[发明专利]一种基于SGX的对称秘钥生成管理系统、方法、设备及介质

权利要求书

1.一种基于SGX的对称密钥生成管理系统的方法，其特征在于，该系统包括智能设备和基于SGX技术的秘钥服务器；所述秘钥服务器包括基于SGX技术构建的应用程序模块，所述应用程序模块用于创建enclave环境，在该enclave环境中进行根秘钥生成和秘钥分散操作；

该方法包括以下步骤：

步骤S1：在所述智能设备和秘钥服务器中进行信息预置，即在智能设备和秘钥服务器中分别预置一个相同的加密秘钥K1；

步骤S2：所述智能设备生成一个随机数R，并使用加密秘钥K1将R进行加密，同时将该智能设备的唯一标识号加R密文发给秘钥服务器；

步骤S3：所述秘钥服务器收到密文后使用加密秘钥K1解密密文得到R明文；

步骤S4：所述秘钥服务器在enclave环境中使用根秘钥Kroot对智能设备的唯一标识号加R明文进行加密和hash运算，得到智能设备的业务对称秘钥Ka，并在enclave环境中安全存储业务对称秘钥Ka，与智能设备的唯一标识号建立绑定关系；

步骤S5：所述秘钥服务器在enclave环境中使用加密秘钥K1加密业务对称秘钥Ka，并将密文发送给智能设备；

步骤S6：所述智能设备收到密文后使用K1进行解密，得到业务对称秘钥Ka，并存储Ka；

所述步骤S2中的唯一标识号为SN号；

所述业务对称秘钥的使用过程为：需要业务对称秘钥的智能设备将该智能设备参数发给秘钥服务器，秘钥服务器中应用程序模块安全的得到业务对称秘钥并发送给智能设备，该过程具体包括以下步骤：

步骤S81：智能设备a和b分别持有各自的业务对称秘钥Ka和Kb；智能设备b需要连接智能设备a，并进行安全通信；

步骤S82：智能设备b将智能设备a和b的SN号均发送至秘钥服务器，秘钥服务器在enclave环境中分别查找智能设备a和b的业务对称秘钥Ka和Kb；

步骤S83：秘钥服务器使用Kb将Ka加密，并将密文发送给智能设备b；

步骤S84：智能设备b使用Kb解密得到Ka明文；

步骤S85：智能设备a使用与步骤S83-S84相同的方法，获取到Kb明文；

步骤S86：智能设备a和b都同时拥有了业务对称秘钥Ka和Kb；

步骤S87：智能设备a和b之间基于业务对称秘钥Ka和Kb进行身份认证和安全通信。

2.根据权利要求1所述的方法，其特征在于，所述秘钥分散操作时，相关代码运行在enclave环境中，外部应用程序或操作系统均无法访问enclave环境中的内存和应用程序。

3.根据权利要求1所述的方法，其特征在于，所述步骤S1具体为：在智能设备中预置一个加密秘钥K1，在秘钥服务器中预置一个相同的加密秘钥K1；秘钥服务器首次运行时，基于SGX技术构建的应用程序在enclave环境中生成一个根秘钥Kroot并存储在该环境中，同时进行秘钥分散，其中所述秘钥分散是以根秘钥和智能设备的参数作为运算因子，进行组合、hash算法操作，以得到业务对称秘钥。

4.根据权利要求1所述的方法，其特征在于，所述智能设备的业务对称秘钥Ka具有有效期，所述业务对称秘钥Ka过期后，所述智能设备重新生成新的业务对称秘钥Ka’。

5.根据权利要求4所述的方法，其特征在于，所述业务对称秘钥Ka过期后，所述智能设备重新生成新的业务对称秘钥Ka’过程，具体包括以下步骤：

步骤S71：所述智能设备生成一个新的随机数R’；

步骤S72：所述智能设备使用Ka将R’进行加密，并将智能设备的唯一标识号加密文发给秘钥服务器；

步骤S73：所述秘钥服务器根据智能设备的唯一标识号找到匹配的Ka，使用Ka解密得到R’明文；

步骤S74：所述秘钥服务器在enclave环境中使用Ka对智能设备的唯一标识号加R’明文进行加密和hash运算，得到智能设备的新的业务对称秘钥Ka’，并在enclave环境中安全存储对称秘钥Ka’，与SN号更新绑定关系；

步骤S75：所述秘钥服务器在enclave环境中使用业务对称秘钥Ka加密Ka’，并将密文发送给智能设备；

步骤S76：所述智能设备收到密文后使用业务对称秘钥Ka进行解密，得到新的业务对称秘钥Ka’，并存储Ka’。