(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113285802A(43)申请公布日2021.08.20(21)申请号202110582003.0(22)申请日2019.09.25(62)分案原申请数据201910914122.42019.09.25(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人魏长征潘国振闫莺(74)专利代理机构北京博思佳知识产权代理有限公司11415代理人周嗣勇(51)Int.Cl.H04L9/08(2006.01)H04L29/08(2006.01)权利要求书4页说明书16页附图3页(54)发明名称基于FPGA的密钥协商方法及装置(57)摘要本说明书一个或多个实施例提供一种基于FPGA的密钥协商方法及装置，该方法可以包括：FPGA结构将已部署的电路逻辑配置文件加载至FPGA芯片上，以在所述FPGA芯片上形成密钥协商模块；所述FPGA结构通过所述密钥协商模块与客户端进行远程密钥协商，以在所述FPGA结构和所述客户端处分别得到配置文件部署密钥；所述FPGA结构基于所述配置文件部署密钥对来自所述客户端的加密后新版电路逻辑配置文件进行解密，并基于得到的新版电路逻辑配置文件更新所述已部署的电路逻辑配置文件，以使所述FPGA结构实现为所属的区块链节点上的可信执行环境。CN113285802ACN113285802A权利要求书1/4页1.一种基于FPGA的密钥协商方法，包括：FPGA结构将已部署的电路逻辑配置文件加载至FPGA芯片上，以在所述FPGA芯片上形成密钥协商模块；所述FPGA结构通过所述密钥协商模块与客户端进行远程密钥协商，以在所述FPGA结构和所述客户端处分别得到配置文件部署密钥；所述FPGA结构基于所述配置文件部署密钥对来自所述客户端的加密后新版电路逻辑配置文件进行解密，并基于得到的新版电路逻辑配置文件更新所述已部署的电路逻辑配置文件，所述新版电路逻辑配置文件用于将所述FPGA结构实现为所属的区块链节点上的可信执行环境。2.根据权利要求1所述的方法，所述FPGA结构通过所述密钥协商模块与客户端进行远程密钥协商，包括：所述FPGA结构通过所述密钥协商模块与客户端交换协商信息，并使用获取到的协商信息生成配置文件部署密钥，其中，发送至客户端的所述协商信息被所述客户端用于生成所述配置文件部署密钥。3.根据权利要求2所述的方法，所述FPGA结构通过所述密钥协商模块与客户端交换协商信息，并使用获取到的协商信息生成配置文件部署密钥，包括：所述FPGA结构通过所述密钥协商模块向所述客户端发送第一密钥协商信息，并接收来自所述客户端的第二密钥协商信息；其中，所述第一密钥协商信息由所述FPGA结构基于所述密钥协商模块生成的第一私有信息而生成，所述第二密钥协商信息由所述客户端基于自身生成的第二私有信息而生成；所述FPGA结构通过所述密钥协商模块对所述第一私有信息与所述第二密钥协商信息进行计算生成秘密值，并基于所述秘密值确定配置文件部署密钥；其中，所述第二私有信息与所述第一密钥协商信息被所述客户端用于计算生成所述秘密值，以确定所述配置文件部署密钥。4.根据权利要求3所述的方法，所述FPGA结构基于所述秘密值确定配置文件部署密钥，包括：所述FPGA结构将所述秘密值确定为所述配置文件部署密钥；或者，所述FPGA结构通过密钥导出函数基于所述秘密值导出所述配置文件部署密钥。5.根据权利要求3所述的方法，所述第一密钥协商信息由所述FPGA结构上部署的认证根密钥进行签名。6.根据权利要求5所述的方法，所述认证根密钥对应的公钥由认证服务器所管理，或者所述认证根密钥对应的公钥被公开。7.根据权利要求5所述的方法，所述认证根密钥被预置于所述FPGA结构中，或者被所述客户端在离线安全环境下部署于所述FPGA结构中。8.根据权利要求5所述的方法，所述认证根密钥被基于所述已部署的电路逻辑配置文件部署至所述FPGA结构。9.根据权利要求5所述的方法，所述FPGA结构包含独立于所述FPGA芯片的密钥管理芯片，所述方法还包括：在部署所述已部署的电路逻辑配置文件之前，所述FPGA结构将从该电路逻辑配置文件2CN113285802A权利要求书2/4页中取出的所述认证根秘钥维护于密钥管理芯片中。10.根据权利要求3所述的方法，还包括：所述FPGA结构对所述第二密钥协商信息进行签名验证，其中所述FPGA结构上已部署所述客户端对应的预置证书；其中，所述FPGA结构在签名验证成功的情况下，基于所述第二密钥协商信息生成所述秘密值。11.根据权利要求1所述的方法，所述FPGA结构包含与所述FPGA芯片相连的存储器，所述存储器用于部署所述已部署的电路逻辑配置文件和所述