CN110971398A - 数据处理方法、装置及系统 - Google Patents

数据处理方法、装置及系统 Download PDF

Info

Publication number
CN110971398A
CN110971398A CN201811143031.7A CN201811143031A CN110971398A CN 110971398 A CN110971398 A CN 110971398A CN 201811143031 A CN201811143031 A CN 201811143031A CN 110971398 A CN110971398 A CN 110971398A
Authority
CN
China
Prior art keywords
user key
plaintext
chip
data
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811143031.7A
Other languages
English (en)
Inventor
付颖芳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201811143031.7A priority Critical patent/CN110971398A/zh
Priority to US16/586,463 priority patent/US20200104528A1/en
Publication of CN110971398A publication Critical patent/CN110971398A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/123Restricting unauthorised execution of programs by using dedicated hardware, e.g. dongles, smart cards, cryptographic processors, global positioning systems [GPS] devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioethics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种数据处理方法、装置及系统。其中,该方法包括:安全芯片接收到密码运算芯片发送的索要用户密钥明文的请求,其中,用户密钥明文用于对待处理数据进行处理;安全芯片获取用于对用户密钥密文进行解密的存储密钥明文;安全芯片采用存储密钥明文对用户密钥密文进行解密,得到用户密钥明文;安全芯片将用户密钥明文反馈给密码运算芯片。本发明解决了相关技术中如何保证用户密钥安全,防止传输过程泄露,使得用户密钥能够安全地对用户数据进行处理的技术问题。

Description

数据处理方法、装置及系统
技术领域
本发明涉及密码运算领域,具体而言,涉及一种数据处理方法、装置及系统。
背景技术
随着互联网的普及,电子通讯的应用越来越广泛,但是,随之而来信息的安全性问题也显著成为电子通讯的主要问题,对信息的安全性问题,可以采用多种方式区减少信息被盗取,篡改或者替换的可能性,例如,对数据进行加密,在信息交互的双方之间进行数据传输时,由传输方对数据进行加密后向接收方,需要在将信息接收方,对接收的加密信息进行解密,从而使接收方获得传输方出书的原数据,而且有效防止在数据传输过程中第三方对数据的盗取,篡改或者替换的情况。
现有的加密和解密方式,可以是通过加密算法,以及和加密算法对应的解密算法实现对数据的加密和解密,例如,采用可信高速加密卡,进行加密。但是,当需要使用用户密钥对数据进行加密和/或解密时,即在对待加密数据进行加密的过程和/或对待解密数据进行解密的过程中,会存在安全性较低的问题。例如,对于如何保证用户密钥的安全性,以及如何通过与板卡之间的交互获得用户密钥,防止用户密钥内存或外部传输泄露,使得用户密钥能够安全地对用户数据进行加解和/或解密。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种数据处理方法、装置及系统,以至少解决相关技术中如何保证用户密钥安全,防止传输过程泄露,使得用户密钥能够安全地对用户数据进行处理的技术问题。
根据本发明实施例的一个方面,提供了一种数据处理方法,包括:安全芯片接收到密码运算芯片发送的索要用户密钥明文的请求,其中,所述用户密钥明文用于对待处理数据进行处理,其中,对所述待处理数据进行处理包括:对所述待处理数据进行加密处理,和/或,进行解密处理;所述安全芯片获取用于对用户密钥密文进行解密的存储密钥明文;所述安全芯片采用所述存储密钥明文对所述用户密钥密文进行解密,得到所述用户密钥明文;所述安全芯片将所述用户密钥明文反馈给所述密码运算芯片。
根据本发明实施例的另一方面,还提供了一种数据处理方法,包括:密码运算芯片接收到数据处理请求;所述密码运算芯片获取到待处理数据及用户密钥密文;所述密码运算芯片将所述用户密钥密文加载至安全芯片,用于向所述安全芯片索要用户密钥明文;所述密码运算芯片接收到所述安全芯片反馈的用户密钥明文,其中,所述用户密钥明文由所述安全芯片基于存储密钥明文对所述用户密钥密文解密得到;所述密码运算芯片采用所述用户密钥明文对所述待处理进行处理,得到处理结果,其中,对所述待处理数据进行处理包括:对所述待处理数据进行加密处理,和/或,进行解密处理;所述密码运算芯片响应于所述数据处理请求,反馈所述处理结果。
根据本发明实施例的另一方面,还提供了一种数据处理方法,包括:密码运算芯片接收到数据请求;所述密码运算芯片获取到待处理数据及用户密钥密文;所述密码运算芯片将所述用户密钥密文加载至安全芯片,用于向所述安全芯片索要用户密钥明文;所述安全芯片获取用于对用户密钥密文进行解密的存储密钥明文;所述安全芯片采用所述存储密钥明文对所述用户密钥密文进行解密,得到所述用户密钥明文;所述安全芯片将所述用户密钥明文反馈给所述密码运算芯片;所述密码运算芯片采用所述用户密钥明文对所述待处理数据进行处理,得到处理结果,其中,对所述待处理数据进行处理包括:对所述待处理数据进行加密处理,和/或,进行解密处理;所述密码运算芯片响应于所述数据处理请求,反馈所述处理结果。
根据本发明实施例的另一方面,还提供了一种数据处理装置,应用于安全芯片,包括:第一接收模块,用于接收到密码运算芯片发送的索要用户密钥明文的请求,其中,所述用户密钥明文用于对待处理数据进行处理处理,其中,对所述待处理数据进行处理包括:对所述待处理数据进行加密处理,和/或,进行解密处理;第一获取模块,用于获取用于对用户密钥密文进行解密的存储密钥明文;第一解密模块,用于采用所述存储密钥明文对所述用户密钥密文进行解密,得到所述用户密钥明文;第一反馈模块,用于将所述用户密钥明文反馈给所述密码运算芯片。
根据本发明实施例的另一方面,还提供了一种数据处理装置,应用于密码运算芯片,包括:第二接收模块,用于接收到数据请求;第二获取模块,用于获取到待处理数据及用户密钥密文;加载模块,用于将所述用户密钥密文加载至安全芯片,用于向所述安全芯片索要用户密钥明文;第三接收模块,用于接收到所述安全芯片反馈的用户密钥明文,其中,所述用户密钥明文由所述安全芯片基于存储密钥明文对所述用户密钥密文解密得到;第二解密模块,用于采用所述用户密钥明文对所述待处理数据进行处理,得到处理结果,其中,对所述待处理数据进行处理包括:对所述待处理数据进行加密处理,和/或,进行解密处理;第二反馈模块,用于响应于所述数据处理请求,反馈所述处理结果。
根据本发明实施例的另一方面,还提供了一种数据处理系统,包括:密码运算芯片和安全芯片,其中,所述密码运算芯片,用于接收到数据请求,获取到待处理数据及用户密钥密文,以及将所述用户密钥密文加载至安全芯片,用于向所述安全芯片索要用户密钥明文;所述安全芯片,用于获取用于对用户密钥密文进行解密的存储密钥明文,采用所述存储密钥明文对所述用户密钥密文进行解密,得到所述用户密钥明文,以及将所述用户密钥明文反馈给所述密码运算芯片;所述密码运算芯片,还用于采用所述用户密钥明文对所述待处理数据进行处理,得到处理结果,以及响应于所述数据处理请求,反馈所述处理结果,其中,对所述待处理数据进行处理包括:对所述待处理数据进行加密处理,和/或,进行解密处理。
根据本发明实施例的另一方面,还提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行上述中任意一项所述的数据处理方法。
根据本发明实施例的另一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述中任意一项所述的数据处理方法。
根据本发明实施例的另一方面,还提供了一种计算设备,包括至少一个处理器;和存储有程序指令的存储器,其中,所述程序指令被配置为适于由所述至少一个处理器执行,所述程序指令包括用于执行如上述中任一项所述的数据处理方法。
在本发明实施例中,采用安全芯片接收到密码运算芯片发送的索要用户密钥明文的请求,其中,所述用户密钥明文用于对待处理数据进行处理,其中,对所述待处理数据进行处理包括:对所述待处理数据进行加密处理,和/或,进行解密处理;所述安全芯片获取用于对用户密钥密文进行解密的存储密钥明文;所述安全芯片采用所述存储密钥明文对所述用户密钥密文进行解密,得到所述用户密钥明文;所述安全芯片将所述用户密钥明文反馈给所述密码运算芯片的方式,通过对用户密钥明文进行处理,达到了安全传输用户密钥明文,并安全利用用户密钥明文对待处理数据进行处理的目的,从而实现了有效提高数据处理的安全性的技术效果,进而解决了相关技术中如何保证用户密钥安全,防止传输过程泄露,使得用户密钥能够安全地对用户数据进行处理的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1示出了一种用于实现数据处理方法的计算机终端(或移动设备)的硬件结构框图;
图2是根据本发明实施例1的一种数据处理方法的流程图;
图3是根据本发明实施例1的另一种数据处理方法的流程图;
图4是根据本发明实施例1的另一种数据处理方法的流程图;
图5是根据本发明实施例1的可信高速加密卡结构框图;
图6是根据本发明实施例1的可信计算芯片结构框图;
图7是根据本发明实施例1的FPGA芯片结构框图;
图8是根据本发明实施例1的一种基于可信高速加密卡的数据解密的保护方法的流程图;
图9是根据本发明实施例1的一种基于可信高速加密卡的数据加密的保护方法的流程图;
图10是根据本发明实施例2的一种数据处理方法的流程图;
图11是根据本发明实施例3的一种数据处理方法的流程图;
图12是根据本发明实施例4的一种数据处理装置的结构示意图;
图13是根据本发明实施例5的一种数据处理装置的结构示意图;
图14是根据本发明实施例6的一种数据处理系统的结构示意图;
图15是根据本发明实施例的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
可信平台模块/可信平台控制模块(TPM/TPCM):为证据提供完整性和真实性保障的安全芯片,一般通过物理方式被强绑定到计算平台。
现场可编程逻辑门阵列:Field-Programmable Gate Array,FPGA,具体是一种班定制电路,可以通过改变逻辑块的连接实现不同的逻辑门功能,而且上述逻辑快和连接可以按照设计进行更改,从而实现可编辑的功能。
可信高速数据加密卡THSDEC(Trusted high-speed Data Encryption Card,或者简称为THSDC):具有可信功能的数据加密卡。
实施例1
根据本发明实施例,还提供了一种数据处理方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现数据处理方法的计算机终端(或移动设备)的硬件结构框图。如图1所示,计算机终端10(或移动设备10)可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104。除此以外,还可以包括:传输模块、显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的数据处理方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的数据处理方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述传输模块用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输模块包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输模块可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。
图1示出的硬件结构框图,不仅可以作为上述计算机终端10(或移动设备)的示例性框图,还可以作为上述服务器的示例性框图,一种可选实施例中,计算机终端10(或移动设备)可以经由数据网络连接或电子连接到一个或多个服务器(例如安全服务器、资源服务器、游戏服务器等)。一种可选实施例中,上述计算机终端10(或移动设备)可以是任意移动计算设备等。数据网络连接可以是局域网连接、广域网连接、因特网连接,或其他类型的数据网络连接。计算机终端10(或移动设备)可以执行以连接到由一个服务器(例如安全服务器)或一组服务器执行的网络服务。网络服务器是基于网络的用户服务,诸如社交网络、云资源、电子邮件、在线支付或其他在线应用。
随着互联网的普及,电子通讯的应用越来越广泛,但是,随之而来信息的安全性问题也显著成为电子通讯的主要问题,对信息的安全性问题,可以采用多种方式区减少信息被盗取,篡改或者替换的可能性,例如,对数据进行加密,在信息交互的双方之间进行数据传输时,由传输方对数据进行加密后向接收方,需要在将信息接收方,对接收的加密信息进行解密,从而使接收方获得传输方出书的原数据,而且有效防止在数据传输过程中第三方对数据的盗取,篡改或者替换的情况。现有的加密和解密方式,可以是通过加密算法,以及和加密算法对应的解密算法实现对数据的加密和解密,例如,采用可信高速加密卡,进行加密。
可信高速加密卡THSDEC(Trusted high-speed Data Encryption Card,或者简称为THSDC)是实现从开机到操作系统内核加载前的平台可信引导功能;对业务敏感数据加密和/或解密的计算安全;两个设备交互,保障彼此的平台及身份的合法性。
在上述运行环境下,本申请提供了如图2所示的数据处理方法。图2是根据本发明实施例1的数据处理方法的流程图,如图2所示,该数据处理方法包括以下步骤:
步骤S202,安全芯片接收到密码运算芯片发送的索要用户密钥明文的请求,其中,用户密钥明文用于对待处理数据进行处理,其中,对待处理数据进行处理包括:对待处理数据进行加密处理,和/或,进行解密处理。
作为一种可选的实施例,上述索要用户密钥明文的请求,可以是密码运算芯片在接收到用户向可信高速加密卡进行加密和/或解密运算的请求后,向安全芯片发送的。上述密码运算请求可以是由用户直接发送给上述可信高速加密卡的请求,由上述可信高速加密卡直接进行接收,并进行与上述密码运算请求相应的加密和/或解密处理。
作为一种可选的实施例,上述密码运算芯片向安全芯片索要用户密钥明文,密码运算芯片接收到上述用户密钥明文后,通过该用户密钥明文对待处理数据进行加密和/或解密处理。
作为一种可选的实施例,上述用户密钥明文可以为不同的形式的数据,文件,或者程序等。
作为一种可选的实施例,上述待处理数据包括待加密数据和待解密数据,上述处理包括对待加密数据的加密处理,以及对待解密数据的解密处理。上述用户密钥明文包括,对待加密数据进行加密处理的加密算法,以及对待解密数据的解密处理的解密算法。
作为一种可选的实施例,上述处理包括,对待处理数据进行加密和/或解密处理,对上述待处理数据进行加密和/或解密处理需要通过一定的加密算法和/或解密算法,也即是上述用户密钥明文。上述加密和/或解密处理还可以包括,对上述用户密钥明文进行加密和/或解密处理。
步骤S204,安全芯片获取用于对用户密钥密文进行解密的存储密钥明文。
作为一种可选的实施例,上述用户密钥密文为对上述用户密钥明文进行加密处理得到的,上述用户密钥密文需要进行解密处理后,成为用户密钥明文,才能够被用于对待处理数据进行加密和/或解密处理。
作为一种可选的实施例,上述用户密钥明文进行加密生成用户密钥密文的加密处理过程,以及用户密钥密文进行解密生成用户密钥明文的解密处理过程,分别需要对应的加密算法和解密算法。上述加密算法和解密算法可以为不同的形式的数据,文件,或者程序等。
作为一种可选的实施例,上述对用户密钥密文进行解密生成用户密钥明文的解密处理过程,对应的解密算法可以书写在上述存储密钥明文中,通过上述存储密钥要明文对上述用户密钥密文进行解密,可以获得用户密钥明文。
作为一种可选的实施例,上述存储密钥明文可以为不同的形式的数据,文件,或者程序等。
步骤S206,安全芯片采用存储密钥明文对用户密钥密文进行解密,得到用户密钥明文。
作为一种可选的实施例,上述通过上述存储密钥明文对上述用户密钥密文进行解密,可以获得用户密钥明文的解密处理过程,可以由安全芯片执行,或者对用户密钥明文进行加密和/或解密处理的模块或者装置执行,该模块或者装置可以位于安全芯片之外。
作为一种可选的实施例,本实施例中上述通过存储密钥明文对用户密钥密文进行解密处理,得到用户密钥明文的过程由安全芯片执行,避免从安全芯片外部的模块或者装置进行获取上述存储密钥明文,也避免了由于传输该存储密钥明文而引起的存储密钥明文被篡改的情况,有效提高数据加密和/或解密的可靠性。
步骤S208,安全芯片将用户密钥明文反馈给密码运算芯片。
作为一种可选的实施例,安全芯片将用户密钥明文反馈给密码运算芯片,由上述密码运算芯片根据上述用户密钥明文,响应于用户对待处理数据进行处理的请求,对上述待处理数据进行加密和/或解密处理。
在本发明实施例中,采用安全芯片接收到密码运算芯片发送的索要用户密钥明文的请求,其中,用户密钥明文用于对待处理数据进行处理;安全芯片获取用于对用户密钥密文进行解密的存储密钥明文;安全芯片采用存储密钥明文对用户密钥密文进行解密,得到用户密钥明文;安全芯片将用户密钥明文反馈给密码运算芯片的方式,通过对用户密钥明文进行处理,从而实现了有效提高数据处理的安全性的技术效果,进而解决了相关技术中如何保证用户密钥安全,防止传输过程泄露,使得用户密钥能够安全地对用户数据进行处理的技术问题。
作为一种可选的实施例,图3是根据本发明实施例1的另一种数据处理方法的流程图,如图3所示,安全芯片获取用于对用户密钥密文进行解密的存储密钥明文包括:
步骤S302,安全芯片获取存储密钥密文,以及存储根密钥;
步骤S304,安全芯片采用存储根密钥对存储密钥密文进行解密,获得存储密钥明文。
作为一种可选的实施例,上述对存储密钥明文进行加密处理得到存储密钥密文,对上述存储密钥密文进行解密处理得到存储密钥明文。上述加密处理过程和解密处理过程需要加密算法和/或解密算法,上述加密算法和/或解密算法依据存储根密钥来处理。
作为一种可选的实施例,上述安全芯片获取存储密钥密文,以及存储根密钥,可以从安全芯片中获取,也即是上述存储密钥密文和存储根密钥存储在上述安全芯片中。可以有效提高解密加密的安全性。
作为一种可选的实施例,安全芯片采用存储根密钥对存储密钥密文进行解密,获得存储密钥明文,对存储密钥明文进行处理,可以有效提高用户密钥密文的加密和/或解密处理过程的安全性,从而提高用户密钥明文的安全性。
作为一种可选的实施例,安全芯片获取存储密钥密文,以及存储根密钥包括:安全芯片将存储密钥密文,以及存储根密钥由安全芯片的闪存加载至安全芯片的内存中。
作为一种可选的实施例,上述安全芯片将存储密钥密文,以及存储根密钥由安全芯片的闪存加载至安全芯片的内存中,可以保证上述存储密钥密文,以及存储根密钥的存储时间较长,存储较为稳定。
作为一种可选的实施例,上述安全芯片将存储密钥密文,以及存储根密钥由上述闪存接收,存储速度较快,然后,将闪存中的存储密钥密文,以及存储根密钥加载到上述内存中进行存储,不仅保证了较快的存储速度,而且保证了较长的存储时间,和稳定存储环境。
作为一种可选的实施例,在安全芯片接收到密码运算芯片发送的索要用户密钥明文的请求之后,还包括:安全芯片从密码运算芯片中加载用户密钥密文至安全芯片的内存中。
作为一种可选的实施例,图4是根据本发明实施例1的另一种数据处理方法的流程图,如图4所示,安全芯片将用户密钥明文反馈给密码运算芯片包括:
步骤S402,安全芯片采用临时会话密钥对用户密钥明文进行加密,得到加密的用户密钥;
步骤S404,安全芯片将加密的用户密钥通过电路板反馈给密码运算芯片,其中,电路板集成安全芯片和密码运算芯片。
作为一种可选的实施例,上述安全芯片在将用户密钥明文传输给密码运算芯片的过程中,也可以对该传输过程进行加密和/或解密处理,将上述用户密钥明文作为传输数据来进行加密和/或解密处理,从而提高上述用户密钥明文传输的安全性。
作为一种可选的实施例,上述安全芯片可以采用多种方式进行加密和/或解密处理,例如,上述安全芯片采用临时会话密钥对用户密钥明文进行加密,得到加密的用户密钥。上述临时会话的方式,简单便捷,传输连接建立和取消的速度快,从而提高传输效率。
作为一种可选的实施例,上述安全芯片将加密的用户密钥通过电路板反馈给密码运算芯片,其中,电路板集成安全芯片和密码运算芯片。利用上述安全芯片和密码运算芯片原有的连接电路板进行传输,将充分利用已有资源,避免利用新的资源,有效降低了上述安全芯片和密码运算芯片的能耗。
作为一种可选的实施方式,本实施例提供了一种可信高速加密卡结构,下面对该可信高速加密卡进行详细说明。
可信高速加密卡THSDC将可信计算芯片(也即是上述所指的安全芯片)与FPGA(现场可编程逻辑门阵列,Field-Programmable Gate Array)高速加密卡(也即是上述所指的密码运算芯片)集成在一张PCIE卡里,图5是根据本发明实施例1的可信高速加密卡结构框图,如图5所示,可信计算芯片HSDEC与FPGA芯片之间的数据交互,可以通过板卡内部的电路直接通信,不需通过映射主机Host的内存进行。如图5所示,其中,THSDC与可信软件基TSB(或可信软件栈TSS)通过PCIE或SPI总线进行命令和数据交互;通过使用多路复用器对GPIO/SPI/I2C进行复用的方式,实现对BMC/BIOS的度量以及与相关控制器的连接。
图6是根据本发明实施例1的可信计算芯片结构框图,如图6所示,可信计算芯片HSDEC主要由主计算区、密码计算区、存储区组成,其中主计算区包括CPU及内存,主要负责对密码计算能力及存储能力要求不高,但安全要求性很高的密码运算以外的通用计算;其中密码计算区包括不同种类密码算法的引擎,比如SM3、SM2、SM4、RSA、AES算法等,主要负责密码计算能力及存储能力要求不高密码运算;其中存储区包含固件的存储、PCR寄存器的存储、主密钥的存储(主密钥可以用来保护FPGA芯片卡里所产生的用户密钥)、FPGA密码运算相关固件存储(主要是密码算法、接口、时序、状态、缓存等)、度量根/报告根/存储根的存储。
图7是根据本发明实施例1的FPGA芯片结构框图,如图7所示,FPGA芯片主要由主计算区、密码运算区及存储区组成:
其中主计算区由内置FPGA芯片的NIOS软核处理器,及PCIE硬核组成,分别实现控制器模块和接口模块功能;
密码运算区主要负责对密码计算能力及存储能力要求较高的密码运算,其密码算法可以根据用户固件动态存储区的用户策略制定的实际应用的密码算法需求,进行板内动态加载,加载之前,可信度量根验证其完整性及合法性再加载。
其中,存储区包括系统固件静态存储区,该区只可读不可写;用户固件动态存储区可读可写,该区主要是用户的配置的动态策略;用户密钥,FPGA芯片通过密码运算算法所计算出来的用户密钥。
本实施方式还提供了一种基于可信高速加密卡的数据解密保护方法,在执行上述方法时,可信高速加密卡在执行高速加密和/或解密相关运算时,假设设备平台及系统是完整的;用户数据由用户密钥保护;用户密钥由用户利用可信高速加密卡的密码运算芯片产生;用户密钥由用户存储密钥(也可称为主密钥)保护,该存储密钥由可信管控平台产生,或用户设备自带的可信高速加密卡产生;用户存储密钥由可信芯片存储根密钥保护;可信芯片存储根密钥是可信高速加密卡出厂的时候已产生;用户存储密钥由可信高速加密卡的存储根密钥派生;用户和可信高速加密卡的数据交互都经过对方公或私钥加密保护,及通过证书对对方身份的校验。
图8是根据本发明实施例1的一种基于可信高速加密卡的数据解密的保护方法的流程图,如图8所示,总共包括4个实体:用户、TSB/TSS(TSB对应TPCM的可信软件基,TSS对应TPM的可信软件栈)、可信高速加密卡的可信芯片(TPM/TPCM),以及高速密码运算芯片(HSDEC),可信芯片由两部分组成TPM/TPCM-Flash(TPM内置存储)和TPM/TPCM-Ocm(TPM内置内存)组成;高速密码运算芯片由HSDEC-Flash(HSDEC内置存储)和HSDEC-Ocm(HSDEC内置内存)组成。
本实施方式中的一种基于可信高速加密卡的数据解密的保护方法,执行步骤如下:
步骤1,用户通过TSB/TSS向可信高速加密卡发送数据解密请求,HSDEC的OS系统从Flash中将用户数据密文及用户密钥密文加载到高速密码芯片的OCM(内存)中;
步骤2,高速密码运算芯片向可信芯片索取用户密钥明文,同时用户密钥密文被加载到可信芯片OCM中;
步骤3,可信芯片获取解密用户密钥密文的存储密钥;
步骤4,为获取存储密钥,可信芯片将存储密钥密文从Flash加载到其OCM中,同时将其可信存储根密钥也加载到OCM中;
步骤5,可信芯片通过密码引擎调用相关密码算法,执行步骤6进行计算;
步骤6,可信芯片用存储根密钥解密存储密钥密文得到存储密钥明文;
步骤7,可信芯片通过密码引擎调用相关密码算法,就存储密钥明文和用户密钥密文进行解密运算获取用户密钥明文;
步骤8,可信芯片将用户密钥明文通过可信芯片与高速密码运算芯片内部的板上电路传输给高速密码运算芯片;
需要说明的是,在上述步骤8中,为了更高安全级别,可信芯片也可以用与高速密码运算芯片临时协商的用户密码运算度量密钥加密后,通过板上电路传输给高速密码运算芯片;另外,用户密码运算度量密钥的预置,可以是用户密码运算度量密钥,用于参与用户密码运算算法固件的度量,以保证密码运算动态度量过程的加载可信及执行可信。
步骤9,高速密码运算芯片通过密码引擎调用相关密码算法,就用户密钥明文和用户数据密文进行解密运算获取用户数据明文;
需要说明的是,在上述步骤9中,如果高速密码运算芯片获得的是用临时会话密钥或度量密钥加密的用户密钥密文,还需进行相应的解密操作。
步骤10,用户可以从FLASH中直接获取用户数据明文。
需要说明的是,在上述步骤10中,如果解密后的数据明文具有敏感性,还可以用用户相应的身份加密数据,用户收到数据明文后,用其基于身份的私钥解密。
本实施例还提供了一种基于可信高速加密卡的数据加密保护方法,图9是根据本发明实施例1的一种基于可信高速加密卡的数据加密的保护方法的流程图,如图9所示,其方法流程与图8似,不同之处,只是开始处理的对象由数据密文变为数据明文;数据处理由解密变为加密操作,因此不再赘述。
通过上述可选实施例,利用可信芯片对高速密码运算过程中用户存储密钥及用户密钥进行安全的保护,解决了高速密码运算芯片中用户密钥的泄露风险;密钥相关的低速加密和/或解密在可信芯片中完成,数据相关的高速密码运算在高速密码芯片中进行,解决了高速密码运算相关密钥的安全性以及现有可信芯片加密和/或解密数据计算受限的缺陷。
实施例2
根据本发明实施例,还提供了另一种数据处理方法的方法实施例,图10是根据本发明实施例2的一种数据处理方法的流程图,如图10所示,该数据处理方法执行以下步骤:
步骤S1001,密码运算芯片接收到数据处理请求。
作为一种可选的实施例,上述密码运算芯片接收到用户发送的数据处理请求,上述数据处理请求可以是用户向可信高速加密卡进行加密运算的请求,上述数据处理请求可以是由用户直接发送给上述可信高速加密卡的请求,由上述可信高速加密卡直接进行接收,并进行与上述数据处理请求相应的加密运算。
作为一种可选的实施例,上述数据处理请求还可以是经过一定处理之后,再发送给上述可信高速加密卡的运算请求,数据处理请求经过一定处理后,具有与该处理方式响应的优化性能。例如,数据处理请求经过除噪处理之后,数据处理请求可以更加准确。再例如,数据处理请求经过处理后,具有传输更加安全的性能。
作为一种可选的实施例,上述数据处理请求还可以经过可信转发模块的处理,可信转发模块用于对数据处理请求的合法性进行鉴定,也即是对数据处理请求进行鉴权处理,在该数据处理请求鉴权通过的情况下,将数据处理请求转发给可信高速加密卡。
步骤S1002,密码运算芯片获取到待处理数据及用户密钥密文。
作为一种可选的实施例,上述密码运算芯片先要获取用户密钥明文,根据用户密钥明文对上述待处理数据进行处理。
作为一种可选的实施例,上述用户密钥明文由上述用户密钥密文进行解密处理得到,上述用户密钥密文可以是存储在上述密码运算芯片中,或者上述密码运算芯片之外的可以存储该用户密钥密文的模块或装置。
作为一种可选的实施例,上述用户密钥密文与上述待处理数据均存储在上述用户发送的数据处理请求中,与上述待处理数据共用一条传输路径,在确定该数据家解密请求未被篡改的情况下,可以认定上述待处理数据未被篡改。
步骤S1003,密码运算芯片将用户密钥密文加载至安全芯片,用于向安全芯片索要用户密钥明文。
作为一种可选的实施例,上述密码运算芯片将来自用户数据处理请求的用户密钥密文传送给安全芯片,有安全芯片对上述用户密钥密文进行解密处理,得到用户密钥明文。
作为一种可选的实施例,上述用户密钥明文可以为不同的形式的数据,文件,或者程序等。
作为一种可选的实施例,安全芯片接收到密码运算芯片发送的索要用户密钥明文的请求,其中,用户密钥明文用于对待处理数据进行处理。
作为一种可选的实施例,上述密码运算芯片向安全芯片索要用户密钥明文,密码运算芯片接收到上述用户密钥明文后,通过该用户密钥明文对待处理数据进行处理。
步骤S1004,密码运算芯片接收到安全芯片反馈的用户密钥明文,其中,用户密钥明文由安全芯片基于存储密钥明文对用户密钥密文解密得到。
作为一种可选的实施例,上述安全芯片获取用于对用户密钥密文进行解密的存储密钥明文,根据上述安全芯片根据上述存储密钥明文对上述用户密钥密文进行解密处理得到上述用户密钥明文。
作为一种可选的实施例,上述用户密钥明文进行加密生成用户密钥密文的加密处理过程,以及用户密钥密文进行解密生成用户密钥明文的解密处理过程,分别需要对应的加密算法和解密算法。上述加密算法和解密算法可以为不同的形式的数据,文件,或者程序等。
作为一种可选的实施例,上述对用户密钥密文进行解密生成用户密钥明文的解密处理过程,对应的解密算法可以书写在上述存储密钥明文中,通过上述存储密钥要明文对上述用户密钥密文进行解密,可以获得用户密钥明文。
步骤S1005,密码运算芯片采用用户密钥明文对待处理数据进行处理,得到处理结果,其中,对待处理数据进行处理包括:对待处理数据进行加密处理,和/或,进行解密处理。
作为一种可选的实施例,密码运算芯片根据上述安全芯片解密处理得到的用户密钥明文,对待处理数据进行处理,保证了上述用户密钥明文的安全性,从而保证了上述数据处理的安全性。
作为一种可选的是实施例,上述处理结果可以为不同的形式的数据,文件,或者程序等。
步骤S1006,密码运算芯片响应于数据处理请求,反馈处理结果。
作为一种可选的实施例,响应于用户发送的数据处理请求,对该待处理数据进行处理,得到处理结果,并将上述处理结果反馈给用户。
作为一种可选的实施例,存储密钥明文由安全芯片采用存储根密钥对存储密钥密文进行解密获得。
作为一种可选的实施例,安全芯片获取用于对用户密钥密文进行解密的存储密钥明文包括:安全芯片获取存储密钥密文,以及存储根密钥;安全芯片采用存储根密钥对存储密钥密文进行解密,获得存储密钥明文。
作为一种可选的实施例,上述对存储密钥明文进行加密处理得到存储密钥密文,对上述存储密钥密文进行解密处理得到存储密钥明文。上述加密处理过程和解密处理过程需要加密算法和/或解密算法,上述加密算法和/或解密算法依据存储根密钥生成。
作为一种可选的实施例,上述安全芯片获取存储密钥密文,以及存储根密钥,可以从安全芯片中获取,也即是上述存储密钥密文和存储根密钥存储在上述安全芯片中。可以有效提高解密加密的安全性。
作为一种可选的实施例,安全芯片采用存储根密钥对存储密钥密文进行解密,获得存储密钥明文,对存储密钥明文进行加密和/或解密处理,可以有效提高用户密钥密文的数据处理过程的安全性,从而提高用户密钥明文的安全性。
作为一种可选的实施例,在密码运算芯片接收到数据处理请求之后,还包括:密码运算芯片将待处理数据及用户密钥密文由密码运算芯片的闪存加载到密码运算芯片的内存中,并将用户密钥密文由密码运算芯片的内存加载到安全芯片的内存中。
作为一种可选的实施例,上述密码运算芯片将待处理数据及用户密钥密文由密码运算芯片的闪存加载至安全芯片的内存中,可以保证上述待处理数据及用户密钥密文的存储时间较长,存储较为稳定。
作为一种可选的实施例,上述密码运算芯片将待处理数据及用户密钥密文由上述闪存接收,存储速度较快,然后将闪存中的待处理数据及用户密钥密文加载到上述内存中进行存储,不仅保证了较快的存储速度,而且保证了较长的存储时间,和稳定存储环境。
作为一种可选的实施例,密码运算芯片接收到安全芯片反馈的用户密钥明文包括:密码运算芯片接收到安全芯片发送的加密的用户密钥,其中,加密的用户密钥由临时会话密钥对用户密钥明文进行加密得到;密码运算芯片采用临时会话密钥对加密的用户密钥进行解密,得到用户密钥明文。
作为一种可选的实施例,上述安全芯片在将用户密钥明文传输给密码运算芯片的过程中,也可以对该传输过程进行处理,将上述用户密钥明文作为传输数据们进行处理,从而提高上述用户密钥明文传输的安全性。
作为一种可选的实施例,上述安全芯片可以采用多种方式进行处理,例如,上述安全芯片采用临时会话密钥对用户密钥明文进行加密,得到加密的用户密钥。上述临时会话的方式,简单便捷,传输连接建立和取消的速度快,从而提高传输效率。
作为一种可选的实施例,上述安全芯片将加密的用户密钥通过电路板反馈给密码运算芯片,其中,电路板集成安全芯片和密码运算芯片。利用上述安全芯片和密码运算芯片原有的连接电路板进行传输,将充分利用已有资源,避免利用新的资源,有效降低了上述安全芯片和密码运算芯片的能耗。
实施例3
根据本发明实施例,还提供了另一种数据处理方法的方法实施例,图11是根据本发明实施例3的一种数据处理方法的流程图,如图11所示,该数据处理方法执行以下步骤:
步骤S1101,密码运算芯片接收到数据处理请求。
步骤S1102,密码运算芯片获取到待处理数据及用户密钥密文。
步骤S1103,密码运算芯片将用户密钥密文加载至安全芯片,用于向安全芯片索要用户密钥明文。
步骤S1104,安全芯片获取用于对用户密钥密文进行解密的存储密钥明文。
步骤S1105,安全芯片采用存储密钥明文对用户密钥密文进行解密,得到用户密钥明文。
步骤S1106,安全芯片将用户密钥明文反馈给密码运算芯片。
步骤S1107,密码运算芯片采用用户密钥明文对待处理数据进行处理,得到处理结果,其中,对待处理数据进行处理包括:对待处理数据进行加密处理,和/或,进行解密处理。
步骤S1108,密码运算芯片响应于数据处理请求,反馈处理结果。
在本发明实施例中,采用密码运算芯片接收到数据处理请求后,向安全芯片索要用户密钥明文,安全芯片采用存储密钥明文对用户密钥密文进行解密,得到用户密钥明文并反馈给密码运算芯片,密码运算芯片采用用户密钥明文对待处理数据进行处理,得到处理结果并反馈的方式,通过对用户密钥明文进行处理,从而实现了有效提高数据处理的安全性的技术效果,进而解决了相关技术中如何保证用户密钥安全,防止传输过程泄露,使得用户密钥能够安全地对用户数据进行处理的技术问题。
作为一种可选的实施例,安全芯片获取用于对用户密钥密文进行解密的存储密钥明文包括:安全芯片获取存储密钥密文,以及存储根密钥;安全芯片采用存储根密钥对存储密钥密文进行解密,获得存储密钥明文。
作为一种可选的实施例,上述对存储密钥明文进行加密处理得到存储密钥密文,对上述存储密钥密文进行解密处理得到存储密钥明文。上述加密处理过程和解密处理过程需要加密算法和/或解密算法,上述加密算法和/或解密算法依据存储根密钥实现。
作为一种可选的实施例,上述安全芯片获取存储密钥密文,以及存储根密钥,可以从安全芯片中获取,也即是上述存储密钥密文和存储根密钥存储在上述安全芯片中。可以有效提高解密加密的安全性。
作为一种可选的实施例,安全芯片采用存储根密钥对存储密钥密文进行解密,获得存储密钥明文,对存储密钥明文进行处理,可以有效提高用户密钥密文的处理过程的安全性,从而提高用户密钥明文的安全性。需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例的方法。
实施例4
根据本发明实施例,还提供了一种用于实施上述实施例1数据处理方法的装置,图12是根据本发明实施例4的一种数据处理装置的结构示意图,如图12所示,该装置包括:第一接收模块1202,第一获取模块1204,第一解密模块1206和第一反馈模块1208,下面对该装置进行详细说明。
第一接收模块1202,用于接收到密码运算芯片发送的索要用户密钥明文的请求,其中,用户密钥明文用于对待处理数据进行处理,其中,对待处理数据进行处理包括:对待处理数据进行加密处理,和/或,进行解密处理;第一获取模块1204,与上述第一接收模块1202相连,用于获取用于对用户密钥密文进行解密的存储密钥明文;第一解密模块1206,与上述第一获取模块1204相连,用于采用存储密钥明文对用户密钥密文进行解密,得到用户密钥明文;第一反馈模块1208,与上述第一解密模块1206相连,用于将用户密钥明文反馈给密码运算芯片。
此处需要说明的是,上述第一接收模块1202,第一获取模块1204,第一解密模块1206和第一反馈模块1208对应于实施例1中的步骤S202至步骤S208,四个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例1提供的计算机终端10中。
实施例5
根据本发明实施例,还提供了一种用于实施上述实施例1数据处理方法的装置,图13是根据本发明实施例5的一种数据处理装置的结构示意图,如图13所示,该装置包括:第二接收模块1301,第二获取模块1302,加载模块1303,第三接收模块1304,第二解密模块1305和第二反馈模块1306,下面对该装置进行详细说明。
第二接收模块1301,用于接收到数据处理请求;第二获取模块1302,与上述第二接收模块1301相连,用于获取到待处理数据及用户密钥密文;加载模块1303,与上述第二获取模块1302相连,用于将用户密钥密文加载至安全芯片,用于向安全芯片索要用户密钥明文;第三接收模块1304,与上述加载模块1303相连,用于接收到安全芯片反馈的用户密钥明文,其中,用户密钥明文由安全芯片基于存储密钥明文对用户密钥密文解密得到;第二解密模块1305,与上述第三接收模块1304相连,用于采用用户密钥明文对待处理数据进行处理,得到处理结果;第二反馈模块1306,与上述第二解密模块1305相连,用于响应于数据处理请求,反馈处理结果,其中,对待处理数据进行处理包括:对待处理数据进行加密处理,和/或,进行解密处理。
此处需要说明的是,上述第二接收模块1301,第二获取模块1302,加载模块1303,第三接收模块1304,第二解密模块1305和第二反馈模块1306对应于实施例2中的步骤S1002至步骤S1008,六个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例1提供的计算机终端10中。
实施例6
根据本发明实施例,还提供了一种包括上述实施例的数据处理装置的系统,图14是根据本发明实施例6的一种数据处理系统的结构示意图,如图14所示,该系统包括:密码运算芯片1402和安全芯片1404,下面对该系统进行详细说明。
密码运算芯片1402,用于接收到数据处理请求,获取到待处理数据及用户密钥密文,以及将用户密钥密文加载至安全芯片,用于向安全芯片索要用户密钥明文;安全芯片1404,用于获取用于对用户密钥密文进行解密的存储密钥明文,采用存储密钥明文对用户密钥密文进行解密,得到用户密钥明文,以及将用户密钥明文反馈给密码运算芯片;密码运算芯片1402,还用于采用用户密钥明文对待处理数据进行处理,得到处理结果,以及响应于数据处理请求,反馈处理结果,其中,对待处理数据进行处理包括:对待处理数据进行加密处理,和/或,进行解密处理。
此处需要说明的是,上述密码运算芯片1402和安全芯片1404与对应的数据处理方法的步骤,或者上述数据处理装置所实现的实例和应用场景相同,但不限于上述实施例所公开的内容。
实施例7
本发明的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行应用程序的漏洞检测方法中以下步骤的程序代码:安全芯片接收到密码运算芯片发送的索要用户密钥明文的请求,其中,用户密钥明文用于对待处理数据进行处理,其中,对待处理数据进行处理包括:对待处理数据进行加密处理,和/或,进行解密处理;安全芯片获取用于对用户密钥密文进行解密的存储密钥明文;安全芯片采用存储密钥明文对用户密钥密文进行解密,得到用户密钥明文;安全芯片将用户密钥明文反馈给密码运算芯片。
可选地,图15是根据本发明实施例的一种计算机终端的结构框图。如图15所示,该计算机终端10可以包括:一个或多个(图中仅示出一个)处理器152、存储器154、以及外设接口。
其中,存储器可用于存储软件程序以及模块,如本发明实施例中的数据处理方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的数据处理方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:安全芯片接收到密码运算芯片发送的索要用户密钥明文的请求,其中,用户密钥明文用于对待处理数据进行处理,其中,对待处理数据进行处理包括:对待处理数据进行加密处理,和/或,进行解密处理;安全芯片获取用于对用户密钥密文进行解密的存储密钥明文;安全芯片采用存储密钥明文对用户密钥密文进行解密,得到用户密钥明文;安全芯片将用户密钥明文反馈给密码运算芯片。
可选的,上述处理器还可以执行如下步骤的程序代码:安全芯片获取用于对用户密钥密文进行解密的存储密钥明文包括:安全芯片获取存储密钥密文,以及存储根密钥;安全芯片采用存储根密钥对存储密钥密文进行解密,获得存储密钥明文。
可选的,上述处理器还可以执行如下步骤的程序代码:安全芯片获取存储密钥密文,以及存储根密钥包括:安全芯片将存储密钥密文,以及存储根密钥由安全芯片的闪存加载至安全芯片的内存中。
可选的,上述处理器还可以执行如下步骤的程序代码:在安全芯片接收到密码运算芯片发送的索要用户密钥明文的请求之后,还包括:安全芯片从密码芯片中加载用户密钥密文至安全芯片的内存中。
可选的,上述处理器还可以执行如下步骤的程序代码:安全芯片将用户密钥明文反馈给密码运算芯片包括:安全芯片采用临时会话密钥对用户密钥明文进行加密,得到加密的用户密钥;安全芯片将加密的用户密钥通过电路板反馈给密码运算芯片,其中,电路板集成安全芯片和密码运算芯片。
可选的,上述处理器还可以执行如下步骤的程序代码:另一种数据处理方法,包括:密码运算芯片接收到数据处理请求;密码运算芯片获取到待处理数据及用户密钥密文;密码运算芯片将用户密钥密文加载至安全芯片,用于向安全芯片索要用户密钥明文;密码运算芯片接收到安全芯片反馈的用户密钥明文,其中,用户密钥明文由安全芯片基于存储密钥明文对用户密钥密文解密得到;密码运算芯片采用用户密钥明文对待处理数据进行处理,得到处理结果,其中,对待处理数据进行处理包括:对待处理数据进行加密处理,和/或,进行解密处理;密码运算芯片响应于数据处理请求,反馈处理结果。
可选的,上述处理器还可以执行如下步骤的程序代码:存储密钥明文由安全芯片采用存储根密钥对存储密钥密文进行解密获得。
可选的,上述处理器还可以执行如下步骤的程序代码:在密码运算芯片接收到数据处理请求之后,还包括:密码运算芯片将待处理数据及用户密钥密文由密码运算芯片的闪存加载到密码运算芯片的内存中,并将用户密钥密文由密码运算芯片的内存加载到安全芯片的内存中。
可选的,上述处理器还可以执行如下步骤的程序代码:密码运算芯片接收到安全芯片反馈的用户密钥明文包括:密码运算芯片接收到安全芯片发送的加密的用户密钥,其中,加密的用户密钥由临时会话密钥对用户密钥明文进行加密得到;密码运算芯片采用临时会话密钥对加密的用户密钥进行解密,得到用户密钥明文。
可选的,上述处理器还可以执行如下步骤的程序代码:一种数据处理方法,包括:密码运算芯片接收到数据处理请求;密码运算芯片获取到待处理数据及用户密钥密文;密码运算芯片将用户密钥密文加载至安全芯片,用于向安全芯片索要用户密钥明文;安全芯片获取用于对用户密钥密文进行解密的存储密钥明文;安全芯片采用存储密钥明文对用户密钥密文进行解密,得到用户密钥明文;安全芯片将用户密钥明文反馈给密码运算芯片;密码运算芯片采用用户密钥明文对待处理数据进行处理,得到处理结果;密码运算芯片响应于数据处理请求,反馈处理结果,其中,对待处理数据进行处理包括:对待处理数据进行加密处理,和/或,进行解密处理。
可选的,上述处理器还可以执行如下步骤的程序代码:安全芯片获取用于对用户密钥密文进行解密的存储密钥明文包括:安全芯片获取存储密钥密文,以及存储根密钥;安全芯片采用存储根密钥对存储密钥密文进行解密,获得存储密钥明文。
采用本发明实施例,提供了一种数据处理方法的方案。通过安全芯片接收到密码运算芯片发送的索要用户密钥明文的请求,其中,用户密钥明文用于对待处理数据进行处理;安全芯片获取用于对用户密钥密文进行解密的存储密钥明文;安全芯片采用存储密钥明文对用户密钥密文进行解密,得到用户密钥明文;安全芯片将用户密钥明文反馈给密码运算芯片,从而达到了有效提高数据处理的安全性的目的,进而解决了相关技术中如何保证用户密钥安全,防止传输过程泄露,使得用户密钥能够安全地对用户数据进行处理的技术问题。
本领域普通技术人员可以理解,图15所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图15其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图15中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图15所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例4
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的数据处理方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:安全芯片接收到密码运算芯片发送的索要用户密钥明文的请求,其中,用户密钥明文用于对待处理数据进行处理,其中,对待处理数据进行处理包括:对待处理数据进行加密处理,和/或,进行解密处理;安全芯片获取用于对用户密钥密文进行解密的存储密钥明文;安全芯片采用存储密钥明文对用户密钥密文进行解密,得到用户密钥明文;安全芯片将用户密钥明文反馈给密码运算芯片。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:安全芯片获取用于对用户密钥密文进行解密的存储密钥明文包括:安全芯片获取存储密钥密文,以及存储根密钥;安全芯片采用存储根密钥对存储密钥密文进行解密,获得存储密钥明文。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:安全芯片获取存储密钥密文,以及存储根密钥包括:安全芯片将存储密钥密文,以及存储根密钥由安全芯片的闪存加载至安全芯片的内存中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在安全芯片接收到密码运算芯片发送的索要用户密钥明文的请求之后,还包括:安全芯片从密码芯片中加载用户密钥密文至安全芯片的内存中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:安全芯片将用户密钥明文反馈给密码运算芯片包括:安全芯片采用临时会话密钥对用户密钥明文进行加密,得到加密的用户密钥;安全芯片将加密的用户密钥通过电路板反馈给密码运算芯片,其中,电路板集成安全芯片和密码运算芯片。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:另一种数据处理方法,包括:密码运算芯片接收到数据处理请求;密码运算芯片获取到待处理数据及用户密钥密文;密码运算芯片将用户密钥密文加载至安全芯片,用于向安全芯片索要用户密钥明文;密码运算芯片接收到安全芯片反馈的用户密钥明文,其中,用户密钥明文由安全芯片基于存储密钥明文对用户密钥密文解密得到;密码运算芯片采用用户密钥明文对待处理数据进行处理,得到处理结果,其中,对待处理数据进行处理包括:对待处理数据进行加密处理,和/或,进行解密处理;密码运算芯片响应于数据处理请求,反馈处理结果。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:存储密钥明文由安全芯片采用存储根密钥对存储密钥密文进行解密获得。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在密码运算芯片接收到数据处理请求之后,还包括:密码运算芯片将待处理数据及用户密钥密文由密码运算芯片的闪存加载到密码运算芯片的内存中,并将用户密钥密文由密码运算芯片的内存加载到安全芯片的内存中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:密码运算芯片接收到安全芯片反馈的用户密钥明文包括:密码运算芯片接收到安全芯片发送的加密的用户密钥,其中,加密的用户密钥由临时会话密钥对用户密钥明文进行加密得到;密码运算芯片采用临时会话密钥对加密的用户密钥进行解密,得到用户密钥明文。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:一种数据处理方法,包括:密码运算芯片接收到数据处理请求;密码运算芯片获取到待处理数据及用户密钥密文;密码运算芯片将用户密钥密文加载至安全芯片,用于向安全芯片索要用户密钥明文;安全芯片获取用于对用户密钥密文进行解密的存储密钥明文;安全芯片采用存储密钥明文对用户密钥密文进行解密,得到用户密钥明文;安全芯片将用户密钥明文反馈给密码运算芯片;密码运算芯片采用用户密钥明文对待处理数据进行处理,得到处理结果,其中,对待处理数据进行处理包括:对待处理数据进行加密处理,和/或,进行解密处理;密码运算芯片响应于数据处理请求,反馈处理结果。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:安全芯片获取用于对用户密钥密文进行解密的存储密钥明文包括:安全芯片获取存储密钥密文,以及存储根密钥;安全芯片采用存储根密钥对存储密钥密文进行解密,获得存储密钥明文。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (17)

1.一种数据处理方法,包括:
安全芯片接收到密码运算芯片发送的索要用户密钥明文的请求,其中,所述用户密钥明文用于对待处理数据进行处理,其中,对所述待处理数据进行处理包括:对所述待处理数据进行加密处理,和/或,进行解密处理;
所述安全芯片获取用于对用户密钥密文进行解密的存储密钥明文;
所述安全芯片采用所述存储密钥明文对所述用户密钥密文进行解密,得到所述用户密钥明文;
所述安全芯片将所述用户密钥明文反馈给所述密码运算芯片。
2.根据权利要求1所述的方法,其中,所述安全芯片获取用于对所述用户密钥密文进行解密的存储密钥明文包括:
所述安全芯片获取存储密钥密文,以及存储根密钥;
所述安全芯片采用所述存储根密钥对所述存储密钥密文进行解密,获得所述存储密钥明文。
3.根据权利要求1所述的方法,其中,所述安全芯片获取存储密钥密文,以及存储根密钥包括:
所述安全芯片将所述存储密钥密文,以及所述存储根密钥由所述安全芯片的闪存加载至所述安全芯片的内存中。
4.根据权利要求1所述的方法,其中,在所述安全芯片接收到密码运算芯片发送的索要用户密钥明文的请求之后,还包括:
所述安全芯片从所述密码运算芯片中加载所述用户密钥密文至所述安全芯片的内存中。
5.根据权利要求1至4中任一项所述的方法,其中,所述安全芯片将所述用户密钥明文反馈给所述密码运算芯片包括:
所述安全芯片采用临时会话密钥对所述用户密钥明文进行加密,得到加密的用户密钥;
所述安全芯片将加密的用户密钥通过电路板反馈给所述密码运算芯片,其中,所述电路板集成所述安全芯片和所述密码运算芯片。
6.一种数据处理方法,包括:
密码运算芯片接收到数据处理请求;
所述密码运算芯片获取到待处理数据及用户密钥密文;
所述密码运算芯片将所述用户密钥密文加载至安全芯片,用于向所述安全芯片索要用户密钥明文;
所述密码运算芯片接收到所述安全芯片反馈的用户密钥明文,其中,所述用户密钥明文由所述安全芯片基于存储密钥明文对所述用户密钥密文解密得到;
所述密码运算芯片采用所述用户密钥明文对所述待处理数据进行处理,得到处理结果,其中,对所述待处理数据进行处理包括:对所述待处理数据进行加密处理,和/或,进行解密处理;
所述密码运算芯片响应于所述数据处理请求,反馈所述处理结果。
7.根据权利要求6所述的方法,其中,所述存储密钥明文由所述安全芯片采用存储根密钥对存储密钥密文进行解密获得。
8.根据权利要求6所述的方法,其中,在所述密码运算芯片接收到数据处理请求之后,还包括:
所述密码运算芯片将所述待处理数据及所述用户密钥密文由所述密码运算芯片的闪存加载到所述密码运算芯片的内存中,并将所述用户密钥密文由所述密码运算芯片的内存加载到所述安全芯片的内存中。
9.根据权利要求6至8中任一项所述的方法,其中,所述密码运算芯片接收到所述安全芯片反馈的用户密钥明文包括:
所述密码运算芯片接收到所述安全芯片发送的加密的用户密钥,其中,加密的用户密钥由临时会话密钥对用户密钥明文进行加密得到;
所述密码运算芯片采用所述临时会话密钥对加密的用户密钥进行解密,得到所述用户密钥明文。
10.一种数据处理方法,包括:
密码运算芯片接收到数据处理请求;
所述密码运算芯片获取到待处理数据及用户密钥密文;
所述密码运算芯片将所述用户密钥密文加载至安全芯片,用于向所述安全芯片索要用户密钥明文;
所述安全芯片获取用于对用户密钥密文进行解密的存储密钥明文;
所述安全芯片采用所述存储密钥明文对所述用户密钥密文进行解密,得到所述用户密钥明文;
所述安全芯片将所述用户密钥明文反馈给所述密码运算芯片;
所述密码运算芯片采用所述用户密钥明文对所述待处理数据进行处理,得到处理结果,其中,对所述待处理数据进行处理包括:对所述待处理数据进行加密处理,和/或,进行解密处理;
所述密码运算芯片响应于所述数据处理请求,反馈所述处理结果。
11.根据权利要求10所述的方法,其中,所述安全芯片获取用于对用户密钥密文进行解密的存储密钥明文包括:
所述安全芯片获取存储密钥密文,以及存储根密钥;
所述安全芯片采用所述存储根密钥对所述存储密钥密文进行解密,获得所述存储密钥明文。
12.一种数据处理装置,应用于安全芯片,包括:
第一接收模块,用于接收到密码运算芯片发送的索要用户密钥明文的请求,其中,所述用户密钥明文用于对待处理数据进行处理,其中,对所述待处理数据进行处理包括:对所述待处理数据进行加密处理,和/或,进行解密处理;
第一获取模块,用于获取用于对用户密钥密文进行解密的存储密钥明文;
第一解密模块,用于采用所述存储密钥明文对所述用户密钥密文进行解密,得到所述用户密钥明文;
第一反馈模块,用于将所述用户密钥明文反馈给所述密码运算芯片。
13.一种数据处理装置,应用于密码运算芯片,包括:
第二接收模块,用于接收到数据处理请求;
第二获取模块,用于获取到待处理数据及用户密钥密文;
加载模块,用于将所述用户密钥密文加载至安全芯片,用于向所述安全芯片索要用户密钥明文;
第三接收模块,用于接收到所述安全芯片反馈的用户密钥明文,其中,所述用户密钥明文由所述安全芯片基于存储密钥明文对所述用户密钥密文解密得到;
第二解密模块,用于采用所述用户密钥明文对所述待处理数据进行处理,得到处理结果,其中,对所述待处理数据进行处理包括:对所述待处理数据进行加密处理,和/或,进行解密处理;
第二反馈模块,用于响应于所述数据处理请求,反馈所述处理结果。
14.一种数据处理系统,包括:密码运算芯片和安全芯片,其中,
所述密码运算芯片,用于接收到数据处理请求,获取到待处理数据及用户密钥密文,以及将所述用户密钥密文加载至安全芯片,用于向所述安全芯片索要用户密钥明文;
所述安全芯片,用于获取用于对用户密钥密文进行解密的存储密钥明文,采用所述存储密钥明文对所述用户密钥密文进行解密,得到所述用户密钥明文,以及将所述用户密钥明文反馈给所述密码运算芯片;
所述密码运算芯片,还用于采用所述用户密钥明文对所述待处理数据进行处理,得到处理结果,以及响应于所述数据处理请求,反馈所述处理结果,其中,对所述待处理数据进行处理包括:对所述待处理数据进行加密处理,和/或,进行解密处理。
15.一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至11中任意一项所述的数据处理方法。
16.一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至11中任意一项所述的数据处理方法。
17.一种计算设备,包括至少一个处理器;和存储有程序指令的存储器,其中,所述程序指令被配置为适于由所述至少一个处理器执行,所述程序指令包括用于执行如权利要求1至11中任一项所述的数据处理方法。
CN201811143031.7A 2018-09-28 2018-09-28 数据处理方法、装置及系统 Pending CN110971398A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201811143031.7A CN110971398A (zh) 2018-09-28 2018-09-28 数据处理方法、装置及系统
US16/586,463 US20200104528A1 (en) 2018-09-28 2019-09-27 Data processing method, device and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811143031.7A CN110971398A (zh) 2018-09-28 2018-09-28 数据处理方法、装置及系统

Publications (1)

Publication Number Publication Date
CN110971398A true CN110971398A (zh) 2020-04-07

Family

ID=69947776

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811143031.7A Pending CN110971398A (zh) 2018-09-28 2018-09-28 数据处理方法、装置及系统

Country Status (2)

Country Link
US (1) US20200104528A1 (zh)
CN (1) CN110971398A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111541658A (zh) * 2020-04-14 2020-08-14 许艺明 一种pcie防火墙
CN112395629A (zh) * 2020-11-23 2021-02-23 中标软件有限公司 一种基于tcm芯片的文件加密方法及系统
CN113221134A (zh) * 2021-04-09 2021-08-06 北京复兴华创技术有限公司 离线安全数据交换方法及设备
CN114124364A (zh) * 2020-08-27 2022-03-01 国民技术股份有限公司 密钥安全处理方法、装置、设备及计算机可读存储介质
CN116028958A (zh) * 2023-02-21 2023-04-28 广州万协通信息技术有限公司 一种密钥加解密方法、装置、安全机以及介质
CN111541658B (zh) * 2020-04-14 2024-05-31 许艺明 一种pcie防火墙

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110677250B (zh) 2018-07-02 2022-09-02 阿里巴巴集团控股有限公司 密钥和证书分发方法、身份信息处理方法、设备、介质
CN110795742B (zh) 2018-08-02 2023-05-02 阿里巴巴集团控股有限公司 高速密码运算的度量处理方法、装置、存储介质及处理器
CN110795774B (zh) 2018-08-02 2023-04-11 阿里巴巴集团控股有限公司 基于可信高速加密卡的度量方法、设备和系统
CN110874478B (zh) 2018-08-29 2023-05-02 阿里巴巴集团控股有限公司 密钥处理方法及装置、存储介质和处理器
CN113300833B (zh) * 2020-06-09 2023-04-18 阿里巴巴集团控股有限公司 密钥管理方法及装置
CN116775062B (zh) * 2023-08-22 2023-12-22 深圳市华曦达科技股份有限公司 一种用于生产key的加密烧录方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070294178A1 (en) * 2006-06-16 2007-12-20 Scientific Atlanta, Inc. Securing media content using interchangeable encryption key
CN106027235A (zh) * 2016-05-13 2016-10-12 北京三未信安科技发展有限公司 一种pci密码卡和海量密钥密码运算方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7751570B2 (en) * 2006-04-04 2010-07-06 Oracle International Corporation Method and apparatus for managing cryptographic keys
US20100023782A1 (en) * 2007-12-21 2010-01-28 Intel Corporation Cryptographic key-to-policy association and enforcement for secure key-management and policy execution
US10754693B2 (en) * 2018-07-05 2020-08-25 Vmware, Inc. Secure transfer of control over computational entities in a distributed computing environment

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070294178A1 (en) * 2006-06-16 2007-12-20 Scientific Atlanta, Inc. Securing media content using interchangeable encryption key
CN106027235A (zh) * 2016-05-13 2016-10-12 北京三未信安科技发展有限公司 一种pci密码卡和海量密钥密码运算方法及系统

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111541658A (zh) * 2020-04-14 2020-08-14 许艺明 一种pcie防火墙
CN111541658B (zh) * 2020-04-14 2024-05-31 许艺明 一种pcie防火墙
CN114124364A (zh) * 2020-08-27 2022-03-01 国民技术股份有限公司 密钥安全处理方法、装置、设备及计算机可读存储介质
CN114124364B (zh) * 2020-08-27 2024-05-24 国民技术股份有限公司 密钥安全处理方法、装置、设备及计算机可读存储介质
CN112395629A (zh) * 2020-11-23 2021-02-23 中标软件有限公司 一种基于tcm芯片的文件加密方法及系统
CN113221134A (zh) * 2021-04-09 2021-08-06 北京复兴华创技术有限公司 离线安全数据交换方法及设备
CN113221134B (zh) * 2021-04-09 2024-03-22 北京复兴华创技术有限公司 离线安全数据交换方法及设备
CN116028958A (zh) * 2023-02-21 2023-04-28 广州万协通信息技术有限公司 一种密钥加解密方法、装置、安全机以及介质
CN116028958B (zh) * 2023-02-21 2024-04-12 广州万协通信息技术有限公司 一种密钥加解密方法、装置、安全机以及介质

Also Published As

Publication number Publication date
US20200104528A1 (en) 2020-04-02

Similar Documents

Publication Publication Date Title
CN110971398A (zh) 数据处理方法、装置及系统
CN106063183B (zh) 用于云辅助密码学的方法和装置
US10135622B2 (en) Flexible provisioning of attestation keys in secure enclaves
JP2021522595A (ja) 暗号化カード、電子デバイス、および暗号化サービスの方法
US11281781B2 (en) Key processing methods and apparatuses, storage media, and processors
US20200026882A1 (en) Methods and systems for activating measurement based on a trusted card
CN110580420B (zh) 基于集成芯片的数据处理方法、计算机设备、存储介质
CN110875819B (zh) 密码运算处理方法、装置及系统
CN111008094B (zh) 一种数据恢复方法、设备和系统
CN110874494A (zh) 密码运算处理方法、装置、系统及度量信任链构建方法
CN110598429B (zh) 数据加密存储和读取的方法、终端设备及存储介质
CN110795742A (zh) 高速密码运算的度量处理方法、装置、存储介质及处理器
CN112016090A (zh) 安全计算卡,基于安全计算卡的度量方法及系统
US11997192B2 (en) Technologies for establishing device locality
US9135449B2 (en) Apparatus and method for managing USIM data using mobile trusted module
CN108154037B (zh) 进程间的数据传输方法和装置
CN116048716A (zh) 一种直接存储访问方法、装置及相关设备
CN112733208B (zh) 一种芯片的安全boot方法、装置、安全芯片和计算机设备
CN110858246B (zh) 安全代码空间的认证方法和系统、及其注册方法
CN114697113A (zh) 一种基于硬件加速卡的多方隐私计算方法、装置及系统
CN110297687B (zh) 基于虚拟主机的数据交互方法、装置及系统
CN116167060A (zh) 可信只读存储器系统及可信基板管理控制器系统
Li et al. An SDKEY data protection and sharing scheme with attribute-based encryption for smartphone
CN117910057A (zh) 可信执行环境的运行方法、计算机架构系统、加密硬盘
CN117744117A (zh) 权限设置方法、装置、电子设备及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40026970

Country of ref document: HK

RJ01 Rejection of invention patent application after publication

Application publication date: 20200407

RJ01 Rejection of invention patent application after publication