(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211087442.5 (22)申请日 2022.09.07 (71)申请人 北京笔新互联网科技有限公司 地址 100000 北京市朝阳区工 体东路20号 19层 (72)发明人 杨文韬　王凯旋　胡峰　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 苗青盛 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) G06F 21/53(2013.01) G06F 7/58(2006.01) (54)发明名称 可信执行环境中可信真随机数的获取方法 及装置 (57)摘要 本发明涉及计算机系统安全处理技术领域， 提供一种可信执行环境中可信真随机数的获取 方法及装置， 包括： 从富执行环境中获取不可信 随机数； 从信任根中派生出秘钥； 配置一个变量； 根据所述秘钥、 所述变量和所述不可信随机数生 成消息认证码； 所述消息认证码作为可信真随机 数， 在使用外界不可信的随机 数URN的情况下， 根 据派生的秘钥、 存储的变量和不可信的随机数生 成Enclave内的可信真随机数， 增加可信真随机 数的随机性， 进一 步增强计算系统的安全性。 权利要求书1页 说明书5页 附图3页 CN 115174125 A 2022.10.11 CN 115174125 A 1.一种可信执 行环境中可信真随机数的获取 方法， 其特 征在于， 包括： 从富执行环境中获取不可信随机数； 从信任根中派生出秘钥； 配置一个 变量； 根据所述秘钥、 所述变量和所述 不可信随机数生成消息认证码； 所述消息认证码作为可信真随机数。 2.根据权利要求1所述的可信执行环境中可信真随机数的获取方法， 其特征在于， 所述 变量为不重复变量。 3.根据权利要求1所述的可信执行环境中可信真随机数的获取方法， 其特征在于， 所述 消息认证码为基于 HMAC算法计算 生成。 4.一种可信执 行环境中可信真随机数的获取装置， 其特 征在于， 包括： 第一获取模块， 用于从富执 行环境中获取不可信随机数； 第二获取模块， 用于从信任根中派生出秘钥； 配置模块， 用于配置一个 变量； 生成模块， 用于根据 所述秘钥、 所述变量和所述不可信随机数生成消息认证码， 所述消 息认证码作为可信真随机数。 5.一种电子设备， 包括处理器和存储有计算机程序的存储器， 其特征在于， 所述处理器 执行所述计算机程序时实现权利要求1至3任一项所述可信执行环境中可信 真随机数 的获 取方法的步骤。 6.一种处理器可读存储介质， 其特征在于， 所述处理器可读存储介质存储有计算机程 序， 所述计算机程序用于使 所述处理器执行权利要求 1至3任一项 所述可信执行环境中可信 真随机数的获取 方法的步骤。权　利　要　求　书 1/1 页 2 CN 115174125 A 2可信执行 环境中可信真随机数的获取方 法及装置 技术领域 [0001]本发明涉及计算机系统安全处理技术领域， 尤其涉及一种可信执行环境中可信真 随机数的获取 方法及装置 。 背景技术 [0002]可信执行环境(TEE， Trusted  Execution Environment)是一个在软硬件基础上建 立的隔离执行环 境。 Enclav e是TEE软件栈， 即TEE中的信任组件， 用途 是保护目标的安全， 例 如可信应用软件运行在Enclav e中。 但由于Enclave在某些情况下 （如芯片生产厂商没提供） 不具备生成真随机数 的环境， 因而需要从外界获取真随机数。 这里 的外界可以是富执行环 境 （REE， Rich  Execution  Environment） ， 该富执行环境具有真随机 数生成器。 如果Enclave 从外部获取真随机数， 可能出现以下情况： a） 存在已被Enclave外的恶意程序知晓的可能 性； b） 获取到的可能是伪随机、 一 直相同的数据。 发明内容 [0003]针对现有技术存在的问题， 本发明提供一种可信执行环境中可信真随机数的获取 方法、 装置、 电子设备及存 储介质。 [0004]第一方面， 本发明提供一种可信执 行环境中可信真随机数的获取 方法， 包括： 从富执行环境中获取不可信随机数； 从信任根中派生出秘钥； 配置一个 变量； 根据所述秘钥、 所述变量和所述 不可信随机数生成消息认证码； 所述消息认证码作为可信真随机数。 [0005]在一个实施例中， 所述变量 为不重复变量。 [0006]在一个实施例中， 所述消息认证码为基于 HMAC算法计算 生成。 [0007]第二方面， 本发明提供一种可信执 行环境中可信真随机数的获取装置， 包括： 第一获取模块， 用于从富执 行环境中获取不可信随机数； 第二获取模块， 用于从信任根中派生出秘钥； 配置模块， 用于配置一个 变量； 生成模块， 用于根据所述秘钥、 所述变量和所述不可信随机数生成消息认证码， 所 述消息认证码作为可信真随机数。 [0008]第三方面， 本 发明提供一种电子设备， 包括存储器和存储有计算机程序的存储器， 所述处理器执行所述程序时实现第一方面所述可信执行环境中可信真随机数的获取方法 的步骤。 [0009]第四方面， 本发明提供一种处理器可读存储介质， 所述处理器可读存储介质存储 有计算机程序， 所述计算机程序用于使所述处理器执行第一方面所述可信执行环境中可信 真随机数的获取 方法的步骤。说　明　书 1/5 页 3 CN 115174125 A 3