-15 2010-05-11 Silverbrook Research Pty Ltd. Method and apparatus for reducing optical emissions in an integrated circuit
US6978018B2 (en) 2001-09-28 2005-12-20 Intel Corporation Technique to support co-location and certification of executable content from a pre-boot space into an operating system runtime environment
US20030188146A1 (en) 2002-03-28 2003-10-02 Hale Robert P. Method of ordered execution of firmware modules in a pre-memory execution environment
US8100323B1 (en) 2002-12-26 2012-01-24 Diebold Self-Service Systems Division Of Diebold, Incorporated Apparatus and method for verifying components of an ATM
US7082509B2 (en) 2003-02-06 2006-07-25 Intel Corporation Method and system for allocating memory during system boot to reduce operating system memory resource consumption at run-time
US20040190721A1 (en) 2003-03-24 2004-09-30 Microsoft Corporation Renewable conditional access system
US7533274B2 (en) 2003-11-13 2009-05-12 International Business Machines Corporation Reducing the boot time of a TCPA based computing system when the core root of trust measurement is embedded in the boot block code
US7930503B2 (en) 2004-01-26 2011-04-19 Hewlett-Packard Development Company, L.P. Method and apparatus for operating multiple security modules
MXPA06009235A (es) 2004-02-13 2007-02-02 Ivi Smart Technologies Inc Metodo y aparato para procesar criptograficamente datos.
US7318150B2 (en) 2004-02-25 2008-01-08 Intel Corporation System and method to support platform firmware as a trusted process
JP2005275467A (ja) 2004-03-22 2005-10-06 Sharp Corp バックアップ装置、被バックアップ装置、バックアップ媒介装置、バックアップシステム、バックアップ方法、データ復元方法、プログラム及び記録媒体
US20050251857A1 (en) 2004-05-03 2005-11-10 International Business Machines Corporation Method and device for verifying the security of a computing platform
US7364087B2 (en) 2004-06-24 2008-04-29 Intel Corporation Virtual firmware smart card
US20060010326A1 (en) 2004-07-08 2006-01-12 International Business Machines Corporation Method for extending the CRTM in a trusted platform
EP1617587A1 (en) 2004-07-12 2006-01-18 International Business Machines Corporation Method, system and computer program product for privacy-protecting integrity attestation of computing platform
US20060059369A1 (en) 2004-09-10 2006-03-16 International Business Machines Corporation Circuit chip for cryptographic processing having a secure interface to an external memory
US7653819B2 (en) 2004-10-01 2010-01-26 Lenovo Singapore Pte Ltd. Scalable paging of platform configuration registers
US7725703B2 (en) 2005-01-07 2010-05-25 Microsoft Corporation Systems and methods for securely booting a computer with a trusted processing module
JP2007004522A (ja) 2005-06-24 2007-01-11 Renesas Technology Corp 記憶装置
US8899487B2 (en) 2005-08-18 2014-12-02 Ivi Holdings Ltd. Biometric identity verification system and method
US7627893B2 (en) 2005-10-20 2009-12-01 International Business Machines Corporation Method and system for dynamic adjustment of computer security based on network activity of users
US7734934B2 (en) 2005-12-20 2010-06-08 Intel Corporation Seamless data migration
TWI314686B (en) 2005-12-20 2009-09-11 Power Quotient Int Co Ltd Low profile storage device
US9277295B2 (en) 2006-06-16 2016-03-01 Cisco Technology, Inc. Securing media content using interchangeable encryption key
US8560863B2 (en) 2006-06-27 2013-10-15 Intel Corporation Systems and techniques for datapath security in a system-on-a-chip device
GB0615015D0 (en) 2006-07-28 2006-09-06 Hewlett Packard Development Co Secure use of user secrets on a computing platform
US8522018B2 (en) 2006-08-18 2013-08-27 Fujitsu Limited Method and system for implementing a mobile trusted platform module
US9794247B2 (en) 2006-08-22 2017-10-17 Stmicroelectronics, Inc. Method to prevent cloning of electronic components using public key infrastructure secure hardware device
US20080072071A1 (en) 2006-09-14 2008-03-20 Seagate Technology Llc Hard disc streaming cryptographic operations with embedded authentication
US20080126779A1 (en) 2006-09-19 2008-05-29 Ned Smith Methods and apparatus to perform secure boot
US8510859B2 (en) 2006-09-26 2013-08-13 Intel Corporation Methods and arrangements to launch trusted, co-existing environments
US7747024B2 (en) 2007-02-09 2010-06-29 Lenovo (Singapore) Pte. Ltd. System and method for generalized authentication
US20080244746A1 (en) 2007-03-28 2008-10-02 Rozas Carlos V Run-time remeasurement on a trusted platform
US9026771B2 (en) 2007-04-27 2015-05-05 Hewlett-Packard Development Company, L.P. Secure computer system update
US9165175B2 (en) 2007-09-07 2015-10-20 Apple Inc. Finger sensing apparatus performing secure software update and associated methods
US20090070593A1 (en) 2007-09-07 2009-03-12 Authentec, Inc. Finger sensing apparatus using unique session key and associated methods
US20090144046A1 (en) 2007-09-28 2009-06-04 Rothman Michael A Method to encapsulate an option rom for operation in multiple firmware and platform architectures
US8156322B2 (en) 2007-11-12 2012-04-10 Micron Technology, Inc. Critical security parameter generation and exchange system and method for smart-card memory modules
JP5085287B2 (ja) 2007-11-21 2012-11-28 株式会社リコー 情報処理装置、正当性検証方法および正当性検証プログラム
US20090172378A1 (en) 2007-12-28 2009-07-02 Kazmierczak Gregory J Method and system for using a trusted disk drive and alternate master boot record for integrity services during the boot of a computing platform
US8442960B1 (en) 2008-06-30 2013-05-14 Symantec Corporation Systems and methods for process self-elevation
CN101344904B (zh) 2008-09-02 2010-09-01 中国科学院软件研究所 一种动态度量方法
US20100082960A1 (en) 2008-09-30 2010-04-01 Steve Grobman Protected network boot of operating system
US8767957B1 (en) 2008-10-29 2014-07-01 Purdue Research Foundation Communication encryption method and device
US8738932B2 (en) 2009-01-16 2014-05-27 Teleputers, Llc System and method for processor-based security
US8229115B2 (en) 2009-07-15 2012-07-24 Cisco Technology, Inc. Use of copyright text in key derivation function
CN101997834B (zh) 2009-08-10 2015-01-07 北京多思科技发展有限公司 支持高性能安全协议的装置
CA2713787C (en) 2009-08-28 2016-06-07 Research In Motion Limited Protocol for protecting content protection data
CN105468982A (zh) 2010-04-12 2016-04-06 交互数字专利控股公司 无线网络设备及将其完整性确认绑定至其它功能的方法
US9118666B2 (en) 2010-06-30 2015-08-25 Google Inc. Computing device integrity verification
US20120151223A1 (en) 2010-09-20 2012-06-14 Conde Marques Ricardo Nuno De Pinho Coelho Method for securing a computing device with a trusted platform module-tpm
US8560845B2 (en) * 2011-01-14 2013-10-15 Apple Inc. System and method for tamper-resistant booting
US20120201379A1 (en) 2011-02-04 2012-08-09 Motorola Solutions, Inc. Method and apparatus for protecting security parameters used by a security module
US9100188B2 (en) 2011-04-18 2015-08-04 Bank Of America Corporation Hardware-based root of trust for cloud environments
JP5779434B2 (ja) 2011-07-15 2015-09-16 株式会社ソシオネクスト セキュリティ装置及びセキュリティシステム
WO2013012436A1 (en) 2011-07-18 2013-01-24 Hewlett-Packard Development Company, L.P. Reset vectors for boot instructions
WO2013036223A1 (en) 2011-09-07 2013-03-14 Intel Corporation Verifying firmware integrity of a device
WO2013059782A1 (en) 2011-10-21 2013-04-25 Insyde Software Corp. Secure option rom control
TWI546692B (zh) * 2011-10-27 2016-08-21 電子戰協會公司 包括與已知電路板資訊有關之電路測試及驗證等特徵的裝置鑑別之系統及方法
CN104160405B (zh) 2011-12-31 2017-08-15 英特尔公司 用于信任配置的安全设备环境
US9130837B2 (en) 2012-05-22 2015-09-08 Cisco Technology, Inc. System and method for enabling unconfigured devices to join an autonomic network in a secure manner
US8931082B2 (en) 2012-08-17 2015-01-06 Broadcom Corporation Multi-security-CPU system
US9038179B2 (en) 2012-08-28 2015-05-19 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Secure code verification enforcement in a trusted computing device
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US9223982B2 (en) 2013-03-01 2015-12-29 Intel Corporation Continuation of trust for platform boot firmware
JP6055561B2 (ja) 2013-03-06 2016-12-27 インテル・コーポレーション 仮想マシンの測定のための信頼の起点
US9070251B2 (en) * 2013-03-08 2015-06-30 Igt Multi-tiered static chain of trust
CA3099685C (en) 2013-03-29 2022-09-20 Ologn Technologies Ag Systems, methods and apparatuses for secure storage of data using a security-enhancing chip
CN104158791A (zh) 2013-05-14 2014-11-19 北大方正集团有限公司 一种分布式环境下的安全通信认证方法及系统
US9208105B2 (en) 2013-05-30 2015-12-08 Dell Products, Lp System and method for intercept of UEFI block I/O protocol services for BIOS based hard drive encryption support
GB2514771B (en) 2013-06-03 2015-10-21 Broadcom Corp Methods of securely changing the root key of a chip, and related electronic devices and chips
US9294282B1 (en) 2013-07-01 2016-03-22 Amazon Technologies, Inc. Cryptographically verified repeatable virtualized computing
US9953166B2 (en) 2013-07-04 2018-04-24 Microsemi SoC Corporation Method for securely booting target processor in target system using a secure root of trust to verify a returned message authentication code recreated by the target processor
US10298545B2 (en) 2013-09-12 2019-05-21 International Business Machines Corporation Secure processing environment for protecting sensitive information
US9881162B2 (en) 2013-09-12 2018-01-30 Insyde Software Corp. System and method for auto-enrolling option ROMS in a UEFI secure boot database
US9690602B2 (en) * 2013-10-07 2017-06-27 American Megatrends, Inc. Techniques for programming and verifying backplane controller chip firmware
US10305893B2 (en) 2013-12-27 2019-05-28 Trapezoid, Inc. System and method for hardware-based trust control management
EP3771138B1 (en) 2014-03-31 2021-09-22 Irdeto B.V. Cryptographic chip and related methods
JP2016025616A (ja) 2014-07-24 2016-02-08 レノボ・シンガポール・プライベート・リミテッド ディスク・ドライブが記憶するデータを保護する方法および携帯式コンピュータ
US20160065375A1 (en) 2014-08-28 2016-03-03 Qualcomm Incorporated Dynamic integrity validation of a high level operating system
US9246690B1 (en) 2014-09-03 2016-01-26 Amazon Technologies, Inc. Secure execution environment services
US9594927B2 (en) 2014-09-10 2017-03-14 Intel Corporation Providing a trusted execution environment using a processor
US9851985B2 (en) 2014-10-01 2017-12-26 Dell Products L.P. Platform configuration management using a basic input/output system (BIOS)
WO2016081867A1 (en) 2014-11-20 2016-05-26 Interdigital Patent Holdings, Inc. Providing security to computing systems
US9893882B1 (en) 2014-12-12 2018-02-13 Juniper Networks, Inc. Apparatus, system, and method for detecting device tampering
US9965632B2 (en) 2014-12-22 2018-05-08 Capital One Services, Llc System and methods for secure firmware validation
CN104778141B (zh) 2015-02-10 2017-12-26 浙江大学 一种基于控制系统可信架构的tpcm模块及可信检测方法
US10127389B1 (en) 2015-03-30 2018-11-13 Amazon Technologies, Inc. Performing operations on intelligent storage with hardened interfaces
US10469477B2 (en) 2015-03-31 2019-11-05 Amazon Technologies, Inc. Key export techniques
US9703973B2 (en) 2015-04-28 2017-07-11 International Business Machines Corporation Customer load of field programmable gate arrays
KR20160138917A (ko) 2015-05-26 2016-12-06 크루셜텍 (주) 지문 검출 장치를 포함하는 스마트카드 및 이의 구동 방법
US9530002B1 (en) 2015-08-26 2016-12-27 Christopher Luis Hamlin Verifying the integrity of a computing platform
US11026628B1 (en) 2015-09-30 2021-06-08 Apple Inc. Systems and methods of spatial filtering for measuring electrical signals
GB201522244D0 (en) 2015-12-16 2016-01-27 Nagravision Sa Hardware integrity check
CN106027235B (zh) 2016-05-13 2019-05-17 北京三未信安科技发展有限公司 一种pci密码卡和海量密钥密码运算方法及系统
US10102090B2 (en) 2016-05-16 2018-10-16 International Business Machines Corporation Non-destructive analysis to determine use history of processor
US10331911B2 (en) 2016-06-29 2019-06-25 International Business Machines Corporation Secure crypto module including security layers
CN106230584B (zh) 2016-07-21 2019-09-03 北京可信华泰信息技术有限公司 一种可信平台控制模块的密钥迁移方法
CN106372487A (zh) 2016-08-30 2017-02-01 孙鸿鹏 一种服务器操作系统可信增强方法及系统
US11496285B2 (en) 2016-09-08 2022-11-08 International Business Machines Corporation Cryptographic side channel resistance using permutation networks
CN106656502B (zh) 2016-09-26 2020-09-01 上海兆芯集成电路有限公司 计算机系统及安全执行的方法
US10256981B2 (en) 2016-09-27 2019-04-09 International Business Machines Corporation Secure logging for host security module
CN107959656B (zh) 2016-10-14 2021-08-31 阿里巴巴集团控股有限公司 数据安全保障系统及方法、装置
CN108011716B (zh) 2016-10-31 2021-04-16 航天信息股份有限公司 一种密码装置及实现方法
US10621351B2 (en) * 2016-11-01 2020-04-14 Raptor Engineering, LLC. Systems and methods for tamper-resistant verification of firmware with a trusted platform module
US20190268155A1 (en) 2016-12-02 2019-08-29 Huawei Technologies Co., Ltd. Method for Ensuring Terminal Security and Device
US10374885B2 (en) 2016-12-13 2019-08-06 Amazon Technologies, Inc. Reconfigurable server including a reconfigurable adapter device
US10298553B2 (en) 2017-03-31 2019-05-21 Sprint Communications Company L.P. Hardware trusted data communications over system-on-chip (SOC) architectures
US10819501B2 (en) 2017-05-23 2020-10-27 Centurylink Intellectual Property Llc Validating one or more blockchains without ledger limitations
US10838902B2 (en) 2017-06-23 2020-11-17 Facebook, Inc. Apparatus, system, and method for performing hardware acceleration via expansion cards
US11153289B2 (en) 2017-07-28 2021-10-19 Alibaba Group Holding Limited Secure communication acceleration using a System-on-Chip (SoC) architecture
CN107480986B (zh) 2017-08-14 2019-08-09 飞天诚信科技股份有限公司 一种利用硬件实现数字货币钱包的方法及硬件钱包
US10891366B1 (en) 2017-08-18 2021-01-12 Jonetix Corporation Secure hardware signature and related methods and applications
JP6953947B2 (ja) * 2017-09-22 2021-10-27 コニカミノルタ株式会社 情報処理装置、ファームウェア更新プログラム
US10666430B2 (en) 2017-09-29 2020-05-26 Intel Corporation System and techniques for encrypting chip-to-chip communication links
US20190108332A1 (en) 2017-10-06 2019-04-11 Elwha Llc Taint injection and tracking
CN109714302B (zh) 2017-10-25 2022-06-14 阿里巴巴集团控股有限公司 算法的卸载方法、装置和系统
KR20190057687A (ko) 2017-11-20 2019-05-29 삼성전자주식회사 챗봇 변경을 위한 위한 전자 장치 및 이의 제어 방법
KR102434444B1 (ko) * 2017-11-29 2022-08-19 한국전자통신연구원 가상 트러스트 컴퓨팅 베이스를 이용한 기기 보안성 검증 방법 및 장치
US10706179B2 (en) 2018-01-10 2020-07-07 General Electric Company Secure provisioning of secrets into MPSoC devices using untrusted third-party systems
CN108243009A (zh) 2018-01-18 2018-07-03 郑州云海信息技术有限公司 一种基于fpga和密码芯片的tpcm板卡
US11373176B2 (en) 2018-02-22 2022-06-28 Wells Fargo Bank, N.A. Systems and methods for federated identity management
US11347861B2 (en) 2018-04-10 2022-05-31 Raytheon Company Controlling security state of commercial off the shelf (COTS) system
CN110414244B (zh) 2018-04-28 2023-07-21 阿里巴巴集团控股有限公司 加密卡、电子设备及加密服务方法
US11714910B2 (en) * 2018-06-13 2023-08-01 Hewlett Packard Enterprise Development Lp Measuring integrity of computing system
TWI684887B (zh) 2018-06-26 2020-02-11 和碩聯合科技股份有限公司 自動驗證方法與系統
CN110737897B (zh) 2018-07-19 2023-05-02 阿里巴巴集团控股有限公司 基于可信卡的启动度量的方法和系统
CN110795742B (zh) 2018-08-02 2023-05-02 阿里巴巴集团控股有限公司 高速密码运算的度量处理方法、装置、存储介质及处理器
CN110795774B (zh) 2018-08-02 2023-04-11 阿里巴巴集团控股有限公司 基于可信高速加密卡的度量方法、设备和系统
WO2020037612A1 (zh) 2018-08-23 2020-02-27 深圳市汇顶科技股份有限公司 嵌入式程序的安全引导方法、装置、设备及存储介质
CN110874478B (zh) 2018-08-29 2023-05-02 阿里巴巴集团控股有限公司 密钥处理方法及装置、存储介质和处理器
CN110875819B (zh) 2018-08-29 2022-09-06 阿里巴巴集团控股有限公司 密码运算处理方法、装置及系统
CN110874494B (zh) 2018-08-29 2023-05-02 阿里巴巴集团控股有限公司 密码运算处理方法、装置、系统及度量信任链构建方法
CN110971398A (zh) 2018-09-28 2020-04-07 阿里巴巴集团控股有限公司 数据处理方法、装置及系统
CN109614799B (zh) 2018-11-28 2021-03-16 北京可信华泰信息技术有限公司 一种信息权鉴方法
CN109784070A (zh) 2018-12-26 2019-05-21 北京可信华泰信息技术有限公司 一种可信硬件结构
US11409872B2 (en) * 2019-06-28 2022-08-09 Seagate Technology Llc Confirming a version of firmware loaded to a processor-based device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1553349A (zh) * 2003-05-29 2004-12-08 联想(北京)有限公司 一种安全芯片及基于该芯片的信息安全处理设备和方法
CN201051744Y (zh) * 2007-04-20 2008-04-23 深圳兆日技术有限公司 一种安全的加密网卡装置
CN102438013A (zh) * 2010-11-18 2012-05-02 微软公司 基于硬件的证书分发
CN103856478A (zh) * 2012-12-06 2014-06-11 阿里巴巴集团控股有限公司 一种可信网络的证书签发、认证方法及相应的设备
CN108234115A (zh) * 2016-12-15 2018-06-29 阿里巴巴集团控股有限公司 信息安全的验证方法、装置和系统

Also Published As

Publication number Publication date
CN110677250A (zh) 2020-01-10
US20200004967A1 (en) 2020-01-02
US11347857B2 (en) 2022-05-31

Similar Documents

Publication Publication Date Title
CN110677250B (zh) 密钥和证书分发方法、身份信息处理方法、设备、介质
TWI709056B (zh) 韌體升級方法及裝置
US11088846B2 (en) Key rotating trees with split counters for efficient hardware replay protection
CN107750363B (zh) 保护与硬件加速器的通信以增加工作流安全性
US10116645B1 (en) Controlling use of encryption keys
US20190334713A1 (en) Encryption Card, Electronic Device, and Encryption Service Method
US8953790B2 (en) Secure generation of a device root key in the field
WO2016058487A1 (zh) 一种信息处理方法及装置
US11423179B2 (en) Integrated-chip-based data processing method, computing device, and storage media
TWI793215B (zh) 資料加密、解密方法及裝置
US10650168B2 (en) Data processing device
CN109862560B (zh) 一种蓝牙认证方法、装置、设备和介质
US11917084B2 (en) Cryptographic validation of media integrity
US8914874B2 (en) Communication channel claim dependent security precautions
CN108924144B (zh) 数据获取方法、数据获取系统、终端及诊断工具
KR102476081B1 (ko) Lisp을 이용한 통신에서 상호 인증을 수행하는 방법, 이를 수행하기 위한 장치 및 시스템
US20240134966A1 (en) Methods and Means for Attestation of a Platform
WO2022269544A1 (en) Secure asset storage system and wearable device
WO2022207104A1 (en) Methods and means for attestation of a platform

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40020902

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant