[发明专利]基于FPGA的密钥协商方法及装置

权利要求书

1.一种基于FPGA的密钥协商方法，包括：

FPGA结构将已部署的电路逻辑配置文件加载至FPGA芯片上，以在所述FPGA芯片上形成密钥协商模块；

所述FPGA结构通过所述密钥协商模块与客户端进行远程密钥协商，以在所述FPGA结构和所述客户端处分别得到配置文件部署密钥；

所述FPGA结构基于所述配置文件部署密钥对来自所述客户端的加密后新版电路逻辑配置文件进行解密，并基于得到的新版电路逻辑配置文件更新所述已部署的电路逻辑配置文件，所述新版电路逻辑配置文件用于将所述FPGA结构实现为所属的区块链节点上的可信执行环境。

2.根据权利要求1所述的方法，所述FPGA结构通过所述密钥协商模块与客户端进行远程密钥协商，包括：

所述FPGA结构通过所述密钥协商模块与客户端交换协商信息，并使用获取到的协商信息生成配置文件部署密钥，其中，发送至客户端的所述协商信息被所述客户端用于生成所述配置文件部署密钥。

3.根据权利要求2所述的方法，所述FPGA结构通过所述密钥协商模块与客户端交换协商信息，并使用获取到的协商信息生成配置文件部署密钥，包括：

所述FPGA结构通过所述密钥协商模块向所述客户端发送第一密钥协商信息，并接收来自所述客户端的第二密钥协商信息；其中，所述第一密钥协商信息由所述FPGA结构基于所述密钥协商模块生成的第一私有信息而生成，所述第二密钥协商信息由所述客户端基于自身生成的第二私有信息而生成；

所述FPGA结构通过所述密钥协商模块对所述第一私有信息与所述第二密钥协商信息进行计算生成秘密值，并基于所述秘密值确定配置文件部署密钥；其中，所述第二私有信息与所述第一密钥协商信息被所述客户端用于计算生成所述秘密值，以确定所述配置文件部署密钥。

4.根据权利要求3所述的方法，所述FPGA结构基于所述秘密值确定配置文件部署密钥，包括：

所述FPGA结构将所述秘密值确定为所述配置文件部署密钥；或者，

所述FPGA结构通过密钥导出函数基于所述秘密值导出所述配置文件部署密钥。

5.根据权利要求3所述的方法，所述第一密钥协商信息由所述FPGA结构上部署的认证根密钥进行签名。

6.根据权利要求5所述的方法，所述认证根密钥对应的公钥由认证服务器所管理，或者所述认证根密钥对应的公钥被公开。

7.根据权利要求5所述的方法，所述认证根密钥被预置于所述FPGA结构中，或者被所述客户端在离线安全环境下部署于所述FPGA结构中。

8.根据权利要求5所述的方法，所述认证根密钥被基于所述已部署的电路逻辑配置文件部署至所述FPGA结构。

9.根据权利要求5所述的方法，所述FPGA结构包含独立于所述FPGA芯片的密钥管理芯片，所述方法还包括：

在部署所述已部署的电路逻辑配置文件之前，所述FPGA结构将从该电路逻辑配置文件中取出的所述认证根密钥维护于密钥管理芯片中。

10.根据权利要求3所述的方法，还包括：

所述FPGA结构对所述第二密钥协商信息进行签名验证，其中所述FPGA结构上已部署所述客户端对应的预置证书；

其中，所述FPGA结构在签名验证成功的情况下，基于所述第二密钥协商信息生成所述秘密值。

11.根据权利要求1所述的方法，所述FPGA结构包含与所述FPGA芯片相连的存储器，所述存储器用于部署所述已部署的电路逻辑配置文件和所述新版电路逻辑配置文件。

12.根据权利要求1所述的方法，还包括：

所述FPGA结构针对被部署的所述新版电路逻辑配置文件生成认证结果，所述认证结果包含所述新版电路逻辑配置文件的相关内容。