[发明专利]一种密码管理方法及相关装置

说明书

本申请实施例公开了一种密码管理方法及相关装置，通过将TPM所有者密码以密文的形式存储在芯片内，能够提高TPM所有者密码在存储过程中的安全性。本申请实施例方法包括：芯片通过第一密钥以及预置的加密算法对第一TPM所有者密码进行加密，得到该第一TPM所有者密码对应的第一密文；在得到第一密文之后，芯片将该第一密文存储在芯片中的安全存储区域中。

技术领域

本申请涉及信息安全技术领域，尤其涉及一种密码管理方法及相关装置。

背景技术

可信平台模块(trusted platform module，TPM)可以应用于计算机、服务器等设备上，还可以应用于路由器或交换机等网络设备上，能够起到保障设备信息安全的作用。

对于TPM而言，每个TPM都会存在有一个TPM所有者密码(TPM owner password)，该TPM所有者密码能够影响TPM大部分功能的使用。在网络设备中，当网络设备上的软件程序需要使用TPM的一些功能时，往往需要向该TPM传递TPM所有者密码，只有在TPM所有者密码正确的情况下，软件程序才能够使用TPM的相关功能。

目前，网络设备上的软件程序往往是将TPM所有者密码以明文的形式存储在闪存(Flash Memory)上，仅仅依靠闪存上的权限访问控制机制来限制读取TPM所有者密码的进程。然而，目前的TPM所有者密码存储方式存在有非法进程绕过权限访问控制机制而直接获取TPM所有者密码的风险，TPM所有者密码的安全性较低。

发明内容

本申请实施例提供了一种密码管理方法及相关装置，通过芯片对TPM所有者密码进行加密，并且将加密后所得到的密文存储在芯片内，使得TPM所有者密码以密文的形式存储在芯片内，提高了TPM所有者密码在存储过程中的安全性，有效保证了TPM所有者密码的安全使用。

本申请实施例第一方面提供了一种密码管理方法，该方法包括：在需要安全存储TPM所有者密码的情况下，芯片可以通过第一密钥以及预置的加密算法对第一TPM所有者密码进行加密，得到第一密文；芯片将第一密文存储在芯片中的安全存储区域，其中，该安全存储区域可以是不对芯片的外部实体提供有访问接口的存储区域，即芯片不支持外部的实体访问该安全存储区域。

本实施例中，通过芯片对TPM所有者密码进行加密，并且将加密后所得到的密文存储在芯片内，使得TPM所有者密码以密文的形式安全地存储在芯片内，降低了TPM所有者密码泄露的风险，提高了TPM所有者密码在存储过程中的安全性，可以有效保证TPM所有者密码的安全使用。

在一种可能的实现方式中，第一密钥是由芯片生成的密钥，第一密钥明文存储在芯片中。这样，在芯片通过第一密钥对第一TPM所有者密码进行加密之前，芯片先从存储第一密钥的区域中获取第一密钥，然后再对第一TPM所有者密码进行加密。

在一种可能的实现方式中，第一密钥为由芯片生成的密钥，第一密钥加密存储在芯片中。这样，在芯片通过第一密钥对第一TPM所有者密码进行加密之前，芯片可以先从存储第一密钥对应的密文的区域中获取该密文，对该密文进行解密后得到第一密钥，然后再通过第一密钥对第一TPM所有者密码进行加密。

在一种可能的实现方式中，第一密钥可以是由芯片的根密钥派生得到的密钥，第一密钥也可以是基于物理不可克隆技术(physical unclonable function，PUF)生成的密钥。

在一种可能的实现方式中，芯片通过第一密钥对第一TPM所有者密码进行加密之前，方法还包括：芯片获取第一请求，该第一请求可以是由实体向芯片发送的，第一请求中携带有第一TPM所有者密码，用于指示芯片存储第一TPM所有者密码；根据第一请求，芯片存储第一TPM所有者密码，即芯片通过第一密钥对第一TPM所有者密码进行加密得到第一密文之后，将第一密文存储在芯片的安全存储区域。