[发明专利]一种密钥授权方法和系统

说明书

本说明书实施例公开了一种密钥授权方法和系统，所述方法包括：在可信执行环境中创建可信的密钥托管程序，密钥存放于密钥托管程序对应的存储器中。密钥托管程序接收密钥使用程序发送的用于获取密钥的请求，并判断密钥使用程序是否为可信执行环境中的可信应用程序。若密钥使用程序为可信执行环境中的可信应用程序，密钥托管程序将密钥发送给密钥使用程序。密钥托管程序记录获取密钥的密钥使用程序的身份标识信息，以使得第三方能够获取记录的身份标识信息，并使得第三方能够基于该身份标识信息获取密钥使用程序的代码。可信执行环境可以基于英特尔公司的SGX(software guard extensions)技术实现。

技术领域

本说明书涉及数据处理领域，特别涉及一种密钥授权方法和系统。

背景技术

随着信息科技的发展，数据作为其拥有方的重要资源，数据隐私愈来愈受到人们的重视。为了确保数据的使用安全，目前一种方式是在可信执行环境(TEE，TrustedExecution Environment)提供的安全计算环境下对数据进行使用，在可信执行环境下运行的程序行为符合预期，即可以确保用户数据的隐私安全。然而，在实际使用过程中，可信执行环境中的程序必然有修改、订正等程序代码升级的需求。为了确保用户数据的隐私安全，需要对修改、订正代码后的程序再次认证，以确保可信执行环境下运行的程序行为符合预期。因此，有必要提供一种密钥授权方法和系统。

发明内容

本说明书实施例的一个方面提供一种密钥授权方法。所述方法包括：可以在可信执行环境中创建可信的密钥托管程序，所述密钥存放于所述密钥托管程序对应的存储器中。所述密钥托管程序接收密钥使用程序发送的用于获取所述密钥的请求，并判断所述密钥使用程序是否为可信执行环境中的可信应用程序。若所述密钥使用程序为可信执行环境中的可信应用程序，所述密钥托管程序将所述密钥发送给所述密钥使用程序。所述密钥托管程序记录获取所述密钥的所述密钥使用程序的身份标识信息，以使得第三方能够获取记录的所述身份标识信息，并使得所述第三方能够基于该身份标识信息获取所述密钥使用程序的代码，以基于该代码在密钥授权后审计该密钥使用程序。

本说明书实施例的另一个方面提供一种密钥授权方法。所述方法包括：所述密钥使用程序发送用于获取所述密钥的请求至密钥托管程序，以使得所述密钥托管程序能够响应于所述请求，并能够确定所述密钥使用程序为可信执行环境中的可信应用程序，其中，所述密钥托管程序为创建于可信执行环境中的可信应用程序，所述密钥存放于所述密钥托管程序对应的内存中。所述密钥使用程序接收所述密钥托管程序发送的所述密钥加密后的密文。所述密钥使用程序对所述密文解密得到所述密钥的明文。所述密钥使用程序将自身的代码或该代码的加密值发送给第三方，以使得所述第三方能够基于所述代码或所述加密值对所述密钥使用程序进行审计。或者，所述密钥使用程序将自身的代码或该代码的加密值存储至目标存储平台，以使得所述第三方能够从所述目标存储平台获取所述代码或所述加密值，并能够基于所述代码或所述加密值对所述密钥使用程序进行审计。

本说明书实施例的另一个方面提供一种密钥授权系统，所述系统包括：创建模块，用于在可信执行环境中创建可信的密钥托管程序，所述密钥存放于所述密钥托管程序对应的存储器中。接收判断模块，用于接收密钥使用程序发送的用于获取所述密钥的请求，并判断所述密钥使用程序是否为可信执行环境中的可信应用程序。第一发送模块，用于在所述密钥使用程序为可信执行环境中的可信应用程序时，将所述密钥发送给所述密钥使用程序。记录模块，用于记录获取所述密钥的所述密钥使用程序的身份标识信息，以使得第三方能够获取记录的所述身份标识信息，并使得所述第三方能够基于该身份标识信息获取所述密钥使用程序的代码，以基于该代码在密钥授权后审计该密钥使用程序。