处理数据的方法及装置制造方法及图纸

本公开提供了一种处理数据的方法

【技术实现步骤摘要】
处理数据的方法及装置


[0001]本公开涉及互联网
以及计算机数据处理领域，并且更具体地，涉及一种处理数据的方法
、
一种用户终端
、
一种可信执行环境中的密钥管理装置
、
一种可信执行环境中的应用装置
、
一种处理数据的装置
、
计算机可读存储介质以及计算机程序产品
。

技术介绍

[0002]随着互联网技术的不断发展，人们的生活已经与互联网密不可分
。
由于互联网已经深入到人们生活的方方面面，网络数据传输的安全也就显得极为重要
。
为了保证网络数据传输的安全性，人们往往会对需要经过互联网传输的会话数据进行加密处理
。
然而，当前的加密数据传输系统仍需要较大的存储空间用于存储加密密钥，甚至还存在密钥泄露的风险
。
此外，目前仍缺乏能够有效地兼顾安全性和易用性的加密数据传输系统
。
因此，需要对现有的加密数据传输系统进行改进
。

技术实现思路

[0003]为了解决上述问题，本公开提供了一种处理数据的方法
、
一种用户终端
、
一种可信执行环境中的密钥管理装置
、
一种可信执行环境中的应用装置
、
一种处理数据的装置
、
计算机可读存储介质以及计算机程序产品
。
[0004]根据本公开实施例的一个方面，提供了一种处理数据的方法，包括：由可信执行环境中的密钥管理装置生成自签名证书，所述自签名证书用于审计或验证密钥管理逻辑；以及由用户终端对所述自签名证书进行验证，并响应于所述自签名证书通过验证，所述用户终端向所述可信执行环境中的密钥管理装置申请数据加密公钥，所述数据加密公钥用于非对称地对通信数据进行加密
。
[0005]根据本公开实施例的一个方面，提供了一种用户终端，所述用户终端包括一个或多个处理器，其中所述一个或多个处理器被配置为：从可信执行环境中的密钥管理装置，接收自签名证书，所述自签名证书用于审计或验证密钥管理逻辑；对所述自签名证书进行验证，并响应于所述自签名证书通过验证，所述用户终端向所述可信执行环境中的密钥管理装置申请数据加密公钥，所述数据加密公钥用于非对称地对通信数据进行加密
。
[0006]根据本公开实施例的一个方面，提供了一种可信执行环境中的密钥管理装置，所述可信执行环境中的密钥管理装置包括一个或多个处理器，其中所述一个或多个处理器被配置为：向用户终端发送自签名证书，所述自签名证书用于审计或验证密钥管理逻辑；从所述用户终端接收数据密钥请求，生成数据加密公钥和数据解密私钥；向用户终端发送所述数据加密公钥
。
[0007]根据本公开实施例的一个方面，提供了一种可信执行环境中的应用装置，所述可信执行环境中的应用装置包括一个或多个处理器，其中所述一个或多个处理器被配置为：从用户终端接收通信数据，所述通信数据包括授权凭据和经数据加密密钥加密的数据；向所述可信执行环境中的密钥管理装置发送第一远程证明并从所述可信执行环境中的密钥
管理装置接收第二远程证明；响应于第一远程证明和第二远程证明均通过验证，从所述可信执行环境中的密钥管理装置接收数据解密私钥
。
[0008]根据本公开实施例的一个方面，提供了一种处理数据的装置，包括：一个或多个处理器；以及一个或多个存储器，其中所述存储器中存储有计算机可读代码，所述计算机可读代码在由所述一个或多个处理器运行时，使得所述一个或多个处理器执行如上述的方法
。
[0009]根据本公开实施例的另一方面，提供了一种计算机可读存储介质，其上存储有计算机可读指令，所述计算机可读指令在被处理器执行时，使得所述处理器执行如本公开上述各个方面中任一项所述的方法
。
[0010]根据本公开实施例的另一方面，提供了一种计算机程序产品，其包括计算机可读指令，所述计算机可读指令在被处理器执行时，使得所述处理器执行如本公开上述各个方面中任一项所述的方法
。
[0011]本公开上述各个方面不仅能够规避密钥泄露风险，还能避免用户处理复杂的可信环境应用，提高了加密数据传输系统的易用性
。
附图说明
[0012]通过结合附图对本公开实施例进行更详细的描述，本公开实施例的上述以及其它目的
、
特征和优势将变得更加明显
。
附图用来提供对本公开实施例的进一步理解，并且构成说明书的一部分，与本公开实施例一起用于解释本公开，并不构成对本公开的限制
。
在附图中，相同的参考标号通常代表相同部件或步骤
。
[0013]图1示出了根据本公开实施例的应用场景的示意图
。
[0014]图2示出了根据本公开实施例的区块结构的示意图
。
[0015]图3示出了
TEE
应用与用户终端共享密钥的示意图
。
[0016]图4示出了
TEE
应用与用户终端协商密钥的示意图
。
[0017]图5示出了根据本公开实施例的处理数据的方法的可选流程图
。
[0018]图6示出了根据本公开实施例的处理数据的方法的可选示意图
。
[0019]图7示出了根据本公开实施例的用户终端向
tKMS
申请数据加密公钥的可选示意图
。
[0020]图8示出了根据本公开实施例的处理数据的方法的又一可选示意图
。
[0021]图9示出了根据本公开实施例的电子设备的示意图
。
[0022]图
10
示出了根据本公开实施例的示例性计算设备的架构的示意图
。
[0023]图
11
示出了根据本公开实施例的存储介质的示意图
。
具体实施方式
[0024]下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚
、
完整地描述
。
显然，所描述的实施例仅是本公开一部分的实施例，而不是全部的实施例
。
基于本公开中的实施例，本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例，都属于本公开保护的范围
。
[0025]本公开的实施例涉及云计算技术
。
云计算
(cloud computing)
是一种计算模式，它将计算任务分布
(
例如，计算多种方案中的每种方案的用户偏好
)
在大量计算机构成的资源
池上，使各种应用系统能够根据需要获取计算力
、
存储空间和信息服务
。
提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的，并且可以随时获取，按需使用，随时扩展，按使本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种处理数据的方法，包括：由可信执行环境中的密钥管理装置生成自签名证书，所述自签名证书用于审计或验证密钥管理逻辑；以及由用户终端对所述自签名证书进行验证，并响应于所述自签名证书通过验证，所述用户终端向所述可信执行环境中的密钥管理装置申请数据加密公钥，所述数据加密公钥用于非对称地对通信数据进行加密
。2.
如权利要求1所述的方法，其中，所述自签名证书包括所述可信执行环境的度量信息，并且所述度量信息包括所述自签名证书的公钥信息
。3.
如权利要求2所述的方法，其中，所述自签名证书包括基于所述自签名证书私钥生成的自签名证书的签名信息
。4.
如权利要求2所述的方法，其中，所述由用户终端对所述自签名证书进行验证包括：由所述用户终端从所述自签名证书的度量信息中获取所述自签名证书的公钥信息；响应于所述自签名证书的公钥信息与所述自签名证书的公钥匹配，则所述自签名证书通过关联性验证；响应于所述自签名证书的公钥信息与所述自签名证书的公钥不匹配，则所述自签名证书关联性验证失败
。5.
如权利要求1所述的方法，其中，所述用户终端向所述可信执行环境中的密钥管理装置申请数据加密公钥包括：由所述用户终端获取用于用户终端的身份验证的非对称密钥对，所述非对称密钥对包括用户身份公钥和用户身份私钥；基于所述用户身份公钥以及所述自签名证书的公钥，由所述用户终端与所述可信执行环境中的密钥管理装置协商会话密钥；以及基于所述会话密钥，所述用户终端向所述可信执行环境中的密钥管理装置申请数据加密公钥
。6.
如权利要求5所述的方法，其中，所述基于所述会话密钥，所述用户终端向所述可信执行环境中的密钥管理装置申请数据加密公钥包括：由所述用户终端，利用所述会话密钥对数据密钥请求进行加密；由所述用户终端，向所述可信执行环境中的密钥管理装置发送加密后的数据密钥请求；由所述可信执行环境中的密钥管理装置，基于所述加密后的数据密钥请求，生成所述数据加密公钥和数据解密私钥；由所述可信执行环境中的密钥管理装置，向所述用户终端发送所述数据加密公钥
。7.
如权利要求6所述的方法，其中，所述数据密钥请求包括用户身份公钥，或者，所述数据密钥请求包括用户身份公钥与以下各项中的一项或多项的组合：授权次数和所述用户终端生成的随机字符串
。8.
如权利要求1所述的方法，其中，所述方法还包括：由用户终端向可信执行环境中的应用装置发送通信数据，所述通信数据包括授权凭据和经数据加密密钥加密的数据
。9.
如权利要求8所述的方法，其中，所述授权凭据至少包括：用户身份公钥
、
凭据信息
、
以及利用用户身份私钥对凭据信息的签名
。
10.
如权利要求9所述的方法，其中，所述凭据信息包括以下各项中的至少一项：所述可信执行环境中的应用装置对应的度量信息
、
待由所述可信执行环境中的应用装置计算的数据的哈希值
、
用户终端自定义的数据
。11.
如权利要求...

【专利技术属性】
技术研发人员：黎相敏，张韬，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：