一种基于云密码机的可信计算模块实现系统及方法与流程

1.本发明涉及信息安全技术领域，特别涉及一种基于云密码机的可信计算模块实现系统及方法。


背景技术：

2.可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高系统整体的安全性。签注密钥是一个2048位的rsa公共和私有密钥对，它在芯片出厂时随机生成并且不能改变。这个私有密钥永远在芯片里，而公共密钥用来认证及加密发送到该芯片的敏感数据。
3.现有的可信密码模块tcm依赖于物理安全芯片，随着物联网的快速发展，可穿戴设备以及轻量化的嵌入式移动设备，如网络摄像机(ipc)，智能手表，智能眼镜(ar/vr)等设备对信息安全的需要与日俱增。现有的可信计算密码模块的设计，给这些移动设备增加了成本，不利于可信计算在这些领域的扩展。
4.因此，如何扩展可信计算在更广范围内的应用，成为当下亟需解决的问题。


技术实现要素：

5.本发明针对上述问题，提出了一种基于云密码机的可信计算模块实现系统及方法，使物联网设备，可穿戴设备等可以脱离tcm安全芯片而满足可信加密算法，扩大可信密码模块的应用范围。
6.为实现上述目的，本发明采取的技术方案为：
7.第一方面，本发明提供一种基于云密码机的可信计算模块实现系统，包括：
8.云密码机服务器，用于为可信计算模块提供密码算法的生成，管理，分发和授权服务；
9.可信密码模块密钥获取单元，基于终端设备的唯一标识，与云密码机服务器通信；根据使用环境，从云密码机服务器获取可信计算密码支撑平台功能与接口规范支持的密钥对；
10.可信密码模块本地密钥管理单元，用于对获取的密钥对，进行本地存储；
11.可信密码模块签名处理单元，用于根据获取的密钥对中的私钥对数据进行签名处理。
12.进一步地，还包括：
13.可信密码模块解密处理单元，用于根据获取的密钥对中的私钥对数据进行解密处理。
14.进一步地，还包括：
15.可信密码模块密钥恢复单元，用于当终端设备本地密钥丢失后，利用终端设备的唯一标识，从所述云密码机服务器上获取所述密钥对，从而实现密钥恢复功能。
16.进一步地，所述密钥对由以下算法生成：
17.rsa、sm1、sm2、sm3和/或aes密码算法。
18.第二方面，本发明实施例还提供一种基于云密码机的可信计算模块实现方法，应用如上述实施例的基于云密码机的可信计算模块实现系统，该方法包括以下步骤：
19.s1、可信密码模块与云密码机服务器建立通信连接；所述云密码机服务器为可信计算模块提供密码算法的生成，管理，分发和授权服务；
20.s2、可信密码模块基于终端设备的唯一标识和使用环境，从云密码机服务器获取可信计算密码支撑平台功能与接口规范支持的密钥对；
21.s3、可信密码模块将获取的密钥对进行本地存储；
22.s4、可信密码模块根据获取的密钥对中的私钥对数据进行签名处理。
23.进一步地，还包括：
24.s5、可信密码模块根据获取的密钥对中的私钥对数据进行解密处理。
25.进一步地，还包括：
26.s6、当终端设备本地密钥丢失后，可信密码模块利用终端设备的唯一标识，从所述云密码机服务器上获取所述密钥对，从而实现密钥恢复功能。
27.进一步地，所述密钥对由以下算法生成：
28.rsa、sm1、sm2、sm3和/或aes密码算法
29.与现有技术相比，本发明具有如下有益效果：
30.本发明实施例提供的一种基于云密码机的可信计算模块实现系统，包括：云密码机服务器，用于为可信计算模块提供密码算法的生成，管理，分发和授权服务；可信密码模块密钥获取单元，基于终端设备的唯一标识，与云密码机服务器通信；根据使用环境，从云密码机服务器获取可信计算密码支撑平台功能与接口规范支持的密钥对；可信密码模块本地密钥管理单元，用于对获取的密钥对，进行本地存储；可信密码模块签名处理单元，用于根据获取的密钥对中的私钥对数据进行签名处理。该系统为物联网设备，嵌入式设备，移动设备提供可信计算密码模块的支持服务，在嵌入式设备寸土寸金的设计上不依赖物理tcm安全芯片，满足可信计算接口技术规范，进而达到降低终端设备成本，按需灵活配置的目的，扩大可信密码模块(tcm)的应用场景和范围。
附图说明
31.图1为本发明实施例提供的基于云密码机的可信计算模块实现系统的框图；
32.图2为本发明实施例提供的基于云密码机的可信计算模块实现方法的流程图。
具体实施方式
33.为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。
34.在本发明的描述中，需要说明的是，术语“上”、“下”、“内”、“外”“前端”、“后端”、“两端”、“一端”、“另一端”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。
35.在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“设置有”、“连接”等，应做广义理解，例如“连接”，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
36.实施例1：
37.参照图1所示，本发明提供的一种基于云密码机的可信计算模块实现系统，包括：
38.云密码机服务器，用于为可信计算模块提供密码算法的生成，管理，分发和授权服务；比如提供rsa、sm1、sm2、sm3和/或aes密码算法的生成和管理服务，并基于密码协议分发给对应的可信密码模块；也可用于授权可信密码模块密钥对的获取等服务。
39.可信密码模块密钥获取单元，基于终端设备的唯一标识，与云密码机服务器通信；根据使用环境，从云密码机服务器获取可信计算密码支撑平台功能与接口规范支持的密钥对。比如可信密码模块将终端设备的唯一标识生成哈希值，将其与云密码机服务器内部存储的设备信息的哈希值进行比对认证，认证通过后，可信密码模块密钥获取单元便可以与云密码机服务器通信，进而获取密钥对。
40.可信密码模块本地密钥管理单元，用于对获取的密钥对，进行本地存储；
41.可信密码模块签名处理单元，用于根据获取的密钥对中的私钥对数据进行签名处理。比如：平台完整性的度量的计算；也是利用杂凑算法签名的过程，平台身份密钥的公钥签名等。
42.该系统可为物联网设备，嵌入式设备，移动设备提供可信计算密码模块的支持服务，在嵌入式设备寸土寸金的设计上不依赖物理tcm安全芯片，并能够满足《可信计算密码支撑平台功能与接口技术规范》gb/t38638-2020规定的加密算法，从而支撑pki应用体系，进而达到降低终端设备成本，按需灵活配置的目的，扩大可信密码模块(tcm)的应用场景和范围。
43.如图1所示，在终端设备的可信密码模块中，还包括：
44.可信密码模块解密处理单元，用于根据获取的密钥对中的私钥对数据进行解密处理；比如：平台在与外界加密通信的数据的解密，具体过程是平台将自己的公钥分发给通信的用户；用户用公钥对传递的数据加密；平台用私钥对该数据解密。
45.可信密码模块密钥恢复单元，用于当终端设备本地密钥丢失后，利用终端设备的唯一标识，从所述云密码机服务器上获取所述密钥对，从而实现密钥恢复功能。比如：通过系统接口获取微处理器cpu的序列号(chipid)。
46.由于终端设备本地不具备smc安全芯片，在升级或恢复的时候本地存储一旦被擦除，就会导致密钥丢失，此时利用终端设备的唯一标识，再次去云密码机服务器上获取密钥对，从而实现密钥的恢复功能。
47.基于云密码机服务器对可信计算密码模块tcm中的密钥生成管理设计，使得终端设备脱离tcm安全芯片，并满足可信计算接口技术规范，降低终端产品成本。支撑了更宽范围的加密安全，能够支持国密标准的各种算法，包括sm1，sm2，sm3以及rsa，aes等等，扩大了可信密码模块的应用场景。
48.实施例2：
49.如图2所示，本发明实施例还提供一种基于云密码机的可信计算模块实现方法，应用实施例1的基于云密码机的可信计算模块实现系统，该方法包括以下步骤：
50.s1、可信密码模块与云密码机服务器建立通信连接；所述云密码机服务器为可信计算模块提供密码算法的生成，管理，分发和授权服务；
51.s2、可信密码模块基于终端设备的唯一标识和使用环境，从云密码机服务器获取可信计算密码支撑平台功能与接口规范支持的密钥对；密钥对由以下算法生成：rsa、sm1、sm2、sm3和/或aes密码算法。
52.s3、可信密码模块将获取的密钥对进行本地存储；
53.s4、可信密码模块根据获取的密钥对中的私钥对数据进行签名处理。
54.进一步地，还包括：
55.s5、可信密码模块根据获取的密钥对中的私钥对数据进行解密处理。
56.s6、当终端设备本地密钥丢失后，可信密码模块利用终端设备的唯一标识，从所述云密码机服务器上获取所述密钥对，从而实现密钥恢复功能。
57.基于云密码服务器对可信计算密码模块tcm中的密钥生成管理设计，使物联网设备，可穿戴设备等可以脱离tcm安全芯片而满足可信加密算法，扩大可信密码模块的应用范围；并满足可信计算接口技术规范，降低终端产品成本。
58.显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。