我要评分

获取效率

正确性

完整性

易理解

在线提单

论坛求助

Sealing Key功能

TEE套件机密虚机支持密钥封印(Sealing Key)功能，机密虚机可以生成一个与虚拟机绑定的密钥，虚拟机重启后该密钥保持不变。
Sealing key密钥整体派生流程：
1. 用户应用调用接口，用户态库获得输入，用户可提供个性化参数，个性化参数由用户态程序保存。
2. 通过驱动，用户将个性化数据（64字节字符串）传递给TMM,TMM密钥派生采用二级派生。
3. TMM使用硬编码安全随机数派生HUK密钥，获得一级的派生密钥HUK_DERIVED。
4. 通过该派生密钥HUK_DERIVED，再生成用户实际需要的密钥，USER_KEY = KDF(alg, HUK_DERIVED, hash(RIM) || user_param)。
5. TMM将派生后的密钥USER_KEY返回给用户使用。
  具体使用方法可以参考《机密计算TEE套件特性指南》中“sealing key使能”相关内容。

父主题： 关键功能