(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111090865A(43)申请公布日2020.05.01(21)申请号201911304078.1(22)申请日2019.12.17(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人周爱辉余超凡张宁王磊陆宇飞巫锡斌(74)专利代理机构成都七星天知识产权代理有限公司51253代理人杨永梅(51)Int.Cl.G06F21/57(2013.01)G06F21/60(2013.01)G06F21/62(2013.01)G06F21/64(2013.01)权利要求书3页说明书14页附图5页(54)发明名称一种密钥授权方法和系统(57)摘要本说明书实施例公开了一种密钥授权方法和系统，所述方法包括：在可信执行环境中创建可信的密钥托管程序，密钥存放于密钥托管程序对应的存储器中。密钥托管程序接收密钥使用程序发送的用于获取密钥的请求，并判断密钥使用程序是否为可信执行环境中的可信应用程序。若密钥使用程序为可信执行环境中的可信应用程序，密钥托管程序将密钥发送给密钥使用程序。密钥托管程序记录获取密钥的密钥使用程序的身份标识信息，以使得第三方能够获取记录的身份标识信息，并使得第三方能够基于该身份标识信息获取密钥使用程序的代码。可信执行环境可以基于英特尔公司的SGX(softwareguardextensions)技术实现。CN111090865ACN111090865A权利要求书1/3页1.一种密钥授权方法，所述方法包括：在可信执行环境中创建可信的密钥托管程序，所述密钥存放于所述密钥托管程序对应的存储器中；所述密钥托管程序接收密钥使用程序发送的用于获取所述密钥的请求，并判断所述密钥使用程序是否为可信执行环境中的可信应用程序；若所述密钥使用程序为可信执行环境中的可信应用程序，所述密钥托管程序将所述密钥发送给所述密钥使用程序；所述密钥托管程序记录获取所述密钥的所述密钥使用程序的身份标识信息，以使得第三方能够获取记录的所述身份标识信息，并使得所述第三方能够基于该身份标识信息获取所述密钥使用程序的代码，以基于该代码在密钥授权后审计该密钥使用程序。2.如权利要求1所述的方法，所述判断所述密钥使用程序是否为可信执行环境中的可信应用程序，包括：所述密钥托管程序接收验证平台关于所述密钥使用程序所使用的硬件信息的验证结果；基于所述验证结果判断所述密钥使用程序是否为可信执行环境中的可信应用程序。3.如权利要求1所述的方法，所述密钥托管程序记录获取所述密钥的所述密钥使用程序的身份标识信息，以使得所述第三方能够获取记录的所述身份标识信息，包括：所述密钥托管程序将获取所述密钥的所述密钥使用程序的身份标识信息发送至所述第三方，以使得所述第三方能够接收到所述身份标识信息，或者将所述身份标识信息存储至目标存储平台，以使得所述第三方能够从所述目标存储平台获取所述身份标识信息。4.如权利要求3所述的方法，所述目标存储平台为区块链平台，或经过安全认证的数据库。5.如权利要求1所述的方法，所述密钥托管程序将所述密钥发送给所述密钥使用程序，包括：所述密钥托管程序利用所述密钥使用程序的公钥对所述密钥加密得到所述密文；所述密钥托管程序将所述密文发送给所述密钥使用程序，以使得所述密钥使用程序能够利用自身与所述公钥对应的私钥，对所述密文解密得到所述密钥的明文。6.如权利要求1所述的方法，所述可信执行环境为基于软件保护扩展策略的可信执行环境。7.一种密钥授权方法，所述方法包括：所述密钥使用程序发送用于获取所述密钥的请求至密钥托管程序，以使得所述密钥托管程序能够响应于所述请求，并能够确定所述密钥使用程序为可信执行环境中的可信应用程序，其中，所述密钥托管程序为创建于可信执行环境中的可信应用程序，所述密钥存放于所述密钥托管程序对应的内存中；所述密钥使用程序接收所述密钥托管程序发送的所述密钥加密后的密文；所述密钥使用程序对所述密文解密得到所述密钥的明文；所述密钥使用程序将自身的代码或该代码的加密值发送给第三方，以使得所述第三方能够基于所述代码或所述加密值对所述密钥使用程序进行审计；或者，所述密钥使用程序将自身的代码或该代码的加密值存储至目标存储平台，以使得所述2CN111090865A权利要求书2/3页第三方能够从所述目标存储平台获取所述代码或所述加密值，并能够基于所述代码或所述加密值对所述密钥使用程序进行审计。8.如权利要求7所述的方法，所述目标存储平台为区块链平台，或经过安全认证的数据库。9.如权利要求7所述的方法，所述可信执行环境为基于软件保护扩展策略的可信执行环境。10.一种密钥授权系统，应用于密钥托管程序，所述系统包括：创建模块，用于在可信执行环境