(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN110690963A(43)申请公布日2020.01.14(21)申请号201910914122.4(22)申请日2019.09.25(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人魏长征潘国振闫莺(74)专利代理机构北京博思佳知识产权代理有限公司11415代理人李威(51)Int.Cl.H04L9/08(2006.01)H04L29/08(2006.01)权利要求书3页说明书16页附图3页(54)发明名称基于FPGA的密钥协商方法及装置(57)摘要本说明书一个或多个实施例提供一种基于FPGA的密钥协商方法及装置，该方法可以包括：FPGA结构将已部署的电路逻辑配置文件加载至FPGA芯片上，以在所述FPGA芯片上形成密钥协商模块；所述FPGA结构通过所述密钥协商模块与客户端进行远程密钥协商，以在所述FPGA结构和所述客户端处分别得到配置文件部署密钥；所述FPGA结构基于所述配置文件部署密钥对来自所述客户端的加密后新版电路逻辑配置文件进行解密，并基于得到的新版电路逻辑配置文件更新所述已部署的电路逻辑配置文件，以使所述FPGA结构实现为所属的区块链节点上的可信执行环境。CN110690963ACN110690963A权利要求书1/3页1.一种基于FPGA的密钥协商方法，包括：FPGA结构将已部署的电路逻辑配置文件加载至FPGA芯片上，以在所述FPGA芯片上形成密钥协商模块；所述FPGA结构通过所述密钥协商模块与客户端进行远程密钥协商，以在所述FPGA结构和所述客户端处分别得到配置文件部署密钥；所述FPGA结构基于所述配置文件部署密钥对来自所述客户端的加密后新版电路逻辑配置文件进行解密，并基于得到的新版电路逻辑配置文件更新所述已部署的电路逻辑配置文件，以使所述FPGA结构实现为所属的区块链节点上的可信执行环境。2.根据权利要求1所述的方法，所述FPGA结构通过所述密钥协商模块与客户端进行远程密钥协商，包括：所述FPGA结构通过所述密钥协商模块向所述客户端发送第一密钥协商信息，并接收来自所述客户端的第二密钥协商信息；其中，所述第一密钥协商信息由所述FPGA结构基于所述密钥协商模块生成的第一私有信息而生成，所述第二密钥协商信息由所述客户端基于自身生成的第二私有信息而生成；所述FPGA结构通过所述密钥协商模块对所述第一私有信息与所述第二密钥协商信息进行计算，以生成秘密值并基于所述秘密值导出所述配置文件部署密钥；其中，所述第二私有信息与所述第一密钥协商信息被所述客户端用于计算生成所述秘密值，以导出所述配置文件部署密钥。3.根据权利要求2所述的方法，所述第一密钥协商信息由所述FPGA结构上部署的认证根密钥进行签名。4.根据权利要求3所述的方法，所述认证根密钥对应的公钥由认证服务器所管理，或者所述认证根密钥对应的公钥被公开。5.根据权利要求2所述的方法，还包括：所述FPGA结构对所述第二密钥协商信息进行签名验证，其中所述FPGA结构上已部署所述客户端对应的预置证书；其中，所述FPGA结构在签名验证成功的情况下，基于所述第二密钥协商信息生成所述秘密值。6.根据权利要求2所述的方法，所述秘密值还用于导出业务秘密部署密钥；所述方法还包括：所述FPGA结构基于所述业务秘密部署密钥对来自所述客户端的加密后业务密钥进行解密，解密得到的业务密钥应用于所述可信执行环境。7.根据权利要求1所述的方法，所述FPGA结构包含所述FPGA芯片之外的存储器，所述已部署的电路逻辑配置文件和所述新版电路逻辑配置文件均部署于所述存储器上。8.一种基于FPGA的密钥协商方法，包括：FPGA结构将已部署的电路逻辑配置文件加载至FPGA芯片上，以在所述FPGA芯片上形成密钥协商模块；其中，所述已部署的电路逻辑配置文件用于将所述FPGA结构实现为所属的区块链节点上的可信执行环境；所述FPGA结构通过所述密钥协商模块与客户端进行远程密钥协商，以在所述FPGA结构和所述客户端处分别得到业务秘密部署密钥；2CN110690963A权利要求书2/3页所述FPGA结构基于所述业务秘密部署密钥对来自所述客户端的加密后业务密钥进行解密，解密得到的业务密钥应用于所述可信执行环境。9.根据权利要求8所述的方法，所述FPGA结构通过所述密钥协商模块与客户端进行远程密钥协商，包括：所述FPGA结构通过所述密钥协商模块向所述客户端发送第一密钥协商信息，并接收来自所述客户端的第二密钥协商信息；其中，所述第一密钥协商信息由所述FPGA结构基于所述密钥协商模块生成的第一私有信息而生成，所述第二密钥协商信息由所述客户端基于自身生成的第二私有信息而生成；所述FPGA