CN106230584A - 一种可信平台控制模块的密钥迁移方法 - Google Patents
一种可信平台控制模块的密钥迁移方法 Download PDFInfo
- Publication number
- CN106230584A CN106230584A CN201610580588.1A CN201610580588A CN106230584A CN 106230584 A CN106230584 A CN 106230584A CN 201610580588 A CN201610580588 A CN 201610580588A CN 106230584 A CN106230584 A CN 106230584A
- Authority
- CN
- China
- Prior art keywords
- key
- migration
- tpcm
- tpcm chip
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种可信平台控制模块的密钥迁移方法,所述方法包括:选择迁移密钥,并对所述迁移密钥进行授权;根据迁移方案对被迁移密钥进行迁移,其中,所述迁移方案包括:直接迁移、双重包裹迁移和中介接力迁移;本发明提供的技术方案,能够保护对称和非对称密钥在TPCM内密钥树转移、TPCM芯片间、TPCM与无密钥环境间传输时不被泄露和篡改,迁移行为只能由密钥拥有者或公正第三方授权下实施,并且迁移后可被合法用户使用,广泛用于解决TPCM的密钥的容灾备份,虚拟系统迁移伴随的密钥迁移问题等。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种可信平台控制模块的密钥迁移方法。
背景技术
TPM(可信平台模块)是TCG国际可信计算联盟组织设计的一款可信计算芯片,其机制与我国TPCM机制相类似。TPM的可信存储框架是建立在公钥体制下的,它包括密钥存储,密钥包裹,密钥导入,密钥迁移,证书生成,证书激活操作,其实质是保护密钥中的私钥成分。其中密钥迁移操作用于对TPM管理的密钥树中可迁移密钥进行打包迁出,解包迁入操作,其关键特点是:
1.被迁移的密钥必须是可迁移属性,迁移密钥是公钥类型;
2.分为无代理和有代理两种模式;
3.迁移方法分为两种,分别是直接迁移和双重密钥保护;
4.迁移密钥使用前需要由管理员授权,授权时需提供管理员口令。
采用TPCM芯片,国内可信计算框架与TPM在设计理念上有以下几个重要的不同:
1.密钥树采用对称/非对称相结合的密钥存储结构;
2.证书采用PIK/PEK双证书结构;
3.角色机制包含管理员/普通用户;
考虑到上述不同和基于云计算环境的现实需求,现有技术中在设计TPCM芯片的密钥迁移机制方面需要考虑:
1.TPM的密钥迁移机制中任何一个迁移密钥的使用需要管理员授权,管理员权限过大,管理范围过广,用户密钥分支的迁移需要管理员授权,同时管理员亦可创建其它迁移密钥,对用户密钥分支进行迁移,因此存在安全威胁。在TPCM设计中应该保证授权者和被迁移密钥分支的拥有者一致,亦可由授权者指定密钥迁移方案,以保护用户密钥分支迁移行为实施的合法性,减少迁移模型中信息对其它无关角色的泄露;
2.为满足云平台的复杂环境需求,应提供支持星状网的中介迁移模型和网状网的点对点直接迁移模型,并提供2种以上的安全强度;
3.系统密钥树和用户密钥分支的迁移方法相同,但迁移密钥的指定和授权应该使用公正第三方进行,限制管理员的权利。因此,采用PEK证书完成顶层可迁移密钥分支结构,满足容灾备份的需求;
4.TPM使用公钥密码体制,TPCM采用对称非对称混合型密钥树,TPM的直接密钥迁移方案不能用于对称密钥的迁移,所以TPCM的迁移方案要支持对称密钥的迁移。
发明内容
本发明提供一种可信平台控制模块的密钥迁移方法,其目的是保护对称和非对称密钥在TPCM内密钥树转移、TPCM芯片间、TPCM与无密钥环境间传输时不被泄露和篡改,迁移行为只能由密钥拥有者或公正第三方授权下实施,并且迁移后可被合法用户使用,能够广泛用于解决TPCM的密钥的容灾备份,虚拟系统迁移伴随的密钥迁移问题等。
本发明的目的是采用下述技术方案实现的:
一种可信平台控制模块的密钥迁移方法,其改进之处在于,包括:
选择迁移密钥,并对所述迁移密钥进行授权;
根据迁移方案对被迁移密钥进行迁移,其中,所述迁移方案包括:直接迁移、双重包裹迁移和中介接力迁移。
优选的,将源TPCM芯片的密钥树结构或其分支作为所述被迁移密钥,其中,所述密钥树结构的顶层为类型为对称密钥的SMK,所述密钥树结构的第二层包括:可迁移的存储密钥和不可迁移的存储密钥、PIK平台身份密钥以及PEK平台加密密钥;所述密钥树结构的第三层为用户的存储密钥,所述密钥树结构的第四层为用户用于加密、签名、存储的密钥。
优选的,所述对所述迁移密钥进行授权,包括:
设置迁移密钥的迁移信息,其中,所述迁移信息包括:目的TPCM芯片的迁移密钥的公钥migrationKey、使用时间expirationTime、迁移方案migrationScheme和用户授权数据UserSecret;
利用源TPCM生成的秘密摘要值tpcmProof对所述迁移信息进行签名,获取签名信息sig,其中,sig=HMACtpcmProof(migrationKey||migraitonScheme||expirationTime||userSecret),HMACtpcmProof表示采用tpcmProof作为哈希算法的密钥进行哈希算法。
进一步的,对所述目的TPCM芯片的迁移密钥的公钥migrationKey和使用者身份进行鉴权,使用者输入鉴权口令userSecret′,获取鉴权信息sig′,其中sig′=HMACtpcmProof(migrationKey||migraitonScheme||expirationTime||userSecret′),若sig′=sig,则所述目的TPCM芯片的迁移密钥的公钥migrationKey和使用者身份鉴权成功,允许对被迁移密钥进行迁移,若sig′≠sig,则所述目的TPCM芯片的迁移密钥的公钥migrationKey和使用者身份鉴权失败,不允许对被迁移密钥进行迁移。
优选的,采用直接迁移方案对所述迁移密钥进行迁移,包括:
源TPCM芯片利用目的TPCM芯片的迁移密钥的公钥migrationKey包裹源TPCM芯片的被迁移密钥Keywrap,获取直接被迁移密钥信息Msg,并将Msg发送至所述目的TPCM芯片;
目的TPCM芯片利用迁移密钥的私钥MigKeypriv对Msg进行解密,获取所述被迁移密钥Keywrap。
优选的,采用双重包裹迁移方案对所述迁移密钥进行迁移,包括:
源TPCM芯片利用目的TPCM芯片的迁移密钥的公钥migrationKey包裹源TPCM芯片生成的随机数会话密钥Ksym,获取第一双重包裹被迁移密钥信息Msg1;
源TPCM芯片利用源TPCM芯片生成的随机数会话密钥Ksym包裹源TPCM芯片的被迁移密钥Keywrap,获取第二双重包裹被迁移密钥信息Msg2;
目的TPCM芯片利用迁移密钥的私钥MigKeypriv对Msg1进行解密,获取所述源TPCM芯片生成的随机数会话密钥Ksym;
目的TPCM芯片利用所述源TPCM芯片生成的随机数会话密钥Ksym对Msg2进行解密,获取所述被迁移密钥Keywrap。
优选的,采用中介接力迁移方案对所述迁移密钥进行迁移,包括:
源TPCM芯片利用源TPCM芯片生成的第一随机数会话密钥R包裹源TPCM芯片的被迁移密钥Keywrap,获取第一中介接力被迁移密钥信息Msg1,利用源TPCM芯片生成的第二随机数会话密钥T包裹源TPCM芯片生成的第一随机数会话密钥R,获取第二中介接力被迁移密钥信息Msg2,利用目的TPCM芯片的迁移密钥的公钥migrationKey包裹Msg2,获取第三中介接力被迁移密钥信息Msg3,并将Msg1和T发送至目的TPCM芯片,Msg3发送至中介TPCM芯片;
中介TPCM芯片利用迁移密钥的私钥MigKeypriv对Msg3进行解密,获取Msg2,并将Msg2发送至目的TPCM芯片;
目的TPCM芯片利用源TPCM芯片生成的第二随机数会话密钥T对Msg2进行解密,获取源TPCM芯片生成的第一随机数会话密钥R,在利用源TPCM芯片生成的第一随机数会话密钥R对Msg1进行解密,获取源TPCM芯片的被迁移密钥Keywrap。
优选的,若目的TPCM芯片向可信第三方取得安全证书,则利用安全证书提供的迁移密钥公钥和随机数会话密钥,对被迁移密钥进行双重包裹迁移。
本发明的有益效果:
本发明提供的一种可信平台控制模块的密钥迁移方法,能够确保密钥在迁移过程中的私密性,完整性,和接收者的合法性;利用这一机制的服务接口,上层应用可完成两个不同TPCM间密钥的迁移,同一个TPCM不同密钥树的密钥迁移,以及采用第三方密码库生成的密钥与TPCM间的密钥迁移,满足TPCM管理的可迁移密钥的防灾备份,TPCM内部密钥树结构调换,无芯片环境和可信计算环境的密钥分享等应用需求。
附图说明
图1是本发明一种可信平台控制模块的密钥迁移方法的流程图;
图2是本发明实施例中密钥树结构示意图;
图3是本发明实施例中双重包裹迁移方案的密钥迁移示意图;
图4是本发明实施例中中介接力迁移方案的密钥迁移示意图。
具体实施方式
下面结合附图对本发明的具体实施方式作详细说明。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明提供的一种可信平台控制模块的密钥迁移方法,TPCM内的密钥迁移机制涵盖了密钥树结构、加密方式、迁移方案三个要素。其中密钥树或其分支是被迁移的对象,加密方式采用数字信封形式,迁移方案包括授权过程和迁移过程,其中迁移过程又分为直接迁移,双重包裹迁移,中介接力迁移三种。其过程可以简述为:首先指定迁移密钥并完成授权,再根据迁移方案对密钥进行迁移,如图1所示,包括:
101.选择迁移密钥,并对所述迁移密钥进行授权;
102.根据迁移方案对被迁移密钥进行迁移,其中,所述迁移方案包括:直接迁移、双重包裹迁移和中介接力迁移。
其中,将源TPCM芯片的密钥树结构或其分支作为所述被迁移密钥,如图2所示,所述密钥树结构的顶层为类型为对称密钥的SMK,所述密钥树结构的第二层包括:可迁移的存储密钥和不可迁移的存储密钥、PIK平台身份密钥以及PEK平台加密密钥;所述密钥树结构的第三层为用户的存储密钥,所述密钥树结构的第四层为用户用于加密、签名、存储的密钥。
具体的,所述对所述迁移密钥进行授权是迁移前对迁移密钥的一个认证过程,用户选择出用于迁移自己密钥分支的迁移密钥,并通过TPCM芯片完成密钥的一个签名,包括:
设置迁移密钥的迁移信息,其中,所述迁移信息包括:目的TPCM芯片的迁移密钥的公钥migrationKey、使用时间expirationTime、迁移方案migrationScheme和用户授权数据UserSecret;
利用源TPCM生成的秘密摘要值tpcmProof对所述迁移信息进行签名,获取签名信息sig,其中,sig=HMACtpcmProof(migrationKey||migraitonScheme||expirationTime||userSecret),HMACtpcmProof表示采用tpcmProof作为哈希算法的密钥进行哈希算法。
使用者在迁移过程中,对所述目的TPCM芯片的迁移密钥的公钥migrationKey和使用者身份进行鉴权,使用者输入鉴权口令userSecret′,获取鉴权信息sig′,其中sig′=HMACtpcmProof(migrationKey||migraitonScheme||expirationTime||userSecret′),若sig′=sig,则所述目的TPCM芯片的迁移密钥的公钥migrationKey和使用者身份鉴权成功,允许对被迁移密钥进行迁移,若sig′≠sig,则所述目的TPCM芯片的迁移密钥的公钥migrationKey和使用者身份鉴权失败,不允许对被迁移密钥进行迁移。
具体的,在迁移过程中,直接迁移面向网状网中平等的点对点间的密钥迁移,简单高效。双重包裹迁移采用数字信封包裹技术,实现迁移过程的一次一密,相对于直接迁移具有较高的安全等级,每次迁移的数据包在传输中不同,可防止重放攻击。中介接力迁移采用三重密钥包裹技术,中介可以定义为具有迁移执行权的唯一指定节点,可用于对于迁移集中管理的拓扑结构,类星状网。三种方案根据应用环境的需求,可支持无芯片环境和有芯片环境桥接共存,需划分好节点的任务,可实现密钥分享中的安全传输;迁移中,管理员迁移顶层密钥树时使用PEK证书进行迁移;迁移用户私有的密钥分支时使用自己授权的迁移密钥;管理员无法获取密钥树中不属于他的密钥节点,权利受到PEK证书的限制;普通用户无法迁移他人的密钥分支;形成了相对独立的密钥迁移环境,具有高效性。
总之,迁移授权过程的设计采用签名技术保证了授权者和被迁移密钥分支的拥有者一致,直接迁移和双重包裹迁移方案可用于点对点的网状网,中介迁移方案可用于有中枢管理单元的星状网,以提供迁移的集中管理机制,既保证了管理中心的可管理性,又使得管理中心不可察看迁移内容。对于系统密钥树的整体迁移,我们使用了可信第三方授权,TPCM生成的公私钥对做成的证书作为迁移密钥的授权体,使得管理员无需再依靠个人经验授权,避免了拥有管理权力的管理员滥用权力得到系统密钥树的内容的威胁。三种密钥迁移方案亦均支持对称和非对称密钥的迁移。
进一步的,采用直接迁移方案对所述迁移密钥进行迁移,包括:
源TPCM芯片利用目的TPCM芯片的迁移密钥的公钥migrationKey包裹源TPCM芯片的被迁移密钥Keywrap,获取直接被迁移密钥信息Msg,并将Msg发送至所述目的TPCM芯片;
目的TPCM芯片利用迁移密钥的私钥MigKeypriv对Msg进行解密,获取所述被迁移密钥Keywrap。
采用直接迁移方案对所述迁移密钥进行迁移表示为:
源TPCM:Msg=Enc(Keywrap,migrationKey);
目的TPCM:Keywrap=Dec(Msg,MigKeypriv);
其中,Enc(m,k)表示以k为密钥对消息m进行加密,Dec(m,k)表示解密过程。
或者,采用双重包裹迁移方案对所述迁移密钥进行迁移,包括:
源TPCM芯片利用目的TPCM芯片的迁移密钥的公钥migrationKey包裹源TPCM芯片生成的随机数会话密钥Ksym,获取第一双重包裹被迁移密钥信息Msg1;
源TPCM芯片利用源TPCM芯片生成的随机数会话密钥Ksym包裹源TPCM芯片的被迁移密钥Keywrap,获取第二双重包裹被迁移密钥信息Msg2;
目的TPCM芯片利用迁移密钥的私钥MigKeypriv对Msg1进行解密,获取所述源TPCM芯片生成的随机数会话密钥Ksym;
目的TPCM芯片利用所述源TPCM芯片生成的随机数会话密钥Ksym对Msg2进行解密,获取所述被迁移密钥Keywrap。
采用双重包裹迁移方案对所述迁移密钥进行迁移表示为:
源TPCM:Msg1=Enc(Keywrap,Ksym),Msg2=Enc(Ksym,migrationKey);
目的TPCM:Ksym=Dec(Msg2,MigKeypriv),Keywrap=Dec(Msg1,Ksym)。
其中,源TPCM芯片生成的随机数会话密钥Ksym由源TPCM内部的随机数生成器产生。
或者,采用中介接力迁移方案对所述迁移密钥进行迁移,包括:
源TPCM芯片利用源TPCM芯片生成的第一随机数会话密钥R包裹源TPCM芯片的被迁移密钥Keywrap,获取第一中介接力被迁移密钥信息Msg1,利用源TPCM芯片生成的第二随机数会话密钥T包裹源TPCM芯片生成的第一随机数会话密钥R,获取第二中介接力被迁移密钥信息Msg2,利用目的TPCM芯片的迁移密钥的公钥migrationKey包裹Msg2,获取第三中介接力被迁移密钥信息Msg3,并将Msg1和T发送至目的TPCM芯片,Msg3发送至中介TPCM芯片;
中介TPCM芯片利用迁移密钥的私钥MigKeypriv对Msg3进行解密,获取Msg2,并将Msg2发送至目的TPCM芯片;
目的TPCM芯片利用源TPCM芯片生成的第二随机数会话密钥T对Msg2进行解密,获取源TPCM芯片生成的第一随机数会话密钥R,在利用源TPCM芯片生成的第一随机数会话密钥R对Msg1进行解密,获取源TPCM芯片的被迁移密钥Keywrap。
采用中介接力迁移方案对所述迁移密钥进行迁移表示为:
源TPCM:Msg1=Enc(Keywrap,R),Msg2=Enc(R,T),Msg3=Enc(Msg2,migrationKey),其中Msg1和T发送给目的TPCM,Msg3发送给中介TPCM;
中介TPCM:Msg2=Dec(Msg3,MigKeypriv),发送到目的TPCM;
目的TPCM:R=Dec(Msg2,T),Keywrap=Dec(Msg1,R)。
例如,如图3和4所示,分别采用双重包裹迁移方案和中介接力迁移方案对所述迁移密钥进行迁移,图中K1是被迁移密钥,P1是K1在源TPCM中的父密钥,P2是K1在目的TPCM中的父密钥。MKp是迁移密钥的公钥,MKv是迁移密钥的私钥,R和T都是随机数。迁移的目的是将K1从源TPCM中与P1解绑,经MK迁移至目的TPCM中与P2绑定。
需要说明的,在所述步骤101之前,若目的TPCM芯片向可信第三方取得安全证书,则利用安全证书提供的迁移密钥公钥和随机数会话密钥,对被迁移密钥进行双重包裹迁移,例如:
源TPCM:Msg1=Enc(Keywrap,K),Msg2=Enc(K,M);
目的TPCM:K=Dec(Msg2,m),Keywrap=Dec(Msg1,K)。
其中,M为安全证书提供的迁移密钥的公钥,K为安全证书提供的随机数会话密钥,Keywrap被迁移密钥,m为迁移密钥的私钥。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (8)
1.一种可信平台控制模块的密钥迁移方法,其特征在于,所述方法包括:
选择迁移密钥,并对所述迁移密钥进行授权;
根据迁移方案对被迁移密钥进行迁移,其中,所述迁移方案包括:直接迁移、双重包裹迁移和中介接力迁移。
2.如权利要求1所述的方法,其特征在于,将源TPCM芯片的密钥树结构或其分支作为所述被迁移密钥,其中,所述密钥树结构的顶层为类型为对称密钥的SMK,所述密钥树结构的第二层包括:可迁移的存储密钥和不可迁移的存储密钥、PIK平台身份密钥以及PEK平台加密密钥;所述密钥树结构的第三层为用户的存储密钥,所述密钥树结构的第四层为用户用于加密、签名和存储的密钥。
3.如权利要求1所述的方法,其特征在于,所述对所述迁移密钥进行授权,包括:
设置迁移密钥的迁移信息,其中,所述迁移信息包括:目的TPCM芯片的迁移密钥的公钥migrationKey、使用时间expirationTime、迁移方案migrationScheme和用户授权数据UserSecret;
利用源TPCM生成的秘密摘要值tpcmProof对所述迁移信息进行签名,获取签名信息sig,其中,sig=HMACtpcmProof(migrationKey||migraitonScheme||expirationTime||userSecret),HMACtpcmProof表示采用tpcmProof作为哈希算法的密钥进行哈希算法。
4.如权利要求3所述的方法,其特征在于,对所述目的TPCM芯片的迁移密钥的公钥migrationKey和使用者身份进行鉴权,使用者输入鉴权口令userSecret′,获取鉴权信息sig′,其中sig′=HMACtpcmProof(migrationKey||migraitonScheme||expirationTime||userSecret′),若sig′=sig,则所述目的TPCM芯片的迁移密钥的公钥migrationKey和使用者身份鉴权成功,允许对被迁移密钥进行迁移,若sig′≠sig,则所述目的TPCM芯片的迁移密钥的公钥migrationKey和使用者身份鉴权失败,不允许对被迁移密钥进行迁移。
5.如权利要求1所述的方法,其特征在于,采用直接迁移方案对所述迁移密钥进行迁移,包括:
源TPCM芯片利用目的TPCM芯片的迁移密钥的公钥migrationKey包裹源TPCM芯片的被迁移密钥Keywrap,获取直接被迁移密钥信息Msg,并将Msg发送至所述目的TPCM芯片;
目的TPCM芯片利用迁移密钥的私钥MigKeypriv对Msg进行解密,获取所述被迁移密钥Keywrap。
6.如权利要求1所述的方法,其特征在于,采用双重包裹迁移方案对所述迁移密钥进行迁移,包括:
源TPCM芯片利用目的TPCM芯片的迁移密钥的公钥migrationKey包裹源TPCM芯片生成的随机数会话密钥Ksym,获取第一双重包裹被迁移密钥信息Msg1;
源TPCM芯片利用源TPCM芯片生成的随机数会话密钥Ksym包裹源TPCM芯片的被迁移密钥Keywrap,获取第二双重包裹被迁移密钥信息Msg2;
目的TPCM芯片利用迁移密钥的私钥MigKeypriv对Msg1进行解密,获取所述源TPCM芯片生成的随机数会话密钥Ksym;
目的TPCM芯片利用所述源TPCM芯片生成的随机数会话密钥Ksym对Msg2进行解密,获取所述被迁移密钥Keywrap。
7.如权利要求1所述的方法,其特征在于,采用中介接力迁移方案对所述迁移密钥进行迁移,包括:
源TPCM芯片利用源TPCM芯片生成的第一随机数会话密钥R包裹源TPCM芯片的被迁移密钥Keywrap,获取第一中介接力被迁移密钥信息Msg1,利用源TPCM芯片生成的第二随机数会话密钥T包裹源TPCM芯片生成的第一随机数会话密钥R,获取第二中介接力被迁移密钥信息Msg2,利用目的TPCM芯片的迁移密钥的公钥migrationKey包裹Msg2,获取第三中介接力被迁移密钥信息Msg3,并将Msg1和T发送至目的TPCM芯片,Msg3发送至中介TPCM芯片;
中介TPCM芯片利用迁移密钥的私钥MigKeypriv对Msg3进行解密,获取Msg2,并将Msg2发送至目的TPCM芯片;
目的TPCM芯片利用源TPCM芯片生成的第二随机数会话密钥T对Msg2进行解密,获取源TPCM芯片生成的第一随机数会话密钥R,在利用源TPCM芯片生成的第一随机数会话密钥R对Msg1进行解密,获取源TPCM芯片的被迁移密钥Keywrap。
8.如权利要求1所述的方法,其特征在于,若目的TPCM芯片向可信第三方取得安全证书,则利用安全证书提供的迁移密钥公钥和随机数会话密钥,对被迁移密钥进行双重包裹迁移。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610580588.1A CN106230584B (zh) | 2016-07-21 | 2016-07-21 | 一种可信平台控制模块的密钥迁移方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610580588.1A CN106230584B (zh) | 2016-07-21 | 2016-07-21 | 一种可信平台控制模块的密钥迁移方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106230584A true CN106230584A (zh) | 2016-12-14 |
CN106230584B CN106230584B (zh) | 2019-09-03 |
Family
ID=57532590
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610580588.1A Active CN106230584B (zh) | 2016-07-21 | 2016-07-21 | 一种可信平台控制模块的密钥迁移方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106230584B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106656492A (zh) * | 2017-01-13 | 2017-05-10 | 浪潮(北京)电子信息产业有限公司 | 一种tpm芯片的密钥迁移方法及装置 |
CN110249336A (zh) * | 2017-01-26 | 2019-09-17 | 微软技术许可有限责任公司 | 使用签名密钥对可信执行环境的寻址 |
CN111143030A (zh) * | 2019-12-19 | 2020-05-12 | 北京可信华泰信息技术有限公司 | 一种云环境可信虚拟机的迁移方法 |
WO2020168545A1 (zh) * | 2019-02-22 | 2020-08-27 | 云图有限公司 | 密钥迁移方法和装置 |
US11281781B2 (en) | 2018-08-29 | 2022-03-22 | Alibaba Group Holding Limited | Key processing methods and apparatuses, storage media, and processors |
US11347857B2 (en) | 2018-07-02 | 2022-05-31 | Alibaba Group Holding Limited | Key and certificate distribution method, identity information processing method, device, and medium |
US11349651B2 (en) | 2018-08-02 | 2022-05-31 | Alibaba Group Holding Limited | Measurement processing of high-speed cryptographic operation |
US11379586B2 (en) | 2018-08-02 | 2022-07-05 | Alibaba Group Holding Limited | Measurement methods, devices and systems based on trusted high-speed encryption card |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101651543A (zh) * | 2009-09-04 | 2010-02-17 | 瑞达信息安全产业股份有限公司 | 一种可信计算平台密钥迁移系统及其密钥迁移方法 |
CN101897211A (zh) * | 2007-12-17 | 2010-11-24 | 微软公司 | 计算机秘密的迁移 |
CN102207999A (zh) * | 2010-03-29 | 2011-10-05 | 国民技术股份有限公司 | 一种基于可信计算密码支撑平台的数据保护方法 |
CN102355351A (zh) * | 2011-07-21 | 2012-02-15 | 华为技术有限公司 | 一种基于可信计算的密钥生成、备份和迁移方法及系统 |
CN103516728A (zh) * | 2013-10-14 | 2014-01-15 | 武汉大学 | 一种防止云平台虚拟机非法启动的镜像加解密方法 |
CN105743873A (zh) * | 2015-04-17 | 2016-07-06 | 中国信息安全研究院有限公司 | 一种安全系统 |
-
2016
- 2016-07-21 CN CN201610580588.1A patent/CN106230584B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101897211A (zh) * | 2007-12-17 | 2010-11-24 | 微软公司 | 计算机秘密的迁移 |
CN101651543A (zh) * | 2009-09-04 | 2010-02-17 | 瑞达信息安全产业股份有限公司 | 一种可信计算平台密钥迁移系统及其密钥迁移方法 |
CN102207999A (zh) * | 2010-03-29 | 2011-10-05 | 国民技术股份有限公司 | 一种基于可信计算密码支撑平台的数据保护方法 |
CN102355351A (zh) * | 2011-07-21 | 2012-02-15 | 华为技术有限公司 | 一种基于可信计算的密钥生成、备份和迁移方法及系统 |
CN103516728A (zh) * | 2013-10-14 | 2014-01-15 | 武汉大学 | 一种防止云平台虚拟机非法启动的镜像加解密方法 |
CN105743873A (zh) * | 2015-04-17 | 2016-07-06 | 中国信息安全研究院有限公司 | 一种安全系统 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106656492A (zh) * | 2017-01-13 | 2017-05-10 | 浪潮(北京)电子信息产业有限公司 | 一种tpm芯片的密钥迁移方法及装置 |
CN110249336A (zh) * | 2017-01-26 | 2019-09-17 | 微软技术许可有限责任公司 | 使用签名密钥对可信执行环境的寻址 |
US11347857B2 (en) | 2018-07-02 | 2022-05-31 | Alibaba Group Holding Limited | Key and certificate distribution method, identity information processing method, device, and medium |
US11349651B2 (en) | 2018-08-02 | 2022-05-31 | Alibaba Group Holding Limited | Measurement processing of high-speed cryptographic operation |
US11379586B2 (en) | 2018-08-02 | 2022-07-05 | Alibaba Group Holding Limited | Measurement methods, devices and systems based on trusted high-speed encryption card |
US11281781B2 (en) | 2018-08-29 | 2022-03-22 | Alibaba Group Holding Limited | Key processing methods and apparatuses, storage media, and processors |
WO2020168545A1 (zh) * | 2019-02-22 | 2020-08-27 | 云图有限公司 | 密钥迁移方法和装置 |
CN111143030A (zh) * | 2019-12-19 | 2020-05-12 | 北京可信华泰信息技术有限公司 | 一种云环境可信虚拟机的迁移方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106230584B (zh) | 2019-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106230584B (zh) | 一种可信平台控制模块的密钥迁移方法 | |
US11741251B2 (en) | System of enclaves | |
WO2021184961A1 (zh) | 部署合约的方法及装置 | |
WO2021184973A1 (zh) | 访问外部数据的方法及装置 | |
WO2020108019A1 (zh) | 一种基于联盟链的数据传递方法及装置 | |
CN110879897B (zh) | 一种基于区块链的电力数据安全保护方法 | |
CN106161402B (zh) | 基于云环境的加密机密钥注入系统、方法及装置 | |
TWI701929B (zh) | 密碼運算、創建工作密鑰的方法、密碼服務平台及設備 | |
CN110061845A (zh) | 区块链数据加密方法、装置、计算机设备及存储介质 | |
US20140112470A1 (en) | Method and system for key generation, backup, and migration based on trusted computing | |
WO2016107203A1 (zh) | 一种身份认证方法及装置 | |
Ying et al. | Adaptively secure ciphertext-policy attribute-based encryption with dynamic policy updating | |
CN109478214A (zh) | 用于证书注册的装置和方法 | |
Li et al. | A privacy-preserving lightweight energy data sharing scheme based on blockchain for smart grid | |
Kashif et al. | BCPriPIoT: BlockChain utilized privacy-preservation mechanism for IoT devices | |
Gomaa et al. | A novel virtual identity implementation for anonymous communication in cloud environments | |
CN114615006A (zh) | 一种面向配电物联网的边缘层数据安全防护方法、系统及存储介质 | |
CN106230595B (zh) | 一种可信平台控制模块的授权协议 | |
TWI774204B (zh) | 具有混合區塊鏈之虛擬儲存架構及其方法 | |
Tian et al. | Fine‐grained assured insertion and deletion scheme based on onion encryption in cloud storage | |
Kirupanithi et al. | Analyzing the cost efficiency using attribute based encryption on medical blockchain platform | |
Hossain et al. | A Smart Contract Based Blockchain Approach Integrated with Elliptic Curve Cryptography for Secure Email Application | |
CN114168921A (zh) | 具有隐私保护的众包任务分配方法、系统和存储介质 | |
CN117675383A (zh) | 针对网络化协同设计的数据传输架构及数据传输方法 | |
KR20230112819A (ko) | 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |