[发明专利]密钥授权信息管理方法及装置

说明书

技术领域

本发明涉及加密技术领域，特别涉及一种密钥授权信息管理方法及装置。

背景技术

可信平台模块(Trusted Platform Module，TPM)是一种植于计算机内部为计算机提供可信根的芯片，TPM内部集成了CPU核、RAM、ROM、Flash加密算法、协处理器、随机数生成器等模块。

TPM实际上是一个含有密码运算部件和存储部件的小型片上系统。数据存储在TPM内部的存储单元比存储在PC机上和服务器等其他存储单元里面更加可靠，任何器件都不可能直接对TPM进行写入。

TPM会生成很多密钥，每个密钥对应一个授权值。但是，由于TPM内部存储空间有限，不可能将所有的密钥都存储在TPM内部，所以将存储根密钥(Storage Root Key，SRK)及其授权值保存在TPM内部的存储区中，而将其他密钥及其授权值以加密的形式存储在外部的密钥存储模块中。当需要修改一个密钥的授权值时，先将密钥存储模块加载到TPM中进行解密，然后调用密钥授权值更新协议，根据用户输入的旧的授权值，确认是否有权限操作该密钥，如果是，则将用户输入的新的授权值替换旧的授权值并保存到密钥存储模块中。TPM在判断用户是否有权使用密钥时，先将密钥存储模块加载到TPM中进行解密，从中取出授权值，再与用户输入的授权值进行比较，如果两者相同，则表示用户有权使用密钥，否则，用户无权使用密钥。

发明人在实现本发明的过程中，发现现有技术至少存在如下缺点：

从上述过程可以看出，判断用户是否有权限使用密钥关键看用户输入的密钥的授权值是否正确，如果攻击者先前知道了授权值并复制了密钥存储模块，那么即使用户后续修改了密钥存储模块中的授权值，攻击者也可以通过使TPM加载修改之前的密钥存储模块，并根据先前的授权值来使用密钥，从而造成密钥被非法使用。

发明内容

本发明实施例提供一种密钥授权信息管理方法及装置，能够防止密钥被非法使用。

其中，一种密钥授权信息管理方法包括：

判断用户请求使用的密钥的授权值与密钥存储模块中所述密钥的授权值是否相同；

判断密钥存储模块中所述密钥的时间戳与所述密钥的时间戳证书中的时间戳是否相同，所述时间戳证书中的时间戳表示用户最后一次指定密钥授权值的时间；

当所述用户请求使用的密钥的授权值与所述密钥存储模块中所述密钥的授权值相同，且所述密钥存储模块中所述密钥的时间戳与所述密钥的时间戳证书中的时间戳相同时，确定用户有权使用密钥。

其中，一种密钥授权信息管理装置包括：

授权值判断模块，用于判断用户请求使用的密钥的授权值与密钥存储模块中所述密钥的授权值是否相同；

时间戳判断模块，用于判断密钥存储模块中所述密钥的时间戳与所述密钥的时间戳证书中的时间戳是否相同；所述时间戳证书存储于时间戳证书模块，所述时间戳证书中的时间戳表示用户最后一次指定密钥授权值的时间；

密钥使用确定模块，用于当所述用户请求使用的密钥的授权值与所述密钥存储模块中所述密钥的授权值相同，且所述密钥存储模块中所述密钥的时间戳与所述密钥的时间戳证书中的时间戳相同时，确定用户有权使用密钥。

本发明实施例在用户请求使用密钥时，需要判断用户输入的授权值与密钥存储模块中保存的授权值是否相同，和判断密钥存储模块中保存的时间戳与时间戳证书中的时间戳是否相同；如果两个判断结果都为是，才确定该用户有权使用密钥，这样，因为时间戳证书中的时间戳表示用户最后一次指定密钥的授权值的时间，如果用户修改过授权值，则该时间戳证书中的时间戳为用户最后一次修改授权值的时间，所以即使攻击者复制了原来的密钥存储模块(即授权值修改之前的密钥存储模块)并获取了修改之前的授权值，由于原来的密钥存储模块中的时间戳与时间戳证书中的时间戳不同，所以也无法使用密钥，防止密钥被非法使用。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一实施例提供的密钥授权信息管理方法流程图；

图2是本发明一实施例提供的生成密钥的时间戳证书的方法流程图；

图3是本发明另一实施例提供的生成密钥的时间戳证书的方法流程图；

图4是本发明实施例提供的确定密钥使用权利的方法流程图；

图5A是本发明实施例提供的一种密钥授权信息管理装置结构图；