本发明专利技术提供了一种密钥注入方法、装置及电子设备,接收密钥注入指令;其中携带有第一标准数据、第二标准数据和第三标准数据;根据三种标准数据的总长度和第二标准数据的长度数据,从密钥注入指令中提取出实际的第一数据、第二数据和第三数据;基于第一数据和第二数据,计算实际消息验证码并与第三标准数据进行比对,基于得到的第一比对结果,将目标密钥注入至目标密钥插槽标识对应的密钥插槽中。该方式中,第二标准数据为加密后的数据,可以有效保证目标密钥的机密性,并且,采用消息验证码进行校验,可以有效避免目标密钥在传输过程中被篡改,保证了目标密钥的安全性及数据传输的完整性。完整性。完整性。
【技术实现步骤摘要】
密钥注入方法、装置及电子设备
[0001]本专利技术涉及数据处理
,尤其是涉及一种密钥注入方法、装置及电子设备。
技术介绍
[0002]随着硬件安全规范《SHE
–
Secure Hardware Extension Functional Specification》(以下简称SHE规范)的出现,越来越多的车载控制器芯片制造商开始根据该规范设计HSM(Hardware Security Module,硬件安全模块),使芯片满足车载控制器的网络安全要求。然而SHE规范中仅仅对128bits的Key的安全注入进行了要求。关于非对称算法以及对称算法使用的密钥Key,规范中并没有提供安全的注入方法,相关技术中,对于这类算法使用的密钥Key,通常采用的注入方法包括:在车载控制器下线阶段,直接采用明文方式进行注入,然而该方式直接导致密钥Key泄露,进而影响汽车功能安全,对驾乘人员的生命安全构成威胁;或者,采用密文注入方式,即使用AES(Advanced Encryption Standard,一种对称加密算法)算法结合128bits密钥生成密文,在ECU(Electronic Control Unit,电子控制单元)中完成解密,将此密钥进行写入,该方式虽然可以避免密钥Key的泄露,但如果在传输过程中被意外篡改,则解密后注入到HSM中的密钥就是错误的;因此,相关技术中采用的注入方法安全性和机密性较差。
技术实现思路
[0003]本专利技术的目的在于提供一种密钥注入方法、装置及电子设备,以提高密钥注入的安全性和机密性。
[0004]本专利技术提供的一种密钥注入方法,方法应用于运行有硬件安全模块的电子设备;方法包括:接收密钥注入指令;其中,密钥注入指令中携带有:预先生成的第一标准数据、第二标准数据和第三标准数据;其中,第一标准数据中包括:目标密钥插槽标识和第二标准数据的长度数据;第二标准数据中携带有目标密钥的密钥类型、密钥长度和密钥值;第二标准数据为基于第一标准密钥加密后的数据;第三标准数据为基于第二标准密钥、第一标准数据和第二标准数据生成的标准消息验证码;根据第一标准数据、第二标准数据和第三标准数据的总长度,以及第二标准数据的长度数据,从密钥注入指令中提取出实际的第一数据、第二数据和第三数据;基于第一数据和第二数据,计算实际消息验证码;将实际消息验证码与第三标准数据进行比对,得到第一比对结果;基于第一比对结果,将目标密钥注入至第一标准数据中的目标密钥插槽标识对应的密钥插槽中。
[0005]进一步的,第二标准数据预先通过下述方式生成:基于第一指定加密算法,采用第一标准密钥对第二标准数据对应的明文消息进行加密处理,得到第二标准数据。
[0006]进一步的,第三标准数据预先通过下述方式生成:基于第二指定加密算法,采用第二标准密钥对第一标准数据和第二标准数据进行处理,生成基于加密的消息验证码;将生成的基于加密的消息验证码确定为第三标准数据。
[0007]进一步的,基于第一数据和第二数据,计算实际消息验证码的步骤包括:从第一数
据中提取认证密钥索引,根据认证密钥索引读取实际认证密钥;基于实际认证密钥推导出实际密钥;根据实际密钥、第一数据和第二数据,计算实际消息验证码。
[0008]进一步的,第一标准数据中还包括:目标芯片的唯一身份标识和目标认证密钥的目标索引信息;基于第一比对结果,将目标密钥注入至第一标准数据中的目标密钥插槽标识对应的密钥插槽中的步骤包括:如果第一比对结果指示实际消息验证码与第三标准数据一致,确定实际认证密钥为与目标认证密钥相同的认证密钥,第一数据为与第一标准数据相同的数据;第二数据为与第二标准数据相同的数据;从第一数据中提取出实际芯片的实际身份标识,将实际身份标识与目标芯片的唯一身份标识进行比对,得到第二比对结果;如果第二比对结果指示实际身份标识与唯一身份标识一致,确定实际身份标识的获取来源合法;基于目标认证密钥推导出第一标准密钥;通过第一标准密钥对第二标准数据进行解密,获取第二标准数据对应的明文消息;基于明文消息,将目标密钥注入至第一标准数据中的目标密钥插槽标识对应的密钥插槽中。
[0009]进一步的,基于明文消息,将目标密钥注入至第一标准数据中的目标密钥插槽标识对应的密钥插槽中的步骤包括:从明文消息中提取目标密钥的密钥类型;根据密钥类型对密钥长度进行解析,得到解析后的密钥长度;根据密钥值和解析后的密钥长度,确定目标密钥;将目标密钥注入至第一标准数据中的目标密钥插槽标识对应的密钥插槽中。
[0010]进一步的,目标密钥的密钥类型包括以下至少一种:非对称加密算法RSA算法对应的密钥类型、椭圆加密算法对应的密钥类型和AES
‑
256对应的密钥类型。
[0011]本专利技术提供的一种密钥注入装置,装置设置于运行有硬件安全模块的电子设备;装置包括:接收模块,接收密钥注入指令;其中,密钥注入指令中携带有:预先生成的第一标准数据、第二标准数据和第三标准数据;其中,第一标准数据中包括:目标密钥插槽标识和第二标准数据的长度数据;第二标准数据中携带有目标密钥的密钥类型、密钥长度和密钥值;第二标准数据为基于第一标准密钥加密后的数据;第三标准数据为基于第二标准密钥、第一标准数据和第二标准数据生成的标准消息验证码;提取模块,用于根据第一标准数据、第二标准数据和第三标准数据的总长度,以及第二标准数据的长度数据,从密钥注入指令中提取出实际的第一数据、第二数据和第三数据;计算模块,用于基于第一数据和第二数据,计算实际消息验证码;比对模块,用于将实际消息验证码与第三标准数据进行比对,得到第一比对结果;注入模块,用于基于第一比对结果,将目标密钥注入至第一标准数据中的目标密钥插槽标识对应的密钥插槽中。
[0012]本专利技术提供的一种电子设备,包括处理器和存储器,存储器存储有能够被处理器执行的机器可执行指令,处理器执行机器可执行指令以实现上述任一项的密钥注入方法。
[0013]本专利技术提供的一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,该机器可执行指令在被处理器调用和执行时,机器可执行指令促使处理器实现上述任一项的密钥注入方法。
[0014]本专利技术提供的密钥注入方法,接收密钥注入指令;其中携带有第一标准数据、第二标准数据和第三标准数据;根据三种标准数据的总长度和第二标准数据的长度数据,从密钥注入指令中提取出实际的第一数据、第二数据和第三数据;基于第一数据和第二数据,计算实际消息验证码并与第三标准数据进行比对,基于得到的第一比对结果,将目标密钥注入至目标密钥插槽标识对应的密钥插槽中。该方式中,第二标准数据为加密后的数据,可以
有效保证目标密钥的机密性,并且,采用消息验证码进行校验,可以有效避免目标密钥在传输过程中被篡改,保证了目标密钥的安全性及数据传输的完整性。
附图说明
[0015]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种密钥注入方法,其特征在于,所述方法应用于运行有硬件安全模块的电子设备;所述方法包括:接收密钥注入指令;其中,所述密钥注入指令中携带有:预先生成的第一标准数据、第二标准数据和第三标准数据;其中,所述第一标准数据中包括:目标密钥插槽标识和所述第二标准数据的长度数据;所述第二标准数据中携带有目标密钥的密钥类型、密钥长度和密钥值;所述第二标准数据为基于第一标准密钥加密后的数据;所述第三标准数据为基于第二标准密钥、所述第一标准数据和所述第二标准数据生成的标准消息验证码;根据所述第一标准数据、所述第二标准数据和所述第三标准数据的总长度,以及所述第二标准数据的长度数据,从所述密钥注入指令中提取出实际的第一数据、第二数据和第三数据;基于所述第一数据和所述第二数据,计算实际消息验证码;将所述实际消息验证码与所述第三标准数据进行比对,得到第一比对结果;基于所述第一比对结果,将所述目标密钥注入至所述第一标准数据中的所述目标密钥插槽标识对应的密钥插槽中。2.根据权利要求1所述的方法,其特征在于,所述第二标准数据预先通过下述方式生成:基于第一指定加密算法,采用第一标准密钥对所述第二标准数据对应的明文消息进行加密处理,得到所述第二标准数据。3.根据权利要求1所述的方法,其特征在于,所述第三标准数据预先通过下述方式生成:基于第二指定加密算法,采用第二标准密钥对所述第一标准数据和所述第二标准数据进行处理,生成基于加密的消息验证码;将生成的所述基于加密的消息验证码确定为所述第三标准数据。4.根据权利要求1所述的方法,其特征在于,基于所述第一数据和所述第二数据,计算实际消息验证码的步骤包括:从所述第一数据中提取认证密钥索引,根据所述认证密钥索引读取实际认证密钥;基于所述实际认证密钥推导出实际密钥;根据所述实际密钥、所述第一数据和所述第二数据,计算实际消息验证码。5.根据权利要求4所述的方法,其特征在于,所述第一标准数据中还包括:目标芯片的唯一身份标识和目标认证密钥的目标索引信息;所述基于所述第一比对结果,将所述目标密钥注入至所述第一标准数据中的所述目标密钥插槽标识对应的密钥插槽中的步骤包括:如果所述第一比对结果指示所述实际消息验证码与所述第三标准数据一致,确定所述实际认证密钥为与所述目标认证密钥相同的认证密钥,所述第一数据为与所述第一标准数据相同的数据;所述第二数据为与所述第二标准数据相同的数据;从所述第一数据中提取出实际芯片的实际身份标识,将所述实际身份标识与所述目标芯片的唯一身份标识进行比对,得到第二比对结果;如果所述第二比对结果指示所述实际身份标识与所述唯一身份标识一致,确定所述实际身份标识...
【专利技术属性】
技术研发人员:潘兴会,
申请(专利权)人:苏州挚途科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。