CN110430046B - 一种面向云环境的可信平台模块两阶段密钥复制方法 - Google Patents

一种面向云环境的可信平台模块两阶段密钥复制方法 Download PDF

Info

Publication number
CN110430046B
CN110430046B CN201910652110.9A CN201910652110A CN110430046B CN 110430046 B CN110430046 B CN 110430046B CN 201910652110 A CN201910652110 A CN 201910652110A CN 110430046 B CN110430046 B CN 110430046B
Authority
CN
China
Prior art keywords
key
cloud
tenant
stage
tpm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910652110.9A
Other languages
English (en)
Other versions
CN110430046A (zh
Inventor
李健
胡小康
管海兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Jiaotong University
Original Assignee
Shanghai Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Jiaotong University filed Critical Shanghai Jiaotong University
Priority to CN201910652110.9A priority Critical patent/CN110430046B/zh
Publication of CN110430046A publication Critical patent/CN110430046A/zh
Application granted granted Critical
Publication of CN110430046B publication Critical patent/CN110430046B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/127Trusted platform modules [TPM]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种面向云环境的可信平台模块两阶段密钥复制方法,涉及云计算和系统安全领域,该方法在云密钥服务器中将对密码的标准的TPM 2.0实体复制行为通过软件模拟的方式拆分为上半部分和下半部分,其中上半部分发生在密钥准备阶段,云密钥服务器根据租户自定义密码使用对称加密使得密钥和云租户绑定;下半部分发生在密钥部署阶段,云密钥服务器根据目标TPM芯片中的一个公钥证书使用非对称加密使得密钥和目标TPM芯片绑定。该两阶段密钥复制方法严格按照标准TPM 2.0实体复制协议来完成,具备高兼容性和高适用性。使用该方法具备高安全性,租户密钥直接以密文形式保存,无需引入硬件安全模块,并可将租户密钥灵活地部署到多个计算实例的目标TPM芯片中。

Description

一种面向云环境的可信平台模块两阶段密钥复制方法
技术领域
本发明涉及云计算和系统安全领域,尤其涉及一种面向云环境的可信平台模块两阶段密钥复制方法。
背景技术
云计算通过提供弹性可伸缩的计算机系统资源(以虚拟机或者容器形式呈现),使得客户,其实是服务提供商,可以专注于他们自己的核心业务,而无需自建并管理IT基础设施。目前,云计算已经得到广泛部署和使用,RightScale 2019云报告显示,94%的受访企业使用云服务,并且公有云的使用率已高达91%。为了提高硬件利用率并降低成本,绝大多数公有云服务提供商采用多租户(Multi-tenancy)形式来允许不同租户的计算实例运行在同一台物理服务器上。
然而,多租户云也来了安全上的新挑战:如果客户的私密数据,尤其是密钥(cryptographic keys),需要迁移到云计算实例中,而底层系统资源却需要和其他未知的租户共享,那么客户私密数据的安全性将会变成一个重要议题。研究者已经证实了一系列的跨租户侧信道攻击(Cross-tenant Side-channel Attacks)可以打破虚拟化隔离并从同一宿主机上的(Co-resident)受害者虚拟机/容器中窃取密钥信息。
可信平台模块(Trusted Platform Module,TPM),作为一款由可信计算组织(Trusted Computing Group,TCG)进行标准化的安全芯片(Secure Cryptoprocessor),可以提供一系列硬件级别的安全功能,比如平台可信根(Root of Trust),可信认证(Attestation),数据密封(Sealing),密钥生成,保护性存储(Protected Storage)以及加解密服务。最新的TPM规范是TPM 2.0。如今,许多移动设备、个人计算机以及服务器都已经配备了可信平台模块;而且,已经有许多研究使用可信平台模块来构建可信的操作系统、移动服务或云服务。
对于多租户云(Multi-tenant Clouds)来说,可信平台模块(TPM)可以用于保护租户的密钥安全。租户可以将密钥上传至可信的云密钥服务器(In-cloud Key Server),当该租户的某个计算实例(虚拟机或容器)需要使用密钥时,则向密钥服务器发送请求;密钥服务器使用TPM 2.0实体复制协议(Duplication Protocol)将对应密钥安全地导入目标计算实例的目标TPM芯片中,供租户使用。
对于多租户云(Multi-tenant Clouds)来说,可信平台模块(TPM)可以用于保护租户的密钥安全。租户可以将密钥上传至可信的云密钥服务器(In-cloud Key Server),当该租户的某个计算实例(虚拟机或容器)需要使用密钥时,则向密钥服务器发送请求;密钥服务器使用TPM 2.0实体复制协议(Duplication Protocol)将对应密钥安全地导入目标计算实例的目标TPM芯片中,供租户使用。
尽管借助云密钥服务器(In-cloud Key Server)和可信平台模块(TPM),可以在多租户云中实现租户密钥的有效管理和保护,但仍需解决如下一个问题:如何在云密钥服务器中保护租户密钥的安全。这里先对比分析已有的几种解决方案:
方案一:在云密钥服务器中引入硬件安全模块(Hardware Security Module,HSM)来确保租户密钥的安全。但HSM价格昂贵,且为方便频繁访问,HSM的访问凭证通常直接写入配置文件,这也会引发新的安全隐患。
方案二:在云密钥服务器中直接使用TPM芯片保护租户的密钥并执行后期的密钥复制行为。但由于TPM芯片是低速设备,且不支持并发操作,系统性能会受到限制。更重要的是,TPM芯片需要一个私密的授权值(AuthValue)来控制对受保护的租户密钥的访问,且该授权值需要让对应租户知晓(导入复制密钥至租户计算实例端TPM芯片时需要),那么如何在云密钥服务器中保护该私密授权值的安全又变成一个新的问题,可能还是需要引入HSM。
方案三:租户上传密钥至云密钥服务器时,直接根据TPM 2.0实体复制协议执行密钥复制动作,生成复制密钥(Duplicated Key)并保存,同时删除明文的租户密钥。复制密钥是一个密文,可以受多重保护,通常至少受目标TPM芯片(这里即租户计算实例端TPM芯片)中的某个公钥保护。通过在密钥准备阶段就进行TPM密钥复制的方式,租户密钥可以以密文的形式保存在云密钥服务器中,无需额外保护即可确保安全。但缺点是,该复制密钥已经绑定了一个目标TPM芯片,也即只能部署到一个确定的计算实例(虚拟机/容器)中,如果租户的云服务在扩展阶段需要使用更多的计算实例,这些新的实例无法通过云密钥服务器获得密钥部署服务。
因此,本领域的技术人员致力于开发一种面向云环境的可信平台模块两阶段密钥复制方法。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是如何设计一个高安全性的、低成本的、可灵活部署的云密钥服务器解决方案。
为实现上述目的,本发明提供了一种面向云环境的TPM两阶段密钥复制方法,所述方法在云密钥服务器中将对密码的标准的TPM 2.0实体复制行为通过软件模拟拆分为上半部分和下半部分;
所述上半部分发生在密钥准备阶段,所述云密钥服务器根据租户自定义密码使用对称加密使得所述密钥和云租户绑定;所述下半部分发生在密钥部署阶段,所述云密钥服务器根据目标TPM芯片中的一个公钥证书使用非对称加密使得所述密钥和所述目标TPM芯片绑定。
以这种方式,所述云租户的所述密钥不仅可以直接以密文方式保存在所述云密钥服务器中,无需引入昂贵的硬件安全模块(HSM)进行密钥保护,而且也不影响后期将所述云租户的所述密钥部署到多个计算实例的目标TPM芯片中。该两阶段密钥复制方法严格按照标准TPM 2.0协议来完成,具备高兼容性和高适用性。
所述的TPM 2.0实体复制行为对应一个标准的TPM命令,也即一步完成。
进一步地,所述方法按照TPM 2.0实体复制协议完成,具备高兼容性和高适用性。
进一步地,所述方法包括如下步骤:
(S1)所述云租户在一个环境中通过一个通道将所述密钥和所述租户自定义密码上传至所述云密钥服务器,所述云租户的所述密钥可由所述云密钥服务器部署到计算实例中;
(S2)所述云密钥服务器先通过所述租户自定义密码导出一个对称密钥,然后按照所述TPM 2.0实体复制协议,借助所述软件模拟,使用导出的所述对称密钥对所述云租户的所述密钥进行对称密码学内部包装,完成所述上半部分的所述TPM 2.0实体复制行为,生成“一阶段复制密钥”;
(S3)所述云密钥服务器删除所述云租户上传的所述密钥和所述租户自定义密码,并将所述“一阶段复制密钥”保存到通用存储中;
(T1)在所述云租户的所述计算实例中,上层应用需要使用所述云租户的所述密钥,调用密钥处理模块;
(T2)所述密钥处理模块先在所述目标TPM芯片中创建一个非对称存储密钥;然后所述密钥处理模块获取所述非对称存储密钥的所述公钥证书;
(T3)所述密钥处理模块根据所述云租户的配置,包含密钥ID,以及得到的所述公钥证书向所述云密钥服务器请求密钥部署服务;
(T4)所述云密钥服务器先根据所述密钥ID从所述通用存储中定位所述云租户的所述密钥对应的所述“一阶段复制密钥”,然后按照所述TPM 2.0实体复制协议,借助所述软件模拟,使用所述公钥证书对所述“一阶段复制密钥”进行非对称密码学外部包装,完成所述下半部分的所述TPM 2.0实体复制行为,生成“两阶段复制密钥”,即完整的复制密钥;
(T5)所述云密钥服务器将所述“两阶段复制密钥”传递给所述云租户所述计算实例中的所述密钥处理模块;
(T6)所述密钥处理模块根据TPM 2.0规范将所述“两阶段复制密钥”导入并加载至所述目标TPM芯片中;
其中,所述步骤(S1)至所述步骤(S3)发生在所述密钥准备阶段,所述步骤(T1)至所述步骤(T6)发生在所述密钥部署阶段。
进一步地,所述通用存储无需引入硬件安全模块。
进一步地,所述计算实例是指虚拟机或容器。
进一步地,所述环境是指本地计算机。
进一步地,所述通道是HTTPS通道。
进一步地,所述非对称存储密钥是一个新的主存储密钥。
进一步地,所述非对称存储密钥是某个已存在主存储密钥的子密钥。
使用TPM两阶段密钥复制方法的所述云密钥服务器具备如下优点:
高安全性,所述云租户的所述密钥直接以密文形式(即所述“一阶段复制密钥”)保存;
低成本,无需引入昂贵的所述硬件安全模块即可确保密钥安全;
灵活部署,所述“一阶段复制密钥”只绑定所述云租户,在所述密钥部署阶段再绑定具体所述目标TPM芯片生成完整的所述“两阶段复制密钥”,也即可以将所述云租户的所述密钥灵活地部署到多个所述计算实例的所述目标TPM芯片中。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的一种面向云环境的可信平台模块两阶段密钥复制方法的示意图。
具体实施方式
以下参考说明书附图介绍本发明的多个优选实施例,使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现,本发明的保护范围并非仅限于文中提到的实施例。
如图1所示,为本发明的一种面向云环境的可信平台模块两阶段密钥复制方法的示意图,TPM两阶段密钥复制方法贯穿于密钥准备(S1-S3)和密钥部署(T1-T6)两个阶段,包含以下详细步骤:
(S1)云租户在一个安全的环境中(比如本地计算机)通过一个安全的通道(比如HTTPS)将密钥和自定义密码上传至云密钥服务器,租户密钥在需要的时候由云密钥服务器部署到具体的计算实例(虚拟机/容器)中去;
(S2)云密钥服务器先通过租户自定义密码导出一个对称密钥,然后按照TPM 2.0实体复制协议,借助软件模拟,使用导出的对称密钥对租户密钥进行对称密码学内部包装(Inner-wrapping),完成上半部分(Top Half)的TPM 2.0实体复制行为,生成“一阶段复制密钥”;
(S3)云密钥服务器安全地删除租户上传的密钥和自定义密码,并将“一阶段复制密钥”保存到通用存储中。因为一阶段复制密钥已经是密文,无需引入昂贵的HSM进行密钥保护。
(T1)在租户的某个计算实例中,上层应用因为需要使用租户密钥,调用密钥处理模块;
(T2)密钥处理模块先在本地TPM芯片中创建一个非对称存储密钥(AsymmetricStorage Key,ASK),其可能是一个新的主存储密钥(Primary Storage Key,PSK),也可能是某个已存在PSK的子密钥;然后密钥处理模块获取ASK的公钥证书;
(T3)密钥处理模块根据租户的配置(包含密钥ID)以及刚刚得到的ASK公钥证书向云密钥服务器请求密钥部署服务;
(T4)云密钥服务器先根据密钥ID从通用存储中定位租户密钥对应的“一阶段复制密钥”;然后按照TPM 2.0实体复制协议,借助软件模拟,使用ASK公钥对“一阶段复制密钥”进行非对称密码学外部包装(Outer-wrapping),完成下半部分(Bottom Half)的TPM 2.0实体复制行为,生成“两阶段复制密钥”,即完整的复制密钥;
(T5)云密钥服务器将“两阶段复制密钥”传递给租户计算实例中的密钥处理模块,由于“两阶段复制密钥”是密文,无需使用加密通道进行传输;
(T6)密钥处理模块根据TPM 2.0规范将“两阶段复制密钥”导入并加载至TPM芯片中,至此,租户密钥成功部署至目标TPM芯片。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。

Claims (7)

1.一种面向云环境的可信平台模块两阶段密钥复制方法,其特征在于,所述方法在云密钥服务器中将对密码的标准的TPM 2.0实体复制行为通过软件模拟拆分为上半部分和下半部分;
所述上半部分发生在密钥准备阶段,所述云密钥服务器根据租户自定义密码使用对称加密使得所述密钥和云租户绑定;所述下半部分发生在密钥部署阶段,所述云密钥服务器根据目标TPM芯片中的一个公钥证书使用非对称加密使得所述密钥和所述目标TPM芯片绑定;
所述的TPM 2.0实体复制行为对应一个标准的TPM命令,也即一步完成;
所述方法按照TPM 2.0实体复制协议完成,具备高兼容性和高适用性;
所述方法包括如下步骤:
(S1)所述云租户在一个环境中通过一个通道将所述密钥和所述租户自定义密码上传至所述云密钥服务器,所述云租户的所述密钥可由所述云密钥服务器部署到计算实例中;
(S2)所述云密钥服务器先通过所述租户自定义密码导出一个对称密钥,然后按照所述TPM 2.0实体复制协议,借助所述软件模拟,使用导出的所述对称密钥对所述云租户的所述密钥进行对称密码学内部包装,完成所述上半部分的所述TPM 2.0实体复制行为,生成“一阶段复制密钥”;
(S3)所述云密钥服务器删除所述云租户上传的所述密钥和所述租户自定义密码,并将所述“一阶段复制密钥”保存到通用存储中;
(T1)在所述云租户的所述计算实例中,上层应用需要使用所述云租户的所述密钥,调用密钥处理模块;
(T2)所述密钥处理模块先在所述目标TPM芯片中创建一个非对称存储密钥;然后所述密钥处理模块获取所述非对称存储密钥的所述公钥证书;
(T3)所述密钥处理模块根据所述云租户的配置,包含密钥ID,以及得到的所述公钥证书向所述云密钥服务器请求密钥部署服务;
(T4)所述云密钥服务器先根据所述密钥ID从所述通用存储中定位所述云租户的所述密钥对应的所述“一阶段复制密钥”,然后按照所述TPM 2.0实体复制协议,借助所述软件模拟,使用所述公钥证书对所述“一阶段复制密钥”进行非对称密码学外部包装,完成所述下半部分的所述TPM 2.0实体复制行为,生成“两阶段复制密钥”,即完整的复制密钥;
(T5)所述云密钥服务器将所述“两阶段复制密钥”传递给所述云租户所述计算实例中的所述密钥处理模块;
(T6)所述密钥处理模块根据TPM 2.0规范将所述“两阶段复制密钥”导入并加载至所述目标TPM芯片中;
其中,所述步骤(S1)至所述步骤(S3)发生在所述密钥准备阶段,所述步骤(T1)至所述步骤(T6)发生在所述密钥部署阶段。
2.如权利要求1所述的面向云环境的可信平台模块两阶段密钥复制方法,其特征在于,所述通用存储无需引入硬件安全模块。
3.如权利要求1所述的面向云环境的可信平台模块两阶段密钥复制方法,其特征在于,所述计算实例是指虚拟机或容器。
4.如权利要求1所述的面向云环境的可信平台模块两阶段密钥复制方法,其特征在于,所述环境是指本地计算机。
5.如权利要求1所述的面向云环境的可信平台模块两阶段密钥复制方法,其特征在于,所述通道是HTTPS通道。
6.如权利要求1所述的面向云环境的可信平台模块两阶段密钥复制方法,其特征在于,所述非对称存储密钥是一个新的主存储密钥。
7.如权利要求1所述的面向云环境的可信平台模块两阶段密钥复制方法,其特征在于,所述非对称存储密钥是某个已存在主存储密钥的子密钥。
CN201910652110.9A 2019-07-18 2019-07-18 一种面向云环境的可信平台模块两阶段密钥复制方法 Active CN110430046B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910652110.9A CN110430046B (zh) 2019-07-18 2019-07-18 一种面向云环境的可信平台模块两阶段密钥复制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910652110.9A CN110430046B (zh) 2019-07-18 2019-07-18 一种面向云环境的可信平台模块两阶段密钥复制方法

Publications (2)

Publication Number Publication Date
CN110430046A CN110430046A (zh) 2019-11-08
CN110430046B true CN110430046B (zh) 2021-07-06

Family

ID=68411207

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910652110.9A Active CN110430046B (zh) 2019-07-18 2019-07-18 一种面向云环境的可信平台模块两阶段密钥复制方法

Country Status (1)

Country Link
CN (1) CN110430046B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112804209A (zh) * 2020-12-30 2021-05-14 中国人民武装警察部队工程大学 一种云存储审计数据处理方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101196968A (zh) * 2007-12-17 2008-06-11 山东超越数控电子有限公司 一种单机信息的安全保护方法
CN104320258A (zh) * 2014-10-24 2015-01-28 西安未来国际信息股份有限公司 一种云计算服务接入网关的方法
CN104601571A (zh) * 2015-01-14 2015-05-06 浪潮电子信息产业股份有限公司 一种租户与云服务器存储交互的数据加密系统及方法
CN107294710A (zh) * 2017-06-30 2017-10-24 浪潮(北京)电子信息产业有限公司 一种vTPM2.0的密钥迁移方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8375437B2 (en) * 2010-03-30 2013-02-12 Microsoft Corporation Hardware supported virtualized cryptographic service
CN103297229A (zh) * 2012-02-24 2013-09-11 鸿富锦精密工业(深圳)有限公司 虚拟机安全操作系统及方法
US9037854B2 (en) * 2013-01-22 2015-05-19 Amazon Technologies, Inc. Privileged cryptographic services in a virtualized environment
CN103516728B (zh) * 2013-10-14 2016-08-31 武汉大学 一种防止云平台虚拟机非法启动的镜像加解密方法
US9882934B2 (en) * 2015-06-29 2018-01-30 Synopsys, Inc. Simple trusted transfer to internet of things devices
US9667606B2 (en) * 2015-07-01 2017-05-30 Cyphermatrix, Inc. Systems, methods and computer readable medium to implement secured computational infrastructure for cloud and data center environments

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101196968A (zh) * 2007-12-17 2008-06-11 山东超越数控电子有限公司 一种单机信息的安全保护方法
CN104320258A (zh) * 2014-10-24 2015-01-28 西安未来国际信息股份有限公司 一种云计算服务接入网关的方法
CN104601571A (zh) * 2015-01-14 2015-05-06 浪潮电子信息产业股份有限公司 一种租户与云服务器存储交互的数据加密系统及方法
CN107294710A (zh) * 2017-06-30 2017-10-24 浪潮(北京)电子信息产业有限公司 一种vTPM2.0的密钥迁移方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于TPM联盟的可信云平台管理模型;田俊峰;《通信学报》;20160225;全文 *

Also Published As

Publication number Publication date
CN110430046A (zh) 2019-11-08

Similar Documents

Publication Publication Date Title
CN111541785B (zh) 基于云计算的区块链数据处理方法及装置
US11159518B2 (en) Container independent secure file system for security application containers
US8977842B1 (en) Hypervisor enabled secure inter-container communications
CN106105146B (zh) 在密码证明资源处保护客户端指定凭证
KR101608510B1 (ko) 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법
JP6484255B2 (ja) 信頼実行環境を含むホストのアテステーション
US10262130B2 (en) System and method for providing cryptographic operation service in virtualization environment
US20150134965A1 (en) Enhanced Secure Virtual Machine Provisioning
EP2947811A1 (en) Method, server, host and system for protecting data security
US20150134953A1 (en) Method and apparatus for offering cloud-based hsm services
US20220067221A1 (en) Method and system for implementing security operations in an input/output device
US10509914B1 (en) Data policy implementation in a tag-based policy architecture
TWI724473B (zh) 移動終端中共享安全應用的方法及移動終端
JP2022539969A (ja) プロセスコンテナのコンテキストからセキュアメモリエンクレーブを使用すること
US20160087995A1 (en) Procedure For Platform Enforced Storage in Infrastructure Clouds
CN104021335B (zh) 基于可扩展密码服务框架的密码服务方法
US11019033B1 (en) Trust domain secure enclaves in cloud infrastructure
EP4332810A1 (en) Method for realizing virtualized trusted platform module, and secure processor and storage medium
CN110430046B (zh) 一种面向云环境的可信平台模块两阶段密钥复制方法
US10691356B2 (en) Operating a secure storage device
WO2023226349A1 (zh) 一种基于可信执行环境的隐私计算系统及方法
WO2024139273A1 (zh) 联邦学习方法、装置、可读存储介质及电子设备
CN114676392B (zh) 应用的可信授权方法、装置及电子设备
US20230032363A1 (en) Sensitive data encryption
CN116545759A (zh) 基于密钥协商的密文交互方法、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant