[发明专利]一种可信芯片的密钥生成方法及相关设备

说明书

本申请实施例公开了一种可信芯片的密钥生成方法及相关设备，可以应用于可信芯片技术领域中，方法包括：可信芯片接收平台输入的第一随机数，根据第一随机数确定第一密钥种子，然后根据所述第一密钥种子和可信芯片内预设的密钥种子，生成根密钥；这样，可信芯片产生的密钥不再依赖于芯片制造商，使得可信芯片的密钥更加不容易被获知，提高可信芯片的可信度和数据安全性。

技术领域

本申请实施例涉及可信芯片技术领域，尤其涉及一种可信芯片的密钥生成方法及相关设备。

背景技术

可信平台模块(trusted platform module，TPM)是一种植于计算机内部为计算机提供可信根的可信芯片，是可以进行密钥生成、并对数据加解密的独立装置，其内部拥有独立的处理器和存储单元，可以存储各类密钥以及特征数据，为计算机提供加密和安全认证服务。具体的，可以向可信平台模块输入要加密的数据，然后可信平台模块在芯片内部对该数据进行加密，最后输出加密数据，由于加密过程位于可信平台模块内部，密钥只存储在芯片中并不对外输出，所以加密数据即使被窃，也无法对其解密，这样就可以保证数据的安全性。

可信芯片的工作离不开其控制的一系列密钥，示例性的，可以包括存储钥和背书钥；存储钥的各级密钥对各种数据进行加密，包括加密内存、加密硬盘数据等；背书钥则用于证明可信芯片的身份，通常用于远程证明过程；具体的，芯片制造商在可信芯片的制造过程中，会提前预置密钥种子，可信芯片中的随机数生成器用于产生随机数，然后可信芯片可以根据随机数和密钥种子生成对应的密钥。

由于密钥种子是由芯片制造商来提供的，同时，随机数生成器虽然基于硬件，但是硬件设备也完全由设备制造商来提供，硬件设备会限制随机数的随机性，所以基于芯片本身所产生的密钥过多的信任和依赖芯片制造商；如何能减少对芯片制造商的依赖，获取难以被获知的可信芯片内部密钥，成为可信芯片技术亟需解决的问题。

发明内容

本申请实施例提供了一种可信芯片的密钥生成方法及其相关设备，用于减少可信芯片中密钥的产生对芯片制造商的依赖，使得可信芯片生成更不容易被获知的密钥，提高可信芯片的安全性能。

本申请实施例的第一方面提供一种可信芯片的密钥生成方法，包括：

可信芯片在制造过程中，芯片制造商会在可信芯片内预设第二密钥种子，由于可信芯片的工作离不开其控制的一系列密钥，为了保证密钥的私密性，可信芯片还可以接收平台输入的第一随机数，由输入的第一随机数来确定第一密钥种子，再根据第一密钥种子和第二密钥种子共同作用，生成根密钥。

可信芯片根据平台输入的第一随机数来确定第一密钥种子，再根据第一密钥种子和芯片制造商预设的第二密钥种子，共同生成根密钥，这样可信芯片密钥的生成不再依赖于芯片制造商预置的密钥种子，用户通过平台输入的随机数也参与密钥的生成，增强了密钥的不可预知性，提高了可信芯片的数据安全。

基于第一方面，本申请实施例还提供了第一方面的第一种实施方式：

可信芯片中还包括随机数生成器，用于生成随机数，而随机数则用于密钥生成的各个环节，由于随机数生成器产生的随机数依赖于硬件设备，所以随机数生成器所产生的随机数也容易被芯片制造商获知；因此可以根据所述平台输入的第一随机数和所述随机数生成器生成的随机数，确定新的第二随机数，然后再利用第二随机数来实现密钥的生成。

根据用户通过平台输入的第一随机数和随机数生成器生成的随机数来获取新的随机数，可以提高随机数的随机性，使得根据随机数生成的密钥更加不可预知。

基于第一方面至第一方面的第一种实施方式，本申请实施例还提供了第一方面的第二种实施方式：

可信芯片还可以根据输入的第一随机数来生成密码生成算法的输入参数，来改变密码生成算法，然后可信芯片将根密钥输入至新的密码生成算法，得到多个目的密钥。