(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210977000.1 (22)申请日 2022.08.15 (71)申请人 三未信安科技股份有限公司 地址 100102 北京市朝阳区广顺北 大街16 号院2号楼14层140 6室 (72)发明人 付文杰　吕兴胜　黄玉帅　 (74)专利代理 机构 北京首捷专利代理有限公司 11873 专利代理师 梁婧宇 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/30(2006.01) H04L 9/06(2006.01) (54)发明名称 一种基于云密码机的可信计算模块实现系 统及方法 (57)摘要 本发明公开了一种基于云密码机的可信计 算模块实现系统及方法， 该系统包括： 云密码机 服务器， 用于为可信计算模块提供密码算法的生 成， 管理， 分发和授权服务； 可信 密码模块密钥获 取单元， 基于终端设备的唯一标识， 与云密码机 服务器通信； 根据使用环境， 从云密码机服务器 获取可信计算密码支撑平台功能与接口规范支 持的密钥对； 可信密码模块本地密钥管理单元， 用于对获取的密钥对， 进行本地存储； 可信密码 模块签名处理单元， 用于根据获取的密钥对中的 私钥对数据进行签名处理。 该系统使得终端设备 脱离TCM安全芯片， 并满足可信计算接口技术规 范， 进而达到降低终端设备成本， 按需灵活配置 的目的， 扩大 可信密码模块的应用场景和范围。 权利要求书1页 说明书4页 附图2页 CN 115208567 A 2022.10.18 CN 115208567 A 1.一种基于云密码机的可信计算模块实现系统， 其特 征在于， 包括： 云密码机服 务器， 用于为可信计算模块 提供密码算法的生成， 管理， 分发和授权服 务； 可信密码模块密钥获取单元， 基于终端设备的唯一标识， 与云密码机服务器通信； 根据 使用环境， 从云密码机服 务器获取 可信计算密码支撑平台功能与接口规范支持的密钥对； 可信密码模块本地密钥管理单 元， 用于对获取的密钥对， 进行本地存 储； 可信密码模块签名处 理单元， 用于根据获取的密钥对中的私钥对数据进行签名处 理。 2.根据权利要求1所述的一种基于云密码机的可信计算模块实现系统， 其特征在于， 还 包括： 可信密码模块 解密处理单元， 用于根据获取的密钥对中的私钥对数据进行解密处 理。 3.根据权利要求2所述的一种基于云密码机的可信计算模块实现系统， 其特征在于， 还 包括： 可信密码模块密钥恢复单元， 用于当终端设备本地密钥丢失后， 利用终端设备的唯一 标识， 从所述云密码机服 务器上获取 所述密钥对， 从而实现密钥恢复功能。 4.根据权利要求1所述的一种基于云密码机的可信计算模块实现系统， 其特征在于， 所 述密钥对由以下算法生成： RSA、 SM1、 SM2、 SM 3和/或AES密码算法。 5.一种基于云密码机的可信计算模块实现方法， 其特征在于， 应用如权利要求1 ‑4任一 项所述的基于云密码机的可信计算模块实现系统， 该 方法包括以下步骤： S1、 可信密码模块与云密码机服务器建立通信连接； 所述云密码机服务器为可信计算 模块提供密码算法的生成， 管理， 分发和授权服 务； S2、 可信密码模块基于终端设备的唯一标识和使用环境， 从云密码机服务器获取可信 计算密码支撑平台功能与接口规范支持的密钥对； S3、 可信密码模块将获取的密钥对进行本地存 储； S4、 可信密码模块 根据获取的密钥对中的私钥对数据进行签名处 理。 6.根据权利要求5所述的一种基于云密码机的可信计算模块实现方法， 其特征在于， 还 包括： S5、 可信密码模块 根据获取的密钥对中的私钥对数据进行解密处 理。 7.根据权利要求6所述的一种基于云密码机的可信计算模块实现方法， 其特征在于， 还 包括： S6、 当终端设备本地密钥丢失后， 可信密码模块利用终端设备的唯一标识， 从所述云密 码机服务器上获取 所述密钥对， 从而实现密钥恢复功能。 8.根据权利要求5所述的一种基于云密码机的可信计算模块实现方法， 其特征在于， 所 述密钥对由以下算法生成： RSA、 SM1、 SM2、 SM 3和/或AES密码算法。权　利　要　求　书 1/1 页 2 CN 115208567 A 2一种基于云密码机的可信计算 模块实现系统及方 法 技术领域 [0001]本发明涉及信息安全技术领域， 特别涉及 一种基于云密码机的可信计算模块实现 系统及方法。 背景技术 [0002]可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算 平台， 以提高系统整体的安全性。 签注密钥 是一个2048位的RSA公共和私有密钥对， 它在芯 片出厂时随机生成并且不能改变。 这个私有密钥永远在芯片里， 而公共密钥用来认证及加 密发送到该芯片的敏感数据。 [0003]现有的可信密码模块TCM依赖于物理安全芯片， 随着物联 网的快速发展， 可穿戴设 备以及轻量化的嵌入式移动设备， 如网络摄像机(IPC)， 智能手表， 智能眼镜(AR/VR)等设备 对信息安全的需要与日俱增。 现有的可信计算密码模块的设计， 给这些移动设备增加了成 本， 不利于可信计算在这些 领域的扩展。 [0004]因此， 如何扩展可信计算在更广范围内的应用， 成为当下亟需解决的问题。 发明内容 [0005]本发明针对上述问题， 提出了一种基于云密码机的可信计算模块实现系统及方 法， 使物联网设备， 可穿戴设备等可以脱离TCM安全芯片而满足可信加密算法， 扩大可信密 码模块的应用范围。 [0006]为实现上述目的， 本发明采取的技 术方案为： [0007]第一方面， 本发明提供一种基于云密码机的可信计算模块实现系统， 包括： [0008]云密码机服务器， 用于为可信计算模块提供密码算法的生成， 管理， 分发和授权服 务； [0009]可信密码模块密钥获取单元， 基于终端设备的唯一标识， 与云密码机服务器通信； 根据使用环境， 从云密码机服务器获取可信计算密码支撑平台功能与接口规范支持的密钥 对； [0010]可信密码模块本地密钥管理单 元， 用于对获取的密钥对， 进行本地存 储； [0011]可信密码模块签名处理单元， 用于根据获取的密钥对中的私钥对数据进行签名处 理。 [0012]进一步地， 还包括： [0013]可信密码模块解密处理单元， 用于根据获取的密钥对中的私钥对数据进行解密处 理。 [0014]进一步地， 还包括： [0015]可信密码模块密钥恢复单元， 用于当终端设备本地密钥丢失后， 利用终端设备的 唯一标识， 从所述云密码机服 务器上获取 所述密钥对， 从而实现密钥恢复功能。 [0016]进一步地， 所述密钥对由以下算法生成：说　明　书 1/4 页 3 CN 115208567 A 3