一种身份认证方法、处理器和相关设备与流程

文档序号:37051993发布日期:2024-02-20 20:51阅读:19来源:国知局
一种身份认证方法、处理器和相关设备与流程

本申请涉及处理器,具体涉及一种身份认证方法、处理器和相关设备。


背景技术:

1、密钥派生技术是指从一个基础密钥或根密钥产生出一个或者多个派生密钥的技术。在密钥派生的过程中,密钥申请者会向密钥派生者发送包括派生算法的密钥派生请求,密钥派生者响应密钥派生请求,基于派生算法生成派生密钥,并将派生密钥返回给密钥申请者。虽然在密钥派生的过程中,会基于密钥申请者提供的密钥对派生算法和派生密钥进行加密,但是,在攻击者假冒密钥申请者的情况下,密钥由攻击者提供,因而无法保证派生密钥不被攻击者获得。


技术实现思路

1、本申请公开一种身份认证方法、处理器和相关设备,以对密钥申请者进行身份认证,避免派生密钥被攻击者获得。

2、第一方面,本申请公开了一种身份认证方法,应用于处理器,所述处理器搭载有至少一种执行环境,所述执行环境包括多个隔离域,所述身份认证方法包括:基于所述本层隔离域的私钥和待签名的数据生成数字签名;将所述数字签名和所述本层隔离域的身份标识添加到密钥派生请求中;所述本层隔离域的公钥与所述本层隔离域的身份标识绑定并存储在所述多个隔离域的共享空间中;将所述密钥派生请求发送至下层隔离域,以使所述下层隔离域基于所述本层隔离域的身份标识从所述共享空间中获取所述本层隔离域的公钥,并基于所述本层隔离域的公钥对所述数字签名进行验证,若验证通过,则响应所述密钥派生请求。

3、在一些可选示例中,所述本层隔离域为申请者隔离域,所述将所述数字签名和所述本层隔离域的身份标识添加到密钥派生请求中包括:向派生根隔离域发送信息获取请求,获取所述派生根隔离域的公钥;所述派生根隔离域为生成派生密钥的隔离域;基于会话密钥,对生成所述派生密钥所需的算法信息进行加密生成算法信息密文;所述会话密钥包括所述申请者隔离域随机生成的密钥;基于所述派生根隔离域的公钥,对所述会话密钥进行加密生成会话密钥密文;将所述申请者隔离域的数字签名、所述申请者隔离域的身份标识、所述算法信息密文和所述会话密钥密文添加到密钥派生请求中。

4、在一些可选示例中,还包括:将所述本层隔离域的状态掩码添加到所述密钥派生请求中,所述本层隔离域的状态掩码用于指示下层隔离域的至少一种状态信息,以便所述下层隔离域基于所述状态信息生成派生密钥,所述状态信息包括软件状态信息和/或硬件状态信息。

5、第二方面,本申请公开了一种身份认证方法,应用于处理器,所述处理器搭载有至少一种执行环境,所述执行环境包括多个隔离域,所述身份认证方法包括:接收上层隔离域发送的密钥派生请求,所述密钥派生请求包括基于所述上层隔离域的私钥和待签名的数据生成的数字签名和所述上层隔离域的身份标识;基于所述上层隔离域的身份标识,从所述多个隔离域的共享空间中获取所述上层隔离域的公钥,所述上层隔离域的公钥与所述上层隔离域的身份标识绑定并存储在所述共享空间中;基于所述上层隔离域的公钥,对所述数字签名进行验证;若验证通过,则响应所述密钥派生请求。

6、在一些可选示例中,所述响应所述密钥派生请求之前,还包括:将本层隔离域的状态信息添加到所述密钥派生请求中,所述状态信息包括软件状态信息和/或硬件状态信息;所述响应所述密钥派生请求之后,还包括:基于所述状态信息生成派生密钥,或者,将具有所述状态信息的密钥派生请求发送至下层隔离域,以使所述下层隔离域响应所述密钥派生请求生成派生密钥。

7、在一些可选示例中,所述将本层隔离域的状态信息添加到所述密钥派生请求中包括:将所述本层隔离域的状态信息添加到所述密钥派生请求的路径信息中;所述基于所述状态信息生成派生密钥包括:基于具有所述状态信息的路径信息生成派生密钥。

8、在一些可选示例中,所述密钥派生请求包括所述上层隔离域的状态掩码,所述将本层隔离域的状态信息添加到所述密钥派生请求中之前,还包括:基于所述上层隔离域的状态掩码和所述本层隔离域的状态掩码确定所述本层隔离域的状态信息,所述上层隔离域的状态掩码和所述本层隔离域的状态掩码分别用于指示所述本层隔离域的至少一种状态信息。

9、在一些可选示例中,所述本层隔离域为派生根隔离域,所述密钥派生请求包括会话密钥密文和算法信息密文,所述基于所述状态信息生成派生密钥包括:基于所述派生根隔离域的私钥,对所述会话密钥密文进行解密获得会话密钥;基于所述会话密钥,对所述算法信息密文进行解密获得算法信息;基于所述状态信息和所述算法信息生成派生密钥。

10、在一些可选示例中,还包括:接收所述上层隔离域发送的信息获取请求;响应所述信息获取请求,将所述派生根隔离域的公钥返回给所述上层隔离域,以便申请者隔离域从所述上层隔离域获取所述派生根隔离域的公钥,基于所述派生根隔离域的公钥对所述会话密钥进行加密,所述会话密钥包括所述申请者隔离域随机生成的密钥。

11、在一些可选示例中,所述基于所述状态信息和所述算法信息生成派生密钥包括:基于所述状态信息、所述算法信息和所述派生根隔离域的身份标识生成派生密钥。

12、在一些可选示例中,所述基于所述状态信息生成派生密钥之后,还包括:基于所述会话密钥,生成所述派生密钥的验证码;利用所述会话密钥,对所述派生密钥和所述验证码进行加密获得派生密钥密文,并将所述派生密钥密文返回给所述上层隔离域,以便申请者隔离域从所述上层隔离域获取所述派生密钥密文。

13、在一些可选示例中,所述将具有所述状态信息的密钥派生请求发送至下层隔离域之前,还包括:基于所述本层隔离域的私钥和待签名的数据,重新生成数字签名;将所述本层隔离域的身份标识和重新生成的数字签名添加到所述密钥派生请求中。

14、在一些可选示例中,所述将具有所述状态信息的密钥派生请求发送至下层隔离域之前,还包括:将所述本层隔离域的状态掩码添加到所述密钥派生请求中。

15、第三方面,本申请公开了一种处理器,被配置为执行如上任一项所述的身份认证方法。

16、第四方面,本申请公开了一种计算机设备,包括:存储器,用于存储指令;处理器,用于根据所述存储器中存储的指令,执行如上任一项所述的身份认证方法。

17、第五方面,本申请公开了一种计算机可读存储介质,其上存储有用于执行如上任一项所述的身份认证方法的指令。

18、本申请公开的身份认证方法、处理器和相关设备,在攻击者假冒密钥申请者的情况下,攻击者无法获得本层隔离域的私钥,或者,攻击者的提供的私钥无法与下层隔离域基于本层隔离域的身份标识从共享空间中获取本层隔离域的公钥匹配,导致数字签名无法通过验证,从而不能生成派生密钥,进而可以避免派生密钥被攻击者获得,进而可以提高设备的安全性。



技术特征:

1.一种身份认证方法,其特征在于,应用于处理器,所述处理器搭载有至少一种执行环境,所述执行环境包括多个隔离域,所述身份认证方法包括:

2.根据权利要求1所述的身份认证方法,其特征在于,所述本层隔离域为申请者隔离域,所述将所述数字签名和所述本层隔离域的身份标识添加到密钥派生请求中包括:

3.根据权利要求1或2所述的身份认证方法,其特征在于,还包括:

4.一种身份认证方法,其特征在于,应用于处理器,所述处理器搭载有至少一种执行环境,所述执行环境包括多个隔离域,所述身份认证方法包括:

5.根据权利要求4所述的身份认证方法,其特征在于,所述响应所述密钥派生请求之前,还包括:将本层隔离域的状态信息添加到所述密钥派生请求中,所述状态信息包括软件状态信息和/或硬件状态信息;

6.根据权利要求5所述的身份认证方法,其特征在于,所述将本层隔离域的状态信息添加到所述密钥派生请求中包括:将所述本层隔离域的状态信息添加到所述密钥派生请求的路径信息中;

7.根据权利要求5所述的身份认证方法,其特征在于,所述密钥派生请求包括所述上层隔离域的状态掩码,所述将本层隔离域的状态信息添加到所述密钥派生请求中之前,还包括:

8.根据权利要求5所述的身份认证方法,其特征在于,所述本层隔离域为派生根隔离域,所述密钥派生请求包括会话密钥密文和算法信息密文,所述基于所述状态信息生成派生密钥包括:

9.根据权利要求8所述的身份认证方法,其特征在于,还包括:

10.根据权利要求8所述的身份认证方法,其特征在于,所述基于所述状态信息和所述算法信息生成派生密钥包括:

11.根据权利要求8所述的身份认证方法,其特征在于,所述基于所述状态信息生成派生密钥之后,还包括:

12.根据权利要求5所述的身份认证方法,其特征在于,所述将具有所述状态信息的密钥派生请求发送至下层隔离域之前,还包括:

13.根据权利要求5或12所述的身份认证方法,其特征在于,所述将具有所述状态信息的密钥派生请求发送至下层隔离域之前,还包括:

14.一种处理器,其特征在于,被配置为执行如权利要求1~3或4~13任一项所述的身份认证方法。

15.一种计算机设备,其特征在于,包括:

16.一种计算机可读存储介质,其特征在于,其上存储有用于执行如权利要求1~3或4~13任一项所述的身份认证方法的指令。


技术总结
本申请公开了一种身份认证方法、处理器和相关设备,其中身份认证方法应用于处理器,处理器搭载有至少一种执行环境,执行环境包括多个隔离域,该身份认证方法包括:基于本层隔离域的私钥和待签名的数据生成数字签名,将数字签名和本层隔离域的身份标识添加到密钥派生请求中;本层隔离域的公钥与本层隔离域的身份标识绑定并存储在多个隔离域的共享空间中,将密钥派生请求发送至下层隔离域,以使下层隔离域基于本层隔离域的身份标识从共享空间中获取本层隔离域的公钥,并基于本层隔离域的公钥对数字签名进行验证,若验证通过,则响应密钥派生请求,以避免派生密钥被攻击者获得,进而可以提高设备的安全性。

技术研发人员:孙一品,刘勇鹏,张子龙,粟梁虎
受保护的技术使用者:飞腾信息技术有限公司
技术研发日:
技术公布日:2024/2/19
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1