[发明专利]云存储模式下基于TrustZone的密钥使用次数管理方法及系统有效
| 申请号: | 202011501954.2 | 申请日: | 2020-12-18 |
| 公开(公告)号: | CN112688999B | 公开(公告)日: | 2022-10-11 |
| 发明(设计)人: | 任正伟;李鑫;陈小双;李晓娟;张凯 | 申请(专利权)人: | 武汉科技大学 |
| 主分类号: | H04L67/1097 | 分类号: | H04L67/1097;H04L9/40;H04L67/06;H04L9/08 |
| 代理公司: | 武汉科皓知识产权代理事务所(特殊普通合伙) 42222 | 代理人: | 严彦 |
| 地址: | 430081 湖北*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 存储 模式 基于 trustzone 密钥 使用 次数 管理 方法 系统 | ||
1.一种云存储模式下基于TrustZone的密钥使用次数管理方法,其特征在于:基于TRUSTZONE技术在数据属主DO端和数据使用者DU端分别构建以Linux为普通执行环境REE和以OP-TEE为可信执行环境TEE的系统环境,私密信息及相关操作都由运行在TEE中的可信应用TA处理,其他的非敏感操作和文件则由运行在REE中的客户端应用CA处理,CA使用OP-TEE提供的应用编程接口API与TA通信,以确保CA不会破坏TA中文件和应用的完整性和机密性;在密钥使用方面,将密钥的使用次数与安全文件的读取次数相绑定,并且通过对密钥使用次数进行安全存储和完整性校验防止被破坏,从而确保解决密钥分发之后因无限制使用而导致的安全问题;
所述数据属主DO端设置密钥守护进程模块KDM、密钥迁出模块KMOM、文件加密模块FEM和文件上传模块FUM,密钥守护进程模块KDM和文件加密模块FEM位于DO端的可信应用TA中,密钥迁出模块KMOM和文件上传模块FUM位于DO端的客户端应用CA中;所述数据使用者DU端设置安全文件管理模块SFMM、密钥处理模块KPM、密钥迁入模块KMIM、文件解密模块FDM和文件处理模块FPM;安全文件管理模块SFMM、密钥处理模块KPM和文件解密模块FDM位于DU端的可信应用TA中,密钥迁入模块KMIM和文件处理模块FPM位于DU端的客户端应用CA中;
所述数据属主DO端中,
密钥守护进程模块KDM,用于生成对称的文件加密密钥FEK和可信应用存储密钥TSK_DO,将FEK传递给文件加密模块FEM;将FEK与文件进行关联,用TSK_DO对FEK进行加密和解密,将FEK与文件的对应关系、密文状态下的文件加密密钥ETSK_DO(FEK)传递给密钥迁出模块KMOM,或从KMOM接收FEK与文件的对应关系、ETSK_DO(FEK);接收来自密钥迁出模块KMOM的非对称密钥,用非对称密钥对FEK及最大使用次数TIMES加密,将加密后的FEK及TIMES传递给密钥迁出模块KMOM;
密钥迁出模块KMOM,用于与密钥守护进程模块KDM交互,与本地文件系统交互,将从密钥守护进程模块KDM传出的ETSK_DO(FEK)存储到本地文件系统,或从本地文件系统读取ETSK_DO(FEK)并传递给密钥守护进程模块KDM;与数据使用者DU端的密钥迁入模块KMIM交互,接收密钥迁入模块KMIM发出的密钥迁移请求,将加密后的FEK及最大使用次数TIMES传递给密钥迁入模块KMIM,实现FEK及TIMES的迁出;
文件加密模块FEM,用于与密钥守护进程模块KDM交互获得文件加密密钥FEK,用对称加密算法和FEK对来自文件上传模块FUM的明文数据进行加密,将密文数据返回给FUM;
文件上传模块FUM,用于读取存储在本地文件系统中的明文数据,并将明文数据传递给文件加密模块FEM,从FEM处获得加密后的密文数据,将密文数据上传给云服务提供商CSP;所述数据使用者DU端中,
安全文件管理模块SFMM,用于管理和操作安全文件SF包括为每个FEK创建一个相对应的SF,并返回SF的标识符SF_ID;根据SF_ID获取对应SF的当前读取次数SF_VALUE;对SF的当前读取次数SF_VALUE进行步长为1的累加;从密钥迁入模块KMIM处获得SF,并从SF中读取密文状态下的FEK及TIMES信息ETSK_DU(KeyInfo);将ETSK_DU(KeyInfo)写入SF,并将SF传给密钥迁入模块KMIM;销毁SF_ID对应的SF;
密钥处理模块KPM,用于生成非对称的公私钥对,用非对称密钥对来自于密钥迁入模块KMIM的处于密文状态下的FEK及最大使用次数TIMES进行解密;接受来自文件解密模块FDM的解密请求,并将请求传递给KMIM;生成对称的可信应用存储密钥TSK_DU,用TSK_DU对FEK及TIMES进行加密和解密;与安全文件管理模块SFMM交互,将ETSK_DU(KeyInfo)传递给安全文件管理模块SFMM,或从SFMM接收ETSK_DU(KeyInfo),从SFMM处获取FEK对应的安全文件SF的当前读取次数;对FEK的使用条件进行判断,若FEK能够用,则将FEK传递给文件解密模块FDM,并在使用完后用TSK_DU对FEK及TIMES再次进行加密,若FEK的使用条件不满足,则将FEK对应的安全文件SF的标识SF_ID传递给SFMM,向SFMM发出销毁MC的指令,并向FDM返回密钥加载失败的信息;
密钥迁入模块KMIM,用于与DO端的密钥迁出模块KMOM交互,向KMOM发出密钥迁移请求;与密钥处理模块KPM交互,将加密后的FEK及MAX_TIMES传递给密钥处理模块KP,实现FEK及TIMES的迁入;将来自于安全文件管理模块SFMM的安全文件存储到本地文件系统;接收来自密钥处理模块KPM的密钥加载请求,将从本地文件系统读取的安全文件传递给SFMM;
文件解密模块FDM,用于与密钥处理模块KPM交互获得FEK,用对称加密算法和FEK对来自于文件处理模块FPM的密文数据进行解密,将明文数据返回给FPM;
文件处理模块FPM,用于与云服务提供商CSP交互,从CSP处获得密文数据;与文件解密模块FDM交互,将密文数据传递给FDM,并接收FDM返回的明文数据。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于武汉科技大学,未经武汉科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011501954.2/1.html,转载请声明来源钻瓜专利网。
