本发明专利技术提供一种可信计算双体系架构系统的通信方法、系统及服务器,包括:发送端基于第一密钥和第一加密算法对需要发送的数据进行加密得到密文,并将密文发送给接收端;接收端基于所述第一密钥和第一加密算法对密文进行解密,还原数据;其中,当计算部件为发送端时,防护部件为接收端;当防护部件为发送端时,计算部件为接收端;防护部件的第一密钥是防护部件调用可信密码模块生成随机数,并基于随机数和密钥生成机制生成的;计算部件的第一密钥是计算部件接收防护部件发送的所述随机数,并基于随机数和密钥生成机制生成的。确保计算部件与防护部件之间传输数据的保密性和有效性,实现了安全通信,为可信计算双体系架构系统提供有效的安全支撑。有效的安全支撑。有效的安全支撑。
【技术实现步骤摘要】
可信计算双体系架构系统的通信方法、系统及服务器
[0001]本专利技术涉及信息安全
,尤其涉及一种可信计算双体系架构系统的通信方法、系统及服务器。
技术介绍
[0002]可信3.0即是主动免疫可信,是我国在网络空间安全领域长期研究之后提出的一种系统化的实现安全可信的方法,这一方法的核心特点是为双体系架构下的主动免疫可信,即“计算”+“防护”分离的设计思想。该方法具有通用性、先进性,可为我国网络安全提供有效支持。例如,利用BMC(Baseboard Management Controller,基板管理控制器)实现可信3.0双体系架构实现可信3.0技术方案。BMC作为可信计算双体系架构的防护部件,通过构建信任链以保证自身的可信,之后通过防护部件对计算部件的主动监控实现系统流程的可信、可控、可管。
[0003]从计算模式上来说,实现可信计算双体系架构后,安全可信体系就可以从系统中分离出来。从底层软硬件、操作系统、网络的控制点入手,通过可信部件进行统一管理,构造出安全管理中心。以这个防御体系为基础,根据应用安全需求和系统环境,定制系统安全可信策略,通过防护部件监控应用行为,根据策略允许可信的行为,对不可信的行为采取对应的措施。
[0004]然而,现有的可信计算双体系架构忽略了防护部件与计算部件之间通信的安全性,如何实现防护部件与计算部件之间的安全通信也尤为重要,以便防护部件与计算部件进行安全、有效的数据传输。
技术实现思路
[0005]本专利技术提供一种可信计算双体系架构系统的通信方法、系统及服务器,用以实现可信计算双体系架构系统中防护部件与计算部件之间的安全通信。
[0006]本专利技术提供一种可信计算双体系架构系统的通信方法,包括:
[0007]发送端基于第一密钥和第一加密算法对需要发送的数据进行加密得到密文,并将所述密文发送给接收端;
[0008]所述接收端基于所述第一密钥和所述第一加密算法对所述密文进行解密,还原所述数据;
[0009]其中,当计算部件为所述发送端时,防护部件为所述接收端;当所述防护部件为所述发送端时,所述计算部件为所述接收端;所述防护部件的第一密钥是所述防护部件调用可信密码模块生成随机数,并基于所述随机数和密钥生成机制生成的;所述计算部件的第一密钥是所述计算部件接收所述防护部件发送的所述随机数,并基于所述随机数和所述密钥生成机制生成的。
[0010]根据本专利技术提供的一种可信计算双体系架构系统的通信方法,所述密钥生成机制包括:
[0011]读取配置文件中的第二密钥;
[0012]利用所述第二密钥和第二加密算法计算所述随机数的摘要值;
[0013]基于所述摘要值生成所述第一密钥。
[0014]根据本专利技术提供的一种可信计算双体系架构系统的通信方法,所述基于所述摘要值生成所述第一密钥,包括:
[0015]获取所述摘要值中预设长度的值;
[0016]将所述预设长度的值确定为所述第一密钥。
[0017]根据本专利技术提供的一种可信计算双体系架构系统的通信方法,所述第二加密算法为HMAC_SM3算法。
[0018]根据本专利技术提供的一种可信计算双体系架构系统的通信方法,在所述防护部件和所述计算部件为首次启动的情况下,在所述发送端基于第一密钥和第一加密算法对需要发送的数据进行加密得到密文,并将所述密文发送给接收端之前,包括:
[0019]所述计算部件向所述防护部件发送连接请求;
[0020]所述防护部件响应于所述连接请求,调用所述可信密码模块生成所述随机数,并基于所述随机数和所述密钥生成机制生成所述第一密钥;
[0021]所述防护部件将所述随机数和密钥生成标识发送给所述计算部件;
[0022]所述计算部件基于接收到的所述随机数和所述密钥生成机制生成所述第一密钥,并向所述防护部件返回所述密钥生成标识。
[0023]根据本专利技术提供的一种可信计算双体系架构系统的通信方法,所述第一密钥由所述防护部件根据预设时间周期进行更新,和/或,所述第一密钥由所述防护部件在与所述计算部件再次启动并建立通信连接后进行更新。
[0024]根据本专利技术提供的一种可信计算双体系架构系统的通信方法,所述第二密钥由所述防护部件根据预设时间周期进行更新,和/或,所述第二密钥由所述防护部件在与所述计算部件再次启动并建立通信连接后进行更新。
[0025]根据本专利技术提供的一种可信计算双体系架构系统的通信方法,所述第一加密算法为SM4算法。
[0026]本专利技术还提供一种可信计算双体系架构系统,包括:计算部件和防护部件,
[0027]所述计算部件基于第一密钥和第一加密算法对需要发送的第一数据进行加密得到第一密文,并将所述第一密文发送给所述防护部件;所述防护部件基于所述第一密钥和所述第一加密算法对所述第一密文进行解密,还原所述第一数据;和/或,
[0028]所述防护部件基于所述第一密钥和所述第一加密算法对需要发送的第二数据进行加密得到第二密文,并将所述第二密文发送给所述计算部件;所述计算部件基于所述第一密钥和所述第一加密算法对所述第二密文进行解密,还原所述第二数据;
[0029]其中,所述防护部件的第一密钥是所述防护部件调用可信密码模块生成随机数,并基于所述随机数和密钥生成机制生成的;所述计算部件的第一密钥是所述计算部件接收所述防护部件发送的所述随机数,并基于所述随机数和所述密钥生成机制生成的。
[0030]本专利技术还提供一种服务器,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述可信计算双体系架构系统的通信方法。
[0031]本专利技术提供的可信计算双体系架构系统的通信方法、系统及服务器,通过防护部件调用可信密码模块生成一个随机数,基于随机数和密钥生成机制生成第一密钥,防护部件还将随机数发送给计算部件,计算部件也基于随机数和密钥生成机制生成相同的第一密钥,在防护部件和计算部件需要传输数据时,其中一方作为发送端可以采用第一密钥通过第一加密算法对需要发送的数据进行加密得到密文,另一方作为接收端则采用相同的第一密钥通过第一加密算法对密文进行解密,从而得到原始的数据。使用可信密码模块生成的随机数来生成密钥,保证了随机数的密码学安全性,确保了计算部件与防护部件之间传输数据的保密性和有效性,从而实现计算部件和防护部件之间的安全通信,为可信计算双体系架构系统提供了有效的安全支撑。
附图说明
[0032]为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0033]图1是本专利技术提供的可信计算双体系架构系统的结构示意图;
[0034]图2是本专利技术提供的可信计算双体系架构系统的通信方法的流程示意图之一;...
【技术保护点】
【技术特征摘要】
1.一种可信计算双体系架构系统的通信方法,其特征在于,包括:发送端基于第一密钥和第一加密算法对需要发送的数据进行加密得到密文,并将所述密文发送给接收端;所述接收端基于所述第一密钥和所述第一加密算法对所述密文进行解密,还原所述数据;其中,当计算部件为所述发送端时,防护部件为所述接收端;当所述防护部件为所述发送端时,所述计算部件为所述接收端;所述防护部件的第一密钥是所述防护部件调用可信密码模块生成随机数,并基于所述随机数和密钥生成机制生成的;所述计算部件的第一密钥是所述计算部件接收所述防护部件发送的所述随机数,并基于所述随机数和所述密钥生成机制生成的。2.根据权利要求1所述的可信计算双体系架构系统的通信方法,其特征在于,所述密钥生成机制包括:读取配置文件中的第二密钥;利用所述第二密钥和第二加密算法计算所述随机数的摘要值;基于所述摘要值生成所述第一密钥。3.根据权利要求2所述的可信计算双体系架构系统的通信方法,其特征在于,所述基于所述摘要值生成所述第一密钥,包括:获取所述摘要值中预设长度的值;将所述预设长度的值确定为所述第一密钥。4.根据权利要求2所述的可信计算双体系架构系统的通信方法,其特征在于,所述第二加密算法为HMAC_SM3算法。5.根据权利要求1所述的可信计算双体系架构系统的通信方法,其特征在于,在所述防护部件和所述计算部件为首次启动的情况下,在所述发送端基于第一密钥和第一加密算法对需要发送的数据进行加密得到密文,并将所述密文发送给接收端之前,包括:所述计算部件向所述防护部件发送连接请求;所述防护部件响应于所述连接请求,调用所述可信密码模块生成所述随机数,并基于所述随机数和所述密钥生成机制生成所述第一密钥;所述防护部件将所述随机数和密钥生成标识发送给所述计算部件;所述计算部件基于接收到的所述随机数和...
【专利技术属性】
技术研发人员:张建标,李泓豪,刘燕辉,韩现群,王昱波,
申请(专利权)人:北京工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。