CN114785845B - 会话的建立方法、装置、存储介质及电子装置 - Google Patents
会话的建立方法、装置、存储介质及电子装置 Download PDFInfo
- Publication number
- CN114785845B CN114785845B CN202210386137.XA CN202210386137A CN114785845B CN 114785845 B CN114785845 B CN 114785845B CN 202210386137 A CN202210386137 A CN 202210386137A CN 114785845 B CN114785845 B CN 114785845B
- Authority
- CN
- China
- Prior art keywords
- trusted platform
- platform module
- key
- information
- authorization value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供了一种会话的建立方法、装置、存储介质及电子装置,该方法包括:提取目标用户设备使用的第一密钥信息中包括的可信平台模块密钥以及附加信息,可信平台模块密钥是可信平台模块基于目标授权值所创建的,目标授权值是基于原始授权值与目标用户设备计算出的原始附加信息的原始摘要信息所确定的,原始附加信息是与目标用户设备相关的信息;获取附加信息的摘要信息,基于摘要信息以及接收到的原始授权值确定第一授权值;将可信平台模块密钥和第一授权值发送给可信平台模块,以请求可信平台模块验证可信平台模块密钥和第一授权值,并在验证通过的情况下建立目标用户设备与可信平台模块之间的授权会话。
Description
技术领域
本发明实施例涉及通信领域,具体而言,涉及一种会话的建立方法、装置、存储介质及电子装置。
背景技术
随着通信技术的飞速发展,信息传输的安全性日益得到重视,继而,为了保证用户的信息传输能安全可靠的运行,密钥的应用是目前最为有效的信息加密措施之一。
但是在相关技术中在生成密钥之后,无法快速获知密钥所属的用户的相关信息,因此,如何快速获知密钥所属的用户的相关信息是亟待解决的问题,此外,如何对密钥所属的用户的相关信息进行完整性保护也是需要考虑的问题。
针对相关技术中存在的上述问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种会话的建立方法、装置、存储介质及电子装置,以至少解决相关技术中存在的无法快速获知密钥所属的用户的相关信息以及如何对密钥所属的用户的相关信息进行完整性保护的问题。
根据本发明的一个实施例,提供了一种会话的建立方法,包括:提取目标用户设备使用的第一密钥信息中包括的可信平台模块密钥以及附加信息,其中,所述可信平台模块密钥是可信平台模块基于目标授权值所创建的,所述目标授权值是基于原始授权值与所述目标用户设备计算出的原始附加信息的原始摘要信息所确定的,其中,所述原始附加信息是与所述目标用户设备相关的信息;获取所述附加信息的摘要信息,基于所述摘要信息以及接收到的所述原始授权值确定第一授权值;将所述可信平台模块密钥和所述第一授权值发送给所述可信平台模块,以请求所述可信平台模块验证所述可信平台模块密钥和所述第一授权值,并在验证通过的情况下建立所述目标用户设备与所述可信平台模块之间的授权会话。
在一个示例性实施例中,获取所述附加信息的摘要信息包括:通过第一计算方式计算所述附加信息的所述摘要信息,其中,所述第一计算方式与所述目标用户设备计算所述原始摘要信息的计算方式一致。
在一个示例性实施例中,基于所述摘要信息以及接收到的所述原始授权值确定第一授权值包括:获取由所述目标用户设备所输入的所述原始授权值;对所述摘要信息以及所述原始授权值进行密码运算,得到所述第一授权值。
在一个示例性实施例中,在提取目标用户设备使用的第一密钥信息中包括的可信平台模块密钥以及附加信息之前,所述方法还包括:获取输入的所述原始附加信息的所述原始摘要信息以及所述原始授权值;基于所述原始摘要信息以及所述原始授权值确定所述目标授权值;将所述目标授权值发送给可信平台模块,以指示所述可信平台模块基于所述目标授权值创建可信平台模块密钥;获取可信平台模块创建的所述可信平台模块密钥,并基于所述可信平台模块密钥以及所述原始附加信息确定出原始密钥信息,其中,所述原始密钥信息用于所述目标用户设备与所述可信平台模块建立授权会话。
在一个示例性实施例中,基于所述可信平台模块密钥以及所述原始附加信息确定出原始密钥信息包括:将所述可信平台模块密钥以及所述原始附加信息按照预定结构存放在一起,得到所述原始密钥信息。
在一个示例性实施例中,将所述可信平台模块密钥和所述第一授权值发送给所述可信平台模块之后,所述方法还包括:所述可信平台模块获取所述可信平台模块密钥中包括的所述目标授权值;所述可信平台模块对所述第一授权值与所述目标授权值进行比对,得到第一比对结果;所述可信平台模块获取所述可信平台模块密钥中携带的签名信息;所述可信平台模块基于所述第一比对结果确定所述第一授权值的合法性,以及基于所述签名信息确定所述可信平台模块密钥的合法性;所述可信平台模块在确定所述第一授权值合法以及所述可信平台模块密钥合法的情况下,建立所述目标用户设备与所述可信平台模块之间的授权会话。
在一个示例性实施例中,所述附加信息包括以下信息至少之一:所述目标用户设备的标识ID、所述目标用户设备的用户名、所述目标用户设备的访问权限、所述可信平台模块密钥的密钥名。
根据本发明的另一个实施例,提供了一种会话的建立装置,包括:提取模块,用于提取目标用户设备使用的第一密钥信息中包括的可信平台模块密钥以及附加信息,其中,所述可信平台模块密钥是可信平台模块基于目标授权值所创建的,所述目标授权值是基于原始授权值与所述目标用户设备计算出的原始附加信息的原始摘要信息所确定的,其中,所述原始附加信息是与所述目标用户设备相关的信息;第一获取模块,用于获取所述附加信息的摘要信息,基于所述摘要信息以及接收到的所述原始授权值确定第一授权值;第一发送模块,用于将所述可信平台模块密钥和所述第一授权值发送给所述可信平台模块,以请求所述可信平台模块验证所述可信平台模块密钥和所述第一授权值,并在验证通过的情况下建立所述目标用户设备与所述可信平台模块之间的授权会话。
根据本发明的又一个实施例,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,为用户设备配置的密钥信息中会携带与用户设备相关的附加信息,从而方便在操作***层面知悉用户设备相关的信息,此外,密钥信息中携带的密钥实际上是基于附加信息所创建的,因此,在用户设备使用密钥信息与可信平台模块之间进行会话建立连接时,可以基于该密钥信息中携带的附加信息以及该密钥来验证当前携带的附加信息是否完整,从而实现了附加信息完整性的验证,保证了通信安全。由此解决了相关技术中存在的无法快速获知密钥所属的用户的相关信息以及如何对密钥所属的用户的相关信息进行完整性保护的问题。
附图说明
图1是本发明实施例的一种会话的建立方法的移动终端的硬件结构框图;
图2是根据本发明实施例的一种会话的建立方法的流程图;
图3是根据本发明实施例的可信平台模块密钥与附加信息生成密钥BLOB的流程的示意图;
图4是根据本发明实施例的用户创建可信平台模块密钥的流程图;
图5是根据本发明实施例的用户使用可信平台模块密钥的流程图;
图6是根据本发明实施例的会话的建立装置的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明的实施例。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
首先对本发明中涉及的相关技术进行说明:
可信平台模块:即TPM(Trusted Platform Module)或国产版本TCM(TrustedCryptography Module),它通常是平台主板上的一颗独立的安全芯片,提供平台完整性度量、平台唯一身份标识、硬件级的密钥保护等功能,为可信计算提供基础硬件支撑。
可信平台模块密钥:指被可信平台模块加密并签名保护的密钥(例如,AES(Advanced Encryption Standard,高级加密标准)、RSA(Rivest Shamir Adleman,非对称加密)、ECC(Ellipse Curve Ctyptography,椭圆曲线加密)密钥等)在本发明具体实施例中统称为可信平台模块密钥,简称密钥,可信平台模块可以保证密钥的机密性与完整性,并且支持口令、HMAC(Hash-based Message Authentication Code,散列消息认证码)和策略会话等授权方式,进而控制密钥的访问权限,即,只有向可信平台模块输入该密钥正确的授权值,可信平台模块才可以使用对应密钥进行加、解密操作。
下面结合实施例对本发明如何解决现有技术中存在的问题进行说明:
本申请实施例中所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图1是本发明实施例的一种会话的建立方法的移动终端的硬件结构框图。如图1所示,移动终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,其中,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的会话的建立方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种会话的建立方法,如图2所示,该方法包括如下步骤:
S202,提取目标用户设备使用的第一密钥信息中包括的可信平台模块密钥以及附加信息,其中,所述可信平台模块密钥是可信平台模块基于目标授权值所创建的,所述目标授权值是基于原始授权值与所述目标用户设备计算出的原始附加信息的原始摘要信息所确定的;
S204,获取所述附加信息的摘要信息,基于所述摘要信息以及接收到的所述原始授权值确定第一授权值;
S206,将所述可信平台模块密钥和所述第一授权值发送给所述可信平台模块,以请求所述可信平台模块验证所述可信平台模块密钥和所述第一授权值,并在验证通过的情况下建立所述目标用户设备与所述可信平台模块之间的授权会话。
其中,执行上述操作的可以是底层处理器,例如,可以执行预定代码或者进程的处理器,或是一种操作***,或者还可以是其他的具备类似处理能力的处理设备或处理单元等。
在上述实施例中,原始摘要信息可以是原始附加信息中所携带的信息,此外,还可以是基于对原始附加信息进行精简或增设或其他特定的计算操作等计算确定出的原始附加信息的原始摘要信息,在实际应用中,原始附加信息中可以包括目标用户设备的标识ID、目标用户设备的用户名、目标用户设备的访问权限、可信平台模块密钥的密钥名等等,其中,这些原始信息可以是用户在可输入性平台界面上输入的信息,也可以是可信平台模块从特定的模块中或者请求中提取的信息,例如,当用户未输入目标用户设备的标识ID时,可信平台模块在接收到的附加信息之后,可以检测到缺少目标用户设备的标识ID,继而可以根据目标用户设备的用户等信息到特定的模块中或者目标用户设备的操作***组件中,例如,可信平台模块的存储单元中或者目标用户设备的存储单元中调用对应的目标用户设备的标识ID。
在上述实施例中,可信平台模块接收到需要验证可信平台模块密钥和第一授权值的请求之后,可以先验证可信平台模块密钥,再验证第一授权值,也可以先验证第一授权值,再验证可信平台模块密钥,当然,也可以两者同时进行验证,但必须在可信平台模块密钥和第一授权值的验证都通过的情况下,才会建立目标用户设备与可信平台模块之间的授权会话,例如,可信平台模块密钥的验证通过了,但第一授权值的验证没有通过时,是不会建立目标用户设备与可信平台模块之间的授权会话的。
通过上述实施例,为用户设备配置的密钥信息中会携带与用户设备相关的附加信息,从而方便在操作***层面知悉用户设备相关的信息,此外,密钥信息中携带的密钥实际上是基于附加信息所创建的,因此,在用户设备使用密钥信息与可信平台模块之间进行会话建立连接时,可以基于该密钥信息中携带的附加信息以及该密钥来验证当前携带的附加信息是否完整,从而实现了附加信息完整性的验证,保证了通信安全。由此解决了相关技术中存在的无法快速获知密钥所属的用户的相关信息以及如何对密钥所属的用户的相关信息进行完整性保护的问题。
在一个示例性的实施例中,获取所述附加信息的摘要信息包括:通过第一计算方式计算所述附加信息的所述摘要信息,其中,所述第一计算方式与所述目标用户设备计算所述原始摘要信息的计算方式一致。在本实施例中,建立目标用户设备与可信平台模块之间的授权会话的前提条件为可信平台模块密钥和第一授权值的验证都通过的情况下,其中,第一授权值的验证是否通过是基于第一授权值与目标授权值比对的结果,当第一授权值与目标授权值比对的结果为一致的情况下,说明附加信息的摘要信息未被篡改,即第一授权值未被篡改,在实际应用中,需要采用相同的计算方式计算出附加信息的摘要信息和原始附加信息的原始摘要信息,由此才能保证计算的准确性,此外,在基于该摘要信息和该原始摘要信息分别确定出的第一授权值和目标授权值之后,可以继续对第一授权值与目标授权值是否一致进行比对,进而验证第一授权值是否是合法的,其中,在确定第一授权值和目标授权值一致的情况下,可以认为第一授权值是合法的,在确定第一授权值和目标授权值不一致的情况下,可以认为第一授权值是不合法的。
在上述实施例中,可以由目标用户设备的操作***组件(例如,后台daemon进程、内核驱动模块等)计算出附加信息的摘要信息和原始附加信息的原始摘要信息。
在一个示例性实施例中,基于所述摘要信息以及接收到的所述原始授权值确定第一授权值包括:获取由所述目标用户设备所输入的所述原始授权值;对所述摘要信息以及所述原始授权值进行密码运算,得到所述第一授权值。在本实施例中,在确定第一授权值时,是需要使用原始授权值和当前提取的附加信息来计算得到该第一授权值的,在获取原始授权值时,可以通过由目标用户设备输入的方式来获取原始授权值,当然,也可以从预先存储的数据中去查找该原始授权值,当然,其他的能够获取该原始授权值的方式也是可以的,此外,上述的密码运算方式也可以有多种,例如,可以是哈希运算方式或者是加密运算方式等等,在此不作限定。
在一个示例性实施例中,在提取目标用户设备使用的第一密钥信息中包括的可信平台模块密钥以及附加信息之前,所述方法还包括:获取输入的所述原始附加信息的所述原始摘要信息以及所述原始授权值;基于所述原始摘要信息以及所述原始授权值确定所述目标授权值;将所述目标授权值发送给可信平台模块,以指示所述可信平台模块基于所述目标授权值创建可信平台模块密钥;获取可信平台模块创建的所述可信平台模块密钥,并基于所述可信平台模块密钥以及所述原始附加信息确定出原始密钥信息,其中,所述原始密钥信息用于所述目标用户设备与所述可信平台模块建立授权会话。在本实施例中,可以是目标用户设备所输入的原始附加信息的原始摘要信息以及原始授权值,也可以是除目标用户设备之外的其他设备输入的原始附加信息的原始摘要信息以及原始授权值,另外,可以基于原始摘要信息以及原始授权值确定出目标授权值,并将目标授权值发送给可信平台模块,以指示可信平台模块基于目标授权值创建可信平台模块密钥,由此可知实现将可信平台模块密钥与原始附加信息关联起来,从而方便后续可以基于可信平台模块密钥对提取到的附加信息进行验证,在本实施例中,利用了可信平台模块的授权机制来保证原始附加信息的完整性,此外,将原始附加信息完整性的校验添加到了密钥授权过程中,从而大幅提高了原始附加信息的完整性校验效率,即,提高了原始密钥信息的完整性校验效率。
在一个示例性实施例中,基于所述可信平台模块密钥以及所述原始附加信息确定出原始密钥信息包括:将所述可信平台模块密钥以及所述原始附加信息按照预定结构存放在一起,得到所述原始密钥信息。在本实施例中,预定结构可以是C语言的结构体,也可以是其他语言的结构体等等,其中,可以将可信平台密钥以及原始附加信息依次排列,例如,可以将表示为可信平台密钥的算法语句排放在表示为原始附加信息的算法语句的前面,也可以将表示为原始附加信息的算法语句排放在表示为可信平台密钥的算法语句的前面等等,另外,将可信平台模块密钥以及原始附加信息按预定的结构存放一起,操作***层面可以基于该原始附加信息确定出该可信平台模块密钥为哪个用户设备所使用。
在一个示例性实施例中,将所述可信平台模块密钥和所述第一授权值发送给所述可信平台模块之后,所述方法还包括:所述可信平台模块获取所述可信平台模块密钥中包括的所述目标授权值;所述可信平台模块对所述第一授权值与所述目标授权值进行比对,得到第一比对结果;所述可信平台模块获取所述可信平台模块密钥中携带的签名信息;所述可信平台模块基于所述第一比对结果确定所述第一授权值的合法性,以及基于所述签名信息确定所述可信平台模块密钥的合法性;所述可信平台模块在确定所述第一授权值合法以及所述可信平台模块密钥合法的情况下,建立所述目标用户设备与所述可信平台模块之间的授权会话。在本实施例中,可信平台模块密钥中携带的签名信息可以是可信平台模块基于目标授权值创建可信平台模块密钥时添加到可信平台模块密钥中的,其中,可信平台模块可以通过验证从可信平台模块密钥中获取到的签名信息与自身创建可信平台密钥时添加的签名信息是否一致来判断可信平台模块密钥是否合法,例如,在可信平台模块验证出从可信平台模块密钥中获取到的签名信息与自身创建可信平台密钥时添加的签名信息一致的情况下,可以确认可信平台模块密钥是合法的,在可信平台模块验证出从可信平台模块密钥中获取到的签名信息与自身创建可信平台密钥时添加的签名信息不一致的情况下,可以确认可信平台模块密钥是不合法的。
在一个示例性实施例中,所述附加信息包括以下信息至少之一:所述目标用户设备的标识ID、所述目标用户设备的用户名、所述目标用户设备的访问权限、所述可信平台模块密钥的密钥名。在本实施例中,所述附加信息除了包括有所述目标用户设备的标识ID、所述目标用户设备的用户名、所述目标用户设备的访问权限、所述可信平台模块密钥的密钥名之外,还可以包括其他的用户设备的识别信息以及密钥的识别信息等等。
显然,上述所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。
下面结合具体实施例对本发明进行具体说明:
首先对本发明具体实施例中涉及的附加信息、密钥进行说明:
可信平台模块密钥附加信息:在本发明具体实施例中指可信平台模块密钥附带的元数据(meta-data),例如,密钥的主人名字、密钥编号、密钥在操作***上的访问权限等,其中,这些信息在本发明具体实施例中统称为可信平台模块密钥附加信息,简称附加信息,附加信息是私有数据,对可信平台模块不可见,其完整性不受可信平台模块保护。
密钥BLOB(对应于上述的第一密钥信息和原始密钥信息):是附加信息与可信平台模块密钥以某种数据结构(对应于上述预定结构)存放在一起生成密钥BLOB。
图3是根据本发明实施例的可信平台模块密钥与附加信息生成密钥BLOB的流程的示意图,如图3所示,可信平台模块(TPM)生成可信平台模块密钥,并在可信平台模块外部将可信平台模块密钥与其附加信息进行组合封装,生成密钥BLOB。
本发明具体实施例中还提供了用户创建可信平台模块密钥的流程,图4是根据本发明实施例的用户创建可信平台模块密钥的流程图,如图4所示,该流程包括如下步骤:
S402,输入可信平台模块密钥的附加信息(对应于上述原始附加信息);
S404,输入可信平台模块密钥的授权策略(可以是输入授权值的口令等)和授权值(对应于上述原始授权值);
S406,由上述目标用户设备计算可信平台模块密钥附加信息的摘要信息;
S408,将S406步骤中计算得到的摘要信息(对应于上述原始附加信息的原始摘要信息)与可信平台模块密钥的授权值(对应于上述原始授权值)进行密码运算(例如,哈希运算、加密运算等)得到一个新的授权值(对应于上述目标授权值);
S410,将输入的授权策略、新的授权值以及创建密钥相关参数(创建密钥时使用到的标准参数)发送给可信平台模块,并向可信平台模块发起密钥创建请求;
S412,从可信平台模块中获取新创建的可信平台模块密钥;
S414,将输入的可信平台模块密钥附加信息和S412中获取到的可信平台模块密钥以某种数据结构(对应于上述预定结构)存放在一起,并形成密钥BLOB(对应于上述原始密钥信息)。
图5是根据本发明实施例的用户使用可信平台模块密钥的流程图,如图5所示,该流程包括如下步骤:
S502,读取密钥BLOB(对应于上述第一密钥信息),将密钥BLOB中的可信平台模块密钥附加信息(对应于上述附加信息)和可信平台模块密钥提取出来;
S504,用户输入可信平台模块密钥的授权值(对应于上述原始授权值,与创建密钥时输入的一致,);
S506,有上述目标用户设备计算可信平台模块附加信息的摘要信息;
S508,将S506步骤中计算得到的摘要信息(对应上述附加信息的摘要信息)与授权值(对应于上述原始授权值)进行密码运算(例如,哈希运算,加密运算等)得到一个新的授权值(对应于上述第一授权值);
S510,将新的授权值和从密钥BLOB中提取的可信平台模块密钥发送给可信平台模块,以请求可信平台模块建立授权会话;
S512,等待可信平台模块授权;
S514,如果授权值和可信平台模块密钥都正确,则可信平台模块建立会话并接受用户发起的密钥操作请求(如加密、解密、迁移等);
S516,如果授权值和可信平台模块都不正确或两者中任一个不正确,则可信平台模块拒绝后续请求。
由前述实施例可知,若可信平台模块密钥附加信息的内容发生改变,则其摘要信息也会发生改变,进而导致授权值发生改变,由此造成发起授权会话时的授权值与创建密钥时的授权值不一致,导致授权不通过,继而,用户将无法使用该密钥,此外,本发明实施例还实现了如下目的:实现了通过可信平台模块来保障用户密钥的完整性、机密性与授权访问。实现了通过可信平台模块的授权机制,将可信平台模块密钥附加信息的摘要信息作为密钥授权值的计算因子之一,并将可信平台模块密钥附加信息的完整性验证融入可信平台密钥授权过程,从而保障可信平台模块密钥附加信息的完整性。
通过本发明提出的一种会话的建立方法,可以对可信平台模块密钥以及附加信息的完整性进行保护,即解决可信平台模块密钥附加信息的数据完整性没有保障的问题,当密钥的附加信息被篡改时,可以平台模块可以拒绝对该密钥进行操作(操作包括加密、解密、签名、验签、删除、更改口令、更改策略、更改授权值等等),另外,本发明方法还可以应用于IOT设备、云计算平台、个人电脑等场景。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
在本实施例中还提供了一种会话的建立装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图6是根据本发明实施例的会话的建立装置的结构框图,如图6所示,该装置包括:
提取模块62,用于提取目标用户设备使用的第一密钥信息中包括的可信平台模块密钥以及附加信息,其中,所述可信平台模块密钥是可信平台模块基于目标授权值所创建的,所述目标授权值是基于原始授权值与所述目标用户设备计算出的原始附加信息的原始摘要信息所确定的,其中,所述原始附加信息是与所述目标用户设备相关的信息;
第一获取模块64,用于获取所述附加信息的摘要信息,基于所述摘要信息以及接收到的所述原始授权值确定第一授权值;
第一发送模块66,用于将所述可信平台模块密钥和所述第一授权值发送给所述可信平台模块,以请求所述可信平台模块验证所述可信平台模块密钥和所述第一授权值,并在验证通过的情况下建立所述目标用户设备与所述可信平台模块之间的授权会话。
在一个示例性实施例中,所述第一获取模块64包括:计算单元,用于通过第一计算方式计算所述附加信息的所述摘要信息,其中,所述第一计算方式与所述目标用户设备计算所述原始摘要信息的计算方式一致。
在一个示例性实施例中,所述第一获取模块64包括:获取单元,用于获取由所述目标用户设备所输入的所述原始授权值;运算单元,用于对所述摘要信息以及所述原始授权值进行密码运算,得到所述第一授权值。
在一个示例性实施例中,上述装置还包括:第二获取模块,用于在提取目标用户设备使用的第一密钥信息中包括的可信平台模块密钥以及附加信息之前,获取输入的所述原始附加信息的所述原始摘要信息以及所述原始授权值;确定模块,用于基于所述原始摘要信息以及所述原始授权值确定所述目标授权值;第二发送模块,用于将所述目标授权值发送给可信平台模块,以指示所述可信平台模块基于所述目标授权值创建可信平台模块密钥;第三获取模块,用于获取可信平台模块创建的所述可信平台模块密钥,并基于所述可信平台模块密钥以及所述原始附加信息确定出原始密钥信息,其中,所述原始密钥信息用于所述目标用户设备与所述可信平台模块建立授权会话。
在一个示例性实施例中,所述确定模块包括:存放单元,用于将所述可信平台模块密钥以及所述原始附加信息按照预定结构存放在一起,得到所述原始密钥信息。
在一个示例性实施例中,上述可信平台模块包括:第四获取模块,用于获取所述可信平台模块密钥中包括的所述目标授权值;比对模块,用于对所述第一授权值与所述目标授权值进行比对,得到第一比对结果;第五获取模块,用于获取所述可信平台模块密钥中携带的签名信息;确定模块,用于基于所述第一比对结果确定所述第一授权值的合法性,以及基于所述签名信息确定所述可信平台模块密钥的合法性;建立模块,用于在确定所述第一授权值合法以及所述可信平台模块密钥合法的情况下,建立所述目标用户设备与所述可信平台模块之间的授权会话。
在一个示例性实施例中,所述附加信息包括以下信息至少之一:所述目标用户设备的标识ID、所述目标用户设备的用户名、所述目标用户设备的访问权限、所述可信平台模块密钥的密钥名。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
本发明的实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述计算机可读存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
本实施例中的具体示例可以参考上述实施例及示例性实施方式中所描述的示例,本实施例在此不再赘述。
通过本发明可以利用可信平台模块的授权机制来保证可信平台模块密钥附加信息的完整性,无需采用可信平台模块以外的密钥对可信平台模块密钥进行签名,进而可以将可信平台模块密钥附加信息的完整性校验融入密钥授权过程,避免了外部签名密钥的保护问题,从而提高了密钥传输的安全性,进而大幅提高了可信平台模块密钥附加信息的完整性校验效率,降低了可信平台模块的计算量。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种会话的建立方法,其特征在于,包括:
提取目标用户设备使用的第一密钥信息中包括的可信平台模块密钥以及附加信息,其中,所述可信平台模块密钥是可信平台模块基于目标授权值所创建的,所述目标授权值是基于原始授权值与所述目标用户设备计算出的原始附加信息的原始摘要信息所确定的,其中,所述原始附加信息是与所述目标用户设备相关的信息;
获取所述附加信息的摘要信息,基于所述摘要信息以及接收到的所述原始授权值确定第一授权值;
将所述可信平台模块密钥和所述第一授权值发送给所述可信平台模块,以请求所述可信平台模块验证所述可信平台模块密钥和所述第一授权值,并在验证通过的情况下建立所述目标用户设备与所述可信平台模块之间的授权会话。
2.根据权利要求1所述的方法,其特征在于,获取所述附加信息的摘要信息包括:
通过第一计算方式计算所述附加信息的所述摘要信息,其中,所述第一计算方式与所述目标用户设备计算所述原始摘要信息的计算方式一致。
3.根据权利要求1所述的方法,其特征在于,基于所述摘要信息以及接收到的所述原始授权值确定第一授权值包括:
获取由所述目标用户设备所输入的所述原始授权值;
对所述摘要信息以及所述原始授权值进行密码运算,得到所述第一授权值。
4.根据权利要求1所述的方法,其特征在于,在提取目标用户设备使用的第一密钥信息中包括的可信平台模块密钥以及附加信息之前,所述方法还包括:
获取输入的所述原始附加信息的所述原始摘要信息以及所述原始授权值;
基于所述原始摘要信息以及所述原始授权值确定所述目标授权值;
将所述目标授权值发送给可信平台模块,以指示所述可信平台模块基于所述目标授权值创建可信平台模块密钥;
获取可信平台模块创建的所述可信平台模块密钥,并基于所述可信平台模块密钥以及所述原始附加信息确定出原始密钥信息,其中,所述原始密钥信息用于所述目标用户设备与所述可信平台模块建立授权会话。
5.根据权利要求4所述的方法,其特征在于,基于所述可信平台模块密钥以及所述原始附加信息确定出原始密钥信息包括:
将所述可信平台模块密钥以及所述原始附加信息按照预定结构存放在一起,得到所述原始密钥信息。
6.根据权利要求1所述的方法,其特征在于,将所述可信平台模块密钥和所述第一授权值发送给所述可信平台模块之后,所述方法还包括:
所述可信平台模块获取所述可信平台模块密钥中包括的所述目标授权值;
所述可信平台模块对所述第一授权值与所述目标授权值进行比对,得到第一比对结果;
所述可信平台模块获取所述可信平台模块密钥中携带的签名信息;
所述可信平台模块基于所述第一比对结果确定所述第一授权值的合法性,以及基于所述签名信息确定所述可信平台模块密钥的合法性;
所述可信平台模块在确定所述第一授权值合法以及所述可信平台模块密钥合法的情况下,建立所述目标用户设备与所述可信平台模块之间的授权会话。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述附加信息包括以下信息至少之一:
所述目标用户设备的标识ID、所述目标用户设备的用户名、所述目标用户设备的访问权限、所述可信平台模块密钥的密钥名。
8.一种会话的建立装置,其特征在于,包括:
提取模块,用于提取目标用户设备使用的第一密钥信息中包括的可信平台模块密钥以及附加信息,其中,所述可信平台模块密钥是可信平台模块基于目标授权值所创建的,所述目标授权值是基于原始授权值与所述目标用户设备计算出的原始附加信息的原始摘要信息所确定的,其中,所述原始附加信息是与所述目标用户设备相关的信息;
第一获取模块,用于获取所述附加信息的摘要信息,基于所述摘要信息以及接收到的所述原始授权值确定第一授权值;
第一发送模块,用于将所述可信平台模块密钥和所述第一授权值发送给所述可信平台模块,以请求所述可信平台模块验证所述可信平台模块密钥和所述第一授权值,并在验证通过的情况下建立所述目标用户设备与所述可信平台模块之间的授权会话。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被处理器执行时实现所述权利要求1至7任一项中所述的方法的步骤。
10.一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现所述权利要求1至7任一项中所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210386137.XA CN114785845B (zh) | 2022-04-13 | 2022-04-13 | 会话的建立方法、装置、存储介质及电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210386137.XA CN114785845B (zh) | 2022-04-13 | 2022-04-13 | 会话的建立方法、装置、存储介质及电子装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114785845A CN114785845A (zh) | 2022-07-22 |
| CN114785845B true CN114785845B (zh) | 2023-08-29 |
Family
ID=82429977
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210386137.XA Active CN114785845B (zh) | 2022-04-13 | 2022-04-13 | 会话的建立方法、装置、存储介质及电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114785845B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642077A (zh) * | 2004-01-13 | 2005-07-20 | 国际商业机器公司 | 可信数字时间戳的生成和验证的方法及*** |
| CN102421096A (zh) * | 2011-12-22 | 2012-04-18 | 厦门雅迅网络股份有限公司 | 一种基于无线网络的数据安全传输方法 |
| CN103944736A (zh) * | 2014-04-25 | 2014-07-23 | 天地融科技股份有限公司 | 数据安全交互方法 |
| CN105071939A (zh) * | 2015-07-15 | 2015-11-18 | 傅程燕 | 一种用户信息认证方法及*** |
| CN105245340A (zh) * | 2015-09-07 | 2016-01-13 | 天地融科技股份有限公司 | 一种基于远程开户的身份认证方法和*** |
| CN110659476A (zh) * | 2019-09-20 | 2020-01-07 | 北京海益同展信息科技有限公司 | 用于重置密码的方法和装置 |
| CN111241492A (zh) * | 2019-12-27 | 2020-06-05 | 武汉烽火信息集成技术有限公司 | 一种产品多租户安全授信方法、***及电子设备 |
| CN111404659A (zh) * | 2020-03-02 | 2020-07-10 | 广州大学 | 基于混沌***的隐私保护通信方法、服务器以及通信*** |
| CN112765626A (zh) * | 2021-01-21 | 2021-05-07 | 北京数字认证股份有限公司 | 基于托管密钥授权签名方法、装置、***及存储介质 |
| CN113572717A (zh) * | 2020-04-29 | 2021-10-29 | 青岛海尔滚筒洗衣机有限公司 | 通信连接的建立方法、洗护设备及服务器 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040098591A1 (en) * | 2002-11-15 | 2004-05-20 | Fahrny James W. | Secure hardware device authentication method |
| US7992193B2 (en) * | 2005-03-17 | 2011-08-02 | Cisco Technology, Inc. | Method and apparatus to secure AAA protocol messages |
| US7908483B2 (en) * | 2005-06-30 | 2011-03-15 | Intel Corporation | Method and apparatus for binding TPM keys to execution entities |
| US11012241B2 (en) * | 2018-09-10 | 2021-05-18 | Dell Products L.P. | Information handling system entitlement validation |
-
2022
- 2022-04-13 CN CN202210386137.XA patent/CN114785845B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642077A (zh) * | 2004-01-13 | 2005-07-20 | 国际商业机器公司 | 可信数字时间戳的生成和验证的方法及*** |
| CN102421096A (zh) * | 2011-12-22 | 2012-04-18 | 厦门雅迅网络股份有限公司 | 一种基于无线网络的数据安全传输方法 |
| CN103944736A (zh) * | 2014-04-25 | 2014-07-23 | 天地融科技股份有限公司 | 数据安全交互方法 |
| CN105071939A (zh) * | 2015-07-15 | 2015-11-18 | 傅程燕 | 一种用户信息认证方法及*** |
| CN105245340A (zh) * | 2015-09-07 | 2016-01-13 | 天地融科技股份有限公司 | 一种基于远程开户的身份认证方法和*** |
| CN110659476A (zh) * | 2019-09-20 | 2020-01-07 | 北京海益同展信息科技有限公司 | 用于重置密码的方法和装置 |
| CN111241492A (zh) * | 2019-12-27 | 2020-06-05 | 武汉烽火信息集成技术有限公司 | 一种产品多租户安全授信方法、***及电子设备 |
| CN111404659A (zh) * | 2020-03-02 | 2020-07-10 | 广州大学 | 基于混沌***的隐私保护通信方法、服务器以及通信*** |
| CN113572717A (zh) * | 2020-04-29 | 2021-10-29 | 青岛海尔滚筒洗衣机有限公司 | 通信连接的建立方法、洗护设备及服务器 |
| CN112765626A (zh) * | 2021-01-21 | 2021-05-07 | 北京数字认证股份有限公司 | 基于托管密钥授权签名方法、装置、***及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于Linux的数据安全传输的研究;李舒亮;习军;;微计算机信息(24);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114785845A (zh) | 2022-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110378139B (zh) | 一种数据密钥保护方法、***及电子设备和存储介质 | |
| CN112596802B (zh) | 一种信息处理方法及装置 | |
| CN105376216B (zh) | 一种远程访问方法、代理服务器及客户端 | |
| CN110334503B (zh) | 利用一个设备解锁另一个设备的方法 | |
| CN112513857A (zh) | 可信执行环境中的个性化密码安全访问控制 | |
| CN102624699B (zh) | 一种保护数据的方法和*** | |
| CN109194625B (zh) | 一种基于云端服务器的客户端应用保护方法、装置及存储介质 | |
| CN111431719A (zh) | 一种移动终端密码保护模块、移动终端及密码保护方法 | |
| CN108768963B (zh) | 可信应用与安全元件的通信方法和*** | |
| CN110874494B (zh) | 密码运算处理方法、装置、***及度量信任链构建方法 | |
| CN108200078B (zh) | 签名认证工具的下载安装方法及终端设备 | |
| EP3206329B1 (en) | Security check method, device, terminal and server | |
| KR101739203B1 (ko) | 일회용 개인키 기반 전자 서명과 동형 암호를 이용한 패스워드 기반 사용자 인증 방법 | |
| JP4226556B2 (ja) | プログラム実行制御装置、os、クライアント端末、サーバ、プログラム実行制御システム、プログラム実行制御方法、プログラム実行制御プログラム | |
| CN111401901B (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| US20200233947A1 (en) | System and method for facilitating authentication via a short-range wireless token | |
| KR101642267B1 (ko) | 앱 위변조 방지시스템 및 그 방법 | |
| CN111901304B (zh) | 移动安全设备的注册方法和装置、存储介质、电子装置 | |
| CN114079921B (zh) | 会话密钥的生成方法、锚点功能网元以及*** | |
| CN109905395B (zh) | 一种验证客户端可信的方法及相关装置 | |
| CN115509587B (zh) | 固件升级方法、装置、电子设备及计算机可读存储介质 | |
| CN111628985A (zh) | 安全访问控制方法、装置、计算机设备和存储介质 | |
| CN114785845B (zh) | 会话的建立方法、装置、存储介质及电子装置 | |
| KR101973578B1 (ko) | 어플리케이션의 무결성 검증 방법 및 장치 | |
| KR20110114990A (ko) | 키보드 보안 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |