TW202001657A - 基於整合晶片的資料處理方法、電腦設備、儲存媒體 - Google Patents
基於整合晶片的資料處理方法、電腦設備、儲存媒體 Download PDFInfo
- Publication number
- TW202001657A TW202001657A TW108109344A TW108109344A TW202001657A TW 202001657 A TW202001657 A TW 202001657A TW 108109344 A TW108109344 A TW 108109344A TW 108109344 A TW108109344 A TW 108109344A TW 202001657 A TW202001657 A TW 202001657A
- Authority
- TW
- Taiwan
- Prior art keywords
- chip
- key
- trusted computing
- computing
- platform
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/76—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in application-specific integrated circuits [ASIC] or field-programmable devices, e.g. field-programmable gate arrays [FPGA] or programmable logic devices [PLD]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Storage Device Security (AREA)
Abstract
本發明實施例公開了一種基於整合晶片的資料處理方法。所述方法包括:將可信計算晶片的計算資訊提供給高速加密晶片,基於計算資訊,調用高速加密晶片進行資料加密或可信計算,使得將兩種晶片整合後,可信計算和資料加密這兩種安全計算可以共用統一的計算資訊,相比於整合前各用一套計算資訊來說,減少了相應的硬體成本和管理成本,並且對於資料加密功能來說,可信計算晶片在功能的完整性和可靠性上高於高速加密晶片,由可信計算晶片儲存計算資訊可以提高資料加密的安全性,而對於可信計算功能來說,增加了對於高速加密晶片的計算能力的利用,提高了可信計算的計算效率。
Description
本發明關於資料處理技術領域,具體關於一種基於整合晶片的資料處理方法、一種電腦設備、一種電腦可讀儲存媒體。
可信計算(Trusted Computing)是在計算和通訊系統中廣泛使用的,基於硬體安全模組支援下的可信計算平臺,以提供系統整體的安全性。可信計算晶片是為證據提供完整性和真實性保障的安全晶片,一般透過實體方式被強綁定到計算平臺。
資料加密(Data Encryption)是透過加密演算法和加密密鑰將明文轉變為密文,而解密則是透過解密演算法和解密密鑰將密文恢復為明文。高速加密晶片是高性能基礎密碼設備,能夠適用於各類密碼運算,滿足資料的簽名/驗證,加密/解密等要求,一般也透過實體方式被強綁定到計算平臺。
申請人經研究發現,為了能保證業務承載的設備的平臺及系統安全,保證業務關鍵敏感資料(例如,密鑰、憑證等明文)的安全性,保證業務敏感資料的計算,尤其是關鍵資訊的計算安全、計算能力及儲存能力,需要可信計算晶片與高速加密晶片兩種晶片支援功能實現,但是目前,可信計算晶片與高速加密晶片各有一套密鑰體系,密鑰管理的硬體成本和管理成本較高。
鑒於上述問題,提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的基於整合晶片的資料處理方法,以及電腦設備、電腦可讀儲存媒體。
依據本發明的一個態樣,提供了一種基於整合晶片的資料處理方法,所述整合晶片包括可信計算晶片和高速加密晶片,所述方法包括:
將所述可信計算晶片的計算資訊提供給所述高速加密晶片,所述計算資訊包括可信計算和資料加密的密鑰資訊和密碼運算資訊;
基於所述計算資訊,調用所述高速加密晶片進行資料加密或可信計算。
可選地,所述可信計算晶片和高速加密晶片基於電路進行資料通訊。
可選地,所述計算資訊包括度量密鑰,所述可信計算包括:
根據所述度量密鑰校驗目標演算法的完整性和/或演算法執行對象的合法性。
可選地,所述度量密鑰包括平臺度量密鑰,所述根據所述度量密鑰校驗目標演算法的完整性和/或演算法執行對象的合法性包括:
對系統或平臺進行完整性度量之前,根據所述平臺度量密鑰校驗完整性度量代碼的完整性以及演算法執行對象的合法性。
可選地,所述度量密鑰包括用戶度量密鑰,所述根據所述度量密鑰校驗目標演算法的完整性和/或演算法執行對象的合法性包括:
在執行用戶密碼運算之前,根據所述用戶度量密鑰校驗用戶密碼運算的運算演算法的完整性。
可選地,所述可信計算晶片上固化儲存有至少一種第一密碼演算法,所述方法還包括:
選取與整合晶片的當前模式匹配的至少一種第一密碼演算法。
可選地,所述可信計算晶片上固化儲存有可信計算系統韌體,所述可信計算包括:
採用所述可信計算系統韌體排程和執行可信計算任務,對密碼運算進行完整性校驗。
可選地,所述計算資訊包括至少一個用於用戶應用密鑰的主密鑰,所述主密鑰固化儲存在可信計算晶片上,所述主密鑰用於保護用戶應用密鑰;
所述將所述可信計算晶片的計算資訊提供給所述高速加密晶片包括:
所述高速加密晶片從所述可信計算晶片上獲取所述主密鑰;
所述資料加密包括:
根據所獲取的主密鑰,對所述用戶應用密鑰進行加密處理。
可選地,所述計算資訊包括高速加密運算韌體,所述高速加密運算韌體固化儲存在可信計算晶片上,所述高速加密運算韌體包括至少一種第二密碼演算法;
所述將所述可信計算晶片的計算資訊提供給所述高速加密晶片包括:
所述高速加密晶片從所述可信計算晶片上獲取所述第二密碼演算法;
所述資料加密包括:
採用所述高速加密運算韌體的至少一種第二密碼演算法進行資料加密。
可選地,所述計算資訊包括系統安全運算韌體,所述將所述可信計算晶片的計算資訊提供給所述高速加密晶片包括:
從所述可信計算晶片上獲取所述系統安全運算韌體,並固化儲存在所述高速加密晶片上;
所述可信計算包括:
在所述高速加密晶片上執行系統的安全運算。
可選地,所述計算資訊包括用戶策略韌體,所述用戶策略韌體用於制定應用的密碼演算法需求,所述將所述可信計算晶片的計算資訊提供給所述高速加密晶片包括:
從所述可信計算晶片上獲取所述用戶策略韌體,並儲存在所述高速加密晶片上;
所述方法還包括:
根據用戶需求資料重構所述高速加密晶片上的用戶策略韌體。
可選地,所述計算資訊包括運算密鑰,所述運算密鑰用於保護用戶資料,所述將所述可信計算晶片的計算資訊提供給所述高速加密晶片包括:
從所述可信計算晶片上獲取所述運算密鑰,並儲存在所述高速加密晶片上;
所述資料加密或可信計算包括:
根據所述運算密鑰,進行資料加密或可信計算。
可選地,所述高速加密晶片儲存有用戶資料,所述方法還包括:
根據用戶需求資料重構所述高速加密晶片上的用戶資料。
可選地,所述可信計算包括高速計算和低速計算,所述可信計算包括:
調用所述可信計算晶片進行用於平臺安全和/或系統安全的低速計算;
和/或,調用所述高速加密晶片進行高速計算。
可選地,所述密鑰資訊包括平臺憑證、平臺公開金鑰、平臺私密金鑰、平臺身份憑證、平臺身份公開金鑰、平臺身份私密金鑰、儲存密鑰、平臺度量密鑰、用戶度量密鑰、主密鑰和運算密鑰。
可選地,所述整合晶片包括儲存所述密鑰資訊的平臺密碼儲存結構、認證密碼儲存結構、儲存密碼儲存結構和度量密碼儲存結構,其中,所述平臺密碼儲存結構中有平臺憑證、平臺公開金鑰和平臺私密金鑰,所述認證密碼儲存結構中有平臺身份憑證、平臺身份公開金鑰和平臺身份私密金鑰,所述儲存密碼儲存結構中有儲存密鑰,所述度量密碼儲存結構中有平臺度量密鑰和用戶度量密鑰。
可選地,所述用戶度量密鑰儲存在所述可信計算晶片的非揮發儲存空間,或者所述高速加密晶片的靜態儲存區;所述主密鑰儲存在所述可信計算晶片的非揮發儲存空間,或者經所述儲存密鑰加密後儲存在所述整合晶片之外的儲存空間;所述運算密鑰儲存在所述可信計算晶片的非揮發儲存空間,或者所述高速加密晶片的靜態儲存區,或者經所述主密鑰加密後儲存在所述整合晶片之外的儲存空間。
相應地,根據本發明的另一態樣,還提供了一種電腦設備,包括記憶體、處理器及儲存在記憶體上並可在處理器上運行的電腦程式,所述處理器執行所述電腦程式時實現如上述一個或多個的方法。
相應地,根據本發明的另一態樣,還提供了一種電腦可讀儲存媒體,其上儲存有電腦程式,該程序被處理器執行時實現如上述一個或多個的方法。
依據本發明實施例,透過將可信計算晶片的計算資訊提供給高速加密晶片,基於計算資訊,調用高速加密晶片進行資料加密或可信計算,使得將兩種晶片整合後,可信計算和資料加密這兩種安全計算可以共用統一的計算資訊,相比於整合前各用一套計算資訊來說,減少了相應的硬體成本和管理成本,並且對於資料加密功能來說,可信計算晶片在功能的完整性和可靠性上高於高速加密晶片,由可信計算晶片儲存計算資訊可以提高資料加密的安全性,而對於可信計算功能來說,增加了對於高速加密晶片的計算能力的利用,提高了可信計算的計算效率。
進一步,由於可信計算晶片和高速加密晶片基於電路進行資料通訊,兩個晶片之間相互傳資料屬內部傳輸,不需透過映射主機Host的記憶體進行,提高了資料的傳輸速度。
進一步,透過新增度量密鑰,在平臺及系統的完整性度量過程中,因有密鑰參與,保證整個度量過程中的安全性。
進一步,透過調用可信計算晶片進行用於平臺安全和/或系統安全的低速計算,和/或,調用高速加密晶片進行高速計算,提供了整體的計算效率和計算安全。
上述說明僅是本發明技術方案的概述,為了能夠更清楚瞭解本發明的技術手段,而可依照說明書的內容予以實施,並且為了讓本發明的上述和其它目的、特徵和優點能夠更明顯易懂,以下特舉本發明的實施方式。
下面將參照附圖更詳細地描述本公開的範例性實施例。雖然附圖中顯示了本公開的範例性實施例,然而應當理解,可以以各種形式實現本公開而不應被這裡闡述的實施例所限制。相反,提供這些實施例是為了能夠更透徹地理解本公開,並且能夠將本公開的範圍完整的傳達給本領域的技術人員。
為使本領域技術人員更好地理解本發明,以下對本發明關於的概念進行說明:
整合晶片包括可信計算晶片和高速加密晶片,是將可信計算晶片與高速加密晶片整合在一個整合晶片裡,來實現從開機到作業系統核心載入前的平臺可信引導功能,對業務敏感資料加解密的計算安全,以及兩設備互動,保障彼此的平臺及身份的合法性。具體可以採用任意適用的整合方式,本發明實施例對此不做限制。
整合後,可信計算晶片部分不僅可以進行可信計算,也可以進行資料加密,高速加密晶片部分也不僅可以進行資料加密,也可以進行可信計算。一般來說,可信計算晶片在功能的完整性和可靠性上優於高速加密晶片,所以將計算資訊儲存在可信計算晶片上可以提高安全性,而高速加密晶片一般計算能力由於優於可信計算晶片,可以更快的完成資料加密或可信計算,即便不優於可信計算晶片,但增加了高速加密晶片的計算能力,也可以提高可信計算的效率。
例如,如圖1所示的可信高速資料加密卡(Trusted High-Speed Data Encryption Card,THSDEC)的結構方塊圖,即整合晶片,包括可信計算晶片((Trusted Platform Computing Module/Trusted Platform Module,TPCM/TPM)和高速加密卡(High-Speed Data Encryption Card,HSDEC),參照《GB/T 29827—2013資訊安全技術—可信計算規範—可信平臺主板功能介面》標準要求,以及TPCM/TPM的可信晶片設計,將可信計算晶片與高速加密卡整合在一張PCIe卡裡。如圖2所示的可信高速資料加密卡THSDEC與主板通用部件關係的示意圖,可信高速資料加密卡THSDEC與可信軟體基TSB(或可信軟體堆層TSS)透過PCIE或SPI匯流排進行命令和資料互動,透過使用多路多工器對GPIO/SPI/I2C進行多工的方式,實現對BMC/BIOS的度量以及相關控制器的連接。
可信計算和資料加密都屬安全計算,無論是資料加密,還是可信計算都需要基於計算資訊進行。計算資訊包括可信計算和資料加密的密鑰資訊和密碼運算資訊。其中,密鑰資訊包括各種密碼運算關於到的密鑰,例如,度量密鑰、主密鑰、運算密鑰等,或者其他任意適用的密鑰資訊,本發明實施例對此不做限制。密碼運算資訊包括各種密碼運算關於到的演算法、運件及資料,例如,密碼演算法、可信計算系統韌體、高速加密運算韌體、系統安全運算韌體、用戶策略韌體、用戶資料等,或者其他任意適用的密碼運算資訊,本發明實施例對此不做限制。
在本發明的一種實施例中,可選地,可信計算晶片和高速加密晶片基於電路進行資料通訊。例如,如圖1所示的可信高速資料加密卡的結構方塊圖,可以透過板卡內部的電路直接通訊,不需透過映射主機Host的記憶體進行,提高了資料的傳輸速度。
在本發明的一種實施例中,可選地,計算資訊包括度量密鑰,度量密鑰用於校驗目標演算法的完整性和/或演算法執行對象的合法性,也就是說,度量密鑰用來保證相應韌體的度量是合法的人採用了爭取的hash(雜湊)函數在度量,例如,度量主體利用HMAC(Hash-based Message Authentication Code,雜湊訊息認證碼)函數進行度量。可信計算晶片在平臺及系統的完整性度量過程中,因無密鑰參與,無法保證整個度量過程中的安全,即沒法保證是合法的授權者(即演算法執行對象),在用指定的度量演算法(即目標演算法)在度量,因此,本發明增加度量密鑰,保證了整個度量過程中的安全性。目標演算法包括完整性度量代碼和用戶密碼運算,或者其他任意適用的演算法,本發明實施例對此不做限制。演算法執行對象包括系統或平臺的當前用戶,或者其他任意適用的執行演算法的對象,本發明實施例對此不做限制。
例如,如圖3所示的可信計算晶片的結構方塊圖,可信計算晶片主要由主計算區、密碼計算區、儲存區組成。其中主計算區包括CPU及記憶體,主要負責對密碼計算能力及儲存能力要求不高,但安全性要求很高的密碼運算以外的通用計算。其中儲存區包括度量根(即度量密鑰)/儲存根/報告根儲存區,該儲存區中儲存有度量密鑰。
在本發明的一種實施例中,可選地,度量密鑰包括平臺度量密鑰,具體用於在對系統或平臺進行完整性度量之前,校驗完整性度量代碼的完整性以及演算法執行對象的合法性。完整性度量代碼用於度量系統或平臺的完整性,具體可以包括任意適用的演算法,本發明實施例對此不做限制。
在本發明的一種實施例中,可選地,度量密鑰包括用戶度量密鑰,具體用於在執行用戶密碼運算之前,校驗用戶密碼運算的運算演算法的完整性。用戶密碼運算包括涉及到用戶密碼的相關運算,具體可以包括任意適用的運算,本發明實施例對此不做限制。
在本發明的一種實施例中,可選地,計算資訊包括至少一個用於用戶應用密鑰的主密鑰,具體可以使用主密鑰對用戶應用密鑰進行加密處理,以保護用戶應用密鑰。主密鑰固化儲存在可信計算晶片上,相比於儲存在高速加密晶片上,提高了主密鑰的儲存安全。
在本發明的一種實施例中,可選地,計算資訊包括運算密鑰,運算密鑰用於保護用戶資料、尤其是用戶敏感資料,運算密鑰可以儲存在可信計算晶片的非揮發儲存空間,也可以儲存在高速加密晶片的靜態儲存區,也可以使用主密鑰加密後,儲存在整合晶片之外的儲存空間。為了在高速加密晶片上進行可信計算或資料加密,可以從可信計算晶片獲取運算密鑰後,固化儲存在高速加密晶片上,以便高速加密晶片進行資料加密或可信計算。
在本發明的一種實施例中,可選地,可信計算晶片上固化儲存有至少一種第一密碼演算法,第一密碼演算法包括不同種類密碼演算法,主要負責密碼計算能力及儲存功能要求不高的密碼運算,具體可以包括任意適用的演算法,本發明實施例對此不做限制。第一密碼演算法一般是固化儲存的,也可以提前定制演算法,或者為整合晶片設計不同的模式,不同的模式匹配至少一種演算法,以使得在進行可信計算或資料加密時按照模式動態選取第一密碼演算法。
例如,如圖3所示的可信計算晶片的密碼計算區包括不同種類密碼演算法的引擎(即第一密碼運算),例如SM2(公開金鑰密碼引擎)、SM3(雜湊演算法引擎)、SM4(對稱密碼引擎)、RSA(隨機數引擎)、AES(國際對稱演算法引擎)等,主要負責密碼計算能力及儲存能力要求不高的密碼運算。
在本發明的一種實施例中,可選地,密鑰資訊包括平臺憑證、平臺公開金鑰、平臺私密金鑰、平臺身份憑證、平臺身份公開金鑰、平臺身份私密金鑰、儲存密鑰、平臺度量密鑰、用戶度量密鑰、主密鑰和運算密鑰。
可信高速資料加密卡THSDEC(即整合晶片)包括的密鑰資訊可以如表1所示:
在本發明的一種實施例中,可選地,整合晶片包括儲存所述密鑰資訊的平臺密碼儲存結構、認證密碼儲存結構、儲存密碼儲存結構和度量密碼儲存結構,其中,所述平臺密碼儲存結構中有平臺憑證、平臺公開金鑰和平臺私密金鑰,所述認證密碼儲存結構中有平臺身份憑證、平臺身份公開金鑰和平臺身份私密金鑰,所述儲存密碼儲存結構中有儲存密鑰,所述度量密碼儲存結構中有平臺度量密鑰和用戶度量密鑰。
例如,如圖4所示的可信高速資料加密卡的密鑰層次結構的示意圖,THSDEC的KMS(Key Management Service,密鑰管理服務)分為了平臺密碼層、認證密碼層、儲存密碼層、度量密碼層等,其中平臺密碼層包括平臺憑證、平臺公開金鑰、平臺私密金鑰,認證密碼層包括平臺身份憑證、平臺身份公開金鑰、平臺身份私密金鑰,儲存密碼層包括儲存密鑰,度量密碼層包括平臺度量根密鑰(即平臺度量密鑰)和用戶運算度量密鑰(即用戶度量密鑰),即度量密鑰。
可信高速資料加密卡THSDEC使用了四個持久性(persistent)密鑰層結構來支援不同的實例,如圖4所示。它們有獨立的存取授權控制(授權密碼和策略),單獨的管理員以及略微不同的操作方法:平臺密碼層結構(Platform Hierarchy)(即平臺密碼儲存結構)、儲存密碼層結構(Storage Hierarchy)(即儲存密碼儲存結構)、認證密碼層結構(Endorsement Hierarchy)(即認證密碼儲存結構)、度量密鑰密碼層結構(即度量密碼儲存結構)。另外空密碼層結構(Null Hierarchy)不同於持久性密鑰層,授權密鑰為空,策略也為空,同時重啟後清空。
授權句柄(標識對象或項目的標識符)存取控制:
平臺密碼層結構句柄TPM_RH_Platform,提供給平臺OEM廠商使用,通常是由BIOS分配,向上不可見。平臺密碼層包括了平臺憑證、平臺公開私密金鑰對、一個平臺有唯一一對平臺公私對。平臺憑證包含了TPM/TPCM屬性相關資訊,例如TPM_id||HSDEC_id,TPM-HSDEC_Public-key等等,其格式符合X.509憑證標準。
儲存密碼層結構句柄TPM_RH_OWNER,授權密鑰owner password,提供給平臺擁有者、IT運維部門或者業務方使用。落在業務方使用的即是該儲存密碼層結構,不同的業務方可以在該層次下創建一個屬自己的主密鑰(SRK,storage root key),也稱之為primary storage key,用來生成和保護業務密鑰。
認證密碼層結構句柄TPM_RH_ENDORSEMENT,授權密鑰endorse password,主要用作平臺認證。認證密碼層包括平臺身份憑證、平臺身份公私對,一個平臺有多對平臺身份公私對。
度量密碼層,包括平臺度量密鑰及用戶運算度量密鑰(即用戶度量密鑰)。其中平臺度量密鑰用來參與驗證平臺及系統的完整性;用戶度量密鑰用來參與驗證用戶在密碼運算過程中,用來驗證所載入密碼運算相關韌體的完整性。
在本發明的一種實施例中,可選地,可信計算晶片上固化儲存有可信計算系統韌體,可信計算系統韌體用於排程和執行可信計算任務,對密碼運算進行完整性校驗。例如,如圖3所示,可信計算晶片的儲存區包括晶片系統韌體儲存區,可信計算產品的組成包括可信計算晶片、可信計算系統韌體、可信計算支援軟體及輔助工具。可信計算系統韌體實際就是可信計算晶片的片內作業系統,具體負責主動度量控制等任務的排程和執行,因此,晶片系統韌體儲存區存放可信計算系統韌體。
在本發明的一種實施例中,可選地,計算資訊包括高速加密運算韌體,高速加密運算韌體用於排程和執行資料加密任務,對資料進行加密。高速加密運算韌體包括至少一種第二密碼演算法,第二密碼演算法用於進行資料加密,具體可以包括任意適用的演算法,本發明實施例對此不做限制。高速加密運算韌體還可以包括介面、時序、狀態機、快取等。高速加密運算韌體固化儲存在可信計算晶片上,可以提高韌體的安全性。
例如,如圖3所示,可信計算晶片的儲存區包括FPGA-密碼運算韌體儲存區,即高速加密運算韌體固化儲存在可信計算晶片的儲存區,在高速加密晶片進行資料加密前,由可信計算晶片提供給高速加密晶片使用,以利用第二密碼演算法進行資料加密。可信計算晶片的儲存區還包括平臺配置暫存器PCR(程序控制暫存器),在可信計算晶片中,PCR是一段儲存空間,每個PCR是一個256bit的用於保存和更新雜湊結果的區域,它屬揮發儲存,斷電後丟失內容,PCR的log(日誌)中保存有度量值的提交順序。可信計算晶片一般提供27個或更多的PCR,它和可信報告根以及可信儲存根一起實現平臺身份認證和完整性報告。PCR的設計,必須實現兩個基本功能,首先是保證PCR能被回復成預設值,其次是被度量韌體特徵值與PCR中原有值能進行連接後執行雜湊,再將該結果放回PCR中,即覆蓋了雜湊結果。
在本發明的一種實施例中,可選地,計算資訊包括系統安全運算韌體,系統安全運算韌體包括與系統相關的安全運算的韌體,可以從flash(快取)傳輸來,較佳是從可信計算晶片獲取,之後固化儲存在高速加密晶片的儲存區,由從前的從快取動態載入改為靜態儲存,減少了從外部載入的時間,並且固化存在在高速加密晶片後,由於不可篡改而保證了安全性。
例如,如圖5所示的基於FPGA(Field-Programmable Gate Array,現場可程式化閘陣列)的高速加密晶片的結構方塊圖,FPGA是一種高性能、低功率消耗的可程式化邏輯裝置,可以直接生成電路來進行演算法的計算,可以根據演算法以及演算法指標做針對性的設計,具有非常高的執行和計算效率,適合關注執行效率的在線識別系統。基於FPGA的高速加密晶片主要由主計算區、密碼運算區即儲存區組成。其中主計算區由內置的FPGA晶片的NIOS軟核處理器、及PCI-E硬核組成,分別實現控制器模組和介面模組功能。其中儲存區包括系統韌體靜態儲存區,該區只可讀不可寫,系統安全運算韌體固化儲存在該區上。
在本發明的一種實施例中,可選地,計算資訊包括用戶策略韌體,用戶策略韌體用於制定應用的密碼演算法需求,可以從flash載入,較佳是從可信計算晶片獲取,之後儲存在高速加密晶片上。若高速加密晶片是可重構的,則可以根據用戶需要修改用戶策略韌體,提高制定應用的密碼演算法需求的靈活性。
例如,如圖5所示,基於FPGA的高速加密晶片的儲存區包括用戶策略韌體動態儲存區,其中用戶策略韌體可以根據用戶需求資料進行重構。而密碼計算區主要負責對密碼計算能力及儲存能力要求較高的密碼運算,其密碼演算法可以根據用戶策略韌體動態儲存區的用戶策略韌體制定的實際應用的密碼演算法需求,進行板內動態載入,從可信計算晶片的密碼計算區獲取前,平臺度量密鑰可以驗證其完整性及合法性再載入。
在本發明的一種實施例中,可選地,高速加密晶片儲存有用戶資料,可以從flash載入,儲存在靠近高速加密晶片計算的區域,提高安全性和讀取速度。整合晶片得到用戶需求資料後,高速加密晶片由於是支援可重構的,所以根據用戶需求資料,對高速加密晶片上儲存的用戶資料進行重構。例如,如圖5所示,基於FPGA的高速加密晶片的儲存區包括用戶資料儲存區,用於儲存用戶資料,由於FPGA支援可重構,因此可以隨時根據需要更新用戶資料。
在本發明的一種實施例中,可選地,可信計算包括高速計算和低速計算,將用於平臺安全和/或系統安全的對運算速度要求不高的運算,記為低速運算,相應的,將對運算速度要求高的運算,記為高速運算。具體可以根據實際需要,將可信計算分為任意適用的高速計算和低速計算,本發明實施例對此不做限制。
根據本發明的一個實施例,可信計算晶片與高速加密晶片各有一套密鑰體系,密鑰管理的硬體成本和管理成本較高。如圖6所示的基於整合晶片的資料處理過程的示意圖,本發明提供了一種基於整合晶片的資料處理機制,所述過程可以應用在基於整合晶片的可信計算和資料加密過程中,透過將可信計算晶片的計算資訊提供給高速加密晶片,基於計算資訊,調用高速加密晶片進行資料加密或可信計算,使得將兩種晶片整合後,可信計算和資料加密這兩種安全計算可以共用統一的計算資訊,相比於整合前各用一套計算資訊來說,減少了相應的硬體成本和管理成本,並且對於資料加密功能來說,可信計算晶片在功能的完整性和可靠性上高於高速加密晶片,由可信計算晶片儲存計算資訊可以提高資料加密的安全性,而對於可信計算功能來說,增加了對於高速加密晶片的計算能力的利用,提高了可信計算的計算效率。本發明適用但不局限於上述應用場景。
參照圖7,顯示了根據本發明實施例一的一種基於整合晶片的資料處理方法實施例的流程圖,該方法具體可以包括以下步驟:
步驟101,將所述可信計算晶片的計算資訊提供給所述高速加密晶片。
在本發明實施例中,將可信計算晶片和高速加密晶片整合為一個整合晶片,為了讓可信計算晶片和高速加密晶片共用同一套密鑰體系(包括密鑰資訊及密碼運算資訊),而不必各自有一套密鑰體系,將計算資訊儲存在可信計算晶片上,並在高速加密晶片需要時,提供給高速加密晶片使用。
提供給高速加密晶片的方式可以透過整合晶片內部的資料互動實現,例如,透過整合晶片內部的電路直接通訊,具體可以包括任意適用的方式,本發明實施例對此不做限制。
在本發明實施例中,將可信計算晶片的計算資訊提供給高速加密晶片可以是在整合晶片啟動時,也可以是在利用高速加密晶片進行資料加密或可信計算之前進行,本發明實施例對此不做限制。
步驟102,基於所述計算資訊,調用所述高速加密晶片進行資料加密或可信計算。
在本發明實施例中,原本可信計算晶片可以進行可信計算,而高速加密晶片可以進行資料加密。對於整合晶片要完成的資料加密或可信計算來說,高速加密晶片獲取計算資訊後,調用高速加密晶片可以進行資料加密,由於計算資訊是從可信加密晶片獲取的,提高了資料加密的安全性。而可信計算可以在可信計算晶片進行,也可以調用高速加密晶片進行,具體可以將部分可信計算放在可信計算晶片進行,部分可信計算放在高速加密晶片進行,也可以將全部可信計算放在高速加密晶片進行,以提高可信計算的計算效率。當然,由於計算資訊可以被可信計算晶片和高速加密晶片所共用,導致整合晶片減少了相應的硬體成本和管理成本。
依據本發明實施例,透過將可信計算晶片的計算資訊提供給高速加密晶片,基於計算資訊,調用高速加密晶片進行資料加密或可信計算,使得將兩種晶片整合後,可信計算和資料加密這兩種安全計算可以共用統一的計算資訊,相比於整合前各用一套計算資訊來說,減少了相應的硬體成本和管理成本,並且對於資料加密功能來說,可信計算晶片在功能的完整性和可靠性上高於高速加密晶片,由可信計算晶片儲存計算資訊可以提高資料加密的安全性,而對於可信計算功能來說,增加了對於高速加密晶片的計算能力的利用,提高了可信計算的計算效率。
在本發明的一種實施例中,可選地,可信計算晶片上固化儲存有可信計算系統韌體,可信計算的一種實現方式可以包括:採用可信計算系統韌體排程和執行可信計算任務,對密碼運算進行完整性校驗。
可信計算任務是針對整合晶片的,可信計算系統韌體是在可信計算晶片上工作的,可以排程和執行可信計算任務,對密碼運算進行完整性校驗,具體需要排程可信計算晶片進行,屬由可信計算晶片執行的可信計算。當然也可以將可信計算任務發送到高速加密晶片進行,本發明實施例對此不做限制。
在本發明的一種實施例中,可選地,可信計算包括高速計算和低速計算,可信計算的一種實現方式可以包括:調用可信計算晶片進行用於平臺安全和/或系統安全的低速計算,和/或,調用高速加密晶片進行高速計算。
整合前的體系無法將高速計算和低速計算分離,都是有可信計算晶片進行,由於高速加密晶片的計算速度較快,儲存能力較強,可以將對速度要求高的高速計算放在高速加密晶片進行,將對安全要求高,速度要求低的低速計算放在可信計算晶片,提供了整體的計算效率和計算安全。
參照圖8,顯示了根據本發明實施例二的一種基於整合晶片的資料處理方法實施例的流程圖,該方法具體可以包括以下步驟:
步驟201,從所述可信計算晶片上獲取所述用戶策略韌體,並儲存在所述高速加密晶片上。
在本發明實施例中,計算資訊包括用戶策略韌體。高速加密晶片從可信計算晶片獲取用戶策略韌體,並儲存在高速加密晶片上。
步驟202,根據用戶需求資料重構所述高速加密晶片上的用戶策略韌體。
在本發明實施例中,根據用戶需求資料,對高速加密晶片上的用戶策略韌體進行重構,以根據重構的用戶策略資料制定實際應用的密碼演算法需求,進行板內載入,將密碼演算法載入到高速加密晶片上。
步驟203,所述高速加密晶片從所述可信計算晶片上獲取所述第二密碼演算法。
在本發明實施例中,高速加密晶片還需要從可信計算晶片上獲取第二密碼演算法,可信計算晶片上固化儲存有高速加密運算韌體,具體可以將高速加密運算韌體載入到高速加密晶片,並從中獲取到第二密碼演算法,或者可以直接從可信計算晶片中獲取第二密碼演算法,本發明實施例對此不做限制。
步驟204,從所述可信計算晶片上獲取所述運算密鑰,並儲存在所述高速加密晶片上。
在本發明實施例中,高速加密晶片還需要從可信計算晶片上獲取運算密鑰,並儲存在高速加密晶片上。
步驟205,採用所述高速加密運算韌體的至少一種第二密碼演算法,根據所述運算密鑰,進行資料加密或可信計算。
在本發明實施例中,高速加密晶片在進行資料加密或可信計算時,一種實現方式中,可以採用高速加密運算韌體的至少一種第二密碼演算法,並根據從可信計算晶片獲取的運算密鑰,進行資料加密或可信計算。
在本發明的一種實施例中,可選地,將所述可信計算晶片的計算資訊提供給所述高速加密晶片的一種實現方式可以包括:所述高速加密晶片從所述可信計算晶片上獲取所述主密鑰。之後資料加密可以包括:根據所獲取的主密鑰,對所述用戶應用密鑰進行加密處理。
在本發明的一種實施例中,可選地,將所述可信計算晶片的計算資訊提供給所述高速加密晶片的一種實現方式可以包括:從所述可信計算晶片上獲取所述系統安全運算韌體,並固化儲存在所述高速加密晶片上。之後可信計算可以包括:在所述高速加密晶片上執行系統的安全運算。可信計算包括對系統的安全運算,為了提高安全性和計算效率,將系統安全運算韌體從可信計算晶片獲取來後,進行固化儲存,使得高速加密系統單晶片安全運算韌體不可篡改,並利用高速加密晶片的計算能力進行安全計算。
依據本發明實施例,透過從所述可信計算晶片上獲取所述用戶策略韌體,並儲存在所述高速加密晶片上,根據用戶需求資料重構所述高速加密晶片上的用戶策略韌體,所述高速加密晶片從所述可信計算晶片上獲取所述第二密碼演算法,從所述可信計算晶片上獲取所述運算密鑰,並儲存在所述高速加密晶片上,採用所述高速加密運算韌體的至少一種第二密碼演算法,根據所述運算密鑰,進行資料加密或可信計算,使得將兩種晶片整合後,可信計算和資料加密這兩種安全計算可以共用統一的計算資訊,相比於整合前各用一套計算資訊來說,減少了相應的硬體成本和管理成本,並且對於資料加密功能來說,可信計算晶片在功能的完整性和可靠性上高於高速加密晶片,由可信計算晶片儲存計算資訊可以提高資料加密的安全性,而對於可信計算功能來說,增加了對於高速加密晶片的計算能力的利用,提高了可信計算的計算效率。
參照圖9,顯示了根據本發明實施例三的一種基於整合晶片的資料處理裝置實施例的結構方塊圖,所述整合晶片包括可信計算晶片和高速加密晶片,具體可以包括:
資訊提供模組301,用於將所述可信計算晶片的計算資訊提供給所述高速加密晶片,所述計算資訊包括可信計算和資料加密的密鑰資訊和密碼運算資訊;
計算模組302,用於基於所述計算資訊,調用所述高速加密晶片進行資料加密或可信計算。
在本發明的一種實施例中,可選地,所述可信計算晶片和高速加密晶片基於電路進行資料通訊。
在本發明的一種實施例中,可選地,所述計算資訊包括度量密鑰,所述計算模組包括:
合法校驗子模組,用於根據所述度量密鑰校驗目標演算法的完整性和/或演算法執行對象的合法性。
在本發明的一種實施例中,可選地,所述度量密鑰包括平臺度量密鑰,所述合法校驗子模組包括:
平臺度量校驗單元,用於對系統或平臺進行完整性度量之前,根據所述平臺度量密鑰校驗完整性度量代碼的完整性以及演算法執行對象的合法性。
在本發明的一種實施例中,可選地,所述度量密鑰包括用戶度量密鑰,所述合法校驗子模組包括:
用戶度量校驗單元,用於在執行用戶密碼運算之前,根據所述用戶度量密鑰校驗用戶密碼運算的運算演算法的完整性。
在本發明的一種實施例中,可選地,所述可信計算晶片上固化儲存有至少一種第一密碼演算法,所述裝置還包括:
演算法選取模組,用於選取與整合晶片的當前模式匹配的至少一種第一密碼演算法。
在本發明的一種實施例中,可選地,所述可信計算晶片上固化儲存有可信計算系統韌體,所述計算模組包括:
密碼運算校驗子模組,用於採用所述可信計算系統韌體排程和執行可信計算任務,對密碼運算進行完整性校驗。
在本發明的一種實施例中,可選地,所述計算資訊包括至少一個用於用戶應用密鑰的主密鑰,所述主密鑰固化儲存在可信計算晶片上,所述主密鑰用於保護用戶應用密鑰;
所述資訊提供模組包括:
主密鑰獲取子模組,用於所述高速加密晶片從所述可信計算晶片上獲取所述主密鑰;
所述計算模組包括:
密鑰加密子模組,用於根據所獲取的主密鑰,對所述用戶應用密鑰進行加密處理。
在本發明的一種實施例中,可選地,所述計算資訊包括高速加密運算韌體,所述高速加密運算韌體固化儲存在可信計算晶片上,所述高速加密運算韌體包括至少一種第二密碼演算法;
所述資訊提供模組包括:
第二演算法獲取子模組,用於所述高速加密晶片從所述可信計算晶片上獲取所述第二密碼演算法;
所述計算模組包括:
資料加密子模組,用於採用所述高速加密運算韌體的至少一種第二密碼演算法進行資料加密。
在本發明的一種實施例中,可選地,所述計算資訊包括系統安全運算韌體,所述資訊提供模組包括:
系統安全韌體獲取子模組,用於從所述可信計算晶片上獲取所述系統安全運算韌體,並固化儲存在所述高速加密晶片上;
所述計算模組包括:
安全計算子模組,用於在所述高速加密晶片上執行系統的安全運算。
在本發明的一種實施例中,可選地,所述計算資訊包括用戶策略韌體,所述用戶策略韌體用於制定應用的密碼演算法需求,所述資訊提供模組包括:
策略韌體獲取模組,用於從所述可信計算晶片上獲取所述用戶策略韌體,並儲存在所述高速加密晶片上;
所述裝置還包括:
策略韌體重構模組,用於根據用戶需求資料重構所述高速加密晶片上的用戶策略韌體。
在本發明的一種實施例中,可選地,所述計算資訊包括運算密鑰,所述運算密鑰用於保護用戶資料,所述資訊提供模組包括:
運算密鑰獲取模組,用於從所述可信計算晶片上獲取所述運算密鑰,並儲存在所述高速加密晶片上;
所述計算模組包括:
計算子模組,用於根據所述運算密鑰,進行資料加密或可信計算。
在本發明的一種實施例中,可選地,所述高速加密晶片儲存有用戶資料,所述裝置還包括:
資料重構模組,用於根據用戶需求資料重構所述高速加密晶片上的用戶資料。
在本發明的一種實施例中,可選地,所述可信計算包括高速計算和低速計算,所述計算模組包括:
低速計算子模組,用於調用所述可信計算晶片進行用於平臺安全和/或系統安全的低速計算;
和/或,高速計算子模組,用於調用所述高速加密晶片進行高速計算。
在本發明的一種實施例中,可選地,所述密鑰資訊包括平臺憑證、平臺公開金鑰、平臺私密金鑰、平臺身份憑證、平臺身份公開金鑰、平臺身份私密金鑰、儲存密鑰、平臺度量密鑰、用戶度量密鑰、主密鑰和運算密鑰。
在本發明的一種實施例中,可選地,所述整合晶片包括儲存所述密鑰資訊的平臺密碼儲存結構、認證密碼儲存結構、儲存密碼儲存結構和度量密碼儲存結構,其中,所述平臺密碼儲存結構中有平臺憑證、平臺公開金鑰和平臺私密金鑰,所述認證密碼儲存結構中有平臺身份憑證、平臺身份公開金鑰和平臺身份私密金鑰,所述儲存密碼儲存結構中有儲存密鑰,所述度量密碼儲存結構中有平臺度量密鑰和用戶度量密鑰。
在本發明的一種實施例中,可選地,所述用戶度量密鑰儲存在所述可信計算晶片的非揮發儲存空間,或者所述高速加密晶片的靜態儲存區;所述主密鑰儲存在所述可信計算晶片的非揮發儲存空間,或者經所述儲存密鑰加密後儲存在所述整合晶片之外的儲存空間;所述運算密鑰儲存在所述可信計算晶片的非揮發儲存空間,或者所述高速加密晶片的靜態儲存區,或者經所述主密鑰加密後儲存在所述整合晶片之外的儲存空間。
依據本發明實施例,透過將可信計算晶片的計算資訊提供給高速加密晶片,基於計算資訊,調用高速加密晶片進行資料加密或可信計算,使得將兩種晶片整合後,可信計算和資料加密這兩種安全計算可以共用統一的計算資訊,相比於整合前各用一套計算資訊來說,減少了相應的硬體成本和管理成本,並且對於資料加密功能來說,可信計算晶片在功能的完整性和可靠性上高於高速加密晶片,由可信計算晶片儲存計算資訊可以提高資料加密的安全性,而對於可信計算功能來說,增加了對於高速加密晶片的計算能力的利用,提高了可信計算的計算效率。
對於裝置實施例而言,由於其與方法實施例基本相似,所以描述的比較簡單,相關之處參見方法實施例的部分說明即可。
本公開的實施例可被實現為使用任意適當的硬體,韌體,軟體,或及其任意組合進行想要的配置的系統。圖10示意性地顯示了可被用於實現本公開中所述的各個實施例的範例性系統(或裝置)400。
對於一個實施例,圖10顯示了範例性系統400,該系統具有一個或多個處理器402、被耦接到(一個或多個)處理器402中的至少一個的系統控制模組(晶片組)404、被耦接到系統控制模組404的系統記憶體406、被耦接到系統控制模組404的非揮發性記憶體(NVM)/儲存設備408、被耦接到系統控制模組404的一個或多個輸入/輸出設備410,以及被耦接到系統控制模組406的網路介面412。
處理器402可包括一個或多個單核或多核處理器,處理器402可包括通用處理器或專用處理器(例如圖形處理器、應用處理器、基頻處理器等)的任意組合。在一些實施例中,系統400能夠作為本發明實施例中所述的瀏覽器。
在一些實施例中,系統400可包括具有指令的一個或多個電腦可讀媒體(例如,系統記憶體406或NVM/儲存設備408)以及與該一個或多個電腦可讀媒體相合併被配置為執行指令以實現模組從而執行本公開中所述的動作的一個或多個處理器402。
對於一個實施例,系統控制模組404可包括任意適當的介面控制器,以向(一個或多個)處理器402中的至少一個和/或與系統控制模組404通訊的任意適當的設備或組件提供任意適當的介面。
系統控制模組404可包括記憶體控制器模組,以向系統記憶體406提供介面。記憶體控制器模組可以是硬體模組、軟體模組和/或韌體模組。
系統記憶體406可被用於例如為系統400載入和儲存資料和/或指令。對於一個實施例,系統記憶體406可包括任意適當的揮發性記憶體,例如,適當的DRAM。在一些實施例中,系統記憶體406可包括雙倍資料速率類型四同步動態隨機存取記憶體(DDR4SDRAM) 。
對於一個實施例,系統控制模組404可包括一個或多個輸入/輸出控制器,以向NVM/儲存設備408及(一個或多個)輸入/輸出設備410提供介面。
例如,NVM/儲存設備408可被用於儲存資料和/或指令。NVM/儲存設備408可包括任意適當的非揮發性記憶體(例如,快閃記憶體)和/或可包括任意適當的(一個或多個)非揮發性儲存設備(例如,一個或多個硬碟驅動器(HDD)、一個或多個光碟(CD)驅動器和/或一個或多個數位多功能光碟(DVD)驅動器)。
NVM/儲存設備408可包括在實體上作為系統400被安裝在其上的設備的一部分的儲存資源,或者其可被該設備存取而不必作為該設備的一部分。例如,NVM/儲存設備408可透過網路經由(一個或多個)輸入/輸出設備410進行存取。
(一個或多個)輸入/輸出設備410可為系統400提供介面以與任意其他適當的設備通訊,輸入/輸出設備410可以包括通訊組件、音頻組件、感測器組件等。網路介面412可為系統400提供介面以透過一個或多個網路通訊,系統400可根據一個或多個無線網路標準和/或協定中的任意標準和/或協定來與無線網路的一個或多個組件進行無線通訊,例如存取基於通訊標準的無線網路,如WiFi,2G或3G,或它們的組合進行無線通訊。
對於一個實施例,(一個或多個)處理器402中的至少一個可與系統控制模組404的一個或多個控制器(例如,記憶體控制器模組)的邏輯封裝在一起。對於一個實施例,(一個或多個)處理器402中的至少一個可與系統控制模組404的一個或多個控制器的邏輯封裝在一起以形成系統級封裝(SiP)。對於一個實施例,(一個或多個)處理器402中的至少一個可與系統控制模組404的一個或多個控制器的邏輯整合在同一模具上。對於一個實施例,(一個或多個)處理器402中的至少一個可與系統控制模組404的一個或多個控制器的邏輯整合在同一模具上以形成系統單晶片(SoC)。
在各個實施例中,系統400可以但不限於是:瀏覽器、工作站、桌上計算設備或行動計算設備(例如,膝上型計算設備、手持計算設備、平板電腦、小筆電等)。在各個實施例中,系統400可具有更多或更少的組件和/或不同的架構。例如,在一些實施例中,系統400包括一個或多個相機、鍵盤、液晶顯示器(LCD)螢幕(包括觸控螢幕顯示器)、非揮發性記憶體埠、多個天線、圖形晶片、特殊應用積體電路(ASIC)和揚聲器。
其中,如果顯示器包括觸控面板,顯示屏可以被實現為觸控螢幕顯示器,以接收來自用戶的輸入訊號。觸控面板包括一個或多個觸控感測器以感測觸控、滑動和觸控面板上的手勢。所述觸控感測器可以不僅感測觸控或滑動動作的邊界,而且還檢測與所述觸控或滑動操作相關的持續時間和壓力。
本發明實施例還提供了一種非揮發性可讀儲存媒體,該儲存媒體中儲存有一個或多個模組(program),該一個或多個模組被應用在終端設備時,可以使得該終端設備執行本發明實施例中各方法步驟的指令(instruction)。
在一個範例中提供了一種電腦設備,包括記憶體、處理器及儲存在記憶體上並可在處理器上運行的電腦程式,其中,所述處理器執行所述電腦程式時實現如本發明實施例的方法。
在一個範例中還提供了一種電腦可讀儲存媒體,其上儲存有電腦程式,其中,該電腦程式被處理器執行時實現如本發明實施例的一個或多個的方法。
本發明實施例公開了一種基於整合晶片的資料處理方法和裝置,範例1包括一種基於整合晶片的資料處理方法,所述整合晶片包括可信計算晶片和高速加密晶片,所述方法包括:
將所述可信計算晶片的計算資訊提供給所述高速加密晶片,所述計算資訊包括可信計算和資料加密的密鑰資訊和密碼運算資訊;
基於所述計算資訊,調用所述高速加密晶片進行資料加密或可信計算。
範例2可包括範例1所述的方法,其中,所述可信計算晶片和高速加密晶片基於電路進行資料通訊。
範例3可包括範例1和/或範例2所述的方法,其中,所述計算資訊包括度量密鑰,所述可信計算包括:
根據所述度量密鑰校驗目標演算法的完整性和/或演算法執行對象的合法性。
範例4可包括範例1至範例3一個或多個所述的方法,其中,所述度量密鑰包括平臺度量密鑰,所述根據所述度量密鑰校驗目標演算法的完整性和/或演算法執行對象的合法性包括:
對系統或平臺進行完整性度量之前,根據所述平臺度量密鑰校驗完整性度量代碼的完整性以及演算法執行對象的合法性。
範例5可包括範例1至範例4一個或多個所述的方法,其中,所述度量密鑰包括用戶度量密鑰,所述根據所述度量密鑰校驗目標演算法的完整性和/或演算法執行對象的合法性包括:
在執行用戶密碼運算之前,根據所述用戶度量密鑰校驗用戶密碼運算的運算演算法的完整性。
範例6可包括範例1至範例5一個或多個所述的方法,其中,所述可信計算晶片上固化儲存有至少一種第一密碼演算法,所述方法還包括:
選取與整合晶片的當前模式匹配的至少一種第一密碼演算法。
範例7可包括範例1至範例6一個或多個所述的方法,其中,所述可信計算晶片上固化儲存有可信計算系統韌體,所述可信計算包括:
採用所述可信計算系統韌體排程和執行可信計算任務,對密碼運算進行完整性校驗。
範例8可包括範例1至範例7一個或多個所述的方法,其中,所述計算資訊包括至少一個用於用戶應用密鑰的主密鑰,所述主密鑰固化儲存在可信計算晶片上,所述主密鑰用於保護用戶應用密鑰;
所述將所述可信計算晶片的計算資訊提供給所述高速加密晶片包括:
所述高速加密晶片從所述可信計算晶片上獲取所述主密鑰;
所述資料加密包括:
根據所獲取的主密鑰,對所述用戶應用密鑰進行加密處理。
範例9可包括範例1至範例8一個或多個所述的方法,其中,所述計算資訊包括高速加密運算韌體,所述高速加密運算韌體固化儲存在可信計算晶片上,所述高速加密運算韌體包括至少一種第二密碼演算法;
所述將所述可信計算晶片的計算資訊提供給所述高速加密晶片包括:
所述高速加密晶片從所述可信計算晶片上獲取所述第二密碼演算法;
所述資料加密包括:
採用所述高速加密運算韌體的至少一種第二密碼演算法進行資料加密。
範例10可包括範例1至範例9一個或多個所述的方法,其中,所述計算資訊包括系統安全運算韌體,所述將所述可信計算晶片的計算資訊提供給所述高速加密晶片包括:
從所述可信計算晶片上獲取所述系統安全運算韌體,並固化儲存在所述高速加密晶片上;
所述可信計算包括:
在所述高速加密晶片上執行系統的安全運算。
範例11可包括範例1至範例10一個或多個所述的方法,其中,所述計算資訊包括用戶策略韌體,所述用戶策略韌體用於制定應用的密碼演算法需求,所述將所述可信計算晶片的計算資訊提供給所述高速加密晶片包括:
從所述可信計算晶片上獲取所述用戶策略韌體,並儲存在所述高速加密晶片上;
所述方法還包括:
根據用戶需求資料重構所述高速加密晶片上的用戶策略韌體。
範例12可包括範例1至範例11一個或多個所述的方法,其中,所述計算資訊包括運算密鑰,所述將所述可信計算晶片的計算資訊提供給所述高速加密晶片包括:
從所述可信計算晶片上獲取所述運算密鑰,並儲存在所述高速加密晶片上;
所述資料加密或可信計算包括:
根據所述運算密鑰,進行資料加密或可信計算。
範例13可包括範例1至範例12一個或多個所述的方法,其中,所述高速加密晶片儲存有用戶資料,所述方法還包括:
根據用戶需求資料重構所述高速加密晶片上的用戶資料。
範例14可包括範例1至範例13一個或多個所述的方法,其中,所述可信計算包括高速計算和低速計算,所述可信計算包括:
調用所述可信計算晶片進行用於平臺安全和/或系統安全的低速計算;
和/或,調用所述高速加密晶片進行高速計算。
範例15可包括範例1至範例14一個或多個所述的方法,其中,所述密鑰資訊包括平臺憑證、平臺公開金鑰、平臺私密金鑰、平臺身份憑證、平臺身份公開金鑰、平臺身份私密金鑰、儲存密鑰、平臺度量密鑰、用戶度量密鑰、主密鑰和運算密鑰。
範例16可包括範例1至範例15一個或多個所述的方法,其中,所述整合晶片包括儲存所述密鑰資訊的平臺密碼儲存結構、認證密碼儲存結構、儲存密碼儲存結構和度量密碼儲存結構,其中,所述平臺密碼儲存結構中有平臺憑證、平臺公開金鑰和平臺私密金鑰,所述認證密碼儲存結構中有平臺身份憑證、平臺身份公開金鑰和平臺身份私密金鑰,所述儲存密碼儲存結構中有儲存密鑰,所述度量密碼儲存結構中有平臺度量密鑰和用戶度量密鑰。
範例17可包括範例1至範例16一個或多個所述的方法,其中,所述用戶度量密鑰儲存在所述可信計算晶片的非揮發儲存空間,或者所述高速加密晶片的靜態儲存區;所述主密鑰儲存在所述可信計算晶片的非揮發儲存空間,或者經所述儲存密鑰加密後儲存在所述整合晶片之外的儲存空間;所述運算密鑰儲存在所述可信計算晶片的非揮發儲存空間,或者所述高速加密晶片的靜態儲存區,或者經所述主密鑰加密後儲存在所述整合晶片之外的儲存空間。
範例18包括一種基於整合晶片的資料處理裝置,所述整合晶片包括可信計算晶片和高速加密晶片,包括:
資訊提供模組,用於將所述可信計算晶片的計算資訊提供給所述高速加密晶片,所述計算資訊包括可信計算和資料加密的密鑰資訊和密碼運算資訊;
計算模組,用於基於所述計算資訊,調用所述高速加密晶片進行資料加密或可信計算。
範例19可包括範例18所述的裝置,其中,所述可信計算晶片和高速加密晶片基於電路進行資料通訊。
範例20可包括範例18和/或範例19所述的裝置,其中,所述計算資訊包括度量密鑰,所述計算模組包括:
合法校驗子模組,用於根據所述度量密鑰校驗目標演算法的完整性和/或演算法執行對象的合法性。
範例21可包括範例18-範例20一個或多個所述的裝置,其中,所述度量密鑰包括平臺度量密鑰,所述合法校驗子模組包括:
平臺度量校驗單元,用於對系統或平臺進行完整性度量之前,根據所述平臺度量密鑰校驗完整性度量代碼的完整性以及演算法執行對象的合法性。
範例22可包括範例18至範例21一個或多個所述的裝置,其中,所述度量密鑰包括用戶度量密鑰,所述合法校驗子模組包括:
用戶度量校驗單元,用於在執行用戶密碼運算之前,根據所述用戶度量密鑰校驗用戶密碼運算的運算演算法的完整性。
範例23可包括範例18至範例22一個或多個所述的裝置,其中,所述可信計算晶片上固化儲存有至少一種第一密碼演算法,所述裝置還包括:
演算法選取模組,用於選取與整合晶片的當前模式匹配的至少一種第一密碼演算法。
範例24可包括範例18至範例23一個或多個所述的裝置,其中,所述可信計算晶片上固化儲存有可信計算系統韌體,所述計算模組包括:
密碼運算校驗子模組,用於採用所述可信計算系統韌體排程和執行可信計算任務,對密碼運算進行完整性校驗。
範例25可包括範例18至範例24一個或多個所述的裝置,其中,所述計算資訊包括至少一個用於用戶應用密鑰的主密鑰,所述主密鑰固化儲存在可信計算晶片上,所述主密鑰用於保護用戶應用密鑰;
所述資訊提供模組包括:
主密鑰獲取子模組,用於所述高速加密晶片從所述可信計算晶片上獲取所述主密鑰;
所述計算模組包括:
密鑰加密子模組,用於根據所獲取的主密鑰,對所述用戶應用密鑰進行加密處理。
範例26可包括範例18至範例25一個或多個所述的裝置,其中,所述計算資訊包括高速加密運算韌體,所述高速加密運算韌體固化儲存在可信計算晶片上,所述高速加密運算韌體包括至少一種第二密碼演算法;
所述資訊提供模組包括:
第二演算法獲取子模組,用於所述高速加密晶片從所述可信計算晶片上獲取所述第二密碼演算法;
所述計算模組包括:
資料加密子模組,用於採用所述高速加密運算韌體的至少一種第二密碼演算法進行資料加密。
範例27可包括範例18至範例26一個或多個所述的裝置,其中,所述計算資訊包括系統安全運算韌體,所述資訊提供模組包括:
系統安全韌體獲取子模組,用於從所述可信計算晶片上獲取所述系統安全運算韌體,並固化儲存在所述高速加密晶片上;
所述計算模組包括:
安全計算子模組,用於在所述高速加密晶片上執行系統的安全運算。
範例28可包括範例18至範例27一個或多個所述的裝置,其中,所述計算資訊包括用戶策略韌體,所述用戶策略韌體用於制定應用的密碼演算法需求,所述資訊提供模組包括:
策略韌體獲取模組,用於從所述可信計算晶片上獲取所述用戶策略韌體,並儲存在所述高速加密晶片上;
所述裝置還包括:
策略韌體重構模組,用於根據用戶需求資料重構所述高速加密晶片上的用戶策略韌體。
範例29可包括範例18至範例28一個或多個所述的裝置,其中,所述計算資訊包括運算密鑰,所述資訊提供模組包括:
運算密鑰獲取模組,用於從所述可信計算晶片上獲取所述運算密鑰,並儲存在所述高速加密晶片上;
所述計算模組包括:
計算子模組,用於根據所述運算密鑰,進行資料加密或可信計算。
範例30可包括範例18至範例29一個或多個所述的裝置,其中,所述高速加密晶片儲存有用戶資料,所述裝置還包括:
資料重構模組,用於根據用戶需求資料重構所述高速加密晶片上的用戶資料。
範例31可包括範例18至範例30一個或多個所述的裝置,其中,所述可信計算包括高速計算和低速計算,所述計算模組包括:
低速計算子模組,用於調用所述可信計算晶片進行用於平臺安全和/或系統安全的低速計算;
和/或,高速計算子模組,用於調用所述高速加密晶片進行高速計算。
範例32可包括範例18至範例31一個或多個所述的裝置,其中,所述密鑰資訊包括平臺憑證、平臺公開金鑰、平臺私密金鑰、平臺身份憑證、平臺身份公開金鑰、平臺身份私密金鑰、儲存密鑰、平臺度量密鑰、用戶度量密鑰、主密鑰和運算密鑰。
範例33可包括範例18至範例32一個或多個所述的裝置,其中,所述整合晶片包括儲存所述密鑰資訊的平臺密碼儲存結構、認證密碼儲存結構、儲存密碼儲存結構和度量密碼儲存結構,其中,所述平臺密碼儲存結構中有平臺憑證、平臺公開金鑰和平臺私密金鑰,所述認證密碼儲存結構中有平臺身份憑證、平臺身份公開金鑰和平臺身份私密金鑰,所述儲存密碼儲存結構中有儲存密鑰,所述度量密碼儲存結構中有平臺度量密鑰和用戶度量密鑰。
範例34可包括範例18至範例33一個或多個所述的裝置,其中,所述用戶度量密鑰儲存在所述可信計算晶片的非揮發儲存空間,或者所述高速加密晶片的靜態儲存區;所述主密鑰儲存在所述可信計算晶片的非揮發儲存空間,或者經所述儲存密鑰加密後儲存在所述整合晶片之外的儲存空間;所述運算密鑰儲存在所述可信計算晶片的非揮發儲存空間,或者所述高速加密晶片的靜態儲存區,或者經所述主密鑰加密後儲存在所述整合晶片之外的儲存空間。
範例35、一種電腦設備,包括記憶體、處理器及儲存在記憶體上並可在處理器上運行的電腦程式,其中,所述處理器執行所述電腦程式時實現如範例1至17一個或多個的方法。
範例36、一種電腦可讀儲存媒體,其上儲存有電腦程式,其中,該程序被處理器執行時實現如範例1至17一個或多個的方法。
雖然某些實施例是以說明和描述為目的的,各種各樣的替代、和/或、等效的實施方案、或計算來達到同樣的目的實施例顯示和描述的實現,不脫離本發明的實施範圍。本發明意於涵蓋本文討論的實施例的任何修改或變化。因此,顯然本文描述的實施例僅由申請專利範圍和它們的等同物來限定。
101-102‧‧‧步驟
201-205‧‧‧步驟
301‧‧‧資訊提供模組
302‧‧‧計算模組
400‧‧‧範例性系統
402‧‧‧處理器
404‧‧‧系統控制模組
406‧‧‧系統記憶體
408‧‧‧NVM/儲存設備
410‧‧‧輸入/輸出設備
412‧‧‧網路介面
透過閱讀下文較佳實施方式的詳細描述,各種其他的優點和益處對於本領域普通技術人員將變得清楚明瞭。附圖僅用於顯示較佳實施方式的目的,而並不認為是對本發明的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中:
圖1顯示了可信高速資料加密卡的結構方塊圖;
圖2顯示了可信高速資料加密卡與主板通用部件關係的示意圖;
圖3顯示了可信計算晶片的結構方塊圖;
圖4顯示了可信高速資料加密卡的密鑰層次結構的示意圖;
圖5顯示了基於FPGA的高速加密晶片的結構方塊圖;
圖6顯示了基於整合晶片的資料處理過程的示意圖;
圖7顯示了根據本發明實施例一的一種基於整合晶片的資料處理方法實施例的流程圖;
圖8顯示了根據本發明實施例二的一種基於整合晶片的資料處理方法實施例的流程圖;
圖9顯示了根據本發明實施例三的一種基於整合晶片的資料處理裝置實施例的結構方塊圖;
圖10顯示了可被用於實現本公開中所述的各個實施例的範例性系統。
Claims (19)
- 一種基於整合晶片的資料處理方法,所述整合晶片包括可信計算晶片和高速加密晶片,所述方法包括: 將所述可信計算晶片的計算資訊提供給所述高速加密晶片,所述計算資訊包括可信計算和資料加密的密鑰資訊和密碼運算資訊; 基於所述計算資訊,調用所述高速加密晶片進行資料加密或可信計算。
- 根據申請專利範圍第1項所述的方法,其中,所述可信計算晶片和高速加密晶片基於電路進行資料通訊。
- 根據申請專利範圍第1項所述的方法,其中,所述計算資訊包括度量密鑰,所述可信計算包括: 根據所述度量密鑰校驗目標演算法的完整性和/或演算法執行對象的合法性。
- 根據申請專利範圍第3項所述的方法,其中,所述度量密鑰包括平臺度量密鑰,所述根據所述度量密鑰校驗目標演算法的完整性和/或演算法執行對象的合法性包括: 對系統或平臺進行完整性度量之前,根據所述平臺度量密鑰校驗完整性度量代碼的完整性以及演算法執行對象的合法性。
- 根據申請專利範圍第3項所述的方法,其中,所述度量密鑰包括用戶度量密鑰,所述根據所述度量密鑰校驗目標演算法的完整性和/或演算法執行對象的合法性包括: 在執行用戶密碼運算之前,根據所述用戶度量密鑰校驗用戶密碼運算的運算演算法的完整性。
- 根據申請專利範圍第1項所述的方法,其中,所述可信計算晶片上固化儲存有至少一種第一密碼演算法,所述方法還包括: 選取與整合晶片的當前模式匹配的至少一種第一密碼演算法。
- 根據申請專利範圍第1項所述的方法,其中,所述可信計算晶片上固化儲存有可信計算系統韌體,所述可信計算包括: 採用所述可信計算系統韌體排程和執行可信計算任務,對密碼運算進行完整性校驗。
- 根據申請專利範圍第1項所述的方法,其中,所述計算資訊包括至少一個用於用戶應用密鑰的主密鑰,所述主密鑰固化儲存在可信計算晶片上,所述主密鑰用於保護用戶應用密鑰; 所述將所述可信計算晶片的計算資訊提供給所述高速加密晶片包括: 所述高速加密晶片從所述可信計算晶片上獲取所述主密鑰; 所述資料加密包括: 根據所獲取的主密鑰,對所述用戶應用密鑰進行加密處理。
- 根據申請專利範圍第1項所述的方法,其中,所述計算資訊包括高速加密運算韌體,所述高速加密運算韌體固化儲存在可信計算晶片上,所述高速加密運算韌體包括至少一種第二密碼演算法; 所述將所述可信計算晶片的計算資訊提供給所述高速加密晶片包括: 所述高速加密晶片從所述可信計算晶片上獲取所述第二密碼演算法; 所述資料加密包括: 採用所述高速加密運算韌體的至少一種第二密碼演算法進行資料加密。
- 根據申請專利範圍第1項所述的方法,其中,所述計算資訊包括系統安全運算韌體,所述將所述可信計算晶片的計算資訊提供給所述高速加密晶片包括: 從所述可信計算晶片上獲取所述系統安全運算韌體,並固化儲存在所述高速加密晶片上; 所述可信計算包括: 在所述高速加密晶片上執行系統的安全運算。
- 根據申請專利範圍第1項所述的方法,其中,所述計算資訊包括用戶策略韌體,所述用戶策略韌體用於制定應用的密碼演算法需求,所述將所述可信計算晶片的計算資訊提供給所述高速加密晶片包括: 從所述可信計算晶片上獲取所述用戶策略韌體,並儲存在所述高速加密晶片上; 所述方法還包括: 根據用戶需求資料重構所述高速加密晶片上的用戶策略韌體。
- 根據申請專利範圍第1項所述的方法,其中,所述計算資訊包括運算密鑰,所述運算密鑰用於保護用戶資料,所述將所述可信計算晶片的計算資訊提供給所述高速加密晶片包括: 從所述可信計算晶片上獲取所述運算密鑰,並儲存在所述高速加密晶片上; 所述資料加密或可信計算包括: 根據所述運算密鑰,進行資料加密或可信計算。
- 根據申請專利範圍第1項所述的方法,其中,所述高速加密晶片儲存有用戶資料,所述方法還包括: 根據用戶需求資料重構所述高速加密晶片上的用戶資料。
- 根據申請專利範圍第1項所述的方法,其中,所述可信計算包括高速計算和低速計算,所述可信計算包括: 調用所述可信計算晶片進行用於平臺安全和/或系統安全的低速計算; 和/或,調用所述高速加密晶片進行高速計算。
- 根據申請專利範圍第1項所述的方法,其中,所述密鑰資訊包括平臺憑證、平臺公開金鑰、平臺私密金鑰、平臺身份憑證、平臺身份公開金鑰、平臺身份私密金鑰、儲存密鑰、平臺度量密鑰、用戶度量密鑰、主密鑰和運算密鑰。
- 根據申請專利範圍第15項所述的方法,其中,所述整合晶片包括儲存所述密鑰資訊的平臺密碼儲存結構、認證密碼儲存結構、儲存密碼儲存結構和度量密碼儲存結構,其中,所述平臺密碼儲存結構中有平臺憑證、平臺公開金鑰和平臺私密金鑰,所述認證密碼儲存結構中有平臺身份憑證、平臺身份公開金鑰和平臺身份私密金鑰,所述儲存密碼儲存結構中有儲存密鑰,所述度量密碼儲存結構中有平臺度量密鑰和用戶度量密鑰。
- 根據申請專利範圍第15項所述的方法,其中,所述用戶度量密鑰儲存在所述可信計算晶片的非揮發儲存空間,或者所述高速加密晶片的靜態儲存區;所述主密鑰儲存在所述可信計算晶片的非揮發儲存空間,或者經所述儲存密鑰加密後儲存在所述整合晶片之外的儲存空間;所述運算密鑰儲存在所述可信計算晶片的非揮發儲存空間,或者所述高速加密晶片的靜態儲存區,或者經所述主密鑰加密後儲存在所述整合晶片之外的儲存空間。
- 一種電腦設備,包括記憶體、處理器及儲存在記憶體上並可在處理器上運行的電腦程式,其中,所述處理器執行所述電腦程式時實現如申請專利範圍第1至17項中一個或多個的方法。
- 一種電腦可讀儲存媒體,其上儲存有電腦程式,其中,該電腦程式被處理器執行時實現如申請專利範圍第1至17項中一個或多個的方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810596085.2A CN110580420B (zh) | 2018-06-11 | 2018-06-11 | 基于集成芯片的数据处理方法、计算机设备、存储介质 |
CN201810596085.2 | 2018-06-11 |
Publications (1)
Publication Number | Publication Date |
---|---|
TW202001657A true TW202001657A (zh) | 2020-01-01 |
Family
ID=68763917
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW108109344A TW202001657A (zh) | 2018-06-11 | 2019-03-19 | 基於整合晶片的資料處理方法、電腦設備、儲存媒體 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11423179B2 (zh) |
CN (1) | CN110580420B (zh) |
TW (1) | TW202001657A (zh) |
WO (1) | WO2019240861A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111125788B (zh) * | 2019-12-26 | 2020-11-10 | 南京星环智能科技有限公司 | 一种加密计算方法、计算机设备及存储介质 |
CN112035900B (zh) * | 2020-08-21 | 2022-03-15 | 郑州信大捷安信息技术股份有限公司 | 一种高性能密码卡以及其通信方法 |
CN112165396A (zh) * | 2020-09-14 | 2021-01-01 | 北京中电华大电子设计有限责任公司 | 一种安全固件更新的方法 |
CN113158201A (zh) * | 2021-02-26 | 2021-07-23 | 云码智能(海南)科技有限公司 | 信息的安全备份方法及装置 |
CN113721983A (zh) * | 2021-08-19 | 2021-11-30 | 支付宝(杭州)信息技术有限公司 | 外部存储器、提供密码服务的方法及业务处理设备 |
CN114880995B (zh) * | 2022-06-30 | 2022-10-04 | 浙江大华技术股份有限公司 | 算法方案部署方法及相关装置、设备和存储介质 |
CN115374739B (zh) * | 2022-10-21 | 2022-12-27 | 中诚华隆计算机技术有限公司 | 基于可信计算平台的可信计算芯片的设计方法及计算设备 |
CN117077220B (zh) * | 2023-10-18 | 2024-01-23 | 北京金科联信数据科技有限公司 | 一种多物理接口和多芯片嵌入式密码模块装置 |
Family Cites Families (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6704871B1 (en) * | 1997-09-16 | 2004-03-09 | Safenet, Inc. | Cryptographic co-processor |
US6708273B1 (en) * | 1997-09-16 | 2004-03-16 | Safenet, Inc. | Apparatus and method for implementing IPSEC transforms within an integrated circuit |
US6816968B1 (en) | 1998-07-10 | 2004-11-09 | Silverbrook Research Pty Ltd | Consumable authentication protocol and system |
EP1030237A1 (en) * | 1999-02-15 | 2000-08-23 | Hewlett-Packard Company | Trusted hardware device in a computer |
AU2001231441B2 (en) | 2000-02-15 | 2004-02-05 | Memjet Technology Limited | Consumable authentication protocol and system |
FR2863076B1 (fr) * | 2003-11-28 | 2006-02-03 | Bull Sa | Systeme cryptographique haut debit a architecture modulaire. |
US8112618B2 (en) | 2004-04-08 | 2012-02-07 | Texas Instruments Incorporated | Less-secure processors, integrated circuits, wireless communications apparatus, methods and processes of making |
CN101470783B (zh) * | 2007-12-25 | 2010-09-01 | 中国长城计算机深圳股份有限公司 | 一种基于可信平台模块的身份识别方法及装置 |
CN101430747B (zh) * | 2008-09-26 | 2011-09-07 | 武汉大学 | 基于可信嵌入式平台的移动设备及其安全存储方法 |
US8738932B2 (en) | 2009-01-16 | 2014-05-27 | Teleputers, Llc | System and method for processor-based security |
CN102207999A (zh) * | 2010-03-29 | 2011-10-05 | 国民技术股份有限公司 | 一种基于可信计算密码支撑平台的数据保护方法 |
CN101986641A (zh) * | 2010-10-20 | 2011-03-16 | 杭州晟元芯片技术有限公司 | 可应用于移动通讯设备的可信计算平台芯片及其认证方法 |
WO2012122994A1 (en) * | 2011-03-11 | 2012-09-20 | Kreft Heinz | Off-line transfer of electronic tokens between peer-devices |
JP2014099752A (ja) * | 2012-11-14 | 2014-05-29 | Fujitsu Ltd | 通信装置、通信システム、及び通信システムにおける暗号アルゴリズム実行方法 |
US9467425B2 (en) | 2013-03-18 | 2016-10-11 | Intel Corporation | Key refresh between trusted units |
TW201546649A (zh) * | 2014-06-05 | 2015-12-16 | Cavium Inc | 用於基於硬體安全模組的基於雲端的web服務安全管理的系統和方法 |
WO2016081867A1 (en) * | 2014-11-20 | 2016-05-26 | Interdigital Patent Holdings, Inc. | Providing security to computing systems |
US9904805B2 (en) | 2015-09-23 | 2018-02-27 | Intel Corporation | Cryptographic cache lines for a trusted execution environment |
US10031861B2 (en) | 2015-09-25 | 2018-07-24 | Intel Corporation | Protect non-memory encryption engine (non-mee) metadata in trusted execution environment |
US9864879B2 (en) * | 2015-10-06 | 2018-01-09 | Micron Technology, Inc. | Secure subsystem |
US10073981B2 (en) | 2015-10-09 | 2018-09-11 | Microsoft Technology Licensing, Llc | Controlling secure processing of confidential data in untrusted devices |
US10516533B2 (en) | 2016-02-05 | 2019-12-24 | Mohammad Mannan | Password triggered trusted encryption key deletion |
US10412191B1 (en) * | 2016-03-30 | 2019-09-10 | Amazon Technologies, Inc. | Hardware validation |
US10242197B2 (en) * | 2016-09-23 | 2019-03-26 | Intel Corporation | Methods and apparatus to use a security coprocessor for firmware protection |
US10972277B2 (en) * | 2017-03-15 | 2021-04-06 | Intel Corporation | Confidential verification of FPGA code |
US10211979B2 (en) * | 2017-05-19 | 2019-02-19 | Swfl, Inc. | Systems and methods securing an autonomous device |
US11677730B2 (en) * | 2018-01-24 | 2023-06-13 | Intel Corporation | Device authentication |
US11743240B2 (en) | 2019-03-08 | 2023-08-29 | Intel Corporation | Secure stream protocol for serial interconnect |
-
2018
- 2018-06-11 CN CN201810596085.2A patent/CN110580420B/zh active Active
-
2019
- 2019-03-19 TW TW108109344A patent/TW202001657A/zh unknown
- 2019-03-25 WO PCT/US2019/023897 patent/WO2019240861A1/en active Application Filing
- 2019-03-25 US US16/363,815 patent/US11423179B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20190377907A1 (en) | 2019-12-12 |
US11423179B2 (en) | 2022-08-23 |
WO2019240861A1 (en) | 2019-12-19 |
CN110580420A (zh) | 2019-12-17 |
CN110580420B (zh) | 2023-03-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11423179B2 (en) | Integrated-chip-based data processing method, computing device, and storage media | |
US11088846B2 (en) | Key rotating trees with split counters for efficient hardware replay protection | |
CN110677250B (zh) | 密钥和证书分发方法、身份信息处理方法、设备、介质 | |
US20220182365A1 (en) | Techniques for shared private data objects in a trusted execution environment | |
CN107750363B (zh) | 保护与硬件加速器的通信以增加工作流安全性 | |
US11239994B2 (en) | Techniques for key provisioning in a trusted execution environment | |
US20190334713A1 (en) | Encryption Card, Electronic Device, and Encryption Service Method | |
US11722300B2 (en) | Chip, private key generation method, and trusted certification method | |
CN104715183B (zh) | 一种虚拟机运行时的可信验证方法和设备 | |
EP3207488B1 (en) | Identifying security boundaries on computing devices | |
US11822664B2 (en) | Securely signing configuration settings | |
US11790119B2 (en) | Application integrity attestation | |
CN112149144A (zh) | 聚合密码引擎 | |
WO2023020234A1 (zh) | 外部存储器、提供密码服务的方法及业务处理设备 | |
US11416370B2 (en) | Platform measurement collection mechanism | |
US11861009B2 (en) | Mechanism to update attested firmware on a platform | |
Fiolhais et al. | Software Emulation of Quantum Resistant Trusted Platform Modules. |