[发明专利]一种面向云环境的可信平台模块两阶段密钥复制方法

权利要求书

1.一种面向云环境的可信平台模块两阶段密钥复制方法，其特征在于，所述方法在云密钥服务器中将对密码的标准的TPM 2.0实体复制行为通过软件模拟拆分为上半部分和下半部分；

所述上半部分发生在密钥准备阶段，所述云密钥服务器根据租户自定义密码使用对称加密使得所述密钥和云租户绑定；所述下半部分发生在密钥部署阶段，所述云密钥服务器根据目标TPM芯片中的一个公钥证书使用非对称加密使得所述密钥和所述目标TPM芯片绑定；

所述的TPM 2.0实体复制行为对应一个标准的TPM命令，也即一步完成；

所述方法按照TPM 2.0实体复制协议完成，具备高兼容性和高适用性；

所述方法包括如下步骤：

(S1)所述云租户在一个环境中通过一个通道将所述密钥和所述租户自定义密码上传至所述云密钥服务器，所述云租户的所述密钥可由所述云密钥服务器部署到计算实例中；

(S2)所述云密钥服务器先通过所述租户自定义密码导出一个对称密钥，然后按照所述TPM 2.0实体复制协议，借助所述软件模拟，使用导出的所述对称密钥对所述云租户的所述密钥进行对称密码学内部包装，完成所述上半部分的所述TPM 2.0实体复制行为，生成“一阶段复制密钥”；

(S3)所述云密钥服务器删除所述云租户上传的所述密钥和所述租户自定义密码，并将所述“一阶段复制密钥”保存到通用存储中；

(T1)在所述云租户的所述计算实例中，上层应用需要使用所述云租户的所述密钥，调用密钥处理模块；

(T2)所述密钥处理模块先在所述目标TPM芯片中创建一个非对称存储密钥；然后所述密钥处理模块获取所述非对称存储密钥的所述公钥证书；

(T3)所述密钥处理模块根据所述云租户的配置，包含密钥ID，以及得到的所述公钥证书向所述云密钥服务器请求密钥部署服务；

(T4)所述云密钥服务器先根据所述密钥ID从所述通用存储中定位所述云租户的所述密钥对应的所述“一阶段复制密钥”，然后按照所述TPM 2.0实体复制协议，借助所述软件模拟，使用所述公钥证书对所述“一阶段复制密钥”进行非对称密码学外部包装，完成所述下半部分的所述TPM 2.0实体复制行为，生成“两阶段复制密钥”，即完整的复制密钥；

(T5)所述云密钥服务器将所述“两阶段复制密钥”传递给所述云租户所述计算实例中的所述密钥处理模块；

(T6)所述密钥处理模块根据TPM 2.0规范将所述“两阶段复制密钥”导入并加载至所述目标TPM芯片中；

其中，所述步骤(S1)至所述步骤(S3)发生在所述密钥准备阶段，所述步骤(T1)至所述步骤(T6)发生在所述密钥部署阶段。

2.如权利要求1所述的面向云环境的可信平台模块两阶段密钥复制方法，其特征在于，所述通用存储无需引入硬件安全模块。

3.如权利要求1所述的面向云环境的可信平台模块两阶段密钥复制方法，其特征在于，所述计算实例是指虚拟机或容器。

4.如权利要求1所述的面向云环境的可信平台模块两阶段密钥复制方法，其特征在于，所述环境是指本地计算机。

5.如权利要求1所述的面向云环境的可信平台模块两阶段密钥复制方法，其特征在于，所述通道是HTTPS通道。

6.如权利要求1所述的面向云环境的可信平台模块两阶段密钥复制方法，其特征在于，所述非对称存储密钥是一个新的主存储密钥。

7.如权利要求1所述的面向云环境的可信平台模块两阶段密钥复制方法，其特征在于，所述非对称存储密钥是某个已存在主存储密钥的子密钥。