专利 一种建立可信执行环境安全级别的密钥交换加速方法

(19)国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202210433756.X (22)申请日 2022.04.24 (71)申请人南京邮电大学地址 210003 江苏省南京市鼓楼区新模范马路66号 (72)发明人向奕儒　张伟　董建阔　陈云芳　 (74)专利代理机构南京正联知识产权代理有限公司 32243 专利代理师张玉红 (51)Int.Cl. H04L 9/30(2006.01) H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称一种建立可信执行环境安全级别的密钥交换加速方法 (57)摘要一种建立可信执行环境安全级别的密钥交换加速方法，包含密钥管理模块、公钥存储池和密钥监控模块，密钥管理模块用来生成通信所需的密钥，并管理和计算会话密钥。公钥存储池模块建立在富环境REE中，密钥监控模块用来控制密钥生成速度，并做出模式选择。通过计算密钥使用速度、密钥存储量的关系，自适应的选择密钥生成模式，使得密钥的使用不受通信性能的影响，可以处于最佳速度进行生成操作，大大提高了通信速度，消除了密钥生成成为影响通信时间的瓶颈问题。权利要求书2页说明书4页附图1页 CN 114826596 A 2022.07.29 CN 114826596 A 1.一种建立可信执行环境安全级别的密钥交换加速方法，其特征在于：所述密钥交换加速方法具体步骤如下：步骤a，双方用户在富环境RE E中通过专用安全接口接入公钥存储池；步骤b，请求方发起连接建立请求，并开始同步从公钥存储池中获取安全的公钥；步骤c，请求方开始请求对方公钥，并通过CA认证签名发送自己的一个公钥k1和对应的公钥编号f1，每对包含公钥和私钥的密钥对对应一个唯一密钥编号，对应公钥在公钥存储池中的具体位置；步骤d，接收方通过CA验证请求方可信后，从公钥存储池中提取公钥k2，储存记录密钥编号f2，将公钥k2与请求方密钥编号f1返回；以下步骤请求方与接收方同步进行：在请求方接收到返回的k2与f1后；步骤e，富环境中的CA认证模块将获得的对方公钥与己方公钥编号发送至可信执行环境中的安全认证模块TA；步骤f，安全认证模块TA与密钥管理模块建立通信，通过密钥编号，从密钥管理模块中快速找到对应的私钥，通过对方公钥和己方私钥的计算，得到会话密钥SK；步骤g，向CA返回suc cess，表明可以使用会话密钥SK进行后续的通信。以下为常驻步骤，与上述步骤a‑g同步进行：步骤1，密钥监控模块与公钥存储池建立通信，不断从公钥存储池中获取剩余公钥数量的信息；步骤2，密钥监控模块通过剩余数量信息计算密钥消耗速度，根据预先设定规则向密钥管理模块发送补充密钥请求；步骤3，密钥管理模块收到请求后，按需生成公私密钥对，私钥保留在密钥管理模块中，将公钥以及对应密钥编号发送至公钥存储池，当有新的连接请求建立时，从余量充足的公钥存储池中提取公钥，并更新公钥的编号，实现公私密钥的高速产生；更新公钥编号以实现高速切换公钥。 2.根据权利要求1所述的一种建立可信执行环境安全级别的密钥交换加速方法，其特征在于：对于交换密钥的双方，均包含富环境REE和可信执行环境TEE，其中在富环境REE中设有公钥存储池，密钥监控模块和安全认证模块CA，在可信执行环境TEE中设有密钥管理模块、安全认证模块TA。 3.根据权利要求1所述的一种建立可信执行环境安全级别的密钥交换加速方法，其特征在于：双方信息进行传输时，在彼此可信执行环境中通过国密SM2算法产生密钥对，同时对生成的密钥对进行唯一编号；请求方建立通信的同时发送自己的公钥并储存记录密钥编号。 4.根据权利要求2所述的一种建立可信执行环境安全级别的密钥交换加速方法，其特征在于：所述密钥管理模块构建在可信执行环境TEE中，用户通过安全认证模块CA 提供的合法签名对产生的每个公钥加密并进行发送。 5.根据权利要求2所述的一种建立可信执行环境安全级别的密钥交换加速方法，其特征在于：所述公钥存储池，根据需要设置公钥更换模式。 6.根据权利要求5所述的一种建立可信执行环境安全级别的密钥交换加速方法，其特征在于：所述公钥更换模式包括周期性切换、非周期切换、计数切换、计时切换或随机数切权　利　要　求　书 1/2 页 2 CN 114826596 A 2换。 7.根据权利要求1所述的一种建立可信执行环境安全级别的密钥交换加速方法，其特征在于：请求端和发送端根据密钥编号快速查询公钥，并对信息进行解密。权　利　要　求　书 2/2 页 3 CN 114826596 A 3

专利 一种建立可信执行环境安全级别的密钥交换加速方法

专利一种建立可信执行环境安全级别的密钥交换加速方法